다음을 통해 공유

Microsoft Sentinel 데이터 레이크에서 페더레이션된 데이터 커넥터 설정

이 문서에서는 Microsoft Sentinel 데이터 레이크에서 외부 데이터 원본을 쿼리할 수 있도록 페더레이션된 데이터 커넥터를 구성하는 방법을 설명합니다. Azure Databricks, Azure Data Lake Storage(ADLS) Gen 2 및 Microsoft Fabric과 페더레이션할 수 있습니다.

필수 구성 요소

데이터 페더레이션을 설정하기 전에 다음 요구 사항을 충족하는지 확인합니다.

  • 데이터 레이크 온보딩 Sentinel: 테넌트는 Sentinel 데이터 레이크에 온보딩되어야 합니다. 자세한 내용은 데이터 레이크를 Microsoft Sentinel 온보딩을 참조하세요.

  • 공용 접근성: 외부 원본에 공개적으로 액세스할 수 있어야 합니다. 프라이빗 엔드포인트는 현재 지원되지 않습니다.

  • 서비스 주체: 연결하려는 데이터 원본에 적절한 권한이 있는 서비스 주체는 Azure Databricks 및 Azure Data Lake Storage Gen2 원본에 필요합니다. 자세한 내용은 앱 등록 Microsoft Entra ID 참조하세요.

  • Azure Key Vault: 서비스 주체 클라이언트 암호로 구성된 Azure Key Vault 필요합니다. Microsoft Sentinel 애플리케이션 ID에는 키 자격 증명 모음에 할당된 권한이 필요합니다. Azure Key Vault 구성에 대한 자세한 내용은 Azure Key Vault를 참조하세요.

  • Microsoft Sentinel 권한: 시스템 테이블에 대한 데이터(관리) 권한으로 데이터 페더레이션 커넥터를 구성합니다. 자세한 내용은 Microsoft Sentinel 플랫폼의 역할 및 권한을 참조하세요.

서비스 주체 만들기

Azure Databricks 및 ADLS Gen 2 페더레이션의 경우 액세스 자격 증명이 Azure Key Vault 저장된 서비스 주체가 필요합니다. 기존 서비스 주체를 사용하거나 다음 단계를 사용하여 새 서비스 주체를 만들 수 있습니다.

  1. Microsoft Entra ID 애플리케이션 등록을 만듭니다.

    1. Azure Portal Microsoft Entra ID>앱 등록 이동합니다.
    2. 새 등록을 선택합니다.
    3. 애플리케이션의 이름을 입력합니다.
    4. 리디렉션 URI를 비워 둡니다(이 시나리오에서는 필요하지 않음).
    5. 등록을 선택하세요.

  2. 클라이언트 암호를 만듭니다.

    1. 앱 등록에서 인증서 & 비밀로 이동합니다.
    2. 새 클라이언트 비밀을 선택합니다.
    3. 설명을 입력하고 만료 기간을 선택합니다.
    4. 추가를 선택합니다.
    5. 다음 섹션에서 사용할 클라이언트 비밀 값을 즉시 복사합니다. 페이지를 나가면 이 값을 검색할 수 없습니다.

  3. 애플리케이션 세부 정보를 확인합니다.

    • 응용 프로그램(클라이언트) ID
    • 개체 ID
    • 디렉터리(테넌트) ID

서비스 주체를 만드는 방법에 대한 자세한 내용은 앱 등록 Microsoft Entra ID 참조하세요.

Azure Key Vault 만들고 자격 증명 저장

기존 Azure Key Vault 사용하고 아래 단계에 따라 Key Vault 액세스를 구성하거나 다음 단계를 사용하여 새 Key Vault 만들 수 있습니다.

  1. Azure Key Vault 만듭니다.

    1. Azure Portal 새 Azure Key Vault 만듭니다.
    2. Azure 역할 기반 액세스 제어(권장) 권한 모델을 사용합니다.
    3. 키 자격 증명 모음에 대해 일시 삭제 및 제거 보호 설정을 사용하도록 설정합니다.
    4. 만든 후 Key Vault URI를 기록해 둡니다.

  2. Key Vault 액세스 구성:

    1. Microsoft Sentinel 플랫폼의 관리 ID에 Key Vault 비밀 사용자 역할을 할당합니다. ID의 접두사는 입니다 msg-resources-.
    2. 역할 기반 액세스 제어를 Azure 대신 Key Vault에 대한 액세스 정책을 사용하는 경우 비밀 관리 작업에 대한 가져오기 및 목록에 대한 권한을 제공합니다.

