Microsoft Sentinel에서 보강 위젯 사용
보강 위젯은 엔터티에 대한 심층적이고 실행 가능한 인텔리전스를 제공하는 동적 구성 요소입니다. 다양한 원본의 외부 및 내부 콘텐츠와 데이터를 통합하여 잠재적인 보안 위협을 더 잘 이해할 수 있습니다.
이 문서에서는 보강 위젯 환경을 사용하도록 설정하여 이 새로운 기능을 활용하고 더 빠르고 더 나은 결정을 내리도록 지원하는 방법을 보여줍니다.
Important
보강 위젯은 현재 미리 보기 상태입니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.
보강 위젯 사용
위젯이 데이터 원본에 액세스하고 연결을 유지하려면 자격 증명을 사용해야 합니다. 이러한 자격 증명은 API 키, 사용자 이름/암호 또는 기타 비밀 형식일 수 있으며 이 목적을 위해 만든 전용 Azure Key Vault에 저장됩니다.
사용자 환경에서 이 Key Vault를 만들려면 작업 영역의 리소스 그룹에 대한 기여자 역할이 있어야 합니다.
Microsoft Sentinel은 보강 위젯을 위한 Key Vault를 만드는 프로세스를 자동화했습니다. 위젯 환경을 사용하도록 설정하려면 다음 두 단계를 수행합니다.
1단계: 자격 증명을 저장할 전용 Key Vault 만들기
Microsoft Sentinel 탐색 메뉴에서 엔터티 동작을 선택합니다.
엔터티 동작 페이지의 도구 모음에서 보강 위젯(미리 보기)을 선택합니다.
위젯 온보딩 페이지에서 Key Vault 만들기를 선택합니다.
Key Vault 배포가 진행 중일 때 Azure Portal 알림이 표시되고 완료되면 다시 한번 표시됩니다.
이때 Key Vault 만들기 단추가 회색으로 표시되고 그 옆에 새 키 자격 증명 모음의 이름이 링크로 표시됩니다. 링크를 선택하여 키 자격 증명 모음의 페이지에 액세스할 수 있습니다.
또한 이전에 회색으로 표시되었던 2단계 - 자격 증명 추가 섹션을 이제 사용할 수 있습니다.
2단계: 위젯의 Key Vault에 관련 자격 증명 추가
사용 가능한 모든 위젯에서 액세스하는 데이터 원본은 위젯 온보딩 페이지의 2단계 - 자격 증명 추가 아래에 나열됩니다. 각 데이터 원본의 자격 증명은 한 번에 하나씩 추가해야 합니다. 이렇게 하려면 각 데이터 원본에 대해 다음 단계를 수행합니다.
지정된 데이터 원본에 대한 자격 증명을 찾거나 만드는 방법은 아래 섹션의 지침을 참조하세요. (또는 지정된 데이터 원본에 대한 위젯 온보딩 페이지에서 자격 증명 찾기 링크를 선택하면 아래의 동일한 지침으로 리디렉션됩니다.) 자격 증명이 있으면 따로 복사하고 다음 단계로 진행합니다.
해당 데이터 원본에 대한 자격 정보 추가를 선택합니다. 사용자 지정 배포 마법사가 페이지의 오른쪽에 있는 측면 패널에서 열립니다.
구독, 리소스 그룹, 지역 및 Key Vault 이름 필드는 모두 미리 채워져 있으므로 편집할 이유가 없습니다.
사용자 지정 배포 마법사의 관련 필드(API 키, 사용자 이름, 암호 등)에 저장한 자격 증명을 입력합니다.
검토 + 만들기를 선택합니다.
검토 + 만들기 탭에는 구성 요약과 계약 조건이 표시됩니다.
참고 항목
만들기를 선택하여 약관을 승인하고 비밀을 만들기 전에 현재 브라우저 탭을 복제한 다음, 새 탭에서 만들기를 선택하는 것이 좋습니다. 지금은 비밀을 만들면 Microsoft Sentinel 컨텍스트 외부에서 Key Vault 컨텍스트로 이동하게 되므로(직접 돌아갈 수 없음) 이 방법을 사용하는 것이 좋습니다. 이렇게 하면 위젯 온보딩 페이지에 이전 탭이 남아 있고 키 자격 증명 모음 비밀을 관리하기 위한 새 탭이 유지됩니다.
만들기를 선택하여 약관을 승인하고 비밀을 만듭니다.
배포가 완료되었다는 메시지와 함께 새 비밀에 대한 새 페이지가 표시됩니다.
위젯 온보딩 페이지(원래 브라우저 탭)로 돌아갑니다.
(위의 참고에서 지시한 대로 브라우저 탭을 복제하지 않은 경우 새 브라우저 탭을 열고 위젯 온보딩 페이지로 돌아갑니다.)
