Microsoft Sentinel 데이터 커넥터 찾기
참고
Azure Sentinel은 이제 Microsoft Sentinel이라고 하며 앞으로 몇 주 안에 이 페이지를 업데이트할 예정입니다. 최근 Microsoft 보안 개선 사항에 대해 자세히 알아봅니다.
이 문서에서는 Microsoft Sentinel에서 데이터 커넥터를 배포하는 방법을 설명하고, 지원되는 모든 기본 제공 데이터 커넥터와 함께 특정 커넥터에 필요한 일반 배포 절차 및 추가 단계에 대한 링크를 제공합니다.
팁
일부 데이터 커넥터는 솔루션을 통해서만 배포됩니다. 자세한 내용은 Microsoft Sentinel 솔루션 카탈로그를 참조하세요. Microsoft Sentinel GitHub 리포지토리에서 커뮤니티에서 제작한 다른 데이터 커넥터도 찾아볼 수 있습니다.
이 가이드를 사용하는 방법
먼저 오른쪽의 제목 메뉴에서 제품, 서비스 또는 디바이스에 대한 커넥터를 찾아 선택합니다.
각 커넥터에 대해 가장 먼저 볼 수 있는 정보는 데이터 수집 방법입니다. 표시되는 방법은 데이터 원본을 Microsoft Sentinel에 연결하는 데 필요한 대부분의 정보가 포함된 다음 일반 배포 절차 중 하나에 대한 링크입니다.
데이터 수집 방법 지침이 있는 링크된 문서 Azure 서비스 간 통합 Azure, Windows, Microsoft 및 Amazon 서비스에 연결 Syslog를 통한 CEF(Common Event Format) 디바이스 또는 어플라이언스에서 Microsoft Sentinel로 CEF 형식 로그 가져오기 Microsoft Sentinel Data Collector API 데이터 원본을 Microsoft Sentinel Data Collector API에 연결하여 데이터 수집 Azure Functions 및 REST API Azure Functions를 사용하여 Microsoft Sentinel을 데이터 원본에 연결 Syslog Syslog를 사용하여 Linux 기반 소스에서 데이터 수집 사용자 지정 로그 Log Analytics 에이전트를 사용하여 사용자 지정 로그 형식의 데이터를 Microsoft Sentinel로 수집 참고
Azure 서비스 간 통합 데이터 수집 방법은 커넥터 유형에 따라 해당 문서의 세 가지 섹션으로 연결됩니다. 아래의 각 커넥터 섹션은 링크가 연결되는 해당 문서 내의 섹션을 지정합니다.
특정 커넥터를 배포할 때 해당 데이터 수집 방법에 연결된 적절한 문서를 선택하고 아래 관련 섹션의 정보 및 추가 지침을 사용하여 해당 문서의 정보를 보완합니다.
팁
많은 데이터 커넥터를 관련 분석 규칙, 통합 문서 및 플레이북과 함께 Microsoft Sentinel 솔루션의 일부로 배포할 수도 있습니다. 자세한 내용은 Microsoft Sentinel 솔루션 카탈로그를 참조하세요.
더 많은 데이터 커넥터는 Microsoft Sentinel 커뮤니티에서 제공하며 Azure Marketplace에서 찾을 수 있습니다. 커뮤니티 데이터 커넥터에 대한 문서는 커넥터를 만든 조직의 책임입니다.
나열되지 않거나 현재 지원되지 않는 데이터 원본이 있는 경우 고유한 사용자 지정 커넥터를 만들 수도 있습니다. 자세한 내용은 Microsoft Sentinel 사용자 지정 커넥터 만들기를 위한 리소스를 참조하세요.
중요
알려진 Microsoft Sentinel 데이터 커넥터는 현재 미리 보기 상태입니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.
데이터 커넥터 필수 조건
각 데이터 커넥터에는 Azure 작업 영역, 구독 또는 정책 등에서 필요한 권한 또는 연결할 파트너 데이터 원본에 대한 기타 요구 사항과 같은 고유한 필수 조건 세트가 있습니다.
각 데이터 커넥터에 대한 필수 조건은 Microsoft Sentinel의 관련 데이터 커넥터 페이지, 지침 탭에 나와 있습니다.
Agari Phishing Defense 및 Brand Protection(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure Functions 및 REST API 배포 전: Security Graph API를 사용하도록 설정합니다(선택 사항). 배포 후: 함수 앱에 필요한 권한 할당 |
| Log Analytics 테이블 | agari_bpalerts_log_CL agari_apdtc_log_CL agari_apdpolicy_log_CL |
| DCR 지원 | 현재 지원되지 않음 |
| Azure 함수 앱 코드 | https://aka.ms/Sentinel-agari-functionapp |
| API 자격 증명 | |
| 공급업체 설명서/ 설치 지침 |
|
| 커넥터 배포 지침 | |
| 애플리케이션 설정 | enableSecurityGraphSharing이 true로 설정된 경우 필수(아래 참조): |
| 지원 요소 | Agari |
Security Graph API 사용(선택 사항)
중요
이 단계를 수행하는 경우 데이터 커넥터를 배포하기 전에 이 작업을 수행합니다.
Agari 함수 앱을 사용하여 Security Graph API를 통해 Microsoft Sentinel과 위협 인텔리전스를 공유할 수 있습니다. 이 기능을 사용하려면 Sentinel 위협 인텔리전스 플랫폼 커넥터를 사용하도록 설정하고 Azure Active Directory에 애플리케이션을 등록해야 합니다.
이 프로세스는 함수 앱 배포 시 사용할 세 가지 정보인 그래프 테넌트 ID, 그래프 클라이언트 ID 및 그래프 클라이언트 암호를 제공합니다(위 표의 애플리케이션 설정 참조).
함수 앱에 필요한 권한 할당
Agari 커넥터는 환경 변수를 사용하여 로그 액세스 타임스탬프를 저장합니다. 애플리케이션이 이 변수에 쓰려면 시스템 할당 ID에 사용 권한을 할당해야 합니다.
