Microsoft Defender XDR에서 Microsoft Sentinel로 데이터 연결

아티클
06/27/2024
적용 대상:

Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

Microsoft Sentinel용 Microsoft Defender XDR 커넥터를 사용하면 모든 Microsoft Defender XDR 인시던트, 경고 및 고급 헌팅 이벤트를 Microsoft Sentinel로 스트리밍할 수 있습니다. 이 커넥터는 두 포털 간에 인시던트를 동기화된 상태로 유지합니다. Microsoft Defender XDR 인시던트에는 모든 Microsoft Defender 제품 및 서비스의 경고, 엔터티 및 기타 관련 정보가 포함됩니다. 자세한 내용은 Microsoft Sentinel과 Microsoft Defender XDR 통합을 참조하세요.

Defender XDR 커넥터, 특히 인시던트 통합 기능은 통합 보안 운영 플랫폼의 기초입니다. Microsoft Sentinel을 Microsoft Defender 포털에 온보딩하는 경우 먼저 인시던트 통합을 통해 이 커넥터를 사용하도록 설정해야 합니다.

Important

이제 Microsoft Sentinel은 Microsoft Defender 포털의 Microsoft 통합 보안 운영 플랫폼 내에서 일반 공급됩니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

필수 조건

시작하기 전에 이 섹션에 설명된 적절한 라이선스, 액세스 및 구성된 리소스가 있어야 합니다.

Microsoft Defender XDR 사전 요구 사항에 설명된 대로 Microsoft Defender XDR에 대한 유효한 라이선스가 있어야 합니다.
로그를 스트리밍할 테넌트의 전역 관리자 또는 보안 관리자 역할이 사용자 계정에 할당되어야 합니다.
Microsoft Sentinel 작업 영역에 대한 읽기/쓰기 권한이 있어야 합니다.
커넥터 설정을 변경하려면 계정이 Microsoft Sentinel 작업 영역이 연결된 동일한 Microsoft Entra 테넌트의 멤버여야 합니다.
Microsoft Sentinel의 Content Hub에서 Microsoft Defender XDR의 솔루션을 설치합니다. 자세한 내용은 Microsoft Sentinel 기본 제공 콘텐츠 검색 및 관리를 참조하세요.
조직에 맞게 Microsoft Sentinel에 대한 액세스 권한을 부여합니다. 자세한 내용은 Microsoft Sentinel의 역할 및 권한을 참조하세요.

Microsoft Defender for Identity를 통한 온-프레미스 Active Directory 동기화의 경우:

테넌트는 Microsoft Defender for Identity에 온보딩되어야 합니다.
Microsoft Defender for Identity 센서가 설치되어 있어야 합니다.

Microsoft Defender XDR에 연결

Microsoft Sentinel에서 데이터 커넥터를 선택합니다. 갤러리에서 Microsoft Defender XDR을 선택하고 커넥터 페이지 열기를 선택합니다.

구성 섹션은 세 부분으로 구성됩니다.

인시던트 및 경고 연결을 사용하면 Microsoft Defender XDR과 Microsoft Sentinel 간의 기본 통합을 지원하여 두 플랫폼 간에 인시던트 및 경고를 동기화할 수 있습니다.
엔터티 연결을 사용하면 Microsoft Defender for Identity를 통해 온-프레미스 Active Directory 사용자 ID를 Microsoft Sentinel에 통합할 수 있습니다.
연결 이벤트를 사용하면 Defender 구성 요소에서 원시 고급 헌팅 이벤트를 수집할 수 있습니다.

자세한 내용은 Microsoft Sentinel과 Microsoft Defender XDR 통합을 참조하세요.

인시던트 및 경고 연결

Microsoft Defender XDR 인시던트를 Microsoft Sentinel 인시던트 큐에 대한 모든 경고와 함께 수집하고 동기화하려면 다음 단계를 완료합니다.

인시던트의 중복을 피하려면 이러한 제품에 대한 모든 Microsoft 인시던트 생성 규칙 끄기, 권장됨이라는 확인란을 표시합니다. Microsoft Defender XDR 커넥터가 연결되면 이 확인란은 나타나지 않습니다.
인시던트 및 경고 연결 단추를 선택합니다.
Microsoft Sentinel이 Microsoft Defender XDR 인시던트 데이터를 수집하고 있는지 확인합니다. Azure Portal의 Microsoft Sentinel 로그에 있는 쿼리 창에서 다음 문을 실행합니다.
```
   SecurityIncident
   |    where ProviderName == "Microsoft 365 Defender"
```

Microsoft Defender XDR 커넥터를 사용하도록 설정하면 이전에 연결되었던 모든 Microsoft Defender 구성 요소의 커넥터가 백그라운드에서 자동으로 연결이 끊어집니다. 계속 연결된 것처럼 표시되지만 이를 통해 데이터가 흐르지 않습니다.

엔터티 연결

Microsoft Defender for Identity를 사용하여 온-프레미스 Active Directory에서 Microsoft Sentinel로 사용자 엔터티를 동기화합니다.

UEBA 구성 페이지로 이동 링크를 선택합니다.
UEBA를 사용하도록 설정하지 않은 경우 엔터티 동작 구성 페이지에서 페이지 상단의 토글을 켜기로 이동합니다.
Active Directory(미리 보기) 확인란을 선택하고 적용을 선택합니다.

이벤트 연결

엔드포인트용 Microsoft Defender 또는 Office 365용 Microsoft Defender에서 고급 헌팅 이벤트를 수집하려는 경우 해당 고급 헌팅 테이블에서 다음 형식의 이벤트를 수집할 수 있습니다.

