클라우드용 Microsoft Defender 데이터를 지속적으로 내보내기

클라우드용 Microsoft Defender는 자세한 보안 경고 및 권장 사항을 생성합니다. 이러한 경고 및 권장 사항에 포함된 정보를 분석하려면 해당 정보를 Azure Monitor의 Log Analytics, Azure Event Hubs 또는 다른 SIEM(보안 정보 및 이벤트 관리), SOAR(보안 오케스트레이션 자동 응답) 또는 IT 클래식 배포 모델 솔루션으로 내보낼 수 있습니다. 경고 및 권장 사항이 생성될 때 스트리밍하거나 모든 새 데이터의 주기적 스냅샷을 보내는 일정을 정의할 수 있습니다.

연속 내보내기를 설정하면 내보낼 정보와 정보가 이동되는 위치를 완전히 사용자 지정할 수 있습니다. 예를 들면 다음과 같이 구성할 수 있습니다.

  • 높은 심각도 경고를 모두 Azure 이벤트 허브로 보내도록 구성합니다.
  • SQL Server를 실행하는 컴퓨터에 대한 취약성 평가 검사에서 얻은 심각도가 중간 이상인 모든 결과는 특정 Log Analytics 작업 영역으로 전송됩니다.
  • 특정 권장 사항이 생성될 때마다 이벤트 허브 또는 Log Analytics 작업 영역으로 전달되도록 구성합니다.
  • 제어 점수가 0.01 이상으로 변경될 때마다 구독의 보안 점수를 Log Analytics 작업 영역으로 보내도록 구성합니다.

이 문서에서는 Log Analytics 작업 영역 또는 Azure의 이벤트 허브로 연속 내보내기를 설정하는 방법을 설명합니다.

클라우드용 Defender는 CSV(쉼표로 구분된 값) 파일로 일회성 수동 내보내기를 수행하는 옵션도 제공합니다. 경고 및 권장 사항 수동 내보내기에서 자세히 알아봅니다.

가용성

측면 세부 정보
릴리스 상태: GA(일반 공급)
가격 책정: Free
필요한 역할 및 권한:
  • 리소스 그룹의 보안 관리자 또는 소유자입니다.
  • 대상 리소스에 대한 쓰기 권한
  • Azure Policy DeployIfNotExist 정책을 사용하는 경우 정책을 할당할 수 있는 권한이 있어야 합니다.
  • 데이터를 Event Hubs로 내보내려면 Event Hubs 정책에 대한 쓰기 권한이 있어야 합니다.
  • Log Analytics 작업 영역으로 내보내려면 다음을 수행합니다.
    • SecurityCenterFree 솔루션이 있는 경우 작업 영역 솔루션에 대해 최소한의 읽기 권한이 있어야 합니다. Microsoft.OperationsManagement/solutions/read.
    • SecurityCenterFree 솔루션이 없는 경우 작업 영역 솔루션: Microsoft.OperationsManagement/solutions/action에 대한 쓰기 권한이 있어야 합니다.
    • Azure Monitor 및 Log Analytics 작업 영역 솔루션에 대해 자세히 알아보세요.
클라우드: 상용 클라우드
국가적(Azure Government, 21Vianet에서 운영하는 Microsoft Azure)

내보낼 수 있는 데이터 형식

연속 내보내기를 사용하면 다음 데이터 형식이 변경될 때마다 내보낼 수 있습니다.

연속 내보내기 설정

Azure Portal의 클라우드용 Microsoft Defender 페이지에서 REST API를 사용하거나 제공된 Azure Policy 템플릿을 사용하여 대규모로 연속 내보내기를 설정할 수 있습니다.

Azure Portal의 클라우드용 Defender 페이지에서 연속 내보내기 설정

Azure Portal을 사용하여 Log Analytics 또는 Azure Event Hubs로 연속 내보내기를 설정하려면 다음을 수행합니다.

  1. 클라우드용 Defender 리소스 메뉴에서 환경 설정을 선택합니다.

  2. 데이터 내보내기를 구성하려는 구독을 선택합니다.

  3. 설정 아래 리소스 메뉴에서 연속 내보내기를 선택합니다.

    Screenshot that shows the export options in Microsoft Defender for Cloud.

    내보내기 옵션이 나타납니다. 사용 가능한 각 내보내기 대상(이벤트 허브 또는 Log Analytics 작업 영역)에 대한 탭이 있습니다.

  4. 내보내려는 데이터 형식을 선택하고, 각 형식의 필터에서 선택합니다(예: 높은 심각도 경고만 내보내기).

  5. 내보내기 빈도를 선택합니다.

