Microsoft Defender for Identity 배포를 위한 용량 계획
이 문서에서는 Microsoft Defender for Identity 크기 조정 도구를 사용하여 도메인 컨트롤러 서버에 Microsoft Defender for Identity 센서에 대한 충분한 리소스가 있는지 여부를 확인하는 방법을 설명합니다.
서버에 필요한 리소스가 없는 경우 도메인 컨트롤러 성능에 영향을 주지 않을 수 있지만 Defender for Identity 센서가 예상대로 작동하지 않을 수 있습니다. 자세한 내용은 Microsoft Defender for Identity 필수 구성 요소를 참조하세요.
크기 조정 도구는 도메인 컨트롤러에만 필요한 용량을 측정합니다. 이러한 서버에 대한 성능 영향이 존재하지 않도록 최소화되므로 AD FS/AD CS/Entra Connect 서버에 대해 실행할 필요가 없습니다.
팁
기본적으로 Defender for Identity는 최대 350개의 센서를 지원합니다. 더 많은 센서를 설치하려면 Defender for Identity 지원에 문의하세요.
필수 구성 요소
- Defender for Identity 크기 조정 도구를 다운로드합니다.
- Defender for Identity 아키텍처 문서를 검토합니다.
- Defender for Identity 필수 구성 요소 문서를 검토합니다.
정확한 결과를 얻으려면 사용자 환경에 Defender for Identity 센서를 설치 하기 전에 크기 조정 도구만 실행합니다.
크기 조정 도구 사용
다운로드한 zip 파일에서 Defender for Identity 크기 조정 도구를 TriSizingTool.exe실행합니다.
도구 실행이 완료되면 Excel 파일 결과를 엽니다.
Excel 파일에서 Azure ATP 요약 시트를 찾아 선택한 다음 서버가 지원되는지 여부를 나타내는 결과에 대해 센서 지원 열을 검사.
예시:
참고
파일의 다른 시트는 ATA(Advanced Threat Analytics) 계획에 사용되며 Defender for Identity에는 필요하지 않습니다.
크기 조정 도구는 24시간 동안 가장 바쁜 15분을 기준으로 계산되는 사용 중인 패킷/초 값을 기반으로 서버가 지원되는지 여부를 결정합니다.
일반적인 결과는 다음과 같습니다.
| 결과 | 설명 |
|---|---|
| 예 | 센서는 서버에서 지원됩니다. |
| 예, 하지만 추가 리소스가 필요합니다. | 지정된 누락된 리소스를 추가하는 한 서버에서 센서가 지원됩니다. |
| 아마 | 현재 사용 중인 패킷/초 값은 해당 시점에서 평균보다 훨씬 높을 수 있습니다. 타임스탬프를 확인하여 해당 시간에 실행되는 프로세스와 정상적인 상황에서 해당 프로세스의 대역폭을 제한할 수 있는지 여부를 확인합니다. |
| 어쩌면, 하지만 추가 리소스 필요 | 지정된 누락된 리소스를 추가하는 한 서버에서 센서가 지원되거나 사용 중인 패킷/초 가 60K를 초과할 수 있습니다. |
| 아니요 | 센서는 서버에서 지원되지 않습니다. 현재 사용 중인 패킷/초 값은 해당 시점에서 평균보다 훨씬 높을 수 있습니다. 타임스탬프를 확인하여 해당 시간에 실행되는 프로세스와 정상적인 상황에서 해당 프로세스의 대역폭을 제한할 수 있는지 여부를 확인합니다. |
| 누락된 OS 데이터 | 운영 체제 데이터를 읽는 동안 문제가 발생했습니다. 서버에 대한 연결이 원격으로 WMI를 쿼리할 수 있는지 확인합니다. |
| 누락된 트래픽 데이터 | 트래픽 데이터를 읽는 데 문제가 있었습니다. 서버에 대한 연결이 성능 카운터를 원격으로 쿼리할 수 있는지 확인합니다. |
| RAM 데이터 누락 | RAM 데이터를 읽는 데 문제가 있었습니다. 서버에 대한 연결이 원격으로 WMI를 쿼리할 수 있는지 확인합니다. |
| 핵심 데이터 누락 | 핵심 데이터를 읽는 데 문제가 있었습니다. 서버에 대한 연결이 원격으로 WMI를 쿼리할 수 있는지 확인합니다. |
예를 들어 다음 이미지는 Maybe 가 해당 시점에서 사용 중인 패킷/초 값이 평균보다 훨씬 높다는 것을 나타내는 결과 집합을 보여 줍니다. DC 시간을 UTC/로컬로 표시는 로컬 DC 시간으로 설정됩니다. 이 설정은 값이 오전 3시 30분경에 수행되었다는 사실을 강조 표시하는 데 도움이 됩니다.