- Azure Portal에서 함수 앱으로 이동합니다.
- 함수 앱 페이지의 목록에서 함수 앱을 선택한 다음, 함수 앱 탐색 메뉴의 설정에서 ID를 선택합니다.
- 시스템 할당 탭에서 상태를 켜기로 설정합니다.
- 저장을 선택하면 Azure 역할 할당 단추가 나타납니다. 이 폴더를 선택합니다.
- Azure 역할 할당 화면에서 역할 할당 추가를 선택합니다. 범위를 구독으로 설정하고, 구독 드롭다운에서 구독을 선택하고, 역할을 앱 구성 데이터 소유자로 설정합니다.
- 저장을 선택합니다.
Darktrace의 AIA(AI Analyst)(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Syslog를 통한 CEF(Common Event Format) AI Analyst에 대한 CEF 로그 전달 구성 |
| Log Analytics 테이블 | CommonSecurityLog |
| DCR 지원 | 작업 영역 변환 DCR |
| 지원 요소 | Darktrace |
AI Analyst에 대한 CEF 로그 전달 구성
Log Analytics 에이전트를 통해 CEF 형식의 Syslog 메시지를 Azure 작업 영역으로 전달하도록 Darktrace를 구성합니다.
- Darktrace Threat Visualizer 내에서 관리자 아래 기본 메뉴에 있는 시스템 구성 페이지로 이동합니다.
- 왼쪽 메뉴에서 모듈을 선택하고 사용 가능한 워크플로 통합에서 Microsoft Sentinel을 선택합니다.
- 구성 창이 열립니다. Microsoft Sentinel Syslog CEF를 찾아 새로 만들기를 선택하여 이미 노출되지 않은 구성 설정을 표시합니다.
- 서버 구성 필드에 로그 전달자의 위치를 입력하고 선택적으로 통신 포트를 수정합니다. 선택한 포트가 514로 설정되어 있고 모든 중간 방화벽에서 허용되는지 확인합니다.
- 필요에 따라 경고 임계값, 시간 오프셋 또는 추가 설정을 구성합니다.
- Syslog 구문을 변경하기 위해 사용하도록 설정하려는 추가 구성 옵션을 검토합니다.
- 알림 보내기를 사용하도록 설정하고 변경 사항을 저장합니다.
AI Vectra Detect(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Syslog를 통한 CEF(Common Event Format) AI Vectra Detect에 대한 CEF 로그 전달 구성 |
| Log Analytics 테이블 | CommonSecurityLog |
| DCR 지원 | 작업 영역 변환 DCR |
| 지원 요소 | Vectra AI |
AI Vectra Detect에 대한 CEF 로그 전달 구성
Log Analytics 에이전트를 통해 Microsoft Sentinel 작업 영역에 CEF 형식의 Syslog 메시지를 전달하도록 Vectra(X 시리즈) 에이전트를 구성합니다.
Vectra 인터페이스에서 설정 > 알림으로 이동하고 Syslog 구성 편집을 선택합니다. 아래 지침에 따라 연결을 설정합니다,
- 새 대상 추가(로그 전달자의 호스트 이름)
- 포트를 514로 설정
- 프로토콜을 UDP로 설정
- 형식을 CEF로 설정
- 로그 형식 설정(사용할 수 있는 모든 로그 형식 선택)
- 저장을 선택합니다.
테스트 단추를 선택하여 일부 테스트 이벤트를 로그 전달자에게 강제로 보낼 수 있습니다.
자세한 내용은 Detect UI의 리소스 페이지에서 다운로드할 수 있는 Cognito Detect Syslog 가이드를 참조하세요.
Akamai Security Events(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Kusto 함수 파서가 있는 Syslog를 통한 CEF(Common Event Format) |
| Log Analytics 테이블 | CommonSecurityLog |
| DCR 지원 | 작업 영역 변환 DCR |
| Kusto 함수 별칭: | AkamaiSIEMEvent |
| Kusto 함수 URL: | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Akamai%20Security%20Events/Parsers/AkamaiSIEMEvent.txt |
| 공급업체 설명서/ 설치 지침 |
SIEM(보안 정보 및 이벤트 관리) 통합 구성 CEF 커넥터를 설정합니다. |
| 지원 요소 | Akamai |
Alcide kAudit
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Microsoft Sentinel Data Collector API |
| Log Analytics 테이블 | alcide_kaudit_activity_1_CL - Alcide kAudit 활동 로그 alcide_kaudit_detections_1_CL - Alcide kAudit 검색 alcide_kaudit_selections_count_1_CL - Alcide kAudit 활동 수 alcide_kaudit_selections_details_1_CL - Alcide kAudit 활동 세부 정보 |
| DCR 지원 | 현재 지원되지 않음 |
| 공급업체 설명서/ 설치 지침 |
Alcide kAudit 설치 가이드 |
| 지원 요소 | Alcide |
Active Directory용 Alsid
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Log Analytics 에이전트 - 사용자 지정 로그 Alsid에 대한 추가 구성 |
| Log Analytics 테이블 | AlsidForADLog_CL |
| DCR 지원 | 현재 지원되지 않음 |
| Kusto 함수 별칭: | afad_parser |
| Kusto 함수 URL: | https://aka.ms/Sentinel-alsidforad-parser |
| 지원 요소 | Alsid |
Alsid에 대한 추가 구성
Syslog 서버 구성
먼저 Alsid for AD가 로그를 보낼 linux Syslog 서버가 필요합니다. 일반적으로 Ubuntu에서 rsyslog를 실행할 수 있습니다.
그런 다음 이 서버를 원하는 대로 구성할 수 있지만 AFAD 로그를 별도의 파일로 출력할 수 있도록 하는 것이 좋습니다. 또는 빠른 시작 템플릿을 사용하여 Syslog 서버와 Microsoft 에이전트를 배포할 수 있습니다. 템플릿을 사용하는 경우 에이전트 설치 지침을 건너뛸 수 있습니다.
