다음을 통해 공유

STIX/TAXII 위협 인텔리전스 피드에 Microsoft Sentinel 연결

  • 아티클
  • 적용 대상:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

위협 인텔리전스 전송을 위한 가장 널리 채택된 업계 표준은 STIX 데이터 형식과 TAXII 프로토콜의 조합입니다. 조직이 현재 STIX/TAXII 버전(2.0 또는 2.1)을 지원하는 솔루션에서 위협 지표를 가져오는 경우 위협 인텔리전스 - TAXII 데이터 커넥터를 사용하여 위협 지표를 Microsoft Sentinel로 가져올 수 있습니다. 이 커넥터를 사용하면 Microsoft Sentinel의 기본 제공 TAXII 클라이언트가 TAXII 2.x 서버에서 위협 인텔리전스를 가져올 수 있습니다.

TAXII 가져오기 경로

TAXII 서버의 STIX 형식 위협 지표를 Microsoft Sentinel로 가져오려면 TAXII 서버 API 루트 및 컬렉션 ID를 가져온 다음, Microsoft Sentinel에서 위협 인텔리전스 - TAXII 데이터 커넥터를 사용하도록 설정해야 합니다.

Microsoft Sentinel의 위협 인텔리전스, 특히 Microsoft Sentinel과 통합될 수 있는 TAXII 위협 인텔리전스 피드에 대해 자세히 알아봅니다.

참고 항목

US Government 클라우드의 기능 가용성에 대한 자세한 내용은 US Government 고객을 위한 클라우드 기능 가용성의 Microsoft Sentinel 표를 참조하세요.

Important

Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼의 일부로 사용할 수 있습니다. 이제 Defender 포털의 Microsoft Sentinel이 프로덕션용으로 지원됩니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

참고 항목: Microsoft Sentinel에 TIP(위협 인텔리전스 플랫폼) 연결

필수 조건

  • 콘텐츠 허브에서 독립 실행형 콘텐츠 또는 솔루션을 설치, 업데이트, 삭제하려면 리소스 그룹 수준에서 Microsoft Sentinel 기여자 역할이 있어야 합니다.
  • 위협 지표를 저장할 Microsoft Sentinel 작업 영역에 대한 읽기 및 쓰기 권한이 있어야 합니다.
  • TAXII 2.0 또는 TAXII 2.1 API 루트 URI컬렉션 ID가 있어야 합니다.

TAXII 서버 API 루트 및 컬렉션 ID 가져오기

TAXII 2.x 서버는 위협 인텔리전스의 컬렉션을 호스트하는 URL인 API 루트를 보급합니다. 일반적으로 TAXII 서버를 호스팅하는 위협 인텔리전스 공급자의 설명서 페이지에서 API 루트 및 컬렉션 ID를 찾을 수 있습니다.

참고 항목

경우에 따라 공급자는 검색 엔드포인트라는 URL만 보급합니다. cURL 유틸리티를 사용하여 검색 엔드포인트를 찾아보고 API 루트를 요청할 수 있습니다.

Microsoft Sentinel에 위협 인텔리전스 솔루션 설치

TAXII 서버의 위협 지표를 Microsoft Sentinel로 가져오려면 다음 단계를 수행합니다.

  1. Azure Portal의 Microsoft Sentinel에서는 콘텐츠 관리에서 콘텐츠 허브를 선택합니다.
    Defender 포털의 Microsoft Sentinel에서는, Microsoft Sentinel>콘텐츠 관리>콘텐츠 허브를 선택합니다.

  2. 위협 인텔리전스 솔루션을 찾아 선택합니다.

  3. 설치/업데이트 단추를 선택합니다.

솔루션 구성 요소를 관리하는 방법에 대한 자세한 내용은 기본 제공 콘텐츠 검색 및 배포를 참조하세요.

위협 인텔리전스 사용 - TAXII 데이터 커넥터

  1. TAXII 데이터 커넥터를 구성하려면 데이터 커넥터 메뉴를 선택합니다.

  2. 위협 인텔리전스 - TAXII 데이터 커넥터 >커넥터 열기 페이지 단추를 찾아 선택합니다.

    TAXII 데이터 커넥터가 나열된 데이터 커넥터 페이지를 표시하는 스크린샷

  3. 이 TAXII 서버 컬렉션에 사용할 친숙한 이름, API 루트 URL, 컬렉션 ID, 사용자 이름(필요한 경우) 및 암호(필요한 경우)를 입력하고, 지표의 그룹 및 원하는 폴링 빈도를 선택합니다. 추가 단추를 선택합니다.

    TAXII 서버 구성

TAXII 서버에 대한 연결이 성공적으로 설정되었다는 확인 메시지가 표시되고, 하나 이상의 TAXII 서버에서 여러 컬렉션에 연결하기 위해 원하는 횟수만큼 위의 마지막 단계를 반복할 수 있습니다.

몇 분 이내에 위협 지표가 Microsoft Sentinel 작업 영역으로 흐르기 시작합니다. Microsoft Sentinel 탐색 메뉴에서 액세스할 수 있는 위협 인텔리전스 블레이드에서 새 지표를 찾을 수 있습니다.

Microsoft Sentinel TAXII 클라이언트에 대한 IP 허용 목록

FS-ISAC와 같은 일부 TAXII 서버는 Microsoft Sentinel TAXII 클라이언트의 IP 주소를 허용 목록에 유지해야 합니다. 대부분의 TAXII 서버에는 이 요구 사항이 없습니다.

해당하는 경우 허용 목록에 포함할 IP 주소는 다음과 같습니다.

  • 20.193.17.32
  • 20.197.219.106
  • 20.48.128.36
  • 20.199.186.58
  • 40.80.86.109
  • 52.158.170.36
  • 20.52.212.85
  • 52.251.70.29
  • 20.74.12.78
  • 20.194.150.139
  • 20.194.17.254
  • 51.13.75.153
  • 102.133.139.160
  • 20.197.113.87
  • 40.123.207.43
  • 51.11.168.197
  • 20.71.8.176
  • 40.64.106.65

관련 콘텐츠

이 문서에서는 TAXII 프로토콜을 사용하여 위협 인텔리전스 피드에 Microsoft Sentinel을 연결하는 방법을 알아보았습니다. Microsoft Sentinel에 대해 자세히 알아보려면 다음 문서를 참조하세요.