수집하려는 이벤트 유형으로 표의 확인란을 표시합니다.

테이블 이름	이벤트 유형
DeviceInfo	머신 정보(OS 정보 포함)
DeviceNetworkInfo	물리적 어댑터, IP 및 MAC 주소, 연결된 네트워크 및 도메인을 비롯한 디바이스의 네트워크 속성
DeviceProcessEvents	프로세스 생성 및 관련 이벤트
DeviceNetworkEvents	네트워크 연결 및 관련 이벤트
DeviceFileEvents	파일 생성, 수정, 기타 파일 시스템 이벤트
DeviceRegistryEvents	레지스트리 항목 생성 및 수정
DeviceLogonEvents	디바이스의 로그인 및 기타 인증 이벤트
DeviceImageLoadEvents	DLL 로드 이벤트
DeviceEvents	Windows Defender 바이러스 백신 및 악용 방지와 같은 보안 제어가 트리거한 이벤트를 포함하는 다양한 이벤트 유형
DeviceFileCertificateInfo	엔드포인트의 인증서 확인 이벤트로부터 획득한 서명 파일의 인증서 정보

테이블 이름	이벤트 유형
EmailAttachmentInfo	메일에 첨부된 파일에 대한 정보
EmailEvents	메일 전송 및 차단 이벤트를 비롯한 Microsoft 365 메일 이벤트
EmailPostDeliveryEvents	Microsoft 365가 이메일을 수신자 사서함에 배달한 후 배달 후 발생하는 보안 이벤트
EmailUrlInfo	메일의 URL에 대한 정보
UrlClickEvents	Office 365용 Microsoft Defender에서 클릭, 선택 또는 요청된 URL과 관련된 이벤트

테이블 이름	이벤트 유형
IdentityDirectoryEvents	온-프레미스 Active Directory 도메인 컨트롤러에서 캡처된 암호 변경, 암호 만료 및 UPN(사용자 계정 이름) 변경과 같은 다양한 ID 관련 이벤트 도메인 컨트롤러의 시스템 이벤트도 포함합니다.
IdentityLogonEvents	Microsoft Defender for Identity에서 캡처한 온-프레미스 Active Directory를 통해 수행된 인증 활동 클라우드용 Microsoft Defender 앱에서 캡처한 Microsoft 온라인 서비스와 관련된 인증 활동
IdentityQueryEvents	사용자, 그룹, 디바이스 및 도메인과 같은 Active Directory 개체에 대해 수행된 쿼리에 대한 정보

테이블 이름	이벤트 유형
CloudAppEvents	클라우드용 Microsoft Defender 앱에서 다루는 다양한 클라우드 앱 및 서비스의 활동에 대한 정보

테이블 이름	이벤트 유형
AlertInfo	엔드포인트용 Microsoft Defender, Office 365용 Microsoft Defender, Microsoft Cloud App Security 및 Microsoft Defender for Identity의 경고(심각도 정보 및 위협 분류 포함)
AlertEvidence	Microsoft Defender XDR 구성 요소의 경고와 관련된 다양한 엔터티(파일, IP 주소, URL, 사용자, 디바이스)에 대한 정보

변경 내용 적용을 선택합니다.

Log Analytics의 고급 헌팅 테이블에서 쿼리를 실행하려면 쿼리 창에 테이블 이름을 입력합니다.

데이터 수집 확인

커넥터 페이지의 데이터 그래프는 현재 데이터를 수집하고 있음을 나타냅니다. 인시던트, 경고 및 이벤트마다 한 줄씩 표시되며, 이벤트 줄은 사용하도록 설정된 모든 테이블에 있는 이벤트 볼륨의 집계입니다. 커넥터를 사용하도록 설정한 후 다음 KQL 쿼리를 사용하여 보다 구체적인 그래프를 생성합니다.

수신되는 Microsoft Defender XDR 인시던트의 그래프에 대해 다음 KQL 쿼리를 사용합니다.

let Now = now(); 
(range TimeGenerated from ago(14d) to Now-1d step 1d 
| extend Count = 0 
| union isfuzzy=true ( 
    SecurityIncident
    | where ProviderName == "Microsoft 365 Defender"
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now) 
) 
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now) 
| sort by TimeGenerated 
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events") 
| render timechart

다음 KQL 쿼리를 사용하여 단일 테이블에 대한 이벤트 볼륨 그래프를 생성할 수 있습니다(DeviceEvents 테이블을 선택한 필수 테이블로 변경).

let Now = now();
(range TimeGenerated from ago(14d) to Now-1d step 1d
| extend Count = 0
| union isfuzzy=true (
    DeviceEvents
    | summarize Count = count() by bin_at(TimeGenerated, 1d, Now)
)
| summarize Count=max(Count) by bin_at(TimeGenerated, 1d, Now)
| sort by TimeGenerated
| project Value = iff(isnull(Count), 0, Count), Time = TimeGenerated, Legend = "Events")
| render timechart

다음 단계

이 문서에서는 Microsoft Defender XDR 커넥터를 사용하여 Microsoft Defender XDR 인시던트, 경고 및 Microsoft Defender 서비스의 고급 헌팅 이벤트 데이터를 Microsoft Sentinel에 통합하는 방법을 알아보았습니다.

통합 보안 운영 플랫폼에서 Defender XDR과 통합된 Microsoft Sentinel을 사용하려면 Microsoft Defender XDR에서 Microsoft Sentinel로 데이터 연결을 참조하세요.

다음을 통해 공유