Microsoft Defender XDR과 SIEM 도구 통합
적용 대상:
참고
MS Graph 보안 API를 사용하여 새 API를 사용해 보세요. 자세한 정보: Microsoft Graph 보안 API 사용 - Microsoft Graph | Microsoft Learn.
SIEM(보안 정보 및 이벤트 관리) 도구를 사용하여 Microsoft Defender XDR 인시던트 및 스트리밍 이벤트 데이터 끌어오기
참고
- Microsoft Defender XDR 인시던트 는 상관 관계가 있는 경고 및 해당 증거의 컬렉션으로 구성됩니다.
- Microsoft Defender XDR 스트리밍 API는 이벤트 데이터를 Microsoft Defender XDR 이벤트 허브 또는 Azure Storage 계정으로 스트리밍합니다.
Microsoft Defender XDR 에 설치된 특정 SIEM 솔루션 또는 커넥터를 나타내는 등록된 Microsoft Entra 애플리케이션에 대해 OAuth 2.0 인증 프로토콜을 사용하여 Microsoft Entra ID 엔터프라이즈 테넌트에서 정보를 수집하는 SIEM(보안 정보 및 이벤트 관리) 도구를 지원합니다. 환경.
자세한 내용은 다음 항목을 참조하세요.
- Microsoft Defender XDR API 라이선스 및 사용 약관
- Microsoft Defender XDR API 액세스
- Hello World 예제
- 응용 프로그램 컨텍스트를 사용하여 액세스
보안 정보를 수집하는 두 가지 기본 모델이 있습니다.
Azure의 REST API에서 Microsoft Defender XDR 인시던트 및 포함된 경고를 수집합니다.
Azure Event Hubs 또는 Azure Storage 계정을 통해 스트리밍 이벤트 데이터를 수집합니다.
Microsoft Defender XDR 현재 다음 SIEM 솔루션 통합을 지원합니다.
인시던트 REST API에서 인시던트 수집
인시던트 스키마
포함된 경고 및 증거 엔터티 메타데이터를 포함하여 Microsoft Defender XDR 인시던트 속성에 대한 자세한 내용은 스키마 매핑을 참조하세요.
스플렁크 주
다음을 지원하는 Microsoft Security용 완전히 지원되는 새로운 Splunk 추가 기능을 사용합니다.
Splunk의 CIM(일반 정보 모델)에 매핑되는 다음 제품의 경고가 포함된 인시던트 수집:
- Microsoft Defender XDR
- 엔드포인트용 Microsoft Defender
- Microsoft Defender for Identity 및 Microsoft Entra ID Protection
- Microsoft Defender for Cloud Apps
엔드포인트용 Defender 경고 수집(엔드포인트용 Defender의 Azure 엔드포인트에서) 이러한 경고 업데이트
Microsoft Defender XDR 인시던트 및/또는 엔드포인트용 Microsoft Defender 경고 및 해당 대시보드 업데이트에 대한 지원이 Splunk용 Microsoft 365 앱으로 이동되었습니다.
자세한 내용은 다음을 참조하세요.
Microsoft Security용 Splunk 추가 기능은 Splunkbase의 Microsoft 보안 추가 기능을 참조하세요.
Splunk용 Microsoft 365 앱은 Splunkbase의 Microsoft 365 앱을 참조하세요.
Micro Focus ArcSight
Microsoft Defender XDR 위한 새 SmartConnector는 인시던트 수집을 ArcSight에 수집하고 이를 CEF(Common Event Framework)에 매핑합니다.
새 ArcSight SmartConnector for Microsoft Defender XDR 대한 자세한 내용은 ArcSight 제품 설명서를 참조하세요.
SmartConnector는 사용되지 않는 엔드포인트용 Microsoft Defender 대한 이전 FlexConnector를 대체합니다.
탄성
탄력적 보안은 SIEM 위협 탐지 기능을 하나의 솔루션에서 엔드포인트 방지 및 대응 기능과 결합합니다. Microsoft Defender XDR 및 엔드포인트용 Defender에 대한 탄력적 통합을 통해 조직은 Elastic Security 내 Defender의 인시던트 및 경고를 활용하여 조사 및 인시던트 대응을 수행할 수 있습니다. Elastic은 강력한 검색 규칙을 사용하여 위협을 신속하게 찾는 클라우드, 네트워크 및 엔드포인트 원본을 비롯한 다른 데이터 원본과 이 데이터를 상호 연결합니다. 탄력적 커넥터에 대한 자세한 내용은 다음을 참조하세요. Microsoft M365 Defender | 탄력적 문서
Event Hubs를 통해 스트리밍 이벤트 데이터 수집
먼저 Microsoft Entra 테넌트에서 Event Hubs 또는 Azure Storage 계정으로 이벤트를 스트리밍해야 합니다. 자세한 내용은 스트리밍 API를 참조하세요.
스트리밍 API에서 지원하는 이벤트 유형에 대한 자세한 내용은 지원되는 스트리밍 이벤트 유형을 참조하세요.
스플렁크 주
Microsoft Cloud Services Splunk 추가 기능을 사용하여 Azure Event Hubs 이벤트를 수집합니다.
Microsoft Cloud Services 대한 Splunk 추가 기능에 대한 자세한 내용은 Splunkbase의 Microsoft Cloud Services 추가 기능을 참조하세요.
IBM QRadar
Event Hubs 또는 Azure Storage 계정을 통해 Microsoft Defender XDR 제품에서 스트리밍 이벤트 데이터를 수집할 수 있는 Microsoft Defender XDR 스트리밍 API를 호출하는 새 IBM QRadar Microsoft Defender XDR DSM(디바이스 지원 모듈)을 사용합니다. 지원되는 이벤트 유형에 대한 자세한 내용은 지원되는 이벤트 유형을 참조하세요.
탄성
탄력적 스트리밍 API 통합에 대한 자세한 내용은 Microsoft M365 Defender | 탄력적 문서.
관련 문서
Microsoft Graph 보안 API 사용 - Microsoft Graph | Microsoft Learn
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기