Microsoft Sentinel Azure 서비스 및 외부 솔루션을 위한 광범위한 기본 제공 커넥터를 제공하며 전용 커넥터 없이 일부 원본에서 데이터를 수집할 수도 있습니다.
사용 가능한 기존 솔루션을 사용하여 데이터 원본을 Microsoft Sentinel 연결할 수 없는 경우 사용자 고유의 데이터 원본 커넥터를 만드는 것이 좋습니다.
지원되는 커넥터의 전체 목록은 Microsoft Sentinel 데이터 커넥터 찾기)를 참조하세요.
사용자 지정 커넥터 메서드 비교
다음 표에서는 이 문서에 설명된 사용자 지정 커넥터를 만들기 위한 각 메서드에 대한 필수 세부 정보를 비교합니다. 각 메서드에 대한 자세한 내용은 테이블에서 링크를 선택합니다.
| 메서드 설명 | 기능 | 하지 않는 | 복잡성 |
|---|---|---|---|
|
CCF(Codeless Connector Framework) 기술 대상이 적은 경우 고급 개발 대신 구성 파일을 사용하여 SaaS 커넥터를 만드는 데 가장 적합합니다. |
코드와 함께 사용할 수 있는 모든 기능을 지원합니다. | 예 | 낮은; 단순하고 코드 없는 개발 |
|
Azure Monitor 에이전트 온-프레미스 및 IaaS 원본에서 파일을 수집하는 데 가장 적합합니다. |
파일 컬렉션, 데이터 변환 | 아니요 | 낮음 |
|
Logstash 온-프레미스 및 IaaS 원본, 플러그 인을 사용할 수 있는 모든 원본 및 Logstash에 이미 익숙한 조직에 가장 적합합니다. |
Azure Monitor 에이전트의 모든 기능을 지원합니다. | 아니요; 를 실행하려면 VM 또는 VM 클러스터가 필요합니다. | 낮은; 는 플러그 인을 사용하여 많은 시나리오를 지원합니다. |
|
Logic Apps 높은 비용; 대용량 데이터에 대한 방지 볼륨이 낮은 클라우드 원본에 가장 적합합니다. |
코드리스 프로그래밍을 사용하면 알고리즘 구현을 지원하지 않고도 유연성이 제한됩니다. 요구 사항을 이미 지원하는 사용 가능한 작업이 없는 경우 사용자 지정 작업을 만들면 복잡성이 더해질 수 있습니다. |
예 | 낮은; 단순하고 코드 없는 개발 |
|
Azure Monitor의 로그 수집 API 통합을 구현하는 ISV 및 고유한 컬렉션 요구 사항에 가장 적합합니다. |
코드와 함께 사용할 수 있는 모든 기능을 지원합니다. | 구현에 따라 다름 | 높음 |
|
Azure Functions 대용량 클라우드 원본 및 고유한 컬렉션 요구 사항에 가장 적합합니다. |
코드와 함께 사용할 수 있는 모든 기능을 지원합니다. | 예 | 높은; 프로그래밍 지식 필요 |
팁
동일한 커넥터에 Logic Apps 및 Azure Functions 사용하는 비교는 다음을 참조하세요.
- Microsoft Sentinel 빠르게 Web Application Firewall 로그 수집
- Office 365(Microsoft Sentinel GitHub 커뮤니티): 논리 앱 커넥터 | Azure 함수 커넥터
코드리스 커넥터 프레임워크로 연결
CCF(Codeless Connector Framework)는 고객과 파트너가 모두 사용하고 사용자 고유의 작업 영역에 배포하거나 Microsoft Sentinel 콘텐츠 허브에 대한 솔루션으로 배포할 수 있는 구성 파일을 제공합니다.
CCF를 사용하여 만든 커넥터는 서비스 설치에 대한 요구 사항 없이 완전히 SaaS이며 Microsoft Sentinel 상태 모니터링 및 전폭적인 지원을 포함합니다.
자세한 내용은 Microsoft Sentinel 대한 코드리스 커넥터 만들기를 참조하세요.
Azure Monitor 에이전트와 연결
데이터 원본이 텍스트 파일에 이벤트를 전달하는 경우 Azure Monitor 에이전트를 사용하여 사용자 지정 커넥터를 만드는 것이 좋습니다.
자세한 내용은 Azure Monitor 에이전트를 사용하여 텍스트 파일에서 로그 수집을 참조하세요.
이 방법의 예제는 Azure Monitor 에이전트를 사용하여 JSON 파일에서 로그 수집을 참조하세요.
Logstash로 연결
Logstash에 익숙한 경우 Microsoft Sentinel Logstash 출력 플러그 인과 함께 Logstash를 사용하여 사용자 지정 커넥터를 만들 수 있습니다.
Microsoft Sentinel Logstash 출력 플러그 인을 사용하면 모든 Logstash 입력 및 필터링 플러그 인을 사용하고 Microsoft Sentinel Logstash 파이프라인의 출력으로 구성할 수 있습니다. Logstash에는 Event Hubs, Apache Kafka, Files, 데이터베이스 및 클라우드 서비스와 같은 다양한 원본의 입력을 사용하도록 설정하는 대형 플러그 인 라이브러리가 있습니다. 필터링 플러그 인을 사용하여 이벤트를 구문 분석하고, 불필요한 이벤트를 필터링하고, 값을 난독 처리합니다.
Logstash를 사용자 지정 커넥터로 사용하는 예제는 다음을 참조하세요.
유용한 Logstash 플러그 인의 예는 다음을 참조하세요.
팁
Logstash를 사용하면 클러스터를 사용하여 크기가 조정된 데이터 수집도 사용할 수 있습니다. 자세한 내용은 부하가 분산된 Logstash VM을 대규모로 사용을 참조하세요.
