업로드 지표 API를 사용하여 Microsoft Sentinel에 위협 인텔리전스 플랫폼 연결
많은 조직에서 TIP(위협 인텔리전스 플랫폼) 솔루션을 사용하여 다양한 원본에서 위협 지표 피드를 집계합니다. 집계된 피드에서 데이터는 네트워크 디바이스, EDR/XDR 솔루션 또는 SIEM(예: Microsoft Sentinel)과 같은 보안 솔루션에 적용하도록 큐레이팅됩니다. 위협 인텔리전스 업로드 지표 API를 사용하면 이러한 솔루션을 사용하여 위협 지표를 Microsoft Sentinel로 가져올 수 있습니다. 업로드 표시기 API는 데이터 커넥터 없이 위협 인텔리전스 지표를 Microsoft Sentinel에 수집합니다. 데이터 커넥터는 이 문서에 자세히 설명된 API 엔드포인트에 연결하기 위한 지침과 추가 API 참조 문서 Microsoft Sentinel 업로드 표시기 API만 미러링합니다.
위협 인텔리전스에 대한 자세한 내용은 위협 인텔리전스를 참조 하세요.
Important
Microsoft Sentinel 위협 인텔리전스 업로드 표시기 API는 미리 보기로 제공됩니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.
Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼의 일부로 사용할 수 있습니다. 이제 Defender 포털의 Microsoft Sentinel이 프로덕션용으로 지원됩니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.
참고 항목
US Government 클라우드의 기능 가용성에 대한 자세한 내용은 US Government 고객을 위한 클라우드 기능 가용성의 Microsoft Sentinel 표를 참조하세요.
참고 항목: STIX/TAXII 위협 인텔리전스 피드에 Microsoft Sentinel 연결
필수 조건
- 콘텐츠 허브에서 독립 실행형 콘텐츠 또는 솔루션을 설치, 업데이트, 삭제하려면 리소스 그룹 수준에서 Microsoft Sentinel 기여자 역할이 있어야 합니다. API 엔드포인트를 사용하기 위해 데이터 커넥터를 설치할 필요가 없습니다.
- 위협 지표를 저장할 Microsoft Sentinel 작업 영역에 대한 읽기 및 쓰기 권한이 있어야 합니다.
- Microsoft Entra 애플리케이션을 등록해야 합니다.
- Microsoft Entra 애플리케이션에는 작업 영역 수준에서 Microsoft Sentinel 기여자 역할이 부여되어야 합니다.
지침
다음 단계에 따라 통합 TIP 또는 사용자 지정 위협 인텔리전스 솔루션에서 Microsoft Sentinel로 위협 지표를 가져옵니다.
- Microsoft Entra 애플리케이션을 등록하고 해당 애플리케이션 ID를 기록합니다.
- Microsoft Entra 애플리케이션에 대한 클라이언트 비밀을 생성하고 기록합니다.
- Microsoft Entra 애플리케이션에 Microsoft Sentinel 기여자 역할 또는 이와 동등한 역할을 할당합니다.
- TIP 솔루션 또는 사용자 지정 애플리케이션을 구성합니다.
Microsoft Entra 애플리케이션 등록
기본 사용자 역할 권한이 있으면 사용자가 애플리케이션 등록을 만들 수 있습니다. 이 설정이 아니요로 전환된 경우 Microsoft Entra ID에서 애플리케이션을 관리할 수 있는 권한이 필요합니다. 다음 Microsoft Entra 역할에는 필요한 권한이 포함됩니다.
- 애플리케이션 관리자
- 애플리케이션 개발자
- 클라우드 애플리케이션 관리자
Microsoft Entra 애플리케이션 등록에 대한 자세한 내용은 애플리케이션 등록을 참조하세요.
애플리케이션을 등록한 후에는 애플리케이션의 개요 탭에서 해당 애플리케이션(클라이언트) ID를 기록합니다.
