다음을 통해 공유

Microsoft Sentinel용 Derdack SIGNL4 커넥터

  • 아티클

중요한 시스템이 실패하거나 보안 인시던트가 발생하면 SIGNL4는 '라스트 마일'을 현장의 직원, 엔지니어, IT 관리자 및 작업자에게 연결합니다. 서비스, 시스템 및 프로세스에 실시간 모바일 경고를 즉시 추가합니다. SIGNL4는 승인, 추적 및 에스컬레이션으로 지속적인 모바일 푸시, SMS 텍스트 및 음성 통화를 통해 알립니다. 통합 의무 및 교대 근무 일정은 적절한 사용자가 적시에 경고를 받을 수 있게 합니다.

자세한 정보>

자동 생성된 콘텐츠입니다. 변경은 솔루션 공급자에게 문의하세요.

커넥터 특성

커넥터 특성 설명
Log Analytics 테이블 SIGNL4_CL
데이터 수집 규칙 지원 현재 지원되지 않음
다음에서 지원 Derdack

쿼리 샘플

SIGNL4 경고와 상태 정보를 가져옵니다.

SecurityIncident

| where Labels contains "SIGNL4"

공급업체 설치 지침

참고 항목

이 데이터 커넥터는 주로 SIGNL4 쪽에서 구성됩니다. Microsoft Sentinel과 SIGNL4 통합에서 설명 비디오를 찾을 수 있습니다.

SIGNL4 커넥터: Microsoft Sentinel, Azure Security Center 및 기타 Azure Graph Security API 공급자용 SIGNL4 커넥터는 Azure Security 솔루션과 원활한 양방향 통합을 제공합니다. 커넥터가 SIGNL4 팀에 추가되면 Azure Graph 보안 API에서 보안 경고를 읽고 근무 중인 팀 구성원에게 경고 알림을 완전 자동으로 트리거합니다. 또한 경고 상태를 SIGNL4에서 Graph Security API로 동기화하므로 경고가 승인되거나 닫힌 경우 이 상태도 Azure Graph Security API 경고나 해당 보안 공급자에 따라 업데이트됩니다. 언급했듯이 커넥터는 주로 Azure Graph Security API를 사용하지만 Microsoft Sentinel과 같은 일부 보안 공급자의 경우 Azure 솔루션에 따라 전용 REST API도 사용합니다.

Microsoft Sentinel 기능

Microsoft Sentinel은 Microsoft의 클라우드 네이티브 SIEM 솔루션이며 Azure Graph Security API의 보안 경고 공급자입니다. 그러나 Microsoft Sentinel에서는 Graph Security API에서 사용할 수 있는 경고 세부 정보 수준이 제한됩니다. 따라서 커넥터는 기본 Microsoft Sentinel Log Analytics 작업 영역에서 추가 세부 정보(인사이트 규칙 검색 결과)로 경고를 보강할 수 있습니다. 이렇게 하려면 커넥터가 Azure Log Analytics REST API와 통신하고 권한에 따라 필요합니다(아래 참조). 또한 모든 관련 보안 경고가 진행 중이거나 해결된 경우 앱에서 Microsoft Sentinel 인시던트 상태를 업데이트할 수도 있습니다. 이렇게 하려면 커넥터가 Azure 구독의 'Microsoft Sentinel 기여자' 그룹의 구성원이어야 합니다. Azure에서 자동화된 배포 이전 API에 액세스하는 데 필요한 자격 증명은 아래에서 다운로드할 수 있는 소규모 PowerShell 스크립트에서 생성됩니다. 스크립트는 자동으로 다음 작업을 수행합니다.

  • Azure 구독에 로그온(관리자 계정으로 로그인하세요.)
  • Microsoft Entra ID에서 이 커넥터에 대한 새 엔터프라이즈 애플리케이션(서비스 주체라고도 함) 만들기
  • Azure IAM에서 Azure Log Analytics 작업 영역에만 읽기/쿼리 권한을 부여하는 새 역할을 만들기
  • 엔터프라이즈 애플리케이션을 해당 사용자 역할에 조인
  • 엔터프라이즈 애플리케이션을 'Microsoft Sentinel 기여자 역할에 조인
  • 앱을 구성하는 데 필요한 일부 데이터 출력(아래 참조).

배포 절차

  1. 여기에서 PowerShell 배포 스크립트를 다운로드합니다.
  2. 새 앱 등록에 배포하는 스크립트, 역할 및 권한 범위를 검토합니다. Microsoft Sentinel에서 커넥터를 사용하지 않으려면 모든 역할 만들기와 역할 할당 코드를 제거하면 됩니다. 그러면 Microsoft Entra ID에 앱 등록(SPN)을 만드는 데에만 커넥터를 사용할 수 있습니다.
  3. 스크립트를 실행합니다. 결국 커넥터 앱 구성에 입력해야 하는 정보를 출력합니다.
  4. Microsoft Entra ID에서 ‘앱 등록’을 클릭합니다. 이름이 'SIGNL4AzureSecurity'인 앱을 찾고 세부 정보를 엽니다.
  5. 왼쪽 메뉴 블레이드에서 ‘API 권한’을 클릭합니다. 그런 다음, ‘권한 추가’를 클릭합니다.
  6. 로드되는 블레이드의 'Microsoft API'에서 'Microsoft Graph' 타일을 클릭한 다음, '앱 권한'을 클릭합니다.
  7. 표시되는 테이블에서 'SecurityEvents'를 펼치고 'SecurityEvents.Read.All' 및 'SecurityEvents.ReadWrite.All'을 확인합니다.
  8. ‘권한 추가’를 클릭합니다.

SIGNL4 커넥터 앱 구성

마지막으로 스크립트가 커넥터 구성에서 출력한 ID를 입력합니다.

  • Azure 테넌트 ID
  • Azure 구독 ID
  • 엔터프라이즈 애플리케이션의 클라이언트 ID
  • 엔터프라이즈 애플리케이션의 클라이언트 암호 앱을 사용하도록 설정하면 Azure Graph Security API 경고를 읽기 시작합니다.

참고: 처음에는 지난 24시간 이내에 발생한 경고만 읽습니다.

다음 단계

자세한 내용을 보려면 Azure Marketplace의 관련 솔루션으로 이동합니다.