Event Hubs 구성
적용 대상:
참고
MS Graph 보안 API를 사용하여 새 API를 사용해 보세요. 자세한 정보: Microsoft Graph 보안 API 사용 - Microsoft Graph | Microsoft Learn.
Microsoft Defender XDR에서 이벤트를 수집할 수 있도록 Event Hubs를 구성하는 방법을 알아봅니다.
- Azure 포털에 로그인합니다.
- 구독 선택>{ 이벤트 허브가 }>리소스 공급자에 배포될 구독을 선택합니다.
- Microsoft.Insights 공급자가 등록되어 있는지 확인합니다. 그렇지 않으면 등록합니다.
참고
관리자 역할이 있거나 관리자가 아닌 사용자가 앱을 등록할 수 있도록 Microsoft Entra ID를 설정해야 합니다. 서비스 주체에 역할을 할당하려면 소유자 또는 사용자 액세스 관리자 역할도 있어야 합니다. 자세한 내용은 포털에서 Microsoft Entra 앱 & 서비스 주체 만들기 - Microsoft ID 플랫폼 | Microsoft Docs.
Microsoft Entra ID> 앱 등록 새 등록에서 새 등록(기본적으로 서비스 주체를 만듭니다)을> 만듭니다.
이름만 사용하여 양식을 작성합니다(리디렉션 URI가 필요하지 않음).
인증서 & 비밀을 클릭하여 비밀을 만듭니다 .>새 클라이언트 암호:
이 클라이언트 비밀 값은 Microsoft Graph API에서 등록 중인 이 애플리케이션을 인증하는 데 사용됩니다.
경고
클라이언트 비밀에 다시 액세스할 수 없으므로 저장해야 합니다.
Event Hubs 네임스페이스를 만듭니다.
이벤트 허브 > 추가로 이동하여 예상 부하에 적합한 가격 책정 계층, 처리량 단위 및 자동 팽창(표준 가격 책정 및 기능 아래 필요)을 선택합니다. 자세한 내용은 가격 책정 - Event Hubs | Microsoft Azure.
참고
기존 이벤트 허브를 사용할 수 있지만 처리량 및 크기 조정은 네임스페이스 수준에서 설정되므로 자체 네임스페이스에 이벤트 허브를 배치하는 것이 좋습니다.
또한 이 Event Hubs 네임스페이스의 리소스 ID가 필요합니다. Azure Event Hubs 네임스페이스 페이지 > 속성으로 이동합니다. 리소스 ID 아래의 텍스트를 복사하고 아래의 Microsoft 365 구성 섹션에서 사용할 수 있는 텍스트를 기록합니다.
Event Hubs 데이터 관리에 관련된 엔터티에 다음 역할에 권한을 추가해야 합니다.
- 기여자: 이 역할과 관련된 권한은 Microsoft Defender 포털에 로그인하는 엔터티에 추가됩니다.
- 읽기 권한자 및 Azure Event Hub 데이터 수신기: 이러한 역할과 관련된 권한은 서비스 주체 의 역할을 이미 할당하고 Microsoft Entra 애플리케이션에 로그인하는 엔터티에 할당됩니다.
이러한 역할이 추가되었는지 확인하려면 다음 단계를 수행합니다.
이벤트 허브 IAM(네임스페이스>액세스 제어)>역할 할당에서 추가 및 확인으로 이동합니다.
옵션 1:
네임스페이스 내에서 Event Hubs를 만들 수 있으며 내보내기 위해 선택한 모든 이벤트 유형(테이블)이 이 하나의 이벤트 허브에 기록됩니다.
옵션 2:
모든 이벤트 유형(테이블)을 하나의 이벤트 허브로 내보내는 대신 Event Hubs 네임스페이스 내의 다른 Event Hubs로 각 테이블을 내보낼 수 있습니다(이벤트 유형당 하나의 이벤트 허브).
이 옵션에서 Microsoft Defender XDR은 Event Hubs를 만듭니다.
참고
Event Hub 클러스터에 속 하지 않는 Event Hub 네임스페이스를 사용하는 경우 Event Hub 네임스페이스당 10개의 이벤트 허브 제한으로 인해 정의한 각 내보내기 설정에서 내보낼 최대 10개의 이벤트 유형(테이블)만 선택할 수 있습니다.