Syslog 서버에 로그를 보내도록 Alsid를 구성
AD용 Alsid 포털에서 시스템, 구성, Syslog로 이동합니다. 여기에서 Syslog 서버에 대한 Syslog 경고를 새로 만들 수 있습니다.
새 Syslog 경고를 만든 후에는 서버의 별도 파일에 로그가 올바르게 수집되는지 확인합니다. 예를 들어 로그를 확인하려면 AFAD의 Syslog 경고 구성에서 구성 테스트 단추를 사용합니다. 빠른 시작 템플릿을 사용한 경우 Syslog 서버는 기본적으로 TLS 없이 UDP의 포트 514 및 TCP의 1514에서 수신 대기합니다.
Amazon Web Services
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure 서비스 간 통합: Microsoft Sentinel을 Amazon Web Services에 연결하여 AWS 서비스 로그 데이터 수집(상위 커넥터 문서) |
| Log Analytics 테이블 | AWSCloudTrail |
| DCR 지원 | 작업 영역 변환 DCR |
| 지원 요소 | Microsoft |
Amazon Web Services S3(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure 서비스 간 통합: Microsoft Sentinel을 Amazon Web Services에 연결하여 AWS 서비스 로그 데이터 수집(상위 커넥터 문서) |
| Log Analytics 테이블 | AWSCloudTrail AWSGuardDuty AWSVPCFlow |
| DCR 지원 | 작업 영역 변환 DCR |
| 지원 요소 | Microsoft |
Apache HTTP 서버
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Log Analytics 에이전트 - 사용자 지정 로그 |
| Log Analytics 테이블 | ApacheHTTPServer_CL |
| DCR 지원 | 현재 지원되지 않음 |
| Kusto 함수 별칭: | ApacheHTTPServer |
| Kusto 함수 URL: | https://aka.ms/Sentinel-apachehttpserver-parser |
| 사용자 지정 로그 샘플 파일: | access.log 또는 error.log |
Apache Tomcat
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Log Analytics 에이전트 - 사용자 지정 로그 |
| Log Analytics 테이블 | Tomcat_CL |
| DCR 지원 | 현재 지원되지 않음 |
| Kusto 함수 별칭: | TomcatEvent |
| Kusto 함수 URL: | https://aka.ms/Sentinel-ApacheTomcat-parser |
| 사용자 지정 로그 샘플 파일: | access.log 또는 error.log |
Aruba ClearPass(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Kusto 함수 파서가 있는 Syslog를 통한 CEF(Common Event Format) |
| Log Analytics 테이블 | CommonSecurityLog |
| DCR 지원 | 작업 영역 변환 DCR |
| Kusto 함수 별칭: | ArubaClearPass |
| Kusto 함수 URL: | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Aruba%20ClearPass/Parsers/ArubaClearPass.txt |
| 공급업체 설명서/ 설치 지침 |
Aruba의 지침에 따라 ClearPass를 구성합니다. |
| 지원 요소 | Microsoft |
Atlassian Confluence Audit(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure Functions 및 REST API |
| Log Analytics 테이블 | Confluence_Audit_CL |
| DCR 지원 | 현재 지원되지 않음 |
| Azure 함수 앱 코드 | https://aka.ms/Sentinel-confluenceauditapi-functionapp |
| API 자격 증명 | |
| 공급업체 설명서/ 설치 지침 |
|
| 커넥터 배포 지침 | |
| Kusto 함수 별칭 | ConfluenceAudit |
| Kusto 함수 URL/ 파서 구성 지침 |
https://aka.ms/Sentinel-confluenceauditapi-parser |
| 애플리케이션 설정 | |
| 지원 요소 | Microsoft |
Atlassian Jira Audit(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure Functions 및 REST API |
| Log Analytics 테이블 | Jira_Audit_CL |
| DCR 지원 | 현재 지원되지 않음 |
| Azure 함수 앱 코드 | https://aka.ms/Sentinel-jiraauditapi-functionapp |
| API 자격 증명 | |
| 공급업체 설명서/ 설치 지침 |
|
| 커넥터 배포 지침 | |
| Kusto 함수 별칭 | JiraAudit |
| Kusto 함수 URL/ 파서 구성 지침 |
https://aka.ms/Sentinel-jiraauditapi-parser |
| 애플리케이션 설정 | |
| 지원 요소 | Microsoft |
Azure Active Directory
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure 서비스 간 통합: Microsoft Sentinel에 Azure Active Directory 데이터 연결(상위 커넥터 문서) |
| 라이선스 필수 조건/ 비용 정보 |
다른 요금이 부과될 수 있습니다. |
| Log Analytics 테이블 | SigninLogs AuditLogs AADNonInteractiveUserSignInLogs AADServicePrincipalSignInLogs AADManagedIdentitySignInLogs AADProvisioningLogs ADFSSignInLogs |
| DCR 지원 | 작업 영역 변환 DCR |
| 지원 요소 | Microsoft |
Azure Active Directory ID 보호
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure 서비스 간 통합: API 기반 연결 |
| 라이선스 필수 조건/ 비용 정보 |
Azure AD Premium P2 구독 다른 요금이 부과될 수 있습니다. |
| Log Analytics 테이블 | SecurityAlert |
| DCR 지원 | 작업 영역 변환 DCR |
| 지원 요소 | Microsoft |
참고
이 커넥터는 상태가 "open"인 경고만 가져오도록 설계되었습니다. Azure AD ID 보호에서 닫힌 경고는 Microsoft Sentinel로 가져오지 않습니다.
