다음을 통해 공유

Microsoft Sentinel에 위협 인텔리전스 플랫폼 연결

  • 아티클
  • 적용 대상:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

참고 항목

이 데이터 커넥터는 사용 중단 경로에 있습니다. 자세한 내용은 정확한 타임라인 게시됩니다. 앞으로 새로운 솔루션에 대해 새로운 위협 인텔리전스 업로드 표시기 API 데이터 커넥터를 사용합니다. 자세한 내용은 업로드 표시기 API를 사용하여 Microsoft Sentinel에 위협 인텔리전스 플랫폼 연결을 참조하세요.

많은 조직에서 TIP(위협 인텔리전스 플랫폼) 솔루션을 사용하여 다양한 원본에서 위협 지표 피드를 집계합니다. 집계된 피드에서 데이터는 네트워크 디바이스, EDR/XDR 솔루션 또는 SIEM(예: Microsoft Sentinel)과 같은 보안 솔루션에 적용하도록 큐레이팅됩니다. 위협 인텔리전스 플랫폼 데이터 커넥터가 있으면 이러한 솔루션을 사용하여 위협 지표를 Microsoft Sentinel로 가져올 수 있습니다.

TIP 데이터 커넥터는 Microsoft Graph Security tiIndicators API와 함께 작동하여 이 작업을 수행하므로, 이 커넥터를 사용하여 해당 API와 통신할 수 있는 사용자 지정 위협 인텔리전스 플랫폼에서 Microsoft Sentinel(및 Microsoft Defender XDR 등의 다른 Microsoft 보안 솔루션)로 지표를 보낼 수 있습니다.

위협 인텔리전스 가져오기 경로

Microsoft Sentinel의 위협 인텔리전스, 특히 Microsoft Sentinel과 통합될 수 있는 위협 인텔리전스 플랫폼 제품에 대해 자세히 알아봅니다.

참고 항목

US Government 클라우드의 기능 가용성에 대한 자세한 내용은 US Government 고객을 위한 클라우드 기능 가용성의 Microsoft Sentinel 표를 참조하세요.

Important

Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼의 공개 미리 보기의 일부로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

필수 조건

  • 콘텐츠 허브에서 독립 실행형 콘텐츠 또는 솔루션을 설치, 업데이트, 삭제하려면 리소스 그룹 수준에서 Microsoft Sentinel 기여자 역할이 있어야 합니다.
  • Microsoft Graph Security tiIndicators API에 대한 직접 통합을 사용하는 TIP 제품이나 사용자 지정 애플리케이션에 대한 권한을 부여하려면 전역 관리자 또는 보안 관리자 Microsoft Entra 역할이 있어야 합니다.
  • 위협 지표를 저장할 Microsoft Sentinel 작업 영역에 대한 읽기 및 쓰기 권한이 있어야 합니다.

지침

다음 단계에 따라 통합 TIP 또는 사용자 지정 위협 인텔리전스 솔루션에서 Microsoft Sentinel로 위협 지표를 가져옵니다.

  1. Microsoft Entra ID에서 애플리케이션 ID 및 클라이언트 암호 가져오기
  2. TIP 솔루션 또는 사용자 지정 애플리케이션에 이 정보를 입력
  3. Microsoft Sentinel에서 위협 인텔리전스 플랫폼 데이터 커넥터 사용

Microsoft Entra ID에서 애플리케이션 ID 및 클라이언트 암호 등록

TIP을 사용하든 사용자 지정 솔루션을 사용하든 관계없이 tiIndicators API를 사용하려면 피드를 연결하고 위협 지표를 보내기 위한 몇 가지 기본 정보가 필요합니다. 다음 세 가지 정보가 필요합니다.

  • 애플리케이션(클라이언트) ID
  • 디렉터리(테넌트) ID
  • 클라이언트 암호

이 정보는 앱 등록이라는 프로세스를 통해 Microsoft Entra ID에서 가져올 수 있습니다. 이 프로세스에는 다음 세 단계가 포함됩니다.

  • Microsoft Entra ID를 사용하여 앱 등록
  • 앱이 Microsoft Graph tiIndicators API에 연결하고 위협 지표를 보내기 위해 필요한 권한을 지정합니다.
  • 조직에서 동의를 받아 이 애플리케이션에 이러한 권한을 부여합니다.

Microsoft Entra ID를 사용하여 애플리케이션 등록

  1. Azure Portal에서 Microsoft Entra ID 서비스로 이동합니다.

  2. 메뉴에서 앱 등록을 선택하고 새 등록을 선택합니다.

  3. 애플리케이션 등록의 이름을 선택하고, 단일 테넌트 라디오 단추를 선택하고, 등록을 선택합니다.

    애플리케이션 등록

  4. 결과 화면에서 애플리케이션(클라이언트) ID디렉터리(테넌트) ID 값을 복사합니다. 이들은 나중에 Microsoft Sentinel에 위협 지표를 보내도록 TIP 또는 사용자 지정 솔루션을 구성하는 데 필요한 처음 두 가지 정보입니다. 세 번째로 클라이언트 암호가 필요합니다.

애플리케이션에 필요한 권한 지정

  1. Microsoft Entra ID 서비스의 기본 페이지로 돌아갑니다.

  2. 메뉴에서 앱 등록을 선택하고 새로 등록한 앱을 선택합니다.

  3. 메뉴에서 API 권한을 선택하고 권한 추가 단추를 선택합니다.