예:
이 옵션을 선택하는 경우 전자 메일 테이블을 보내도록 Microsoft Defender XDR 구성 섹션으로 건너뛸 수 있습니다.
Event Hub+ Event Hub를 선택하여 네임스페이스 내에서 Event Hubs>를 만듭니다.
파티션 수를 사용하면 병렬 처리를 통해 더 많은 처리량을 사용할 수 있으므로 예상되는 부하에 따라 이 수를 늘리는 것이 좋습니다. 기본 메시지 보존 및 캡처 값은 1 및 끄기인 것이 좋습니다.
이러한 Event Hubs(네임스페이스가 아님)의 경우 보내기, 클레임 수신 대기를 사용하여 공유 액세스 정책을 구성해야 합니다. 이벤트 허브>공유 액세스 정책>+ 추가를 클릭한 다음 정책 이름(다른 곳에서는 사용되지 않음)을 지정하고 보내기 및 수신 대기를 선택합니다.
다음 역할 요구 사항을 모두 충족하는 계정으로 Microsoft Defender XDR 에 로그인합니다.
원시 데이터 내보내기 > +추가를 클릭합니다.
이제 위에서 기록한 데이터를 사용합니다.
이름: 이 값은 로컬이며 사용자 환경에서 작동하는 모든 항목이어야 합니다.
이벤트 허브에 이벤트 전달: 이 확인란을 선택합니다.
Event-Hub 리소스 ID: 이 값은 Event Hubs를 설정할 때 기록한 Event Hubs 네임스페이스 리소스 ID입니다.
Event-Hub 이름: Event Hubs 네임스페이스 내에 Event Hubs를 만든 경우 위에서 기록한 Event Hubs 이름을 붙여넣습니다.
Microsoft Defender XDR에서 이벤트 유형당 Event Hubs(테이블)를 만들도록 하려면 이 필드를 비워 둡니다.
이벤트 유형: Event Hubs로 전달하려는 고급 헌팅 테이블을 선택한 다음, 사용자 지정 앱으로 이동합니다. 경고 테이블은 Microsoft Defender XDR에서, 디바이스 테이블은 EDR(엔드포인트용 Microsoft Defender)에서, 전자 메일 테이블은 Office 365용 Microsoft Defender에서 제공됩니다. 전자 메일 이벤트는 모든 전자 메일 트랜잭션을 기록합니다. URL(안전한 링크), 첨부 파일(안전한 첨부 파일) 및 ZAP(배달 후 이벤트)도 기록되며 NetworkMessageId 필드의 전자 메일 이벤트에 조인할 수 있습니다.
제출을 클릭해야 합니다.
기본 고급 헌팅 쿼리를 실행하여 이벤트가 Event Hubs로 전송되고 있는지 확인할 수 있습니다. 헌팅고급 헌>팅 >쿼리를 선택하고 다음 쿼리를 입력합니다.
EmailEvents
|join kind=fullouter EmailAttachmentInfo on NetworkMessageId
|join kind=fullouter EmailUrlInfo on NetworkMessageId
|join kind=fullouter EmailPostDeliveryEvents on NetworkMessageId
|where Timestamp > ago(1h)
|count
이 쿼리는 다른 모든 테이블에서 조인된 마지막 1시간 동안 받은 이메일 수를 보여 줍니다. 이벤트 허브로 내보낼 수 있는 이벤트가 표시되는 경우에도 표시됩니다. 이 개수가 0으로 표시되면 Event Hubs로 나가는 데이터가 표시되지 않습니다.
내보낼 데이터가 있는지 확인한 후에는 Event Hubs 페이지를 보고 메시지가 들어오는지 확인할 수 있습니다. 이 프로세스는 최대 1시간이 걸릴 수 있습니다.
- Azure에서 Event Hub>로 이동하여 네임스페이스>이벤트 허브 클릭 이벤트 허브>를 클릭합니다.
- 개요에서 아래로 스크롤하고 메시지 그래프에 들어오는 메시지가 표시됩니다. 결과가 표시되지 않으면 사용자 지정 앱에서 수집할 메시지가 없습니다.
Microsoft Graph 보안 API 사용 - Microsoft Graph | Microsoft Learn
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community에서 Microsoft 보안 커뮤니티에 참여하세요.