Azure 활동
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure 서비스 간 통합: Azure Policy에서 관리하는 진단 설정 기반 연결 새 Azure 활동 커넥터로 업그레이드 |
| Log Analytics 테이블 | AzureActivity |
| DCR 지원 | 현재 지원되지 않음 |
| 지원 요소 | Microsoft |
새 Azure 활동 커넥터로 업그레이드
데이터 구조 변경
이 커넥터는 최근에 활동 로그 이벤트를 수집하기 위한 백 엔드 메커니즘을 변경했습니다. 이제 진단 설정 파이프라인을 사용하고 있습니다. 이 커넥터에 기존 방식을 계속 사용하고 있다면 새 버전으로 업그레이드하는 것이 좋습니다. 그러면 리소스 로그에 대한 일관성이 향상되고 더 나은 기능이 제공됩니다. 아래의 지침을 따르세요.
AzureActivity 테이블의 구조가 일부 변경되었지만 진단 설정 메서드는 활동 로그 서비스에서 보낸 기존 메서드와 동일한 데이터를 보냅니다.
다음은 진단 설정 파이프라인으로의 이동으로 인한 몇 가지 주요 개선 사항입니다.
- 수집 대기 시간이 향상되었습니다(발생 후 15~20분이 아닌 2~3분 이내에 이벤트 수집).
- 향상된 안정성.
- 성능 개선.
- 활동 로그 서비스에 의해 로그된 이벤트의 모든 범주에 대한 지원(레거시 메커니즘은 하위 집합만 지원하며 예를 들어 Service Health 이벤트는 지원하지 않음).
- Azure Policy를 통한 대규모 관리.
Azure 활동 로그 및 진단 설정 파이프라인에 대한 자세한 내용은 Azure Monitor 문서를 참조하세요.
이전 파이프라인에서 연결 끊기
새 Azure 활동 로그 커넥터를 설정하기 전에 레거시 메서드에서 기존 구독의 연결을 끊어야 합니다.
Microsoft Sentinel 탐색 메뉴에서 데이터 커넥터를 선택합니다. 커넥터 목록에서 Azure 활동을 선택한 다음, 오른쪽 아래에 있는 커넥터 페이지 열기 단추를 선택합니다.
지침 탭 아래 구성 섹션의 1단계에서 레거시 메서드에 연결된 기존 구독 목록을 검토하여 새 메서드에 추가할 구독을 확인한 다음, 아래의 모두 연결 끊기 단추를 클릭하여 한 번에 모두 연결을 끊습니다.
위 표에 링크된 지침에 따라 새 커넥터를 계속 설정합니다.
Azure DDoS Protection
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure 서비스 간 통합: 진단 설정 기반 연결 |
| 라이선스 필수 조건/ 비용 정보 |
다른 요금이 부과될 수 있습니다. |
| Log Analytics 테이블 | AzureDiagnostics |
| DCR 지원 | 현재 지원되지 않음 |
| 권장 진단 | DDoSProtectionNotifications DDoSMitigationFlowLogs DDoSMitigationReports |
| 지원 요소 | Microsoft |
참고
Azure DDoS Protection 데이터 커넥터의 상태는 보호된 리소스가 DDoS 공격을 받은 경우에만 연결됨으로 변경됩니다.
Azure Defender
클라우드용 Microsoft Defender를 참조하세요.
Azure Firewall
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure 서비스 간 통합: 진단 설정 기반 연결 |
| Log Analytics 테이블 | AzureDiagnostics |
| DCR 지원 | 현재 지원되지 않음 |
| 권장 진단 | AzureFirewallApplicationRule AzureFirewallNetworkRule AzureFirewallDnsProxy |
| 지원 요소 | Microsoft |
Azure Information Protection(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure 서비스 간 통합 |
| Log Analytics 테이블 | InformationProtectionLogs_CL |
| DCR 지원 | 현재 지원되지 않음 |
| 지원 요소 | Microsoft |
참고
AIP(Azure Information Protection) 데이터 커넥터는 AIP 감사 로그(공개 미리 보기) 기능을 사용합니다. 2022년 3월 18일부로 AIP 분석 및 감사 로그 공개 미리 보기가 중단되며, 앞으로 Microsoft 365 감사 솔루션을 사용할 예정입니다. 완전 사용 중지는 2022년 9월 30일로 예정되어 있습니다.
자세한 내용은 제거 및 사용 중지된 서비스를 참조하세요.
Azure Key Vault
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure 서비스 간 통합: Azure Policy에서 관리하는 진단 설정 기반 연결 |
| Log Analytics 테이블 | KeyVaultData |
| DCR 지원 | 현재 지원되지 않음 |
| 지원 요소 | Microsoft |
AKS(Azure Kubernetes Service)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure 서비스 간 통합: Azure Policy에서 관리하는 진단 설정 기반 연결 |
| Log Analytics 테이블 | kube-apiserver kube-audit kube-audit-admin kube-controller-manager kube-scheduler cluster-autoscaler 가드 |
| DCR 지원 | 현재 지원되지 않음 |
| 지원 요소 | Microsoft |
Microsoft Purview
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure 서비스 간 통합: 진단 설정 기반 연결 자세한 내용은 자습서: Microsoft Sentinel 및 Microsoft Purview 통합을 참조하세요. |
| Log Analytics 테이블 | PurviewDataSensitivityLogs |
| DCR 지원 | 현재 지원되지 않음 |
| 지원 요소 | Microsoft |
Azure SQL Databases
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure 서비스 간 통합: Azure Policy에서 관리하는 진단 설정 기반 연결 Azure SQL 및 Microsoft Sentinel for SQL PaaS 솔루션에서도 사용할 수 있습니다. |
| Log Analytics 테이블 | SQLSecurityAuditEvents SQLInsights AutomaticTuning QueryStoreWaitStatistics 오류 DatabaseWaitStatistics 시간 제한 블록 교착 상태 Basic InstanceAndAppAdvanced WorkloadManagement DevOpsOperationsAudit |
| DCR 지원 | 현재 지원되지 않음 |
| 지원 요소 | Microsoft |
Azure Storage 계정
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure 서비스 간 통합: 진단 설정 기반 연결 스토리지 계정 진단 설정 구성에 대한 참고 사항 |
| Log Analytics 테이블 | StorageBlobLogs StorageQueueLogs StorageTableLogs StorageFileLogs |
| 권장 진단 | 계정 리소스 Blob/큐/테이블/파일 리소스 |
| DCR 지원 | 현재 지원되지 않음 |
| 지원 요소 | Microsoft |
스토리지 계정 진단 설정 구성에 대한 참고 사항
스토리지 계정(부모) 리소스에는 파일, 테이블, 큐 및 Blob과 같은 각 스토리지 유형에 대한 다른(자식) 리소스가 있습니다.
