Microsoft Sentinel과 Microsoft Defender XDR 통합

Microsoft Sentinel의 Microsoft Defender XDR 인시던트 통합을 사용하면 모든 Microsoft Defender XDR 인시던트를 Microsoft Sentinel로 스트리밍하고 두 포털 간에 동기화를 유지할 수 있습니다. Microsoft Defender XDR의 인시던트에는 관련된 모든 경고, 엔터티 및 관련 정보가 포함되어 있어 Microsoft Sentinel에서 심사 및 예비 조사를 수행하기에 충분한 컨텍스트를 제공합니다. Sentinel에서는 인시던트가 Microsoft Defender XDR과 양방향 동기화된 상태로 유지되므로 인시던트 조사에서 두 포털의 이점을 모두 활용할 수 있습니다.

이러한 통합을 통해 Microsoft 365 보안 인시던트에 전체 조직의 기본 인시던트 큐의 일부로 Microsoft Sentinel 내에서 관리할 수 있는 가시성을 제공하므로 Microsoft 365 인시던트를 다른 모든 클라우드 및 온-프레미스 시스템의 인시던트와 함께 보고 상관 관계를 파악할 수 있습니다. 이와 동시에 Microsoft 365 에코시스템 전체에서 심층 조사 및 Microsoft 365 관련 환경을 위해 Microsoft Defender XDR의 고유한 강점과 기능을 활용할 수 있습니다. Microsoft Defender XDR은 여러 Microsoft 365 제품의 경고를 강화하고 그룹화함으로써 SOC의 인시던트 큐 크기를 줄이고 해결 시간을 단축시킵니다. Microsoft Defender XDR 스택의 일부인 구성 요소 서비스는 다음과 같습니다.

• 엔드포인트에 대한 Microsoft Defender
• Microsoft Defender for Identity
• Office 365용 Microsoft Defender
• Microsoft Defender for Cloud 앱
• Microsoft Defender for Cloud

Microsoft Defender XDR에서 경고를 수집하는 기타 서비스는 다음과 같습니다.

• Microsoft Purview 데이터 손실 방지(자세히 알아보기)
• Microsoft Entra ID 보호(자세히 알아보기)

이러한 구성 요소 및 기타 서비스에서 경고를 수집하는 것 외에도 Microsoft Defender XDR은 자체 경고를 생성합니다. 이러한 모든 경고에서 인시던트를 만들어 Microsoft Sentinel로 보냅니다.

일반적인 사용 사례 및 시나리오

• Microsoft Defender 포털의 통합 보안 운영 플랫폼에 Microsoft Sentinel을 온보딩하는 것은 Microsoft Defender XDR 통합을 사용하도록 설정하는 데 필요한 초기 단계입니다.

• Microsoft Defender XDR 구성 요소의 모든 경고 및 엔터티를 포함하여 Microsoft Defender XDR 인시던트를 Microsoft Sentinel에 원클릭으로 연결합니다.

• 상태, 소유자 및 종료 이유에 대한 Sentinel과 Microsoft Defender XDR 인시던트 간의 양방향 동기화를 수행합니다.

• Microsoft Sentinel에서 Microsoft Defender XDR 경고 그룹화 및 보강 기능을 적용하여 해결 시간을 단축합니다.

• Microsoft Sentinel 인시던트와 병렬 Microsoft Defender XDR 인시던트 간의 컨텍스트 내 심층 연결을 통해 두 포털에서 조사를 용이하게 합니다.

Microsoft Defender XDR 에 연결

("Microsoft Defender XDR 인시던트 및 Microsoft 인시던트 만들기 규칙"은 여기로 리디렉션됩니다.)

Microsoft Sentinel용 Microsoft Defender XDR 솔루션을 설치하고 Microsoft Defender XDR 데이터 커넥터를 사용하도록 설정하여 인시던트 및 경고를 수집합니다. Microsoft Defender XDR 인시던트는 Microsoft Defender XDR에서 생성 직후 경고 제품 이름 필드에 Microsoft Defender XDR(또는 구성 요소 서비스 이름 중 하나)과 함께 Microsoft Sentinel 인시던트 큐에 나타납니다.