  3. 클라이언트 비밀을 Key Vault 저장합니다.

    1. Key Vault 비밀>생성/가져오기로 이동합니다.
    2. 서비스 주체의 클라이언트 암호를 포함하는 새 비밀을 만듭니다.
    3. 비밀 이름을 기록해 둡니다. 데이터 페더레이션 커넥터 instance 구성할 때 사용됩니다.

Azure Key Vault 구성에 대한 자세한 내용은 Azure Key Vault를 참조하세요.

페더레이션된 데이터 커넥터

페더레이션 커넥터는 Defender 포털의 Microsoft Sentinel 데이터 커넥터 페이지에서 관리됩니다.

  1. Microsoft Sentinel>구성>데이터 커넥터로 이동합니다.

  2. 데이터 페더레이션에서 카탈로그를 선택하여 사용 가능한 페더레이션 커넥터를 확인합니다.

    카탈로그 페이지에는 다음이 표시됩니다.

    • 사용 가능한 페더레이션 커넥터 유형
    • 각 커넥터에 대해 구성된 인스턴스 수
    • 게시자 및 지원 정보

    사용 가능한 커넥터가 있는 데이터 페더레이션 카탈로그를 보여 주는 스크린샷

  3. 내 커넥터 페이지를 선택하여 구성된 모든 커넥터 인스턴스를 봅니다. 페이지에는 표시 이름, 버전, 상태 및 지원 공급자와 함께 테넌트의 데이터 페더레이션 커넥터 인스턴스가 나열됩니다.

  4. 각 instance 선택하여 세부 정보를 보거나 구성을 편집하거나 instance 삭제합니다.

구성된 페더레이션 인스턴스가 있는 내 커넥터 페이지를 보여 주는 스크린샷

커넥터 instance 만들기

커넥터 instance 만드는 프로세스는 연결하려는 외부 데이터 원본에 따라 달라집니다. 특정 데이터 원본 형식에 대한 지침을 따릅니다.

Microsoft Fabric 커넥터 instance 만들기

패브릭 커넥터 instance 구성하기 전에 Microsoft Sentinel 데이터에 액세스할 수 있도록 Microsoft Fabric 환경 내에서 권한을 설정해야 합니다.

  1. 데이터 페더레이션>카탈로그 페이지에서 Microsoft Fabric 행을 선택합니다.

  2. 측면 패널에서 커넥터 연결을 선택합니다.

  3. 다음 정보를 입력합니다.

    필드 설명
    인스턴스 이름 이 커넥터의 이름 instance. 이 instance 이름은 이 instance 레이크에 표시된 테이블에 추가됩니다.
    패브릭 작업 영역 ID 페더레이션할 패브릭 작업 영역의 ID입니다. 패브릭 작업 영역 또는 레이크하우스로 이동하면 작업 영역 ID가 URL 다음에 표시됩니다. /groups/
    Lakehouse 테이블 ID 페더레이션할 패브릭 레이크하우스 테이블의 ID입니다. 패브릭 레이크하우스로 이동하면 레이크하우스 ID가 다음 /lakehouses/URL에 표시됩니다.

  4. 다음을 선택합니다.

    Microsoft Fabric 연결 세부 정보 양식의 스크린샷

  5. 페더레이션하려는 테이블을 선택합니다.

  6. 다음을 선택합니다.

  7. 페더레이션 대상 구성을 검토합니다.

  8. 연결을 선택하여 연결 instance 만듭니다.

참고

대상 데이터 원본의 파일은 Sentinel 데이터 레이크에서 읽으려면 델타 parquet 형식이어야 합니다.

커넥터 instance 테이블 확인

커넥터를 만든 후 페더레이션한 테이블을 Microsoft Sentinel 사용할 수 있다는 instance 검사.

  1. Microsoft Sentinel > 구성 > 테이블로 이동합니다.

  2. 페더레이션된 형식을 기준으로 필터링하여 모든 페더레이션 테이블을 확인합니다.

  3. 커넥터 instance 이름으로 검색합니다.