스토리지 계정에 대한 진단을 구성할 때 다음을 차례로 선택하고 구성해야 합니다.
- 상위 계정 리소스, 트랜잭션 메트릭 내보내기
- 모든 로그 및 메트릭을 내보내는 각 하위 스토리지 유형 리소스(위 표 참조)
실제로 리소스를 정의한 스토리지 유형만 표시됩니다.
Azure WAF(웹 애플리케이션 방화벽)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure 서비스 간 통합: 진단 설정 기반 연결 |
| Log Analytics 테이블 | AzureDiagnostics |
| DCR 지원 | 현재 지원되지 않음 |
| 권장 진단 | Application Gateway Front Door CDN WAF 정책 |
| 지원 요소 | Microsoft |
Barracuda CloudGen Firewall
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | syslog |
| Log Analytics 테이블 | Syslog |
| DCR 지원 | 작업 영역 변환 DCR |
| Kusto 함수 별칭: | CGFWFirewallActivity |
| Kusto 함수 URL: | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Barracuda%20CloudGen%20Firewall/Parsers/CGFWFirewallActivity |
| 공급업체 설명서/ 설치 지침 |
https://aka.ms/Sentinel-barracudacloudfirewall-connector |
| 지원 요소 | Barracuda |
Barracuda WAF
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | syslog |
| Log Analytics 테이블 | CommonSecurityLog(Barracuda) Barracuda_CL |
| 공급업체 설명서/ 설치 지침 |
https://aka.ms/asi-barracuda-connector |
| 지원 요소 | Barracuda |
Barracuda 지침을 참조하세요. 다양한 유형의 로그에 대해 할당된 기능을 확인하고 기본 Syslog 구성에 추가해야 합니다.
BETTER MTD(Mobile Threat Defense)(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Microsoft Sentinel Data Collector API |
| Log Analytics 테이블 | BetterMTDDeviceLog_CL BetterMTDIncidentLog_CL BetterMTDAppLog_CL BetterMTDNetflowLog_CL |
| DCR 지원 | 현재 지원되지 않음 |
| 공급업체 설명서/ 설치 지침 |
BETTER MTD 문서 Microsoft Sentinel에 보고되는 인시던트를 정의하는 위협 정책 설정:
|
| 지원 요소 | 더 향상된 모바일 |
Beyond Security beSECURE
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Microsoft Sentinel Data Collector API |
| Log Analytics 테이블 | beSECURE_ScanResults_CL beSECURE_ScanEvents_CL beSECURE_Audit_CL |
| DCR 지원 | 현재 지원되지 않음 |
| 공급업체 설명서/ 설치 지침 |
통합 메뉴에 액세스:
|
| 지원 요소 | Beyond Security |
BlackBerry CylancePROTECT(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | syslog |
| Log Analytics 테이블 | Syslog |
| DCR 지원 | 작업 영역 변환 DCR |
| Kusto 함수 별칭: | CylancePROTECT |
| Kusto 함수 URL: | https://aka.ms/Sentinel-cylanceprotect-parser |
| 공급업체 설명서/ 설치 지침 |
Cylance Syslog 가이드 |
| 지원 요소 | Microsoft |
Broadcom Symantec DLP(데이터 손실 방지)(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Kusto 함수 파서가 있는 Syslog를 통한 CEF(Common Event Format) |
| Log Analytics 테이블 | CommonSecurityLog |
| DCR 지원 | 작업 영역 변환 DCR |
| Kusto 함수 별칭: | SymantecDLP |
| Kusto 함수 URL: | https://aka.ms/Sentinel-symantecdlp-parser |
| 공급업체 설명서/ 설치 지침 |
Syslog 서버 작업에 대한 로그 구성 |
| 지원 요소 | Microsoft |
Check Point
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Syslog를 통한 CEF(Common Event Format) Check Point 솔루션에서 사용 가능 |
| Log Analytics 테이블 | CommonSecurityLog |
| DCR 지원 | 작업 영역 변환 DCR |
| 공급업체 설명서/ 설치 지침 |
로그 내보내기 - Check Point 로그 내보내기 |
| 지원 요소 | Check Point |
Cisco ASA
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Syslog를 통한 CEF(Common Event Format) Cisco ASA 솔루션에서 사용 가능 |
| Log Analytics 테이블 | CommonSecurityLog |
| DCR 지원 | 작업 영역 변환 DCR |
| 공급업체 설명서/ 설치 지침 |
Cisco ASA 시리즈 CLI 구성 가이드 |
| 지원 요소 | Microsoft |
Cisco Firepower eStreamer(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Syslog를 통한 CEF(Common Event Format) Cisco Firepower eStreamer에 대한 추가 구성 |
| Log Analytics 테이블 | CommonSecurityLog |
| DCR 지원 | 작업 영역 변환 DCR |
| 공급업체 설명서/ 설치 지침 |
Sentinel용 eStreamer eNcore 운영 가이드 |
| 지원 요소 | 시스코 |
Cisco Firepower eStreamer에 대한 추가 구성
Firepower eNcore 클라이언트 설치
Firepower eNcore eStreamer 클라이언트를 설치하고 구성합니다. 자세한 내용은 전체 Cisco 설치 가이드를 참조하세요.GitHub에서 Firepower Connector 다운로드
Cisco GitHub 리포지토리에서 Microsoft Sentinel용 Firepower eNcore 커넥터의 최신 버전을 다운로드합니다. python3을 사용할 계획이라면 python3 eStreamer 커넥터를 사용합니다.Azure/VM IP 주소를 사용하여 pkcs12 파일 만들기
시스템 > 통합 > eStreamer 아래의 Firepower에서 VM 인스턴스의 공용 IP를 사용하여 pkcs12 인증서를 만듭니다. 자세한 내용은 설치 가이드를 참조하세요.Azure/VM 클라이언트와 FMC 간의 연결 테스트
FMC에서 Azure/VM 인스턴스로 pkcs12 파일을 복사하고 테스트 유틸리티(./encore.sh 테스트)를 실행하여 연결을 설정할 수 있는지 확인합니다. 자세한 내용은 설치 가이드를 참조하세요.에이전트에 데이터를 스트림하도록 eNcore 구성
TCP를 통해 Log Analytics 에이전트로 데이터를 스트림하도록 eNcore를 구성합니다. 이 구성은 기본적으로 사용하도록 설정해야 하지만, 네트워크 보안 태세에 따라 추가 포트 및 스트리밍 프로토콜을 구성할 수 있습니다. 파일 시스템에 데이터를 저장할 수도 있습니다. 자세한 내용은 백업 구성을 참조하세요.