Defender for Identity 센서 예상 크기 조정
다음 표에서는 도메인 컨트롤러에서 생성되는 일반적인 네트워크 트래픽 양에 따라 Defender for Identity 센서에 필요한 예상 CPU 및 RAM 용량을 보여줍니다.
이 테이블은 추정치입니다. 센서 구문 분석의 최종 크기는 트래픽의 양과 트래픽 분포에 따라 달라집니다.
| 사용 중인 패킷/초 | CPU(물리적 코어) | RAM(GB) |
|---|---|---|
| 0-1k | 0.25 | 2.50 |
| 1k-5k | 0.75 | 6.00 |
| 5k-10k | 1.00 | 6.50 |
| 10k-20k | 2.00 | 9.00 |
| 20k-50k | 3.50 | 9.50 |
| 50k-75k | 5.50 | 11.50 |
| 75k-100k | 7.50 | 13.50 |
이 표에서 다음을 수행합니다.
CPU 및 RAM 용량은 도메인 컨트롤러 용량이 아니라 센서의 자체 소비를 나타냅니다.
CPU 용량에는 하이퍼 스레드 코어가 포함되지 않습니다. Defender for Identity 센서에서 상태 문제가 발생할 수 있는 하이퍼 스레드 코어를 사용하지 않는 것이 좋습니다.
크기 조정을 결정할 때 센서 서비스에서 사용할 총 코어 수와 총 메모리 양을 염두에 두어야 합니다.
자세한 내용은 리소스 제한을 참조하세요.
도메인 컨트롤러에 대한 수동 크기 조정 추정
크기 조정 도구를 사용할 수 없는 경우 도메인 컨트롤러 서버에 Defender for Identity 센서에 대한 충분한 리소스가 있는지 수동으로 예측할 수 있습니다.
5초와 같은 낮은 컬렉션 간격으로 24시간 이상 모든 도메인 컨트롤러에서 패킷/초 카운터 정보를 수동으로 수집합니다. 각 도메인 컨트롤러에 대해 일별 평균과 가장 바쁜 기간(15분) 평균을 계산합니다.
다양한 도구를 사용하면 도메인 컨트롤러의 평균 패킷/초 카운터를 검색할 수 있습니다. 이 절차에서는 성능 모니터 사용하여 관련 정보를 수집하는 방법의 예를 설명합니다.
성능 모니터 열고 데이터 수집기 집합을 확장합니다.
사용자 정의 를 마우스 오른쪽 단추로 클릭하고 새 > 데이터 수집기 집합을 선택합니다.
수집기 집합의 의미 있는 이름을 입력하고 수동으로 만들기(고급)를 선택합니다.
어떤 유형의 데이터를 포함하시겠습니까?에서 데이터 로그 만들기 및 성능 카운터를 선택합니다.
네트워크 어댑터를 확장한 다음 패킷/초 및 관련 작업 영역을 선택합니다. 선택할 작업 영역을 잘 모르는 경우 모든 작업 영역을> 선택합니다<. 확인추가>를 선택하여 단계를 완료합니다.
또는 명령줄에서 이 단계를 수행하는 경우 를 실행
ipconfig /all하여 어댑터 이름 및 구성을 확인합니다.샘플 간격을 5초로 변경하고 데이터를 저장할 위치를 정의합니다.
데이터 수집기 집합 만들기에서이 데이터 수집기 집합 시작 지금>마침을 선택합니다.
이제 녹색 삼각형이 작동 중임을 나타내는 녹색 삼각형으로 만든 데이터 수집기 집합이 표시됩니다.
24시간 후에 데이터 수집기 집합을 중지합니다. 데이터 수집기 집합을 마우스 오른쪽 단추로 클릭하고 중지를 선택합니다.
파일 탐색기 .blg 파일이 저장된 폴더로 이동합니다. 두 번 클릭하여 성능 모니터 엽니다.
Packets/sec 카운터를 선택하고 평균 및 최대값을 기록합니다.
참고
기본적으로 Defender for Identity는 최대 350개의 센서를 지원합니다. 더 많은 센서를 설치하려면 Defender for Identity 지원에 문의하세요.