    • 스트리밍. 리소스의 성능 상태가 업데이트되면 평가가 전송됩니다(업데이트가 발생하지 않으면 데이터가 전송되지 않습니다).
    • 스냅샷. 구독당 일주일에 한 번 전송되는 선택된 데이터 형식의 현재 상태에 대한 스냅샷입니다. 스냅샷 데이터를 식별하려면 IsSnapshot 필드를 찾습니다.

    선택 항목에 다음 권장 사항 중 하나가 포함되어 있으면 취약성 평가 결과도 함께 포함할 수 있습니다.

    이러한 권장 사항에 발견 항목을 포함하려면 보안 발견 항목 포함로 설정합니다.

    Screenshot that shows the Include security findings toggle in a continuous export configuration.

  6. 내보내기 대상에서 데이터를 저장할 위치를 선택합니다. 데이터는 다른 구독(예: 중앙 Event Hub 인스턴스 또는 중앙 Log Analytics 작업 영역)의 대상에 저장할 수 있습니다.

    데이터를 다른 테넌트의 이벤트 허브 또는 Log Analytics 작업 영역으로 보낼 수도 있습니다.

  7. 저장을 선택합니다.

참고 항목

Log Analytics는 크기가 최대 32KB인 레코드만 지원합니다. 데이터 한도에 도달하면 경고에 데이터 한도가 초과되었습니다라는 메시지가 표시됩니다.

Log Analytics 작업 영역으로 내보냅니다.

Log Analytics 작업 영역 내의 클라우드용 Microsoft Defender 데이터를 분석하거나 Azure 경고를 클라우드용 Defender 알림과 함께 사용하려면, Log Analytics 작업 영역으로 연속 내보내기를 설정합니다.

Log Analytics 테이블 및 스키마

보안 경고 및 권장 사항은 SecurityAlertSecurityRecommendation 테이블에 각각 저장됩니다.

이러한 테이블을 포함하는 Log Analytics 솔루션의 이름은 보안 강화 기능(보안(보안 및 감사 솔루션) 또는 SecurityCenterFree)을 사용하도록 설정했는지 여부에 따라 달라집니다.

대상 작업 영역에서 데이터를 보려면 이러한 솔루션, 즉 보안 및 감사 또는 SecurityCenterFree 중 하나를 사용해야 합니다.

Screenshot that shows the SecurityAlert table in Log Analytics.

내보낸 데이터 형식의 이벤트 스키마를 보려면 Log Analytics 테이블 스키마를 참조하세요.

다른 테넌트의 이벤트 허브 또는 Log Analytics 작업 영역으로 데이터 내보내기

Azure Policy를 사용하여 구성을 할당하는 경우 다른 테넌트의 Log Analytics 작업 영역으로 내보낼 데이터를 구성할 수 없습니다. 이 프로세스는 REST API를 사용하여 구성을 할당하는 경우에만 작동하며 해당 구성은 Azure Portal에서 지원되지 않습니다(다중 테넌트 컨텍스트가 필요하기 때문). Azure Lighthouse는 인증 방법으로 Azure Lighthouse를 사용할 수 있지만 Azure Policy로 이 문제를 해결하지 않습니다.

테넌트에서 데이터를 수집하면 하나의 중앙 위치에서 데이터를 분석할 수 있습니다.

다른 테넌트의 이벤트 허브 또는 Log Analytics 작업 영역으로 데이터를 내보내려면 다음을 수행합니다.

  1. 이벤트 허브 또는 Log Analytics 작업 영역이 있는 테넌트에서 연속 내보내기 구성을 호스팅하는 테넌트의 사용자를 초대하거나 원본 및 대상 테넌트에 대해 Azure Lighthouse를 구성할 수 있습니다.
  2. Microsoft Entra ID에서 B2B(Business-to-Business) 게스트 사용자 액세스를 사용하는 경우 사용자가 게스트로 테넌트에 액세스하기 위한 초대를 수락하는지 확인합니다.
  3. Log Analytics 작업 영역을 사용하는 경우 작업 영역 테넌트의 사용자에게 소유자, 기여자, Log Analytics 기여자, Sentinel 기여자 또는 모니터링 기여자 역할 중 하나를 할당합니다.
  4. Azure REST API에 대한 요청을 만들고 제출하여 필요한 리소스를 구성합니다. 로컬(작업 영역) 테넌트와 원격(연속 내보내기) 테넌트의 컨텍스트 모두에서 전달자 토큰을 관리해야 합니다.

방화벽 뒤의 이벤트 허브로 지속적으로 내보내기

신뢰할 수 있는 서비스로 연속 내보내기를 사용하도록 설정하여 Azure Firewall이 사용하도록 설정된 이벤트 허브에 데이터를 보낼 수 있습니다.