Cisco Meraki(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | syslog Cisco ISE 솔루션에서 사용 가능 |
| Log Analytics 테이블 | Syslog |
| DCR 지원 | 작업 영역 변환 DCR |
| Kusto 함수 별칭: | CiscoMeraki |
| Kusto 함수 URL: | https://aka.ms/Sentinel-ciscomeraki-parser |
| 공급업체 설명서/ 설치 지침 |
Meraki 디바이스 보고 문서 |
| 지원 요소 | Microsoft |
Cisco Umbrella(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure Functions 및 REST API Cisco Umbrella 솔루션에서 사용 가능 |
| Log Analytics 테이블 | Cisco_Umbrella_dns_CL Cisco_Umbrella_proxy_CL Cisco_Umbrella_ip_CL Cisco_Umbrella_cloudfirewall_CL |
| DCR 지원 | 현재 지원되지 않음 |
| Azure 함수 앱 코드 | https://aka.ms/Sentinel-CiscoUmbrellaConn-functionapp |
| API 자격 증명 | |
| 공급업체 설명서/ 설치 지침 |
|
| 커넥터 배포 지침 | |
| Kusto 함수 별칭 | Cisco_Umbrella |
| Kusto 함수 URL/ 파서 구성 지침 |
https://aka.ms/Sentinel-ciscoumbrella-function |
| 애플리케이션 설정 | |
| 지원 요소 | Microsoft |
Cisco UCS(Unified Computing System)(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | syslog |
| Log Analytics 테이블 | Syslog |
| DCR 지원 | 작업 영역 변환 DCR |
| Kusto 함수 별칭: | CiscoUCS |
| Kusto 함수 URL: | https://aka.ms/Sentinel-ciscoucs-function |
| 공급업체 설명서/ 설치 지침 |
Cisco UCS에 대한 Syslog 설정 - Cisco |
| 지원 요소 | Microsoft |
Citrix Analytics(보안)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Microsoft Sentinel Data Collector API |
| Log Analytics 테이블 | CitrixAnalytics_SAlerts_CL |
| DCR 지원 | 현재 지원되지 않음 |
| 공급업체 설명서/ 설치 지침 |
Microsoft Sentinel에 Citrix 연결 |
| 지원 요소 | Citrix Systems |
Citrix WAF(Web App Firewall)(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Syslog를 통한 CEF(Common Event Format) |
| Log Analytics 테이블 | CommonSecurityLog |
| DCR 지원 | 작업 영역 변환 DCR |
| 공급업체 설명서/ 설치 지침 |
WAF를 구성하려면 WIKI 지원 - NetScaler를 사용한 WAF 구성을 참조하세요. CEF 로그를 구성하려면 CEF Logging Support in the Application Firewall을 참조하세요. 로그를 프록시에 전달하려면 감사 로깅을 위한 Citrix ADC 어플라이언스 구성을 참조하세요. |
| 지원 요소 | Citrix Systems |
Cognni(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Microsoft Sentinel Data Collector API |
| Log Analytics 테이블 | CognniIncidents_CL |
| DCR 지원 | 현재 지원되지 않음 |
| 공급업체 설명서/ 설치 지침 |
Cognni에 연결
|
| 지원 요소 | Cognni |
SAP용 Continuous Threat Monitoring(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | SAP용 Continuous Threat Monitoring 솔루션을 설치한 후에만 사용 가능 |
| Log Analytics 테이블 | Microsoft Sentinel SAP 솔루션 데이터 참조를 참조하세요. |
| 공급업체 설명서/ 설치 지침 |
SAP 연속 위협 모니터링 배포 |
| 지원 요소 | Microsoft |
CyberArk EPV(Enterprise Password Vault) Events(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Syslog를 통한 CEF(Common Event Format) |
| Log Analytics 테이블 | CommonSecurityLog |
| DCR 지원 | 작업 영역 변환 DCR |
| 공급업체 설명서/ 설치 지침 |
SIEM(보안 정보 및 이벤트 관리) 애플리케이션 |
| 지원 요소 | CyberArk |
Cyberpion Security Logs(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Microsoft Sentinel Data Collector API |
| Log Analytics 테이블 | CyberpionActionItems_CL |
| DCR 지원 | 현재 지원되지 않음 |
| 공급업체 설명서/ 설치 지침 |
Cyberpion 구독하기 Microsoft Sentinel에 Cyberpion 보안 경고 통합 |
| 지원 요소 | Cyberpion |
DNS(미리 보기)
Windows DNS 서버(미리 보기)를 참조하세요.
