Microsoft Defender 포털에서 Microsoft Defender for Identity

참고

Microsoft Defender XDR 경험하고 싶으신가요? Microsoft Defender XDR 평가하고 파일럿하는 방법에 대해 자세히 알아보세요.

적용 대상:

Microsoft Defender for Identity 이제 Microsoft ID, 데이터, 디바이스, 앱 및 인프라 전반에서 보안을 모니터링하고 관리하기 위한 홈인 Microsoft Defender 포털의 일부입니다. Microsoft Defender 포털을 사용하면 보안 관리자가 한 위치에서 보안 작업을 수행하여 워크플로를 간소화하고 다른 Microsoft Defender XDR 서비스의 기능을 통합할 수 있습니다.

Microsoft Defender for Identity Microsoft Defender 포털에서 제공하는 인시던트 및 경고에 ID 중심 정보를 제공합니다. 이 정보는 컨텍스트를 제공하고 Microsoft Defender XDR 내의 다른 제품의 경고를 상호 연결하는 데 핵심적인 요소입니다.

Microsoft Defender 포털의 수렴된 환경

Microsoft Defender 포털은 전자 메일, 공동 작업, ID 및 디바이스 위협을 보호, 검색, 조사 및 대응하는 보안 기능을 결합하고, 이제 레거시 클래식 Defender for Identity 포털에 제공된 모든 기능을 포함합니다.

데이터 배치는 클래식 Defender for Identity 포털과 다를 수 있지만 이제 데이터가 Microsoft Defender 포털 페이지에 통합되어 모니터링되는 모든 엔터티에서 데이터를 볼 수 있습니다.

다음 섹션에서는 Microsoft Defender 포털에 있는 향상된 Defender for Identity 기능에 대해 설명합니다.

참고

클래식 Defender for Identity 포털을 사용하는 고객은 이제 클래식 포털로 다시 되돌리기 옵션 없이 Microsoft Defender 포털로 자동으로 리디렉션됩니다.

구성 및 자세

영역 설명
전역 제외 전역 제외를 사용하면 모든 Defender for Identity 검색에서 제외할 IP 주소, 디바이스 또는 도메인과 같은 특정 엔터티를 정의할 수 있습니다. 예를 들어 디바이스만 제외하는 경우 제외는 검색의 일부로 디바이스 식별이 있는 검색에만 적용됩니다.

자세한 내용은 전역 제외 엔터티를 참조하세요.
작업 및 디렉터리 서비스 계정 관리 계정을 사용하지 않도록 설정하거나 암호를 다시 설정하여 손상된 사용자에게 응답할 수 있습니다. 이러한 작업 중 하나를 수행하면 Microsoft Defender 포털은 기본적으로 로컬 시스템 계정을 사용하도록 구성됩니다. 따라서 더 많은 제어를 원하는 경우에만 작업 및 디렉터리 서비스 계정 설정을 구성하고 다른 사용자 계정을 정의하여 사용자 수정 작업을 수행해야 합니다.

자세한 내용은 Microsoft Defender for Identity 작업 계정을 참조하세요.
사용자 지정 권한 역할 Microsoft Defender 포털은 사용자 지정 권한 역할을 지원합니다.

자세한 내용은 RBAC(역할 기반 액세스 제어) Microsoft Defender XDR 참조하세요.
Microsoft Secure Score Defender for Identity 보안 상태 평가는 Microsoft 보안 점수에서 사용할 수 있습니다. 각 평가는 문제 해결 또는 해결을 위한 작업 계획을 빌드하기 위한 사용 지침과 도구가 포함된 다운로드 가능한 보고서입니다. Id별 Microsoft 보안 점수를 필터링하여 Defender for Identity 평가를 봅니다.

자세한 내용은 Microsoft Defender for Identity 보안 태세 평가를 참조하세요.
API Defender for Identity에서 다음 Microsoft Defender XDR API를 사용합니다.

- API를 통해 작업 쿼리
- API를 통해 보안 경고 관리
- Microsoft Sentinel에 보안 경고 및 활동 Stream

: Microsoft Defender 포털은 30일 동안만 고급 헌팅 데이터를 저장합니다. 보존 기간이 더 길어야 하는 경우 Microsoft Sentinel 또는 다른 파트너 SIEM(보안 정보 및 이벤트 관리) 시스템으로 활동을 스트리밍합니다.
온보딩 이제 Defender for Identity 온보딩은 새 고객에게 자동으로 적용되며 작업 영역을 구성할 필요가 없습니다.

instance 삭제해야 하는 경우 Microsoft 지원 사례를 엽니다.

조사

영역 설명
ID 영역 Microsoft Defender 포털에서 ID 영역을 확장하여 일반적으로 사용되는 데이터가 있는 그래프 및 위젯 대시보드, 상태 문제 페이지, Defender for Identity 배포에 대한 모든 상태 문제를 나열하고 일반적으로 사용되는 도구 및 설명서에 대한 링크가 있는 도구 페이지를 봅니다.

자세한 내용은 ITDR dashboardDefender for Identity 상태 문제 보기를 참조하세요.
ID 페이지 Microsoft Defender 포털 ID 세부 정보 페이지에서는 다음과 같은 각 ID에 대한 포괄 데이터를 제공합니다.

- 연결된 모든 경고
- Active Directory 계정 컨트롤
- 위험한 횡적 이동 경로
- 활동 및 경고의 타임라인
- 관찰된 위치, 디바이스 및 그룹에 대한 세부 정보입니다.

