Azure Functions를 사용하여 Microsoft Sentinel을 데이터 원본에 연결
PowerShell 또는 Python과 같은 다양한 코딩 언어와 함께 Azure Functions를 사용하여 호환되는 데이터 원본의 REST API 엔드포인트에 대한 서버리스 커넥터를 만들 수 있습니다. 그러면 Azure Function 앱을 사용하여 Microsoft Sentinel을 데이터 원본의 REST API에 연결하여 로그를 가져올 수 있습니다.
이 문서에서는 Azure Function 앱을 사용하기 위해 Microsoft Sentinel을 구성하는 방법을 설명합니다. 원본 시스템을 구성해야 할 수도 있으며, 포털의 각 데이터 커넥터 페이지에서 공급업체 및 제품별 정보 링크를 찾거나 Microsoft Sentinel 데이터 커넥터 참조 페이지에서 서비스에 대한 섹션을 찾을 수 있습니다.
참고 항목
Microsoft Sentinel에 수집된 데이터는 Microsoft Sentinel을 실행 중인 작업 영역의 지리적 위치에 저장됩니다.
장기 보존의 경우 보조 로그 또는 기본 로그와 같은 로그 형식으로 데이터를 저장할 수도 있습니다. 자세한 내용은 Microsoft Sentinel의 로그 보존 계획을 참조하세요.
Azure Functions를 사용하여 Microsoft Sentinel로 데이터를 수집하면 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 참조하세요.
필수 조건
Azure Functions를 사용하여 Microsoft Sentinel을 데이터 원본에 연결하고 해당 로그를 Microsoft Sentinel로 가져오기 전에 다음 권한과 자격 증명이 있는지 확인합니다.
Microsoft Sentinel 작업 영역에 대한 읽기 및 쓰기 권한이 있어야 합니다.
작업 영역 공유 키에 대한 읽기 권한이 있어야 합니다. 작업 영역 키에 대해 자세히 알아보세요.
함수 앱을 작성할 수 있는 Azure Functions에 대한 읽기 및 쓰기 권한이 있어야 합니다. Azure Functions에 대한 자세한 정보를 알아보세요.
또한 제품 API에 액세스하기 위한 자격 증명(사용자 이름 및 암호, 토큰, 키 또는 기타 조합)이 필요합니다. 엔드포인트 URI와 같은 다른 API 정보가 필요할 수도 있습니다.
자세한 내용은 연결하려는 서비스에 대한 설명서 및 Microsoft Sentinel 데이터 커넥터 참조 페이지의 서비스에 대한 섹션을 참조하세요.
Microsoft Sentinel의 콘텐츠 허브에서 Azure Functions 기반 커넥터를 포함하는 솔루션을 설치합니다. 자세한 내용은 Microsoft Sentinel 기본 제공 콘텐츠 검색 및 관리를 참조하세요.
데이터 원본 구성 및 연결
참고 항목
작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault에 안전하게 저장할 수 있습니다. Azure Key Vault는 키 값을 저장하고 검색하는 안전한 메커니즘을 제공합니다. 지침에 따라 Azure 함수 앱에서 Azure Key Vault를 사용합니다.
일부 데이터 커넥터는 정상적으로 작동하기 위해 Kusto Function을 기반으로 하는 파서를 사용합니다. Kusto 함수 및 별칭을 생성하는 지침에 대한 링크는 Microsoft Sentinel 데이터 커넥터 참조 페이지의 서비스에 대한 섹션을 참조하세요.
1단계: 원본 시스템의 API 자격 증명 가져오기
원본 시스템의 지침에 따라 API 자격 증명/권한 부여 키/토큰을 가져옵니다. 나중에 사용할 수 있도록 텍스트 파일에 복사하여 붙여 넣습니다.
필요한 정확한 자격 증명에 대한 세부 정보 및 해당 자격 증명을 찾거나 만들기 위한 제품 지침에 대한 링크는 포털의 데이터 커넥터 페이지 및 Microsoft Sentinel 데이터 커넥터 참조 페이지의 서비스에 대한 섹션에서 찾을 수 있습니다.
원본 시스템에서 로깅 또는 기타 설정을 구성해야 할 수도 있습니다. 관련 지침은 이전 단락의 지침과 함께 찾을 수 있습니다.
2단계: 커넥터 및 연결된 Azure 함수 앱 배포
배포 옵션 선택
이 메서드는 ARM 템플릿을 사용하여 Azure Function 기반 커넥터의 자동화된 배포를 제공합니다.
Microsoft Sentinel 포털에서 데이터 커넥터를 선택합니다. 목록에서 Azure Functions 기반 커넥터를 선택한 다음, 커넥터 페이지 열기를 선택합니다.
구성에서 Microsoft Sentinel 작업 영역 ID와 기본 키를 복사하여 따로 붙여넣습니다.
Azure에 배포를 선택합니다. (단추를 찾으려면 아래로 스크롤해야 할 수도 있습니다.)
사용자 지정 배포 화면이 나타납니다.
구독, 리소스 그룹, 함수 앱을 배포할 지역을 선택합니다.
위의 1단계에서 저장한 API 자격 증명/권한 부여 키/토큰을 입력합니다.
복사하여 따로 보관해 둔 Microsoft Sentinel 작업 영역 ID 및 작업 영역 Key(기본 키)를 입력합니다.
참고 항목
위의 값에 Azure Key Vault 암호를 사용하는 경우 문자열 값 대신
@Microsoft.KeyVault(SecretUri={Security Identifier})
스키마를 사용합니다. 자세한 내용은 Key Vault 참조 설명서를 참조하세요.사용자 지정 배포 화면에서 양식의 다른 필드를 작성합니다. 포털의 데이터 커넥터 페이지 또는 Microsoft Sentinel 데이터 커넥터 참조 페이지의 서비스 섹션을 참조하세요.
검토 + 만들기를 선택합니다. 유효성 검사가 완료되면 만들기를 선택합니다.
데이터 찾기
연결이 성공적으로 설정되면, 데이터는 Microsoft Sentinel 데이터 커넥터 참조 페이지의 서비스에 대한 섹션에 나열된 테이블의 CustomLogs 아래의 로그에 표시됩니다.
데이터를 쿼리하려면, 쿼리 창에서 해당 테이블 이름 또는 관련 Kusto 함수 별칭 중 하나를 입력합니다.
몇 가지 유용한 샘플 쿼리는 커넥터 페이지의 다음 단계 탭을 참조하세요.
연결 유효성 검사
로그가 Log Analytics에 표시될 때까지 최대 20분가량 소요될 수 있습니다.
다음 단계
이 문서에서는 Azure Functions 기반 커넥터를 사용하여 Microsoft Sentinel을 데이터 원본에 연결하는 방법을 배웠습니다. Microsoft Sentinel에 대해 자세히 알아보려면 다음 문서를 참조하세요.
- 데이터 및 잠재적 위협에 대한 가시성을 확보하는 방법을 알아봅니다.
- Microsoft Sentinel을 사용하여 위협 탐지에서 시작합니다.
- 통합 문서를 사용하여 데이터를 모니터링합니다.