Dynamics 365
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure 서비스 간 통합: API 기반 연결 Microsoft Sentinel 4 Dynamics 365 솔루션의 일부로도 사용 가능 |
| 라이선스 필수 조건/ 비용 정보 |
다른 요금이 부과될 수 있습니다. |
| Log Analytics 테이블 | Dynamics365Activity |
| DCR 지원 | 작업 영역 변환 DCR |
| 지원 요소 | Microsoft |
ESET Enterprise Inspector(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure Functions 및 REST API API 사용자 만들기 |
| Log Analytics 테이블 | ESETEnterpriseInspector_CL |
| DCR 지원 | 현재 지원되지 않음 |
| API 자격 증명 | |
| 공급업체 설명서/ 설치 지침 |
|
| 커넥터 배포 지침 | ARM(Azure Resource Manager) 템플릿을 통한 단일 클릭 배포 |
| 지원 요소 | ESET |
API 사용자 만들기
- 관리자 계정으로 ESET Security Management Center/ESET PROTECT 콘솔에 로그인하고 자세히 탭과 사용자 하위 탭을 선택합니다.
- 새로 추가 단추를 선택하고 네이티브 사용자를 추가합니다.
- API 계정에 대한 새 사용자를 만듭니다. 선택 사항: 수집되는 탐지 항목을 제한하려면 모두 이외의 홈 그룹을 선택합니다.
- 권한 집합 탭에서 Enterprise Inspector 검토자 권한 집합을 할당합니다.
- 관리자 계정에서 로그아웃하고 유효성 검사를 위해 새 API 자격 증명으로 콘솔에 로그인한 다음, API 계정에서 로그아웃합니다.
ESET SMC(Security Management Center)(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | syslog 수집할 ESET SMC 로그 구성 OMS 에이전트가 Eset SMC 데이터를 API 형식으로 전달하도록 구성 태그 oms.api.eset를 catch하고 정형 데이터를 구문 분석하도록 OMS 에이전트 구성 변경 자동 구성을 사용하지 않도록 설정하고 에이전트를 다시 시작 |
| Log Analytics 테이블 | eset_CL |
| DCR 지원 | 현재 지원되지 않음 |
| 공급업체 설명서/ 설치 지침 |
ESET Syslog 서버 문서 |
| 지원 요소 | ESET |
수집할 ESET SMC 로그 구성
Eset SMC IP 주소의 로그를 수락하도록 rsyslog를 구성합니다.
sudo -i
# Set ESET SMC source IP address
export ESETIP={Enter your IP address}
# Create rsyslog configuration file
cat > /etc/rsyslog.d/80-remote.conf << EOF
\$ModLoad imudp
\$UDPServerRun 514
\$ModLoad imtcp
\$InputTCPServerRun 514
\$AllowedSender TCP, 127.0.0.1, $ESETIP
\$AllowedSender UDP, 127.0.0.1, $ESETIP user.=alert;user.=crit;user.=debug;user.=emerg;user.=err;user.=info;user.=notice;user.=warning @127.0.0.1:25224
EOF
# Restart rsyslog
systemctl restart rsyslog
OMS 에이전트가 Eset SMC 데이터를 API 형식으로 전달하도록 구성
Eset 데이터를 쉽게 인식할 수 있도록 별도의 테이블에 푸시하고 에이전트에서 구문 분석하여 Microsoft Sentinel 쿼리를 단순화하고 속도를 높입니다.
/etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.conf 파일에서 유형을 out_oms_api로 변경하여 데이터를 API 개체로 보내도록 match oms.** 섹션을 수정합니다.
다음 코드는 전체 match oms.** 섹션의 예입니다.
<match oms.** docker.**>
type out_oms_api
log_level info
num_threads 5
run_in_background false
omsadmin_conf_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsadmin.conf
cert_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.crt
key_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.key
buffer_chunk_limit 15m
buffer_type file
buffer_path /var/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/state/out_oms_common*.buffer
buffer_queue_limit 10
buffer_queue_full_action drop_oldest_chunk
flush_interval 20s
retry_limit 10
retry_wait 30s
max_retry_wait 9m
</match>
태그 oms.api.eset를 catch하고 정형 데이터를 구문 분석하도록 OMS 에이전트 구성 변경
/etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.d/syslog.conf 파일을 수정합니다.
예를 들면 다음과 같습니다.
<source>
type syslog
port 25224
bind 127.0.0.1
protocol_type udp
tag oms.api.eset
</source>
<filter oms.api.**>
@type parser
key_name message
format /(?<message>.*?{.*})/
</filter>
<filter oms.api.**>
@type parser
key_name message
format json
</filter>
자동 구성을 사용하지 않도록 설정하고 에이전트를 다시 시작
예를 들면 다음과 같습니다.
# Disable changes to configuration files from Portal
sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'
# Restart agent
sudo /opt/microsoft/omsagent/bin/service_control restart
# Check agent logs
tail -f /var/opt/microsoft/omsagent/log/omsagent.log
Eset SMC가 로그를 커넥터로 보내도록 구성
BSD 스타일 및 JSON 형식을 사용하여 Eset 로그를 구성합니다.
- Syslog 서버 구성으로 이동하여 호스트(커넥터), BSD 형식 및 TCP 전송을 구성합니다.
- 로깅 섹션으로 이동하여 JSON을 사용하도록 설정합니다.
자세한 내용은 Eset 설명서를 참조하세요.