Logic Apps를 사용하여 연결
Azure Logic Apps를 사용하여 Microsoft Sentinel 서버리스 사용자 지정 커넥터를 만듭니다.
참고
Logic Apps를 사용하여 서버리스 커넥터를 만드는 것이 편리할 수 있지만 커넥터에 Logic Apps를 사용하면 대량의 데이터에 비용이 많이 들 수 있습니다.
이 메서드는 볼륨이 낮은 데이터 원본에만 사용하거나 데이터 업로드를 보강하는 것이 좋습니다.
다음 트리거 중 하나를 사용하여 Logic Apps를 시작합니다.
트리거 설명 되풀이 작업 예를 들어 논리 앱을 예약하여 특정 파일, 데이터베이스 또는 외부 API에서 정기적으로 데이터를 검색합니다.
자세한 내용은 Azure Logic Apps에서 되풀이 작업 및 워크플로 만들기, 예약 및 실행을 참조하세요.주문형 트리거 수동 데이터 수집 및 테스트를 위해 주문형 논리 앱을 실행합니다.
자세한 내용은 HTTPS 엔드포인트를 사용하여 논리 앱 호출, 트리거 또는 중첩을 참조하세요.HTTP/S 엔드포인트 스트리밍 및 원본 시스템에서 데이터 전송을 시작할 수 있는 경우 권장됩니다.
자세한 내용은 HTTP 또는 HTTPS를 통해 서비스 엔드포인트 호출을 참조하세요.정보를 읽는 논리 앱 커넥터를 사용하여 이벤트를 가져옵니다. 예시:
팁
REST API, SQL Server 및 파일 시스템에 대한 사용자 지정 커넥터는 온-프레미스 데이터 원본에서 데이터 검색도 지원합니다. 자세한 내용은 온-프레미스 데이터 게이트웨이 설치 설명서를 참조하세요.
검색할 정보를 준비합니다.
예를 들어 JSON 구문 분석 작업을 사용하여 JSON 콘텐츠의 속성에 액세스하여 논리 앱에 대한 입력을 지정할 때 동적 콘텐츠 목록에서 해당 속성을 선택할 수 있습니다.
자세한 내용은 Azure Logic Apps에서 데이터 작업 수행을 참조하세요.
Log Analytics에 데이터를 씁니다.
자세한 내용은 Azure Log Analytics 데이터 수집기 설명서를 참조하세요.
Logic Apps를 사용하여 Microsoft Sentinel 위한 사용자 지정 커넥터를 만드는 방법에 대한 예제는 다음을 참조하세요.
- 데이터 수집기 API를 사용하여 데이터 파이프라인 만들기
- 웹후크를 사용하는 Palo Alto Prisma Logic App 커넥터(Microsoft Sentinel GitHub 커뮤니티)
- 예약된 활성화를 사용하여 Microsoft Teams 통화 보호 (블로그)
- AlienVault OTX 위협 지표를 Microsoft Sentinel 수집(블로그)
로그 수집 API로 연결
Log Analytics 데이터 수집기 API를 사용하여 RESTful 엔드포인트를 직접 호출하여 이벤트를 Microsoft Sentinel 스트리밍할 수 있습니다.
RESTful 엔드포인트를 직접 호출하려면 더 많은 프로그래밍이 필요하지만 더 많은 유연성을 제공합니다.
자세한 내용은 다음 문서를 참조하세요.
Azure Functions 연결
Azure Functions RESTful API 및 PowerShell과 같은 다양한 코딩 언어와 함께 사용하여 서버리스 사용자 지정 커넥터를 만듭니다.
이 메서드의 예제는 다음을 참조하세요.
- VMware Carbon Black Cloud 엔드포인트 Standard 연결하여 Azure 함수를 사용하여 Microsoft Sentinel
- okta Single Sign-On 연결하여 Azure 함수를 사용하여 Microsoft Sentinel
- Proofpoint TAP를 Azure 함수를 사용하여 Microsoft Sentinel 연결
- Qualys VM을 Azure 함수를 사용하여 Microsoft Sentinel 연결
- XML, CSV 또는 기타 데이터 형식 수집
- Microsoft Sentinel 사용하여 확대/축소 모니터링(블로그)
- Microsoft Sentinel(Microsoft Sentinel GitHub 커뮤니티)에 Office 365 관리 API 데이터를 가져오기 위한 함수 앱 배포
사용자 지정 커넥터 데이터 구문 분석
사용자 지정 커넥터를 사용하여 수집된 데이터를 활용하려면 커넥터와 함께 작동하도록 ASIM(고급 보안 정보 모델) 파서를 개발 합니다. ASIM을 사용하면 Microsoft Sentinel 기본 제공 콘텐츠가 사용자 지정 데이터를 사용할 수 있으며 분석가가 데이터를 더 쉽게 쿼리할 수 있습니다.
커넥터 메서드가 허용하는 경우 커넥터의 일부로 구문 분석의 일부를 구현하여 쿼리 시간 구문 분석 성능을 향상시킬 수 있습니다.
- Logstash를 사용한 경우Grok 필터 플러그 인을 사용하여 데이터를 구문 분석합니다.
- Azure 함수를 사용한 경우 코드를 사용하여 데이터를 구문 분석합니다.
ASIM 파서를 구현해야 하지만 커넥터를 사용하여 직접 구문 분석의 일부를 구현하면 구문 분석이 간소화되고 성능이 향상됩니다.
다음 단계
Microsoft Sentinel 수집된 데이터를 사용하여 다음 프로세스로 환경을 보호합니다.