자세한 내용은 Microsoft Defender 포털에서 사용자 조사를 참조하세요.
디바이스 페이지 Microsoft Defender 포털 경고 증거는 각 의심스러운 활동에 연결된 모든 디바이스 및 사용자를 나열합니다. 경고에서 특정 디바이스를 선택하여 디바이스 세부 정보 페이지에 액세스하여 자세히 조사합니다.

자세한 내용은 엔드포인트용 Microsoft Defender 디바이스 목록에서 디바이스 조사를 참조하세요.
지능형 헌팅 Microsoft Defender 포털은 고급 헌팅 쿼리를 사용하여 위협 및 악의적인 활동을 사전에 검색하는 데 도움이 됩니다. 이러한 강력한 쿼리를 사용하여 알려진 위협 및 잠재적 위협에 대한 위협 지표 및 엔터티를 찾아 검토할 수 있습니다.

고급 헌팅 쿼리에서 사용자 지정 검색 규칙을 빌드하여 위반 활동 및 잘못 구성된 디바이스를 나타낼 수 있는 이벤트를 사전에 watch 수 있습니다.

자세한 내용은 Microsoft Defender 포털에서 고급 헌팅을 사용하여 위협 사전 헌팅을 참조하세요.
전역 검색 Microsoft Defender 포털 페이지의 맨 위에 있는 검색 창을 사용하여 ID, 엔드포인트, Office 365 데이터, Active Directory 그룹(미리 보기) 등 Microsoft Defender XDR 모니터링되는 엔터티를 검색합니다.

검색 드롭다운에서 직접 결과를 선택하거나 모든 사용자 또는 모든 디바이스 를 선택하여 지정된 검색 용어와 연결된 모든 엔터티를 확인합니다.
횡적 이동 경로 Microsoft Defender 포털은 사용자 세부 정보 페이지의 횡적 이동 경로 탭 외에도 고급 헌팅 페이지 및 횡적 이동 경로 보안 평가에 횡적 이동 경로 데이터를 제공합니다.

자세한 내용은 Microsoft Defender for Identity 사용하여 횡적 이동 경로(LMP) 이해 및 조사를 참조하세요.

검색 및 응답

영역 설명
경고 및 인시던트 상관 관계 이제 Defender for Identity 경고가 Microsoft Defender 포털의 경고 큐에 포함되어 자동화된 인시던트 상관 관계 기능을 사용할 수 있습니다.

모든 경고를 한 곳에서 보고 이전보다 훨씬 빠르게 위반 scope 확인합니다.

자세한 내용은 Microsoft Defender 포털에서 Defender for Identity 경고 조사를 참조하세요.
경고 제외 Microsoft Defender 포털의 경고 인터페이스는 사용자에게 더 친숙하며 검색 함수 및 전역 제외를 포함하므로 Defender for Identity에서 생성된 모든 경고에서 엔터티를 제외할 수 있습니다.

자세한 내용은 Microsoft Defender XDR Defender for Identity 검색 제외 구성을 참조하세요.
경고 튜닝 이전에 경고 억제라고도 하는 경고 튜닝을 사용하면 경고를 조정하고 최적화할 수 있습니다. 경고 튜닝은 가양성을 줄여 SOC 팀이 우선 순위가 높은 경고에 집중할 수 있도록 하고 시스템 전체에서 위협 탐지 범위를 개선합니다.

Microsoft Defender XDR 증거 유형에 따라 규칙 조건을 만든 다음 조건과 일치하는 규칙 유형에 규칙을 적용합니다. 자세한 내용은 경고 튜닝을 참조하세요.
수정 작업 계정 비활성화 또는 암호 재설정 요구와 같은 Defender for Identity 수정 작업은 Microsoft Defender 포털 사용자 세부 정보 페이지에서 사용할 수 있습니다.

자세한 내용은 Microsoft Defender for Identity 수정 작업을 참조하세요.

빠른 참조

다음 표에는 Microsoft Defender for Identity Microsoft Defender 포털 간의 탐색 변경 내용이 나와 있습니다.

Defender for Id Microsoft Defender 포털
시간 표시 막대 - Microsoft Defender 포털 경고/인시던트 큐
보고서 다음 유형의 보고서는 Microsoft Defender 포털의 보고서>ID>보고서 관리 페이지에서 즉시 다운로드하거나 정기적으로 전자 메일 배달을 예약할 수 있습니다.

- 주의해야 하는 경고 및 상태 문제에 대한 요약 보고서입니다.
- 중요한 그룹을 수정할 때마다의 목록입니다.
- 명확한 텍스트로 전송되는 것으로 검색된 원본 컴퓨터 및 계정 암호 목록입니다.
- 횡적 이동 경로에 노출되는 중요한 계정 목록입니다.

자세한 내용은 보고서 관리를 참조하세요.
ID 페이지 Microsoft Defender 포털 사용자 세부 정보 페이지
디바이스 페이지 Microsoft Defender 포털 디바이스 세부 정보 페이지
그룹 페이지 Microsoft Defender 포털 그룹 쪽 창
경고 페이지 Microsoft Defender 포털 경고 세부 정보 페이지

: 경고 튜닝을 사용하여 Microsoft Defender 포털에 표시되는 경고를 최적화합니다.
검색 Microsoft Defender 포털 전역 검색
상태 문제 Microsoft Defender 포털 ID > 상태 문제
엔터티 활동 - 고급 헌팅
- 디바이스 페이지 >타임라인
- ID 페이지 >타임라인
- 그룹 창 >타임라인
설정 설정 ->ID
사용자 및 계정 자산 ->ID
ID 보안 상태 Microsoft Defender for Identity 보안 태세 평가
새 작업 영역 온보딩 설정 ->ID (자동으로)
정보 설정 > ID > 정보

다음 단계

자세한 내용은 다음을 참조하세요.

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.