클라이언트 비밀 생성 및 기록
이제 애플리케이션이 등록되었으므로 클라이언트 비밀을 생성하고 기록합니다.
클라이언트 비밀을 생성하는 방법에 대한 자세한 내용은 클라이언트 비밀 추가를 참조하세요.
애플리케이션에 역할 할당
업로드 지표 API는 작업 영역 수준에서 위협 지표를 수집하고 Microsoft Sentinel 기여자의 최소 권한 역할을 허용합니다.
Azure Portal에서 Log Analytics 작업 영역으로 이동합니다.
액세스 제어(IAM) 를 선택합니다.
추가>역할 할당 추가를 선택합니다.
역할 탭에서 Microsoft Sentinel 기여자 역할 >다음을 선택합니다.
구성원 탭에서 액세스 권한 할당>사용자, 그룹 또는 서비스 주체를 선택합니다.
구성원을 선택합니다. 기본적으로 Microsoft Entra 애플리케이션은 사용 가능한 옵션에 표시되지 않습니다. 애플리케이션을 찾으려면 해당 이름으로 검색합니다.
>검토 + 할당을 선택합니다.
애플리케이션에 역할을 할당하는 방법에 대한 자세한 내용은 애플리케이션에 역할 할당을 참조하세요.
Microsoft Sentinel에 위협 인텔리전스 업로드 표시기 API 데이터 커넥터 설치(선택 사항)
위협 인텔리전스 업로드 표시기 API 데이터 커넥터를 설치하여 Microsoft Sentinel 작업 영역에서 API 연결 지침을 확인합니다.
Azure Portal의 Microsoft Sentinel에서는 콘텐츠 관리에서 콘텐츠 허브를 선택합니다.
Defender 포털의 Microsoft Sentinel에서는, Microsoft Sentinel>콘텐츠 관리>콘텐츠 허브를 선택합니다.위협 인텔리전스 솔루션을 찾아 선택합니다.
설치/업데이트 단추를 선택합니다.
솔루션 구성 요소를 관리하는 방법에 대한 자세한 내용은 기본 제공 콘텐츠 검색 및 배포를 참조하세요.
이제 데이터 커넥터가 구성>데이터 커넥터에 표시됩니다. 이 API로 애플리케이션을 구성하는 방법에 대한 자세한 내용을 보려면 데이터 커넥터 페이지를 엽니다.
TIP 솔루션 또는 사용자 지정 애플리케이션 구성
업로드 지표 API에 필요한 구성 정보는 다음과 같습니다.
- 애플리케이션(클라이언트) ID
- 클라이언트 암호
- Microsoft Sentinel 작업 영역 ID
필요한 경우 통합 TIP 또는 사용자 지정 솔루션의 구성에 이러한 값을 입력합니다.
Microsoft Sentinel 업로드 API에 지표를 제출합니다. 업로드 지표 API에 대한 자세한 내용은 Microsoft Sentinel 업로드 지표 API를 참조하세요.
몇 분 이내에 위협 지표가 Microsoft Sentinel 작업 영역으로 흐르기 시작합니다. Microsoft Sentinel 탐색 메뉴에서 액세스할 수 있는 위협 인텔리전스 블레이드에서 새 지표를 찾습니다.
데이터 커넥터 상태는 연결됨 상태를 반영하며 지표가 제출되면 수신된 데이터 그래프가 업데이트됩니다.
관련 콘텐츠
이 문서에서는 위협 인텔리전스 플랫폼을 Microsoft Sentinel에 연결하는 방법을 알아보았습니다. Microsoft Sentinel에서 위협 지표를 사용하는 방법을 자세히 알아보려면 다음 문서를 참조하세요.
- 위협 인텔리전스 이해.
- Microsoft Sentinel 환경 전반에 걸쳐 위협 지표로 작업합니다.
- Microsoft Sentinel에서 기본 제공 또는 사용자 지정 분석 규칙을 사용하여 위협 검색을 시작합니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기