모니터링 솔루션에 대한 경고 스트리밍

  • 아티클

클라우드용 Microsoft Defender는 다양한 SIEM(보안 정보 및 이벤트 관리), SOAR(보안 오케스트레이션 자동화 응답) 및 ITSM(IT 서비스 관리) 솔루션으로 보안 경고를 스트리밍할 수 있습니다. 리소스에서 위협이 감지되면 보안 경고가 생성됩니다. 클라우드용 Defender는 문제를 신속하게 조사하는 데 필요한 추가 정보와 함께 경고 페이지의 경고 우선순위를 지정하고 나열합니다. 검색된 위협을 수정하는 데 도움이 되는 자세한 단계가 제공됩니다. 모든 경고 데이터는 90일 동안 보존됩니다.

다음 솔루션에서 경고 데이터를 볼 수 있도록 하는 기본 제공 Azure 도구가 있습니다.

  • Microsoft Sentinel
  • Splunk Enterprise and Splunk Cloud
  • Power BI
  • ServiceNow
  • IBM의 QRadar
  • Palo Alto Networks
  • ArcSight

Defender XDR API를 사용하여 Defender XDR로 경고 스트리밍

클라우드용 Defender는 기본적으로 Microsoft Defender XDR과 통합되므로 Defender XDR의 인시던트 및 경고 API를 사용하여 경고 및 인시던트를 타사 솔루션으로 스트리밍할 수 있습니다. 클라우드용 Defender 고객은 모든 Microsoft 보안 제품에 대해 하나의 API에 액세스할 수 있으며 이 통합을 경고 및 인시던트를 내보내는 더 쉬운 방법으로 사용할 수 있습니다.

SIEM 도구를 DEFENDER XDR과 통합하는 방법을 알아봅니다.

Microsoft Sentinel에 경고 스트리밍

클라우드용 Defender는 기본적으로 Azure의 클라우드 네이티브 SIEM 및 SOAR 솔루션인 Microsoft Sentinel과 통합됩니다.

클라우드용 Defender를 위한 Microsoft Sentinel 커넥터

Microsoft Sentinel에는 구독 및 테넌트 수준에서 클라우드용 Microsoft Defender를 위한 기본 제공 커넥터가 포함되어 있습니다.

마케팅 목록의 구성원을 관리할 수 있습니다.

클라우드용 Defender를 Microsoft Sentinel에 연결하면 Microsoft Sentinel로 수집되는 클라우드용 Defender 경고의 상태가 두 서비스 간에 동기화됩니다. 예를 들어 클라우드용 Defender에서 경고가 닫히면 해당 경고는 Microsoft Sentinel에서도 닫힘으로 표시됩니다. 클라우드용 Defender에서 경고 상태를 변경하면 Microsoft Sentinel의 경고 상태도 업데이트됩니다. 그러나 동기화된 Microsoft Sentinel 경고를 포함하는 모든 Microsoft Sentinel 인시던트 상태는 업데이트되지 않습니다.

양방향 경고 동기화를 사용하도록 설정하면 원래 클라우드용 Defender 경고의 상태를 해당 클라우드용 Defender 경고의 복사본이 포함된 Microsoft Sentinel 인시던트와 자동으로 동기화할 수 있습니다. 예를 들어 클라우드용 Defender 경고가 포함된 Microsoft Sentinel 인시던트가 종료되면 클라우드용 Defender에서 해당하는 원래 경고를 자동으로 닫습니다.

클라우드용 Microsoft Defender에서 경고를 연결하는 방법을 알아봅니다.

참고 항목

양방향 경고 동기화 기능은 Azure Government 클라우드에서 사용할 수 없습니다.

Microsoft Sentinel에 대한 모든 감사 로그 수집 구성

Microsoft Sentinel에서 클라우드용 Defender 경고를 조사하기 위한 또 다른 대안은 감사 로그를 Microsoft Sentinel로 스트림하는 것입니다.

