Microsoft Defender XDR 통합을 사용하여 클라우드용 Microsoft Defender 인시던트 수집
클라우드용 Microsoft Defender는 이제 Microsoft Defender XDR과 통합되었으며, 이전의 Microsoft 365 Defender가 Microsoft Defender XDR이 되었습니다. 이 통합을 통해 Defender XDR은 클라우드용 Defender에서 경고를 수집하고 그로부터 Defender XDR 인시던트를 만들 수 있습니다.
이 통합 덕분에 Defender XDR 인시던트 통합을 사용하도록 설정하는 Microsoft Sentinel 고객은 이제 Microsoft Defender XDR을 통해 클라우드용 Defender 인시던트를 수집하고 동기화할 수 있습니다.
이 통합을 지원하려면 다음 클라우드용 Microsoft Defender 데이터 커넥터 중 하나를 설정해야 합니다. 그러지 않으면 Microsoft Defender XDR 커넥터를 통해 들어오는 클라우드용 Microsoft Defender 인시던트에 관련 경고 및 엔터티가 표시되지 않습니다.
Microsoft Sentinel에는 새로운 테넌트 기반 클라우드용 Microsoft Defender(미리 보기) 커넥터가 있습니다. 이 커넥터를 사용하면 Microsoft Sentinel 고객이 모든 클라우드용 Defender 구독에 대한 커넥터 등록을 모니터링하고 유지 관리할 필요 없이 전체 테넌트에서 클라우드용 Defender 경고를 받을 수 있습니다. 클라우드용 Microsoft Defender와의 Microsoft Defender XDR 통합도 테넌트 수준에서 구현되므로 이 새 커넥터를 사용하는 것이 좋습니다.
또는 구독 기반 클라우드용 Microsoft Defender(레거시) 커넥터를 사용할 수 있습니다. 커넥터에서 Microsoft Sentinel에 연결되지 않은 클라우드용 Defender 구독이 있는 경우 해당 구독의 인시던트에 연결된 경고 및 엔터티가 표시되지 않으므로 이 커넥터는 권장되지 않습니다.
위에서 언급한 두 커넥터는 Defender XDR 인시던트 통합을 사용하도록 설정했는지 여부에 관계없이 클라우드용 Defender 경고를 수집할 수 있습니다.
Important
Defender XDR과 클라우드용 Defender 통합이 이제 일반 GA(일반 공급)로 출시되었습니다.
테넌트 기반 클라우드용 Microsoft Defender 커넥터는 현재 미리 보기 버전입니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.
이 통합 및 새 커넥터를 사용하는 방법 선택
이 통합을 사용하는 방법과 전체 인시던트를 수집할지 아니면 경고만 수집할지 여부는 Microsoft Defender XDR 인시던트와 관련하여 이미 수행 중인 작업에 따라 크게 달라집니다.
Defender XDR 인시던트가 이미 수집 중이거나 지금 수집을 시작하려는 경우 이 새 테넌트 기반 커넥터를 사용하도록 설정하는 것이 좋습니다. 이제 Defender XDR 인시던트에는 테넌트에 있는 모든 클라우드용 Defender 구독에서 완전히 채워진 경고가 포함된 클라우드용 Defender 기반 인시던트가 포함됩니다.
이 경우 레거시 구독 기반 클라우드용 Defender 커넥터를 유지하고 새 테넌트 기반 커넥터를 연결하지 않으면 빈 경고가 포함된 클라우드용 Defender 인시던트를 수신할 수 있습니다(커넥터가 등록되지 않은 구독의 경우).
Microsoft Defender XDR 인시던트 통합을 사용하도록 설정하지 않으려는 경우 사용하도록 설정한 커넥터 버전에 관계없이 클라우드용 Defender 경고를 받을 수 있습니다. 그러나 새 테넌트 기반 커넥터는 커넥터에서 클라우드용 Defender 구독 목록을 모니터링하고 유지 관리할 수 있는 권한이 필요하지 않다는 이점이 있습니다.
Defender XDR 통합을 사용 설정했지만 클라우드용 Defender 경고만 수신하고 인시던트는 받지 않으려는 경우, 자동화 규칙을 사용해서 클라우드용 Defender 인시던트가 도착하는 즉시 종료할 수 있습니다.
적절한 솔루션이 아니거나 구독별로 클라우드용 Defender에서 경고를 수집하려는 경우 Microsoft Defender XDR 포털에서 클라우드용 Defender 통합을 완전히 옵트아웃한 다음, 레거시 구독 기반 버전의 클라우드용 Defender 커넥터를 사용하여 해당 경고를 받을 수 있습니다.
Microsoft Sentinel에서 통합 설정
Microsoft 365 Defender 커넥터에서 인시던트 통합을 아직 사용하도록 설정하지 않은 경우 먼저 인시던트 통합을 사용하도록 설정합니다.
그런 다음, 새 테넌트 기반 클라우드용 Microsoft Defender(미리 보기) 커넥터를 사용하도록 설정합니다. 이 커넥터는 콘텐츠 허브의 클라우드용 Microsoft Defender 솔루션 버전 3.0.0을 통해 사용할 수 있습니다. 이 솔루션의 이전 버전이 있는 경우 콘텐츠 허브에서 업그레이드할 수 있습니다.
이전에 레거시 구독 기반 클라우드용 Defener 커넥터(구독 기반 클라우드용 Microsoft Defender(레거시)로 표시됨)를 사용하도록 설정한 경우 로그에서 경고가 중복되지 않도록 사용하지 않도록 설정하는 것이 좋습니다.
클라우드용 Defender 경고에서 인시던트가 생성되도록 예약되어 있거나 Microsoft 보안 분석 규칙이 있는 경우 Microsoft 365 Defender와 동기화되는 즉시 생성되는 인시던트가 수신되므로 클라우드용 Defender 경고에서 인시던트가 생성되는 이러한 규칙을 사용하지 않도록 설정하는 것이 좋습니다.
인시던트 생성을 원하지 않는 특정 유형의 클라우드용 Defender 경고가 있는 경우 자동화 규칙을 사용하여 이러한 인시던트 즉시 닫거나 Microsoft 365 Defender 포털에서 기본 제공 튜닝 기능을 사용할 수 있습니다.
다음 단계
이 문서에서는 Microsoft Defender XDR과 클라우드용 Microsoft Defender의 통합을 사용하여 Microsoft Sentinel로 인시던트 및 경고를 수집하는 방법을 알아보았습니다.
Microsoft Defender XDR과 클라우드용 Microsoft Defender 통합에 대해 자세히 알아봅니다.
- Microsoft Defender XDR 설명서에서 Microsoft Defender XDR의 클라우드용 Microsoft Defender, 특히 Microsoft Sentinel 사용자에 미치는 영향 섹션을 참조하세요.
- 클라우드용 Microsoft Defender 설명서에서 Microsoft 365 Defender(미리 보기)의 경고 및 인시던트를 참조하세요.