클라우드용 Microsoft Defender를 Microsoft Sentinel에 연결

참고

Azure Sentinel은 이제 Microsoft Sentinel이라고 하며 앞으로 몇 주 안에 이 페이지를 업데이트할 예정입니다. 최근 Microsoft 보안 개선 사항에 대해 자세히 알아봅니다.

배경

참고

  • 클라우드용 Microsoft Defender는 이전에 Azure Security Center로 알려져 있었습니다.
  • Cloud용 Defender의 향상된 보안 기능은 이전에 Azure Defender로 통칭되었습니다.

클라우드용 Microsoft Defender의 통합 클라우드 워크로드 보호를 사용하면 하이브리드 및 다중 클라우드 워크로드에서 위협을 감지하고 신속하게 대응할 수 있습니다.

이 커넥터를 사용하면 클라우드용 Defender에서 Microsoft Sentinel로 보안 경고를 스트리밍할 수 있으므로, 더 광범위한 조직 위협 컨텍스트에서 Defender 경고와 이로 인해 생성되는 인시던트를 보고 분석하고 이에 대응할 수 있습니다.

클라우드용 Microsoft Defender의 향상된 보안 기능은 구독별로 사용하도록 설정되므로 이 데이터 커넥터는 각 구독에 대해 별도로 사용하거나 사용하지 않도록 설정됩니다.

참고

US Government 클라우드의 기능 가용성에 대한 자세한 내용은 US Government 고객을 위한 클라우드 기능 가용성의 Microsoft Sentinel 표를 참조하세요.

경고 동기화

  • 클라우드용 Microsoft Defender를 Microsoft Sentinel에 연결하면 Microsoft Sentinel로 수집된 보안 경고의 상태가 두 서비스 간에 동기화됩니다. 예를 들어 클라우드용 Defender에서 경고가 닫히면 해당 경고는 Microsoft Sentinel에서도 닫힘으로 표시됩니다.

  • 클라우드용 Defender에서 경고 상태를 변경하면 Microsoft Sentinel 경고를 포함하는 Microsoft Sentinel 인시던트의 상태에 영향을 미치지 않고 경고 자체에만 영향을 미칩니다.

양방향 경고 동기화

  • 양방향 동기화를 사용으로 설정하면 원래 보안 경고의 상태가 해당 경고를 포함하는 Microsoft Sentinel 인시던트의 상태와 자동으로 동기화됩니다. 예를 들어 보안 경고가 포함된 Microsoft Sentinel 인시던트가 닫히면 해당 원래 경고가 클라우드용 Microsoft Defender에서 자동으로 닫힙니다.

필수 구성 요소

  • Microsoft Sentinel 작업 영역에 대한 읽기/쓰기 권한이 있어야 합니다.

  • 스트리밍할 로그의 구독에 보안 읽기 권한자 역할이 있어야 합니다.

  • 커넥터를 사용으로 설정할 구독마다 클라우드용 Microsoft Defender 내에서 하나 이상의 플랜을 사용으로 설정해야 합니다. 구독에서 Microsoft Defender 플랜을 사용으로 설정하려면 해당 구독에 대한 보안 관리자 역할이 있어야 합니다.

  • 양방향 동기화를 사용으로 설정하려면 관련 구독에 대한 기여자 또는 보안 관리자 역할이 있어야 합니다.

클라우드용 Microsoft Defender에 연결

  1. Microsoft Sentinel의 탐색 메뉴에서 데이터 커넥터를 선택합니다.

  2. 데이터 커넥터 갤러리에서 클라우드용 Microsoft Defender를 선택하고 세부 정보 창에서 커넥터 페이지 열기를 선택합니다.

  3. 구성에서 테넌트에 있는 구독 목록과 클라우드용 Microsoft Defender에 대한 연결 상태가 표시됩니다. 경고를 Microsoft Sentinel로 스트리밍하려는 각 구독 옆에 있는 상태 토글을 선택합니다. 여러 구독을 한 번에 연결하려면 관련 구독 옆에 있는 확인란을 표시한 다음 목록 위의 표시줄에서 연결 단추를 선택하여 수행할 수 있습니다.