• Microsoft Defender XDR에서 인시던트가 생성된 후 Microsoft Sentinel에 나타날 때까지 최대 10분 정도 걸릴 수 있습니다.

• Microsoft Defender XDR의 경고 및 인시던트(SecurityAlert 및 SecurityIncident 테이블을 채우는 항목)는 무료로 Microsoft Sentinel에 수집되어 동기화됩니다. 개별 Defender 구성 요소의 기타 모든 데이터 형식(예: 고급 헌팅 테이블 DeviceInfo, DeviceFileEvents, EmailEvents 등)의 경우 수집 요금이 청구됩니다.

• Microsoft Defender XDR 커넥터가 사용하도록 설정되면 해당 구성 요소 서비스(엔드포인트용 Defender, Defender for Identity, Office 365용 Defender, 클라우드용 Defender Apps, Microsoft Entra ID 보호)에서 만들어진 경고가 Microsoft Defender XDR로 전송되어 인시던트로 그룹화됩니다. 경고와 인시던트는 모두 Microsoft Defender XDR 커넥터를 통해 Microsoft Sentinel로 전달됩니다. 개별 구성 요소 커넥터 중 하나를 미리 사용하도록 설정한 경우 연결되어 있는 것처럼 보이지만 이를 통해 데이터가 흐르지는 않습니다.

  이 프로세스의 예외는 클라우드용 Microsoft Defender입니다. Microsoft Defender XDR과의 통합은 Defender XDR을 통해 클라우드용 Defender 인시던트를 수신한다는 것을 의미하지만 클라우드용 Defender 경고를 수신하려면 클라우드용 Microsoft Defender 커넥터도 사용하도록 설정해야 합니다. 사용 가능한 옵션과 자세한 내용은 Microsoft Defender XDR 통합을 통해 클라우드용 Microsoft Defender 인시던트 수집을 참조하세요.

• 마찬가지로, 동일한 경고에 대해 중복 인시던트가 생성되지 않도록 하려면 Microsoft Defender XDR에 연결할 때 Microsoft Defender XDR 통합 제품(엔드포인트용 Defender, Defender for Identity, Office 365용 Defender 및 클라우드용 Defender Apps, Microsoft Entra ID Protection)에 대한 모든 Microsoft 인시던트 만들기 규칙이 꺼집니다. Defender XDR에는 자체 인시던트 만들기 규칙이 있기 때문입니다. 이 변경 내용은 다음과 같은 잠재적인 영향을 미칩니다.

  • Microsoft Sentinel의 인시던트 만들기 규칙을 사용하면 인시던트를 만드는 데 사용되는 경고를 필터링할 수 있습니다. 이러한 규칙을 사용하지 않도록 설정하면 Microsoft Defender 포털에서 알림 튜닝을 구성하거나 자동화 규칙을 사용하여 발생하고 싶지 않은 인시던트를 억제(종료)함으로써 알림 필터링 기능을 유지할 수 있습니다.

  • Microsoft Defender XDR 상관 관계 엔진이 인시던트 만들기를 관장하고 만들어진 인시던트의 이름을 자동으로 지정하므로 더 이상 인시던트 제목을 미리 결정할 수 없습니다. 이 변경 내용은 인시던트 이름을 조건으로 사용하여 만든 모든 자동화 규칙에 영향을 미칠 수 있습니다. 이러한 문제를 피하려면 자동화 규칙 실행의 조건으로 인시던트 이름 이외의 기준(태그 사용 권장)을 사용합니다.

Microsoft Sentinel 및 양방향 동기화에서 Microsoft Defender XDR 인시던트 작업

Microsoft Defender XDR 인시던트는 Microsoft Sentinel 인시던트 큐에 제품 이름이 Microsoft Defender XDR이고 다른 Sentinel 인시던트와 유사한 세부 정보 및 기능이 표시됩니다. 각 인시던트에는 Microsoft Defender XDR 포털의 병렬 인시던트 링크가 포함되어 있습니다.