  4. 커넥터 instance 테이블은 이름 뒤에 _instance name와 함께 나열됩니다. 예를 들어 데이터 커넥터 instance 이름이 이고 GlobalHRData 테이블이 이면 hrlogs테이블 이름이 로 hrlogs_GlobalHRData표시됩니다.

  5. 목록에서 테이블을 선택하여 세부 정보 패널을 엽니다.

  6. 개요 탭을 선택하여 테이블 형식 및 페더레이션 공급자를 확인합니다.

  7. 데이터 원본 탭을 선택하여 테이블의 커넥터 instance 데이터 공급자 및 원본 제품을 확인합니다. 커넥터 instance 이름을 선택하면 데이터 커넥터의 내 커넥터에서 해당 instance 이동합니다.

  8. 스키마 탭을 선택하여 테이블 스키마를 확인합니다.

  9. 스키마 탭에서 새로 고침을 선택하여 페더레이션된 테이블과 연결된 테이블 스키마를 새로 고칩니다.

페더레이션 테이블 스키마를 보여 주는 스크린샷

커넥터 인스턴스 관리

커넥터 instance 수정하거나 삭제하려면 다음을 수행합니다.

  1. 데이터 페더레이션>내 커넥터 페이지로 이동합니다.
  2. 관리할 커넥터 instance 선택합니다.
  3. 세부 정보 패널에서 사용 가능한 옵션을 사용하여 다음을 수행합니다.
    • 연결 설정 편집
    • 페더레이션 테이블 추가 또는 제거
    • 커넥터 instance 삭제

참고

Microsoft Fabric 연결 인스턴스는 편집을 지원하지 않습니다. 새 페더레이션된 연결을 만들어 테이블을 더 추가하거나 패브릭 연결 instance 삭제하고 동일한 instance 이름과 다른 테이블 집합을 선택한 상태에서 다시 만들 수 있습니다.

내 커넥터 페이지를 보여 주는 스크린샷

문제 해결

연결 실패

  • 에 접두 msg-resources- 사로 지정된 Sentinel 플랫폼 관리 ID에 Azure Key Vault 대한 올바른 권한이 있는지 확인합니다.

  • 연결 원본이 Databricks 또는 Azure Data Lake Storage Gen2 Azure 경우 Key Vault 비밀에 서비스 주체에 대한 올바른 클라이언트 암호가 포함되어 있는지 확인합니다.

  • Key Vault 네트워킹은 커넥터 구성 중에 모든 네트워크에서 공용 액세스를 허용으로 설정해야 하며 이는 Key Vault 기본 구성입니다. 커넥터를 만들거나 편집한 후에 변경할 수 있습니다.

  • 외부 데이터 원본에 공개적으로 액세스할 수 있는지 확인합니다.

  • 서비스 주체에 Azure Databricks 및 ADLS에 대한 대상 데이터 원본에 대한 적절한 권한이 있는지 확인합니다.

  • 대상 데이터 원본이 패브릭인 경우 Microsoft Sentinel msg-resources- 접두사 ID에 작업 영역 멤버로 권한이 부여되었다고 검사.

  • 100개 이상의 연결 인스턴스가 없는지 확인합니다.

참고

ADLS 및 Azure Databricks는 페더레이션된 연결당 하나의 연결 instance 사용합니다. 패브릭은 페더레이션된 연결당 더 많은 인스턴스를 사용할 수 있습니다. 패브릭의 경우 페더레이션된 연결의 각 레이크하우스 스키마는 100 instance 제한에 대해 계산됩니다.

테이블이 표시되지 않음

  • 서비스 주체가 ADLS 및 Azure Databricks에 대한 대상 테이블에 대한 읽기 권한이 있고 서비스 주체가 이러한 데이터 원본과 동일한 테넌트인지 확인합니다.

  • Databricks의 경우 기본 제공 데이터 판독기 권한 사전 설정과 서비스 주체에 대한 외부 사용 스키마 권한을 모두 부여했는지 확인합니다.

  • ADLS Gen 2의 경우 스토리지 Blob 데이터 판독기 역할이 서비스 주체에 할당되어 있는지 확인합니다.

쿼리 성능 문제

  • 외부 원본에서 쿼리되는 데이터의 크기를 고려합니다.

  • 쿼리를 최적화하여 데이터를 조기에 필터링합니다.

  • Sentinel 외부 원본 간의 네트워크 연결을 확인합니다.

다음 단계

  • Last updated on