Microsoft Sentinel 통합(미리 보기)

  • 아티클

클라우드용 Microsoft Defender 앱을 Microsoft Sentinel(확장성 있는 클라우드 네이티브 SIEM 및 SOAR)과 통합하여 경고 및 검색 데이터를 중앙 집중식으로 모니터링할 수 있습니다. Microsoft Sentinel과 통합하면 일반적인 보안 워크플로를 기본 보안 절차를 자동화하고 클라우드 기반 이벤트와 온-프레미스 이벤트 간의 상관 관계를 파악하는 동시에 클라우드 애플리케이션을 더 잘 보호할 수 있습니다.

Microsoft Sentinel 사용의 이점은 다음과 같습니다.

  • Log Analytics에서 제공하는 더 긴 데이터 보존.
  • 기본 시각화입니다.
  • Microsoft Power BI 또는 Microsoft Sentinel 통합 문서와 같은 도구를 사용하여 조직의 요구에 맞는 고유한 검색 데이터 시각화를 만듭니다.

추가 통합 솔루션은 다음과 같습니다.

  • 제네릭 SIEM - 클라우드용 Defender 앱을 일반 SIEM 서버와 통합합니다. 제네릭 SIEM과 통합하는 방법에 대한 자세한 내용은 제네릭 SIEM 통합을 참조 하세요.
  • Microsoft 보안 그래프 API - 여러 보안 공급자를 연결하는 단일 프로그래밍 인터페이스를 제공하는 중간 서비스(또는 broker)입니다. 자세한 내용은 Microsoft Graph 보안 API 사용하여 보안 솔루션 통합을 참조하세요.

Microsoft Sentinel과 통합하면 클라우드용 Defender 앱과 Microsoft Sentinel의 구성이 모두 포함됩니다.

필수 조건

Microsoft Sentinel과 통합하려면 다음을 수행합니다.

  • 유효한 Microsoft Sentinel 라이선스가 있어야 합니다.
  • 테넌트의 전역 관리자 또는 보안 관리자여야 합니다.

미국 정부 지원

직접 클라우드용 Defender 앱 - Microsoft Sentinel 통합은 상용 고객에게만 제공됩니다.

그러나 모든 클라우드용 Defender 앱 데이터는 Microsoft Defender XDR에서 사용할 수 있으므로 Microsoft Defender XDR 커넥터를 통해 Microsoft Sentinel에서 사용할 수 있습니다.

Microsoft Sentinel에서 클라우드용 Defender 앱 데이터를 보고자 하는 GCC, GCC High 및 DoD 고객이 Microsoft Defender XDR 솔루션을 설치하는 것이 좋습니다.

자세한 내용은 다음을 참조하세요.

Microsoft Sentinel과 통합

  1. Microsoft Defender 포털에서 설정 > Cloud Apps를 선택합니다.

  2. 시스템에서 SIEM 에이전트 > 추가 SIEM 에이전트 > Sentinel을 선택합니다. 예시:

    Screenshot showing Add SIEM integration menu.

    참고 항목

    이전에 통합을 수행한 경우 Microsoft Sentinel을 추가하는 옵션을 사용할 수 없습니다.

  3. 마법사에서 Microsoft Sentinel로 전달할 데이터 형식을 선택합니다. 다음과 같이 통합을 구성할 수 있습니다.

    • 경고: Microsoft Sentinel을 사용하도록 설정하면 경고가 자동으로 설정됩니다.
    • 검색 로그: 슬라이더를 사용하여 슬라이더를 사용하도록 설정하고 사용하지 않도록 설정합니다. 기본적으로 모든 항목이 선택된 다음 적용을 사용하여 드롭다운을 사용하여 Microsoft Sentinel로 전송되는 검색 로그를 필터링합니다.

    예시:

    Screenshot showing start page of Configure Microsoft Sentinel integration.

  4. 다음을 선택하고 Microsoft Sentinel로 계속 이동하여 통합을 완료합니다. Microsoft Sentinel 구성에 대한 자세한 내용은 클라우드용 Defender 앱용 Microsoft Sentinel 데이터 커넥터를 참조하세요. 예시:

    Screenshot showing finish page of Configure Microsoft Sentinel integration.

참고 항목

새 검색 로그는 일반적으로 클라우드용 Defender 앱 포털에서 구성한 후 15분 이내에 Microsoft Sentinel에 표시됩니다. 그러나 시스템 환경 조건에 따라 시간이 더 오래 걸릴 수 있습니다. 자세한 내용은 분석 규칙의 수집 지연 처리를 참조 하세요.

