Microsoft Sentinel 데이터 커넥터

• 적용 대상:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel을 작업 영역에 온보딩한 후 데이터 커넥터를 사용하여 Microsoft Sentinel에 데이터 수집을 시작할 수 있습니다. Microsoft Sentinel은 실시간으로 통합하는 Microsoft 서비스용 커넥터와 함께 제공됩니다. 예를 들어 Microsoft Defender XDR 커넥터는 Office 365, Microsoft Entra ID, Microsoft Defender for Identity 및 클라우드용 Microsoft Defender 앱의 데이터를 통합하는 서비스 간 커넥터입니다.

기본 제공 커넥터를 사용하면 타사 제품에 대해 광범위한 보안 에코시스템에 연결할 수 있습니다. 예를 들어 Syslog, CEF(Common Event Format) 또는 REST API를 사용하여 Microsoft Sentinel에 데이터 원본을 연결합니다.

참고 항목

US Government 클라우드의 기능 가용성에 대한 자세한 내용은 US Government 고객을 위한 클라우드 기능 가용성의 Microsoft Sentinel 표를 참조하세요.

Important

Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼의 공개 미리 보기의 일부로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

솔루션과 함께 제공되는 데이터 커넥터

Microsoft Sentinel 솔루션은 데이터 커넥터, 통합 문서, 분석 규칙, 플레이북 등을 비롯한 보안 콘텐츠 패키지를 제공합니다. 데이터 커넥터를 사용하여 솔루션을 배포하는 경우 동일한 배포에서 관련 콘텐츠와 함께 데이터 커넥터를 가져옵니다.

Microsoft Sentinel 데이터 커넥터 페이지에 설치된 데이터 커넥터 또는 사용 중인 데이터 커넥터가 나열됩니다.

Azure Portal

Defender 포털

데이터 커넥터를 더 추가하려면 콘텐츠 허브에서 데이터 커넥터와 연결된 솔루션을 설치합니다. 자세한 내용은 다음 문서를 참조하세요.

• Microsoft Sentinel 데이터 커넥터 찾기
• Microsoft Sentinel 콘텐츠 및 솔루션 정보
• 기본적으로 제공되는 Microsoft Sentinel 콘텐츠 발견 및 관리
• Microsoft Sentinel 콘텐츠 허브 카탈로그
• Microsoft Sentinel용 ASIM(고급 보안 정보 모델) 기반 도메인 솔루션

데이터 커넥터를 위한 REST API 통합

많은 보안 기술은 로그 파일을 검색하기 위한 API 집합을 제공합니다. 일부 데이터 원본은 이러한 API를 사용하여 Microsoft Sentinel에 연결할 수 있습니다.

API를 사용하는 데이터 커넥터는 다음 섹션에 설명된 대로 공급자 쪽에서 통합하거나 Azure Functions를 사용하여 통합합니다.

공급자 쪽의 통합

공급자가 빌드한 API 통합은 공급자 데이터 원본에 연결하고 Azure Monitor 데이터 수집기 API를 사용하여 Microsoft Sentinel 사용자 지정 로그 테이블에 데이터를 푸시합니다. 자세한 내용은 HTTP 데이터 수집기 API로 Azure Monitor에 로그 데이터 전송을 참조하세요.

REST API 통합에 대해 알아보려면 공급자 설명서와 데이터 원본을 Microsoft Sentinel의 REST-API에 연결하여 데이터 수집을 참조하세요.

Azure Functions를 사용하는 통합

Azure Functions를 사용하여 공급자 API에 연결하는 통합에서는 먼저 데이터의 서식을 지정한 다음, Azure Monitor 데이터 수집기 API를 사용하여 Microsoft Sentinel 사용자 지정 로그 테이블로 데이터를 전송합니다.

자세한 내용은 다음을 참조하세요.

• HTTP 데이터 수집기 API를 사용하여 Azure Monitor에 로그 데이터 전송
• Azure Functions를 사용하여 데이터 원본을 Microsoft Sentinel에 연결
• Azure Functions 설명서

Azure 조직에서 Azure Functions를 호스팅하기 때문에 Azure Functions를 사용하는 통합에는 추가 데이터 수집 비용이 있을 수 있습니다. Azure Functions 가격 책정에 대해 자세히 알아봅니다.

데이터 커넥터를 위한 에이전트 기반 통합

Microsoft Sentinel은 Syslog 프로토콜을 사용하여 에이전트를 실시간 로그 스트리밍을 수행할 수 있는 데이터 원본에 연결할 수 있습니다. 예를 들어 대부분의 온-프레미스 데이터 원본은 에이전트 기반 통합을 사용하여 연결합니다.

다음 섹션에서는 다양한 유형의 Microsoft Sentinel 에이전트 기반 데이터 커넥터에 대해 설명합니다. 각 Microsoft Sentinel 데이터 커넥터 페이지의 단계에 따라 에이전트 기반 메커니즘을 사용하여 연결을 구성합니다.

syslog

AMA(Azure Monitor 에이전트)를 사용하여 Linux 기반 Syslog 지원 디바이스에서 Microsoft Sentinel로 이벤트를 스트리밍할 수 있습니다. 디바이스 유형에 따라 에이전트는 디바이스에 직접 설치되거나 전용 Linux 기반 로그 전달자에 설치됩니다. AMA는 UDP를 통해 Syslog 디먼에서 이벤트를 받습니다. Syslog 디먼은 내부적으로 에이전트에 이벤트를 전달하여 UDS(Unix 도메인 소켓)를 통해 통신합니다. 그런 다음 AMA는 이러한 이벤트를 Microsoft Sentinel 작업 영역으로 전송합니다.

