Microsoft Sentinel용 AbnormalSecurity(Azure Functions 사용) 커넥터

비정상적인 보안 데이터 커넥터는 비정상적인 보안 Rest API를 사용하여 Microsoft Sentinel에 위협 및 사례 로그를 수집하는 기능을 제공합니다.

커넥트or 특성

커넥터 특성	설명
애플리케이션 설정	SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri(선택 사항)(함수 앱에 필요한 다른 설정 추가)로 값을 설정합니다 uri . <add uri value>
Azure 함수 앱 코드	https://aka.ms/sentinel-abnormalsecurity-functionapp
Log Analytics 테이블	ABNORMAL_THREAT_MESSAGES_CL ABNORMAL_CASES_CL
데이터 수집 규칙 지원	현재 지원되지 않음
지원:	비정상적인 보안

쿼리 샘플

모든 비정상적인 보안 위협 로그

ABNORMAL_THREAT_MESSAGES_CL

| sort by TimeGenerated desc

모든 비정상적인 보안 사례 로그

ABNORMAL_CASES_CL

| sort by TimeGenerated desc

필수 조건

AbnormalSecurity와 통합하려면(Azure Functions 사용) 다음이 있는지 확인합니다.

• Microsoft.Web/sites 권한: 함수 앱을 만들려면 Azure Functions에 대한 읽기 및 쓰기 권한이 필요합니다. Azure Functions에 대한 자세한 내용은 설명서를 참조하세요.
• 비정상적인 보안 API 토큰: 비정상적인 보안 API 토큰이 필요합니다. 비정상적인 보안 API 대한 자세한 내용은 설명서를 참조하세요. 참고: 비정상적인 보안 계정이 필요합니다.

공급업체 설치 지침

참고 항목

이 커넥터는 Azure Functions를 사용하여 비정상적인 보안의 REST API에 연결하여 Microsoft Sentinel로 로그를 끌어오고 있습니다. 이로 인해 추가 데이터 수집 비용이 발생할 수 있습니다. 자세한 내용은 Azure Functions 가격 책정 페이지를 확인하세요.

1단계 - 비정상적인 보안 API 대한 구성 단계

비정상 보안에서 제공하는 다음 지침 에 따라 REST API 통합을 구성합니다. 참고: 비정상적인 보안 계정이 필요합니다.

2단계 - 다음 두 배포 옵션 중 하나를 선택하여 커넥터 및 연결된 Azure 함수를 배포합니다.

중요: 비정상적인 보안 데이터 커넥터를 배포하기 전에 작업 영역 ID 및 작업 영역 기본 키(다음에서 복사할 수 있음)와 비정상적인 보안 API 권한 부여 토큰을 즉시 사용할 수 있습니다.

옵션 1 - ARM(Azure Resource Manager) 템플릿

이 메서드는 ARM 템플릿을 사용하여 비정상적인 보안 커넥터의 자동화된 배포를 제공합니다.

1. 아래의 Azure 에 배포 단추를 클릭합니다.

   

2. 기본 구독, 리소스 그룹 및 위치를 선택합니다.

3. Microsoft Sentinel 작업 영역 ID, Microsoft Sentinel 공유 키 및 비정상적인 보안 REST API 키를 입력합니다.

• 기본 시간 간격 은 데이터의 마지막 5분(5분)을 끌어오도록 설정됩니다. 시간 간격을 수정해야 하는 경우 겹치는 데이터 수집을 방지하기 위해 함수 앱 타이머 트리거를 적절하게 변경하는 것이 좋습니다(function.json 파일, 배포 후).

4. 위에 명시된 사용 약관에 동의하는 레이블이 지정된 검사box를 표시합니다.
5. 구매를 클릭하여 배포합니다.

옵션 2 - Azure Functions 수동 배포

다음 단계별 지침을 사용하여 Azure Functions를 사용하여 비정상적인 보안 데이터 커넥터를 수동으로 배포합니다(Visual Studio Code를 통한 배포).

1. 함수 앱 배포

참고: Azure 함수 개발을 위해 VS 코드를 준비해야 합니다.

1. Azure Function App 파일을 다운로드합니다. 로컬 개발 컴퓨터에 보관 파일을 추출합니다.

2. VS Code를 시작합니다. 기본 메뉴에서 파일을 선택하고 폴더 열기를 선택합니다.

3. 추출된 파일에서 최상위 폴더를 선택합니다.

4. 작업 표시줄에서 Azure 아이콘을 선택한 다음, Azure: 함수 영역에서 함수 앱에 배포 단추를 선택합니다. 아직 로그인하지 않은 경우 작업 표시줄에서 Azure 아이콘을 선택한 다음, Azure: Functions 영역에서 이미 로그인한 경우 Azure에 로그인을 선택하고 다음 단계로 이동합니다.

5. 프롬프트에서 다음 정보를 제공합니다.

   a. 폴더 선택: 작업 영역에서 폴더를 선택하거나 함수 앱이 포함된 폴더로 이동합니다.

   b. 구독 선택: 사용할 구독을 선택합니다.

   c. Azure에서 새 함수 앱 만들기 선택(고급 옵션 선택 안 함)

   d. 함수 앱에 대해 전역적으로 고유 이름을 입력합니다. URL 경로에 유효한 이름을 입력합니다. 입력한 이름이 Azure Functions에서 고유한지 확인하기 위해 유효성을 검사합니다. (예: AbnormalSecurityXX).

   e. 런타임 선택: Python 3.8을 선택합니다.

   f. 새 리소스의 위치 선택 성능 향상 및 비용 절감을 위해 Microsoft Sentinel이 있는 동일한 지역을 선택합니다.

6. 배포가 시작됩니다. 함수 앱을 만들고 배포 패키지가 적용되면 알림이 표시됩니다.

7. 함수 앱 구성을 위해 Azure Portal로 이동합니다.

2. 함수 앱 구성

1. 함수 앱에서 함수 앱 이름을 선택하고 구성을 선택합니다.
2. 애플리케이션 설정 탭에서 + 새 애플리케이션 설정을 선택합니다.
3. 각 문자열 값(대/소문자 구분)을 사용하여 다음 애플리케이션 설정을 개별적으로 추가합니다. SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri(선택 사항)(함수 앱에 필요한 다른 설정 추가) 값을 다음으로 설정합니다 uri . <add uri value>

참고: 위의 값에 Azure Key Vault 비밀을 사용하는 경우 문자열 값 대신 스키마를 사용합니다@Microsoft.KeyVault(SecretUri={Security Identifier}). 자세한 내용은 Azure Key Vault 참조 설명서를 참조하세요.

• logAnalyticsUri를 사용하여 전용 클라우드에 대한 로그 분석 API 엔드포인트를 재정의합니다. 예를 들어 퍼블릭 클라우드의 경우 값을 비워 둡니다. Azure GovUS 클라우드 환경의 경우 다음 형식으로 값을 지정합니다. https://<CustomerId>.ods.opinsights.azure.us.

4. 모든 애플리케이션 설정을 입력한 후 저장을 클릭합니다.

다음 단계

자세한 내용은 Azure Marketplace의 관련 솔루션 으로 이동하세요.