편집

다음을 통해 공유

타사 SIEM으로 Defender for IoT 클라우드 경고 스트리밍

  • 방법

더 많은 기업이 OT 시스템을 디지털 IT 인프라로 전환함에 따라 SOC(보안 운영 센터) 팀과 CISO(최고 정보 보안 책임자)가 OT 네트워크의 위협을 처리하는 책임을 점점 더 맡고 있습니다.

Microsoft Sentinel과 통합하고 IT와 OT 보안 과제 간의 간격을 해소하려면 Microsoft Defender for IoT의 기본 데이터 커넥터솔루션을 사용하는 것이 좋습니다.

그러나 다른 SIEM(보안 정보 및 이벤트 관리) 시스템이 있는 경우 Microsoft Sentinel을 사용하여 Microsoft SentinelAzure Event Hubs를 통해 해당 파트너 SIEM에 Defender for IoT 클라우드 경고를 전달할 수도 있습니다.

이 문서에서는 Splunk를 예로 사용하지만 IBM QRadar와 같은 Event Hub 수집을 지원하는 모든 SIEM에서 아래 설명된 프로세스를 사용할 수 있습니다.

Important

Event Hubs 및 Log Analytics 내보내기 규칙을 사용하면 추가 요금이 발생할 수 있습니다. 자세한 내용은 Event Hubs 가격 책정로그 데이터 내보내기 가격 책정을 참조하세요.

필수 조건

시작하기 전에 Microsoft Sentinel 인스턴스에 Microsoft Defender for IoT 데이터 커넥터가 설치되어 있어야 합니다. 자세한 내용은 자습서: Microsoft Sentinel과 Microsoft Defender for IoT 연결을 참조하세요.

또한 아래 단계에 연결된 각 절차에 대한 필수 조건도 확인합니다.

Microsoft Entra ID에 애플리케이션 등록

Microsoft Cloud Services용 Splunk 추가 기능의 서비스 주체로 정의된 Microsoft Entra ID가 필요합니다. 이렇게 하려면 특정 권한이 있는 Microsoft Entra 애플리케이션을 만들어야 합니다.

Microsoft Entra 애플리케이션을 등록하고 권한을 정의하려면:

  1. Microsoft Entra ID에서 새 애플리케이션을 등록합니다. 인증서 및 비밀 페이지에서 서비스 주체에 대한 새 클라이언트 암호를 추가합니다.

    자세한 내용은 Microsoft ID 플랫폼을 사용하여 애플리케이션 등록을 참조하세요.

  2. 앱의 API 권한 페이지에서 앱의 데이터를 읽을 수 있는 API 권한을 부여합니다.

    • 권한을 추가하려면 선택하고 Microsoft Graph>애플리케이션 권한>SecurityEvents.ReadWrite.All>권한 추가를 선택합니다.

    • 권한을 부여하려면 관리자 동의가 필요한지 확인합니다.

    자세한 내용은 웹 API에 액세스하도록 클라이언트 애플리케이션 구성을 참조하세요.

  3. 앱의 개요 페이지에서 앱에 대한 다음 값을 확인합니다.

    • 표시 이름
    • 애플리케이션(클라이언트) ID
    • 디렉터리(테넌트) ID

  4. 인증서 및 비밀 페이지에서 클라이언트 암호 비밀 ID 값을 기록해 두세요.

Azure 이벤트 허브 만들기

Microsoft Sentinel과 파트너 SIEM 간의 브리지로 사용할 Azure 이벤트 허브를 만듭니다. Azure 이벤트 허브 네임스페이스를 만든 다음, Azure 이벤트 허브를 추가하여 이 단계를 시작합니다.

이벤트 허브 네임스페이스 및 이벤트 허브를 만들려면:

  1. Azure Event Hubs에서 새 이벤트 허브 네임스페이스를 만듭니다. 새 네임스페이스에서 새 Azure 이벤트 허브를 만듭니다.

    이벤트 허브에서 파티션 수메시지 보존 설정을 정의해야 합니다.

    자세한 내용은 Azure Portal을 사용하여 이벤트 허브 만들기를 참조하세요.

  2. 이벤트 허브 네임스페이스에서 액세스 제어(IAM) 페이지를 선택하고 새 역할 할당을 추가합니다.

    Azure Event Hubs 데이터 수신기 역할을 사용하도록 선택하고 이전에 만든 Microsoft Entra 서비스 원칙 앱을 멤버로 추가합니다.

    자세한 내용은 Azure Portal을 사용하여 Azure 역할 할당을 참조하세요.

  3. 이벤트 허브 네임스페이스의 개요 페이지에서 네임스페이스의 호스트 이름 값을 기록해 둡니다.

  4. Event Hubs 네임스페이스의 Event Hubs 페이지에서 Event Hubs의 이름을 기록해 둡니다.

Microsoft Sentinel 인시던트를 이벤트 허브로 전달

Microsoft Sentinel 인시던트 또는 경고를 이벤트 허브로 전달하려면 Azure Log Analytics에서 데이터 내보내기 규칙을 만듭니다.

규칙에서 다음 설정을 정의해야 합니다.

  1. 원본SecurityIncident로 구성합니다.

  2. 이전에 기록한 이벤트 허브 네임스페이스와 이벤트 허브 이름을 사용하여 대상이벤트 유형으로 구성합니다.

    자세한 내용은 Azure Monitor에서 Log Analytics 작업 영역 데이터 내보내기를 참조하세요.

Microsoft Sentinel 인시던트를 사용하도록 Splunk 구성

이벤트 허브 및 내보내기 규칙을 구성한 후에는 이벤트 허브에서 Microsoft Sentinel 인시던트를 사용하도록 Splunk를 구성합니다.

  1. Microsoft Cloud Services를 위한 Splunk 추가 기능 앱을 설치합니다.

  2. Microsoft Cloud Services용 Splunk 추가 기능 앱에서 Azure 앱 계정을 추가합니다.

    1. 계정에 의미 있는 이름을 입력합니다.
    2. 이전에 기록한 클라이언트 ID, 클라이언트 암호 및 테넌트 ID 세부 정보를 입력합니다.
    3. 계정 클래스 형식을 Azure Public Cloud로 정의합니다.

  3. Microsoft Cloud Services용 Splunk 추가 기능 입력으로 이동하여 Azure Event Hubs에 대한 새 입력을 만듭니다.

    1. 입력에 의미 있는 이름을 입력합니다.
    2. Microsoft 서비스용 Splunk 추가 기능 앱에서 방금 만든 Azure 앱 계정을 선택합니다.
    3. 이벤트 허브 네임스페이스 FQDN 및 이벤트 허브 이름을 입력합니다.

    다른 설정은 기본값으로 둡니다.

    데이터가 이벤트 허브에서 Splunk로 수집되기 시작하면 쿼리 필드에 다음 값을 사용하여 데이터를 쿼리합니다. sourcetype="mscs:azure:eventhub"

관련 콘텐츠