새 비밀이 키 자격 증명 모음에 추가되었는지 확인합니다.
- 위젯 전용 키 자격 증명 모음을 엽니다.
- 키 자격 증명 모음 탐색 메뉴에서 비밀을 선택합니다.
- 위젯 원본의 비밀이 목록에 추가되었는지 확인합니다.
각 위젯 원본에 대한 자격 증명 찾기
이 섹션에는 각 위젯의 데이터 원본에 대한 자격 증명을 만들거나 찾기 위한 지침이 포함되어 있습니다.
참고 항목
모든 위젯 데이터 원본에 액세스하기 위해 Microsoft Sentinel에 대한 자격 증명이 필요한 것은 아닙니다.
Virus Total에 대한 자격 증명
Virus Total 계정에 정의된 API 키를 입력합니다. API 키를 받으려면 무료 Virus Total 계정에 등록하세요.
만들기를 선택하고 위 2단계의 단락 6에 설명된 대로 템플릿을 배포하면 "Virus Total"이라는 비밀이 키 자격 증명 모음에 추가됩니다.
AbuseIPDB에 대한 자격 증명
AbuseIPDB 계정에 정의된 API 키를 입력합니다. API 키를 받으려면 무료 AbuseIPDB 계정에 등록하세요.
만들기를 선택하고 위 2단계의 단락 6에 설명된 대로 템플릿을 배포하면 "AbuseIPDB"라는 비밀이 키 자격 증명 모음에 추가됩니다.
Anomali에 대한 자격 증명
Anomali 계정에 정의된 사용자 이름과 API 키를 입력합니다.
만들기를 선택하고 위 2단계의 단락 6에 설명된 대로 템플릿을 배포하면 "Anomali"라는 비밀이 키 자격 증명 모음에 추가됩니다.
Recorded Future에 대한 자격 증명
Recorded Future API 키를 입력합니다. API 키를 얻으려면 Recorded Future 담당자에게 문의하세요. Sentinel 사용자를 위한 30일 무료 평가판을 신청할 수도 있습니다.
만들기를 선택하고 위 2단계의 단락 6에 설명된 대로 템플릿을 배포하면 "Recorded Future"라는 비밀이 키 자격 증명 모음에 추가됩니다.
Microsoft Defender 위협 인텔리전스에 대한 자격 증명
관련 Microsoft Defender 위협 인텔리전스 라이선스가 있는 경우 Microsoft Defender 위협 인텔리전스 위젯이 자동으로 데이터를 가져옵니다. 자격 증명이 필요하지 않습니다.
적절한 라이선스가 없으면 Microsoft 보안 팀에 문의하여 지침을 확인하세요.
새 위젯을 사용할 수 있게 되면 추가
Microsoft Sentinel은 다양한 위젯 컬렉션을 제공하여 준비되는 대로 사용할 수 있도록 합니다. 새 위젯을 사용할 수 있게 되면 해당 데이터 원본이 위젯 온보딩 페이지의 목록에 추가됩니다(아직 목록에 없는 경우). 새로 사용 가능한 위젯 공지 사항이 표시되면 위젯 온보딩 페이지에서 아직 자격 증명이 구성되지 않은 새 데이터 원본을 다시 확인합니다. 구성하려면 위의 2단계를 따르세요.
위젯 환경 제거
Microsoft Sentinel에서 위젯 환경을 제거하려면 위 1단계에서 만든 Key Vault를 삭제하면 됩니다.
문제 해결
위젯 구성의 오류
위젯 중 하나에 위젯 구성에 대한 오류 메시지가 표시되는 경우(예: 다음 스크린샷에 표시됨) 위 구성 지침과 위젯에 대한 특정 지침을 따랐는지 확인합니다.
Key Vault를 만들지 못함
Key Vault를 만들 때 오류 메시지가 표시되면 다음과 같은 여러 가지 이유가 있을 수 있습니다.
리소스 그룹에 기여자 역할이 없습니다.
구독이 Key Vault 리소스 공급자에 등록되지 않았습니다.
Key Vault에 비밀을 배포하지 못함
위젯 데이터 원본에 대한 비밀을 배포할 때 오류 메시지가 표시되면 다음을 확인합니다.
원본 자격 증명을 올바르게 입력했는지 확인합니다.
제공된 ARM 템플릿이 변경되었을 수 있습니다.
다음 단계
이 문서에서는 엔터티 페이지에서 데이터 시각화에 위젯을 사용하도록 설정하는 방법을 알아보았습니다. 엔터티 페이지 및 엔터티 정보가 표시되는 기타 위치에 대한 자세한 내용은 다음을 참조하세요.