고급 헌팅 이벤트를 Azure Event Hub로 스트리밍하도록 Microsoft Defender XDR 구성

적용 대상:

• Microsoft Defender XDR

참고

MS Graph 보안 API를 사용하여 새 API를 사용해 보세요. 자세한 정보: Microsoft Graph 보안 API 사용 - Microsoft Graph | Microsoft Learn.

중요

이 게시물의 일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공되는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 하지 않습니다.

필수 구성 요소

Event Hubs로 데이터를 스트리밍하도록 Microsoft Defender XDR을 구성하기 전에 다음 필수 구성 요소가 충족되는지 확인합니다.

1. Event Hubs를 만듭니다(자세한 내용은 Event Hubs 설정을 참조하세요).

2. Event Hubs 네임스페이스 만들기(자세한 내용은 Event Hubs 네임스페이스 설정을 참조하세요).

3. 이 엔터티가 Event Hubs로 데이터를 내보낼 수 있도록 기여자의 권한이 있는 엔터티에 권한을 추가합니다. 사용 권한 추가에 대한 자세한 내용은 권한 추가를 참조하세요.

참고

스트리밍 API는 Event Hubs 또는 Azure Storage 계정을 통해 통합할 수 있습니다.

원시 데이터 스트리밍 사용

1. 최소한 보안 관리자 권한으로 Microsoft Defender 포털에 로그온합니다.

중요

사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 사용 권한이 낮은 계정을 사용하면 조직의 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 매우 권한 있는 역할입니다.

2. 스트리밍 API 설정 페이지로 이동합니다.

3. 추가를 클릭합니다.

4. 새 설정의 이름을 선택합니다.

5. Azure Event Hub에 이벤트 전달을 선택합니다.

6. 이벤트 데이터를 단일 Event Hub로 내보내거나 Event Hubs 네임스페이스의 다른 Event Hubs로 각 이벤트 테이블을 내보낼지 선택할 수 있습니다.

7. 이벤트 데이터를 단일 Event Hub로 내보내려면 Event Hub 이름과 Event Hub리소스 ID를 입력합니다.

   Event Hub 리소스 ID를 가져오려면 Azure속성 탭 > 의 Azure Event Hubs 네임스페이스 페이지 > 로 이동하여 리소스 ID 아래에 있는 텍스트를 복사합니다.

   

8. 이벤트 스트리밍 API에서 지원되는 Microsoft Defender XDR 이벤트 유형으로 이동하여 Microsoft 365 스트리밍 API에서 이벤트 유형의 지원 상태를 검토합니다.

9. 스트리밍할 이벤트를 선택하고 저장을 클릭합니다.

Azure Event Hub의 이벤트 스키마

{
   "records": [
               {
                  "time": "<The time Microsoft Defender XDR received the event>"
                  "tenantId": "<The Id of the tenant that the event belongs to>"
                  "category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
                  "properties": { <Microsoft Defender XDR Advanced Hunting event as Json> }
               }
               ...
            ]
}

• Azure Event Hubs의 각 Event Hubs 메시지에는 레코드 목록이 포함됩니다.

• 각 레코드에는 이벤트 이름, Microsoft Defender XDR이 이벤트를 수신한 시간, 해당 이벤트가 속한 테넌트(테넌트에서만 이벤트를 가져올 수 있음) 및 "properties"라는 속성의 JSON 형식의 이벤트가 포함됩니다.

• Microsoft Defender XDR 이벤트의 스키마에 대한 자세한 내용은 고급 헌팅 개요를 참조하세요.

• 고급 헌팅에서 DeviceInfo 테이블에는 디바이스 그룹이 포함된 MachineGroup 이라는 열이 있습니다. 여기에서 모든 이벤트도 이 열로 데코레이트됩니다.

데이터 형식 매핑

이벤트 속성에 대한 데이터 형식을 얻으려면 다음 단계를 수행합니다.

1. Microsoft Defender XDR에 로그온하고 고급 헌팅 페이지로 이동합니다.

2. 다음 쿼리를 실행하여 각 이벤트에 대한 데이터 형식 매핑을 가져옵니다.

   {EventType}
   | getschema
   | project ColumnName, ColumnType
   

• 디바이스 정보 이벤트의 예는 다음과 같습니다.

  

초기 Event Hub 용량 예측

다음 고급 헌팅 쿼리는 이벤트/초 및 예상 MB/초를 기반으로 데이터 볼륨 처리량 및 초기 이벤트 허브 용량의 대략적인 추정치를 제공하는 데 도움이 될 수 있습니다. '실제' 처리량을 캡처하도록 정기적인 업무 시간 동안 쿼리를 실행하는 것이 좋습니다.

let bytes_ = 1000;
union withsource=MDTables MyDefenderTable // TODO: Insert desired tables one by one separated by a comma (for example: DeviceEvents, DeviceInfo) or with a wildcard (Device*)
| where Timestamp > startofday(ago(7d))
| summarize count() by bin(Timestamp, 1m), MDTables
| extend EPS = count_ /60 
| summarize avg(EPS), estimatedMBPerSec = avg(EPS) * bytes_ / (1024*1024) by MDTables, bin(Timestamp, 3h)
| summarize avg_EPS=max(avg_EPS), estimatedMBPerSec = max(estimatedMBPerSec) by MDTables
| sort by toint(estimatedMBPerSec) desc
| project MDTables, avg_EPS, estimatedMBPerSec

다른 Event Hub 제한을 확인하려면 Azure Event Hubs 할당량 및 제한을 검토합니다.

생성된 리소스 모니터링

Azure Monitor를 사용하여 스트리밍 API에서 만든 리소스를 모니터링할 수 있습니다. 자세한 내용은 Azure Monitor의 Log Analytics 작업 영역 데이터 내보내기를 참조하세요.

관련 항목

• Microsoft Graph 보안 API 사용 - Microsoft Graph | Microsoft Learn

• 고급 헌팅 개요

• Microsoft Defender XDR 스트리밍 API

• 이벤트 스트리밍 API에서 지원되는 Microsoft Defender XDR 이벤트 유형

• Microsoft Defender XDR 이벤트를 Azure Storage 계정으로 스트리밍

• Azure Event Hubs 설명서

• 연결 문제 해결 - Azure Event Hubs

팁

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community에서 Microsoft 보안 커뮤니티에 참여하세요.