클라우드 경고에 대한 Microsoft Defender 수집하여 Microsoft Sentinel

  • 적용 대상: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

클라우드의 통합 클라우드 워크로드 보호를 위한 Microsoft Defender 하이브리드 및 다중 클라우드 워크로드에서 위협을 감지하고 신속하게 대응할 수 있습니다. 클라우드용 Microsoft Defender 커넥터를 사용하면 클라우드용 Defender의 보안 경고를 Microsoft Sentinel 수집할 수 있으므로 광범위한 조직 위협 컨텍스트에서 Defender 경고 및 생성되는 인시던트 및 이를 보고 분석하고 대응할 수 있습니다.

Cloud Defender 요금제에 대한 Microsoft Defender 구독별로 사용하도록 설정됩니다. Microsoft Sentinel 레거시 Defender for Cloud Apps 커넥터도 구독별로 구성되지만, 미리 보기로 클라우드용 테넌트 기반 Microsoft Defender 커넥터를 사용하면 각 구독을 별도로 사용하도록 설정하지 않고도 전체 테넌트에서 클라우드용 Defender 경고를 수집할 수 있습니다. 테넌트 기반 커넥터는 클라우드용 Defender와 Microsoft Defender XDR 통합하여 모든 클라우드용 Defender 경고가 Microsoft Defender XDR 인시던트 통합을 통해 수신되는 모든 인시던트에 완전히 포함되도록 합니다.

  • 경고 동기화:

    • 클라우드용 Microsoft Defender Microsoft Sentinel 연결하면 Microsoft Sentinel 수집되는 보안 경고의 상태 두 서비스 간에 동기화됩니다. 예를 들어 클라우드용 Defender에서 경고가 닫힌 경우 해당 경고는 Microsoft Sentinel 닫힌 것으로 표시됩니다.

    • 클라우드용 Defender에서 경고의 상태 변경해도 Microsoft Sentinel 경고가 포함된 Microsoft Sentinel 인시던트의 상태 영향을 주지 않으며 경고 자체의 상태 영향을 주지 않습니다.

  • 양방향 경고 동기화: 양방향 동기화를 사용하도록 설정하면 원래 보안 경고의 상태 해당 경고가 포함된 Microsoft Sentinel 인시던트 상태 자동으로 동기화됩니다. 예를 들어 보안 경고가 포함된 Microsoft Sentinel 인시던트가 닫히면 해당 원래 경고가 클라우드용 Microsoft Defender 자동으로 닫힙니다.

참고

미국 정부 클라우드의 기능 가용성에 대한 자세한 내용은 미국 정부 고객을 위한 클라우드 기능 가용성의 Microsoft Sentinel 테이블을 참조하세요.

참고

커넥터는 Lighthouse가 해당 테넌트에서 사용하도록 설정된 경우에도 다른 테넌트가 소유한 구독의 동기화 경고를 지원하지 않습니다.

필수 구성 요소

  • Azure Portal Microsoft Sentinel 사용해야 합니다. Defender 포털에 Microsoft Sentinel 온보딩하면 클라우드용 Defender 경고가 이미 Microsoft Defender XDR 수집되고 있으며, 클라우드용 테넌트 기반 Microsoft Defender(미리 보기) 데이터 커넥터는 Defender 포털의 데이터 커넥터 페이지에 나열되지 않습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel 참조하세요.

    Defender 포털에 Microsoft Sentinel 온보딩한 경우에도 클라우드용 Microsoft Defender 솔루션을 설치하여 Microsoft Sentinel 기본 제공 보안 콘텐츠를 사용하려고 합니다.

    Microsoft Defender XDR 없이 Defender 포털에서 Microsoft Sentinel 사용하는 경우 이 절차는 여전히 사용자에게 관련이 있습니다.

  • 다음과 같은 역할 및 권한이 있어야 합니다.

    • Microsoft Sentinel 작업 영역에 대한 읽기 및 쓰기 권한이 있어야 합니다.

    • Microsoft Sentinel 연결하려는 구독에 대한 기여자 또는 소유자 역할이 있어야 합니다.

    • 양방향 동기화를 사용하도록 설정하려면 관련 구독에 대한 기여자 또는 보안 관리 역할이 있어야 합니다.

  • 커넥터를 사용하도록 설정하려는 각 구독에 대해 Microsoft Defender for Cloud 내에서 하나 이상의 플랜을 사용하도록 설정해야 합니다. 구독에서 Microsoft Defender 계획을 사용하도록 설정하려면 해당 구독에 대한 보안 관리 역할이 있어야 합니다.

  • 커넥터를 SecurityInsights 사용하도록 설정하려는 각 구독에 대해 리소스 공급자를 등록해야 합니다. 리소스 공급자 등록 상태 지침 및 등록 방법을 검토합니다.

