이 문서에서는 독립 실행형 커넥터를 통해 수집된 경고와 Microsoft Sentinel의 XDR(확장 검색 및 응답) 커넥터를 통해 수집된 경고의 차이점을 설명합니다.
독립 실행형 커넥터는 원래 보안 제품에서 직접 경고를 수집하는 반면 XDR 커넥터는 Microsoft Defender XDR 파이프라인을 통해 경고를 수집합니다. 여기에는 Office 365용 Microsoft Defender, 엔드포인트용 Microsoft Defender, ID용 Microsoft Defender, IRM(정보 권한 관리), DLP(데이터 손실 방지), MDC(Microsoft Defender for Cloud) 및 MDA(Microsoft Defender for Cloud Apps)와 같은 커넥터가 포함됩니다.
이러한 차이는 필드 매핑, 파생 필드 동작, 스키마 구조 및 경고 수집에 영향을 줄 수 있으며 이는 기존 쿼리, 분석 규칙 및 통합 문서에 영향을 줄 수 있습니다. XDR 커넥터로 마이그레이션하기 전에 이러한 차이점을 검토합니다.
전체 경고 스키마는 보안 경고 스키마 참조를 참조하세요.
CompromisedEntity 동작
경고가 XDR 커넥터를 통해 수집될 때 CompromisedEntity 필드는 제품 간에 다르게 처리됩니다.
| 제품 | XDR 경고의 CompromisedEntity 해당 값 |
|---|---|
| 엔드포인트용 Microsoft Defender(MDE) | 경고 엔터티 JSON에 있는 "LeadingHost": true 디바이스 |
| Microsoft Entra ID(ID 보호) | 항상 사용자의 UPN으로 설정 |
| Microsoft Defender(MDI) | 고정 문자열 "CompromisedEntity" |
비고
MDE 경고에서 CompromisedEntity는 디바이스 "LeadingHost": true에서 파생됩니다. 일부 경고에서는 이 필드가 채워지지 않을 수 있습니다.
MDI 경고에서 CompromisedEntity는 호스트 또는 사용자를 나타내지 않으며 항상 리터럴 문자열 "CompromisedEntity"입니다.
필드 매핑 변경 내용
일부 필드의 이름이 바뀌거나 XDR 커넥터의 경고에서 다른 값 집합을 사용합니다.
| 제품 | 레거시 필드/속성 | XDR 동작 |
|---|---|---|
| MDE | ExtendedProperties.MicrosoftDefenderAtp.Category | 매핑됨 ExtendedProperties.Category |
| Office용 Microsoft Defender(MDO) | ExtendedProperties.Status | 레거시와 다른 값 집합 사용 |
| Office용 Microsoft Defender(MDO) | ExtendedProperties.InvestigationName | 사용할 수 없음 |
MDI(구조적 스키마 변환)
독립 실행형 MDI(Microsoft Defender for Identity) 커넥터는 경우에 따라 자리 표시자 엔터티를 사용하여 추가 정보를 저장했습니다. XDR 커넥터에서 이 정보는 컬렉션 아래 resourceAccessEvents 의 속성으로 폴딩됩니다.
| 레거시 엔터티/속성 | XDR 표현 |
|---|---|
| ResourceAccessInfo.Time | resourceAccessEvents[].AccessDateTime |
| ResourceAccessInfo.IpAddress | resourceAccessEvents[].IpAddress |
| ResourceAccessInfo.ResourceIdentifier.AccountId | resourceAccessEvents[].AccountId |
| ResourceAccessInfo.ResourceIdentifier.ResourceName | resourceAccessEvents[].ResourceIdentifier |
| DomainResourceIdentifier | resourceAccessEvents[].ResourceIdentifier |
ResourceAccessInfo.ComputerId는 ResourceAccessInfo가 정의된 호스트 엔터티와 동일하기 때문에 더 이상 필요하지 않습니다.
경고 수집 필터링
독립 실행형 커넥터를 통해 사용할 수 있는 일부 경고는 XDR 커넥터를 통해 수집되지 않습니다.
| 제품 | 필터링 동작 |
|---|---|
| 클라우드용 Microsoft Defender(MDC) | 정보 심각도 경고가 수집되지 않음 |
| Microsoft Entra ID (마이크로소프트 엔트라 ID) | 기본적으로 심각도가 높은 경고는 수집되지 않습니다. 고객은 모든 심각도를 포함하도록 수집을 구성할 수 있습니다. |
범위 지정 동작(클라우드용 Microsoft Defender)
클라우드용 Microsoft Defender 경고는 XDR 커넥터를 통해 수집할 때 다른 범위 지정을 사용합니다.
| 독립 실행형 커넥터 범위 | XDR 커넥터 범위 |
|---|---|
| 구독 수준 | 테넌트 수준 |
비고
모든 MDC 경고는 테넌트에 대한 기본 작업 영역에서 사용할 수 있습니다. 경고는 Defender XDR 내의 MDC 구독 범위에 따라 범위가 지정됩니다.