  4. API 선택 페이지에서 Microsoft Graph API를 선택한 후 Microsoft Graph 권한 목록 중에서 선택합니다.

  5. "애플리케이션에 어떤 유형의 권한이 필요한가요?" 프롬프트에서 애플리케이션 권한을 선택합니다. 이는 앱 ID 및 앱 비밀(API 키)을 사용하여 인증하는 애플리케이션에서 사용하는 유형의 권한입니다.

  6. ThreatIndicators.ReadWrite.OwnedBy를 선택하고 권한 추가를 선택하여 앱의 권한 목록에 이 권한을 추가합니다.

    권한 지정

  1. 동의를 받으려면 앱의 API 권한 페이지에서 테넌트에 대한 관리자 동의 부여 단추를 선택할 수 있는 Microsoft Entra 전역 관리자가 필요합니다. 계정에 대한 전역 관리자 역할이 없으면 이 단추를 사용할 수 없으며 조직의 전역 관리자에게 이 단계를 수행하도록 요청해야 합니다.

    동의 부여

  2. 앱에 동의가 부여되면 상태 아래에 녹색 확인 표시가 표시됩니다.

이제 앱이 등록되고 권한이 부여되었으므로 목록의 마지막 항목인 앱의 클라이언트 비밀을 가져올 수 있습니다.

  1. Microsoft Entra ID 서비스의 기본 페이지로 돌아갑니다.

  2. 메뉴에서 앱 등록을 선택하고 새로 등록한 앱을 선택합니다.

  3. 메뉴에서 인증서 및 비밀을 선택하고 새 클라이언트 암호 단추를 선택하여 앱의 암호(API 키)를 받습니다.

    클라이언트 비밀 가져오기

  4. 추가 단추 및 클라이언트 암호 복사를 선택합니다.

    Important

    이 화면을 나가기 전에 클라이언트 암호를 복사해야 합니다. 이 페이지에서 다른 곳으로 이동하는 경우 이 암호를 다시 검색할 수 없습니다. TIP 또는 사용자 지정 솔루션을 구성할 때 이 값이 필요합니다.

TIP 솔루션 또는 사용자 지정 애플리케이션에 이 정보를 입력

이제 Microsoft Sentinel에 위협 지표를 보내도록 TIP 또는 사용자 지정 솔루션을 구성하는 데 필요한 세 가지 정보가 모두 있습니다.

  • 애플리케이션(클라이언트) ID
  • 디렉터리(테넌트) ID
  • 클라이언트 암호

  1. 필요한 경우 통합 TIP 또는 사용자 지정 솔루션의 구성에 이러한 값을 입력합니다.

  2. 대상 제품의 경우 Azure Sentinel을 지정합니다. ("Microsoft Sentinel"을 지정하면 오류가 발생합니다.)

  3. 작업의 경우 경고를 지정합니다.

이 구성이 완료되면 Microsoft Sentinel을 대상으로 하는 Microsoft Graph tiIndicators API를 통해 팁 또는 사용자 지정 솔루션에서 위협 지표가 전송됩니다.

Microsoft Sentinel에서 위협 인텔리전스 플랫폼 데이터 커넥터 사용

통합 프로세스의 마지막 단계는 Microsoft Sentinel에서 위협 인텔리전스 플랫폼 데이터 커넥터를 사용하도록 설정하는 것입니다. 커넥터를 사용하도록 설정하면 Microsoft Sentinel이 TIP 또는 사용자 지정 솔루션에서 전송된 위협 지표를 받을 수 있습니다. 이러한 지표는 조직의 모든 Microsoft Sentinel 작업 영역에서 사용할 수 있습니다. 각 작업 영역에서 위협 인텔리전스 플랫폼 데이터 커넥터를 사용하도록 설정하려면 다음 단계를 수행합니다.

  1. Azure Portal의 Microsoft Sentinel에서는 콘텐츠 관리에서 콘텐츠 허브를 선택합니다.
    Defender 포털의 Microsoft Sentinel에서는, Microsoft Sentinel>콘텐츠 관리>콘텐츠 허브를 선택합니다.

  2. 위협 인텔리전스 솔루션을 찾아 선택합니다.

  3. 설치/업데이트 단추를 선택합니다.

솔루션 구성 요소를 관리하는 방법에 대한 자세한 내용은 기본 제공 콘텐츠 검색 및 배포를 참조하세요.

  1. TIP 데이터 커넥터를 구성하려면 구성>데이터 커넥터를 선택합니다.

  2. 위협 인텔리전스 플랫폼 데이터 커넥터 >커넥터 열기 페이지 단추를 찾아 선택합니다.

    TIP 데이터 커넥터가 나열된 데이터 커넥터 페이지를 표시하는 스크린샷

  3. 앱 등록을 이미 완료했고 위협 지표를 보내도록 TIP 또는 사용자 지정 솔루션을 구성했으므로 이제 남은 단계는 연결 단추를 선택하는 것입니다.

몇 분 이내에 위협 지표가 Microsoft Sentinel 작업 영역으로 흐르기 시작합니다. Microsoft Sentinel 탐색 메뉴에서 액세스할 수 있는 위협 인텔리전스 블레이드에서 새 지표를 찾을 수 있습니다.

관련 콘텐츠

이 문서에서는 위협 인텔리전스 플랫폼을 Microsoft Sentinel에 연결하는 방법을 알아보았습니다. Microsoft Sentinel에 대해 자세히 알아보려면 다음 문서를 참조하세요.