Microsoft Sentinel의 경고 및 검색 로그

통합이 완료되면 Microsoft Sentinel에서 클라우드용 Defender 앱 경고 및 검색 로그를 볼 수 있습니다.

Microsoft Sentinel의 로그 아래 Security Insights에서 다음과 같이 클라우드용 Defender 앱 데이터 형식에 대한 로그를 찾을 수 있습니다.

데이터 형식 테이블
검색 로그 McasShadowItReporting
경고 SecurityAlert

다음 표에서는 McasShadowItReporting 스키마의 각 필드에 대해 설명합니다.

필드 형식 설명 예제
TenantId 문자열 작업 영역 ID b459b4u5-912x-46d5-9cb1-p43069212nb4
SourceSystem 문자열 원본 시스템 – 정적 값 Azure
TimeGenerated [UTC] DateTime 검색 데이터 날짜 2019-07-23T11:00:35.858Z
StreamName 문자열 특정 스트림의 이름 마케팅 부서
TotalEvents 정수 세션당 총 이벤트 수 122
BlockedEvents 정수 차단된 이벤트 수 0
UploadedBytes 정수 업로드된 데이터 양 1,514,874
TotalBytes 정수 총 데이터 양 4,067,785
DownloadedBytes 정수 다운로드한 데이터의 양 2,552,911
IpAddress 문자열 원본 IP 주소 127.0.0.0
UserName 문자열 사용자 이름 Raegan@contoso.com
EnrichedUserName 문자열 Microsoft Entra 사용자 이름을 사용하여 보강된 사용자 이름 Raegan@contoso.com
AppName 문자열 클라우드 앱의 이름 비즈니스용 Microsoft OneDrive
AppId 정수 클라우드 앱 식별자 15600
AppCategory 문자열 클라우드 앱의 범주 클라우드 저장소
AppTags 문자열 ARRAY 앱에 대해 정의된 기본 제공 및 사용자 지정 태그 ["제재됨"]
AppScore 정수 비위험 앱의 점수인 0-10, 10 규모 앱의 위험 점수 10
Type 문자열 로그 유형 – 정적 값 McasShadowItReporting

Microsoft Sentinel에서 클라우드용 Defender 앱 데이터와 함께 Power BI 사용

통합이 완료되면 다른 도구에서 Microsoft Sentinel에 저장된 클라우드용 Defender 앱 데이터를 사용할 수도 있습니다.

이 섹션에서는 Microsoft Power BI를 사용하여 데이터를 쉽게 셰이핑하고 결합하여 조직의 요구 사항을 충족하는 보고서 및 대시보드를 빌드하는 방법을 설명합니다.

시작하기:

  1. Power BI에서 클라우드용 Defender 앱 데이터에 대한 Microsoft Sentinel에서 쿼리를 가져옵니다. 자세한 내용은 Power BI로 Azure Monitor 로그 데이터 가져오기를 참조하세요.

  2. 클라우드용 Defender 앱 섀도 IT 검색 앱을 설치하고 검색 로그 데이터에 연결하여 기본 제공 Shadow IT 검색 대시보드를 봅니다.

    참고 항목

    현재 앱은 Microsoft AppSource에 게시되지 않습니다. 따라서 앱을 설치할 수 있는 권한은 Power BI 관리자에게 문의해야 할 수 있습니다.

    예시:

    Screenshot showing the Shadow IT Discovery dashboard.

  3. 필요에 따라 Power BI Desktop에서 사용자 지정 대시보드를 빌드하고 조직의 시각적 분석 및 보고 요구 사항에 맞게 조정합니다.

클라우드용 Defender 앱 커넥트

  1. Power BI에서 앱 > 섀도 IT 검색 앱을 선택합니다.

  2. 새 앱 시작 페이지에서 커넥트 선택합니다. 예시:

    Screenshot showing connect app data page.

  3. 작업 영역 ID 페이지에서 로그 분석 개요 페이지에 표시된 대로 Microsoft Sentinel 작업 영역 ID를 입력한 다음, 다음을 선택합니다. 예시:

    Screenshot showing request for workspace ID.

  4. 인증 페이지에서 인증 방법 및 개인 정보 수준을 지정한 다음 로그인을 선택합니다. 예시:

    Screenshot showing the authentication page.

  5. 데이터를 연결한 후 작업 영역 데이터 세트 탭으로 이동하여 새로 고침을 선택합니다. 그러면 보고서가 사용자 고유의 데이터로 업데이트됩니다.

문제가 발생하면 도움을 받으세요. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.