Microsoft Sentinel에 대한 요금은 Microsoft Sentinel에서 분석을 위해 수집하고 Azure Monitor Log Analytics 작업 영역에 저장하는 데이터의 양을 기준으로 청구됩니다. Microsoft Sentinel은 유연하고 예측 가능한 가격 책정 모델을 제공합니다. Microsoft Sentinel 가격 책정 페이지에서 자세히 알아보기.

QRadar 및 Splunk로 경고 스트리밍

Splunk 및 QRadar로 보안 경고를 내보내려면 Event Hubs 및 기본 제공 커넥터를 사용해야 합니다. PowerShell 스크립트 또는 Azure Portal을 사용하여 구독 또는 테넌트에 대한 보안 경고 내보내기 요구 사항을 설정할 수 있습니다. 요구 사항이 충족되면 각 SIEM과 관련된 절차를 사용하여 SIEM 플랫폼에 솔루션을 설치해야 합니다.

필수 조건

경고를 내보내도록 Azure 서비스를 설정하기 전에 다음 항목이 있는지 확인합니다.

  • Azure 구독(체험 계정 만들기)
  • Azure 리소스 그룹(리소스 그룹 만들기)
  • 경고 범위(구독, 관리 그룹 또는 테넌트) 또는 다음과 같은 특정 권한에 대한 소유자 역할:
    • 이벤트 허브 및 Event Hubs 정책에 대한 쓰기 권한
    • 기존 Microsoft Entra 애플리케이션을 사용하지 않는 경우 Microsoft Entra 애플리케이션에 대한 권한 만들기
    • 'DeployIfNotExist' Azure Policy를 사용하는 경우 정책에 대한 할당 권한

Azure 서비스 설정

다음 중 하나를 사용하여 연속 내보내기를 지원하도록 Azure 환경을 설정할 수 있습니다.

  1. PowerShell 스크립트를 다운로드하여 실행합니다.

  2. 필수 매개 변수를 입력합니다.

  3. 스크립트를 실행합니다.

스크립트에서 모든 단계를 수행합니다. 스크립트가 완료되면 출력을 사용하여 SIEM 플랫폼에 솔루션을 설치합니다.

Azure Portal

  1. Azure Portal에 로그인합니다.

  2. Event Hubs을 검색하고 선택합니다.

  3. Event Hubs 네임스페이스 및 이벤트 허브를 만듭니다.

  4. Send 권한을 사용하여 이벤트 허브에 대한 정책을 정의합니다.

경고를 QRadar로 스트리밍하는 경우:

  1. 이벤트 허브 Listen 정책을 만듭니다.

  2. QRadar에서 사용할 정책의 연결 문자열을 복사하고 저장합니다.

  3. 소비자 그룹을 만듭니다.

  4. SIEM 플랫폼에서 사용할 이름을 복사하고 저장합니다.

  5. 정의된 이벤트 허브에 대한 보안 경고 연속 내보내기를 사용하도록 설정합니다.

  6. 스토리지 계정 만들기

  7. QRadar에서 사용할 계정에 연결 문자열을 복사하고 저장합니다.

자세한 지침은 Splunk 및 QRadar로 내보내기 위한 Azure 리소스 준비를 참조하세요.

경고를 Splunk로 스트림하는 경우:

  1. Microsoft Entra 애플리케이션을 만듭니다.

  2. 테넌트, 앱 ID 및 앱 암호를 저장합니다.

  3. 이전에 만든 이벤트 허브에서 읽을 수 있는 권한을 Microsoft Entra 애플리케이션에 부여합니다.

자세한 지침은 Splunk 및 QRadar로 내보내기 위한 Azure 리소스 준비를 참조하세요.

기본 제공 커넥터를 사용하여 이벤트 허브를 원하는 솔루션에 연결

각 SIEM 플랫폼에는 Azure Event Hubs에서 경고를 받을 수 있는 도구가 있습니다. 플랫폼용 도구를 설치하여 경고 받기를 시작합니다.

