Microsoft Defender 위협 인텔리전스에 대한 데이터 커넥터 사용

• 적용 대상:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

MDTI(Microsoft Defender 위협 인텔리전스)에서 생성된 충실도 높은 IOC(침해 지표)를 Microsoft Sentinel 작업 영역으로 가져옵니다. MDTI 데이터 커넥터는 간단한 원클릭 설정으로 이러한 IOC를 수집합니다. 그런 다음 다른 피드를 활용하는 것과 같은 방식으로 위협 인텔리전스를 기반으로 모니터링, 경고 및 추적합니다.

Important

Microsoft Defender 위협 인텔리전스 데이터 커넥터는 현재 미리 보기로 제공됩니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼의 일부로 사용할 수 있습니다. 이제 Defender 포털의 Microsoft Sentinel이 프로덕션용으로 지원됩니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

필수 조건

• 콘텐츠 허브에서 독립 실행형 콘텐츠 또는 솔루션을 설치, 업데이트, 삭제하려면 리소스 그룹 수준에서 Microsoft Sentinel 기여자 역할이 있어야 합니다.
• 이 데이터 커넥터를 구성하려면 Microsoft Sentinel 작업 영역에 대한 읽기 및 쓰기 권한이 있어야 합니다.

Microsoft Sentinel에 위협 인텔리전스 솔루션 설치

MDTI의 위협 지표를 Microsoft Sentinel로 가져오려면 다음 단계를 수행합니다.

1. Azure Portal의 Microsoft Sentinel에서는 콘텐츠 관리에서 콘텐츠 허브를 선택합니다.
   Defender 포털의 Microsoft Sentinel에서는, Microsoft Sentinel>콘텐츠 관리>콘텐츠 허브를 선택합니다.

2. 위협 인텔리전스 솔루션을 찾아 선택합니다.

3. 설치/업데이트 단추를 선택합니다.

솔루션 구성 요소를 관리하는 방법에 대한 자세한 내용은 기본 제공 콘텐츠 검색 및 배포를 참조하세요.

Microsoft Defender 위협 인텔리전스 데이터 커넥터 사용

1. Azure Portal의 Microsoft Sentinel의 경우 구성 아래에서 데이터 커넥터를 선택합니다.
   Defender 포털에서 Microsoft Sentinel의 경우 Microsoft Sentinel>구성>데이터 커넥터를 선택합니다.

2. Microsoft Defender 위협 인텔리전스 데이터 커넥터 >커넥터 페이지 열기 단추를 찾아 선택합니다.

   

3. 연결 단추를 선택하여 피드 사용

   

4. MDTI 지표가 Microsoft Sentinel 작업 영역을 채우기 시작하면 커넥터 상태에 연결됨이 표시됩니다.

이제 수집된 지표를 TI 맵... 분석 규칙에 사용할 수 있습니다. 자세한 내용은 분석 규칙에서 위협 지표 사용을 참조하세요.

위협 인텔리전스 블레이드에서 또는 ThreatIntelligenceIndicator 테이블을 쿼리하여 로그에서 직접 새로운 지표를 찾을 수 있습니다. 자세한 내용은 위협 지표 작업을 참조하세요.

관련 콘텐츠

이 문서에서는 MDTI 데이터 커넥터를 사용하여 Microsoft Sentinel을 Microsoft의 위협 인텔리전스 피드에 연결하는 방법을 알아보았습니다. 위협 인텔리전스용 Microsoft Defender에 대해 자세히 알아보려면 다음 문서를 참조하세요.

• Microsoft Defender 위협 인텔리전스란?에 대해 알아봅니다.
• MDTI 커뮤니티 포털 MDTI 포털을 시작합니다.
• 일치하는 분석을 사용하여 위협 감지 분석에 MDTI를 사용합니다.