신뢰할 수 있는 서비스로 연속 내보내기에 대한 액세스 권한을 부여하려면:

  1. Azure Portal에 로그인합니다.

  2. 클라우드용 Microsoft Defender>환경 설정으로 이동합니다.

  3. 관련 리소스를 선택합니다.

  4. 연속 내보내기를 선택합니다.

  5. 신뢰할 수 있는 서비스로 내보내기를 선택합니다.

    Screenshot that shows where the checkbox is located to select export as trusted service.

대상 이벤트 허브에 관련 역할 할당을 추가해야 합니다.

대상 이벤트 허브에 관련 역할 할당을 추가하려면 다음을 수행합니다.

  1. 선택한 이벤트 허브로 이동합니다.

  2. 리소스 메뉴에서 액세스 제어(IAM)>역할 할당 추가를 선택합니다.

    Screenshot that shows the Add role assignment button.

  3. Azure Event Hubs 데이터 보낸 사람을 선택합니다.

  4. 구성원 탭을 선택합니다.

  5. + 멤버 선택을 선택합니다.

  6. Windows Azure 보안 리소스 공급자를 검색하여 선택합니다.

    Screenshot that shows you where to enter and search for Microsoft Azure Security Resource Provider.

  7. 검토 + 할당을 선택합니다.

Azure Monitor에서 내보낸 경고 및 권장 사항 보기

Azure Monitor에서 내보낸 보안 경고 및/또는 권장 사항을 보도록 선택할 수도 있습니다.

Azure Monitor는 Log Analytics 작업 영역 쿼리를 기반으로 하는 진단 로그, 메트릭 경고 및 사용자 지정 경고를 포함하여 다양한 Azure 경고에 대한 통합 경고 환경을 제공합니다.

Azure Monitor에서 클라우드용 Defender의 경고 및 권장 사항을 보려면 Log Analytics 쿼리(로그 경고 규칙)를 기반으로 하는 경고 규칙을 구성합니다.

  1. Azure Monitor 경고 페이지에서 새 경고 규칙을 선택합니다.

    Screenshot that shows the Azure Monitor alerts page.

  2. 규칙 만들기 창에서 Azure Monitor의 로그 경고 규칙을 구성하는 것과 동일한 방식으로 새 규칙을 설정합니다.

    • 리소스에서 보안 경고 및 권장 사항을 내보낸 Log Analytics 작업 영역을 선택합니다.

    • 조건에서 사용자 지정 로그 검색을 선택합니다. 표시되는 페이지에서 쿼리, 되돌아보기 기간 및 빈도 기간을 구성합니다. 검색 쿼리에서 Log Analytics으로 연속 내보내기 기능을 사용하는 경우 SecurityAlert 또는 SecurityRecommendation을 입력하여 클라우드용 Defender에서 연속으로 내보내는 데이터 형식을 쿼리할 수 있습니다.

    • 선택적으로 트리거할 작업 그룹을 만듭니다. 작업 그룹은 환경의 이벤트를 기반으로 이메일 보내기, ITSM 티켓 만들기, 웹후크 실행 등을 자동화할 수 있습니다.

    Screenshot that shows the Azure Monitor create alert rule pane.

Azure Monitor 경고에는 작업 그룹(제공된 경우)이 자동으로 트리거되면서(구성된 연속 내보내기 규칙 및 Azure Monitor 경고 규칙에 정의한 조건에 따라) 클라우드용 Defender 경고 또는 권장 사항이 표시됩니다.

경고 및 권장 사항을 수동으로 내보내기

경고 또는 권장 사항이 나열된 CSV 파일을 다운로드하려면 보안 경고 페이지 또는 권장 사항 페이지로 이동한 다음 CSV 보고서 다운로드 단추를 선택합니다.

Azure Resource Graph 제한으로 인해 보고서는 13,000행의 파일 크기로 제한됩니다. 너무 많은 데이터를 내보내는 것과 관련된 오류가 표시되는 경우 내보낼 더 작은 구독 집합을 선택하여 출력을 제한해 보세요.

Screenshot that shows how to download alerts data as a CSV file.

참고 항목

이러한 보고서에는 현재 선택한 구독의 리소스에 대한 경고 및 권장 사항이 포함되어 있습니다.

이 문서에서는 권장 사항 및 경고의 연속 내보내기를 구성하는 방법을 알아보았습니다. 또한 경고 데이터를 CSV 파일로 다운로드하는 방법을 알아보았습니다.

관련 콘텐츠를 보려면: