Microsoft Sentinel 데이터 커넥터 찾기

  • 적용 대상: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

이 문서에서는 지원되는 모든 기본 제공 데이터 커넥터와 각 커넥터의 배포 단계에 대한 링크를 나열합니다.

중요

데이터 커넥터는 다음 제품의 일부로 제공됩니다.

참고

미국 정부 클라우드의 기능 가용성에 대한 자세한 내용은 미국 정부 고객을 위한 클라우드 기능 가용성의 Microsoft Sentinel 테이블을 참조하세요.

데이터 커넥터 필수 구성 요소

각 데이터 커넥터에는 고유한 필수 구성 요소 집합이 있습니다. 필수 구성 요소에는 Azure 작업 영역, 구독 또는 정책에 대한 특정 권한이 포함될 수 있습니다. 연결하려는 파트너 데이터 원본에 대한 다른 요구 사항을 충족해야 할 수도 있습니다.

각 데이터 커넥터에 대한 필수 구성 요소는 이 문서 및 Microsoft Sentinel 관련 데이터 커넥터 페이지에 나열되어 있습니다.

Azure AMA(Monitor 에이전트) 기반 데이터 커넥터에는 에이전트가 설치된 시스템에서 인터넷 연결이 필요합니다. 포트 443 아웃바운드를 사용하도록 설정하여 에이전트가 설치된 시스템과 Microsoft Sentinel 시스템 간의 연결을 허용합니다.

Syslog 및 CEF(Common Event Format) 커넥터

많은 보안 어플라이언스 및 디바이스의 로그 수집은 Microsoft Sentinel AMA를 통해 AMA 또는 CEF(Common Event Format)를 통해 데이터 커넥터 Syslog에서 지원됩니다. Microsoft Sentinel Log Analytics 작업 영역으로 데이터를 전달하려면 Syslog 및 CEF 메시지 수집의 단계를 완료하여 Azure Monitor 에이전트와 Microsoft Sentinel. 이러한 단계에는 Microsoft Sentinel 콘텐츠 허브에서 보안 어플라이언스 또는 디바이스에 대한 Microsoft Sentinel 솔루션을 설치하는 것이 포함됩니다. 그런 다음 설치한 Microsoft Sentinel 솔루션에 적합한 AMA 데이터 커넥터를 통해 AMA 또는 CEF(Common Event Format)통해 Syslog를 구성합니다. 보안 디바이스 또는 어플라이언스 구성하여 설정을 완료합니다. 다음 문서 중 하나에서 보안 디바이스를 구성하거나 어플라이언스 지침을 찾습니다.

자세한 내용이나 어플라이언스 또는 디바이스에 대한 정보를 사용할 수 없는 경우 솔루션 공급자에게 문의하세요.

AMA 커넥터를 통한 사용자 지정 로그

Microsoft Sentinel AMA 커넥터를 통해 사용자 지정 로그를 사용하여 Windows 또는 Linux 컴퓨터에 설치된 네트워크 또는 보안 애플리케이션에서 텍스트 파일 형식으로 로그를 필터링하고 수집합니다. 자세한 내용은 다음 문서를 참조하세요.

Sentinel 데이터 커넥터

참고

다음 표에서는 Microsoft Sentinel Content Hub에서 사용할 수 있는 데이터 커넥터를 나열합니다. 커넥터는 제품 공급업체에서 지원됩니다. 지원은 지원됨 링크를 참조하세요.

Microsoft Sentinel 수집된 테이블 목록과 이를 수집하는 커넥터는 Microsoft Sentinel 테이블 및 연결된 커넥터를 참조하세요.

1패스워드(서버리스)

지원:1Password

1Password CCF 커넥터를 사용하면 사용자가 1Password Audit, Signin & ItemUsage 이벤트를 Microsoft Sentinel 수집할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
OnePasswordEventLogs_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • 1Password API 토큰: 1Password API 토큰이 필요합니다. API 토큰을 만드는 방법에 대한 1Password 설명서를 참조하세요.

설치 지침:

1단계 - 1Password API 토큰 만들기:

이 단계에 대한 지침 은 1Password 설명서를 따르세요.

2단계 - 올바른 기본 URL을 선택합니다.

이벤트를 호스트할 수 있는 여러 1Password 서버가 있습니다. 올바른 서버는 라이선스 및 지역에 따라 달라집니다. 1Password 설명서에 따라 올바른 서버를 선택합니다. 설명서에 표시된 대로 기본 URL을 입력합니다('https://'을 포함하며 후행 '/'이 없음).

3단계 - 1Password 세부 정보를 입력합니다.

아래에 1Password 기본 URL & API 토큰을 입력합니다.

  • 기본 URL: (기본 URL 입력)
  • API 토큰: (API 토큰 입력)
  • 연결 사용/사용 안 함



1패스워드(Azure Functions 사용)

지원:1Password

Microsoft Sentinel 1Password 솔루션을 사용하면 1Password 이벤트 보고 API를 사용하여 1Password Business 계정에서 로그인 시도, 항목 사용 및 감사 이벤트를 수집할 수 있습니다. 이렇게 하면 organization 사용하는 다른 애플리케이션 및 서비스와 함께 Microsoft Sentinel 1Password의 이벤트를 모니터링하고 조사할 수 있습니다.

사용되는 기본 Microsoft 기술:

이 솔루션은 다음 기술에 따라 달라지며, 그 중 일부는 미리 보기 상태이거나 추가 수집 또는 운영 비용이 발생할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
OnePasswordEventLogs_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

참고: 1Password Business 계정이 필요합니다.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 1Password에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 Azure 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

1단계 - 1Password 이벤트 보고 API에 대한 구성 단계

1Password에서 제공하는 다음 지침에 따라 이벤트 보고 API 토큰을 가져옵니다. 참고: 1Password Business 계정이 필요합니다.

2단계 - DeployToAzure 단추를 사용하여 functionApp을 배포하여 테이블, dcr 및 연결된 Azure 함수를 만듭니다.

중요: 1Password 커넥터를 배포하기 전에 사용자 지정 테이블을 만들어야 합니다.

옵션 1 - ARM(Azure Resource Manager) 템플릿

이 메서드는 ARM Tempate를 사용하여 1Password 커넥터의 자동화된 배포를 제공합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 작업 영역 이름, 작업 영역 이름, 1Password 이벤트 API 키 및 URI를 입력합니다.

  • 기본 시간 간격 은 5분으로 설정됩니다. 간격을 수정하려는 경우 함수 앱 타이머 트리거를 적절하게 조정하여(function.json 파일, 배포 후) 데이터 수집이 겹치지 않도록 할 수 있습니다.
  • 참고: 위의 값에 Azure Key Vault 비밀을 사용하는 경우 문자열 값 대신 스키마를 사용합니다@Microsoft.KeyVault(SecretUri={Security Identifier}). 자세한 내용은 Key Vault 참조 설명서를 참조하세요.
  1. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.
  2. 구매를 클릭하여 배포합니다.



AbnormalSecurity(Azure 함수 사용)

지원:비정상적인 보안

비정상적인 보안 데이터 커넥터는 비정상적인 보안 Rest API를 사용하여 위협 및 사례 로그를 Microsoft Sentinel 수집하는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ABNORMAL_THREAT_MESSAGES_CL 아니요 아니요
ABNORMAL_CASES_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • 비정상적인 보안 API 토큰: 비정상적인 보안 API 토큰이 필요합니다. 자세한 내용은 비정상적인 보안 API 참조하세요. 참고: 비정상적인 보안 계정이 필요합니다.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 비정상적인 보안의 REST API에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

1단계 - 비정상적인 보안 API 대한 구성 단계

비정상적인 보안에서 제공하는 다음 지침에 따라 REST API 통합을 구성합니다. 참고: 비정상적인 보안 계정이 필요합니다.

2단계 - 커넥터 및 연결된 Azure 함수를 배포하려면 다음 두 가지 배포 옵션 중 하나를 선택합니다.

중요: 비정상적인 보안 데이터 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)와 비정상적인 보안 API 권한 부여 토큰을 쉽게 사용할 수 있습니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

옵션 1 - ARM(Azure Resource Manager) 템플릿

이 메서드는 ARM 템플릿을 사용하여 비정상적인 보안 커넥터의 자동화된 배포를 제공합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 공유 키 및 비정상적인 보안 REST API 키를 Microsoft Sentinel Microsoft Sentinel 작업 영역 ID를 입력합니다.

  • 기본 시간 간격 은 데이터의 마지막 5분(5분)을 끌어오도록 설정됩니다. 시간 간격을 수정해야 하는 경우 겹치는 데이터 수집을 방지하기 위해 함수 앱 타이머 트리거를 적절하게 변경하는 것이 좋습니다(function.json 파일, 배포 후).
  1. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.
  2. 구매를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions(Visual Studio Code 통해 배포)를 사용하여 비정상적인 보안 데이터 커넥터를 수동으로 배포합니다.

  1. 함수 앱 배포

참고: Azure 함수 개발을 위해 VS 코드를 준비해야 합니다.

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.

  2. VS Code를 시작합니다. 주 메뉴에서 파일을 선택하고 폴더 열기를 선택합니다.

  3. 추출된 파일에서 최상위 폴더를 선택합니다.

  4. 작업 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 함수에 배포 앱 단추를 선택합니다. 아직 로그인하지 않은 경우 활동 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 로그인을 선택하여 Azure 이미 로그인한 경우 다음 단계로 이동합니다.

  5. 프롬프트에서 다음 정보를 제공합니다.

    a. 폴더 선택: 작업 영역에서 폴더를 선택하거나 함수 앱이 포함된 폴더로 이동합니다.

    b. 구독을 선택합니다. 사용할 구독을 선택합니다.

    c. Azure 새 함수 앱 만들기를 선택합니다(고급 옵션을 선택하지 않음).

    d. 함수 앱의 전역적으로 고유한 이름을 입력합니다 . URL 경로에 유효한 이름을 입력합니다. 입력한 이름은 Azure Functions 고유하도록 유효성을 검사합니다. (예: AbnormalSecurityXX).

    e. 런타임 선택: Python 3.8을 선택합니다.

    f. 새 리소스의 위치를 선택합니다. 성능 향상 및 비용 절감을 위해 Microsoft Sentinel 있는 동일한 지역을 선택합니다.

  6. 배포가 시작됩니다. 함수 앱이 만들어지고 배포 패키지가 적용된 후 알림이 표시됩니다.

  7. 함수 앱 구성에 대한 Azure 포털로 이동합니다.

  8. 함수 앱 구성

  9. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.

  10. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.

  11. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri(선택 사항)(함수 앱에 필요한 다른 설정 추가) 값을 로 설정합니다 uri . <add uri value>

참고: 위의 값에 Azure Key Vault 비밀을 사용하는 경우 문자열 값 대신 스키마를 사용합니다@Microsoft.KeyVault(SecretUri={Security Identifier}). 자세한 내용은 Azure Key Vault 참조 설명서를 참조하세요.

  • logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 다음 형식으로 값을 지정합니다.https://<CustomerId>.ods.opinsights.azure.us.
  1. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



Agent 365

지원:Microsoft Corporation

Agent 365 데이터 커넥터는 Microsoft Sentinel 데이터 레이크의 Agent 365, AI Foundry 및 Copilot에서 AI 에이전트 원격 분석을 가져와 헌팅, 그래프 및 MCP 워크플로를 사용하여 에이전트 동작, 도구 사용 및 실행을 조사함으로써 AI 에이전트 활동에 대한 풍부한 인사이트를 제공합니다. 이 커넥터의 데이터는 Microsoft Sentinel AI 에이전트 동작, 도구 사용량 및 실행을 조사하는 데 사용됩니다. 이러한 워크플로를 사용하도록 설정한 경우 이 커넥터를 비활성화하면 해당 조사가 수행되지 않습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집

데이터 수집 규칙 지원: 현재 지원되지 않음

설치 지침:



AIShield

지원:AIShield

AIShield 커넥터를 사용하면 사용자가 Microsoft Sentinel AIShield 사용자 지정 방어 메커니즘 로그에 연결할 수 있으므로 동적 대시보드, 통합 문서, Notebook 및 맞춤형 경고를 만들어 AI 시스템에 대한 조사를 개선하고 공격을 저지할 수 있습니다. 사용자에게 organization AI 자산 보안 태세에 대한 더 많은 인사이트를 제공하고 AI 시스템 보안 운영 기능을 개선합니다. AIShield.GuArdIan은 LLM 생성 콘텐츠를 분석하여 유해한 콘텐츠를 식별하고 완화하여 법적, 정책, 역할 기반 및 사용 기반 위반으로부터 보호합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
AIShield_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • 참고: 사용자는 AIShield SaaS 제품을 활용하여 취약성 분석을 수행하고 AI 자산과 함께 생성된 사용자 지정 방어 메커니즘을 배포했어야 합니다. 자세한 내용을 확인하거나 연락하려면 여기를 클릭하십시오.

설치 지침:

참고: 이 데이터 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 Microsoft Sentinel Solution과 함께 배포되는 예상 AIShield로 작동합니다.

중요: AIShield 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키를 갖습니다(다음에서 복사할 수 있음).

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>



Alibaba Cloud ActionTrail(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

Alibaba Cloud ActionTrail 데이터 커넥터는 Alibaba Cloud Simple Log Service에 저장된 actiontrail 이벤트를 검색하고 SLS REST API를 통해 Microsoft Sentinel 저장하는 기능을 제공합니다. 커넥터를 사용하면 이벤트 검색을 통해 잠재적인 보안 위험을 평가하고, 공동 작업을 모니터링하고, 구성 문제를 진단하고 해결할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
AliCloudActionTrailLogs_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • SLS REST API 자격 증명/권한: API 호출을 수행하려면 AliCloudAccessKeyIdAliCloudAccessKeySecret 이 필요합니다. RAM 사용자에게 이 작업을 호출할 수 있는 권한을 부여하려면 리소스 acs:log:{#regionId}:{#accountId}:project/{#ProjectName}/logstore/{#LogstoreName} 에 대한 실행 권한이 log:GetLogStoreLogs 있는 RAM 정책 설명이 필요합니다.

설치 지침:

AliCloud SLS API에 대한 액세스 구성

API를 사용하기 전에 API에 효과적으로 액세스하려면 ID 계정을 준비하고 키 쌍에 액세스해야 합니다.

  1. RAM(리소스 액세스 관리) 사용자를 사용하여 API 작업을 호출하는 것이 좋습니다. 자세한 내용은 RAM 사용자 만들기 및 RAM 사용자에게 단순 로그 서비스에 대한 액세스 권한 부여를 참조하세요.
  2. RAM 사용자에 대한 액세스 키 쌍을 가져옵니다. 자세한 내용은 액세스 키 쌍 가져오기를 참조하세요.

다음 단계에 대한 액세스 키 쌍 세부 정보를 확인합니다.

ActionTrail Logstore 추가

Microsoft Sentinel Alibaba Cloud ActionTrail 커넥터를 사용하도록 설정하려면 ActionTrail Logstore 추가를 클릭하고 양식을 Alibaba Cloud 환경 구성으로 입력하고 연결을 클릭합니다.

  • 데이터 커넥터 그리드(포털에서 구성)



Alibaba Cloud 네트워킹 데이터 커넥터(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

Alibaba Cloud 네트워킹 데이터 커넥터는 SLS(Simple Log Service) REST API를 통해 Alibaba Cloud 네트워킹 데이터를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 API 설명서를 참조하세요. 커넥터는 Alibaba Cloud에서 VPC 흐름 로그, WAF 로그 및 API 게이트웨이 로그를 가져오는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
AlibabaCloudVPCFlowLogs 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Alibaba Cloud SLS API 액세스: SLS API에는 Alibaba Cloud Simple Log Service 액세스가 필요합니다.

설치 지침:

AliCloud SLS API에 대한 액세스 구성

API를 사용하기 전에 API에 효과적으로 액세스하려면 ID 계정을 준비하고 키 쌍에 액세스해야 합니다.

  1. RAM(리소스 액세스 관리) 사용자를 사용하여 API 작업을 호출하는 것이 좋습니다. 자세한 내용은 RAM 사용자 만들기 및 RAM 사용자에게 단순 로그 서비스에 대한 액세스 권한 부여를 참조하세요.
  2. RAM 사용자에 대한 액세스 키 쌍을 가져옵니다. 자세한 내용은 액세스 키 쌍 가져오기를 참조하세요.

다음 단계에 대한 액세스 키 쌍 세부 정보를 확인합니다.

  • 데이터 커넥터 그리드(포털에서 구성)



AliCloud(Azure Functions 사용)

지원:Microsoft Corporation

AliCloud 데이터 커넥터는 클라우드 API를 사용하여 클라우드 애플리케이션에서 로그를 검색하고 REST API를 통해 이벤트를 Microsoft Sentinel 저장하는 기능을 제공합니다. 커넥터를 사용하면 이벤트 검색을 통해 잠재적인 보안 위험을 평가하고, 공동 작업을 모니터링하고, 구성 문제를 진단하고 해결할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
AliCloud_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • REST API 자격 증명/권한: API 호출을 수행하려면 AliCloudAccessKeyIdAliCloudAccessKey 가 필요합니다.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Azure Blob Storage API에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 데이터 수집 및 데이터를 Azure Blob Storage 비용에 저장하는 추가 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지Azure Blob Storage 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

참고: 이 데이터 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 Microsoft Sentinel Solution과 함께 배포되는 예상된 AliCloud로 작동합니다.

1단계 - AliCloud API에 대한 구성 단계

지침에 따라 자격 증명을 가져옵니다.

  1. AliCloudAccessKeyId 및 AliCloudAccessKey를 가져옵니다. 계정에 로그인하고 AccessKey 관리를 클릭한 다음 비밀 보기를 클릭합니다.
  2. 데이터 커넥터에서 사용하기 위한 자격 증명을 저장합니다.

2단계 - 커넥터 및 연결된 Azure 함수를 배포하려면 다음 두 가지 배포 옵션 중 하나를 선택합니다.

중요: AliCloud 데이터 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키를 갖습니다(다음에서 복사할 수 있음).

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

옵션 1 - ARM(Azure Resource Manager) 템플릿

ARM 템플릿을 사용하여 AliCloud 데이터 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

참고: 동일한 리소스 그룹 내에서는 Windows 및 Linux 앱을 동일한 지역에 혼합할 수 없습니다. Windows 앱이 없는 기존 리소스 그룹을 선택하거나 새 리소스 그룹을 만듭니다. 3. WorkspaceID, WorkspaceKey, AliCloudAccessKeyId, AliCloudAccessKey, AliCloudProjects 및 AppInsightsWorkspaceResourceID 를 입력하고 배포합니다. 4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다. 5. 구매 를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions(Visual Studio Code 통해 배포)를 사용하여 AliCloud 데이터 커넥터를 수동으로 배포합니다.

  1. 함수 앱 배포

참고: Azure 함수 개발을 위해 VS 코드를 준비해야 합니다.

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.

  2. VS Code를 시작합니다. 주 메뉴에서 파일을 선택하고 폴더 열기를 선택합니다.

  3. 추출된 파일에서 최상위 폴더를 선택합니다.

  4. 작업 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 함수에 배포 앱 단추를 선택합니다. 아직 로그인하지 않은 경우 활동 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 로그인을 선택하여 Azure 이미 로그인한 경우 다음 단계로 이동합니다.

  5. 프롬프트에서 다음 정보를 제공합니다.

    a. 폴더 선택: 작업 영역에서 폴더를 선택하거나 함수 앱이 포함된 폴더로 이동합니다.

    b. 구독을 선택합니다. 사용할 구독을 선택합니다.

    c. Azure 새 함수 앱 만들기를 선택합니다(고급 옵션을 선택하지 않음).

    d. 함수 앱의 전역적으로 고유한 이름을 입력합니다 . URL 경로에 유효한 이름을 입력합니다. 입력한 이름은 Azure Functions 고유하도록 유효성을 검사합니다. (예: AliCloudXXXXX).

    e. 런타임 선택: Python 3.11을 선택합니다.

    f. 새 리소스의 위치를 선택합니다. 성능 향상 및 비용 절감을 위해 Microsoft Sentinel 있는 동일한 지역을 선택합니다.

  6. 배포가 시작됩니다. 함수 앱이 만들어지고 배포 패키지가 적용된 후 알림이 표시됩니다.

  7. 함수 앱 구성에 대한 Azure 포털로 이동합니다.

  8. 함수 앱 구성

  9. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.

  10. 애플리케이션 설정 탭에서 새 애플리케이션 설정을 선택합니다.

  11. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. WorkspaceID WorkspaceKey AliCloudAccessKeyId AliCloudAccessKey AliCloudProjects AppInsightsWorkspaceResourceID

  • logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 값을 형식https://<CustomerId>.ods.opinsights.azure.us으로 지정합니다.
  1. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



Amazon Web Services

지원:Microsoft Corporation

AWS에 연결하고 CloudTrail 로그를 Microsoft Sentinel 스트리밍하는 지침은 설치 프로세스 중에 표시됩니다. 자세한 내용은 Microsoft Sentinel 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
AWSCloudTrail

데이터 수집 규칙 지원:작업 영역 변환 DCR

Amazon Web Services CloudFront(코드리스 커넥터 프레임워크를 통해)(미리 보기)

지원:Microsoft Corporation

이 데이터 커넥터를 사용하면 AWS CloudFront 로그와 Microsoft Sentinel 통합하여 고급 위협 탐지, 조사 및 보안 모니터링을 지원할 수 있습니다. 커넥터는 로그 스토리지에 Amazon S3을 사용하고 메시지 큐에 Amazon SQS를 활용하여 CloudFront 액세스 로그를 안정적으로 수집합니다Microsoft Sentinel

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
AWSCloudFront_AccessLog_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

Microsoft Sentinel AWS CloudFront 로그 수집

필요한 리소스 목록:

  • OIDC(Open ID Connect) 웹 ID 공급자
  • IAM 역할
  • Amazon S3 버킷
  • Amazon SQS
  • AWS CloudFront 구성
  1. AWS CloudFormation 배포 AWS에 대한 액세스를 구성하기 위해 S3 버킷에서 Log Analytics 작업 영역으로 로그를 보내도록 AWS 환경을 설정하기 위해 두 개의 템플릿이 생성되었습니다.

각 템플릿에 대해 AWS에서 Stack을 만듭니다.

  1. AWS CloudFormation Stacks로 이동합니다.
  2. '템플릿 지정' 옵션을 선택한 다음, '파일 선택'을 클릭하고 아래에 제공된 적절한 CloudFormation 템플릿 파일을 선택하여 '템플릿 파일업로드'를 선택합니다. '파일 선택'을 클릭하고 다운로드한 템플릿을 선택합니다.
  3. '다음' 및 '스택 만들기'를 클릭합니다.
  • 템플릿 1: OpenID 연결 인증 배포: <설치 시 제공되는 변수 값>
  • 템플릿 2: AWSCloudFront 리소스 배포: <설치 시 제공되는 변수 값>
  1. 새 수집기 연결 Microsoft Sentinel AWS S3을 사용하도록 설정하려면 새 수집기 추가 단추를 클릭하고 컨텍스트 창에서 필요한 정보를 입력하고 연결을 클릭합니다.
  • 데이터 커넥터 그리드(포털에서 구성)



Amazon Web Services 탄력적 부하 분산(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

Microsoft Sentinel 대한 AWS ELB(탄력적 부하 분산) 커넥터를 사용하면 ALB(AWS Application Load Balancer), NLB(네트워크 부하 분산 장치) 및 GLB(게이트웨이 부하 분산 장치)에서 Microsoft Sentinel 액세스 로그 및 흐름 로그를 수집할 수 있습니다. 이러한 로그는 부하 분산 장치 및 VPC 트래픽 흐름에서 처리되는 요청에 대한 자세한 정보를 제공하여 보안 모니터링, 위협 탐지 및 트래픽 분석을 가능하게 합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
AWSALBAccessLogsData 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • AWS IAM 역할 ARN 및 SQS 큐: 계정 간 액세스 권한이 있는 AWS IAM 역할 ARN 과 S3 이벤트 알림에 대해 구성된 SQS 큐 URL 이 필요합니다. 설치 지침 은 AWS ELB 커넥터 설명서를 참조하세요.

설치 지침:

  1. AWS CloudFormation 배포 AWS에 대한 액세스를 구성하려면 CloudFormation 템플릿을 사용하여 ALB, NLB 및 GLB에서 Log Analytics 작업 영역으로 로그를 보내는 환경을 설정합니다.

배포 단계:

  1. 클라우드 형성 템플릿으로 이동하여 JSON 템플릿 파일을 다운로드합니다.
  2. AWS CloudFormation Stacks로 이동합니다.
  3. 먼저 OIDCWebIdProvider.json 템플릿을 배포합니다(Microsoft Sentinel 대한 OIDC 공급자가 이미 있는 경우 건너뛰기).
  4. 그런 다음 매개 변수를 사용하여 AWSS3ELB.json 템플릿을 배포합니다.
  5. 스택 출력에서 다음 값을 적어둡니다.
    • IAMRoleArn
    • ALBSQSQueueURL
    • NLBSQSQueueURL
    • NLBFlowLogsSQSQueueURL
    • GLBFlowLogsSQSQueueURL

배포 후 구성:

CloudFormation 스택이 성공적으로 배포되면 다음을 수행합니다.

  • 스택의 리소스 탭으로 이동합니다.
  • 만든 S3 버킷 이름을 찾습니다.
  • S3 버킷에서 다음 폴더를 수동으로 만듭니다.
    • ALBLogs
    • NLBAccessLogs
    • NLBFlowLogs
    • GLBFlowLogs

로그 보내기:

폴더를 만든 후 적절한 폴더에 로그를 보내도록 AWS 서비스를 구성합니다.

  • ALB 액세스 로그 ->ALBLogs/
  • NLB 액세스 로그 ->NLBAccessLogs/
  • NLB 흐름 로그 ->NLBFlowLogs/
  • GLB 흐름 로그 ->GLBFlowLogs/

이러한 로그는 Log Analytics 작업 영역의 해당 테이블에 수집됩니다.

테이블 매핑:

  • ALB 액세스 로그 ->AWSALBAccessLogsData
  • NLB 액세스 로그 ->AWSNLBAccessLogsData
  • NLB 및 GLB 흐름 로그 ->AWSELBFlowLogsData

참고:AWSELBFlowLogsData 테이블에서 라는 LogType 열은 행이 NLB 흐름 로그 또는 GLB 흐름 로그에서 온 것인지 여부를 나타냅니다.

  1. 새 수집기 연결 커넥터를 사용하도록 설정하려면 새 수집기 추가를 클릭하고 필요한 세부 정보를 입력한 다음 연결을 클릭합니다.
  • 데이터 커넥터 그리드(포털에서 구성)



Amazon Web Services NetworkFirewall(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

이 데이터 커넥터를 사용하면 고급 위협 탐지 및 보안 모니터링을 위해 AWS 네트워크 방화벽 로그를 Microsoft Sentinel 수집할 수 있습니다. 커넥터는 Amazon S3 및 Amazon SQS를 활용하여 네트워크 트래픽 로그, 침입 검색 경고 및 방화벽 이벤트를 Microsoft Sentinel 전달하여 실시간 분석 및 다른 보안 데이터와의 상관 관계를 가능하게 합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
AWSNetworkFirewallFlow

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

Microsoft Sentinel AWS NetworkFirewall 로그 수집

필요한 리소스 목록:

  1. AWS CloudFormation 배포 AWS에 대한 액세스를 구성하기 위해 S3 버킷에서 Log Analytics 작업 영역으로 로그를 보내도록 AWS 환경을 설정하기 위해 두 개의 템플릿이 생성되었습니다.

각 템플릿에 대해 AWS에서 Stack을 만듭니다.

  1. AWS CloudFormation Stacks로 이동합니다.
  2. '템플릿 지정' 옵션을 선택한 다음, '파일 선택'을 클릭하고 아래에 제공된 적절한 CloudFormation 템플릿 파일을 선택하여 '템플릿 파일업로드'를 선택합니다. '파일 선택'을 클릭하고 다운로드한 템플릿을 선택합니다.
  3. '다음' 및 '스택 만들기'를 클릭합니다.
  • 템플릿 1: OpenID 연결 인증 배포: <설치 시 제공되는 변수 값>
  • 템플릿 2: AWSNetworkFirewall 리소스 배포: <설치 시 제공되는 변수 값>
  1. 새 수집기 연결 Microsoft Sentinel AWS S3을 사용하도록 설정하려면 새 수집기 추가 단추를 클릭하고 컨텍스트 창에서 필요한 정보를 입력하고 연결을 클릭합니다.
  • 데이터 커넥터 그리드(포털에서 구성)



Amazon Web Services S3

지원:Microsoft Corporation

이 커넥터를 사용하면 AWS S3 버킷에서 수집된 AWS 서비스 로그를 수집하여 Microsoft Sentinel 수 있습니다. 현재 지원되는 데이터 형식은 다음과 같습니다.

  • AWS CloudTrail
  • VPC 흐름 로그
  • AWS GuardDuty
  • AWSCloudWatch

자세한 내용은 Microsoft Sentinel 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
AWSGuardDuty
AWSVPCFlow
AWSCloudTrail
AWSCloudWatch

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • 환경: S3, SQS(Simple Queue Service), IAM 역할 및 권한 정책 및 수집하려는 로그가 있는 AWS 서비스 등 AWS 리소스를 정의하고 구성해야 합니다.

설치 지침:

1. AWS 환경 설정

S3 버킷에서 Log Analytics 작업 영역으로 로그를 보내도록 AWS 환경을 설정하는 두 가지 옵션이 있습니다.

PowerShell 스크립트를 사용하여 설정(권장)

  • 스크립트를 실행하여 환경 설정: <설치 시 제공되는 변수 값>
  • 외부 ID(작업 영역 ID): <설치 시 제공되는 변수 값>

수동 설정

다음 링크의 지침에 따라 환경을 설정합니다. AWS S3을 Microsoft Sentinel

2. 연결 추가



Amazon Web Services S3 DNS Route53(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

이 커넥터를 사용하면 향상된 가시성 및 위협 탐지를 위해 AWS Route 53 DNS 로그를 Microsoft Sentinel 수집할 수 있습니다. AWS S3 버킷에서 직접 수집되는 DNS 확인자 쿼리 로그를 지원하며, 공용 DNS 쿼리 로그 및 Route 53 감사 로그는 Microsoft Sentinel AWS CloudWatch 및 CloudTrail 커넥터를 사용하여 수집할 수 있습니다. 각 로그 유형의 설정을 안내하는 포괄적인 지침이 제공됩니다. 이 커넥터를 활용하여 DNS 활동을 모니터링하고, 잠재적 위협을 감지하고, 클라우드 환경에서 보안 태세를 개선합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
AWSRoute53Resolver

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

AWS Route53

이 커넥터를 사용하면 AWS Route 53 DNS 로그를 Microsoft Sentinel 수집하여 DNS 활동에 대한 향상된 가시성을 제공하고 위협 탐지 기능을 강화할 수 있습니다. AWS S3 버킷에서 DNS 확인자 쿼리 로그의 직접 수집을 지원하며, 공용 DNS 쿼리 로그 및 Route 53 감사 로그는 Microsoft Sentinel AWS CloudWatch 및 CloudTrail 커넥터를 통해 수집할 수 있습니다. 각 로그 유형에 대한 자세한 설정 지침이 제공됩니다. 이 커넥터를 사용하여 DNS 트래픽을 모니터링하고, 잠재적 위협을 식별하고, 클라우드 보안 태세를 향상시킵니다.

AWS Route 53에서 Microsoft Sentinel 다음 유형의 로그를 수집할 수 있습니다.

  1. Route 53 Resolver 쿼리 로그
  2. Route 53 공용 호스팅 영역 쿼리 로그(Microsoft Sentinel CloudWatch 커넥터를 통해)
  3. 경로 53 감사 로그(Microsoft Sentinel CloudTrail 커넥터를 통해)

Microsoft Sentinel Route53 Resolver 쿼리 로그 수집

필요한 리소스 목록:

  • OIDC(Open ID Connect) 웹 ID 공급자
  • IAM 역할
  • Amazon S3 버킷
  • Amazon SQS
  • Route 53 Resolver 쿼리 로깅 구성
  • Route53 Resolver 쿼리 로그 구성과 연결할 VPC
  1. AWS CloudFormation 배포 AWS에 대한 액세스를 구성하기 위해 S3 버킷에서 Log Analytics 작업 영역으로 로그를 보내도록 AWS 환경을 설정하기 위해 두 개의 템플릿이 생성되었습니다.

각 템플릿에 대해 AWS에서 Stack을 만듭니다.

  1. AWS CloudFormation Stacks로 이동합니다.
  2. '템플릿 지정' 옵션을 선택한 다음, '파일 선택'을 클릭하고 아래에 제공된 적절한 CloudFormation 템플릿 파일을 선택하여 '템플릿 파일업로드'를 선택합니다. '파일 선택'을 클릭하고 다운로드한 템플릿을 선택합니다.
  3. '다음' 및 '스택 만들기'를 클릭합니다.
  • 템플릿 1: OpenID 연결 인증 배포: <설치 시 제공되는 변수 값>
  • 템플릿 2: AWS Route53 리소스 배포: <설치 시 제공되는 변수 값>
  1. 새 수집기 연결 Amazon Web Services S3 DNS Route53을 Microsoft Sentinel 사용하도록 설정하려면 새 수집기 추가 단추를 클릭하고 컨텍스트 창에서 필요한 정보를 입력하고 연결을 클릭합니다.
  • 데이터 커넥터 그리드(포털에서 구성)

Route 53 공용 호스팅 영역 쿼리 로그 수집(Microsoft Sentinel CloudWatch 커넥터를 통해)

퍼블릭 호스팅 영역 쿼리 로그는 AWS의 CloudWatch 서비스로 내보내집니다. 'Amazon Web Services S3' 커넥터를 사용하여 AWS에서 Microsoft Sentinel CloudWatch 로그를 수집할 수 있습니다.

1단계: 공용 DNS 쿼리에 대한 로깅 구성

  1. AWS 관리 콘솔에 로그인하고 AWS Route 53에서 Route 53 콘솔을 엽니다.
  2. 경로 53 > 호스팅 영역으로 이동합니다.
  3. 쿼리 로깅을 구성하려는 공용 호스팅 영역을 선택합니다.
  4. 호스트된 영역 세부 정보 창에서 "쿼리 로깅 구성"을 클릭합니다.
  5. 기존 로그 그룹을 선택하거나 새 로그 그룹을 만듭니다.
  6. 만들기를 선택합니다.

2단계: AWS CloudWatch용 Amazon Web Services S3 데이터 커넥터 구성

AWS CloudWatch 로그는 람다 함수를 사용하여 S3 버킷으로 내보낼 수 있습니다. 공용 DNS 쿼리를 AWS CloudWatch 버킷으로 S3 수집한 다음 Microsoft Sentinel Amazon Web Services S3 커넥터에 제공된 지침을 따릅니다.

경로 53 감사 로그 수집(Microsoft Sentinel CloudTrail 커넥터를 통해)

경로 53 감사 로그 즉, Route 53의 사용자, 역할 또는 AWS 서비스에서 수행한 작업과 관련된 로그를 AWS CloudTrail 서비스를 통해 S3 버킷으로 내보낼 수 있습니다. 'Amazon Web Services S3' 커넥터를 사용하여 AWS에서 Microsoft Sentinel CloudTrail 로그를 수집할 수 있습니다.

1단계: AWS Route 53 감사 로그에 대한 로깅 구성

  1. AWS 관리 콘솔에 로그인하고 AWS CloudTrail에서 CloudTrail 콘솔을 엽니다.
  2. 기존 내역이 없는 경우 '트레일 만들기'를 클릭합니다.
  3. 트레일 이름 필드에 내역 이름을 입력합니다.
  4. 새 S3 버킷 만들기를 선택합니다(기존 S3 버킷을 사용하도록 선택할 수도 있음).
  5. 다른 설정을 기본값으로 두고 다음을 클릭합니다.
  6. 이벤트 유형을 선택하고 관리 이벤트가 선택되어 있는지 확인합니다.
  7. API 활동, '읽기' 및 '쓰기' 선택
  8. 다음을 클릭합니다.
  9. 설정을 검토하고 '추적 만들기'를 클릭합니다.

2단계: AWS CloudTrail용 Amazon Web Services S3 데이터 커넥터 구성

감사 및 관리 로그를 AWS CloudTrail Microsoft Sentinel 수집하려면 Amazon Web Services S3 커넥터에 제공된 지침을 따릅니다.



Amazon Web Services S3 WAF

지원:Microsoft Corporation

이 커넥터를 사용하면 AWS S3 버킷에서 수집된 AWS WAF 로그를 수집하여 Microsoft Sentinel 수 있습니다. AWS WAF 로그는 웹 애플리케이션의 보안 및 성능을 유지하는 데 필수적인 ACL(웹 액세스 제어 목록)이 분석하는 트래픽에 대한 자세한 레코드입니다. 이러한 로그에는 AWS WAF가 요청을 받은 시간, 요청의 세부 정보 및 요청이 일치하는 규칙에서 수행한 작업과 같은 정보가 포함됩니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
AWSWAF

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

  1. AWS CloudFormation 배포 AWS에 대한 액세스를 구성하기 위해 S3 버킷에서 Log Analytics 작업 영역으로 로그를 보내도록 AWS 환경을 설정하기 위해 두 개의 템플릿이 생성되었습니다.

각 템플릿에 대해 AWS에서 Stack을 만듭니다.

  1. AWS CloudFormation Stacks로 이동합니다.
  2. '템플릿 지정' 옵션을 선택한 다음, '파일 선택'을 클릭하고 아래에 제공된 적절한 CloudFormation 템플릿 파일을 선택하여 '템플릿 파일 업로드'를 선택합니다. '파일 선택'을 클릭하고 다운로드한 템플릿을 선택합니다.
  3. '다음' 및 '스택 만들기'를 클릭합니다.
  • 템플릿 1: OpenID 연결 인증 배포: <설치 시 제공되는 변수 값>
  • 템플릿 2: AWS WAF 리소스 배포: <설치 시 제공되는 변수 값>
  1. 새 수집기 연결 Microsoft Sentinel AWS S3을 사용하도록 설정하려면 새 수집기 추가 단추를 클릭하고 컨텍스트 창에서 필요한 정보를 입력하고 연결을 클릭합니다.
  • 데이터 커넥터 그리드(포털에서 구성)



Anvilogic

지원자:Anvilogic

Anvilogic 데이터 커넥터를 사용하면 Anvilogic ADX 클러스터에서 생성된 관심 있는 이벤트를 Microsoft Sentinel

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Anvilogic_Alerts_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Anvilogic Application Registration 클라이언트 ID 및 클라이언트 암호: Anvilogic ADX에 액세스하려면 Anvilogic 앱 등록의 클라이언트 ID 및 클라이언트 암호가 필요합니다.

설치 지침:

Anvilogic에 연결하여 Microsoft Sentinel 관심 있는 이벤트 수집 시작

양식을 작성하여 Microsoft Sentinel

  • 토큰 엔드포인트: (https://login[.]microsoftonline[.]com/<tenant_id>/oauth2/v2.0/token)
  • Anvilogic ADX Scope: (<avl_adx_uri>/.default)
  • Anvilogic ADX 요청 URI: (<avl_adx_uri>/v2/rest/query)



ARGOS Cloud Security

지원:ARGOS Cloud Security

Microsoft Sentinel 대한 ARGOS Cloud Security 통합을 사용하면 모든 중요한 클라우드 보안 이벤트를 한 곳에 배치할 수 있습니다. 이렇게 하면 대시보드, 경고를 쉽게 만들고 여러 시스템에서 이벤트를 상호 연결할 수 있습니다. 전반적으로 이렇게 하면 organization 보안 태세 및 보안 인시던트 대응이 향상됩니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ARGOS_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

설치 지침:

1. ARGOS 구독

이미 ARGOS 구독을 소유하고 있는지 확인합니다. 그렇지 않은 경우 ARGOS Cloud Security 로 이동하여 ARGOS에 등록합니다.

또는 Azure Marketplace를 통해 ARGOS를 구매할 수도 있습니다.

2. ARGOS에서 Sentinel 통합 구성

ARGOS에 작업 영역 ID 및 기본 키를 제공하여 Sentinel 작업 영역에 새 검색을 전달하도록 ARGOS를 구성합니다.

사용자 지정 인프라를 배포할 필요가 없습니다.

ARGOS Sentinel 구성 페이지에 정보를 입력합니다.

새 검색이 자동으로 전달됩니다.

통합에 대해 자세히 알아보기

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>



Armis 경고 활동(Azure Functions 사용)

지원:Armis Corporation

Armis 경고 활동 커넥터는 Armis REST API를 통해 Armis 경고 및 활동을 Microsoft Sentinel 수집할 수 있는 기능을 제공합니다. 자세한 내용은 API 설명서: https://<YourArmisInstance>.armis.com/api/v1/docs 를 참조하세요. 커넥터는 Armis 플랫폼에서 경고 및 활동 정보를 얻고 사용자 환경에서 위협을 식별하고 우선 순위를 지정하는 기능을 제공합니다. Armis는 기존 인프라를 사용하여 에이전트를 배포하지 않고도 디바이스를 검색하고 식별합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Armis_Alerts_CL 아니요 아니요
Armis_Activities_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • REST API 자격 증명/권한: Armis 비밀 키가 필요합니다. 에서 API에 대해 자세히 알아보려면 설명서를 참조하세요. https://<YourArmisInstance>.armis.com/api/v1/doc

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Armis API에 연결하여 로그를 Microsoft Sentinel. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

참고: 이 데이터 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 솔루션의 일부로 배포되는 예상대로 작동합니다. Log Analytics에서 함수 코드를 보려면 Log Analytics/Microsoft Sentinel 로그 블레이드를 열고 함수를 클릭하고 별칭 ArmisActivities/ArmisAlerts를 검색하고 함수 코드를 로드합니다. 함수는 일반적으로 솔루션 설치/업데이트 후 활성화하는 데 10-15분이 걸립니다.

1단계 - Armis API에 대한 구성 단계

다음 지침에 따라 Armis API 비밀 키를 만듭니다.

  1. Armis instance 로그인
  2. 설정으로 이동 -> API Management
  3. 비밀 키가 아직 만들어지지 않은 경우 만들기 단추를 눌러 비밀 키를 만듭니다.
  4. 비밀 키에 액세스하려면 표시 단추를 누릅니다.
  5. 이제 Armis Alerts Activities 커넥터 구성 중에 비밀 키를 복사하고 사용할 수 있습니다.

2단계 - Microsoft Entra ID 애플리케이션에 대한 앱 등록 단계

이 통합에는 Azure Portal 앱 등록이 필요합니다. 이 섹션의 단계에 따라 Microsoft Entra ID 새 애플리케이션을 만듭니다.

  1. Azure 포털에 로그인합니다.
  2. Microsoft Entra ID 검색하여 선택합니다.
  3. 관리에서 새 등록 앱 등록 > 선택합니다.
  4. 애플리케이션의 표시 이름을 입력합니다.
  5. 등록을 선택하여 초기 앱 등록을 완료합니다.
  6. 등록이 완료되면 Azure Portal 앱 등록의 개요 창이 표시됩니다. 애플리케이션(클라이언트) ID 및 테넌트 ID가 표시됩니다. 클라이언트 ID 및 테넌트 ID는 Armis Alerts Activities Data Connector 실행을 위한 구성 매개 변수로 필요합니다.

참조 링크:/azure/active-directory/develop/quickstart-register-app

3단계 - Microsoft Entra ID 애플리케이션에 대한 클라이언트 암호 추가

애플리케이션 암호라고도 하는 클라이언트 암호는 Armis Alerts Activities Data Connector를 실행하는 데 필요한 문자열 값입니다. 이 섹션의 단계에 따라 새 클라이언트 암호를 만듭니다.

  1. Azure Portal 앱 등록 애플리케이션을 선택합니다.
  2. 인증서 & 비밀 > 클라이언트 비밀 새 클라이언트 비밀을 >선택합니다.
  3. 클라이언트 비밀에 대한 설명을 추가합니다.
  4. 비밀에 대한 만료를 선택하거나 사용자 지정 수명을 지정합니다. 한도는 24개월입니다.
  5. 추가를 선택합니다.
  6. 클라이언트 애플리케이션 코드에서 사용할 비밀 값을 기록합니다. 이 비밀 값은 이 페이지를 떠난 후에 다시는 표시되지 않습니다. 비밀 값은 Armis Alerts Activities Data Connector를 실행하기 위한 구성 매개 변수로 필요합니다.

참조 링크:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

4단계 - Microsoft Entra ID 애플리케이션에 기여자 역할 할당

이 섹션의 단계에 따라 역할을 할당합니다.

  1. Azure Portal 리소스 그룹으로 이동하여 리소스 그룹을 선택합니다.
  2. 왼쪽 패널에서 액세스 제어(IAM) 로 이동합니다.
  3. 추가를 클릭한 다음 역할 할당 추가를 선택합니다.
  4. 역할로 기여자를 선택하고 다음을 클릭합니다.
  5. 에 대한 액세스 할당에서 를 선택합니다User, group, or service principal.
  6. 구성원 추가를 클릭하고 만든 앱 이름을 입력 하고 선택합니다.
  7. 이제 검토 + 할당을 클릭한 다음 검토 + 할당을 다시 클릭합니다.

참조 링크:/azure/role-based-access-control/role-assignments-portal

5단계 - Keyvault 만들기

다음 지침에 따라 새 Keyvault를 만듭니다.

  1. Azure Portal 키 자격 증명 모음으로 이동합니다. 만들기를 클릭합니다.
  2. Subsciption, Resource Group을 선택하고 keyvault의 고유한 이름을 제공합니다.

참고: 하나의 작업 영역 내에서 각 API 키에 대해 별도의 키 자격 증명 모음을 만듭니다.

6단계 - Keyvault에서 액세스 정책 만들기

다음 지침에 따라 Keyvault에서 액세스 정책을 만듭니다.

  1. keyvaults로 이동하고, keyvault를 선택하고, 왼쪽 패널의 액세스 정책으로 이동합니다. 만들기를 클릭합니다.
  2. 모든 키 & 비밀 권한을 선택합니다. 다음을 클릭합니다.
  3. 보안 주체 섹션에서 STEP - 2에서 생성된 애플리케이션 이름으로 검색합니다. 다음을 클릭합니다.

참고: Key Vault 액세스 구성의 권한 모델이 '자격 증명 모음 액세스 정책'으로 설정되어 있는지 확인합니다.

7단계 - 커넥터 및 연결된 Azure 함수를 배포하려면 다음 두 가지 배포 옵션 중 하나를 선택합니다.

중요: Armis 경고 활동 데이터 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)를 쉽게 사용할 수 있습니다... 및 Armis API 권한 부여 키

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

옵션 1 - ARM(Azure Resource Manager) 템플릿

Armis 커넥터의 자동화된 배포에 이 메서드를 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.msaka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 아래 정보를 입력합니다. 함수 이름 작업 영역 ID 작업 영역 키 Armis 비밀 키 Armis URL(https://< armis-instance.armis.com/api/v1/>) Armis 경고 테이블 이름
    Armis 활동 테이블 이름 심각도(기본값: 낮음) Armis Schedule KeyVault name Azure Client Id Azure Client Secret Tenant Id

  4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  5. 구매를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions(Visual Studio Code 통해 배포)를 사용하여 Armis Alerts Activities 데이터 커넥터를 수동으로 배포합니다.

  1. 함수 앱 배포

참고: Azure 함수 개발을 위해 VS 코드를 준비해야 합니다.

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.

  2. VS Code를 시작합니다. 주 메뉴에서 파일을 선택하고 폴더 열기를 선택합니다.

  3. 추출된 파일에서 최상위 폴더를 선택합니다.

  4. 작업 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 함수에 배포 앱 단추를 선택합니다. 아직 로그인하지 않은 경우 활동 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 로그인을 선택하여 Azure 이미 로그인한 경우 다음 단계로 이동합니다.

  5. 프롬프트에서 다음 정보를 제공합니다.

    a. 폴더 선택: 작업 영역에서 폴더를 선택하거나 함수 앱이 포함된 폴더로 이동합니다.

    b. 구독을 선택합니다. 사용할 구독을 선택합니다.

    c. Azure 새 함수 앱 만들기를 선택합니다(고급 옵션을 선택하지 않음).

    d. 함수 앱의 전역적으로 고유한 이름을 입력합니다 . URL 경로에 유효한 이름을 입력합니다. 입력한 이름은 Azure Functions 고유하도록 유효성을 검사합니다. (예: ARMISXXXXX).

    e. 런타임 선택: Python 3.11 선택

    f. 새 리소스의 위치를 선택합니다. 성능 향상 및 비용 절감을 위해 Microsoft Sentinel 있는 동일한 지역을 선택합니다.

  6. 배포가 시작됩니다. 함수 앱이 만들어지고 배포 패키지가 적용된 후 알림이 표시됩니다.

  7. 함수 앱 구성에 대한 Azure 포털로 이동합니다.

  8. 함수 앱 구성

  9. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.

  10. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.

  11. 각 값(대/소문자 구분):작업 영역 ID 작업 영역 키 Armis 비밀 키 Armis URL(https:// armis-instance.armis.com/api/v1/<>) Armis 경고 테이블 이름 Armis 활동 테이블 이름 심각도(기본값: 낮음) Armis Schedule KeyVault Name Azure 클라이언트 ID Azure 클라이언트 암호 테넌트 ID logAnalyticsUri(선택 사항)

  • logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 값을 형식https://<CustomerId>.ods.opinsights.azure.us으로 지정합니다.
  1. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



Armis 디바이스(Azure Functions 사용)

지원:Armis Corporation

Armis 디바이스 커넥터는 Armis REST API를 통해 Armis 디바이스를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 API 설명서: https://<YourArmisInstance>.armis.com/api/v1/docs 를 참조하세요. 커넥터는 Armis 플랫폼에서 디바이스 정보를 가져오는 기능을 제공합니다. Armis는 기존 인프라를 사용하여 에이전트를 배포하지 않고도 디바이스를 검색하고 식별합니다. 또한 Armis는 기존 IT & 보안 관리 도구와 통합하여 사용자 환경에서 관리되거나 관리되지 않는 모든 디바이스를 식별하고 분류할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Armis_Devices_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • REST API 자격 증명/권한: Armis 비밀 키가 필요합니다. 에서 API에 대해 자세히 알아보려면 설명서를 참조하세요. https://<YourArmisInstance>.armis.com/api/v1/doc

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Armis API에 연결하여 로그를 Microsoft Sentinel. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

참고: 이 데이터 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 예상대로 작동합니다. 다음 단계에 따라 Kusto 함수 별칭 ArmisDevice를 만듭니다.

1단계 - Armis API에 대한 구성 단계

다음 지침에 따라 Armis API 비밀 키를 만듭니다.

  1. Armis instance 로그인
  2. 설정으로 이동 -> API Management
  3. 비밀 키가 아직 만들어지지 않은 경우 만들기 단추를 눌러 비밀 키를 만듭니다.
  4. 비밀 키에 액세스하려면 표시 단추를 누릅니다.
  5. 이제 Armis 디바이스 커넥터 구성 중에 비밀 키를 복사하고 사용할 수 있습니다.

2단계 - Microsoft Entra ID 애플리케이션에 대한 앱 등록 단계

이 통합에는 Azure Portal 앱 등록이 필요합니다. 이 섹션의 단계에 따라 Microsoft Entra ID 새 애플리케이션을 만듭니다.

  1. Azure 포털에 로그인합니다.
  2. Microsoft Entra ID 검색하여 선택합니다.
  3. 관리에서 새 등록 앱 등록 > 선택합니다.
  4. 애플리케이션의 표시 이름을 입력합니다.
  5. 등록을 선택하여 초기 앱 등록을 완료합니다.
  6. 등록이 완료되면 Azure Portal 앱 등록의 개요 창이 표시됩니다. 애플리케이션(클라이언트) ID 및 테넌트 ID가 표시됩니다. 클라이언트 ID 및 테넌트 ID는 Armis Device Data Connector 실행을 위한 구성 매개 변수로 필요합니다.

참조 링크:/azure/active-directory/develop/quickstart-register-app

3단계 - Microsoft Entra ID 애플리케이션에 대한 클라이언트 암호 추가

애플리케이션 암호라고도 하는 클라이언트 암호는 Armis Device Data Connector를 실행하는 데 필요한 문자열 값입니다. 이 섹션의 단계에 따라 새 클라이언트 암호를 만듭니다.

  1. Azure Portal 앱 등록 애플리케이션을 선택합니다.
  2. 인증서 & 비밀 > 클라이언트 비밀 새 클라이언트 비밀을 >선택합니다.
  3. 클라이언트 비밀에 대한 설명을 추가합니다.
  4. 비밀에 대한 만료를 선택하거나 사용자 지정 수명을 지정합니다. 한도는 24개월입니다.
  5. 추가를 선택합니다.
  6. 클라이언트 애플리케이션 코드에서 사용할 비밀 값을 기록합니다. 이 비밀 값은 이 페이지를 떠난 후에 다시는 표시되지 않습니다. 비밀 값은 Armis Device Data Connector를 실행하기 위한 구성 매개 변수로 필요합니다.

참조 링크:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

4단계 - Microsoft Entra ID 애플리케이션에 기여자 역할 할당

이 섹션의 단계에 따라 역할을 할당합니다.

  1. Azure Portal 리소스 그룹으로 이동하여 리소스 그룹을 선택합니다.
  2. 왼쪽 패널에서 액세스 제어(IAM) 로 이동합니다.
  3. 추가를 클릭한 다음 역할 할당 추가를 선택합니다.
  4. 역할로 기여자를 선택하고 다음을 클릭합니다.
  5. 에 대한 액세스 할당에서 를 선택합니다User, group, or service principal.
  6. 구성원 추가를 클릭하고 만든 앱 이름을 입력 하고 선택합니다.
  7. 이제 검토 + 할당을 클릭한 다음 검토 + 할당을 다시 클릭합니다.

참조 링크:/azure/role-based-access-control/role-assignments-portal

5단계 - Keyvault 만들기

다음 지침에 따라 새 Keyvault를 만듭니다.

  1. Azure Portal 키 자격 증명 모음으로 이동합니다. 만들기를 클릭합니다.
  2. Subsciption, Resource Group을 선택하고 keyvault의 고유한 이름을 제공합니다.

참고: 하나의 작업 영역 내에서 각 API 키에 대해 별도의 키 자격 증명 모음을 만듭니다.

6단계 - Keyvault에서 액세스 정책 만들기

다음 지침에 따라 Keyvault에서 액세스 정책을 만듭니다.

  1. keyvaults로 이동하고, keyvault를 선택하고, 왼쪽 패널의 액세스 정책으로 이동합니다. 만들기를 클릭합니다.
  2. 모든 키 & 비밀 권한을 선택합니다. 다음을 클릭합니다.
  3. 보안 주체 섹션에서 STEP - 2에서 생성된 애플리케이션 이름으로 검색합니다. 다음을 클릭합니다.

참고: Key Vault 액세스 구성의 권한 모델이 '자격 증명 모음 액세스 정책'으로 설정되어 있는지 확인합니다.

7단계 - 커넥터 및 연결된 Azure 함수를 배포하려면 다음 두 가지 배포 옵션 중 하나를 선택합니다.

중요: Armis 디바이스 데이터 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)를 쉽게 사용할 수 있습니다... 및 Armis API 권한 부여 키

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

옵션 1 - ARM(Azure Resource Manager) 템플릿

Armis 커넥터의 자동화된 배포에 이 메서드를 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.msaka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 아래 정보를 입력합니다. 함수 이름 작업 영역 ID 작업 영역 키 Armis 비밀 키 Armis URL(https://< armis-instance.armis.com/api/v1/>) Armis 디바이스 테이블 이름 Armis Schedule KeyVault Name Azure 클라이언트 ID Azure 클라이언트 암호 테넌트 ID

  4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  5. 구매를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions(Visual Studio Code 통해 배포)를 사용하여 Armis Device 데이터 커넥터를 수동으로 배포합니다.

  1. 함수 앱 배포

참고: Azure 함수 개발을 위해 VS 코드를 준비해야 합니다.

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.

  2. VS Code를 시작합니다. 주 메뉴에서 파일을 선택하고 폴더 열기를 선택합니다.

  3. 추출된 파일에서 최상위 폴더를 선택합니다.

  4. 작업 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 함수에 배포 앱 단추를 선택합니다. 아직 로그인하지 않은 경우 활동 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 로그인을 선택하여 Azure 이미 로그인한 경우 다음 단계로 이동합니다.

  5. 프롬프트에서 다음 정보를 제공합니다.

    a. 폴더 선택: 작업 영역에서 폴더를 선택하거나 함수 앱이 포함된 폴더로 이동합니다.

    b. 구독을 선택합니다. 사용할 구독을 선택합니다.

    c. Azure 새 함수 앱 만들기를 선택합니다(고급 옵션을 선택하지 않음).

    d. 함수 앱의 전역적으로 고유한 이름을 입력합니다 . URL 경로에 유효한 이름을 입력합니다. 입력한 이름은 Azure Functions 고유하도록 유효성을 검사합니다. (예: ARMISXXXXX).

    e. 런타임 선택: Python 3.11 선택

    f. 새 리소스의 위치를 선택합니다. 성능 향상 및 비용 절감을 위해 Microsoft Sentinel 있는 동일한 지역을 선택합니다.

  6. 배포가 시작됩니다. 함수 앱이 만들어지고 배포 패키지가 적용된 후 알림이 표시됩니다.

  7. 함수 앱 구성에 대한 Azure 포털로 이동합니다.

  8. 함수 앱 구성

  9. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.

  10. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.

  11. 각 값(대/소문자 구분)을 사용하여 각 애플리케이션 설정을 개별적으로 추가합니다. 작업 영역 ID 작업 영역 키 Armis 비밀 키 Armis URL(https://< armis-instance.armis.com/api/v1/>) Armis 디바이스 테이블 이름 Armis Schedule KeyVault Name Azure 클라이언트 ID Azure 클라이언트 비밀 테넌트 ID logAnalyticsUri(선택 사항)

  • logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 값을 형식https://<CustomerId>.ods.opinsights.azure.us으로 지정합니다.
  1. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



아틀라시안 비콘 경고

지원:DEFEND Ltd.

Atlassian Beacon은 Atlassian 플랫폼(Jira, Confluence 및 Atlassian 관리)에서 지능형 위협 탐지를 위해 빌드된 클라우드 제품입니다. 이렇게 하면 사용자가 Atlassian 제품 제품군에 대한 위험한 사용자 활동을 감지, 조사 및 대응하는 데 도움이 될 수 있습니다. 솔루션은 LOGIC App을 통해 Microsoft Sentinel 위해 Atlassian Beacon에서 수집된 경고를 시각화하는 데 사용되는 DEFEND Ltd.의 사용자 지정 데이터 커넥터입니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
atlassian_beacon_alerts_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

설치 지침:

1. Microsoft Sentinel

  1. 새로 설치된 논리 앱 'Atlassian 비콘 통합'으로 이동합니다.

  2. '논리 앱 디자이너'로 이동합니다.

  3. 'HTTP 요청을 받은 경우'를 확장합니다.

  4. 'HTTP POST URL'을 복사합니다.

2. 아틀라시안 비콘

  1. 관리자 계정을 사용하여 Atlassian Beacon에 로그인

  2. 설정에서 'SIEM 전달'으로 이동합니다.

  3. 논리 앱에서 복사한 URL을 텍스트 상자에 붙여넣습니다.

  4. '저장' 단추를 클릭합니다.

3. 테스트 및 유효성 검사

  1. 관리자 계정을 사용하여 Atlassian Beacon에 로그인

  2. 설정에서 'SIEM 전달'으로 이동합니다.

  3. 새로 구성된 웹후크 바로 옆에 있는 '테스트' 단추를 클릭합니다.

  4. Microsoft Sentinel

  5. 새로 설치된 논리 앱으로 이동합니다.

  6. '실행 기록'에서 논리 앱 실행을 확인합니다.

  7. '로그'의 테이블 이름 'atlassian_beacon_alerts_CL' 아래에 있는 로그를 확인합니다.

  8. 분석 규칙을 사용하도록 설정한 경우 위의 테스트 경고에서 인시던트를 만들었어야 Microsoft Sentinel



Atlassian Confluence 감사(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

Atlassian Confluence Audit 데이터 커넥터는 REST API를 통해 Confluence Audit Records 이벤트를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 API 설명서를 참조하세요. 커넥터를 사용하면 이벤트 검색을 통해 잠재적인 보안 위험을 평가하고, 공동 작업을 모니터링하고, 구성 문제를 진단하고 해결할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ConfluenceAuditLogs_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

설치 지침:

Atlassian Confluence API에 연결하여 Microsoft Sentinel 감사 로그 수집을 시작합니다.

Microsoft Sentinel Atlassian Confluence 커넥터를 사용하도록 설정하려면 를 클릭하여 organization 추가하고 양식을 Confluence 환경 자격 증명으로 채우고 연결을 클릭합니다. 다음 단계에 따라 API 토큰을 만듭니다.

  • 데이터 커넥터 그리드(포털에서 구성)



Atlassian Jira Audit(Azure Functions 사용)

지원:Microsoft Corporation

Atlassian Jira Audit 데이터 커넥터는 REST API를 통해 Jira Audit Records 이벤트를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 API 설명서를 참조하세요. 커넥터를 사용하면 이벤트 검색을 통해 잠재적인 보안 위험을 평가하고, 공동 작업을 모니터링하고, 구성 문제를 진단하고 해결할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Jira_Audit_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • REST API 자격 증명/권한: REST API에는 JiraAccessToken, JiraUsername 이 필요합니다. 자세한 내용은 API를 참조하세요. 모든 요구 사항을 확인하고 자격 증명을 얻기 위한 지침을 따릅니다.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Jira REST API에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

참고: 이 데이터 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 예상대로 작동합니다. 다음 단계에 따라 Kusto 함수 별칭 JiraAudit를 만듭니다.

1단계 - Jira API에 대한 구성 단계

지침에 따라 자격 증명을 가져옵니다.

2단계 - 커넥터 및 연결된 Azure 함수를 배포하려면 다음 두 가지 배포 옵션 중 하나를 선택합니다.

중요: 작업 영역 데이터 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키를 갖습니다(다음에서 복사할 수 있음).

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

옵션 1 - ARM(Azure Resource Manager) 템플릿

ARM Tempate를 사용하여 Jira Audit 데이터 커넥터의 자동화된 배포에 이 메서드를 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.msaka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

참고: 동일한 리소스 그룹 내에서는 Windows 및 Linux 앱을 동일한 지역에 혼합할 수 없습니다. Windows 앱이 없는 기존 리소스 그룹을 선택하거나 새 리소스 그룹을 만듭니다. 3. JiraAccessToken, JiraUsername, JiraHomeSiteName (짧은 사이트 이름 부분, 예: 의 HOMESITENAME https://community.atlassian.com)을 입력하고 배포합니다. 4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다. 5. 구매 를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Jira Audit 데이터 커넥터를 Azure Functions 수동으로 배포합니다(Visual Studio Code 통해 배포).

  1. 함수 앱 배포

참고: Azure 함수 개발을 위해 VS 코드를 준비해야 합니다.

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.

  2. VS Code를 시작합니다. 주 메뉴에서 파일을 선택하고 폴더 열기를 선택합니다.

  3. 추출된 파일에서 최상위 폴더를 선택합니다.

  4. 작업 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 함수에 배포 앱 단추를 선택합니다. 아직 로그인하지 않은 경우 활동 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 로그인을 선택하여 Azure 이미 로그인한 경우 다음 단계로 이동합니다.

  5. 프롬프트에서 다음 정보를 제공합니다.

    a. 폴더 선택: 작업 영역에서 폴더를 선택하거나 함수 앱이 포함된 폴더로 이동합니다.

    b. 구독을 선택합니다. 사용할 구독을 선택합니다.

    c. Azure 새 함수 앱 만들기를 선택합니다(고급 옵션을 선택하지 않음).

    d. 함수 앱의 전역적으로 고유한 이름을 입력합니다 . URL 경로에 유효한 이름을 입력합니다. 입력한 이름은 Azure Functions 고유하도록 유효성을 검사합니다. (예: JiraAuditXXXXX).

    e. 런타임 선택: Python 3.11을 선택합니다.

    f. 새 리소스의 위치를 선택합니다. 성능 향상 및 비용 절감을 위해 Microsoft Sentinel 있는 동일한 지역을 선택합니다.

  6. 배포가 시작됩니다. 함수 앱이 만들어지고 배포 패키지가 적용된 후 알림이 표시됩니다.

  7. 함수 앱 구성에 대한 Azure 포털로 이동합니다.

  8. 함수 앱 구성

  9. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.

  10. 애플리케이션 설정 탭에서 새 애플리케이션 설정을 선택합니다.

  11. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. JiraUsername JiraAccessToken JiraHomeSiteName WorkspaceID WorkspaceID WorkspaceKey logAnalyticsUri(선택 사항)

  • logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 값을 형식https://<CustomerId>.ods.opinsights.azure.us으로 지정합니다.
  1. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



Atlassian Jira 감사(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

Atlassian Jira Audit 데이터 커넥터는 REST API를 통해 Jira Audit Records 이벤트를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 API 설명서를 참조하세요. 커넥터를 사용하면 이벤트 검색을 통해 잠재적인 보안 위험을 평가하고, 공동 작업을 모니터링하고, 구성 문제를 진단하고 해결할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Jira_Audit_v2_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Atlassian Jira API 액세스: Jira 감사 로그 API에 액세스하려면 Jira 관리 권한이 필요합니다. 감사 API 에 대한 자세한 내용은 Jira API 설명서를 참조하세요.

설치 지침:

Microsoft Sentinel Atlassian Jira 커넥터를 사용하도록 설정하려면 를 클릭하여 organization 추가하고 양식을 Jira 환경 자격 증명으로 채운 다음 연결을 클릭합니다. 다음 단계에 따라 API 토큰을 만듭니다.

  • 데이터 커넥터 그리드(포털에서 구성)



Auth0 로그(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

Auth0 데이터 커넥터를 사용하면 Auth0 API에서 Microsoft Sentinel 로그를 수집할 수 있습니다. 데이터 커넥터는 Microsoft Sentinel Codeless Connector Framework를 기반으로 합니다. Auth0 API를 사용하여 로그를 가져오고 수신된 보안 데이터를 사용자 지정 테이블로 구문 분석하는 DCR 기반 수집 시간 변환 을 지원하므로 쿼리가 다시 구문 분석할 필요가 없으므로 성능이 향상됩니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Auth0Logs_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

1단계 - Auth0 Management API에 대한 구성 단계

지침에 따라 자격 증명을 가져옵니다.

  1. Auth0 대시보드에서 [애플리케이션 애플리케이션>]으로 이동합니다.
  2. 애플리케이션을 선택합니다. 최소 [read:logs] 및 [read:logs_users] 권한으로 구성된 [Machine-to-Machine] 애플리케이션이어야 합니다.
  3. 복사 [도메인, ClientID, 클라이언트 암호]
  • 기본 API URL: (https://example.auth0.com)
  • 클라이언트 ID: (클라이언트 ID)
  • 클라이언트 암호: (API 토큰)
  • 연결 사용/사용 안 함



자동화된 논리 WebCTRL

지원:Microsoft Corporation

Microsoft Sentinel 연결된 Windows 머신에서 호스트되는 WebCTRL SQL 서버에서 감사 로그를 스트리밍할 수 있습니다. 이 연결을 사용하면 대시보드를 보고, 사용자 지정 경고를 만들고, 조사를 개선할 수 있습니다. 이렇게 하면 WebCTRL BAS 애플리케이션에서 모니터링하거나 제어하는 산업 제어 시스템에 대한 인사이트를 얻을 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Event 아니요

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

1. Windows용 Microsoft 에이전트를 설치하고 온보딩합니다.

에이전트 설정Windows 이벤트 온보딩에 대해 알아봅니다.

Windows용 Microsoft 에이전트를 이미 설치한 경우 이 단계를 건너뛸 수 있습니다.

2. 감사 데이터를 읽고 Windows 이벤트에 쓰도록 Windows 작업 구성

SQL에서 감사 로그를 읽고 Windows 이벤트로 작성하도록 Windows 예약 작업을 설치 및 구성합니다. 이러한 Windows 이벤트는 에이전트에 의해 수집되고 Microsoft Sentinel 전달됩니다.

모든 컴퓨터의 데이터는 선택한 작업 영역에 저장됩니다.

2.1 설치 파일을 서버의 위치에 복사합니다.

2.2 대상 데이터베이스 이름 및 windows 이벤트 ID와 같은 ALC-WebCTRL-AuditPull.ps1 (위 단계에서 복사) 스크립트 매개 변수를 업데이트합니다. 자세한 내용은 스크립트의 주석을 참조하세요.

2.3 요구 사항에 따라 위의 단계에서 복사한 ALC-WebCTRL-AuditPullTaskConfig.xml 파일의 windows 작업 설정을 업데이트합니다. 자세한 내용은 파일의 주석을 참조하세요.

2.4 위의 단계에서 복사한 업데이트된 구성을 사용하여 Windows 작업 설치

  • 설치 파일이 2.1단계에서 복사되는 디렉터리에서 powershell에서 다음 명령을 실행합니다. 설치 시 제공되는 변수 값 <>

3. 연결 유효성 검사

지침에 따라 연결의 유효성을 검사합니다.

Log Analytics를 열어 이벤트 스키마를 사용하여 로그를 받는지 검사.

연결이 데이터를 작업 영역으로 스트리밍할 때까지 약 20분이 걸릴 수 있습니다.

로그가 수신되지 않은 경우 런타임 문제에 대해 아래 단계의 유효성을 검사합니다.

  1. 예약된 작업이 만들어지고 Windows 작업 스케줄러에서 실행 중 상태인지 확인합니다.

  2. 2.4단계에서 새로 만든 작업에 대한 Windows 작업 스케줄러의 기록 탭에서 작업 실행 오류 확인

  3. 예약된 창 작업이 실행되는 동안 SQL 감사 테이블이 새 레코드로 구성되어 있는지 확인합니다.



AWS EKS 데이터 커넥터(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

AWS EKS 데이터 커넥터는 Amazon Elastic Kubernetes Service의 감사 로그를 Microsoft Sentinel 수집하는 기능을 제공합니다. 이 커넥터는 API 서버 요청, 인증 결정 및 클러스터 활동에 대한 자세한 정보를 포함하는 EKS 감사 로그(JSON 형식)에 중점을 둡니다. 커넥터는 AWS SQS를 사용하여 새 감사 로그 파일을 S3으로 내보낼 때 알림을 수신하여 Kubernetes 클러스터에 대한 실시간 보안 모니터링 및 규정 준수 추적을 보장합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
AWSEKSLogs_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

설치 지침:

1. AWS CloudFormation 배포

제공된 CloudFormation 템플릿을 사용하여 AWS EKS에서 Log Analytics 작업 영역으로 로그를 보내기 위한 AWS 환경을 구성합니다.

AWS에서 CloudFormation 템플릿 배포:

  1. AWS CloudFormation Stacks로 이동합니다.
  2. 스택 만들기를 클릭하고 새 리소스로를 선택합니다.
  3. 템플릿 파일 업로드를 선택한 다음 파일 선택을 클릭하여 제공된 적절한 CloudFormation 템플릿(템플릿 1 및 2 아래)을 업로드합니다.
  4. 프롬프트에 따라 다음 을 클릭하여 스택 만들기를 완료합니다.
  5. 스택을 만든 후 출력 섹션으로 이동합니다. 출력 섹션에서 1단계와 2단계에서 스크립트를 실행합니다. 이 스크립트는 로그를 eks에서 sqs로 스트리밍합니다.
  6. 동일한 출력 섹션에서 연결 커넥터에 사용할 역할 ARN 및 SQS 큐 URL 을 적어둡니다.
  • 템플릿 1: OpenID Connect 인증 공급자 배포: <설치 시 제공되는 변수 값>
  • 템플릿 2: AWS EKS 리소스 배포: <설치 시 제공되는 변수 값>

2. 새 수집기 연결

Microsoft Sentinel AWS Security Hub Connector를 사용하도록 설정하려면 새 수집기 추가 단추를 클릭하고 컨텍스트 창에서 필요한 정보를 입력하고 연결을 클릭합니다.

3. 연결

AWS EKS 커넥터를 사용하도록 설정합니다.

  • 연결 사용/사용 안 함



AWS S3 서버 액세스 로그(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

이 커넥터를 사용하면 AWS S3 서버 액세스 로그를 Microsoft Sentinel 수집할 수 있습니다. 이러한 로그에는 요청 유형, 액세스한 리소스, 요청자 정보 및 응답 세부 정보를 포함하여 S3 버킷에 대한 요청에 대한 자세한 레코드가 포함됩니다. 이러한 로그는 액세스 패턴을 분석하고, 문제를 디버깅하고, 보안 규정 준수를 보장하는 데 유용합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
AWSS3ServerAccess

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • 환경: S3 버킷, SQS(Simple Queue Service), IAM 역할 및 권한 정책과 같은 AWS 리소스를 정의하고 구성해야 합니다.

설치 지침:

  1. AWS CloudFormation 배포 AWS에 대한 액세스를 구성하기 위해 AWS S3 서버 액세스 로그에서 Log Analytics 작업 영역으로 로그를 보내도록 AWS 환경을 설정하기 위해 두 개의 템플릿이 생성되었습니다.

AWS에서 CloudFormation 템플릿 배포:

  1. AWS CloudFormation Stacks로 이동합니다.
  2. 스택 만들기를 클릭하고 새 리소스로를 선택합니다.
  3. 템플릿 파일 업로드를 선택한 다음 파일 선택을 클릭하여 제공된 적절한 CloudFormation 템플릿을 업로드합니다.
  4. 프롬프트에 따라 다음 을 클릭하여 스택 만들기를 완료합니다.
  5. 스택을 만든 후 역할 ARN 및 SQS 큐 URL을 적어둡니다.
  • 템플릿 1: OpenID Connect 인증 공급자 배포: <설치 시 제공되는 변수 값>
  • 템플릿 2: AWS Server Access 리소스 배포: <설치 시 제공되는 변수 값>
  1. 새 수집기 연결 MICROSOFT SENTINEL AWS S3 서버 액세스 로그 커넥터를 사용하도록 설정하려면 새 수집기 추가 단추를 클릭하고 컨텍스트 창에서 필요한 정보를 입력하고 연결을 클릭합니다.
  • 데이터 커넥터 그리드(포털에서 구성)



AWS 보안 허브 결과(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

이 커넥터를 사용하면 AWS S3 버킷에서 수집된 AWS Security Hub 결과 결과를 Microsoft Sentinel 수집할 수 있습니다. AWS Security Hub 결과와 Microsoft Sentinel 고급 위협 탐지 및 대응 기능을 통합하여 보안 경고를 모니터링하고 관리하는 프로세스를 간소화할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
AWSSecurityHubFindings

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • 환경: AWS Security Hub, Amazon Data Firehose, Amazon EventBridge, S3 Bucket, SQS(Simple Queue Service), IAM 역할 및 권한 정책 등 AWS 리소스를 정의하고 구성해야 합니다.

설치 지침:

  1. AWS CloudFormation 배포 제공된 CloudFormation 템플릿을 사용하여 AWS 보안 허브에서 Log Analytics 작업 영역으로 로그를 보내기 위한 AWS 환경을 구성합니다.

AWS에서 CloudFormation 템플릿 배포:

  1. AWS CloudFormation Stacks로 이동합니다.
  2. 스택 만들기를 클릭하고 새 리소스로를 선택합니다.
  3. 템플릿 파일 업로드를 선택한 다음 파일 선택을 클릭하여 제공된 적절한 CloudFormation 템플릿을 업로드합니다.
  4. 프롬프트에 따라 다음 을 클릭하여 스택 만들기를 완료합니다.
  5. 스택을 만든 후 역할 ARN 및 SQS 큐 URL을 적어둡니다.
  • 템플릿 1: OpenID Connect 인증 공급자 배포: <설치 시 제공되는 변수 값>
  • 템플릿 2: AWS Security Hub 리소스 배포: <설치 시 제공되는 변수 값>
  1. 새 수집기 연결 Microsoft Sentinel AWS Security Hub Connector를 사용하도록 설정하려면 새 수집기 추가 단추를 클릭하고 컨텍스트 창에서 필요한 정보를 입력하고 연결을 클릭합니다.
  • 데이터 커넥터 그리드(포털에서 구성)



Azure 활동

지원:Microsoft Corporation

Azure 활동 로그는 Azure Resource Manager 운영 데이터의 이벤트, 서비스 상태 이벤트, 구독의 리소스에 수행된 쓰기 작업 및 Azure 수행된 활동 상태 포함하여 Azure 발생하는 구독 수준 이벤트에 대한 인사이트를 제공하는 구독 로그입니다. 자세한 내용은 Microsoft Sentinel 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
AzureActivity 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

Azure Batch 계정

지원:Microsoft Corporation

Azure Batch 계정은 Batch 서비스 내에서 고유하게 식별된 엔터티입니다. 대부분의 Batch 솔루션은 리소스 파일 및 출력 파일을 저장하기 위해 Azure Storage를 사용하므로 각 Batch 계정은 일반적으로 해당 스토리지 계정과 연결됩니다. 이 커넥터를 사용하면 Azure Batch 계정 진단 로그를 Microsoft Sentinel 스트리밍하여 활동을 지속적으로 모니터링할 수 있습니다. 자세한 내용은 Microsoft Sentinel 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
AzureDiagnostics 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • 정책: 각 정책 할당 scope 대해 할당된 소유자 역할

설치 지침:

Azure Batch 계정 진단 로그를 Sentinel 연결합니다.

이 커넥터는 Azure Policy 사용하여 scope 정의된 인스턴스 컬렉션에 단일 Azure Batch 계정 로그 스트리밍 구성을 적용합니다. 아래 지침에 따라 모든 현재 및 미래의 인스턴스에 정책을 만들고 적용합니다. 이 리소스 종류에 대한 활성 정책이 이미 있을 수 있습니다.

Azure Batch 계정의 로그를 대규모로 Stream 진단

**Azure Policy 할당 마법사를 시작하고 단계를 수행합니다. **

  1. 기본 탭에서 범위 아래에 세 개의 점이 있는 단추를 클릭하여 구독을 선택합니다.
  2. 매개 변수 탭의 Log Analytics 작업 영역 드롭다운 목록에서 Microsoft Sentinel 작업 영역을 선택하고 수집하려는 모든 로그 범주를 "True"로 표시합니다.
  3. 기존 리소스에 정책을 적용하려면 수정 탭에 수정 작업 만들기 검사 상자를 표시합니다.



Azure CloudNGFW by Palo Alto Networks

지원:Palo Alto Networks

Azure 네이티브 ISV 서비스인 Palo Alto Networks의 클라우드 차세대 방화벽은 Azure 클라우드 네이티브 서비스로 제공되는 Palo Alto Networks NGFW(차세대 방화벽)입니다. Azure Marketplace에서 클라우드 NGFW를 검색하고 Azure VNet(Virtual Network)에서 사용할 수 있습니다. 클라우드 NGFW를 사용하면 App-ID, URL 필터링 기반 기술과 같은 핵심 NGFW 기능에 액세스할 수 있습니다. 클라우드 제공 보안 서비스 및 위협 방지 서명을 통해 위협 방지 및 탐지를 제공합니다. 커넥터를 사용하면 클라우드 NGFW 로그를 Microsoft Sentinel 쉽게 연결하고, 대시보드를 보고, 사용자 지정 경고를 만들고, 조사를 개선할 수 있습니다. 이렇게 하면 organization 네트워크에 대한 더 많은 인사이트를 제공하고 보안 작업 기능을 개선합니다. 자세한 내용은 클라우드 NGFW for Azure 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
fluentbit_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

Palo Alto Networks의 클라우드 NGFW를 연결하여 Microsoft Sentinel

Palo Alto Networks의 모든 클라우드 NGFW에서 로그 설정을 사용하도록 설정합니다.

클라우드 NGFW 리소스 내부:

  1. 홈페이지에서 로그 설정 으로 이동합니다.
  2. 로그 설정 사용 확인란이 선택되어 있는지 확인합니다.
  3. 로그 설정 드롭다운에서 원하는 Log Analytics 작업 영역을 선택합니다.
  4. 선택 사항 및 구성을 확인합니다.
  5. 저장을 클릭하여 설정을 적용합니다.



Azure Cognitive Search

지원:Microsoft Corporation

Azure Cognitive Search 웹, 모바일 및 엔터프라이즈 애플리케이션에서 프라이빗, 이기종 콘텐츠를 통해 풍부한 검색 환경을 구축하기 위한 인프라, API 및 도구를 개발자에게 제공하는 클라우드 검색 서비스입니다. 이 커넥터를 사용하면 Azure Cognitive Search 진단 로그를 Microsoft Sentinel 스트리밍하여 활동을 지속적으로 모니터링할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
AzureDiagnostics 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • 정책: 각 정책 할당 scope 대해 할당된 소유자 역할

설치 지침:

Azure Cognitive Search 진단 로그를 Sentinel 연결합니다.

이 커넥터는 Azure Policy 사용하여 scope 정의된 인스턴스 컬렉션에 단일 Azure Cognitive Search 로그 스트리밍 구성을 적용합니다. 아래 지침에 따라 모든 현재 및 미래의 인스턴스에 정책을 만들고 적용합니다. 이 리소스 종류에 대한 활성 정책이 이미 있을 수 있습니다.

대규모 Azure Cognitive Search 로그 Stream 진단

**Azure Policy 할당 마법사를 시작하고 단계를 수행합니다. **

  1. 기본 탭에서 범위 아래에 세 개의 점이 있는 단추를 클릭하여 구독을 선택합니다.
  2. 매개 변수 탭의 Log Analytics 작업 영역 드롭다운 목록에서 Microsoft Sentinel 작업 영역을 선택하고 수집하려는 모든 로그 범주를 "True"로 표시합니다.
  3. 기존 리소스에 정책을 적용하려면 수정 탭에 수정 작업 만들기 검사 상자를 표시합니다.



DDoS Protection Azure

지원:Microsoft Corporation

공용 IP 주소 진단 로그를 통해 Azure DDoS Protection Standard 로그에 연결합니다. 플랫폼의 핵심 DDoS 보호 외에도 Azure DDoS Protection Standard 네트워크 공격에 대한 고급 DDoS 완화 기능을 제공합니다. 특정 Azure 리소스를 보호하기 위해 자동으로 조정됩니다. 보호는 새 가상 네트워크를 만드는 동안 간단하게 사용하도록 설정할 수 있습니다. 또한 만든 후에 수행할 수 있으며 애플리케이션 또는 리소스를 변경할 필요가 없습니다. 자세한 내용은 Microsoft Sentinel 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
AzureDiagnostics 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

Azure DevOps 감사 로그(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

Azure DevOps 감사 로그 데이터 커넥터를 사용하면 Azure DevOps에서 Microsoft Sentinel 감사 이벤트를 수집할 수 있습니다. 이 데이터 커넥터는 Microsoft Sentinel 코드리스 커넥터 프레임워크를 사용하여 빌드되어 원활한 통합을 보장합니다. Azure DevOps 감사 로그 API를 활용하여 자세한 감사 이벤트를 가져오고 DCR 기반 수집 시간 변환을 지원합니다. 이러한 변환을 통해 수집 중에 수신된 감사 데이터를 사용자 지정 테이블로 구문 분석할 수 있으므로 추가 구문 분석이 필요하지 않도록 하여 쿼리 성능을 향상시킬 수 있습니다. 이 커넥터를 사용하면 Azure DevOps 환경에 대한 가시성을 높이고 보안 작업을 간소화할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ADOAuditLogs_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Azure DevOps 필수 구성 요소: 다음을 확인하세요.
    1. 앱 등록 아래의 Microsoft Entra 관리 센터에 Entra 앱을 등록합니다.
    2. 'API 권한'에서 -'Azure DevOps - vso.auditlog'에 권한을 추가합니다.
    3. '인증서 & 비밀'에서 '클라이언트 비밀'을 생성합니다.
    4. '인증'에서 - 해당 필드에 아래에 있는 리디렉션 URI를 추가합니다.
    5. Azure DevOps 설정에서 감사 로그를 사용하도록 설정하고 사용자에 대한 감사 로그 보기를 설정합니다. DevOps 감사를 Azure.
    6. 데이터 커넥터를 연결하기 위해 할당된 사용자에게 감사 로그 보기 권한이 항상 허용으로 명시적으로 설정되어 있는지 확인합니다. 이 권한은 성공적인 로그 수집에 필수적입니다. 사용 권한이 취소되거나 부여되지 않으면 데이터 수집이 실패하거나 중단됩니다.

설치 지침:

**Azure DevOps에 연결하여 Microsoft Sentinel 감사 로그 수집을 시작합니다. **

  1. 등록한 앱을 입력합니다.
  2. '개요' 섹션에서 애플리케이션(클라이언트) ID를 복사합니다.
  3. '엔드포인트' 단추를 선택하고 'OAuth 2.0 권한 부여 엔드포인트(v2)' 값과 'OAuth 2.0 토큰 엔드포인트(v2)' 값을 복사합니다.
  4. '인증서 & 비밀' 섹션에서 '클라이언트 암호 값'을 복사하고 안전하게 저장합니다.
  5. 아래 필수 정보를 입력하고 '연결'을 클릭합니다.



Azure Event Hub

지원:Microsoft Corporation

Azure Event Hubs 빅 데이터 스트리밍 플랫폼 및 이벤트 수집 서비스입니다. 초당 수백만 건의 이벤트를 수신하고 처리할 수 있습니다. 이 커넥터를 사용하면 Azure Event Hub 진단 로그를 Microsoft Sentinel 스트리밍하여 활동을 지속적으로 모니터링할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
AzureDiagnostics 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • 정책: 각 정책 할당 scope 대해 할당된 소유자 역할

설치 지침:

Azure Event Hub 진단 로그를 Sentinel 연결합니다.

이 커넥터는 Azure Policy 사용하여 scope 정의된 인스턴스 컬렉션에 단일 Azure Event Hub 로그 스트리밍 구성을 적용합니다. 아래 지침에 따라 모든 현재 및 미래의 인스턴스에 정책을 만들고 적용합니다. 이 리소스 종류에 대한 활성 정책이 이미 있을 수 있습니다.

대규모로 Azure Event Hub에서 로그 Stream 진단

**Azure Policy 할당 마법사를 시작하고 단계를 수행합니다. **

  1. 기본 탭에서 범위 아래에 세 개의 점이 있는 단추를 클릭하여 구독을 선택합니다.
  2. 매개 변수 탭의 Log Analytics 작업 영역 드롭다운 목록에서 Microsoft Sentinel 작업 영역을 선택하고 수집하려는 모든 로그 범주를 "True"로 표시합니다.
  3. 기존 리소스에 정책을 적용하려면 수정 탭에 수정 작업 만들기 검사 상자를 표시합니다.



Azure Firewall

지원:Microsoft Corporation

Azure Firewall 연결합니다. Azure Firewall Azure Virtual Network 리소스를 보호하는 관리형 클라우드 기반 네트워크 보안 서비스입니다. 기본 제공 고가용성 및 무제한 클라우드 확장성을 갖춘 완전 상태 저장 방화벽 서비스입니다. 자세한 내용은 Microsoft Sentinel 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
AzureDiagnostics 아니요 아니요
AZFWApplicationRule
AZFWFlowTrace
AZFWFatFlow
AZFWNatRule
AZFWDnsQuery
AZFWIdpsSignature
AZFWInternalFqdnResolutionFailure
AZFWNetworkRule
AZFWThreatIntel

데이터 수집 규칙 지원:작업 영역 변환 DCR

Azure Key Vault

지원:Microsoft Corporation

Azure Key Vault 비밀을 안전하게 저장하고 액세스하기 위한 클라우드 서비스입니다. 비밀은 API 키, 암호, 인증서 또는 암호화 키와 같이 액세스를 엄격하게 제어하려는 모든 항목입니다. 이 커넥터를 사용하면 Azure Key Vault 진단 로그를 Microsoft Sentinel 스트리밍하여 모든 인스턴스에서 작업을 지속적으로 모니터링할 수 있습니다. 자세한 내용은 Microsoft Sentinel 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
AzureDiagnostics 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

AKS(Azure Kubernetes Service)

지원:Microsoft Corporation

AKS(Azure Kubernetes Service)는 클러스터 환경에서 Docker 컨테이너 및 컨테이너 기반 애플리케이션을 배포, 확장 및 관리할 수 있는 완전 관리형 오픈 소스 컨테이너 오케스트레이션 서비스입니다. 이 커넥터를 사용하면 AKS(Azure Kubernetes Service) 진단 로그를 Microsoft Sentinel 스트리밍하여 모든 인스턴스에서 작업을 지속적으로 모니터링할 수 있습니다. 자세한 내용은 Microsoft Sentinel 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
AzureDiagnostics 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

Azure Logic Apps

지원:Microsoft Corporation

Azure Logic Apps는 앱, 데이터, 서비스 및 시스템을 통합하는 자동화된 워크플로를 만들고 실행하기 위한 클라우드 기반 플랫폼입니다. 이 커넥터를 사용하면 Azure Logic Apps 진단 로그를 Microsoft Sentinel 스트리밍하여 활동을 지속적으로 모니터링할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
AzureDiagnostics 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • 정책: 각 정책 할당 scope 대해 할당된 소유자 역할

설치 지침:

Logic Apps 진단 로그를 Sentinel 연결합니다.

이 커넥터는 Azure Policy 사용하여 단일 Azure Logic Apps 로그 스트리밍 구성을 scope 정의된 인스턴스 컬렉션에 적용합니다. 아래 지침에 따라 모든 현재 및 미래의 인스턴스에 정책을 만들고 적용합니다. 이 리소스 종류에 대한 활성 정책이 이미 있을 수 있습니다.

Azure Logic Apps의 로그를 대규모로 Stream 진단

**Azure Policy 할당 마법사를 시작하고 단계를 수행합니다. **

  1. 기본 탭에서 범위 아래에 세 개의 점이 있는 단추를 클릭하여 구독을 선택합니다.
  2. 매개 변수 탭의 Log Analytics 작업 영역 드롭다운 목록에서 Microsoft Sentinel 작업 영역을 선택하고 수집하려는 모든 로그 범주를 "True"로 표시합니다.
  3. 기존 리소스에 정책을 적용하려면 수정 탭에 수정 작업 만들기 검사 상자를 표시합니다.



Azure Resource Graph

지원:Microsoft Corporation

Azure Resource Graph 커넥터는 Azure 구독 및 Azure 리소스에 대한 세부 정보를 보완하여 Azure 이벤트에 대한 풍부한 인사이트를 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • 정책: Azure 구독에 대한 소유자 역할 권한

설치 지침:

Microsoft Sentinel Azure Resource Graph 연결



Azure Service Bus

지원:Microsoft Corporation

Azure Service Bus 메시지 큐 및 게시-구독 topics 있는 완전 관리형 엔터프라이즈 메시지 브로커입니다(네임스페이스). 이 커넥터를 사용하면 Azure Service Bus 진단 로그를 Microsoft Sentinel 스트리밍하여 활동을 지속적으로 모니터링할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
AzureDiagnostics 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • 정책: 각 정책 할당 scope 대해 할당된 소유자 역할

설치 지침:

Azure Service Bus 진단 로그를 Sentinel 연결합니다.

이 커넥터는 Azure Policy 사용하여 scope 정의된 인스턴스 컬렉션에 단일 Azure Service Bus 로그 스트리밍 구성을 적용합니다. 아래 지침에 따라 모든 현재 및 미래의 인스턴스에 정책을 만들고 적용합니다. 이 리소스 종류에 대한 활성 정책이 이미 있을 수 있습니다.

Azure Service Bus 로그를 대규모로 Stream 진단

**Azure Policy 할당 마법사를 시작하고 단계를 수행합니다. **

  1. 기본 탭에서 범위 아래에 세 개의 점이 있는 단추를 클릭하여 구독을 선택합니다.
  2. 매개 변수 탭의 Log Analytics 작업 영역 드롭다운 목록에서 Microsoft Sentinel 작업 영역을 선택하고 수집하려는 모든 로그 범주를 "True"로 표시합니다.
  3. 기존 리소스에 정책을 적용하려면 수정 탭에 수정 작업 만들기 검사 상자를 표시합니다.



Azure SQL 데이터베이스

지원:Microsoft Corporation

Azure SQL 사용자가 개입할 필요 없이 업그레이드, 패치, 백업 및 모니터링과 같은 대부분의 데이터베이스 관리 기능을 처리하는 완전히 관리되는 PaaS(Platform as a Service) 데이터베이스 엔진입니다. 이 커넥터를 사용하면 Azure SQL 데이터베이스 감사 및 진단 로그를 Microsoft Sentinel 스트리밍하여 모든 인스턴스에서 작업을 지속적으로 모니터링할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
AzureDiagnostics 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

스토리지 계정 Azure

지원:Microsoft Corporation

Azure Storage 계정은 최신 데이터 스토리지 시나리오를 위한 클라우드 솔루션입니다. 여기에는 Blob, 파일, 큐, 테이블 및 디스크와 같은 모든 데이터 개체가 포함됩니다. 이 커넥터를 사용하면 Azure Storage 계정 진단 로그를 Microsoft Sentinel 작업 영역으로 스트리밍하여 모든 인스턴스에서 활동을 지속적으로 모니터링하고 organization 악의적인 활동을 검색할 수 있습니다. 자세한 내용은 Microsoft Sentinel 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
AzureMetrics 아니요 아니요
StorageBlobLogs
StorageQueueLogs
StorageTableLogs
StorageFileLogs

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • 정책: 각 정책 할당 scope 대해 할당된 소유자 역할

설치 지침:

Azure Storage 계정 진단 로그를 Sentinel 연결합니다.

이 커넥터는 Azure 정책 집합을 사용하여 scope 정의된 인스턴스 컬렉션에 로그 스트리밍 구성을 적용합니다. 아래 지침에 따라 모든 현재 및 미래의 인스턴스에 정책을 만들고 적용합니다. Azure Storage 계정에서 스토리지 계정 진단 로깅을 최대한 활용하려면 Azure Storage 계정 내의 모든 서비스(Blob, 큐, 테이블 및 파일)에서 진단 로깅을 사용하도록 설정하는 것이 좋습니다. 이 리소스 종류에 대한 활성 정책이 이미 있을 수 있습니다.

Azure Storage 계정의 로그를 대규모로 Stream 진단

**Azure Policy 할당 마법사를 시작하고 단계를 수행합니다. **

  1. 기본 탭에서 범위 아래에 세 개의 점이 있는 단추를 클릭하여 구독을 선택합니다.
  2. 매개 변수 탭의 Log Analytics 작업 영역 드롭다운 목록에서 Microsoft Sentinel 작업 영역을 선택하고 수집하려는 모든 로그 범주를 "True"로 표시합니다.
  3. 기존 리소스에 정책을 적용하려면 수정 탭에 수정 작업 만들기 검사 상자를 표시합니다.

Azure Storage Blob 서비스의 로그를 대규모로 Stream 진단

**Azure Policy 할당 마법사를 시작하고 단계를 수행합니다. **

  1. 기본 탭에서 범위 아래에 세 개의 점이 있는 단추를 클릭하여 구독을 선택합니다.
  2. 매개 변수 탭의 Log Analytics 작업 영역 드롭다운 목록에서 Microsoft Sentinel 작업 영역을 선택하고 수집하려는 모든 로그 범주를 "True"로 표시합니다.
  3. 기존 리소스에 정책을 적용하려면 수정 탭에 수정 작업 만들기 검사 상자를 표시합니다.

Azure Storage 큐 서비스의 로그를 대규모로 Stream 진단

**Azure Policy 할당 마법사를 시작하고 단계를 수행합니다. **

  1. 기본 탭에서 범위 아래에 세 개의 점이 있는 단추를 클릭하여 구독을 선택합니다.
  2. 매개 변수 탭의 Log Analytics 작업 영역 드롭다운 목록에서 Microsoft Sentinel 작업 영역을 선택하고 수집하려는 모든 로그 범주를 "True"로 표시합니다.
  3. 기존 리소스에 정책을 적용하려면 수정 탭에 수정 작업 만들기 검사 상자를 표시합니다.

Azure Storage Table Service의 로그를 대규모로 Stream 진단

**Azure Policy 할당 마법사를 시작하고 단계를 수행합니다. **

  1. 기본 탭에서 범위 아래에 세 개의 점이 있는 단추를 클릭하여 구독을 선택합니다.
  2. 매개 변수 탭의 Log Analytics 작업 영역 드롭다운 목록에서 Microsoft Sentinel 작업 영역을 선택하고 수집하려는 모든 로그 범주를 "True"로 표시합니다.
  3. 기존 리소스에 정책을 적용하려면 수정 탭에 수정 작업 만들기 검사 상자를 표시합니다.

Azure Storage 파일 서비스의 로그를 대규모로 Stream 진단

**Azure Policy 할당 마법사를 시작하고 단계를 수행합니다. **

  1. 기본 탭에서 범위 아래에 세 개의 점이 있는 단추를 클릭하여 구독을 선택합니다.
  2. 매개 변수 탭의 Log Analytics 작업 영역 드롭다운 목록에서 Microsoft Sentinel 작업 영역을 선택하고 수집하려는 모든 로그 범주를 "True"로 표시합니다.
  3. 기존 리소스에 정책을 적용하려면 수정 탭에 수정 작업 만들기 검사 상자를 표시합니다.



Azure Stream 분석

지원:Microsoft Corporation

Azure Stream Analytics는 실시간 분석 및 복잡한 이벤트 처리 엔진으로, 여러 소스에서 대량의 고속 스트리밍 데이터를 동시에 분석하고 처리하도록 설계되었습니다. 이 커넥터를 사용하면 Azure Stream Analytics 허브 진단 로그를 Microsoft Sentinel 스트리밍하여 활동을 지속적으로 모니터링할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
AzureDiagnostics 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • 정책: 각 정책 할당 scope 대해 할당된 소유자 역할

설치 지침:

Azure Stream Analytics 진단 로그를 Sentinel 연결합니다.

이 커넥터는 Azure Policy 사용하여 단일 Azure Stream Analytics 로그 스트리밍 구성을 scope 정의된 인스턴스 컬렉션에 적용합니다. 아래 지침에 따라 모든 현재 및 미래의 인스턴스에 정책을 만들고 적용합니다. 이 리소스 종류에 대한 활성 정책이 이미 있을 수 있습니다.

Azure Stream Analytics의 로그를 대규모로 Stream 진단

**Azure Policy 할당 마법사를 시작하고 단계를 수행합니다. **

  1. 기본 탭에서 범위 아래에 세 개의 점이 있는 단추를 클릭하여 구독을 선택합니다.
  2. 매개 변수 탭의 Log Analytics 작업 영역 드롭다운 목록에서 Microsoft Sentinel 작업 영역을 선택하고 수집하려는 모든 로그 범주를 "True"로 표시합니다.
  3. 기존 리소스에 정책을 적용하려면 수정 탭에 수정 작업 만들기 검사 상자를 표시합니다.



AZURE WEB APPLICATION FIREWALL(WAF)

지원:Microsoft Corporation

Application Gateway, Front Door 또는 CDN용 WAF(Azure Web Application Firewall)에 연결합니다. 이 WAF는 SQL 삽입 및 사이트 간 스크립팅과 같은 일반적인 웹 취약성으로부터 애플리케이션을 보호하고 규칙을 사용자 지정하여 가양성을 줄일 수 있습니다. Microsoft 웹 애플리케이션 방화벽 로그를 Microsoft Sentinel 스트리밍하는 지침은 설치 프로세스 중에 표시됩니다. 자세한 내용은 Microsoft Sentinel 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
AzureDiagnostics 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

BETTER MTD(Mobile Threat Defense)

지원:Better Mobile Security Inc.

BETTER MTD 커넥터를 사용하면 엔터프라이즈가 더 나은 MTD 인스턴스를 Microsoft Sentinel 연결하고, 대시보드에서 데이터를 보고, 사용자 지정 경고를 만들고, 이를 사용하여 플레이북을 트리거하고 위협 헌팅 기능을 확장할 수 있습니다. 이를 통해 사용자는 organization 모바일 디바이스에 대한 더 많은 인사이트와 전반적인 SecOps 기능을 개선하는 현재 모바일 보안 태세를 신속하게 분석할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
BetterMTDIncidentLog_CL 아니요 아니요
BetterMTDDeviceLog_CL 아니요 아니요
BetterMTDNetflowLog_CL 아니요 아니요
BetterMTDAppLog_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

설치 지침:

  1. 더 나은 MTD 콘솔의 사이드바에서 통합을 클릭합니다.
  2. 기타 탭을 선택합니다.
  3. 계정 추가 단추를 클릭하고 사용 가능한 통합에서 Microsoft Sentinel 선택합니다.
  4. 통합 만들기:
  • 통합을 식별하는 설명이 포함된 이름으로 설정한 ACCOUNT NAME 다음 다음을 클릭합니다.
  • WORKSPACE ID 를 입력하고 PRIMARY KEY 아래 필드에서 저장을 클릭합니다.
  • 완료를 클릭합니다 .
  1. 위협 정책 설정(보고 Microsoft Sentinel해야 하는 인시던트):
  • 더 나은 MTD 콘솔의 사이드바에서 정책을 클릭합니다.
  • 사용 중인 정책의 편집 단추를 클릭합니다.
  • 기록하려는 각 인시던트 유형에 대해 통합으로 보내기 필드로 이동하여 Sentinel
  1. 자세한 내용은 설명서를 참조하세요.
  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>



BeyondTrust PM Cloud

지원:BeyondTrust

BeyondTrust Privilege Management 클라우드 데이터 커넥터는 BeyondTrust PM Cloud에서 Microsoft Sentinel 활동 감사 로그 및 클라이언트 이벤트 로그를 수집하는 기능을 제공합니다.

이 커넥터는 Azure Functions 사용하여 BeyondTrust PM Cloud API에서 데이터를 가져와서 사용자 지정 Log Analytics 테이블에 수집합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
BeyondTrustPM_ActivityAudits_CL
BeyondTrustPM_ClientEvents_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • BeyondTrust PM Cloud API 자격 증명: BeyondTrust PM Cloud OAuth 클라이언트 ID 및 클라이언트 암호가 필요합니다. API 계정에는 감사 - 읽기 전용 및 보고 - 읽기 전용 권한이 필요합니다.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 BeyondTrust PM Cloud API에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

참고: 이 커넥터는 OAuth 2.0 클라이언트 자격 증명 흐름을 사용하여 BeyondTrust PM Cloud API로 인증합니다.

1단계 - BeyondTrust PM Cloud API 자격 증명 가져오기

OAuth API 자격 증명(클라이언트 ID 및 클라이언트 암호)을 사용하여 BeyondTrust PM 클라우드 instance API 계정을 만듭니다. API 계정에는 다음 권한이 필요합니다.

  • 감사 - 읽기 전용
  • 보고 - 읽기 전용

2단계 - 커넥터 및 연결된 Azure 함수 배포

ARM 템플릿을 사용하여 BeyondTrust PM 클라우드 데이터 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    portal.azure.com

  2. 기본 구독, 리소스 그룹(Log Analytics 작업 영역을 포함해야 합니다) 및 위치를 선택합니다.

  3. 필요한 매개 변수를 입력합니다.

    • 작업 영역 이름: Log Analytics 작업 영역의 이름(예: beyondtrust-pmcloud)
    • BeyondTrust PM Cloud Base URL: 테넌트 URL(예: https://yourcompany.beyondtrustcloud.com)
    • BeyondTrust 클라이언트 ID: 1단계의 OAuth 클라이언트 ID
    • BeyondTrust 클라이언트 암호: 1단계의 OAuth 클라이언트 암호
    • 활동 감사 폴링 간격: 활동 감사를 수집하는 빈도(기본값: 15분)
    • 클라이언트 이벤트 폴링 간격: 클라이언트 이벤트를 수집하는 빈도(기본값: 5분)
    • 로그 수준: 문제 해결을 위한 로깅 수준(기본값: 정보)
    • 기록 데이터 기간: 처음 실행 시 데이터를 수집하는 데 걸리는 시간(기본값: 1일)

  4. 고급 설정(호스팅 계획 SKU, 스토리지 계정 유형)을 검토하고 필요한 경우 조정합니다.

  5. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  6. 구매를 클릭하여 배포합니다.

  7. 배포는 함수 앱, 스토리지 계정, 데이터 수집 엔드포인트, 데이터 수집 규칙 및 사용자 지정 Log Analytics 테이블과 같은 모든 필수 리소스를 만듭니다.

  8. 배포 후 15~30분 이내에 데이터가 흐르기 시작해야 합니다.



BigID DSPM 커넥터

지원:BigID

BigID DSPM 데이터 커넥터는 영향을 받는 개체 및 데이터 원본 정보를 사용하여 BigID DSPM 사례를 Microsoft Sentinel 수집하는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
BigIDDSPMCatalog_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • BigID DSPM API 액세스: BigID 토큰을 통해 BigID DSPM API에 액세스해야 합니다.

설치 지침:

BigID DSPM API에 연결하여 Microsoft Sentinel BigID DSPM 사례 및 영향을 받는 개체 수집을 시작합니다.

'customer.bigid.cloud' 및 BigID 토큰과 같은 BigID 도메인 이름을 제공합니다. 설정 - 액세스 관리 - 사용자 ->> 사용자를> 선택하고 토큰을 생성하여 BigID 콘솔에서 토큰을 생성합니다.

  • BigID FQDN: (BigID FQDN)
  • BigID 토큰: (BigID 토큰)
  • 연결 사용/사용 안 함



비트글래스(Azure Functions 사용)

지원:Microsoft Corporation

Bitglass 데이터 커넥터는 REST API를 통해 Bitglass 서비스의 보안 이벤트 로그 및 더 많은 이벤트를 Microsoft Sentinel 검색하는 기능을 제공합니다. 커넥터를 사용하면 이벤트 검색을 통해 잠재적인 보안 위험을 평가하고, 공동 작업을 모니터링하고, 구성 문제를 진단하고 해결할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
BitglassLogs_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • REST API 자격 증명/권한: API 호출을 수행하려면 BitglassTokenBitglassServiceURL 이 필요합니다.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Azure Blob Storage API에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 데이터 수집 및 데이터를 Azure Blob Storage 비용에 저장하는 추가 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지Azure Blob Storage 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

참고: 이 데이터 커넥터는 Kusto 함수를 기반으로 하는 파서가 Microsoft Sentinel Solution과 함께 배포된 예상 비트글래스로 작동하도록 합니다.

1단계 - Bitglass 로그 검색 API에 대한 구성 단계

지침에 따라 자격 증명을 가져옵니다.

  1. Bitglass 지원에 문의하고 BitglassToken 및 BitglassServiceURL ntation]을 구하세요.
  2. 데이터 커넥터에서 사용하기 위한 자격 증명을 저장합니다.

2단계 - 커넥터 및 연결된 Azure 함수를 배포하려면 다음 두 가지 배포 옵션 중 하나를 선택합니다.

중요: Bitglass 데이터 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키를 갖습니다(다음에서 복사할 수 있음).

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

옵션 1 - ARM(Azure Resource Manager) 템플릿

ARM 템플릿을 사용하여 Bitglass 데이터 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

참고: 동일한 리소스 그룹 내에서는 Windows 및 Linux 앱을 동일한 지역에 혼합할 수 없습니다. Windows 앱이 없는 기존 리소스 그룹을 선택하거나 새 리소스 그룹을 만듭니다. 3. BitglassToken, BitglassServiceURL을 입력하고 배포합니다. 4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다. 5. 구매 를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions(Visual Studio Code 통해 배포)를 사용하여 Bitglass 데이터 커넥터를 수동으로 배포합니다.

  1. 함수 앱 배포

참고: Azure 함수 개발을 위해 VS 코드를 준비해야 합니다.

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.

  2. VS Code를 시작합니다. 주 메뉴에서 파일을 선택하고 폴더 열기를 선택합니다.

  3. 추출된 파일에서 최상위 폴더를 선택합니다.

  4. 작업 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 함수에 배포 앱 단추를 선택합니다. 아직 로그인하지 않은 경우 활동 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 로그인을 선택하여 Azure 이미 로그인한 경우 다음 단계로 이동합니다.

  5. 프롬프트에서 다음 정보를 제공합니다.

    a. 폴더 선택: 작업 영역에서 폴더를 선택하거나 함수 앱이 포함된 폴더로 이동합니다.

    b. 구독을 선택합니다. 사용할 구독을 선택합니다.

    c. Azure 새 함수 앱 만들기를 선택합니다(고급 옵션을 선택하지 않음).

    d. 함수 앱의 전역적으로 고유한 이름을 입력합니다 . URL 경로에 유효한 이름을 입력합니다. 입력한 이름은 Azure Functions 고유하도록 유효성을 검사합니다. (예: BitglassXXXXX).

    e. 런타임 선택: Python 3.11을 선택합니다.

    f. 새 리소스의 위치를 선택합니다. 성능 향상 및 비용 절감을 위해 Microsoft Sentinel 있는 동일한 지역을 선택합니다.

  6. 배포가 시작됩니다. 함수 앱이 만들어지고 배포 패키지가 적용된 후 알림이 표시됩니다.

  7. 함수 앱 구성에 대한 Azure 포털로 이동합니다.

  8. 함수 앱 구성

  9. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.

  10. 애플리케이션 설정 탭에서 새 애플리케이션 설정을 선택합니다.

  11. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. BitglassToken BitglassServiceURL WorkspaceID WorkspaceKey logAnalyticsUri(선택 사항)

  • logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 값을 형식https://<CustomerId>.ods.opinsights.azure.us으로 지정합니다.
  1. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



Bitwarden 이벤트 로그

지원:Bitwarden Inc.

이 커넥터는 사용자의 활동(로그인, 암호 변경, 2fa 등), 암호 활동(생성, 업데이트, 삭제, 공유 등), 수집 활동, organization 활동 등 Bitwarden organization 활동에 대한 인사이트를 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
BitwardenEventLogs 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Bitwarden 클라이언트 ID 및 클라이언트 암호: API 키는 Bitwarden organization 관리 콘솔에서 찾을 수 있습니다. 자세한 내용은 Bitwarden 설명서를 참조하세요.

설치 지침:

Bitwarden 이벤트 로그를 Microsoft Sentinel 연결

API 키는 Bitwarden organization 관리 콘솔에서 찾을 수 있습니다. 자세한 내용은 Bitwarden 설명서를 참조하세요. 자체 호스팅 Bitwarden 서버는 설치의 URL을 다시 구성해야 할 수 있습니다.



blacklens.io

지원:blacklens.io 지원

blacklens.io 데이터 커넥터를 사용하면 웹후크 기반 논리 앱 및 Azure Monitor 로그 수집 API를 사용하여 blacklens.io 공격 Surface Management 경고를 Microsoft Sentinel 수집할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
blacklens_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Azure 구독: 리소스 그룹에 대한 기여자 또는 소유자 권한은 데이터 수집 인프라(데이터 수집 엔드포인트, 데이터 수집 규칙, 사용자 지정 테이블 및 논리 앱)를 배포하는 데 필요합니다.
  • blacklens.io 계정: 웹후크 통합 기능이 있는 blacklens.io 계정이 필요합니다.

설치 지침:

1단계 - 데이터 수집 인프라 배포

이 단계에서는 데이터 수집 엔드포인트, 데이터 수집 규칙, 사용자 지정 Log Analytics 테이블(blacklens_CL) 및 웹후크 트리거 논리 앱과 같은 필요한 Azure 리소스를 배포합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    portal.azure.com

  2. Microsoft Sentinel 작업 영역이 있는 구독, 리소스 그룹 및 위치를 선택합니다.

  3. Log Analytics 작업 영역의 작업 영역 이름을 입력합니다.

  4. 검토 + 만들기를 클릭한 다음 만들기를 클릭합니다.

2단계 - 웹후크 URL 복사

  1. 배포가 성공하면 배포 페이지에서 출력 탭을 클릭합니다.
  2. webhookUrl 값을 복사합니다.

또는 Logic Apps >la-blacklens-alert-log-ingestion> 개요로 이동하여 워크플로 URL을 복사합니다.

3단계 - blacklens.io 구성

  1. blacklens.io 포털에 로그인합니다.
  2. 웹후크 통합 설정으로 이동합니다.
  3. 2단계에서 복사한 웹후크 URL을 붙여넣습니다.
  4. 구성을 저장합니다.
  5. 웹후크 통합을 하나 이상의 알림 정책에 연결하여 경고가 웹후크로 전송되도록 합니다.

몇 분 후에 테스트 인시던트가 Microsoft Sentinel 표시됩니다.



Box(Azure Functions 사용)

지원:Microsoft Corporation

Box 데이터 커넥터는 Box REST API를 사용하여 Box 엔터프라이즈의 이벤트를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 Box 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
BoxEvents_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • Box API 자격 증명: Box REST API JWT 인증에는 Box 구성 JSON 파일이 필요합니다. 자세한 내용은 JWT 인증을 참조하세요.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Box REST API에 연결하여 로그를 Microsoft Sentinel 끌어옵니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

참고: 이 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 Microsoft Sentinel 솔루션과 함께 배포되는 예상 BoxEvents로 작동합니다.

1단계 - Box 이벤트 컬렉션 구성

JWT 인증을 설치하고 자격 증명을 사용하여 JSON 파일을 가져오는 설명서를 참조하세요.

2단계 - 커넥터 및 연결된 Azure 함수를 배포하려면 다음 두 가지 배포 옵션 중 하나를 선택합니다.

중요: Box 데이터 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)와 Box JSON 구성 파일을 쉽게 사용할 수 있습니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

옵션 1 - ARM(Azure Resource Manager) 템플릿

ARM Tempate를 사용하여 Box 데이터 커넥터의 자동화된 배포에 이 메서드를 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. AzureSentinelWorkspaceId, AzureSentinelSharedKey, BoxConfigJSON을 입력합니다.

  4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  5. 구매를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions(Visual Studio Code 통해 배포)를 사용하여 Box 데이터 커넥터를 수동으로 배포합니다.

1단계 - 함수 앱 배포

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.
  2. 함수 앱 수동 배포 지침에 따라 VSCode를 사용하여 Azure Functions 앱을 배포합니다.
  3. 함수 앱을 성공적으로 배포한 후 구성을 위한 다음 단계를 수행합니다.

2단계 - 함수 앱 구성

  1. 함수 앱 구성에 대한 Azure 포털로 이동합니다.
  2. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.
  3. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.
  4. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. AzureSentinelWorkspaceId AzureSentinelSharedKey BOX_CONFIG_JSON logAnalyticsUri(선택 사항)
  • logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 값을 형식https://<CustomerId>.ods.opinsights.azure.us으로 지정합니다.
  1. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



BOX 이벤트(CCF)

지원:Microsoft Corporation

Box 데이터 커넥터는 Box REST API를 사용하여 Box 엔터프라이즈의 이벤트를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 Box 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
BoxEventsV2_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Box API 자격 증명: Box API를 사용하려면 Box App 클라이언트 ID 및 클라이언트 암호가 필요합니다. 자세한 내용은 클라이언트 자격 증명 부여를 참조하세요.
  • Box Enterprise ID: 연결하려면 Box Enterprise ID가 필요합니다. 엔터프라이즈 ID를 찾으려면 설명서를 참조하세요.

설치 지침:

참고: 이 커넥터는 CCF(Codeless Connecor Platform)를 사용하여 Box REST API에 연결하여 로그를 Microsoft Sentinel 끌어옵니다.

참고: 이 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 Microsoft Sentinel 솔루션과 함께 배포되는 예상 BoxEvents로 작동합니다.

1단계 - Box 사용자 지정 애플리케이션 만들기

클라이언트 자격 증명 인증을 설정하는 설명서를 참조하세요.

2단계 - 클라이언트 ID 및 클라이언트 암호 값 가져오기

비밀을 가져오려면 2FA를 설정해야 할 수 있습니다.

3단계 - Box 관리 콘솔에서 Box Enterprise ID 가져오기

엔터프라이즈 ID를 찾으려면 설명서를 참조하세요.

Box에 연결하여 Microsoft Sentinel 이벤트 로그 수집 시작

아래 필수 값을 제공합니다.

  • Box Enterprise ID: (123456)



Check Point CloudGuard CNAPP Connector for Microsoft Sentinel

지원:Check Point

CloudGuard 데이터 커넥터를 사용하면 Microsoft Sentinel Codeless Connector Framework를 사용하여 CloudGuard API에서 Microsoft Sentinel ™ 보안 이벤트를 수집할 수 있습니다. 커넥터는 들어오는 보안 이벤트 데이터를 사용자 지정 열로 구문 분석하는 DCR 기반 수집 시간 변환 을 지원합니다. 이 사전 구문 분석 프로세스는 쿼리 시간 구문 분석이 필요하지 않도록 하므로 데이터 쿼리의 성능이 향상됩니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CloudGuard_SecurityEvents_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • CloudGuard API 키: 여기에 제공된 지침을 참조하여 API 키를 생성합니다.

설치 지침:

CloudGuard 보안 이벤트를 Microsoft Sentinel 연결

Microsoft Sentinel CloudGuard 커넥터를 사용하도록 설정하려면 아래 필수 정보를 입력하고 연결을 선택합니다.

  • API 키 ID: (api_key)
  • API 키 비밀: (api_secret)
  • CloudGuard 엔드포인트 URL: (예: https://api.dome9.com)
  • 필터: (CloudGuard에서 필터 붙여넣기)
  • 연결 사용/사용 안 함



Check Point Cyberint Alerts 커넥터(코드리스 커넥터 프레임워크를 통해)

지원:Cyberint

Check Point 회사인 Cyberint는 중요한 경고를 간소화하고 무한대 외부 위험 관리 솔루션에서 Microsoft Sentinel 보강된 위협 인텔리전스를 제공하는 Microsoft Sentinel 통합을 제공합니다. 이렇게 하면 시스템 간에 자동 동기화 업데이트를 사용하여 티켓의 상태 추적하는 프로세스가 간소화됩니다. 기존 Cyberint 및 Microsoft Sentinel 고객은 이 새로운 통합을 Microsoft Sentinel 사용하여 Cyberint의 결과에 따라 로그를 Microsoft Sentinel 플랫폼으로 쉽게 끌어올 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
argsentdc_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Check Point Cyberint API 키, Argos URL 및 고객 이름: 커넥터 API 키, Argos URL 및 고객 이름이 필요합니다.

설치 지침:

검사점 Cyberint 경고를 Microsoft Sentinel 연결

커넥터를 사용하도록 설정하려면 아래 필수 정보를 제공하고 연결을 클릭합니다.

Argos URL - 테넌트(예: https://your_tenant.cyberint.io) API 토큰에 대한 Cyberint API URL — Cyberint API 액세스 토큰 고객 이름 - Cyberint instance 환경과 연결된 회사(클라이언트) 이름 - 가져올 환경의 쉼표로 구분된 목록입니다. 비어 있으면 모든 환경이 페치됩니다.\n\n심각도 - 가져올 심각도의 쉼표로 구분된 목록(낮음, 중간, 높음, very_high). 비어 있으면 모든 심각도가 페치됩니다.\n\n폴링 간격 — 새 경고를 폴링하는 빈도(기본값: 5)\n\nCSV 첨부 파일을 JSON으로 포함 - 경고에 CSV 첨부 파일을 JSON 콘텐츠로 포함할지 여부(기본값: false)

  • 아르고스 URL: (https://your_tenant.cyberint.io)
  • API 토큰: (Cyberint API 액세스 토큰)
  • 고객 이름: (Cyberint instance 연결된 회사(클라이언트) 이름)
  • 환경: (쉼표로 구분된 목록(예: 프로덕션, 스테이징))
  • 심각도: (쉼표로 구분된 목록(예: low,medium,high,very_high))
  • 폴링 간격(분): (폴링 빈도(분)
  • CSV 첨부 파일을 JSON으로 포함: (true 또는 false)
  • 연결 사용/사용 안 함



Check Point Cyberint IOC 커넥터

지원:Cyberint

Check Point 회사인 Cyberint는 무한대 외부 위험 관리 솔루션에서 Microsoft Sentinel IOC(손상 지표)를 수집하는 Microsoft Sentinel 통합을 제공합니다. 이 커넥터는 심각도, 신뢰도 및 검색된 활동과 같은 위협 컨텍스트로 보강된 악의적인 IP, 도메인, URL 및 파일 해시를 포함한 일일 IOC 피드를 자동으로 끌어온다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
iocsent_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Check Point Cyberint API 키, Argos URL 및 고객 이름: 커넥터 API 키, Argos URL 및 고객 이름이 필요합니다.

설치 지침:

Check Point Cyberint IOC 피드를 Microsoft Sentinel 연결

커넥터를 사용하도록 설정하려면 아래 필수 정보를 제공하고 연결을 클릭합니다.

Argos URL - 테넌트(예: https://your_tenant.cyberint.io) API 토큰에 대한 Cyberint API URL - Cyberint API 액세스 토큰 고객 이름 - Cyberint instance 연결된 회사(클라이언트) 이름

  • 아르고스 URL: (https://your-company.cyberint.io)
  • API 토큰: (API 토큰)
  • 고객 이름: (Cyberint instance 연결된 회사(클라이언트) 이름)
  • 연결 사용/사용 안 함



AMA를 통한 Cisco ASA/FTD

지원:Microsoft Corporation

Cisco ASA 방화벽 커넥터를 사용하면 Cisco ASA 로그를 Microsoft Sentinel 쉽게 연결하고, 대시보드를 보고, 사용자 지정 경고를 만들고, 조사를 개선할 수 있습니다. 이렇게 하면 organization 네트워크에 대한 더 많은 인사이트를 제공하고 보안 작업 기능을 개선합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CommonSecurityLog

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • 비 Azure VM에서 데이터를 수집하려면 Azure Arc를 설치하고 사용하도록 설정해야 합니다. 자세한 정보

설치 지침:

데이터 수집 규칙 사용

Cisco ASA/FTD 이벤트 로그는 Linux 에이전트에서만 수집됩니다.

  • 에이전트 설치: <설치 시 제공되는 변수 값>

다음 명령을 실행하여 Cisco ASA/FTD 수집기를 설치하고 적용합니다.

  • : <설치 시 제공되는 변수 값>



Cisco Cloud Security(Azure Functions 사용)

지원:Microsoft Corporation

Microsoft Sentinel용 Cisco Cloud Security 솔루션을 사용하면 Amazon S3에 저장된 Cisco Secure AccessCisco Umbrella로그를 Amazon S3 REST API를 사용하여 Microsoft Sentinel 수집할 수 있습니다. 자세한 내용은 Cisco Cloud Security 로그 관리 설명서를 참조하세요 .

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Cisco_Umbrella_dns_CL
Cisco_Umbrella_proxy_CL
Cisco_Umbrella_ip_CL
Cisco_Umbrella_cloudfirewall_CL
Cisco_Umbrella_firewall_CL
Cisco_Umbrella_dlp_CL 아니요 아니요
Cisco_Umbrella_ravpnlogs_CL 아니요 아니요
Cisco_Umbrella_audit_CL 아니요 아니요
Cisco_Umbrella_ztna_CL 아니요 아니요
Cisco_Umbrella_intrusion_CL 아니요 아니요
Cisco_Umbrella_ztaflow_CL 아니요 아니요
Cisco_Umbrella_fileevent_CL 아니요 아니요

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • Amazon S3 REST API 자격 증명/권한: Amazon S3 REST API에는 AWS 액세스 키 ID, AWS 비밀 액세스 키, AWS S3 버킷 이름이 필요합니다.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Amazon S3 REST API에 연결하여 로그를 Microsoft Sentinel. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

참고: 이 커넥터는 Cisco Cloud Security 로그 스키마 버전 14를 지원하도록 업데이트되었습니다.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. Azure Functions 앱에서 Azure Key Vault 사용하려면 다음 지침을 따릅니다.

참고: 이 커넥터는 Kusto 함수를 기반으로 하는 파서 를 사용하여 필드를 정규화합니다. 다음 단계에 따라 Kusto 함수 별칭 Cisco_Umbrella 만듭니다.

1단계 - Cisco Cloud Security 로그 컬렉션 구성

설명서를 참조 하고 로깅을 설정하고 자격 증명을 가져오기 위한 지침을 따릅니다.

2단계 - 커넥터 및 연결된 Azure Functions 배포하려면 다음 두 가지 배포 옵션 중 하나를 선택합니다.

중요: Cisco Cloud Security 데이터 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)와 Amazon S3 REST API 권한 부여 자격 증명을 쉽게 사용할 수 있습니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

옵션 1 - ARM(Azure Resource Manager) 템플릿

ARM Tempate를 사용하여 Cisco Cloud Security 데이터 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.msaka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 작업 영역 ID, 작업 영역 키, S3Bucket, AWSAccessKeyId, AWSSecretAccessKey 참고: S3Bucket의 경우 Cisco가 참조하는 값을 S3 버킷 데이터 경로로 사용하고 값 끝에 /(슬래시)를 추가합니다.

  4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  5. 구매를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions(Visual Studio Code 통해 배포)를 사용하여 Cisco Cloud Security 데이터 커넥터를 수동으로 배포합니다.

1단계 - 함수 앱 배포

참고: Azure Functions 개발을 위해 VS 코드를 준비해야 합니다.

  1. Azure Functions 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.
  2. 함수 앱 수동 배포 지침에 따라 VSCode를 사용하여 Azure Functions 앱을 배포합니다.
  3. 함수 앱을 성공적으로 배포한 후 구성을 위한 다음 단계를 수행합니다.

2단계 - 함수 앱 구성

  1. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.
  2. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.
  3. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. WorkspaceID WorkspaceKey S3Bucket AWSAccessKeyId AWSSecretAccessKey logAnalyticsUri(선택 사항)
  • logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 값을 형식https://<CustomerId>.ods.opinsights.azure.us으로 지정합니다.
  1. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



Cisco Cloud Security(탄력적 프리미엄 플랜 사용)(Azure Functions 사용)

지원:Microsoft Corporation

Cisco Umbrella 데이터 커넥터는 Amazon S3 REST API를 사용하여 Amazon S3에 저장된 Cisco Umbrella 이벤트를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 Cisco Umbrella 로그 관리 설명서를 참조하세요.

참고: 이 데이터 커넥터는 Azure Functions Premium 플랜을 사용하여 보안 수집 기능을 사용하도록 설정하고 추가 비용이 발생합니다. 자세한 가격 책정 정보는 여기를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Cisco_Umbrella_dns_CL
Cisco_Umbrella_proxy_CL
Cisco_Umbrella_ip_CL
Cisco_Umbrella_cloudfirewall_CL
Cisco_Umbrella_firewall_CL
Cisco_Umbrella_dlp_CL 아니요 아니요
Cisco_Umbrella_ravpnlogs_CL 아니요 아니요
Cisco_Umbrella_audit_CL 아니요 아니요
Cisco_Umbrella_ztna_CL 아니요 아니요
Cisco_Umbrella_intrusion_CL 아니요 아니요
Cisco_Umbrella_ztaflow_CL 아니요 아니요
Cisco_Umbrella_fileevent_CL 아니요 아니요

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • Amazon S3 REST API 자격 증명/권한: Amazon S3 REST API에는 AWS 액세스 키 ID, AWS 비밀 액세스 키, AWS S3 버킷 이름이 필요합니다.
  • Virtual Network 권한(프라이빗 액세스용): 프라이빗 스토리지 계정 액세스의 경우 Virtual Network 및 서브넷에 대한 네트워크 기여자 권한이 필요합니다. 서브넷은 함수 앱 VNet 통합을 위해 Microsoft.Web/serverFarms 에 위임되어야 합니다.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Amazon S3 REST API에 연결하여 로그를 Microsoft Sentinel. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

참고: 이 커넥터는 cisco Umbrella 로그 스키마 버전 14를 지원하도록 업데이트되었습니다.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. Azure Functions 앱에서 Azure Key Vault 사용하려면 다음 지침을 따릅니다.

참고: 이 커넥터는 Kusto 함수를 기반으로 하는 파서 를 사용하여 필드를 정규화합니다. 다음 단계에 따라 Kusto 함수 별칭 Cisco_Umbrella 만듭니다.

1단계 - 프라이빗 액세스를 위한 네트워크 필수 구성 요소

중요: 프라이빗 스토리지 계정 액세스를 사용하여 배포할 때 다음 네트워크 필수 구성 요소가 충족되는지 확인합니다.

  • Virtual Network: 기존 Virtual Network(VNet)을 사용할 수 있어야 합니다.
  • 서브넷: 함수 앱 VNet 통합을 위해 VNet 내의 전용 서브넷을 Microsoft.Web/serverFarms에 위임해야 합니다 .
  • 서브넷 위임: Azure Portal, ARM 템플릿 또는 Azure CLI를 사용하여 서브넷 위임을 구성합니다.
    • Azure 포털: 가상 네트워크로 이동 → VNet → 서브넷 선택 → 서브넷 선택 → 서비스에 서브넷 위임 → Microsoft.Web/serverFarms 선택
    • AZURE CLI:az network vnet subnet update --resource-group <rg-name> --vnet-name <vnet-name> --name <subnet-name> --delegations Microsoft.Web/serverFarms
  • 프라이빗 엔드포인트: 배포는 동일한 서브넷 내에 스토리지 계정 서비스(Blob, 파일, 큐, 테이블)에 대한 프라이빗 엔드포인트를 만듭니다.

2단계 - Cisco Umbrella 로그 컬렉션 구성

설명서를 참조 하고 로깅을 설정하고 자격 증명을 가져오기 위한 지침을 따릅니다.

3단계 - 커넥터 및 연결된 Azure Functions 배포하려면 다음 두 가지 배포 옵션 중 하나를 선택합니다.

중요: Cisco Umbrella 데이터 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)와 Amazon S3 REST API 권한 부여 자격 증명을 쉽게 사용할 수 있습니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

옵션 1 - ARM(Azure Resource Manager) 템플릿

ARM Tempate를 사용하여 Cisco Umbrella 데이터 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.msaka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 작업 영역 ID, 작업 영역 키, S3Bucket, AWSAccessKeyId, AWSSecretAccessKey를 입력합니다.

  4. 프라이빗 액세스 배포의 경우: existingVnetName, existingVnetResourceGroupName 및 existingSubnetName을 입력합니다(서브넷이 Microsoft.Web/serverFarms에 위임되었는지 확인) 참고: S3Bucket의 경우 Cisco가 참조하는 값을 S3 버킷 데이터 경로 로 사용하고 값의 끝에 /(슬래시)를 추가합니다.

  5. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  6. 구매를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions(Visual Studio Code 통해 배포)를 사용하여 Cisco Umbrella 데이터 커넥터를 수동으로 배포합니다.

1단계 - 함수 앱 배포

참고: Azure Functions 개발을 위해 VS 코드를 준비해야 합니다.

  1. Azure Functions 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.
  2. 함수 앱 수동 배포 지침에 따라 VSCode를 사용하여 Azure Functions 앱을 배포합니다.
  3. 함수 앱을 성공적으로 배포한 후 구성을 위한 다음 단계를 수행합니다.

2단계 - 함수 앱 구성

  1. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.
  2. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.
  3. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. WorkspaceID WorkspaceKey S3Bucket AWSAccessKeyId AWSSecretAccessKey logAnalyticsUri(선택 사항)
  • logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 값을 형식https://<CustomerId>.ods.opinsights.azure.us으로 지정합니다.
  1. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



Cisco Duo 보안(Azure Functions 사용)

지원:Cisco Systems

Cisco Duo 보안 데이터 커넥터는 Cisco Duo 관리 API를 사용하여 인증 로그, 관리자 로그, 전화 통신 로그, 오프라인 등록 로그트러스트 모니터 이벤트를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 API 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CiscoDuo_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • Cisco Duo API 자격 증명: Cisco Duo API에는 권한 부여 읽기 로그 가 있는 Cisco Duo API 자격 증명이 필요합니다. Cisco Duo API 자격 증명을 만드는 방법에 대한 자세한 내용은 설명서를 참조하세요.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Cisco Duo API에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

참고: 이 데이터 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 Microsoft Sentinel Solution과 함께 배포되는 예상 CiscoDuo로 작동합니다.

1단계 - Cisco Duo 관리 API 자격 증명 가져오기

  1. 지침에 따라 통합 키, 비밀 키 및 API 호스트 이름을 가져옵니다. 지침의 4단계에서 읽기 로그 권한 부여 사용합니다.

2단계 - 커넥터 및 연결된 Azure 함수를 배포하려면 다음 두 가지 배포 옵션 중 하나를 선택합니다.

중요: 데이터 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)와 Azure Blob Storage 연결 문자열 및 컨테이너 이름을 쉽게 사용할 수 있습니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

옵션 1 - ARM(Azure Resource Manager) 템플릿

ARM 템플릿을 사용하여 데이터 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.msaka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. Cisco Duo 통합 키, Cisco Duo 비밀 키, Cisco Duo API 호스트 이름, Cisco Duo 로그 형식, Microsoft Sentinel 작업 영역 ID, 공유 키 Microsoft Sentinel 입력

  4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  5. 구매를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions 사용하여 데이터 커넥터를 수동으로 배포합니다(Visual Studio Code 통해 배포).

1단계 - 함수 앱 배포

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.
  2. 함수 앱 수동 배포 지침에 따라 VSCode를 사용하여 Azure Functions 앱을 배포합니다.
  3. 함수 앱을 성공적으로 배포한 후 구성을 위한 다음 단계를 수행합니다.

2단계 - 함수 앱 구성

  1. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.
  2. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.
  3. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. CISCO_DUO_INTEGRATION_KEY CISCO_DUO_SECRET_KEY CISCO_DUO_API_HOSTNAME CISCO_DUO_LOG_TYPES WORKSPACE_ID SHARED_KEY logAnalyticsUri(선택 사항)
  • logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 값을 형식https://WORKSPACE_ID.ods.opinsights.azure.us으로 지정합니다.
  1. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



Cisco ETD(Azure Functions 사용)

지원 기준:N/A

커넥터는 위협 분석을 위해 ETD API에서 데이터를 가져옵니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CiscoETD_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • Email Threat Defense API, API 키, 클라이언트 ID 및 비밀: API 키, 클라이언트 ID 및 비밀 키가 있는지 확인합니다.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 ETD API에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다.

배포 단계에 따라 커넥터 및 연결된 Azure 함수를 배포합니다.

중요: ETD 데이터 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키를 갖습니다(다음에서 복사할 수 있음).

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

ARM(Azure Resource Manager) 템플릿

ARM 템플릿을 사용하여 Cisco ETD 데이터 커넥터의 자동화된 배포에 이 메서드를 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 지역을 선택합니다.

  3. WorkspaceID, SharedKey, ClientID, ClientSecret, ApiKey, Verdicts, ETD 지역을 입력합니다.

  4. 만들기를 클릭하여 배포합니다.



Cisco Meraki(REST API 사용)

지원:Microsoft Corporation

Cisco Meraki 커넥터를 사용하면 Cisco Meraki organization 이벤트(보안 이벤트, 구성 변경 및 API 요청)를 Microsoft Sentinel 쉽게 연결할 수 있습니다. 데이터 커넥터는 Cisco Meraki REST API 를 사용하여 로그를 가져오고 수신된 데이터를 구문 분석하고 Log Analytics 작업 영역의 ASIM 및 사용자 지정 테이블로 수집하는 DCR 기반 수집 시간 변환 을 지원합니다. 이 데이터 커넥터는 DCR 기반 수집 시간 필터링, 데이터 정규화와 같은 기능을 활용합니다.

지원되는 ASIM 스키마:

  1. 네트워크 세션
  2. 웹 세션
  3. 감사 이벤트

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ASimNetworkSessionLogs

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Cisco Meraki REST API 키: Cisco Meraki에서 API 액세스를 사용하도록 설정하고 API 키를 생성합니다. 자세한 내용은 Cisco Meraki 공식 설명서를 참조하세요.
  • Cisco Meraki 조직 ID: Cisco Meraki organization ID를 가져와서 보안 이벤트를 가져옵니다. 설명서의 단계에 따라 이전 단계에서 가져온 Meraki API 키를 사용하여 조직 ID를 가져옵니다.

설치 지침:

Cisco Meraki 이벤트를 Microsoft Sentinel 연결

현재 이 커넥터를 사용하면 다음 Cisco Meraki REST API 엔드포인트에서 이벤트를 수집할 수 있습니다.

  1. 조직 어플라이언스 보안 이벤트 가져오기 이 커넥터는 IDS 경고 이벤트를 ASimNetworkSessionLogs 테이블 및 파일 스캔 이벤트를 ASimWebSessionLogs 테이블로 구문 분석합니다.
  2. 조직 API 요청 가져오기 이 커넥터는 이벤트를 ASimWebSessionLogs 테이블로 구문 분석합니다.
  3. 조직 구성 변경 내용 가져오기 이 커넥터는 이벤트를 ASimAuditEventLogs 테이블로 구문 분석합니다.
  • 조직 ID: (OrganizationId)
  • API 키: (ApiKey)
  • 연결 사용/사용 안 함



Cisco 보안 엔드포인트(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

Cisco 보안 엔드포인트(이전의 엔드포인트용 AMP) 데이터 커넥터는 Cisco Secure 엔드포인트 감사 로그이벤트를 Microsoft Sentinel 수집하는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CiscoSecureEndpointAuditLogsV2_CL
CiscoSecureEndpointEventsV2_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Cisco 보안 엔드포인트 API 자격 증명/지역: API 자격 증명을 만들고 지역을 이해하려면 여기에 제공된 문서 링크를 따릅니다. 여기를 클릭합니다.

설치 지침:

Cisco 보안 엔드포인트를 Microsoft Sentinel 연결

Cisco 보안 엔드포인트에서 Microsoft Sentinel 데이터를 수집하려면 아래 계정 추가 단추를 클릭한 다음 Email, 조직, 클라이언트 ID, API 키 및 지역과 같은 세부 정보를 채우고 필요한 정보를 제공하고 연결을 클릭하는 팝업이 표시됩니다. 아래 표에서 연결된 조직/이메일을 볼 수 있습니다.

  • 데이터 커넥터 그리드(포털에서 구성)



Cisco Software Defined WAN

지원:Cisco Systems

Cisco SD-WAN(Software Defined WAN) 데이터 커넥터는 Cisco SD-WAN Syslog 및 Netflow 데이터를 Microsoft Sentinel 수집하는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Syslog
CiscoSDWANNetflow_CL 아니요 아니요

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

Cisco SD-WAN Syslog 및 Netflow 데이터를 Microsoft Sentinel 수집하려면 아래 단계를 수행합니다.

1. Microsoft sentinel에 Syslog 데이터를 수집하는 단계

Azure Monitor 에이전트는 syslog 데이터를 Microsoft sentinel로 수집하는 데 사용됩니다. 이를 위해 먼저 syslog 데이터가 전송될 VM에 대한 Azure Arc 서버를 만들어야 합니다.

1.1 Arc Server를 추가하는 Azure 단계

  1. Azure Portal 서버 - Azure Arc로 이동하여 추가를 클릭합니다.
  2. 단일 서버 추가 섹션에서 스크립트 생성을 선택합니다. 사용자는 여러 서버에 대한 스크립트도 생성할 수 있습니다.
  3. 필수 구성 요소 페이지에서 정보를 검토한 다음, 다음을 선택합니다.
  4. 리소스 세부 정보 페이지에서 Microsoft Sentinel, 지역, 운영 체제 및 연결 방법의 구독 및 리소스 그룹을 제공합니다. 그런 다음 다음을 선택합니다.
  5. 태그 페이지에서 제안된 기본 물리적 위치 태그를 검토하고 값을 입력하거나 표준을 지원하는 하나 이상의 사용자 지정 태그를 지정합니다. 그런 다음, 다음을 선택합니다.
  6. 다운로드를 선택하여 스크립트 파일을 저장합니다.
  7. 스크립트를 생성했으므로 다음 단계는 Azure Arc에 온보딩하려는 서버에서 스크립트를 실행하는 것입니다.
  8. Azure VM이 있는 경우 스크립트를 실행하기 전에 링크에 설명된 단계를 따릅니다.
  9. 다음 명령으로 스크립트를 실행합니다. ./<ScriptName>.sh
  10. 에이전트를 설치하고 Azure Arc 지원 서버에 연결하도록 구성한 후 Azure Portal 이동하여 서버가 성공적으로 연결되었는지 확인합니다. Azure Portal 머신을 봅니다. 참조 링크:/azure/azure-arc/servers/learn/quick-enable-hybrid-vm

1.2 DCR(데이터 수집 규칙) 만들기 단계

  1. Azure 포털에서 모니터를 검색합니다. 설정에서 데이터 수집 규칙을 선택하고 만들기를 선택합니다.
  2. 기본 패널에서 규칙 이름, 구독, 리소스 그룹, 지역 및 플랫폼 유형을 입력합니다.
  3. 다음: 리소스를 선택합니다.
  4. 리소스 추가를 선택합니다. 필터를 사용하여 로그를 수집하는 데 사용할 가상 머신을 찾습니다.
  5. 가상 머신을 선택합니다. 적용을 선택합니다.
  6. 다음: 수집 및 배달을 선택합니다.
  7. 데이터 원본 추가를 선택합니다. 데이터 원본 형식에 대해 syslog Linux 선택합니다.
  8. 최소 로그 수준의 경우 기본값을 LOG_DEBUG 그대로 둡니다.
  9. 다음: 대상을 선택합니다.
  10. 대상 추가를 선택하고 대상 유형, 구독 및 계정 또는 네임스페이스를 추가합니다.
  11. 데이터 원본 추가를 선택합니다. 다음: 검토 + 만들기를 선택합니다.
  12. 만들기를 선택합니다. 20분 동안 기다립니다. Microsoft Sentinel 또는 Azure Monitor에서 Azure Monitor 에이전트가 VM에서 실행되고 있는지 확인합니다. 참조 링크:/azure/sentinel/forward-syslog-monitor-agent

2. Microsoft sentinel에 Netflow 데이터를 수집하는 단계

Netflow 데이터를 Microsoft sentinel로 수집하려면 VM에 Filebeat 및 Logstash를 설치하고 구성해야 합니다. 구성 후 vm은 구성된 포트에서 netflow 데이터를 받을 수 있으며 해당 데이터는 Microsoft sentinel의 작업 영역에 수집됩니다.

2.1 filebeat 및 logstash 설치

  1. apt를 사용하여 filebeat 및 logstash를 설치하려면 다음 문서를 참조하세요.
  2. 파일 비트: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html.
  3. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html.
  4. RedHat 기반 Linux(yum) 단계에 대한 filebeat 및 logstash 설치의 경우 다음과 같습니다.
  5. 파일 비트: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_yum.
  6. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html#_yum

2.2 Logstash에 이벤트를 보내도록 Filebeat 구성

  1. filebeat.yml 파일 편집: vi /etc/filebeat/filebeat.yml
  2. Elasticsearch 출력 섹션을 주석으로 처리합니다.
  3. Logstash 출력 제거 섹션(이 두 줄만 주석 처리 해제)- output.logstash 호스트: ["localhost:5044"]
  4. Logstash 출력 섹션에서 기본 포트(예: 5044 포트)가 아닌 다른 데이터를 보내려면 호스트 필드의 포트 번호를 바꿉니다. (참고: logstash를 구성하는 동안 이 포트를 conf 파일에 추가해야 합니다.)
  5. 'filebeat.inputs' 섹션에서 기존 구성을 주석으로 처리하고 다음 구성을 추가합니다. - 형식: netflow max_message_size: 10KiB 호스트: "0.0.0.0:2055" 프로토콜: [ v5, v9, ipfix ] expiration_timeout: 30m queue_size: 8192 custom_definitions:
  • /etc/filebeat/custom.yml detect_sequence_reset: true enabled: true
  1. Filebeat 입력 섹션에서 기본 포트(예: 2055 포트)가 아닌 다른 데이터를 받으려면 호스트 필드의 포트 번호를 바꿉니다.
  2. 제공된 custom.yml 파일을 /etc/filebeat/ 디렉터리 내에 추가합니다.
  3. 방화벽에서 파일 비트 입력 및 출력 포트를 엽니다.
  4. 실행 명령: firewall-cmd --zone=public --permanent --add-port=2055/udp
  5. 실행 명령: firewall-cmd --zone=public --permanent --add-port=5044/udp

참고: 파일 비트 입력/출력에 대한 사용자 지정 포트가 추가된 경우 방화벽에서 해당 포트를 엽니다.

2.3 Microsoft Sentinel 이벤트를 보내도록 Logstash 구성

  1. Azure Log Analytics 플러그 인을 설치합니다.
  2. 명령 실행: sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics
  3. LogStash 키 저장소에 Log Analytics 작업 영역 키를 저장합니다. 작업 영역 키는 Azure 포털의 Log Analytic 작업 영역 설정에서 작업 영역 >> 선택 에이전트 > Log Analytics 에이전트 지침에서 찾을 수 있습니다.
  4. 기본 키를 복사하고 다음 명령을 실행합니다.
  5. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKey
  6. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey
  7. 구성 파일 /etc/logstash/cisco-netflow-to-sentinel.conf를 만듭니다. 입력 { beats { port =><port_number> #(filebeat 구성 중에 구성된 출력 포트 번호를 입력합니다. 즉. filebeat.yml 파일 .) } } 출력 { microsoft-logstash-output-azure-loganalytics { workspace_id => "<workspace_id>" workspace_key => "${LogAnalyticsKey}" custom_log_table_name => "CiscoSDWANNetflow" } }

참고: Microsoft sentinel에 테이블이 없으면 sentinel에 새 테이블이 만들어집니다.

2.4 파일 비트 실행:

  1. 터미널을 열고 명령을 실행합니다. systemctl start filebeat
  2. 이 명령은 백그라운드에서 파일 비트 실행을 시작합니다. 로그가 filebeat(systemctl stop filebeat)를 중지하는 것을 보려면 다음 명령을 실행합니다. filebeat run -e

2.5 Logstash 실행:

  1. 다른 터미널에서 명령을 실행합니다. /usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf &
  2. 이 명령은 백그라운드에서 logstash 실행을 시작합니다. logstash의 로그를 보려면 위의 프로세스를 종료하고 다음 명령을 실행합니다. /usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf



Claroty xDome

지원:xDome 고객 지원

Claroty xDome은 의료 및 산업용 네트워크 환경을 위한 포괄적인 보안 및 경고 관리 기능을 제공합니다. 여러 원본 형식을 매핑하고, 수집된 데이터를 식별하고, Microsoft Sentinel 데이터 모델에 통합하도록 설계되었습니다. 이로 인해 의료 및 산업 환경의 모든 잠재적 위협을 한 곳에서 모니터링하여 보다 효과적인 보안 모니터링과 더 강력한 보안 태세를 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CommonSecurityLog

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

1. Syslog 에이전트 구성 Linux

CEF(Common Event Format) Syslog 메시지를 수집하고 Microsoft Sentinel 전달하도록 Linux 에이전트를 설치하고 구성합니다.

모든 지역의 데이터가 선택한 작업 영역에 저장됩니다.

1.1 Linux 컴퓨터 선택 또는 만들기

Microsoft Sentinel 보안 솔루션과 온-프레미스 환경, Azure 또는 기타 클라우드에 있을 수 Microsoft Sentinel 사이의 프록시로 사용할 Linux 머신을 선택하거나 만듭니다.

1.2 Linux 컴퓨터에 CEF 수집기 설치

Linux 컴퓨터에 Microsoft Monitoring Agent를 설치하고 필요한 포트에서 수신 대기하고 Microsoft Sentinel 작업 영역에 메시지를 전달하도록 컴퓨터를 구성합니다. CEF 수집기는 포트 514 TCP에서 CEF 메시지를 수집합니다.

  1. python --version 명령을 사용하여 컴퓨터에 Python이 있는지 확인합니다.

  2. 컴퓨터에 대해 상승된 권한(sudo)이 있어야 합니다.

  • 다음 명령을 실행하여 CEF 수집<기를 설치하고 적용합니다. 설치 시 제공된 변수 값>

2. CEF(Common Event Format) 로그를 Syslog 에이전트로 전달

CEF(Common Event Format) Syslog 메시지를 수집하고 Microsoft Sentinel 전달하도록 Claroty xDome - Microsoft Sentinel 통합을 구성합니다.

3. 연결 유효성 검사

지침에 따라 연결의 유효성을 검사합니다.

Log Analytics를 열어 CommonSecurityLog 스키마를 사용하여 로그를 받는지 검사.

연결이 데이터를 작업 영역으로 스트리밍할 때까지 약 20분이 걸릴 수 있습니다.

로그를 받지 못한 경우 다음 연결 유효성 검사 스크립트를 실행합니다.

  1. python --version 명령을 사용하여 컴퓨터에 Python이 있는지 확인합니다.

  2. 컴퓨터에 관리자 권한(sudo)이 있어야 합니다.

  • 다음 명령을 실행하여 연결의 유효성을 검사합니다.< 설치 시 제공되는 변수 값>

**4. 컴퓨터 보안 **

organization 보안 정책에 따라 컴퓨터의 보안을 구성해야 합니다.

더 알아보세요 >



Cloudflare(미리 보기)(Azure Functions 사용)

지원:Cloudflare

Cloudflare 데이터 커넥터는 Cloudflare Logpush 및 Azure Blob Storage 사용하여 cloudflare 로그를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 Cloudflare 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Cloudflare_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Azure Blob Storage API에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 데이터 수집 및 데이터를 Azure Blob Storage 비용에 저장하는 추가 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지Azure Blob Storage 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

참고: 이 데이터 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 Microsoft Sentinel Solution과 함께 배포되는 예상 Cloudflare로 작동합니다.

1단계 - Cloudflare Logpush 구성

Microsoft Azure Cloudflare Logpush를 설정하는 설명서를 참조하세요.

2단계 - 커넥터 및 연결된 Azure 함수를 배포하려면 다음 두 가지 배포 옵션 중 하나를 선택합니다.

중요: Cloudflare 데이터 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)와 Azure Blob Storage 연결 문자열 및 컨테이너 이름을 쉽게 사용할 수 있습니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

옵션 1 - ARM(Azure Resource Manager) 템플릿

ARM 템플릿을 사용하여 Cloudflare 데이터 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. Azure Blob Storage 컨테이너 이름, Azure Blob Storage 연결 문자열, Microsoft Sentinel 작업 영역 ID, 공유 키 Microsoft Sentinel 입력

  4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  5. 구매를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions(Visual Studio Code 통해 배포)를 사용하여 Cloudflare 데이터 커넥터를 수동으로 배포합니다.

  1. 함수 앱 배포

참고: Azure 함수 개발을 위해 VS 코드를 준비해야 합니다.

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.

  2. VS Code를 시작합니다. 주 메뉴에서 파일을 선택하고 폴더 열기를 선택합니다.

  3. 추출된 파일에서 최상위 폴더를 선택합니다.

  4. 작업 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 함수에 배포 앱 단추를 선택합니다. 아직 로그인하지 않은 경우 활동 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 로그인을 선택하여 Azure 이미 로그인한 경우 다음 단계로 이동합니다.

  5. 프롬프트에서 다음 정보를 제공합니다.

    a. 폴더 선택: 작업 영역에서 폴더를 선택하거나 함수 앱이 포함된 폴더로 이동합니다.

    b. 구독을 선택합니다. 사용할 구독을 선택합니다.

    c. Azure 새 함수 앱 만들기를 선택합니다(고급 옵션을 선택하지 않음).

    d. 함수 앱의 전역적으로 고유한 이름을 입력합니다 . URL 경로에 유효한 이름을 입력합니다. 입력한 이름은 Azure Functions 고유하도록 유효성을 검사합니다. (예: CloudflareXX).

    e. 런타임 선택: Python 3.8을 선택합니다.

    f. 새 리소스의 위치를 선택합니다. 성능 향상 및 비용 절감을 위해 Microsoft Sentinel 있는 동일한 지역을 선택합니다.

  6. 배포가 시작됩니다. 함수 앱이 만들어지고 배포 패키지가 적용된 후 알림이 표시됩니다.

  7. 함수 앱 구성에 대한 Azure 포털로 이동합니다.

  8. 함수 앱 구성

  9. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.

  10. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.

  11. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. CONTAINER_NAME AZURE_STORAGE_CONNECTION_STRING WORKSPACE_ID SHARED_KEY logAnalyticsUri(선택 사항)

  • logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 값을 형식https://WORKSPACE_ID.ods.opinsights.azure.us으로 지정합니다.
  1. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



Cloudflare(Blob 컨테이너 사용)(코드리스 커넥터 프레임워크를 통해)

지원:Cloudflare

Cloudflare 데이터 커넥터는 Cloudflare Logpush 및 Azure Blob Storage 사용하여 cloudflare 로그를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 Cloudflare 설명서를참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CloudflareV2_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • 스토리지 계정 및 컨테이너 만들기: Cloudflare에서 logpush를 설정하기 전에 먼저 Microsoft Azure 스토리지 계정 및 컨테이너를 만듭니다. 이 가이드를 사용하여 컨테이너 및 Blob에 대해 자세히 알아보세요. 설명서의 단계에 따라 Azure Storage 계정을 만듭니다.
  • Blob SAS URL 생성: 만들기 및 쓰기 권한이 필요합니다. Blob SAS 토큰 및 URL에 대한 자세한 내용은 설명서를 참조하세요 .
  • Cloudflare에서 Blob 컨테이너로 로그 수집: Cloudflare에서 Blob 컨테이너로 로그를 수집하기 위한 설명서 의 단계를 따릅니다.

설치 지침:

Cloudflare 로그를 Microsoft Sentinel 연결

Microsoft Sentinel Cloudflare 로그를 사용하도록 설정하려면 아래 필수 정보를 제공하고 연결을 클릭합니다.

  • 데이터를 수집하려는 Blob 컨테이너의 URL:
  • Blob 컨테이너의 스토리지 계정 리소스 그룹 이름:
  • Blob 컨테이너의 스토리지 계정 위치:
  • Blob 컨테이너의 스토리지 계정 구독 ID:
  • Blob 컨테이너의 스토리지 계정(있는 경우)의 Event Grid 토픽 이름입니다. 을(를) 비워 두십시오.:
  • 연결 사용/사용 안 함



코그니 주

지원:Cognni

Cognni 커넥터는 Microsoft Sentinel 빠르고 간단한 통합을 제공합니다. Cognni를 사용하여 이전에 분류되지 않은 중요한 정보를 자율적으로 매핑하고 관련 인시던트 검색할 수 있습니다. 이렇게 하면 중요한 정보에 대한 위험을 인식하고, 인시던트의 심각도를 이해하고, 수정해야 하는 세부 정보를 조사할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CognniIncidents_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

Cognni에 연결

  1. Cognni 통합 페이지로 이동
  2. 'Microsoft Sentinel' 상자에서 '연결'을 클릭합니다.
  3. Cognni 통합 화면의 관련 필드에 'workspaceId' 및 'sharedKey' (아래)를 복사하여 붙여넣습니다.
  4. '연결' 봇톤을 클릭하여 구성을 완료합니다.
    곧 Cognni에서 검색된 모든 인시던트가 여기에 전달됩니다(Microsoft Sentinel).

Cognni 사용자가 아닌가요? 참여해 주세요.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 공유 키: <설치 시 제공되는 변수 값>



응집력(Azure Functions 사용)

지원자:응집력

응집력 함수 앱은 응집력 있는 Datahawk 랜섬웨어 경고를 Microsoft Sentinel 수집하는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Cohesity_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • Azure Blob Storage 연결 문자열 및 컨테이너 이름: Azure Blob Storage 연결 문자열 및 컨테이너 이름

설치 지침:

참고: 이 커넥터는 Azure Blob Storage 및 KeyVault에 연결하는 Azure Functions 사용합니다. 이로 인해 추가 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지, Azure Blob Storage 가격 책정 페이지Azure KeyVault 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

1단계 - 응집력 있는 DataHawk API 키 가져오기(문제 해결 지침 1 참조)

2단계 - Azure 앱(링크)을 등록하고 애플리케이션(클라이언트) ID, 디렉터리(테넌트) ID 및 비밀 값(지침)을 저장합니다. Azure 스토리지(user_impersonation) 권한을 부여합니다. 또한 적절한 구독의 애플리케이션에 'Microsoft Sentinel 기여자' 역할을 할당합니다.

3단계 - 커넥터 및 연결된 Azure Functions 배포합니다.

ARM(Azure Resource Manager) 템플릿

ARM 템플릿을 사용하여 Cohesity 데이터 커넥터의 자동화된 배포에 이 메서드를 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 이전 단계에서 만든 매개 변수를 입력합니다.

  4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  5. 구매를 클릭하여 배포합니다.



CommvaultSecurityIQ

지원:Commvault

이 Azure 함수를 사용하면 Commvault 사용자가 경고/이벤트를 Microsoft Sentinel instance 수집할 수 있습니다. 분석 규칙을 사용하면 Microsoft Sentinel 들어오는 이벤트 및 로그에서 Microsoft Sentinel 인시던트만 자동으로 만들 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CommvaultAlerts_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • Commvault Environment 엔드포인트 URL: 설명서를 따르고 KeyVault에서 비밀 값을 설정해야 합니다.
  • Commvault QSDK 토큰: 설명서를 따르고 KeyVault에서 비밀 값을 설정해야 합니다.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Commvault 인스턴스에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

1단계 - Commvalut QSDK 토큰에 대한 구성 단계

다음 지침에 따라 API 토큰을 만듭니다.

2단계 - 커넥터 및 연결된 Azure 함수 배포

중요: CommvaultSecurityIQ 데이터 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)와 Commvault 엔드포인트 URL 및 QSDK 토큰을 쉽게 사용할 수 있습니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

ARM(Azure Resource Manager) 템플릿

Commvault Security IQ 데이터 커넥터의 자동화된 배포에는 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 지역을 선택합니다.

  3. 작업 영역 ID, 작업 영역 키 '및/또는 기타 필수 필드'를 입력하고 다음을 클릭합니다.

  4. 만들기를 클릭하여 배포합니다.



대비 ADR 푸시 커넥터

지원:대비 보안

Contrast Security 커넥터는 ADR(대비 애플리케이션 검색 및 대응)에서 Microsoft Sentinel 공격 이벤트 및 인시던트 수집 기능을 제공합니다. 이 커넥터는 OAuth 인증을 사용하여 웹후크 푸시 메커니즘을 통해 데이터를 수신합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ContrastADRAttackEvents_CL 아니요 아니요
ContrastADRIncidents_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft Entra: Microsoft Entra ID 앱 등록을 만들 수 있는 권한입니다(자동 생성된 앱을 사용하는 경우). 일반적으로 애플리케이션 개발자 역할 이상이 필요합니다.
  • Microsoft Azure: Azure 리소스(DCE, DCR, 테이블)를 만들고 구성하고 RBAC 역할을 할당할 수 있는 권한입니다. 일반적으로 기여자 및 사용자 액세스 관리자 역할이 필요합니다.
  • 대비 ADR 웹후크 액세스: 대비 ADR 플랫폼에 액세스하여 OAuth 인증 설정을 사용하여 웹후크를 구성합니다.

설치 지침:

1. 커넥터 리소스 배포

Contrast ADR 데이터 수집에 필요한 Azure 리소스를 배포합니다.

배포 옵션 선택

요구 사항에 따라 다음 배포 옵션 중 하나를 선택합니다.

대비 배포 ADR CCF 커넥터를 클릭하면 다음이 자동으로 생성됩니다.

  • DCE(데이터 수집 엔드포인트)
  • 공격 이벤트 및 인시던트에 대한 스트림이 있는 DCR(데이터 수집 규칙)
  • Log Analytics 테이블(ContrastADRAttackEvents_CL 및 ContrastADRIncidents_CL)
  • OAuth 자격 증명을 사용하여 애플리케이션 Microsoft Entra
  • DCR의 역할 할당(모니터링 메트릭 게시자)

배포 후: 모든 구성 값(테넌트 ID, 클라이언트 ID, 클라이언트 암호, DCE URI, DCR 변경할 수 없는 ID)은 Contrast 플랫폼에 쉽게 복사하기 위해 아래에 자동으로 채워집니다.

옵션 B: BYOA(기존 Microsoft Entra 애플리케이션) 사용

대비 배포 ADR CCF 커넥터를 클릭하면 다음이 생성됩니다.

  • DCE(데이터 수집 엔드포인트)
  • 공격 이벤트 및 인시던트에 대한 스트림이 있는 DCR(데이터 수집 규칙)
  • Log Analytics 테이블(ContrastADRAttackEvents_CL 및 ContrastADRIncidents_CL)
  • Microsoft Entra 애플리케이션(이를 무시할 수 있습니다).

사용 시기: 보안 또는 규정 준수 이유로 재사용하려는 기존 Entra 앱이 있는 경우 추가 단계가 필요합니다.

  1. 배포 후 기존 Entra 앱의 서비스 주체에게 생성된 DCR에서 모니터링 메트릭 게시자 역할을 수동으로 할당합니다.
  2. 사용자 고유의 Entra 앱의 클라이언트 ID 및 클라이언트 암호 사용(아래에서 자동 생성된 암호 무시)
  3. 대비 웹후크 구성에서 아래의 DCE URI 및 DCR 변경할 수 없는 ID 사용

배포를 클릭하여 시작합니다.

2. 대비 ADR 웹후크 구성

다음 값을 복사하여 Contrast ADR 플랫폼에서 Microsoft Sentinel 통합을 구성합니다.

옵션 A(자동 생성 Entra 앱): 아래의 모든 자동 채우기 값을 사용합니다. 옵션 B(기존 Entra 앱): DCE URI, DCR 변경할 수 없는 ID 및 아래의 Stream 이름을 사용하지만 고유한 Entra 앱의 테넌트 ID, 클라이언트 ID 및 클라이언트 암호를 사용합니다.

Azure 구성 값:

  • 테넌트 ID: <설치 시 제공되는 변수 값>
  • 애플리케이션(클라이언트) ID: <설치 시 제공되는 변수 값>
  • 클라이언트 암호: <설치 시 제공되는 변수 값>
  • DCE(데이터 수집 엔드포인트) URI: <설치 시 제공되는 변수 값>
  • DCR(데이터 수집 규칙) 변경할 수 없는 ID: <설치 시 제공되는 변수 값>
  • 공격 이벤트 Stream 이름: <설치 시 제공되는 변수 값>
  • 인시던트 Stream 이름: <설치 시 제공되는 변수 값>

대비 ADR 플랫폼에서 구성

  1. Contrast ADR 플랫폼에 로그인
  2. 관리 통합 Microsoft Sentinel 이동합니다.>>
  3. 위의 모든 구성 값을 복사하여 붙여넣습니다.
    • 테넌트 ID
    • 애플리케이션(클라이언트) ID
    • 클라이언트 암호
    • DCE(데이터 수집 엔드포인트) URI
    • DCR(데이터 수집 규칙) 변경할 수 없는 ID
    • 공격 이벤트 Stream 이름
    • 인시던트 Stream 이름
  4. 저장을 클릭하여 통합을 완료합니다.

Contrast 플랫폼은 이러한 값을 사용하여 OAuth 인증 및 데이터 엔드포인트를 자동으로 구성합니다.

3. 데이터 수집 확인

데이터가 Contrast ADR에서 Microsoft Sentinel 흐르는지 확인합니다.

확인 단계

  1. Contrast ADR에서 테스트 공격 이벤트 트리거
  2. 데이터가 Microsoft Sentinel 표시되기까지 5-10분 정도 기다립니다.
  3. 다음 쿼리를 실행하여 공격 이벤트를 확인합니다.
ContrastADRAttackEvents_CL
| take 10
  1. 인시던트 데이터 확인:
ContrastADRIncidents_CL
| take 10
  1. 연결 확인:
ContrastADRAttackEvents_CL
| summarize LastLogReceived = max(TimeGenerated)
| project IsConnected = LastLogReceived > ago(7d)

데이터가 나타나고 IsConnected가 true를 반환하면 커넥터가 올바르게 구성됩니다.



Corelight 커넥터 내보내기

지원자:Corelight

Corelight 데이터 커넥터를 사용하면 Microsoft Sentinel 사용하는 인시던트 응답자 및 위협 사냥꾼이 더 빠르고 효과적으로 작업할 수 있습니다. 데이터 커넥터를 사용하면 Corelight 센서를 통해 ZeekSuricata에서 Microsoft Sentinel 이벤트를 수집할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Corelight 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

설치 지침:

참고: 이 데이터 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 Microsoft Sentinel Solution과 함께 배포되는 예상 Corelight로 작동합니다.

1. 파일 가져오기

TAM, SE 또는 에 문의하여 info@corelight.com Microsoft Sentinel 통합에 필요한 파일을 가져옵니다.

2. 샘플 데이터를 재생합니다.

샘플 데이터를 재생하여 Log Analytics 작업 영역에서 필요한 테이블을 만듭니다.

  • 샘플 데이터 보내기(Log Analytics 작업 영역당 한 번만 필요) : <설치 시 제공되는 변수 값>

3. 사용자 지정 내보내기를 설치합니다.

사용자 지정 내보내기 또는 logstash 컨테이너를 설치합니다.

4. Azure Log Analytics 에이전트에 로그를 보내도록 Corelight 센서를 구성합니다.

다음 값을 사용하여 Microsoft Sentinel 내보내기를 사용하도록 Corelight 센서를 구성합니다. 또는 이러한 값으로 logstash 컨테이너를 구성하고 적절한 포트의 해당 컨테이너에 TCP를 통해 JSON을 보내도록 센서를 구성할 수 있습니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 작업 영역 키: <설치 시 제공되는 변수 값>



Cortex XDR - 인시던트

지원:DEFEND Ltd.

DEFENDER의 사용자 지정 데이터 커넥터를 사용하여 Cortex API를 활용하여 Cortex XDR 플랫폼에서 Microsoft Sentinel 인시던트 수집

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CortexXDR_Incidents_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Cortex API 자격 증명: REST API에는 Cortex API 토큰 이 필요합니다. 자세한 내용은 API를 참조하세요. 모든 요구 사항을 확인하고 자격 증명을 얻기 위한 지침을 따릅니다.

설치 지침:

Cortex XDR API 사용

Cortex API를 통해 Microsoft Sentinel Cortex XDR을 연결하여 Cortex 인시던트 처리



Cribl

지원자:Cribl

Cribl 커넥터를 사용하면 Cribl(Cribl Enterprise Edition - 독립 실행형) 로그를 Microsoft Sentinel 쉽게 연결할 수 있습니다. 이렇게 하면 organization 데이터 파이프라인에 대한 보안 인사이트를 더 많이 얻을 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CriblInternal_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

설치 지침:

Microsoft Sentinel Cribl Stream 설치 및 설정 지침

이 Github 리포지토리의 설명서를 사용하고 를 사용하여 Cribl Stream 구성합니다.

https://docs.cribl.io/stream/usecase-azure-workspace/



CrowdStrike API 데이터 커넥터(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

CrowdStrike 데이터 커넥터를 사용하면 CrowdStrike API에서 Microsoft Sentinel 로그를 수집할 수 있습니다. 이 커넥터는 CrowdStrike 경고, 검색, 호스트, 사례취약성 Microsoft Sentinel 수집하는 기능을 제공합니다. 이 커넥터는 Microsoft Sentinel Codeless Connector Framework를 기반으로 하며 CrowdStrike API를 사용하여 로그를 가져옵니다. 쿼리를 보다 효율적으로 실행할 수 있도록 DCR 기반 수집 시간 변환을 지원합니다. 자세한 내용은 CrowdStrike API 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CrowdStrikeAlerts

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Crowdstrike OAuth2 API 클라이언트 및 범위: 경고, API 통합, 앱 로그, 사례, 상관 관계 규칙, 검색, 호스트, 자산, 인시던트, 격리된 Files, REST API에는 취약성이 필요합니다. 자세한 내용은 API를 참조하세요.

설치 지침:

CrowdStrike를 Microsoft Sentinel 연결

참고: 중요 알림: 인시던트 API는 완전히 해제됩니다. 대신 새 사례 데이터 형식을 사용합니다.

CrowdStrike에서 데이터를 수집하려면 다음 리소스를 제공해야 합니다.

1. 기본 API URL - CrowdStrike에서 데이터를 수집하려면 기본 API URL이 필요합니다.

2. 클라이언트 ID - CrowdStrike에서 데이터를 수집하려면 클라이언트 ID가 필요합니다.

3. 클라이언트 암호 - CrowdStrike에서 데이터를 수집하려면 클라이언트 암호가 필요합니다.

기본 API URL, 클라이언트 ID 및 클라이언트 암호를 검색하는 방법에 대한 자세한 지침은 커넥터 자습서를 참조하세요.

  • 데이터 커넥터 그리드(포털에서 구성)

검색 쿼리(연결 성공 후)

로그가 수집되면 CrowdStrikeDetections 테이블에는 로 그룹화된 개별 경고 레코드가 aggregate_id포함됩니다. 실제 검색 수준 동작을 보려면 다음 KQL 쿼리를 사용하여 검색 그룹별로 경고를 집계합니다.

CrowdStrikeDetections
| summarize
  AlertCount = count(),
  FirstSeen = min(CreatedTimestamp),
  LastSeen = max(CreatedTimestamp),
  MaxSeverity = max(Severity)
by AggregateId



CrowdStrike Falcon 적대적 인텔리전스(Azure Functions 사용)

지원:Microsoft Corporation

CrowdStrike Falcon 손상 지표 커넥터는 Falcon Intel API에서 손상 지표를 검색하여 위협 인텔에 Microsoft Sentinel 업로드합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ThreatIntelIndicators 아니요

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • CrowdStrike API 클라이언트 ID 및 클라이언트 암호: CROWDSTRIKE_CLIENT_ID, CROWDSTRIKE_CLIENT_SECRET, CROWDSTRIKE_BASE_URL. CrowdStrike 자격 증명에는 지표(Falcon Intelligence)가 scope 읽어야 합니다.

설치 지침:

1단계 - CrowdStrike API 자격 증명 생성

'표시기(팔콘 인텔리전스)' scope '읽기'가 선택되어 있는지 확인합니다.

2단계 - 클라이언트 암호를 사용하여 Entra 앱을 등록합니다.

Entra 앱 주체에게 해당 로그 분석 작업 영역에 대한 'Microsoft Sentinel 기여자' 역할 할당을 제공합니다. Azure 역할을 할당하는 방법입니다.

3단계 - 커넥터 및 연결된 Azure 함수를 배포하려면 다음 두 가지 배포 옵션 중 하나를 선택합니다.

중요: CrowdStrike Falcon 손상 지표 커넥터를 배포하기 전에 작업 영역 ID를 갖습니다(다음에서 복사할 수 있음).

  • 작업 영역 ID: <설치 시 제공되는 변수 값>

옵션 1 - ARM(Azure Resource Manager) 템플릿

ARM Tempate를 사용하여 CrowdStrike Falcon Adversary Intelligence 커넥터 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 다음 매개 변수를 제공합니다. CrowdStrikeClientId, CrowdStrikeClientSecret, CrowdStrikeBaseUrl, WorkspaceId, TenantId, Indicators, AadClientId, AadClientSecret, LookBackDays

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions(Visual Studio Code 통해 배포)를 사용하여 CrowdStrike Falcon Adversary Intelligence 커넥터를 수동으로 배포합니다.

  1. 함수 앱 배포

참고: Azure 함수 개발을 위해 VS 코드를 준비해야 합니다.

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.

  2. VS Code를 시작합니다. 주 메뉴에서 파일을 선택하고 폴더 열기를 선택합니다.

  3. 추출된 파일에서 최상위 폴더를 선택합니다.

  4. 작업 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 함수에 배포 앱 단추를 선택합니다. 아직 로그인하지 않은 경우 활동 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 로그인을 선택하여 Azure 이미 로그인한 경우 다음 단계로 이동합니다.

  5. 프롬프트에서 다음 정보를 제공합니다.

    a. 폴더 선택: 작업 영역에서 폴더를 선택하거나 함수 앱이 포함된 폴더로 이동합니다.

    b. 구독을 선택합니다. 사용할 구독을 선택합니다.

    c. Azure 새 함수 앱 만들기를 선택합니다(고급 옵션을 선택하지 않음).

    d. 함수 앱의 전역적으로 고유한 이름을 입력합니다 . URL 경로에 유효한 이름을 입력합니다. 입력한 이름은 Azure Functions 고유하도록 유효성을 검사합니다. (예: CrowdStrikeFalconIOCXXXXX).

    e. 런타임 선택: Python 3.12를 선택합니다.

    f. 새 리소스의 위치를 선택합니다. 성능 향상 및 비용 절감을 위해 Microsoft Sentinel 있는 동일한 지역을 선택합니다.

  6. 배포가 시작됩니다. 함수 앱이 만들어지고 배포 패키지가 적용된 후 알림이 표시됩니다.

  7. 함수 앱 구성에 대한 Azure 포털로 이동합니다.

  8. 함수 앱 구성

  9. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.

  10. 애플리케이션 설정 탭에서 새 애플리케이션 설정을 선택합니다.

  11. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. CROWDSTRIKE_CLIENT_ID CROWDSTRIKE_CLIENT_SECRET CROWDSTRIKE_BASE_URL TENANT_ID INDICATORS WorkspaceKey AAD_CLIENT_ID AAD_CLIENT_SECRET LOOK_BACK_DAYS WORKSPACE_ID

  12. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



CrowdStrike Falcon 데이터 복제자(AWS S3)(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

S3(Crowdstrike Falcon Data Replicator) 커넥터는 FDR 로그가 스트리밍된 AWS S3 버킷에서 Microsoft Sentinel FDR 이벤트 데이터를 수집하는 기능을 제공합니다. 커넥터는 잠재적인 보안 위험을 검사하고, 팀의 공동 작업 사용을 분석하고, 구성 문제를 진단하는 데 도움이 되는 Falcon 에이전트에서 이벤트를 가져오는 기능을 제공합니다.

참고:

1. CrowdStrike FDR 라이선스를 사용할 수 있어야 & 사용하도록 설정해야 합니다.

2. 커넥터는 AWS S3 버킷에 대한 액세스를 허용하기 위해 AWS에서 IAM 역할을 구성해야 하며 CrowdStrike - 관리형 버킷을 활용하는 환경에 적합하지 않을 수 있습니다.

3. CrowdStrike 관리 버킷을 활용하는 환경의 경우 CrowdStrike Falcon 데이터 복제자(CrowdStrike 관리 AWS S3) 커넥터를 구성하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CrowdStrike_Additional_Events_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

요구 사항: Falcon 데이터 복제자 기능을 사용하려면 다음이 필요합니다.

  1. 구독: 1.1. Falcon 데이터 복제자. 1.2. Falcon Insight XDR.

  2. 역할: 2.1. Falcon 관리자.

  3. CrowdStrike & AWS 환경 설정 AWS에 대한 액세스를 구성하려면 제공된 다음 두 템플릿을 사용하여 AWS 환경을 설정합니다. 이렇게 하면 S3 버킷에서 Log Analytics 작업 영역으로 로그를 보낼 수 있습니다.

각 템플릿에 대해 AWS에서 Stack을 만듭니다.

  1. AWS CloudFormation Stacks로 이동합니다.
  2. '템플릿 지정' 옵션을 선택한 다음, '파일 선택'을 클릭하고 아래에 제공된 적절한 CloudFormation 템플릿 파일을 선택하여 '템플릿 파일 업로드'를 선택합니다. '파일 선택'을 클릭하고 다운로드한 템플릿을 선택합니다.
  3. '다음' 및 '스택 만들기'를 클릭합니다.

버킷이 FDR 피드가 프로비전된 Falcon CID와 동일한 AWS 지역에 만들어지는지 확인합니다. | CrowdStrike 지역 | AWS 지역 | |-----------------|-----------| | US-1 | us-west-1 | | US-2 | us-west-2 | | EU-1 | eu-central-1

  • 템플릿 1: OpenID 연결 인증 배포: <설치 시 제공되는 변수 값>
  • 템플릿 2: AWS CrowdStrike 리소스 배포: <설치 시> 제공되는 변수 값 사용자 고유의 S3 버킷을 사용하기 위해 사용자 고유의 S3 버킷을 사용하려면 다음 가이드 사용자 고유의 S3 버킷을 사용 하거나 다음 단계를 수행할 수 있습니다.
  1. 다음 이름으로 지원 사례 만들기: FDR에 Self S3 버킷 사용
  2. 다음 정보를 추가합니다. 2.1. FDR 피드가 프로비전되는 Falcon CID는 2.2입니다. 이 새 FDR 피드에서 제공하려는 이벤트 유형을 나타냅니다. 2.3. 이 새 FDR 피드에서 제공하려는 이벤트 유형을 나타냅니다. 2.4. 파티션을 사용하지 마세요.
이벤트 유형 S3 접두사
기본 이벤트 데이터/
보조 이벤트 fdrv2/
  1. 새 수집기 연결 Microsoft Sentinel AWS S3을 사용하도록 설정하려면 새 수집기 추가 단추를 클릭하고 컨텍스트 창에서 필요한 정보를 입력하고 연결을 클릭합니다.
  • 데이터 커넥터 그리드(포털에서 구성)



CrowdStrike Falcon 데이터 복제자(CrowdStrike 관리 AWS-S3)(Azure 함수 사용)(Azure Functions 사용)

지원:Microsoft Corporation

이 커넥터를 사용하면 잠재적인 보안 위험 평가, 공동 작업 활동 분석, 구성 문제 식별 및 기타 운영 인사이트를 지원하기 위해 Azure Functions 사용하여 FDR 데이터를 Microsoft Sentinel 수집할 수 있습니다.

참고:

1. CrowdStrike FDR 라이선스를 사용할 수 있어야 & 사용하도록 설정해야 합니다.

2. 커넥터는 키 & 비밀 기반 인증을 사용하며 CrowdStrike 관리형 버킷에 적합합니다.

3. 완전 소유 AWS S3 버킷을 사용하는 환경의 경우 Microsoft는 CrowdStrike Falcon Data Replicator(AWS S3) 커넥터를 사용하는 것이 좋습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CrowdStrikeReplicatorV2 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • SQS 및 AWS S3 계정 자격 증명/권한: AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL 필요합니다. 자세한 내용은 데이터 풀을 참조하세요. 시작하려면 CrowdStrike 지원에 문의하세요. 요청 시 단기 스토리지 목적으로 CrowdStrike 관리형 AWS(Amazon Web Services) S3 버킷과 S3 버킷에 대한 변경 내용을 모니터링하기 위한 SQS(단순 큐 서비스) 계정을 만듭니다.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 AWS SQS/S3에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

필수 구성 요소

  1. CrowdStrike에서 FDR 구성 - CrowdStrike FDR을 사용하도록 설정하려면 CrowdStrike 지원 팀에 문의해야 합니다.
    • CrowdStrike FDR이 사용하도록 설정되면 CrowdStrike 콘솔에서 지원 --> API 클라이언트 및 키로 이동합니다.
    • AWS 액세스 키 ID, AWS 비밀 액세스 키, SQS 큐 URL 및 AWS 지역을 복사하려면 새 자격 증명을 만들어야 합니다.
  2. AAD 애플리케이션 등록 - DCR이 로그 분석에 데이터를 수집하려면 AAD 애플리케이션을 사용해야 합니다.
    • 여기의 지침 (1-5단계)에 따라 AAD 테넌트 ID, AAD 클라이언트 ID 및 AAD 클라이언트 암호를 가져옵니다.
    • 이 애플리케이션의 AAD 보안 주체 ID의 경우 AAD 포털을 통해 AAD 앱에 액세스하고 애플리케이션 개요 페이지에서 개체 ID를 캡처합니다.

Deployment Options

다음 두 배포 옵션 중 하나를 선택하여 커넥터 및 연결된 Azure 함수를 배포합니다.

옵션 1 - ARM(Azure Resource Manager) 템플릿

ARM Tempate를 사용하여 Crowdstrike Falcon Data Replicator 커넥터 V2의 자동화된 배포에 이 메서드를 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.msaka.ms

  2. Microsoft Sentinel 작업 영역, CrowdStrike AWS 자격 증명, Azure AD 애플리케이션 세부 정보 및 수집 구성과 같은 필수 세부 정보를 제공합니다.

참고: 동일한 리소스 그룹 내에서는 Windows 및 Linux 앱을 동일한 지역에 혼합할 수 없습니다. Windows 앱이 없는 기존 리소스 그룹을 선택하거나 새 리소스 그룹을 만듭니다. 함수 앱 및 관련 리소스를 배포하기 위한 새 리소스 그룹을 만드는 것이 좋습니다. 3. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다. 4. 구매 를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions(Visual Studio Code 통해 배포)를 사용하여 수동으로 Crowdstrike Falcon Data Replicator 커넥터를 배포합니다.

  1. 데이터 수집을 위해 DCE, DCR 및 사용자 지정 테이블 배포

  2. 데이터 수집 리소스 ARM 템플릿을 사용하여 필요한 DCE, DCR 및 사용자 지정 테이블 배포

  3. DCE 및 DCR을 성공적으로 배포한 후 아래 정보를 가져와 편리하게 유지합니다(Azure Functions 앱 배포 중에 필요).

  4. 함수 앱 배포

  5. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.

  6. 함수 앱 수동 배포 지침에 따라 VSCode를 사용하여 Azure Functions 앱을 배포합니다.

  7. 함수 앱을 성공적으로 배포한 후 구성을 위한 다음 단계를 수행합니다.

  8. 함수 앱 구성

  9. 함수 앱 구성에 대한 Azure 포털로 이동합니다.

  10. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.

  11. 애플리케이션 설정 탭에서 새 애플리케이션 설정을 선택합니다.

  12. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. 보조 데이터가 필요한 경우 //True를 USER_SELECTION_REQUIRE_SECONDARY //True를 AWS_KEY AWS_SECRET AWS_REGION_NAME QUEUE_URL USER_SELECTION_REQUIRE_RAW. 보조 데이터가 사용 시 // 100이고 Premium MAX_QUEUE_MESSAGES_MAIN_QUEUE MAX_SCRIPT_EXEC_TIME_MINUTES // 의 경우 150을 추가합니다AZURE_TENANT_ID AZURE_CLIENT_ID AZURE_CLIENT_SECRET DCE_INGESTION_ENDPOINT NORMALIZED_DCR_ID RAW_DATA_DCR_ID EVENT_TO_TABLE_MAPPING_LINK // 파일이 github에 있습니다. 인터넷 REQUIRED_FIELDS_SCHEMA_LINK //File을 사용하여 파일에 액세스할 수 있으면 github에 추가합니다. 파일을 '0 */1 * *'으로 인터넷 일정 //Add 값을 사용하여 파일에 액세스할 수 있으면 를 추가하여 함수가 1분마다 실행되도록 합니다.

  13. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



CTERA Syslog

지원:CTERA

Microsoft Sentinel 위한 CTERA 데이터 커넥터는 CTERA 솔루션에 대한 모니터링 및 위협 탐지 기능을 제공합니다. 여기에는 형식, 삭제 및 거부된 액세스 작업당 모든 작업의 합계를 시각화하는 통합 문서가 포함되어 있습니다. 또한 랜섬웨어 인시던트 검색 및 의심스러운 랜섬웨어 활동으로 인해 사용자가 차단될 때 경고하는 분석 규칙도 제공합니다. 또한 대량 액세스 거부 이벤트, 대량 삭제 및 대량 권한 변경과 같은 중요한 패턴을 식별하여 사전 위협 관리 및 대응을 가능하게 합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Syslog

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

1단계: CTERA 플랫폼을 Syslog에 연결

CTERA 포털 syslog 연결 설정 및 Syslog 커넥터 Edge-Filer

2단계: Syslog Server에 AMA(Azure Monitor Agent) 설치

syslog 서버에 AMA(Azure Monitor Agent)를 설치하여 데이터 수집을 사용하도록 설정합니다.



CTM360 CyberBlindSpot(서버리스)

지원:사이버 위협 관리 360

CTM360 CBS(Cyber Blind Spot) 커넥터는 CTM360의 CBS 플랫폼과 통합되어 인시던트, 맬웨어 로그, 위반된 자격 증명, 손상된 카드, 도메인 침해 및 하위 도메인 침해의 6가지 모듈 유형에서 보안 데이터를 수집합니다. 이 커넥터는 서버리스 데이터 수집에 CCF(Codeless Connector Framework)를 사용합니다.

데이터 형식:

  • CBSLog_AzureV2_CL
  • CBS_MalwareLogs_AzureV2_CL
  • CBS_BreachedCredentials_AzureV2_CL
  • CBS_CompromisedCards_AzureV2_CL
  • CBS_DomainInfringement_AzureV2_CL
  • CBS_SubdomainInfringement_AzureV2_CL

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CBSLog_AzureV2_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • CTM360 CBS API 키: CBS API 엔드포인트에 연결하려면 유효한 CTM360 Cyber Blind Spot API 키가 필요합니다.

설치 지침:

CTM360 사이버 사각지대를 Microsoft Sentinel 연결

이 커넥터는 CCF(Codeless Connector Framework)를 사용하여 CTM360 CBS에서 Microsoft Sentinel 데이터를 수집합니다. 데이터는 6가지 모듈 유형에서 5분마다 수집됩니다.

참고: 이 커넥터는 인시던트, 맬웨어 로그, 위반된 자격 증명, 손상된 카드, 도메인 침해 및 하위 도메인 침해 등 다양한 CBS 모듈 유형에 대해 6개의 개별 테이블을 만듭니다.

1단계: CTM360 API 키 가져오기

이 통합을 설정하려면 CBS API 키가 필요합니다. 다음 링크를 사용하여 이러한 키를 가져올 수 있습니다.

이 링크에서 찾은 CBS API 키: https://platform.ctm360.com/start/integrations 계정으로 로깅한 후

2단계: 연결 구성

CTM360 CBS API 키를 입력하고 연결하여 데이터 수집을 시작합니다.

  • CTM360 CBS API 키: (CTM360 CBS API 키 입력)
  • 연결 사용/사용 안 함

3단계: 데이터 수집 확인

연결한 후 5-10분 이내에 데이터가 흐르기 시작해야 합니다. 위의 샘플 쿼리를 사용하여 각 모듈 형식에 대한 데이터 수집을 확인합니다.

참고: 초기 데이터 수집에는 최대 30분이 걸릴 수 있습니다. 커넥터는 5분 롤링 창으로 5분마다 폴링합니다.



CTM360 HackerView(서버리스)

지원:사이버 위협 관리 360

CTM360 HackerView 커넥터를 사용하면 HackerView 외부 공격 표면 관리 플랫폼에서 보안 문제와 취약성을 Microsoft Sentinel 수집할 수 있습니다. 이 서버리스 커넥터는 REST API를 사용하여 분석 및 다른 보안 이벤트와의 상관 관계를 위해 문제 데이터를 자동으로 가져옵니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
HackerViewLog_AzureV2_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • HackerView API 키: 문제 데이터에 액세스할 수 있는 권한이 있는 유효한 HackerView API 키가 필요합니다.

설치 지침:

CTM360 HackerView를 Microsoft Sentinel 연결

이 커넥터는 HackerView REST API를 사용하여 보안 문제를 Microsoft Sentinel 자동으로 수집합니다.

참고: 이 커넥터는 Azure CCF(Codeless Connector Framework)를 사용하는 서버리스 커넥터입니다. Azure 함수 배포가 필요하지 않습니다.

1단계: CTM360 API 키 가져오기

이 통합을 설정하려면 HackerView API 키가 필요합니다. 다음 링크를 사용하여 이러한 키를 가져올 수 있습니다.

이 링크에서 찾은 HackerView API 키: https://platform.ctm360.com/start/integrations 계정으로 로깅한 후

2단계: 커넥터 구성

HackerView API 키를 입력하고 연결을 클릭하여 데이터 수집을 시작합니다.

  • API 키: (HackerView API 키 입력)
  • 연결 사용/사용 안 함

3단계: 데이터 수집 확인

연결한 후 5-10분 이내에 데이터가 흐르기 시작해야 합니다. 다음 쿼리를 실행하여 확인합니다.

참고: HackerViewLog_AzureV2_CL | take 10



AMA를 통한 사용자 지정 로그

지원:Microsoft Corporation

대부분의 애플리케이션은 Windows 이벤트 로그, Syslog 또는 CEF와 같은 표준 로깅 서비스 대신 텍스트 또는 JSON 파일에 정보를 기록합니다. 사용자 지정 로그 데이터 커넥터를 사용하면 Windows 및 Linux 컴퓨터의 파일에서 이벤트를 수집하고 사용자가 만든 사용자 지정 로그 테이블로 스트리밍할 수 있습니다. 데이터를 스트리밍하는 동안 DCR을 사용하여 콘텐츠를 구문 분석하고 변환할 수 있습니다. 데이터를 수집한 후 분석 규칙, 헌팅, 검색, 위협 인텔리전스, 보강 등을 적용할 수 있습니다.

참고: 다음 디바이스에 이 커넥터를 사용합니다 . Cisco Meraki, ZPA(Zscaler Private Access), VMware vCenter, Apache HTTP 서버, Apache Tomcat, Jboss Enterprise 애플리케이션 플랫폼, Juniper IDP, MarkLogic Audit, MongoDB Audit, Nginx HTTP 서버, Oracle Weblogic Server, PostgreSQL 이벤트, 오징어 프록시, 유비퀴티 유니피, SecurityBridge 위협 탐지 SAP 및 AI vectra stream.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
JBossEvent_CL 아니요 아니요
JuniperIDP_CL
ApacheHTTPServer_CL
Tomcat_CL
meraki_CL
VectraStream_CL 아니요 아니요
MarkLogicAudit_CL 아니요 아니요
MongoDBAudit_CL
NGINX_CL
OracleWebLogicServer_CL
PostgreSQL_CL
SquidProxy_CL
Ubiquiti_CL
vcenter_CL
ZPA_CL
SecurityBridgeLogs_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • 사용 권한: Azure 아닌 VM에서 데이터를 수집하려면 Azure Arc를 설치하고 사용하도록 설정해야 합니다. 자세한 정보

설치 지침:

데이터 수집 규칙 사용

사용자 지정 로그는 Windows 및 Linux 에이전트 모두에서 수집됩니다.

  • 에이전트 설치: <설치 시 제공되는 변수 값>



CyberArk 감사

지원:CyberArk 지원

CyberArk 감사 데이터 커넥터를 사용하면 Microsoft Sentinel REST API를 통해 CyberArk 감사 서비스에서 보안 이벤트 로그 및 기타 이벤트를 수집할 수 있습니다. 이 통합을 통해 잠재적인 보안 위험을 감지하고, 사용자 활동을 모니터링하고, 공동 작업 패턴을 분석하고, 구성 문제를 해결하고, 환경에 대한 심층적인 인사이트를 얻을 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CyberArk_AuditEvents_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • CyberArk 감사 서비스 플랫폼: CyberArk 감사 플랫폼에서 필요한 구성을 수행하기 위한 액세스

설치 지침:

CyberArk Audit API에 연결하여 Microsoft Sentinel 이벤트 로그 수집 시작

아래 단계에 따라 Microsoft Sentinel CyberArk 감사와 통합하고 Microsoft Sentinel 내에서 시스템 및 사용자 활동에 대한 중앙 집중식 모니터링을 사용하도록 설정합니다. CyberArk 감사 설명서를 참조하고 5단계까지 수행할 수도 있습니다.

1단계: 새 SIEM 통합 만들기

  1. CyberArk 포털에서 로 Administration이동합니다.
  2. 를 선택합니다My environmentExport to SIEM>Integrations>.
  3. SIEM 통합 페이지에서 Create>Create SIEM integration
  4. 페이지에서 Create a SIEM integration ID 관리에서 OAuth 서버 웹을 만들 링크를 선택합니다 Identity Administration . 2단계: ID 관리에서 OAuth2 서버 웹앱 만들기
  5. Identity Administration 페이지의 왼쪽 메뉴에서Apps & Widgets>Web Apps
  6. 탭에서 OAuth2 server 형식 웹앱을 선택하고 Add Web Apps 만듭니다Custom.
  7. Name 필드에 를 ApplicationID 입력 CyberArkAuditforMicrosoftSentinel 합니다.
  8. 탭에서 Tokens 필드의 값 Token Type 이 이 jwtR256 고 권한 부여 방법만 Client Creds 선택되어 있는지 확인합니다.
  9. 탭을 클릭하고 AddScope 입력합니다 isp.audit.events:read.
  10. 탭에서 Advanced 다음 스크립트를 복사하여 붙여넣은 다음 저장을 클릭합니다.
		setClaim('tenant_id', TenantData.Get("CybrTenantID"));
		setClaim('aud', 'cyberark.isp.audit');
  1. Save을 클릭합니다. 3단계: ID 관리에서 서비스 사용자 만들기
  2. 로 이동하여 를 Core Services>Users선택합니다 Add User.
  3. Account 섹션에서 및 Display name 를 로 MicrosoftSentinel입력합니다Login name. 새 암호를 추가하거나 자동으로 암호를 생성합니다.
  4. 를 선택합니다 OAuth confidential client.
  5. 탭에서 Application Settings 를 클릭합니다 Add.
  6. 애플리케이션을 CyberArkAuditforMicrosoftSentinel 선택합니다. 웹 서비스에서 만든 이름입니다. 4단계: 서비스 사용자에게 웹앱 권한 부여
  7. 만든 웹앱으로 CyberArkAuditforMicrosoftSentinel 이동합니다.
  8. 탭에서 Permissions 을 클릭하여 Add 사용자를 MicrosoftSentinel 찾은 다음 을 클릭합니다 Add.
  9. 사용자에 대해 다음 권한을 설정합니다.
    • 권한 부여
    • 보기
    • 실행
    • 5단계 자동 배포: 통합 설명 정의
  10. Administration로 이동합니다.
  11. 를 선택합니다My environmentExport to SIEM>Integrations>.
  12. 를 선택합니다 Create>Create SIEM integration.
  13. 이름을 로 Microsoft Sentinel Integration 입력하고 필요에 따라 설명을 추가합니다.
  14. Apply을 클릭합니다. 6단계: Microsoft Sentinel Data Connector와 CyberArk 감사 서비스 연결

참고: 이전 단계에서 캡처한 모든 세부 정보를 복사하고 CyberArk 감사 서비스에 연결합니다.

  • OAuth2 서버 앱 이름: (예: AuditforMicrosoftSentinel)
  • 감사 API 키: (API 키는 감사 서비스에서 검색할 수 있습니다.)
  • ID 엔드포인트: (예: kln9281.id.cyberark.cloud)
  • 감사 API 기본 URL: (예: org-test.audit.cyberark.cloud)
  • 쿼리 필터 작업 감사(선택 사항): (예: {"op":"include","params":["cloud.core.login","cloud.core.mfasummary"]})
  • 쿼리 필터 애플리케이션 코드 감사(선택 사항): (예: {"op":"include","params":["IDP","CMS"]})
  • 감사 쿼리 필터 감사 유형(선택 사항): (예: {"op":"include","params":["Failure"]})



CyberArkAudit(Azure Functions 사용)

지원:CyberArk 지원

CyberArk 감사 데이터 커넥터는 REST API를 통해 CyberArk 감사 서비스의 보안 이벤트 로그 및 더 많은 이벤트를 Microsoft Sentinel 검색하는 기능을 제공합니다. 커넥터를 사용하면 이벤트 검색을 통해 잠재적인 보안 위험을 평가하고, 공동 작업을 모니터링하고, 구성 문제를 진단하고 해결할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CyberArk_AuditEvents_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • 감사 REST API 연결 세부 정보 및 자격 증명: API 호출을 수행하려면 OauthUsername, OauthPassword, WebAppID, AuditApiKey, IdentityEndpointAuditApiBaseUrl 이 필요합니다.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Azure Blob Storage API에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 데이터 수집 및 데이터를 Azure Blob Storage 비용에 저장하는 추가 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지Azure Blob Storage 가격 책정 페이지를 확인하세요.

참고: API 권한 부여 키 또는 토큰은 Azure Key Vault 안전하게 저장됩니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다.

1단계 - CyberArk Audit SIEM 통합을 위한 구성 단계

지침에 따라 연결 세부 정보 및 자격 증명을 가져옵니다.

2단계 - 커넥터 및 연결된 Azure 함수를 배포하려면 다음 두 가지 배포 옵션 중 하나를 선택합니다.

중요: CyberArk 감사 데이터 커넥터를 배포하기 전에 작업 영역 이름 및 작업 영역 위치를 갖습니다(다음에서 복사할 수 있음).

  • 작업 영역 이름: <설치 시 제공되는 변수 값>
  • 작업 영역 위치: <설치 시 제공되는 변수 값>

옵션 1 - ARM(Azure Resource Manager) 템플릿

ARM 템플릿을 사용하여 CyberArk 감사 데이터 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

참고: 동일한 리소스 그룹 내에서는 Windows 및 Linux 앱을 동일한 지역에 혼합할 수 없습니다. Windows 앱이 없는 기존 리소스 그룹을 선택하거나 새 리소스 그룹을 만듭니다. 3. CyberArkAuditUsername, CyberArkAuditPassword, CyberArkAuditServerURL을 입력하고 배포합니다. 4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다. 5. 구매 를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions(Visual Studio Code 통해 배포)를 사용하여 CyberArk 감사 데이터 커넥터를 수동으로 배포합니다.

  1. 함수 앱 배포

참고: Azure 함수 개발을 위해 VS 코드를 준비해야 합니다.

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.

  2. VS Code를 시작합니다. 주 메뉴에서 파일을 선택하고 폴더 열기를 선택합니다.

  3. 추출된 파일에서 최상위 폴더를 선택합니다.

  4. 작업 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 함수에 배포 앱 단추를 선택합니다. 아직 로그인하지 않은 경우 활동 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 로그인을 선택하여 Azure 이미 로그인한 경우 다음 단계로 이동합니다.

  5. 프롬프트에서 다음 정보를 제공합니다.

    a. 폴더 선택: 작업 영역에서 폴더를 선택하거나 함수 앱이 포함된 폴더로 이동합니다.

    b. 구독을 선택합니다. 사용할 구독을 선택합니다.

    c. Azure 새 함수 앱 만들기를 선택합니다(고급 옵션을 선택하지 않음).

    d. 함수 앱의 전역적으로 고유한 이름을 입력합니다 . URL 경로에 유효한 이름을 입력합니다. 입력한 이름은 Azure Functions 고유하도록 유효성을 검사합니다. (예: CyberArkXXXXX).

    e. 런타임 선택: Python 3.10을 선택합니다.

    f. 새 리소스의 위치를 선택합니다. 성능 향상 및 비용 절감을 위해 Microsoft Sentinel 있는 동일한 지역을 선택합니다.

  6. 배포가 시작됩니다. 함수 앱이 만들어지고 배포 패키지가 적용된 후 알림이 표시됩니다.

  7. 함수 앱 구성에 대한 Azure 포털로 이동합니다.

  8. 함수 앱 구성

  9. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.

  10. 애플리케이션 설정 탭에서 새 애플리케이션 설정을 선택합니다.

  11. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. CyberArkAuditUsername CyberArkAuditPassword CyberArkAuditServerURL WorkspaceID WorkspaceKey logAnalyticsUri(선택 사항)

  • logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 값을 형식https://<CustomerId>.ods.opinsights.azure.us으로 지정합니다.
  1. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



Cybersixgill 실행 가능한 경고(Azure Functions 사용)

지원:Cybersixgill

실행 가능한 경고는 구성된 자산에 따라 사용자 지정된 경고를 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CyberSixgill_Alerts_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • REST API 자격 증명/권한: API 호출을 수행하려면 Client_ID 및 Client_Secret 필요합니다.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Cybersixgill API에 연결하여 경고를 Microsoft Sentinel. 이로 인해 데이터 수집 및 데이터를 Azure Blob Storage 비용에 저장하는 추가 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지Azure Blob Storage 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

옵션 1 - ARM(Azure Resource Manager) 템플릿

ARM Tempate를 사용하여 Cybersixgill Actionable Alerts 데이터 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 작업 영역 ID, 작업 영역 키, 클라이언트 ID, 클라이언트 암호, TimeInterval 및 배포를 입력합니다.

  4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  5. 구매를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions 사용하여 Cybersixgill Actionable Alerts 데이터 커넥터를 수동으로 배포합니다(Visual Studio Code 통해 배포).

  1. 함수 앱 배포

참고: Azure 함수 개발을 위해 VS 코드를 준비해야 합니다.

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.

  2. VS Code를 시작합니다. 주 메뉴에서 파일을 선택하고 폴더 열기를 선택합니다.

  3. 추출된 파일에서 최상위 폴더를 선택합니다.

  4. 작업 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 함수에 배포 앱 단추를 선택합니다. 아직 로그인하지 않은 경우 활동 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 로그인을 선택하여 Azure 이미 로그인한 경우 다음 단계로 이동합니다.

  5. 프롬프트에서 다음 정보를 제공합니다.

    a. 폴더 선택: 작업 영역에서 폴더를 선택하거나 함수 앱이 포함된 폴더로 이동합니다.

    b. 구독을 선택합니다. 사용할 구독을 선택합니다.

    c. Azure 새 함수 앱 만들기를 선택합니다(고급 옵션을 선택하지 않음).

    d. 함수 앱의 전역적으로 고유한 이름을 입력합니다 . URL 경로에 유효한 이름을 입력합니다. 입력한 이름은 Azure Functions 고유하도록 유효성을 검사합니다. (예: CybersixgillAlertsXXX).

    e. 런타임 선택: Python 3.11을 선택합니다.

    f. 새 리소스의 위치를 선택합니다. 성능 향상 및 비용 절감을 위해 Microsoft sentinel이 있는 동일한 지역을 선택합니다.

  6. 배포가 시작됩니다. 함수 앱이 만들어지고 배포 패키지가 적용된 후 알림이 표시됩니다.

  7. 함수 앱 구성에 대한 Azure 포털로 이동합니다.

  8. 함수 앱 구성

  9. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.

  10. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.

  11. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. ClientID ClientSecret Polling WorkspaceID WorkspaceKey logAnalyticsUri(선택 사항)

  • logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 다음 형식으로 값을 지정합니다.https://<CustomerId>.ods.opinsights.azure.us
  1. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



Cyble Vision 경고

지원:Cyble 지원

Cyble Vision 경고 CCF 데이터 커넥터를 사용하면 코드리스 커넥터 프레임워크 커넥터를 사용하여 Cyble Vision에서 Microsoft Sentinel 위협 경고를 수집할 수 있습니다. API를 통해 경고 데이터를 수집하고, 정규화하고, 고급 검색, 상관 관계 및 응답을 위해 사용자 지정 테이블에 저장합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CybleVisionAlerts_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Cyble Vision API 토큰: Cyble Vision Platform의 API 토큰이 필요합니다.

설치 지침:

1단계 - Cyble Platform에서 API 토큰 생성

Cyble Platform으로 이동하여 Cyble Vision 자격 증명을 사용하여 로그인합니다.

로그인한 후 왼쪽 패널로 이동하여 유틸리티로 아래로 스크롤 합니다. 액세스 API를 클릭합니다. 페이지의 오른쪽 위 모서리에서 + (추가) 아이콘을 클릭하여 새 API 키를 생성합니다. 별칭(키의 이름)을 제공하고 생성을 클릭합니다. 생성된 API 토큰을 복사하고 안전하게 저장합니다.

2단계 - 데이터 커넥터 구성

Microsoft Sentinel 돌아가서 Cyble Vision Alerts 데이터 커넥터 구성 페이지를 엽니다. Cyble API 토큰을 'API 세부 정보' 아래의 API 토큰 필드에 붙여넣습니다.

  • API 토큰: (API 토큰 입력)
  • 쿼리 간격(분): (시간(분) 입력(예: 10))
  • 연결 사용/사용 안 함



사이보그 보안 HUNTER 헌트 패키지

지원:사이보그 보안

Cyborg Security는 첨단 위협 헌팅 솔루션의 선도적인 공급자이며, 조직에서 사이버 위협을 사전에 탐지하고 대응할 수 있는 최첨단 기술 및 공동 작업 도구를 역량을 강화하는 임무를 맡고 있습니다. 사이보그 보안의 주력 제품인 HUNTER Platform은 강력한 분석, 큐레이팅된 위협 헌팅 콘텐츠 및 포괄적인 사냥 관리 기능을 결합하여 효과적인 위협 헌팅 작업을 위한 동적 에코시스템을 만듭니다.

단계에 따라 Cyborg Security 커뮤니티에 액세스하고 HUNTER 플랫폼에서 '도구에서 열기' 기능을 설정합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
SecurityEvent

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

참고: 다음 링크를 사용하여 Azure Tentant ID Azure Active Directory 테넌트 ID를 찾는 방법

  • ResourceGroupName & WorkspaceName: <설치 시 제공되는 변수 값>
  • WorkspaceID: <설치 시 제공되는 변수 값>

1. 사이보그 보안의 HUNTER 커뮤니티 계정에 등록

Cyborg Security는 커뮤니티 Memebers에게 신흥 위협 컬렉션 및 헌팅 패키지의 하위 집합에 대한 액세스를 제공합니다.

무료 Commuinity 계정을 만들어 Cyborg Security의 헌트 패키지에 액세스할 수 있습니다. 지금 등록하세요!

2. 도구에서 열기 기능 구성

  1. HUNTER 플랫폼의 환경 섹션으로 이동합니다.

  2. Microsoft Sentinel 레이블이 지정된 섹션에서 환경의 루트 URI를 입력합니다. 굵게 <표시된 항목을> 구독, 리소스 그룹 및 작업 영역의 ID 및 이름으로 바꿉니다.

    https[]()://portal.azure.com#@**AzureTenantID**/blade/Microsoft_OperationsManagementSuite_Workspace/Logs.ReactView/resourceId/%2Fsubscriptions%2F**AzureSubscriptionID**%2Fresourcegroups%2F**ResourceGroupName**%2Fproviders%2Fmicrosoft.operationalinsights%2Fworkspaces%2F<**WorkspaceName**>/

  3. 저장을 클릭합니다.

3. Microsoft Sentinel 헌터 사냥 팩키 실행

사이보그 보안 HUNTER 사냥 패키지를 식별하여 도구에서 열기 단추를 배포하고 사용하여 Microsoft Sentinel 빠르게 열고 헌팅 콘텐츠를 준비합니다.



Cyera DSPM Microsoft Sentinel Data Connector

지원:Cyera Inc.

Cyera DSPM 데이터 커넥터를 사용하면 Cyera의 DSPM 테넌트와 연결하고 분류, 자산, 문제 및 ID 리소스/정의를 Microsoft Sentinel 수집할 수 있습니다. 데이터 커넥터는 Microsoft Sentinel 코드리스 커넥터 프레임워크를 기반으로 하며, Cyera의 API를 사용하여 수신된 Cyera의 DSPM 원격 분석을 가져오면 사용자 지정 열을 만드는 보안 이벤트와 상관 관계를 지정할 수 있으므로 쿼리가 다시 구문 분석할 필요가 없으므로 성능이 향상됩니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CyeraClassifications_CL 아니요 아니요
CyeraAssets_CL 아니요 아니요
CyeraAssets_MS_CL 아니요 아니요
CyeraIssues_CL 아니요 아니요
CyeraIdentities_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

설치 지침:

Cyera DSPM 인증

개인용 액세스 토큰을 통해 Cyera DSPM 테넌트에 연결

  • Cyera 개인용 액세스 토큰 클라이언트 ID: (client_id)
  • Cyera 개인용 액세스 토큰 비밀 키: (secret_key)
  • 연결 사용/사용 안 함



CYFIRMA 공격 표면

지원:CYFIRMA

해당 없음

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CyfirmaASCertificatesAlerts_CL
CyfirmaASConfigurationAlerts_CL
CyfirmaASDomainIPReputationAlerts_CL
CyfirmaASOpenPortsAlerts_CL
CyfirmaASCloudWeaknessAlerts_CL
CyfirmaASDomainIPVulnerabilityAlerts_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

CYFIRMA 공격 표면

CYFIRMA 공격 Surface에 연결하여 경고를 Microsoft Sentinel 수집합니다. 이 커넥터는 DeCYFIR/DeTCT API를 사용하여 로그를 검색하고 DCR 기반 수집 시간 변환을 지원하며 수집 중에 보안 데이터를 사용자 지정 테이블로 구문 분석합니다. 이렇게 하면 쿼리 시간 구문 분석이 필요하지 않으며 성능과 효율성이 향상됩니다.

  • CYFIRMA API URL: (https://decyfir.cyfirma.com)
  • CYFIRMA API 키: (CYFIRMA API 키)
  • API 델타: (API 델타)
  • 연결 사용/사용 안 함



CYFIRMA 브랜드 인텔리전스

지원:CYFIRMA

해당 없음

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CyfirmaBIDomainITAssetAlerts_CL
CyfirmaBIExecutivePeopleAlerts_CL
CyfirmaBIProductSolutionAlerts_CL
CyfirmaBISocialHandlersAlerts_CL
CyfirmaBIMaliciousMobileAppsAlerts_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

CYFIRMA 브랜드 인텔리전스

CYFIRMA Brand Intelligence에 연결하여 경고 데이터를 Microsoft Sentinel 수집합니다. 이 커넥터는 DeCYFIR/DeTCT 경고 API를 사용하여 로그를 검색하고 DCR 기반 수집 시간 변환을 지원하며 수집 중에 보안 데이터를 사용자 지정 테이블로 구문 분석합니다. 이렇게 하면 쿼리 시간 구문 분석이 필요하지 않고 성능과 효율성이 향상됩니다.

  • CYFIRMA API URL: (https://decyfir.cyfirma.com)
  • CYFIRMA API 키: (CYFIRMA API 키)
  • API 델타: (API 델타)
  • 연결 사용/사용 안 함



CYFIRMA 손상된 계정

지원:CYFIRMA

CYFIRMA 손상된 계정 데이터 커넥터를 사용하면 DeCYFIR/DeTCT API에서 Microsoft Sentinel 원활하게 로그 수집할 수 있습니다. Microsoft Sentinel Codeless Connector Framework를 기반으로 하여 DeCYFIR/DeTCT API를 활용하여 로그를 검색합니다. 또한 수집 중에 보안 데이터를 사용자 지정 테이블로 구문 분석하는 DCR 기반 수집 시간 변환을 지원합니다. 이렇게 하면 쿼리 시간 구문 분석이 필요하지 않으며 성능과 효율성이 향상됩니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CyfirmaCompromisedAccounts_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

CYFIRMA 손상된 계정

CYFIRMA 손상된 계정 데이터 커넥터를 사용하면 DeCYFIR/DeTCT API에서 Microsoft Sentinel 원활하게 로그 수집할 수 있습니다. Microsoft Sentinel Codeless Connector Framework를 기반으로 하여 DeCYFIR/DeTCT API를 활용하여 로그를 검색합니다. 또한 수집 중에 보안 데이터를 사용자 지정 테이블로 구문 분석하는 DCR 기반 수집 시간 변환을 지원합니다. 이렇게 하면 쿼리 시간 구문 분석이 필요하지 않으며 성능과 효율성이 향상됩니다.

  • CYFIRMA API URL: (https://decyfir.cyfirma.com)
  • CYFIRMA API 키: (CYFIRMA API 키)
  • API 델타: (API 델타)
  • 연결 사용/사용 안 함



CYFIRMA 사이버 인텔리전스

지원:CYFIRMA

CYFIRMA Cyber Intelligence 데이터 커넥터를 사용하면 DeCYFIR API에서 Microsoft Sentinel 원활하게 로그 수집할 수 있습니다. Microsoft Sentinel Codeless Connector Framework를 기반으로 하여 DeCYFIR 경고 API를 활용하여 로그를 검색합니다. 또한 수집 중에 보안 데이터를 사용자 지정 테이블로 구문 분석하는 DCR 기반 수집 시간 변환을 지원합니다. 이렇게 하면 쿼리 시간 구문 분석이 필요하지 않으며 성능과 효율성이 향상됩니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CyfirmaIndicators_CL
CyfirmaThreatActors_CL
CyfirmaCampaigns_CL
CyfirmaMalware_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

CYFIRMA 사이버 인텔리전스

이 커넥터는 CYFIRMA 사이버 인텔리전스의 지표, 위협 행위자, 맬웨어 및 캠페인 로그를 제공합니다. 커넥터는 DeCYFIR API를 사용하여 로그를 검색하고 DCR 기반 수집 시간 변환을 지원하며 수집 중에 보안 데이터를 사용자 지정 테이블로 구문 분석합니다. 이렇게 하면 쿼리 시간 구문 분석이 필요하지 않으며 성능과 효율성이 향상됩니다.

  • CYFIRMA API URL: (https://decyfir.cyfirma.com)
  • CYFIRMA API 키: (CYFIRMA API 키)
  • 모든 IoC 또는 맞춤형 IoC 끌어오기: (모든 IoC 또는 맞춤형 IoC)
  • API 델타: (API 델타)
  • 권장 작업: (권장 작업은 모두/모니터/차단 중 하나일 수 있습니다.)
  • 연결된 위협 행위자: (IoC와 연결된 위협 행위자임)
  • 연결 사용/사용 안 함



CYFIRMA 디지털 위험

지원:CYFIRMA

CYFIRMA 디지털 위험 경고 데이터 커넥터를 사용하면 DeCYFIR/DeTCT API에서 Microsoft Sentinel 원활한 로그 수집을 수행할 수 있습니다. Microsoft Sentinel Codeless Connector Framework를 기반으로 하여 DeCYFIR 경고 API를 활용하여 로그를 검색합니다. 또한 수집 중에 보안 데이터를 사용자 지정 테이블로 구문 분석하는 DCR 기반 수집 시간 변환을 지원합니다. 이렇게 하면 쿼리 시간 구문 분석이 필요하지 않으며 성능과 효율성이 향상됩니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CyfirmaDBWMPhishingAlerts_CL
CyfirmaDBWMRansomwareAlerts_CL
CyfirmaDBWMDarkWebAlerts_CL
CyfirmaSPESourceCodeAlerts_CL
CyfirmaSPEConfidentialFilesAlerts_CL
CyfirmaSPEPIIAndCIIAlerts_CL
CyfirmaSPESocialThreatAlerts_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

CYFIRMA 디지털 위험

CYFIRMA 디지털 위험 경고에 연결하여 로그를 Microsoft Sentinel 수집합니다. 이 커넥터는 DeCYFIR/DeTCT API를 사용하여 경고를 검색하고 효율적인 로그 구문 분석을 위해 DCR 기반 수집 시간 변환을 지원합니다.

  • CYFIRMA API URL: (https://decyfir.cyfirma.com)
  • CYFIRMA API 키: (CYFIRMA API 키)
  • API 델타: (API 델타)
  • 연결 사용/사용 안 함



CYFIRMA 취약성 인텔리전스

지원:CYFIRMA

CYFIRMA 취약성 인텔리전스 데이터 커넥터를 사용하면 DeCYFIR API에서 Microsoft Sentinel 원활하게 로그 수집할 수 있습니다. Microsoft Sentinel Codeless Connector Framework를 기반으로 하여 CYFIRMA API를 활용하여 로그를 검색합니다. 또한 수집 중에 보안 데이터를 사용자 지정 테이블로 구문 분석하는 DCR 기반 수집 시간 변환을 지원합니다. 이렇게 하면 쿼리 시간 구문 분석이 필요하지 않으며 성능과 효율성이 향상됩니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CyfirmaVulnerabilities_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

CYFIRMA 취약성 인텔리전스

이 커넥터는 CYFIRMA 취약성 인텔리전스의 취약성 로그를 제공합니다. 커넥터는 DeCYFIR API를 사용하여 로그를 검색하고 DCR 기반 수집 시간 변환을 지원하며 수집 중에 보안 데이터를 사용자 지정 테이블로 구문 분석합니다. 이렇게 하면 쿼리 시간 구문 분석이 필요하지 않으며 성능과 효율성이 향상됩니다.

  • CYFIRMA API URL: (https://decyfir.cyfirma.com)
  • CYFIRMA API 키: (CYFIRMA API 키)
  • API 델타: (API 델타)
  • 공급업체와 관련된 취약성:
  • 제품 관련 취약성:
  • Version-Associated 취약성이 있는 제품:
  • 연결 사용/사용 안 함



Cynerio 보안 이벤트

지원:Cynerio

Cynerio 커넥터를 사용하면 Cynerio 보안 이벤트를 Microsoft Sentinel 쉽게 연결하여 IDS 이벤트를 볼 수 있습니다. 이렇게 하면 organization 네트워크 보안 상태에 대한 더 많은 인사이트를 제공하고 보안 작업 기능을 개선합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CynerioEvent_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

설치 지침:

Cynerio 구성 및 연결

Cynerio는 이벤트와 통합하고 Azure Server를 통해 Microsoft Sentinel 직접 내보낼 수 있습니다. 다음 단계에 따라 통합을 설정합니다.

  1. Cynerio 콘솔에서 설정 > 통합 탭(기본값)으로 이동하고 오른쪽 위에 있는 +통합 추가 단추를 클릭합니다.

  2. SIEM 섹션까지 아래로 스크롤합니다.

  3. Microsoft Sentinel 카드 연결 단추를 클릭합니다.

  4. 통합 세부 정보 창이 열립니다. 아래 매개 변수를 사용하여 양식을 작성하고 연결을 설정합니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>



Cyren 위협 인텔리전스

지원:Data443 위험 완화, Inc.

CCF(Common Connector Framework)를 사용하여 Cyren에서 IP 평판 및 맬웨어 URL 표시기를 수집합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Cyren_Indicators_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Cyren JWT 토큰: Azure Key Vault 저장되거나 배포 시 제공되는 JWT 토큰입니다.

설치 지침:

Cyren 위협 인텔리전스 연결

Cyren Threat Intelligence 커넥터를 사용하도록 설정하려면 아래의 JWT 토큰을 제공하고 연결을 클릭합니다.

참고: 구독에 따라 피드 또는 둘 다를 사용할 수 있습니다. 구매하지 않은 피드에 대해 토큰 필드를 비워 둡니다. 제공된 토큰에 대한 커넥터만 배포됩니다.

보안 강화를 위해 Key Vault 통합을 사용하도록 설정하여 JWT 토큰을 저장하고 검색할 수 있습니다.

  • IP 평판 JWT 토큰(선택 사항): (구입하지 않은 경우 비워 두기)
  • 맬웨어 URL JWT 토큰(선택 사항): (구입하지 않은 경우 비워 두기)
  • 연결 사용/사용 안 함



D3 스마트 SOAR 인시던트

지원:D3 보안

D3 Smart SOAR 데이터 커넥터는 D3 코드리스 REST API 명령 엔드포인트를 사용하여 D3 Smart SOAR에서 Microsoft Sentinel 인시던트 끌어오기.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
D3SOARIncidents_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

설치 지침:

D3 Smart SOAR를 Microsoft Sentinel 연결

필수 조건: D3 Smart SOAR에서 조직 관리 → 사이트로 이동하여 연결 중인 사이트를 선택하고 표준 시간대를 (UTC+00:00) 협정 세계시로 설정합니다. 이렇게 하면 인시던트 타임스탬프가 Microsoft Sentinel 올바르게 정렬됩니다.

아래에 D3 Smart SOAR 연결 세부 정보를 입력합니다. 인시던트가 5분마다 폴링되고 D3SOARIncidents_CL 테이블에 기록됩니다 . 서버 URL - 사이트 경로를 포함하여 D3 Smart SOAR 배포의 기본 URL입니다. API 경로를 포함하지 마세요. 사용자 이름 - D3 Smart SOAR 계정 사용자 이름(포털 로그인과 동일). 사이트 - 계정이 속한 D3 스마트 SOAR 사이트 이름(예: Security Operations)입니다. D3 JWT - API 인증을 위해 D3 Smart SOAR에서 발급한 JSON 웹 토큰입니다.



Microsoft Sentinel REST API용 Darktrace 커넥터

지원자:Darktrace

Darktrace REST API 커넥터는 Darktrace에서 Microsoft Sentinel 실시간 이벤트를 푸시하고 Sentinel 위한 Darktrace 솔루션과 함께 사용하도록 설계되었습니다. 커넥터는 "darktrace_model_alerts_CL"라는 사용자 지정 로그 테이블에 로그를 씁니다. 모델 위반, AI 분석가 인시던트, 시스템 경고 및 Email 경고를 수집할 수 있습니다. Darktrace 시스템 구성 페이지에서 추가 필터를 설정할 수 있습니다. 데이터는 Darktrace 마스터에서 Sentinel 푸시됩니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
darktrace_model_alerts_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Darktrace 필수 구성 요소: 이 데이터 커넥터를 사용하려면 v5.2 이상을 실행하는 Darktrace master 필요합니다. 데이터는 Darktrace 마스터의 HTTP를 통해 Azure Monitor HTTP 데이터 수집기 API로 전송되므로 Darktrace master Microsoft Sentinel REST API로의 아웃바운드 연결이 필요합니다.
  • Darktrace 데이터 필터링: 구성 중에 Darktrace 시스템 구성 페이지에서 추가 필터링을 설정하여 전송된 데이터의 양이나 형식을 제한할 수 있습니다.
  • Darktrace Sentinel 솔루션 시도: Microsoft Sentinel 대한 Darktrace 솔루션을 설치하여 이 커넥터를 최대한 활용해 볼 수 있습니다. 이렇게 하면 다크트레이스 모델 위반 및 AI 분석가 인시던트에서 경고 및 인시던트가 자동으로 생성되도록 경고 데이터 및 분석 규칙을 시각화하는 통합 문서가 제공됩니다.

설치 지침:

  1. 자세한 설정 지침은 Darktrace 고객 포털에서 찾을 수 있습니다. https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction
  2. 작업 영역 ID 및 기본 키를 기록해 둡니다. 이러한 세부 정보는 Darktrace 시스템 구성 페이지에 입력해야 합니다.
  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

Darktrace 구성

  1. Darktrace 시스템 구성 페이지에서 다음 단계를 수행합니다.
  2. 시스템 구성 페이지(주 메뉴 > 관리 > 시스템 구성)로 이동합니다.
  3. 모듈 구성으로 이동하여 "Microsoft Sentinel" 구성 카드 클릭합니다.
  4. "HTTPS(JSON)"를 선택하고 "새로 만들기"를 누릅니다.
  5. 필요한 세부 정보를 입력하고 적절한 필터를 선택합니다.
  6. "경고 설정 확인"을 클릭하여 인증을 시도하고 테스트 경고를 보냅니다.
  7. "테스트 경고 찾기" 샘플 쿼리를 실행하여 테스트 경고가 수신되었는지 확인합니다.



DataBahn

지원:Databahn

DataBahn 커넥터는 CCF(Codeless Connector Framework) 푸시 패턴을 사용하여 DataBahn 환경에서 Microsoft Sentinel 직접 실시간 플랫폼 원격 분석을 푸시하는 기능을 제공합니다. 이 커넥터는 분석, 경고 및 시각화를 위해 감사 로그, 운영 경고 및 디바이스 인벤토리를 사용자 지정 Log Analytics 테이블에 수집합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
databahn_audit_logs_CL 아니요 아니요
databahn_alerts_CL 아니요 아니요
databahn_device_inventory_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft Entra: Microsoft Entra ID 앱 등록을 만들 수 있는 권한입니다. 일반적으로 Entra ID 애플리케이션 개발자 역할 이상이 필요합니다.
  • Microsoft Azure: DCR(데이터 수집 규칙)에 대한 모니터링 메트릭 게시자 역할을 할당할 수 있는 권한입니다. 일반적으로 AZURE RBAC 소유자 또는 사용자 액세스 관리자 역할이 필요합니다.

설치 지침:

1. ARM 리소스 만들기 및 필요한 권한 제공

이 커넥터를 사용하면 DataBahn 플랫폼에서 감사 로그, 경고 및 디바이스 인벤토리를 직접 푸시하여 Azure Monitor 수집 API를 통해 Microsoft Sentinel 수 있습니다.

Entra 애플리케이션을 사용하여 자동화된 구성 및 보안 데이터 수집 "배포"를 클릭하면 Log Analytics 테이블 및 DCR(데이터 수집 규칙)의 생성이 트리거됩니다. 그런 다음, Entra 애플리케이션을 만들고, DCR을 연결하고, 애플리케이션에 입력한 비밀을 설정합니다. 이 설정을 사용하면 Entra 토큰을 사용하여 데이터를 DCR로 안전하게 보낼 수 있습니다.

2. DataBahn 플랫폼 구성

다음 매개 변수를 사용하여 DataBahn Highway 대상을 구성하여 데이터를 작업 영역으로 푸시합니다.

  • 테넌트 ID(디렉터리 ID): <설치 시 제공되는 변수 값>
  • Entra 앱 등록 애플리케이션 ID: <설치 시 제공되는 변수 값>
  • Entra 앱 등록 비밀: <설치 시 제공되는 변수 값>
  • 데이터 수집 엔드포인트 Uri: <설치 시 제공되는 변수 값>
  • 데이터 수집 규칙 변경할 수 없는 ID: <설치 시 제공되는 변수 값>
  • 감사 로그 Stream 이름: <설치 시 제공되는 변수 값>
  • 이름 Stream 경고: <설치 시 제공되는 변수 값>
  • 디바이스 인벤토리 Stream 이름: <설치 시 제공되는 변수 값>



Datalake2Sentinel

지원:Orange Cyberdefense

이 솔루션은 Codeless Connector Framework를 사용하여 빌드된 Datalake2Sentinel 커넥터를 설치하고 Datalake Orange Cyberdefense의 CTI 플랫폼에서 업로드 지표 REST API를 통해 Microsoft Sentinel 위협 인텔리전스 지표를 자동으로 수집할 수 있도록 합니다. 솔루션을 설치한 후 솔루션 관리 보기의 지침에 따라 이 데이터 커넥터를 구성하고 사용하도록 설정합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ThreatIntelligenceIndicator 아니요

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

설치 및 설정 지침

이 Github 리포지토리의 설명서를 사용하여 Microsoft Sentinel 커넥터에 Datalake를 설치하고 구성합니다.

https://github.com/cert-orangecyberdefense/datalake2sentinel



Dataminr Pulse Alerts 데이터 커넥터(Azure Functions 사용)

지원:Dataminr 지원

Dataminr Pulse Alerts Data Connector는 AI 기반 실시간 인텔리전스를 Microsoft Sentinel 통해 더 빠른 위협 탐지 및 대응을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
DataminrPulse_Alerts_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Azure 구독: Microsoft Entra ID 애플리케이션을 등록하고 리소스 그룹의 앱에 기여자 역할을 할당하려면 소유자 역할이 있는 Azure 구독이 필요합니다.
  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • 필수 Dataminr 자격 증명/권한:

a. 이 데이터 커넥터를 사용하려면 사용자에게 유효한 Dataminr Pulse API 클라이언트 ID비밀 이 있어야 합니다.

b. Dataminr Pulse 웹 사이트에서 하나 이상의 Dataminr Pulse 관심 목록을 구성해야 합니다.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 로그가 Dataminr RTAP를 통해 푸시되고 로그를 Microsoft Sentinel 수집하는 DataminrPulse에 연결합니다. 또한 커넥터는 사용자 지정 로그 테이블에서 수집된 데이터를 가져오고 위협 인텔리전스 지표를 Microsoft Sentinel 위협 인텔리전스로 만듭니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

1단계- Dataminr Pulse 클라이언트 ID 및 클라이언트 비밀에 대한 자격 증명

  • Dataminr CSM(고객 성공 관리자)에서 Dataminr Pulse 사용자 ID/암호 및 API 클라이언트 ID/비밀을 가져옵니다.

2단계 - Dataminr Pulse 포털에서 관심 목록을 구성합니다.

이 섹션의 단계에 따라 포털에서 관심 목록을 구성합니다.

  1. Dataminr Pulse 웹 사이트에로그인합니다.

  2. 설정 기어 아이콘을 클릭하고 목록 관리를 선택합니다.

  3. 만들려는 관심 목록 유형(사이버, 토픽, 회사 등)을 선택하고 새 목록 단추를 클릭합니다.

  4. 새 관심 목록의 이름을 입력하고 강조 색을 선택하거나 기본 색을 유지합니다.

  5. 관심 목록 구성이 완료되면 저장 을 클릭하여 저장합니다.

3단계 - Microsoft Entra ID 애플리케이션에 대한 앱 등록 단계

이 통합에는 Azure Portal 앱 등록이 필요합니다. 이 섹션의 단계에 따라 Microsoft Entra ID 새 애플리케이션을 만듭니다.

  1. Azure 포털에 로그인합니다.
  2. Microsoft Entra ID 검색하여 선택합니다.
  3. 관리에서 새 등록 앱 등록 > 선택합니다.
  4. 애플리케이션의 표시 이름을 입력합니다.
  5. 등록을 선택하여 초기 앱 등록을 완료합니다.
  6. 등록이 완료되면 Azure Portal 앱 등록의 개요 창이 표시됩니다. 애플리케이션(클라이언트) ID 및 테넌트 ID가 표시됩니다. 클라이언트 ID 및 테넌트 ID는 DataminrPulse Data Connector 실행을 위한 구성 매개 변수로 필요합니다.

참조 링크:/azure/active-directory/develop/quickstart-register-app

4단계 - Microsoft Entra ID 애플리케이션에 대한 클라이언트 암호 추가

애플리케이션 암호라고도 하는 클라이언트 암호는 DataminrPulse Data Connector를 실행하는 데 필요한 문자열 값입니다. 이 섹션의 단계에 따라 새 클라이언트 암호를 만듭니다.

  1. Azure Portal 앱 등록 애플리케이션을 선택합니다.
  2. 인증서 & 비밀 > 클라이언트 비밀 새 클라이언트 비밀을 >선택합니다.
  3. 클라이언트 비밀에 대한 설명을 추가합니다.
  4. 비밀에 대한 만료를 선택하거나 사용자 지정 수명을 지정합니다. 한도는 24개월입니다.
  5. 추가를 선택합니다.
  6. 클라이언트 애플리케이션 코드에서 사용할 비밀 값을 기록합니다. 이 비밀 값은 이 페이지를 떠난 후에 다시는 표시되지 않습니다. 비밀 값은 DataminrPulse 데이터 커넥터를 실행하기 위한 구성 매개 변수로 필요합니다.

참조 링크:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

5단계 - Microsoft Entra ID 애플리케이션에 기여자 역할 할당

이 섹션의 단계에 따라 역할을 할당합니다.

  1. Azure Portal 리소스 그룹으로 이동하여 리소스 그룹을 선택합니다.
  2. 왼쪽 패널에서 액세스 제어(IAM) 로 이동합니다.
  3. 추가를 클릭한 다음 역할 할당 추가를 선택합니다.
  4. 역할로 기여자를 선택하고 다음을 클릭합니다.
  5. 에 대한 액세스 할당에서 를 선택합니다User, group, or service principal.
  6. 구성원 추가를 클릭하고 만든 앱 이름을 입력 하고 선택합니다.
  7. 이제 검토 + 할당을 클릭한 다음 검토 + 할당을 다시 클릭합니다.

참조 링크:/azure/role-based-access-control/role-assignments-portal

6단계 - 커넥터 및 연결된 Azure 함수를 배포하려면 다음 두 가지 배포 옵션 중 하나를 선택합니다.

중요: Dataminr Pulse Microsoft Sentinel 데이터 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)를 쉽게 사용할 수 있습니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

옵션 1 - ARM(Azure Resource Manager) 템플릿

DataminrPulse 커넥터의 자동화된 배포에 이 메서드를 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.msaka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 아래 정보를 입력합니다. 함수 이름 작업 영역 ID 작업 영역 키 경고TableName BaseURL ClientId ClientSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel

  4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  5. 구매를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions 사용하여 Dataminr Pulse Microsoft Sentinel 데이터 커넥터를 수동으로 배포합니다(Visual Studio Code 통해 배포).

1) 함수 앱 배포

참고: Azure 함수 개발을 위해 VS 코드를 준비해야 합니다.

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.

  2. VS Code를 시작합니다. 주 메뉴에서 파일을 선택하고 폴더 열기를 선택합니다.

  3. 추출된 파일에서 최상위 폴더를 선택합니다.

  4. 작업 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 함수에 배포 앱 단추를 선택합니다. 아직 로그인하지 않은 경우 활동 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 로그인을 선택하여 Azure 이미 로그인한 경우 다음 단계로 이동합니다.

  5. 프롬프트에서 다음 정보를 제공합니다.

    a. 폴더 선택: 작업 영역에서 폴더를 선택하거나 함수 앱이 포함된 폴더로 이동합니다.

    b. 구독을 선택합니다. 사용할 구독을 선택합니다.

    c. Azure 새 함수 앱 만들기를 선택합니다(고급 옵션을 선택하지 않음).

    d. 함수 앱의 전역적으로 고유한 이름을 입력합니다 . URL 경로에 유효한 이름을 입력합니다. 입력한 이름은 Azure Functions 고유하도록 유효성을 검사합니다. (예: DmPulseXXXXX).

    e. 런타임 선택: Python 3.8 이상을 선택합니다.

    f. 새 리소스의 위치를 선택합니다. 성능 향상 및 비용 절감을 위해 Microsoft Sentinel 있는 동일한 지역을 선택합니다.

  6. 배포가 시작됩니다. 함수 앱이 만들어지고 배포 패키지가 적용된 후 알림이 표시됩니다.

  7. 함수 앱 구성에 대한 Azure 포털로 이동합니다.

2) 함수 앱 구성

  1. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.
  2. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.
  3. 각 값(대/소문자 구분):함수 이름 작업 영역 ID 작업 영역 키 경고TableName BaseURL ClientSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId 일정 LogLevel logAnalyticsUri(선택 사항)
  • logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 값을 형식https://<CustomerId>.ods.opinsights.azure.us으로 지정합니다.
  1. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.

7단계 - 배포 후 단계

1) 함수 앱 엔드포인트 가져오기

  1. Azure 함수 개요 페이지로 이동하고 왼쪽 블레이드에서 "함수"를 클릭합니다.
  2. "DataminrPulseAlertsHttpStarter"라는 함수를 클릭합니다.
  3. "GetFunctionurl"로 이동하여 함수 URL을 복사합니다.
  4. 복사된 함수 URL에서 {functionname}을 "DataminrPulseAlertsSentinelOrchestrator" 로 바꿉니다.

2) 함수 URL을 사용하여 Dataminr RTAP에서 통합 설정을 추가하려면

  1. Postman과 같은 API 요청 도구를 엽니다.
  2. '+'를 클릭하여 새 요청을 만듭니다.
  3. HTTP 요청 메서드를 'POST'로 선택합니다.
  4. 요청 URL 부분에 지점 1)에 앞에 표시된 URL을 입력합니다.
  5. 본문에서 원시 JSON을 선택하고 아래와 같이 요청 본문을 제공합니다(대/소문자 구분): { "integration-settings": "ADD", "url": "(URL part from copied Function-url)", "token": "(value of code parameter from copied Function-url)" }
  6. 필요한 모든 세부 정보를 제공한 후 보내기를 클릭합니다.
  7. 상태 코드가 200인 HTTP 응답에서 통합 설정 ID를 받게 됩니다.
  8. 나중에 참조할 수 있는 통합 ID 를 저장합니다.

이제 Dataminr RTAP에 대한 통합 설정 추가를 완료했습니다. Dataminr RTAP가 경고 데이터를 보내면 함수 앱이 트리거되고 Dataminr Pulse에서 LogAnalytics 작업 영역 테이블인 "DataminrPulse_Alerts_CL"로 경고 데이터를 볼 수 있어야 합니다.



Datawiza DAP

지원:Datawiza Technology Inc.

REST API 인터페이스를 통해 Datawiza DAP 로그를 Azure Log Analytics에 연결합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
datawizaserveraccess_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

설치 지침:

1단계: 자세한 설명서 읽기

설치 프로세스는 설명서 사이트 Microsoft Sentinel 통합에 자세히 설명되어 있습니다. 사용자는 통합의 설치 및 디버그를 이해하려면 지원(support@datawiza.com)을 추가로 참조해야 합니다.

2단계: Datawiza Sentinel 커넥터 설치

다음 단계는 로그를 Microsoft Sentinel 보내는 Datawiza 로그 전달자를 설치하는 것입니다. 정확한 설치는 환경에 따라 달라집니다. 자세한 내용은 Microsoft Sentinel 통합을 참조하세요.

3단계: 데이터 수집 테스트

약 20분 후에 Microsoft Sentinel 설치의 Log Analytics 작업 영역에 액세스하고 사용자 지정 로그 섹션을 찾아 datawizaserveraccess_CL 테이블이 있는지 확인합니다. 샘플 쿼리를 사용하여 데이터를 검사합니다.



Derdack SIGNL4

지원자:Derdack

중요한 시스템이 실패하거나 보안 인시던트가 발생하면 SIGNL4는 '마지막 마일'을 현장의 직원, 엔지니어, IT 관리자 및 작업자에게 연결합니다. 서비스, 시스템 및 프로세스에 실시간 모바일 경고를 추가합니다. SIGNL4는 지속적인 모바일 푸시, SMS 텍스트 및 음성 통화를 통해 승인, 추적 및 에스컬레이션을 통해 알립니다. 통합 의무 및 교대 근무 일정은 적절한 사용자에게 적시에 경고를 받을 수 있도록 합니다.

더 알아보세요 >

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
SecurityIncident

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

참고: 이 데이터 커넥터는 주로 SIGNL4 쪽에서 구성됩니다. 설명 비디오는 MICROSOFT SENTINEL SIGNL4 통합에서 찾을 수 있습니다.

SIGNL4 커넥터: Microsoft Sentinel, Azure Security Center 및 기타 Azure Graph 보안 API 공급자를 위한 SIGNL4 커넥터는 Azure 보안 솔루션과 원활한 2방향 통합을 제공합니다. SIGNL4 팀에 추가되면 커넥터는 Azure Graph 보안 API 보안 경고를 읽고 완전히 자동으로 작업 중인 팀 구성원에게 경고 알림을 트리거합니다. 또한 경고 상태 SIGNL4에서 Graph 보안 API 동기화하므로 경고가 승인되거나 닫힌 경우 Azure Graph 보안 API 경고 또는 해당 보안 공급자에 따라 이 상태 업데이트됩니다. 언급했듯이 커넥터는 주로 Azure Graph 보안 API 사용하지만 Microsoft Sentinel 같은 일부 보안 공급자의 경우 Azure 솔루션에 따라 전용 REST API도 사용합니다.

Microsoft Sentinel 기능

Microsoft Sentinel Microsoft의 클라우드 네이티브 SIEM 솔루션이며 Azure Graph 보안 API 보안 경고 공급자입니다. 그러나 Graph 보안 API 사용할 수 있는 경고 세부 정보의 수준은 Microsoft Sentinel 제한됩니다. 따라서 커넥터는 기본 Microsoft Sentinel Log Analytics 작업 영역에서 추가 세부 정보(인사이트 규칙 검색 결과)로 경고를 보강할 수 있습니다. 이를 위해 커넥터는 Azure Log Analytics REST API와 통신하고 사용 권한에 따라 필요합니다(아래 참조). 또한 모든 관련 보안 경고가 진행 중이거나 해결된 경우 앱은 Microsoft Sentinel 인시던트 상태 업데이트할 수도 있습니다. 이렇게 하려면 커넥터가 Azure 구독의 'Microsoft Sentinel 기여자' 그룹의 구성원이어야 합니다. Azure 자동화된 배포 이전 API에 액세스하는 데 필요한 자격 증명은 아래에서 다운로드할 수 있는 작은 PowerShell 스크립트에 의해 생성됩니다. 스크립트는 다음 작업을 수행합니다.

  • Azure 구독에 로그온합니다(관리자 계정으로 로그인하세요).
  • 서비스 주체라고도 하는 Azure AD 이 커넥터에 대한 새 엔터프라이즈 애플리케이션을 만듭니다.
  • log Analytics 작업 영역에만 읽기/쿼리 권한을 부여하는 Azure IAM에 Azure 새 역할을 만듭니다.
  • 엔터프라이즈 애플리케이션을 해당 사용자 역할에 조인합니다.
  • 엔터프라이즈 애플리케이션을 'Microsoft Sentinel 기여자' 역할에 조인합니다.
  • 앱을 구성하는 데 필요한 일부 데이터를 출력합니다(아래 참조).

배포 절차

  1. 여기에서 PowerShell 배포 스크립트를 다운로드 합니다.
  2. 새 앱 등록을 위해 배포하는 스크립트 및 역할 및 권한 범위를 검토합니다. Microsoft Sentinel 커넥터를 사용하지 않으려면 모든 역할 만들기 및 역할 할당 코드를 제거하고 이를 사용하여 Azure Active Directory에서 SPN(앱 등록)을 만들 수 있습니다.
  3. 스크립트를 실행합니다. 끝부분에서 커넥터 앱 구성에 입력해야 하는 정보를 출력합니다.
  4. Azure AD '앱 등록'을 클릭합니다. 이름이 'SIGNL4AzureSecurity'인 앱을 찾고 세부 정보를 엽니다.
  5. 왼쪽 메뉴 블레이드에서 'API 권한'을 클릭합니다. 그런 다음 ' 권한 추가'를 클릭합니다.
  6. 로드되는 블레이드의 'Microsoft API' 아래에서 'Microsoft Graph' 타일을 클릭한 다음 '앱 권한'을 클릭합니다.
  7. 표시되는 테이블에서 'SecurityEvents'를 확장하고 'SecurityEvents.Read.All' 및 'SecurityEvents.ReadWrite.All'을 검사.
  8. '권한 추가'를 클릭합니다.

SIGNL4 커넥터 앱 구성

마지막으로 커넥터 구성에서 스크립트가 출력한 ID를 입력합니다.

  • Azure 테넌트 ID
  • Azure 구독 ID
  • 클라이언트 ID(엔터프라이즈 애플리케이션의)
  • 클라이언트 암호(엔터프라이즈 애플리케이션의) 앱을 사용하도록 설정하면 Azure Graph 보안 API 경고를 읽기 시작합니다.

참고: 처음에는 지난 24시간 이내에 발생한 경고만 읽습니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>



디지털 그림자 Searchlight(Azure Functions 사용)

지원:디지털 그림자

Digital Shadows 데이터 커넥터는 REST API를 사용하여 Digital Shadows Searchlight에서 Microsoft Sentinel 인시던트 및 경고를 수집합니다. 커넥터는 잠재적인 보안 위험 및 위협을 검사, 진단 및 분석하는 데 도움이 되는 인시던트 및 경고 정보를 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
DigitalShadows_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • REST API 자격 증명/권한: 디지털 섀도 계정 ID, 비밀 및 키가 필요합니다. 의 API https://portal-digitalshadows.com/learn/searchlight-api/overview/description에 대한 자세한 내용은 설명서를 참조하세요.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 'Digital Shadows Searchlight'에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

1단계 - '디지털 그림자 Searchlight' API에 대한 구성 단계

공급자는 Azure 함수가 성공적으로 인증하고, 권한 부여 키 또는 토큰을 가져오고, 어플라이언스 로그를 Microsoft Sentinel 끌어올 수 있도록 'Digital Shadows Searchlight' API 엔드포인트를 구성하는 자세한 단계를 제공하거나 링크해야 합니다.

2단계 - 커넥터 및 연결된 Azure 함수를 배포하려면 다음 두 가지 배포 옵션 중 하나를 선택합니다.

중요: 'Digital Shadows Searchlight' 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)와 'Digital Shadows Searchlight' API 권한 부여 키 또는 토큰을 쉽게 사용할 수 있습니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

옵션 1 - ARM(Azure Resource Manager) 템플릿

'Digital Shadows Searchlight' 커넥터의 자동화된 배포에 이 메서드를 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 작업 영역 ID, 작업 영역 키, API 사용자 이름, API 암호, '및/또는 기타 필수 필드'를 입력합니다.

참고: 위의 값에 Azure Key Vault 비밀을 사용하는 경우 문자열 값 대신 스키마를 사용합니다@Microsoft.KeyVault(SecretUri={Security Identifier}). 자세한 내용은 Key Vault 참조 설명서를 참조하세요. 4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다. 5. 구매 를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions 사용하여 수동으로 'Digital Shadows Searchlight' 커넥터를 배포합니다.

1. 함수 앱 만들기

  1. Azure 포털에서 함수 앱으로 이동합니다.
  2. 위쪽에서 + 만들기 를 클릭합니다.
  3. 기본 탭에서 런타임 스택이 python 3.8로 설정되어 있는지 확인합니다.
  4. 호스팅 탭에서 계획 유형이 '소비(서버리스)'로 설정되어 있는지 확인합니다. 5.스토리지 계정 선택
  5. '다른 필수 구성 추가'.
  6. 필요한 경우 '다른 바람직한 구성 변경'을 클릭한 다음 만들기를 클릭합니다.

2. 함수 앱 코드 가져오기(Zip 배포)

  1. Azure CLI 설치
  2. 터미널에서 az functionapp deployment source config-zip -g <ResourceGroup> -n <FunctionApp> --src <Zip File> 을 입력하고 Enter 키를 누릅니다. ResourceGroup 값을 리소스 그룹 이름으로 설정합니다. FunctionApp 값을 새로 만든 함수 앱 이름으로 설정합니다. Zip File 값을 (digitalshadowsConnector.zipzip 파일의 경로)로 설정합니다. 참고:- 링크에서 zip 파일 다운로드 - 함수 앱 코드

3. 함수 앱 구성

  1. 함수 앱 화면에서 함수 앱 이름을 클릭하고 구성을 선택합니다.
  2. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.
  3. 다음 각 'x(개수)' 애플리케이션 설정을 개별적으로 추가합니다. 이름 아래의 값 아래의 해당 문자열 값(대/소문자 구분): DigitalShadowsAccountID WorkspaceID WorkspaceKey DigitalShadowsKey DigitalShadowsSecret HistoricalDays DigitalShadowsURL ClassificationFilterOperation HighVariabilityClassifications FUNCTION_NAME logAnalyticsUri(선택 사항)(함수 앱에 필요한 다른 설정 추가) 값을 로 설정합니다DigitalShadowsURL. 값을 exposed-credential,marked-document 로 설정합니다HighVariabilityClassifications. https://api.searchlight.app/v1ClassificationFilterOperation value to: exclude exclude 함수 앱의 경우 또는 include include 함수 앱의 경우

참고: 위의 값에 Azure Key Vault 비밀을 사용하는 경우 문자열 값 대신 스키마를 사용합니다@Microsoft.KeyVault(SecretUri={Security Identifier}). 자세한 내용은 Azure Key Vault 참조 설명서를 참조하세요.

  • logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 값을 https:// CustomerId.ods.opinsights.azure.us<> 형식으로 지정합니다.
  1. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



Dns

지원:Microsoft Corporation

DNS 로그 커넥터를 사용하면 DNS 분석 및 감사 로그를 Microsoft Sentinel 및 기타 관련 데이터와 쉽게 연결하여 조사를 개선할 수 있습니다.

DNS 로그 수집을 사용하도록 설정하면 다음을 수행할 수 있습니다.

  • 악의적인 도메인 이름을 resolve 클라이언트를 식별합니다.
  • 부실 리소스 레코드를 식별합니다.
  • 자주 쿼리되는 도메인 이름 및 대화형 DNS 클라이언트를 식별합니다.
  • DNS 서버에서 요청 부하를 봅니다.
  • 동적 DNS 등록 실패를 봅니다.

자세한 내용은 Microsoft Sentinel 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
DnsEvents
DnsInventory

데이터 수집 규칙 지원:작업 영역 변환 DCR

Doppel 데이터 커넥터

지원:Doppel

데이터 커넥터는 Doppel 이벤트 및 경고에 대한 Microsoft Sentinel 기반으로 하며, 수신된 보안 이벤트 데이터를 사용자 지정 열로 구문 분석하는 DCR 기반 수집 시간 변환을 지원하므로 쿼리가 다시 구문 분석할 필요가 없으므로 성능이 향상됩니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
DoppelTable_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft Entra 테넌트 ID, 클라이언트 ID 및 클라이언트 암호: Microsoft Entra ID 애플리케이션을 인증하려면 클라이언트 ID 및 클라이언트 암호가 필요합니다. 또한 Entra 등록된 애플리케이션에 리소스 그룹 모니터링 메트릭 게시자 역할을 할당하려면 전역 관리/소유자 수준 액세스가 필요합니다.
  • 작업 영역 ID, DCE-URI, DCR-ID 필요: 구성에 대한 Log Analytics 작업 영역 ID, DCE 로그 수집 URI 및 DCR 변경할 수 없는 ID를 가져와야 합니다.

설치 지침:

Doppel Webhook 구성

데이터를 보내도록 Microsoft Sentinel 권한이 있는 Doppel 및 엔드포인트에서 웹후크를 구성합니다.

Microsoft Entra ID 애플리케이션 등록

  1. Microsoft Entra ID 페이지를 엽니다.

    • 제공된 링크를 클릭하여 새 탭에서 Microsoft Entra ID 등록 페이지를 엽니다.
    • 관리 수준 권한이 있는 계정으로 로그인했는지 확인합니다.

  2. 새 애플리케이션 만들기:

    • Microsoft Entra ID 포털의 왼쪽 탭에서 언급된 앱 등록 선택합니다.
    • + 새 등록을 클릭합니다.
    • 다음 필드를 입력합니다.
  • 이름: 앱의 이름(예: "Doppel 앱")을 입력합니다.
  • 지원되는 계정 유형: 이 조직 디렉터리에서만 계정을 선택합니다 (기본 디렉터리만 - 단일 테넌트).
  • 리디렉션 URI: 필요하지 않은 경우 이 값을 비워 둡니다.
    • 등록을 클릭하여 애플리케이션을 만듭니다.

  1. 애플리케이션 및 테넌트 ID 복사:

    • 앱이 등록되면 개요 페이지에서 애플리케이션(클라이언트) ID 및 디렉터리(테넌트) ID를 적어둡니다. 통합을 위해 이러한 항목이 필요합니다.

  2. 클라이언트 암호를 만듭니다.

    • 인증서 & 비밀 섹션에서 + 새 클라이언트 암호를 클릭합니다.
    • 설명(예: 'Doppel 비밀')을 추가하고 만료(예: 1년)를 설정합니다.
    • 추가를 클릭합니다.
    • 클라이언트 비밀 값은 다시 표시되지 않으므로 즉시 복사합니다.

앱에 "모니터링 메트릭 게시자" 역할 할당

  1. Azure Portal에서 리소스 그룹을 엽니다.

    • 앱에서 데이터를 푸시할 Log Analytics 작업 영역 및 DCR(데이터 수집 규칙)이 포함된 리소스 그룹으로 이동합니다.

  2. 역할 할당:

    • 리소스 그룹 메뉴에서 왼쪽 탭 에 언급된 액세스 제어(IAM)를 클릭합니다.
    • + 추가를 클릭하고 역할 할당 추가를 선택합니다.
    • 역할 드롭다운에서 모니터링 메트릭 게시자 역할을 검색하여 선택합니다.
    • 액세스 권한 할당에서 Azure AD 사용자, 그룹 또는 서비스 주체를 선택합니다.
    • 선택 필드에서 이름 또는 클라이언트 ID로 등록된 앱을 검색합니다.
    • 저장을 클릭하여 애플리케이션에 역할을 할당합니다.

ARM 템플릿 배포

  1. 작업 영역 ID를 검색합니다.

    • 역할을 할당한 후에는 작업 영역 ID가 필요합니다.
    • 리소스 그룹 내의 Log Analytics 작업 영역으로 이동합니다.
    • 개요 섹션에서 작업 영역 세부 정보 아래에서 작업 영역 ID 필드를 찾습니다.
    • 작업 영역 ID를 복사 하고 다음 단계에 대해 편리하게 유지합니다.

  2. 배포를 클릭하여 Azure 단추:

    • portal.azure.com.
    • 이렇게 하면 Azure Portal 직접 이동하여 배포를 시작합니다.

  3. 매개 변수 검토 및 사용자 지정:

    • 사용자 지정 배포 페이지에서 올바른 구독 및 리소스 그룹에 배포하고 있는지 확인합니다.
    • 작업 영역 이름, 작업 영역 ID 및 작업 영역 위치와 같은 매개 변수를 입력합니다.

  4. 검토 + 만들기를 클릭한 다음 만들기를 클릭하여 리소스를 배포합니다.

DCE, DCR 및 Log Analytics 테이블 설정 확인

  1. DCE(데이터 수집 엔드포인트)를 확인합니다.

    • 배포한 후 Azure Portal > 데이터 수집 엔드포인트로 이동합니다.
    • DoppelDCE 엔드포인트가 성공적으로 만들어졌는지 확인합니다.
    • 웹후크 URL을 생성하는 데 필요하므로 DCE 로그 수집 URI를 복사합니다.

  2. DCR(데이터 수집 규칙) 설정 확인:

    • Azure 포털 > 데이터 수집 규칙으로 이동합니다.
    • DoppelDCR 규칙이 있는지 확인합니다.
    • 웹후크 URL에 필요하므로 개요 페이지에서 DCR의 변경할 수 없는 ID를 복사합니다.

  3. Log Analytics 테이블 유효성 검사:

    • Log Analytics 작업 영역(Microsoft Sentinel 연결됨)으로 이동합니다.
    • 테이블 섹션에서 DoppelTable_CL 테이블이 성공적으로 만들어졌으며 데이터를 받을 준비가 되었는지 확인합니다.

Microsoft Sentinel Doppel 경고 통합

  1. 필요한 정보 수집:
    • 통합에 필요한 다음 세부 정보를 수집합니다.
  • 데이터 수집 엔드포인트 ID(DCE-ID)
  • 데이터 수집 규칙 ID(DCR-ID)
  • Microsoft Entra 자격 증명: 테넌트 ID, 클라이언트 ID 및 클라이언트 암호입니다.

  1. Doppel 지원으로 조정:

    • 수집된 DCE-ID, DCR-ID 및 Microsoft Entra 자격 증명을 Doppel 지원과 공유합니다.
    • 웹후크 설정을 사용하도록 Doppel 테넌트에서 이러한 세부 정보를 구성하기 위한 지원을 요청합니다.

  2. Doppel에 의한 웹후크 설정:

    • Doppel은 제공된 리소스 ID 및 자격 증명을 사용하여 웹후크를 구성합니다.
    • 이 웹후크는 Doppel에서 Microsoft Sentinel 경고 전달을 용이하게 합니다.

  3. Microsoft Sentinel 경고 배달 확인:

    • Doppel의 경고가 Microsoft Sentinel 성공적으로 전달되었는지 확인합니다.
    • Microsoft Sentinel 통합 문서가 경고 통계로 업데이트되어 원활한 데이터 통합을 보장하는지 확인합니다.



Cloud Sitestore를 통한 Dragos 알림

지원:Dragos Inc.

Dragos Platform은 타의 추종을 불허하는 산업 사이버 보안 전문 지식으로 구축된 포괄적인 OT(운영 기술) 사이버 위협 탐지를 제공하는 선도적인 산업 사이버 보안 플랫폼입니다. 이 솔루션을 사용하면 보안 분석가가 산업 환경에서 발생하는 잠재적인 사이버 보안 이벤트를 심사할 수 있도록 Microsoft Sentinel Dragos Platform 알림 데이터를 볼 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
DragosAlerts_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Dragos Sitestore API 액세스: 권한이 있는 notification:read Sitestore 사용자 계정입니다. 이 계정에는 Sentinel 제공할 수 있는 API 키도 있어야 합니다.

설치 지침:

Microsoft Sentinel Dragos Sitestore에 연결할 수 있도록 다음 정보를 제공하세요.

  • Dragos Sitestore 호스트 이름: (dragossitestore.example.com)
  • Dragos Sitestore API 키 ID: (API 키 ID를 입력합니다.)
  • Dragos Sitestore API 키 비밀: (API 키 비밀 입력)
  • 최소 알림 심각도입니다. 유효한 값은 0-5 포함입니다. 최대 심각도보다 작거나 같은지 확인합니다.: (최소 심각도를 입력합니다(모든 알림에 대해 0 권장))
  • 최대 알림 심각도입니다. 유효한 값은 0-5 포함입니다. 최소 심각도보다 크거나 같은지 확인합니다.: (최대 심각도를 입력합니다(모든 알림에 대해 5 권장))
  • 연결 사용/사용 안 함



Druva 이벤트 커넥터

지원:Druva Inc.

Druva API에서 Druva 이벤트를 수집하는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
DruvaSecurityEvents_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Druva API 액세스: Druva API를 사용하려면 인증을 위해 클라이언트 ID 및 클라이언트 암호가 필요합니다.

설치 지침:

참고: Druva Rest API에 연결하는 구성

1단계: Druva 콘솔에서 자격 증명을 만듭니다. 다음 단계를 참조하세요. https://help.druva.com/en/articles/8580838-create-and-manage-api-credentials

2단계: 호스트 이름을 입력합니다. 퍼블릭 클라우드의 경우 apis.druva.com

3단계: 클라이언트 ID 및 클라이언트 비밀 키 입력

Druva API에 연결하여 Microsoft Sentinel 로그 수집 시작

필요한 값을 제공합니다.

  • 호스트 이름: (예: apis.druva.com)



Dynamics 365 Finance 및 작업

지원:Microsoft Corporation

Dynamics 365 finance and Operations는 재무 및 운영 기능을 결합하여 기업이 일상적인 운영을 관리하는 데 도움이 되는 포괄적인 ERP(Enterprise Resource Planning) 솔루션입니다. 비즈니스에서 워크플로를 간소화하고, 작업을 자동화하고, 운영 성능에 대한 인사이트를 얻을 수 있는 다양한 기능을 제공합니다.

Dynamics 365 Finance 및 운영 데이터 커넥터는 Dynamics 365 Finance 및 Operations 관리자 활동 및 감사 로그뿐만 아니라 사용자 비즈니스 프로세스 및 애플리케이션 활동 로그를 Microsoft Sentinel 수집합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
FinanceOperationsActivity_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • 앱 등록 Microsoft Entra: Dynamics 365 Finance 및 작업에 액세스하는 데 사용되는 애플리케이션 클라이언트 ID 및 비밀입니다.

설치 지침:

Finance and Operations에 연결하려면 Microsoft Entra 앱 등록(클라이언트 ID 및 비밀)이 필요합니다. 또한 Microsoft Entra 테넌트 ID 및 재무 운영 조직 URL이 필요합니다.

데이터 수집을 사용하도록 설정하려면 데이터베이스 로그 엔터티를 볼 수 있는 권한이 있는 Dynamics 365 Finance 및 작업에서 역할을 만듭니다. Microsoft Entra 앱 등록의 클라이언트 ID에 매핑된 전용 Finance and Operations 사용자에게 이 역할을 할당합니다. 다음 단계에 따라 프로세스를 완료합니다.

1단계 - 앱 등록 Microsoft Entra

  1. Microsoft Entra 포털로 이동합니다.
  2. 애플리케이션에서 앱 등록을 클릭하고 새 앱 등록을 만듭니다(모든 기본값을 그대로 둡니다).
  3. 새 앱 등록을 열고 새 비밀을 만듭니다.
  4. 나중에 사용할 수 있는 테넌트 ID, 애플리케이션(클라이언트) ID 및 클라이언트 비밀을 유지합니다.

2단계 - 재무 및 운영에서 데이터 수집에 대한 역할 만들기

  1. 재무 및 운영 포털에서 작업 영역 > 시스템 관리로 이동하고 보안 구성을 클릭합니다.
  2. 역할 아래에서 새로 만들기를 클릭하고 새 역할 이름(예: 데이터베이스 로그 뷰어)을 지정합니다.
  3. 역할 목록에서 새 역할을 선택하고 권한 및 참조 추가를 클릭합니다.
  4. 권한 목록에서 데이터베이스 로그 엔터티 뷰 를 선택합니다.
  5. 게시되지 않은 개체를 클릭한 다음 모두 게시를 클릭하여 역할을 게시합니다.

3단계 - 재무 및 운영에서 데이터 수집을 위한 사용자 만들기

  1. 재무 및 운영 포털에서 모듈 > 시스템 관리로 이동하고 사용자를 클릭합니다.
  2. 새 사용자를 만들고 이전 단계에서 만든 역할을 사용자에게 할당합니다.

4단계 - 재무 및 운영에 Microsoft Entra 앱 등록

  1. F&O 포털에서 시스템 관리 > 설치 > Microsoft Entra 애플리케이션(Azure Active Directory 애플리케이션)으로 이동합니다.
  2. 테이블에 새 항목을 만듭니다. 클라이언트 ID 필드에 1단계에 등록된 앱의 애플리케이션 ID를 입력합니다.
  3. 이름 필드에 애플리케이션의 이름을 입력합니다.
  4. 사용자 ID 필드에서 이전 단계에서 만든 사용자 ID를 선택합니다.

Dyanmics 365 Finance and Operations의 이벤트를 Microsoft Sentinel 연결

클라이언트 자격 증명을 사용하여 연결

조직

각 행은 재무 및 운영 연결을 나타냅니다.

  • 데이터 커넥터 그리드(포털에서 구성)



Dynamics365

지원:Microsoft Corporation

Dynamics 365 CDS(Common Data Service) 활동 커넥터는 관리자, 사용자 및 지원 활동뿐만 아니라 Microsoft Social Engagement 로깅 이벤트에 대한 인사이트를 제공합니다. Dynamics 365 CRM 로그를 Microsoft Sentinel 연결하면 통합 문서에서 이 데이터를 보고, 이를 사용하여 사용자 지정 경고를 만들고, 조사 프로세스를 개선할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Dynamics365Activity 아니요

데이터 수집 규칙 지원:작업 영역 변환 DCR

Dynatrace 공격 V1

지원:Dynatrace

이 커넥터는 Dynatrace Attacks REST API를 사용하여 검색된 공격을 Microsoft Sentinel Log Analytics로 수집합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
DynatraceAttacks_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

설치 지침:

Dynatrace 공격 이벤트를 Microsoft Sentinel

Dynatrace 애플리케이션 보안을 구성하고 사용하도록 설정합니다. 다음 지침에 따라 액세스 토큰을 생성합니다.



Dynatrace 공격 V2

지원:Dynatrace

이 커넥터는 Dynatrace Attacks REST API를 사용하여 검색된 공격을 Microsoft Sentinel Log Analytics로 수집합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
DynatraceAttacksV2_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

설치 지침:

Dynatrace 공격 이벤트를 Microsoft Sentinel

Dynatrace 애플리케이션 보안을 구성하고 사용하도록 설정합니다. 다음 지침에 따라 액세스 토큰을 생성합니다.

  • Dynatrace 테넌트(예: xyz.dynatrace.com): ({{dynatraceEnvironmentUrl}})
  • Dynatrace 액세스 토큰: ({{dynatraceAccessToken}})
  • 연결 사용/사용 안 함



Dynatrace 감사 로그 V1

지원:Dynatrace

이 커넥터는 Dynatrace 감사 로그 REST API를 사용하여 테넌트 감사 로그를 Microsoft Sentinel Log Analytics로 수집합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
DynatraceAuditLogs_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Dynatrace 테넌트(예: xyz.dynatrace.com): Dynatrace 플랫폼 무료 평가판 시작에 대해 자세히 알아보려면 유효한 Dynatrace 테넌트가 필요합니다.
  • Dynatrace 액세스 토큰: Dynatrace 액세스 토큰이 필요합니다. 토큰에는 감사 로그 읽기(auditLogs.read) scope 있어야 합니다.

설치 지침:

감사 로그 이벤트를 Microsoft Sentinel

Dynatrace 감사 로깅을 사용하도록 설정합니다. 다음 지침에 따라 액세스 토큰을 생성합니다.



Dynatrace 감사 로그 V2

지원:Dynatrace

이 커넥터는 Dynatrace 감사 로그 REST API를 사용하여 테넌트 감사 로그를 Microsoft Sentinel Log Analytics로 수집합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
DynatraceAuditLogsV2_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Dynatrace 테넌트(예: xyz.dynatrace.com): Dynatrace 플랫폼 무료 평가판 시작에 대해 자세히 알아보려면 유효한 Dynatrace 테넌트가 필요합니다.
  • Dynatrace 액세스 토큰: Dynatrace 액세스 토큰이 필요합니다. 토큰에는 감사 로그 읽기(auditLogs.read) scope 있어야 합니다.

설치 지침:

감사 로그 이벤트를 Microsoft Sentinel

Dynatrace 감사 로깅을 사용하도록 설정합니다. 다음 지침에 따라 액세스 토큰을 생성합니다.

  • Dynatrace 테넌트(예: xyz.dynatrace.com): ({{dynatraceEnvironmentUrl}})
  • Dynatrace 액세스 토큰: ({{dynatraceAccessToken}})
  • 연결 사용/사용 안 함



Dynatrace 문제 V1

지원:Dynatrace

이 커넥터는 Dynatrace 문제 REST API를 사용하여 문제 이벤트를 Microsoft Sentinel Log Analytics로 수집합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
DynatraceProblems_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Dynatrace 테넌트(예: xyz.dynatrace.com): Dynatrace 플랫폼 무료 평가판 시작에 대해 자세히 알아보려면 유효한 Dynatrace 테넌트가 필요합니다.
  • Dynatrace 액세스 토큰: Dynatrace 액세스 토큰이 필요하고 토큰에 읽기 문제(problems.read) scope 있어야 합니다.

설치 지침:

문제 이벤트를 Microsoft Sentinel

다음 지침에 따라 액세스 토큰을 생성합니다.



Dynatrace 문제 V2

지원:Dynatrace

이 커넥터는 Dynatrace 문제 REST API를 사용하여 문제 이벤트를 Microsoft Sentinel Log Analytics로 수집합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
DynatraceProblemsV2_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Dynatrace 테넌트(예: xyz.dynatrace.com): Dynatrace 플랫폼 무료 평가판 시작에 대해 자세히 알아보려면 유효한 Dynatrace 테넌트가 필요합니다.
  • Dynatrace 액세스 토큰: Dynatrace 액세스 토큰이 필요하고 토큰에 읽기 문제(problems.read) scope 있어야 합니다.

설치 지침:

문제 이벤트를 Microsoft Sentinel

다음 지침에 따라 액세스 토큰을 생성합니다.

  • Dynatrace 테넌트(예: xyz.dynatrace.com): ({{dynatraceEnvironmentUrl}})
  • Dynatrace 액세스 토큰: ({{dynatraceAccessToken}})
  • 연결 사용/사용 안 함



Dynatrace 런타임 취약성 V1

지원:Dynatrace

이 커넥터는 Dynatrace 보안 문제 REST API를 사용하여 검색된 런타임 취약성을 Microsoft Sentinel Log Analytics로 수집합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
DynatraceSecurityProblems_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

설치 지침:

Microsoft Sentinel 대한 Dynatrace 취약성 이벤트

Dynatrace 애플리케이션 보안을 구성하고 사용하도록 설정합니다. 다음 지침에 따라 액세스 토큰을 생성합니다.



Dynatrace 런타임 취약성 V2

지원:Dynatrace

이 커넥터는 Dynatrace 보안 문제 REST API를 사용하여 검색된 런타임 취약성을 Microsoft Sentinel Log Analytics로 수집합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
DynatraceSecurityProblemsV2_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

설치 지침:

Microsoft Sentinel 대한 Dynatrace 취약성 이벤트

Dynatrace 애플리케이션 보안을 구성하고 사용하도록 설정합니다. 다음 지침에 따라 액세스 토큰을 생성합니다.

  • Dynatrace 테넌트(예: xyz.dynatrace.com): ({{dynatraceEnvironmentUrl}})
  • Dynatrace 액세스 토큰: ({{dynatraceAccessToken}})
  • 연결 사용/사용 안 함



탄력적 에이전트

지원:Microsoft Corporation

Elastic Agent 데이터 커넥터는 탄력적 에이전트 로그, 메트릭 및 보안 데이터를 Microsoft Sentinel 수집하는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ElasticAgentEvent 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • 연결에 필요한 경우 사용자 지정 필수 구성 요소 포함 - 그렇지 않으면 세관 삭제: 사용자 지정 필수 구성 요소에 대한 설명

설치 지침:

참고: 이 데이터 커넥터는 Kusto 함수를 기반으로 하는 파서가 Microsoft Sentinel Solution과 함께 배포되는 예상 ElasticAgentEvent로 작동하도록 합니다.

참고: 이 데이터 커넥터는 Elastic Agent 7.14를 사용하여 개발되었습니다.

1. Linux 또는 Windows용 에이전트 설치 및 온보딩

탄력적 에이전트 로그가 전달되는 서버에 에이전트를 설치합니다.

Linux 또는 Windows 서버에 배포된 탄력적 에이전트의 로그는 Linux 또는 Windows 에이전트에서 수집됩니다.

Linux 에이전트를 설치할 위치를 선택합니다.

Azure Linux Virtual Machine에 에이전트 설치

에이전트를 설치할 컴퓨터를 선택한 다음 연결을 클릭합니다.

  • 에이전트 설치: <설치 시 제공되는 변수 값>

비 Azure Linux 컴퓨터에 에이전트 설치

관련 컴퓨터에서 에이전트를 다운로드하고 지침을 따릅니다.

  • 에이전트 설치: <설치 시 제공되는 변수 값>

Windows 에이전트를 설치할 위치를 선택합니다.

Azure Windows Virtual Machine에 에이전트 설치

에이전트를 설치할 컴퓨터를 선택한 다음 연결을 클릭합니다.

  • 에이전트 설치: <설치 시 제공되는 변수 값>

Azure 아닌 Windows 컴퓨터에 에이전트 설치

관련 컴퓨터에서 에이전트를 다운로드하고 지침을 따릅니다.

  • 에이전트 설치: <설치 시 제공되는 변수 값>

2. 탄력적 에이전트 구성(독립 실행형)

지침에 따라 Logstash에 출력하도록 탄력적 에이전트를 구성합니다.

3. Microsoft Logstash 출력 플러그 인을 사용하도록 Logstash 구성

단계에 따라 Microsoft-logstash-output-azure-loganalytics 플러그 인을 사용하도록 Logstash를 구성합니다.

3.1) 플러그 인이 이미 설치되어 있는지 확인합니다. ./logstash-plugin list | grep 'azure-loganalytics'(플러그 인이 설치된 경우 3.3단계로 이동)

3.2) 플러그 인 설치: ./logstash-plugin install microsoft-logstash-output-azure-loganalytics

3.3) 플러그 인을 사용하도록 Logstash 구성

4. 로그 수집 유효성 검사

지침에 따라 연결의 유효성을 검사합니다.

Log Analytics를 열어 로그가 3.3단계(예: ElasticAgentLogs_CL)에 지정된 사용자 지정 테이블을 사용하여 수신되는지 검사.

연결이 데이터를 작업 영역으로 스트리밍할 때까지 약 30분이 걸릴 수 있습니다.



탄력적 에이전트(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

Elastic Agent 데이터 커넥터를 사용하면 Elasticsearch에서 Elastic Agent에서 수집한 시스템 메트릭, 로그 및 원격 분석 데이터를 Microsoft Sentinel 수집할 수 있습니다. 이 커넥터는 API 키 인증과 함께 Elasticsearch Search API를 사용하여 여러 데이터 스트림(CPU, 메모리, 프로세스, 파일 시스템, 네트워크, 로드, 가동 시간, 에이전트 메트릭 및 로그)을 쿼리합니다. 효율적인 쿼리 실행을 위해 DCR 기반 수집 시간 변환을 지원합니다. 자세한 내용은 API 설명서를 참조하세요. https://www.elastic.co/docs/api/doc/elasticsearch/operation/operation-search

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ElasticAgentLogsV2_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

설치 지침:

1. 필수 구성 요소

필요한 액세스 및 구성이 있는지 확인합니다.

필수 구성 요소

  • Elasticsearch 배포(자체 관리형 또는 탄력적 클라우드)
  • 시스템 통합을 사용하도록 설정된 탄력적 에이전트 배포
  • 로그 및 메트릭에 대해 사용하도록 설정된 에이전트 모니터링
  • 모든 인덱스에 대한 읽기 권한이 있는 Elasticsearch API 키
  • Microsoft Sentinel Elasticsearch 엔드포인트로의 네트워크 연결

필수 인덱스

커넥터는 다음 Elasticsearch 인덱스를 쿼리합니다.

메트릭:

  • metrics-system.cpu-* - CPU 메트릭
  • metrics-system.memory-* - 메모리 메트릭
  • metrics-system.process-* - 프로세스 메트릭
  • metrics-system.filesystem-* - 파일 시스템 메트릭
  • metrics-system.network-* - 네트워크 메트릭
  • metrics-system.load-*- 시스템 로드(Linux만 해당)
  • metrics-system.uptime-* - 시스템 작동 시간
  • metrics-elastic_agent.* - 에이전트 원격 분석

로그:

  • logs-elastic_agent-* - 에이전트 로그

2. Elasticsearch 연결 구성

하나 이상의 Elasticsearch 연결을 추가하여 데이터를 수집합니다.

Elasticsearch 연결

여러 연결을 추가하여 다양한 Elasticsearch 배포에서 데이터를 수집할 수 있습니다. 각 연결에는 고유한 Elasticsearch URL 및 API 키가 필요합니다.

API 키 만들기

  1. Kibana에서 스택 관리 > API 키로 이동합니다.
  2. API 키 만들기를 클릭합니다.
  3. 이름을 설정하고 사용 권한을 구성합니다.
    • 읽기 권한 metrics-system.*
    • 읽기 권한 metrics-elastic_agent.*
    • 읽기 권한 logs-elastic_agent-*
  4. Base64로 인코딩된 API 키 값 복사
  • 데이터 커넥터 그리드(포털에서 구성)



Ermes 브라우저 보안 이벤트

지원:Ermes Cyber Security S.p.A.

Ermes 브라우저 보안 이벤트

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ErmesBrowserSecurityEvents_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Ermes 클라이언트 ID 및 클라이언트 암호: Ermes에서 API 액세스를 사용하도록 설정합니다. 자세한 내용은 Ermes Cyber Security 지원에 문의하세요.

설치 지침:

Ermes 브라우저 보안 이벤트를 Microsoft Sentinel 연결

OAuth2 자격 증명을 사용하여 연결



ESET 플랫폼 보호(Azure Functions 사용)

지원:ESET 엔터프라이즈 통합

ESET 플랫폼 보호 데이터 커넥터를 사용하면 사용자가 제공된 Integration REST API를 사용하여 ESET Protect Platform에서 검색 데이터를 삽입할 수 있습니다. Integration REST API는 예약된 Azure 함수 앱으로 실행됩니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
IntegrationTable_CL
IntegrationTableIncidents_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • Microsoft Entra ID 애플리케이션을 등록할 수 있는 권한: Microsoft Entra 테넌트에서 애플리케이션을 등록할 수 있는 충분한 권한이 필요합니다.
  • 등록된 애플리케이션에 역할을 할당할 수 있는 권한: Microsoft Entra ID 등록된 애플리케이션에 모니터링 메트릭 게시자 역할을 할당할 수 있는 권한이 필요합니다.

설치 지침:

참고: ESET 플랫폼 보호 데이터 커넥터는 Azure Functions 사용하여 Eset Connect API를 통해 ESET Protect Platform에 연결하여 검색 로그를 Microsoft Sentinel. 이 프로세스로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. Azure Functions 가격 책정 페이지에서 세부 정보를 참조하세요.

참고: 최신 버전의 ESET PROTECT Platform 및 Microsoft Sentinel 통합은 검색 로그뿐만 아니라 새로 만든 인시던트도 가져옵니다. 20.06.2025 이전에 통합이 설정된 경우 다음 단계에 따라 업데이트하세요.

1단계 - API 사용자 만들기

명령을 사용하여 로그인 및 암호를 사용하여 ESET Connect API 사용자 계정을 만듭니다.

2단계 - 등록된 애플리케이션 만들기

새 애플리케이션 등록 명령의 단계에 따라 Microsoft Entra ID 등록된 애플리케이션을 만듭니다.

3단계 - ARM(Azure Resource Manager) 템플릿을 사용하여 ESET 플랫폼 보호 데이터 커넥터 배포

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. Microsoft Sentinel 연결된 Log Analytics 작업 영역의 이름을 선택합니다. Log Analytics 작업 영역의 리소스 그룹과 동일한 리소스 그룹을 선택합니다.

  3. Microsoft Entra ID 등록된 애플리케이션의 매개 변수를 입력합니다. Azure 클라이언트 ID, Azure 클라이언트 암호, Azure 테넌트 ID, 개체 ID입니다. Azure Portal에서 이 경로 Microsoft Entra ID - 관리(왼쪽 메뉴) -> 엔터프라이즈 애플리케이션 ->> 개체 ID 열(등록된 애플리케이션 이름 옆에 있는 값)을 따라 개체 ID를 찾을 수 있습니다.

  4. 1단계에서 얻은 ESET Connect API 사용자 계정 로그인 및 암호를 제공합니다.

  5. 검색이 검색되는 하나 이상의 ESET 제품(ESET PROTECT, ESET 검사, ESET Cloud Office Security)을 선택합니다.



Exchange Security Insights 온-프레미스 수집기

지원자:커뮤니티

Microsoft Sentinel 분석을 위해 Exchange 온-프레미스 보안 구성을 푸시하는 데 사용되는 커넥터

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ESIExchangeConfig_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • 조직 관리 역할이 있는 서비스 계정: 스크립트를 예약된 작업으로 시작하는 서비스 계정은 필요한 모든 보안 정보를 검색할 수 있도록 조직 관리여야 합니다.
  • 자세한 설명서: >참고: 설치 절차 및 사용에 대한 자세한 설명서는 여기에서 확인할 수 있습니다.

설치 지침:

1. Exchange 관리 PowerShell 콘솔이 있는 서버에 ESI 수집기 스크립트 설치

Exchange 정보를 수집하여 Microsoft Sentinel 콘텐츠를 푸시하는 스크립트입니다.

스크립트 배포

최신 버전의 ESI 수집기 다운로드

최신 버전은 에서 https://aka.ms/ESI-ExchangeCollector-Script찾을 수 있습니다. 다운로드할 파일이 CollectExchSecIns.zip

스크립트 폴더 복사

콘텐츠의 압축을 풀고 Exchange PowerShell Cmdlet이 있는 서버에서 스크립트 폴더를 복사합니다.

PS1 스크립트 차단 해제

각 PS1 스크립트를 마우스 오른쪽 단추로 클릭하고 속성 탭으로 이동합니다. 스크립트가 차단된 것으로 표시되면 차단을 해제합니다. PowerShell을 사용하여 압축을 푼 폴더에서 Cmdlet 'Unblock-File 을 사용할 수도 있습니다.

**네트워크 액세스 구성 **

스크립트가 Azure Analytics(*.ods.opinsights.azure.com)에 연결할 수 있는지 확인합니다.

2. ESI 수집기 스크립트 구성

서버의 로컬 관리자여야 합니다. '관리자 권한으로 실행' 모드에서 'setup.ps1' 스크립트를 시작하여 수집기를 구성합니다. Log Analytics(Microsoft Sentinel) 작업 영역 정보를 채웁니다. 환경 이름을 채우거나 비워 둡니다. 기본적으로 기본 분석으로 'Def'를 선택합니다. 다른 선택은 특정 사용에 대한 것입니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

3. ESI 수집기 스크립트 예약(설치 스크립트에서 권한이 부족하거나 설치 중에 무시되지 않은 경우)

exchange 구성을 Microsoft Sentinel 보내려면 스크립트를 예약해야 합니다. 스크립트를 하루에 한 번 예약하는 것이 좋습니다. 스크립트를 시작하는 데 사용되는 계정은 그룹 조직 관리의 구성원이어야 합니다.

참고: 이 데이터 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 예상대로 작동합니다. 파서는 솔루션과 함께 자동으로 배포됩니다. 단계에 따라 Kusto Functions 별칭: ExchangeAdminAuditLogs를 만듭니다.

파서는 솔루션 배포 중에 자동으로 배포됩니다. 수동으로 배포하려면 다음 단계를 수행합니다.

수동 파서 배포

1. 파서 파일 다운로드

최신 버전의 ExchangeAdminAuditLogs 파일

2. 파서 ExchangeAdminAuditLogs 함수 만들기

Microsoft Sentinel 로그 분석의 '로그' 탐색기에서 파일의 내용을 로그 탐색기에 복사합니다.

3. 파서 ExchangeAdminAuditLogs 함수 저장

저장 단추를 클릭합니다. 이 파서에는 매개 변수가 필요하지 않습니다. 저장을 다시 클릭합니다.



Exchange Security Insights 온라인 수집기(Azure Functions 사용)

지원자:커뮤니티

Microsoft Sentinel 분석을 위해 Exchange Online 보안 구성을 푸시하는 데 사용되는 커넥터

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ESIExchangeOnlineConfig_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • microsoft.automation/automationaccounts 권한: Runbook을 사용하여 Azure Automation 만들 수 있는 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Automation 계정을 참조하세요.
  • Microsoft.Graph 권한: Exchange Online 할당에 연결된 사용자/그룹 정보를 검색하려면 Groups.Read, Users.Read 및 Auditing.Read 권한이 필요합니다. 자세한 내용은 설명서를 참조하세요.
  • Exchange Online 권한: Exchange Online 보안 구성을 검색하려면 Exchange.ManageAsApp 권한 및 전역 읽기 권한자 또는 보안 읽기 권한자 역할이 필요합니다.자세한 내용은 설명서를 참조하세요.
  • (선택 사항) 로그 스토리지 권한: Automation 계정 관리 ID 또는 애플리케이션 ID에 연결된 스토리지 계정에 대한 Storage Blob 데이터 기여자는 로그를 저장해야 합니다. 자세한 내용은 설명서를 참조하세요.

설치 지침:

참고 - 업데이트

참고:

참고 - 업데이트:

수집기를 버전 7.6.0.0 이상으로 업데이트하는 것이 좋습니다. 수집기 스크립트 업데이트 절차는 ESI 온라인 수집기 업데이트에서 찾을 수 있습니다.

참고: 이 데이터 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 예상대로 작동합니다. 각 파서에 대한 단계에 따라 Kusto Functions 별칭을 만듭니다. ExchangeConfiguration**ExchangeEnvironmentList 1단계 - 파서 배포**

파서 배포(Microsoft Exchange 보안 솔루션을 사용하는 경우 파서가 자동으로 배포됨)

1. 파서 파일 다운로드

최신 버전의 2개 파일 ExchangeConfiguration.yamlExchangeEnvironmentList.yaml

2. 파서 ExchangeConfiguration 함수 만들기

Microsoft Sentinel 로그 분석의 '로그' 탐색기에서 파일의 내용을 로그 탐색기에 복사합니다.

3. 파서 ExchangeConfiguration 함수 저장

저장 단추를 클릭합니다. 파서 파일의 헤더에 요청된 대로 매개 변수를 정의합니다. 저장을 다시 클릭합니다.

4. Parser ExchangeEnvironmentList에 대해 동일한 단계를 재현합니다.

'ExchangeEnvironmentList.yaml' 파일의 내용을 사용하여 2단계와 3단계를 재현합니다.

참고: 이 커넥터는 Azure Automation 사용하여 'Exchange Online'에 연결하여 보안 분석을 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Automation 가격 책정 페이지를 확인하세요.

2단계 - 커넥터 및 연결된 Azure Automation 배포하려면 다음 두 가지 배포 옵션 중 하나를 선택합니다.

중요: 'ESI Exchange Online 보안 구성' 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)와 Exchange Online 테넌트 이름(contoso.onmicrosoft.com)을 쉽게 사용할 수 있습니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

옵션 1 - ARM(Azure Resource Manager) 템플릿

'ESI Exchange Online 보안 구성' 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 작업 영역 ID, 작업 영역 키, 테넌트 이름, '및/또는 기타 필수 필드'를 입력합니다.

  4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  5. 구매를 클릭하여 배포합니다.

옵션 2 - Azure Automation 수동 배포

다음 단계별 지침을 사용하여 Azure Automation 사용하여 수동으로 'ESI Exchange Online 보안 구성' 커넥터를 배포합니다.

대답. Azure Automation 계정 만들기

  1. Azure 포털에서 Azure Automation 계정으로 이동합니다.
  2. 위쪽에서 + 추가 를 클릭합니다.
  3. 기본 탭에서 필수 필드를 입력하고 Azure Automation 이름을 지정합니다.
  4. 고급 및 네트워킹 및 태그 탭에서 필드를 사용자 지정할 필요가 없는 경우 기본값으로 둡니다.
  5. 필요한 경우 '다른 바람직한 구성 변경'을 클릭한 다음 만들기를 클릭합니다.

B. Exchange Online 관리 모듈, Microsoft Graph(인증, 사용자 및 그룹) 모듈 추가

  1. Automation 계정 페이지에서 모듈을 선택합니다.
  2. 갤러리 찾아보기를 클릭하고 ExchangeOnlineManagement 모듈을 검색합니다.
  3. 선택하고 선택을 클릭합니다.
  4. 런타임 버전 필드에서 버전 5.1 을 선택하고 가져오기 단추를 클릭합니다. 'Microsoft.Graph.Authentication', 'Microsoft.Graph.Users' 및 'Microsoft.Graph.Groups' 모듈에 대해 단계를 반복합니다. 다음 모듈을 처리하기 전에 Microsoft.Graph.Authentication 설치를 기다려야 합니다.

C. Runbook 콘텐츠 다운로드

  1. 최신 버전의 ESI 수집기를 다운로드합니다. 최신 버전은 여기에서 찾을 수 있습니다. https://aka.ms/ESI-ExchangeCollector-Script
  2. 파일의 압축을 풉니다. 다음 단계에서 JSON 파일 및 PS1 파일을 찾습니다.

D. Runbook 만들기

  1. Automation 계정 페이지에서 Runbook 단추를 선택합니다.
  2. Runbook 만들기를 클릭하고 Runbook 유형 PowerShell, 런타임 버전 5.1을 사용하여 'ESI-Collector'와 같은 이름을 지정하고 '만들기'를 클릭합니다.
  3. Runbook 창에서 이전 단계의 PS1 파일 콘텐츠를 가져옵니다.
  4. 게시를 클릭합니다.

E. GlobalConfiguration 변수 만들기

  1. Automation 계정 페이지에서 변수 단추를 선택합니다.
  2. 변수 추가를 클릭하고 문자열 형식으로 'GlobalConfiguration'의 이름을 지정합니다.
  3. '값' 필드에서 이전 단계의 JSON 파일 콘텐츠를 복사합니다.
  4. 콘텐츠 내에서 WorkspaceID 및 WorkspaceKey의 값을 대체합니다.
  5. '만들기' 단추를 클릭합니다.

F. TenantName 변수 만들기

  1. Automation 계정 페이지에서 변수 단추를 선택합니다.
  2. 변수 추가를 클릭하고 문자열 형식으로 이름을 'TenantName'으로 지정합니다.
  3. '값' 필드에 Exchange Online 테넌트 이름을 작성합니다.
  4. '만들기' 단추를 클릭합니다.

G. LastDateTracking 변수 만들기

  1. Automation 계정 페이지에서 변수 단추를 선택합니다.
  2. 변수 추가를 클릭하고 문자열 형식으로 'LastDateTracking'의 이름을 exaclty로 지정합니다.
  3. '값' 필드에 'Never'를 씁니다.
  4. '만들기' 단추를 클릭합니다.

H. Runbook 일정 만들기

  1. Automation 계정 페이지에서 Runbook 단추를 선택하고 만든 Runbook 을 클릭합니다.
  2. 일정 및 일정 추가 단추를 클릭합니다.
  3. 일정을 클릭하고 일정을 추가한 다음 이름을 지정합니다. 1일마다 되풀이 값을 선택하고 '만들기'를 클릭합니다.
  4. '매개 변수 구성 및 설정 실행'을 클릭합니다. 모두 비워 두고 확인 및 확인을 다시 클릭합니다.

3단계 - 관리 ID 계정에 Microsoft Graph 권한 및 Exchange Online 권한 할당

Exchange Online 정보를 수집하고 관리 그룹의 사용자 정보 및 멤버 목록을 검색할 수 있도록 하려면 자동화 계정에 여러 권한이 필요합니다.

스크립트별 사용 권한 할당

대답. 사용 권한 스크립트 다운로드

권한 업데이트 스크립트

B. Azure Automation 관리 ID GUID를 검색하고 다운로드한 스크립트에 삽입합니다.

  1. ID 섹션의 Automation 계정으로 이동합니다. 관리 ID의 Guid를 찾을 수 있습니다.
  2. $MI_ID = "XXXXXXXXXXX"의 GUID를 관리 ID의 GUID로 바꿉니다.

C. 전역 관리자 계정으로 스크립트 시작

이 스크립트에는 MICROSOFT Graph를 사용하여 테넌트 액세스에 대한 MSGraph 모듈 및 관리 동의가 필요합니다. 스크립트는 관리 ID에 3개의 권한을 추가합니다. 1. Exchange Online ManageAsApp 권한 2. Microsoft Graph API 3의 User.Read.All. Microsoft Graph API Group.Read.All

D. 역할 할당 Exchange Online

  1. 전역 관리자로서 역할 및 관리자로 이동합니다.
  2. 전역 읽기 권한자 역할 또는 보안 읽기 프로그램을 선택하고 '할당 추가'를 클릭합니다.
  3. '구성원이 선택되지 않음'을 클릭하고 'ESI-Collector'와 같은 자동화 계정의 이름으로 시작하여 관리 ID 계정 이름을 검색합니다. 선택하고 '선택'을 클릭합니다.
  4. 다음을 클릭하고 할당을 클릭하여 할당의 유효성을 검사합니다.



ExtraHop 검색 데이터 커넥터

지원:ExtraHop 지원

ExtraHop 검색 데이터 커넥터를 사용하면 ExtraHop RevealX에서 검색 데이터를 가져와 웹후크 페이로드를 통해 Microsoft Sentinel 수 있습니다. 데이터는 DCR(데이터 수집 규칙)을 통해 Azure Monitor 로그 수집 API를 사용하여 수집됩니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ExtraHop_Detections_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Azure 구독: Microsoft Entra ID 애플리케이션을 등록하고, 데이터 수집 엔드포인트, 데이터 수집 규칙을 만들고, 필요한 역할을 할당하려면 소유자 역할이 있는 Azure 구독이 필요합니다.
  • Microsoft Entra 앱 등록: 클라이언트 암호를 사용하는 Microsoft Entra ID 앱 등록(서비스 주체)이 필요합니다. 배포에서 로그 수집 API를 통해 로그를 게시하는 데 필요한 역할을 할당할 수 있도록 앱의 개체 ID를 제공해야 합니다.
  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • ExtraHop RevealX 권한: ExtraHop RevealX 시스템에는 다음이 필요합니다.
  1. RevealX 시스템은 펌웨어 버전 9.9.2 이상을 실행해야 합니다.
  2. RevealX 시스템은 ExtraHop Cloud Services 연결되어야 합니다.
  3. 사용자 계정에는 RevealX Enterprise의 RevealX 360 또는 전체 쓰기 권한에 대한 시스템 관리 권한이 있어야 합니다.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 ExtraHop 웹후크 페이로드를 수신하고 DCR 기반 수집 Azure 모니터 로그 수집 API를 사용하여 Microsoft Sentinel 수집합니다. 그러면 레거시 Log Analytics HTTP 데이터 수집기 API가 대체됩니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) API 자격 증명을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

참고: 이 데이터 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 솔루션의 일부로 배포되는 예상대로 작동합니다. Log Analytics에서 함수 코드를 보려면 Log Analytics/Microsoft Sentinel 로그 블레이드를 열고 함수를 클릭하고 별칭 ExtraHopDetections를 검색합니다. 함수 코드를 로드하거나 여기를 클릭합니다. 함수는 일반적으로 솔루션 설치/업데이트 후 활성화하는 데 10-15분이 걸립니다.

구성:

1단계 - Microsoft Entra ID 애플리케이션에 대한 앱 등록 단계

이 통합에는 Azure Portal 앱 등록이 필요합니다. 이 섹션의 단계에 따라 Microsoft Entra ID 새 애플리케이션을 만듭니다.

  1. Azure 포털에 로그인합니다.
  2. Microsoft Entra ID 검색하여 선택합니다.
  3. 관리에서 새 등록 앱 등록 > 선택합니다.
  4. 애플리케이션의 표시 이름 (예: ExtraHopSentinelConnector)을 입력합니다.
  5. 등록을 선택하여 초기 앱 등록을 완료합니다.
  6. 등록이 완료되면 Azure Portal 앱 등록의 개요 창이 표시됩니다. 애플리케이션(클라이언트) ID 및 테넌트 ID가 표시됩니다. 클라이언트 ID 및 테넌트 ID는 ExtraHop 데이터 커넥터 실행을 위한 구성 매개 변수로 필요합니다.

참조 링크:/azure/active-directory/develop/quickstart-register-app

2단계 - Microsoft Entra ID 애플리케이션에 대한 클라이언트 암호 추가

애플리케이션 암호라고도 하는 클라이언트 암호는 ExtraHop 데이터 커넥터를 실행하는 데 필요한 문자열 값입니다. 이 섹션의 단계에 따라 새 클라이언트 암호를 만듭니다.

  1. Azure Portal 앱 등록 애플리케이션을 선택합니다.
  2. 인증서 & 비밀 > 클라이언트 비밀 새 클라이언트 비밀을 >선택합니다.
  3. 클라이언트 비밀에 대한 설명을 추가합니다.
  4. 비밀에 대한 만료를 선택하거나 사용자 지정 수명을 지정합니다. 한도는 24개월입니다.
  5. 추가를 선택합니다.
  6. 클라이언트 애플리케이션 코드에서 사용할 비밀 값을 기록합니다. 이 비밀 값은 이 페이지를 떠난 후에 다시는 표시되지 않습니다. 비밀 값은 ExtraHop 데이터 커넥터를 실행하기 위한 구성 매개 변수로 필요합니다.

참조 링크:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

3단계 - Microsoft Entra ID 애플리케이션의 개체 ID 가져오기

앱 등록을 만든 후 이 섹션의 단계에 따라 개체 ID를 가져옵니다.

  1. Microsoft Entra ID 이동합니다.
  2. 왼쪽 메뉴에서 엔터프라이즈 애플리케이션 을 선택합니다.
  3. 목록에서 새로 만든 애플리케이션을 찾습니다(제공한 이름으로 검색할 수 있습니다).
  4. 애플리케이션을 클릭합니다.
  5. 개요 페이지에서 개체 ID를 복사합니다. ARM 템플릿 역할 할당에 필요한 AzureEntraObjectID 입니다.

4단계 - ExtraHop 데이터 커넥터 배포

중요: ExtraHop 데이터 커넥터를 배포하기 전에 Microsoft Entra ID 앱 등록 세부 정보(클라이언트 ID, 클라이언트 암호, 테넌트 ID 및 개체 ID)를 쉽게 사용할 수 있습니다.

ExtraHop 검색 데이터 커넥터를 배포합니다.

ExtraHop 검색 데이터 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 지역을 선택합니다.

  3. 아래 정보를 입력합니다.

    a. FunctionName - 함수 앱 이름(모든 관련 리소스의 이름을 지정하는 데 사용됨)을 입력합니다. 1~11자여야 합니다. 기본: ExtraHop

    b. 위치 - 데이터 수집 규칙 및 데이터 수집 엔드포인트를 배포해야 하는 위치

    c. WorkspaceName - Log Analytics 작업 영역의 Microsoft Sentinel 작업 영역 이름 입력

    d. AzureClientId - 앱 등록 중에 만든 Azure 클라이언트 ID를 입력합니다.

    e. AzureClientSecret - 클라이언트 비밀을 만드는 동안 만든 Azure 클라이언트 암호를 입력합니다.

    f. AzureEntraObjectID - Microsoft Entra 앱의 개체 ID 입력

    g. TenantId - Microsoft Entra ID 테넌트 ID를 입력합니다.

    h. DetectionsTableName - ExtraHop 검색 로그를 저장하는 데 사용되는 테이블의 이름을 입력합니다. 기본값은 'ExtraHop_Detections'입니다.

    i. LogLevel - 디버그, 정보, 오류, 경고에서 로그 수준 또는 로그 심각도 값을 선택합니다. 기본적으로 정보로 설정됩니다.

    j. AppInsightsWorkspaceResourceID - 2024년 2월 29일로 사용 중지되는 Log Analytic 작업 영역으로 클래식 Application Insights를 마이그레이션합니다. '리소스 ID' 속성 값이 있는 'Log Analytic 작업 영역-->속성' 블레이드를 사용합니다. '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' 형식의 정규화된 resourceId입니다.

  4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  5. 구매를 클릭하여 배포합니다.

5단계 - 배포 후

배포가 성공하면 ExtraHop RevealX에서 Microsoft Sentinel 웹후크 연결을 구성합니다.

1) 함수 앱 엔드포인트 가져오기

  1. Azure 함수 개요 페이지로 이동하여 함수 탭을 클릭합니다.
  2. ExtraHopHttpStarter라는 함수를 클릭합니다.
  3. 함수 URL 가져오기로 이동하고 기본값(함수 키)에서 사용할 수 있는 함수 URL을 복사합니다.
  4. {functionname}을 복사한 함수 URL에서 ExtraHopDetectionsOrchestrator로 바꿉니다.

2) Microsoft Sentinel 연결 구성 및 RevealX에서 웹후크 페이로드 조건 지정

ExtraHop 시스템에서 Microsoft Sentinel 통합을 구성하여 Microsoft Sentinel 및 ExtraHop RevealX 간의 연결을 설정하고 웹후크 데이터를 Microsoft Sentinel 보내는 검색 알림 규칙을 만듭니다. 자세한 지침은 Microsoft Sentinel SIEM과 ExtraHop RevealX 통합을 참조하세요.

알림 규칙이 구성되고 Microsoft Sentinel 웹후크 데이터를 수신하면 함수 앱이 트리거되고 Log Analytics 작업 영역 사용자 지정 테이블에서 ExtraHop 검색을 볼 수 있습니다. 데이터의 정규화된 보기 에 ExtraHopDetections 파서 함수를 사용합니다.



F5 BIG-IP

지원:F5 네트워크

F5 방화벽 커넥터를 사용하면 F5 로그를 Microsoft Sentinel 쉽게 연결하고, 대시보드를 보고, 사용자 지정 경고를 만들고, 조사를 개선할 수 있습니다. 이렇게 하면 organization 네트워크에 대한 더 많은 인사이트를 제공하고 보안 작업 기능을 개선합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
F5Telemetry_LTM_CL 아니요 아니요
F5Telemetry_system_CL
F5Telemetry_ASM_CL 아니요 아니요

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

F5 BIGIP 구성 및 연결

F5 BIGIP를 연결하려면 JSON 선언을 시스템의 API 엔드포인트에 게시해야 합니다. 이 작업을 수행하는 방법에 대한 지침은 F5 BGIP를 Microsoft Sentinel 통합을 참조하세요.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>



Feedly IoC

지원:Feedly Inc.

Feedly IoC 데이터 커넥터는 Feedly API에서 Microsoft Sentinel IoC(손상 지표)를 수집하는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
feedly_indicators_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • 피드 API 액세스: Feedly API에 액세스해야 합니다. 수집하려는 IoC 스트림에 액세스할 수 있는 Feedly API 토큰이 필요합니다. 에서 API 토큰 생성 https://feedly.com/i/team/api

설치 지침:

Feedly에 연결하여 Microsoft Sentinel IoC 수집 시작

  1. 으로 https://feedly.com/i/team/api 이동하여 커넥터에 대한 새 API 토큰을 생성합니다.
  2. Sentinel 커넥터 페이지에서 Feedly API 키 및 Stream ID를 제공합니다. 그런 다음"연결"을 클릭합니다.
  • Feedly API 키: (Feedly API 토큰 입력)
  • 피드 Stream ID: (streamId1,streamId2,streamId3)
  • 연결 사용/사용 안 함



플레어 푸시 커넥터

지원자:플레어

플레어 커넥터는 플레어에서 Microsoft Sentinel 위협 인텔리전스 및 노출 데이터를 수집하는 기능을 제공합니다. 플레어는 유출된 자격 증명, 노출된 클라우드 버킷, 다크웹 멘션 등을 포함하여 인적 오류 또는 악의적인 공격으로 인해 공개적으로 사용할 수 있는 회사의 디지털 자산을 식별합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
FireworkV2_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Microsoft Entra: Microsoft Entra ID 앱 등록을 만들 수 있는 권한입니다.
  • Microsoft Azure: DCR(데이터 수집 규칙)에 대한 모니터링 메트릭 게시자 역할을 할당할 수 있는 권한입니다.
  • 플레어: 플레어에서 Microsoft Sentinel 통합을 구성할 수 있는 권한입니다.

설치 지침:

1. ARM 리소스 만들기 및 필요한 권한 제공

이 커넥터를 사용하면 Flare이 위협 노출 데이터를 Microsoft Sentinel 보낼 수 있습니다. 플레어에서 데이터 전달을 사용하도록 설정하면 원시 이벤트 데이터가 Microsoft Sentinel 수집 API로 안전하게 전송됩니다.

Entra 애플리케이션을 사용하여 자동화된 구성 및 보안 데이터 수집 "배포"를 클릭하면 Log Analytics 테이블과 DCR(데이터 수집 규칙)이 만들어집니다. 그런 다음, Entra 애플리케이션을 만들고, DCR을 연결하고, 애플리케이션에 입력한 비밀을 설정합니다. 이 설정을 사용하면 Entra 토큰을 사용하여 데이터를 DCR로 안전하게 보낼 수 있습니다.

2. Microsoft Sentinel 로그를 보내도록 플레어 구성

다음 매개 변수를 사용하여 작업 영역으로 로그를 보내도록 Flare을 구성합니다.

  • Entra 애플리케이션(클라이언트) ID: <설치 시 제공되는 변수 값>
  • Entra 디렉터리(테넌트) ID: <설치 시 제공되는 변수 값>
  • Entra 앱 등록 비밀: <설치 시 제공되는 변수 값>
  • 로그 수집 URL: <설치 시 제공되는 변수 값>

3. 플레어에서 경고 채널 구성

organization 관리자는 플레어에서 경고 채널을 구성하여 데이터를 Sentinel 보낼 수 있습니다.

  1. 플레어에서 인증
  2. 경고 페이지에 액세스하여 새 경고 채널을 만듭니다.
  3. 'Microsoft Sentinel'을 선택하고 위의 필드를 양식에 복사합니다.

자세한 내용은 플레어 설명서를 참조하세요.



Forcepoint DLP

지원자:커뮤니티

Forcepoint DLP(데이터 손실 방지) 커넥터를 사용하면 실시간으로 Forcepoint DLP에서 Microsoft Sentinel DLP 인시던트 데이터를 자동으로 내보낼 수 있습니다. 이렇게 하면 사용자 활동 및 데이터 손실 인시던트에 대한 가시성이 향상되고, Azure 워크로드 및 기타 피드의 데이터와 더 많은 상관 관계를 설정할 수 있으며, Microsoft Sentinel 내 통합 문서로 모니터링 기능이 향상됩니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ForcepointDLPEvents_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

설치 지침:

Microsoft Sentinel 대한 Forcepoint DLP 설명서의 단계별 지침에 따라 이 커넥터를 구성합니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>



Forescout

지원:Microsoft Corporation

Forescout 데이터 커넥터는 Forescout 이벤트를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 Forescout 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ForescoutEvent 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

설치 지침:

참고: 이 데이터 커넥터는 kusto 함수를 기반으로 하는 파서가 Microsoft Sentinel 솔루션과 함께 배포된 예상 ForescoutEvent와 같이 작동하도록 합니다.

참고: 이 데이터 커넥터는 Forescout Syslog 플러그 인 버전 v3.6을 사용하여 개발되었습니다.

1. Linux 또는 Windows용 에이전트 설치 및 온보딩

Forescout 로그가 전달되는 서버에 에이전트를 설치합니다.

Linux 또는 Windows 서버에 배포된 Forescout Server의 로그는 Linux 또는 Windows 에이전트에서 수집됩니다.

Linux 에이전트를 설치할 위치를 선택합니다.

Azure Linux Virtual Machine에 에이전트 설치

에이전트를 설치할 컴퓨터를 선택한 다음 연결을 클릭합니다.

  • 에이전트 설치: <설치 시 제공되는 변수 값>

비 Azure Linux 컴퓨터에 에이전트 설치

관련 컴퓨터에서 에이전트를 다운로드하고 지침을 따릅니다.

  • 에이전트 설치: <설치 시 제공되는 변수 값>

Windows 에이전트를 설치할 위치를 선택합니다.

Azure Windows Virtual Machine에 에이전트 설치

에이전트를 설치할 컴퓨터를 선택한 다음 연결을 클릭합니다.

  • 에이전트 설치: <설치 시 제공되는 변수 값>

Azure 아닌 Windows 컴퓨터에 에이전트 설치

관련 컴퓨터에서 에이전트를 다운로드하고 지침을 따릅니다.

  • 에이전트 설치: <설치 시 제공되는 변수 값>

2. 수집할 로그 구성

수집하려는 시설 및 해당 심각도를 구성합니다.

  1. 작업 영역 고급 설정 구성에서 데이터를 선택한 다음 Syslog를 선택합니다.
  2. 내 컴퓨터에 아래 구성 적용을 선택하고 시설 및 심각도를 선택합니다.
  3. 저장을 클릭합니다.
  • 에이전트 설치: <설치 시 제공되는 변수 값>

3. Forescout 이벤트 전달 구성

아래 구성 단계에 따라 Forescout 로그를 Microsoft Sentinel.

  1. 구성할 어플라이언스 를 선택합니다.
  2. 다음 지침에 따라 Forescout 플랫폼에서 syslog 서버로 경고를 전달합니다.
  3. Syslog 트리거 탭에서 설정을 구성합니다.



Forescout 호스트 속성 모니터

지원:Microsoft Corporation

Forescout 호스트 속성 모니터 커넥터를 사용하면 forescout 플랫폼의 호스트 속성을 Microsoft Sentinel 연결하여 사용자 지정 인시던트 보기, 만들기 및 조사를 개선할 수 있습니다. 이렇게 하면 organization 네트워크에 대한 더 많은 인사이트를 제공하고 보안 작업 기능을 개선합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ForescoutHostProperties_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Forescout 플러그 인 요구 사항: Forescout Microsoft Sentinel 플러그 인이 Forescout 플랫폼에서 실행되고 있는지 확인하세요.

설치 지침:

Forescout Microsoft Sentinel 플러그 인을 구성하는 방법에 대한 지침은 Forescout 설명서 포털(https://docs.forescout.com/bundle/sentinel-1-0-h)에서 제공됩니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>



Fortinet FortiNDR Cloud

지원 대상:Fortinet

Fortinet FortiNDR Cloud 데이터 커넥터는 FortiNDR Cloud API를 사용하여 Fortinet FortiNDR Cloud 데이터를 Microsoft Sentinel 수집하는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
FncEventsSuricata_CL 아니요 아니요
FncEventsObservation_CL 아니요 아니요
FncEventsDetections_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • MetaStream 자격 증명: 이벤트 데이터를 검색하려면 AWS 액세스 키 ID, AWS 비밀 액세스 키, FortiNDR 클라우드 계정 코드 가 필요합니다.
  • API 자격 증명: 검색 데이터를 검색하려면 FortiNDR Cloud API 토큰, FortiNDR 클라우드 계정 UUID 가 필요합니다.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 FortiNDR Cloud API에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

참고: 이 커넥터는 Kusto 함수를 기반으로 하는 파서 를 사용하여 필드를 정규화합니다. 다음 단계에 따라 Kusto 함수 별칭 Fortinet_FortiNDR_Cloud 만듭니다.

1단계 - Fortinet FortiNDR 클라우드 로그 컬렉션에 대한 구성 단계

공급자는 Azure 함수가 성공적으로 인증하고, 권한 부여 키 또는 토큰을 가져오고, 어플라이언스 로그를 Microsoft Sentinel 끌어올 수 있도록 'PROVIDER NAME APPLICATION NAME' API 엔드포인트를 구성하는 자세한 단계를 제공하거나 링크해야 합니다.

2단계 - 커넥터 및 연결된 Azure 함수를 배포하려면 다음 두 가지 배포 옵션 중 하나를 선택합니다.

중요: Fortinet FortiNDR Cloud 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)와 FortiNDR Cloud API 자격 증명(FortiNDR Cloud 계정 관리에서 사용 가능)을 쉽게 사용할 수 있습니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

ARM(Azure Resource Manager) 템플릿

Fortinet FortiNDR Cloud 커넥터의 자동화된 배포에 이 메서드를 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다(리소스 그룹과 동일한 위치를 사용하고 위치가 Flex 소비를 지원하는지 확인합니다.

  3. 작업 영역 ID, 작업 영역 키, AwsAccessKeyId, AwsSecretAccessKey 및/또는 기타 필수 필드를 입력합니다.

  4. 만들기를 클릭하여 배포합니다.



Fortra Agari 데이터 커넥터(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

Fortra Agari 데이터 커넥터를 사용하면 Fortra Agari API의 로그를 Microsoft Sentinel 수집할 수 있습니다. 이 커넥터는 BP(Agari Brand Protection), APD(피싱 방어) 및 APR(피싱 응답) 제품과 통합됩니다. 효율적인 쿼리 실행을 위해 DCR 기반 수집 시간 변환을 지원합니다. 자세한 내용은 Agari API 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
AgariBPAlertsLog_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

설치 지침:

Agari API에 대한 구성 단계

아래 지침에 따라 Agari API 자격 증명을 가져옵니다.

  1. API URL을 검색하여 Agari 콘솔에 로그인하고 API 섹션으로 이동합니다. 기본 API URL은 입니다. https://api.agari.com

  2. 클라이언트 자격 증명 검색 Agari 계정의 API 자격 증명 섹션에서 클라이언트 ID 및 클라이언트 암호를 가져옵니다. 다른 Agari 제품(브랜드 보호, 피싱 방어, 피싱 응답)에는 별도의 API 자격 증명이 필요할 수 있습니다.

  3. 데이터 스트림 수집할 Agari 데이터 스트림 선택을 선택합니다. 구독 및 요구 사항에 따라 하나 이상의 스트림을 선택할 수 있습니다.

  • 기본 API URL: (https://api.agari.com)
  • 클라이언트 ID: (클라이언트 ID)
  • 클라이언트 암호: (클라이언트 암호)
  • 연결 사용/사용 안 함



주둔지 ULTRA 원격 로그(Azure Functions 사용)

지원:주둔지

주둔지 ULTRA 원격 로그 커넥터를 사용하면 주둔지 ULTRA 원격 로그를 Microsoft Sentinel 수집할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Garrison_ULTRARemoteLogs_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Garrison ULTRA: 이 데이터 커넥터를 사용하려면 활성 Garrison ULTRA 라이선스가 있어야 합니다.

설치 지침:

배포 - ARM(Azure Resource Manager) 템플릿

이러한 단계에서는 ARM Tempate를 사용하여 Garrison ULTRA Remote Logs 데이터 커넥터의 자동화된 배포를 간략하게 설명합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    portal.azure.com

  2. 리소스 그룹, Microsoft Sentinel 작업 영역 및 수집 구성과 같은 필수 세부 정보 제공

참고: 이러한 리소스를 배포하기 위해 새 리소스 그룹을 만드는 것이 좋습니다. 3. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다. 4. 구매 를 클릭하여 배포합니다.



GCP 클라우드 실행(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

GCP Cloud Run 데이터 커넥터는 Pub/Sub를 사용하여 클라우드 실행 요청 로그를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 클라우드 실행 개요 를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
GCPCloudRun

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

**GCP Cloud Run을 Microsoft Sentinel 연결 **

  • 테넌트 ID: GCP 환경 내에서 Terraform 구성의 입력으로 사용되는 고유 식별자입니다.: <설치 시 제공되는 변수 값>
  1. Google 클라우드 콘솔에서 클라우드 실행 로그를 사용하도록 설정하고, 이전에 사용하도록 설정하지 않은 경우 클라우드 로깅을 사용하도록 설정하고, 변경 내용을 저장합니다. 로깅을 사용하도록 설정하여 Cloud Run 서비스를 배포하거나 업데이트합니다.

참조 링크: 설명서에 연결

  1. 새 수집기 연결 Microsoft Sentinel GCP 클라우드 실행 요청 로그를 사용하도록 설정하려면 새 수집기 추가 단추를 클릭하고 팝업에서 필요한 정보를 제공하고 연결을 클릭합니다.



GCP Cloud SQL(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

GCP Cloud SQL 데이터 커넥터는 GCP Cloud SQL API를 사용하여 감사 로그를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 GCP 클라우드 SQL 감사 로그 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
GCPCloudSQL

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

GCP Cloud SQL을 Microsoft Sentinel 연결

  • 테넌트 ID: GCP 환경 내의 terraform 구성에서 입력으로 사용되는 고유 식별자입니다.: <설치 시 제공되는 변수 값>

  1. Google Cloud Console에서 이전에 사용하도록 설정하지 않은 경우 Cloud SQL API를 사용하도록 설정하고 변경 내용을 저장합니다.

  2. 새 수집기 연결 Microsoft Sentinel GCP 클라우드 SQL 로그를 사용하도록 설정하려면 새 수집기 추가 단추를 클릭하고 컨텍스트 창에서 필요한 정보를 입력하고 연결을 클릭합니다.



GCP Pub/Sub 감사 로그

지원:Microsoft Corporation

Microsoft Sentinel 커넥터에서 수집된 GCP(Google Cloud Platform) 감사 로그를 사용하면 관리자 활동 로그, 데이터 액세스 로그 및 액세스 투명성 로그의 세 가지 유형의 감사 로그를 캡처할 수 있습니다. Google 클라우드 감사 로그는 실무자가 GCP(Google Cloud Platform) 리소스에서 액세스를 모니터링하고 잠재적 위협을 감지하는 데 사용할 수 있는 내역을 기록합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
GCPAuditLogs

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

  • 테넌트 ID: GCP 환경 내에서 Terraform 구성의 입력으로 사용되는 고유 식별자입니다.: <설치 시 제공되는 변수 값>
  1. 새 수집기 연결 Microsoft Sentinel GCP 감사 로그를 사용하도록 설정하려면 새 수집기 추가 단추를 클릭하고 컨텍스트 창에서 필요한 정보를 입력하고 연결을 클릭합니다.



GCP Pub/Sub Load Balancer 로그(코드리스 커넥터 프레임워크를 통해).

지원:Microsoft Corporation

GCP(Google Cloud Platform) Load Balancer 로그는 네트워크 트래픽에 대한 자세한 인사이트를 제공하여 인바운드 및 아웃바운드 활동을 모두 캡처합니다. 이러한 로그는 액세스 패턴을 모니터링하고 GCP 리소스에서 잠재적인 보안 위협을 식별하는 데 사용됩니다. 또한 이러한 로그에는 WAF(GCP Web Application Firewall) 로그가 포함되어 위험을 효과적으로 감지하고 완화하는 기능이 향상됩니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
GCPLoadBalancerLogs_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

  • 테넌트 ID: GCP 환경 내에서 Terraform 구성의 입력으로 사용되는 고유 식별자입니다.: <설치 시 제공되는 변수 값>
  1. Load Balancer 로그 사용 GCP 계정에서 Load Balancer 섹션으로 이동합니다. 여기서 [백 엔드 서비스] -> [편집]을 사용할 수 있습니다. [로깅] 섹션의 [백 엔드 서비스]에 있으면 [로그 사용] 확인란을 사용하도록 설정합니다. 규칙을 열면 로그 섹션 아래의 토글 단추를 켜기로 전환하고 변경 내용을 저장합니다.

자세한 내용은 설명서에 연결

  1. 새 수집기 연결 Microsoft Sentinel GCP Load Balancer 로그를 사용하도록 설정하려면 새 수집기 추가 단추를 클릭하고 컨텍스트 창에서 필요한 정보를 입력하고 연결을 클릭합니다.



GCP Pub/Sub VPC 흐름 로그(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

GCP(Google Cloud Platform) VPC 흐름 로그를 사용하면 VPC 수준에서 네트워크 트래픽 활동을 캡처할 수 있으므로 액세스 패턴을 모니터링하고, 네트워크 성능을 분석하고, GCP 리소스에서 잠재적 위협을 검색할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
GCPVPCFlow

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

  • 테넌트 ID: GCP 환경 내에서 Terraform 구성의 입력으로 사용되는 고유 식별자입니다.: <설치 시 제공되는 변수 값>
  1. VPC 흐름 로그 사용 GCP 계정에서 VPC 네트워크 섹션으로 이동합니다. 로깅 섹션에서 모니터링할 서브넷을 선택하고 흐름 로그를 사용하도록 설정합니다.

자세한 내용은 Google Cloud 설명서

  1. 새 수집기 연결 Microsoft Sentinel GCP VPC 흐름 로그를 사용하도록 설정하려면 새 수집기 추가 단추를 클릭하고 컨텍스트 창에서 필요한 정보를 입력하고 연결을 클릭합니다.



기가몬 AMX 커넥터

지원자:Gigamon

Gigamon 커넥터는 Microsoft Sentinel Gigamon에서 원시 이벤트 데이터를 읽는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
GigamonV2_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft Entra: Microsoft Entra ID 앱 등록을 만들 수 있는 권한입니다. 일반적으로 Entra ID 애플리케이션 개발자 역할 이상이 필요합니다.
  • Microsoft Azure: DCR(데이터 수집 규칙)에 대한 모니터링 메트릭 게시자 역할을 할당할 수 있는 권한입니다. 일반적으로 AZURE RBAC 소유자 또는 사용자 액세스 관리자 역할이 필요합니다.

설치 지침:

1. ARM 리소스 만들기 및 필요한 권한 제공

이 커넥터는 Gigamon CCF가 Microsoft Analytics 작업 영역에서 사용하는 테이블에서 데이터를 읽습니다. 데이터 전달 옵션이 Gigamon CCF에서 사용하도록 설정된 경우 원시 이벤트 데이터가 Microsoft Sentinel 수집 API로 전송됩니다.

Entra 애플리케이션을 사용하여 자동화된 구성 및 보안 데이터 수집 "배포"를 클릭하면 Log Analytics 테이블 및 DCR(데이터 수집 규칙)의 생성이 트리거됩니다. 그런 다음, Entra 애플리케이션을 만들고, DCR을 연결하고, 애플리케이션에 입력한 비밀을 설정합니다. 이 설정을 사용하면 Entra 토큰을 사용하여 데이터를 DCR로 안전하게 보낼 수 있습니다.

2. 작업 영역에 로그 푸시

다음 매개 변수를 사용하여 작업 영역으로 로그를 보내도록 컴퓨터를 구성합니다.

  • 테넌트 ID(디렉터리 ID): <설치 시 제공되는 변수 값>
  • Entra 앱 등록 애플리케이션 ID: <설치 시 제공되는 변수 값>
  • Entra 앱 등록 비밀: <설치 시 제공되는 변수 값>
  • 데이터 수집 엔드포인트 Uri: <설치 시 제공되는 변수 값>
  • 데이터 수집 규칙 변경할 수 없는 ID: <설치 시 제공되는 변수 값>
  • 활동 Stream 이름: <설치 시 제공되는 변수 값>
  • 위협 Stream 이름: <설치 시 제공되는 변수 값>



GitHub(웹후크 사용)

지원:Microsoft Corporation

GitHub 웹후크 데이터 커넥터는 GitHub 웹후크 이벤트를 사용하여 GitHub 구독 이벤트를 Microsoft Sentinel 수집하는 기능을 제공합니다. 커넥터는 잠재적인 보안 위험을 검사하고, 팀의 공동 작업 사용을 분석하고, 구성 문제를 진단하는 데 도움이 되는 이벤트를 Microsoft Sentinel 수 있는 기능을 제공합니다.

참고: Github 감사 로그를 수집하려는 경우 "데이터 커넥터" 갤러리에서 GitHub Enterprise 감사 로그 커넥터를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
githubscanaudit_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.

설치 지침:

참고: 이 커넥터는 http 트리거 기반 Azure 함수를 기반으로 빌드되었습니다. 또한 웹후크 기능을 통해 github가 연결되는 엔드포인트를 제공하고 구독된 이벤트를 Microsoft Sentinel 게시합니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

다음 두 배포 옵션 중 하나를 선택하여 커넥터 및 연결된 Azure 함수를 배포합니다.

중요: Github Webhook 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키를 갖습니다(다음에서 복사할 수 있음).

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

옵션 1 - ARM(Azure Resource Manager) 템플릿

ARM Tempate를 사용하여 GitHub 데이터 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

참고: 동일한 리소스 그룹 내에서는 Windows 및 Linux 앱을 동일한 지역에 혼합하여 배포할 수 없습니다. 3. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다. 5. 구매 를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions 사용하여 GitHub 웹후크 데이터 커넥터를 수동으로 배포합니다(Visual Studio Code 통해 배포).

1단계 - 함수 앱 배포

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.
  2. 함수 앱 수동 배포 지침에 따라 VSCode를 사용하여 Azure Functions 앱을 배포합니다.
  3. 함수 앱을 성공적으로 배포한 후 구성을 위한 다음 단계를 수행합니다.

2단계 - 함수 앱 구성

  1. 함수 앱 구성에 대한 Azure 포털로 이동합니다.
  2. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.
  3. 애플리케이션 설정 탭에서 새 애플리케이션 설정을 선택합니다.
  4. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. WorkspaceID WorkspaceKey logAnalyticsUri(선택 사항) - logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 값을 형식https://<CustomerId>.ods.opinsights.azure.us으로 지정합니다.
  5. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.

배포 후 단계

1단계 - Azure 함수 URL을 가져오려면

  1. Azure 함수 개요 페이지로 이동하고 왼쪽 블레이드에서 "함수"를 클릭합니다.
  2. "GithubwebhookConnector"라는 함수를 클릭합니다.
  3. "GetFunctionurl"로 이동하여 함수 URL을 복사합니다.

2단계 - Github 조직에 웹후크 구성

  1. GitHub로 이동하여 계정을 열고 "조직"을 클릭합니다.
  2. 설정을 클릭합니다.
  3. "웹후크"를 클릭하고 페이로드 URL 텍스트 상자에 위의 1단계에서 복사한 함수 앱 URL을 입력합니다.
  4. 콘텐츠 형식을 "application/json"으로 선택합니다.
  5. 이벤트 구독 및 "웹후크 추가"를 클릭합니다.

이제 github Webhook 구성을 완료했습니다. Github 이벤트가 트리거되고 20~30분 후(LogAnalytics가 처음으로 리소스를 스핀업하는 데 문제가 있으므로) Github의 모든 트랜잭션 이벤트를 "githubscanaudit_CL"라는 LogAnalytics 작업 영역 테이블로 볼 수 있어야 합니다.

자세한 내용은 여기를 클릭하세요.



GitHub Enterprise 감사 로그(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

GitHub 감사 로그 커넥터는 GitHub 로그를 Microsoft Sentinel 수집하는 기능을 제공합니다. GitHub 감사 로그를 Microsoft Sentinel 연결하면 통합 문서에서 이 데이터를 보고, 이를 사용하여 사용자 지정 경고를 만들고, 조사 프로세스를 개선할 수 있습니다.

참고: GitHub 구독 이벤트를 Microsoft Sentinel 수집하려는 경우 "데이터 커넥터" 갤러리에서 GitHub(웹후크 사용) 커넥터를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
GitHubAuditLogsV2_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • GitHub API 개인용 액세스 토큰: 엔터프라이즈 감사 로그에 대한 폴링을 사용하도록 설정하려면 인증된 사용자가 엔터프라이즈 관리자이고 scope GitHub 개인용 액세스 토큰(클래식)read:audit_log이 있는지 확인합니다.
  • GitHub Enterprise 유형: 이 커넥터는 GitHub Enterprise Cloud에서만 작동합니다. GitHub Enterprise Server를 지원하지 않습니다.

설치 지침:

GitHub 엔터프라이즈 수준 감사 로그를 Microsoft Sentinel 연결

GitHub 감사 로그를 사용하도록 설정합니다. 이 가이드에 따라 개인용 액세스 토큰을 만들거나 찾습니다.

  • 데이터 커넥터 그리드(포털에서 구성)



Google ApigeeX(Codeless Connector Framework를 통해)

지원:Microsoft Corporation

Google ApigeeX 데이터 커넥터는 Google Apigee API를 사용하여 감사 로그를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 Google Apigee API 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
GCPApigee

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

**Google ApigeeX를 Microsoft Sentinel 연결 **

  • 테넌트 ID: GCP 환경 내에서 Terraform 구성의 입력으로 사용되는 고유 식별자입니다.: <설치 시 제공되는 변수 값>

  1. ApigeeX 로그 사용 Google 클라우드 콘솔에서 이전에 사용하도록 설정하지 않은 경우 Apigee API를 사용하도록 설정하고 변경 내용을 저장합니다.

  2. 새 수집기 연결 Microsoft Sentinel ApigeeX 로그를 사용하도록 설정하려면 새 수집기 추가 단추를 클릭하고 팝업에 필요한 정보를 제공하고 연결을 클릭합니다.



Google Cloud Platform CDN(Codeless Connector Framework를 통해)

지원:Microsoft Corporation

Google Cloud Platform CDN 데이터 커넥터는 컴퓨팅 엔진 API를 사용하여 클라우드 CDN 감사 로그 및 클라우드 CDN 트래픽 로그를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 제품 개요 문서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
GCPCDN

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

**GCP CDN을 Microsoft Sentinel 연결 **

  • 테넌트 ID: GCP 환경 내에서 Terraform 구성의 입력으로 사용되는 고유 식별자입니다.: <설치 시 제공되는 변수 값>
  1. CDN 로그 사용 Google 클라우드 콘솔에서 이전에 사용하도록 설정하지 않은 경우 클라우드 로깅을 사용하도록 설정하고 변경 내용을 저장합니다. 클라우드 CDN 섹션으로 이동하고 원본 추가를 클릭하여 아래에 제공된 링크에 따라 백 엔드를 만듭니다.

참조 링크: 설명서에 연결

  1. 새 수집기 연결 Microsoft Sentinel GCP 클라우드 CDN 로그를 사용하도록 설정하려면 새 수집기 추가 단추를 클릭하고 팝업에서 필요한 정보를 제공하고 연결을 클릭합니다.



Google Cloud Platform Cloud IDS(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

Google Cloud Platform IDS 데이터 커넥터는 Google 클라우드 IDS API를 사용하여 클라우드 IDS 트래픽 로그, 위협 로그 및 감사 로그를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 클라우드 IDS API 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
GCPIDS

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

**GCP 클라우드 IDS를 Microsoft Sentinel 연결 **

  • 테넌트 ID: GCP 환경 내에서 Terraform 구성의 입력으로 사용되는 고유 식별자입니다.: <설치 시 제공되는 변수 값>
  1. IDS 로그 사용 Google 클라우드 콘솔에서 이전에 사용하도록 설정하지 않은 경우 클라우드 IDS API를 사용하도록 설정합니다. IDS 엔드포인트를 만들고 변경 내용을 저장합니다.

IDS 엔드포인트를 만들고 구성하는 방법에 대한 자세한 내용은 설명서에 연결

  1. 새 수집기 연결 Microsoft Sentinel GCP IDS 로그를 사용하도록 설정하려면 새 수집기 추가 단추를 클릭하고 팝업에서 필요한 정보를 제공하고 연결을 클릭합니다.



Google Cloud Platform Cloud Monitoring(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

Google Cloud Platform Cloud Monitoring 데이터 커넥터는 Google Cloud Monitoring API를 사용하여 Google Cloud의 모니터링 로그를 Microsoft Sentinel 수집합니다. 자세한 내용은 클라우드 모니터링 API 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
GCPMonitoring

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

Google Cloud Platform Cloud Monitoring을 Microsoft Sentinel 연결

  1. GCP 모니터링 통합 설정 GCP 클라우드 모니터링에서 Google 클라우드의 프로젝트 ID를 Sentinel 로그를 가져오려면 필요합니다.

  2. Google Cloud Monitoring에서 로그를 수집하려면 메트릭 유형을 선택하여 필요한 메트릭 유형을 제공합니다.

자세한 내용은 Google 클라우드 메트릭을 참조하세요.

  1. OAuth 자격 증명 Oauth 클라이언트 ID 및 클라이언트 암호를 가져오는 것은 이 설명서를 참조하세요.

  2. 연결 Sentinel Google Cloud에서 Microsoft Sentinel 모니터링 로그를 끌어올리려면 연결을 클릭합니다.

  • GCP 프로젝트 ID:
  • 메트릭 유형:
  • 데이터 커넥터 그리드(포털에서 구성)



Google Cloud Platform Compute Engine(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

Google Cloud Platform Compute Engine 데이터 커넥터는 Google Cloud Compute Engine API를 사용하여 컴퓨팅 엔진 감사 로그를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 Cloud Compute Engine API 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
GCPComputeEngine

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

**GCP 컴퓨팅 엔진을 Microsoft Sentinel 연결 **

  • 테넌트 ID: GCP 환경 내에서 Terraform 구성의 입력으로 사용되는 고유 식별자입니다.: <설치 시 제공되는 변수 값>

  1. 컴퓨팅 엔진 로그 사용 Google 클라우드 콘솔에서 이전에 사용하도록 설정하지 않은 경우 컴퓨팅 엔진 API를 사용하도록 설정하고 변경 내용을 저장합니다.

  2. 새 수집기 연결 Microsoft Sentinel 컴퓨팅 엔진 로그를 사용하도록 설정하려면 새 수집기 추가 단추를 클릭하고 팝업에 필요한 정보를 제공하고 연결을 클릭합니다.



Google Cloud Platform DNS(Codeless Connector Framework를 통해)

지원:Microsoft Corporation

Google Cloud Platform DNS 데이터 커넥터는 Google Cloud DNS API를 사용하여 클라우드 DNS 쿼리 로그 및 클라우드 DNS 감사 로그를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 클라우드 DNS API 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
GCPDNS

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

**GCP DNS를 Microsoft Sentinel 연결 **

참고: Azure 함수와 CCF 커넥터가 동시에 실행되는 경우 중복 데이터가 테이블에 채워집니다.

  • 테넌트 ID: GCP 환경 내에서 Terraform 구성의 입력으로 사용되는 고유 식별자입니다.: <설치 시 제공되는 변수 값>
  1. DNS 로그 사용 Google 클라우드 콘솔에서 클라우드 DNS 섹션으로 이동합니다. 이전에 사용하도록 설정하지 않은 경우 클라우드 로깅을 사용하도록 설정하고 변경 내용을 저장합니다. 여기서는 기존 영역을 관리하거나 새 영역을 만들고 모니터링할 영역에 대한 정책을 만들 수 있습니다.

자세한 내용은 설명서에 연결

  1. 새 수집기 연결 Microsoft Sentinel GCP DNS 로그를 사용하도록 설정하려면 새 수집기 추가 단추를 클릭하고 팝업에서 필요한 정보를 제공하고 연결을 클릭합니다.



Google Cloud Platform IAM(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

Google Cloud Platform IAM 데이터 커넥터는 Google IAM API를 사용하여 Google Cloud 내의 IAM(ID 및 액세스 관리) 활동과 관련된 감사 로그를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 GCP IAM API 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
GCPIAM

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

GCP IAM을 Microsoft Sentinel 연결

참고: Azure 함수와 CCF 커넥터가 모두 병렬로 실행되는 경우 중복 데이터가 테이블에 채워집니다.

  • 테넌트 ID: GCP 환경 내에서 Terraform 구성의 입력으로 사용되는 고유 식별자입니다.: <설치 시 제공되는 변수 값>
  1. IAM 로그를 사용하도록 설정하려면 GCP 계정에서 IAM 섹션으로 이동합니다. 여기에서 새 사용자를 만들거나 모니터링하려는 기존 사용자의 역할을 수정할 수 있습니다. 변경 내용을 저장해야 합니다.

자세한 내용은 설명서에 연결

  1. 새 수집기 연결 Microsoft Sentinel GCPIAM 로그를 사용하도록 설정하려면 새 수집기 추가 단추를 클릭하고 컨텍스트 창에서 필요한 정보를 입력하고 연결을 클릭합니다.



Google Cloud Platform NAT(Codeless Connector Framework를 통해)

지원:Microsoft Corporation

Google Cloud Platform NAT 데이터 커넥터는 컴퓨팅 엔진 API를 사용하여 클라우드 NAT 감사 로그 및 클라우드 NAT 트래픽 로그를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 제품 개요 문서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
GCPNATAudit
GCPNAT

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

**GCP NAT를 Microsoft Sentinel 연결 **

  • 테넌트 ID: GCP 환경 내에서 Terraform 구성의 입력으로 사용되는 고유 식별자입니다.: <설치 시 제공되는 변수 값>
  1. NAT 로그 사용 Google 클라우드 콘솔에서 이전에 사용하도록 설정하지 않은 경우 클라우드 로깅을 사용하도록 설정하고 변경 내용을 저장합니다. 클라우드 NAT 섹션으로 이동하고 원본 추가를 클릭하여 아래에 제공된 링크에 따라 백 엔드를 만듭니다.

참조 링크: 설명서에 연결

  1. 새 수집기 연결 Microsoft Sentinel GCP 클라우드 NAT 로그를 사용하도록 설정하려면 새 수집기 추가 단추를 클릭하고 팝업에서 필요한 정보를 제공하고 연결을 클릭합니다.



Google Cloud Platform Resource Manager(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

Google Cloud Platform Resource Manager 데이터 커넥터는 클라우드 Resource Manager API를 사용하여 관리 활동 및 데이터 액세스 감사 로그를 Microsoft Sentinel Resource Manager 수집하는 기능을 제공합니다. 자세한 내용은 제품 개요 문서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
GCPResourceManager

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

**GCP Resource Manager Microsoft Sentinel 연결 **

  • 테넌트 ID: GCP 환경 내에서 Terraform 구성의 입력으로 사용되는 고유 식별자입니다.: <설치 시 제공되는 변수 값>

  1. Resource Manager 로그 사용 Google 클라우드 콘솔에서 이전에 사용하도록 설정하지 않은 경우 클라우드 리소스 관리자 API를 사용하도록 설정하고 변경 내용을 저장합니다. 계정에 대한 organization 수준 IAM 권한이 있어야 리소스 계층 구조의 모든 로그를 볼 수 있습니다. 이 링크에 제공된 각 수준에서 IAM을 사용하여 액세스 제어에 대한 다양한 IAM 권한에 대한 문서 링크를 참조할 수 있습니다.

  2. 새 수집기 연결 Microsoft Sentinel GCP Resource Manager 로그를 사용하도록 설정하려면 새 수집기 추가 단추를 클릭하고 팝업에서 필요한 정보를 제공하고 연결을 클릭합니다.



Google Kubernetes 엔진(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

GKE(Google Kubernetes Engine) 로그를 사용하면 클러스터 활동, 워크로드 동작 및 보안 이벤트를 캡처할 수 있으므로 Kubernetes 워크로드를 모니터링하고, 성능을 분석하고, GKE 클러스터에서 잠재적 위협을 검색할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
GKEAudit

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

  • 테넌트 ID: GCP 환경 내에서 Terraform 구성의 입력으로 사용되는 고유 식별자입니다.: <설치 시 제공되는 변수 값>

  1. GCP 계정에서 Kubernetes 엔진 로깅 사용, Kubernetes 엔진 섹션으로 이동합니다. 클러스터에 클라우드 로깅을 사용하도록 설정합니다. 클라우드 로깅 내에서 API 서버, 스케줄러, 컨트롤러 관리자, HPA 의사 결정 및 애플리케이션 로그와 같이 수집하려는 특정 로그가 효과적인 모니터링 및 보안 분석을 위해 사용하도록 설정되어 있는지 확인합니다.

  2. 새 수집기 연결 Microsoft Sentinel GKE 로그를 사용하도록 설정하려면 새 수집기 추가 단추를 클릭하고 컨텍스트 창에서 필요한 정보를 입력하고 연결을 클릭합니다.



Google 보안 명령 센터

지원:Microsoft Corporation

GCP(Google Cloud Platform) 보안 명령 센터는 Sentinel 커넥터에서 수집한 Google Cloud용 포괄적인 보안 및 위험 관리 플랫폼입니다. 자산 인벤토리 및 검색, 취약성 및 위협 탐지, 위험 완화 및 수정과 같은 기능을 제공하여 organization 보안 및 데이터 공격 표면에 대한 인사이트를 얻을 수 있습니다. 이 통합을 통해 결과 및 자산과 관련된 작업을 보다 효과적으로 수행할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
GoogleCloudSCC

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

  1. GCP 환경 설정 토픽, 토픽에 대한 구독, 워크로드 ID 풀, 워크로드 ID 공급자 및 구독에서 가져와서 사용할 수 있는 권한이 있는 서비스 계정과 같은 GCP 리소스를 정의하고 구성해야 합니다. Terraform은 리소스를 만드는 IAM에 대한 API를 제공합니다. Terraform 스크립트에 연결합니다.
  • 테넌트 ID: GCP 환경 내에서 Terraform 구성의 입력으로 사용되는 고유 식별자입니다.: <설치 시 제공되는 변수 값>
  1. 새 수집기 연결 Microsoft Sentinel GCP SCC를 사용하도록 설정하려면 새 수집기 추가 단추를 클릭하고 컨텍스트 창에서 필요한 정보를 입력하고 연결을 클릭합니다.



Google 작업 영역 활동(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

Google 작업 영역 활동 데이터 커넥터는 Google 작업 영역 API에서 Microsoft Sentinel 활동 이벤트를 수집하는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
GoogleWorkspaceReports

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Google Workspace API 액세스: Oauth를 통해 Google Workspace 활동 API에 액세스해야 합니다.

설치 지침:

Google Workspace에 연결하여 Microsoft Sentinel 사용자 활동 로그 수집 시작

Google Reports API에 대한 구성 단계

  1. 작업 영역 관리 자격 증명https://console.cloud.google.com을 사용하여 Google 클라우드 콘솔에 로그인합니다.
  2. 검색 옵션(위쪽 가운데에서 사용 가능)을 사용하여 API & Services 검색
  3. API & Services ->Enabled API & Services에서 이 프로젝트에 관리 SDK API를 사용하도록 설정합니다.
  4. API & Services ->OAuth 동의 화면으로 이동합니다. 아직 구성되지 않은 경우 다음 단계를 사용하여 OAuth 동의 화면을 만듭니다.
    1. 앱 이름 및 기타 필수 정보를 제공합니다.
    2. 대상 그룹에 대한 사용자 유형으로 외부를 선택합니다.
  5. API & Services ->Credentials로 이동하여 OAuth 2.0 클라이언트 ID 만들기
    1. 위쪽에서 자격 증명 만들기를 클릭하고 Oauth 클라이언트 ID를 선택합니다.
    2. 애플리케이션 유형 드롭다운에서 웹 애플리케이션을 선택합니다.
    3. 웹앱에 적합한 이름을 제공하고 아래 양식의 리디렉션 URI를 권한 있는 리디렉션 URI로 추가합니다.
    4. 만들기를 클릭하면 클라이언트 ID 및 클라이언트 암호가 제공됩니다. 이러한 값을 복사하고 아래 구성 단계에서 사용합니다.
  6. Google 인증 플랫폼 ->데이터 액세스: 관리 SDK API scope 추가로 이동합니다.

Google Reports API oauth 액세스에 대한 단계를 구성합니다. 그런 다음, 아래에 필요한 정보를 제공하고 연결을 클릭합니다.

  • 데이터 커넥터 그리드(포털에서 구성)



GravityZone 데이터 커넥터

지원:Bitdefender SRL

이 커넥터를 사용하면 이벤트 푸시 서비스 API를 통해 Bitdefender GravityZoneMicrosoft Sentinel 간에 통합할 수 있습니다. 구성되면 모든 GravityZone 이벤트 형식을 테이블에 로그로 저장되는 Microsoft Sentinel 작업 영역으로 직접 스트리밍합니다GzSecurityEvents_CL.

EDR, XDR, 랜섬웨어 완화, 네트워크 샌드박싱 및 Exchange 맬웨어 이벤트와 같은 주요 이벤트 범주는 NRT GravityZone 인시던트 경고 분석 규칙을 통해 자동으로 상관 관계를 지정하고 인시던트를 생성할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
GzSecurityEvents_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Azure 앱 등록: 다음 세부 정보로 앱 등록을 Microsoft Entra 디렉터리(테넌트) ID, 애플리케이션(클라이언트) ID, 관리 서비스 주체 개체 ID(앱의 엔터프라이즈 애플리케이션 항목에서), 클라이언트 비밀(인증서 & 비밀에서 생성됨)을 유지합니다.
  • GravityZone 클라우드 계정: Event Push Service 엔드포인트에 대해 생성된 API 키가 있는 GravityZone Cloud 계정입니다.
  • 가이드를 읽어보세요. 이 단계별 문서에 따라 통합을 설정합니다. 고객 | 파트너

설치 지침:

  1. 아래 Azure 배포 단추를 클릭하고 필요한 매개 변수를 입력합니다.

aka.ms

  1. 데이터 수집 엔드포인트에서 gz-sentinel-dce로그 수집 URL 수집

  2. 데이터 수집 규칙에서 gz-sentinel-dcr변경할 수 없는 ID 수집

  3. GravityZone Cloud 계정으로 이동하여 내 계정으로 이동합니다 . 이벤트 푸시 서비스 권한이 있는 API 키를 만듭니 다.

  4. 이 문서를 사용하여 이벤트 푸시 서비스 설정을 구성합니다. 고객 | 파트너. 데이터 커넥터를 성공적으로 배포한 & GravityZone의 이벤트 푸시 서비스를 성공적으로 설정하면 시스템은 거의 실시간으로 활동 로그 데이터를 받게 됩니다. 데이터 전송과 Microsoft Sentinel 로그 섹션의 모양 사이에 짧은 지연이 발생할 수 있습니다.



GreyNoise 위협 인텔리전스

지원자:GreyNoise

이 데이터 커넥터는 하루에 한 번 GreyNoise 표시기를 다운로드하는 Azure 함수 앱을 설치하고 Microsoft Sentinel ThreatIntelIndicators 테이블에 삽입합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ThreatIntelIndicators 아니요

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • GreyNoise API 키: 여기에서 GreyNoise API 키를 검색 합니다.

설치 지침:

**아래 단계에 따라 GreyNoise 위협 인텔리전스를 Microsoft Sentinel 연결할 수 있습니다. **

다음 단계에서는 Azure AAD 애플리케이션을 만들고, GreyNoise API 키를 검색하고, 값을 Azure 함수 App Configuration 저장합니다.

1. GreyNoise 시각화 도우미에서 API 키를 검색합니다.

GreyNoise 시각화 도우미에서 API 키 생성 https://docs.greynoise.io/docs/using-the-greynoise-api

2. Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만들고 테넌트 ID 및 클라이언트 ID를 가져옵니다. 또한 Microsoft Sentinel instance 연결된 Log Analytics 작업 영역 ID를 가져옵니다(아래에 표시되어야 함).

여기의 지침에 따라 Azure AAD 앱을 만들고 클라이언트 ID 및 테넌트 ID를 저장합니다. /azure/sentinel/connect-threat-intelligence-upload-api#명령 참고: 5단계까지 기다렸다가 클라이언트 암호를 생성합니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>

3. AAD 애플리케이션에 Microsoft Sentinel 기여자 역할을 할당합니다.

여기에 있는 지침에 따라 Microsoft Sentinel 기여자 역할을 추가합니다. /azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application

4. 업로드 표시기 API에 대한 MS Graph API 액세스를 사용하도록 AAD 권한을 지정합니다.

다음 섹션에 따라 AAD 앱에 'ThreatIndicators.ReadWrite.OwnedBy' 권한을 추가합니다. /azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application. AAD 앱으로 돌아가서 방금 추가한 권한에 대한 관리자 동의를 부여해야 합니다. 마지막으로 '토큰 및 API' 섹션에서 클라이언트 비밀을 생성하고 저장합니다. 6단계에서 필요합니다.

5. 위협 인텔리전스 업로드 지표 API(미리 보기)를 포함하는 위협 인텔리전스(신규) 솔루션(v3.0.14 이상) 배포

이 솔루션은 Microsoft Sentinel Content Hub를 참조하고 Microsoft Sentinel instance 설치합니다. 이 단계에서는 구성을 수행할 필요가 없습니다.

6. Azure 함수 배포

Azure 배포 단추를 클릭합니다.

aka.ms

각 매개 변수에 대한 적절한 값을 입력합니다. GREYNOISE_CLASSIFICATIONS 매개 변수에 유효한 값은 무해하거나 악의적이거나 알 수 없는 값뿐이므로 쉼표로 구분해야 합니다.

7. Sentinel 표시기 보내기

6단계에 설치된 함수 앱은 하루에 한 번 GreyNoise GNQL API를 쿼리하고 STIX 2.1 형식에 있는 각 지표를 Microsoft 업로드 위협 인텔리전스 지표 API에 제출합니다. 다음 날 쿼리에서 찾을 수 없는 한 각 표시기가 생성 후 최대 24시간 내에 만료됩니다. 이 경우 TI 표시기 유효 시간이 24시간 더 연장되어 Microsoft Sentinel 활성 상태로 유지됩니다.

GreyNoise API 및 GNQL(GreyNoise 쿼리 언어)에 대한 자세한 내용은 여기를 클릭하세요.



Halcyon 커넥터

지원:Halcyon

Halcyon 커넥터는 Halcyon에서 Microsoft Sentinel 데이터를 보내는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
HalcyonEvents_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft Entra 권한 만들기: Microsoft Entra ID 앱 등록을 만들 수 있는 권한입니다. 일반적으로 Entra ID 애플리케이션 개발자 역할 이상이 필요합니다.
  • 역할 할당 권한: 모니터링 메트릭 게시자 역할을 DCR(데이터 수집 규칙)에 할당하는 데 필요한 쓰기 권한입니다. 일반적으로 리소스 그룹 수준에서 소유자 또는 사용자 액세스 관리자 역할이 필요합니다.

설치 지침:

1. ARM 리소스 만들기 및 필요한 권한 프로비전

이 커넥터는 데이터가 전달되는 경우 Halcyon이 Microsoft Analytics 작업 영역에서 사용하는 테이블에서 데이터를 읽습니다.

Entra 애플리케이션을 사용하여 자동화된 구성 및 보안 데이터 수집 "배포"를 클릭하면 Log Analytics 테이블 및 DCR(데이터 수집 규칙)의 생성이 트리거됩니다. 그런 다음, Entra 애플리케이션을 만들고, DCR을 연결하고, 애플리케이션에 입력한 비밀을 설정합니다. 이 설정을 사용하면 Entra 토큰을 사용하여 데이터를 DCR로 안전하게 보낼 수 있습니다.

2. Halcyon 플랫폼에서 통합 구성

다음 매개 변수를 사용하여 Halcyon Platform에서 통합을 구성합니다.

  • 디렉터리 ID(테넌트 ID): <설치 시 제공되는 변수 값>
  • Entra 앱 등록 애플리케이션 ID(클라이언트 ID): <설치 시 제공되는 변수 값>
  • Entra 앱 등록 비밀(자격 증명 비밀)(이 비밀은 이 페이지를 종료한 후 표시되지 않음): <설치 시 제공되는 변수 값>
  • URL(데이터 수집 엔드포인트): <설치 시 제공되는 변수 값>
  • 데이터 수집 규칙 ID(규칙 ID): <설치 시 제공되는 변수 값>



Holm 보안 자산 데이터(Azure Functions 사용)

지원:Holm 보안

커넥터는 Holm Security Center에서 Microsoft Sentinel 데이터를 폴링하는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
net_assets_CL 아니요 아니요
web_assets_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Holm Security Assets에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

1단계 - Holm 보안 API 대한 구성 단계

다음 지침에 따라 API 인증 토큰을 만듭니다.

2단계 - 아래 배포 옵션을 사용하여 커넥터 및 연결된 Azure 함수 배포

중요: Holm Security 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)와 Holm 보안 API 권한 부여 토큰을 쉽게 사용할 수 있습니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

ARM(Azure Resource Manager) 템플릿 배포

옵션 1 - ARM(Azure Resource Manager) 템플릿

Holm Security 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 작업 영역 ID, 작업 영역 키, API 사용자 이름, API 암호, '및/또는 기타 필수 필드'를 입력합니다.

참고: 위의 값에 Azure Key Vault 비밀을 사용하는 경우 문자열 값 대신 스키마를 사용합니다@Microsoft.KeyVault(SecretUri={Security Identifier}). 자세한 내용은 Key Vault 참조 설명서를 참조하세요. 4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다. 5. 구매 를 클릭하여 배포합니다.



Microsoft Exchange Server의 IIS 로그

지원자:커뮤니티

[옵션 5] - Azure Monitor 에이전트 사용 - Windows 에이전트를 사용하여 Microsoft Sentinel 작업 영역에 연결된 Windows 컴퓨터에서 모든 IIS 로그를 스트리밍할 수 있습니다. 이 연결을 사용하면 사용자 지정 경고를 만들고 조사를 개선할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
W3CIISLog 아니요

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Azure Log Analytics는 사용되지 않으며, Azure VM에서 데이터를 수집하려면 Arc를 Azure 것이 좋습니다. 자세한 정보
  • 자세한 설명서: >참고: 설치 절차 및 사용에 대한 자세한 설명서는 여기에서 확인할 수 있습니다.

설치 지침:

참고: 이 솔루션은 옵션을 기반으로 합니다. 이렇게 하면 일부 옵션이 매우 많은 양의 데이터를 생성할 수 있으므로 수집할 데이터를 선택할 수 있습니다. 수집하려는 항목에 따라 통합 문서, 분석 규칙, 헌팅 기능을 추적하여 배포할 옵션을 선택합니다. 각 옵션은 서로 독립적입니다. 각 옵션에 대해 자세히 알아보려면 'Microsoft Exchange Security' wiki

이 데이터 커넥터는 wiki의 옵션 5 입니다.

1. Microsoft Sentinel 로그를 수집하는 데 필요한 에이전트 다운로드 및 설치

서버 유형(Exchange Server, Exchange Server에 연결된 도메인 컨트롤러 또는 모든 도메인 컨트롤러)은 배포하려는 옵션에 따라 달라집니다.

모니터 에이전트 배포

이 단계는 Exchange Server/Domain Controllers 배포 Azure Arc 에이전트를 처음 온보딩한 경우에만 필요합니다. 자세한 정보

[옵션 5] Exchange Server의 IIS 로그

Exchange 서버의 IIS 로그를 스트리밍하는 방법 선택

데이터 수집 규칙 사용

IIS 로그는 Windows 에이전트에서만 수집됩니다.

옵션 1 - ARM(Azure Resource Manager) 템플릿(기본 설정 방법)

DCE 및 DCR의 자동화된 배포에 이 방법을 사용합니다.

대답. DCE 만들기(Exchange 서버에 대해 아직 만들어지지 않은 경우)

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. DCE의 제안된 이름을 변경할 수 있습니다.

  4. 만들기를 클릭하여 배포합니다.

B. 데이터 연결 규칙 배포

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 작업 영역 ID '및/또는 기타 필수 필드'를 입력합니다.

  4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  5. 구매를 클릭하여 배포합니다.

옵션 2 - Azure Automation 수동 배포

다음 단계별 지침을 사용하여 데이터 수집 규칙을 수동으로 배포합니다.

대답. DCE 만들기(Exchange 서버에 대해 아직 만들어지지 않은 경우)

  1. Azure Portal에서 Azure Data 컬렉션 엔드포인트로 이동합니다.
  2. 위쪽에서 + 만들기 를 클릭합니다.
  3. 기본 탭에서 필요한 필드를 입력하고 DCE에 이름을 지정합니다.
  4. 필요한 경우 '다른 바람직한 구성 변경'을 클릭한 다음 만들기를 클릭합니다.

B. DCR 만들기, IIS 로그 입력

  1. Azure 포털에서 Azure 데이터 수집 규칙으로 이동합니다.
  2. 위쪽에서 + 만들기 를 클릭합니다.
  3. 기본 탭에서 필요한 필드를 입력하고 플랫폼 유형으로 Windows를 선택하고 DCR에 이름을 지정합니다. 만든 DCE를 선택합니다.
  4. 리소스 탭에서 Exchange Server를 입력합니다.
  5. '수집 및 배달'에서 데이터 원본 형식 'IIS 로그'를 추가합니다(IIS 로그 경로가 기본적으로 구성된 경우 경로를 입력하지 마세요). '데이터 원본 추가'를 클릭합니다.
  6. 필요한 경우 '다른 바람직한 구성 변경'을 클릭한 다음 만들기를 클릭합니다.

모든 Exchange 서버에 DCR 할당

DCR에 모든 Exchange 서버 추가



Illumio Insights

지원:Illumio

Illumio Insights 데이터 커넥터를 사용하면 Illumio API에서 Microsoft Sentinel 로그를 수집할 수 있습니다. 데이터 커넥터는 Microsoft Sentinel Codeless Connector Framework를 기반으로 합니다. Illumio API를 사용하여 로그를 가져오고, 수신된 보안 데이터를 사용자 지정 테이블로 구문 분석하는 DCR 기반 수집 시간 변환을 지원하므로 쿼리가 다시 구문 분석할 필요가 없으므로 성능이 향상됩니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
IlumioInsights

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

Illumio Insights API에 대한 구성 단계

필수 구성 요소

  • 유효한 자격 증명을 사용하여 Illumio 콘솔에 등록 및 로그인
  • 테넌트용 Microsoft Sentinel 계정에 클라이언트 자격 증명을 저장해야 합니다.

1단계: 서비스 계정 등록

  1. 일루미오 콘솔 → 액세스 → 서비스 계정으로 이동합니다.
  2. 테넌트용 서비스 계정 만들기
  3. 서비스 계정을 만들면 클라이언트 자격 증명을 받게 됩니다.
  4. 사용자 이름(API 키) 및 비밀 2단계: Sentinel 계정에 클라이언트 자격 증명 추가 복사
  • 테넌트 인증을 위해 Sentinel 계정에 API 키 및 비밀 추가
  • 이러한 자격 증명은 Illumio SaaS API에 대한 호출을 인증하는 데 사용됩니다.

3단계: API 사용 커넥터는 다음 자격 증명을 사용하여 Illumio SaaS API를 호출합니다.

  • 엔드포인트: GET https://gw.console.illum.io/api/v1/resource-insights
  • 필수 헤더:
    • x-illumio-tenant-id: Illumio 테넌트 ID
    • x-auth-key: 1단계에서 가져온 API 키
    • x-auth-X-api-secret: 1단계에서 가져온 비밀 키

인증 유효성 검사 Illumio는 다음 사항에 대한 요청의 유효성을 검사합니다.

  • Entra ID의 공개 키에 대한 서명
  • 대상 그룹(AUD)이 API의 앱 ID URI와 일치합니다.
  • 발급자 유효성 검사

아래 필수 필드에 Illumio 콘솔에서 가져온 자격 증명을 입력하세요.

  • Illumio Insights API 키: (api_XXXXXX)
  • API 비밀: (API 비밀)
  • Illumio 테넌트 ID: ({illumioTenantId})
  • 연결 사용/사용 안 함



Illumio Insights 요약

지원:Illumio

Illumio Insights 요약 데이터 커넥터는 REST API를 통해 Illumio 보안 인사이트 및 위협 분석 보고서를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 Illumio API 설명서를 참조하세요. 커넥터는 일루미오에서 매일 및 매주 요약 보고서를 가져와서 Microsoft Sentinel 시각화하는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
IllumioInsightsSummary_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Illumio API 액세스: Illumio Insights 요약 API에는 Illumio API 액세스가 필요합니다.

설치 지침:

1. 구성

Illumio Insights 요약 커넥터를 구성합니다.

[! 참고] 이 데이터 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 솔루션의 일부로 배포되는 예상대로 작동합니다.

  • Illumio Insights API 키: (api_XXXXXX)
  • API 비밀: (API 비밀)
  • Illumio 테넌트 ID: ({illumioTenantId})

2. 연결

Illumio Insights 요약 커넥터를 사용하도록 설정합니다.

  • 연결 사용/사용 안 함



Illumio SaaS(Azure Functions 사용)

지원:Illumio

Illumio 커넥터는 이벤트를 Microsoft Sentinel 수집하는 기능을 제공합니다. 커넥터는 AWS S3 버킷에서 감사 가능 및 흐름 이벤트를 수집하는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Illumio_Auditable_Events_CL
Illumio_Flow_Events_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • SQS 및 AWS S3 계정 자격 증명/권한: AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL 필요합니다. Illumio에서 제공하는 s3 버킷을 사용하는 경우 Illumio 지원에 문의하세요. 요청 시 AWS S3 버킷 이름, AWS SQS URL 및 AWS 자격 증명을 제공하여 액세스합니다.
  • Illumio API 키 및 비밀: 통합 문서가 SaaS PCE에 연결하고 API 응답을 가져오려면 ILLUMIO_API_KEY, ILLUMIO_API_SECRET 필요합니다.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 AWS SQS/S3에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

필수 구성 요소

  1. 흐름 및 감사 가능한 이벤트 로그를 끌어올 s3 버킷에 대해 AWS SQS가 구성되어 있는지 확인합니다. Illumio에서 버킷을 제공하는 경우 sqs URL, s3 버킷 이름 및 aws 자격 증명에 대해 Illumio 지원에 문의하세요.
  2. AAD 애플리케이션 등록 - DCR(데이터 수집 규칙)이 로그 분석에 데이터를 수집하려면 Entra 애플리케이션을 사용해야 합니다. 1. 여기의 지침 (1-5단계)에 따라 AAD 테넌트 ID, AAD 클라이언트 ID 및 AAD 클라이언트 암호를 가져옵니다.
  3. 로그 분석 작업 영역을 만들 수 있는지 확인합니다. 배포된 이름과 지역을 기록해 두세요.

배포

아래 옵션에서 방법 중 하나를 선택합니다. 아래 ARM 템플릿을 사용하여 Azure 리소스를 배포하거나 함수 앱을 수동으로 배포합니다.

1. ARM(Azure Resource Manager) 템플릿

ARM Tempate를 사용하여 Azure 리소스의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. Microsoft Sentinel 작업 영역, AWS 자격 증명, Azure AD 애플리케이션 세부 정보 및 수집 구성과 같은 필수 세부 정보를 제공합니다.

참고: 함수 앱 및 관련 리소스를 배포하기 위한 새 리소스 그룹을 만드는 것이 좋습니다. 3. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다. 4. 구매 를 클릭하여 배포합니다.

2. 확장 처리를 위한 추가 함수 앱 배포

ARM Tempate를 사용하여 추가 함수 앱을 자동으로 배포하려면 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

3. Azure Functions 수동 배포

Visual Studio Code 통한 배포.

  1. 함수 앱 배포

  2. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.

  3. 함수 앱 수동 배포 지침에 따라 VSCode를 사용하여 Azure Functions 앱을 배포합니다.

  4. 함수 앱을 성공적으로 배포한 후 구성을 위한 다음 단계를 수행합니다.

  5. 함수 앱 구성

  6. 설명서 <삽입 링크> 에 따라 필요한 모든 환경 변수를 설정하고 저장을 클릭합니다. 설정이 저장되면 함수 앱을 다시 시작해야 합니다.



Imperva Cloud WAF(Azure Functions 사용)

지원:Microsoft Corporation

Imperva Cloud WAF 데이터 커넥터는 REST API를 통해 Web Application Firewall 이벤트를 Microsoft Sentinel 통합하고 수집하는 기능을 제공합니다. 자세한 내용은 로그 통합 설명서를 참조하세요. 커넥터를 사용하면 이벤트 검색을 통해 잠재적인 보안 위험을 평가하고, 공동 작업을 모니터링하고, 구성 문제를 진단하고 해결할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ImpervaWAFCloud_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Imperva Cloud API에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. Azure Functions 앱에서 Azure Key Vault 사용하려면 다음 지침을 따릅니다.

**참고:**이 데이터 커넥터는 kusto 함수를 기반으로 하는 파서에 따라 달라지며 Microsoft Sentinel 솔루션과 함께 배포된 ImpervaWAFCloud가 예상대로 작동합니다.

1단계 - 로그 통합을 위한 구성 단계

지침에 따라 자격 증명을 가져옵니다.

2단계 - 커넥터 및 연결된 Azure Functions 배포하려면 다음 두 가지 배포 옵션 중 하나를 선택합니다.

중요: 작업 영역 데이터 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키를 갖습니다(다음에서 복사할 수 있음).

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

옵션 1 - ARM(Azure Resource Manager) 템플릿

ARM 템플릿을 사용하여 Imperva Cloud WAF 데이터 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

참고: 동일한 리소스 그룹 내에서는 Windows 및 Linux 앱을 동일한 지역에 혼합할 수 없습니다. Windows 앱이 없는 기존 리소스 그룹을 선택하거나 새 리소스 그룹을 만듭니다. 3. ImpervaAPIID, ImpervaAPIKey, ImpervaLogServerURI를 입력하고 배포합니다. 4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다. 5. 구매 를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions(Visual Studio Code 통해 배포)를 사용하여 Imperva Cloud WAF 데이터 커넥터를 수동으로 배포합니다.

  1. 함수 앱 배포

참고: Azure 함수 개발을 위해 VS 코드를 준비해야 합니다.

  1. Azure Functions 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.

  2. VS Code를 시작합니다. 주 메뉴에서 파일을 선택하고 폴더 열기를 선택합니다.

  3. 추출된 파일에서 최상위 폴더를 선택합니다.

  4. 작업 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 함수에 배포 앱 단추를 선택합니다. 아직 로그인하지 않은 경우 활동 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 로그인을 선택하여 Azure 이미 로그인한 경우 다음 단계로 이동합니다.

  5. 프롬프트에서 다음 정보를 제공합니다.

    a. 폴더 선택: 작업 영역에서 폴더를 선택하거나 함수 앱이 포함된 폴더로 이동합니다.

    b. 구독을 선택합니다. 사용할 구독을 선택합니다.

    c. Azure 새 함수 앱 만들기를 선택합니다(고급 옵션을 선택하지 않음).

    d. 함수 앱의 전역적으로 고유한 이름을 입력합니다 . URL 경로에 유효한 이름을 입력합니다. 입력한 이름은 Azure Functions 고유하도록 유효성을 검사합니다. (예: ImpervaCloudXXXXX).

    e. 런타임 선택: Python 3.11을 선택합니다.

    f. 새 리소스의 위치를 선택합니다. 성능 향상 및 비용 절감을 위해 Microsoft Sentinel 있는 동일한 지역을 선택합니다.

  6. 배포가 시작됩니다. 함수 앱이 만들어지고 배포 패키지가 적용된 후 알림이 표시됩니다.

  7. 함수 앱 구성에 대한 Azure 포털로 이동합니다.

  8. 함수 앱 구성

  9. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.

  10. 애플리케이션 설정 탭에서 새 애플리케이션 설정을 선택합니다.

  11. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. ImpervaAPIID ImpervaAPIKey ImpervaLogServerURI WorkspaceID WorkspaceKey logAnalyticsUri(선택 사항)

  • logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 값을 형식https://<CustomerId>.ods.opinsights.azure.us으로 지정합니다.
  1. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



Imperva Cloud WAF(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

Imperva WAF 클라우드 데이터 커넥터는 SQS 알림과 함께 AWS S3를 통한 Imperva 로그 통합을 사용하여 Microsoft Sentinel 로그를 수집하는 기능을 제공합니다. 커넥터는 위협 탐지 및 조사를 위한 액세스 로그 및 보안 경고를 포함하여 CEF 형식의 WAF 이벤트를 구문 분석합니다. 자세한 내용은 Imperva WAF 클라우드 로그 통합 을 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ImpervaWAFCloud 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

설치 지침:

**Imperva WAF Cloud를 Microsoft Sentinel 연결

**

참고: 이 커넥터는 AWS S3 버킷에서 Imperva Cloud WAF 로그를 가져옵니다.

Imperva에서 데이터를 수집하려면 다음 리소스를 구성해야 합니다.

  1. AWS 역할 ARN Imperva에서 데이터를 수집하려면 AWS 역할 ARN이 필요합니다.

  2. AWS SQS 큐 URL Imperva에서 데이터를 수집하려면 AWS SQS 큐 URL이 필요합니다.

AWS 역할 ARN, SQS 큐 URL을 검색하고 Amazon S3 버킷으로 Imperva 로그 전달을 구성하는 자세한 단계는 커넥터 설치 가이드를 참조하세요.

  • 데이터 커넥터 그리드(포털에서 구성)



AMA를 통한 Infoblox Cloud Data Connector

지원:Infoblox

Infoblox Cloud Data Connector를 사용하면 Infoblox 데이터를 Microsoft Sentinel 쉽게 연결할 수 있습니다. 로그를 Microsoft Sentinel 연결하면 각 로그에 대한 검색 & 상관 관계, 경고 및 위협 인텔리전스 보강을 활용할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CommonSecurityLog

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

중요: 이 Microsoft Sentinel 데이터 커넥터는 Infoblox 데이터 커넥터 호스트가 이미 CSP(Infoblox Cloud Services Portal)에서 만들어지고 구성되었다고 가정합니다. Infoblox 데이터 커넥터는 위협 방어의 기능이므로 적절한 위협 방어 구독에 액세스해야 합니다. 자세한 내용 및 라이선스 요구 사항은 이 빠른 시작 가이드 를 참조하세요.

1. Syslog 에이전트 구성 Linux

CEF(Common Event Format) Syslog 메시지를 수집하고 Microsoft Sentinel 전달하도록 Linux 에이전트를 설치하고 구성합니다.

모든 지역의 데이터가 선택한 작업 영역에 저장됩니다.

1.1 Linux 컴퓨터 선택 또는 만들기

Microsoft Sentinel 보안 솔루션과 온-프레미스 환경, Azure 또는 기타 클라우드에 있을 수 Microsoft Sentinel 사이의 프록시로 사용할 Linux 머신을 선택하거나 만듭니다.

1.2 Linux 컴퓨터에 CEF 수집기 설치

Linux 컴퓨터에 Microsoft Monitoring Agent를 설치하고 필요한 포트에서 수신 대기하고 Microsoft Sentinel 작업 영역에 메시지를 전달하도록 컴퓨터를 구성합니다. CEF 수집기는 포트 514 TCP에서 CEF 메시지를 수집합니다.

  1. python -version 명령을 사용하여 컴퓨터에 Python이 있는지 확인합니다.

  2. 컴퓨터에 대해 상승된 권한(sudo)이 있어야 합니다.

  • 다음 명령을 실행하여 CEF 수집<기를 설치하고 적용합니다. 설치 시 제공된 변수 값>

2. Syslog 에이전트로 전달하도록 Infoblox Cloud Data Connector에 Syslog 데이터를 보내도록 Infoblox 구성

아래 단계에 따라 Linux Syslog 에이전트를 통해 Microsoft Sentinel 데이터를 보내도록 Infoblox CDC를 구성합니다.

  1. 데이터 커넥터 관리>로 이동합니다.
  2. 위쪽의 대상 구성 탭을 클릭합니다.
  3. Syslog 만들기 > 를 클릭합니다.
  • 이름: 새 대상에 Microsoft-Sentinel-Destination과 같은 의미 있는 이름을 지정합니다.
  • 설명: 필요에 따라 의미 있는 설명을 제공합니다.
  • 상태: 상태를 사용으로 설정합니다.
  • 형식: 형식을 CEF로 설정합니다.
  • FQDN/IP: Linux 에이전트가 설치된 Linux 디바이스의 IP 주소를 입력합니다.
  • 포트: 포트 번호를 514로 둡니다.
  • 프로토콜: 해당하는 경우 원하는 프로토콜 및 CA 인증서를 선택합니다.
  • 저장 후 닫기를 클릭합니다.
  1. 맨 위에 있는 트래픽 흐름 구성 탭을 클릭합니다.
  2. 만들기를 클릭합니다.
  • 이름: 새 Traffic Flow에 Microsoft-Sentinel 흐름과 같은 의미 있는 이름을 지정합니다.
  • 설명: 필요에 따라 의미 있는 설명을 제공합니다.
  • 상태: 상태를 사용으로 설정합니다.
  • 서비스 인스턴스 섹션을 확장합니다.
  • 서비스 인스턴스: 데이터 커넥터 서비스가 사용하도록 설정된 원하는 서비스 인스턴스를 선택합니다.
  • 원본 구성 섹션을 확장합니다.
  • 원본: BloxOne 클라우드 원본을 선택합니다.
  • 수집하려는 모든 로그 유형을 선택합니다. 현재 지원되는 로그 유형은 다음과 같습니다.
  • 위협 방어 쿼리/응답 로그
  • 위협 방어 위협 피드 적중 로그
  • DDI 쿼리/응답 로그
  • DDI DHCP 임대 로그
  • 대상 구성 섹션을 확장합니다.
  • 방금 만든 대상 을 선택합니다.
  • 저장 후 닫기를 클릭합니다.
  1. 구성을 활성화하는 데 약간의 시간을 허용합니다.

3. 연결 유효성 검사

지침에 따라 연결의 유효성을 검사합니다.

Log Analytics를 열어 CommonSecurityLog 스키마를 사용하여 로그를 받는지 검사.

연결이 데이터를 작업 영역으로 스트리밍할 때까지 약 20분이 걸릴 수 있습니다.

로그를 받지 못한 경우 다음 연결 유효성 검사 스크립트를 실행합니다.

  1. python -version 명령을 사용하여 컴퓨터에 Python이 있는지 확인합니다.

  2. 컴퓨터에 관리자 권한(sudo)이 있어야 합니다.

  • 다음 명령을 실행하여 연결의 유효성을 검사합니다.< 설치 시 제공되는 변수 값>

**4. 컴퓨터 보안 **

organization 보안 정책에 따라 컴퓨터의 보안을 구성해야 합니다.

더 알아보세요 >



REST API를 통한 Infoblox 데이터 커넥터

지원:Infoblox

Infoblox 데이터 커넥터를 사용하면 Infoblox TIDE 데이터 및 Dossier 데이터를 Microsoft Sentinel 쉽게 연결할 수 있습니다. 데이터를 Microsoft Sentinel 연결하면 각 로그에 대한 검색 & 상관 관계, 경고 및 위협 인텔리전스 보강을 활용할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Failed_Range_To_Ingest_CL 아니요 아니요
Infoblox_Failed_Indicators_CL 아니요 아니요
dossier_whois_CL 아니요 아니요
dossier_whitelist_CL 아니요 아니요
dossier_tld_risk_CL 아니요 아니요
dossier_threat_actor_CL 아니요 아니요
dossier_rpz_feeds_records_CL 아니요 아니요
dossier_rpz_feeds_CL 아니요 아니요
dossier_nameserver_matches_CL 아니요 아니요
dossier_nameserver_CL 아니요 아니요
dossier_malware_analysis_v3_CL 아니요 아니요
dossier_inforank_CL 아니요 아니요
dossier_infoblox_web_cat_CL 아니요 아니요
dossier_geo_CL 아니요 아니요
dossier_dns_CL 아니요 아니요
dossier_atp_threat_CL 아니요 아니요
dossier_atp_CL 아니요 아니요
dossier_ptr_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Azure 구독: Microsoft Entra ID 애플리케이션을 등록하고 리소스 그룹의 앱에 기여자 역할을 할당하려면 소유자 역할이 있는 Azure 구독이 필요합니다.
  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • REST API 자격 증명/권한: Infoblox API 키가 필요합니다. Rest API 참조에서 API에 대한 자세한 내용은 설명서를 참조하세요.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Infoblox API에 연결하여 TIDE용 위협 지표를 만들고 Dossier 데이터를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

1단계 - Microsoft Entra ID 애플리케이션에 대한 앱 등록 단계

이 통합에는 Azure Portal 앱 등록이 필요합니다. 이 섹션의 단계에 따라 Microsoft Entra ID 새 애플리케이션을 만듭니다.

  1. Azure 포털에 로그인합니다.
  2. Microsoft Entra ID 검색하여 선택합니다.
  3. 관리에서 새 등록 앱 등록 > 선택합니다.
  4. 애플리케이션의 표시 이름을 입력합니다.
  5. 등록을 선택하여 초기 앱 등록을 완료합니다.
  6. 등록이 완료되면 Azure Portal 앱 등록의 개요 창이 표시됩니다. 애플리케이션(클라이언트) ID 및 테넌트 ID가 표시됩니다. 클라이언트 ID 및 테넌트 ID는 TriggersSync 플레이북을 실행하기 위한 구성 매개 변수로 필요합니다.

참조 링크:/azure/active-directory/develop/quickstart-register-app

2단계 - Microsoft Entra ID 애플리케이션에 대한 클라이언트 암호 추가

애플리케이션 암호라고도 하는 클라이언트 암호는 TriggersSync 플레이북을 실행하는 데 필요한 문자열 값입니다. 이 섹션의 단계에 따라 새 클라이언트 암호를 만듭니다.

  1. Azure Portal 앱 등록 애플리케이션을 선택합니다.
  2. 인증서 & 비밀 > 클라이언트 비밀 새 클라이언트 비밀을 >선택합니다.
  3. 클라이언트 비밀에 대한 설명을 추가합니다.
  4. 비밀에 대한 만료를 선택하거나 사용자 지정 수명을 지정합니다. 한도는 24개월입니다.
  5. 추가를 선택합니다.
  6. 클라이언트 애플리케이션 코드에서 사용할 비밀 값을 기록합니다. 이 비밀 값은 이 페이지를 떠난 후에 다시는 표시되지 않습니다. 비밀 값은 TriggersSync 플레이북을 실행하기 위한 구성 매개 변수로 필요합니다.

참조 링크:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

3단계 - Microsoft Entra ID 애플리케이션에 기여자 역할 할당

이 섹션의 단계에 따라 역할을 할당합니다.

  1. Azure Portal 리소스 그룹으로 이동하여 리소스 그룹을 선택합니다.
  2. 왼쪽 패널에서 액세스 제어(IAM) 로 이동합니다.
  3. 추가를 클릭한 다음 역할 할당 추가를 선택합니다.
  4. 역할로 기여자를 선택하고 다음을 클릭합니다.
  5. 에 대한 액세스 할당에서 를 선택합니다User, group, or service principal.
  6. 구성원 추가를 클릭하고 만든 앱 이름을 입력 하고 선택합니다.
  7. 이제 검토 + 할당을 클릭한 다음 검토 + 할당을 다시 클릭합니다.

참조 링크:/azure/role-based-access-control/role-assignments-portal

4단계 - Infoblox API 자격 증명을 생성하는 단계

다음 지침에 따라 Infoblox API 키를 생성합니다. Infoblox Cloud Services 포털에서 API 키를 생성하고 다음 단계에서 사용하기에 안전한 곳에 복사합니다. 여기에서 API 키를 만드는 방법에 대한 지침을 찾을 수 있습니다.

5단계 - 커넥터 및 연결된 Azure 함수를 배포하는 단계

중요: Infoblox 데이터 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)를 쉽게 사용할 수 있습니다... 및 Infoblox API 권한 부여 자격 증명

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

ARM(Azure Resource Manager) 템플릿

Infoblox Data 커넥터의 자동화된 배포에 이 메서드를 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 아래 정보를 입력합니다. Azure 테넌트 ID Azure 클라이언트 ID Azure 클라이언트 비밀 Infoblox API 토큰 Infoblox 기본 URL 작업 영역 ID 작업 영역 키 로그 수준(기본값: INFO) 신뢰도 위협 수준 App Insights 작업 영역 리소스 ID

  4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  5. 구매를 클릭하여 배포합니다.



AMA를 통한 Infoblox SOC Insight Data Connector

지원:Infoblox

Infoblox SOC Insight Data Connector를 사용하면 Infoblox BloxOne SOC Insight 데이터를 Microsoft Sentinel 쉽게 연결할 수 있습니다. 로그를 Microsoft Sentinel 연결하면 각 로그에 대한 검색 & 상관 관계, 경고 및 위협 인텔리전스 보강을 활용할 수 있습니다.

이 데이터 커넥터는 새 Azure Monitor 에이전트를 사용하여 Infoblox SOC Insight CDC 로그를 Log Analytics 작업 영역에 수집합니다. 여기에서 새 Azure Monitor 에이전트를 사용하여 수집하는 방법에 대해 자세히 알아보세요. 이 데이터 커넥터를 사용하는 것이 좋습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CommonSecurityLog

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • 비 Azure VM에서 데이터를 수집하려면 Azure Arc를 설치하고 사용하도록 설정해야 합니다. 자세한 정보
  • AMA를 통한 CEF(일반 이벤트 형식) 및 AMA 데이터 커넥터를 통한 Syslog를 설치해야 합니다. 자세한 정보

설치 지침:

작업 영역 키

이 솔루션의 일부로 플레이북을 사용하려면 편의를 위해 아래 작업 영역 ID 및 작업 영역 기본 키를 찾습니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 작업 영역 키: <설치 시 제공되는 변수 값>

파서

이 데이터 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 Microsoft Sentinel Solution과 함께 배포되는 InfobloxCDC_SOCInsights 호출된 대로 작동합니다.

SOC 인사이트

이 데이터 커넥터는 사용자가 Infoblox BloxOne Threat Defense SOC Insights에 액세스할 수 있다고 가정합니다. SOC Insights에 대한 자세한 내용은 여기에서 확인할 수 있습니다.

Infoblox Cloud Data Connector

이 데이터 커넥터는 Infoblox 데이터 커넥터 호스트가 이미 CSP(Infoblox Cloud Services Portal)에서 만들어지고 구성되었다고 가정합니다. Infoblox 데이터 커넥터는 BloxOne Threat Defense의 기능이므로 적절한 BloxOne Threat Defense 구독에 액세스해야 합니다. 자세한 내용 및 라이선스 요구 사항은 이 빠른 시작 가이드 를 참조하세요.

아래 단계에 따라 이 데이터 커넥터를 구성합니다.

대답. AMA 데이터 커넥터를 통해 CEF(Common Event Format) 구성

참고: CEF 로그는 Linux 에이전트에서만 수집됩니다.

  1. Microsoft Sentinel 작업 영역 > 데이터 커넥터 블레이드로 이동합니다.

  2. AMA 데이터 커넥터를 통해 CEF(Common Event Format) 를 검색하고 엽니다.

  3. 로그 중복이 발생할 수 있으므로 필요한 로그 기능을 수집하도록 구성된 기존 DCR이 없는지 확인합니다. 새 DCR(데이터 수집 규칙)을 만듭니다.

    참고: 최소한 AMA 에이전트 v1.27을 설치하는 것이 좋습니다. 자세한 내용을 알아보 고 로그 중복이 발생할 수 있으므로 중복된 DCR이 없는지 확인합니다.

  4. AMA 데이터 커넥터 페이지를 통해 CEF(Common Event Format) 에 제공된 명령을 실행하여 컴퓨터에서 CEF 수집기를 구성합니다.

B. Infoblox Cloud Services 포털 내에서 CEF Syslog 데이터를 Infoblox Cloud Data Connector로 보내 Syslog 에이전트로 전달하도록 Infoblox BloxOne을 구성합니다.

아래 단계에 따라 Linux Syslog 에이전트를 통해 BloxOne 데이터를 Microsoft Sentinel 보내도록 Infoblox CDC를 구성합니다.

  1. 데이터 커넥터 관리>로 이동합니다.
  2. 위쪽의 대상 구성 탭을 클릭합니다.
  3. Syslog 만들기 > 를 클릭합니다.
  • 이름: 새 대상에 Microsoft-Sentinel-Destination과 같은 의미 있는 이름을 지정합니다.
  • 설명: 필요에 따라 의미 있는 설명을 제공합니다.
  • 상태: 상태를 사용으로 설정합니다.
  • 형식: 형식을 CEF로 설정합니다.
  • FQDN/IP: Linux 에이전트가 설치된 Linux 디바이스의 IP 주소를 입력합니다.
  • 포트: 포트 번호를 514로 둡니다.
  • 프로토콜: 해당하는 경우 원하는 프로토콜 및 CA 인증서를 선택합니다.
  • 저장 후 닫기를 클릭합니다.
  1. 맨 위에 있는 트래픽 흐름 구성 탭을 클릭합니다.
  2. 만들기를 클릭합니다.
  • 이름: 새 Traffic Flow에 Microsoft-Sentinel 흐름과 같은 의미 있는 이름을 지정합니다.
  • 설명: 필요에 따라 의미 있는 설명을 제공합니다.
  • 상태: 상태를 사용으로 설정합니다.
  • 서비스 인스턴스 섹션을 확장합니다.
  • 서비스 인스턴스: 데이터 커넥터 서비스가 사용하도록 설정된 원하는 서비스 인스턴스를 선택합니다.
  • 원본 구성 섹션을 확장합니다.
  • 원본: BloxOne 클라우드 원본을 선택합니다.
  • 내부 알림 로그 유형을 선택합니다.
  • 대상 구성 섹션을 확장합니다.
  • 방금 만든 대상 을 선택합니다.
  • 저장 후 닫기를 클릭합니다.
  1. 구성을 활성화하는 데 약간의 시간을 허용합니다.

C. 연결 유효성 검사

지침에 따라 연결의 유효성을 검사합니다.

Log Analytics를 열어 CommonSecurityLog 스키마를 사용하여 로그를 받는지 검사.

연결이 데이터를 작업 영역으로 스트리밍할 때까지 약 20분이 걸릴 수 있습니다.

로그를 받지 못한 경우 다음 연결 유효성 검사 스크립트를 실행합니다.

  1. python -version 명령을 사용하여 컴퓨터에 Python이 있는지 확인합니다.

  2. 컴퓨터에 관리자 권한(sudo)이 있어야 합니다.

  • 다음 명령을 실행하여 연결의 유효성을 검사합니다.< 설치 시 제공되는 변수 값>

**2. 컴퓨터 보안 **

organization 보안 정책에 따라 컴퓨터의 보안을 구성해야 합니다.

더 알아보세요 >



REST API를 통한 Infoblox SOC Insight Data Connector

지원:Infoblox

Infoblox SOC Insight Data Connector를 사용하면 Infoblox BloxOne SOC Insight 데이터를 Microsoft Sentinel 쉽게 연결할 수 있습니다. 로그를 Microsoft Sentinel 연결하면 각 로그에 대한 검색 & 상관 관계, 경고 및 위협 인텔리전스 보강을 활용할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
InfobloxInsight_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

설치 지침:

작업 영역 키

이 솔루션의 일부로 플레이북을 사용하려면 편의를 위해 아래 작업 영역 ID 및 작업 영역 기본 키를 찾습니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 작업 영역 키: <설치 시 제공되는 변수 값>

파서

이 데이터 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 Microsoft Sentinel 솔루션과 함께 배포되는 InfobloxInsight라는 예상대로 작동합니다.

SOC 인사이트

이 데이터 커넥터는 사용자가 Infoblox BloxOne Threat Defense SOC Insights에 액세스할 수 있다고 가정합니다. SOC Insights에 대한 자세한 내용은 여기에서 확인할 수 있습니다.

아래 단계에 따라 이 데이터 커넥터를 구성합니다.

1. Infoblox API 키를 생성하고 안전한 곳에 복사

Infoblox Cloud Services 포털에서 API 키를 생성하고 다음 단계에서 사용하기에 안전한 곳에 복사합니다. 여기에서 API 키를 만드는 방법에 대한 지침을 찾을 수 있습니다.

2. Infoblox-SOC-Get-Open-Insights-API 플레이북 구성

이 솔루션과 함께 배포되는 Infoblox-SOC-Get-Open-Insights-API 플레이북을 만들고 구성합니다. 메시지가 표시되면 적절한 매개 변수에 Infoblox API 키를 입력합니다.



InfoSecGlobal 데이터 커넥터

지원:InfoSecGlobal

이 데이터 커넥터를 사용하여 InfoSec Crypto Analytics와 통합하고 Microsoft Sentinel 직접 데이터를 보냅니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
InfoSecAnalytics_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

설치 지침:

InfoSecGlobal Crypto Analytics 데이터 커넥터

  1. Logstash를 통해 데이터가 Microsoft Sentinel 전송됩니다.
  2. 필수 Logstash 구성이 Crypto Analytics 설치에 포함되어 있습니다.
  3. Crypto Analytics 설치와 함께 제공되는 설명서에서는 데이터를 Microsoft Sentinel 보내는 방법을 설명합니다.
  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>



IONIX 보안 로그(코드리스 커넥터 프레임워크를 통해)

지원:IONIX

IONIX 커넥터를 사용하면 CCF(Codeless Connector Framework)를 사용하여 IONIX 공격 Surface Management 플랫폼에서 Microsoft Sentinel 작업 항목을 수집할 수 있습니다. 작업 항목은 수정이 필요한 보안 결과 및 취약성을 나타냅니다.

이 커넥터는 IONIX API를 자동으로 폴링하고 CyberpionActionItems_CL 테이블에 데이터를 씁니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CyberpionActionItems_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • IONIX API 토큰: IONIX 포털의 API 토큰이 필요합니다. IONIX 포털설정 > API에서 하나를 만듭니다.

설치 지침:

IONIX를 Microsoft Sentinel 연결

이 커넥터는 IONIX API를 사용하여 작업 항목을 자동으로 폴링하고 Microsoft Sentinel 수집합니다. IONIX 포털에서 API 토큰이 필요합니다.

  • IONIX API 토큰: (IONIX 설정 > API에서 JWT API 토큰 입력)
  • IONIX 계정 이름: (cyberpion)
  • 연결 사용/사용 안 함



IPinfo 남용 데이터 커넥터

지원:IPinfo

이 IPinfo 데이터 커넥터는 Azure 함수 앱을 설치하여 standard_abuse 데이터 세트를 다운로드하고 Microsoft Sentinel 사용자 지정 로그 테이블에 삽입합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Ipinfo_Abuse_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • IPinfo API 토큰: 여기에서 IPinfo API 토큰을 검색 합니다.

설치 지침:

1. API 토큰 검색

여기에서 IPinfo API 토큰을 검색 합니다.

2. Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만듭니다.

Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만들고 테넌트 ID, 클라이언트 ID 및 클라이언트 비밀: 이 링크를 사용합니다.

3. AAD 애플리케이션에 Microsoft Sentinel 기여자 역할을 할당합니다.

"Microsoft Sentinel"이 추가되는 "Log Analytic 작업 영역"에 사용하는 것과 동일한 "리소스 그룹"에서 기여자(권한 있는 관리자 역할) 및 모니터링 메트릭 게시자(작업 함수 역할)에 방금 만든 AAD 애플리케이션을 할당합니다. 이 링크를 사용합니다.

4. 작업 영역 리소스 ID 가져오기

'리소스 ID' 속성 값이 있는 Log Analytic 작업 영역 -> 속성 블레이드를 사용합니다. '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' 형식의 정규화된 resourceId입니다.

5. Azure 함수 배포

ARM Tempate를 사용하여 IPinfo 데이터 커넥터의 자동화된 배포에 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET 입력합니다.

Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions 사용하여 IPinfo 데이터 커넥터를 수동으로 배포합니다(Visual Studio Code 통해 배포).

1단계 - 함수 앱 배포

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터 Azure 함수 앱에 보관 파일을 추출합니다.
  2. VSCode를 사용하여 고급 옵션을 사용하여 호스팅 함수 프리미엄 또는 App Service 계획을 사용하여 함수 앱을 만듭니다.
  3. 함수 앱 수동 배포 지침에 따라 VSCode를 사용하여 Azure Functions 앱을 배포합니다.
  4. 함수 앱을 성공적으로 배포한 후 구성을 위한 다음 단계를 수행합니다.

2단계 - 함수 앱 구성

  1. 함수 앱 구성에 대한 Azure 포털로 이동합니다.
  2. 함수 앱에서 함수 앱 이름을 선택하고 설정 -> 구성 또는 환경 변수를 선택합니다.
  3. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.
  4. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



IPinfo ASN 데이터 커넥터

지원:IPinfo

이 IPinfo 데이터 커넥터는 Azure 함수 앱을 설치하여 standard_ASN 데이터 세트를 다운로드하고 Microsoft Sentinel 사용자 지정 로그 테이블에 삽입합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Ipinfo_ASN_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • IPinfo API 토큰: 여기에서 IPinfo API 토큰을 검색 합니다.

설치 지침:

1. API 토큰 검색

여기에서 IPinfo API 토큰을 검색 합니다.

2. Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만듭니다.

Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만들고 테넌트 ID, 클라이언트 ID 및 클라이언트 비밀: 이 링크를 사용합니다.

3. AAD 애플리케이션에 Microsoft Sentinel 기여자 역할을 할당합니다.

"Microsoft Sentinel"이 추가되는 "Log Analytic 작업 영역"에 사용하는 것과 동일한 "리소스 그룹"에서 기여자(권한 있는 관리자 역할) 및 모니터링 메트릭 게시자(작업 함수 역할)에 방금 만든 AAD 애플리케이션을 할당합니다. 이 링크를 사용합니다.

4. 작업 영역 리소스 ID 가져오기

'리소스 ID' 속성 값이 있는 Log Analytic 작업 영역 -> 속성 블레이드를 사용합니다. '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' 형식의 정규화된 resourceId입니다.

5. Azure 함수 배포

ARM Tempate를 사용하여 IPinfo 데이터 커넥터의 자동화된 배포에 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET 입력합니다.

Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions 사용하여 IPinfo 데이터 커넥터를 수동으로 배포합니다(Visual Studio Code 통해 배포).

1단계 - 함수 앱 배포

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터 Azure 함수 앱에 보관 파일을 추출합니다.
  2. VSCode를 사용하여 고급 옵션을 사용하여 호스팅 함수 프리미엄 또는 App Service 계획을 사용하여 함수 앱을 만듭니다.
  3. 함수 앱 수동 배포 지침에 따라 VSCode를 사용하여 Azure Functions 앱을 배포합니다.
  4. 함수 앱을 성공적으로 배포한 후 구성을 위한 다음 단계를 수행합니다.

2단계 - 함수 앱 구성

  1. 함수 앱 구성에 대한 Azure 포털로 이동합니다.
  2. 함수 앱에서 함수 앱 이름을 선택하고 설정 -> 구성 또는 환경 변수를 선택합니다.
  3. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.
  4. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



IPinfo Carrier 데이터 커넥터

지원:IPinfo

이 IPinfo 데이터 커넥터는 Azure 함수 앱을 설치하여 standard_carrier 데이터 세트를 다운로드하고 Microsoft Sentinel 사용자 지정 로그 테이블에 삽입합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Ipinfo_Carrier_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • IPinfo API 토큰: 여기에서 IPinfo API 토큰을 검색 합니다.

설치 지침:

1. API 토큰 검색

여기에서 IPinfo API 토큰을 검색 합니다.

2. Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만듭니다.

Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만들고 테넌트 ID, 클라이언트 ID 및 클라이언트 비밀: 이 링크를 사용합니다.

3. AAD 애플리케이션에 Microsoft Sentinel 기여자 역할을 할당합니다.

"Microsoft Sentinel"이 추가되는 "Log Analytic 작업 영역"에 사용하는 것과 동일한 "리소스 그룹"에서 기여자(권한 있는 관리자 역할) 및 모니터링 메트릭 게시자(작업 함수 역할)에 방금 만든 AAD 애플리케이션을 할당합니다. 이 링크를 사용합니다.

4. 작업 영역 리소스 ID 가져오기

'리소스 ID' 속성 값이 있는 Log Analytic 작업 영역 -> 속성 블레이드를 사용합니다. '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' 형식의 정규화된 resourceId입니다.

5. Azure 함수 배포

ARM Tempate를 사용하여 IPinfo 데이터 커넥터의 자동화된 배포에 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET 입력합니다.

Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions 사용하여 IPinfo 데이터 커넥터를 수동으로 배포합니다(Visual Studio Code 통해 배포).

1단계 - 함수 앱 배포

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터 Azure 함수 앱에 보관 파일을 추출합니다.
  2. VSCode를 사용하여 고급 옵션을 사용하여 호스팅 함수 프리미엄 또는 App Service 계획을 사용하여 함수 앱을 만듭니다.
  3. 함수 앱 수동 배포 지침에 따라 VSCode를 사용하여 Azure Functions 앱을 배포합니다.
  4. 함수 앱을 성공적으로 배포한 후 구성을 위한 다음 단계를 수행합니다.

2단계 - 함수 앱 구성

  1. 함수 앱 구성에 대한 Azure 포털로 이동합니다.
  2. 함수 앱에서 함수 앱 이름을 선택하고 설정 -> 구성 또는 환경 변수를 선택합니다.
  3. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.
  4. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



IPinfo 회사 데이터 커넥터

지원:IPinfo

이 IPinfo 데이터 커넥터는 Azure 함수 앱을 설치하여 standard_company 데이터 세트를 다운로드하고 Microsoft Sentinel 사용자 지정 로그 테이블에 삽입합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Ipinfo_Company_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • IPinfo API 토큰: 여기에서 IPinfo API 토큰을 검색 합니다.

설치 지침:

1. API 토큰 검색

여기에서 IPinfo API 토큰을 검색 합니다.

2. Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만듭니다.

Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만들고 테넌트 ID, 클라이언트 ID 및 클라이언트 비밀: 이 링크를 사용합니다.

3. AAD 애플리케이션에 Microsoft Sentinel 기여자 역할을 할당합니다.

"Microsoft Sentinel"이 추가되는 "Log Analytic 작업 영역"에 사용하는 것과 동일한 "리소스 그룹"에서 기여자(권한 있는 관리자 역할) 및 모니터링 메트릭 게시자(작업 함수 역할)에 방금 만든 AAD 애플리케이션을 할당합니다. 이 링크를 사용합니다.

4. 작업 영역 리소스 ID 가져오기

'리소스 ID' 속성 값이 있는 Log Analytic 작업 영역 -> 속성 블레이드를 사용합니다. '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' 형식의 정규화된 resourceId입니다.

5. Azure 함수 배포

ARM Tempate를 사용하여 IPinfo 데이터 커넥터의 자동화된 배포에 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET 입력합니다.

Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions 사용하여 IPinfo 데이터 커넥터를 수동으로 배포합니다(Visual Studio Code 통해 배포).

1단계 - 함수 앱 배포

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터 Azure 함수 앱에 보관 파일을 추출합니다.
  2. VSCode를 사용하여 고급 옵션을 사용하여 호스팅 함수 프리미엄 또는 App Service 계획을 사용하여 함수 앱을 만듭니다.
  3. 함수 앱 수동 배포 지침에 따라 VSCode를 사용하여 Azure Functions 앱을 배포합니다.
  4. 함수 앱을 성공적으로 배포한 후 구성을 위한 다음 단계를 수행합니다.

2단계 - 함수 앱 구성

  1. 함수 앱 구성에 대한 Azure 포털로 이동합니다.
  2. 함수 앱에서 함수 앱 이름을 선택하고 설정 -> 구성 또는 환경 변수를 선택합니다.
  3. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.
  4. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



IPinfo Core 데이터 커넥터

지원:IPinfo

이 IPinfo 데이터 커넥터는 Azure 함수 앱을 설치하여 핵심 데이터 세트를 다운로드하고 Microsoft Sentinel 사용자 지정 로그 테이블에 삽입합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Ipinfo_CORE_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • IPinfo API 토큰: 여기에서 IPinfo API 토큰을 검색 합니다.

설치 지침:

1. API 토큰 검색

여기에서 IPinfo API 토큰을 검색 합니다.

2. Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만듭니다.

Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만들고 테넌트 ID, 클라이언트 ID 및 클라이언트 비밀: 이 링크를 사용합니다.

3. AAD 애플리케이션에 Microsoft Sentinel 기여자 역할을 할당합니다.

"Microsoft Sentinel"이 추가되는 "Log Analytic 작업 영역"에 사용하는 것과 동일한 "리소스 그룹"에서 기여자(권한 있는 관리자 역할) 및 모니터링 메트릭 게시자(작업 함수 역할)에 방금 만든 AAD 애플리케이션을 할당합니다. 이 링크를 사용합니다.

4. 작업 영역 리소스 ID 가져오기

'리소스 ID' 속성 값이 있는 Log Analytic 작업 영역 -> 속성 블레이드를 사용합니다. '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' 형식의 정규화된 resourceId입니다.

5. Azure 함수 배포

ARM Tempate를 사용하여 IPinfo 데이터 커넥터의 자동화된 배포에 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET 입력합니다.

Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions 사용하여 IPinfo 데이터 커넥터를 수동으로 배포합니다(Visual Studio Code 통해 배포).

1단계 - 함수 앱 배포

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터 Azure 함수 앱에 보관 파일을 추출합니다.
  2. VSCode를 사용하여 고급 옵션을 사용하여 호스팅 함수 프리미엄 또는 App Service 계획을 사용하여 함수 앱을 만듭니다.
  3. 함수 앱 수동 배포 지침에 따라 VSCode를 사용하여 Azure Functions 앱을 배포합니다.
  4. 함수 앱을 성공적으로 배포한 후 구성을 위한 다음 단계를 수행합니다.

2단계 - 함수 앱 구성

  1. 함수 앱 구성에 대한 Azure 포털로 이동합니다.
  2. 함수 앱에서 함수 앱 이름을 선택하고 설정 -> 구성 또는 환경 변수를 선택합니다.
  3. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.
  4. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



IPinfo Country ASN 데이터 커넥터

지원:IPinfo

이 IPinfo 데이터 커넥터는 Azure 함수 앱을 설치하여 country_asn 데이터 세트를 다운로드하고 Microsoft Sentinel 사용자 지정 로그 테이블에 삽입합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Ipinfo_Country_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • IPinfo API 토큰: 여기에서 IPinfo API 토큰을 검색 합니다.

설치 지침:

1. API 토큰 검색

여기에서 IPinfo API 토큰을 검색 합니다.

2. Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만듭니다.

Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만들고 테넌트 ID, 클라이언트 ID 및 클라이언트 비밀: 이 링크를 사용합니다.

3. AAD 애플리케이션에 Microsoft Sentinel 기여자 역할을 할당합니다.

"Microsoft Sentinel"이 추가되는 "Log Analytic 작업 영역"에 사용하는 것과 동일한 "리소스 그룹"에서 기여자(권한 있는 관리자 역할) 및 모니터링 메트릭 게시자(작업 함수 역할)에 방금 만든 AAD 애플리케이션을 할당합니다. 이 링크를 사용합니다.

4. 작업 영역 리소스 ID 가져오기

'리소스 ID' 속성 값이 있는 Log Analytic 작업 영역 -> 속성 블레이드를 사용합니다. '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' 형식의 정규화된 resourceId입니다.

5. Azure 함수 배포

ARM Tempate를 사용하여 IPinfo 데이터 커넥터의 자동화된 배포에 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET 입력합니다.

Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions 사용하여 IPinfo 데이터 커넥터를 수동으로 배포합니다(Visual Studio Code 통해 배포).

1단계 - 함수 앱 배포

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터 Azure 함수 앱에 보관 파일을 추출합니다.
  2. VSCode를 사용하여 고급 옵션을 사용하여 호스팅 함수 프리미엄 또는 App Service 계획을 사용하여 함수 앱을 만듭니다.
  3. 함수 앱 수동 배포 지침에 따라 VSCode를 사용하여 Azure Functions 앱을 배포합니다.
  4. 함수 앱을 성공적으로 배포한 후 구성을 위한 다음 단계를 수행합니다.

2단계 - 함수 앱 구성

  1. 함수 앱 구성에 대한 Azure 포털로 이동합니다.
  2. 함수 앱에서 함수 앱 이름을 선택하고 설정 -> 구성 또는 환경 변수를 선택합니다.
  3. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.
  4. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



IPinfo 도메인 데이터 커넥터

지원:IPinfo

이 IPinfo 데이터 커넥터는 Azure 함수 앱을 설치하여 standard_domain 데이터 세트를 다운로드하고 Microsoft Sentinel 사용자 지정 로그 테이블에 삽입합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Ipinfo_Domain_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • IPinfo API 토큰: 여기에서 IPinfo API 토큰을 검색 합니다.

설치 지침:

1. API 토큰 검색

여기에서 IPinfo API 토큰을 검색 합니다.

2. Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만듭니다.

Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만들고 테넌트 ID, 클라이언트 ID 및 클라이언트 비밀: 이 링크를 사용합니다.

3. AAD 애플리케이션에 Microsoft Sentinel 기여자 역할을 할당합니다.

"Microsoft Sentinel"이 추가되는 "Log Analytic 작업 영역"에 사용하는 것과 동일한 "리소스 그룹"에서 기여자(권한 있는 관리자 역할) 및 모니터링 메트릭 게시자(작업 함수 역할)에 방금 만든 AAD 애플리케이션을 할당합니다. 이 링크를 사용합니다.

4. 작업 영역 리소스 ID 가져오기

'리소스 ID' 속성 값이 있는 Log Analytic 작업 영역 -> 속성 블레이드를 사용합니다. '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' 형식의 정규화된 resourceId입니다.

5. Azure 함수 배포

ARM Tempate를 사용하여 IPinfo 데이터 커넥터의 자동화된 배포에 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET 입력합니다.

Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions 사용하여 IPinfo 데이터 커넥터를 수동으로 배포합니다(Visual Studio Code 통해 배포).

1단계 - 함수 앱 배포

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터 Azure 함수 앱에 보관 파일을 추출합니다.
  2. VSCode를 사용하여 고급 옵션을 사용하여 호스팅 함수 프리미엄 또는 App Service 계획을 사용하여 함수 앱을 만듭니다.
  3. 함수 앱 수동 배포 지침에 따라 VSCode를 사용하여 Azure Functions 앱을 배포합니다.
  4. 함수 앱을 성공적으로 배포한 후 구성을 위한 다음 단계를 수행합니다.

2단계 - 함수 앱 구성

  1. 함수 앱 구성에 대한 Azure 포털로 이동합니다.
  2. 함수 앱에서 함수 앱 이름을 선택하고 설정 -> 구성 또는 환경 변수를 선택합니다.
  3. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.
  4. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



IPinfo Iplocation Data Connector

지원:IPinfo

이 IPinfo 데이터 커넥터는 Azure 함수 앱을 설치하여 standard_location 데이터 세트를 다운로드하고 Microsoft Sentinel 사용자 지정 로그 테이블에 삽입합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Ipinfo_Location_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • IPinfo API 토큰: 여기에서 IPinfo API 토큰을 검색 합니다.

설치 지침:

1. API 토큰 검색

여기에서 IPinfo API 토큰을 검색 합니다.

2. Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만듭니다.

Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만들고 테넌트 ID, 클라이언트 ID 및 클라이언트 비밀: 이 링크를 사용합니다.

3. AAD 애플리케이션에 Microsoft Sentinel 기여자 역할을 할당합니다.

"Microsoft Sentinel"이 추가되는 "Log Analytic 작업 영역"에 사용하는 것과 동일한 "리소스 그룹"에서 기여자(권한 있는 관리자 역할) 및 모니터링 메트릭 게시자(작업 함수 역할)에 방금 만든 AAD 애플리케이션을 할당합니다. 이 링크를 사용합니다.

4. 작업 영역 리소스 ID 가져오기

'리소스 ID' 속성 값이 있는 Log Analytic 작업 영역 -> 속성 블레이드를 사용합니다. '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' 형식의 정규화된 resourceId입니다.

5. Azure 함수 배포

ARM Tempate를 사용하여 IPinfo 데이터 커넥터의 자동화된 배포에 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET 입력합니다.

Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions 사용하여 IPinfo 데이터 커넥터를 수동으로 배포합니다(Visual Studio Code 통해 배포).

1단계 - 함수 앱 배포

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터 Azure 함수 앱에 보관 파일을 추출합니다.
  2. VSCode를 사용하여 고급 옵션을 사용하여 호스팅 함수 프리미엄 또는 App Service 계획을 사용하여 함수 앱을 만듭니다.
  3. 함수 앱 수동 배포 지침에 따라 VSCode를 사용하여 Azure Functions 앱을 배포합니다.
  4. 함수 앱을 성공적으로 배포한 후 구성을 위한 다음 단계를 수행합니다.

2단계 - 함수 앱 구성

  1. 함수 앱 구성에 대한 Azure 포털로 이동합니다.
  2. 함수 앱에서 함수 앱 이름을 선택하고 설정 -> 구성 또는 환경 변수를 선택합니다.
  3. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.
  4. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



IPinfo Iplocation 확장 데이터 커넥터

지원:IPinfo

이 IPinfo 데이터 커넥터는 Azure 함수 앱을 설치하여 standard_location_extended 데이터 세트를 다운로드하고 Microsoft Sentinel 사용자 지정 로그 테이블에 삽입합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Ipinfo_Location_extended_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • IPinfo API 토큰: 여기에서 IPinfo API 토큰을 검색 합니다.

설치 지침:

1. API 토큰 검색

여기에서 IPinfo API 토큰을 검색 합니다.

2. Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만듭니다.

Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만들고 테넌트 ID, 클라이언트 ID 및 클라이언트 비밀: 이 링크를 사용합니다.

3. AAD 애플리케이션에 Microsoft Sentinel 기여자 역할을 할당합니다.

"Microsoft Sentinel"이 추가되는 "Log Analytic 작업 영역"에 사용하는 것과 동일한 "리소스 그룹"에서 기여자(권한 있는 관리자 역할) 및 모니터링 메트릭 게시자(작업 함수 역할)에 방금 만든 AAD 애플리케이션을 할당합니다. 이 링크를 사용합니다.

4. 작업 영역 리소스 ID 가져오기

'리소스 ID' 속성 값이 있는 Log Analytic 작업 영역 -> 속성 블레이드를 사용합니다. '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' 형식의 정규화된 resourceId입니다.

5. Azure 함수 배포

ARM Tempate를 사용하여 IPinfo 데이터 커넥터의 자동화된 배포에 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET 입력합니다.

Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions 사용하여 IPinfo 데이터 커넥터를 수동으로 배포합니다(Visual Studio Code 통해 배포).

1단계 - 함수 앱 배포

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터 Azure 함수 앱에 보관 파일을 추출합니다.
  2. VSCode를 사용하여 고급 옵션을 사용하여 호스팅 함수 프리미엄 또는 App Service 계획을 사용하여 함수 앱을 만듭니다.
  3. 함수 앱 수동 배포 지침에 따라 VSCode를 사용하여 Azure Functions 앱을 배포합니다.
  4. 함수 앱을 성공적으로 배포한 후 구성을 위한 다음 단계를 수행합니다.

2단계 - 함수 앱 구성

  1. 함수 앱 구성에 대한 Azure 포털로 이동합니다.
  2. 함수 앱에서 함수 앱 이름을 선택하고 설정 -> 구성 또는 환경 변수를 선택합니다.
  3. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.
  4. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



IPinfo Plus Data Connector

지원:IPinfo

이 IPinfo 데이터 커넥터는 Azure 함수 앱을 설치하여 더하기 데이터 세트를 다운로드하고 Microsoft Sentinel 사용자 지정 로그 테이블에 삽입합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Ipinfo_PLUS_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • IPinfo API 토큰: 여기에서 IPinfo API 토큰을 검색 합니다.

설치 지침:

1. API 토큰 검색

여기에서 IPinfo API 토큰을 검색 합니다.

2. Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만듭니다.

Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만들고 테넌트 ID, 클라이언트 ID 및 클라이언트 비밀: 이 링크를 사용합니다.

3. AAD 애플리케이션에 Microsoft Sentinel 기여자 역할을 할당합니다.

"Microsoft Sentinel"이 추가되는 "Log Analytic 작업 영역"에 사용하는 것과 동일한 "리소스 그룹"에서 기여자(권한 있는 관리자 역할) 및 모니터링 메트릭 게시자(작업 함수 역할)에 방금 만든 AAD 애플리케이션을 할당합니다. 이 링크를 사용합니다.

4. 작업 영역 리소스 ID 가져오기

'리소스 ID' 속성 값이 있는 Log Analytic 작업 영역 -> 속성 블레이드를 사용합니다. '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' 형식의 정규화된 resourceId입니다.

5. Azure 함수 배포

ARM Tempate를 사용하여 IPinfo 데이터 커넥터의 자동화된 배포에 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET 입력합니다.

Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions 사용하여 IPinfo 데이터 커넥터를 수동으로 배포합니다(Visual Studio Code 통해 배포).

1단계 - 함수 앱 배포

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터 Azure 함수 앱에 보관 파일을 추출합니다.
  2. VSCode를 사용하여 고급 옵션을 사용하여 호스팅 함수 프리미엄 또는 App Service 계획을 사용하여 함수 앱을 만듭니다.
  3. 함수 앱 수동 배포 지침에 따라 VSCode를 사용하여 Azure Functions 앱을 배포합니다.
  4. 함수 앱을 성공적으로 배포한 후 구성을 위한 다음 단계를 수행합니다.

2단계 - 함수 앱 구성

  1. 함수 앱 구성에 대한 Azure 포털로 이동합니다.
  2. 함수 앱에서 함수 앱 이름을 선택하고 설정 -> 구성 또는 환경 변수를 선택합니다.
  3. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.
  4. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



IPinfo 개인 정보 데이터 커넥터

지원:IPinfo

이 IPinfo 데이터 커넥터는 Azure 함수 앱을 설치하여 standard_privacy 데이터 세트를 다운로드하고 Microsoft Sentinel 사용자 지정 로그 테이블에 삽입합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Ipinfo_Privacy_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • IPinfo API 토큰: 여기에서 IPinfo API 토큰을 검색 합니다.

설치 지침:

1. API 토큰 검색

여기에서 IPinfo API 토큰을 검색 합니다.

2. Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만듭니다.

Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만들고 테넌트 ID, 클라이언트 ID 및 클라이언트 비밀: 이 링크를 사용합니다.

3. AAD 애플리케이션에 Microsoft Sentinel 기여자 역할을 할당합니다.

"Microsoft Sentinel"이 추가되는 "Log Analytic 작업 영역"에 사용하는 것과 동일한 "리소스 그룹"에서 기여자(권한 있는 관리자 역할) 및 모니터링 메트릭 게시자(작업 함수 역할)에 방금 만든 AAD 애플리케이션을 할당합니다. 이 링크를 사용합니다.

4. 작업 영역 리소스 ID 가져오기

'리소스 ID' 속성 값이 있는 Log Analytic 작업 영역 -> 속성 블레이드를 사용합니다. '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' 형식의 정규화된 resourceId입니다.

5. Azure 함수 배포

ARM Tempate를 사용하여 IPinfo 데이터 커넥터의 자동화된 배포에 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET 입력합니다.

Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions 사용하여 IPinfo 데이터 커넥터를 수동으로 배포합니다(Visual Studio Code 통해 배포).

1단계 - 함수 앱 배포

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터 Azure 함수 앱에 보관 파일을 추출합니다.
  2. VSCode를 사용하여 고급 옵션을 사용하여 호스팅 함수 프리미엄 또는 App Service 계획을 사용하여 함수 앱을 만듭니다.
  3. 함수 앱 수동 배포 지침에 따라 VSCode를 사용하여 Azure Functions 앱을 배포합니다.
  4. 함수 앱을 성공적으로 배포한 후 구성을 위한 다음 단계를 수행합니다.

2단계 - 함수 앱 구성

  1. 함수 앱 구성에 대한 Azure 포털로 이동합니다.
  2. 함수 앱에서 함수 앱 이름을 선택하고 설정 -> 구성 또는 환경 변수를 선택합니다.
  3. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.
  4. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



IPinfo 개인 정보 확장 데이터 커넥터

지원:IPinfo

이 IPinfo 데이터 커넥터는 Azure 함수 앱을 설치하여 standard_privacy 데이터 세트를 다운로드하고 Microsoft Sentinel 사용자 지정 로그 테이블에 삽입합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Ipinfo_Privacy_extended_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • IPinfo API 토큰: 여기에서 IPinfo API 토큰을 검색 합니다.

설치 지침:

1. API 토큰 검색

여기에서 IPinfo API 토큰을 검색 합니다.

2. Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만듭니다.

Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만들고 테넌트 ID, 클라이언트 ID 및 클라이언트 비밀: 이 링크를 사용합니다.

3. AAD 애플리케이션에 Microsoft Sentinel 기여자 역할을 할당합니다.

"Microsoft Sentinel"이 추가되는 "Log Analytic 작업 영역"에 사용하는 것과 동일한 "리소스 그룹"에서 기여자(권한 있는 관리자 역할) 및 모니터링 메트릭 게시자(작업 함수 역할)에 방금 만든 AAD 애플리케이션을 할당합니다. 이 링크를 사용합니다.

4. 작업 영역 리소스 ID 가져오기

'리소스 ID' 속성 값이 있는 Log Analytic 작업 영역 -> 속성 블레이드를 사용합니다. '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' 형식의 정규화된 resourceId입니다.

5. Azure 함수 배포

ARM Tempate를 사용하여 IPinfo 데이터 커넥터의 자동화된 배포에 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET 입력합니다.

Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions 사용하여 IPinfo 데이터 커넥터를 수동으로 배포합니다(Visual Studio Code 통해 배포).

1단계 - 함수 앱 배포

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터 Azure 함수 앱에 보관 파일을 추출합니다.
  2. VSCode를 사용하여 고급 옵션을 사용하여 호스팅 함수 프리미엄 또는 App Service 계획을 사용하여 함수 앱을 만듭니다.
  3. 함수 앱 수동 배포 지침에 따라 VSCode를 사용하여 Azure Functions 앱을 배포합니다.
  4. 함수 앱을 성공적으로 배포한 후 구성을 위한 다음 단계를 수행합니다.

2단계 - 함수 앱 구성

  1. 함수 앱 구성에 대한 Azure 포털로 이동합니다.
  2. 함수 앱에서 함수 앱 이름을 선택하고 설정 -> 구성 또는 환경 변수를 선택합니다.
  3. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.
  4. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



IPinfo ResProxy 데이터 커넥터

지원:IPinfo

이 IPinfo 데이터 커넥터는 Azure 함수 앱을 설치하여 ResProxy 데이터 세트를 다운로드하고 Microsoft Sentinel 사용자 지정 로그 테이블에 삽입합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Ipinfo_RESIDENTIAL_PROXY_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • IPinfo API 토큰: 여기에서 IPinfo API 토큰을 검색 합니다.

설치 지침:

1. API 토큰 검색

여기에서 IPinfo API 토큰을 검색 합니다.

2. Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만듭니다.

Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만들고 테넌트 ID, 클라이언트 ID 및 클라이언트 비밀: 이 링크를 사용합니다.

3. AAD 애플리케이션에 Microsoft Sentinel 기여자 역할을 할당합니다.

"Microsoft Sentinel"이 추가되는 "Log Analytic 작업 영역"에 사용하는 것과 동일한 "리소스 그룹"에서 기여자(권한 있는 관리자 역할) 및 모니터링 메트릭 게시자(작업 함수 역할)에 방금 만든 AAD 애플리케이션을 할당합니다. 이 링크를 사용합니다.

4. 작업 영역 리소스 ID 가져오기

'리소스 ID' 속성 값이 있는 Log Analytic 작업 영역 -> 속성 블레이드를 사용합니다. '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' 형식의 정규화된 resourceId입니다.

5. Azure 함수 배포

ARM Tempate를 사용하여 IPinfo 데이터 커넥터의 자동화된 배포에 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET 입력합니다.

Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions 사용하여 IPinfo 데이터 커넥터를 수동으로 배포합니다(Visual Studio Code 통해 배포).

1단계 - 함수 앱 배포

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터 Azure 함수 앱에 보관 파일을 추출합니다.
  2. VSCode를 사용하여 고급 옵션을 사용하여 호스팅 함수 프리미엄 또는 App Service 계획을 사용하여 함수 앱을 만듭니다.
  3. 함수 앱 수동 배포 지침에 따라 VSCode를 사용하여 Azure Functions 앱을 배포합니다.
  4. 함수 앱을 성공적으로 배포한 후 구성을 위한 다음 단계를 수행합니다.

2단계 - 함수 앱 구성

  1. 함수 앱 구성에 대한 Azure 포털로 이동합니다.
  2. 함수 앱에서 함수 앱 이름을 선택하고 설정 -> 구성 또는 환경 변수를 선택합니다.
  3. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.
  4. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



IPinfo RIRWHOIS 데이터 커넥터

지원:IPinfo

이 IPinfo 데이터 커넥터는 RIRWHOIS 데이터 세트를 다운로드하고 Microsoft Sentinel 사용자 지정 로그 테이블에 삽입하는 Azure 함수 앱을 설치합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Ipinfo_RIRWHOIS_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • IPinfo API 토큰: 여기에서 IPinfo API 토큰을 검색 합니다.

설치 지침:

1. API 토큰 검색

여기에서 IPinfo API 토큰을 검색 합니다.

2. Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만듭니다.

Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만들고 테넌트 ID, 클라이언트 ID 및 클라이언트 비밀: 이 링크를 사용합니다.

3. AAD 애플리케이션에 Microsoft Sentinel 기여자 역할을 할당합니다.

"Microsoft Sentinel"이 추가되는 "Log Analytic 작업 영역"에 사용하는 것과 동일한 "리소스 그룹"에서 기여자(권한 있는 관리자 역할) 및 모니터링 메트릭 게시자(작업 함수 역할)에 방금 만든 AAD 애플리케이션을 할당합니다. 이 링크를 사용합니다.

4. 작업 영역 리소스 ID 가져오기

'리소스 ID' 속성 값이 있는 Log Analytic 작업 영역 -> 속성 블레이드를 사용합니다. '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' 형식의 정규화된 resourceId입니다.

5. Azure 함수 배포

ARM Tempate를 사용하여 IPinfo 데이터 커넥터의 자동화된 배포에 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET 입력합니다.

Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions 사용하여 IPinfo 데이터 커넥터를 수동으로 배포합니다(Visual Studio Code 통해 배포).

1단계 - 함수 앱 배포

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터 Azure 함수 앱에 보관 파일을 추출합니다.
  2. VSCode를 사용하여 고급 옵션을 사용하여 호스팅 함수 프리미엄 또는 App Service 계획을 사용하여 함수 앱을 만듭니다.
  3. 함수 앱 수동 배포 지침에 따라 VSCode를 사용하여 Azure Functions 앱을 배포합니다.
  4. 함수 앱을 성공적으로 배포한 후 구성을 위한 다음 단계를 수행합니다.

2단계 - 함수 앱 구성

  1. 함수 앱 구성에 대한 Azure 포털로 이동합니다.
  2. 함수 앱에서 함수 앱 이름을 선택하고 설정 -> 구성 또는 환경 변수를 선택합니다.
  3. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.
  4. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



IPinfo RWHOIS 데이터 커넥터

지원:IPinfo

이 IPinfo 데이터 커넥터는 Azure 함수 앱을 설치하여 RWHOIS 데이터 세트를 다운로드하고 Microsoft Sentinel 사용자 지정 로그 테이블에 삽입합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Ipinfo_RWHOIS_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • IPinfo API 토큰: 여기에서 IPinfo API 토큰을 검색 합니다.

설치 지침:

1. API 토큰 검색

여기에서 IPinfo API 토큰을 검색 합니다.

2. Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만듭니다.

Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만들고 테넌트 ID, 클라이언트 ID 및 클라이언트 비밀: 이 링크를 사용합니다.

3. AAD 애플리케이션에 Microsoft Sentinel 기여자 역할을 할당합니다.

"Microsoft Sentinel"이 추가되는 "Log Analytic 작업 영역"에 사용하는 것과 동일한 "리소스 그룹"에서 기여자(권한 있는 관리자 역할) 및 모니터링 메트릭 게시자(작업 함수 역할)에 방금 만든 AAD 애플리케이션을 할당합니다. 이 링크를 사용합니다.

4. 작업 영역 리소스 ID 가져오기

'리소스 ID' 속성 값이 있는 Log Analytic 작업 영역 -> 속성 블레이드를 사용합니다. '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' 형식의 정규화된 resourceId입니다.

5. Azure 함수 배포

ARM Tempate를 사용하여 IPinfo 데이터 커넥터의 자동화된 배포에 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET 입력합니다.

Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions 사용하여 IPinfo 데이터 커넥터를 수동으로 배포합니다(Visual Studio Code 통해 배포).

1단계 - 함수 앱 배포

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터 Azure 함수 앱에 보관 파일을 추출합니다.
  2. VSCode를 사용하여 고급 옵션을 사용하여 호스팅 함수 프리미엄 또는 App Service 계획을 사용하여 함수 앱을 만듭니다.
  3. 함수 앱 수동 배포 지침에 따라 VSCode를 사용하여 Azure Functions 앱을 배포합니다.
  4. 함수 앱을 성공적으로 배포한 후 구성을 위한 다음 단계를 수행합니다.

2단계 - 함수 앱 구성

  1. 함수 앱 구성에 대한 Azure 포털로 이동합니다.
  2. 함수 앱에서 함수 앱 이름을 선택하고 설정 -> 구성 또는 환경 변수를 선택합니다.
  3. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.
  4. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



IPinfo WHOIS ASN 데이터 커넥터

지원:IPinfo

이 IPinfo 데이터 커넥터는 Azure 함수 앱을 설치하여 WHOIS_ASN 데이터 세트를 다운로드하고 Microsoft Sentinel 사용자 지정 로그 테이블에 삽입합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Ipinfo_WHOIS_ASN_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • IPinfo API 토큰: 여기에서 IPinfo API 토큰을 검색 합니다.

설치 지침:

1. API 토큰 검색

여기에서 IPinfo API 토큰을 검색 합니다.

2. Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만듭니다.

Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만들고 테넌트 ID, 클라이언트 ID 및 클라이언트 비밀: 이 링크를 사용합니다.

3. AAD 애플리케이션에 Microsoft Sentinel 기여자 역할을 할당합니다.

"Microsoft Sentinel"이 추가되는 "Log Analytic 작업 영역"에 사용하는 것과 동일한 "리소스 그룹"에서 기여자(권한 있는 관리자 역할) 및 모니터링 메트릭 게시자(작업 함수 역할)에 방금 만든 AAD 애플리케이션을 할당합니다. 이 링크를 사용합니다.

4. 작업 영역 리소스 ID 가져오기

'리소스 ID' 속성 값이 있는 Log Analytic 작업 영역 -> 속성 블레이드를 사용합니다. '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' 형식의 정규화된 resourceId입니다.

5. Azure 함수 배포

ARM Tempate를 사용하여 IPinfo 데이터 커넥터의 자동화된 배포에 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET 입력합니다.

Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions 사용하여 IPinfo 데이터 커넥터를 수동으로 배포합니다(Visual Studio Code 통해 배포).

1단계 - 함수 앱 배포

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터 Azure 함수 앱에 보관 파일을 추출합니다.
  2. VSCode를 사용하여 고급 옵션을 사용하여 호스팅 함수 프리미엄 또는 App Service 계획을 사용하여 함수 앱을 만듭니다.
  3. 함수 앱 수동 배포 지침에 따라 VSCode를 사용하여 Azure Functions 앱을 배포합니다.
  4. 함수 앱을 성공적으로 배포한 후 구성을 위한 다음 단계를 수행합니다.

2단계 - 함수 앱 구성

  1. 함수 앱 구성에 대한 Azure 포털로 이동합니다.
  2. 함수 앱에서 함수 앱 이름을 선택하고 설정 -> 구성 또는 환경 변수를 선택합니다.
  3. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.
  4. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



IPinfo WHOIS MNT 데이터 커넥터

지원:IPinfo

이 IPinfo 데이터 커넥터는 Azure 함수 앱을 설치하여 WHOIS_MNT 데이터 세트를 다운로드하고 Microsoft Sentinel 사용자 지정 로그 테이블에 삽입합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Ipinfo_WHOIS_MNT_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • IPinfo API 토큰: 여기에서 IPinfo API 토큰을 검색 합니다.

설치 지침:

1. API 토큰 검색

여기에서 IPinfo API 토큰을 검색 합니다.

2. Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만듭니다.

Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만들고 테넌트 ID, 클라이언트 ID 및 클라이언트 비밀: 이 링크를 사용합니다.

3. AAD 애플리케이션에 Microsoft Sentinel 기여자 역할을 할당합니다.

"Microsoft Sentinel"이 추가되는 "Log Analytic 작업 영역"에 사용하는 것과 동일한 "리소스 그룹"에서 기여자(권한 있는 관리자 역할) 및 모니터링 메트릭 게시자(작업 함수 역할)에 방금 만든 AAD 애플리케이션을 할당합니다. 이 링크를 사용합니다.

4. 작업 영역 리소스 ID 가져오기

'리소스 ID' 속성 값이 있는 Log Analytic 작업 영역 -> 속성 블레이드를 사용합니다. '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' 형식의 정규화된 resourceId입니다.

5. Azure 함수 배포

ARM Tempate를 사용하여 IPinfo 데이터 커넥터의 자동화된 배포에 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET 입력합니다.

Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions 사용하여 IPinfo 데이터 커넥터를 수동으로 배포합니다(Visual Studio Code 통해 배포).

1단계 - 함수 앱 배포

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터 Azure 함수 앱에 보관 파일을 추출합니다.
  2. VSCode를 사용하여 고급 옵션을 사용하여 호스팅 함수 프리미엄 또는 App Service 계획을 사용하여 함수 앱을 만듭니다.
  3. 함수 앱 수동 배포 지침에 따라 VSCode를 사용하여 Azure Functions 앱을 배포합니다.
  4. 함수 앱을 성공적으로 배포한 후 구성을 위한 다음 단계를 수행합니다.

2단계 - 함수 앱 구성

  1. 함수 앱 구성에 대한 Azure 포털로 이동합니다.
  2. 함수 앱에서 함수 앱 이름을 선택하고 설정 -> 구성 또는 환경 변수를 선택합니다.
  3. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.
  4. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



IPinfo WHOIS NET Data Connector

지원:IPinfo

이 IPinfo 데이터 커넥터는 Azure 함수 앱을 설치하여 WHOIS_NET 데이터 세트를 다운로드하고 Microsoft Sentinel 사용자 지정 로그 테이블에 삽입합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Ipinfo_WHOIS_NET_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • IPinfo API 토큰: 여기에서 IPinfo API 토큰을 검색 합니다.

설치 지침:

1. API 토큰 검색

여기에서 IPinfo API 토큰을 검색 합니다.

2. Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만듭니다.

Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만들고 테넌트 ID, 클라이언트 ID 및 클라이언트 비밀: 이 링크를 사용합니다.

3. AAD 애플리케이션에 Microsoft Sentinel 기여자 역할을 할당합니다.

"Microsoft Sentinel"이 추가되는 "Log Analytic 작업 영역"에 사용하는 것과 동일한 "리소스 그룹"에서 기여자(권한 있는 관리자 역할) 및 모니터링 메트릭 게시자(작업 함수 역할)에 방금 만든 AAD 애플리케이션을 할당합니다. 이 링크를 사용합니다.

4. 작업 영역 리소스 ID 가져오기

'리소스 ID' 속성 값이 있는 Log Analytic 작업 영역 -> 속성 블레이드를 사용합니다. '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' 형식의 정규화된 resourceId입니다.

5. Azure 함수 배포

ARM Tempate를 사용하여 IPinfo 데이터 커넥터의 자동화된 배포에 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET 입력합니다.

Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions 사용하여 IPinfo 데이터 커넥터를 수동으로 배포합니다(Visual Studio Code 통해 배포).

1단계 - 함수 앱 배포

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터 Azure 함수 앱에 보관 파일을 추출합니다.
  2. VSCode를 사용하여 고급 옵션을 사용하여 호스팅 함수 프리미엄 또는 App Service 계획을 사용하여 함수 앱을 만듭니다.
  3. 함수 앱 수동 배포 지침에 따라 VSCode를 사용하여 Azure Functions 앱을 배포합니다.
  4. 함수 앱을 성공적으로 배포한 후 구성을 위한 다음 단계를 수행합니다.

2단계 - 함수 앱 구성

  1. 함수 앱 구성에 대한 Azure 포털로 이동합니다.
  2. 함수 앱에서 함수 앱 이름을 선택하고 설정 -> 구성 또는 환경 변수를 선택합니다.
  3. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.
  4. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



IPinfo WHOIS ORG 데이터 커넥터

지원:IPinfo

이 IPinfo 데이터 커넥터는 Azure 함수 앱을 설치하여 WHOIS_ORG 데이터 세트를 다운로드하고 Microsoft Sentinel 사용자 지정 로그 테이블에 삽입합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Ipinfo_WHOIS_ORG_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • IPinfo API 토큰: 여기에서 IPinfo API 토큰을 검색 합니다.

설치 지침:

1. API 토큰 검색

여기에서 IPinfo API 토큰을 검색 합니다.

2. Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만듭니다.

Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만들고 테넌트 ID, 클라이언트 ID 및 클라이언트 비밀: 이 링크를 사용합니다.

3. AAD 애플리케이션에 Microsoft Sentinel 기여자 역할을 할당합니다.

"Microsoft Sentinel"이 추가되는 "Log Analytic 작업 영역"에 사용하는 것과 동일한 "리소스 그룹"에서 기여자(권한 있는 관리자 역할) 및 모니터링 메트릭 게시자(작업 함수 역할)에 방금 만든 AAD 애플리케이션을 할당합니다. 이 링크를 사용합니다.

4. 작업 영역 리소스 ID 가져오기

'리소스 ID' 속성 값이 있는 Log Analytic 작업 영역 -> 속성 블레이드를 사용합니다. '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' 형식의 정규화된 resourceId입니다.

5. Azure 함수 배포

ARM Tempate를 사용하여 IPinfo 데이터 커넥터의 자동화된 배포에 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET 입력합니다.

Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions 사용하여 IPinfo 데이터 커넥터를 수동으로 배포합니다(Visual Studio Code 통해 배포).

1단계 - 함수 앱 배포

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터 Azure 함수 앱에 보관 파일을 추출합니다.
  2. VSCode를 사용하여 고급 옵션을 사용하여 호스팅 함수 프리미엄 또는 App Service 계획을 사용하여 함수 앱을 만듭니다.
  3. 함수 앱 수동 배포 지침에 따라 VSCode를 사용하여 Azure Functions 앱을 배포합니다.
  4. 함수 앱을 성공적으로 배포한 후 구성을 위한 다음 단계를 수행합니다.

2단계 - 함수 앱 구성

  1. 함수 앱 구성에 대한 Azure 포털로 이동합니다.
  2. 함수 앱에서 함수 앱 이름을 선택하고 설정 -> 구성 또는 환경 변수를 선택합니다.
  3. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.
  4. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



IPinfo WHOIS POC 데이터 커넥터

지원:IPinfo

이 IPinfo 데이터 커넥터는 Azure 함수 앱을 설치하여 WHOIS_POC 데이터 세트를 다운로드하고 Microsoft Sentinel 사용자 지정 로그 테이블에 삽입합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Ipinfo_WHOIS_POC_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • IPinfo API 토큰: 여기에서 IPinfo API 토큰을 검색 합니다.

설치 지침:

1. API 토큰 검색

여기에서 IPinfo API 토큰을 검색 합니다.

2. Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만듭니다.

Azure AD 테넌트에서 Azure AAD(Active Directory) 애플리케이션을 만들고 테넌트 ID, 클라이언트 ID 및 클라이언트 비밀: 이 링크를 사용합니다.

3. AAD 애플리케이션에 Microsoft Sentinel 기여자 역할을 할당합니다.

"Microsoft Sentinel"이 추가되는 "Log Analytic 작업 영역"에 사용하는 것과 동일한 "리소스 그룹"에서 기여자(권한 있는 관리자 역할) 및 모니터링 메트릭 게시자(작업 함수 역할)에 방금 만든 AAD 애플리케이션을 할당합니다. 이 링크를 사용합니다.

4. 작업 영역 리소스 ID 가져오기

'리소스 ID' 속성 값이 있는 Log Analytic 작업 영역 -> 속성 블레이드를 사용합니다. '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' 형식의 정규화된 resourceId입니다.

5. Azure 함수 배포

ARM Tempate를 사용하여 IPinfo 데이터 커넥터의 자동화된 배포에 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. RESOURCE_ID, IPINFO_TOKEN, TENANT_ID, CLIENT_ID, CLIENT_SECRET 입력합니다.

Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions 사용하여 IPinfo 데이터 커넥터를 수동으로 배포합니다(Visual Studio Code 통해 배포).

1단계 - 함수 앱 배포

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터 Azure 함수 앱에 보관 파일을 추출합니다.
  2. VSCode를 사용하여 고급 옵션을 사용하여 호스팅 함수 프리미엄 또는 App Service 계획을 사용하여 함수 앱을 만듭니다.
  3. 함수 앱 수동 배포 지침에 따라 VSCode를 사용하여 Azure Functions 앱을 배포합니다.
  4. 함수 앱을 성공적으로 배포한 후 구성을 위한 다음 단계를 수행합니다.

2단계 - 함수 앱 구성

  1. 함수 앱 구성에 대한 Azure 포털로 이동합니다.
  2. 함수 앱에서 함수 앱 이름을 선택하고 설정 -> 구성 또는 환경 변수를 선택합니다.
  3. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.
  4. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



Island Enterprise Browser V2

지원자:아일랜드

Island Enterprise Browser V2 데이터 커넥터를 사용하면 단일 커넥터 내에서 사용자 이벤트, 관리 이벤트 및 시스템 이벤트를 모두 수집할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Island_UserEvents_V2_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

설치 지침:

아일랜드를 Microsoft Sentinel 연결

API URL 및 API 키는 아일랜드 관리 콘솔을 통해 사용할 수 있습니다. 자세한 지침은 공식 아일랜드 설명서를 참조하세요.

  • API URL: (API URL)
  • API 키: (키)
  • 연결 사용/사용 안 함



Jamf 보호 푸시 커넥터

지원:Jamf Software, LLC

Jamf Protect 커넥터는 Microsoft Sentinel Jamf Protect에서 원시 이벤트 데이터를 읽는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
jamfprotecttelemetryv2_CL
jamfprotectunifiedlogs_CL
jamfprotectalerts_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Microsoft Entra: Microsoft Entra ID 앱 등록을 만들 수 있는 권한입니다. 일반적으로 Entra ID 애플리케이션 개발자 역할 이상이 필요합니다.
  • Microsoft Azure: DCR(데이터 수집 규칙)에 대한 모니터링 메트릭 게시자 역할을 할당할 수 있는 권한입니다. 일반적으로 AZURE RBAC 소유자 또는 사용자 액세스 관리자 역할이 필요합니다.

설치 지침:

1. ARM 리소스 만들기 및 필요한 권한 제공

이 커넥터는 Jamf Protect에서 데이터 전달 옵션을 사용하도록 설정한 경우 Jamf Protect가 Microsoft Analytics 작업 영역에서 사용하는 테이블에서 데이터를 읽습니다. 그러면 원시 이벤트 데이터가 Microsoft Sentinel 수집 API로 전송됩니다.

Entra 애플리케이션을 사용하여 자동화된 구성 및 보안 데이터 수집 "배포"를 클릭하면 Log Analytics 테이블 및 DCR(데이터 수집 규칙)의 생성이 트리거됩니다. 그런 다음, Entra 애플리케이션을 만들고, DCR을 연결하고, 애플리케이션에 입력한 비밀을 설정합니다. 이 설정을 사용하면 Entra 토큰을 사용하여 데이터를 DCR로 안전하게 보낼 수 있습니다.

2. 작업 영역에 로그 푸시

다음 매개 변수를 사용하여 작업 영역으로 로그를 보내도록 컴퓨터를 구성합니다.

  • 테넌트 ID(디렉터리 ID): <설치 시 제공되는 변수 값>
  • Entra 앱 등록 애플리케이션 ID: <설치 시 제공되는 변수 값>
  • Entra 앱 등록 비밀: <설치 시 제공되는 변수 값>
  • 데이터 수집 엔드포인트 Uri: <설치 시 제공되는 변수 값>
  • 데이터 수집 규칙 변경할 수 없는 ID: <설치 시 제공되는 변수 값>
  • 통합 로그 Stream 이름: <설치 시 제공되는 변수 값>
  • 원격 분석 Stream 이름: <설치 시 제공되는 변수 값>
  • 이름 Stream 경고: <설치 시 제공되는 변수 값>



JoeSandboxThreatIntelligence(Azure Functions 사용)

지원 대상:스테판 뷔를만

JoeSandboxThreatIntelligence 커넥터는 JoeSandbox에 대한 모든 제출에 대한 위협 인텔리전스를 자동으로 생성하고 공급하여 Sentinel 위협 탐지 및 인시던트 대응을 개선합니다. 이 원활한 통합을 통해 팀은 새로운 위협을 사전에 해결할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ThreatIntelligenceIndicator 아니요

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Azure 구독: azure active directory()에 애플리케이션을 등록하고 리소스 그룹의 앱에 기여자 역할을 할당하려면 소유자 역할이 있는 Azure 구독이 필요합니다.
  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • REST API 자격 증명/권한: JoeSandbox API 키가 필요합니다.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 JoeSandbox API에 연결하여 JoeSandbox Threat IOC를 Microsoft Sentinel. 이로 인해 데이터 수집 및 데이터를 Azure Blob Storage 비용에 저장하는 추가 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지Azure Blob Storage 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

옵션 1 - Flex 소비 계획을 위한 ARM(Azure Resource Manager) 템플릿

ARM 템플릿을 사용하여 데이터 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 애플리케이션 ID, 테넌트 ID, 클라이언트 암호, JoeSandbox API 키, JoeSandbox 초기 인출 날짜, TimeInterval 및 배포를 입력합니다.

  4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  5. 구매를 클릭하여 배포합니다.

옵션 2 - 프리미엄 플랜에 대한 ARM(Azure Resource Manager) 템플릿

ARM 템플릿을 사용하여 데이터 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 애플리케이션 ID, 테넌트 ID, 클라이언트 암호, JoeSandbox API 키, JoeSandbox 초기 인출 날짜, TimeInterval 및 배포를 입력합니다.

  4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  5. 구매를 클릭하여 배포합니다.



Keeper 보안 푸시 커넥터

지원:Keeper 보안

Keeper Security 커넥터는 Microsoft Sentinel Keeper Security에서 원시 이벤트 데이터를 읽는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
KeeperSecurityEventNewLogs_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Microsoft Entra: Microsoft Entra ID 앱 등록을 만들 수 있는 권한입니다. 일반적으로 Entra ID 애플리케이션 개발자 역할 이상이 필요합니다.
  • Microsoft Azure: DCR(데이터 수집 규칙)에 대한 모니터링 메트릭 게시자 역할을 할당할 수 있는 권한입니다. 일반적으로 AZURE RBAC 소유자 또는 사용자 액세스 관리자 역할이 필요합니다.

설치 지침:

1. ARM 리소스 만들기 및 필요한 권한 제공

이 커넥터는 Keeper Security가 Microsoft Analytics 작업 영역에서 사용하는 테이블에서 데이터를 읽습니다. Keeper Security에서 데이터 전달 옵션을 사용하도록 설정한 경우 원시 이벤트 데이터가 Microsoft Sentinel 수집 API로 전송됩니다.

Entra 애플리케이션을 사용하여 자동화된 구성 및 보안 데이터 수집 "배포"를 클릭하면 Log Analytics 테이블 및 DCR(데이터 수집 규칙)의 생성이 트리거됩니다. 그런 다음, Entra 애플리케이션을 만들고, DCR을 연결하고, 애플리케이션에 입력한 비밀을 설정합니다. 이 설정을 사용하면 Entra 토큰을 사용하여 데이터를 DCR로 안전하게 보낼 수 있습니다.

2. 작업 영역에 로그 푸시

다음 매개 변수를 사용하여 작업 영역으로 로그를 보내도록 컴퓨터를 구성합니다.

  • 테넌트 ID(디렉터리 ID): <설치 시 제공되는 변수 값>
  • Entra 앱 등록 애플리케이션 ID: <설치 시 제공되는 변수 값>
  • Entra 앱 등록 비밀: <설치 시 제공되는 변수 값>
  • 데이터 수집 엔드포인트 Uri: <설치 시 제공되는 변수 값>
  • 데이터 수집 규칙 변경할 수 없는 ID: <설치 시 제공되는 변수 값>
  • 이벤트 로그 Stream 이름: <설치 시 제공되는 변수 값>

3. Keeper 관리 콘솔 업데이트

Azure 연결 세부 정보를 사용하여 Keeper 관리 콘솔을 구성하여 데이터 전달을 Microsoft Sentinel.

Keeper 관리 콘솔에서 Azure 모니터 로그 구성

Keeper 관리 콘솔에서 Keeper 관리자로 로그인합니다. 그런 다음 보고 & 경고로 이동하여 로그 모니터링 Azure 선택합니다.

위의 2단계에서 관리 콘솔에 다음 정보를 제공합니다.

  • Azure 테넌트 ID: Azure "구독" 영역에서 찾을 수 있습니다.
  • 애플리케이션(클라이언트) ID: 앱 등록(KeeperLogging) 개요 화면에 있습니다.
  • 클라이언트 암호 값: 앱 등록 비밀의 클라이언트 암호 값입니다.
  • 엔드포인트 URL: 다음과 같은 특정 형식으로 만들어진 URL입니다. https://<collection_url>/dataCollectionRules/<dcr_id>/streams/<table>?api-version=2023-01-01

엔드포인트 URL을 어셈블하려면 다음을 수행합니다.

  • <컬렉션 URL> 위의 2단계에서 제공됩니다.
  • < >데이터 수집기 규칙에서 DCR_ID "변경할 수 없는 ID" 값(예: )을 복사합니다.dcr-xxxxxxx
  • Azure 만든 테이블 이름입니다(예: ).Custom-KeeperSecurityEventNewLogs

    예: https://<Collection_URL>/dataCollectionRules/<DCR_ID>/streams/Custom-KeeperSecurityEventNewLogs?api-version=2023-01-01



    LastPass Enterprise - 보고(폴링 CCF)

    지원자:집단 컨설팅

    LastPass Enterprise 커넥터는 Microsoft Sentinel LastPass 보고(감사) 로그에 대한 기능을 제공합니다. 커넥터는 LastPass 내의 로그인 및 활동(예: 암호 읽기 및 제거)에 대한 가시성을 제공합니다.

    Log Analytics 테이블:

    DCR 지원 레이크 전용 수집
    LastPassNativePoller_CL

    데이터 수집 규칙 지원:작업 영역 변환 DCR

    필수 구성 요소:

    설치 지침:

    LastPass Enterprise를 Microsoft Sentinel 연결

    LastPass 프로비저닝 API 키를 제공합니다.



Lookout Mobile 위협 탐지 커넥터(코드리스 커넥터 프레임워크를 통해)(미리 보기)

지원자:Lookout

Lookout Mobile 위협 탐지 데이터 커넥터는 모바일 위험 API를 통해 모바일 보안 위험과 관련된 이벤트를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 API 설명서를 참조하세요. 이 커넥터는 모바일 디바이스에서 검색된 잠재적 보안 위험을 검사하는 데 도움이 됩니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
LookoutMtdV2_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

Lookout Mobile Threat Defense 커넥터를 Microsoft Sentinel 연결

Lookout에 연결하기 전에 다음 필수 구성 요소가 완료되었는지 확인합니다.

  1. 모바일 위협 탐지 API에는 ApiKey가 필요합니다. API에 대한 자세한 내용은 설명서를 참조하세요. 모든 요구 사항을 확인하고 자격 증명을 얻기 위한 지침을 따릅니다.
  • API 키: (API 키 입력)
  • 연결 사용/사용 안 함



Luminar IOC 및 유출된 자격 증명(Azure Functions 사용)

지원:Cognyte Luminar

Luminar IOC 및 유출된 자격 증명 커넥터를 사용하면 인텔리전스 기반 IOC 데이터와 Luminar로 식별된 고객 관련 유출 레코드를 통합할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ThreatIntelligenceIndicator 아니요

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Azure 구독: azure active directory()에 애플리케이션을 등록하고 리소스 그룹의 앱에 기여자 역할을 할당하려면 소유자 역할이 있는 Azure 구독이 필요합니다.
  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • REST API 자격 증명/권한: Luminar 클라이언트 ID, Luminar 클라이언트 암호Luminar 계정 ID 가 필요합니다.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Cognyte Luminar API에 연결하여 Luminar IOC 및 유출된 자격 증명을 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 데이터 수집 및 데이터를 Azure Blob Storage 비용에 저장하는 추가 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지Azure Blob Storage 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

옵션 1 - ARM(Azure Resource Manager) 템플릿

ARM 템플릿을 사용하여 데이터 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 애플리케이션 ID, 테넌트 ID, 클라이언트 암호, Luminar API 클라이언트 ID, Luminar API 계정 ID, Luminar API 클라이언트 비밀, 제한, TimeInterval 및 배포를 입력합니다.

  4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  5. 구매를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions 사용하여 Cognyte Luminar 데이터 커넥터를 수동으로 배포합니다(Visual Studio Code 통해 배포).

  1. 함수 앱 배포

참고: Azure 함수 개발을 위해 VS 코드를 준비해야 합니다.

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.

  2. VS Code를 시작합니다. 주 메뉴에서 파일을 선택하고 폴더 열기를 선택합니다.

  3. 추출된 파일에서 최상위 폴더를 선택합니다.

  4. 작업 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 함수에 배포 앱 단추를 선택합니다. 아직 로그인하지 않은 경우 활동 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 로그인을 선택하여 Azure 이미 로그인한 경우 다음 단계로 이동합니다.

  5. 프롬프트에서 다음 정보를 제공합니다.

    a. 폴더 선택: 작업 영역에서 폴더를 선택하거나 함수 앱이 포함된 폴더로 이동합니다.

    b. 구독을 선택합니다. 사용할 구독을 선택합니다.

    c. Azure 새 함수 앱 만들기를 선택합니다(고급 옵션을 선택하지 않음).

    d. 함수 앱의 전역적으로 고유한 이름을 입력합니다 . URL 경로에 유효한 이름을 입력합니다. 입력한 이름은 Azure Functions 고유하도록 유효성을 검사합니다. (예: CognyteLuminarXXX).

    e. 런타임 선택: Python 3.11을 선택합니다.

    f. 새 리소스의 위치를 선택합니다. 성능 향상 및 비용 절감을 위해 Microsoft sentinel이 있는 동일한 지역을 선택합니다.

  6. 배포가 시작됩니다. 함수 앱이 만들어지고 배포 패키지가 적용된 후 알림이 표시됩니다.

  7. 함수 앱 구성에 대한 Azure 포털로 이동합니다.

  8. 함수 앱 구성

  9. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.

  10. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.

  11. 각 문자열 값(대/소문자 구분)을 사용하여 각 애플리케이션 설정을 개별적으로 추가합니다. 애플리케이션 ID 테넌트 ID 클라이언트 비밀 Luminar API 클라이언트 ID Luminar API 계정 ID Luminar API 클라이언트 암호 제한 TimeInterval - logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 다음 형식으로 값을 지정합니다.https://<CustomerId>.ods.opinsights.azure.us

  12. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



MailGuard 365

지원:MailGuard 365

MailGuard 365 Microsoft 365용 향상된 Email 보안. Microsoft 마켓플레이스 전용인 MailGuard 365는 피싱, 랜섬웨어 및 정교한 BEC 공격과 같은 고급 전자 메일 위협에 대한 향상된 보호를 위해 Microsoft 365 보안(Defender 포함)과 통합됩니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
MailGuard365_Threats_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

MailGuard 365 구성 및 연결

  1. MailGuard 365 콘솔의 탐색 모음에서 설정을 클릭합니다.
  2. 통합 탭 클릭합니다.
  3. 사용 Microsoft Sentinel 클릭합니다.
  4. 아래 필드에서 작업 영역 ID 및 기본 키를 입력하고 마침을 클릭합니다.
  5. 추가 지침은 MailGuard 365 지원에 문의하세요.
  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>



MailRisk by Secure Practice

지원:보안 사례

MailRisk by Secure Practice 커넥터를 사용하면 MailRisk API에서 메일 위협 인텔리전스 데이터를 Microsoft Sentinel 수집할 수 있습니다. 이 커넥터는 보고된 이메일, 위험 평가 및 이메일 위협과 관련된 보안 이벤트에 대한 가시성을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
MailRiskEventEmails_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • API 자격 증명: 관리 포털의 설정에서 만들어지는 보안 사례 API 키 쌍도 필요합니다. 설명 Microsoft Sentinel이 있는 새 키 쌍을 생성합니다.

설치 지침:

1. 보안 사례 API 자격 증명 가져오기

Secure Practice 계정에 로그인하고 아직 API 키 및 API 비밀을 생성하지 않은 경우 생성합니다.

2. MailRisk API에 연결

아래에 보안 사례 API 자격 증명을 입력합니다. 자격 증명은 안전하게 저장되고 API 요청을 인증하는 데 사용됩니다.

  • API 키: (보안 사례 API 키 입력)
  • API 비밀: (보안 연습 API 비밀 입력)
  • 연결 사용/사용 안 함



meshStack 이벤트 로그

지원:meshcloud GmbH

meshStack 이벤트 로그 커넥터는 meshStack 플랫폼 이벤트를 Microsoft Sentinel 수집하는 기능을 제공합니다. meshStack 이벤트 로그를 Microsoft Sentinel 연결하면 통합 문서에서 이 데이터를 보고, 이를 사용하여 사용자 지정 경고를 만들고, 클라우드 플랫폼 거버넌스, 감사 및 규정 준수 모니터링에 대한 조사 프로세스를 개선할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
meshStackEventLogs_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • meshStack OAuth2 API 키: '관리: 모든 작업 영역에서 이벤트 로그 나열' 권한이 있는 유효한 meshStack API 키가 필요합니다. Access Control API 키 아래의 meshStack 관리 패널에서 > API 키를 만듭니다. API 키는 인증을 위해 OAuth2 자격 증명(키 ID는 client_id, 키 암호는 client_secret)을 제공합니다. 참고: API 키는 작업 영역에 바인딩되지만 모든 작업 영역의 이벤트에 액세스할 수 있습니다.
  • meshStack 인스턴스: 이벤트 API를 사용하도록 설정된 meshStack instance 대한 액세스입니다.

설치 지침:

meshStack 이벤트 로그를 Microsoft Sentinel 연결

API 키에서 meshStack instance API URL 및 OAuth2 자격 증명을 입력합니다. API URL 형식은 이어야 https://your-meshstack-instance.io합니다. '관리: 모든 작업 영역에서 이벤트 로그 나열' 권한이 있는 meshStack(관리 Panel >> Access Control API 키)에서 API 키를 만듭니다. API 키는 OAuth2 인증을 위한 키 ID(client_id) 및 키 암호 (client_secret)를 제공합니다.

  • meshStack API URL: (https://your-meshstack-instance.io)
  • 클라이언트 ID(키 ID): (API 키에서 키 ID 입력)
  • 클라이언트 암호(키 암호): (API 키에서 키 비밀 입력)
  • 연결 사용/사용 안 함



Microsoft 365(이전의 Office 365)

지원:Microsoft Corporation

Microsoft 365(이전의 Office 365) 활동 로그 커넥터는 진행 중인 사용자 활동에 대한 인사이트를 제공합니다. 파일 다운로드, 전송된 액세스 요청, 그룹 이벤트 변경 내용, 설정 사서함 및 작업을 수행한 사용자의 세부 정보와 같은 작업에 대한 세부 정보를 얻을 수 있습니다. Microsoft 365 로그를 Microsoft Sentinel 연결하면 이 데이터를 사용하여 대시보드를 보고, 사용자 지정 경고를 만들고, 조사 프로세스를 개선할 수 있습니다. 자세한 내용은 Microsoft Sentinel 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
OfficeActivity

데이터 수집 규칙 지원:작업 영역 변환 DCR

Microsoft 365 Insider Risk Management

지원:Microsoft Corporation

Microsoft 365 Insider Risk Management는 Microsoft 365의 규정 준수 솔루션으로, organization 악의적이고 의도치 않은 활동을 감지, 조사 및 수행할 수 있도록 하여 내부 위험을 최소화하는 데 도움이 됩니다. 조직의 위험 분석가는 적절한 조치를 신속하게 수행하여 사용자가 조직의 규정 준수 표준을 준수하도록 할 수 있습니다.

내부자 위험 정책을 사용하면 다음을 수행할 수 있습니다.

  • 는 organization 식별하고 검색하려는 위험 유형을 정의합니다.
  • 필요한 경우 Microsoft Advanced eDiscovery 사례를 에스컬레이션하는 등 대응 조치를 결정합니다.

이 솔루션은 Microsoft 365 규정 준수 센터의 참가자 위험 관리 솔루션에서 Office 고객이 볼 수 있는 경고를 생성합니다. 내부 위험 관리에 대해 자세히 알아보세요.

이러한 경고를 이 커넥터를 사용하여 Microsoft Sentinel 가져올 수 있으므로 광범위한 조직 위협 컨텍스트에서 해당 경고를 보고 조사하고 대응할 수 있습니다. 자세한 내용은 Microsoft Sentinel 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
SecurityAlert

데이터 수집 규칙 지원:작업 영역 변환 DCR

Microsoft Active-Directory 도메인 컨트롤러 보안 이벤트 로그

지원자:커뮤니티

[옵션 3 & 4] - Azure Monitor 에이전트 사용 - Windows 에이전트를 사용하여 Microsoft Sentinel 작업 영역에 연결된 Windows 컴퓨터에서 일부 또는 모든 도메인 컨트롤러 보안 이벤트 로그를 스트리밍할 수 있습니다. 이 연결을 사용하면 사용자 지정 경고를 만들고 조사를 개선할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
SecurityEvent

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Azure Log Analytics는 사용되지 않으며, Azure VM에서 데이터를 수집하려면 Arc를 Azure 것이 좋습니다. 자세한 정보
  • 자세한 설명서: >참고: 설치 절차 및 사용에 대한 자세한 설명서는 여기에서 확인할 수 있습니다.

설치 지침:

참고: 이 솔루션은 옵션을 기반으로 합니다. 이렇게 하면 일부 옵션이 매우 많은 양의 데이터를 생성할 수 있으므로 수집할 데이터를 선택할 수 있습니다. 수집하려는 항목에 따라 통합 문서, 분석 규칙, 헌팅 기능을 추적하여 배포할 옵션을 선택합니다. 각 옵션은 서로 독립적입니다. 각 옵션에 대해 자세히 알아보려면 'Microsoft Exchange Security' wiki

이 데이터 커넥터는 Wiki의 옵션 3과 4 입니다.

1. Microsoft Sentinel 로그를 수집하는 데 필요한 에이전트 다운로드 및 설치

서버 유형(Exchange Server, Exchange Server에 연결된 도메인 컨트롤러 또는 모든 도메인 컨트롤러)은 배포하려는 옵션에 따라 달라집니다.

모니터 에이전트 배포

이 단계는 Exchange Server/Domain Controllers 배포 Azure Arc 에이전트를 처음 온보딩한 경우에만 필요합니다. 자세한 정보

도메인 컨트롤러의 보안 로그

도메인 컨트롤러의 보안 로그를 스트리밍하는 방법을 선택합니다. 옵션 3을 구현하려면 Exchange Server와 동일한 사이트에서 DC를 선택하기만 하면 됩니다. 옵션 4를 구현하려는 경우 포리스트의 모든 DC를 선택할 수 있습니다.

[옵션 3] 다음 단계를 위해 Exchange Server와 동일한 사이트에 도메인 컨트롤러만 나열합니다.

이렇게 하면 수집된 데이터의 양이 제한되지만 일부 인시던트를 검색할 수 없습니다.

[옵션 4] 다음 단계를 위해 Active-Directory 포리스트의 모든 도메인 컨트롤러 나열

이렇게 하면 모든 보안 이벤트를 수집할 수 있습니다.

보안 이벤트 로그 수집

데이터 수집 규칙 - 보안 이벤트 로그

보안 로그 보안 이벤트 로그에 대한 데이터 수집 규칙 사용은 Windows 에이전트에서만 수집됩니다.

  1. 리소스 탭에서 선택한 DC 를 추가합니다 .
  2. 보안 로그 수준 선택

공통 수준은 최소 필수 수준입니다. DCR 정의에서 '일반' 또는 '모든 보안 이벤트'를 선택하세요.

  • 에이전트 설치: <설치 시 제공되는 변수 값>



Microsoft Copilot

지원:Microsoft

Microsoft Sentinel Microsoft Copilot 로그 커넥터를 사용하면 고급 위협 탐지, 조사 및 대응을 위해 M365 Copilot 및 Security Copilot copilot에서 생성된 활동 로그를 Microsoft Sentinel 원활하게 수집할 수 있습니다. 사용량 현황 데이터 및 시스템 응답과 같은 Microsoft Copilot 서비스에서 원격 분석을 수집하고 Microsoft Sentinel 수집하여 보안 팀이 오용을 모니터링하고, 변칙을 감지하고, 조직 정책 준수를 유지할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CopilotActivity 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • 테넌트 권한: 작업 영역의 테넌트에서 '보안 관리자' 또는 '전역 관리자'입니다.

설치 지침:

Microsoft Copilot 감사 로그를 Microsoft Sentinel 연결

이 커넥터는 Office 관리 API를 사용하여 Microsoft Copilot 감사 로그를 가져옵니다. 로그는 기존 Microsoft Sentinel 작업 영역에 저장되고 처리됩니다. CopilotActivity 테이블에서 데이터를 찾을 수 있습니다.

  • 연결 사용/사용 안 함



Microsoft Dataverse

지원:Microsoft Corporation

Microsoft Dataverse는 조직에서 비즈니스 애플리케이션에서 사용하는 데이터를 저장하고 관리할 수 있는 확장 가능하고 안전한 데이터 플랫폼입니다. Microsoft Dataverse 데이터 커넥터는 Microsoft Purview 감사 로그에서 Microsoft Sentinel CRM 활동 로그를 수집하고 Dynamics 365 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
DataverseActivity

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • 테넌트 권한: 작업 영역의 테넌트에서 '보안 관리자' 또는 '전역 관리자'입니다.
  • Micorosft Purview 감사: Microsoft Purview 감사(Standard 또는 프리미엄)를 활성화해야 합니다.
  • 프로덕션 Dataverse: 활동 로깅은 프로덕션 환경에서만 사용할 수 있습니다. 샌드박스와 같은 다른 형식은 활동 로깅을 지원하지 않습니다.
  • Dataverse 감사 설정: 감사 설정은 전역적으로 및 엔터티/테이블 수준에서 모두 구성되어야 합니다. 자세한 내용은 Dataverse 감사 설정을 참조하세요.

설치 지침:

Microsoft Dataverse 감사 로그를 Microsoft Sentinel 연결

이 커넥터는 Office 관리 API를 사용하여 Dataverse 감사 로그를 가져옵니다. 로그는 기존 Microsoft Sentinel 작업 영역에 저장되고 처리됩니다. DataverseActivity 테이블에서 데이터를 찾을 수 있습니다.

  • 연결 사용/사용 안 함



Microsoft Defender for Cloud Apps

지원:Microsoft Corporation

Microsoft Defender for Cloud Apps 연결하면 클라우드 앱에 대한 가시성을 확보하고, 정교한 분석을 통해 사이버 위협을 식별하고 방지하며, 데이터 이동 방식을 제어할 수 있습니다.

  • 네트워크에서 섀도 IT 클라우드 앱을 식별합니다.
  • 조건 및 세션 컨텍스트에 따라 액세스를 제어하고 제한합니다.
  • 데이터 공유 및 데이터 손실 방지를 위해 기본 제공 또는 사용자 지정 정책을 사용합니다.
  • 랜섬웨어 활동, 불가능한 여행, 의심스러운 이메일 전달 규칙 및 파일 대량 다운로드를 포함하여 Microsoft 동작 분석 및 변칙 검색 기능을 사용하여 위험 수준이 높은 사용을 식별하고 비정상적인 사용자 활동에 대한 경고를 가져옵니다.
  • 파일 대량 다운로드

지금 배포 >

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
SecurityAlert​ 아니요 아니요
McasShadowItReporting​ 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

엔드포인트용 Microsoft Defender

지원:Microsoft Corporation

엔드포인트용 Microsoft Defender 고급 위협을 방지, 탐지, 조사 및 대응하도록 설계된 보안 플랫폼입니다. 플랫폼은 의심스러운 보안 이벤트가 organization 표시되면 경고를 만듭니다. 보안 이벤트를 효과적으로 분석할 수 있도록 엔드포인트용 Microsoft Defender 생성된 경고를 Microsoft Sentinel 가져옵니다. 즉각적인 응답을 위해 규칙을 만들고, 대시보드를 빌드하고, 플레이북을 작성할 수 있습니다. 자세한 내용은 Microsoft Sentinel 설명서를 참조하세요>.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
SecurityAlert

데이터 수집 규칙 지원:작업 영역 변환 DCR

Microsoft Defender for Identity

지원:Microsoft Corporation

Microsoft Defender for Identity 연결하여 이벤트 및 사용자 분석에 대한 가시성을 확보합니다. Microsoft Defender for Identity organization 대상으로 하는 고급 위협, 손상된 ID 및 악의적인 내부자 작업을 식별, 검색 및 조사하는 데 도움이 됩니다. Microsoft Defender for Identity 사용하면 하이브리드 환경에서 고급 공격을 감지하는 데 어려움을 겪고 있는 SecOp 분석가 및 보안 전문가가 다음을 수행할 수 있습니다.

  • 학습 기반 분석을 사용하여 사용자, 엔터티 동작 및 활동 모니터링
  • Active Directory에 저장된 사용자 ID와 자격 증명을 보호합니다.
  • 킬체인에서 수상한 사용자 활동과 고급 공격을 식별하고 조사합니다.
  • 빠른 분류를 위해 간단한 타임라인에 명확한 인시던트 정보를 제공합니다.

지금 사용해 보기 >

지금 배포 >

자세한 내용은 Microsoft Sentinel 설명서를 참조하세요>.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
SecurityAlert

데이터 수집 규칙 지원:작업 영역 변환 DCR

IoT용 Microsoft Defender

지원:Microsoft Corporation

IoT 경고에 대한 Microsoft Defender Microsoft Sentinel 연결하여 IoT 보안에 대한 인사이트를 얻습니다. 경고 추세, 상위 경고 및 심각도별 경고 분석을 포함하여 기본 제공 경고 메트릭 및 데이터를 가져올 수 있습니다. 또한 심각도별 상위 권장 사항 및 권장 사항을 포함하여 IoT Hub에 제공된 권장 사항에 대한 정보를 얻을 수 있습니다. 자세한 내용은 Microsoft Sentinel 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
SecurityAlert

데이터 수집 규칙 지원:작업 영역 변환 DCR

Office 365 Microsoft Defender(미리 보기)

지원:Microsoft Corporation

Office 365 Microsoft Defender 전자 메일 메시지, 링크(URL) 및 공동 작업 도구로 인한 악의적인 위협으로부터 organization 보호합니다. Office 365 경고에 대한 Microsoft Defender Microsoft Sentinel 수집하여 메일 및 URL 기반 위협에 대한 정보를 광범위한 위험 분석에 통합하고 그에 따라 응답 시나리오를 빌드할 수 있습니다.

다음 유형의 경고를 가져옵니다.

  • 잠재적으로 악의적인 URL 클릭이 검색되었습니다.
  • 맬웨어가 포함된 전자 메일 메시지가 전달 후 제거됨
  • 피싱 URL이 포함된 전자 메일 메시지가 전달 후 제거됨
  • 사용자가 맬웨어 또는 피싱 메일로 보고한 전자 메일
  • 의심스러운 이메일 보내기 패턴이 검색됨
  • 사용자가 전자 메일을 보낼 수 없습니다.

이러한 경고는 ** Office 보안 및 규정 준수 센터**에서 Office 고객이 볼 수 있습니다.

자세한 내용은 Microsoft Sentinel 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
SecurityAlert

데이터 수집 규칙 지원:작업 영역 변환 DCR

Microsoft Defender 위협 인텔리전스

지원:Microsoft Corporation

Microsoft Sentinel 모니터링, 경고 및 헌팅을 사용하도록 Microsoft에서 생성된 위협 인텔리전스를 가져올 수 있는 기능을 제공합니다. 이 데이터 커넥터를 사용하여 MDTI(Microsoft Defender 위협 인텔리전스)에서 Microsoft Sentinel IOC(손상 지표)를 가져옵니다. 위협 지표에는 IP 주소, 도메인, URL 및 파일 해시 등이 포함될 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ThreatIntelligenceIndicator 아니요

데이터 수집 규칙 지원:작업 영역 변환 DCR

Microsoft Defender XDR

지원:Microsoft Corporation

Microsoft Defender XDR 엔드포인트, ID, 이메일 및 애플리케이션을 보호하고 정교한 위협을 감지, 방지, 조사 및 자동으로 대응하는 통합된 고유의 통합된 사전 및 사후 위반 엔터프라이즈 방어 제품군입니다.

Microsoft Defender XDR 제품군에는 다음이 포함됩니다.

  • 엔드포인트용 Microsoft Defender
  • ID용 Microsoft Defender
  • Office 365용 Microsoft Defender
  • 위협 & 취약성 관리
  • Microsoft Defender for Cloud Apps

자세한 내용은 Microsoft Sentinel 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
SecurityIncident
SecurityAlert
DeviceEvents
EmailEvents
IdentityLogonEvents
CloudAppEvents
AlertEvidence

데이터 수집 규칙 지원:작업 영역 변환 DCR

Microsoft Entra ID

지원:Microsoft Corporation

감사 및 로그인 로그를 Microsoft Sentinel 연결하여 Microsoft Entra ID 시나리오에 대한 인사이트를 수집하여 Microsoft Entra ID 대한 인사이트를 얻습니다. 로그인 로그를 사용하여 앱 사용, 조건부 액세스 정책, 레거시 인증 관련 세부 정보에 대해 알아볼 수 있습니다. 감사 로그 테이블을 사용하여 사용자, 그룹, 역할, 앱 관리와 같은 SSPR(셀프 서비스 암호 재설정) 사용량, Microsoft Entra ID 관리 활동에 대한 정보를 얻을 수 있습니다. 자세한 내용은 Microsoft Sentinel 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
SigninLogs
AuditLogs
AADNonInteractiveUserSignInLogs
AADServicePrincipalSignInLogs
AADManagedIdentitySignInLogs
AADProvisioningLogs
ADFSSignInLogs
AADUserRiskEvents
AADRiskyUsers
NetworkAccessTraffic
AADRiskyServicePrincipals
AADServicePrincipalRiskEvents

데이터 수집 규칙 지원:작업 영역 변환 DCR

Microsoft Entra ID 자산

지원:Microsoft Corporation

Entra ID 자산 데이터 커넥터는 자산 정보로 세부 정보를 보완하여 활동 데이터에 대한 풍부한 인사이트를 제공합니다. 이 커넥터의 데이터는 Purview에서 데이터 위험 그래프를 빌드하는 데 사용됩니다. 이러한 그래프를 사용하도록 설정한 경우 이 커넥터를 비활성화하면 그래프가 빌드되지 않습니다. 데이터 위험 그래프에 대해 알아봅니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집

데이터 수집 규칙 지원: 현재 지원되지 않음

설치 지침:



Microsoft Entra ID 보호

지원:Microsoft Corporation

Microsoft Entra ID Protection은 위험 사용자, 위험 이벤트 및 취약성에 대한 통합 보기를 제공하며, 위험을 즉시 수정하고 향후 이벤트를 자동으로 수정하는 정책을 설정할 수 있습니다. 이 서비스는 소비자 ID를 보호하는 Microsoft의 경험을 기반으로 하며, 하루에 130억 개 이상의 로그인을 통해 신호로부터 엄청난 정확도를 얻습니다. Microsoft Microsoft Entra ID Protection 경고를 Microsoft Sentinel 통합하여 대시보드를 보고, 사용자 지정 경고를 만들고, 조사를 개선합니다. 자세한 내용은 Microsoft Sentinel 설명서를 참조하세요.

프리미엄 P1/P2 Microsoft Entra ID 받기

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
SecurityAlert

데이터 수집 규칙 지원:작업 영역 변환 DCR

이벤트 로그별 Microsoft Exchange 관리 감사 로그

지원자:커뮤니티

[옵션 1] - Azure Monitor 에이전트 사용 - Windows 에이전트를 사용하여 Microsoft Sentinel 작업 영역에 연결된 Windows 컴퓨터에서 모든 Exchange 감사 이벤트를 스트리밍할 수 있습니다. 이 연결을 사용하면 대시보드를 보고, 사용자 지정 경고를 만들고, 조사를 개선할 수 있습니다. 이는 Microsoft Exchange 보안 통합 문서에서 온-프레미스 Exchange 환경의 보안 인사이트를 제공하는 데 사용됩니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Event 아니요

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Azure Log Analytics는 사용되지 않으며, Azure VM에서 데이터를 수집하려면 Arc를 Azure 것이 좋습니다. 자세한 정보
  • 자세한 설명서: >참고: 설치 절차 및 사용에 대한 자세한 설명서는 여기에서 확인할 수 있습니다.

설치 지침:

참고: 이 솔루션은 옵션을 기반으로 합니다. 이렇게 하면 일부 옵션이 매우 많은 양의 데이터를 생성할 수 있으므로 수집할 데이터를 선택할 수 있습니다. 수집하려는 항목에 따라 통합 문서, 분석 규칙, 헌팅 기능을 추적하여 배포할 옵션을 선택합니다. 각 옵션은 서로 독립적입니다. 각 옵션에 대해 자세히 알아보려면 'Microsoft Exchange Security' wiki

이 데이터 커넥터는 wiki의 옵션 1 입니다.

1. Microsoft Sentinel 로그를 수집하는 데 필요한 에이전트 다운로드 및 설치

서버 유형(Exchange Server, Exchange Server에 연결된 도메인 컨트롤러 또는 모든 도메인 컨트롤러)은 배포하려는 옵션에 따라 달라집니다.

모니터 에이전트 배포

이 단계는 Exchange Server/Domain Controllers 배포 Azure Arc 에이전트를 처음 온보딩한 경우에만 필요합니다. 자세한 정보

2. [옵션 1] MS Exchange 관리 로그 컬렉션 - MS Exchange 관리 데이터 수집 규칙에 의한 이벤트 로그 감사

MS Exchange 관리 감사 이벤트 로그는 DCR(데이터 수집 규칙)을 사용하여 수집되며 Exchange 환경에서 실행된 모든 관리 Cmdlet을 저장할 수 있습니다.

Dcr

데이터 수집 규칙 배포

데이터 수집 규칙 사용 Microsoft Exchange 관리 감사 이벤트 로그는 Windows 에이전트에서만 수집됩니다.

옵션 1 - ARM(Azure Resource Manager) 템플릿(선호)

DCR의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 작업 영역 이름 '및/또는 기타 필수 필드'를 입력합니다.

  4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  5. 구매를 클릭하여 배포합니다.

옵션 2 - Azure Automation 수동 배포

다음 단계별 지침을 사용하여 데이터 수집 규칙을 수동으로 배포합니다.

대답. DCR 만들기, 이벤트 로그 입력

  1. Azure 포털에서 Azure 데이터 수집 규칙으로 이동합니다.
  2. 위쪽에서 + 만들기 를 클릭합니다.
  3. 기본 탭에서 필요한 필드를 입력하고 플랫폼 유형으로 Windows를 선택하고 DCR에 이름을 지정합니다.
  4. 리소스 탭에서 Exchange Server를 입력합니다.
  5. '수집 및 배달'에서 데이터 원본 형식 'Windows 이벤트 로그'를 추가하고 '사용자 지정' 옵션을 선택하고 식으로 'MSExchange Management'를 입력하고 추가합니다.
  6. 필요한 경우 '다른 바람직한 구성 변경'을 클릭한 다음 만들기를 클릭합니다.

모든 Exchange 서버에 DCR 할당

DCR에 모든 Exchange 서버 추가

참고: 이 데이터 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 예상대로 작동합니다. 파서는 솔루션과 함께 자동으로 배포됩니다. 단계에 따라 Kusto Functions 별칭: ExchangeAdminAuditLogs를 만듭니다.

파서는 솔루션 배포 중에 자동으로 배포됩니다. 수동으로 배포하려면 다음 단계를 수행합니다.

수동 파서 배포

1. 파서 파일 다운로드

최신 버전의 ExchangeAdminAuditLogs 파일

2. 파서 ExchangeAdminAuditLogs 함수 만들기

Microsoft Sentinel 로그 분석의 '로그' 탐색기에서 파일의 내용을 로그 탐색기에 복사합니다.

3. 파서 ExchangeAdminAuditLogs 함수 저장

저장 단추를 클릭합니다. 이 파서에는 매개 변수가 필요하지 않습니다. 저장을 다시 클릭합니다.



Microsoft Exchange HTTP 프록시 로그

지원자:커뮤니티

[옵션 7] - Azure Monitor 에이전트 사용 - Windows 에이전트를 사용하여 Microsoft Sentinel 작업 영역에 연결된 Windows 컴퓨터에서 HTTP 프록시 로그 및 보안 이벤트 로그를 스트리밍할 수 있습니다. 이 연결을 사용하면 사용자 지정 경고를 만들고 조사를 개선할 수 있습니다. 자세한 정보

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ExchangeHttpProxy_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Azure Log Analytics는 더 이상 사용되지 않습니다. Azure Log Analytics는 더 이상 사용되지 않으며, Azure VM에서 데이터를 수집하려면 Arc를 Azure 것이 좋습니다. 자세한 정보
  • 자세한 설명서: >참고: 설치 절차 및 사용에 대한 자세한 설명서는 여기에서 확인할 수 있습니다.

설치 지침:

참고: 이 솔루션은 옵션을 기반으로 합니다. 이렇게 하면 일부 옵션이 매우 많은 양의 데이터를 생성할 수 있으므로 수집할 데이터를 선택할 수 있습니다. 수집하려는 항목에 따라 통합 문서, 분석 규칙, 헌팅 기능을 추적하여 배포할 옵션을 선택합니다. 각 옵션은 서로 독립적입니다. 각 옵션에 대해 자세히 알아보려면 'Microsoft Exchange Security' wiki

이 데이터 커넥터는 wiki의 옵션 7 입니다.

1. Microsoft Sentinel 로그를 수집하는 데 필요한 에이전트 다운로드 및 설치

서버 유형(Exchange Server, Exchange Server에 연결된 도메인 컨트롤러 또는 모든 도메인 컨트롤러)은 배포하려는 옵션에 따라 달라집니다.

모니터 에이전트 배포

이 단계는 Exchange Server/Domain Controllers 배포 Azure Arc 에이전트를 처음 온보딩한 경우에만 필요합니다. 자세한 정보

2. [옵션 7] Exchange 서버의 HTTP 프록시

Exchange 서버의 HTTP 프록시를 스트리밍하는 방법 선택

데이터 수집 규칙 - Azure Monitor 에이전트를 사용하는 경우

데이터 수집 규칙 사용 메시지 추적은 Windows 에이전트에서만 수집됩니다.

옵션 1 - ARM(Azure Resource Manager) 템플릿(기본 메서드)

DCE 및 DCR의 자동화된 배포에 이 방법을 사용합니다.

대답. DCE 만들기(Exchange 서버에 대해 아직 만들어지지 않은 경우)

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. DCE의 제안된 이름을 변경할 수 있습니다.

  4. 만들기를 클릭하여 배포합니다.

B. 데이터 연결 규칙 배포

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 작업 영역 ID '및/또는 기타 필수 필드'를 입력합니다.

  4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  5. 구매를 클릭하여 배포합니다.

옵션 2 - Azure Automation 수동 배포

다음 단계별 지침을 사용하여 데이터 수집 규칙을 수동으로 배포합니다.

사용자 지정 테이블 만들기 - 설명

사용자 지정 테이블은 Azure 포털을 사용하여 만들 수 없습니다. ARM 템플릿, PowerShell 스크립트 또는 여기에 설명된 다른 메서드를 사용해야 합니다.

ARM 템플릿을 사용하여 사용자 지정 테이블 만들기

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹, 위치 및 분석 작업 영역 이름을 선택합니다.

  3. 만들기를 클릭하여 배포합니다.

Cloud Shell PowerShell을 사용하여 사용자 지정 테이블 만들기

  1. Azure 포털에서 Cloud Shell 엽니다.
  2. 복사하여 붙여넣고 Cloud Shell 다음 스크립트를 실행하여 테이블을 만듭니다. $tableParams = @' { "properties": { "schema": { "name": "ExchangeHttpProxy_CL", "columns": [ { "name": "AccountForestLatencyBreakup", "type": "string" }, { "name": "ActivityContextLifeTime", "type": "string" }, { "name": "ADLatency", "type": "string" }, { "name": "AnchorMailbox", "type": "string" }, { "name": "AuthenticatedUser", "type": "string" }, { "name": "AuthenticationType", "type": "string" }, { "name": "AuthModulePerfContext", "type": "string" }, { "name": "BackEndCookie", "type": "string" }, { "name": "BackEndGenericInfo", "type": "string" }, { "name": "BackendProcessingLatency", "type": "string" }, { "name": "BackendReqInitLatency", "type": "string" }, { "name": "BackendReqStreamLatency", "type": "string" }, { "name": "BackendRespInitLatency", "type": "string" }, { "name": "BackendRespStreamLatency", "type": "string" }, { "name": "BackEndStatus", "type": "string" }, { "name": "BuildVersion", "type": "string" }, { "name": "CalculateTargetBackEndLatency", "type": "string" }, { "name": "ClientIpAddress", "type": "string" }, { "name": "ClientReqStreamLatency", "type": "string" }, { "name": "ClientRequestId", "type": "string" }, { "name": "ClientRespStreamLatency", "type": "string" }, { "name": "CoreLatency", "type", "string" }, { "name": "DatabaseGuid", "type": "string" }, { "name": "EdgeTraceId", "type": "string" }, { "name": "ErrorCode", "type": "string" }, { "name": "GenericErrors", "type": "string" }, { "name": "GenericInfo", "type": "string" }, { { "name": "GlsLatencyBreakup", "type": "string" }, { "name": "HandlerCompletionLatency", "type": "string" }, { "name": "HandlerToModuleSwitchingLatency", "type": "string" }, { "name": "HttpPipelineLatency", "type": "string" }, { "name": "HttpProxyOverhead", "type": "string" }, { "name": "HttpStatus", "type": "string" }, { "name": "IsAuthenticated", "type": "string" }, { "name": "KerberosAuthHeaderLatency", "type": "string" }, { "name": "type": "string" }, { "name": "Method", "type": "string" }, { "name": "MinorVersion", "type": "string" }, { "name": "ModuleToHandlerSwitchingLatency", "type": "string" }, { "name": "Organization", "type": "string" }, { "name": "PartitionEndpointLookupLatency", "type": "string" }, { "name": "Protocol", "type": "string" }, { "name": "ProtocolAction", "type": "string" }, { "name": "ProxyAction", "type": "string" }, { "name": "ProxyTime", "type": "string" }, { "name": "RequestBytes", "type": "string" }, { "name": "RequestHandlerLatency", "type": "string" }, { "name": "RequestId", "type": "string" }, { "name": "ResourceForestLatencyBreakup", "type": "string" }, { "name": "ResponseBytes", "type": "string" }, { "name": "RevisionVersion", "type": "string" }, { "name": "RouteRefresherLatency", "type", "string" }, { "name": "RoutingHint", "type": "string" }, { "name": "RoutingLatency", "type": "string" }, { "name": "type": "string" }, { "name": "RoutingType", "type": "string" }, { "name": "ServerHostName", "type": "string" }, { "name": "ServerLocatorHost", "type": "string" }, { "name": "ServerLocatorLatency", "type": "string" }, { "name": "SharedCacheLatencyBreakup", "type": "string" }, { "name": "TargetOutstandingRequests", "type": "string" }, { "name": "TargetServer", "type": "string" }, { "name": "TargetServerVersion", "type": "string" }, { "name": "TotalAccountForestLatency", "type": "string" }, { "name": "TotalGlsLatency", "type": "string" }, { "name": "TotalRequestTime", "type": "string" }, { { "name": "TotalResourceForestLatency", "type": "string" }, { "name": "TotalSharedCacheLatency", "type": "string" }, { "name": "UrlHost", "type": "string" }, { "name", "type": "string" }, { "name", "UrlStem", "type": "string" }, { "name": "UserADObjectGuid", "type": "string" }, { "name": "UserAgent", "type": "string" }, { "name": "TimeGenerated", "type": "datetime" }, { "name": "FilePath", "type": "string" } } } @
  3. 고유한 값으로 다음 매개 변수를 복사, 바꾸기, 붙여넣기 및 실행합니다. $SubscriptionID = 'YourGUID' $ResourceGroupName = 'YourResourceGroupName' $WorkspaceName = 'YourWorkspaceName'
  4. 다음 Cmdlet을 실행하여 테이블을 만듭니다. Invoke-AzRestMethod -Path "/subscriptions/$SubscriptionID/resourcegroups/$ResourceGroupName/providers/microsoft.operationalinsights/workspaces/$WorkspaceName/tables/ExchangeHttpProxy_CL?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

대답. DCE 만들기(Exchange 서버에 대해 아직 만들어지지 않은 경우)

  1. Azure Portal에서 Azure Data 컬렉션 엔드포인트로 이동합니다.
  2. 위쪽에서 + 만들기 를 클릭합니다.
  3. 기본 탭에서 필요한 필드를 입력하고 DCE에 이름을 지정합니다.
  4. 필요한 경우 '다른 바람직한 구성 변경'을 클릭한 다음 만들기를 클릭합니다.

B. DCR 만들기, 사용자 지정 로그 입력

  1. Azure 포털에서 Azure 데이터 수집 규칙으로 이동합니다.
  2. '만들기' 단추를 클릭합니다.
  3. '기본' 탭에서 DCR-Option7-HTTPProxyLogs와 같은 규칙 이름을 입력하고 이전에 만든 엔드포인트가 있는 '데이터 컬렉션 엔드포인트'를 선택하고 다른 매개 변수를 채웁니다.
  4. 리소스 탭에서 Exchange 서버를 추가합니다.
  5. 수집 및 배달에서 데이터 원본 형식 '사용자 지정 텍스트 로그'를 추가하고 'C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Autodiscover*.log', 'C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Eas*.log','C:\Program Files\ Microsoft\Exchange Server\V15\Logging\HttpProxy\Ecp*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Ews*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Mapi*.log','C:\Program Files\ Microsoft\Exchange Server\V15\Logging\HttpProxy\Oab*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy \Owa*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\OwaCalendar*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\PowerShell*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\RpcHttp*.log'
  6. 테이블 이름에 'ExchangeHttpProxy_CL'을 넣습니다.
  7. 변환 필드에 다음 KQL 요청: source | 을 입력합니다. extend d = split(RawData,',') | extend DateTime=todatetime(d[0]),RequestId=tostring(d[1]) ,MajorVersion=tostring(d[2]) ,MinorVersion=tostring(d[[ 3]) ,BuildVersion=tostring(d[4]) ,RevisionVersion=tostring(d[5]) ,ClientRequestId=tostring(d[6]) ,Protocol =tostring(d[7]) ,UrlHost=tostring(d[8]) ,UrlStem=tostring(d[9]) ,ProtocolAction=tostring(d[10) ]) ,AuthenticationType=tostring(d[11]) ,IsAuthenticated=tostring(d[12]) ,AuthenticatedUser=tostring(d[13]) , Organization=tostring(d[14]) ,AnchorMailbox=tostring(d[15]) ,UserAgent=tostring(d[16]) ,ClientIpAddress=tostring(d[[ 17]) ,ServerHostName=tostring(d[18]) ,HttpStatus=tostring(d[19]) ,BackEndStatus=tostring(d[20]) , ErrorCode=tostring(d[21]) ,Method=tostring(d[22]) ,ProxyAction=tostring(d[23]) ,TargetServer=tostring(d[2) 4]) ,TargetServerVersion=tostring(d[25]) ,RoutingType=tostring(d[26]) ,RoutingHint=tostring(d[27]) , BackEndCookie=tostring(d[28]) ,ServerLocatorHost=tostring(d[29]) ,ServerLocatorLatency=tostring(d[30]) ,RequestBytes =tostring(d[31]) ,ResponseBytes=tostring(d[32]) ,TargetOutstandingRequests=tostring(d[33]) ,AuthModulePerfContext=tostring(d[34]) ,HttpPipelineLatency=tostring(d[35]) ,CalculateTargetBackEndLatency=tostring(d[36]) ,GlsLatencyBreakup=tostring(d[37]) ,TotalGlsLatency=tostring(d[38]) ,AccountForestLatencyBreakup=tostring(d[39]) , TotalAccountForestLatency=tostring(d[40]) ,ResourceForestLatencyBreakup=tostring(d[41]) ,TotalResourceForestLatency=tostring(d[4) 2]) ,ADLatency=tostring(d[43]) ,SharedCacheLatencyBreakup=tostring(d[44]) ,TotalSharedCacheLatency=tostring() d[45]) ,ActivityContextLifeTime=tostring(d[46]) ,ModuleToHandlerSwitchingLatency=tostring(d[47]) ,ClientReqStreamLatency =tostring(d[48]) ,BackendReqInitLatency=tostring(d[49]) ,BackendReqStreamLatency=tostring(d[50]) , BackendProcessingLatency=tostring(d[51]) ,BackendRespInitLatency=tostring(d[52]) ,BackendRespStreamLatency=tostring(d[5) 3]) ,ClientRespStreamLatency=tostring(d[54]) ,KerberosAuthHeaderLatency=tostring(d[55]) ,HandlerCompletionLatency=tostring(d) [56]) ,RequestHandlerLatency=tostring(d[57]) ,HandlerToModuleSwitchingLatency=tostring(d[58]) ,ProxyTime=tostring(d[59]) ,CoreLatency=tostring(d[60]) ,RoutingLatency=tostring(d[61]) ,HttpProxyOverhead=tostring(d[62]) , TotalRequestTime=tostring(d[63]) ,RouteRefresherLatency=tostring(d[64]) ,UrlQuery=tostring(d[65]) ,BackEndGenericInfo=tostring(d[66]) ,GenericInfo=tostring(d[67]) ,GenericErrors=tostring() d[68]) ,EdgeTraceId=tostring(d[69]) ,DatabaseGuid=tostring(d[70]) ,UserADObjectGuid=tostring(d[71]) ,PartitionEndpointLookupLatency=tostring(d[72]) ,RoutingStatus=tostring(d[73]) | extend TimeGenerated = DateTime | project-away d,RawData,DateTime | project-away d,RawData,DateTime을 클릭하고 '대상'을 클릭합니다.
  8. '대상'에서 대상을 추가하고 이전에 사용자 지정 테이블을 만든 작업 영역을 선택합니다.
  9. '데이터 원본 추가'를 클릭합니다.
  10. 다른 필수 매개 변수 및 태그를 채우고 DCR을 만듭니다.

모든 Exchange 서버에 DCR 할당

DCR에 모든 Exchange 서버 추가



Microsoft Exchange 로그 및 이벤트

지원자:커뮤니티

[옵션 2] - Azure Monitor 에이전트 사용 - Windows 에이전트를 사용하여 Microsoft Sentinel 작업 영역에 연결된 Windows 컴퓨터에서 모든 Exchange Security & 애플리케이션 이벤트 로그를 스트리밍할 수 있습니다. 이 연결을 사용하면 사용자 지정 경고를 만들고 조사를 개선할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Event 아니요

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Azure Log Analytics는 더 이상 사용되지 않습니다. Azure Log Analytics는 더 이상 사용되지 않으며, Azure VM에서 데이터를 수집하려면 Arc를 Azure 것이 좋습니다. 자세한 정보
  • 자세한 설명서: >참고: 설치 절차 및 사용에 대한 자세한 설명서는 여기에서 확인할 수 있습니다.

설치 지침:

참고: 이 솔루션은 옵션을 기반으로 합니다. 이렇게 하면 일부 옵션이 매우 많은 양의 데이터를 생성할 수 있으므로 수집할 데이터를 선택할 수 있습니다. 수집하려는 항목에 따라 통합 문서, 분석 규칙, 헌팅 기능을 추적하여 배포할 옵션을 선택합니다. 각 옵션은 서로 독립적입니다. 각 옵션에 대해 자세히 알아보려면 'Microsoft Exchange Security' wiki

이 데이터 커넥터는 wiki의 옵션 2 입니다.

1. Microsoft Sentinel 로그를 수집하는 데 필요한 에이전트 다운로드 및 설치

서버 유형(Exchange Server, Exchange Server에 연결된 도메인 컨트롤러 또는 모든 도메인 컨트롤러)은 배포하려는 옵션에 따라 달라집니다.

모니터 에이전트 배포

이 단계는 Exchange Server/Domain Controllers 배포 Azure Arc 에이전트를 처음 온보딩한 경우에만 필요합니다. 자세한 정보

2. [옵션 2] Exchange 서버의 보안/애플리케이션/시스템 로그

Exchange Server의 보안/애플리케이션/시스템 로그는 DCR(데이터 수집 규칙)을 사용하여 수집됩니다.

보안 이벤트 로그 수집

데이터 수집 규칙 - 보안 이벤트 로그

보안 로그 보안 이벤트 로그에 대한 데이터 수집 규칙 사용은 Windows 에이전트에서만 수집됩니다.

  1. 리소스 탭에 Exchange Server 를 추가합니다 .
  2. 보안 로그 수준 선택

공통 수준은 최소 필수 수준입니다. DCR 정의에서 '일반' 또는 '모든 보안 이벤트'를 선택하세요.

  • 에이전트 설치: <설치 시 제공되는 변수 값>

애플리케이션 및 시스템 이벤트 로그 수집

데이터 수집 규칙 사용

애플리케이션 및 시스템 이벤트 로그는 Windows 에이전트에서만 수집됩니다.

옵션 1 - ARM(Azure Resource Manager) 템플릿(기본 메서드)

DCR의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 작업 영역 이름 '및/또는 기타 필수 필드'를 입력합니다.

  4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  5. 구매를 클릭하여 배포합니다.

옵션 2 - Azure Automation 수동 배포

다음 단계별 지침을 사용하여 데이터 수집 규칙을 수동으로 배포합니다.

대답. DCR 만들기, 이벤트 로그 입력

  1. Azure 포털에서 Azure 데이터 수집 규칙으로 이동합니다.
  2. 위쪽에서 + 만들기 를 클릭합니다.
  3. 기본 탭에서 필요한 필드를 입력하고 플랫폼 유형으로 Windows를 선택하고 DCR에 이름을 지정합니다.
  4. 리소스 탭에서 Exchange Server를 입력합니다.
  5. '수집 및 배달'에서 데이터 원본 형식 'Windows 이벤트 로그'를 추가하고 '기본' 옵션을 선택합니다.
  6. 애플리케이션에서 '위험', '오류' 및 '경고'를 선택합니다. 시스템에서 위험/오류/경고/정보를 선택합니다.
  7. 필요한 경우 '다른 바람직한 구성 변경'을 클릭한 다음 만들기를 클릭합니다.

모든 Exchange 서버에 DCR 할당

DCR에 모든 Exchange 서버 추가



Microsoft Exchange 메시지 추적 로그

지원자:커뮤니티

[옵션 6] - Azure Monitor 에이전트 사용 - Windows 에이전트를 사용하여 Microsoft Sentinel 작업 영역에 연결된 Windows 컴퓨터에서 모든 Exchange 메시지 추적을 스트리밍할 수 있습니다. 이러한 로그를 사용하여 Exchange 환경에서 메시지 흐름을 추적할 수 있습니다. 이 데이터 커넥터는 Microsoft Exchange Security wiki의 옵션 6을 기반으로 합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
MessageTrackingLog_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Azure Log Analytics는 더 이상 사용되지 않습니다. Azure Log Analytics는 더 이상 사용되지 않으며, Azure VM에서 데이터를 수집하려면 Arc를 Azure 것이 좋습니다. 자세한 정보
  • 자세한 설명서: >참고: 설치 절차 및 사용에 대한 자세한 설명서는 여기에서 확인할 수 있습니다.

설치 지침:

참고: 이 솔루션은 옵션을 기반으로 합니다. 이렇게 하면 일부 옵션이 매우 많은 양의 데이터를 생성할 수 있으므로 수집할 데이터를 선택할 수 있습니다. 수집하려는 항목에 따라 통합 문서, 분석 규칙, 헌팅 기능을 추적하여 배포할 옵션을 선택합니다. 각 옵션은 서로 독립적입니다. 각 옵션에 대해 자세히 알아보려면 'Microsoft Exchange Security' wiki

이 데이터 커넥터는 wiki의 옵션 6 입니다.

1. Microsoft Sentinel 로그를 수집하는 데 필요한 에이전트 다운로드 및 설치

서버 유형(Exchange Server, Exchange Server에 연결된 도메인 컨트롤러 또는 모든 도메인 컨트롤러)은 배포하려는 옵션에 따라 달라집니다.

모니터 에이전트 배포

이 단계는 Exchange Server/Domain Controllers 배포 Azure Arc 에이전트를 처음 온보딩한 경우에만 필요합니다. 자세한 정보

2. Exchange 서버의 메시지 추적

Exchange 서버의 메시지 추적을 스트리밍하는 방법 선택

데이터 수집 규칙 - Azure Monitor 에이전트를 사용하는 경우

데이터 수집 규칙 사용 메시지 추적은 Windows 에이전트에서만 수집됩니다.

옵션 1 - ARM(Azure Resource Manager) 템플릿

DCE 및 DCR의 자동화된 배포에 이 방법을 사용합니다.

대답. DCE 만들기(Exchange 서버에 대해 아직 만들어지지 않은 경우)

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. DCE의 제안된 이름을 변경할 수 있습니다.

  4. 만들기를 클릭하여 배포합니다.

B. 데이터 연결 규칙 및 사용자 지정 테이블 배포

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 작업 영역 ID '및/또는 기타 필수 필드'를 입력합니다.

  4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  5. 구매를 클릭하여 배포합니다.

옵션 2 - Azure Automation 수동 배포

다음 단계별 지침을 사용하여 데이터 수집 규칙을 수동으로 배포합니다.

사용자 지정 테이블 만들기 - 설명

사용자 지정 테이블은 Azure 포털을 사용하여 만들 수 없습니다. ARM 템플릿, PowerShell 스크립트 또는 여기에 설명된 다른 메서드를 사용해야 합니다.

ARM 템플릿을 사용하여 사용자 지정 테이블 만들기

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹, 위치 및 분석 작업 영역 이름을 선택합니다.

  3. 만들기를 클릭하여 배포합니다.

Cloud Shell PowerShell을 사용하여 사용자 지정 테이블 만들기

  1. Azure 포털에서 Cloud Shell 엽니다.
  2. 복사하여 붙여넣고 Cloud Shell 다음 스크립트를 실행하여 테이블을 만듭니다. $tableParams = @' { "properties": { "schema": { "name": "MessageTrackingLog_CL", "columns": [ { "name": "directionality", "type": "string" }, { "name": "reference", "type": "string" }, { "name": "source", "type": "string" }, { "name": "TimeGenerated", "type": "datetime" }, { "name": "clientHostname", "type": "string" }, { "name": "clientIP", "type": "string" }, { "name": "connectorId", "type": "string" }, { "name": "customData", "type": "string" }, { "name": "eventId", "type": "string" }, { "name": "internalMessageId", "type": "string" }, { "name": "logId", "type": "string" }, { "name": "messageId", "type": "string" }, { "name": "messageInfo", "type": "string" }, { "name": "type": "string" }, { "name", "networkMessageId", "type": "string" }, { "name": "originalClientIp", "type": "string" }, { "name": "originalServerIp", "type": "string" }, { "name": "recipientAddress", "type": "string" }, { "name": "recipientCount", "type": "string" }, { "name": "recipientStatus", "type": "string" }, { "name": "relatedRecipientAddress", "type": "string" }, { "name": "returnPath", "type": "string" }, { "name": "senderAddress", "type": "string" }, { "name": "senderHostname", "type": "string" }, { "name": "serverIp", "type": "string" }, { "name": "sourceContext", "type": "string" }, { "name": "schemaVersion", "type": "string" }, { "name": "messageTrackingTenantId", "type": "string" }, { "name": "totalBytes", "type": "string" }, { "name": "transportTrafficType", "type": "string" }, { "name": "FilePath", "type": "string" } ] } } } ' @
  3. 고유한 값으로 다음 매개 변수를 복사, 바꾸기, 붙여넣기 및 실행합니다. $SubscriptionID = 'YourGUID' $ResourceGroupName = 'YourResourceGroupName' $WorkspaceName = 'YourWorkspaceName'
  4. 다음 Cmdlet을 실행하여 테이블을 만듭니다. Invoke-AzRestMethod -Path "/subscriptions/$SubscriptionID/resourcegroups/$ResourceGroupName/providers/microsoft.operationalinsights/workspaces/$WorkspaceName/tables/MessageTrackingLog_CL?api-version=2021-12-01-preview" -Method PUT -payload $tableParams

대답. DCE 만들기(Exchange 서버에 대해 아직 만들어지지 않은 경우)

  1. Azure Portal에서 Azure Data 컬렉션 엔드포인트로 이동합니다.
  2. 위쪽에서 + 만들기 를 클릭합니다.
  3. 기본 탭에서 필요한 필드를 입력하고 DCE에 이름을 지정합니다(예: ESI-ExchangeServers).
  4. 필요한 경우 '다른 바람직한 구성 변경'을 클릭한 다음 만들기를 클릭합니다.

B. DCR 만들기, 사용자 지정 로그 입력

  1. Azure 포털에서 Azure 데이터 수집 규칙으로 이동합니다.
  2. '만들기' 단추를 클릭합니다.
  3. '기본' 탭에서 DCR-Option6-MessageTrackingLogs와 같은 규칙 이름을 채우고 이전에 만든 엔드포인트가 있는 '데이터 컬렉션 엔드포인트'를 선택하고 다른 매개 변수를 채웁니다.
  4. 리소스 탭에서 Exchange 서버를 추가합니다.
  5. 수집 및 배달에서 데이터 원본 형식 '사용자 지정 텍스트 로그'를 추가하고 파일 패턴에 'C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking*.log'을 입력하고 테이블 이름에 'MessageTrackingLog_CL'을 입력합니다. 변환 필드를 6.in 다음 KQL 요청: source | 을 입력합니다. extend d = split(RawData,',') | extend TimeGenerated =todatetime(d[0]) ,clientIP =tostring(d[1]) ,clientHostname =tostring(d[2]) ,serverIp=tostring(d) [3]) ,senderHostname=tostring(d[4]) ,sourceContext=tostring(d[5]) ,connectorId =tostring(d[6]) ,source =tostring(d[7]) ,eventId =tostring(d[8]) ,internalMessageId =tostring(d[9]) ,messageId =tostring(d[1) 0]) ,networkMessageId =tostring(d[11]) ,recipientAddress=tostring(d[12]) ,recipientStatus=tostring(d[13]) , totalBytes=tostring(d[14]) ,recipientCount=tostring(d[15]) ,relatedRecipientAddress=tostring(d[16]) ,reference=tostring(d[[) 17]) ,messageSubject =tostring(d[18]) ,senderAddress=tostring(d[19]) ,returnPath=tostring(d[20]) ,messageInfo =tostring(d[21]) ,directionality=tostring(d[22]) ,messageTrackingTenantId =tostring(d[23]) ,originalClientIp =tostring(d) [24]) ,originalServerIp =tostring(d[25]) ,customData=tostring(d[26]) ,transportTrafficType =tostring(d[27]) , logId =tostring(d[28]) ,schemaVersion=tostring(d[29]) | project-away d,RawData를 클릭하고 '대상'을 클릭합니다.
  6. '대상'에서 대상을 추가하고 이전에 사용자 지정 테이블을 만든 작업 영역을 선택합니다.
  7. '데이터 원본 추가'를 클릭합니다.
  8. 다른 필수 매개 변수 및 태그를 채우고 DCR을 만듭니다.

모든 Exchange 서버에 DCR 할당

DCR에 모든 Exchange 서버 추가



Microsoft Power Automate

지원:Microsoft Corporation

Power Automate는 사용자가 파일을 동기화하고, 알림을 받고, 데이터를 수집하는 등 앱과 서비스 간에 자동화된 워크플로를 만들 수 있도록 도와주는 Microsoft 서비스입니다. 수동적이고 반복적인 작업을 줄이고 생산성을 향상시켜 태스크 자동화를 간소화하고 효율성을 높입니다. Power Automate 데이터 커넥터는 Microsoft Purview 감사 로그에서 power Automate 활동 로그를 Microsoft Sentinel 수집하는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
PowerAutomateActivity

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • 테넌트 권한: 작업 영역의 테넌트에서 '보안 관리자' 또는 '전역 관리자'입니다.
  • Micorosft Purview 감사: Microsoft Purview 감사(Standard 또는 프리미엄)를 활성화해야 합니다.

설치 지침:

Microsoft Power Automate 감사 로그를 Microsoft Sentinel 연결

이 커넥터는 Office 관리 API를 사용하여 Power Automate 감사 로그를 가져옵니다. 로그는 기존 Microsoft Sentinel 작업 영역에 저장되고 처리됩니다. PowerAutomateActivity 테이블에서 데이터를 찾을 수 있습니다.

  • 연결 사용/사용 안 함



Microsoft Power Platform 관리 활동

지원:Microsoft Corporation

Microsoft Power Platform은 사용자 지정 앱 만들기, 워크플로 자동화 및 최소한의 코딩으로 데이터 분석을 사용하도록 설정하여 시민과 프로 개발자가 비즈니스 프로세스를 간소화할 수 있도록 하는 로우 코드/코드 없는 제품군입니다. Power Platform 관리 데이터 커넥터는 Microsoft Purview 감사 로그에서 Power Platform 관리자 활동 로그를 Microsoft Sentinel 수집하는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
PowerPlatformAdminActivity

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • 테넌트 권한: 작업 영역의 테넌트에서 '보안 관리자' 또는 '전역 관리자'입니다.
  • Micorosft Purview 감사: Microsoft Purview 감사(Standard 또는 프리미엄)를 활성화해야 합니다.

설치 지침:

Microsoft Power Platform 관리 활동 감사 로그를 Microsoft Sentinel 연결

이 커넥터는 Office 관리 API를 사용하여 Power Platform 관리자 감사 로그를 가져옵니다. 로그는 기존 Microsoft Sentinel 작업 영역에 저장되고 처리됩니다. PowerPlatformAdminActivity 테이블에서 데이터를 찾을 수 있습니다.

  • 연결 사용/사용 안 함



Microsoft PowerBI

지원:Microsoft Corporation

Microsoft PowerBI는 관련 없는 데이터 원본을 일관되고 시각적으로 몰입형 대화형 인사이트를 만들기 위해 함께 작동하는 소프트웨어 서비스, 앱 및 커넥터 컬렉션입니다. 데이터는 Excel 스프레드시트, 클라우드 기반 및 온-프레미스 하이브리드 데이터 웨어하우스 컬렉션 또는 다른 유형의 데이터 저장소일 수 있습니다. 이 커넥터를 사용하면 PowerBI 감사 로그를 Microsoft Sentinel 스트리밍하여 PowerBI 환경에서 사용자 활동을 추적할 수 있습니다. 날짜 범위, 사용자, dashboard, 보고서, 데이터 세트 및 활동 유형별로 감사 데이터를 필터링할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
PowerBIActivity

데이터 수집 규칙 지원:작업 영역 변환 DCR

Microsoft Project

지원:Microsoft

MSP(Microsoft Project)는 프로젝트 관리 소프트웨어 솔루션입니다. 계획에 따라 Microsoft Project를 사용하면 프로젝트를 계획하고, 작업을 할당하고, 리소스를 관리하고, 보고서를 만드는 등의 작업을 수행할 수 있습니다. 이 커넥터를 사용하면 프로젝트 활동을 추적하기 위해 Azure Project 감사 로그를 Microsoft Sentinel 스트리밍할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ProjectActivity

데이터 수집 규칙 지원:작업 영역 변환 DCR

Microsoft Purview

지원:Microsoft Corporation

Microsoft Purview에 연결하여 Microsoft Sentinel 데이터 민감도 보강을 사용하도록 설정합니다. Microsoft Purview 검사의 데이터 분류 및 민감도 레이블 로그는 통합 문서, 분석 규칙 등을 통해 수집 및 시각화할 수 있습니다. 자세한 내용은 Microsoft Sentinel 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
PurviewDataSensitivityLogs

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

Microsoft Purview를 Microsoft Sentinel 연결

Azure 포털 내에서 Purview 리소스로 이동합니다.

  1. 검색 창에서 Purview 계정을 검색합니다.
  2. Sentinel 설정하려는 특정 계정을 선택합니다.

Microsoft Purview 리소스 내부: 3. 진단 설정을 선택합니다. 4. + 진단 설정 추가를 선택합니다. 5. 진단 설정 블레이드에서:

  • 로그 범주를 DataSensitivityLogEvent로 선택합니다.
  • Log Analytics로 보내기를 선택합니다.
  • 로그 대상 작업 영역을 선택했습니다. Microsoft Sentinel 사용하는 것과 동일한 작업 영역이어야 합니다.
  • 저장을 클릭합니다.



Microsoft Purview Information Protection

지원:Microsoft Corporation

Microsoft Purview Information Protection 중요한 정보를 검색, 분류, 보호 및 관리하는 데 도움이 됩니다. 이러한 기능을 사용하면 데이터를 알고, 중요한 항목을 식별하고, 데이터를 더 잘 보호하는 데 사용되는 방법을 파악할 수 있습니다. 민감도 레이블은 보호 작업, 암호화 적용, 액세스 제한 및 시각적 표시를 제공하는 기본 기능입니다. Microsoft Purview Information Protection 로그를 Microsoft Sentinel 통합하여 대시보드를 보고, 사용자 지정 경고를 만들고, 조사를 개선합니다. 자세한 내용은 Microsoft Sentinel 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
MicrosoftPurviewInformationProtection

데이터 수집 규칙 지원:작업 영역 변환 DCR

Mimecast 감사

지원:Mimecast

Mimecast Audit용 데이터 커넥터는 고객에게 Microsoft Sentinel 내의 감사 및 인증 이벤트와 관련된 보안 이벤트에 대한 가시성을 제공합니다. 데이터 커넥터는 분석가가 사용자 활동에 대한 인사이트를 보고, 인시던트 상관 관계를 지원하며, 사용자 지정 경고 기능과 함께 조사 응답 시간을 줄일 수 있도록 미리 만들어진 대시보드를 제공합니다.
커넥터에 포함된 Mimecast 제품은 다음과 같습니다. 감사

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Audit_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Azure 구독: Microsoft Entra ID 애플리케이션을 등록하고 리소스 그룹의 앱에 기여자 역할을 할당하려면 소유자 역할이 있는 Azure 구독이 필요합니다.
  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • REST API 자격 증명/권한: Rest API 참조에 대한 API에 대한 자세한 내용은 설명서를 참조하세요.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Mimecast API에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

구성:

1단계 - Mimecast API에 대한 구성 단계

Azure Portal ---> 앱 등록 ---> [your_app] ---> 인증서 & 비밀 ---> 새 클라이언트 비밀로 이동하여 새 비밀을 만듭니다(나중에 미리 볼 수 없으므로 즉시 안전한 곳에 값 저장).

2단계 - Mimecast API 커넥터 배포

중요: Mimecast API 커넥터를 배포하기 전에 Mimecast API 권한 부여 키 또는 토큰을 쉽게 사용할 수 있습니다.

3단계 - Microsoft Entra ID 애플리케이션에 대한 앱 등록 단계

이 통합에는 Azure Portal 앱 등록이 필요합니다. 이 섹션의 단계에 따라 Microsoft Entra ID 새 애플리케이션을 만듭니다.

  1. Azure 포털에 로그인합니다.
  2. Microsoft Entra ID 검색하여 선택합니다.
  3. 관리에서 새 등록 앱 등록 > 선택합니다.
  4. 애플리케이션의 표시 이름을 입력합니다.
  5. 등록을 선택하여 초기 앱 등록을 완료합니다.
  6. 등록이 완료되면 Azure Portal 앱 등록의 개요 창이 표시됩니다. 애플리케이션(클라이언트) ID 및 테넌트 ID가 표시됩니다. 클라이언트 ID 및 테넌트 ID는 TenableVM 데이터 커넥터 실행을 위한 구성 매개 변수로 필요합니다.

참조 링크:/azure/active-directory/develop/quickstart-register-app

4단계 - Microsoft Entra ID 애플리케이션에 대한 클라이언트 암호 추가

애플리케이션 암호라고도 하는 클라이언트 암호는 TenableVM 데이터 커넥터를 실행하는 데 필요한 문자열 값입니다. 이 섹션의 단계에 따라 새 클라이언트 암호를 만듭니다.

  1. Azure Portal 앱 등록 애플리케이션을 선택합니다.
  2. 인증서 & 비밀 > 클라이언트 비밀 새 클라이언트 비밀을 >선택합니다.
  3. 클라이언트 비밀에 대한 설명을 추가합니다.
  4. 비밀에 대한 만료를 선택하거나 사용자 지정 수명을 지정합니다. 한도는 24개월입니다.
  5. 추가를 선택합니다.
  6. 클라이언트 애플리케이션 코드에서 사용할 비밀 값을 기록합니다. 이 비밀 값은 이 페이지를 떠난 후에 다시는 표시되지 않습니다. 비밀 값은 TenableVM Data Connector를 실행하기 위한 구성 매개 변수로 필요합니다.

참조 링크:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

5단계 - Microsoft Entra ID 애플리케이션의 개체 ID 가져오기

앱 등록을 만든 후 이 섹션의 단계에 따라 개체 ID를 가져옵니다.

  1. Microsoft Entra ID 이동합니다.
  2. 왼쪽 메뉴에서 엔터프라이즈 애플리케이션 을 선택합니다.
  3. 목록에서 새로 만든 애플리케이션을 찾습니다(제공한 이름으로 검색할 수 있습니다).
  4. 애플리케이션을 클릭합니다.
  5. 개요 페이지에서 개체 ID를 복사합니다. ARM 템플릿 역할 할당에 필요한 AzureEntraObjectId 입니다.

Mimecast Audit Data Connector를 배포합니다.

Mimecast Audit Data 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.msaka.ms

  2. 기본 구독, 리소스 그룹 및 지역을 선택합니다.

  3. 아래 정보를 입력합니다.

    a. 위치 - 데이터 수집 규칙 및 데이터 수집 엔드포인트를 배포해야 하는 위치

    b. WorkspaceName - Log Analytics 작업 영역의 Microsoft Sentinel 작업 영역 이름 입력

    c. AzureClientID - 앱 등록 중에 만든 Azure 클라이언트 ID를 입력합니다.

    d. AzureClientSecret - 클라이언트 비밀을 만드는 동안 만든 Azure 클라이언트 암호를 입력합니다.

    e. AzureTenantID - Azure Active Directory의 Azure 테넌트 ID를 입력합니다.

    f. AzureEntraObjectID - Microsoft Entra 앱의 개체 ID 입력

    g. MimecastBaseURL - Mimecast API 2.0의 기본 URL을 입력합니다(예: ). https://api.services.mimecast.com

    h. MimecastClientID - 인증을 위해 Mimecast 클라이언트 ID 입력

    i. MimecastClientSecret - 인증을 위해 Mimecast 클라이언트 암호를 입력합니다.

    j. MimecastAuditTableName - 감사 데이터를 저장하는 데 사용되는 테이블의 이름을 입력합니다. 기본값은 'Audit'입니다.

    k. StartDate - 시작 날짜를 'yyyy-mm-dd' 형식으로 입력합니다. 날짜를 제공하지 않으면 지난 60일의 데이터가 자동으로 페치됩니다. 날짜가 과거이고 올바르게 서식이 지정되었는지 확인합니다.

    L. 일정 - 유효한 석영 cron-expression을 입력하세요. (예: 0 0 */1 * * *) 값을 비워 두지 마세요. 최소값은 10분입니다.

    M. LogLevel - 로그 수준 또는 로그 심각도 값을 추가하세요. 기본적으로 INFO로 설정됩니다.

    N. AppInsightsWorkspaceResourceId - 2024년 2월 29일로 사용 중지되는 Log Analytic 작업 영역으로 클래식 Application Insights를 마이그레이션합니다. '리소스 ID' 속성 값이 있는 'Log Analytic 작업 영역-->속성' 블레이드를 사용합니다. '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' 형식의 정규화된 resourceId입니다.

  4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  5. 구매를 클릭하여 배포합니다.



Mimecast 감사 & 인증(Azure Functions 사용)

지원:Mimecast

Mimecast Audit & Authentication에 대한 데이터 커넥터는 고객에게 Microsoft Sentinel 내의 감사 및 인증 이벤트와 관련된 보안 이벤트에 대한 가시성을 제공합니다. 데이터 커넥터는 분석가가 사용자 활동에 대한 인사이트를 보고, 인시던트 상관 관계를 지원하며, 사용자 지정 경고 기능과 함께 조사 응답 시간을 줄일 수 있도록 미리 만들어진 대시보드를 제공합니다.
커넥터에 포함된 Mimecast 제품은 다음과 같습니다. 감사 & 인증

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
MimecastAudit_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • Mimecast API 자격 증명: 통합을 구성하려면 다음 정보가 있어야 합니다.
  • mimecastEmail: 전용 Mimecast 관리 사용자의 Email 주소
  • mimecastPassword: 전용 Mimecast 관리 사용자의 암호
  • mimecastAppId: Mimecast에 등록된 Mimecast Microsoft Sentinel 앱의 API 애플리케이션 ID
  • mimecastAppKey: Mimecast에 등록된 Mimecast Microsoft Sentinel 앱의 API 애플리케이션 키
  • mimecastAccessKey: 전용 Mimecast 관리 사용자에 대한 액세스 키
  • mimecastSecretKey: 전용 Mimecast 관리자용 비밀 키
  • mimecastBaseURL: Mimecast 지역 API 기본 URL

전용 Mimecast 관리 사용자의 액세스 키 및 비밀 키와 함께 Mimecast 애플리케이션 ID, 애플리케이션 키는 Mimecast 관리 콘솔: 관리 | 서비스 | API 및 플랫폼 통합.

각 지역에 대한 Mimecast API 기본 URL은 다음과 같습니다. https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • 리소스 그룹: 사용하려는 구독을 사용하여 리소스 그룹을 만들어야 합니다.
  • 함수 앱: 이 커넥터를 사용하려면 Azure 앱 등록해야 합니다.
  1. 애플리케이션 ID
  2. 테넌트 ID
  3. 클라이언트 ID
  4. 클라이언트 암호

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Mimecast API에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

구성:

1단계 - Mimecast API에 대한 구성 단계

Azure Portal ---> 앱 등록 ---> [your_app] ---> 인증서 & 비밀 ---> 새 클라이언트 비밀로 이동하여 새 비밀을 만듭니다(나중에 미리 볼 수 없으므로 즉시 안전한 곳에 값 저장).

2단계 - Mimecast API 커넥터 배포

중요: Mimecast API 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)와 Mimecast API 권한 부여 키 또는 토큰을 쉽게 사용할 수 있습니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

Mimecast 감사 & 인증 데이터 커넥터를 배포합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 다음 필드를 입력합니다.

  • appName: Azure 플랫폼에서 앱의 ID로 사용할 고유 문자열
  • objectId: Azure Portal --- Azure> Active Directory --- 자세한 정보 --->> 프로필 -----> 개체 ID
  • appInsightsLocation(기본값): westeurope
  • mimecastEmail: 이 무결성에 대한 전용 사용자의 Email 주소
  • mimecastPassword: 전용 사용자에 대한 암호
  • mimecastAppId: Mimecast에 등록된 Microsoft Sentinel 앱의 애플리케이션 ID
  • mimecastAppKey: Mimecast에 등록된 Microsoft Sentinel 앱의 애플리케이션 키
  • mimecastAccessKey: 전용 Mimecast 사용자에 대한 액세스 키
  • mimecastSecretKey: 전용 Mimecast 사용자를 위한 비밀 키
  • mimecastBaseURL: 지역 Mimecast API 기본 URL
  • activeDirectoryAppId: Azure Portal ---> 앱 등록 ---> [your_app] ---> 애플리케이션 ID
  • activeDirectoryAppSecret: Azure Portal --- 앱 등록 --->> [your_app] ---> 인증서 & 비밀 ---> [your_app_secret]
  • workspaceId: Azure Portal ---> Log Analytics 작업 영역 ---> [작업 영역] ---> 에이전트 ---> 작업 영역 ID(또는 위에서 workspaceId를 복사할 수 있습니다).
  • workspaceKey: Azure Portal ---> Log Analytics 작업 영역 ---> [작업 영역] ---> 에이전트 ---> 기본 키(또는 위에서 workspaceKey를 복사할 수 있습니다).
  • AppInsightsWorkspaceResourceID: [작업 영역]---> 속성 --- 리소스 ID를 ---> Log> Analytics 작업 영역 Azure Portal --->

참고: 위의 값에 Azure Key Vault 비밀을 사용하는 경우 문자열 값 대신 스키마를 사용합니다@Microsoft.KeyVault(SecretUri={Security Identifier}). 자세한 내용은 Key Vault 참조 설명서를 참조하세요.

  1. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  2. 구매를 클릭하여 배포합니다.

  3. Azure Portal ---> 리소스 그룹 ---> [your_resource_group] ---> [appName](type: Storage account) --- Storage Explorer --->> BLOB CONTAINERS ---> 감사 검사점으로> 이동하여 checkpoint.txt 컴퓨터에 빈 파일 업로드 및 만들기를 --- 업로드하도록 선택합니다(SIEM 로그에 대한 date_range 일관된 상태로 저장되도록 수행됨).



Mimecast 인식 교육

지원:Mimecast

Mimecast Awareness Training용 데이터 커넥터는 고객에게 Microsoft Sentinel 내의 Targeted Threat Protection 검사 기술과 관련된 보안 이벤트에 대한 가시성을 제공합니다. 데이터 커넥터는 분석가가 이메일 기반 위협에 대한 인사이트를 보고, 인시던트 상관 관계를 지원하며, 사용자 지정 경고 기능과 함께 조사 응답 시간을 줄일 수 있도록 미리 만들어진 대시보드를 제공합니다.
커넥터에 포함된 Mimecast 제품은 다음과 같습니다.

  • 성능 세부 정보
  • 안전 점수 세부 정보
  • 사용자 데이터
  • 관심 목록 세부 정보

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Awareness_Performance_Details_CL
Awareness_SafeScore_Details_CL
Awareness_User_Data_CL
Awareness_Watchlist_Details_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Azure 구독: Microsoft Entra ID 애플리케이션을 등록하고 리소스 그룹의 앱에 기여자 역할을 할당하려면 소유자 역할이 있는 Azure 구독이 필요합니다.
  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • REST API 자격 증명/권한: Rest API 참조에 대한 API에 대한 자세한 내용은 설명서를 참조하세요.

설치 지침:

리소스 그룹

사용하려는 구독을 사용하여 리소스 그룹을 만들어야 합니다.

Functions 앱

이 커넥터를 사용하려면 Azure 앱 등록해야 합니다.

  1. 애플리케이션 ID
  2. 테넌트 ID
  3. 클라이언트 ID
  4. 클라이언트 암호
  5. Entra 개체 ID

참고: 이 커넥터는 Azure Functions 사용하여 Mimecast API에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

1단계 - Microsoft Entra ID 애플리케이션에 대한 앱 등록 단계

이 통합에는 Azure Portal 앱 등록이 필요합니다. 이 섹션의 단계에 따라 Microsoft Entra ID 새 애플리케이션을 만듭니다.

  1. Azure 포털에 로그인합니다.
  2. Microsoft Entra ID 검색하여 선택합니다.
  3. 관리에서 새 등록 앱 등록 > 선택합니다.
  4. 애플리케이션의 표시 이름을 입력합니다.
  5. 등록을 선택하여 초기 앱 등록을 완료합니다.
  6. 등록이 완료되면 Azure Portal 앱 등록의 개요 창이 표시됩니다. 애플리케이션(클라이언트) ID 및 테넌트 ID가 표시됩니다. Mimecast Data Connector를 실행하기 위한 구성 매개 변수로 클라이언트 ID 및 테넌트 ID가 필요합니다.

참조 링크:/azure/active-directory/develop/quickstart-register-app

2단계 - Microsoft Entra ID 애플리케이션에 대한 클라이언트 암호 추가

애플리케이션 암호라고도 하는 클라이언트 암호는 Mimecast Data Connector를 실행하는 데 필요한 문자열 값입니다. 이 섹션의 단계에 따라 새 클라이언트 암호를 만듭니다.

  1. Azure Portal 앱 등록 애플리케이션을 선택합니다.
  2. 인증서 & 비밀 > 클라이언트 비밀 새 클라이언트 비밀을 >선택합니다.
  3. 클라이언트 비밀에 대한 설명을 추가합니다.
  4. 비밀에 대한 만료를 선택하거나 사용자 지정 수명을 지정합니다. 한도는 24개월입니다.
  5. 추가를 선택합니다.
  6. 클라이언트 애플리케이션 코드에서 사용할 비밀 값을 기록합니다. 이 비밀 값은 이 페이지를 떠난 후에 다시는 표시되지 않습니다. 비밀 값은 Mimecast Data Connector를 실행하기 위한 구성 매개 변수로 필요합니다.

참조 링크:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

3단계 - Microsoft Entra ID 애플리케이션의 개체 ID 가져오기

앱 등록을 만든 후 이 섹션의 단계에 따라 개체 ID를 가져옵니다.

  1. Microsoft Entra ID 이동합니다.
  2. 왼쪽 메뉴에서 엔터프라이즈 애플리케이션 을 선택합니다.
  3. 목록에서 새로 만든 애플리케이션을 찾습니다(제공한 이름으로 검색할 수 있습니다).
  4. 애플리케이션을 클릭합니다.
  5. 개요 페이지에서 개체 ID를 복사합니다. ARM 템플릿 역할 할당에 필요한 AzureEntraObjectId 입니다.

4단계 - Mimecast API 커넥터 배포

중요: Mimecast API 커넥터를 배포하기 전에 Mimecast API 권한 부여 키 또는 토큰을 쉽게 사용할 수 있습니다.

ARM(Azure Resource Manager) 템플릿

Mimecast Awareness Training Data 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.msaka.ms

  2. 기본 구독, 리소스 그룹 및 지역을 선택합니다.

  3. 아래 정보를 입력합니다.

    a. 위치 - 데이터 수집 규칙 및 데이터 수집 엔드포인트를 배포해야 하는 위치

    b. WorkspaceName - Log Analytics 작업 영역의 Microsoft Sentinel 작업 영역 이름 입력

    c. AzureClientID - 앱 등록 중에 만든 Azure 클라이언트 ID를 입력합니다.

    d. AzureClientSecret - 클라이언트 비밀을 만드는 동안 만든 Azure 클라이언트 암호를 입력합니다.

    e. AzureTenantID - Azure Active Directory의 Azure 테넌트 ID를 입력합니다.

    f. AzureEntraObjectID - Microsoft Entra 앱의 개체 ID 입력

    g. MimecastBaseURL - Mimecast API 2.0의 기본 URL을 입력합니다(예: ). https://api.services.mimecast.com

    h. MimecastClientID - 인증을 위해 Mimecast 클라이언트 ID 입력

    i. MimecastClientSecret - 인증을 위해 Mimecast 클라이언트 암호를 입력합니다.

    j. MimecastAwarenessPerformanceDetailsTableName - 인식 성능 세부 정보 데이터를 저장하는 데 사용되는 테이블의 이름을 입력합니다. 기본값은 'Awareness_Performance_Details'입니다.

    k. MimecastAwarenessUserDataTableName - 인식 사용자 데이터 데이터를 저장하는 데 사용되는 테이블의 이름을 입력합니다. 기본값은 'Awareness_User_Data'입니다.

    L. MimecastAwarenessWatchlistDetailsTableName - 인식 관심 목록 세부 정보 데이터를 저장하는 데 사용되는 테이블의 이름을 입력합니다. 기본값은 'Awareness_Watchlist_Details'입니다.

    M. MimecastAwarenessSafeScoreDetailsTableName - Awareness SafeScore Details 데이터를 저장하는 데 사용되는 테이블의 이름을 입력합니다. 기본값은 'Awareness_SafeScore_Details'입니다.

    N. StartDate - 시작 날짜를 'yyyy-mm-dd' 형식으로 입력합니다. 날짜를 제공하지 않으면 지난 60일의 데이터가 자동으로 페치됩니다. 날짜가 과거이고 올바르게 서식이 지정되었는지 확인합니다.

    O. 일정 - 유효한 석영 cron-expression을 입력하세요. (예: 0 0 */1 * * *) 값을 비워 두지 마세요. 최소값은 10분입니다.

    P. LogLevel - 로그 수준 또는 로그 심각도 값을 추가하세요. 기본적으로 INFO로 설정됩니다.

    Q. AppInsightsWorkspaceResourceId - 2024년 2월 29일로 사용 중지되는 Log Analytic 작업 영역으로 클래식 Application Insights를 마이그레이션합니다. '리소스 ID' 속성 값이 있는 'Log Analytic 작업 영역-->속성' 블레이드를 사용합니다. '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' 형식의 정규화된 resourceId입니다.

  4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  5. 구매를 클릭하여 배포합니다.



Mimecast Cloud Integrated

지원:Mimecast

Mimecast Cloud Integrated용 데이터 커넥터는 고객에게 Microsoft Sentinel 내의 클라우드 통합 검사 기술과 관련된 보안 이벤트에 대한 가시성을 제공합니다. 데이터 커넥터는 분석가가 이메일 기반 위협에 대한 인사이트를 보고, 인시던트 상관 관계를 지원하며, 사용자 지정 경고 기능과 함께 조사 응답 시간을 줄일 수 있도록 미리 만들어진 대시보드를 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Cloud_Integrated_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Azure 구독: Microsoft Entra ID 애플리케이션을 등록하고 리소스 그룹의 앱에 기여자 역할을 할당하려면 소유자 역할이 있는 Azure 구독이 필요합니다.
  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • REST API 자격 증명/권한: Rest API 참조에 대한 API에 대한 자세한 내용은 설명서를 참조하세요.

설치 지침:

리소스 그룹

사용하려는 구독을 사용하여 리소스 그룹을 만들어야 합니다.

Functions 앱

이 커넥터를 사용하려면 Azure 앱 등록해야 합니다.

  1. 애플리케이션 ID
  2. 테넌트 ID
  3. 클라이언트 ID
  4. 클라이언트 암호

참고: 이 커넥터는 Azure Functions 사용하여 Mimecast API에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

구성:

1단계 - Mimecast API에 대한 구성 단계

Azure Portal ---> 앱 등록 ---> [your_app] ---> 인증서 & 비밀 ---> 새 클라이언트 비밀로 이동하여 새 비밀을 만듭니다(나중에 미리 볼 수 없으므로 즉시 안전한 곳에 값 저장).

2단계 - Mimecast API 커넥터 배포

중요: Mimecast API 커넥터를 배포하기 전에 Mimecast API 권한 부여 키 또는 토큰을 쉽게 사용할 수 있습니다.

3단계 - Microsoft Entra ID 애플리케이션에 대한 앱 등록 단계

이 통합에는 Azure Portal 앱 등록이 필요합니다. 이 섹션의 단계에 따라 Microsoft Entra ID 새 애플리케이션을 만듭니다.

  1. Azure 포털에 로그인합니다.
  2. Microsoft Entra ID 검색하여 선택합니다.
  3. 관리에서 새 등록 앱 등록 > 선택합니다.
  4. 애플리케이션의 표시 이름을 입력합니다.
  5. 등록을 선택하여 초기 앱 등록을 완료합니다.
  6. 등록이 완료되면 Azure Portal 앱 등록의 개요 창이 표시됩니다. 애플리케이션(클라이언트) ID 및 테넌트 ID가 표시됩니다. 클라이언트 ID 및 테넌트 ID는 TenableVM 데이터 커넥터 실행을 위한 구성 매개 변수로 필요합니다.

참조 링크:/azure/active-directory/develop/quickstart-register-app

4단계 - Microsoft Entra ID 애플리케이션에 대한 클라이언트 암호 추가

애플리케이션 암호라고도 하는 클라이언트 암호는 TenableVM 데이터 커넥터를 실행하는 데 필요한 문자열 값입니다. 이 섹션의 단계에 따라 새 클라이언트 암호를 만듭니다.

  1. Azure Portal 앱 등록 애플리케이션을 선택합니다.
  2. 인증서 & 비밀 > 클라이언트 비밀 새 클라이언트 비밀을 >선택합니다.
  3. 클라이언트 비밀에 대한 설명을 추가합니다.
  4. 비밀에 대한 만료를 선택하거나 사용자 지정 수명을 지정합니다. 한도는 24개월입니다.
  5. 추가를 선택합니다.
  6. 클라이언트 애플리케이션 코드에서 사용할 비밀 값을 기록합니다. 이 비밀 값은 이 페이지를 떠난 후에 다시는 표시되지 않습니다. 비밀 값은 TenableVM Data Connector를 실행하기 위한 구성 매개 변수로 필요합니다.

참조 링크:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

5단계 - Microsoft Entra ID 애플리케이션의 개체 ID 가져오기

앱 등록을 만든 후 이 섹션의 단계에 따라 개체 ID를 가져옵니다.

  1. Microsoft Entra ID 이동합니다.
  2. 왼쪽 메뉴에서 엔터프라이즈 애플리케이션 을 선택합니다.
  3. 목록에서 새로 만든 애플리케이션을 찾습니다(제공한 이름으로 검색할 수 있습니다).
  4. 애플리케이션을 클릭합니다.
  5. 개요 페이지에서 개체 ID를 복사합니다. ARM 템플릿 역할 할당에 필요한 AzureEntraObjectId 입니다.

ARM(Azure Resource Manager) 템플릿

Mimecast Cloud Integrated Data 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.msaka.ms

  2. 기본 구독, 리소스 그룹 및 지역을 선택합니다.

  3. 아래 정보를 입력합니다.

    a. 위치 - 데이터 수집 규칙 및 데이터 수집 엔드포인트를 배포해야 하는 위치

    b. WorkspaceName - Log Analytics 작업 영역의 Microsoft Sentinel 작업 영역 이름 입력

    c. AzureClientID - 앱 등록 중에 만든 Azure 클라이언트 ID를 입력합니다.

    d. AzureClientSecret - 클라이언트 비밀을 만드는 동안 만든 Azure 클라이언트 암호를 입력합니다.

    e. AzureTenantID - Azure Active Directory의 Azure 테넌트 ID를 입력합니다.

    f. AzureEntraObjectID - Microsoft Entra 앱의 개체 ID 입력

    g. MimecastBaseURL - Mimecast API 2.0의 기본 URL을 입력합니다(예: ). https://api.services.mimecast.com

    h. MimecastClientID - 인증을 위해 Mimecast 클라이언트 ID 입력

    i. MimecastClientSecret - 인증을 위해 Mimecast 클라이언트 암호를 입력합니다.

    j. MimecastCITableName - 클라우드 통합 데이터를 저장하는 데 사용되는 테이블의 이름을 입력합니다. 기본값은 'Cloud_Integrated'입니다.

    k. StartDate - 시작 날짜를 'yyyy-mm-dd' 형식으로 입력합니다. 날짜를 제공하지 않으면 지난 60일의 데이터가 자동으로 페치됩니다. 날짜가 과거이고 올바르게 서식이 지정되었는지 확인합니다.

    L. 일정 - 유효한 석영 cron-expression을 입력하세요. (예: 0 0 */1 * * *) 값을 비워 두지 마세요. 최소값은 10분입니다.

    M. LogLevel - 로그 수준 또는 로그 심각도 값을 추가하세요. 기본적으로 INFO로 설정됩니다.

    N. AppInsightsWorkspaceResourceId - 2024년 2월 29일로 사용 중지되는 Log Analytic 작업 영역으로 클래식 Application Insights를 마이그레이션합니다. '리소스 ID' 속성 값이 있는 'Log Analytic 작업 영역-->속성' 블레이드를 사용합니다. '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' 형식의 정규화된 resourceId입니다.

  4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  5. 구매를 클릭하여 배포합니다.



Microsoft용 Mimecast Intelligence - Microsoft Sentinel(Azure Functions 사용)

지원:Mimecast

Microsoft용 Mimecast Intelligence용 데이터 커넥터는 분석가가 이메일 기반 위협에 대한 인사이트를 보고 인시던트 상관 관계를 지원하며 조사 응답 시간을 줄일 수 있도록 미리 만들어진 대시보드를 사용하여 Mimecast의 이메일 검사 기술에서 큐레이팅된 지역 위협 인텔리전스를 제공합니다.
Mimecast 제품 및 기능이 필요합니다.

  • Mimecast Secure Email Gateway
  • Mimecast 위협 인텔리전스

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ThreatIntelligenceIndicator 아니요

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • Mimecast API 자격 증명: 통합을 구성하려면 다음 정보가 있어야 합니다.
  • mimecastEmail: 전용 Mimecast 관리 사용자의 Email 주소
  • mimecastPassword: 전용 Mimecast 관리 사용자의 암호
  • mimecastAppId: Mimecast에 등록된 Mimecast Microsoft Sentinel 앱의 API 애플리케이션 ID
  • mimecastAppKey: Mimecast에 등록된 Mimecast Microsoft Sentinel 앱의 API 애플리케이션 키
  • mimecastAccessKey: 전용 Mimecast 관리 사용자에 대한 액세스 키
  • mimecastSecretKey: 전용 Mimecast 관리자용 비밀 키
  • mimecastBaseURL: Mimecast 지역 API 기본 URL

전용 Mimecast 관리 사용자의 액세스 키 및 비밀 키와 함께 Mimecast 애플리케이션 ID, 애플리케이션 키는 Mimecast 관리 콘솔: 관리 | 서비스 | API 및 플랫폼 통합.

각 지역에 대한 Mimecast API 기본 URL은 다음과 같습니다. https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • 리소스 그룹: 사용하려는 구독을 사용하여 리소스 그룹을 만들어야 합니다.
  • 함수 앱: 이 커넥터를 사용하려면 Azure 앱 등록해야 합니다.
  1. 애플리케이션 ID
  2. 테넌트 ID
  3. 클라이언트 ID
  4. 클라이언트 암호

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Mimecast API에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

구성:

1단계 - Mimecast API에 대한 구성 단계

Azure Portal ---> 앱 등록 ---> [your_app] ---> 인증서 & 비밀 ---> 새 클라이언트 비밀로 이동하여 새 비밀을 만듭니다(나중에 미리 볼 수 없으므로 즉시 안전한 곳에 값 저장).

2단계 - Mimecast API 커넥터 배포

중요: Mimecast API 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)와 Mimecast API 권한 부여 키 또는 토큰을 쉽게 사용할 수 있습니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

Microsoft용 Mimecast Intelligence 사용 - Microsoft Sentinel 커넥터:

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 다음 필드를 입력합니다.

  • appName: Azure 플랫폼에서 앱의 ID로 사용할 고유 문자열
  • objectId: Azure Portal --- Azure> Active Directory --- 자세한 정보 --->> 프로필 -----> 개체 ID
  • appInsightsLocation(기본값): westeurope
  • mimecastEmail: 이 무결성에 대한 전용 사용자의 Email 주소
  • mimecastPassword: 전용 사용자에 대한 암호
  • mimecastAppId: Mimecast에 등록된 Microsoft Sentinel 앱의 애플리케이션 ID
  • mimecastAppKey: Mimecast에 등록된 Microsoft Sentinel 앱의 애플리케이션 키
  • mimecastAccessKey: 전용 Mimecast 사용자에 대한 액세스 키
  • mimecastSecretKey: 전용 Mimecast 사용자를 위한 비밀 키
  • mimecastBaseURL: 지역 Mimecast API 기본 URL
  • activeDirectoryAppId: Azure Portal ---> 앱 등록 ---> [your_app] ---> 애플리케이션 ID
  • activeDirectoryAppSecret: Azure Portal --- 앱 등록 --->> [your_app] ---> 인증서 & 비밀 ---> [your_app_secret]
  • workspaceId: Azure Portal ---> Log Analytics 작업 영역 ---> [작업 영역] ---> 에이전트 ---> 작업 영역 ID(또는 위에서 workspaceId를 복사할 수 있습니다).
  • workspaceKey: Azure Portal ---> Log Analytics 작업 영역 ---> [작업 영역] ---> 에이전트 ---> 기본 키(또는 위에서 workspaceKey를 복사할 수 있습니다).
  • AppInsightsWorkspaceResourceID: [작업 영역]---> 속성 --- 리소스 ID를 ---> Log> Analytics 작업 영역 Azure Portal --->

참고: 위의 값에 Azure Key Vault 비밀을 사용하는 경우 문자열 값 대신 스키마를 사용합니다@Microsoft.KeyVault(SecretUri={Security Identifier}). 자세한 내용은 Key Vault 참조 설명서를 참조하세요.

  1. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  2. 구매를 클릭하여 배포합니다.

  3. Azure Portal ---> 리소스 그룹 ---> [your_resource_group] ---> [appName](type: Storage account) --- Storage Explorer --->> BLOB CONTAINERS ---> TIR 검사 --->점으로 이동하여 checkpoint.txt 컴퓨터에 빈 파일을 업로드하고 만들고 업로드하도록 선택합니다(TIR 로그에 대한 date_range 일관된 상태로 저장되도록 수행됨).

추가 구성:

위협 인텔리전스 플랫폼 데이터 커넥터에 연결합니다. 커넥터 페이지의 지침에 따라 연결 단추를 클릭합니다.



Mimecast Secure Email Gateway

지원:Mimecast

Mimecast Secure Email Gateway용 데이터 커넥터를 사용하면 Secure Email Gateway에서 쉽게 로그 수집하여 Microsoft Sentinel 내에서 전자 메일 인사이트 및 사용자 활동을 표시할 수 있습니다. 데이터 커넥터는 분석가가 이메일 기반 위협에 대한 인사이트를 보고, 인시던트 상관 관계를 지원하며, 사용자 지정 경고 기능과 함께 조사 응답 시간을 줄일 수 있도록 미리 만들어진 대시보드를 제공합니다. Mimecast 제품 및 기능이 필요합니다.

  • Mimecast Cloud Gateway
  • Mimecast 데이터 누수 방지

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Seg_Cg_CL
Seg_Dlp_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Azure 구독: Microsoft Entra ID 애플리케이션을 등록하고 리소스 그룹의 앱에 기여자 역할을 할당하려면 소유자 역할이 있는 Azure 구독이 필요합니다.
  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • REST API 자격 증명/권한: Rest API 참조에 대한 API에 대한 자세한 내용은 설명서를 참조하세요.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Mimecast API에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

구성:

1단계 - Mimecast API에 대한 구성 단계

Azure Portal ---> 앱 등록 ---> [your_app] ---> 인증서 & 비밀 ---> 새 클라이언트 비밀로 이동하여 새 비밀을 만듭니다(나중에 미리 볼 수 없으므로 즉시 안전한 곳에 값 저장).

**2단계 - Mimecast API 커넥터 배포

중요: Mimecast API 커넥터를 배포하기 전에 Mimecast API 권한 부여 키 또는 토큰을 쉽게 사용할 수 있습니다.

3단계 - Microsoft Entra ID 애플리케이션에 대한 앱 등록 단계

이 통합에는 Azure Portal 앱 등록이 필요합니다. 이 섹션의 단계에 따라 Microsoft Entra ID 새 애플리케이션을 만듭니다.

  1. Azure 포털에 로그인합니다.
  2. Microsoft Entra ID 검색하여 선택합니다.
  3. 관리에서 새 등록 앱 등록 > 선택합니다.
  4. 애플리케이션의 표시 이름을 입력합니다.
  5. 등록을 선택하여 초기 앱 등록을 완료합니다.
  6. 등록이 완료되면 Azure Portal 앱 등록의 개요 창이 표시됩니다. 애플리케이션(클라이언트) ID 및 테넌트 ID가 표시됩니다. 클라이언트 ID 및 테넌트 ID는 TenableVM 데이터 커넥터 실행을 위한 구성 매개 변수로 필요합니다.

참조 링크:/azure/active-directory/develop/quickstart-register-app

4단계 - Microsoft Entra ID 애플리케이션에 대한 클라이언트 암호 추가

애플리케이션 암호라고도 하는 클라이언트 암호는 TenableVM 데이터 커넥터를 실행하는 데 필요한 문자열 값입니다. 이 섹션의 단계에 따라 새 클라이언트 암호를 만듭니다.

  1. Azure Portal 앱 등록 애플리케이션을 선택합니다.
  2. 인증서 & 비밀 > 클라이언트 비밀 새 클라이언트 비밀을 >선택합니다.
  3. 클라이언트 비밀에 대한 설명을 추가합니다.
  4. 비밀에 대한 만료를 선택하거나 사용자 지정 수명을 지정합니다. 한도는 24개월입니다.
  5. 추가를 선택합니다.
  6. 클라이언트 애플리케이션 코드에서 사용할 비밀 값을 기록합니다. 이 비밀 값은 이 페이지를 떠난 후에 다시는 표시되지 않습니다. 비밀 값은 TenableVM Data Connector를 실행하기 위한 구성 매개 변수로 필요합니다.

참조 링크:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

5단계 - Microsoft Entra ID 애플리케이션의 개체 ID 가져오기

앱 등록을 만든 후 이 섹션의 단계에 따라 개체 ID를 가져옵니다.

  1. Microsoft Entra ID 이동합니다.
  2. 왼쪽 메뉴에서 엔터프라이즈 애플리케이션 을 선택합니다.
  3. 목록에서 새로 만든 애플리케이션을 찾습니다(제공한 이름으로 검색할 수 있습니다).
  4. 애플리케이션을 클릭합니다.
  5. 개요 페이지에서 개체 ID를 복사합니다. ARM 템플릿 역할 할당에 필요한 AzureEntraObjectId 입니다.

Mimecast Secure Email Gateway 데이터 커넥터를 배포합니다.

Mimecast Secure Email Gateway Data 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.msaka.ms

  2. 기본 구독, 리소스 그룹 및 지역을 선택합니다.

  3. 아래 정보를 입력합니다.

    a. 위치 - 데이터 수집 규칙 및 데이터 수집 엔드포인트를 배포해야 하는 위치

    b. WorkspaceName - Log Analytics 작업 영역의 Microsoft Sentinel 작업 영역 이름 입력

    c. AzureClientID - 앱 등록 중에 만든 Azure 클라이언트 ID를 입력합니다.

    d. AzureClientSecret - 클라이언트 비밀을 만드는 동안 만든 Azure 클라이언트 암호를 입력합니다.

    e. AzureTenantID - Azure Active Directory의 Azure 테넌트 ID를 입력합니다.

    f. AzureEntraObjectID - Microsoft Entra 앱의 개체 ID 입력

    g. MimecastBaseURL - Mimecast API 2.0의 기본 URL을 입력합니다(예: ). https://api.services.mimecast.com

    h. MimecastClientID - 인증을 위해 Mimecast 클라이언트 ID 입력

    i. MimecastClientSecret - 인증을 위해 Mimecast 클라이언트 암호를 입력합니다.

    j. MimecastCGTableName - CG 데이터를 저장하는 데 사용되는 테이블의 이름을 입력합니다. 기본값은 'Seg_Cg'입니다.

    k. MimecastDLPTableName - DLP 데이터를 저장하는 데 사용되는 테이블의 이름을 입력합니다. 기본값은 'Seg_Dlp'입니다.

    L. StartDate - 시작 날짜를 'yyyy-mm-dd' 형식으로 입력합니다. 날짜를 제공하지 않으면 지난 60일의 데이터가 자동으로 페치됩니다. 날짜가 과거이고 올바르게 서식이 지정되었는지 확인합니다.

    M. 일정 - 유효한 석영 cron-expression을 입력하세요. (예: 0 0 */1 * * *) 값을 비워 두지 마세요. 최소값은 10분입니다.

    N. LogLevel - 로그 수준 또는 로그 심각도 값을 추가하세요. 기본적으로 INFO로 설정됩니다.

    O. AppInsightsWorkspaceResourceId - 2024년 2월 29일로 사용 중지되는 Log Analytic 작업 영역으로 클래식 Application Insights를 마이그레이션합니다. '리소스 ID' 속성 값이 있는 'Log Analytic 작업 영역-->속성' 블레이드를 사용합니다. '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' 형식의 정규화된 resourceId입니다.

  4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  5. 구매를 클릭하여 배포합니다.



Mimecast Secure Email Gateway(Azure Functions 사용)

지원:Mimecast

Mimecast Secure Email Gateway용 데이터 커넥터를 사용하면 Secure Email Gateway에서 쉽게 로그 수집하여 Microsoft Sentinel 내에서 전자 메일 인사이트 및 사용자 활동을 표시할 수 있습니다. 데이터 커넥터는 분석가가 이메일 기반 위협에 대한 인사이트를 보고, 인시던트 상관 관계를 지원하며, 사용자 지정 경고 기능과 함께 조사 응답 시간을 줄일 수 있도록 미리 만들어진 대시보드를 제공합니다. Mimecast 제품 및 기능이 필요합니다.

  • Mimecast Secure Email Gateway
  • Mimecast 데이터 누수 방지

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
MimecastSIEM_CL 아니요 아니요
MimecastDLP_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • Mimecast API 자격 증명: 통합을 구성하려면 다음 정보가 있어야 합니다.
  • mimecastEmail: 전용 Mimecast 관리 사용자의 Email 주소
  • mimecastPassword: 전용 Mimecast 관리 사용자의 암호
  • mimecastAppId: Mimecast에 등록된 Mimecast Microsoft Sentinel 앱의 API 애플리케이션 ID
  • mimecastAppKey: Mimecast에 등록된 Mimecast Microsoft Sentinel 앱의 API 애플리케이션 키
  • mimecastAccessKey: 전용 Mimecast 관리 사용자에 대한 액세스 키
  • mimecastSecretKey: 전용 Mimecast 관리자용 비밀 키
  • mimecastBaseURL: Mimecast 지역 API 기본 URL

전용 Mimecast 관리 사용자의 액세스 키 및 비밀 키와 함께 Mimecast 애플리케이션 ID, 애플리케이션 키는 Mimecast 관리 콘솔: 관리 | 서비스 | API 및 플랫폼 통합.

각 지역에 대한 Mimecast API 기본 URL은 다음과 같습니다. https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • 리소스 그룹: 사용하려는 구독을 사용하여 리소스 그룹을 만들어야 합니다.
  • 함수 앱: 이 커넥터를 사용하려면 Azure 앱 등록해야 합니다.
  1. 애플리케이션 ID
  2. 테넌트 ID
  3. 클라이언트 ID
  4. 클라이언트 암호

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Mimecast API에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

구성:

1단계 - Mimecast API에 대한 구성 단계

Azure Portal ---> 앱 등록 ---> [your_app] ---> 인증서 & 비밀 ---> 새 클라이언트 비밀로 이동하여 새 비밀을 만듭니다(나중에 미리 볼 수 없으므로 즉시 안전한 곳에 값 저장).

2단계 - Mimecast API 커넥터 배포

중요: Mimecast API 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)와 Mimecast API 권한 부여 키 또는 토큰을 쉽게 사용할 수 있습니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

Mimecast Secure Email Gateway 데이터 커넥터를 배포합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 다음 필드를 입력합니다.

  • appName: Azure 플랫폼에서 앱의 ID로 사용할 고유 문자열
  • objectId: Azure Portal --- Azure> Active Directory --- 자세한 정보 --->> 프로필 -----> 개체 ID
  • appInsightsLocation(기본값): westeurope
  • mimecastEmail: 이 무결성에 대한 전용 사용자의 Email 주소
  • mimecastPassword: 전용 사용자에 대한 암호
  • mimecastAppId: Mimecast에 등록된 Microsoft Sentinel 앱의 애플리케이션 ID
  • mimecastAppKey: Mimecast에 등록된 Microsoft Sentinel 앱의 애플리케이션 키
  • mimecastAccessKey: 전용 Mimecast 사용자에 대한 액세스 키
  • mimecastSecretKey: 전용 Mimecast 사용자를 위한 비밀 키
  • mimecastBaseURL: 지역 Mimecast API 기본 URL
  • activeDirectoryAppId: Azure Portal ---> 앱 등록 ---> [your_app] ---> 애플리케이션 ID
  • activeDirectoryAppSecret: Azure Portal --- 앱 등록 --->> [your_app] ---> 인증서 & 비밀 ---> [your_app_secret]
  • workspaceId: Azure Portal ---> Log Analytics 작업 영역 ---> [작업 영역] ---> 에이전트 ---> 작업 영역 ID(또는 위에서 workspaceId를 복사할 수 있습니다).
  • workspaceKey: Azure Portal ---> Log Analytics 작업 영역 ---> [작업 영역] ---> 에이전트 ---> 기본 키(또는 위에서 workspaceKey를 복사할 수 있습니다).
  • AppInsightsWorkspaceResourceID: [작업 영역]---> 속성 --- 리소스 ID를 ---> Log> Analytics 작업 영역 Azure Portal --->

참고: 위의 값에 Azure Key Vault 비밀을 사용하는 경우 문자열 값 대신 스키마를 사용합니다@Microsoft.KeyVault(SecretUri={Security Identifier}). 자세한 내용은 Key Vault 참조 설명서를 참조하세요.

  1. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  2. 구매를 클릭하여 배포합니다.

  3. Azure Portal ---> 리소스 그룹 ---> [your_resource_group] ---> [appName](type: Storage account) --- Storage Explorer --->> BLOB CONTAINERS --- --->> SIEM 검사점으로 이동하여 checkpoint.txt 라는 컴퓨터에 빈 파일을 업로드하고 만들고, dlp-checkpoint.txt 업로드하도록 선택합니다(SIEM 로그에 대한 date_range 일관된 상태로 저장되도록 수행됨).



Mimecast 대상 위협 방지

지원:Mimecast

Mimecast Targeted Threat Protection의 데이터 커넥터는 고객에게 Microsoft Sentinel 내의 Targeted Threat Protection 검사 기술과 관련된 보안 이벤트에 대한 가시성을 제공합니다. 데이터 커넥터는 분석가가 이메일 기반 위협에 대한 인사이트를 보고, 인시던트 상관 관계를 지원하며, 사용자 지정 경고 기능과 함께 조사 응답 시간을 줄일 수 있도록 미리 만들어진 대시보드를 제공합니다.
커넥터에 포함된 Mimecast 제품은 다음과 같습니다.

  • URL 보호
  • 가장 보호
  • 첨부 파일 보호

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Ttp_Url_CL
Ttp_Attachment_CL
Ttp_Impersonation_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Azure 구독: Microsoft Entra ID 애플리케이션을 등록하고 리소스 그룹의 앱에 기여자 역할을 할당하려면 소유자 역할이 있는 Azure 구독이 필요합니다.
  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • REST API 자격 증명/권한: Rest API 참조에 대한 API에 대한 자세한 내용은 설명서를 참조하세요.

설치 지침:

리소스 그룹

사용하려는 구독을 사용하여 리소스 그룹을 만들어야 합니다.

Functions 앱

이 커넥터를 사용하려면 Azure 앱 등록해야 합니다.

  1. 애플리케이션 ID
  2. 테넌트 ID
  3. 클라이언트 ID
  4. 클라이언트 암호

참고: 이 커넥터는 Azure Functions 사용하여 Mimecast API에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

1단계 - Microsoft Entra ID 애플리케이션에 대한 앱 등록 단계

이 통합에는 Azure Portal 앱 등록이 필요합니다. 이 섹션의 단계에 따라 Microsoft Entra ID 새 애플리케이션을 만듭니다.

  1. Azure 포털에 로그인합니다.
  2. Microsoft Entra ID 검색하여 선택합니다.
  3. 관리에서 새 등록 앱 등록 > 선택합니다.
  4. 애플리케이션의 표시 이름을 입력합니다.
  5. 등록을 선택하여 초기 앱 등록을 완료합니다.
  6. 등록이 완료되면 Azure Portal 앱 등록의 개요 창이 표시됩니다. 애플리케이션(클라이언트) ID 및 테넌트 ID가 표시됩니다. Mimecast Data Connector를 실행하기 위한 구성 매개 변수로 클라이언트 ID 및 테넌트 ID가 필요합니다.

참조 링크:/azure/active-directory/develop/quickstart-register-app

2단계 - Microsoft Entra ID 애플리케이션에 대한 클라이언트 암호 추가

애플리케이션 암호라고도 하는 클라이언트 암호는 Mimecast Data Connector를 실행하는 데 필요한 문자열 값입니다. 이 섹션의 단계에 따라 새 클라이언트 암호를 만듭니다.

  1. Azure Portal 앱 등록 애플리케이션을 선택합니다.
  2. 인증서 & 비밀 > 클라이언트 비밀 새 클라이언트 비밀을 >선택합니다.
  3. 클라이언트 비밀에 대한 설명을 추가합니다.
  4. 비밀에 대한 만료를 선택하거나 사용자 지정 수명을 지정합니다. 한도는 24개월입니다.
  5. 추가를 선택합니다.
  6. 클라이언트 애플리케이션 코드에서 사용할 비밀 값을 기록합니다. 이 비밀 값은 이 페이지를 떠난 후에 다시는 표시되지 않습니다. 비밀 값은 Mimecast Data Connector를 실행하기 위한 구성 매개 변수로 필요합니다.

참조 링크:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

3단계 - Microsoft Entra ID 애플리케이션의 개체 ID 가져오기

앱 등록을 만든 후 이 섹션의 단계에 따라 개체 ID를 가져옵니다.

  1. Microsoft Entra ID 이동합니다.
  2. 왼쪽 메뉴에서 엔터프라이즈 애플리케이션 을 선택합니다.
  3. 목록에서 새로 만든 애플리케이션을 찾습니다(제공한 이름으로 검색할 수 있습니다).
  4. 애플리케이션을 클릭합니다.
  5. 개요 페이지에서 개체 ID를 복사합니다. ARM 템플릿 역할 할당에 필요한 AzureEntraObjectId 입니다.

4단계 - Mimecast API 커넥터 배포

중요: Mimecast API 커넥터를 배포하기 전에 Mimecast API 권한 부여 키 또는 토큰을 쉽게 사용할 수 있습니다.

ARM(Azure Resource Manager) 템플릿

Mimecast Targeted Threat Protection 데이터 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.msaka.ms

  2. 기본 구독, 리소스 그룹 및 지역을 선택합니다.

  3. 아래 정보를 입력합니다.

    a. 위치 - 데이터 수집 규칙 및 데이터 수집 엔드포인트를 배포해야 하는 위치

    b. WorkspaceName - Log Analytics 작업 영역의 Microsoft Sentinel 작업 영역 이름 입력

    c. AzureClientID - 앱 등록 중에 만든 Azure 클라이언트 ID를 입력합니다.

    d. AzureClientSecret - 클라이언트 비밀을 만드는 동안 만든 Azure 클라이언트 암호를 입력합니다.

    e. AzureTenantID - Azure Active Directory의 Azure 테넌트 ID를 입력합니다.

    f. AzureEntraObjectID - Microsoft Entra 앱의 개체 ID 입력

    g. MimecastBaseURL - Mimecast API 2.0의 기본 URL을 입력합니다(예: ). https://api.services.mimecast.com

    h. MimecastClientID - 인증을 위해 Mimecast 클라이언트 ID 입력

    i. MimecastClientSecret - 인증을 위해 Mimecast 클라이언트 암호를 입력합니다.

    j. StartDate - 시작 날짜를 'yyyy-mm-dd' 형식으로 입력합니다. 날짜를 제공하지 않으면 지난 60일의 데이터가 자동으로 페치됩니다. 날짜가 과거이고 올바르게 서식이 지정되었는지 확인합니다.

    k. MimecastTTPAttachmentTableName - TTP 첨부 파일 데이터를 저장하는 데 사용되는 테이블의 이름을 입력합니다. 기본값은 'Ttp_Attachment'입니다.

    L. MimecastTTPImpersonationTableName - TTP 가장 데이터를 저장하는 데 사용되는 테이블의 이름을 입력합니다. 기본값은 'Ttp_Impersonation'입니다.

    M. MimecastTTPUrlTableName - TTP 첨부 파일 데이터를 저장하는 데 사용되는 테이블의 이름을 입력합니다. 기본값은 'Ttp_Url'입니다.

    N. 일정 - 유효한 석영 cron-expression을 입력하세요. (예: 0 0 */1 * * *) 값을 비워 두지 마세요. 최소값은 10분입니다.

    L. LogLevel - 로그 수준 또는 로그 심각도 값을 추가하세요. 기본적으로 INFO로 설정됩니다.

    O. AppInsightsWorkspaceResourceId - 2024년 2월 29일로 사용 중지되는 Log Analytic 작업 영역으로 클래식 Application Insights를 마이그레이션합니다. '리소스 ID' 속성 값이 있는 'Log Analytic 작업 영역-->속성' 블레이드를 사용합니다. '/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}' 형식의 정규화된 resourceId입니다.

  4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  5. 구매를 클릭하여 배포합니다.



Mimecast Targeted Threat Protection(Azure Functions 사용)

지원:Mimecast

Mimecast Targeted Threat Protection의 데이터 커넥터는 고객에게 Microsoft Sentinel 내의 Targeted Threat Protection 검사 기술과 관련된 보안 이벤트에 대한 가시성을 제공합니다. 데이터 커넥터는 분석가가 이메일 기반 위협에 대한 인사이트를 보고, 인시던트 상관 관계를 지원하며, 사용자 지정 경고 기능과 함께 조사 응답 시간을 줄일 수 있도록 미리 만들어진 대시보드를 제공합니다.
커넥터에 포함된 Mimecast 제품은 다음과 같습니다.

  • URL 보호
  • 가장 보호
  • 첨부 파일 보호

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
MimecastTTPUrl_CL 아니요 아니요
MimecastTTPAttachment_CL 아니요 아니요
MimecastTTPImpersonation_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • REST API 자격 증명/권한: 통합을 구성하려면 다음 정보가 있어야 합니다.
  • mimecastEmail: 전용 Mimecast 관리 사용자의 Email 주소
  • mimecastPassword: 전용 Mimecast 관리 사용자의 암호
  • mimecastAppId: Mimecast에 등록된 Mimecast Microsoft Sentinel 앱의 API 애플리케이션 ID
  • mimecastAppKey: Mimecast에 등록된 Mimecast Microsoft Sentinel 앱의 API 애플리케이션 키
  • mimecastAccessKey: 전용 Mimecast 관리 사용자에 대한 액세스 키
  • mimecastSecretKey: 전용 Mimecast 관리자용 비밀 키
  • mimecastBaseURL: Mimecast 지역 API 기본 URL

전용 Mimecast 관리 사용자의 액세스 키 및 비밀 키와 함께 Mimecast 애플리케이션 ID, 애플리케이션 키는 Mimecast 관리 콘솔: 관리 | 서비스 | API 및 플랫폼 통합.

각 지역에 대한 Mimecast API 기본 URL은 다음과 같습니다. https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

설치 지침:

리소스 그룹

사용하려는 구독을 사용하여 리소스 그룹을 만들어야 합니다.

Functions 앱

이 커넥터를 사용하려면 Azure 앱 등록해야 합니다.

  1. 애플리케이션 ID
  2. 테넌트 ID
  3. 클라이언트 ID
  4. 클라이언트 암호

참고: 이 커넥터는 Azure Functions 사용하여 Mimecast API에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

구성:

1단계 - Mimecast API에 대한 구성 단계

Azure Portal ---> 앱 등록 ---> [your_app] ---> 인증서 & 비밀 ---> 새 클라이언트 비밀로 이동하여 새 비밀을 만듭니다(나중에 미리 볼 수 없으므로 즉시 안전한 곳에 값 저장).

2단계 - Mimecast API 커넥터 배포

중요: Mimecast API 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)와 Mimecast API 권한 부여 키 또는 토큰을 쉽게 사용할 수 있습니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

Mimecast Targeted Threat Protection 데이터 커넥터를 배포합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 다음 필드를 입력합니다.

  • appName: Azure 플랫폼에서 앱의 ID로 사용할 고유 문자열
  • objectId: Azure Portal --- Azure> Active Directory --- 자세한 정보 --->> 프로필 -----> 개체 ID
  • appInsightsLocation(기본값): westeurope
  • mimecastEmail: 이 무결성에 대한 전용 사용자의 Email 주소
  • mimecastPassword: 전용 사용자에 대한 암호
  • mimecastAppId: Mimecast에 등록된 Microsoft Sentinel 앱의 애플리케이션 ID
  • mimecastAppKey: Mimecast에 등록된 Microsoft Sentinel 앱의 애플리케이션 키
  • mimecastAccessKey: 전용 Mimecast 사용자에 대한 액세스 키
  • mimecastSecretKey: 전용 Mimecast 사용자를 위한 비밀 키
  • mimecastBaseURL: 지역 Mimecast API 기본 URL
  • activeDirectoryAppId: Azure Portal ---> 앱 등록 ---> [your_app] ---> 애플리케이션 ID
  • activeDirectoryAppSecret: Azure Portal --- 앱 등록 --->> [your_app] ---> 인증서 & 비밀 ---> [your_app_secret]
  • workspaceId: Azure Portal ---> Log Analytics 작업 영역 ---> [작업 영역] ---> 에이전트 ---> 작업 영역 ID(또는 위에서 workspaceId를 복사할 수 있습니다).
  • workspaceKey: Azure Portal ---> Log Analytics 작업 영역 ---> [작업 영역] ---> 에이전트 ---> 기본 키(또는 위에서 workspaceKey를 복사할 수 있습니다).
  • AppInsightsWorkspaceResourceID: [작업 영역]---> 속성 --- 리소스 ID를 ---> Log> Analytics 작업 영역 Azure Portal --->

참고: 위의 값에 Azure Key Vault 비밀을 사용하는 경우 문자열 값 대신 스키마를 사용합니다@Microsoft.KeyVault(SecretUri={Security Identifier}). 자세한 내용은 Key Vault 참조 설명서를 참조하세요.

  1. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  2. 구매를 클릭하여 배포합니다.

  3. Azure Portal ---> 리소스 그룹 ---> [your_resource_group] ---> [appName](type: Storage account) --- Storage Explorer --->> BLOB CONTAINERS ---> TTP 검사 --->점으로 이동하여 attachment-checkpoint.txt, impersonation-checkpoint.txt, url-checkpoint.txt 컴퓨터에 빈 파일을 업로드하고 만들고 업로드하도록 선택합니다(TTP 로그에 대한 date_range 일관된 상태로 저장되도록 수행됨).



MISP2Sentinel

지원자:커뮤니티

이 솔루션은 MISP2Sentinel 커넥터를 설치하여 업로드 표시기 REST API를 통해 위협 지표를 MISP에서 Microsoft Sentinel 자동으로 푸시할 수 있습니다. 솔루션을 설치한 후 솔루션 관리 보기의 지침에 따라 이 데이터 커넥터를 구성하고 사용하도록 설정합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ThreatIntelligenceIndicator 아니요

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

설치 및 설정 지침

이 GitHub 리포지토리의 설명서를 사용하여 커넥터를 Microsoft Sentinel MISP를 설치하고 구성합니다.

https://github.com/cudeso/misp2sentinel



MongoDB 아틀라스 로그

지원:MongoDB

MongoDBAtlas 로그 커넥터는 MongoDB Atlas 관리 API를 통해 MongoDB Atlas 데이터베이스 로그를 Microsoft Sentinel 업로드하는 기능을 제공합니다. 자세한 내용은 API 설명서를 참조하세요. 커넥터는 지정된 호스트 및 지정된 프로젝트에 대한 데이터베이스 로그 메시지 범위를 가져오는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
MDBALogTable_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 'MongoDB Atlas'에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

커넥터를 배포하기 전에 작업 영역이 Microsoft Sentinel 추가되었는지 확인합니다.

1단계 - 'MongoDB Atlas 관리 API'에 대한 구성 단계

  1. 다음 지침에 따라 MongoDB Atlas 서비스 계정을 만듭니다.
  2. 만든 클라이언트 ID 및 클라이언트 암호, 그룹 ID(프로젝트) 및 이후 단계에 필요한 각 클러스터 ID(호스트 이름)를 복사합니다.
  3. 자세한 내용은 MongoDB Atlas API 설명서를 참조하세요.
  4. 클라이언트 암호는 Azure 키 자격 증명 모음을 통해 커넥터에 전달하거나 커넥터에 직접 전달할 수 있습니다.
  5. 키 자격 증명 모음 옵션을 사용하려는 경우 자격 증명 모음 액세스 정책을 사용하여 mongodb-client-secret 이라는 비밀과 비밀 값으로 저장된 클라이언트 암호를 사용하여 키 자격 증명 모음을 만듭니다.

2단계 - 'MongoDB Atlas Logs' 커넥터 및 연결된 Azure 함수 배포

  1. 아래 Azure 배포 단추를 클릭합니다.

    portal.azure.com

3단계 - 커넥터 매개 변수 설정

  1. 기본 구독 및 기존 리소스 그룹을 선택합니다.
  2. 리소스 그룹에 속한 기존 Log Analytics 작업 영역 리소스 ID 를 입력합니다.
  3. 다음을 클릭합니다.
  4. MongoDB 그룹 ID, 각각 별도의 줄에 있는 최대 10개의 MongoDB 클러스터 ID 목록 및 MongoDB 클라이언트 ID를 입력합니다.
  5. 인증 방법 클라이언트 암호를 선택하고 클라이언트 비밀 값에 복사하거나 Key Vault 키 자격 증명 모음의 이름으로 복사합니다. 다음을 클릭합니다.
  6. MongoDB 필터를 검토합니다. 하나 이상의 범주에서 로그를 선택합니다. 다음을 클릭합니다.
  7. 일정을 검토합니다. 다음을 클릭합니다.
  8. 설정을 검토한 다음 만들기를 클릭합니다.



MuleSoft Cloudhub(Azure Functions 사용)

지원:Microsoft Corporation

MuleSoft Cloudhub 데이터 커넥터는 Cloudhub API를 사용하여 Cloudhub 애플리케이션에서 로그를 검색하고 REST API를 통해 Microsoft Sentinel 더 많은 이벤트를 검색하는 기능을 제공합니다. 커넥터를 사용하면 이벤트 검색을 통해 잠재적인 보안 위험을 평가하고, 공동 작업을 모니터링하고, 구성 문제를 진단하고 해결할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
MuleSoft_Cloudhub_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • REST API 자격 증명/권한: API 호출을 수행하려면 MuleSoftEnvId, MuleSoftAppName, MuleSoftUsernameMuleSoftPassword 가 필요합니다.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Azure Blob Storage API에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 데이터 수집 및 데이터를 Azure Blob Storage 비용에 저장하는 추가 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지Azure Blob Storage 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

참고: 이 데이터 커넥터는 Kusto 함수를 기반으로 하는 파서가 Microsoft Sentinel 솔루션과 함께 배포된 예상된 MuleSoftCloudhub와 같이 작동하도록 합니다.

참고: 이 데이터 커넥터는 CloudHub 2.0 애플리케이션이 아닌 플랫폼 API를 사용하여 CloudHub 애플리케이션의 로그만 가져옵니다.

1단계 - MuleSoft Cloudhub API에 대한 구성 단계

지침에 따라 자격 증명을 가져옵니다.

  1. 설명서를 사용하여 MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername 및 MuleSoftPassword를 가져옵니다.
  2. 데이터 커넥터에서 사용하기 위한 자격 증명을 저장합니다.

2단계 - 커넥터 및 연결된 Azure 함수를 배포하려면 다음 두 가지 배포 옵션 중 하나를 선택합니다.

중요: MuleSoft Cloudhub 데이터 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키를 갖습니다(다음에서 복사할 수 있음).

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

옵션 1 - ARM(Azure Resource Manager) 템플릿

ARM Tempate를 사용하여 MuleSoft Cloudhub 데이터 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

참고: 동일한 리소스 그룹 내에서는 Windows 및 Linux 앱을 동일한 지역에 혼합할 수 없습니다. Windows 앱이 없는 기존 리소스 그룹을 선택하거나 새 리소스 그룹을 만듭니다. 3. MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername 및 MuleSoftPassword를 입력하고 배포합니다. 4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다. 5. 구매 를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions 사용하여 MuleSoft Cloudhub 데이터 커넥터를 수동으로 배포합니다(Visual Studio Code 통해 배포).

  1. 함수 앱 배포

참고: Azure 함수 개발을 위해 VS 코드를 준비해야 합니다.

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.

  2. VS Code를 시작합니다. 주 메뉴에서 파일을 선택하고 폴더 열기를 선택합니다.

  3. 추출된 파일에서 최상위 폴더를 선택합니다.

  4. 작업 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 함수에 배포 앱 단추를 선택합니다. 아직 로그인하지 않은 경우 활동 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 로그인을 선택하여 Azure 이미 로그인한 경우 다음 단계로 이동합니다.

  5. 프롬프트에서 다음 정보를 제공합니다.

    a. 폴더 선택: 작업 영역에서 폴더를 선택하거나 함수 앱이 포함된 폴더로 이동합니다.

    b. 구독을 선택합니다. 사용할 구독을 선택합니다.

    c. Azure 새 함수 앱 만들기를 선택합니다(고급 옵션을 선택하지 않음).

    d. 함수 앱의 전역적으로 고유한 이름을 입력합니다 . URL 경로에 유효한 이름을 입력합니다. 입력한 이름은 Azure Functions 고유하도록 유효성을 검사합니다. (예: MuleSoftXXXXX).

    e. 런타임 선택: Python 3.11을 선택합니다.

    f. 새 리소스의 위치를 선택합니다. 성능 향상 및 비용 절감을 위해 Microsoft Sentinel 있는 동일한 지역을 선택합니다.

  6. 배포가 시작됩니다. 함수 앱이 만들어지고 배포 패키지가 적용된 후 알림이 표시됩니다.

  7. 함수 앱 구성에 대한 Azure 포털로 이동합니다.

  8. 함수 앱 구성

  9. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.

  10. 애플리케이션 설정 탭에서 새 애플리케이션 설정을 선택합니다.

  11. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. MuleSoftEnvId MuleSoftAppName MuleSoftUsername MuleSoftPassword WorkspaceID WorkspaceKey logAnalyticsUri(선택 사항)

  • logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 값을 형식https://<CustomerId>.ods.opinsights.azure.us으로 지정합니다.
  1. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



NC 보호

지원:archTIS

NC archtis.com(데이터 보호 커넥터)는 사용자 활동 로그 및 이벤트를 Microsoft Sentinel 수집하는 기능을 제공합니다. 커넥터는 모니터링 및 조사 기능을 개선하기 위해 Microsoft Sentinel NC 사용자 활동 로그 및 이벤트 보호에 대한 가시성을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
NCProtectUAL_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • NC 보호: O365용 NC Protect의 실행 중인 instance 있어야 합니다. 문의해 주세요.

설치 지침:

  1. Azure 테넌시로 NC 보호 설치
  2. NC 보호 관리 사이트에 로그인
  3. 왼쪽 탐색 메뉴에서 일반 -> 사용자 활동 모니터링을 선택합니다.
  4. SIEM 사용 확인란을 선택하고 구성 단추를 클릭합니다.
  5. 애플리케이션으로 Microsoft Sentinel 선택하고 아래 정보를 사용하여 구성을 완료합니다.
  6. 저장을 클릭하여 연결을 활성화합니다.
  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>



Netskope 경고 및 이벤트

지원:Netskope

Netskope 보안 경고 및 이벤트

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
NetskopeAlerts_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Netskope 조직 URL: Netskope 데이터 커넥터를 사용하려면 조직 URL을 제공해야 합니다. Netskope 포털에 로그인하여 조직 URL을 찾을 수 있습니다.
  • Netskope API 키: Netskope 데이터 커넥터를 사용하려면 유효한 API 키를 제공해야 합니다. Netskope 설명서에 따라 만들 수 있습니다.

설치 지침:

1단계 - Netskope API 키를 만듭니다.

이 단계에 대한 지침 은 Netskope 설명서를 따르세요.

2단계 - Netskope 제품 세부 정보 입력

아래의 Netskope 조직 URL & API 토큰을 입력합니다.

  • 조직 URL: (조직 URL 입력)
  • API 키: (API 키 입력) 선택 사항: API에서 사용하는 인덱스 지정

인덱스 구성은 선택 사항이며 고급 시나리오에서만 필요합니다. Netskope은 인덱 스를 사용하여 이벤트를 검색합니다. 일부 고급 사례(여러 Microsoft Sentinel 작업 영역에서 이벤트를 사용하거나 최근 데이터만 검색하기 위해 인덱스를 미리 지정하는 경우) 고객은 인덱스를 직접 제어하려고 할 수 있습니다.

  • 인덱스: (NetskopeCCF)

3단계 - 연결을 클릭합니다.

위의 모든 필드가 올바르게 채워져 있는지 확인합니다. 연결을 눌러 Netskope을 Microsoft Sentinel 연결합니다.

  • 연결 사용/사용 안 함



Netskope Data Connector

지원:Netskope

Netskope 데이터 커넥터는 다음과 같은 기능을 제공합니다.

  1. NetskopeToAzureStorage:
  • Netskope에서 Netskope 경고 및 이벤트 데이터를 가져와서 Azure 스토리지로 수집합니다. 2. StorageToSentinel :
  • Azure 스토리지에서 Netskope 경고 및 이벤트 데이터를 가져와서 log analytics 작업 영역의 사용자 지정 로그 테이블로 수집합니다. 3. WebTxMetrics:
  • Netskope에서 WebTxMetrics 데이터를 가져와서 로그 분석 작업 영역에서 사용자 지정 로그 테이블로 수집합니다.

REST API에 대한 자세한 내용은 아래 설명서를 참조하세요.

  1. Netskope API 설명서:

https://docs.netskope.com/en/netskope-help/admin-console/rest-api/rest-api-v2-overview-312207/2. Azure 스토리지 설명서: /azure/storage/common/storage-introduction 3. Microsoft 로그 분석 설명서: /azure/azure-monitor/logs/log-analytics-overview

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
alertscompromisedcredentialdata_CL 아니요 아니요
alertsctepdata_CL 아니요 아니요
alertsdlpdata_CL 아니요 아니요
alertsmalsitedata_CL 아니요 아니요
alertsmalwaredata_CL 아니요 아니요
alertspolicydata_CL 아니요 아니요
alertsquarantinedata_CL 아니요 아니요
alertsremediationdata_CL 아니요 아니요
alertssecurityassessmentdata_CL 아니요 아니요
alertsubadata_CL 아니요 아니요
eventsapplicationdata_CL 아니요 아니요
eventsauditdata_CL 아니요 아니요
eventsconnectiondata_CL 아니요 아니요
eventsincidentdata_CL 아니요 아니요
eventsnetworkdata_CL 아니요 아니요
eventspagedata_CL 아니요 아니요
Netskope_WebTx_metrics_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Azure 구독: azure active directory()에 애플리케이션을 등록하고 리소스 그룹의 앱에 기여자 역할을 할당하려면 소유자 역할이 있는 Azure 구독이 필요합니다.
  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • REST API 자격 증명/권한: Netskope 테넌트Netskope API 토큰 이 필요합니다. Rest API 참조에서 API에 대한 자세한 내용은 설명서를 참조하세요.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Netskope API에 연결하여 경고 및 이벤트 데이터를 사용자 지정 로그 테이블로 가져옵니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

1단계 - Microsoft Entra ID 애플리케이션에 대한 앱 등록 단계

이 통합에는 Azure Portal 앱 등록이 필요합니다. 이 섹션의 단계에 따라 Microsoft Entra ID 새 애플리케이션을 만듭니다.

  1. Azure 포털에 로그인합니다.
  2. Microsoft Entra ID 검색하여 선택합니다.
  3. 관리에서 새 등록 앱 등록 > 선택합니다.
  4. 애플리케이션의 표시 이름을 입력합니다.
  5. 등록을 선택하여 초기 앱 등록을 완료합니다.
  6. 등록이 완료되면 Azure Portal 앱 등록의 개요 창이 표시됩니다. 애플리케이션(클라이언트) ID 및 테넌트 ID가 표시됩니다. 클라이언트 ID 및 테넌트 ID는 TriggersSync 플레이북을 실행하기 위한 구성 매개 변수로 필요합니다.

참조 링크:/azure/active-directory/develop/quickstart-register-app

2단계 - Microsoft Entra ID 애플리케이션에 대한 클라이언트 암호 추가

애플리케이션 암호라고도 하는 클라이언트 암호는 TriggersSync 플레이북을 실행하는 데 필요한 문자열 값입니다. 이 섹션의 단계에 따라 새 클라이언트 암호를 만듭니다.

  1. Azure Portal 앱 등록 애플리케이션을 선택합니다.
  2. 인증서 & 비밀 > 클라이언트 비밀 새 클라이언트 비밀을 >선택합니다.
  3. 클라이언트 비밀에 대한 설명을 추가합니다.
  4. 비밀에 대한 만료를 선택하거나 사용자 지정 수명을 지정합니다. 한도는 24개월입니다.
  5. 추가를 선택합니다.
  6. 클라이언트 애플리케이션 코드에서 사용할 비밀 값을 기록합니다. 이 비밀 값은 이 페이지를 떠난 후에 다시는 표시되지 않습니다. 비밀 값은 TriggersSync 플레이북을 실행하기 위한 구성 매개 변수로 필요합니다.

참조 링크:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

3단계 - Microsoft Entra ID 애플리케이션에 기여자 역할 할당

이 섹션의 단계에 따라 역할을 할당합니다.

  1. Azure Portal 리소스 그룹으로 이동하여 리소스 그룹을 선택합니다.
  2. 왼쪽 패널에서 액세스 제어(IAM) 로 이동합니다.
  3. 추가를 클릭한 다음 역할 할당 추가를 선택합니다.
  4. 역할로 기여자를 선택하고 다음을 클릭합니다.
  5. 에 대한 액세스 할당에서 를 선택합니다User, group, or service principal.
  6. 구성원 추가를 클릭하고 만든 앱 이름을 입력 하고 선택합니다.
  7. 이제 검토 + 할당을 클릭한 다음 검토 + 할당을 다시 클릭합니다.

참조 링크:/azure/role-based-access-control/role-assignments-portal

4단계 - Netskope 계정에 대한 자격 증명을 만들거나 가져오는 단계

이 섹션의 단계에 따라 Netskope Hostname 및 Netskope API 토큰을 만들거나 가져옵니다.

  1. Netskope 테넌트 에 로그인하고 왼쪽 탐색 모음의 설정 메뉴로 이동합니다.
  2. 도구를 클릭한 다음 REST API v2를 클릭합니다.
  3. 이제 새 토큰 단추를 클릭합니다. 그런 다음, 데이터를 가져오려는 토큰 이름, 만료 기간 및 엔드포인트를 요청합니다.
  4. 이 작업이 완료되면 저장 단추를 클릭하면 토큰이 생성됩니다. 토큰을 복사하고 추가 사용을 위해 안전한 장소에 저장합니다.

5단계 - Netskope 경고 및 이벤트 데이터 수집에 대한 Azure 함수를 만드는 단계

중요: Netskope 데이터 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)를 쉽게 사용할 수 있습니다... 뿐만 아니라 Netskope API 권한 부여 키도 사용할 수 있습니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

ARM 템플릿을 사용하면 Netskope 이벤트를 수집하기 위한 함수 앱을 배포하고 데이터를 Sentinel 경고합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 다음 정보를 입력합니다. Netskope HostName Netskope API 토큰 경고 및 이벤트 유형 드롭다운에서 경고 및 이벤트 로그 수준 작업 영역 ID 작업 영역 키를 가져오려는 엔드포인트에 대해 예를 선택합니다.

  4. 검토+만들기를 클릭합니다.

  5. 그런 다음 유효성 검사 후 만들기 를 클릭하여 배포합니다.



Netskope 웹 트랜잭션 커넥터(Blob Storage를 통해)

지원:Netskope

Netskope 웹 트랜잭션 커넥터는 CCF(Codeless Connector Framework)를 사용하여 Azure Blob Storage 통해 Netskope 로그 스트리밍에서 Microsoft Sentinel 웹 트랜잭션 로그를 수집합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
NetskopeWebTransactions_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • 구독 권한: 데이터 흐름 리소스를 만들 수 있는 권한이 필요합니다.
  • 스토리지 큐(알림 큐 및 배달 못 한 편지 큐)
  • event grid 토픽 및 구독(알림 큐에 'Blob 생성 이벤트' 알림을 보내려면)
  • 역할 할당(blob 컨테이너 및 스토리지 큐에 Microsoft Sentinel 앱에 대한 액세스 권한을 부여합니다.)
  • 스토리지 계정 네트워크 구성: Azure Blob Storage 계정의 네트워크 제한(방화벽/IP 규칙)은 Azure Storage 방화벽 제한 및 제한 사항으로 인해 이 커넥터에 대해 지원되지 않습니다.
  • IP 네트워크 규칙은 스토리지 계정과 동일한 Azure 지역에서 시작된 요청에영향을 주지 않습니다.
  • 이러한 서비스는 통신에 프라이빗 Azure IP 주소를 사용하므로 IP 네트워크 규칙은 동일한 지역에 배포된 Azure 서비스에 대한 액세스를제한할 수 없습니다.
  • 가상 네트워크 서비스 엔드포인트 규칙은 쌍을 이루는 지역의 클라이언트에는 적용되지 않습니다.

스토리지 계정의 네트워킹 블레이드가 모든 네트워크에서 사용으로 설정되어 있는지 확인합니다.

  • 스토리지 계정 역할 할당: Blob 컨테이너가 포함된 스토리지 계정의 Microsoft Sentinel 엔터프라이즈 애플리케이션 서비스 주체(아래에 표시됨)에 다음 Azure RBAC 역할을 할당해야 합니다.
  • 스토리지 Blob 데이터 기여자 - 컨테이너에서 Blob 데이터를 읽는 데 필요합니다.
  • 스토리지 큐 데이터 기여자 - 알림 및 배달 못한 편지 큐 메시지를 관리하는 데 필요합니다.

이러한 역할을 할당하려면 IAM(스토리지 계정 → Access Control) → 역할 할당 추가로 이동하고, 아래에 표시된 서비스 주체 ID를 검색하고, 두 역할을 모두 할당합니다.

  • Netskope에서 Blob 컨테이너로 데이터 수집: Netskope 로그 스트리밍 설명서의 단계에 따라 웹 트랜잭션 로그를 Azure Blob Storage 컨테이너로 스트리밍하도록 Netskope을 구성합니다.

설치 지침:

Netskope WebTx 로그를 Microsoft Sentinel 연결

Microsoft Sentinel Netskope WebTx 로그를 사용하도록 설정하려면 아래 필수 정보를 제공하고 연결을 클릭합니다.

  • 데이터를 수집하려는 Blob 컨테이너 URL:
  • 컨테이너의 Blob 폴더 이름입니다. 선택 사항.:
  • Blob 컨테이너의 스토리지 계정 위치:
  • Blob 컨테이너의 스토리지 계정 리소스 그룹 이름:
  • Blob 컨테이너의 스토리지 계정 구독 ID:
  • Blob 컨테이너의 스토리지 계정(있는 경우)의 Event Grid 토픽 이름입니다. 을(를) 비워 두십시오.:
  • 연결 사용/사용 안 함



Netskope 웹 트랜잭션 데이터 커넥터

지원:Netskope

Netskope Web Transactions 데이터 커넥터는 Docker 이미지의 기능을 제공하여 Google pubsublite에서 Netskope Web Transactions 데이터를 가져오고, 데이터를 처리하고, 처리된 데이터를 Log Analytics로 수집합니다. 이 데이터 커넥터의 일부로 Log Analytics에서 두 개의 테이블이 구성됩니다. 하나는 웹 트랜잭션 데이터용이고 다른 하나는 실행 중에 발생한 오류에 대한 테이블입니다.

웹 트랜잭션과 관련된 자세한 내용은 아래 설명서를 참조하세요.

  1. Netskope 웹 트랜잭션 설명서:

https://docs.netskope.com/en/netskope-help/data-security/transaction-events/netskope-transaction-events/

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
NetskopeWebtxData_CL 아니요 아니요
NetskopeWebtxErrors_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Azure 구독: Microsoft Entra ID 애플리케이션을 등록하고 리소스 그룹의 앱에 기여자 역할을 할당하려면 소유자 역할이 있는 Azure 구독이 필요합니다.
  • Microsoft.Compute 권한: Azure VM에 대한 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 VM Azure 참조하세요.
  • TransactionEvents 자격 증명 및 권한: Netskope 테넌트Netskope API 토큰 이 필요합니다. 자세한 내용은 트랜잭션 이벤트를 참조하세요.
  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.

설치 지침:

참고: 이 커넥터는 가상 머신(Azure VM/온-프레미스 VM)에 배포할 Docker 이미지를 사용하여 Netskope Web Transactions 데이터를 수집하는 기능을 제공합니다. 자세한 내용은 Azure VM 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

1단계 - Netskope 계정에 대한 자격 증명을 만들거나 가져오는 단계

이 섹션의 단계에 따라 Netskope Hostname 및 Netskope API 토큰을 만들거나 가져옵니다.

  1. Netskope 테넌트 에 로그인하고 왼쪽 탐색 모음의 설정 메뉴로 이동합니다.
  2. 도구를 클릭한 다음 REST API v2를 클릭합니다.
  3. 이제 새 토큰 단추를 클릭합니다. 그런 다음, 데이터를 가져오려는 토큰 이름, 만료 기간 및 엔드포인트를 요청합니다.
  4. 이 작업이 완료되면 저장 단추를 클릭하면 토큰이 생성됩니다. 토큰을 복사하고 추가 사용을 위해 안전한 장소에 저장합니다.

2단계 - Netskope 웹 트랜잭션 데이터를 수집하기 위해 Docker 기반 데이터 커넥터를 배포하려면 다음 두 가지 배포 옵션 중 하나를 선택합니다.

중요: Netskope 데이터 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)와 Netskope API 권한 부여 키[토큰에 트랜잭션 이벤트에 대한 권한이 있는지 확인]를 쉽게 사용할 수 있습니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

옵션 1 - ARM(Azure Resource Manager) 템플릿을 사용하여 VM 배포 [권장]

ARM 템플릿을 사용하여 Azure VM을 배포하고 필수 구성 요소를 설치하고 실행을 시작합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 아래 정보를 입력합니다. Docker 이미지 이름(mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions) Netskope HostName Netskope API 토큰 검색 타임스탬프(pubsublite 포인터를 찾으려는 epoch 타임스탬프) 빈 상태로 둘 수 있음) 작업 영역 ID 작업 영역 키 백오프 다시 시도 횟수(실행을 다시 시작하기 전에 토큰 관련 오류에 대한 재시도 횟수입니다.)
    백오프 절전 모드 시간(다시 시도하기 전 절전 모드 시간) 유휴 시간 제한(실행을 다시 시작하기 전에 웹 트랜잭션 데이터를 대기하는 시간(초) VM 이름 인증 유형 관리 암호 또는 키 DNS 레이블 접두사 Ubuntu OS 버전 위치 VM 크기 서브넷 이름 네트워크 보안 그룹 이름 보안 유형

  4. 검토+만들기를 클릭합니다.

  5. 그런 다음 유효성 검사 후 만들기 를 클릭하여 배포합니다.

옵션 2 - 이전에 만든 가상 머신에서 수동 배포

다음 단계별 지침을 사용하여 이전에 만든 가상 머신에 Docker 기반 데이터 커넥터를 수동으로 배포합니다.

  1. docker 설치 및 docker 끌어오기 이미지

참고: VM이 linux 기반인지 확인합니다(바람직하게는 Ubuntu).

  1. 먼저 가상 머신에 SSH해야 합니다.

  2. 이제 Docker 엔진을 설치합니다.

  3. 이제 'sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions' 명령을 사용하여 docker 허브에서 docker 이미지를 끌어옵니다.

  4. 이제 docker 이미지를 실행하려면 'sudo docker run -it -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions' 명령을 사용합니다. mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions를 이미지 ID로 바꿀 수 있습니다. 여기서 docker_persistent_volume 파일이 저장될 vm에 생성되는 폴더의 이름입니다.

  5. 매개 변수 구성

  6. Docker 이미지가 실행되면 필요한 매개 변수를 요청합니다.

  7. 각 값(대/소문자 구분):Netskope HostName Netskope API 토큰 검색 타임스탬프(pubsublite 포인터를 찾으려는 epoch 타임스탬프는 비워 둘 수 있음) 작업 영역 ID 작업 영역 키 백오프 다시 시도 횟수(실행을 다시 시작하기 전에 토큰 관련 오류에 대한 재시도 횟수)를 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다.
    백오프 절전 모드 시간(다시 시도하기 전에 절전 모드로 전환할 시간) 유휴 시간 제한(실행을 다시 시작하기 전에 웹 트랜잭션 데이터를 대기할 시간(초)

  8. 이제 실행이 시작되었지만 대화형 모드이므로 셸을 중지할 수 없습니다. 백그라운드 프로세스로 실행하려면 Ctrl+C를 눌러 현재 실행을 중지한 다음 'sudo docker run -d -v $(pwd)/docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions' 명령을 사용합니다.

  9. Docker 컨테이너 중지

  10. 'sudo docker 컨테이너 ps' 명령을 사용하여 실행 중인 docker 컨테이너를 나열합니다. 컨테이너 ID를 적어둡니다.

  11. 이제 'sudo docker stop container-id>' 명령을 사용하여 컨테이너를 중지<합니다.



네트워크 보안 그룹

지원:Microsoft Corporation

Azure NSG(네트워크 보안 그룹)를 사용하면 Azure 가상 네트워크의 Azure 리소스 간 네트워크 트래픽을 필터링할 수 있습니다. 네트워크 보안 그룹에는 가상 네트워크 서브넷, 네트워크 인터페이스 또는 둘 다에 대한 트래픽을 허용하거나 거부하는 규칙이 포함됩니다.

NSG에 대한 로깅을 사용하도록 설정하면 다음과 같은 유형의 리소스 로그 정보를 수집할 수 있습니다.

  • 이벤트: 항목은 MAC 주소에 따라 VM에 적용되는 NSG 규칙이 기록됩니다.
  • 규칙 카운터: 트래픽을 거부하거나 허용하기 위해 각 NSG 규칙이 적용된 횟수에 대한 항목을 포함합니다. 이러한 규칙에 대한 상태 300초마다 수집됩니다.

이 커넥터를 사용하면 NSG 진단 로그를 Microsoft Sentinel 스트리밍하여 모든 인스턴스에서 작업을 지속적으로 모니터링할 수 있습니다. 자세한 내용은 Microsoft Sentinel 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
AzureDiagnostics 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

NordPass

지원:NordPass

API를 통해 nordPass를 Microsoft Sentinel SIEM과 통합하면 NordPass에서 활동 로그 데이터를 자동으로 전송하여 Microsoft Sentinel 항목 활동, 모든 로그인 시도 및 보안 알림과 같은 실시간 인사이트를 얻을 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
NordPassEventLogs_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Azure Functions 배포할 수 있도록 리소스 그룹과Log Analytics 작업 영역이 만들어지고 동일한 지역에 있는지 확인합니다.
  • 만든 Log Analytics 작업 영역에 Microsoft Sentinel 추가합니다.
  • NordPass 관리 패널에서 Microsoft Sentinel API URL 및 토큰을 생성하여 Azure Functions 통합을 완료합니다. 이를 위해 NordPass Enterprise 계정이 필요합니다.
  • 중요: 이 커넥터는 Azure Functions 사용하여 NordPass에서 Microsoft Sentinel 활동 로그를 검색합니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 참조하세요.

설치 지침:

Microsoft Sentinel 설정을 진행하려면

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 배포가 성공한 후 시스템은 기본적으로 1분마다 활동 로그 데이터를 가져옵니다.



Obsidian Datasharing Connector

지원:Obsidian 보안

Obsidian Datasharing 커넥터는 Microsoft Sentinel Obsidian Datasharing에서 원시 이벤트 데이터를 읽는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ObsidianActivity_CL 아니요 아니요
ObsidianThreat_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft Entra: Microsoft Entra ID 앱 등록을 만들 수 있는 권한입니다. 일반적으로 Entra ID 애플리케이션 개발자 역할 이상이 필요합니다.
  • Microsoft Azure: DCR(데이터 수집 규칙)에 대한 모니터링 메트릭 게시자 역할을 할당할 수 있는 권한입니다. 일반적으로 AZURE RBAC 소유자 또는 사용자 액세스 관리자 역할이 필요합니다.

설치 지침:

1. ARM 리소스 만들기 및 필요한 권한 제공

이 커넥터는 Obsidian Datasharing이 Microsoft Analytics 작업 영역에서 사용하는 테이블에서 데이터를 읽습니다. 데이터 전달 옵션이 Obsidian Datasharing에서 사용하도록 설정된 경우 원시 이벤트 데이터가 Microsoft Sentinel 수집 API로 전송됩니다.

Entra 애플리케이션을 사용하여 자동화된 구성 및 보안 데이터 수집 "배포"를 클릭하면 Log Analytics 테이블 및 DCR(데이터 수집 규칙)의 생성이 트리거됩니다. 그런 다음, Entra 애플리케이션을 만들고, DCR을 연결하고, 애플리케이션에 입력한 비밀을 설정합니다. 이 설정을 사용하면 Entra 토큰을 사용하여 데이터를 DCR로 안전하게 보낼 수 있습니다.

2. 작업 영역에 로그 푸시

다음 매개 변수를 사용하여 작업 영역으로 로그를 보내도록 컴퓨터를 구성합니다.

  • 테넌트 ID(디렉터리 ID): <설치 시 제공되는 변수 값>
  • Entra 앱 등록 애플리케이션 ID: <설치 시 제공되는 변수 값>
  • Entra 앱 등록 비밀: <설치 시 제공되는 변수 값>
  • 데이터 수집 엔드포인트 Uri: <설치 시 제공되는 변수 값>
  • 데이터 수집 규칙 변경할 수 없는 ID: <설치 시 제공되는 변수 값>
  • 활동 Stream 이름: <설치 시 제공되는 변수 값>
  • 위협 Stream 이름: <설치 시 제공되는 변수 값>



Okta 단일 Sign-On(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

Okta SSO(Single Sign-On) 데이터 커넥터는 Okta Sysem Log API에서 Microsoft Sentinel 감사 및 이벤트 로그를 수집하는 기능을 제공합니다. 데이터 커넥터는 Microsoft Sentinel Codeless Connector Framework를 기반으로 하며 Okta 시스템 로그 API를 사용하여 이벤트를 가져옵니다. 커넥터는 수신된 보안 이벤트 데이터를 사용자 지정 열로 구문 분석하는 DCR 기반 수집 시간 변환 을 지원하므로 쿼리가 다시 구문 분석할 필요가 없으므로 성능이 향상됩니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
OktaSSO 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Okta API 토큰: Okta API 토큰입니다. 다음 지침에 따라 설명서를 만들어 Okta 시스템 로그 API에 대해 자세히 알아보세요.

설치 지침:

Microsoft Sentinel Okta Single Sign-On 사용하도록 설정하려면 아래 필수 정보를 제공하고 연결을 클릭합니다.

  • 데이터 커넥터 그리드(포털에서 구성)



Onapsis Defense: 타의 추종을 불허하는 SAP 위협 탐지 & Intel과 Microsoft Sentinel 통합

지원:Onapsis

고유한 익스플로잇, 제로 데이 및 위협 행위자 활동에 대한 심층적인 가시성을 갖춘 보안 팀에게 권한을 부여합니다. 의심스러운 사용자 또는 내부자 행동; 중요한 데이터 다운로드; 보안 제어 위반; 그리고 더 - 모든 Onapsis에서 SAP 전문가에 의해 보강.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Onapsis_Defend_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Microsoft Entra: Microsoft Entra ID 앱 등록을 만들 수 있는 권한입니다. 일반적으로 Entra ID 애플리케이션 개발자 역할 이상이 필요합니다.
  • Microsoft Azure: 데이터 수집 규칙에 대한 모니터링 메트릭 게시자 역할을 할당할 수 있는 권한입니다. 일반적으로 AZURE RBAC 소유자 또는 사용자 액세스 관리자 역할이 필요합니다.

설치 지침:

1. ARM 리소스 만들기 및 필요한 권한 제공

DCR(데이터 수집 규칙) 및 DCE(데이터 수집 엔드포인트) 리소스를 만듭니다. 또한 Microsoft Entra 앱 등록을 만들고 필요한 권한을 할당합니다.

Azure 리소스의 자동화된 배포 "푸시 커넥터 리소스 배포"를 클릭하면 DCR 및 DCE 리소스 생성이 트리거됩니다. 그런 다음 클라이언트 암호를 사용하여 Microsoft Entra 앱 등록을 만들고 DCR에 대한 권한을 부여합니다. 이 설정을 사용하면 OAuth v2 클라이언트 자격 증명을 사용하여 데이터를 DCR로 안전하게 보낼 수 있습니다.

2. Onapsis Defend Integration에서 데이터 수집 엔드포인트 세부 정보 및 인증 정보 유지 관리

데이터 수집 엔드포인트 URL 및 인증 정보를 Onapsis Defend Integration 관리자와 공유하여 데이터 수집 엔드포인트로 데이터를 보내도록 Onapsis Defend Integration을 구성합니다.

  • 테넌트 ID | 이 값을 사용하여 테넌트 ID로 구성합니다 <. 설치 시 제공되는 변수 값>
  • 애플리케이션 ID Entra | 클라이언트 ID<: 설치 시 제공되는 변수 값에 이 값을 사용합니다.>
  • Entra 애플리케이션 비밀 | 토큰<: 설치 시 제공되는 변수 값에 이 값을 사용합니다.>
  • LogIngestionURL | URL 매개 변수에 이 값을 사용합니다. 설치 시 제공되는 변수 값 <>
  • DCR 변경할 수 없는 ID | DCR_ID 매개 변수에 이 값 사용: <설치 시 제공된 변수 값>



OneLogin IAM 플랫폼(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

OneLogin 데이터 커넥터는 OneLogin 이벤트 API 및 OneLogin 사용자 API를 사용하여 REST API를 통해 일반적인 OneLogin IAM Platform 이벤트를 Microsoft Sentinel 수집하는 기능을 제공합니다. 커넥터를 사용하면 이벤트 검색을 통해 잠재적인 보안 위험을 평가하고, 공동 작업을 모니터링하고, 구성 문제를 진단하고 해결할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
OneLoginEventsV2_CL
OneLoginUsersV2_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • OneLogin IAM API 자격 증명: API 자격 증명을 만들려면 여기에 제공된 문서 링크를 따릅니다. 여기를 클릭합니다. API 자격 증명을 만들려면 계정 소유자 또는 관리자의 계정 유형이 있어야 합니다. API 자격 증명을 만들면 클라이언트 ID 및 클라이언트 암호를 가져옵니다.

설치 지침:

OneLogin IAM Platform을 Microsoft Sentinel 연결

OneLogin IAM에서 Microsoft Sentinel 데이터를 수집하려면 아래 도메인 추가 단추를 클릭한 다음 세부 정보를 입력하고 필요한 정보를 제공하고 연결을 클릭하는 팝업이 표시됩니다. 그리드에 연결된 도메인 엔드포인트를 볼 수 있습니다.

  • 데이터 커넥터 그리드(포털에서 구성)



OneTrust

지원:OneTrust, LLC

Microsoft Sentinel용 OneTrust 커넥터는 Google Cloud 및 기타 OneTrust 지원 데이터 원본에서 중요한 데이터가 위치하거나 수정된 위치를 거의 실시간으로 파악할 수 있는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
OneTrustMetadataV3_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Microsoft Entra: Microsoft Entra ID 앱 등록을 만들 수 있는 권한입니다. 일반적으로 Entra ID 애플리케이션 개발자 역할 이상이 필요합니다.
  • Microsoft Azure: DCR(데이터 수집 규칙)에 대한 모니터링 메트릭 게시자 역할을 할당할 수 있는 권한입니다. 일반적으로 AZURE RBAC 소유자 또는 사용자 액세스 관리자 역할이 필요합니다.

설치 지침:

1. ARM 리소스 만들기 및 필요한 권한 제공

이 커넥터는 OneTrust가 Microsoft Analytics 작업 영역에서 사용하는 테이블에서 데이터를 읽습니다. OneTrust의 데이터 전달 옵션을 사용하도록 설정하면 원시 이벤트 데이터를 Microsoft Sentinel 수집 API로 보낼 수 있습니다.

Entra 애플리케이션을 사용하여 자동화된 구성 및 보안 데이터 수집 "배포"를 클릭하면 Log Analytics 테이블 및 DCR(데이터 수집 규칙)의 생성이 트리거됩니다. 그런 다음, Entra 애플리케이션을 만들고, DCR을 연결하고, 애플리케이션에 입력한 비밀을 설정합니다. 이 설정을 사용하면 Entra 토큰을 사용하여 데이터를 DCR로 안전하게 보낼 수 있습니다.

2. 작업 영역에 로그 푸시

다음 매개 변수를 사용하여 작업 영역으로 로그를 보내도록 컴퓨터를 구성합니다.

  • 테넌트 ID(디렉터리 ID): <설치 시 제공되는 변수 값>
  • Entra 앱 등록 애플리케이션 ID: <설치 시 제공되는 변수 값>
  • Entra 앱 등록 비밀: <설치 시 제공되는 변수 값>
  • 데이터 수집 엔드포인트 Uri: <설치 시 제공되는 변수 값>
  • 데이터 수집 규칙 변경할 수 없는 ID: <설치 시 제공되는 변수 값>
  • OneTrust Metadata Stream Name: <설치 시 제공되는 변수 값>



시스템 데이터 커넥터 열기

지원:Open Systems

Open Systems 로그 API Microsoft Sentinel 커넥터는 Open Systems 로그 API를 사용하여 Open Systems 로그를 Microsoft Sentinel 수집하는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
OpenSystemsZtnaLogs_CL
OpenSystemsFirewallLogs_CL 아니요 아니요
OpenSystemsAuthenticationLogs_CL 아니요 아니요
OpenSystemsProxyLogs_CL 아니요 아니요

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Azure Container Apps, DCR 및 DCE: Azure Container Apps, 관리되는 환경, DCR(데이터 수집 규칙) 및 DCE(데이터 수집 엔드포인트)를 배포할 수 있는 권한이 필요합니다. 일반적으로 구독 또는 리소스 그룹에서 '기여자' 역할을 갖습니다.
  • 역할 할당 권한: 역할 할당을 만들 수 있는 권한(특히 DCR에서 '메트릭 게시자 모니터링')은 배포 사용자 또는 서비스 주체에 필요합니다.
  • ARM 템플릿에 필요한 자격 증명: 배포하는 동안 시스템 로그 API 엔드포인트 및 연결 문자열 및 서비스 주체 자격 증명(클라이언트 ID, 클라이언트 암호, 개체/보안 주체 ID)을 제공해야 합니다.
  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • 필요한 경우 사용자 지정 필수 구성 요소, 그렇지 않으면 이 세관 태그를 삭제합니다. 사용자 지정 필수 구성 요소에 대한 설명

설치 지침:

1단계: 필수 구성 요소

계속하기 전에 다음 정보와 권한이 있는지 확인합니다.

  1. 시스템 로그 API 엔드포인트 및 연결 문자열을 엽니다.
  2. 서비스 주체 자격 증명(클라이언트 ID, 클라이언트 암호, 개체/보안 주체 ID).
  3. Azure Container Apps, 관리되는 환경, DCR(데이터 수집 규칙), DCE(데이터 수집 엔드포인트) 및 역할 할당(일반적으로 구독 또는 리소스 그룹의 '기여자' 역할)을 만들 수 있는 권한입니다.

2단계: 커넥터 배포

ARM 템플릿을 배포하여 데이터 수집 규칙 및 관련 구성 요소를 포함하여 데이터 처리 리소스를 설정합니다.

  1. 아래 Azure 배포 단추를 클릭합니다. 이렇게 하면 Azure Portal.

    aka.ms

  2. Azure Portal 원하는 구독, 리소스 그룹 및 지역을 선택합니다.

  3. 배포 마법사에서 메시지가 표시되면 필수 구성 요소 단계에서 수집된 매개 변수(시스템 로그 API 세부 정보 열기, 서비스 주체 자격 증명 등)를 포함하여 필요한 매개 변수를 제공합니다.

  4. 용어를 검토하고 검토 + 만들기를 클릭한 다음 만들기 를 클릭하여 배포를 시작합니다.

3단계: 배포 후 확인

성공적인 배포 후:

  1. 프로세서를 실행하는 Azure Container App이 '실행 중' 상태인지 확인합니다.
  2. 들어오는 데이터에 대한 OpenSystemsZtnaLogs_CLLog Analytics 작업 영역의 , OpenSystemsFirewallLogs_CL, OpenSystemsAuthenticationLogs_CLOpenSystemsProxyLogs_CL 테이블을 확인합니다. 초기 설정 후에 로그가 표시되는 데 다소 시간이 걸릴 수 있습니다.
  3. 이 데이터 커넥터 페이지의 '다음 단계' 탭에 제공된 샘플 쿼리를 사용하여 로그를 보고 분석합니다.



OpenAI(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

OpenAI 데이터 커넥터를 사용하면 OpenAI API를 통해 감사 로그, 채팅 완료 데이터 또는 OpenAI organization 모두 Microsoft Sentinel 수집할 수 있습니다. 각 데이터 형식은 별도의 REST API 폴러를 사용하며 다른 API 키 유형이 필요합니다. 감사 로그(사용자 작업, API 키 관리, organization 변경, 보안 이벤트)에는 organization 수준 관리자 API 키가 필요하지만 채팅 완료(모델 사용량, 토큰 사용량, 성능 메트릭)에는 프로젝트 수준 API 키가 필요합니다. 하나 또는 두 데이터 형식을 독립적으로 구성할 수 있습니다. 감사 로그는 사용자 지정 OpenAIAuditLogs_CL 테이블에 수집됩니다(OpenAIAuditLogs 파서에 의해 별칭 지정). 채팅 완료는 보안 모니터링, 규정 준수 분석 및 사용 모니터링을 위해 ASimAgentEventLogs 표준 ASIM 테이블(OpenAIChatCompletions 파서에 의해 별칭 지정)으로 정규화됩니다. 자세한 내용은 OpenAI API 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
OpenAIAuditLogs 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • OpenAI API 액세스: 각 데이터 형식에는 다른 API 키 형식이 필요합니다. 감사 로그에는 organization 수준 관리자 API 키가 필요합니다. 이러한 키는 OpenAI organization 설정에서 만들 수 있습니다. 채팅을 완료하려면 프로젝트 수준 API 키가 필요합니다. 이러한 키는 OpenAI dashboard 특정 프로젝트 아래에 만들 수 있습니다. 감사 로그, 채팅 완료 또는 둘 다를 독립적으로 구성할 수 있습니다.

설치 지침:

연결 정보

OpenAI의 API에서 데이터를 수집하는 데 사용되는 연결에 대한 세부 정보입니다.

  • 감사 로그 (OpenAIAuditLogs):
  • organization 수준 관리자 API 키를 사용합니다.
  • OpenAI organization 설정에서 감사 로깅을 사용하도록 설정해야 합니다. 조직 소유자는 OpenAI의 Organization settings - 로>>Data controlsData retention깅으로 이동하여 감사 로깅을 사용하도록 설정할 수 있습니다.
  • OpenAI 감사 로깅을 사용하도록 설정하면 OpenAI 지원에 문의하지 않고는 사용하지 않도록 설정할 수 없습니다.
  • 채팅 완료 (ASimAgentEventLogs):
  • 프로젝트 수준 API 키를 사용합니다.
  • 매개 변수를 로 설정 true 하여 store 만든 채팅 완료만 수집됩니다.
  • 채팅 완료는 ASimAgentEventLogs ASIM 표준 테이블로 정규화됩니다.
  • 이 커넥터가 활성 상태인 동안 저장된 채팅 완료를 삭제하려면 데이터 수집 상태를 다시 설정하기 위해 연결을 끊고 다시 연결해야 할 수 있습니다.

OpenAI 감사 로그 연결 추가

OpenAI API 자격 증명을 입력하여 OpenAI API에서 감사 로그 데이터를 수집합니다.

OpenAI 채팅 완료 연결 추가

OpenAI API 자격 증명을 입력하여 OpenAI API에서 채팅 완료 데이터를 수집합니다.

  • 데이터 커넥터 그리드(포털에서 구성)



Oracle 클라우드 인프라(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

OCI(Oracle Cloud Infrastructure) 데이터 커넥터는 OCI 스트리밍 REST API를 사용하여 OCI Stream OCI 로그를 Microsoft Sentinel 수집하는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
OCI_LogsV2_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • OCI 스트리밍 API 액세스: API 서명 키를 통해 OCI 스트리밍 API에 액세스해야 합니다.

설치 지침:

OCI 스트리밍 API에 연결하여 Microsoft Sentinel 이벤트 로그 수집 시작

  1. OCI 콘솔에 로그인하고 탐색 메뉴에 액세스합니다.
  2. 탐색 메뉴에서 "분석 & AI" -> "스트리밍"으로 이동합니다.
  3. "Stream 만들기"를 클릭합니다.
  4. 기존 "Stream 풀"을 선택하거나 새 풀을 만듭니다.
  5. 다음 세부 정보를 입력합니다.
    • "Stream 이름"
    • "보존"
    • "파티션 수"
    • "총 쓰기 속도"
    • "총 읽기 속도"(데이터 볼륨 기준)
  6. 탐색 메뉴에서 "로깅" -> "서비스 커넥터"로 이동합니다.
  7. "서비스 커넥터 만들기"를 클릭합니다.
  8. 다음 세부 정보를 입력합니다.
    • "커넥터 이름"
    • "설명"
    • "자원 구획"
  9. "원본": "로깅"을 선택합니다.
  10. "대상": "스트리밍"을 선택합니다.
  11. (선택 사항) "로그 그룹", "필터"를 구성하거나 "사용자 지정 검색 쿼리"를 사용하여 필요한 로그만 스트리밍합니다.
  12. 이전에 만든 스트림을 선택하여 "대상"을 구성합니다.
  13. "만들기"를 클릭합니다.
  14. 설명서에 따라 프라이빗 키 및 API 키 구성 파일을 만듭니다. Pem 파일 저장, 구 전달(선택 사항, OCI 콘솔을 사용하여 API 서명 키 쌍을 생성할 때 설정되지 않음) 및 연결 시 사용할 보안 위치에 지문을 저장합니다.
  • 데이터 커넥터 그리드(포털에서 구성)



Orca 보안 경고

지원:Orca Security

Orca 보안 경고 커넥터를 사용하면 경고 로그를 Microsoft Sentinel 쉽게 내보낼 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
OrcaAlerts_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

Orca 보안 경고 로그를 Microsoft Sentinel 통합하기 위한 지침을 따릅니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>



Palo Alto Cortex XDR

지원:Microsoft Corporation

Palo Alto Cortex XDR 데이터 커넥터를 사용하면 Palo Alto Cortex XDR API에서 Microsoft Sentinel 로그를 수집할 수 있습니다. 데이터 커넥터는 Microsoft Sentinel Codeless Connector Framework를 기반으로 합니다. Palo Alto Cortex XDR API를 사용하여 로그를 가져오고, 수신된 보안 데이터를 사용자 지정 테이블로 구문 분석하는 DCR 기반 수집 시간 변환 을 지원하므로 쿼리가 다시 구문 분석할 필요가 없으므로 성능이 향상됩니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
PaloAltoCortexXDR_Incidents_CL
PaloAltoCortexXDR_Endpoints_CL
PaloAltoCortexXDR_Audit_Management_CL
PaloAltoCortexXDR_Audit_Agent_CL
PaloAltoCortexXDR_Alerts_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

Palo Alto Cortex XDR API에 대한 구성 단계는 지침에 따라 자격 증명을 가져옵니다. 이 가이드 에 따라 API 키를 생성할 수도 있습니다.

  1. API URL 1.1을 검색합니다. 관리 사용자 자격 증명 1.2를 사용하여 Palo Alto Cortex XDR [관리 콘솔]에 로그인합니다. [관리 콘솔]에서 [설정] -> [구성] 1.3을 클릭합니다. [통합] 아래에서 [API 키]를 클릭합니다. 1.4. [설정] 페이지에서 오른쪽 위 모서리에 있는 [API URL 복사]를 클릭합니다.

  2. API 토큰 2.1을 검색합니다. 관리 사용자 자격 증명 2.2를 사용하여 Palo Alto Cortex XDR [관리 콘솔]에 로그인합니다. [관리 콘솔]에서 [설정] -> [구성] 2.3을 클릭합니다. [통합] 아래에서 [API 키]를 클릭합니다. 2.4. [설정] 페이지에서 오른쪽 위 모서리에 있는 [새 키]를 클릭합니다. 2.5. 보안 수준, 역할을 선택하고 Standard 선택하고 [생성] 2.6을 클릭합니다. API 토큰을 복사합니다. [API 토큰 ID]를 생성한 후에는 ID 열에서 찾을 수 있습니다.

  • 기본 API URL: (https://api-example.xdr.au.paloaltonetworks.com)
  • API 키 ID: (API ID)
  • API 토큰: (API 토큰)
  • 연결 사용/사용 안 함



Palo Alto Cortex Xpanse(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

Palo Alto Cortex Xpanse 데이터 커넥터는 경고 데이터를 Microsoft Sentinel 수집합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CortexXpanseAlerts_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

Palo Alto Xpanse를 Microsoft Sentinel 연결

Palo Alto Cortex Xpanse에서 Microsoft Sentinel 데이터를 수집하려면 도메인 추가를 클릭합니다. 팝업에서 필요한 세부 정보를 입력하고 연결을 클릭합니다. 아래 표에 연결된 도메인 엔드포인트가 표시됩니다. 인증 ID 및 API 키를 가져오려면 Cortex Xpanse 포털에서 설정 → 구성 → 통합 → API 키로 이동하여 새 자격 증명을 생성합니다.

  • 데이터 커넥터 그리드(포털에서 구성)



Palo Alto Prisma Cloud CSPM(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

Palo Alto Prisma Cloud CSPM 데이터 커넥터를 사용하면 Palo Alto Prisma Cloud CSPM instance 연결하고 경고() & 감사 로그(https://pan.dev/prisma-cloud/api/cspm/alerts/https://pan.dev/prisma-cloud/api/cspm/audit-logs/)를 Microsoft Sentinel 수집할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
PaloAltoPrismaCloudAlertV2_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

Palo Alto Prisma Cloud CSPM 이벤트를 연결하여 Microsoft Sentinel

Prisma Cloud Access Key, Secret Key 및 기본 URL을 가져오는 방법에 대한 자세한 내용은커넥터 자습서를 참조하고 아래 필수 정보를 제공하고 연결을 클릭합니다.

  • Prisma 클라우드 액세스 키: (액세스 키 입력)
  • Prisma Cloud Secret Key: (비밀 키 입력)
  • Prisma Cloud Base URL: (https://api2.eu.prismacloud.io)
  • 연결 사용/사용 안 함
  • 데이터 커넥터 그리드(포털에서 구성)



Palo Alto Prisma Cloud CWPP(REST API 사용)

지원:Microsoft Corporation

Palo Alto Prisma Cloud CWPP 데이터 커넥터를 사용하면 Palo Alto Prisma Cloud CWPP instance 연결하고 경고를 Microsoft Sentinel 수집할 수 있습니다. 데이터 커넥터는 Microsoft Sentinel Codeless Connector Framework를 기반으로 하며 Prisma Cloud API를 사용하여 보안 이벤트를 가져오고 수신된 보안 이벤트 데이터를 사용자 지정 열로 구문 분석하는 DCR 기반 수집 시간 변환을 지원하므로 쿼리가 다시 구문 분석할 필요가 없으므로 성능이 향상됩니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
PrismaCloudCompute_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

설치 지침:

Palo Alto Prisma Cloud CWPP 보안 이벤트를 연결하여 Microsoft Sentinel

Microsoft Sentinel Palo Alto Prisma Cloud CWPP 보안 이벤트를 사용하도록 설정하려면 아래 필수 정보를 제공하고 연결을 클릭합니다.

  • 콘솔 경로: (europe-west3.cloud.twistlock.com/{sasid})
  • Prisma API(액세스 키): (Prisma API(액세스 키))
  • 비밀: (비밀)
  • 연결 사용/사용 안 함



Pathlock Inc.: SAP에 대한 위협 탐지 및 대응

지원:Pathlock Inc.

SAP용 Microsoft Sentinel Solution과 TD&R(Pathlock Threat Detection and Response)을 통합하면 SAP 보안 이벤트에 대한 통합된 실시간 가시성을 제공하여 조직이 모든 SAP 환경에서 위협을 감지하고 대응할 수 있습니다. 이 기본 제공 통합을 통해 SOC(보안 운영 센터)는 SAP 관련 경고와 엔터프라이즈 수준의 원격 분석을 상호 연결하여 IT 보안을 비즈니스 프로세스와 연결하는 실행 가능한 인텔리전스를 만들 수 있습니다.

Pathlock의 커넥터는 SAP용으로 특별히 제작되었으며 기본적으로 보안 관련 이벤트만 전달하여 데이터 볼륨과 노이즈를 최소화하면서 필요한 경우 모든 로그 원본을 전달할 수 있는 유연성을 유지합니다. 각 이벤트는 비즈니스 프로세스 컨텍스트로 보강되어 Microsoft Sentinel 솔루션 for SAP 분석에서 운영 패턴을 실제 위협과 구별하고 진정으로 중요한 것의 우선 순위를 지정할 수 있습니다.

이 정밀도 기반 접근 방식을 사용하면 보안 팀이 가양성, 포커스 조사를 크게 줄이고 MTTD(평균 검색 시간) 및 MTTR(평균 응답 시간)을 가속화할 수 있습니다. Pathlock 라이브러리는 70개 이상의 로그 원본에서 1,500개 이상의 SAP 관련 검색 서명으로 구성되며, 솔루션은 복잡한 공격 동작, 구성 약점 및 액세스 변칙을 발견합니다.

Pathlock을 사용하면 비즈니스 컨텍스트 인텔리전스를 고급 분석과 결합하여 기업이 복잡성 또는 중복 모니터링 계층을 추가하지 않고도 검색 정확도를 강화하고, 응답 작업을 간소화하고, SAP 환경에서 지속적인 제어를 유지할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ABAPAuditLog

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Microsoft Entra: Microsoft Entra ID 앱 등록을 만들 수 있는 권한입니다. 일반적으로 Entra ID 애플리케이션 개발자 역할 이상이 필요합니다.
  • Microsoft Azure: 데이터 수집 규칙에 대한 모니터링 메트릭 게시자 역할을 할당할 수 있는 권한입니다. 일반적으로 AZURE RBAC 소유자 또는 사용자 액세스 관리자 역할이 필요합니다.

설치 지침:

1. ARM 리소스 만들기 및 필요한 권한 제공

DCR(데이터 수집 규칙) 및 DCE(데이터 수집 엔드포인트) 리소스를 만듭니다. 또한 Microsoft Entra 앱 등록을 만들고 필요한 권한을 할당합니다.

Azure 리소스의 자동화된 배포 "푸시 커넥터 리소스 배포"를 클릭하면 DCR 및 DCE 리소스 생성이 트리거됩니다. 그런 다음 클라이언트 암호를 사용하여 Microsoft Entra 앱 등록을 만들고 DCR에 대한 권한을 부여합니다. 이 설정을 사용하면 OAuth v2 클라이언트 자격 증명을 사용하여 데이터를 DCR로 안전하게 보낼 수 있습니다.

2. Pathlock의 사이버 보안 애플리케이션 제어: 위협 탐지 및 대응의 중앙 instance 데이터 수집 엔드포인트 세부 정보 및 인증 정보 유지 관리

데이터 수집 엔드포인트 URL 및 인증 정보를 Pathlock 관리자와 공유하여 데이터 수집 엔드포인트로 데이터를 보내도록 위협 감지 및 응답에서 플러그 앤 플레이 전달을 구성합니다. 지원이 필요한 경우 Pathlock에 연락하는 것을 주저하지 마세요.

  • 이 값을 사용하여 LogIngestionAPI 자격 증명에서 테넌트 ID로 구성합니다.: <설치 시 제공되는 변수 값>
  • Entra 애플리케이션 ID: <설치 시 제공되는 변수 값>
  • Entra 애플리케이션 비밀: <설치 시 제공되는 변수 값>
  • 이 값을 사용하여 IFlow를 배포할 때 LogsIngestionURL 매개 변수를 구성합니다. <설치 시 제공된 변수 값>
  • DCR 변경할 수 없는 ID: <설치 시 제공되는 변수 값>



경계 81 활동 로그

지원:경계 81

Perimeter 81 활동 로그 커넥터를 사용하면 Perimeter 81 활동 로그를 Microsoft Sentinel 쉽게 연결하여 대시보드를 보고, 사용자 지정 경고를 만들고, 조사를 개선할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Perimeter81_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

설치 지침:

아래 값을 적어 두시고 여기의 지침에 따라 Perimeter 81 활동 로그를 Microsoft Sentinel 연결하세요.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>



인 디바이스

지원:Phosphorus Inc.

인 디바이스 커넥터는 인 REST API를 통해 디바이스 데이터 로그를 Microsoft Sentinel 수집하는 기능을 제공합니다. 커넥터는 인에 등록된 디바이스에 대한 가시성을 제공합니다. 이 데이터 커넥터는 해당 경고와 함께 디바이스 정보를 가져옵니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Phosphorus_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • REST API 자격 증명/권한: 인 API 키가 필요합니다. 사용자와 연결된 API 키에 설정 관리 권한이 설정되어 있는지 확인하세요.

다음 지침에 따라 설정 관리 권한을 사용하도록 설정합니다.

  1. 인 애플리케이션에 로그인
  2. '설정' -> '그룹'으로 이동합니다.
  3. 통합 사용자가 속한 그룹 선택
  4. '제품 작업'> 으로 이동하여 '설정 관리' 권한을 토글합니다.

설치 지침:

1단계 - 인 API에 대한 구성 단계

다음 지침에 따라 인 API 키를 만듭니다.

  1. 인 instance 로그인
  2. 설정 -> API로 이동합니다.
  3. API 키를 아직 만들지 않은 경우 추가 단추를 눌러 API 키를 만듭니다.
  4. 이제 인 디바이스 커넥터 구성 중에 API 키를 복사하고 사용할 수 있습니다.

인 애플리케이션을 Microsoft Sentinel 연결

2단계 - 아래 세부 정보 입력

중요: 인 디바이스 데이터 커넥터를 배포하기 전에 인 인스턴스 도메인 이름과 인 API 키를 쉽게 사용할 수 있습니다.



Ping One(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

이 커넥터는 코드리스 커넥터 프레임워크를 사용하여 PingOne ID 플랫폼에서 Microsoft Sentinel 감사 활동 로그를 수집합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
PingOne_AuditActivitiesV2_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

Ping One 커넥터를 Microsoft Sentinel 연결

PingOne에 연결하기 전에 다음 필수 구성 요소가 완료되었는지 확인합니다. 클라이언트 자격 증명 및 환경 ID를 가져오는 방법을 포함하여 자세한 설정 지침은 문서를 참조하세요.

  1. 클라이언트 자격 증명 클라이언트 ID 및 클라이언트 암호를 포함하여 클라이언트 자격 증명이 필요합니다.

  2. 환경 ID
    토큰을 생성하고 감사 작업 엔드포인트에서 로그를 수집하려면

  • 데이터 커넥터 그리드(포털에서 구성)



Prancer 데이터 커넥터

지원:Prancer PenSuiteAI 통합

Prancer 데이터 커넥터는 prancer(CSPM)[https://docs.prancer.io/web/CSPM/] 및 PAC 데이터를 수집하여 Microsoft Sentinel 처리하는 기능을 제공합니다. 자세한 내용은 Prancer 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
prancer_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • 연결에 필요한 경우 사용자 지정 필수 구성 요소 포함 - 그렇지 않으면 세관 삭제: 사용자 지정 필수 구성 요소에 대한 설명

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Prancer REST API에 연결하여 Microsoft sentinel로 로그를 가져옵니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

1단계: Prancer 설명서 사이트의 설명서 에 따라 Azure 클라우드 커넥터를 사용하여 검사를 설정합니다.

2단계: 검사가 만들어지면 검사에 대한 '세 번째 부분 통합' 메뉴로 이동하여 Sentinel 선택합니다.

3단계: 만들기는 구성 마법사에 따라 Azure 결과를 보낼 위치를 선택합니다.

4단계: 데이터를 처리하기 위해 Microsoft Sentinel 공급받기 시작해야 합니다.



프리미엄 Microsoft Defender 위협 인텔리전스

지원:Microsoft Corporation

Microsoft Sentinel 모니터링, 경고 및 헌팅을 사용하도록 Microsoft에서 생성된 위협 인텔리전스를 가져올 수 있는 기능을 제공합니다. 이 데이터 커넥터를 사용하여 MDTI(Premium Microsoft Defender 위협 인텔리전스)에서 Microsoft Sentinel IOC(손상 지표)를 가져옵니다. 위협 지표에는 IP 주소, 도메인, URL 및 파일 해시 등이 포함될 수 있습니다. 참고: 유료 커넥터입니다. 데이터를 사용하고 수집하려면 파트너 센터에서 "MDTI API 액세스" SKU를 구입하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ThreatIntelligenceIndicator 아니요

데이터 수집 규칙 지원:작업 영역 변환 DCR

Proofpoint On Demand Email 보안(코드리스 커넥터 프레임워크를 통해)

지원:Proofpoint, Inc.

Proofpoint On Demand Email Security 데이터 커넥터는 Proofpoint on Demand Email Protection 데이터를 가져오는 기능을 제공하며, 사용자가 메시지 추적 가능성을 검사, 공격자 및 악의적인 내부자에 의한 이메일 활동, 위협 및 데이터 반출을 모니터링할 수 있습니다. 커넥터는 조직의 이벤트를 빠르게 검토하고 최근 활동에 대한 이벤트 로그 파일을 시간당 증분 단위로 가져오는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ProofpointPODMailLog_CL
ProofpointPODMessage_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Websocket API 자격 증명/권한: ProofpointClusterIDProofpointToken 이 필요합니다. 자세한 내용은 API를 참조하세요.

설치 지침:

Proofpoint POD Websocket API에 대한 구성 단계

PoD 로그 API는 둘 이상의 세션에 대해 동일한 토큰을 동시에 사용할 수 없으므로 토큰이 어디에도 사용되지 않는지 확인합니다.

Proofpoint Websocket API 서비스에는 원격 Syslog 전달 라이선스가 필요합니다. PoD 로그 API를 사용하도록 설정하고 검사 방법에 대한 설명서를 참조하세요. 클러스터 ID 및 보안 토큰을 제공해야 합니다.

  1. 클러스터 ID 1.1을 검색합니다. 관리 사용자 자격 증명을 사용하여 증명점 [관리 콘솔]에 로그인합니다.

    1.2. 관리 콘솔에서 클러스터 ID는 오른쪽 위 모서리에 표시됩니다.

  2. API 토큰 2.1을 검색합니다. 관리 사용자 자격 증명을 사용하여 증명점 [관리 콘솔]에 로그인합니다.

2.2. 관리 콘솔에서 설정 -> API 키 관리를 클릭합니다.

2.3. API 키 관리에서 PoD 로깅 탭을 클릭합니다.

2.4. 새 API 키를 얻거나 만듭니다.

  • 클러스터 ID: (cluster_id)
  • API 키: (API 키)
  • 연결 사용/사용 안 함



Proofpoint On Demand Email 보안(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

Proofpoint On Demand Email Security 데이터 커넥터는 Proofpoint on Demand Email Protection 데이터를 가져오는 기능을 제공하며, 사용자가 메시지 추적 가능성을 검사, 공격자 및 악의적인 내부자에 의한 이메일 활동, 위협 및 데이터 반출을 모니터링할 수 있습니다. 커넥터는 조직의 이벤트를 빠르게 검토하고 최근 활동에 대한 이벤트 로그 파일을 시간당 증분 단위로 가져오는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ProofpointPODMailLog_CL
ProofpointPODMessage_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Websocket API 자격 증명/권한: ProofpointClusterIDProofpointToken 이 필요합니다. 자세한 내용은 API를 참조하세요.

설치 지침:

Proofpoint POD Websocket API에 대한 구성 단계

PoD 로그 API는 둘 이상의 세션에 대해 동일한 토큰을 동시에 사용할 수 없으므로 토큰이 어디에도 사용되지 않는지 확인합니다.

Proofpoint Websocket API 서비스에는 원격 Syslog 전달 라이선스가 필요합니다. PoD 로그 API를 사용하도록 설정하고 검사 방법에 대한 설명서를 참조하세요. 클러스터 ID 및 보안 토큰을 제공해야 합니다.

  1. 클러스터 ID 1.1을 검색합니다. 관리 사용자 자격 증명을 사용하여 증명점 [관리 콘솔]에 로그인합니다.

    1.2. 관리 콘솔에서 클러스터 ID는 오른쪽 위 모서리에 표시됩니다.

  2. API 토큰 2.1을 검색합니다. 관리 사용자 자격 증명을 사용하여 증명점 [관리 콘솔]에 로그인합니다.

2.2. 관리 콘솔에서 설정 -> API 키 관리를 클릭합니다.

2.3. API 키 관리에서 PoD 로깅 탭을 클릭합니다.

2.4. 새 API 키를 얻거나 만듭니다.

  • 클러스터 ID: (cluster_id)
  • API 키: (API 키)
  • 연결 사용/사용 안 함



Proofpoint TAP(코드리스 커넥터 프레임워크를 통해)

지원:Proofpoint, Inc.

PROOFpoint TAP(Targeted Attack Protection) 커넥터는 Proofpoint TAP 로그 및 이벤트를 Microsoft Sentinel 수집하는 기능을 제공합니다. 커넥터는 Microsoft Sentinel 메시지 및 클릭 이벤트에 대한 가시성을 제공하여 대시보드를 보고, 사용자 지정 경고를 만들고, 모니터링 및 조사 기능을 개선합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ProofPointTAPMessagesDeliveredV2_CL
ProofPointTAPMessagesBlockedV2_CL
ProofPointTAPClicksPermittedV2_CL
ProofPointTAPClicksBlockedV2_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Proofpoint TAP API 키: Proofpoint의 SIEM API에 액세스하려면 Proofpoint TAP API 서비스 주체 및 비밀이 필요합니다. 자세한 내용은 Proofpoint SIEM API를 참조하세요.

설치 지침:

Proofpoint TAP API에 대한 구성 단계

  1. Proofpoint TAP dashboard 로그인
  2. 설정으로 이동하고 연결된 애플리케이션 탭으로 이동합니다.
  3. 새 자격 증명 만들기를 클릭합니다.
  4. 이름을 입력하고 생성을 클릭합니다.
  5. 서비스 주체 및 비밀 값 복사

참고: 이 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 Microsoft Sentinel 솔루션과 함께 배포되는 예상 ProofpointTAPEvent로 작동합니다.

  • 서비스 주체: (123456)
  • 비밀: (123456)
  • 연결 사용/사용 안 함



Proofpoint TAP(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

PROOFpoint TAP(Targeted Attack Protection) 커넥터는 Proofpoint TAP 로그 및 이벤트를 Microsoft Sentinel 수집하는 기능을 제공합니다. 커넥터는 Microsoft Sentinel 메시지 및 클릭 이벤트에 대한 가시성을 제공하여 대시보드를 보고, 사용자 지정 경고를 만들고, 모니터링 및 조사 기능을 개선합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ProofPointTAPMessagesDeliveredV2_CL
ProofPointTAPMessagesBlockedV2_CL
ProofPointTAPClicksPermittedV2_CL
ProofPointTAPClicksBlockedV2_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Proofpoint TAP API 키: Proofpoint의 SIEM API에 액세스하려면 Proofpoint TAP API 서비스 주체 및 비밀이 필요합니다. 자세한 내용은 Proofpoint SIEM API를 참조하세요.

설치 지침:

Proofpoint TAP API에 대한 구성 단계

  1. Proofpoint TAP dashboard 로그인
  2. 설정으로 이동하고 연결된 애플리케이션 탭으로 이동합니다.
  3. 새 자격 증명 만들기를 클릭합니다.
  4. 이름을 입력하고 생성을 클릭합니다.
  5. 서비스 주체 및 비밀 값 복사

참고: 이 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 Microsoft Sentinel 솔루션과 함께 배포되는 예상 ProofpointTAPEvent로 작동합니다.

  • 서비스 주체: (123456)
  • 비밀: (123456)
  • 연결 사용/사용 안 함



QscoutAppEventsConnector(Codeless Connector Framework를 통해)

지원:Quokka

Qscout 애플리케이션 이벤트를 Microsoft Sentinel 수집

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
QscoutAppEvents_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Qscout 조직 ID: API에는 Qscout의 organization ID가 필요합니다.
  • Qscout 조직 API 키: API에는 Qscout의 organization API 키가 필요합니다.

설치 지침:

참고: 이 커넥터는 CCF(Codeless Connector Framework)를 사용하여 Qscout 앱 이벤트 피드에 연결하고 데이터를 Microsoft Sentinel

아래 필수 값을 제공합니다.

  • Qscout 조직 ID: (123456)
  • Qscout 조직 API 키: (abcdxyz)
  • 연결 사용/사용 안 함



Qualys 기술 자료(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

Qualys API 버전 4.0을 사용하여 Qualys 기술 자료 취약성 데이터를 Microsoft Sentinel 수집합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
QualysKnowledgeBase

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Qualys API 액세스: 기술 자료 엔드포인트에 대한 읽기 권한이 있는 Qualys 사용자 계정이 필요합니다.

설치 지침:

1단계: 자격 증명 설정 Qualys 기술 자료에서 데이터 수집을 사용하도록 Qualys API 자격 증명을 제공합니다.

Qualys VM에서 데이터를 수집하려면 다음 리소스를 제공해야 합니다.

  • API 자격 증명: 기술 자료 API에 대한 읽기 권한이 있는 계정의 사용자 이름 및 암호입니다. Qualys API 설명서에서 필요한 정확한 권한을 찾을 수 있습니다.

  • API 서버 URL: 지역별 Qualys API 서버 URL입니다. 해당 지역의 정확한 API 서버 URL은 여기에서 찾을 수 있습니다.

  • API 서버 URL: (API 서버 URL 입력)

  • 사용자 이름: (Qualys 사용자 이름 입력)

  • 암호: (Qualys 암호 또는 토큰 입력) 2단계: 선택적 필터 설정

수집되는 취약성을 사용자 지정하도록 선택적 필터를 구성합니다. Qualys API 설명서에서 사용 가능한 필터에 대해 자세히 알아보세요.

2a. 패치 상태 기준으로 필터링 패치 가능하거나 패치할 수 없는 취약성만 표시하도록 선택합니다.

2b. 검색 방법 및 인증 유형별로 필터링 특정 검색 방법이 할당되거나 특정 인증 유형이 있는 취약성만 수신하도록 선택합니다.

  • 검색 인증 유형: (예: Windows, Oracle, Unix, SNMP(쉼표로 구분)) 3단계: 구성 설정 검토 및 사용 및 커넥터가 Qualys 기술 자료 데이터를 Microsoft Sentinel 수집을 시작할 수 있도록 합니다.

  • 연결 사용/사용 안 함



Qualys VM KnowledgeBase(Azure Functions 사용)

지원:Microsoft Corporation

Qualys VM(취약성 관리) KB(KnowledgeBase) 커넥터는 Qualys KB의 최신 취약성 데이터를 Microsoft Sentinel 수집하는 기능을 제공합니다.

이 데이터는 Qualys VM(취약성 관리) 데이터 커넥터에서 찾은 취약성 검색의 상관 관계를 지정하고 보강하는 데 사용할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
QualysKB_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

설치 지침:

참고: 이 데이터 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 솔루션의 일부로 배포되는 예상대로 작동합니다. Log Analytics에서 함수 코드를 보려면 Log Analytics/Microsoft Sentinel 로그 블레이드를 열고 함수를 클릭하고 별칭 QualysVM 기술 자료를 검색하고 함수 코드를 로드하거나 쿼리의 두 번째 줄에서 QualysVM 기술 자료 디바이스의 호스트 이름 및 Logstream에 대한 다른 고유 식별자를 입력합니다. 함수는 일반적으로 솔루션 설치/업데이트 후 활성화하는 데 10-15분이 걸립니다.

이 데이터 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 예상대로 작동합니다. Kusto 함수 별칭 QualysKB를 사용하는 단계를 수행합니다.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

1단계 - Qualys API에 대한 구성 단계

  1. 관리자 계정으로 Qualys 취약성 관리 콘솔에 로그인하고 사용자 탭 및 사용자 하위 탭을 선택합니다.
  2. 새로 만들기 드롭다운 메뉴를 클릭하고 사용자를 선택합니다.
  3. API 계정에 대한 사용자 이름 및 암호를 만듭니다.
  4. 사용자 역할 탭에서 계정 역할이 관리자로 설정되고 GUI 및 API에 대한 액세스가 허용되는지 확인합니다.
  5. 관리자 계정에서 로그아웃하고 유효성 검사를 위해 새 API 자격 증명을 사용하여 콘솔에 로그인한 다음 API 계정에서 로그아웃합니다.
  6. 관리자 계정을 사용하여 콘솔에 다시 로그인하고 API 계정 사용자 역할을 수정하여 GUI에 대한 액세스를 제거합니다.
  7. 모든 변경 내용을 저장합니다.

2단계 - 커넥터 및 연결된 Azure 함수를 배포하려면 다음 두 가지 배포 옵션 중 하나를 선택합니다.

중요: Qualys KB 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)와 Qualys API 사용자 이름 및 암호를 쉽게 사용할 수 있습니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

옵션 1 - ARM(Azure Resource Manager) 템플릿

ARM Tempate를 사용하여 Qualys KB 커넥터의 자동화된 배포에 이 메서드를 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.msaka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 작업 영역 ID, 작업 영역 키, API 사용자 이름, API 암호 , URI 업데이트 및 추가 URI 필터 매개 변수를 입력합니다(이 값은 각 매개 변수 사이에 "&" 기호를 포함해야 하며 공백을 포함하지 않아야 함).

  • 지역에 해당하는 URI를 입력합니다. API 서버 URL의 전체 목록은 여기에서 찾을 수 있습니다.
  • 참고: 위의 값에 Azure Key Vault 비밀을 사용하는 경우 문자열 값 대신 스키마를 사용합니다@Microsoft.KeyVault(SecretUri={Security Identifier}). 자세한 내용은 Key Vault 참조 설명서를 참조하세요.
  1. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.
  2. 구매를 클릭하여 배포합니다.
  • 참고: 스토리지 계정 이름으로 인해 배포에 실패한 경우 함수 이름을 고유한 값으로 변경하고 다시 배포합니다.

옵션 2 - Azure Functions 수동 배포

이 메서드는 Azure 함수를 사용하여 Qualys KB 커넥터를 수동으로 배포하는 단계별 지침을 제공합니다.

1단계 - 함수 앱 배포

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.
  2. 함수 앱 수동 배포 지침에 따라 VSCode를 사용하여 Azure Functions 앱을 배포합니다.
  3. 함수 앱을 성공적으로 배포한 후 구성을 위한 다음 단계를 수행합니다.

2단계 - 함수 앱 구성

  1. 함수 앱 구성에 대한 Azure 포털로 이동합니다.
  2. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.
  3. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.
  4. 각 문자열 값(대/소문자 구분)을 사용하여 다음 7개의 애플리케이션 설정을 개별적으로 추가합니다. apiUsername apiPassword workspaceID workspaceKey uri filterParameters logAnalyticsUri(선택 사항)
  • 지역에 해당하는 URI를 입력합니다. API 서버 URL의 전체 목록은 여기에서 찾을 수 있습니다. 값은 uri 다음 스키마를 따라야 합니다. https://<API Server>/api/2.0
  • URI에 추가해야 하는 변수에 filterParameters 대한 필터 매개 변수를 추가합니다. 값은 filterParameter 각 매개 변수 사이에 "&" 기호를 포함해야 하며 공백을 포함해서는 안 됩니다.
  • 참고: Azure Key Vault 사용하는 경우 문자열 값 대신 스키마를 사용합니다@Microsoft.KeyVault(SecretUri={Security Identifier}). 자세한 내용은 Key Vault 참조 설명서를 참조하세요.
  • logAnalyticsUri를 사용하여 위임된 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 값을 형식https://<CustomerId>.ods.opinsights.azure.us으로 지정합니다.
  1. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



Qualys 취약성 관리(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

Qualys VM(취약성 관리) 데이터 커넥터는 Qualys API를 통해 취약성 호스트 검색 데이터를 Microsoft Sentinel 수집하는 기능을 제공합니다. 커넥터는 vulerability 검색에서 호스트 검색 데이터에 대한 가시성을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
QualysHostDetectionV3_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • API 액세스 및 역할: Qualys VM 사용자에게 읽기 권한자 이상의 역할이 있는지 확인합니다. 역할이 Reader인 경우 계정에 대해 API 액세스가 사용하도록 설정되어 있는지 확인합니다. 감사자 역할은 API에 액세스하는 데 지원되지 않습니다. 자세한 내용은 Qualys VM 호스트 검색 API사용자 역할 비교 문서를 참조하세요.

설치 지침:

Qualys 취약성 관리를 Microsoft Sentinel 연결

참고: 호스트를 기반으로 검색에 대한 데이터를 수집하려면 테이블에서 DetectionList 열을 확장 합니다.

Qualys VM에서 데이터를 수집하려면 다음 리소스를 제공해야 합니다.

  1. API 자격 증명 Qualys VM에서 데이터를 수집하려면 사용자 이름 및 암호를 포함하여 Qualys API 자격 증명이 필요합니다.

  2. API 서버 URL Qualys VM에서 데이터를 수집하려면 해당 지역과 관련된 Qualys API 서버 URL이 필요합니다. 해당 지역의 정확한 API 서버 URL은 여기에서 찾을 수 있습니다.

  • Qualys API 사용자 이름: (UserName 입력)
  • Qualys API 암호: (암호 입력)
  • Qualys API 서버 URL: (API 서버 URL 입력)
  1. 잘림 제한 API 호출당 검색할 최대 호스트 레코드 수를 구성합니다(20-5000 범위). 값이 높을수록 성능이 향상될 수 있지만 API 응답 시간에 영향을 미칠 수 있습니다.
  • 연결 사용/사용 안 함



AMA를 통한 Radiflow iSID

지원:Radiflow

iSID를 사용하면 여러 보안 패키지를 사용하여 분산 ICS 네트워크에서 토폴로지 및 동작의 변경을 비중단 모니터링할 수 있으며, 각각은 특정 유형의 네트워크 활동과 관련된 고유한 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
RadiflowEvent 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

설치 지침:

참고: 이 데이터 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 Microsoft Sentinel Solution과 함께 배포되는 예상된 [RadiflowEvent]로 작동합니다.

1. 데이터 커넥터를 구성하는 단계를 따르세요.

A단계. AMA 데이터 커넥터를 통해 CEF(Common Event Format) 구성

참고:- CEF 로그는 Linux 에이전트에서만 수집됩니다.

  1. Microsoft Sentinel 작업 영역 ---> 구성 ---> 데이터 커넥터 블레이드로 이동합니다.

  2. 'AMA를 통한 CEF(Common Event Format)' 데이터 커넥터를 검색하여 엽니다.

  3. 필요한 로그 기능을 수집하도록 구성된 기존 DCR이 없는 경우 새 DCR(데이터 수집 규칙)을 만듭니다.

    참고:- 최소 1.27 버전의 AMA 에이전트를 설치하고 로그 이중성을 유발할 수 있으므로 중복 DCR이 없는지 확인하는 것이 좋습니다.

  4. AMA 데이터 커넥터 페이지를 통해 CEF에 제공된 명령을 실행하여 컴퓨터에서 CEF 수집기를 구성합니다.

B단계. CEF를 사용하여 로그를 보내도록 iSID 구성

CEF를 사용하여 로그 전달 구성:

  1. 구성 메뉴의 시스템 알림 섹션으로 이동합니다.

  2. Syslog에서 +추가를 선택합니다.

  3. 새 Syslog 서버 대화 상자에서 이름, 원격 서버 IP, 포트, 전송을 지정하고 형식 - CEF를 선택합니다.

  4. 적용을 눌러 Syslog 추가 대화 상자를 종료합니다.

C단계. 연결 유효성 검사

지침에 따라 연결의 유효성을 검사합니다.

Log Analytics를 열어 CommonSecurityLog 스키마를 사용하여 로그를 받는지 검사.

연결이 데이터를 작업 영역으로 스트리밍할 때까지 약 20분이 걸릴 수 있습니다.

로그를 받지 못한 경우 다음 연결 유효성 검사 스크립트를 실행합니다.

  1. python --version 명령을 사용하여 컴퓨터에 Python이 있는지 확인합니다.

  2. 컴퓨터에 관리자 권한(sudo)이 있어야 합니다.

  • 다음 명령을 실행하여 연결의 유효성을 검사합니다.< 설치 시 제공되는 변수 값>

**2. 컴퓨터 보안 **

organization 보안 정책에 따라 컴퓨터의 보안을 구성해야 합니다.

더 알아보세요 >



Rapid7 Insight Platform 취약성 관리 보고서(Azure Functions 사용)

지원:Microsoft Corporation

Rapid7 Insight VM 보고서 데이터 커넥터는 Rapid7 Insight 플랫폼(클라우드에서 관리됨)의 REST API를 통해 검사 보고서 및 취약성 데이터를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 API 설명서를 참조하세요. 커넥터를 사용하면 이벤트 검색을 통해 잠재적인 보안 위험을 평가하고, 공동 작업을 모니터링하고, 구성 문제를 진단하고 해결할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
NexposeInsightVMCloud_assets_CL 아니요 아니요
NexposeInsightVMCloud_vulnerabilities_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • REST API 자격 증명: REST API에는 InsightVMAPIKey 가 필요합니다. 자세한 내용은 API를 참조하세요. 모든 요구 사항을 확인하고 자격 증명을 얻기 위한 지침을 따릅니다.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Insight VM API에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

참고: 이 데이터 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 Microsoft Sentinel 솔루션과 함께 배포되는 예상 InsightVMAssetsInsightVMVulnerabilities로 작동합니다.

1단계 - Insight VM 클라우드에 대한 구성 단계

지침에 따라 자격 증명을 가져옵니다.

2단계 - 커넥터 및 연결된 Azure 함수를 배포하려면 다음 두 가지 배포 옵션 중 하나를 선택합니다.

중요: 작업 영역 데이터 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키를 갖습니다(다음에서 복사할 수 있음).

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

옵션 1 - ARM(Azure Resource Manager) 템플릿

ARM Tempate를 사용하여 Rapid7 Insight 취약성 관리 보고서 데이터 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

참고: 동일한 리소스 그룹 내에서는 Windows 및 Linux 앱을 동일한 지역에 혼합할 수 없습니다. Windows 앱이 없는 기존 리소스 그룹을 선택하거나 새 리소스 그룹을 만듭니다. 3. InsightVMAPIKey를 입력하고 InsightVMCloudRegion을 선택하고 배포합니다. 4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다. 5. 구매 를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions(Visual Studio Code 통해 배포)를 사용하여 Rapid7 Insight 취약성 관리 보고서 데이터 커넥터를 수동으로 배포합니다.

1단계 - 함수 앱 배포

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.
  2. 함수 앱 수동 배포 지침에 따라 VSCode를 사용하여 Azure Functions 앱을 배포합니다.
  3. 함수 앱을 성공적으로 배포한 후 구성을 위한 다음 단계를 수행합니다.

2단계 - 함수 앱 구성

  1. 함수 앱 구성에 대한 Azure 포털로 이동합니다.
  2. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.
  3. 애플리케이션 설정 탭에서 새 애플리케이션 설정을 선택합니다.
  4. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다.
    InsightVMAPIKey InsightVMCloudRegion WorkspaceID WorkspaceKey logAnalyticsUri(선택 사항)
  • logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 값을 형식https://<CustomerId>.ods.opinsights.azure.us으로 지정합니다.
  1. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



Rapid7 Insight Platform 취약성 관리 보고서(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

Rapid7 Insight VM 보고서 데이터 커넥터는 Rapid7 Insight 플랫폼(클라우드에서 관리됨)의 REST API를 통해 검사 보고서 및 취약성 데이터를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 API 설명서를 참조하세요. 커넥터를 사용하면 이벤트 검색을 통해 잠재적인 보안 위험을 평가하고, 공동 작업을 모니터링하고, 구성 문제를 진단하고 해결할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Rapid7InsightVMCloudAssets
Rapid7InsightVMCloudVulnerabilities

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • REST API 자격 증명: REST API에는 InsightVMAPIKey 가 필요합니다. 자세한 내용은 API를 참조하세요. 모든 요구 사항을 확인하고 자격 증명을 얻기 위한 지침을 따릅니다.

설치 지침:

지침에 따라 Rapid7 InsightVM 커넥터를 구성합니다.

참고: 이 데이터 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 Microsoft Sentinel 솔루션과 함께 배포되는 예상 InsightVMAssetsInsightVMVulnerabilities로 작동합니다.

1. Rapid7 Insight VM 클라우드에 대한 구성 단계

지침에 따라 자격 증명을 가져옵니다.

  1. Rapid7 InsightVM에서 API 키를 생성합니다.
  2. 지역 및 API 키를 기록해 둡니다.
  • 지역: (us, eu 등)
  • API 키: (API 키)

2. 연결

Rapid7 Insight VM 커넥터를 사용하도록 설정합니다.

  • 연결 사용/사용 안 함



Red Sift 이벤트(CCF 푸시)

지원자:Red Sift

Red Sift 커넥터는 DCE + DCR과 함께 CCF 푸시 모델을 사용하여 Red Sift 인증 및 메일 포렌식 이벤트를 Microsoft Sentinel 수집하는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
RedSiftAuth_CL 아니요 아니요
RedSiftEmailForensics_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft Entra: Microsoft Entra ID 앱 등록을 만들 수 있는 권한입니다. 일반적으로 Entra ID 애플리케이션 개발자 역할 이상이 필요합니다.
  • Microsoft Azure: DCR(데이터 수집 규칙)에 대한 모니터링 메트릭 게시자 역할을 할당할 수 있는 권한입니다. 일반적으로 AZURE RBAC 소유자 또는 사용자 액세스 관리자 역할이 필요합니다.

설치 지침:

1. ARM 리소스 만들기 및 필요한 권한 제공

OAuth 클라이언트 자격 증명에 사용되는 DCE, DCR, 사용자 지정 테이블 및 Entra 앱 등록을 배포합니다.

Entra 애플리케이션을 사용하여 자동화된 구성 및 보안 데이터 수집 "배포"를 클릭하면 Log Analytics 테이블 및 DCR(데이터 수집 규칙)의 생성이 트리거됩니다. 그런 다음, Entra 애플리케이션을 만들고, DCR을 연결하고, 애플리케이션에 입력한 비밀을 설정합니다. 이 설정을 사용하면 Entra 토큰을 사용하여 데이터를 DCR로 안전하게 보낼 수 있습니다.

2. Red Sift 웹후크 구성

다음 매개 변수를 사용하여 이벤트를 Microsoft Sentinel 보내도록 Red Sift를 구성합니다. 각 이벤트 유형에 적절한 스트림 이름을 사용합니다.

  • 테넌트 ID(디렉터리 ID): <설치 시 제공되는 변수 값>
  • Entra 앱 등록 애플리케이션 ID: <설치 시 제공되는 변수 값>
  • Entra 앱 등록 비밀: <설치 시 제공되는 변수 값>
  • 데이터 수집 엔드포인트 Uri: <설치 시 제공되는 변수 값>
  • 데이터 수집 규칙 변경할 수 없는 ID: <설치 시 제공되는 변수 값>
  • 인증 이벤트 Stream 이름: <설치 시 제공되는 변수 값>
  • Email 포렌식 이벤트 Stream 이름: <설치 시 제공되는 변수 값>



RSA ID 더하기 관리 로그 커넥터

지원:RSA 지원 팀

RSA ID Plus AdminLogs 커넥터는 클라우드 관리 API를 사용하여 클라우드 관리 콘솔 감사 이벤트를 Microsoft Sentinel 수집하는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
RSAIDPlus_AdminLogs_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • RSA ID Plus API 인증: 관리 API에 액세스하려면 클라이언트의 레거시 관리 API 키로 서명된 유효한 Base64URL로 인코딩된 JWT 토큰이 필요합니다.

설치 지침:

참고: 이 커넥터는 CCF(Codeless Connector Framework)를 사용하여 RSA ID Plus Cloud 관리 API에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다.

1단계 - 클라우드 관리 콘솔에서 레거시 관리 API 클라이언트 만들기

페이지에 언급된 단계를 따릅니다.

2단계 - Base64URL로 인코딩된 JWT 토큰을 생성합니다.

페이지에 언급된 '레거시 관리 API' 헤더 아래의 단계를 수행합니다.

3단계 - 관리 이벤트 로그를 Microsoft Sentinel 수집하기 시작하도록 클라우드 관리 API를 구성합니다.

아래 필수 값을 제공합니다.

  • 관리 API URL: (https://< tenantName.access.securid.com/AdminInterface/restapi/v1/adminlog/exportLogs>)
  • JWT 토큰: (JWT 토큰 입력)

4단계 - 연결을 클릭합니다.

위의 모든 필드가 올바르게 채워져 있는지 확인합니다. 연결을 눌러 커넥터를 시작합니다.

  • 연결 사용/사용 안 함



Rubrik Security Cloud 데이터 커넥터(Azure Functions 사용)

지원:Rubrik

Rubrik Security Cloud 데이터 커넥터를 사용하면 보안 운영 팀이 Rubrik의 데이터 가시성 서비스의 인사이트를 Microsoft Sentinel 통합할 수 있습니다. 인사이트에는 랜섬웨어 및 대량 삭제와 관련된 비정상적인 파일 시스템 동작 식별, 랜섬웨어 공격의 폭발 반경 평가, 잠재적 인시던트 우선 순위를 지정하고 보다 신속하게 조사하는 중요한 데이터 운영자가 포함됩니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Rubrik_Anomaly_Data_CL
Rubrik_Ransomware_Data_CL
Rubrik_ThreatHunt_Data_CL
Rubrik_Events_Data_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 로그를 Microsoft Sentinel 푸시하는 Rubrik 웹후크에 연결합니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

1단계 - 커넥터 및 연결된 Azure 함수를 배포하려면 다음 두 가지 배포 옵션 중 하나를 선택합니다.

중요: Rubrik Microsoft Sentinel 데이터 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)를 쉽게 사용할 수 있습니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

옵션 1 - ARM(Azure Resource Manager) 템플릿

Rubrik 커넥터의 자동화된 배포에 이 메서드를 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 아래 정보를 입력합니다. 함수 이름 작업 영역 ID 작업 영역 키 AnomaliesTableName RansomwareAnalysisTableName ThreatHuntsTableName EventsTableName LogLevel

  4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  5. 구매를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions(Visual Studio Code 통한 배포)를 사용하여 Rubrik Microsoft Sentinel 데이터 커넥터를 수동으로 배포합니다.

  1. 함수 앱 배포

참고: Azure 함수 개발을 위해 VS 코드를 준비해야 합니다.

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.

  2. VS Code를 시작합니다. 주 메뉴에서 파일을 선택하고 폴더 열기를 선택합니다.

  3. 추출된 파일에서 최상위 폴더를 선택합니다.

  4. 작업 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 함수에 배포 앱 단추를 선택합니다. 아직 로그인하지 않은 경우 활동 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 로그인을 선택하여 Azure 이미 로그인한 경우 다음 단계로 이동합니다.

  5. 프롬프트에서 다음 정보를 제공합니다.

    a. 폴더 선택: 작업 영역에서 폴더를 선택하거나 함수 앱이 포함된 폴더로 이동합니다.

    b. 구독을 선택합니다. 사용할 구독을 선택합니다.

    c. Azure 새 함수 앱 만들기를 선택합니다(고급 옵션을 선택하지 않음).

    d. 함수 앱의 전역적으로 고유한 이름을 입력합니다 . URL 경로에 유효한 이름을 입력합니다. 입력한 이름은 Azure Functions 고유하도록 유효성을 검사합니다. (예: RubrikXXXXX).

    e. 런타임 선택: Python 3.8 이상을 선택합니다.

    f. 새 리소스의 위치를 선택합니다. 성능 향상 및 비용 절감을 위해 Microsoft Sentinel 있는 동일한 지역을 선택합니다.

  6. 배포가 시작됩니다. 함수 앱이 만들어지고 배포 패키지가 적용된 후 알림이 표시됩니다.

  7. 함수 앱 구성에 대한 Azure 포털로 이동합니다.

  8. 함수 앱 구성

  9. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.

  10. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.

  11. 각 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. WorkspaceID WorkspaceKey AnomaliesTableName RansomwareAnalysisTableName ThreatHuntsTableName EventsTableName LogLevel logAnalyticsUri(선택 사항)

  • logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 값을 https:// CustomerId.ods.opinsights.azure.us<> 형식으로 지정합니다.
  1. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.

배포 후 단계

1) 함수 앱 엔드포인트 가져오기

  1. Azure 함수 개요 페이지로 이동하고 "함수" 탭을 클릭합니다.
  2. "RubrikHttpStarter"라는 함수를 클릭합니다.
  3. "GetFunctionurl"로 이동하여 함수 URL을 복사합니다.

2) RubrikSecurityCloud에 웹후크를 추가하여 데이터를 Microsoft Sentinel 보냅니다.

Rubrik 사용자 가이드 지침에 따라 웹후크 추가 를 통해 이벤트 정보 수신을 시작합니다.

  1. 웹후크 공급자로 Microsoft Sentinel 선택
  2. 원하는 웹후크 이름을 입력합니다.
  3. 복사한 Function-url의 URL 부분을 웹후크 URL 엔드포인트로 입력하고 Rubrik Microsoft Sentinel 솔루션의 경우 {functionname}을 "RubrikAnomalyOrchestrator"로 바꿉니다.
  4. EventType을 Anomaly로 선택
  5. 위험, 경고, 정보 등 심각도 수준을 선택합니다.
  6. "RubrikEventsOrchestrator"를 실행할 때 원하는 경우 여러 로그 유형을 선택합니다.
  7. 변칙 검색 분석, 위협 사냥 및 기타 이벤트에 대한 웹후크를 추가하려면 동일한 단계를 반복합니다.

참고: 변칙 검색 분석, 위협 사냥 및 기타 이벤트에 대한 웹후크를 추가하는 동안 복사된 function-url에서 각각 {functionname}을 "RubrikRansomwareOrchestrator", "RubrikThreatHuntOrchestrator" 및 "RubrikEventsOrchestrator" 로 바꿉니다.

이제 rubrik Webhook 구성을 완료했습니다. 웹후크 이벤트가 트리거되면 Rubrik의 Anomaly, Anomaly Detection Analysis, Threat Hunt 이벤트 및 기타 이벤트를 "Rubrik_Anomaly_Data_CL", "Rubrik_Ransomware_Data_CL", "Rubrik_ThreatHunt_Data_CL" 및 "Rubrik_Events_Data_CL"라는 각 LogAnalytics 작업 영역 테이블로 볼 수 있습니다.



SaaS 보안

지원:Valence 보안

REST API 인터페이스를 통해 Valence SaaS 보안 플랫폼 Azure Log Analytics 연결

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ValenceAlert_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

설치 지침:

1단계: 자세한 설명서 읽기

설치 프로세스는 Valence Security의 기술 자료 자세히 설명되어 있습니다. 사용자는 통합의 설치 및 디버그를 이해하려면 이 설명서를 추가로 참조해야 합니다.

2단계: 작업 영역 액세스 자격 증명 검색

첫 번째 설치 단계는 Microsoft Sentinel 플랫폼에서 작업 영역 ID와 기본 키를 모두 검색하는 것입니다. 아래 표시된 값을 복사하고 API 로그 전달자 통합 구성을 위해 저장합니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

3단계: Valence Security Platform에서 Sentinel 통합 구성

Valence Security Platform 관리자로 구성 화면으로 이동하고 SIEM 통합 카드 연결을 클릭한 다음 Microsoft Sentinel 선택합니다. 이전 단계의 값을 붙여넣고 연결을 클릭합니다. Valence는 연결을 테스트하므로 성공이 보고되면 연결이 작동합니다.



Salesforce 감사 로그(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

Salesforce 감사 로그 데이터 커넥터는 REST API를 통해 Salesforce 조직에서 Microsoft Sentinel 관리 변경 내용 및 구성 수정 사항을 수집하는 기능을 제공합니다. 커넥터는 설정 감사 내역로그인 기록 이벤트를 조직의 구성에 대한 변경 내용을 추적하는 Microsoft Sentinel 수집하여 보안 및 규정 준수 가시성을 유지하는 데 도움이 되는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
SalesforceAuditTrail

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Salesforce Service Cloud API 액세스: 연결된 앱을 통해 Salesforce Service Cloud API에 액세스해야 합니다.

설치 지침:

Salesforce를 Microsoft Sentinel 연결

OAuth용 Salesforce에서 연결된 앱 만들기OAuth 2.0 클라이언트 자격 증명 흐름에 대한 연결된 앱 구성에 따라 Salesforce Service Cloud API에 액세스할 수 있는 연결된 앱을 만듭니다. 이러한 지침을 통해 소비자 키 및 소비자 암호를 가져와야 합니다. Salesforce 도메인 이름의 경우 설정으로 이동하고 빠른 찾기 상자에 내 도메인을 입력하고 내 도메인을 선택하여 도메인 세부 정보를 봅니다. 후행 슬래시(예: https://your-domain.my.salesforce.com)없이 도메인 이름을 입력해야 합니다. 아래 양식을 해당 정보로 채웁니다.

  • 데이터 커넥터 그리드(포털에서 구성)



SalesForce Real-Time 이벤트 모니터링 커넥터(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

Salesforce Real-Time RTEM(이벤트 모니터링) 커넥터는 REST API를 통해 Event Storage용 Object를 사용하여 Salesforce 실시간 이벤트에 대한 정보를 Microsoft Sentinel 수집하는 기능을 제공합니다. 커넥터는 조직의 이벤트를 빠르게 검토하고 최근 활동에 대한 실시간 이벤트 데이터를 가져오는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
SalesForceRealTimeEventMonitoring_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Salesforce 이벤트 모니터링 API 액세스: 연결된 앱을 통해 Salesforce 이벤트 모니터링 API에 액세스해야 합니다.

설치 지침:

Salesforce 이벤트 모니터링에 연결하여 Microsoft Sentinel 실시간 이벤트 모니터링 로그 수집 시작

OAuth용 Salesforce에서 연결된 앱 만들기OAuth 2.0 클라이언트 자격 증명 흐름에 대한 연결된 앱 구성에 따라 Salesforce 이벤트 모니터링 API에 액세스할 수 있는 연결된 앱을 만듭니다. 이러한 지침을 통해 소비자 키 및 소비자 암호를 가져와야 합니다. Salesforce 도메인 이름의 경우 설정으로 이동하고 빠른 찾기 상자에 내 도메인을 입력하고 내 도메인을 선택하여 도메인 세부 정보를 봅니다. 후행 슬래시(예: https://your-domain.my.salesforce.com)없이 도메인 이름을 입력해야 합니다. 아래 양식을 해당 정보로 채웁니다.

참고: 필수 추가 기능 구독: Salesforce 계정에는 이 커넥터가 작동하려면 Salesforce Shield 또는 Salesforce 이벤트 모니터링 추가 기능 구독이 포함되어야 합니다.

  • 데이터 커넥터 그리드(포털에서 구성)



Salesforce Service Cloud(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

Salesforce Service Cloud 데이터 커넥터는 REST API를 통해 Salesforce 운영 이벤트에 대한 정보를 Microsoft Sentinel 수집하는 기능을 제공합니다. 커넥터는 조직의 이벤트를 빠르게 검토하고 최근 활동에 대한 이벤트 로그 파일을 시간당 증분 단위로 가져오는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
SalesforceServiceCloudV3_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Salesforce Service Cloud API 액세스: 연결된 앱을 통해 Salesforce Service Cloud API에 액세스해야 합니다.

설치 지침:

Salesforce Service Cloud API에 연결하여 Microsoft Sentinel 이벤트 로그 수집 시작

OAuth용 Salesforce에서 연결된 앱 만들기OAuth 2.0 클라이언트 자격 증명 흐름에 대한 연결된 앱 구성에 따라 Salesforce Service Cloud API에 액세스할 수 있는 연결된 앱을 만듭니다. 이러한 지침을 통해 소비자 키 및 소비자 암호를 가져와야 합니다. Salesforce 도메인 이름의 경우 설정으로 이동하고 빠른 찾기 상자에 내 도메인을 입력하고 내 도메인을 선택하여 도메인 세부 정보를 봅니다. 후행 슬래시(예: https://your-domain.my.salesforce.com)없이 도메인 이름을 입력해야 합니다. 아래 양식을 해당 정보로 채웁니다.

참고 : 알림: 솔루션 버전 3.2.0 이상에서는 SalesforceServiceCloudV3_CL 테이블을 사용합니다. 그에 따라 파서가 업데이트되었습니다.

  • 데이터 커넥터 그리드(포털에서 구성)



Samsung Knox Asset Intelligence

지원:삼성전자

Samsung Knox Asset Intelligence 데이터 커넥터를 사용하면 통합 문서 템플릿을 사용하여 사용자 지정된 인사이트를 보고 분석 규칙 템플릿을 기반으로 인시던트를 식별하기 위해 모바일 보안 이벤트 및 로그를 중앙 집중화할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Samsung_Knox_Audit_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

설치 지침:

이 데이터 커넥터는 Microsoft 로그 수집 API를 사용하여 KAI(Samsung Knox Asset Intelligence) 솔루션에서 보안 이벤트를 Microsoft Sentinel 푸시합니다.

1단계 - Entra 애플리케이션 만들기 및 등록

참고: 이 데이터 커넥터는 인증서 기반 또는 클라이언트 비밀 기반 인증을 지원할 수 있습니다. 인증서 기반 인증의 경우 KAI 설명서 포털에서 Samsung CA 서명 인증서(공개 키)를 다운로드할 수 있습니다. 클라이언트 비밀 기반 인증의 경우 Entra 애플리케이션 등록 중에 비밀을 만들 수 있습니다. 클라이언트 암호 값이 생성되는 즉시 복사해야 합니다.

중요: 테넌트(디렉터리) ID 및 클라이언트(애플리케이션) ID에 대한 값을 저장합니다. 클라이언트 비밀 기반 인증을 사용하는 경우 Entra 앱과 연결된 클라이언트 암호(비밀 값)를 저장합니다.

2단계 - 아래 AZURE RESOURCE MANAGER(ARM) 템플릿을 사용하여 이 데이터 커넥터 배포 자동화

중요: 데이터 커넥터를 배포하기 전에 Microsoft Sentinel(Log Analytics) instance 연결된 아래 작업 영역 이름을 복사합니다.

  • 작업 영역 이름: <설치 시 제공되는 변수 값>

  1. 아래 단추를 클릭하여 Samsung Knox Intelligence Solution을 설치합니다.

    aka.ms\n2. Log Analytics 작업 영역 이름, Log Analytics 작업 영역 위치, Log Analytics 작업 영역 구독(ID) 및 Log Analytics 작업 영역 리소스 그룹 등의 필수 필드를 제공합니다.

3단계 - Microsoft Sentinel 데이터 수집 세부 정보 가져오기

ARM 템플릿이 배포되면 데이터 수집 규칙 https://portal.azure.com/#browse/microsoft.insights%2Fdatacollectionrules으로 이동하여 DCR(변경할 수 없는 ID) 및 DCE(데이터 수집 엔드포인트)와 연결된 값을 저장합니다.

중요: 엔드 투 엔드 통합을 사용하도록 설정하려면 Samsung Knox Asset Intelligence 포털(4단계)에서 구성하려면 Microsoft Sentinel DCE 및 DCR과 관련된 정보가 필요합니다.

1단계에서 만든 Entra 애플리케이션에 DCE로 데이터를 보내기 위해 만든 DCR을 사용할 수 있는 권한이 있는지 확인합니다. 그에 따라 권한을 할당하려면 /azure/azure-monitor/logs/tutorial-logs-ingestion-portal#assign-permissions-to-the-dcr을 참조하세요.

4단계 - Samsung Knox Asset Intelligence 솔루션에 연결하여 Knox 보안 이벤트를 경고로 푸시하도록 Microsoft Sentinel 구성

  1. Knox Asset Intelligence 관리 포털에 로그인하고 대시보드 설정으로 이동합니다. 포털의 오른쪽 위 모서리에서 사용할 수 있습니다.

참고: 로그인 사용자가 '보안' 및 'dashboard 보기 및 데이터 수집 관리' 권한에 액세스할 수 있는지 확인합니다.

  1. 보안 탭을 클릭하여 Microsoft Sentinel 통합 및 Knox 보안 로그에 대한 설정을 봅니다.

  2. 보안 운영 통합 페이지에서 'Microsoft Sentinel 통합 사용'을 토글하고 필요한 필드에 적절한 값을 입력합니다.

a. 사용되는 인증 방법에 따라 Entra 애플리케이션을 등록하는 동안 1단계에서 저장된 정보를 참조하세요.

b. DCE 및 DCR에 Microsoft Sentinel 3단계에서 저장된 정보를 참조하세요.

  1. '연결 테스트'를 클릭하고 연결이 성공하는지 확인합니다.

  2. 저장하려면 필수 또는 고급 구성(기본값: 필수)을 선택하여 Knox 보안 로그를 구성합니다.

  3. Microsoft Sentinel 통합을 완료하려면 '저장'을 클릭합니다.



SAP BTP

지원:Microsoft Corporation

SAP BTP(SAP Business Technology Platform)는 하나의 통합 환경에서 데이터 관리, 분석, 인공 지능, 애플리케이션 개발, 자동화 및 통합을 결합합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
SAPBTPAuditLog_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • 감사 검색 API에 대한 클라이언트 ID 및 클라이언트 암호: BTP에서 API 액세스를 사용하도록 설정합니다.

설치 지침:

1단계 - SAP BTP 감사 검색 API에 대한 구성 단계

SAP에서 제공하는 단계에 따라 Cloud Foundry Environment의 글로벌 계정에 대한 감사 로그 검색 API를 참조하세요. URL(감사 검색 API URL), uaa.url(사용자 계정 및 인증 서버 URL) 및 연결된 uaa.clientid를 기록해 둡니다.

참고:제공된 도구를 사용하여 BTP 하위 카운트를 대량으로 온보딩할 수 있습니다.

SAP BTP에서 Microsoft Sentinel 이벤트 연결

OAuth 클라이언트 자격 증명을 사용하여 연결

하위 계정

각 행은 연결된 하위 계산을 나타냅니다.

  • 데이터 커넥터 그리드(포털에서 구성)



SAP Enterprise 위협 탐지, 클라우드 버전

지원:SAP

SAP Enterprise Threat Detection, 클라우드 버전(ETD) 데이터 커넥터를 사용하면 ETD에서 Microsoft Sentinel 보안 경고를 수집하여 상호 상관 관계, 경고 및 위협 헌팅을 지원합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
SAPETDAlerts_CL
SAPETDInvestigations_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • ETD 검색 API에 대한 클라이언트 ID 및 클라이언트 암호: ETD에서 API 액세스를 사용하도록 설정합니다.

설치 지침:

1단계 - SAP ETD 감사 검색 API에 대한 구성 단계

SAP에서 제공하는 단계에 따라 ETD 문서를 참조하세요. URL(감사 검색 API URL), uaa.url(사용자 계정 및 인증 서버 URL) 및 연결된 uaa.clientid를 기록해 둡니다.

참고: SAP에서 제공하는 단계에 따라 ETD 하위 계정 하나 이상을 온보딩할 수 있습니다. ETD 문서를 참조하세요. 각 하위 계정에 대한 연결을 추가합니다.

팁: 자세한 내용은 공유 블로그 시리즈를 사용합니다.

SAP ETD에서 Microsoft Sentinel 이벤트 연결

OAuth 클라이언트 자격 증명을 사용하여 연결

ETD 계정

각 행은 연결된 ETD 계정을 나타냅니다.

  • 데이터 커넥터 그리드(포털에서 구성)



SAP LogServ(RISE), S/4HANA Cloud 프라이빗 버전

지원:SAP

SAP LogServ는 로그 수집, 스토리지, 전달 및 액세스를 목표로 하는 SAP ECS(Enterprise Cloud Services) 서비스입니다. LogServ는 등록된 고객이 사용하는 모든 시스템, 애플리케이션 및 ECS 서비스의 로그를 중앙 집중화합니다.
주요 기능은 다음과 같습니다.
거의 실시간 로그 수집: SIEM 솔루션으로 Microsoft Sentinel 통합할 수 있습니다.
LogServ는 SAP ECS가 시스템 공급자로 소유한 로그 유형으로 Microsoft Sentinel 기존 SAP 애플리케이션 계층 위협 모니터링 및 검색을 보완합니다. 여기에는 다음과 같은 로그가 포함됩니다. SAP 보안 감사 로그(AS ABAP), HANA 데이터베이스, AS JAVA, ICM, SAP Web Dispatcher, SAP Cloud Connector, OS, SAP Gateway, 타사 데이터베이스, 네트워크, DNS, 프록시, 방화벽

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
SAPLogServ_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Microsoft Entra: Microsoft Entra ID 앱 등록을 만들 수 있는 권한입니다. 일반적으로 Entra ID 애플리케이션 개발자 역할 이상이 필요합니다.
  • Microsoft Azure: 데이터 수집 규칙에 대한 모니터링 메트릭 게시자 역할을 할당할 수 있는 권한입니다. 일반적으로 AZURE RBAC 소유자 또는 사용자 액세스 관리자 역할이 필요합니다.

설치 지침:

1. ARM 리소스 만들기 및 필요한 권한 제공

DCR(데이터 수집 규칙) 및 DCE(데이터 수집 엔드포인트) 리소스를 만듭니다. 또한 Microsoft Entra 앱 등록을 만들고 필요한 권한을 할당합니다.

Azure 리소스의 자동화된 배포 "푸시 커넥터 리소스 배포"를 클릭하면 DCR 및 DCE 리소스 생성이 트리거됩니다. 그런 다음 클라이언트 암호를 사용하여 Microsoft Entra 앱 등록을 만들고 DCR에 대한 권한을 부여합니다. 이 설정을 사용하면 OAuth v2 클라이언트 자격 증명을 사용하여 데이터를 DCR로 안전하게 보낼 수 있습니다.

2. SAP LogServ에서 데이터 수집 엔드포인트 세부 정보 및 인증 정보 유지 관리

데이터 수집 엔드포인트 URL 및 인증 정보를 SAP LogServ 관리자와 공유하여 데이터를 데이터 수집 엔드포인트로 보내도록 SAP LogServ를 구성합니다.

이 블로그 시리즈에서 자세히 알아보세요.

  • 이 값을 사용하여 LogIngestionAPI 자격 증명에서 테넌트 ID로 구성합니다.: <설치 시 제공되는 변수 값>
  • Entra 애플리케이션 ID: <설치 시 제공되는 변수 값>
  • Entra 애플리케이션 비밀: <설치 시 제공되는 변수 값>
  • 이 값을 사용하여 IFlow를 배포할 때 LogsIngestionURL 매개 변수를 구성합니다. <설치 시 제공된 변수 값>
  • DCR 변경할 수 없는 ID: <설치 시 제공되는 변수 값>



SAP S/4HANA Cloud Public Edition

지원:SAP

SAP S/4HANA SAP를 사용하는 GROW(Cloud Public Edition) 데이터 커넥터를 사용하면 SAP의 보안 감사 로그를 SAP용 Microsoft Sentinel 솔루션으로 수집하여 상호 상관 관계, 경고 및 위협 헌팅을 지원합니다. 대체 인증 메커니즘을 찾고 있나요? 여기를 참조 하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ABAPAuditLog

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • 감사 검색 API에 대한 클라이언트 ID 및 클라이언트 암호: BTP에서 API 액세스를 사용하도록 설정합니다.
  • SAP 콘텐츠 패키지에 대한 Microsoft Sentinel(60개 이상의 분석 규칙, 통합 문서, 파서 등): Microsoft Sentinel 콘텐츠 허브에서 배포합니다.

설치 지침:

1단계 - SAP S/4HANA Cloud Public Edition에 대한 구성 단계

SAP S/4HANA Cloud Public Edition에 연결하려면 다음이 필요합니다.

  1. 통신 시나리오에 대한 통신 배열 구성 SAP_COM_0750

  2. SAP S/4HANA Cloud Public Edition 테넌트 API URL

  3. SAP S/4HANA 클라우드 시스템에 대한 유효한 통신 사용자(사용자 이름 및 암호)

  4. OData 서비스를 통해 감사 로그 데이터에 액세스하기 위한 적절한 권한 부여

참고: 이 커넥터는 기본 인증을 지원합니다. 대체 인증 메커니즘을 찾고 있나요? 여기를 참조 하세요.

SAP S/4HANA Cloud Public Edition의 이벤트를 SAP용 Microsoft Sentinel 솔루션에 연결

기본 인증을 사용하여 연결

S/4HANA Cloud Public Edition 연결

각 행은 연결된 S/4HANA Cloud Public Edition 시스템을 나타냅니다.

  • 데이터 커넥터 그리드(포털에서 구성)



SAP용 SecurityBridge 솔루션

지원:SecurityBridge

SecurityBridge는 Microsoft Sentinel 원활하게 통합하여 SAP 환경 전반에서 실시간 모니터링 및 위협 탐지를 가능하게 함으로써 SAP 보안을 향상시킵니다. 이 통합을 통해 SOC(보안 운영 센터)는 SAP 보안 이벤트를 다른 조직 데이터와 통합하여 위협 환경에 대한 통합 보기를 제공할 수 있습니다. AI 기반 분석 및 Microsoft의 Security Copilot 활용하여 SecurityBridge는 ABAP 코드 검사 및 구성 평가를 포함하여 SAP 애플리케이션 내에서 정교한 공격 패턴 및 취약성을 식별합니다. 이 솔루션은 온-프레미스, 클라우드 또는 하이브리드 환경 등 복잡한 SAP 환경에서 확장 가능한 배포를 지원합니다. SecurityBridge는 IT 팀과 SAP 보안 팀 간의 격차를 해소함으로써 조직이 위협을 사전에 탐지, 조사 및 대응하여 전반적인 보안 태세를 강화할 수 있도록 지원합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ABAPAuditLog

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Microsoft Entra: Microsoft Entra ID 앱 등록을 만들 수 있는 권한입니다. 일반적으로 Entra ID 애플리케이션 개발자 역할 이상이 필요합니다.
  • Microsoft Azure: 데이터 수집 규칙에 대한 모니터링 메트릭 게시자 역할을 할당할 수 있는 권한입니다. 일반적으로 AZURE RBAC 소유자 또는 사용자 액세스 관리자 역할이 필요합니다.

설치 지침:

1. ARM 리소스 만들기 및 필요한 권한 제공

DCR(데이터 수집 규칙) 및 DCE(데이터 수집 엔드포인트) 리소스를 만듭니다. 또한 Microsoft Entra 앱 등록을 만들고 필요한 권한을 할당합니다.

Azure 리소스의 자동화된 배포 "푸시 커넥터 리소스 배포"를 클릭하면 DCR 및 DCE 리소스 생성이 트리거됩니다. 그런 다음 클라이언트 암호를 사용하여 Microsoft Entra 앱 등록을 만들고 DCR에 대한 권한을 부여합니다. 이 설정을 사용하면 OAuth v2 클라이언트 자격 증명을 사용하여 데이터를 DCR로 안전하게 보낼 수 있습니다.

2. SecurityBridge에서 데이터 수집 엔드포인트 세부 정보 및 인증 정보 유지 관리

데이터 수집 엔드포인트 URL 및 인증 정보를 SecurityBridge 관리자와 공유하여 데이터 수집 엔드포인트로 데이터를 보내도록 Securitybridge를 구성합니다.

KB 페이지에서 자세히 알아보기 https://abap-experts.atlassian.net/wiki/spaces/SB/pages/4099309579/REST+Push+Interface

  • 이 값을 사용하여 LogIngestionAPI 자격 증명에서 테넌트 ID로 구성합니다.: <설치 시 제공되는 변수 값>
  • Entra 애플리케이션 ID: <설치 시 제공되는 변수 값>
  • Entra 애플리케이션 비밀: <설치 시 제공되는 변수 값>
  • 이 값을 사용하여 IFlow를 배포할 때 LogsIngestionURL 매개 변수를 구성합니다. <설치 시 제공된 변수 값>
  • DCR 변경할 수 없는 ID: <설치 시 제공되는 변수 값>
  • SAP Stream ID에 대한 Sentinel: <설치 시 제공되는 변수 값>
  • SecurityBridge_CL Stream ID: <설치 시 제공되는 변수 값>



셈페리스 번개 로그

지원:Semperis

Semperis Lightning 커넥터는 Azure Functions 사용하여 Semperis Lightning ID 보안 데이터를 Microsoft Sentinel 수집합니다. 커넥터는 Azure 함수를 배포하고 조사 및 위협 헌팅을 위해 사용자 지정 Log Analytics 테이블에 데이터를 수집합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
LightningTier0Nodes_CL 아니요 아니요
LightningAttackPaths_CL 아니요 아니요
LightningIOEResults_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • Semperis Lightning API 자격 증명: Semperis Lightning에 대한 커넥터를 인증하려면 Semperis Lightning API 키 및 선택한 영역 (na 또는 eu)이 필요합니다.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Semperis Lightning에 연결하고 데이터를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키를 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

커넥터를 배포하기 전에 작업 영역이 Microsoft Sentinel 추가되었는지 확인합니다.

1단계 - Semperis Lightning에 대한 액세스 구성

  1. Semperis Lightning 테넌트에서 로그인합니다.
  2. 커넥터 액세스를 위한 유효한 Semperis API 키를 만들거나 검색합니다.
  3. 배포 중에 사용할 Semperis Zone 값(유럽의 경우 북아메리카 또는 eu의 경우 na)을 확인합니다.

2단계 - 'Semperis Lightning Logs' 커넥터 및 연결된 Azure 함수 배포

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

3단계 - 커넥터 매개 변수 설정

  1. 기본 구독 및 기존 리소스 그룹을 선택합니다.
  2. 리소스 그룹에 속한 기존 Log Analytics 작업 영역 리소스 ID 를 입력합니다.
  3. 다음을 클릭합니다.
  4. Semperis API 키를 입력하고 Semperis 영역을 선택합니다.
  5. 필요에 따라 커넥터 일정을 조정합니다(기본값: 1시간마다).
  6. 설정을 검토하고 만들기를 클릭합니다.



SentinelOne(Codeless Connector Framework를 통해)

지원:Microsoft Corporation

SentinelOne 데이터 커넥터를 사용하면 SentinelOne API의 로그를 Microsoft Sentinel 수집할 수 있습니다. 데이터 커넥터는 Microsoft Sentinel Codeless Connector Framework를 기반으로 합니다. SentinelOne API를 사용하여 로그를 가져오고, 수신된 보안 데이터를 사용자 지정 테이블로 구문 분석하는 DCR 기반 수집 시간 변환 을 지원하므로 쿼리가 다시 구문 분석할 필요가 없으므로 성능이 향상됩니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
SentinelOneActivities_CL
SentinelOneAgents_CL
SentinelOneGroups_CL
SentinelOneThreats_CL
SentinelOneAlerts_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

SentinelOne API에 대한 구성 단계는 지침에 따라 자격 증명을 가져옵니다. 가이드에 따라 API 키를 생성할 수도 있습니다.

  1. SentinelOne 관리 URL 1.1을 검색합니다. 관리 사용자 자격 증명 1.2를 사용하여 SentinelOne [관리 콘솔]에 로그인합니다. [관리 콘솔]에서 URL 경로 없이 위의 URL 링크를 복사합니다.

  2. API 토큰 2.1을 검색합니다. 관리 사용자 자격 증명 2.2를 사용하여 SentinelOne [관리 콘솔]에 로그인합니다. [관리 콘솔]에서 [설정] 2.3을 클릭합니다. [설정] 보기에서 [사용자]를 클릭합니다. 2.4. [사용자] 페이지에서 [서비스 사용자] - [작업] ->> [새 서비스 사용자 만들기]를 클릭합니다. 2.5. [만료 날짜] 및 [scope](사이트별)을 선택하고 [사용자 만들기]를 클릭합니다. 2.6. [서비스 사용자]가 만들어지면 페이지에서 [API 토큰]을 복사하고 [저장]을 누릅니다.

  • SentinelOne 관리 URL: (https://example.sentinelone.net/)
  • API 토큰: (API 토큰)
  • 연결 사용/사용 안 함



세라피 웹 보안

지원:세라피 보안

Seraphic Web Security 데이터 커넥터는 세라픽 웹 보안 이벤트 및 경고를 Microsoft Sentinel 수집하는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
SeraphicWebSecurity_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • 세라피 API 키: 세라피 웹 보안 테넌트에서 연결된 Microsoft Sentinel 대한 API 키입니다. 테넌트의 이 API 키를 얻으려면 세라픽 콘솔의 통합 페이지를 방문하세요.

설치 지침:

세라픽 웹 보안 연결

통합 이름, 세라피 통합 URL 및 Microsoft Sentinel 대한 작업 영역 이름을 삽입하세요.



Silverfort 관리 콘솔

지원:Silverfort

Silverfort ITDR 관리 콘솔 커넥터 솔루션을 사용하면 Silverfort 이벤트를 수집하고 Microsoft Sentinel 로그인할 수 있습니다. Silverfort는 CEF(Common Event Format)를 사용하여 syslog 기반 이벤트 및 로깅을 제공합니다. Silverfort ITDR 관리 콘솔 CEF 데이터를 Microsoft Sentinel 전달하면 Silverfort 데이터에 대한 Sentinels의 검색 & 상관 관계, 경고 및 위협 인텔리전스 보강을 활용할 수 있습니다. 자세한 내용은 Silverfort에 문의하거나 Silverfort 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CommonSecurityLog

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

1. Syslog 에이전트 구성 Linux

CEF(Common Event Format) Syslog 메시지를 수집하고 Microsoft Sentinel 전달하도록 Linux 에이전트를 설치하고 구성합니다.

모든 지역의 데이터가 선택한 작업 영역에 저장됩니다.

1.1 Linux 컴퓨터 선택 또는 만들기

Microsoft Sentinel 보안 솔루션과 온-프레미스 환경, Azure 또는 기타 클라우드에 있을 수 Microsoft Sentinel 사이의 프록시로 사용할 Linux 머신을 선택하거나 만듭니다.

1.2 Linux 컴퓨터에 CEF 수집기 설치

Linux 컴퓨터에 Microsoft Monitoring Agent를 설치하고 필요한 포트에서 수신 대기하고 Microsoft Sentinel 작업 영역에 메시지를 전달하도록 컴퓨터를 구성합니다. CEF 수집기는 포트 514 TCP에서 CEF 메시지를 수집합니다.

  1. python -version 명령을 사용하여 컴퓨터에 Python이 있는지 확인합니다.

  2. 컴퓨터에 대해 상승된 권한(sudo)이 있어야 합니다.

  • 다음 명령을 실행하여 CEF 수집<기를 설치하고 적용합니다. 설치 시 제공된 변수 값>

2. CEF(Common Event Format) 로그를 Syslog 에이전트로 전달

CEF 형식의 Syslog 메시지를 프록시 머신으로 보내도록 보안 솔루션을 설정합니다. 컴퓨터의 IP 주소에서 포트 514 TCP에 로그를 보내야 합니다.

3. 연결 유효성 검사

지침에 따라 연결의 유효성을 검사합니다.

Log Analytics를 열어 CommonSecurityLog 스키마를 사용하여 로그를 받는지 검사.

연결이 데이터를 작업 영역으로 스트리밍할 때까지 약 20분이 걸릴 수 있습니다.

로그를 받지 못한 경우 다음 연결 유효성 검사 스크립트를 실행합니다.

  1. python -version 명령을 사용하여 컴퓨터에 Python이 있는지 확인합니다.

  2. 컴퓨터에 관리자 권한(sudo)이 있어야 합니다.

  • 다음 명령을 실행하여 연결의 유효성을 검사합니다.< 설치 시 제공되는 변수 값>

**4. 컴퓨터 보안 **

organization 보안 정책에 따라 컴퓨터의 보안을 구성해야 합니다.

더 알아보세요 >



SlackAudit(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

SlackAudit 데이터 커넥터는 REST API를 통해 Slack 감사 로그를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 API 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
SlackAuditV2_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • UserName, SlackAudit API 키 & 작업 유형: 액세스 토큰을 생성하려면 Slack에서 새 애플리케이션을 만든 다음 필요한 범위를 추가하고 리디렉션 URL을 구성합니다. 액세스 토큰, 사용자 이름 및 작업 이름 제한을 생성하는 방법에 대한 자세한 지침은 링크를 참조하세요.

설치 지침:

**SlackAudit를 Microsoft Sentinel 연결

**

SlackAudit에서 Microsoft Sentinel 데이터를 수집하려면 아래 도메인 추가 단추를 클릭한 다음 세부 정보를 입력하고 필요한 정보를 제공하고 연결을 클릭하는 팝업이 표시됩니다. 표에 연결된 사용자 이름, 작업을 볼 수 있습니다.

  • 데이터 커넥터 그리드(포털에서 구성)



Snowflake(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

Snowflake 데이터 커넥터는 Snowflake 로그인 기록 로그, 쿼리 기록 로그, 사용자 부여 로그, 역할 부여 로그, 로드 기록 로그, 구체화된 뷰 새로 고침 기록 로그, 역할 로그, 테이블 로그, 테이블 스토리지 메트릭 로그, 사용자가 Snowflake SQL API를 사용하여 Microsoft Sentinel 로그를 수집하는 기능을 제공합니다. 자세한 내용은 Snowflake SQL API 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
SnowflakeLogin_CL
SnowflakeQuery_CL
SnowflakeUserGrant_CL
SnowflakeRoleGrant_CL
SnowflakeLoad_CL
SnowflakeMaterializedView_CL
SnowflakeRoles_CL
SnowflakeTables_CL
SnowflakeTableStorageMetrics_CL
SnowflakeUsers_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

Snowflake를 Microsoft Sentinel 연결

참고: 데이터가 각 필드에 대해 별도의 열에 표시되도록 하려면 Snowflake() 함수를 사용하여 파서 실행

Snowflake에서 데이터를 수집하려면 다음 리소스를 제공해야 합니다.

  1. 계정 식별자 Snowflake에서 데이터를 수집하려면 Snowflake 계정 식별자가 필요합니다.

  2. 프로그래밍 방식 액세스 토큰 Snowflake에서 데이터를 수집하려면 Snowflake 프로그래밍 방식 액세스 토큰이 필요합니다.

계정 식별자 및 프로그래밍 방식 액세스 토큰을 검색하는 방법에 대한 자세한 지침은 커넥터 자습서를 참조하세요.

  • 데이터 커넥터 그리드(포털에서 구성)



SOC Prime Platform 감사 로그 데이터 커넥터

지원:SOC Prime

SOC Prime Audit Logs 데이터 커넥터를 사용하면 SOC Prime Platform API에서 Microsoft Sentinel 로그를 수집할 수 있습니다. 데이터 커넥터는 Microsoft Sentinel Codeless Connector Framework를 기반으로 합니다. SOC Prime Platform API를 사용하여 SOC Prime 플랫폼 감사 로그를 가져오고 수신된 보안 데이터를 사용자 지정 테이블로 구문 분석하는 DCR 기반 수집 시간 변환 을 지원하므로 성능이 향상됩니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
SOCPrimeAuditLogs_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

SOC Prime Platform API에 대한 구성 단계는 지침에 따라 자격 증명을 가져옵니다. 이 가이드 에 따라 개인 API 키를 생성할 수도 있습니다.

API 키 검색

  1. SOC Prime Platform에 로그인
  2. [계정] 아이콘 -> [플랫폼 설정] -> [API] 클릭
  3. [새 키 추가]를 클릭합니다.
  4. 표시되는 모달에서 키에 의미 있는 이름을 지정하고, 만료 날짜 및 제품 API를 설정하여 키에 대한 액세스를 제공합니다.
  5. [생성]을 클릭합니다.
  6. 키를 복사하여 안전한 장소에 저장합니다. 이 모달을 닫으면 다시 볼 수 없습니다.
  • SOC Prime API 키: (API 키)
  • 연결 사용/사용 안 함



Sonrai 데이터 커넥터

지원 기준:N/A

이 데이터 커넥터를 사용하여 Sonrai Security와 통합하고 Sonrai 티켓을 Microsoft Sentinel 직접 보냅니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Sonrai_Tickets_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

설치 지침:

Sonrai 보안 데이터 커넥터

  1. Sonrai 보안 dashboard 이동합니다.
  2. 왼쪽 아래 패널에서 통합을 클릭합니다.
  3. 사용 가능한 통합 목록에서 Microsoft Sentinel 선택합니다.
  4. 아래에 제공된 정보를 사용하여 양식을 작성합니다.
  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>



Sophos Endpoint Protection(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

Sophos Endpoint Protection 데이터 커넥터는 Sophos 이벤트Sophos 경고를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 Sophos Central 관리 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
SophosEPEvents_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Sophos Endpoint Protection API 액세스: 서비스 주체를 통해 Sophos Endpoint Protection API에 액세스해야 합니다.

설치 지침:

Sophos Endpoint Protection API에 연결하여 Microsoft Sentinel 이벤트 및 경고 로그 수집을 시작합니다.

Sophos 지침에 따라 Sophos API에 액세스할 수 있는 서비스 주체를 만듭니다. 서비스 주체 ReadOnly 역할이 필요합니다. 이러한 지침을 통해 클라이언트 ID, 클라이언트 암호, 테넌트 ID 및 데이터 영역을 가져와야 합니다. 양식 벨로우를 해당 정보로 채웁니다.

  • Sophos 테넌트 ID: (Sophos 테넌트 ID)
  • Sophos 테넌트 데이터 영역: (eu01, eu02, us01, us02 또는 us03)
  • 데이터 커넥터 그리드(포털에서 구성)



Symantec 통합 사이버 방어 교환

지원:Microsoft Corporation

Symantec ICDx 커넥터를 사용하면 Symantec 보안 솔루션 로그를 Microsoft Sentinel 쉽게 연결하여 대시보드를 보고, 사용자 지정 경고를 만들고, 조사를 개선할 수 있습니다. 이렇게 하면 organization 네트워크에 대한 더 많은 인사이트를 제공하고 보안 작업 기능을 개선합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
SymantecICDx_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

설치 지침:

Symantec ICDx 구성 및 연결

  1. ICDx 탐색 모음에서 구성을 클릭합니다.
  2. 구성 화면 위쪽에서 전달자를 클릭하고 Microsoft Sentinel(Log Analytics) 옆에 있는 추가를 클릭합니다.
  3. 열리는 Microsoft Sentinel(Log Analytics) 창에서 고급 표시를 클릭합니다. 고급 기능을 설정하려면 설명서를 참조하세요.
  4. 전달자의 이름을 설정하고 Azure 대상에서 다음 필수 필드를 설정해야 합니다.
  • 작업 영역 ID: Microsoft Sentinel 포털 커넥터 페이지에서 작업 영역 ID를 붙여넣습니다.
  • 기본 키: Microsoft Sentinel 포털 커넥터 페이지에서 기본 키를 붙여넣습니다.
  • 사용자 지정 로그 이름: 이벤트를 전달할 Microsoft Azure Portal Log Analytics 작업 영역에 사용자 지정 로그 이름을 입력합니다. 기본값은 SymantecICDx입니다.
  1. 저장을 클릭하고 전달자를 시작하려면 기타 옵션 > 으로 이동하고 시작을 클릭합니다.
  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>



Synqly Integration Connector

지원자:Synqly

Synqly 커넥터는 Azure 로그 수집 API를 사용하여 Synqly 통합의 보안 이벤트를 Microsoft Sentinel 푸시하는 기능을 제공합니다. 이벤트는 Microsoft Sentinel 분석, 통합 문서 및 헌팅 쿼리에 사용하기 위해 ASIM(고급 보안 정보 모델) 테이블로 자동으로 정규화됩니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
union ASimAuditEventLogs, ASimAuthenticationEventLogs, ASimDhcpEventLogs, ASimDnsActivityLogs, ASimFileEventLogs, ASimNetworkSessionLogs, ASimProcessEventLogs, ASimRegistryEventLogs, ASimUserManagementActivityLogs, ASimWebSessionLogs 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft Entra ID: 앱 등록을 만드는 애플리케이션 개발자 역할(이상)
  • Microsoft Azure: DCR을 배포하고 모니터링 메트릭 게시자 역할을 할당하기 위한 리소스 그룹의 소유자 또는 사용자 액세스 관리자 역할입니다.

설치 지침:

1. ARM 리소스 만들기 및 필요한 권한 제공

이 커넥터를 사용하면 Synqly 통합에서 Microsoft Sentinel 보안 이벤트를 푸시 기반 수집할 수 있습니다. 이벤트는 ASIM(고급 보안 정보 모델) 테이블로 자동으로 정규화됩니다.

커넥터 리소스 배포 "배포"를 클릭하면 데이터를 Microsoft Sentinel 안전하게 보내는 데 필요한 권한이 있는 DCR(데이터 수집 규칙), DCE(데이터 수집 엔드포인트) 및 Entra 애플리케이션이 만들어집니다.

2. 추가 사용 권한 부여(사용 사례 기준)

Microsoft Sentinel 함께 Synqly를 사용하려는 방법에 따라 추가 역할이 필요할 수 있습니다.

싱크 커넥터(쓰기 전용): 추가 권한이 필요하지 않습니다. SIEM 커넥터(읽기/쓰기): Microsoft Sentinel 기여자 할당 Log Analytics 작업 영역의 Azure UI를 통해 Entra 애플리케이션에 대한 역할입니다.

자세한 설정 가이드는 Synqly 설명서를 참조하세요.

3. 작업 영역에 로그 푸시

이러한 매개 변수를 Synqly 통합에 제공합니다. Synqly 서비스는 지원되는 10개의 ASIM 스키마(인증, AuditEvent, Dhcp, Dns, FileEvent, NetworkSession, ProcessEvent, RegistryEvent, UserManagement, WebSession) 중 하나에 대한 이벤트 서식 지정을 포함하여 데이터 수집의 기술 세부 정보를 자동으로 처리합니다.

중요: 지원되지 않는 스키마 형식의 이벤트는 Azure 자동으로 삭제됩니다. 예상 데이터가 표시되지 않는 경우 Synqly 통합 공급자에게 위에 나열된 지원되는 스키마 유형 중 하나를 사용하여 이벤트가 전송되고 있는지 확인합니다.

  • 테넌트 ID(디렉터리 ID): <설치 시 제공되는 변수 값>
  • Entra 앱 등록 애플리케이션 ID: <설치 시 제공되는 변수 값>
  • Entra 앱 등록 비밀: <설치 시 제공되는 변수 값>
  • 데이터 수집 엔드포인트 Uri: <설치 시 제공되는 변수 값>
  • 데이터 수집 규칙 변경할 수 없는 ID: <설치 시 제공되는 변수 값>
  • Stream 이름: <설치 시 제공되는 변수 값>



AMA를 통한 Syslog

지원:Microsoft Corporation

Syslog는 Linux 일반적인 이벤트 로깅 프로토콜입니다. 애플리케이션은 로컬 컴퓨터에 저장되거나 Syslog 수집기에 배달될 수 있는 메시지를 보냅니다. Linux 에이전트가 설치되면 에이전트에 메시지를 전달하도록 로컬 Syslog 디먼을 구성합니다. 그런 다음 에이전트는 메시지를 작업 영역으로 보냅니다.

더 알아보세요 >

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Syslog

데이터 수집 규칙 지원:작업 영역 변환 DCR

TacitRed 손상된 자격 증명

지원:Data443 위험 완화, Inc.

CCF(Common Connector Framework)를 사용하여 TacitRed에서 손상된 자격 증명 결과를 수집합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
TacitRed_Findings_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • TacitRed API 키: Azure Key Vault 저장되거나 배포 시 제공되는 API 키입니다.

설치 지침:

TacitRed 손상된 자격 증명 연결

TacitRed 커넥터를 사용하도록 설정하려면 아래의 API 키를 제공하고 연결을 클릭합니다.

보안 강화를 위해 Key Vault 통합을 사용하도록 설정하여 API 키를 저장하고 검색할 수 있습니다.

  • TacitRed API 키: (TacitRed API 키 입력)
  • 연결 사용/사용 안 함



Talon Insights

지원:Talon 보안

Talon 보안 로그 커넥터를 사용하면 Talon 이벤트 및 감사 로그를 Microsoft Sentinel 쉽게 연결하고, 대시보드를 보고, 사용자 지정 경고를 만들고, 조사를 개선할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Talon_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

설치 지침:

아래 값을 적어 두시고 여기에 있는 지침에 따라 Talon 보안 이벤트 및 감사 로그를 Microsoft Sentinel 연결하세요.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>



Tanium의 CCF 푸시 커넥터

지원:Tanium Inc.

이 데이터는 Microsoft Sentinel 통합 문서 및 플레이북을 피드하므로 분석가는 인시던트 보강, 엔드포인트 위험 및 상태를 시각화하고 조사 및 응답 워크플로를 자동화할 수 있습니다. 타늄에 대한 자세한 내용은 다음으로 이동합니다. https://www.tanium.com/contact-us/

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
TaniumComplyCompliance_CL 아니요 아니요
TaniumComplyVulnerabilities_CL 아니요 아니요
TaniumDefenderHealth_CL 아니요 아니요
TaniumDiscoverUnmanagedAssets_CL 아니요 아니요
TaniumHighUptime_CL 아니요 아니요
TaniumPatchCoverageStatus_CL 아니요 아니요
TaniumPatchListApplicability_CL 아니요 아니요
TaniumPatchListCompliance_CL 아니요 아니요
TaniumSCCMClientHealth_CL 아니요 아니요
TaniumThreatResponse_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft Entra: Microsoft Entra ID 앱 등록을 만들 수 있는 권한입니다.
  • Microsoft Azure: DCR(데이터 수집 규칙)에 대한 모니터링 메트릭 게시자 역할을 할당할 수 있는 권한입니다.

설치 지침:

1. ARM 리소스 만들기 및 필요한 권한 제공

이 커넥터를 사용하면 Tanium Server가 Azure Monitor 수집 API를 통해 기본 인벤토리 데이터를 Microsoft Sentinel 직접 푸시할 수 있습니다.

Entra 애플리케이션을 사용하여 자동화된 구성 및 보안 데이터 수집 "배포"를 클릭하면 Log Analytics 테이블 및 DCR(데이터 수집 규칙)의 생성이 트리거됩니다. 그런 다음, Entra 애플리케이션을 만들고, DCR을 연결하고, 애플리케이션에 입력한 비밀을 설정합니다. 이 설정을 사용하면 Entra 토큰을 사용하여 타늄 데이터를 DCR로 안전하게 보낼 수 있습니다.

2. 타늄 연결 구성

다음 매개 변수를 사용하여 타늄 연결을 구성하여 데이터를 작업 영역으로 푸시합니다.

  • 테넌트 ID(디렉터리 ID): <설치 시 제공되는 변수 값>
  • Entra 앱 등록 애플리케이션 ID: <설치 시 제공되는 변수 값>
  • Entra 앱 등록 비밀: <설치 시 제공되는 변수 값>
  • 데이터 수집 엔드포인트 Uri: <설치 시 제공되는 변수 값>
  • 데이터 수집 규칙 변경할 수 없는 ID: <설치 시 제공되는 변수 값>
  • 준수 결과 로그 Stream 이름: <설치 시 제공되는 변수 값>
  • 준수 취약성 로그 Stream 이름: <설치 시 제공되는 변수 값>
  • Defender 상태 로그 Stream 이름: <설치 시 제공되는 변수 값>
  • 관리되지 않는 자산 상태 로그 Stream 이름 검색: <설치 시 제공되는 변수 값>
  • 높은 작동 시간 로그 Stream 이름: <설치 시 제공되는 변수 값>
  • 패치 검사 상태 로그 Stream 이름: <설치 시 제공되는 변수 값>
  • 패치 목록 적용 가능성 로그 Stream 이름: <설치 시 제공되는 변수 값>
  • 패치 목록 준수 로그 Stream 이름: <설치 시 제공되는 변수 값>
  • SCCM 클라이언트 상태 로그 Stream 이름: <설치 시 제공되는 변수 값>
  • 위협 대응 경고 로그 Stream 이름: <설치 시 제공되는 변수 값>

3. 타늄에서 연결 만들기

Azure 데이터 커넥터를 성공적으로 배포한 후 연결 모듈의 Tanium 서버에 필요한 연결을 만듭니다. 연결 모듈에 대한 자세한 내용은 Tanium 도움말을 참조하세요.

  1. 연결 가져오기 파일을 다운로드합니다.
  2. 자리 표시자를 위에 표시된 매개 변수로 바꿉다.
  3. Tanium 서버에서 연결 모듈을 엽니다.
  4. 가져오기 기능을 사용하여 새 연결을 가져옵니다.



Team Cymru Scout 데이터 커넥터(Azure Functions 사용)

지원:Team Cymru

TeamCymruScout 데이터 커넥터를 사용하면 사용자가 보강을 위해 Microsoft Sentinel Team Cymru Scout IP, 도메인 및 계정 사용 현황 데이터를 가져올 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Cymru_Scout_Domain_Data_CL 아니요 아니요
Cymru_Scout_IP_Data_Foundation_CL 아니요 아니요
Cymru_Scout_IP_Data_Details_CL 아니요 아니요
Cymru_Scout_IP_Data_Communications_CL 아니요 아니요
Cymru_Scout_IP_Data_PDNS_CL 아니요 아니요
Cymru_Scout_IP_Data_Fingerprints_CL 아니요 아니요
Cymru_Scout_IP_Data_OpenPorts_CL 아니요 아니요
Cymru_Scout_IP_Data_x509_CL 아니요 아니요
Cymru_Scout_IP_Data_Summary_Details_CL 아니요 아니요
Cymru_Scout_IP_Data_Summary_PDNS_CL 아니요 아니요
Cymru_Scout_IP_Data_Summary_OpenPorts_CL 아니요 아니요
Cymru_Scout_IP_Data_Summary_Certs_CL 아니요 아니요
Cymru_Scout_IP_Data_Summary_Fingerprints_CL 아니요 아니요
Cymru_Scout_Account_Usage_Data_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • 등록된 애플리케이션에 역할을 할당할 수 있는 권한: Microsoft Entra ID 등록된 애플리케이션에 역할을 할당할 수 있는 권한이 필요합니다.
  • Team Cymru Scout 자격 증명/권한: Team Cymru Scout 계정 자격 증명(사용자 이름, 암호)이 필요합니다.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Team Cymru Scout API에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

1단계 - Team Cymru Scout API 키를 만드는 단계

다음 지침에 따라 Team Cymru Scout API 키를 만듭니다.

  1. 다른 형태의 권한 부여로 사용할 API 키를 생성하려면 API 키 문서를 참조하세요.

2단계 - Microsoft Entra ID 애플리케이션에 대한 앱 등록 단계

이 통합에는 Azure Portal 앱 등록이 필요합니다. 이 섹션의 단계에 따라 Microsoft Entra ID 새 애플리케이션을 만듭니다.

  1. Azure 포털에 로그인합니다.
  2. Microsoft Entra ID 검색하여 선택합니다.
  3. 관리에서 새 등록 앱 등록 > 선택합니다.
  4. 애플리케이션의 표시 이름을 입력합니다.
  5. 등록을 선택하여 초기 앱 등록을 완료합니다.
  6. 등록이 완료되면 Azure Portal 앱 등록의 개요 창이 표시됩니다. 애플리케이션(클라이언트) ID 및 테넌트 ID가 표시됩니다. 클라이언트 ID 및 테넌트 ID는 TeamCymruScout 데이터 커넥터를 실행하기 위한 구성 매개 변수로 필요합니다.

참조 링크:/azure/active-directory/develop/quickstart-register-app

3단계 - Microsoft Entra ID 애플리케이션에 대한 클라이언트 암호 추가

애플리케이션 암호라고도 하는 클라이언트 암호는 TeamCymruScout 데이터 커넥터를 실행하는 데 필요한 문자열 값입니다. 이 섹션의 단계에 따라 새 클라이언트 암호를 만듭니다.

  1. Azure Portal 앱 등록 애플리케이션을 선택합니다.
  2. 인증서 & 비밀 > 클라이언트 비밀 새 클라이언트 비밀을 >선택합니다.
  3. 클라이언트 비밀에 대한 설명을 추가합니다.
  4. 비밀에 대한 만료를 선택하거나 사용자 지정 수명을 지정합니다. 한도는 24개월입니다.
  5. 추가를 선택합니다.
  6. 클라이언트 애플리케이션 코드에서 사용할 비밀 값을 기록합니다. 이 비밀 값은 이 페이지를 떠난 후에 다시는 표시되지 않습니다. 비밀 값은 TeamCymruScout 데이터 커넥터를 실행하기 위한 구성 매개 변수로 필요합니다.

참조 링크:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

4단계 - Microsoft Entra ID 애플리케이션의 개체 ID 가져오기

앱 등록을 만든 후 이 섹션의 단계에 따라 개체 ID를 가져옵니다.

  1. Microsoft Entra ID 이동합니다.
  2. 왼쪽 메뉴에서 엔터프라이즈 애플리케이션 을 선택합니다.
  3. 목록에서 새로 만든 애플리케이션을 찾습니다(제공한 이름으로 검색할 수 있습니다).
  4. 애플리케이션을 클릭합니다.
  5. 개요 페이지에서 개체 ID를 복사합니다. ARM 템플릿 역할 할당에 필요한 AzureEntraObjectId 입니다.

5단계 - Microsoft Entra ID 애플리케이션에 기여자 역할 할당

이 섹션의 단계에 따라 역할을 할당합니다.

  1. Azure Portal 리소스 그룹으로 이동하여 리소스 그룹을 선택합니다.
  2. 왼쪽 패널에서 액세스 제어(IAM) 로 이동합니다.
  3. 추가를 클릭한 다음 역할 할당 추가를 선택합니다.
  4. 역할로 기여자를 선택하고 다음을 클릭합니다.
  5. 에 대한 액세스 할당에서 를 선택합니다User, group, or service principal.
  6. 구성원 추가를 클릭하고 만든 앱 이름을 입력 하고 선택합니다.
  7. 이제 검토 + 할당을 클릭한 다음 검토 + 할당을 다시 클릭합니다.

참조 링크:/azure/role-based-access-control/role-assignments-portal

6단계 - 관심 목록에서 기소자와 함께 csv 업로드

이 섹션의 단계에 따라 관심 목록에 표시기가 포함된 csv를 업로드합니다.

  1. Azure Portal Microsoft Sentinel 이동하여 작업 영역을 선택합니다.
  2. 왼쪽 패널에서 구성 섹션 아래의 관심 목록 으로 이동합니다.
  3. TeamCymruScoutDomainData를 클릭한 다음 업데이트 관심 목록에서 대량 업데이트를 선택합니다.
  4. 파일 입력 업로드에서 도메인 표시기를 사용하여 csv 파일을 업로드하고 다음: 검토+만들기를 클릭합니다.
  5. 유효성 검사가 성공하면 업데이트를 클릭합니다.
  6. 동일한 단계에 따라 IP 표시기용 TeamCymruScoutIPData 관심 목록을 업데이트합니다.

참조 링크:관심 목록 대량 업데이트

7단계 - 커넥터 및 연결된 Azure 함수를 배포하려면 다음 두 가지 배포 옵션 중 하나를 선택합니다.

중요: TeamCymruScout 데이터 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)를 쉽게 사용할 수 있습니다... 뿐만 아니라 TeamCymruScout 자격 증명도 사용할 수 있습니다.

옵션 1 - ARM(Azure Resource Manager) 템플릿

TeamCymruScout 데이터 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 아래 정보를 입력합니다. Location WorkspaceName 함수 이름 TeamCymruScoutBaseURL AuthenticationType 사용자 이름 암호 APIKey IPValues DomainValues APIType AzureClientId AzureClientSecret TenantId AzureEntraObjectId IPTableName DomainTableName AccountUsageTableName Schedule AccountUsageSchedule LogLevel

  4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  5. 구매를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions(Visual Studio Code 통해 배포)를 사용하여 TeamCymruScout 데이터 커넥터를 수동으로 배포합니다.

  1. 함수 앱 배포

참고: Azure 함수 개발을 위해 VS 코드를 준비해야 합니다.

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.

  2. VS Code를 시작합니다. 주 메뉴에서 파일을 선택하고 폴더 열기를 선택합니다.

  3. 추출된 파일에서 최상위 폴더를 선택합니다.

  4. 작업 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 함수에 배포 앱 단추를 선택합니다. 아직 로그인하지 않은 경우 활동 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 로그인을 선택하여 Azure 이미 로그인한 경우 다음 단계로 이동합니다.

  5. 프롬프트에서 다음 정보를 제공합니다.

    a. 폴더 선택: 작업 영역에서 폴더를 선택하거나 함수 앱이 포함된 폴더로 이동합니다.

    b. 구독을 선택합니다. 사용할 구독을 선택합니다.

    c. Azure 새 함수 앱 만들기를 선택합니다(고급 옵션을 선택하지 않음).

    d. 함수 앱의 전역적으로 고유한 이름을 입력합니다 . URL 경로에 유효한 이름을 입력합니다. 입력한 이름은 Azure Functions 고유하도록 유효성을 검사합니다. (예: CymruScoutXXXXX).

    e. 런타임 선택: Python 3.12 이상을 선택합니다.

    f. 새 리소스의 위치를 선택합니다. 성능 향상 및 비용 절감을 위해 Microsoft Sentinel 있는 동일한 지역을 선택합니다.

  6. 배포가 시작됩니다. 함수 앱이 만들어지고 배포 패키지가 적용된 후 알림이 표시됩니다.

  7. 함수 앱 구성에 대한 Azure 포털로 이동합니다.

  8. 함수 앱 구성

  9. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.

  10. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.

  11. 각 값(대/소문자 구분):CymruScoutBaseURL AuthenticationType TeamCymruScoutPassword APIKey IPValues DomainValues APIType AZURE_CLIENT_ID AZURE_CLIENT_SECRET AZURE_TENANT_ID IPTableName DomainTableName AccountUsageTableName Schedule AccountUsageSchedule LogLevel AZURE_DATA_COLLECTION_ENDPOINT AZURE_DATA_COLLECTION_RULE_ID_MAIN_TABLES AZURE_DATA_COLLECTION_RULE_ID_SUB_TABLES

  12. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



테넌블 ID 노출

지원자:Tenable

Tenable Identity Exposure 커넥터를 사용하면 노출 지표, 공격 지표 및 후행 흐름 로그를 Microsoft Sentinel 수집할 수 있습니다. 다양한 작업 설명서 및 데이터 파서를 사용하면 로그를 보다 쉽게 조작하고 Active Directory 환경을 모니터링할 수 있습니다. 분석 템플릿을 사용하면 다양한 이벤트, 노출 및 공격에 대한 응답을 자동화할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Tenable_IE_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • TenableIE 구성에 대한 액세스: syslog 경고 엔진을 구성할 수 있는 권한

설치 지침:

이 데이터 커넥터는 kusto 함수를 기반으로 afad_parser 따라 Microsoft Sentinel 솔루션과 함께 배포되는 예상대로 작동합니다.

1. Syslog 서버 구성

먼저 TenableIE에서 로그를 보낼 Linux Syslog 서버가 필요합니다. 일반적으로 Ubuntu에서 rsyslog를 실행할 수 있습니다. 그런 다음 원하는 대로 이 서버를 구성할 수 있지만 별도의 파일에 TenableIE 로그를 출력할 수 있도록 하는 것이 좋습니다.

TenableIE IP 주소의 로그를 허용하도록 rsyslog를 구성합니다. 다음 옵션 중 하나를 선택합니다.

옵션 1: AllowedSender 지시문 사용

이 구성은 네트워크 수준에서 syslog 서버에 로그를 보낼 수 있는 호스트를 제한합니다. 이를 처리하기 전에 무단 연결을 거부하기 때문에 더 안전합니다.

  1. 구성 파일 다운로드: 80-tenable-allowedsender.conf
  2. sudo 모드에서 실행: sudo -i
  3. TenableIE IP 주소를 설정합니다. export TENABLE_IE_IP={Enter your IP address}
  4. 다운로드한 구성 파일에서 명령 실행
  5. rsyslog를 다시 시작합니다. systemctl restart rsyslog

옵션 2: 원본 IP로 로그 필터링(여러 syslog 원본이 있는 환경의 경우)

이 구성은 들어오는 모든 로그를 허용하지만 지정된 TenableIE IP 주소의 로그만 처리합니다. 동일한 syslog 서버에 로그를 보내는 여러 syslog 서버 또는 애플리케이션이 있고 TenableIE 로그만 선택적으로 처리하려는 경우에 특히 유용합니다.

  1. 구성 파일 다운로드: 80-tenable-filter.conf
  2. sudo 모드에서 실행: sudo -i
  3. TenableIE IP 주소를 설정합니다. export TENABLE_IE_IP={Enter your IP address}
  4. 다운로드한 구성 파일에서 명령 실행
  5. rsyslog를 다시 시작합니다. systemctl restart rsyslog

2. Linux Microsoft 에이전트 설치 및 온보딩

OMS 에이전트는 TenableIE syslog 이벤트를 수신하고 Microsoft Sentinel 에 게시합니다.

에이전트를 설치할 위치를 선택합니다.

Azure Linux Virtual Machine에 에이전트 설치

에이전트를 설치할 컴퓨터를 선택한 다음 연결을 클릭합니다.

  • 에이전트 설치: <설치 시 제공되는 변수 값>

비 Azure Linux 컴퓨터에 에이전트 설치

관련 컴퓨터에서 에이전트를 다운로드하고 지침을 따릅니다.

  • 에이전트 설치: <설치 시 제공되는 변수 값>

3. Syslog 서버에서 에이전트 로그 확인

tail -f /var/opt/microsoft/omsagent/log/omsagent.log

4. Syslog 서버에 로그를 보내도록 TenableIE 구성

TenableIE 포털에서 시스템, 구성, Syslog로 이동합니다. 여기에서 Syslog 서버에 대한 새 Syslog 경고를 만들 수 있습니다.

이 작업이 완료되면 로그가 서버에 별도의 파일로 올바르게 수집되었는지 검사.(이렇게 하려면 TenableIE의 Syslog 경고 구성에서 구성 테스트 단추를 사용할 수 있습니다). 빠른 시작 템플릿을 사용한 경우 Syslog 서버는 기본적으로 TLS 없이 UDP의 포트 514 및 TCP의 1514에서 수신 대기합니다.

참고: 1단계의 두 구성 옵션은 모두 UDP 및 TCP 연결 모두에 대해 포트 514에서 수신 대기하도록 syslog 서버를 구성합니다.

5. 사용자 지정 로그 구성

로그를 수집하도록 에이전트를 구성합니다.

  1. Microsoft Sentinel 구성 - 설정 -> 작업 영역 설정 ->> 사용자 지정 로그로 이동합니다.
  2. 사용자 지정 로그 추가를 클릭합니다.
  3. Syslog 서버를 실행하는 Linux 컴퓨터에서 샘플 TenableIE.log Syslog 파일을 업로드하고 다음을 클릭합니다.
  4. 레코드 구분 기호를 새 줄로 설정합니다( 아직 대/소문자가 없는 경우). 다음을 클릭합니다.
  5. Linux 선택하고 Syslog 파일의 파일 경로를 입력하고 + 다음을 클릭합니다. 파일의 기본 위치는 /var/log/TenableIE.log Tenable 버전 <3.1.0이 있는 경우 이 Linux 파일 위치 /var/log/AlsidForAD.log도 추가해야 합니다.
  6. 이름을Tenable_IE_CL 설정합니다(Azure 이름 끝에 _CL 자동으로 추가합니다. 이름이 Tenable_IE_CL_CL 않는지 확인하려면 하나만 있어야 합니다).
  7. 다음을 클릭하면 이력서가 표시되고 만들기를 클릭합니다.

6. 즐기세요!

이제 Tenable_IE_CL 테이블에서 로그를 받을 수 있어야 하며, 모든 쿼리 샘플, 통합 문서 및 분석 템플릿에서 사용하는 afad_parser() 함수를 사용하여 로그 데이터를 구문 분석할 수 있습니다.



Tenable Vulnerability Management(Azure Functions 사용)

지원자:Tenable

TVM 데이터 커넥터는 TVM REST API를 사용하여 자산, 취약성, 규정 준수, WAS 자산 및 WAS 취약성 데이터를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 API 설명서를 참조하세요. 커넥터는 잠재적인 보안 위험을 검사하고, 컴퓨팅 자산에 대한 인사이트를 얻고, 구성 문제를 진단하는 데 도움이 되는 데이터를 가져오는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Tenable_VM_Asset_CL
Tenable_VM_Vuln_CL
Tenable_VM_Compliance_CL
Tenable_WAS_Asset_CL
Tenable_WAS_Vuln_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • REST API 자격 증명/권한: Tenable REST API에 액세스하려면 TenableAccessKeyTenableSecretKey 가 모두 필요합니다. 자세한 내용은 API를 참조하세요. 모든 요구 사항을 확인하고 자격 증명을 얻기 위한 지침을 따릅니다.

설치 지침:

참고: 이 커넥터는 Azure Durable Functions 사용하여 TenableVM API에 연결하여 정기적으로 자산, 취약성규정 준수(선택한 경우)를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

참고: 이 데이터 커넥터는 취약성에 대한 TenableVM 파서 및 Kusto 함수를 기반으로 하는 자산에 대한 TenableVM 파서가 Microsoft Sentinel 솔루션과 함께 배포되는 예상대로 작동하도록 합니다.

1단계 - TenableVM에 대한 구성 단계

지침에 따라 필요한 API 자격 증명을 가져옵니다.

2단계 - Microsoft Entra ID 애플리케이션에 대한 앱 등록 단계

이 통합에는 Azure Portal 앱 등록이 필요합니다. 이 섹션의 단계에 따라 Microsoft Entra ID 새 애플리케이션을 만듭니다.

  1. Azure 포털에 로그인합니다.
  2. Microsoft Entra ID 검색하여 선택합니다.
  3. 관리에서 새 등록 앱 등록 > 선택합니다.
  4. 애플리케이션의 표시 이름을 입력합니다.
  5. 등록을 선택하여 초기 앱 등록을 완료합니다.
  6. 등록이 완료되면 Azure Portal 앱 등록의 개요 창이 표시됩니다. 애플리케이션(클라이언트) ID 및 테넌트 ID가 표시됩니다. 클라이언트 ID 및 테넌트 ID는 TenableVM 데이터 커넥터 실행을 위한 구성 매개 변수로 필요합니다.

참조 링크:/azure/active-directory/develop/quickstart-register-app

3단계 - Microsoft Entra ID 애플리케이션에 대한 클라이언트 암호 추가

애플리케이션 암호라고도 하는 클라이언트 암호는 TenableVM 데이터 커넥터를 실행하는 데 필요한 문자열 값입니다. 이 섹션의 단계에 따라 새 클라이언트 암호를 만듭니다.

  1. Azure Portal 앱 등록 애플리케이션을 선택합니다.
  2. 인증서 & 비밀 > 클라이언트 비밀 새 클라이언트 비밀을 >선택합니다.
  3. 클라이언트 비밀에 대한 설명을 추가합니다.
  4. 비밀에 대한 만료를 선택하거나 사용자 지정 수명을 지정합니다. 한도는 24개월입니다.
  5. 추가를 선택합니다.
  6. 클라이언트 애플리케이션 코드에서 사용할 비밀 값을 기록합니다. 이 비밀 값은 이 페이지를 떠난 후에 다시는 표시되지 않습니다. 비밀 값은 TenableVM Data Connector를 실행하기 위한 구성 매개 변수로 필요합니다.

참조 링크:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

4단계 - Microsoft Entra ID 애플리케이션의 개체 ID 가져오기

앱 등록을 만든 후 이 섹션의 단계에 따라 개체 ID를 가져옵니다.

  1. Microsoft Entra ID 이동합니다.
  2. 왼쪽 메뉴에서 엔터프라이즈 애플리케이션 을 선택합니다.
  3. 목록에서 새로 만든 애플리케이션을 찾습니다(제공한 이름으로 검색할 수 있습니다).
  4. 애플리케이션을 클릭합니다.
  5. 개요 페이지에서 개체 ID를 복사합니다. ARM 템플릿 역할 할당에 필요한 AzureEntraObjectId 입니다.

5단계 - 커넥터 및 연결된 Azure 함수 앱을 배포하려면 다음 두 가지 배포 옵션 중 하나를 선택합니다.

옵션 1 - ARM(Azure Resource Manager) 템플릿

ARM 템플릿을 사용하여 TenableVM 취약성 관리 보고서 데이터 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.msaka.ms

  2. 기본 구독, 리소스 그룹, FunctionApp 이름 및 위치를 선택합니다.

  3. 아래 정보를 입력합니다.

    a. WorkspaceName - 로그 분석 작업 영역의 작업 영역 이름을 입력합니다.

    b. TenableAccessKey - Tenable API를 사용하기 위한 액세스 키를 입력합니다.

    c. TenableSecretKey - 인증을 위해 Tenable Secret Key를 입력합니다.

    d. AzureClientID - Azure 클라이언트 ID를 입력합니다.

    e. AzureClientSecret - Azure 클라이언트 비밀을 입력합니다.

    f. TenantID - 위의 단계에서 얻은 테넌트 ID를 입력합니다.

    g. AzureEntraObjectId - 위의 단계에서 얻은 Azure 개체 ID를 입력합니다.

    h. LowestSeveritytoStore - 저장할 가장 낮은 취약성 심각도입니다. 허용되는 값: 정보, 낮음, 중간, 높음, 중요. 기본값은 정보입니다.

    i. ComplianceDataIngestion - Tenable VM에서 준수 데이터 수집을 사용하도록 설정하려면 true를 선택합니다. 기본값은 false입니다.

    j. WASAssetDataIngestion - Tenable VM에서 WAS 자산 데이터 수집을 사용하도록 설정하려면 true를 선택합니다. 기본값은 false입니다.

    k. WASVulnerabilityDataIngestion - Tenable VM에서 WAS 취약성 데이터 수집을 사용하도록 설정하려면 true를 선택합니다. 기본값은 false입니다.

    L. LowestSeveritytoStoreWAS - WAS에 저장할 가장 낮은 취약성 심각도입니다. 허용되는 값: 정보, 낮음, 중간, 높음, 중요. 기본값은 정보입니다.

    M. TenableExportScheduleInMinutes - Tenable VM에서 새 내보내기 작업을 만들도록 분 단위로 예약합니다. 기본값은 1440입니다.

    N. AssetTableName - Asset Data 로그를 저장하는 데 사용되는 테이블의 이름을 입력합니다.

    O. VulnTableName - 취약성 데이터 로그를 저장하는 데 사용되는 테이블의 이름을 입력합니다.

    P. ComplianceTableName - 준수 데이터 로그를 저장하는 데 사용되는 테이블의 이름을 입력합니다.

    Q. WASAssetTableName - WAS 자산 데이터 로그를 저장하는 데 사용되는 테이블의 이름을 입력합니다.

    R. WASVulnTableName - WAS 취약성 데이터 로그를 저장하는 데 사용되는 테이블의 이름을 입력합니다.

  4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  5. 구매를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions(Visual Studio Code 통해 배포)를 사용하여 TenableVM 취약성 관리 보고서 데이터 커넥터를 수동으로 배포합니다.

  1. 함수 앱 배포

참고: Azure 함수 개발을 위해 VS 코드를 준비해야 합니다.

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.

  2. VS Code를 시작합니다. 주 메뉴에서 파일을 선택하고 폴더 열기를 선택합니다.

  3. 추출된 파일에서 최상위 폴더를 선택합니다.

  4. 작업 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 함수에 배포 앱 단추를 선택합니다. 아직 로그인하지 않은 경우 활동 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 로그인을 선택하여 Azure 이미 로그인한 경우 다음 단계로 이동합니다.

  5. 프롬프트에서 다음 정보를 제공합니다.

    a. 폴더 선택: 작업 영역에서 폴더를 선택하거나 함수 앱이 포함된 폴더로 이동합니다.

    b. 구독을 선택합니다. 사용할 구독을 선택합니다.

    c. Azure 새 함수 앱 만들기를 선택합니다(고급 옵션을 선택하지 않음).

    d. 함수 앱의 전역적으로 고유한 이름을 입력합니다 . URL 경로에 유효한 이름을 입력합니다. 입력한 이름은 Azure Functions 고유하도록 유효성을 검사합니다. (예: TenableVMXXXXX).

    e. 런타임 선택: Python 3.12를 선택합니다.

    f. 새 리소스의 위치를 선택합니다. 성능 향상 및 비용 절감을 위해 Microsoft Sentinel 있는 동일한 지역을 선택합니다.

  6. 배포가 시작됩니다. 함수 앱이 만들어지고 배포 패키지가 적용된 후 알림이 표시됩니다.

  7. 함수 앱 구성에 대한 Azure 포털로 이동합니다.

  8. 함수 앱 구성

  9. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.

  10. 애플리케이션 설정 탭에서 새 애플리케이션 설정을 선택합니다.

  11. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다.

    a. WorkspaceName - 로그 분석 작업 영역의 작업 영역 이름을 입력합니다.

    b. TenableAccessKey - Tenable API를 사용하기 위한 액세스 키를 입력합니다.

    c. TenableSecretKey - 인증을 위해 Tenable Secret Key를 입력합니다.

    d. AzureClientID - Azure 클라이언트 ID를 입력합니다.

    e. AzureClientSecret - Azure 클라이언트 비밀을 입력합니다.

    f. TenantID - 위의 단계에서 얻은 테넌트 ID를 입력합니다.

    g. AzureEntraObjectId - 위의 단계에서 얻은 Azure 개체 ID를 입력합니다.

    h. LowestSeveritytoStore - 저장할 가장 낮은 취약성 심각도입니다. 허용되는 값: 정보, 낮음, 중간, 높음, 중요. 기본값은 정보입니다.

    i. ComplianceDataIngestion - Tenable VM에서 준수 데이터 수집을 사용하도록 설정하려면 true를 선택합니다. 기본값은 false입니다.

    j. WASAssetDataIngestion - Tenable VM에서 WAS 자산 데이터 수집을 사용하도록 설정하려면 true를 선택합니다. 기본값은 false입니다.

    k. WASVulnerabilityDataIngestion - Tenable VM에서 WAS 취약성 데이터 수집을 사용하도록 설정하려면 true를 선택합니다. 기본값은 false입니다.

    L. LowestSeveritytoStoreWAS - WAS에 저장할 가장 낮은 취약성 심각도입니다. 허용되는 값: 정보, 낮음, 중간, 높음, 중요. 기본값은 정보입니다.

    M. TenableExportScheduleInMinutes - Tenable VM에서 새 내보내기 작업을 만들도록 분 단위로 예약합니다. 기본값은 1440입니다.

    N. AssetTableName - Asset Data 로그를 저장하는 데 사용되는 테이블의 이름을 입력합니다.

    O. VulnTableName - 취약성 데이터 로그를 저장하는 데 사용되는 테이블의 이름을 입력합니다.

    P. ComplianceTableName - 준수 데이터 로그를 저장하는 데 사용되는 테이블의 이름을 입력합니다.

    Q. WASAssetTableName - WAS 자산 데이터 로그를 저장하는 데 사용되는 테이블의 이름을 입력합니다.

    R. WASVulnTableName - WAS 취약성 데이터 로그를 저장하는 데 사용되는 테이블의 이름을 입력합니다.

    s. PyTenableUAVendor - 값을 Microsoft로 설정해야 합니다.

    T. PyTenableUAProduct - 값을 Microsoft Sentinel 설정해야 합니다.

    U. PyTenableUABuild - 값을 3.1.0으로 설정해야 합니다.

  12. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



클라우드용 테넌트 기반 Microsoft Defender

지원:Microsoft Corporation

클라우드용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 워크로드에서 위협을 감지하고 신속하게 대응할 수 있는 보안 관리 도구입니다. 이 커넥터를 사용하면 Microsoft 365 Defender의 MDC 보안 경고를 Microsoft Sentinel 스트리밍할 수 있으므로 클라우드 리소스, 디바이스 및 ID에 걸쳐 점을 연결하는 XDR 상관 관계의 이점을 활용하고 통합 문서, 쿼리 및 인시던트의 데이터를 보고 조사할 수 있습니다. 자세한 내용은 Microsoft Sentinel 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
SecurityAlert

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

클라우드용 테넌트 기반 Microsoft Defender 연결 Microsoft Sentinel

이 커넥터를 연결한 후 클라우드 구독에 대한 모든 Microsoft Defender 이 Microsoft Sentinel 작업 영역으로 전송됩니다.

클라우드용 Microsoft Defender 경고는 Microsoft 365 Defender를 통해 스트림에 연결됩니다. 경고를 인시던트에 자동으로 그룹화하면 도움이 되도록 Microsoft 365 Defender 인시던트 커넥터를 연결합니다. 인시던트 큐에서 인시던트 볼 수 있습니다.



TheHive(Codeless Connector Framework를 통해)

지원:Microsoft Corporation

TheHive 데이터 커넥터는 REST API를 통해 TheHive 보안 인시던트 대응 플랫폼 데이터를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 API 설명서를 참조하세요. 커넥터는 TheHive에서 사례, 작업 및 경고를 가져와서 Microsoft Sentinel 시각화하는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
TheHiveData 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • TheHive API 액세스: TheHive API 버전 4 이상 액세스는 TheHive API에 필요합니다.

설치 지침:

1. 구성

지침에 따라 TheHive 커넥터를 구성합니다.

  • 기본 URL: (TheHive instance 기본 URL(예: https://thehive.example.com)) TheHive 사용자 프로필 설정에서 API 키를 가져옵니다. (또는 이 목적을 위해 만든 전용 사용자)

  • API 키: (TheHive API의 API 키)

2. 연결

TheHive 커넥터를 사용하도록 설정합니다.

  • 연결 사용/사용 안 함



Theom

지원자:Theom

Theom Data Connector를 사용하면 조직에서 Theom 환경을 Microsoft Sentinel 연결할 수 있습니다. 이 솔루션을 사용하면 사용자가 데이터 보안 위험에 대한 경고를 수신하고, 인시던트 생성 및 보강, 통계 검사 Microsoft Sentinel SOAR 플레이북 트리거

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
TheomAlerts_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

설치 지침:

  1. Theom UI 콘솔의 사이드바에서 관리 -> 경고를 클릭합니다.
  2. Sentinel 탭을 선택합니다.
  3. 활성 단추를 클릭하여 구성을 사용하도록 설정합니다.
  4. 키를 로 입력 Primary 합니다. Authorization Token
  5. 다음으로 입력 Endpoint URLhttps://<Workspace ID>.ods.opinsights.azure.com/api/logs?api-version=2016-04-01
  6. 클릭 SAVE SETTINGS
  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>



위협 인텔리전스 - TAXII

지원:Microsoft Corporation

Microsoft Sentinel TAXII 2.0 및 2.1 데이터 원본과 통합되어 위협 인텔리전스를 사용하여 모니터링, 경고 및 헌팅을 가능하게 합니다. 이 커넥터를 사용하여 TAXII 서버에서 Microsoft Sentinel 지원되는 STIX 개체 형식을 보냅니다. 위협 지표에는 IP 주소, 도메인, URL 및 파일 해시가 포함될 수 있습니다. 자세한 내용은 Microsoft Sentinel 설명서를 참조하세요>.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ThreatIntelligenceIndicator 아니요

데이터 수집 규칙 지원:작업 영역 변환 DCR

위협 인텔리전스 플랫폼

지원:Microsoft Corporation

Microsoft Sentinel Microsoft Graph 보안 API 데이터 원본과 통합되어 위협 인텔리전스를 사용하여 모니터링, 경고 및 헌팅을 사용하도록 설정합니다. 이 커넥터를 사용하여 THREAT Connect, Palo Alto Networks MindMeld, MISP 또는 기타 통합 애플리케이션과 같은 TIP(위협 인텔리전스 플랫폼)에서 Microsoft Sentinel 위협 지표를 보냅니다. 위협 지표에는 IP 주소, 도메인, URL 및 파일 해시가 포함될 수 있습니다. 자세한 내용은 Microsoft Sentinel 설명서를 참조하세요>.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ThreatIntelligenceIndicator 아니요

데이터 수집 규칙 지원:작업 영역 변환 DCR

위협 인텔리전스 업로드 API(미리 보기)

지원:Microsoft Corporation

Microsoft Sentinel Threat Connect, Palo Alto Networks MineMeld, MISP 또는 기타 통합 애플리케이션과 같은 TIP(위협 인텔리전스 플랫폼)에서 위협 인텔리전스를 가져오는 데이터 평면 API를 제공합니다. 위협 지표에는 IP 주소, 도메인, URL, 파일 해시 및 이메일 주소가 포함될 수 있습니다. 자세한 내용은 Microsoft Sentinel 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ThreatIntelligenceIndicator 아니요

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

**다음 중 하나를 사용하여 위협 인텔리전스 데이터 원본을 Microsoft Sentinel 연결할 수 있습니다. **

Threat Connect, Palo Alto Networks MineMeld, MISP 등과 같은 TIP(통합 위협 인텔리전스 플랫폼)을 사용합니다.

다른 애플리케이션에서 직접 Microsoft Sentinel 데이터 평면 API를 호출합니다.

  • 참고: 데이터가 API 호출을 수행하여 수집되므로 커넥터의 '상태'가 여기에 '연결됨'으로 표시되지 않습니다.

**다음 단계에 따라 위협 인텔리전스에 연결합니다. **

1. 액세스 토큰 Microsoft Entra ID 가져오기

API에 요청을 보내려면 Microsoft Entra ID 액세스 토큰을 획득해야 합니다. 다음 페이지의 지침을 따를 수 있습니다. /azure/databricks/dev-tools/api/latest/aad/app-aad-token#get-an-azure-ad-access-token

  • 참고: scope 값으로 Microsoft Entra ID 액세스 토큰을 요청하세요. [variables('managementUri')]

2. STIX 개체를 Sentinel 보내기

Upload API를 호출하여 지원되는 STIX 개체 형식을 보낼 수 있습니다. API에 대한 자세한 내용은 여기를 클릭 하세요.

HTTP 메서드: POST

엔드포인트: https://api.ti.sentinel.azure.com/workspaces/[WorkspaceID]/threatintelligence-stix-objects:upload?api-version=2024-02-01-preview

WorkspaceID: STIX 개체가 업로드되는 작업 영역입니다.

헤더 값 1: "권한 부여" = "전달자 [1단계에서 Microsoft Entra ID 액세스 토큰]"

헤더 값 2: "Content-Type" = "application/json"

본문: 본문은 STIX 개체의 배열을 포함하는 JSON 개체입니다.



보안 커넥터 전송(Azure Functions 사용)

지원:보안 전송

[전송 보안] 데이터 커넥터는 REST API를 통해 일반적인 전송 보안 API 이벤트를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 API 설명서를 참조하세요. 커넥터를 사용하면 이벤트 검색을 통해 잠재적인 보안 위험을 평가하고, 공동 작업을 모니터링하고, 구성 문제를 진단하고 해결할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
TransmitSecurityActivity_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • REST API 클라이언트 ID: TransmitSecurityClientID 가 필요합니다. 의 API https://developer.transmitsecurity.com/에 대한 자세한 내용은 설명서를 참조하세요.
  • REST API 클라이언트 암호: TransmitSecurityClientSecret 이 필요합니다. 의 API https://developer.transmitsecurity.com/에 대한 자세한 내용은 설명서를 참조하세요.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 전송 보안 API 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

1단계 - 전송 보안 API 대한 구성 단계

지침에 따라 자격 증명을 가져옵니다.

  1. 전송 보안 포털에 로그인합니다.
  2. 관리 앱을 구성합니다. 앱에 적합한 이름(예: MyAzureSentinelCollector)을 지정합니다.
  3. 데이터 커넥터에서 사용할 새 사용자의 자격 증명을 저장합니다.

2단계 - 커넥터 및 연결된 Azure 함수를 배포하려면 다음 두 가지 배포 옵션 중 하나를 선택합니다.

중요: 전송 보안 데이터 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키를 갖습니다(다음에서 복사할 수 있음).

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

옵션 1 - ARM(Azure Resource Manager) 템플릿

ARM 템플릿을 사용하여 전송 보안 데이터 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.msaka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

참고: 동일한 리소스 그룹 내에서는 Windows 및 Linux 앱을 동일한 지역에 혼합할 수 없습니다. Windows 앱이 없는 기존 리소스 그룹을 선택하거나 새 리소스 그룹을 만듭니다.

  1. TransmitSecurityClientID, TransmitSecurityClientSecret, TransmitSecurityPullEndpoint, TransmitSecurityTokenEndpoint를 입력하고 배포합니다.

  2. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  3. 구매를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions 사용하여 전송 보안 데이터 커넥터를 수동으로 배포합니다(Visual Studio Code 통해 배포).

  1. 함수 앱 배포

참고: Azure 함수 개발을 위해 VS Code를 준비해야 합니다.

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.

  2. VS Code를 시작합니다. 주 메뉴에서 파일을 선택하고 폴더 열기를 선택합니다.

  3. 추출된 파일에서 최상위 폴더를 선택합니다.

  4. 작업 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 함수에 배포 앱 단추를 선택합니다.

    아직 로그인하지 않은 경우 활동 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 로그인을 선택하여 Azure.

    이미 로그인한 경우 다음 단계로 이동합니다.

  5. 프롬프트에서 다음 정보를 제공합니다.

    a. 폴더 선택: 작업 영역에서 폴더를 선택하거나 함수 앱이 포함된 폴더로 이동합니다.

    b. 구독을 선택합니다. 사용할 구독을 선택합니다.

    c. Azure 새 함수 앱 만들기를 선택합니다(고급 옵션을 선택하지 않음).

    d. 함수 앱의 전역적으로 고유한 이름을 입력합니다 . URL 경로에 유효한 이름을 입력합니다. 입력한 이름은 Azure Functions 고유하도록 유효성을 검사합니다.

    e. 런타임 선택: Python 3.11을 선택합니다.

    f. 새 리소스의 위치를 선택합니다. 성능 향상 및 비용 절감을 위해 Microsoft Sentinel 있는 동일한 지역을 선택합니다.

  6. 배포가 시작됩니다. 함수 앱이 만들어지고 배포 패키지가 적용된 후 알림이 표시됩니다.

  7. 함수 앱 구성에 대한 Azure 포털로 이동합니다.

  8. 함수 앱 구성

  9. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.

  10. 환경 변수를 선택합니다.

  11. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다.

    • TransmitSecurityClientID
    • TransmitSecurityClientSecret
    • TransmitSecurityPullEndpoint
    • TransmitSecurityTokenEndpoint
    • WorkspaceID
    • WorkspaceKey
    • logAnalyticsUri (선택 사항)
  • logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 값을 형식https://<CustomerId>.ods.opinsights.azure.us으로 지정합니다.
  1. 모든 애플리케이션 설정이 입력되면 적용을 클릭합니다.



Trellix 엔드포인트 보안(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

Trellix Endpoint Security 데이터 커넥터를 사용하면 Trellix ePO(ePolicy Orchestrator)에서 Microsoft Sentinel 보안 이벤트를 수집할 수 있습니다. 이 커넥터는 OAuth2 클라이언트 자격 증명 인증을 사용하고 자동으로 페이지 매김을 처리하여 위협 탐지, 분석기 정보, 원본 및 대상 시스템 세부 정보 및 위협 대응 작업을 비롯한 포괄적인 엔드포인트 보안 데이터를 수집합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
TrellixEvents 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

설치 지침:

1. API 구성

Trellix ePO API 연결을 구성합니다.

인증을 위해 API 키를 제공합니다. x-api-key 헤더로 전송됩니다.

  • API 키: (API 키 입력)

참고: API 키는 Trellix ePO API를 사용하여 안전하게 저장되고 인증에 사용됩니다.

2. 인증 구성

OAuth2 인증 자격 증명을 구성합니다.

참고: OAuth2 인증은 API 엔드포인트에 대한 보안 액세스를 제공합니다.

3. 커넥터 사용

Trellix 엔드포인트 보안 커넥터 활성화

커넥터 활성화

구성을 검토하고 커넥터에서 보안 이벤트 수집을 시작할 수 있도록 합니다.

  • 연결 후 연결 사용/사용 안 함

연결한 후 데이터 커넥터 페이지에서 커넥터 상태 모니터링합니다. 데이터는 5-10분 이내에 표시되기 시작해야 합니다.



추세 Vision One(Azure Functions 사용)

지원:추세 Micro

추세 Vision One 커넥터를 사용하면 Workbench 경고 데이터를 Microsoft Sentinel 쉽게 연결하여 대시보드를 보고, 사용자 지정 경고를 만들고, 모니터링 및 조사 기능을 개선할 수 있습니다. 이렇게 하면 organization 네트워크/시스템에 대한 더 많은 인사이트를 제공하고 보안 작업 기능을 개선합니다.

추세 Vision One 커넥터는 Microsoft Sentinel 오스트레일리아 동부, 오스트레일리아 남동부, 브라질 남부, 캐나다 중부, 캐나다 동부, 인도 중부, 미국 중부, 동아시아, 미국 동부, 미국 동부 2, 프랑스 중부, 일본 동부, 한국 중부, 미국 중북부, 북유럽, 노르웨이 동부, 남아프리카 공화국 북부, 미국 중남부, 동남 아시아, 스웨덴 중부, 스위스 북부, 스위스 북부, UAE 북부, 영국 남부, 영국 서부, 서유럽, 미국 서부, 미국 서부 2, 미국 서부 3.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
TrendMicro_XDR_WORKBENCH_CL 아니요 아니요
TrendMicro_XDR_RCA_Task_CL 아니요 아니요
TrendMicro_XDR_RCA_Result_CL 아니요 아니요
TrendMicro_XDR_OAT_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • 추세 Vision One API 토큰: 추세 Vision One API 토큰이 필요합니다. 추세 Vision One API에 대한 자세한 내용은 설명서를 참조하세요.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 추세 Vision One API에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

1단계 - 추세 Vision One API에 대한 구성 단계

다음 지침에 따라 계정 및 API 인증 토큰을 만듭니다.

2단계 - 아래 배포 옵션을 사용하여 커넥터 및 연결된 Azure 함수 배포

중요: 추세 Vision One 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)와 추세 Vision One API 권한 부여 토큰을 쉽게 사용할 수 있습니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

ARM(Azure Resource Manager) 템플릿 배포

이 메서드는 ARM Tempate를 사용하여 추세 Vision One 커넥터의 자동화된 배포를 제공합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 고유한 함수 이름, 작업 영역 ID, 작업 영역 키, API 토큰 및 지역 코드를 입력합니다.

  • 참고: 추세 Vision One instance 배포되는 위치에 따라 적절한 지역 코드를 제공합니다. us, eu, au, in, sg, jp
  • 참고: 위의 값에 Azure Key Vault 비밀을 사용하는 경우 문자열 값 대신 스키마를 사용합니다@Microsoft.KeyVault(SecretUri={Security Identifier}). 자세한 내용은 Key Vault 참조 설명서를 참조하세요.
  1. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.
  2. 구매를 클릭하여 배포합니다.



Tropico 보안 - 경고

지원:TROPICO 보안

Tropico Security Platform의 보안 경고를 OCSF 보안 검색 형식으로 수집합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
{{graphQueriesTableName}} 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

설치 지침:

Tropico 보안 플랫폼 연결

Tropico 설정에서 읽기 전용 API 키를 입력합니다.

  • API 키: (trop_xxxx...)
  • 연결 사용/사용 안 함



Tropico 보안 - 이벤트

지원:TROPICO 보안

Tropico Security Platform의 보안 이벤트를 OCSF 보안 검색 형식으로 수집합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
{{graphQueriesTableName}} 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

설치 지침:

Tropico 보안 플랫폼 연결

Tropico 설정에서 읽기 전용 API 키를 입력합니다.

  • API 키: (trop_xxxx...)
  • 연결 사용/사용 안 함



Tropico 보안 - 인시던트

지원:TROPICO 보안

Tropico Security Platform에서 공격자 세션 인시던트 수집

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
{{graphQueriesTableName}} 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

설치 지침:

Tropico 보안 플랫폼 연결

Tropico 설정에서 읽기 전용 API 키를 입력합니다.

  • API 키: (trop_xxxx...)
  • 연결 사용/사용 안 함



업윈드 로그 로더(수집 API)

지원:Upwind

Upwind Logs Loader 데이터 커넥터는 Azure 함수 및 DCE/DCR(Azure Monitor 수집 API)을 사용하여 Upwind 클라우드 보안 플랫폼에서 Microsoft Sentinel 사용자 지정 테이블로 컴퓨팅 플랫폼 자산을 수집합니다.

Upwind는 클라우드 상태와 라이브 워크로드 컨텍스트의 상관 관계를 지정하는 런타임 기반 클라우드 보안을 제공합니다. 이 커넥터는 AWS, GCP 및 Azure 걸쳐 컴퓨팅 플랫폼 자산인 Upwind 인벤토리를 상관 관계, 헌팅 및 인시던트 보강을 위해 Microsoft Sentinel 직접 노출합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
UpwindLogsAssets_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • Upwind API 자격 증명: Upwind API 클라이언트 ID 및 클라이언트 암호가 필요합니다. 설정 → API 키 아래의 Upwind 플랫폼에서 이러한 키를 가져옵니다. 클라이언트 자격 증명은 전달자 토큰을 얻기 위해 인증 https://auth.upwind.io/oauth/token 하는 데 사용됩니다.
  • Upwind Organization ID: Upwind Organization ID가 필요합니다. 설정 → 조직의 Upwind 플랫폼에서 찾을 수 있습니다.

설치 지침:

참고: 이 커넥터는 Azure Functions 및 DCE/DCR(Azure Monitor 수집 API)을 사용하여 Upwind 로그를 Microsoft Sentinel 푸시합니다. ARM 템플릿은 데이터 컬렉션 엔드포인트, 사용자 지정 로그 테이블(UpwindLogsAssets_CL), 데이터 수집 규칙 및 역할 할당을 자동으로 만듭니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지Azure 모니터링 가격 책정 페이지를 확인하세요.

(선택 사항) 배포하는 동안 Key Vault 인증 방법으로 선택하여 Upwind 클라이언트 비밀을 안전하게 저장합니다. 기존 Key Vault 이름을 제공하거나 템플릿에서 새 이름을 만들도록 할 수 있습니다. 사용자 할당 관리 ID는 필요한 Key Vault 액세스 정책을 사용하여 자동으로 구성됩니다.

1단계 - Upwind API 자격 증명 가져오기

  1. Upwind 플랫폼에 로그인합니다.
  2. 설정 → API 키로 이동합니다.
  3. 새 API 키를 만들고 클라이언트 ID 및 클라이언트 암호를 기록해 둡니다.
  4. 설정 → 조직으로 이동하여 조직 ID를 적어 둡니다.

2단계 - Azure 함수 앱 배포

배포를 클릭하여 Azure 매개 변수를 입력합니다. 템플릿은 DCE, 테이블, UpwindLogs_CL DCR, 역할 할당 및 함수 앱을 자동으로 만듭니다.

aka.ms

채울 매개 변수:

매개 변수 설명
WorkspaceName Log Analytics/Microsoft Sentinel 작업 영역의 이름
UpwindOrgId 1단계의 Upwind 조직 ID
UpwindClientId 1단계의 Upwind API 클라이언트 ID
UpwindClientSecret 1단계의 Upwind API 클라이언트 암호
AppInsightsWorkspaceResourceID Log Analytics 작업 영역의 전체 리소스 ID( Log Analytics 작업 영역 → 속성에서)
  • 작업 영역 ID: <설치 시 제공되는 변수 값>



Vaikora AI 에이전트 동작 신호

지원:Data443 위험 완화, Inc.

CCF(Codeless Connector Framework)를 사용하여 Vaikora API에서 Microsoft Sentinel AI 에이전트 동작 신호를 수집합니다. 에이전트 작업, 정책 결정, 변칙 점수 및 위험 수준을 모니터링하여 사용자 환경에서 의심스러운 AI 활동을 검색합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Vaikora_AgentSignals_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Vaikora API 키: 작업 엔드포인트에 대한 읽기 액세스 권한이 있는 Vaikora API 키(vk_xxxxx)입니다. 설정 > API 키 아래의 Vaikora dashboard 이 값을 가져옵니다.

설치 지침:

Vaikora AI 에이전트 동작 신호 연결

Vaikora 커넥터를 사용하도록 설정하려면 아래의 Vaikora API 키를 입력하고 연결을 클릭합니다. 에이전트 ID는 선택 사항입니다. 단일 에이전트에 대한 수집을 scope 데 사용하거나 키가 볼 수 있는 모든 에이전트에서 작업을 수집하기 위해 비워 둡니다.

API 키는 설정 > API 키 아래의 Vaikora dashboard 사용할 수 있습니다. 에이전트 ID는 각 에이전트의 세부 정보 페이지에 표시된 UUID입니다.

  • Vaikora API 키: (vk_xxxxxxxxxxxxxxxxxxxxxxxx)
  • Vaikora 에이전트 ID(선택 사항): (모든 에이전트를 모니터링하려면 비워 둡니다.)
  • 연결 사용/사용 안 함



Valimail 구성 이벤트 적용

지원:Valimail

Valimail 구성 이벤트 데이터 커넥터를 사용하면 Valimail의 Reporting API에서 전자 메일 도메인의 구성 이벤트를 Microsoft Sentinel 수집할 수 있습니다. 데이터 커넥터는 Microsoft Sentinel Codeless Connector Framework를 기반으로 합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ValimailEnforceEvents_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

설치 지침:

Valimail 이벤트 API에 대한 구성 단계는 가이드의 지침에 따라 보고 API 자격 증명 집합을 생성합니다. 만든 클라이언트 ID 및 앱 ID 키를 저장합니다.

  • 클라이언트 계정 슬러그: (계정 슬러그)
  • API 클라이언트 ID: (클라이언트 ID 자격 증명)
  • API 앱 ID: (앱 ID 자격 증명)
  • 연결 사용/사용 안 함



Varonis Purview 푸시 커넥터

지원 대상:Varonis

Varonis Purview 커넥터는 Varonis에서 Microsoft Purview로 리소스를 동기화하는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
VaronisResources_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft Entra: Microsoft Entra ID 앱 등록을 만들 수 있는 권한입니다. 일반적으로 Entra ID 애플리케이션 개발자 역할 이상이 필요합니다.
  • Microsoft Azure: DCR(데이터 수집 규칙)에 대한 모니터링 메트릭 게시자 역할을 할당할 수 있는 권한입니다. 일반적으로 AZURE RBAC 소유자 또는 사용자 액세스 관리자 역할이 필요합니다.

설치 지침:

1. Varonis Resoources에 대한 수집을 설정하려면 이 명령을 실행합니다.

이렇게 하면 DCR에 데이터를 안전하게 보내는 데 필요한 Log Analytics 테이블, DCR(데이터 수집 규칙) 및 Entra 애플리케이션이 생성됩니다.

Entra 애플리케이션을 사용하여 자동화된 구성 및 보안 데이터 수집 "배포"를 클릭하면 Log Analytics 테이블 및 DCR(데이터 수집 규칙)의 생성이 트리거됩니다. 그런 다음, Entra 애플리케이션을 만들고, DCR을 연결하고, 애플리케이션에 입력한 비밀을 설정합니다. 이 설정을 사용하면 Entra 토큰을 사용하여 데이터를 DCR로 안전하게 보낼 수 있습니다.

2. 작업 영역에 로그 푸시

다음 매개 변수를 사용하여 Varonis 통합 dashboard Varonis Purview Connector를 구성합니다.

  • 테넌트 ID(디렉터리 ID): <설치 시 제공되는 변수 값>
  • Entra 앱 등록 애플리케이션 ID: <설치 시 제공되는 변수 값>
  • Entra 앱 등록 비밀: <설치 시 제공되는 변수 값>
  • 데이터 수집 엔드포인트 Uri: <설치 시 제공되는 변수 값>
  • 데이터 수집 규칙 변경할 수 없는 ID: <설치 시 제공되는 변수 값>
  • 리소스 Stream 이름: <설치 시 제공되는 변수 값>



Varonis SaaS

지원 대상:Varonis

Varonis SaaS는 Varonis 경고를 Microsoft Sentinel 수집하는 기능을 제공합니다.

Varonis는 데이터 액세스를 위한 심층 데이터 가시성, 분류 기능 및 자동화된 수정의 우선 순위를 지정합니다. Varonis는 데이터에 대한 위험에 대한 우선 순위가 지정된 단일 보기를 빌드하므로 내부자 위협 및 사이버 공격의 위험을 사전에 체계적으로 제거할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
VaronisAlerts_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Varonis DatAlert 서비스에 연결하여 경고를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 참조하세요.

Azure 함수 및 관련 서비스 설치의 경우 다음을 사용합니다.

portal.azure.com

1단계 - Varonis DatAlert 엔드포인트 API 자격 증명을 가져옵니다.

클라이언트 ID 및 API 키를 생성하려면 다음을 수행합니다.

  1. Varonis 웹 인터페이스를 시작합니다.
  2. 구성 -> API 키로 이동합니다. API 키 페이지가 표시됩니다.
  3. API 키 만들기를 클릭합니다. 새 API 키 추가 설정이 오른쪽에 표시됩니다.
  4. 이름 및 설명을 입력합니다.
  5. 키 생성 단추를 클릭합니다.
  6. API 키 비밀을 복사하여 편리한 위치에 저장합니다. 다시 복사할 수 없습니다.

자세한 내용은 검사: Varonis 설명서를 참조하세요.

2단계 - 커넥터 및 연결된 Azure 함수를 배포합니다.

  • 작업 영역 이름: <설치 시 제공되는 변수 값>

ARM 템플릿을 사용하여 데이터 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. Azure 배포 단추를 클릭합니다.

    portal.azure.com

  2. 기본 구독, 리소스 그룹, 지역, 스토리지 계정 유형을 선택합니다.

  3. Log Analytics 작업 영역 이름, Varonis FQDN, Varonis SaaS API 키를 입력합니다.

  4. 검토 + 만들기, 만들기를 클릭합니다.



Vectra XDR(Azure Functions 사용)

지원:Vectra 지원

Vectra XDR 커넥터는 Vectra REST API를 통해 Vectra 검색, 감사, 엔터티 채점, 잠금, 상태 및 엔터티 데이터를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 API 설명서: https://support.vectra.ai/s/article/KB-VS-1666 를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Detections_Data_CL
Audits_Data_CL
Entity_Scoring_Data_CL
Lockdown_Data_CL
Health_Data_CL
Entities_Data_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • REST API 자격 증명/권한: 상태, 엔터티 점수 매기기, 엔터티, 검색, 잠금 및 감사 데이터 수집에는 Vectra 클라이언트 ID클라이언트 암호 가 필요합니다. 의 API https://support.vectra.ai/s/article/KB-VS-1666에 대한 자세한 내용은 설명서를 참조하세요.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Vectra API에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

참고: 이 데이터 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 예상대로 작동합니다. 검색 파서, 감사 파서, 엔터티 점수 매기기 파서, 잠금 파서상태 파서에 대해 다음 단계에 따라 Kusto 함수 별칭, VectraDetections, VectraAudits, VectraEntityScoring, VectraLockdown 및 VectraHealth를 만듭니다.

1단계 - Vectra API 자격 증명에 대한 구성 단계

다음 지침에 따라 Vectra 클라이언트 ID 및 클라이언트 암호를 만듭니다.

  1. Vectra 포털에 로그인
  2. 관리로 이동 -> API 클라이언트
  3. API 클라이언트 페이지에서 'API 클라이언트 추가'를 선택하여 새 클라이언트를 만듭니다.
  4. 클라이언트 이름을 추가하고 역할을 선택하고 자격 증명 생성을 클릭하여 클라이언트 자격 증명을 가져옵니다.
  5. 안전하게 보관하려면 클라이언트 ID 및 비밀 키를 기록해야 합니다. Vectra API에서 액세스 토큰을 가져오려면 이러한 두 가지 정보가 필요합니다. 모든 Vectra API 엔드포인트를 요청하려면 액세스 토큰이 필요합니다.

2단계 - Microsoft Entra ID 애플리케이션에 대한 앱 등록 단계

이 통합에는 Azure Portal 앱 등록이 필요합니다. 이 섹션의 단계에 따라 Microsoft Entra ID 새 애플리케이션을 만듭니다.

  1. Azure 포털에 로그인합니다.
  2. Microsoft Entra ID 검색하여 선택합니다.
  3. 관리에서 새 등록 앱 등록 > 선택합니다.
  4. 애플리케이션의 표시 이름을 입력합니다.
  5. 등록을 선택하여 초기 앱 등록을 완료합니다.
  6. 등록이 완료되면 Azure Portal 앱 등록의 개요 창이 표시됩니다. 애플리케이션(클라이언트) ID 및 테넌트 ID가 표시됩니다. 클라이언트 ID 및 테넌트 ID는 Vectra Data Connector 실행을 위한 구성 매개 변수로 필요합니다.

참조 링크:/azure/active-directory/develop/quickstart-register-app

3단계 - Microsoft Entra ID 애플리케이션에 대한 클라이언트 암호 추가

애플리케이션 암호라고도 하는 클라이언트 암호는 Vectra Data Connector를 실행하는 데 필요한 문자열 값입니다. 이 섹션의 단계에 따라 새 클라이언트 암호를 만듭니다.

  1. Azure Portal 앱 등록 애플리케이션을 선택합니다.
  2. 인증서 & 비밀 > 클라이언트 비밀 새 클라이언트 비밀을 >선택합니다.
  3. 클라이언트 비밀에 대한 설명을 추가합니다.
  4. 비밀에 대한 만료를 선택하거나 사용자 지정 수명을 지정합니다. 한도는 24개월입니다.
  5. 추가를 선택합니다.
  6. 클라이언트 애플리케이션 코드에서 사용할 비밀 값을 기록합니다. 이 비밀 값은 이 페이지를 떠난 후에 다시는 표시되지 않습니다. 비밀 값은 Vectra Data Connector 실행을 위한 구성 매개 변수로 필요합니다.

참조 링크:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

4단계 - Microsoft Entra ID 애플리케이션의 개체 ID 가져오기

앱 등록을 만든 후 이 섹션의 단계에 따라 개체 ID를 가져옵니다.

  1. Microsoft Entra ID 이동합니다.
  2. 왼쪽 메뉴에서 엔터프라이즈 애플리케이션 을 선택합니다.
  3. 목록에서 새로 만든 애플리케이션을 찾습니다(제공한 이름으로 검색할 수 있습니다).
  4. 애플리케이션을 클릭합니다.
  5. 개요 페이지에서 개체 ID를 복사합니다. ARM 템플릿 역할 할당에 필요한 AzureEntraObjectId 입니다.

5단계 - Microsoft Entra ID 애플리케이션에 기여자 역할 할당

이 섹션의 단계에 따라 역할을 할당합니다.

  1. Azure Portal 리소스 그룹으로 이동하여 리소스 그룹을 선택합니다.
  2. 왼쪽 패널에서 액세스 제어(IAM) 로 이동합니다.
  3. 추가를 클릭한 다음 역할 할당 추가를 선택합니다.
  4. 역할로 기여자를 선택하고 다음을 클릭합니다.
  5. 에 대한 액세스 할당에서 를 선택합니다User, group, or service principal.
  6. 구성원 추가를 클릭하고 만든 앱 이름을 입력 하고 선택합니다.
  7. 이제 검토 + 할당을 클릭한 다음 검토 + 할당을 다시 클릭합니다.

참조 링크:/azure/role-based-access-control/role-assignments-portal

6단계 - Keyvault 만들기

다음 지침에 따라 새 Keyvault를 만듭니다.

  1. Azure Portal 키 자격 증명 모음으로 이동하여 만들기를 클릭합니다.
  2. Subsciption, Resource Group을 선택하고 keyvault의 고유한 이름을 제공합니다.

7단계 - Keyvault에서 액세스 정책 만들기

다음 지침에 따라 Keyvault에서 액세스 정책을 만듭니다.

  1. keyvaults로 이동하고, keyvault를 선택하고, 왼쪽 패널에서 액세스 정책으로 이동하고, 만들기를 클릭합니다.
  2. 모든 키 & 비밀 권한을 선택합니다. 다음을 클릭합니다.
  3. 보안 주체 섹션에서 STEP - 2에서 생성된 애플리케이션 이름으로 검색합니다. 다음을 클릭합니다.

참고: Key Vault 액세스 구성의 권한 모델이 '자격 증명 모음 액세스 정책'으로 설정되어 있는지 확인합니다.

8단계 - 다음 두 배포 옵션 중 하나를 선택하여 커넥터 및 연결된 Azure 함수를 배포합니다.

중요: Vectra 데이터 커넥터를 배포하기 전에 Vectra API 권한 부여 자격 증명을 쉽게 사용할 수 있습니다.

옵션 1 - ARM(Azure Resource Manager) 템플릿

Vectra 커넥터의 자동화된 배포에 이 메서드를 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.msaka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 아래 정보를 입력합니다. 함수 이름 작업 영역 이름 Vectra 기본 URL(https://< vectra-portal-url>) Vectra 클라이언트 ID - 상태 Vectra 클라이언트 비밀 키 - 상태 Vectra 클라이언트 ID - 엔터티 채점 Vectra 클라이언트 암호 - 엔터티 채점 Vectra 클라이언트 ID - 검색 Vectra 클라이언트 비밀 - 검색 Vectra 클라이언트 ID - Vectra 클라이언트 암호 감사 - Vectra 클라이언트 ID 감사 - 잠금 Vectra 클라이언트 암호 - 잠금 Vectra 클라이언트 ID - Host-Entity Vectra 클라이언트 암호 - Host-Entity Vectra 클라이언트 ID - Account-Entity Vectra 클라이언트 암호 - Account-Entity Key Vault 이름 Azure 클라이언트 ID Azure 클라이언트 비밀 테넌트 ID Azure Entra ObjectID StartTime(MM/DD/YYYY HH:MM:SS 형식) 포함 점수 감소 감사 테이블 이름 검색 테이블 이름 엔터티 채점 테이블 이름 잠금 테이블 이름 상태 테이블 이름 엔터티 테이블 이름 검색 로그 수준에서 그룹 세부 정보 제외(기본값: INFO) 잠금 일정 상태 일정 검색 일정 감사 일정 엔터티 점수 매기기 일정 엔터티 일정

  4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  5. 구매를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions 사용하여 Vectra 데이터 커넥터를 수동으로 배포합니다(Visual Studio Code 통해 배포).

  1. 함수 앱 배포

참고: Azure 함수 개발을 위해 VS 코드를 준비해야 합니다.

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.

  2. VS Code를 시작합니다. 주 메뉴에서 파일을 선택하고 폴더 열기를 선택합니다.

  3. 추출된 파일에서 최상위 폴더를 선택합니다.

  4. 작업 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 함수에 배포 앱 단추를 선택합니다. 아직 로그인하지 않은 경우 활동 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 로그인을 선택하여 Azure 이미 로그인한 경우 다음 단계로 이동합니다.

  5. 프롬프트에서 다음 정보를 제공합니다.

    a. 폴더 선택: 작업 영역에서 폴더를 선택하거나 함수 앱이 포함된 폴더로 이동합니다.

    b. 구독을 선택합니다. 사용할 구독을 선택합니다.

    c. Azure 새 함수 앱 만들기를 선택합니다(고급 옵션을 선택하지 않음).

    d. 함수 앱의 전역적으로 고유한 이름을 입력합니다 . URL 경로에 유효한 이름을 입력합니다. 입력한 이름은 Azure Functions 고유하도록 유효성을 검사합니다. (예: VECTRAXXXXX).

    e. 런타임 선택: Python 3.8 이상을 선택합니다.

    f. 새 리소스의 위치를 선택합니다. 성능 향상 및 비용 절감을 위해 Microsoft Sentinel 있는 동일한 지역을 선택합니다.

  6. 배포가 시작됩니다. 함수 앱이 만들어지고 배포 패키지가 적용된 후 알림이 표시됩니다.

  7. 함수 앱 구성에 대한 Azure 포털로 이동합니다.

  8. 함수 앱 구성

  9. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.

  10. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.

  11. 다음 애플리케이션 설정을 각각 개별적으로 추가합니다. 각 값(대/소문자 구분): 작업 영역 ID 작업 영역 키 Vectra 기본 URL(https://< vectra-portal-url>) Vectra 클라이언트 ID - 상태 Vectra 클라이언트 비밀 키 - 상태 Vectra 클라이언트 ID - 엔터티 점수 매기기 Vectra 클라이언트 암호 - 엔터티 채점 Vectra 클라이언트 ID - 검색 Vectra 클라이언트 암호 - 검색 Vectra 클라이언트 ID - 감사 Vectra 클라이언트 암호 - 감사 Vectra 클라이언트 ID - 잠금 Vectra 클라이언트 비밀 - 잠금 Vectra 클라이언트 ID - Host-Entity Vectra 클라이언트 암호 - Host-Entity Vectra 클라이언트 ID - Account-Entity Vectra 클라이언트 암호 - 클라이언트 ID Azure 클라이언트 ID Azure 클라이언트 id StartTime Account-Entity Key Vault 이름 (MM/DD/YYYY HH:MM:SS 형식) 점수 감소 감사 테이블 이름 검색 테이블 이름 엔터티 채점 테이블 이름 잠금 테이블 이름 상태 테이블 이름 엔터티 테이블 이름 로그 수준(기본값: INFO) 잠금 일정 상태 일정 검색 일정 감사 일정 엔터티 채점 일정 엔터티 일정 logAnalyticsUri(선택 사항)

  • logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 값을 형식https://<CustomerId>.ods.opinsights.azure.us으로 지정합니다.
  1. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



Veeam 데이터 커넥터(Azure Functions 사용)

지원:Veeam Software

Veeam 데이터 커넥터를 사용하면 여러 사용자 지정 테이블에서 Veeam 원격 분석 데이터를 Microsoft Sentinel 수집할 수 있습니다.

커넥터는 Veeam Backup & 복제, Veeam ONE 및 Coveware 플랫폼과의 통합을 지원하여 포괄적인 모니터링 및 보안 분석을 제공합니다. 데이터는 Azure Functions 통해 수집되고 전용 DCR(데이터 수집 규칙) 및 DCE(데이터 수집 엔드포인트)를 사용하여 사용자 지정 Log Analytics 테이블에 저장됩니다.

포함된 사용자 지정 테이블:

  • VeeamMalwareEvents_CL: Veeam Backup & 복제의 맬웨어 검색 이벤트
  • VeeamSecurityComplianceAnalyzer_CL: Veeam 백업 인프라 구성 요소에서 수집된 보안 & 규정 준수 분석기 결과
  • VeeamAuthorizationEvents_CL: 권한 부여 및 인증 이벤트
  • VeeamOneTriggeredAlarms_CL: Veeam ONE 서버에서 트리거된 경보
  • VeeamCovewareFindings_CL: Coveware 솔루션의 보안 결과
  • VeeamSessions_CL: Veeam 세션

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
VeeamMalwareEvents_CL
VeeamSecurityComplianceAnalyzer_CL
VeeamOneTriggeredAlarms_CL
VeeamAuthorizationEvents_CL
VeeamCovewareFindings_CL
VeeamSessions_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • Veeam 인프라 액세스: Veeam Backup & 복제 REST API 및 Veeam ONE 모니터링 플랫폼에 액세스해야 합니다. 여기에는 적절한 인증 자격 증명 및 네트워크 연결이 포함됩니다.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Veeam API에 연결하고 데이터를 Microsoft Sentinel 사용자 지정 테이블로 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 참조하세요.

1단계 - Veeam 데이터 커넥터 및 관련 Azure Functions 대한 배포 옵션을 선택합니다.

중요: Veeam Data Connector를 배포하기 전에 작업 영역 이름을 준비합니다(다음에서 복사할 수 있음).

  • 작업 영역 이름: <설치 시 제공되는 변수 값>

ARM(Azure Resource Manager) 템플릿

ARM 템플릿을 사용하여 Veeam 데이터 커넥터의 자동화된 배포에 이 메서드를 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    portal.azure.com

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. Microsoft Sentinel 작업 영역 이름을 입력합니다.

  4. 검토 + 만들기, 만들기를 클릭합니다.



VersasecCms

지원:Versasec 지원

VersasecCms 데이터 커넥터를 사용하면 로그를 Microsoft Sentinel 수집할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
VersasecCmsSysLogs_CL 아니요 아니요
VersasecCmsErrorLogs_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

설치 지침:

구성

VersasecCms에 대한 자격 증명을 입력합니다.

  • 관리 URL:
  • API 기본 경로:
  • API 토큰:
  • 폴링 간격(분):
  • 연결 사용/사용 안 함



Microsoft Sentinel 대한 VirtualMetric DataStream

지원:VirtualMetric

VirtualMetric DataStream 커넥터는 보안 원격 분석을 Microsoft Sentinel 수집하는 데이터 수집 규칙을 배포합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CommonSecurityLog

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • 앱 등록 또는 Azure 관리 ID: VirtualMetric DataStream은 로그를 인증하고 Microsoft Sentinel 보내기 위해 Entra ID ID가 필요합니다. 클라이언트 ID 및 클라이언트 암호를 사용하여 앱 등록을 만들거나 자격 증명 관리 없이 향상된 보안을 위해 Azure 관리 ID를 사용할 수 있습니다.
  • 리소스 그룹 역할 할당: 선택한 ID(앱 등록 또는 관리 ID)는 모니터링 메트릭 게시자(로그 수집용) 및 모니터링 읽기 권한자(스트림 구성 읽기용)와 함께 데이터 수집 엔드포인트가 포함된 리소스 그룹에 할당되어야 합니다.

설치 지침:

Microsoft Sentinel VirtualMetric DataStream 구성

데이터를 보내도록 Microsoft Sentinel VirtualMetric DataStream을 구성합니다.

Microsoft Entra ID 애플리케이션 등록(선택 사항)

인증 방법 선택: 옵션 A: Azure 관리 ID 사용(권장)

  • 인증에 Azure 관리 ID를 사용하려는 경우 이 단계를 건너뜁니다.
  • Azure 관리 ID는 자격 증명을 관리하지 않고도 보다 안전한 인증 방법을 제공합니다.

옵션 B: 서비스 주체 애플리케이션 등록

  1. Microsoft Entra ID 페이지를 엽니다.

    • 제공된 링크를 클릭하여 새 탭에서 Microsoft Entra ID 등록 페이지를 엽니다.
    • 애플리케이션 관리자 또는 전역 관리자 권한이 있는 계정으로 로그인했는지 확인합니다.

  2. 새 애플리케이션 만들기:

    • Microsoft Entra ID 포털의 왼쪽 탐색 영역에서 앱 등록 선택합니다.
    • + 새 등록을 클릭합니다.
    • 다음 필드를 입력합니다.
  • 이름: 앱의 설명이 포함된 이름(예: "VirtualMetric ASIM 커넥터")을 입력합니다.
  • 지원되는 계정 유형: 이 조직 디렉터리에서만 계정을 선택합니다 (단일 테넌트).
  • 리디렉션 URI: 비워 둡니다.
    • 등록을 클릭하여 애플리케이션을 만듭니다.

  1. 애플리케이션 및 테넌트 ID 복사:

    • 앱이 등록되면 개요 페이지에서 애플리케이션(클라이언트) ID 및 디렉터리(테넌트) ID를 적어둡니다. VirtualMetric DataStream 구성에는 이러한 항목이 필요합니다.

  2. 클라이언트 암호를 만듭니다.

    • 인증서 & 비밀 섹션에서 + 새 클라이언트 암호를 클릭합니다.
    • 설명(예: 'VirtualMetric ASIM 비밀')을 추가하고 적절한 만료 기간을 설정합니다.
    • 추가를 클릭합니다.
    • 클라이언트 비밀 값은 다시 표시되지 않으므로 즉시 복사합니다. VirtualMetric DataStream 구성을 위해 이를 안전하게 저장합니다.

필요한 권한 할당

리소스 그룹에서 선택한 인증 방법(서비스 주체 또는 관리 ID)에 필요한 역할을 할당합니다.

서비스 주체의 경우(1단계를 완료한 경우):

  1. 리소스 그룹으로 이동합니다.

    • Azure 포털을 열고 Log Analytics 작업 영역과 DCR(데이터 수집 규칙)이 배포될 리소스 그룹으로 이동합니다.

  2. 모니터링 메트릭 게시자 역할을 할당합니다.

    • 리소스 그룹의 왼쪽 메뉴에서 액세스 제어(IAM)를 클릭합니다.
    • + 추가를 클릭하고 역할 할당 추가를 선택합니다.
    • 역할 탭에서 모니터링 메트릭 게시자를 검색하여 선택합니다.
    • 다음을 클릭하여 구성원 탭으로 이동합니다.
    • 액세스 권한 할당에서 사용자, 그룹 또는 서비스 주체를 선택합니다.
    • + 멤버 선택을 클릭하고 이름 또는 클라이언트 ID로 등록된 애플리케이션을 검색합니다.
    • 애플리케이션을 선택하고 선택을 클릭합니다.
    • 검토 + 할당을 두 번 클릭하여 할당을 완료합니다.

  3. 모니터링 읽기 권한자 역할을 할당합니다.

    • 동일한 프로세스를 반복하여 모니터링 읽기 권한자 역할을 할당합니다.
    • + 추가를 클릭하고 역할 할당 추가를 선택합니다.
    • 역할 탭에서 모니터링 판독기를 검색하여 선택합니다.
    • 위와 동일한 멤버 선택 프로세스를 따릅니다.
    • 검토 + 할당을 두 번 클릭하여 할당을 완료합니다. Azure 관리 ID의 경우:

  4. 관리 ID를 만들거나 식별합니다.

    • 시스템 할당 관리 ID를 사용하는 경우: Azure 리소스(VM, App Service 등)에서 사용하도록 설정합니다.
    • 사용자가 할당한 관리 ID를 사용하는 경우: 리소스 그룹이 없는 경우 리소스 그룹에 만듭니다.

  5. 모니터링 메트릭 게시자 역할을 할당합니다.

    • 위와 동일한 단계를 수행하지만 멤버 탭에서 다음을 수행합니다.
    • 액세스 권한 할당에서 관리 ID를 선택합니다.
    • + 구성원 선택을 클릭하고 적절한 관리 ID 유형을 선택하고 ID를 선택합니다.
    • 선택을 클릭한 다음 검토 + 할당을 두 번 클릭하여 완료합니다.

  6. 모니터링 읽기 권한자 역할을 할당합니다.

    • 프로세스를 반복하여 동일한 관리 ID에 모니터링 읽기 권한자 역할을 할당합니다. 필수 권한 요약: 할당된 역할은 다음 기능을 제공합니다.
  • 모니터링 메트릭 게시자: DCE(데이터 수집 엔드포인트)에 데이터를 쓰고 DCR(데이터 수집 규칙)을 통해 원격 분석 보내기
  • 모니터링 판독기: ASIM 테이블 수집을 위한 스트림 구성 읽기 및 Log Analytics 작업 영역에 액세스

Azure 인프라 배포

ARM 템플릿을 사용하여 Microsoft Sentinel 테이블에 필요한 DCE(데이터 수집 엔드포인트) 및 DCR(데이터 수집 규칙)을 배포합니다.

  1. Azure 배포:

    • 아래 Azure 배포 단추를 클릭하여 필요한 인프라를 자동으로 배포합니다.
    • portal.azure.com
    • 이렇게 하면 Azure Portal 직접 이동하여 배포를 시작합니다.

  2. 배포 매개 변수 구성:

    • 사용자 지정 배포 페이지에서 다음 설정을 구성합니다.

    프로젝트 세부 정보:

    • 구독: 드롭다운에서 Azure 구독 선택
    • 리소스 그룹: 기존 리소스 그룹을 선택하거나 새로 만들기를 클릭하여 새 인스턴스 세부 정보를 만듭니다.
    • 지역: Log Analytics 작업 영역이 있는 Azure 지역 선택(예: 서유럽)
    • 작업 영역: Log Analytics 작업 영역 이름 입력
    • DCE 이름: 데이터 수집 엔드포인트의 이름 제공(예: "vmetric-dce")
    • DCR 이름 접두사: 데이터 수집 규칙에 대한 접두사 제공(예: "vmetric-dcr")

  3. 배포를 완료합니다.

    • 검토 + 만들기를 클릭하여 템플릿의 유효성을 검사합니다.
    • 매개 변수를 검토하고 만들기 를 클릭하여 리소스를 배포합니다.
    • 배포가 완료되기를 기다립니다(일반적으로 2~5분 소요).

  4. 배포된 리소스 확인:

    • 배포 후 다음 리소스가 생성되었는지 확인합니다.
  • DCE(데이터 수집 엔드포인트): Azure 포털 > 모니터 > 데이터 수집 엔드포인트 확인
  • DCR(데이터 수집 규칙): Azure 포털 > 모니터링 > 데이터 수집 규칙 확인
    • DCE 개요 페이지에서 DCE 로그 수집 URI를 복사 합니다(형식: https://<dce-name>.<region>.ingest.monitor.azure.com).
    • DCE 개요 페이지에서 DCE 리소스 ID를 복사 합니다(형식: /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>).
    • 각 DCR의 경우 개요 페이지에서 변경할 수 없는 ID를 확인합니다. VirtualMetric DataStream 구성에는 이러한 ID가 필요합니다.

VirtualMetric DataStream 통합 구성

Microsoft Sentinel 테이블에 보안 원격 분석을 보내도록 VirtualMetric DataStream을 설정합니다.

  1. VirtualMetric DataStream 구성에 액세스:

    • VirtualMetric DataStream 관리 콘솔 로그인합니다.
    • Fleet Management > Targets 섹션으로 이동합니다.
    • 새 대상 추가 단추를 클릭합니다.
    • Microsoft Sentinel 대상을 선택합니다.

  2. 일반 설정 구성:

    • 이름: 대상의 이름을 입력합니다(예: "cus01-ms-sentinel").
    • 설명: 필요에 따라 대상 구성에 대한 설명을 제공합니다.

  3. Azure 인증 구성(1단계에 따라 선택): 서비스 주체 인증:

    • Azure 관리 ID: 사용 안 함 유지
    • 테넌트 ID: 1단계에서 디렉터리(테넌트) ID를 입력합니다.
    • 클라이언트 ID: 1단계에서 애플리케이션(클라이언트) ID를 입력합니다.
    • 클라이언트 암호: Azure 관리 ID의 경우 1단계에서 클라이언트 암호 값을 입력합니다.
    • Azure 관리 ID: 사용으로 설정

  4. Stream 속성 구성:

    • 엔드포인트: 구성 방법을 선택합니다.
  • 수동 스트림 구성의 경우: DCE 로그 수집 URI(형식: https://<dce-name>.<region>.ingest.monitor.azure.com)를 입력합니다.
  • 자동 스트림 검색의 경우: DCE 리소스 ID(형식: /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>)를 입력합니다.
    • 스트림: 자동 스트림 검색을 위해 자동을 선택하거나 필요한 경우 특정 스트림을 구성합니다.
  1. Microsoft Sentinel 데이터 수집 확인:
    • Log Analytics 작업 영역으로 돌아가기
    • ASIM 테이블에서 샘플 쿼리를 실행하여 데이터가 수신되고 있는지 확인합니다. 
      ASimNetworkSessionLogs
| where TimeGenerated > ago(1h)
| take 10
    • Microsoft Sentinel 개요 dashboard 새 데이터 원본 및 이벤트 수를 확인합니다.



Microsoft Sentinel Data Lake용 VirtualMetric DataStream

지원:VirtualMetric

VirtualMetric DataStream 커넥터는 데이터 수집 규칙을 배포하여 보안 원격 분석을 Microsoft Sentinel 데이터 레이크로 수집합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CommonSecurityLog

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • 앱 등록 또는 Azure 관리 ID: VirtualMetric DataStream은 로그를 인증하고 Microsoft Sentinel 데이터 레이크로 보내기 위해 Entra ID ID가 필요합니다. 클라이언트 ID 및 클라이언트 암호를 사용하여 앱 등록을 만들거나 자격 증명 관리 없이 향상된 보안을 위해 Azure 관리 ID를 사용할 수 있습니다.
  • 리소스 그룹 역할 할당: 선택한 ID(앱 등록 또는 관리 ID)는 모니터링 메트릭 게시자(로그 수집용) 및 모니터링 읽기 권한자(스트림 구성 읽기용)와 함께 데이터 수집 엔드포인트가 포함된 리소스 그룹에 할당되어야 합니다.

설치 지침:

Microsoft Sentinel Data Lake에 대한 VirtualMetric DataStream 구성

데이터를 보내도록 Microsoft Sentinel 데이터 레이크에 대한 VirtualMetric DataStream을 구성합니다.

Microsoft Entra ID 애플리케이션 등록(선택 사항)

인증 방법 선택: 옵션 A: Azure 관리 ID 사용(권장)

  • 인증에 Azure 관리 ID를 사용하려는 경우 이 단계를 건너뜁니다.
  • Azure 관리 ID는 자격 증명을 관리하지 않고도 보다 안전한 인증 방법을 제공합니다.

옵션 B: 서비스 주체 애플리케이션 등록

  1. Microsoft Entra ID 페이지를 엽니다.

    • 제공된 링크를 클릭하여 새 탭에서 Microsoft Entra ID 등록 페이지를 엽니다.
    • 애플리케이션 관리자 또는 전역 관리자 권한이 있는 계정으로 로그인했는지 확인합니다.

  2. 새 애플리케이션 만들기:

    • Microsoft Entra ID 포털의 왼쪽 탐색 영역에서 앱 등록 선택합니다.
    • + 새 등록을 클릭합니다.
    • 다음 필드를 입력합니다.
  • 이름: 앱의 설명이 포함된 이름(예: "VirtualMetric ASIM 커넥터")을 입력합니다.
  • 지원되는 계정 유형: 이 조직 디렉터리에서만 계정을 선택합니다 (단일 테넌트).
  • 리디렉션 URI: 비워 둡니다.
    • 등록을 클릭하여 애플리케이션을 만듭니다.

  1. 애플리케이션 및 테넌트 ID 복사:

    • 앱이 등록되면 개요 페이지에서 애플리케이션(클라이언트) ID 및 디렉터리(테넌트) ID를 적어둡니다. VirtualMetric DataStream 구성에는 이러한 항목이 필요합니다.

  2. 클라이언트 암호를 만듭니다.

    • 인증서 & 비밀 섹션에서 + 새 클라이언트 암호를 클릭합니다.
    • 설명(예: 'VirtualMetric ASIM 비밀')을 추가하고 적절한 만료 기간을 설정합니다.
    • 추가를 클릭합니다.
    • 클라이언트 비밀 값은 다시 표시되지 않으므로 즉시 복사합니다. VirtualMetric DataStream 구성을 위해 이를 안전하게 저장합니다.

필요한 권한 할당

리소스 그룹에서 선택한 인증 방법(서비스 주체 또는 관리 ID)에 필요한 역할을 할당합니다.

서비스 주체의 경우(1단계를 완료한 경우):

  1. 리소스 그룹으로 이동합니다.

    • Azure 포털을 열고 Log Analytics 작업 영역과 DCR(데이터 수집 규칙)이 배포될 리소스 그룹으로 이동합니다.

  2. 모니터링 메트릭 게시자 역할을 할당합니다.

    • 리소스 그룹의 왼쪽 메뉴에서 액세스 제어(IAM)를 클릭합니다.
    • + 추가를 클릭하고 역할 할당 추가를 선택합니다.
    • 역할 탭에서 모니터링 메트릭 게시자를 검색하여 선택합니다.
    • 다음을 클릭하여 구성원 탭으로 이동합니다.
    • 액세스 권한 할당에서 사용자, 그룹 또는 서비스 주체를 선택합니다.
    • + 멤버 선택을 클릭하고 이름 또는 클라이언트 ID로 등록된 애플리케이션을 검색합니다.
    • 애플리케이션을 선택하고 선택을 클릭합니다.
    • 검토 + 할당을 두 번 클릭하여 할당을 완료합니다.

  3. 모니터링 읽기 권한자 역할을 할당합니다.

    • 동일한 프로세스를 반복하여 모니터링 읽기 권한자 역할을 할당합니다.
    • + 추가를 클릭하고 역할 할당 추가를 선택합니다.
    • 역할 탭에서 모니터링 판독기를 검색하여 선택합니다.
    • 위와 동일한 멤버 선택 프로세스를 따릅니다.
    • 검토 + 할당을 두 번 클릭하여 할당을 완료합니다. Azure 관리 ID의 경우:

  4. 관리 ID를 만들거나 식별합니다.

    • 시스템 할당 관리 ID를 사용하는 경우: Azure 리소스(VM, App Service 등)에서 사용하도록 설정합니다.
    • 사용자가 할당한 관리 ID를 사용하는 경우: 리소스 그룹이 없는 경우 리소스 그룹에 만듭니다.

  5. 모니터링 메트릭 게시자 역할을 할당합니다.

    • 위와 동일한 단계를 수행하지만 멤버 탭에서 다음을 수행합니다.
    • 액세스 권한 할당에서 관리 ID를 선택합니다.
    • + 구성원 선택을 클릭하고 적절한 관리 ID 유형을 선택하고 ID를 선택합니다.
    • 선택을 클릭한 다음 검토 + 할당을 두 번 클릭하여 완료합니다.

  6. 모니터링 읽기 권한자 역할을 할당합니다.

    • 프로세스를 반복하여 동일한 관리 ID에 모니터링 읽기 권한자 역할을 할당합니다. 필수 권한 요약: 할당된 역할은 다음 기능을 제공합니다.
  • 모니터링 메트릭 게시자: DCE(데이터 수집 엔드포인트)에 데이터를 쓰고 DCR(데이터 수집 규칙)을 통해 원격 분석 보내기
  • 모니터링 판독기: ASIM 테이블 수집을 위한 스트림 구성 읽기 및 Log Analytics 작업 영역에 액세스

Azure 인프라 배포

ARM 템플릿을 사용하여 Microsoft Sentinel 데이터 레이크 테이블에 필요한 DCE(데이터 수집 엔드포인트) 및 DCR(데이터 수집 규칙)을 배포합니다.

  1. Azure 배포:

    • 아래 Azure 배포 단추를 클릭하여 필요한 인프라를 자동으로 배포합니다.
    • portal.azure.com
    • 이렇게 하면 Azure Portal 직접 이동하여 배포를 시작합니다.

  2. 배포 매개 변수 구성:

    • 사용자 지정 배포 페이지에서 다음 설정을 구성합니다.

    프로젝트 세부 정보:

    • 구독: 드롭다운에서 Azure 구독 선택
    • 리소스 그룹: 기존 리소스 그룹을 선택하거나 새로 만들기를 클릭하여 새 인스턴스 세부 정보를 만듭니다.
    • 지역: Log Analytics 작업 영역이 있는 Azure 지역 선택(예: 서유럽)
    • 작업 영역: Log Analytics 작업 영역 이름 입력
    • DCE 이름: 데이터 수집 엔드포인트의 이름 제공(예: "vmetric-dce")
    • DCR 이름 접두사: 데이터 수집 규칙에 대한 접두사 제공(예: "vmetric-dcr")

  3. 배포를 완료합니다.

    • 검토 + 만들기를 클릭하여 템플릿의 유효성을 검사합니다.
    • 매개 변수를 검토하고 만들기 를 클릭하여 리소스를 배포합니다.
    • 배포가 완료되기를 기다립니다(일반적으로 2~5분 소요).

  4. 배포된 리소스 확인:

    • 배포 후 다음 리소스가 생성되었는지 확인합니다.
  • DCE(데이터 수집 엔드포인트): Azure 포털 > 모니터 > 데이터 수집 엔드포인트 확인
  • DCR(데이터 수집 규칙): Azure 포털 > 모니터링 > 데이터 수집 규칙 확인
    • DCE 개요 페이지에서 DCE 로그 수집 URI를 복사 합니다(형식: https://<dce-name>.<region>.ingest.monitor.azure.com).
    • DCE 개요 페이지에서 DCE 리소스 ID를 복사 합니다(형식: /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>).
    • 각 DCR의 경우 개요 페이지에서 변경할 수 없는 ID를 확인합니다. VirtualMetric DataStream 구성에는 이러한 ID가 필요합니다.

VirtualMetric DataStream 통합 구성

Data Lake 테이블을 Microsoft Sentinel 보안 원격 분석을 보내도록 VirtualMetric DataStream을 설정합니다.

  1. VirtualMetric DataStream 구성에 액세스:

    • VirtualMetric DataStream 관리 콘솔 로그인합니다.
    • Fleet Management > Targets 섹션으로 이동합니다.
    • 새 대상 추가 단추를 클릭합니다.
    • Microsoft Sentinel 대상을 선택합니다.

  2. 일반 설정 구성:

    • 이름: 대상의 이름을 입력합니다(예: "cus01-ms-sentinel").
    • 설명: 필요에 따라 대상 구성에 대한 설명을 제공합니다.

  3. Azure 인증 구성(1단계에 따라 선택): 서비스 주체 인증:

    • Azure 관리 ID: 사용 안 함 유지
    • 테넌트 ID: 1단계에서 디렉터리(테넌트) ID를 입력합니다.
    • 클라이언트 ID: 1단계에서 애플리케이션(클라이언트) ID를 입력합니다.
    • 클라이언트 암호: Azure 관리 ID의 경우 1단계에서 클라이언트 암호 값을 입력합니다.
    • Azure 관리 ID: 사용으로 설정

  4. Stream 속성 구성:

    • 엔드포인트: 구성 방법을 선택합니다.
  • 수동 스트림 구성의 경우: DCE 로그 수집 URI(형식: https://<dce-name>.<region>.ingest.monitor.azure.com)를 입력합니다.
  • 자동 스트림 검색의 경우: DCE 리소스 ID(형식: /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>)를 입력합니다.
    • 스트림: 자동 스트림 검색을 위해 자동을 선택하거나 필요한 경우 특정 스트림을 구성합니다.
  1. Microsoft Sentinel 데이터 레이크에서 데이터 수집을 확인합니다.
    • Log Analytics 작업 영역으로 돌아가기
    • ASIM 테이블에서 샘플 쿼리를 실행하여 데이터가 수신되고 있는지 확인합니다. 
      ASimNetworkSessionLogs
| where TimeGenerated > ago(1h)
| take 10
    • Microsoft Sentinel 개요 dashboard 새 데이터 원본 및 이벤트 수를 확인합니다.



VirtualMetric Director 프록시

지원:VirtualMetric

VirtualMetric Director 프록시는 Azure 함수 앱을 배포하여 Microsoft Sentinel, Azure Data Explorer 및 Azure Storage를 포함한 Azure 서비스와 VirtualMetric DataStream을 안전하게 연결합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CommonSecurityLog

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Azure 함수 앱: 디렉터 프록시를 호스트하려면 Azure 함수 앱을 배포해야 합니다. 함수 앱을 만들고 관리하려면 리소스 그룹 내의 Microsoft.Web/sites 리소스에 대한 읽기, 쓰기 및 삭제 권한이 필요합니다.
  • VirtualMetric DataStream 구성: 디렉터 프록시에 연결하려면 인증 자격 증명으로 구성된 VirtualMetric DataStream이 필요합니다. 디렉터 프록시는 VirtualMetric DataStream과 Azure 서비스 간의 보안 브리지 역할을 합니다.
  • 대상 Azure 서비스: 디렉터 프록시가 데이터를 전달할 Microsoft Sentinel 데이터 수집 엔드포인트, Azure Data Explorer 클러스터 또는 Azure Storage 계정과 같은 대상 Azure 서비스를 구성합니다.

설치 지침:

VirtualMetric Director 프록시 배포

VirtualMetric DataStream과 Microsoft Sentinel 간에 보안 프록시 역할을 하는 Azure 함수 앱을 배포합니다.

필수 구성 요소 및 배포 순서

권장 배포 순서:

최적의 구성을 위해 먼저 대상 커넥터를 배포하는 것이 좋습니다.

  1. Microsoft Sentinel 커넥터 배포: 먼저 Microsoft Sentinel 커넥터용 VirtualMetric DataStream을 배포하여 필요한 데이터 수집 엔드포인트 및 규칙을 만듭니다.

  2. Microsoft Sentinel 데이터 레이크 커넥터 배포(선택 사항): Microsoft Sentinel 데이터 레이크 테이블을 사용하는 경우 Microsoft Sentinel Data Lake 커넥터용 VirtualMetric DataStream을 배포합니다.

  3. 디렉터 프록시 배포(이 단계): 디렉터 프록시를 Microsoft Sentinel 대상으로 구성할 수 있습니다. 참고: 이 주문은 권장되지만 필수는 아닙니다. 디렉터 프록시를 독립적으로 배포하고 나중에 대상으로 구성할 수 있습니다.

Azure 함수 앱 배포

Azure 배포 단추를 사용하여 VirtualMetric Director 프록시 Azure 함수 앱을 배포합니다.

  1. Azure 배포:

    • 아래 Azure 배포 단추를 클릭하여 함수 앱을 배포합니다.
    • portal.azure.com

  2. 배포 매개 변수 구성:

    • 구독: Azure 구독 선택
    • 리소스 그룹: Microsoft Sentinel 작업 영역과 동일한 리소스 그룹을 선택하거나 새 리소스 그룹을 만듭니다.
    • 지역: Azure 지역을 선택합니다(Microsoft Sentinel 작업 영역 지역과 일치해야 합니다).
    • 함수 앱 이름: 함수 앱에 대한 고유한 이름 제공(예: "vmetric-director-proxy")

  3. 전체 배포:

    • 검토 + 만들기를 클릭하여 매개 변수의 유효성을 검사합니다.
    • 만들기를 클릭하여 함수 앱을 배포합니다.
    • 배포가 완료되기를 기다립니다(일반적으로 3~5분)
    • 함수 앱 URL을 확인합니다. https://<function-app-name>.azurewebsites.net

함수 앱 권한 구성

함수 앱의 관리 ID에 필요한 권한을 할당하여 Microsoft Sentinel 리소스에 액세스합니다.

  1. System-Assigned 관리 ID를 사용하도록 설정합니다.

    • Azure Portal에서 배포된 함수 앱으로 이동합니다.
    • 설정에서 ID로 이동
    • 시스템 할당 ID 에 대해 상태를 켜기로 전환
    • 저장을 클릭하고 확인

  2. 리소스 그룹으로 이동합니다.

    • Microsoft Sentinel 작업 영역 및 데이터 수집 엔드포인트가 포함된 리소스 그룹으로 이동합니다.

  3. 필요한 역할 할당:

    • 액세스 제어 열기(IAM)
    • + 역할 할당 추가 > 를 클릭합니다.
    • 함수 앱의 시스템 할당 관리 ID에 다음 역할을 할당합니다.
  • 메트릭 게시자 모니터링: 데이터 수집 엔드포인트로 데이터 보내기
  • 모니터링 읽기 권한자: 데이터 수집 규칙 구성 읽기용

  1. 함수 앱 ID를 선택합니다.

    • 구성원 탭에서 관리 ID를 선택합니다.
    • 함수 앱을 선택하고 배포된 디렉터 프록시 함수 앱을 선택합니다.
    • 역할 할당 완료

  2. 함수 앱 액세스 토큰 가져오기(함수 키 인증의 경우 선택 사항):

    • 함수 앱으로 이동
    • 함수 아래 의 앱 키 로 이동
    • 기본 호스트 키 복사 또는 인증을 위한 새 함수 키 만들기

VirtualMetric DataStream 통합 구성

디렉터 프록시를 통해 Microsoft Sentinel 보안 원격 분석을 보내도록 VirtualMetric DataStream을 설정합니다.

  1. VirtualMetric DataStream 구성에 액세스:

    • VirtualMetric DataStream 관리 콘솔 로그인
    • 대상 섹션으로 이동합니다.
    • 대상 Microsoft Sentinel 클릭합니다.
    • 새 대상 추가를 클릭하거나 기존 Microsoft Sentinel 대상 편집

  2. 일반 설정 구성:

    • 이름: 대상의 이름 입력(예: "sentinel-with-proxy")
    • 설명: 필요에 따라 대상 구성에 대한 설명을 제공합니다.

  3. Azure 인증 구성: 서비스 주체 인증:

    • Azure 관리 ID: 사용 안 함 유지
    • 테넌트 ID: Azure Active Directory 테넌트 ID 입력
    • 클라이언트 ID: 서비스 주체 애플리케이션 ID 입력
    • 클라이언트 암호: Azure 관리 ID에 대한 서비스 주체 클라이언트 암호를 입력합니다.
    • Azure 관리 ID: 사용으로 설정

  4. 디렉터 프록시 구성(Azure 속성 탭에서):

    • 엔드포인트 주소: 2단계의 함수 앱 URL을 입력합니다(형식: https://<function-app-name>.azurewebsites.net).
    • 액세스 토큰: 3단계에서 함수 앱 호스트 키를 입력합니다(관리 ID를 사용하는 경우 선택 사항).

  5. Stream 속성 구성:

    • 엔드포인트: DCE 로그 수집 URI를 입력합니다(형식: https://<dce-name>.<region>.ingest.monitor.azure.com).
    • 스트림: 자동 스트림 검색을 위해 자동을 선택하거나 필요한 경우 특정 스트림을 구성합니다.

  6. Microsoft Sentinel 데이터 수집 확인:

    • Log Analytics 작업 영역으로 돌아가기
    • 샘플 쿼리를 실행하여 데이터가 수신되고 있는지 확인합니다. 
      CommonSecurityLog
| where TimeGenerated > ago(1h)
| take 10
    • Microsoft Sentinel 개요 dashboard 새 데이터 원본 및 이벤트 수를 확인합니다.



VMRayThreatIntelligence(Azure Functions 사용)

지원:VMRay

VMRayThreatIntelligence 커넥터는 VMRay에 대한 모든 제출에 대한 위협 인텔리전스를 자동으로 생성하고 공급하여 Sentinel 위협 탐지 및 인시던트 대응을 개선합니다. 이 원활한 통합을 통해 팀은 새로운 위협을 사전에 해결할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ThreatIntelligenceIndicator 아니요

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Azure 구독: azure active directory()에 애플리케이션을 등록하고 리소스 그룹의 앱에 기여자 역할을 할당하려면 소유자 역할이 있는 Azure 구독이 필요합니다.
  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • REST API 자격 증명/권한: VMRay API 키가 필요합니다.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 VMRay API에 연결하여 VMRay Threat IOC를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 데이터 수집 및 데이터를 Azure Blob Storage 비용에 저장하는 추가 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지Azure Blob Storage 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

VMRay 위협 인텔리전스 커넥터 배포

  1. 필요한 모든 필수 구성 요소( 클라이언트 ID, 테넌트 ID, 클라이언트 암호, VMRay API 키 및 VMRay 기본 URL)가 있는지 확인합니다.

  2. 클라이언트 ID, 클라이언트 암호 및 테넌트 ID를 가져오려면 다음 지침을 따릅니다.

  3. Flex 소비 계획의 경우 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  4. 프리미엄 플랜의 경우 아래 Azure 배포 단추를 클릭합니다.

    aka.ms.



AWS S3를 통한 VMware Carbon Black Cloud(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft

AWS S3 데이터 커넥터를 통한 VMware Carbon Black Cloud 는 AWS S3을 통해 관심 목록, 경고, 인증 및 엔드포인트 이벤트를 수집하고 ASIM 정규화된 테이블로 스트리밍하는 기능을 제공합니다. 커넥터를 사용하면 이벤트 검색을 통해 잠재적인 보안 위험을 평가하고, 공동 작업을 모니터링하고, 구성 문제를 진단하고 해결할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CarbonBlack_Alerts_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • 환경: 다음 AWS 리소스를 정의하고 구성해야 합니다. S3, SQS(Simple Queue Service), IAM 역할 및 권한 정책
  • 환경: AWS S3 버킷에 전달된 데이터를 만들려면 Carbon black 계정과 필요한 권한이 있어야 합니다. 자세한 내용은 Carbon Black Data Forwarder Docs를 참조하세요.

설치 지침:

  1. AWS CloudFormation 배포 AWS에 대한 액세스를 구성하기 위해 S3 버킷에서 Log Analytics 작업 영역으로 로그를 보내도록 AWS 환경을 설정하기 위해 두 개의 템플릿이 생성되었습니다.

각 템플릿에 대해 AWS에서 Stack을 만듭니다.

  1. AWS CloudFormation Stacks로 이동
  2. AWS에서 '템플릿 파일 업로드' 옵션을 선택하고 '파일 선택'을 클릭합니다. 다운로드한 템플릿 선택
  3. '다음' 및 '스택 만들기'를 클릭합니다.
  • 템플릿 1: OpenID 연결 인증 배포: <설치 시 제공되는 변수 값>
  • 템플릿 2: AWS Carbon Black 리소스 배포: <설치 시> 제공되는 변수 값 '템플릿 2: AWS Carbon Black 리소스 배포' 템플릿을 배포할 때 몇 가지 매개 변수를 제공해야 합니다.
  • 스택 이름: 선택한 스택 이름(AWS의 스택 목록에 표시됨)
  • 역할 이름: 'OIDC_' 접두사로 시작해야 하며 기본값이 있습니다.
  • 버킷 이름: 기존 버킷이 이미 있는 경우 선택한 버킷 이름입니다. 여기에 이름을 붙여넣습니다.
  • CreateNewBucket: 이 커넥터에 사용할 기존 버킷이 이미 있는 경우 이 옵션에 대해 'false'를 선택합니다. 그렇지 않으면 '버킷 이름'에 입력한 이름의 버킷이 이 스택에서 만들어집니다.
  • 지역: Carbon Black의 매핑을 기반으로 하는 AWS 리소스의 지역입니다. 자세한 내용은 Carbon Black 설명서를 참조하세요.
  • SQSQueuePrefix: 스택은 여러 큐를 만듭니다. 이 접두사는 각 큐에 추가됩니다.
  • WorkspaceID: 아래에 제공된 작업 영역 ID를 사용합니다.
  • 작업 영역 ID: <설치 시> 제공되는 변수 값 배포가 완료되면 '출력' 탭으로 이동합니다. 역할 ARN, S3 버킷 및 생성된 4개의 SQS 리소스가 표시됩니다. Carbon Black의 데이터 전달자 및 데이터 커넥터를 구성할 때 다음 단계에서 이러한 리소스가 필요합니다.

  1. Carbon Black 데이터 전달자 구성 모든 AWS 리소스를 만든 후에는 수집할 Microsoft Sentinel 이벤트를 AWS 버킷으로 전달하도록 Carbon Black을 구성해야 합니다. '데이터 전달자'를 만드는 방법에 대한 Carbon Black의 설명서에 따라 첫 번째 권장 옵션을 사용합니다. 버킷 이름을 입력하라는 메시지가 표시되면 이전 단계에서 만든 버킷을 사용합니다. 각 전달자에 대해 'S3 접두사'를 추가해야 합니다. 이 매핑을 사용하세요.

    이벤트 유형 S3 접두사
    경고 carbon-black-cloud-forwarder/Alerts
    인증 이벤트 carbon-black-cloud-forwarder/Auth
    엔드포인트 이벤트 carbon-black-cloud-forwarder/Endpoint
    관심 목록 적중 carbon-black-cloud-forwarder/Watchlist

2.1. 데이터 전달자 테스트(선택 사항) 데이터 전달자가 예상대로 구성되었는지 확인하려면 Carbon Black 포털에서 방금 만든 데이터 전달자를 검색하고 '작업' 열 아래의 '테스트 전달자' 단추를 클릭하면 S3 버킷에 'HealthCheck' 파일이 생성됩니다. 즉시 표시됩니다.

  1. 새 수집기 연결 Microsoft Sentinel AWS S3을 사용하도록 설정하려면 '새 수집기 추가' 단추를 클릭하고 필요한 정보를 입력하고, ARN 역할 및 SQS URL은 1단계에서 만들어집니다. 올바른 SQS URL을 입력하고 드롭다운에서 적절한 이벤트 유형을 선택해야 합니다. 예를 들어 경고 이벤트를 수집하려면 경고 SQS URL을 복사하고 '경고' 이벤트 유형을 선택해야 합니다. 드롭다운
  • 데이터 커넥터 그리드(포털에서 구성)



AMA를 통한 Windows DNS 이벤트

지원:Microsoft Corporation

Windows DNS 로그 커넥터를 사용하면 Azure 모니터링 에이전트(AMA)를 사용하여 Windows DNS 서버에서 Microsoft Sentinel 작업 영역으로 모든 분석 로그를 쉽게 필터링하고 스트리밍할 수 있습니다. 이 데이터를 Microsoft Sentinel 사용하면 다음과 같은 문제 및 보안 위협을 식별할 수 있습니다.

  • 악의적인 도메인 이름을 resolve.
  • 부실 리소스 레코드.
  • 자주 쿼리되는 도메인 이름 및 대화형 DNS 클라이언트.
  • DNS 서버에서 수행된 공격입니다.

Microsoft Sentinel Windows DNS 서버에 대한 다음 인사이트를 얻을 수 있습니다.

  • 모든 로그는 한 곳에서 중앙 집중화됩니다.
  • DNS 서버에서 로드를 요청합니다.
  • 동적 DNS 등록 실패.

Windows DNS 이벤트는 ASIM(고급 SIEM 정보 모델)에서 지원되며 데이터를 ASimDnsActivityLogs 테이블로 스트리밍합니다. 자세히 알아보기.

자세한 내용은 Microsoft Sentinel 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ASimDnsActivityLogs

데이터 수집 규칙 지원:작업 영역 변환 DCR

Windows 방화벽

지원:Microsoft Corporation

Windows 방화벽은 인터넷에서 시스템에 들어오는 정보를 필터링하고 잠재적으로 유해한 프로그램을 차단하는 Microsoft Windows 애플리케이션입니다. 소프트웨어는 대부분의 프로그램이 방화벽을 통해 통신하지 못하도록 차단합니다. 사용자는 방화벽을 통해 통신할 수 있도록 허용된 프로그램 목록에 프로그램을 추가하기만 하면 됩니다. 공용 네트워크를 사용하는 경우 Windows 방화벽은 컴퓨터에 연결하려는 모든 원치 않는 시도를 차단하여 시스템을 보호할 수도 있습니다. 자세한 내용은 Microsoft Sentinel 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집

데이터 수집 규칙 지원: 현재 지원되지 않음

AMA를 통한 Windows 방화벽 이벤트

지원:Microsoft Corporation

Windows 방화벽은 인터넷에서 시스템에 들어오는 정보를 필터링하고 잠재적으로 유해한 프로그램을 차단하는 Microsoft Windows 애플리케이션입니다. 방화벽 소프트웨어는 대부분의 프로그램이 방화벽을 통해 통신하지 못하도록 차단합니다. 컴퓨터에서 수집된 Windows 방화벽 애플리케이션 로그를 스트리밍하려면 Azure Monitor 에이전트(AMA)를 사용하여 해당 로그를 Microsoft Sentinel 작업 영역으로 스트리밍합니다.

구성된 DCE(데이터 수집 엔드포인트)는 AMA가 로그를 수집하기 위해 만든 DCR(데이터 수집 규칙)과 연결되어야 합니다. 이 커넥터의 경우 DCE는 작업 영역과 동일한 지역에 자동으로 만들어집니다. 동일한 지역에 저장된 DCE를 이미 사용하는 경우 기본 생성 DCE를 변경하고 API를 통해 기존 DCE를 사용할 수 있습니다. DCE는 리소스 이름에 SentinelDCE 접두사를 사용하여 리소스에 있을 수 있습니다.

자세한 내용은 다음 문서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집

데이터 수집 규칙 지원: 현재 지원되지 않음

Windows 전달 이벤트

지원:Microsoft Corporation

AMA(모니터 에이전트) Azure 사용하여 Microsoft Sentinel 작업 영역에 연결된 Windows Server에서 모든 WEF(Windows 이벤트 전달) 로그를 스트리밍할 수 있습니다. 이 연결을 사용하면 대시보드를 보고, 사용자 지정 경고를 만들고, 조사를 개선할 수 있습니다. 이렇게 하면 organization 네트워크에 대한 더 많은 인사이트를 제공하고 보안 작업 기능을 개선합니다. 자세한 내용은 Microsoft Sentinel 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
WindowsEvent

데이터 수집 규칙 지원:작업 영역 변환 DCR

AMA를 통한 이벤트 Windows 보안

지원:Microsoft Corporation

Windows 에이전트를 사용하여 Microsoft Sentinel 작업 영역에 연결된 Windows 컴퓨터에서 모든 보안 이벤트를 스트리밍할 수 있습니다. 이 연결을 사용하면 대시보드를 보고, 사용자 지정 경고를 만들고, 조사를 개선할 수 있습니다. 이렇게 하면 organization 네트워크에 대한 더 많은 인사이트를 제공하고 보안 작업 기능을 개선합니다. 자세한 내용은 Microsoft Sentinel 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
SecurityEvent

데이터 수집 규칙 지원:작업 영역 변환 DCR

WithSecure Elements API(Azure 함수)

지원자:WithSecure

WithSecure Elements는 위험, 복잡성 및 비효율성을 줄이기 위해 설계된 통합 클라우드 기반 사이버 보안 플랫폼입니다.

엔드포인트에서 클라우드 애플리케이션으로 보안을 강화합니다. 표적 공격부터 제로 데이 랜섬웨어에 이르기까지 모든 유형의 사이버 위협에 맞서 무장하세요.

WithSecure Elements는 모든 관리 및 단일 보안 센터를 통해 모니터링되는 강력한 예측, 예방 및 응답형 보안 기능을 결합합니다. 모듈식 구조와 유연한 가격 책정 모델을 통해 자유롭게 발전할 수 있습니다. 우리의 전문 지식과 통찰력을 통해, 당신은 항상 힘을 얻을 수 있습니다 - 그리고 당신은 혼자가 되지 않을 것입니다.

Microsoft Sentinel 통합을 사용하면 WithSecure Elements 솔루션의 보안 이벤트 데이터를 다른 원본의 데이터와 상호 연결하여 전체 환경에 대한 풍부한 개요와 위협에 대한 빠른 대응을 가능하게 할 수 있습니다.

이 솔루션을 사용하면 Azure 함수가 테넌트에게 배포되고 WithSecure Elements 보안 이벤트에 대해 주기적으로 폴링됩니다.

자세한 내용은 웹 사이트를 방문하세요 https://www.withsecure.com.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
WsSecurityEvents_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

설치 지침:

1. WithSecure Elements API 자격 증명 만들기

사용자 가이드에 따라 Elements API 자격 증명을 만듭니다. 자격 증명을 안전한 장소에 저장합니다.

2. Microsoft Entra 애플리케이션 만들기

새 Microsoft Entra 애플리케이션 및 자격 증명을 만듭니다. 디렉터리(테넌트) ID, 개체 ID, 애플리케이션(클라이언트) ID 및 클라이언트 암호(클라이언트 자격 증명 필드)의 지침을 따르고 값을 저장합니다. 안전한 장소에 클라이언트 비밀을 저장해야 합니다.

3. 함수 앱 배포

참고: 이 커넥터는 Azure Functions 사용하여 WithSecure Elements에서 로그를 가져옵니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) Microsoft Entra 클라이언트 자격 증명 및 WithSecure Elements API 클라이언트 자격 증명을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

중요: WithSecure Elements 커넥터를 배포하기 전에 작업 영역 이름(다음에서 복사할 수 있음), Microsoft Entra(디렉터리(테넌트) ID, 개체 ID, 애플리케이션(클라이언트) ID 및 클라이언트 암호)의 데이터뿐만 아니라 WithSecure Elements 클라이언트 자격 증명을 쉽게 사용할 수 있습니다.

  • 작업 영역 이름: <설치 시 제공되는 변수 값>

커넥터와 관련된 모든 리소스 배포

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 작업 영역 ID, Entra 클라이언트 ID, Entra 클라이언트 암호, Entra 테넌트 ID, Elements API 클라이언트 ID, Elements API 클라이언트 암호를 입력합니다.

참고: 위의 값에 Azure Key Vault 비밀을 사용하는 경우 문자열 값 대신 스키마를 사용합니다@Microsoft.KeyVault(SecretUri={Security Identifier}). 자세한 내용은 Key Vault 참조 설명서를 참조하세요. 4. 요소 API URL, 엔진, 엔진 그룹 등의 선택적 필드를 입력할 수도 있습니다. 특별한 경우가 아니면 Elements API URL의 기본값을 사용합니다. 엔진 및 엔진 그룹은보안 이벤트 요청 매개 변수에 매핑되며, 모든 보안 이벤트를 수신하려는 경우 특정 엔진 또는 엔진 그룹의 이벤트에만 관심이 있는 경우 해당 매개 변수를 입력합니다. 5. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다. 6. 구매 를 클릭하여 배포합니다.



Wiz(Azure Functions 사용)

지원 대상:Wiz

Wiz 커넥터를 사용하면 Wiz 문제, 취약성 조사 결과 및 감사 로그를 Microsoft Sentinel 쉽게 보낼 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
union isfuzzy=true (WizIssues_CL),(WizIssuesV2_CL) 아니요 아니요
union isfuzzy=true (WizVulnerabilities_CL),(WizVulnerabilitiesV2_CL) 아니요 아니요
union isfuzzy=true (WizAuditLogs_CL),(WizAuditLogsV2_CL) 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • Wiz 서비스 계정 자격 증명: Wiz 서비스 계정 클라이언트 ID 및 클라이언트 암호, API 엔드포인트 URL 및 인증 URL이 있는지 확인합니다. 지침은 Wiz 설명서에서 찾을 수 있습니다.

설치 지침:

참고: 이 커넥터: Azure Functions 사용하여 Wiz API에 연결하여 Wiz 문제, 취약성 조사 결과 및 감사 로그를 Microsoft Sentinel 가져옵니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요. 모든 필수 매개 변수가 비밀로 저장된 Azure Key Vault 만듭니다.

1단계 - Wiz 자격 증명 가져오기

Wiz 설명서의 지침에 따라 필수 자격 증명을 가져옵니다.

2단계 - 커넥터 및 연결된 Azure 함수 배포

중요: Wiz Connector를 배포하기 전에 이전 단계의 Wiz 자격 증명뿐만 아니라 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)를 갖습니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

옵션 1: ARM(Azure Resource Manager) 템플릿을 사용하여 배포

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 다음 매개 변수를 입력합니다.

  • 새 리소스에 대해 KeyVaultName 및 FunctionName 을 선택합니다.

  • 1단계의 Wiz 자격 증명을 입력합니다. WizAuthUrl, WizEndpointUrl, WizClientId 및 WizClientSecret

  • 작업 영역 자격 증명 AzureLogsAnalyticsWorkspaceId 및 AzureLogAnalyticsWorkspaceSharedKey를 입력합니다.

  • Microsoft Sentinel 보낼 Wiz 데이터 형식을 선택하고 Wiz 문제, 취약성 결과 및 감사 로그 중 하나 이상을 선택합니다.

  • (선택 사항) Wiz 설명서 에 따라 IssuesQueryFilter, VulnerbailitiesQueryFilter 및 AuditLogsQueryFilter를 추가합니다.

  1. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.
  2. 구매를 클릭하여 배포합니다.

옵션 2: Azure 함수 수동 배포

Wiz 설명서에 따라 커넥터를 수동으로 배포합니다.



Workday 사용자 활동

지원:Microsoft Corporation

Workday 사용자 활동 데이터 커넥터는 Workday API에서 Microsoft Sentinel 사용자 활동 로그를 수집하는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ASimAuditEventLogs

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Workday 사용자 활동 API 액세스: Oauth를 통해 Workday 사용자 활동 API에 액세스해야 합니다. API 클라이언트에는 시스템 감사 권한이 있는 계정에서 권한을 부여해야 하는 scope 있어야 합니다.

설치 지침:

Workday에 연결하여 Microsoft Sentinel 사용자 활동 로그 수집 시작

  1. Workday에서 "테넌트 설정 - 보안 편집" 작업에 액세스하고 "OAuth 2.0 설정" 섹션을 확인하고 "OAuth 2.0 클라이언트 사용" 검사 상자가 선택되어 있는지 확인합니다.
  2. Workday에서 "테넌트 설정 - 시스템 편집" 작업에 액세스하고 ,"사용자 활동 로깅" 섹션을 확인하고 "사용자 활동 로깅 사용" 검사 확인란이 선택되어 있는지 확인합니다.
  3. Workday에서 "API 클라이언트 등록" 작업에 액세스합니다.
  4. 클라이언트 이름을 정의하고 "클라이언트 권한 부여 유형": "권한 부여 코드 부여"를 선택한 다음, "액세스 토큰 유형": "전달자"를 선택합니다.
  5. 아래 양식에 있는 "리디렉션 URI"를 입력합니다.
  6. "범위(기능 영역)" 섹션에서 "시스템"을 선택하고 아래쪽에서 확인을 클릭합니다.
  7. 페이지에서 벗어나기 전에 클라이언트 ID 및 클라이언트 암호를 복사하고 안전하게 저장합니다.
  8. Sentinel 커넥터 페이지에서 이전 단계의 클라이언트 ID 및 클라이언트 암호와 함께 필요한 토큰, 권한 부여 및 사용자 활동 로그 엔드포인트를 제공합니다. 그런 다음"연결"을 클릭합니다.
  9. Workday 팝업이 표시되어 API 클라이언트의 OAuth2 인증 및 권한 부여를 완료합니다. 여기서 Workday 계정에 대한 자격 증명에 Workday에서 "시스템 감사" 권한을 제공해야 합니다(Workday 계정 또는 통합 시스템 사용자일 수 있음).
  10. 완료되면 API 클라이언트에 권한을 부여하는 메시지가 표시됩니다.



Facebook 작업 공간(Azure Functions 사용)

지원:Microsoft Corporation

Workplace 데이터 커넥터는 웹후크를 통해 일반적인 Workplace 이벤트를 Microsoft Sentinel 수집하는 기능을 제공합니다. 웹후크를 사용하면 사용자 지정 통합 앱이 Workplace에서 이벤트를 구독하고 실시간으로 업데이트를 받을 수 있습니다. Workplace에서 변경이 발생하면 이벤트 정보가 포함된 HTTPS POST 요청이 콜백 데이터 커넥터 URL로 전송됩니다. 자세한 내용은 웹후크 설명서를 참조하세요. 커넥터를 사용하면 이벤트 검색을 통해 잠재적인 보안 위험을 평가하고, 공동 작업을 모니터링하고, 구성 문제를 진단하고 해결할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Workplace_Facebook_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • 웹후크 자격 증명/권한: 작업 웹후크에 WorkplaceAppSecret, WorkplaceVerifyToken, 콜백 URL이 필요합니다. 웹후크 구성, 권한 구성에 대한 자세한 내용은 설명서를 참조하세요.

설치 지침:

참고: 이 데이터 커넥터는 로그가 있는 POST 요청을 대기하여 로그를 Microsoft Sentinel 끌어오기 위해 HTTP 트리거 기반의 Azure Functions 사용합니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. Azure Functions 앱에서 Azure Key Vault 사용하려면 다음 지침을 따릅니다.

참고: 이 데이터 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 솔루션의 일부로 배포되는 예상대로 작동합니다. Log Analytics에서 함수 코드를 보려면 Log Analytics/Microsoft Sentinel 로그 블레이드를 열고 함수를 클릭하고 별칭 WorkplaceFacebook을 검색하고 함수 코드를 로드하거나 쿼리의 두 번째 줄에서 여기를 클릭하고 Workplace Facebook 디바이스의 호스트 이름 및 logstream에 대한 기타 고유 식별자를 입력합니다. 함수는 일반적으로 솔루션 설치/업데이트 후 활성화하는 데 10-15분이 걸립니다.

1단계 - Workplace에 대한 구성 단계

지침에 따라 웹후크를 구성합니다.

  1. 관리 사용자 자격 증명을 사용하여 Workplace에 로그인합니다.
  2. 관리 패널에서 통합을 클릭합니다.
  3. 모든 통합 보기에서 사용자 지정 통합 만들기를 클릭합니다.
  4. 이름 및 설명을 입력하고 만들기를 클릭합니다.
  5. 통합 세부 정보 패널에 앱 비밀 및 복사가 표시됩니다.
  6. 통합 권한 창에서 모든 읽기 권한을 설정합니다. 자세한 내용은 사용 권한 페이지를 참조하세요.
  7. 이제 2단계로 진행하여 옵션 1 또는 2에 나열된 단계에 따라 Azure 함수를 배포합니다.
  8. 요청된 매개 변수를 입력하고 선택한 토큰도 입력합니다. 이 토큰을 복사/ 예정된 단계에 대해 확인합니다.
  9. Azure Functions 배포가 성공적으로 완료되면 함수 앱 페이지를 열고, 앱을 선택하고, 함수로 이동하고, 함수 URL 가져오기를 클릭하고, 이 URL을 복사합니다. / 예정된 단계에 대해 기록해 둡니다.
  10. Facebook Workplace로 돌아가기. 각 탭의 웹후크 구성 패널에서 콜백 URL을 위의 포인트 9에서 복사한 값과 동일한 값으로 설정하고, Azure Functions 배포의 2단계 중에 가져온 위의 점 8에서 복사한 것과 동일한 값으로 토큰을 확인합니다.
  11. 저장을 클릭합니다.

2단계 - 커넥터 및 연결된 Azure Functions 배포하려면 다음 두 가지 배포 옵션 중 하나를 선택합니다.

중요: Workplace 데이터 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키를 갖습니다(다음에서 복사할 수 있음).

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

옵션 1 - ARM(Azure Resource Manager) 템플릿

ARM Tempate를 사용하여 Workplace 데이터 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.msaka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

참고: 동일한 리소스 그룹 내에서는 Windows 및 Linux 앱을 동일한 지역에 혼합할 수 없습니다. Windows 앱이 없는 기존 리소스 그룹을 선택하거나 새 리소스 그룹을 만듭니다. 3. WorkplaceVerifyToken(식일 수 있음, 1단계에 대해 복사 및 저장 가능), WorkplaceAppSecret 및 배포를 입력합니다. 4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다. 5. 구매 를 클릭하여 배포합니다. 6. 열린 함수 앱 페이지를 배포한 후 앱을 선택하고 함수로 이동하여 함수 URL 가져오기 복사를 클릭하고 1단계에서 p.7을 따릅니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 sophos Endpoint Protection 데이터 커넥터를 Azure Functions 사용하여 수동으로 배포합니다(Visual Studio Code 통해 배포).

1단계 - 함수 앱 배포

참고: Azure 함수 개발을 위해 VS 코드를 준비해야 합니다.

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.
  2. 함수 앱 수동 배포 지침에 따라 VSCode를 사용하여 Azure Functions 앱을 배포합니다.
  3. 함수 앱을 성공적으로 배포한 후 구성을 위한 다음 단계를 수행합니다.

2단계 - 함수 앱 구성

  1. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.
  2. 애플리케이션 설정 탭에서 새 애플리케이션 설정을 선택합니다.
  3. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. WorkplaceAppSecret WorkplaceVerifyToken WorkspaceID WorkspaceKey logAnalyticsUri(선택 사항)
  • logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 값을 형식https://<CustomerId>.ods.opinsights.azure.us으로 지정합니다.
  1. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



XBOW 보안 플랫폼(Azure 함수를 통해)

지원:XBOW

XBOW 데이터 커넥터는 XBOW 보안 플랫폼에서 Microsoft Sentinel 자산 스냅샷, 취약성 조사 결과 및 평가 활동을 수집합니다. Azure 함수는 타이머에서 XBOW API를 폴링하고 DCE/DCR(Monitor IngEstion API)을 Azure 사용하여 자산 JSON 스냅샷XbowAssets_CL을 로 푸시하고, 보강된 결과(증거, PoC 레시피, 영향 및 완화 포함)XbowFindings_CL를 에 푸시하고 수명 주기 이벤트를 XbowAssessments_CL평가합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
XbowAssets_CL 아니요 아니요
XbowFindings_CL 아니요 아니요
XbowAssessments_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • XBOW API 토큰: XBOW 개인용 액세스 토큰이 필요합니다. 설정 > 개인용 액세스 토큰 아래의 XBOW 콘솔에서 하나를 생성합니다. 토큰의 범위를 모니터링하려는 organization 지정합니다.
  • XBOW 조직 ID: XBOW 계정의 조직 ID입니다. XBOW 콘솔 URL 또는 API를 통해 찾습니다.
  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • 필요한 경우 사용자 지정 필수 구성 요소, 그렇지 않으면 이 세관 태그를 삭제합니다. 사용자 지정 필수 구성 요소에 대한 설명
  • Azure AD 앱 등록: Azure AD 앱 등록(서비스 주체)이 필요합니다. 배포 후 DCR(데이터 수집 규칙)에서 모니터링 메트릭 게시자 역할을 이 앱 등록에 수동으로 할당해야 합니다.

설치 지침:

참고: 이 커넥터는 Azure Functions 및 DCE/DCR(Azure Monitor 수집 API)을 사용하여 XBOW 자산, 결과 및 평가를 Microsoft Sentinel 수집합니다. ARM 템플릿은 데이터 컬렉션 엔드포인트, 사용자 지정 로그 테이블(XbowAssets_CL, XbowFindings_CL및 ), 데이터 수집 규칙 및 XbowAssessments_CL함수 앱을 자동으로 만듭니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지Azure 모니터링 가격 책정 페이지를 확인하세요.

(선택적 단계) XBOW API 토큰 및 앱 등록 자격 증명을 Azure Key Vault 안전하게 저장합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 참조를 사용합니다.

1단계 - XBOW API 토큰 생성

  1. 관리자 액세스 권한으로 XBOW 콘솔 에 로그인합니다.
  2. 프로필 아이콘(오른쪽 위)을 클릭하고 설정을 선택합니다.
  3. 왼쪽 사이드바에서 개인용 액세스 토큰을 클릭합니다.
  4. 새 토큰 생성을 클릭하고 이름을 입력한 다음 organization scope 선택합니다.
  5. 토큰을 복사하고 안전하게 저장합니다. 다시 표시되지 않습니다.
  6. organization 볼 때 XBOW 콘솔 또는 URL에서 조직 ID를 기록해 둡니다.

2단계 - Azure AD 앱 등록 만들기 및 DCR 역할 부여

  1. Azure 포털에서 Azure Active Directory > 앱 등록 > 새 등록으로 이동합니다.
  2. 이름(예: Xbow-Sentinel-Connector)을 입력하고 등록합니다.
  3. 인증서 & 비밀에서 새 클라이언트 암호를 만듭니다. 테넌트 ID, 클라이언트 ID 및 클라이언트 암호를 기록해 둡니다.
  4. 아래의 3단계를 사용하여 커넥터를 배포한 다음, 여기로 돌아갑니다.
  5. 배포 출력에서 또는 리소스 그룹에서 검색하여 배포된 데이터 수집 규칙을 엽니다.
  6. 액세스 제어(IAM) > 역할 할당 추가로 이동합니다.
  7. 역할 모니터링 메트릭 게시자를 선택합니다.
  8. 위에서 만든 앱 등록(서비스 주체)에 대한 액세스를 할당합니다.
  9. 수집을 확인하기 전에 RBAC 전파를 위해 몇 분 정도 기다립니다.

3단계 - Azure 함수 앱 배포

배포를 클릭하여 Azure 매개 변수를 입력합니다. 템플릿은 데이터 수집 엔드포인트, , 및 테이블, XbowAssets_CL데이터 수집 규칙 및 XbowAssessments_CL 함수 앱을 자동으로 만듭니XbowFindings_CL다.

aka.ms

채울 매개 변수:

매개 변수 설명
WorkspaceName Log Analytics/Microsoft Sentinel 작업 영역의 이름
XbowApiToken 1단계의 XBOW 개인용 액세스 토큰
XbowOrgId 1단계의 XBOW 조직 ID
TenantId 2단계에서 테넌트 ID Azure AD
ClientId 2단계의 앱 등록 클라이언트 ID
ClientSecret 2단계의 앱 등록 클라이언트 암호
AppInsightsWorkspaceResourceID Log Analytics 작업 영역의 전체 리소스 ID( Log Analytics 작업 영역 > 속성에서)
FunctionAppLocation 함수 앱 리소스에 대한 선택적 Azure 지역(기본값: 리소스 그룹 위치)
  • 작업 영역 ID: <설치 시 제공되는 변수 값>



제로 네트워크 세그먼트(푸시)

지원:제로 네트워크

제로 네트워크 세그먼트 푸시 커넥터를 사용하면 제로 네트워크가 감사, 네트워크 활동, ID 활동 및 RPC 활동을 실시간으로 Microsoft Sentinel 직접 보낼 수 있습니다. 커넥터를 배포하여 DCR(데이터 수집 규칙) 및 Microsoft Entra 앱을 만든 다음, 연결 세부 정보를 사용하여 제로 네트워크 애플리케이션을 구성하여 이벤트를 푸시합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ZNAudit_CL
ZNNetworkActivity_CL
ZNIdentityActivity_CL
ZNRPCActivity_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Microsoft Entra: Microsoft Entra ID 앱 등록을 만들 수 있는 권한입니다. 일반적으로 Entra ID 애플리케이션 개발자 역할 이상이 필요합니다.
  • Microsoft Azure: DCR(데이터 수집 규칙)에 대한 모니터링 메트릭 게시자 역할을 할당할 수 있는 권한입니다. 일반적으로 AZURE RBAC 소유자 또는 사용자 액세스 관리자 역할이 필요합니다.

설치 지침:

1. ARM 리소스 만들기 및 필요한 권한 제공

푸시 커넥터를 배포하여 Log Analytics 테이블, DCR(데이터 수집 규칙), DCE(데이터 수집 엔드포인트) 및 Microsoft Entra 앱을 만듭니다. 그런 다음, 연결 세부 정보를 사용하여 Zero Networks 애플리케이션을 구성합니다.

자동화된 구성 클릭 "배포"는 DCR 및 DCE를 만든 다음, 클라이언트 암호를 사용하여 앱 등록을 Microsoft Entra DCR에 대한 권한을 부여합니다. 그러면 애플리케이션이 OAuth 2.0 클라이언트 자격 증명을 사용하여 데이터를 안전하게 보낼 수 있습니다.

2. 제로 네트워크 애플리케이션 구성

다음 값을 사용하여 감사, 네트워크 활동, ID 활동 및 RPC 활동을 Microsoft Sentinel 푸시하도록 제로 네트워크 애플리케이션을 구성합니다.

  • 테넌트 ID(디렉터리 ID): <설치 시 제공되는 변수 값>
  • Entra 애플리케이션 ID: <설치 시 제공되는 변수 값>
  • Entra 애플리케이션 비밀: <설치 시 제공되는 변수 값>
  • 데이터 수집 엔드포인트 URI: <설치 시 제공되는 변수 값>
  • 데이터 수집 규칙 변경할 수 없는 ID: <설치 시 제공되는 변수 값>
  • Stream: 감사: <설치 시 제공되는 변수 값>
  • Stream: 네트워크 활동: <설치 시 제공되는 변수 값>
  • Stream: ID 활동: <설치 시 제공되는 변수 값>
  • Stream: RPC 활동: <설치 시 제공되는 변수 값>



제로 네트워크 세그먼트 감사

지원:제로 네트워크

제로 네트워크 세그먼트 감사 데이터 커넥터는 REST API를 통해 제로 네트워크 감사 이벤트를 Microsoft Sentinel 수집하는 기능을 제공합니다. 이 데이터 커넥터는 Microsoft Sentinel 네이티브 폴링 기능을 사용합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ZNSegmentAuditNativePoller_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • 제로 네트워크 API 토큰: REST API에는 ZeroNetworksAPIToken 이 필요합니다. API 가이드를 참조하고 자격 증명을 가져오기 위한 지침을 따릅니다.

설치 지침:

제로 네트워크를 Microsoft Sentinel 연결

Zero Networks API URL(예: portal.zeronetworks.com)을 입력합니다. 커넥터는 https:// 및 /api/v1/audit를 자동으로 추가합니다. 그런 다음, API 키를 제공하고 연결을 클릭합니다.

  • 제로 네트워크 API URL: (portal.zeronetworks.com)
  • ApiKey: (ApiKey)
  • 연결 사용/사용 안 함
  • 데이터 커넥터 그리드(포털에서 구성)



ZeroFox CTI

지원:ZeroFox

ZeroFox CTI 데이터 커넥터는 다양한 ZeroFox 사이버 위협 인텔리전스 경고를 Microsoft Sentinel 수집하는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ZeroFox_CTI_advanced_dark_web_CL 아니요 아니요
ZeroFox_CTI_botnet_CL 아니요 아니요
ZeroFox_CTI_breaches_CL 아니요 아니요
ZeroFox_CTI_C2_CL 아니요 아니요
ZeroFox_CTI_compromised_credentials_CL 아니요 아니요
ZeroFox_CTI_credit_cards_CL 아니요 아니요
ZeroFox_CTI_dark_web_CL 아니요 아니요
ZeroFox_CTI_discord_CL 아니요 아니요
ZeroFox_CTI_disruption_CL 아니요 아니요
ZeroFox_CTI_email_addresses_CL 아니요 아니요
ZeroFox_CTI_exploits_CL 아니요 아니요
ZeroFox_CTI_irc_CL 아니요 아니요
ZeroFox_CTI_malware_CL 아니요 아니요
ZeroFox_CTI_national_ids_CL 아니요 아니요
ZeroFox_CTI_phishing_CL 아니요 아니요
ZeroFox_CTI_phone_numbers_CL 아니요 아니요
ZeroFox_CTI_ransomware_CL 아니요 아니요
ZeroFox_CTI_telegram_CL 아니요 아니요
ZeroFox_CTI_threat_actors_CL 아니요 아니요
ZeroFox_CTI_vulnerabilities_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • ZeroFox API 자격 증명/권한: ZeroFox CTI REST API에는 ZeroFox 사용자 이름, ZeroFox 개인용 액세스 토큰 이 필요합니다.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 ZeroFox CTI REST API에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

1단계 - ZeroFox 자격 증명 검색:

로깅을 설정하고 자격 증명을 가져오려면 다음 지침을 따릅니다.

  1. ZeroFox의 웹 사이트에 로그인합니다. 사용자 이름 및 암호 사용 2 - 설정 단추를 클릭하고 데이터 커넥터 섹션으로 이동합니다. 3 - API 데이터 피드 탭을 선택하고 페이지 맨 아래로 이동하여 API 정보 상자에서 다시 설정을>> 선택하여 <<사용자 이름과 함께 사용할 개인용 액세스 토큰을 가져옵니다.

2단계 - Azure Resource Manager 템플릿을 사용하여 Azure 함수 데이터 커넥터를 배포합니다.

중요: ZeroFox CTI 데이터 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)를 쉽게 사용할 수 있습니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

배포를 위한 리소스 준비.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹, Log Analytics 작업 영역 및 위치를 선택합니다.

  3. 작업 영역 ID, 작업 영역 키, ZeroFox 사용자 이름, ZeroFox 개인용 액세스 토큰 입력

  5. 검토 + 만들기를 클릭하여 배포합니다.



ZeroFox Enterprise - 경고(폴링 CCF)

지원:ZeroFox

ZeroFox API에서 경고를 수집합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ZeroFoxAlertPoller_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • ZeroFox PAT(개인용 액세스 토큰): ZeroFox PAT가 필요합니다. 데이터 커넥터 >API 데이터 피드에서 가져올 수 있습니다.

설치 지침:

ZeroFox를 Microsoft Sentinel 연결

ZeroFox를 Microsoft Sentinel 연결

  • ZeroFox PAT 제공: (Zerofox PAT)
  • 연결 사용/사용 안 함



Zimperium Mobile Threat Defense

지원:Zimperium

Zimperium Mobile Threat Defense 커넥터를 사용하면 Zimperium 위협 로그를 Microsoft Sentinel 연결하여 대시보드를 보고, 사용자 지정 경고를 만들고, 조사를 개선할 수 있습니다. 이렇게 하면 organization 모바일 위협 환경에 대한 더 많은 인사이트를 제공하고 보안 운영 기능을 향상시킵니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ZimperiumThreatLog_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

설치 지침:

Zimperium MTD 구성 및 연결

  1. zConsole의 탐색 모음에서 관리를 클릭합니다.
  2. 통합 탭 클릭합니다.
  3. 위협 보고 단추를 클릭한 다음 통합 추가 단추를 클릭합니다.
  4. 통합 만들기:
  • 사용 가능한 통합에서 Microsoft Microsoft Sentinel 선택합니다.
  • 아래 필드에서 작업 영역 ID 및 기본 키를 입력하고 다음을 클릭합니다.
  • Microsoft Sentinel 통합의 이름을 입력합니다.
  • Microsoft Sentinel 푸시하려는 위협 데이터에 대한 필터 수준을 선택합니다.
  • 마침을 클릭합니다.
  1. 추가 지침은 Zimperium 고객 지원 포털을 참조하세요.
  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>



보고서 확대/축소(Azure Functions 사용)

지원:Microsoft Corporation

Zoom Reports 데이터 커넥터는 REST API를 통해 Zoom Reports 이벤트를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 API 설명서를 참조하세요. 커넥터를 사용하면 이벤트 검색을 통해 잠재적인 보안 위험을 평가하고, 공동 작업을 모니터링하고, 구성 문제를 진단하고 해결할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Zoom_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Zoom API에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

참고: 이 데이터 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 솔루션의 일부로 배포되는 예상대로 작동합니다. Log Analytics에서 함수 코드를 보려면 Log Analytics/Microsoft Sentinel 로그 블레이드를 열고 함수를 클릭하고 별칭 확대/축소를 검색하고 함수 코드를 로드하거나 여기를 클릭합니다. 함수는 일반적으로 솔루션 설치/업데이트 후 활성화하는 데 10-15분이 걸립니다.

1단계 - Zoom API에 대한 구성 단계

지침에 따라 자격 증명을 가져옵니다.

2단계 - 커넥터 및 연결된 Azure 함수를 배포하려면 다음 두 가지 배포 옵션 중 하나를 선택합니다.

중요: Zoom Reports 데이터 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키를 갖습니다(다음에서 복사할 수 있음).

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

옵션 1 - ARM(Azure Resource Manager) 템플릿

ARM Tempate를 사용하여 Zoom Audit 데이터 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.msaka.ms

  2. 기본 구독, 리소스 그룹 및 지역을 선택합니다.

참고: 동일한 리소스 그룹 내에서는 Windows 및 Linux 앱을 동일한 지역에 혼합할 수 없습니다. Windows 앱이 없는 기존 리소스 그룹을 선택하거나 새 리소스 그룹을 만듭니다. 3. AccountID, ClientID, ClientSecret, WorkspaceID, WorkspaceKey, 함수 이름을 입력하고 검토 + 만들기를 클릭합니다. 4. 마지막으로 만들기 를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions(Visual Studio Code 통해 배포)를 사용하여 Zoom Reports 데이터 커넥터를 수동으로 배포합니다.

1단계 - 함수 앱 배포

참고: Azure 함수 개발을 위해 VS 코드를 준비해야 합니다.

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.

  2. VS Code를 시작합니다. 주 메뉴에서 파일을 선택하고 폴더 열기를 선택합니다.

  3. 추출된 파일에서 최상위 폴더를 선택합니다.

  4. 작업 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 함수에 배포 앱 단추를 선택합니다. 아직 로그인하지 않은 경우 활동 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 로그인을 선택하여 Azure 이미 로그인한 경우 다음 단계로 이동합니다.

  5. 프롬프트에서 다음 정보를 제공합니다.

    a. 폴더 선택: 작업 영역에서 폴더를 선택하거나 함수 앱이 포함된 폴더로 이동합니다.

    b. 구독을 선택합니다. 사용할 구독을 선택합니다.

    c. Azure 새 함수 앱 만들기를 선택합니다(고급 옵션을 선택하지 않음).

    d. 함수 앱의 전역적으로 고유한 이름을 입력합니다 . URL 경로에 유효한 이름을 입력합니다. 입력한 이름은 Azure Functions 고유하도록 유효성을 검사합니다. (예: ZoomXXXXX).

    e. 런타임 선택: Python 3.11을 선택합니다.

    f. 새 리소스의 위치를 선택합니다. 성능 향상 및 비용 절감을 위해 Microsoft Sentinel 있는 동일한 지역을 선택합니다.

  6. 배포가 시작됩니다. 함수 앱이 만들어지고 배포 패키지가 적용된 후 알림이 표시됩니다.

  7. 함수 앱 구성에 대한 Azure 포털로 이동합니다.

2단계 - 함수 앱 구성

  1. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.
  2. 애플리케이션 설정 탭에서 새 애플리케이션 설정을 선택합니다.
  3. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. AccountID ClientID ClientSecret WorkspaceID WorkspaceID WorkspaceKey logAnalyticsUri(선택 사항) logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 값을 형식https://<CustomerId>.ods.opinsights.azure.us으로 지정합니다.
  4. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



Zoom Reports Connector(코드리스 커넥터 프레임워크를 통해)

지원:Microsoft Corporation

Zoom Reports 데이터 커넥터를 사용하면 Zoom REST API v2를 통해 Zoom Reports 데이터를 Microsoft Sentinel 수집할 수 있으므로 organization 확대/축소 사용량을 모니터링하고 감사할 수 있습니다. 이 커넥터는 인증을 위해 서버 간 OAuth 계정 자격 증명을 사용하며, 모임 통계 및 사용 현황 메트릭에 대한 일일 사용 현황 보고서, 활성/비활성 사용자 호스트 정보에 대한 사용자 보고서, 전화 통신 사용 통계에 대한 전화 통신 보고서, 클라우드 스토리지 및 기록 사용량에 대한 클라우드 기록 사용 보고서, 관리 작업 및 감사 추적을 위한 작업 로그, 및 사용자 로그인/로그아웃 활동에 대한 활동 로그입니다. 각 보고서 유형은 NextPageToken을 사용하여 자동 페이지 매김 지원을 통해 별도의 폴링 구성에서 수집됩니다. 데이터 커넥터는 Microsoft Sentinel Codeless Connector Framework를 기반으로 하며 최적화된 쿼리 성능을 위해 DCR 기반 수집 시간 변환을 지원합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
ZoomV2_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • 확대/축소 API 액세스: 계정 자격 증명을 사용하여 ZOOM REST API v2에 대한 액세스

설치 지침:

1. 확대/축소 구성

서버-서버 OAuth 앱 구성 및 자격 증명 수집

1단계: Zoom Server-to-Server OAuth 앱 설정, 앱 만들기를 따릅니다. 앱에 보고서 관련 범위를 추가해야 합니다.

  • report:read:list_users:admin
  • report:read:cloud_recording:admin
  • report:read:daily_usage:admin
  • report:read:operation_logs:admin
  • report:read:telephone:admin
  • report:read:user_activities:admin

자세한 내용은 서버에서 서버로 OAuth 설명서보고서 API 확대/축소를 참조하세요.

2단계: 앱 자격 증명 가져오기

확대/축소 앱 마켓플레이스의 페이지에서 앱 자격 증명(계정 ID, 클라이언트 ID 및 클라이언트 암호) Personal app management 을 찾습니다.

보안 정보

  • 계정 ID, 클라이언트 ID 및 클라이언트 암호를 안전하게 저장

  • 보안 강화를 위해 정기적으로 자격 증명 회전

2. 연결

Zoom Reports 커넥터 사용

커넥터 활성화

2단계에서 찾은 Zoom 앱 자격 증명을 검토한 다음 커넥터가 Zoom Reports 데이터 수집을 시작할 수 있도록 설정합니다.

모니터링

다음 쿼리를 사용하여 데이터 도착을 확인합니다.

모든 보고서 유형을 확인합니다.

ZoomV2_CL
| where TimeGenerated > ago(30m)
| summarize Records = count() by EventType

특정 보고서 유형을 확인합니다.

ZoomV2_CL
| where EventType == 'dates'
| where TimeGenerated > ago(1h)
| limit 10

커넥터 상태 모니터링:

ZoomV2_CL
| where TimeGenerated > ago(24h)
| summarize LastRecord = max(TimeGenerated), RecordCount = count() by EventType
| order by LastRecord desc
  • 연결 사용/사용 안 함



사용되지 않는 Sentinel 데이터 커넥터

참고

다음 표에서는 사용되지 않는 데이터 커넥터와 레거시 데이터 커넥터를 나열합니다. 사용되지 않는 커넥터는 더 이상 지원되지 않습니다.

[사용되지 않음] Auth0 로그(Azure 함수 사용)(Azure Functions 사용)

지원:Microsoft Corporation

Auth0 로그(Azure 함수 사용) 데이터 커넥터는 Auth0 로그 이벤트를 Microsoft Sentinel 수집하는 기능을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Auth0AM_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Auth0 관리 API에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

1단계 - Auth0 Management API에 대한 구성 단계

지침에 따라 자격 증명을 가져옵니다.

  1. Auth0 대시보드에서 애플리케이션 애플리케이션>으로 이동합니다.
  2. 애플리케이션을 선택합니다. 적어도 read:logs 및 read:logs_users 권한으로 구성된 "Machine-to-Machine" 애플리케이션이어야 합니다.
  3. 도메인, ClientID, 클라이언트 암호 복사

2단계 - 커넥터 및 연결된 Azure 함수를 배포하려면 다음 두 가지 배포 옵션 중 하나를 선택합니다.

중요: Auth0 Access Management 데이터 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키를 갖습니다(다음에서 복사할 수 있음).

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

옵션 1 - ARM(Azure Resource Manager) 템플릿

ARM 템플릿을 사용하여 Auth0 Access Management 데이터 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

참고: 동일한 리소스 그룹 내에서는 Windows 및 Linux 앱을 동일한 지역에 혼합할 수 없습니다. Windows 앱이 없는 기존 리소스 그룹을 선택하거나 새 리소스 그룹을 만듭니다. 3. 도메인, ClientID, 클라이언트 암호, AzureSentinelWorkspaceId, AzureSentinelSharedKey를 입력합니다. 4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다. 5. 구매 를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions 사용하여 Auth0 Access Management 데이터 커넥터를 수동으로 배포합니다(Visual Studio Code 통해 배포).

  1. 함수 앱 배포

참고: Azure 함수 개발을 위해 VS 코드를 준비해야 합니다.

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.

  2. VS Code를 시작합니다. 주 메뉴에서 파일을 선택하고 폴더 열기를 선택합니다.

  3. 추출된 파일에서 최상위 폴더를 선택합니다.

  4. 작업 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 함수에 배포 앱 단추를 선택합니다. 아직 로그인하지 않은 경우 활동 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 로그인을 선택하여 Azure 이미 로그인한 경우 다음 단계로 이동합니다.

  5. 프롬프트에서 다음 정보를 제공합니다.

    a. 폴더 선택: 작업 영역에서 폴더를 선택하거나 함수 앱이 포함된 폴더로 이동합니다.

    b. 구독을 선택합니다. 사용할 구독을 선택합니다.

    c. Azure 새 함수 앱 만들기를 선택합니다(고급 옵션을 선택하지 않음).

    d. 함수 앱의 전역적으로 고유한 이름을 입력합니다 . URL 경로에 유효한 이름을 입력합니다. 입력한 이름은 Azure Functions 고유하도록 유효성을 검사합니다. (예: Auth0AMXXXXX).

    e. 런타임 선택: Python 3.11을 선택합니다.

    f. 새 리소스의 위치를 선택합니다. 성능 향상 및 비용 절감을 위해 Microsoft Sentinel 있는 동일한 지역을 선택합니다.

  6. 배포가 시작됩니다. 함수 앱이 만들어지고 배포 패키지가 적용된 후 알림이 표시됩니다.

  7. 함수 앱 구성에 대한 Azure 포털로 이동합니다.

  8. 함수 앱 구성

  9. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.

  10. 애플리케이션 설정 탭에서 새 애플리케이션 설정을 선택합니다.

  11. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. DOMAIN CLIENT_ID CLIENT_SECRET WorkspaceID WorkspaceKey logAnalyticsUri(선택 사항)

  • logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 값을 형식https://<CustomerId>.ods.opinsights.azure.us으로 지정합니다.
  1. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



[사용되지 않음] GitHub Enterprise 감사 로그

지원:Microsoft Corporation

GitHub 감사 로그 커넥터는 GitHub 로그를 Microsoft Sentinel 수집하는 기능을 제공합니다. GitHub 감사 로그를 Microsoft Sentinel 연결하면 통합 문서에서 이 데이터를 보고, 이를 사용하여 사용자 지정 경고를 만들고, 조사 프로세스를 개선할 수 있습니다.

참고: GitHub 구독 이벤트를 Microsoft Sentinel 수집하려는 경우 "데이터 커넥터" 갤러리에서 GitHub(웹후크 사용) 커넥터를 참조하세요.

참고: 이 데이터 커넥터는 더 이상 사용되지 않습니다. 사용되지 않는 HTTP 데이터 수집기 API를 통해 수집을 대체하는 솔루션에서 사용할 수 있는 CCF 데이터 커넥터로 이동하는 것이 좋습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
GitHubAuditLogPolling_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • GitHub API 개인용 액세스 토큰: organization 감사 로그에 대한 폴링을 사용하도록 설정하려면 GitHub 개인용 액세스 토큰이 필요합니다. 'read:org' scope 클래식 토큰 또는 '관리: 읽기 전용' scope 있는 세분화된 토큰을 사용할 수 있습니다.
  • GitHub Enterprise 유형: 이 커넥터는 GitHub Enterprise Cloud에서만 작동합니다. GitHub Enterprise Server를 지원하지 않습니다.

설치 지침:

GitHub Enterprise 조직 수준 감사 로그를 Microsoft Sentinel 연결

GitHub 감사 로그를 사용하도록 설정합니다. 이 가이드에 따라 개인용 액세스 토큰을 만들거나 찾습니다.



[사용되지 않음] 레거시 에이전트를 통한 Infoblox SOC Insight Data Connector

지원:Infoblox

Infoblox SOC Insight Data Connector를 사용하면 Infoblox BloxOne SOC Insight 데이터를 Microsoft Sentinel 쉽게 연결할 수 있습니다. 로그를 Microsoft Sentinel 연결하면 각 로그에 대한 검색 & 상관 관계, 경고 및 위협 인텔리전스 보강을 활용할 수 있습니다.

이 데이터 커넥터는 레거시 Log Analytics 에이전트를 사용하여 Infoblox SOC Insight CDC 로그를 Log Analytics 작업 영역에 수집합니다.

Microsoft는 AMA 커넥터를 통해 Infoblox SOC Insight Data Connector를 설치하는 것이 좋습니다. 레거시 커넥터는 2024년 8월 31 일로 더 이상 사용되지 않을 Log Analytics 에이전트를 사용하며 AMA가 지원되지 않는 경우에만 설치해야 합니다.

동일한 컴퓨터에서 MMA 및 AMA를 사용하면 로그 중복 및 추가 수집 비용이 발생할 수 있습니다. 자세한 내용.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CommonSecurityLog

데이터 수집 규칙 지원:작업 영역 변환 DCR

설치 지침:

작업 영역 키

이 솔루션의 일부로 플레이북을 사용하려면 편의를 위해 아래 작업 영역 ID 및 작업 영역 기본 키를 찾습니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 작업 영역 키: <설치 시 제공되는 변수 값>

파서

이 데이터 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 Microsoft Sentinel Solution과 함께 배포되는 InfobloxCDC_SOCInsights 호출된 대로 작동합니다.

SOC 인사이트

이 데이터 커넥터는 사용자가 Infoblox BloxOne Threat Defense SOC Insights에 액세스할 수 있다고 가정합니다. SOC Insights에 대한 자세한 내용은 여기에서 확인할 수 있습니다.

Infoblox Cloud Data Connector

이 데이터 커넥터는 Infoblox 데이터 커넥터 호스트가 이미 CSP(Infoblox Cloud Services Portal)에서 만들어지고 구성되었다고 가정합니다. Infoblox 데이터 커넥터는 BloxOne Threat Defense의 기능이므로 적절한 BloxOne Threat Defense 구독에 액세스해야 합니다. 자세한 내용 및 라이선스 요구 사항은 이 빠른 시작 가이드 를 참조하세요.

1. Syslog 에이전트 구성 Linux

CEF(Common Event Format) Syslog 메시지를 수집하고 Microsoft Sentinel 전달하도록 Linux 에이전트를 설치하고 구성합니다.

모든 지역의 데이터가 선택한 작업 영역에 저장됩니다.

1.1 Linux 컴퓨터 선택 또는 만들기

Microsoft Sentinel 보안 솔루션과 온-프레미스 환경, Azure 또는 기타 클라우드에 있을 수 Microsoft Sentinel 사이의 프록시로 사용할 Linux 머신을 선택하거나 만듭니다.

1.2 Linux 컴퓨터에 CEF 수집기 설치

Linux 컴퓨터에 Microsoft Monitoring Agent를 설치하고 필요한 포트에서 수신 대기하고 Microsoft Sentinel 작업 영역에 메시지를 전달하도록 컴퓨터를 구성합니다. CEF 수집기는 포트 514 TCP에서 CEF 메시지를 수집합니다.

  1. python -version 명령을 사용하여 컴퓨터에 Python이 있는지 확인합니다.

  2. 컴퓨터에 대해 상승된 권한(sudo)이 있어야 합니다.

  • 다음 명령을 실행하여 CEF 수집<기를 설치하고 적용합니다. 설치 시 제공된 변수 값>

2. Infoblox Cloud Services 포털 내에서 Infoblox BloxOne을 구성하여 CEF Syslog 데이터를 Infoblox Cloud Data Connector로 보내 Syslog 에이전트로 전달합니다.

아래 단계에 따라 Linux Syslog 에이전트를 통해 BloxOne 데이터를 Microsoft Sentinel 보내도록 Infoblox CDC를 구성합니다.

  1. 데이터 커넥터 관리>로 이동합니다.
  2. 위쪽의 대상 구성 탭을 클릭합니다.
  3. Syslog 만들기 > 를 클릭합니다.
  • 이름: 새 대상에 Microsoft-Sentinel-Destination과 같은 의미 있는 이름을 지정합니다.
  • 설명: 필요에 따라 의미 있는 설명을 제공합니다.
  • 상태: 상태를 사용으로 설정합니다.
  • 형식: 형식을 CEF로 설정합니다.
  • FQDN/IP: Linux 에이전트가 설치된 Linux 디바이스의 IP 주소를 입력합니다.
  • 포트: 포트 번호를 514로 둡니다.
  • 프로토콜: 해당하는 경우 원하는 프로토콜 및 CA 인증서를 선택합니다.
  • 저장 후 닫기를 클릭합니다.
  1. 맨 위에 있는 트래픽 흐름 구성 탭을 클릭합니다.
  2. 만들기를 클릭합니다.
  • 이름: 새 Traffic Flow에 Microsoft-Sentinel 흐름과 같은 의미 있는 이름을 지정합니다.
  • 설명: 필요에 따라 의미 있는 설명을 제공합니다.
  • 상태: 상태를 사용으로 설정합니다.
  • 서비스 인스턴스 섹션을 확장합니다.
  • 서비스 인스턴스: 데이터 커넥터 서비스가 사용하도록 설정된 원하는 서비스 인스턴스를 선택합니다.
  • 원본 구성 섹션을 확장합니다.
  • 원본: BloxOne 클라우드 원본을 선택합니다.
  • 내부 알림 로그 유형을 선택합니다.
  • 대상 구성 섹션을 확장합니다.
  • 방금 만든 대상 을 선택합니다.
  • 저장 후 닫기를 클릭합니다.
  1. 구성을 활성화하는 데 약간의 시간을 허용합니다.

3. 연결 유효성 검사

지침에 따라 연결의 유효성을 검사합니다.

Log Analytics를 열어 CommonSecurityLog 스키마를 사용하여 로그를 받는지 검사.

연결이 데이터를 작업 영역으로 스트리밍할 때까지 약 20분이 걸릴 수 있습니다.

로그를 받지 못한 경우 다음 연결 유효성 검사 스크립트를 실행합니다.

  1. python -version 명령을 사용하여 컴퓨터에 Python이 있는지 확인합니다.

  2. 컴퓨터에 관리자 권한(sudo)이 있어야 합니다.

  • 다음 명령을 실행하여 연결의 유효성을 검사합니다.< 설치 시 제공되는 변수 값>

**4. 컴퓨터 보안 **

organization 보안 정책에 따라 컴퓨터의 보안을 구성해야 합니다.

더 알아보세요 >



[사용되지 않음] IONIX 보안 로그(푸시)

지원:IONIX

⚠️ 이 커넥터는 더 이상 사용되지 않으며 2026년 6월에 제거될 예정입니다. 대신 IONIX 포털에서 수동 구성 없이 자동 일일 폴링을 제공하는 새 'IONIX 보안 로그(코드리스 커넥터 프레임워크를 통해)' 커넥터를 사용하세요.

IONIX 보안 로그 데이터 커넥터는 IONIX 시스템에서 Sentinel 직접 로그를 수집합니다. 커넥터를 사용하면 사용자가 데이터를 시각화하고, 경고 및 인시던트 및 보안 조사를 개선할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CyberpionActionItems_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

설치 지침:

지침에 따라 IONIX 보안 경고를 Sentinel 통합합니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>



[사용되지 않음] 경계

지원자:Lookout

Lookout 데이터 커넥터는 Mobile Risk API를 통해 Lookout 이벤트를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 API 설명서를 참조하세요. Lookout 데이터 커넥터는 잠재적인 보안 위험 등을 검사하는 데 도움이 되는 이벤트를 가져오는 기능을 제공합니다.

참고: 이 데이터 커넥터는 더 이상 사용되지 않습니다. 사용되지 않는 HTTP 데이터 수집기 API를 통해 수집을 대체하는 솔루션에서 사용할 수 있는 CCF 데이터 커넥터로 이동하는 것이 좋습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Lookout_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • 모바일 위험 API 자격 증명/권한: EnterpriseName & ApiKey 는 모바일 위험 API에 필요합니다. 자세한 내용은 API를 참조하세요. 모든 요구 사항을 확인하고 자격 증명을 얻기 위한 지침을 따릅니다.

설치 지침:

참고:Lookout 데이터 커넥터는 Azure Functions 사용하여 모바일 위험 API에 연결하여 이벤트를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

참고: 이 데이터 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 Microsoft Sentinel Solution과 함께 배포되는 예상 LookoutEvents로 작동합니다.

1단계 - 모바일 위험 API에 대한 구성 단계

지침에 따라 자격 증명을 가져옵니다.

2단계 - 아래 설명된 지침에 따라 Lookout 데이터 커넥터 및 연결된 Azure 함수를 배포합니다.

중요:Lookout 데이터 커넥터 배포를 시작하기 전에 작업 영역 ID 및 작업 영역 키를 준비해야 합니다(다음에서 복사할 수 있음).

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 작업 영역 키: <설치 시 제공되는 변수 값>

ARM(Azure Resource Manager) 템플릿

ARM 템플릿을 사용하여 Lookout 데이터 커넥터의 자동화된 배포를 위해 아래 단계를 수행합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 지역을 선택합니다.

참고: 동일한 리소스 그룹 내에서는 Windows 및 Linux 앱을 동일한 지역에 혼합할 수 없습니다. Windows 앱이 없는 기존 리소스 그룹을 선택하거나 새 리소스 그룹을 만듭니다. 3. 함수 이름, 작업 영역 ID,작업 영역 키, 엔터프라이즈 이름 & API 키를 입력하고 배포합니다. 4. 만들기 를 클릭하여 배포합니다.



[사용되지 않음] Microsoft Exchange 로그 및 이벤트

지원자:커뮤니티

더 이상 사용되지 않습니다. 'ESI-Opt' 데이터커넥터를 사용합니다. Windows 에이전트를 사용하여 Microsoft Sentinel 작업 영역에 연결된 Windows 컴퓨터에서 모든 Exchange 감사 이벤트, IIS 로그, HTTP 프록시 로그 및 보안 이벤트 로그를 스트리밍할 수 있습니다. 이 연결을 사용하면 대시보드를 보고, 사용자 지정 경고를 만들고, 조사를 개선할 수 있습니다. 이는 Microsoft Exchange 보안 통합 문서에서 온-프레미스 Exchange 환경의 보안 인사이트를 제공하는 데 사용됩니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Event 아니요
SecurityEvent
W3CIISLog 아니요
MessageTrackingLog_CL
ExchangeHttpProxy_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Azure Log Analytics는 사용되지 않으며, Azure VM에서 데이터를 수집하려면 Arc를 Azure 것이 좋습니다. 자세한 정보
  • 자세한 설명서: >참고: 설치 절차 및 사용에 대한 자세한 설명서는 여기에서 확인할 수 있습니다.

설치 지침:

참고: 이 솔루션은 옵션을 기반으로 합니다. 이렇게 하면 일부 옵션이 매우 많은 양의 데이터를 생성할 수 있으므로 수집할 데이터를 선택할 수 있습니다. 수집하려는 항목에 따라 통합 문서, 분석 규칙, 헌팅 기능을 추적하여 배포할 옵션을 선택합니다. 각 옵션은 서로 독립적입니다. 각 옵션에 대해 자세히 알아보려면 'Microsoft Exchange Security' wiki

1. Microsoft Sentinel 로그를 수집하는 데 필요한 에이전트 다운로드 및 설치

서버 유형(Exchange Server, Exchange Server에 연결된 도메인 컨트롤러 또는 모든 도메인 컨트롤러)은 배포하려는 옵션에 따라 달라집니다.

모니터 에이전트 배포

이 단계는 Exchange 서버/도메인 컨트롤러를 처음 온보딩한 경우에만 필요합니다.

로그를 수집하기 위해 서버에 설치할 에이전트를 선택합니다.

[선호] Azure Arc를 통해 에이전트 모니터링 Azure

Azure Arc 에이전트 배포 자세한 정보

Azure Log Analytics 에이전트 설치(2024/31/08에 사용되지 않음)

  1. Azure Log Analytics 에이전트를 다운로드하고 아래 링크에서 배포 방법을 선택합니다.
  • 에이전트 설치: <설치 시 제공되는 변수 값>

2. 선택한 옵션에 따라 로그 예시 배포

[옵션 1] MS Exchange 관리 로그 컬렉션

MS Exchange 관리 감사 이벤트 로그를 스트리밍하는 방법 선택

MS Exchange 관리 감사 이벤트 로그

데이터 수집 규칙 - Azure Monitor 에이전트를 사용하는 경우

데이터 수집 규칙 사용 Microsoft Exchange 관리 감사 이벤트 로그는 Windows 에이전트에서만 수집됩니다.

옵션 1 - ARM(Azure Resource Manager) 템플릿

DCR의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 작업 영역 이름 '및/또는 기타 필수 필드'를 입력합니다.

  4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  5. 구매를 클릭하여 배포합니다.

옵션 2 - Azure Automation 수동 배포

다음 단계별 지침을 사용하여 데이터 수집 규칙을 수동으로 배포합니다.

대답. DCR 만들기, 이벤트 로그 입력

  1. Azure 포털에서 Azure 데이터 수집 규칙으로 이동합니다.
  2. 위쪽에서 + 만들기 를 클릭합니다.
  3. 기본 탭에서 필요한 필드를 입력하고 플랫폼 유형으로 Windows를 선택하고 DCR에 이름을 지정합니다.
  4. 리소스 탭에서 Exchange Server를 입력합니다.
  5. '수집 및 배달'에서 데이터 원본 형식 'Windows 이벤트 로그'를 추가하고 '사용자 지정' 옵션을 선택하고 식으로 'MSExchange Management'를 입력하고 추가합니다.
  6. 필요한 경우 '다른 바람직한 구성 변경'을 클릭한 다음 만들기를 클릭합니다.

모든 Exchange 서버에 DCR 할당

DCR에 모든 Exchange 서버 추가

데이터 수집 규칙 - 레거시 Azure Log Analytics 에이전트를 사용하는 경우

수집할 로그 구성

수집하려는 이벤트 및 해당 심각도를 구성합니다.

  1. 작업 영역 레거시 에이전트 관리에서 Windows 이벤트 로그를 선택합니다.
  2. Windows 이벤트 로그 추가를 클릭하고 로그 이름으로 MSExchange Management를 입력합니다.
  3. 오류, 경고 및 정보 유형 수집
  4. 저장을 클릭합니다.
  • 에이전트 설치: <설치 시 제공되는 변수 값>

[옵션 2] Exchange 서버의 보안/애플리케이션/시스템 로그

Exchange Server의 보안/애플리케이션/시스템 로그를 스트리밍하는 방법 선택

보안 이벤트 로그 수집

데이터 수집 규칙 - 보안 이벤트 로그

보안 로그 보안 이벤트 로그에 대한 데이터 수집 규칙 사용은 Windows 에이전트에서만 수집됩니다.

  1. 리소스 탭에 Exchange Server 를 추가합니다 .
  2. 보안 로그 수준 선택

공통 수준은 최소 필수 수준입니다. DCR 정의에서 '일반' 또는 '모든 보안 이벤트'를 선택하세요.

  • 에이전트 설치: <설치 시 제공되는 변수 값>

애플리케이션 및 시스템 이벤트 로그 수집

데이터 수집 규칙 - Azure Monitor 에이전트를 사용하는 경우

데이터 수집 규칙 사용 애플리케이션 및 시스템 이벤트 로그는 Windows 에이전트에서만 수집됩니다.

옵션 1 - ARM(Azure Resource Manager) 템플릿

DCR의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 작업 영역 이름 '및/또는 기타 필수 필드'를 입력합니다.

  4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  5. 구매를 클릭하여 배포합니다.

옵션 2 - Azure Automation 수동 배포

다음 단계별 지침을 사용하여 데이터 수집 규칙을 수동으로 배포합니다.

대답. DCR 만들기, 이벤트 로그 입력

  1. Azure 포털에서 Azure 데이터 수집 규칙으로 이동합니다.
  2. 위쪽에서 + 만들기 를 클릭합니다.
  3. 기본 탭에서 필요한 필드를 입력하고 플랫폼 유형으로 Windows를 선택하고 DCR에 이름을 지정합니다.
  4. 리소스 탭에서 Exchange Server를 입력합니다.
  5. '수집 및 배달'에서 데이터 원본 형식 'Windows 이벤트 로그'를 추가하고 '기본' 옵션을 선택합니다.
  6. 애플리케이션에서 '위험', '오류' 및 '경고'를 선택합니다. 시스템에서 위험/오류/경고/정보를 선택합니다.
  7. 필요한 경우 '다른 바람직한 구성 변경'을 클릭한 다음 만들기를 클릭합니다.

모든 Exchange 서버에 DCR 할당

DCR에 모든 Exchange 서버 추가

데이터 수집 규칙 - 레거시 Azure Log Analytics 에이전트를 사용하는 경우

수집할 로그 구성

수집하려는 이벤트 및 해당 심각도를 구성합니다.

  1. 작업 영역 고급 설정 구성에서 데이터를 선택한 다음 Windows 이벤트 로그를 선택합니다.
  2. Windows 이벤트 로그 추가를 클릭하고 애플리케이션을 로그 이름으로 검색합니다.
  3. Windows 이벤트 로그 추가를 클릭하고 시스템을 로그 이름으로 검색합니다.
  4. 오류 수집(모두), 경고(모두) 및 정보(시스템) 유형
  5. 저장을 클릭합니다.
  • 에이전트 설치: <설치 시 제공되는 변수 값>

[옵션 3 및 4] 도메인 컨트롤러의 보안 로그

도메인 컨트롤러의 보안 로그를 스트리밍하는 방법을 선택합니다. 옵션 3을 구현하려면 Exchange Server와 동일한 사이트에서 DC를 선택하기만 하면 됩니다. 옵션 4를 구현하려는 경우 포리스트의 모든 DC를 선택할 수 있습니다.

[옵션 3] 다음 단계를 위해 Exchange Server와 동일한 사이트에 도메인 컨트롤러만 나열합니다.

이렇게 하면 수집된 데이터의 양이 제한되지만 일부 인시던트를 검색할 수 없습니다.

[옵션 4] 다음 단계를 위해 Active-Directory 포리스트의 모든 도메인 컨트롤러 나열

이렇게 하면 모든 보안 이벤트를 수집할 수 있습니다.

보안 이벤트 로그 수집

데이터 수집 규칙 - 보안 이벤트 로그

보안 로그 보안 이벤트 로그에 대한 데이터 수집 규칙 사용은 Windows 에이전트에서만 수집됩니다.

  1. 리소스 탭에서 선택한 DC 를 추가합니다 .
  2. 보안 로그 수준 선택

공통 수준은 최소 필수 수준입니다. DCR 정의에서 '일반' 또는 '모든 보안 이벤트'를 선택하세요.

  • 에이전트 설치: <설치 시 제공되는 변수 값>

[옵션 5] Exchange Server의 IIS 로그

Exchange 서버의 IIS 로그를 스트리밍하는 방법 선택

데이터 수집 규칙 - Azure Monitor 에이전트를 사용하는 경우

데이터 수집 규칙 사용 IIS 로그는 Windows 에이전트에서만 수집됩니다.

옵션 1 - ARM(Azure Resource Manager) 템플릿

DCE 및 DCR의 자동화된 배포에 이 방법을 사용합니다.

대답. DCE 만들기(Exchange 서버에 대해 아직 만들어지지 않은 경우)

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. DCE의 제안된 이름을 변경할 수 있습니다.

  4. 만들기를 클릭하여 배포합니다.

B. 데이터 연결 규칙 배포

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 작업 영역 ID '및/또는 기타 필수 필드'를 입력합니다.

  4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  5. 구매를 클릭하여 배포합니다.

옵션 2 - Azure Automation 수동 배포

다음 단계별 지침을 사용하여 데이터 수집 규칙을 수동으로 배포합니다.

대답. DCE 만들기(Exchange 서버에 대해 아직 만들어지지 않은 경우)

  1. Azure Portal에서 Azure Data 컬렉션 엔드포인트로 이동합니다.
  2. 위쪽에서 + 만들기 를 클릭합니다.
  3. 기본 탭에서 필요한 필드를 입력하고 DCE에 이름을 지정합니다.
  4. 필요한 경우 '다른 바람직한 구성 변경'을 클릭한 다음 만들기를 클릭합니다.

B. DCR 만들기, IIS 로그 입력

  1. Azure 포털에서 Azure 데이터 수집 규칙으로 이동합니다.
  2. 위쪽에서 + 만들기 를 클릭합니다.
  3. 기본 탭에서 필요한 필드를 입력하고 플랫폼 유형으로 Windows를 선택하고 DCR에 이름을 지정합니다. 만든 DCE를 선택합니다.
  4. 리소스 탭에서 Exchange Server를 입력합니다.
  5. '수집 및 배달'에서 데이터 원본 형식 'IIS 로그'를 추가합니다(IIS 로그 경로가 기본적으로 구성된 경우 경로를 입력하지 마세요). '데이터 원본 추가'를 클릭합니다.
  6. 필요한 경우 '다른 바람직한 구성 변경'을 클릭한 다음 만들기를 클릭합니다.

모든 Exchange 서버에 DCR 할당

DCR에 모든 Exchange 서버 추가

데이터 수집 규칙 - 레거시 Azure Log Analytics 에이전트를 사용하는 경우

수집할 로그 구성

수집하려는 이벤트 및 해당 심각도를 구성합니다.

  1. 작업 영역 고급 설정 구성에서 데이터를 선택한 다음 IIS 로그를 선택합니다.
  2. W3C 형식 IIS 로그 파일 수집 확인
  3. 저장을 클릭합니다.
  • 에이전트 설치: <설치 시 제공되는 변수 값>

[옵션 6] Exchange 서버의 메시지 추적

Exchange 서버의 메시지 추적을 스트리밍하는 방법 선택

데이터 수집 규칙 - Azure Monitor 에이전트를 사용하는 경우

데이터 수집 규칙 사용 메시지 추적은 Windows 에이전트에서만 수집됩니다.

참고: 주의, 모니터 에이전트의 사용자 지정 로그는 미리 보기 상태입니다. 현재 배포가 예상대로 작동하지 않습니다(2023년 3월).

옵션 1 - ARM(Azure Resource Manager) 템플릿

DCE 및 DCR의 자동화된 배포에 이 방법을 사용합니다.

대답. DCE 만들기(Exchange 서버에 대해 아직 만들어지지 않은 경우)

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. DCE의 제안된 이름을 변경할 수 있습니다.

  4. 만들기를 클릭하여 배포합니다.

B. 데이터 연결 규칙 및 사용자 지정 테이블 배포

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 작업 영역 ID '및/또는 기타 필수 필드'를 입력합니다.

  4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  5. 구매를 클릭하여 배포합니다.

옵션 2 - Azure Automation 수동 배포

다음 단계별 지침을 사용하여 데이터 수집 규칙을 수동으로 배포합니다.

대답. DCE 만들기(Exchange 서버에 대해 아직 만들어지지 않은 경우)

  1. Azure Portal에서 Azure Data 컬렉션 엔드포인트로 이동합니다.
  2. 위쪽에서 + 만들기 를 클릭합니다.
  3. 기본 탭에서 필요한 필드를 입력하고 DCE에 이름을 지정합니다(예: ESI-ExchangeServers).
  4. 필요한 경우 '다른 바람직한 구성 변경'을 클릭한 다음 만들기를 클릭합니다.

B. 사용자 지정 DCR 테이블 만들기

  1. Microsoft Sentinel GitHub에서 예제 파일을 다운로드합니다.

  2. Azure 포털에서 작업 영역 분석으로 이동하여 대상 작업 영역을 선택합니다.

  3. '테이블'을 클릭하고 맨 위에서 + 만들기를 클릭하고 새 사용자 지정 로그(DCR 기반)를 선택합니다.

  4. 기본 탭에서 테이블 이름에 MessageTrackingLog를 입력하고 이름이 DCR-Option6-MessageTrackingLogs인 데이터 수집 규칙을 만들고(예:) 이전에 만든 데이터 컬렉션 엔드포인트를 선택합니다.

  5. 스키마 및 변환 탭에서 다운로드한 샘플 파일을 선택하고 변환 편집기를 클릭합니다.

  6. 변환 필드에 다음 KQL 요청을 입력합니다. source | extend TimeGenerated = todatetime(['date-time']) | extend clientHostname = ['client-hostname'], clientIP = ['client-ip'], connectorId = ['connector-id'], customData = ['custom-data'], eventId = ['event-id'], internalMessageId = ['internal-message-id'], logId = ['log-id'], messageId = ['message-id'], messageInfo = ['message-info'], messageSubject = ['message-subject'], networkMessageId = ['network-message-id'], originalClientIp = ['original-client-ip'], originalServerIp = ['original-server-ip'], recipientAddress= ['recipient-address'], recipientCount= ['recipient-count'], recipientStatus= ['recipient-상태'], relatedRecipientAddress= ['related-recipient-address'], returnPath= ['return-path'], senderAddress= ['sender-address'], senderHostname= ['server-hostname'], serverIp= ['server-ip'], sourceContext= ['source-context'], schemaVersion=['schema-version'], messageTrackingTenantId = ['tenant-id'], totalBytes = ['total-bytes'], transportTrafficType = ['transport-traffic-type'] | project-away ['client-ip'], ['client-hostname'], ['connector-id'], ['custom-data'], ['date-time'], ['event-id'], ['internal-message-id'], ['log-id'], ['message-id'], ['message-info'], ['message-subject'], ['network-message-id'], ['original-client-ip'], ['original-server-ip'], ['recipient-address'], ['recipient-count'], ['recipient-count'], ['recipient-상태'], ['related-recipient-address'], ['return-path'], ['sender-address'], ['server-hostname'], ['server-ip'], ['source-context'], ['schema-version'], ['tenant-id'], ['total-bytes'], ['transport-traffic-type']

  7. '실행'을 클릭하고 '적용'을 클릭합니다.

  8. 다음을 클릭한 다음 만들기를 클릭합니다.

C. 만든 DCR 수정, 사용자 지정 로그 입력

  1. Azure 포털에서 Azure 데이터 수집 규칙으로 이동합니다.
  2. DCR-Option6-MessageTrackingLogs와 같이 이전에 만든 DCR을 선택합니다.
  3. 리소스 탭에서 Exchange Server를 입력합니다.
  4. 데이터 원본에서 데이터 원본 형식 '사용자 지정 텍스트 로그'를 추가하고 파일 패턴에 'C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking*.log'을 입력하고 테이블 이름에 'MessageTrackingLog_CL'를 입력합니다. 변환 필드를 6.in 다음 KQL 요청을 입력합니다. source | extend TimeGenerated = todatetime(['date-time']) | extend clientHostname = ['client-hostname'], clientIP = ['client-ip'], connectorId = ['connector-id'], customData = ['custom-data'], eventId = ['event-id'], internalMessageId = ['internal-message-id'], logId = ['log-id'], messageId = ['message-id'], messageInfo = ['message-info'], messageSubject = ['message-subject'], networkMessageId = ['network-message-id'], originalClientIpIp = ['original-client-ip'], originalServerIp = ['original-server-ip'], recipientAddress= ['recipient-address'], recipientCount= ['recipient-count'], recipientStatus= ['recipient-상태'], relatedRecipientAddress= ['related-recipient-address'], returnPath= ['return-path'], senderAddress= ['sender-address'], senderHostname= ['server-hostname'], serverIp= ['server-ip'], sourceContext= ['source-context'], schemaVersion=['schema-version'], messageTrackingTenantId = ['tenant-id'], totalBytes = ['total-bytes'], transportTrafficType = ['transport-traffic-type'] | project-away ['client-ip'], ['client-hostname'], ['connector-id'], ['custom-data'], ['date-time'], ['event-id'], ['internal-message-id'], ['log-id'], ['message-id'], ['message-info'], ['message-subject'], ['network-message-id'], ['original-client-ip'], ['original-server-ip'], ['recipient-address'], ['recipient-count'], ['recipient-count'], ['recipient-상태'], ['related-recipient-address'], ['return-path'], ['sender-address'], ['server-hostname'], ['server-ip'], ['source-context'], ['schema-version'], ['tenant-id'], ['total-bytes'], ['transport-traffic-type']
  5. '데이터 원본 추가'를 클릭합니다.

모든 Exchange 서버에 DCR 할당

DCR에 모든 Exchange 서버 추가

데이터 수집 규칙 - 레거시 Azure Log Analytics 에이전트를 사용하는 경우

수집할 로그 구성

  1. 작업 영역 설정 파트에서 테이블을 선택하고 + 만들기를 클릭하고 새 사용자 지정 로그(MMA 기반)를 클릭합니다.
  2. 샘플 파일 MessageTracking 샘플을 선택하고 다음을 클릭합니다.
  3. Windows 유형을 선택하고 C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking*.log 경로를 입력합니다. 다음을 클릭합니다.
  4. MessageTrackingLog를 테이블 이름으로 입력하고 다음을 클릭합니다.
  5. 저장을 클릭합니다.
  • 에이전트 설치: <설치 시 제공되는 변수 값>

[옵션 7] Exchange 서버의 HTTP 프록시

Exchange 서버의 HTTP 프록시를 스트리밍하는 방법 선택

데이터 수집 규칙 - Azure Monitor 에이전트를 사용하는 경우

데이터 수집 규칙 사용 메시지 추적은 Windows 에이전트에서만 수집됩니다.

참고: 주의, 모니터 에이전트의 사용자 지정 로그는 미리 보기 상태입니다. 현재 배포가 예상대로 작동하지 않습니다(2023년 3월).

옵션 1 - ARM(Azure Resource Manager) 템플릿

DCE 및 DCR의 자동화된 배포에 이 방법을 사용합니다.

대답. DCE 만들기(Exchange 서버에 대해 아직 만들어지지 않은 경우)

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. DCE의 제안된 이름을 변경할 수 있습니다.

  4. 만들기를 클릭하여 배포합니다.

B. 데이터 연결 규칙 배포

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 작업 영역 ID '및/또는 기타 필수 필드'를 입력합니다.

  4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.

  5. 구매를 클릭하여 배포합니다.

옵션 2 - Azure Automation 수동 배포

다음 단계별 지침을 사용하여 데이터 수집 규칙을 수동으로 배포합니다.

대답. DCE 만들기(Exchange 서버에 대해 아직 만들어지지 않은 경우)

  1. Azure Portal에서 Azure Data 컬렉션 엔드포인트로 이동합니다.
  2. 위쪽에서 + 만들기 를 클릭합니다.
  3. 기본 탭에서 필요한 필드를 입력하고 DCE에 이름을 지정합니다.
  4. 필요한 경우 '다른 바람직한 구성 변경'을 클릭한 다음 만들기를 클릭합니다.

B. 사용자 지정 DCR 테이블 만들기

  1. Microsoft Sentinel GitHub에서 예제 파일을 다운로드합니다.
  2. Azure 포털에서 작업 영역 분석으로 이동하여 대상 작업 영역을 선택합니다.
  3. '테이블'을 클릭하고 맨 위에서 + 만들기를 클릭하고 새 사용자 지정 로그(DCR 기반)를 선택합니다.
  4. 기본 탭에서 테이블 이름에 ExchangeHttpProxy를 입력하고, 이름 DCR-Option7-HTTPProxyLogs(예:)로 데이터 수집 규칙을 만들고 이전에 만든 데이터 컬렉션 엔드포인트를 선택합니다.
  5. 스키마 및 변환 탭에서 다운로드한 샘플 파일을 선택하고 변환 편집기를 클릭합니다.
  6. 변환 필드에 다음 KQL 요청을 입력합니다. *source | extend TimeGenerated = todatetime(DateTime) | project-away DateTime
  1. '실행'을 클릭하고 '적용'을 클릭합니다.
  2. 다음을 클릭한 다음 만들기를 클릭합니다.

C. 만든 DCR 수정, 사용자 지정 로그 입력

  1. Azure 포털에서 Azure 데이터 수집 규칙으로 이동합니다.
  2. DCR-Option7-HTTPProxyLogs와 같이 이전에 만든 DCR을 선택합니다.
  3. 리소스 탭에서 Exchange Server를 입력합니다.
  4. 데이터 원본에서 데이터 원본 형식 '사용자 지정 텍스트 로그'를 추가하고 파일 패턴에 'C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Autodiscover*.log'를 입력하고 테이블 이름에 'ExchangeHttpProxy_CL'를 입력합니다. 변환 필드를 6.in 다음 KQL 요청: source | extend TimeGenerated = todatetime(DateTime) | project-away DateTime을 입력합니다.
  5. '데이터 원본 추가'를 클릭합니다.

모든 Exchange 서버에 DCR 할당

DCR에 모든 Exchange 서버 추가

데이터 수집 규칙 - 레거시 Azure Log Analytics 에이전트를 사용하는 경우

수집할 로그 구성

  1. 작업 영역 설정 파트에서 테이블을 선택하고 + 만들기를 클릭하고 새 사용자 지정 로그(MMA 기반)를 클릭합니다.
  2. 샘플 파일 MessageTracking 샘플을 선택하고 다음을 클릭합니다.
  3. Windows 유형을 선택하고 C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Autodiscover*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Eas*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Ecp*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Ews*Ews*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Mapi*.log, C:\Program Files\Microsoft\Exchange Server\V15\ Logging\HttpProxy\Oab*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Owa*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\OwaCalendar*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\PowerShell*.log 및 C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\RpcHttp*.log. 다음을 클릭합니다.
  4. ExchangeHttpProxy를 테이블 이름으로 입력하고 다음을 클릭합니다.
  5. 저장을 클릭합니다.
  • 에이전트 설치: <설치 시 제공되는 변수 값>

참고: 이 데이터 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 예상대로 작동합니다. 파서는 솔루션과 함께 자동으로 배포됩니다. 단계에 따라 Kusto Functions 별칭: ExchangeAdminAuditLogs를 만듭니다.

파서는 솔루션 배포 중에 자동으로 배포됩니다. 수동으로 배포하려면 다음 단계를 수행합니다.

수동 파서 배포

1. 파서 파일 다운로드

최신 버전의 ExchangeAdminAuditLogs 파일

2. 파서 ExchangeAdminAuditLogs 함수 만들기

Microsoft Sentinel 로그 분석의 '로그' 탐색기에서 파일의 내용을 로그 탐색기에 복사합니다.

3. 파서 ExchangeAdminAuditLogs 함수 저장

저장 단추를 클릭합니다. 이 파서에는 매개 변수가 필요하지 않습니다. 저장을 다시 클릭합니다.



[사용되지 않음] Okta 단일 Sign-On(Azure 함수 사용)(Azure Functions 사용)

지원:Microsoft Corporation

Okta SSO(Single Sign-On)(Azure 함수 사용) 커넥터는 Okta API에서 Microsoft Sentinel 감사 및 이벤트 로그를 수집하는 기능을 제공합니다. 커넥터는 대시보드를 보고, 사용자 지정 경고를 만들고, 모니터링 및 조사 기능을 개선하기 위해 Microsoft Sentinel 이러한 로그 유형에 대한 가시성을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Okta_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • Okta API 토큰: Okta API 토큰이 필요합니다. Okta 시스템 로그 API에 대한 자세한 내용은 설명서를 참조하세요.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Okta SSO에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

참고: 이 커넥터가 업데이트되었습니다. 이전에 이전 버전을 배포했으며 업데이트하려는 경우 이 버전을 다시 배포하기 전에 기존 Okta Azure 함수를 삭제하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

1단계 - Okta SSO API에 대한 구성 단계

다음 지침에 따라 API 토큰을 만듭니다.

참고 - Okta에서 적용되는 속도 제한 제한에 대한 자세한 내용은 설명서를 참조하세요.

2단계 - 커넥터 및 연결된 Azure 함수를 배포하려면 다음 두 가지 배포 옵션 중 하나를 선택합니다.

중요: Okta SSO 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)와 Okta SSO API 권한 부여 토큰을 쉽게 사용할 수 있습니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

옵션 1 - ARM(Azure Resource Manager) 템플릿

이 메서드는 ARM Tempate를 사용하여 Okta SSO 커넥터의 자동화된 배포를 제공합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.msaka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 작업 영역 ID, 작업 영역 키, API 토큰 및 URI를 입력합니다.

  • https://<OktaDomain>/api/v1/logs?since= 에 다음 스키마를 uri 사용합니다. 를 도메인으로 바꿉니다<OktaDomain>. Okta 도메인 네임스페이스를 식별하는 방법에 대한 자세한 내용은 여기를 클릭하십시오. URI에 시간 값을 추가할 필요가 없습니다. 함수 앱은 현재 UTC 날짜에 대해 로그의 초기 시작 시간을 UTC 0:00에 동적으로 추가하여 적절한 형식의 URI에 시간 값으로 추가합니다.
  • 참고: 위의 값에 Azure Key Vault 비밀을 사용하는 경우 문자열 값 대신 스키마를 사용합니다@Microsoft.KeyVault(SecretUri={Security Identifier}). 자세한 내용은 Key Vault 참조 설명서를 참조하세요.
  1. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.
  2. 구매를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions(Visual Studio Code 통해 배포)를 사용하여 Okta SSO 커넥터를 수동으로 배포합니다.

1단계 - 함수 앱 배포

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.
  2. 함수 앱 수동 배포 지침에 따라 VSCode를 사용하여 Azure Functions 앱을 배포합니다.
  3. 함수 앱을 성공적으로 배포한 후 구성을 위한 다음 단계를 수행합니다.

2단계 - 함수 앱 구성

  1. 함수 앱 구성에 대한 Azure 포털로 이동합니다.
  2. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.
  3. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.
  4. 각 문자열 값(대/소문자 구분)을 사용하여 다음 5개 애플리케이션 설정을 개별적으로 추가합니다. apiToken workspaceID workspaceKey uri logAnalyticsUri(선택 사항)
  • https://<OktaDomain>/api/v1/logs?since= 에 다음 스키마를 uri 사용합니다. 를 도메인으로 바꿉니다<OktaDomain>. Okta 도메인 네임스페이스를 식별하는 방법에 대한 자세한 내용은 여기를 클릭하십시오. URI에 시간 값을 추가할 필요가 없습니다. 함수 앱은 현재 UTC 날짜에 대해 로그의 초기 시작 시간을 UTC 0:00에 동적으로 추가하여 적절한 형식의 URI에 시간 값으로 추가합니다.
  • 참고: 위의 값에 Azure Key Vault 비밀을 사용하는 경우 문자열 값 대신 스키마를 사용합니다@Microsoft.KeyVault(SecretUri={Security Identifier}). 자세한 내용은 Key Vault 참조 설명서를 참조하세요.
  • logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 값을 https:// CustomerId.ods.opinsights.azure.us<> 형식으로 지정합니다.
  1. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



[사용되지 않음] SentinelOne(Azure 함수 사용)(Azure Functions 사용)

지원:Microsoft Corporation

SentinelOne 데이터 커넥터는 REST API를 통해 위협, 에이전트, 애플리케이션, 활동, 정책, 그룹 등과 같은 일반적인 SentinelOne 서버 개체를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 API 설명서: https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview 를 참조하세요. 커넥터를 사용하면 이벤트 검색을 통해 잠재적인 보안 위험을 평가하고, 공동 작업을 모니터링하고, 구성 문제를 진단하고 해결할 수 있습니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
SentinelOne_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • REST API 자격 증명/권한: SentinelOneAPIToken 이 필요합니다. 의 API https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview에 대한 자세한 내용은 설명서를 참조하세요.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 SentinelOne API에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

참고: 이 데이터 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 솔루션의 일부로 배포되는 예상대로 작동합니다. Log Analytics에서 함수 코드를 보려면 Log Analytics/Microsoft Sentinel 로그 블레이드를 열고 함수를 클릭하고 SentinelOne 별칭을 검색하고 함수 코드를 로드하거나 여기를 클릭합니다. 함수는 일반적으로 솔루션 설치/업데이트 후 활성화하는 데 10-15분이 걸립니다.

1단계 - SentinelOne API에 대한 구성 단계

지침에 따라 자격 증명을 가져옵니다.

  1. 관리 사용자 자격 증명을 사용하여 SentinelOne 관리 콘솔에 로그인합니다.
  2. 관리 콘솔에서 설정을 클릭합니다.
  3. 설정 보기에서 사용자를 클릭합니다.
  4. 새 사용자를 클릭합니다.
  5. 새 콘솔 사용자에 대한 정보를 입력합니다.
  6. 역할에서 관리 선택합니다.
  7. 저장을 클릭합니다 .
  8. 데이터 커넥터에서 사용할 새 사용자의 자격 증명을 저장합니다.

참고 : - 사용자 지정 역할을 사용하여 관리 액세스를 위임할 수 있습니다. 사용자 지정 RBAC에 대한 자세한 내용은 SentinelOne 설명서를 검토하세요.

2단계 - 커넥터 및 연결된 Azure 함수를 배포하려면 다음 두 가지 배포 옵션 중 하나를 선택합니다.

중요: SentinelOne 데이터 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키를 갖습니다(다음에서 복사할 수 있음).

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

옵션 1 - ARM(Azure Resource Manager) 템플릿

ARM Tempate를 사용하여 SentinelOne 감사 데이터 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.msaka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

참고: 동일한 리소스 그룹 내에서는 Windows 및 Linux 앱을 동일한 지역에 혼합할 수 없습니다. Windows 앱이 없는 기존 리소스 그룹을 선택하거나 새 리소스 그룹을 만듭니다. 3. SentinelOneAPIToken, SentinelOneUrl(https://<SOneInstanceDomain>.sentinelone.net) 을 입력하고 배포합니다. 4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다. 5. 구매 를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions(Visual Studio Code 통해 배포)를 사용하여 SentinelOne Reports 데이터 커넥터를 수동으로 배포합니다.

  1. 함수 앱 배포

참고: Azure 함수 개발을 위해 VS 코드를 준비해야 합니다.

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.

  2. VS Code를 시작합니다. 주 메뉴에서 파일을 선택하고 폴더 열기를 선택합니다.

  3. 추출된 파일에서 최상위 폴더를 선택합니다.

  4. 작업 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 함수에 배포 앱 단추를 선택합니다. 아직 로그인하지 않은 경우 활동 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 로그인을 선택하여 Azure 이미 로그인한 경우 다음 단계로 이동합니다.

  5. 프롬프트에서 다음 정보를 제공합니다.

    a. 폴더 선택: 작업 영역에서 폴더를 선택하거나 함수 앱이 포함된 폴더로 이동합니다.

    b. 구독을 선택합니다. 사용할 구독을 선택합니다.

    c. Azure 새 함수 앱 만들기를 선택합니다(고급 옵션을 선택하지 않음).

    d. 함수 앱의 전역적으로 고유한 이름을 입력합니다 . URL 경로에 유효한 이름을 입력합니다. 입력한 이름은 Azure Functions 고유하도록 유효성을 검사합니다. (예: SOneXXXXX).

    e. 런타임 선택: Python 3.11을 선택합니다.

    f. 새 리소스의 위치를 선택합니다. 성능 향상 및 비용 절감을 위해 Microsoft Sentinel 있는 동일한 지역을 선택합니다.

  6. 배포가 시작됩니다. 함수 앱이 만들어지고 배포 패키지가 적용된 후 알림이 표시됩니다.

  7. 함수 앱 구성에 대한 Azure 포털로 이동합니다.

  8. 함수 앱 구성

  9. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.

  10. 애플리케이션 설정 탭에서 새 애플리케이션 설정을 선택합니다.

  11. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. SentinelOneAPIToken SentinelOneUrl WorkspaceID WorkspaceKey logAnalyticsUri(선택 사항)

  • logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 값을 형식https://<CustomerId>.ods.opinsights.azure.us으로 지정합니다.
  1. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



[사용되지 않음] Sophos Endpoint Protection(Azure 함수 사용)(Azure Functions 사용)

지원:Microsoft Corporation

Sophos Endpoint Protection 데이터 커넥터는 Sophos 이벤트를 Microsoft Sentinel 수집하는 기능을 제공합니다. 자세한 내용은 Sophos Central 관리 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
SophosEP_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 Sophos Central API에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

참고: 이 데이터 커넥터는 Kusto 함수를 기반으로 하는 파서에 따라 Microsoft Sentinel Solution과 함께 배포되는 SophosEPEvent가 예상대로 작동합니다.

1단계 - Sophos Central API에 대한 구성 단계

지침에 따라 자격 증명을 가져옵니다.

  1. Sophos Central 관리 전역 설정 > API 토큰 관리로 이동합니다.
  2. 새 토큰을 만들려면 화면의 오른쪽 위 모서리에서 토큰 추가 를 클릭합니다.
  3. 토큰 이름을 선택하고 저장을 클릭합니다. 이 토큰에 대한 API 토큰 요약이 표시됩니다.
  4. 복사를 클릭하여 API 토큰 요약 섹션에서 API 액세스 URL + 헤더를 클립보드로 복사합니다.

2단계 - 커넥터 및 연결된 Azure 함수를 배포하려면 다음 두 가지 배포 옵션 중 하나를 선택합니다.

중요: Sophos Endpoint Protection 데이터 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키를 갖습니다(다음에서 복사할 수 있음).

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

옵션 1 - ARM(Azure Resource Manager) 템플릿

ARM Tempate를 사용하여 Sophos Endpoint Protection 데이터 커넥터의 자동화된 배포에 이 방법을 사용합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

참고: 동일한 리소스 그룹 내에서는 Windows 및 Linux 앱을 동일한 지역에 혼합할 수 없습니다. Windows 앱이 없는 기존 리소스 그룹을 선택하거나 새 리소스 그룹을 만듭니다. 3. Sophos API 액세스 URL 및 헤더, AzureSentinelWorkspaceId, AzureSentinelSharedKey를 입력합니다. 4. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다. 5. 구매 를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 sophos Endpoint Protection 데이터 커넥터를 Azure Functions 사용하여 수동으로 배포합니다(Visual Studio Code 통해 배포).

1단계 - 함수 앱 배포

참고: Azure 함수 개발을 위해 VS 코드를 준비해야 합니다.

  1. Azure 함수 앱 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.
  2. 함수 앱 수동 배포 지침에 따라 VSCode를 사용하여 Azure Functions 앱을 배포합니다.
  3. 함수 앱을 성공적으로 배포한 후 구성을 위한 다음 단계를 수행합니다.

2단계 - 함수 앱 구성

  1. 함수 앱 구성에 대한 Azure 포털로 이동합니다.
  2. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.
  3. 애플리케이션 설정 탭에서 새 애플리케이션 설정을 선택합니다.
  4. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. SOPHOS_TOKEN WorkspaceID WorkspaceKey logAnalyticsUri(선택 사항)
  • logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 값을 형식https://<CustomerId>.ods.opinsights.azure.us으로 지정합니다.
  1. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



[사용되지 않음] VMware Carbon Black Cloud(Azure 함수 사용)(Azure Functions 사용)

지원:Microsoft

VMware Carbon Black Cloud 커넥터는 Carbon Black 데이터를 Microsoft Sentinel 수집하는 기능을 제공합니다. 커넥터는 대시보드를 보고, 사용자 지정 경고를 만들고, 모니터링 및 조사 기능을 개선하기 위해 Microsoft Sentinel 감사, 알림 및 이벤트 로그에 대한 가시성을 제공합니다.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
CarbonBlackEvents_CL 아니요 아니요
CarbonBlackNotifications_CL 아니요 아니요
CarbonBlackAuditLogs_CL 아니요 아니요

데이터 수집 규칙 지원: 현재 지원되지 않음

필수 구성 요소:

  • Microsoft.Web/sites 권한: 함수 앱을 만들기 위한 Azure Functions 읽기 및 쓰기 권한이 필요합니다. 자세한 내용은 Azure Functions 참조하세요.
  • VMware Carbon Black API 키: Carbon Black API 및/또는 SIEM 수준 API 키가 필요합니다. 카본 블랙 API에 대한 자세한 내용은 설명서를 참조하세요.
  • 감사이벤트 로그에는 Carbon Black API 액세스 수준 API ID 및 키가 필요합니다.
  • 알림 경고에는 Carbon Black SIEM 액세스 수준 API ID 및 키가 필요합니다.
  • Amazon S3 REST API 자격 증명/권한: Amazon S3 REST API에는 AWS 액세스 키 ID, AWS 비밀 액세스 키, AWS S3 버킷 이름, AWS S3 버킷의 폴더 이름이 필요합니다.

설치 지침:

참고: 이 커넥터는 Azure Functions 사용하여 VMware Carbon Black에 연결하여 로그를 Microsoft Sentinel 끌어올 수 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

(선택적 단계) 작업 영역 및 API 권한 부여 키 또는 토큰을 Azure Key Vault 안전하게 저장합니다. Azure Key Vault 키 값을 저장하고 검색하는 보안 메커니즘을 제공합니다. 다음 지침에 따라 Azure 함수 앱에서 Azure Key Vault 사용합니다.

1단계 - VMware Carbon Black API에 대한 구성 단계

다음 지침에 따라 API 키를 만듭니다.

2단계 - 커넥터 및 연결된 Azure 함수를 배포하려면 다음 두 가지 배포 옵션 중 하나를 선택합니다.

중요: VMware Carbon Black 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)와 VMware Carbon Black API 권한 부여 키를 쉽게 사용할 수 있습니다.

  • 작업 영역 ID: <설치 시 제공되는 변수 값>
  • 기본 키: <설치 시 제공되는 변수 값>

옵션 1 - ARM(Azure Resource Manager) 템플릿

이 메서드는 ARM Tempate를 사용하여 VMware Carbon Black 커넥터의 자동화된 배포를 제공합니다.

  1. 아래 Azure 배포 단추를 클릭합니다.

    aka.msaka.ms

  2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

  3. 작업 영역 ID, 작업 영역 키, 로그 형식, API ID, API 키, Carbon Black Org 키, S3 버킷 이름, AWS 액세스 키 ID, AWS 비밀 액세스 키, EventPrefixFolderName, AlertPrefixFolderName을 입력하고 URI의 유효성을 검사합니다.

  • 지역에 해당하는 URI를 입력합니다. API URL의 전체 목록은 여기에서 찾을 수 있습니다.
  • 기본 시간 간격 은 데이터의 마지막 5분(5분)을 끌어오도록 설정됩니다. 시간 간격을 수정해야 하는 경우 겹치는 데이터 수집을 방지하기 위해 함수 앱 타이머 트리거를 적절하게 변경하는 것이 좋습니다(function.json 파일, 배포 후).
  • Carbon Black은 알림 경고를 수집하기 위해 별도의 API ID/키 집합이 필요합니다. SIEM API ID/키 값을 입력하거나 필요하지 않은 경우 비워 둡니다.
  • 참고: 위의 값에 Azure Key Vault 비밀을 사용하는 경우 문자열 값 대신 스키마를 사용합니다@Microsoft.KeyVault(SecretUri={Security Identifier}). 자세한 내용은 Key Vault 참조 설명서를 참조하세요.
  1. 위에 명시된 사용 약관에 동의함을 표시하는 확인란을 표시합니다.
  2. 구매를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions 사용하여 VMware Carbon Black 커넥터를 수동으로 배포합니다.

  1. 함수 앱 만들기

  2. Azure 포털에서 함수 앱으로 이동하고 + 추가를 선택합니다.

  3. 기본 탭에서 런타임 스택이 Powershell Core로 설정되어 있는지 확인합니다.

  4. 호스팅 탭에서 소비(서버리스) 계획 유형이 선택되어 있는지 확인합니다.

  5. 필요한 경우 다른 선호 구성을 변경한 다음 만들기를 클릭합니다.

  6. 함수 앱 코드 가져오기

  7. 새로 만든 함수 앱의 왼쪽 창에서 함수를 선택하고 + 추가를 클릭합니다.

  8. 타이머 트리거를 선택합니다.

  9. 필요한 경우 고유한 함수 이름을 입력하고 cron 일정을 수정합니다. 기본값은 5분마다 함수 앱을 실행하도록 설정됩니다. (참고: 타이머 트리거는 겹치는 데이터를 방지하기 위해 아래 값과 일치 timeInterval 해야 합니다.) 만들기를 클릭합니다.

  10. 왼쪽 창에서 코드 + 테스트를 클릭합니다.

  11. 함수 앱 코드를 복사하여 함수 앱 run.ps1 편집기에 붙여넣습니다.

  12. 저장을 클릭합니다.

  13. 함수 앱 구성

  14. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.

  15. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.

  16. 다음 13개 애플리케이션 설정을 각각 16개(13-16) 애플리케이션 설정에 개별적으로 추가합니다. 각 문자열 값(대/소문자 구분): apiId apiKey workspaceID workspaceKey uri timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId(선택 사항) SIEMapiKey(선택 사항) logAnalyticsUri(선택 사항)

  • 지역에 해당하는 URI를 입력합니다. API URL의 전체 목록은 여기에서 찾을 수 있습니다. 값은 uri 다음 스키마 https://<API URL>.conferdeploy.net 를 따라야 합니다. - URI에 시간 접미사를 추가할 필요가 없으며 함수 앱은 적절한 형식으로 시간 값을 URI에 동적으로 추가합니다.
  • timeInterval 을 의 기본값5(분)으로 설정하여 매 분마다 5 기본 타이머 트리거에 해당합니다. 시간 간격을 수정해야 하는 경우 겹치는 데이터 수집을 방지하기 위해 함수 앱 타이머 트리거를 적절하게 변경하는 것이 좋습니다.
  • Carbon Black은 알림 경고를 수집하기 위해 별도의 API ID/키 집합이 필요합니다. SIEMapiId 필요한 경우 및 SIEMapiKey 값을 입력하거나 필요하지 않은 경우 생략합니다.
  • 참고: Azure Key Vault 사용하는 경우 문자열 값 대신 스키마를 사용합니다@Microsoft.KeyVault(SecretUri={Security Identifier}). 자세한 내용은 Key Vault 참조 설명서를 참조하세요.
  • logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 다음 형식으로 값을 지정합니다.https://<CustomerId>.ods.opinsights.azure.us
  1. 모든 애플리케이션 설정이 입력되면 저장을 클릭합니다.



Island Enterprise Browser 관리 이벤트(레거시)

지원자:아일랜드

레거시 커넥터이며 더 이상 권장되지 않습니다. 단일 커넥터 내에서 사용자, 관리자 및 시스템 이벤트를 지원하는 Island Enterprise Browser V2 Data Connector를 대신 사용하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Island_Admin_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • 아일랜드 API 키: 아일랜드 API 키가 필요합니다.

설치 지침:

아일랜드를 Microsoft Sentinel 연결

레거시 커넥터입니다. 전체 설정 지침은 공식 아일랜드 설명서(아일랜드 관리 콘솔에 로그인 필요)를 참조하세요.



Island Enterprise Browser 사용자 이벤트(레거시)

지원자:아일랜드

레거시 커넥터이며 더 이상 권장되지 않습니다. 단일 커넥터 내에서 사용자, 관리자 및 시스템 이벤트를 지원하는 Island Enterprise Browser V2 Data Connector를 대신 사용하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Island_User_CL

데이터 수집 규칙 지원:작업 영역 변환 DCR

필수 구성 요소:

  • 아일랜드 API 키: 아일랜드 API 키가 필요합니다.

설치 지침:

아일랜드를 Microsoft Sentinel 연결

레거시 커넥터입니다. 전체 설정 지침은 공식 아일랜드 설명서(아일랜드 관리 콘솔에 로그인 필요)를 참조하세요.



레거시 에이전트를 통한 보안 이벤트

지원:Microsoft Corporation

Windows 에이전트를 사용하여 Microsoft Sentinel 작업 영역에 연결된 Windows 컴퓨터에서 모든 보안 이벤트를 스트리밍할 수 있습니다. 이 연결을 사용하면 대시보드를 보고, 사용자 지정 경고를 만들고, 조사를 개선할 수 있습니다. 이렇게 하면 organization 네트워크에 대한 더 많은 인사이트를 제공하고 보안 작업 기능을 개선합니다. 자세한 내용은 Microsoft Sentinel 설명서를 참조하세요.

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
SecurityEvent

데이터 수집 규칙 지원:작업 영역 변환 DCR

클라우드용 구독 기반 Microsoft Defender(레거시)

지원:Microsoft Corporation

클라우드용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 워크로드에서 위협을 감지하고 신속하게 대응할 수 있는 보안 관리 도구입니다. 이 커넥터를 사용하면 클라우드용 Microsoft Defender 보안 경고를 Microsoft Sentinel 스트리밍할 수 있으므로 통합 문서에서 Defender 데이터를 보고 쿼리하여 경고를 생성하고 인시던트 조사 및 대응할 수 있습니다.

자세한 내용>

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
SecurityAlert

데이터 수집 규칙 지원:작업 영역 변환 DCR

레거시 에이전트를 통한 Syslog

지원:Microsoft Corporation

Syslog는 Linux 일반적인 이벤트 로깅 프로토콜입니다. 애플리케이션은 로컬 컴퓨터에 저장되거나 Syslog 수집기에 배달될 수 있는 메시지를 보냅니다. Linux 에이전트가 설치되면 에이전트에 메시지를 전달하도록 로컬 Syslog 디먼을 구성합니다. 그런 다음 에이전트는 메시지를 작업 영역으로 보냅니다.

더 알아보세요 >

Log Analytics 테이블:

DCR 지원 레이크 전용 수집
Syslog

데이터 수집 규칙 지원:작업 영역 변환 DCR

다음 단계

자세한 내용은 다음을 참조하세요.

  • Last updated on