클라우드용 Microsoft Defender 연결

  1. Microsoft Sentinel 콘텐츠 허브에서 클라우드용 Microsoft Defender 솔루션을 설치합니다. 자세한 내용은 기본 제공 콘텐츠 Microsoft Sentinel 검색 및 관리를 참조하세요.

  2. 구성 > 데이터 커넥터를 선택합니다.

  3. 데이터 커넥터 페이지에서 클라우드용 구독 기반 Microsoft Defender(레거시) 또는 테넌트 기반 클라우드용 Microsoft Defender(미리 보기) 커넥터를 선택한 다음 커넥터 페이지 열기를 선택합니다.

  4. 구성 아래에는 테넌트의 구독 목록과 Microsoft Defender for Cloud에 대한 연결의 상태 표시됩니다. Microsoft Sentinel 스트리밍하려는 경고가 있는 각 구독 옆에 있는 상태 토글을 선택합니다. 여러 구독을 한 번에 연결하려는 경우 관련 구독 옆에 있는 검사 상자를 표시한 다음 목록 위의 표시줄에서 연결 단추를 선택하여 이 작업을 수행할 수 있습니다.

    • 검사 상자 및 연결 토글은 필요한 권한이 있는 구독에서만 활성화됩니다.
    • 연결 단추는 구독의 검사 상자가 하나 이상 표시된 경우에만 활성화됩니다.

  5. 구독에서 양방향 동기화를 사용하도록 설정하려면 목록에서 구독을 찾고 양방향 동기화 열의 드롭다운 목록에서 사용을 선택합니다. 여러 구독에서 양방향 동기화를 한 번에 사용하도록 설정하려면 해당 검사 상자를 표시하고 목록 위의 표시줄에서 양방향 동기화 사용 단추를 선택합니다.

    • 검사 상자 및 드롭다운 목록은 필요한 권한이 있는 구독에서만 활성화됩니다.
    • 양방향 동기화 사용 단추는 구독의 검사 상자가 하나 이상 표시된 경우에만 활성화됩니다.

  6. 목록의 Microsoft Defender 계획 열에서 커넥터를 사용하도록 설정하기 위한 필수 구성 요소인 구독에서 Microsoft Defender 계획이 사용하도록 설정되어 있는지 확인할 수 있습니다.

    이 열의 각 구독에 대한 값은 비어 있습니다. 즉, Defender 계획이 활성화되지 않음, 모두 사용 또는 일부 사용이 가능합니다. 일부 사용 설정에는 선택할 수 있는 모든 사용 링크도 있습니다. 그러면 해당 구독에 대한 클라우드용 Microsoft Defender 구성 dashboard 이동하여 사용하도록 설정할 Defender 계획을 선택할 수 있습니다.

    목록 위의 표시줄에 있는 모든 구독에 Microsoft Defender 사용 링크 단추를 사용하면 클라우드용 Microsoft Defender 시작 페이지로 이동되며, 여기서 클라우드에 Microsoft Defender 사용하도록 설정할 구독을 선택할 수 있습니다. 예시:

    클라우드 커넥터 구성에 대한 Microsoft Defender 스크린샷

  7. 클라우드용 Microsoft Defender 경고가 Microsoft Sentinel 인시던트 자동으로 생성되도록 할지 여부를 선택할 수 있습니다. 인시던트 만들기에서 사용을 선택하여 경고에서 인시던트가 자동으로 생성되는 기본 분석 규칙을 켭니다. 그런 다음, 활성 규칙 탭의 분석에서 이 규칙을 편집할 수 있습니다.

    클라우드용 Microsoft Defender 경고에 대한 사용자 지정 분석 규칙을 구성할 때 정보 경고에 대한 인시던트가 열리지 않도록 경고 심각도를 고려합니다.

    클라우드용 Microsoft Defender 정보 경고는 자체 보안 위험을 나타내지 않으며 기존의 개방형 인시던트의 컨텍스트에서만 관련이 있습니다. 자세한 내용은 클라우드용 Microsoft Defender 보안 경고 및 인시던트 를 참조하세요.

데이터 찾기 및 분석

보안 경고는 Log Analytics 작업 영역의 SecurityAlert 테이블에 저장됩니다. Log Analytics에서 보안 경고를 쿼리하려면 다음을 시작점으로 쿼리 창에 복사합니다.

SecurityAlert 
| where ProductName == "Azure Security Center"

양방향으로 경고 동기화는 몇 분 정도 걸릴 수 있습니다. 경고 상태 변경 내용이 즉시 표시되지 않을 수 있습니다.

더 유용한 샘플 쿼리, 분석 규칙 템플릿 및 권장 통합 문서는 커넥터 페이지의 다음 단계 탭을 참조하세요.

관련 콘텐츠

이 문서에서는 클라우드용 Microsoft Defender 연결하여 경고를 Microsoft Sentinel 동기화하는 방법을 알아보았습니다. Microsoft Sentinel 대한 자세한 내용은 다음 문서를 참조하세요.

  • Last updated on