Microsoft Defender for Identity란?
Microsoft Defender for Identity organization ID 모니터링을 보호하는 데 도움이 되는 클라우드 기반 보안 솔루션입니다.
Defender for Identity는 Microsoft Defender XDR 완전히 통합되며 온-프레미스 Active Directory 및 클라우드 ID의 신호를 활용하여 organization 대상으로 하는 고급 위협을 더 잘 식별, 감지 및 조사할 수 있습니다.
Defender for Identity를 배포하여 SecOp 팀이 다음을 비롯한 하이브리드 환경에서 최신 ITDR(ID 위협 탐지) 솔루션을 제공할 수 있도록 지원합니다.
- 사전 ID 보안 태세 평가를 사용하여 위반 방지
- 실시간 분석 및 데이터 인텔리전스를 사용하여 위협 검색
- 명확하고 실행 가능한 인시던트 정보를 사용하여 의심스러운 활동 조사
- 손상된 ID에 대한 자동 응답을 사용하여 공격에 대응
Defender for Identity는 이전에 Azure ATP(Azure Advanced Threat Protection)라고 했습니다.
중요
클래식 Defender for Identity 포털을 사용하는 고객은 이제 클래식 포털로 다시 되돌리기 옵션 없이 Microsoft Defender XDR 자동으로 리디렉션됩니다.
자세한 내용은 블로그 게시물 및 Microsoft Defender XDR Microsoft Defender for Identity 참조하세요.
사용자 ID 보호 및 공격 표면 줄이기
Defender for Identity는 ID 구성 및 제안된 보안 모범 사례에 대한 귀중한 인사이트를 제공합니다. 보안 보고서 및 사용자 프로필 분석을 통해 Defender for Identity는 조직의 공격 노출 영역을 크게 줄여 사용자 자격 증명을 손상시키고 공격을 진행하기 어렵게 만듭니다.
ID 상태를 사전에 평가
Defender for Identity는 ID 보안 상태를 명확하게 파악하여 공격자가 악용하기 전에 보안 문제를 식별하고 resolve 수 있도록 도와줍니다.
예시:
Defender for Identity의 횡적 이동 경로는 공격자가 organization 내에서 횡적으로 이동하는 방법을 정확하게 이해하는 데 도움이 됩니다. 횡적 이동 경로는 중요한 계정을 손상시킬 수 있으며, Defender for Identity는 이러한 위험을 사전에 방지하는 데 도움이 됩니다.
Microsoft 보안 점수에서 사용할 수 있는 Defender for Identity 보안 평가는 조직의 보안 태세 및 정책을 개선하기 위한 추가 인사이트를 제공합니다.
최신 ID 환경에서 위협 검색
최신 ID 환경은 온-프레미스와 클라우드 모두에 걸쳐 있는 경우가 많습니다. Defender for Identity는 도메인 컨트롤러, AD FS(Active Directory Federation Services) 및 AD CS(Active Directory Certificate Services)를 비롯한 환경 전반의 데이터를 사용하여 ID 환경을 완전히 볼 수 있도록 합니다.
Defender for Identity 센서는 기본적으로 도메인 컨트롤러 트래픽을 모니터링합니다. AD FS/AD CS 서버의 경우 전체 ID 모니터링을 위해 관련 센서 유형을 설치해야 합니다.
자세한 내용은 다음 항목을 참조하세요.
- Microsoft Defender XDR 사용하여 Microsoft Defender for Identity 배포
- Active Directory Federation Services(AD FS)의 Microsoft Defender for Identity
사이버 공격 킬 체인에서 의심스러운 활동 식별
일반적으로 공격은 낮은 권한의 사용자와 같은 접근하기 쉬운 엔터티를 상대로 시작됩니다. 그런 다음 공격자는 중요한 계정, 도메인 관리자 및 매우 중요한 데이터와 같은 중요한 자산에 액세스할 수 있을 때까지 횡적으로 빠르게 이동합니다.
Defender for Identity는 원본 위치에서 사이버 공격 킬 체인 전반에 걸쳐 이러한 고급 위협을 식별합니다.
| 위협 | Defender for Identity에서 ... |
|---|---|
| 정찰 | 악의적인 사용자와 공격자가 정보를 얻으려는 시도를 식별합니다. 공격자는 다양한 방법을 사용하여 사용자 이름, 사용자 그룹 멤버 자격, 디바이스, 리소스 등에 할당된 IP 주소에 대한 정보를 검색합니다. |
| 손상된 자격 증명 | 무차별 암호 대입 공격, 실패한 인증, 사용자 그룹 멤버 자격 변경 및 기타 방법을 사용하여 사용자 자격 증명을 손상하려는 시도를 식별합니다. |
| 횡적 이동 | 티켓 전달, 해시 전달, 해시 고가도로 등과 같은 방법을 활용하여 중요한 사용자를 추가로 제어하기 위해 네트워크 내에서 횡적으로 이동하려는 시도를 감지합니다. |
| 도메인 지배 | 도메인 우위를 달성하는 경우 강조 표시된 공격자 동작을 봅니다. 예를 들어 공격자는 도메인 컨트롤러에서 원격으로 코드를 실행하거나 DC 섀도, 악의적인 도메인 컨트롤러 복제, 골든 티켓 활동 등과 같은 메서드를 사용할 수 있습니다. |
자세한 내용은 Microsoft Defender for Identity 보안 경고를 참조하세요.
경고 및 사용자 활동 조사
Defender for Identity는 일반 경고 노이즈를 줄이기 위해 설계되었으며, 간단한 실시간 조직 공격 타임라인 관련 중요 보안 경고의 우선 순위 목록을 제공합니다.
Microsoft Defender XDR 원활한 통합은 사용자, 디바이스 및 네트워크 리소스 전반에서 가시성과 정확도를 높이기 위해 다른 도메인의 데이터를 상호 연결하여 향상된 보안의 또 다른 계층을 제공합니다.
자세한 내용은 자산 조사 및 보안 경고 조사를 참조하세요.
관련 콘텐츠
다음 표를 사용하여 Defender for Identity에 대한 추가 리소스를 찾습니다.