다음은 Microsoft Sentinel이 Syslog 데이터를 스트리밍하는 방법을 보여 주는 간단한 흐름입니다.

1. 디바이스의 기본 제공 Syslog 디먼은 지정된 형식의 로컬 이벤트를 수집하고 이벤트를 로컬로 에이전트에 전달합니다.
2. 에이전트는 이벤트를 Log Analytics 작업 영역으로 스트리밍합니다.
3. 성공적으로 구성되면 데이터가 Log Analytics Syslog 테이블에 나타납니다.

자세한 내용은 자습서: Azure Monitor 에이전트를 사용하여 Microsoft Sentinel을 사용하여 Log Analytics 작업 영역에 Syslog 데이터 전달을 참조하세요.

CEF(Common Event Format)

로그 형식은 다양하지만 대부분의 원본은 CEF 기반 형식을 지원합니다. 실제로 Log Analytics 에이전트인 Microsoft Sentinel 에이전트는 CEF 형식의 로그를 Log Analytics에서 수집할 수 있는 형식으로 변환합니다.

CEF에서 데이터를 내보내는 데이터 원본의 경우 Syslog 에이전트를 설정하고 CEF 데이터 흐름을 구성합니다. 성공적으로 구성되면 데이터가 CommonSecurityLog 테이블에 나타납니다.

자세한 내용은 디바이스 또는 어플라이언스에서 CEF 형식 로그를 Microsoft Sentinel로 가져오기를 참조하세요.

사용자 지정 로그

일부 데이터 원본의 경우 Log Analytics 사용자 지정 로그 컬렉션 에이전트를 사용하여 Windows 또는 Linux 컴퓨터에서 로그를 파일로 수집할 수 있습니다.

각 Microsoft Sentinel 데이터 커넥터 페이지의 단계에 따라 Log Analytics 사용자 지정 로그 수집 에이전트를 사용하여 연결합니다. 성공적으로 구성되면 데이터가 사용자 지정 테이블에 나타납니다.

자세한 내용은 Log Analytics 에이전트를 사용하여 Microsoft Sentinel에 사용자 지정 로그 형식의 데이터 수집을 참조하세요.

데이터 커넥터를 위한 서비스 간 통합

Microsoft Sentinel은 Azure 기반을 사용하여 Microsoft 서비스와 Amazon Web Services에 대해 즉시 사용 가능한 서비스 간 지원을 제공합니다.

자세한 내용은 다음 문서를 참조하세요.

• Microsoft Sentinel을 Azure, Windows, Microsoft 및 Amazon 서비스에 연결
• Microsoft Sentinel 데이터 커넥터 찾기

데이터 커넥터 지원

Microsoft와 다른 조직에서 모두 Microsoft Sentinel 데이터 커넥터를 작성합니다. 각 데이터 커넥터에는 Microsoft Sentinel의 데이터 커넥터 페이지에 나열된 다음 지원 유형 중 하나가 있습니다.

지원 유형	설명
Microsoft 지원	적용 대상: Microsoft가 데이터 공급자이자 작성자인 데이터 원본에 대한 데이터 커넥터. 타사 데이터 원본에 대해 Microsoft가 작성한 일부 데이터 커넥터. Microsoft는 Microsoft Azure 지원 플랜에 따라 이 범주의 데이터 커넥터를 지원하고 유지 관리합니다. Microsoft 이외의 당사자가 작성한 파트너 또는 커뮤니티 지원 데이터 커넥터를 지원합니다.
파트너 지원	Microsoft 이외의 당사자가 작성한 데이터 커넥터에 적용됩니다. 파트너 회사는 이러한 데이터 커넥터에 대한 지원 또는 유지 관리를 제공합니다. 파트너 회사는 독립 소프트웨어 공급업체, 관리형 서비스 공급자(MSP/MSSP), SI(시스템 통합자) 또는 해당 데이터 커넥터의 Microsoft Sentinel 페이지에 연락처 정보가 제공된 모든 조직일 수 있습니다. 파트너 지원 데이터 커넥터와 관련된 문제는 지정된 데이터 커넥터 지원 담당자에게 문의하세요.
커뮤니티 지원	Microsoft Sentinel의 데이터 커넥터 페이지에 데이터 커넥터 지원 및 유지 관리를 위한 연락처가 나열되지 않은 파트너 개발자 또는 Microsoft가 작성한 데이터 커넥터에 적용됩니다. 해당 데이터 커넥터와 관련된 질문이나 이슈가 있는 경우 Microsoft Sentinel GitHub 커뮤니티에서 이슈를 제출할 수 있습니다.

자세한 내용은 데이터 커넥터 지원 찾기를 참조하세요.

다음 단계

데이터 커넥터에 대한 자세한 내용은 다음 문서를 참조하세요.

• 데이터 커넥터를 사용하여 Microsoft Sentinel에 데이터 원본 연결
• Microsoft Sentinel 데이터 커넥터 찾기
• Microsoft Sentinel 사용자 지정 커넥터를 만들기 위한 리소스

Microsoft Sentinel에 데이터 커넥터를 배포하기 위한 Bicep, Azure Resource Manager, Terraform의 기본 IaC(Infrastructure as Code) 참조는 Microsoft Sentinel 데이터 커넥터 IaC 참조를 참조하세요.