Share via

API 기반 데이터 커넥터를 사용하여 Microsoft Sentinel을 다른 Microsoft 서비스에 연결

  • 아티클

이 문서에서는 Microsoft Sentinel에 API 기반 연결을 수행하는 방법을 설명합니다. Microsoft Sentinel은 Azure 기반을 사용하여 많은 Azure 및 Microsoft 365 서비스, Amazon Web Services 및 다양한 Windows Server 서비스의 데이터 수집에 대한 기본 제공 서비스 간 지원을 제공합니다. 몇 가지 다른 방법을 통해 이렇게 연결할 수 있습니다.

이 문서에서는 API 기반 데이터 커넥터 그룹에 공통적인 정보를 제공합니다.

참고 항목

US Government 클라우드의 기능 가용성에 대한 자세한 내용은 US Government 고객을 위한 클라우드 기능 가용성의 Microsoft Sentinel 표를 참조하세요.

필수 조건

  • Log Analytics 작업 영역에 대한 읽기 및 쓰기 권한이 있어야 합니다.

  • Microsoft Sentinel 작업 영역의 테넌트에 대한 전역 관리자 또는 보안 관리자 역할이 있어야 합니다.

  • 데이터 커넥터 관련 요구 사항:

    데이터 커넥터 라이선싱, 비용 및 기타 필수 조건
    Microsoft Entra ID 보호 - Microsoft Entra ID P2 구독
    - 다른 요금이 부과될 수 있습니다.
    Dynamics 365 - Microsoft Dynamics 365 프로덕션 라이선스. 샌드박스 환경에서는 사용할 수 없습니다.
    - 한 명 이상의 사용자에게 Microsoft/Office 365 E1 이상 라이선스가 할당되었습니다.
    - Microsoft Purview에서 사용하도록 설정된 감사 로깅입니다. 감사 켜기 또는 끄기를 참조하세요.
    - Microsoft Dataverse 환경에서 사용하도록 설정된 감사 로깅입니다. Microsoft Dataverse 및 모델 기반 앱 활동 로깅을 참조하세요.
    - 다른 요금이 부과될 수 있습니다.
    Microsoft Defender for Cloud 앱 Cloud Discovery 로그의 경우 클라우드용 Microsoft Defender 앱에서 Microsoft Sentinel을 SIEM으로 사용하도록 설정
    엔드포인트에 대한 Microsoft Defender Endpoint용 Microsoft Defender 배포를 위한 유효한 라이선스
    Office 365용 Microsoft Defender Office 365 ATP 플랜 2에 대한 유효한 라이선스
    Microsoft Office 365 - Office 365 배포는 Microsoft Sentinel 작업 영역과 동일한 테넌트에 있어야 합니다.
    - 다른 요금이 부과될 수 있습니다.
    Microsoft Power BI - Office 365 배포는 Microsoft Sentinel 작업 영역과 동일한 테넌트에 있어야 합니다.
    - 다른 요금이 부과될 수 있습니다.
    Microsoft Purview 정보 보호 - Office 365 배포는 Microsoft Sentinel 작업 영역과 동일한 테넌트에 있어야 합니다.
    - 다른 요금이 부과될 수 있습니다.
    Microsoft Purview IRM(내부 위험 관리) - Microsoft 365 E5/A5/G5 또는 해당 규정 준수 또는 IRM 추가 기능에 대한 유효한 구독.
    - Microsoft Purview 내부 위험 관리가 완전히 온보딩되고 IRM 정책이 정의되고 경고가 생성됩니다.
    Microsoft Sentinel 커넥터를 통해 경고를 받을 수 있도록 IRM 경고를 Office 365 관리 활동 API로 내보내도록 - 구성된 Microsoft 365 IRM.

지침

  1. Microsoft Sentinel 탐색 메뉴에서 데이터 커넥터를 선택합니다.

  2. 데이터 커넥터 갤러리에서 서비스를 선택한 다음, 미리 보기 창에서 커넥터 페이지 열기를 선택합니다.

  3. 연결을 선택하여 서비스에서 Microsoft Sentinel로 이벤트 및/또는 경고 스트리밍을 시작합니다.

  4. 커넥터 페이지에 인시던트 만들기 - 권장됨!이라는 섹션이 있는 경우 경고에서 인시던트를 자동으로 만들려면 사용을 선택합니다.

데이터 커넥터 참조 페이지의 서비스 커넥터 섹션에 나타나는 테이블 이름을 사용하여 각 서비스의 데이터를 찾고 쿼리할 수 있습니다.

다음 단계

자세한 내용은 다음을 참조하세요.