    참고

    • 확인란과 연결 토글은 필요한 권한이 있는 구독에서만 활성입니다.
    • 연결 단추는 하나 이상의 구독 확인란이 표시된 경우에만 활성입니다.
  4. 구독에서 양방향 동기화를 사용으로 설정하려면 목록에서 구독을 찾고 양방향 동기화 열의 드롭다운 목록에서 사용을 선택합니다. 한 번에 여러 구독에서 양방향 동기화를 사용으로 설정하려면 해당 확인란을 표시하고 목록 위의 표시줄에서 양방향 동기화 사용 단추를 선택합니다.

    참고

    • 확인란과 드롭다운 목록은 필수 권한이 있는 구독에서만 활성입니다.
    • 양방향 동기화 사용 단추는 하나 이상의 구독 확인란이 표시된 경우에만 활성입니다.
  5. 목록의 Microsoft Defender 플랜 열에서 구독에서 Microsoft Defender 플랜이 사용하도록 설정되어 있는지 확인할 수 있습니다(커넥터를 사용하도록 설정하기 위한 필수 조건). 이 열의 각 구독에 대한 값은 비어 있습니다(Defender 플랜이 활성화되지 않음), "모두 사용됨" 또는 "일부 사용". "일부 사용"이라는 항목에는 선택할 수 있는 모두 사용 링크가 있습니다. 그러면 해당 구독에 대한 클라우드용 Microsoft Defender 구성 대시보드로 이동되며, 여기서 사용하도록 설정할 Defender 플랜을 선택할 수 있습니다. 목록 위의 표시줄에 있는 모든 구독에 대해 Microsoft Defender 사용 링크 단추를 누르면 Microsoft Defender를 모두 사용으로 설정할 구독을 선택할 수 있는 클라우드용 Microsoft Defender 시작하기 페이지로 이동합니다.

    Screenshot of Microsoft Defender for Cloud connector configuration

  6. 클라우드용 Microsoft Defender의 경고가 Microsoft Sentinel에서 인시던트를 자동으로 생성하도록 설정할지 여부를 선택할 수 있습니다. 인시던트 만들기에서 사용을 선택하여 경고에서 인시던트를 자동으로 생성하는 기본 분석 규칙을 설정합니다. 그런 다음, 활성 규칙 탭의 분석에서 이 규칙을 편집할 수 있습니다.

    클라우드용 Microsoft Defender의 경고에 대한 사용자 지정 분석 규칙을 구성할 때 정보 경고에 대한 인시던트가 열리지 않도록 경고 심각도를 고려합니다.

    클라우드용 Microsoft Defender의 정보 경고는 그 자체로 보안 위험을 나타내지 않으며 기존의 미해결 인시던트의 컨텍스트에서만 관련이 있습니다. 자세한 내용은 클라우드용 Microsoft Defender의 보안 경고 및 인시던트를 참조하세요.

데이터 찾기 및 분석

참고

‘양방향’ 경고 동기화는 몇 분이 소요될 수 있습니다. 경고 상태의 변경 내용이 즉시 표시되지 않을 수 있습니다.

  • 보안 경고는 Log Analytics 작업 영역의 SecurityAlert 표에 저장됩니다.

  • Log Analytics에서 보안 경고를 쿼리하려면 다음을 시작점으로 쿼리 창에 복사합니다.

    SecurityAlert 
    | where ProductName == "Azure Security Center"
    
  • 유용한 추가 샘플 쿼리, 분석 규칙 템플릿 및 권장 통합 문서는 커넥터 페이지의 다음 단계 탭을 참조하세요.

다음 단계

이 문서에서는 클라우드용 Microsoft Sentinel를 Microsoft Sentinel에 연결하고 둘 사이에 경고를 동기화하는 방법을 알아보았습니다. Microsoft Sentinel에 대해 자세히 알아보려면 다음 문서를 참조하세요.