도구 Azure에서 호스트 설명
IBM QRadar 아니요 Microsoft Azure DSM 및 Microsoft Azure Event Hubs 프로토콜은 IBM 지원 웹 사이트에서 다운로드할 수 있습니다.
Splunk 아니요 Microsoft 클라우드 서비스용 Splunk 추가 기능은 Splunkbase에서 사용할 수 있는 오픈 소스 프로젝트입니다.

추가 기능을 Splunk 인스턴스에 설치할 수 없는 경우, 예를 들어 프록시를 사용하거나 Splunk 클라우드에서 실행하는 경우 이벤트 허브에서 새 메시지로 트리거되는 Splunk용 Azure Function을 사용하여 이러한 이벤트를 Splunk HTTP 이벤트 수집기에 전달할 수 있습니다.

연속 내보내기를 사용하여 경고 스트리밍

경고를 ArcSight, SumoLogic, Syslog 서버, LogRhythm, Logz.io Cloud Observability Platform 및 기타 모니터링 솔루션으로 스트리밍하려면 연속 내보내기 및 Azure Event Hubs를 사용하여 클라우드용 Defender를 연결합니다.

참고 항목

테넌트 수준에서 경고를 스트림하려면 이 Azure 정책을 사용하고 루트 관리 그룹에서 범위를 설정합니다. 클라우드용 Defender 권한: 클라우드용 Microsoft Defender 경고 및 권장 사항에 대해 이벤트 허브에 내보내기 배포에서 설명한 대로 루트 관리 그룹에 대한 권한이 필요합니다.

연속 내보내기사용하여 경고를 스트리밍하려면:

  1. 연속 내보내기 사용:

  2. 기본 제공 커넥터를 사용하여 이벤트 허브를 기본 설정 솔루션에 연결합니다.

    도구 Azure에서 호스트 설명
    sumologic 아니요 이벤트 허브에서 데이터를 사용하도록 SumoLogic을 설정하는 방법에 대한 지침은 Event Hubs에서 Azure 감사 앱에 대한 로그 수집에서 사용할 수 있습니다.
    ArcSight 아니요 ArcSight Azure Event Hub 스마트 커넥터는 ArcSight 스마트 커넥터 컬렉션의 일부로 사용할 수 있습니다.
    Syslog 서버 아니요 Azure Monitor 데이터를 syslog 서버로 직접 스트리밍하려면 Azure 함수 기반의 솔루션을 사용할 수 있습니다.
    LogRhythm 아니요 이벤트 허브에서 로그를 수집하도록 LogRhythm을 설정하기 위한 지침은 여기에서 확인할 수 있습니다.
    Logz.io 자세한 내용은 Azure에서 실행되는 Java 앱용 Logz.io를 사용하여 모니터링 및 로깅 시작을 참조하세요.

  3. (선택 사항) 원시 로그를 이벤트 허브로 스트리밍하고 기본 설정 솔루션에 연결합니다. 사용 가능한 모니터링 데이터에 대해 자세히 알아보세요.

내보낸 데이터 형식의 이벤트 스키마를 보려면 Event Hubs 이벤트 스키마를 방문하세요.

Microsoft Graph 보안 API를 사용하여 Microsoft가 아닌 애플리케이션으로 경고 스트리밍

추가 구성 요구 사항 없이 클라우드용 Defender와 Microsoft Graph 보안 API가 기본적으로 통합됩니다.

이 API를 사용하여 경고를 전체 테넌트(및 다양한 Microsoft 보안 제품의 데이터)에서 Microsoft가 아닌 SIEM 및 기타 인기 있는 플랫폼으로 스트림할 수 있습니다.

참고 항목

경고를 내보내는 기본 설정 방법은 클라우드용 Microsoft Defender 데이터를 연속적으로 내보내기입니다.

다음 단계

이 페이지에서는 선택한 SIEM, SOAR 또는 ITSM 도구에서 클라우드용 Microsoft Defender 경고 데이터를 사용할 수 있는지 확인하는 방법을 설명했습니다. 관련 자료는 다음을 참조하세요.