데이터 커넥터 공급자 이해

  • 6분

Microsoft Defender XDR

Microsoft Defender XDR 데이터 커넥터는 Microsoft Defender XDR 제품의 경고, 인시던트 및 원시 데이터를 제공합니다(하지만 제한되지 않음).

  • 엔드포인트에 대한 Microsoft Defender

  • Microsoft Defender for Identity

  • Office 365용 Microsoft Defender

  • Microsoft Defender for Cloud 앱

Microsoft Azure 서비스

Microsoft 및 Azure 관련 서비스용 커넥터는 다음과 같습니다(이에 국한되지 않음).

  • Microsoft Entra ID

  • Azure 활동

  • Microsoft Entra ID 보호

  • Azure DDoS Protection

  • Microsoft Defender for IoT

  • Azure Information Protection

  • Azure Firewall

  • Microsoft Defender for Cloud

  • Azure WAF(Web Application Firewall)(이전의 Microsoft WAF)

  • 도메인 이름 서버

  • Office 365

  • Windows 방화벽

  • 보안 이벤트

공급업체 커넥터

Microsoft Sentinel은 공급업체별 데이터 커넥터 목록을 제공하는데, 이 목록은 점점 늘어납니다. 해당 커넥터는 주로 CEF 및 Syslog 커넥터를 기본으로 사용합니다.

커넥터 페이지에서 커넥터가 기록하는 데이터 형식(테이블)을 확인해야 합니다.

Log Analytics API를 사용하는 사용자 지정 커넥터

Log Analytics 데이터 수집기 API를 사용하여 Microsoft Sentinel Log Analytics 작업 영역으로 로그 데이터를 보낼 수 있습니다.

LogStash 플러그 인

Logstash 데이터 수집 엔진에 Microsoft Sentinel의 출력 플러그 인을 사용하면 Logstash를 통해 원하는 모든 로그를 Microsoft Sentinel의 Log Analytics 작업 영역으로 직접 보낼 수 있습니다. 로그는 출력 플러그 인을 사용하여 정의한 사용자 지정 테이블에 기록됩니다.

일반적인 이벤트 형식 및 Syslog 커넥터

공급업체에서 제공하는 커넥터가 없으면 일반 CEF(Common Event Format) 또는 Syslog 커넥터를 사용할 수 있습니다.

Syslog는 Linux에 공통되는 이벤트 로깅 프로토콜입니다. 애플리케이션은 로컬 컴퓨터에 저장되거나 Syslog 수집기에 배달될 수 있는 메시지를 전송합니다.

CEF(Common Event Format)는 많은 보안 공급 업체에서 여러 플랫폼 간에 이벤트 상호 운용성을 허용하기 위해 사용하는 Syslog 메시지를 기반으로 하는 산업 표준 형식입니다.

Syslog와 Common Event Format 비교

로그 데이터가 CommonSecurityLog 테이블의 미리 정의된 필드로 구문 분석되므로 CEF는 항상 탁월한 선택입니다. Syslog는 헤더 필드를 제공하지만 원시 로그 메시지가 Syslog 테이블의 SyslogMessage 필드에 저장됩니다. Syslog 데이터를 쿼리해야 하는 경우 특정 필드를 추출하는 파서를 작성해야 합니다. Syslog 메시지의 파서를 만드는 프로세스는 이후 모듈에서 보여 드립니다.

커넥터 아키텍처 옵션

CEF 또는 Syslog Collector를 Microsoft Sentinel에 연결하려면 전용 Azure VM(가상 머신) 또는 온-프레미스 시스템에 에이전트를 배포하여 Microsoft Sentinel과의 어플라이언스 통신을 지원해야 합니다. 자동 또는 수동으로 에이전트를 배포할 수 있습니다. 자동 배포는 전용 머신이 Azure Arc에 연결되거나 Azure에서 가상 머신인 경우에만 사용할 수 있습니다.

다음 다이어그램에서는 Microsoft Sentinel 에이전트를 실행하는 전용 Azure VM에 Syslog 데이터를 전송하는 온-프레미스 시스템을 확인할 수 있습니다.

Diagram of Common Event Format architecture using Syslog on a dedicated Azure VM.

또는 기존 Azure VM, 다른 클라우드의 VM이나 온-프레미스 컴퓨터에 에이전트를 수동으로 배포할 수도 있습니다. 다음 다이어그램에서는 Microsoft Sentinel 에이전트를 실행하는 전용 온-프레미스 시스템에 Syslog 데이터를 전송하는 온-프레미스 시스템을 확인할 수 있습니다.

Diagram of Common Event Format architecture for sending Linux log data using Syslog on a dedicated on-premises system.