Microsoft Defender XDR에서 인시던트가 발전하고 더 많은 경고 또는 엔터티가 추가됨에 따라 Microsoft Sentinel 인시던트가 업데이트됩니다.

Microsoft Defender XDR 또는 Microsoft Sentinel에서 Microsoft Defender XDR 인시던트의 상태, 종료 이유 또는 할당에 대한 변경 내용은 마찬가지로 다른 인시던트 큐에 따라 업데이트됩니다. 동기화는 인시던트 변경 내용이 적용된 직후 두 포털에서 지체 없이 수행됩니다. 최신 변경 내용을 보려면 새로 고침이 필요할 수 있습니다.

Microsoft Defender XDR에서는 한 인시던트의 모든 경고를 다른 인시던트로 전송할 수 있으며, 이렇게 하면 인시던트가 병합됩니다. 이 병합이 발생하면 Microsoft Sentinel 인시던트에 변경 내용이 반영됩니다. 한 인시던트에 두 원래 인시던트의 모든 경고가 포함되고, 다른 인시던트는 자동 종결되며 "리디렉션됨" 태그가 추가됩니다.

참고 항목

Microsoft Sentinel의 인시던트는 최대 150개의 경고를 포함할 수 있습니다. Microsoft Defender XDR 인시던트에는 이보다 더 많은 일이 있을 수 있습니다. 경고가 150개를 초과하는 Microsoft Defender XDR 인시던트가 Microsoft Sentinel와 동기화될 경우, Sentinel 인시던트는 "150개 초과" 경고가 있는 것으로 표시되고 전체 경고 세트를 확인할 수 있도록 Microsoft Defender XDR의 병렬 인시던트 링크가 제공됩니다.

고급 헌팅 이벤트 수집

또한 Microsoft Defender XDR 커넥터를 사용하면 Microsoft Defender XDR 및 해당 구성 요소 서비스에서 Microsoft Sentinel로 고급 헌팅 이벤트(원시 이벤트 데이터 형식)를 스트리밍할 수 있습니다. 이제 (2022년 4월 현재)모든 Microsoft Defender XDR 구성 요소에서 고급 헌팅 이벤트를 수집하여 Microsoft Sentinel 작업 영역에서 특별히 빌드된 테이블로 바로 스트리밍할 수 있습니다. 이 테이블은 Microsoft Defender 포털에서 사용되는 것과 동일한 스키마를 기반으로 작성되므로 고급 헌팅 이벤트의 전체 세트에 대한 완전한 액세스가 제공되며 다음을 수행할 수 있습니다.

• 기존 엔드포인트/Office 365/Identity/클라우드용 Microsoft Defender 앱 고급 헌팅 쿼리를 Microsoft Sentinel에 쉽게 복사합니다.

• 원시 이벤트 로그를 사용하여 경고, 헌팅 및 조사에 대한 추가 정보를 제공하고 이러한 이벤트와 Microsoft Sentinel 내 다른 데이터 원본의 이벤트 간의 상관 관계를 파악합니다.

• Microsoft Defender XDR 또는 해당 구성 요소의 기본 보존 기간인 30일 이상으로 증가된 보존으로 로그를 저장합니다. 작업 영역의 보존을 구성하거나 Log Analytics에서 테이블당 보존을 구성하여 해당 작업을 수행할 수 있습니다.

다음 단계

이 문서에서는 Microsoft Defender XDR 커넥터를 사용하여 Microsoft Sentinel과 함께 Microsoft Defender XDR을 사용하여 이점을 가져오는 방법을 알아보았습니다.

• Microsoft Defender XDR 커넥터 사용에 대한 지침을 알아봅니다.
• 다양한 Microsoft 365 및 Azure 클라우드에서 다양한 Microsoft Defender XDR 데이터 형식의 가용성을 확인합니다.
• 사용자 지정 경고를 만들고 인시던트를 조사합니다.