연속 내보내기로 경고 및 권장 사항 내보내기

클라우드용 Microsoft Defender는 보안 데이터 연속 내보내기를 제공합니다. 이 기능을 사용하면 보안 데이터를 Azure Monitor의 Log Analytics, Azure Event Hubs 또는 다른 SIEM(보안 정보 및 이벤트 관리), SOAR(보안 오케스트레이션 자동 응답) 또는 IT 클래식 배포 모델 솔루션으로 스트리밍할 수 있습니다. Azure Monitor 로그 및 기타 Azure Monitor 기능을 사용하여 데이터를 분석하고 시각화할 수 있습니다.

연속 내보내기를 설정하면 내보낼 정보와 정보가 이동되는 위치를 완전히 사용자 지정할 수 있습니다. 예를 들면 다음과 같이 구성할 수 있습니다.

• 높은 심각도 경고를 모두 Azure 이벤트 허브로 보내도록 구성합니다.
• SQL Server를 실행하는 컴퓨터에 대한 취약성 평가 검사에서 얻은 심각도가 중간 이상인 모든 결과는 특정 Log Analytics 작업 영역으로 전송됩니다.
• 특정 권장 사항이 생성될 때마다 이벤트 허브 또는 Log Analytics 작업 영역으로 전달되도록 구성합니다.
• 제어 점수가 0.01 이상으로 변경될 때마다 구독의 보안 점수를 Log Analytics 작업 영역으로 보내도록 구성합니다.

내보낼 수 있는 데이터 형식

연속 내보내기를 사용하면 다음 데이터 형식이 변경될 때마다 내보낼 수 있습니다.

• 보안 권장 사항
  • 권장 사항 심각도입니다.
  • 보안 결과.
• 보안 점수
  • 제어.
• 보안 경고.
• 규정 준수.
• 공격 경로

권장사항 심각도, 보안 발견 항목 및 컨트롤은 상위 범주에 속하는 하위 범주입니다. 예시:

• 권장 사항 시스템 업데이트는 컴퓨터(업데이트 센터에서 전원을 공급)에 설치해야 하며 시스템 업데이트는 각각 미해결 시스템 업데이트당 하나의 하위 권장 사항이 있는 컴퓨터에 설치해야 합니다.
• 권장 사항 컴퓨터는 취약성 검색 결과를 해결해야 하며 취약성 스캐너가 식별하는 모든 취약성에 대한 ‘하위’ 권장 사항이 있어야 합니다.

참고 항목

REST API를 사용하여 연속 내보내기를 구성하는 경우 항상 결과에 부모 항목을 포함합니다.

다른 테넌트의 이벤트 허브 또는 Log Analytics 작업 영역으로 데이터 내보내기

Azure Policy를 사용하여 구성을 할당하는 경우 다른 테넌트의 Log Analytics 작업 영역으로 내보낼 데이터를 구성할 수 없습니다. 이 프로세스는 REST API를 사용하여 구성을 할당하는 경우에만 작동하며 해당 구성은 Azure Portal에서 지원되지 않습니다(다중 테넌트 컨텍스트가 필요하기 때문). Azure Lighthouse는 인증 방법으로 Azure Lighthouse를 사용할 수 있지만 Azure Policy로 이 문제를 해결하지 않습니다.

테넌트에서 데이터를 수집하면 하나의 중앙 위치에서 데이터를 분석할 수 있습니다.

다른 테넌트의 이벤트 허브 또는 Log Analytics 작업 영역으로 데이터를 내보내려면 다음을 수행합니다.

• 이벤트 허브 또는 Log Analytics 작업 영역이 있는 테넌트에서 연속 내보내기 구성을 호스팅하는 테넌트의 사용자를 초대하거나 원본 및 대상 테넌트에 대해 Azure Lighthouse를 구성할 수 있습니다.

• Microsoft Entra ID에서 B2B(Business-to-Business) 게스트 사용자 액세스를 사용하는 경우 사용자가 게스트로 테넌트에 액세스하기 위한 초대를 수락하는지 확인합니다.

• Log Analytics 작업 영역을 사용하는 경우 작업 영역 테넌트의 사용자에게 소유자, 기여자, Log Analytics 기여자, Sentinel 기여자 또는 모니터링 기여자 역할 중 하나를 할당합니다.

• Azure REST API에 대한 요청을 만들고 제출하여 필요한 리소스를 구성합니다. 로컬(작업 영역) 테넌트와 원격(연속 내보내기) 테넌트의 컨텍스트 모두에서 전달자 토큰을 관리해야 합니다.

Log Analytics 작업 영역으로 내보냅니다.

Log Analytics 작업 영역 내의 클라우드용 Microsoft Defender 데이터를 분석하거나 Azure 경고를 클라우드용 Defender 알림과 함께 사용하려면, Log Analytics 작업 영역으로 연속 내보내기를 설정합니다.

Log Analytics 테이블 및 스키마

보안 경고 및 권장 사항은 SecurityAlert 및 SecurityRecommendation 테이블에 각각 저장됩니다.

이러한 테이블을 포함하는 Log Analytics 솔루션의 이름은 보안 강화 기능(보안(보안 및 감사 솔루션) 또는 SecurityCenterFree)을 사용하도록 설정했는지 여부에 따라 달라집니다.

팁

대상 작업 영역에서 데이터를 보려면 이러한 솔루션, 즉 보안 및 감사 또는 SecurityCenterFree 중 하나를 사용해야 합니다.

내보낸 데이터 형식의 이벤트 스키마를 보려면 Log Analytics 테이블 스키마를 참조하세요.

관련 콘텐츠

• Azure Portal에서 연속 내보내기 설정
• REST API를 사용하여 연속 내보내기 설정
• Azure Policy를 사용하여 연속 내보내기 설정