Exabeam Advanced Analytics(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | syslog |
| Log Analytics 테이블 | Syslog |
| DCR 지원 | 작업 영역 변환 DCR |
| Kusto 함수 별칭: | ExabeamEvent |
| Kusto 함수 URL: | https://aka.ms/Sentinel-Exabeam-parser |
| 공급업체 설명서/ 설치 지침 |
고급 분석 시스템 활동 알림 구성 |
| 지원 요소 | Microsoft |
ExtraHop Reveal(x)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Syslog를 통한 CEF(Common Event Format) |
| Log Analytics 테이블 | CommonSecurityLog |
| DCR 지원 | 작업 영역 변환 DCR |
| 공급업체 설명서/ 설치 지침 |
ExtraHop Detection SIEM 커넥터 |
| 지원 요소 | ExtraHop |
F5 BIG-IP
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Microsoft Sentinel Data Collector API |
| Log Analytics 테이블 | F5Telemetry_LTM_CL F5Telemetry_system_CL F5Telemetry_ASM_CL |
| DCR 지원 | 현재 지원되지 않음 |
| 공급업체 설명서/ 설치 지침 |
F5 BIG-IP와 Microsoft Sentinel 통합 |
| 지원 요소 | F5 Networks |
F5 네트워크(ASM)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Syslog를 통한 CEF(Common Event Format) |
| Log Analytics 테이블 | CommonSecurityLog |
| DCR 지원 | 작업 영역 변환 DCR |
| 공급업체 설명서/ 설치 지침 |
애플리케이션 보안 이벤트 로깅 구성 |
| 지원 요소 | F5 Networks |
Forcepoint CASB(클라우드 액세스 보안 브로커)(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Syslog를 통한 CEF(Common Event Format) |
| Log Analytics 테이블 | CommonSecurityLog |
| DCR 지원 | 작업 영역 변환 DCR |
| 공급업체 설명서/ 설치 지침 |
Forcepoint CASB 및 Microsoft Sentinel |
| 지원 요소 | Forcepoint |
Forcepoint CSG(Cloud Security Gateway)(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Syslog를 통한 CEF(Common Event Format) |
| Log Analytics 테이블 | CommonSecurityLog |
| DCR 지원 | 작업 영역 변환 DCR |
| 공급업체 설명서/ 설치 지침 |
Forcepoint Cloud Security Gateway 및 Microsoft Sentinel |
| 지원 요소 | Forcepoint |
Forcepoint DLP(데이터 손실 방지)(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Microsoft Sentinel Data Collector API |
| Log Analytics 테이블 | ForcepointDLPEvents_CL |
| DCR 지원 | 현재 지원되지 않음 |
| 공급업체 설명서/ 설치 지침 |
Forcepoint 데이터 손실 방지 및 Microsoft Sentinel |
| 지원 요소 | Forcepoint |
Forcepoint NGFW(Next Generation Firewall)(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Syslog를 통한 CEF(Common Event Format) |
| Log Analytics 테이블 | CommonSecurityLog |
| DCR 지원 | 작업 영역 변환 DCR |
| 공급업체 설명서/ 설치 지침 |
Forcepoint 차세대 방화벽 및 Microsoft Sentinel |
| 지원 요소 | Forcepoint |
ForgeRock CAUD(Common Audit) for CEF(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Syslog를 통한 CEF(Common Event Format) |
| Log Analytics 테이블 | CommonSecurityLog |
| DCR 지원 | 작업 영역 변환 DCR |
| 공급업체 설명서/ 설치 지침 |
먼저 Microsoft Sentinel용 ForgeRock Common Audit(CAUD)부터 설치 |
| 지원 요소 | ForgeRock |
Fortinet
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Syslog를 통한 CEF(Common Event Format) 로그 전달자에게 Fortigate 로그 보내기 Fortinet Fortigate 솔루션에서 사용 가능 |
| Log Analytics 테이블 | CommonSecurityLog |
| DCR 지원 | 작업 영역 변환 DCR |
| 공급업체 설명서/ 설치 지침 |
Fortinet 문서 라이브러리 버전을 선택하고 핸드북 및 로그 메시지 참조를 사용합니다. |
| 지원 요소 | Fortinet |
로그 전달자에게 Fortigate 로그 보내기
Fortinet 어플라이언스에서 CLI를 열고 다음 명령을 실행합니다.
config log syslogd setting
set status enable
set format cef
set port 514
set server <ip_address_of_Forwarder>
end
- 서버 IP 주소를 로그 전달자의 IP 주소로 바꿉니다.
- syslog 포트를 514 또는 전달자의 Syslog 디먼에 설정된 포트로 설정합니다.
- 초기 FortiOS 버전에서 CEF 형식을 사용하도록 설정하려면 명령 집합 csv disable을 실행해야 할 수 있습니다.
GitHub(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Microsoft Sentinel Data Collector API GitHub용 Continuous Threat Monitoring 솔루션을 설치한 후에만 사용 가능 |
| Log Analytics 테이블 | GitHubAuditLogPolling_CL |
| DCR 지원 | 현재 지원되지 않음 |
| API 자격 증명 | GitHub 액세스 토큰 |
| 커넥터 배포 지침 | GitHub 커넥터에 대한 추가 구성 |
| 지원 요소 | Microsoft |
GitHub 커넥터에 대한 추가 구성
필수 조건: Microsoft Sentinel에서 GitHub에 연결하려면 GitHub 엔터프라이즈 계정 및 액세스 가능한 조직이 있어야 합니다.
Microsoft Sentinel 작업 영역에 GitHub용 Continuous Threat Monitoring 솔루션을 설치합니다. 자세한 내용은 Microsoft Sentinel 기본 제공 콘텐츠 및 솔루션(공개 미리 보기)을 중앙에서 검색 및 배포를 참조하세요.
Microsoft Sentinel 커넥터에 사용할 GitHub 개인용 액세스 토큰을 만듭니다. 자세한 내용은 관련 GitHub 설명서를 참조하세요.
Microsoft Sentinel 데이터 커넥터 영역에서 GitHub 커넥터를 검색하여 찾습니다. 오른쪽에서 커넥터 열기 페이지를 선택합니다.
지침 탭의 구성 영역에서 다음 세부 정보를 입력합니다.
- 조직 이름: 연결하려는 로그의 조직의 이름을 입력합니다.
- API 키: 이 절차의 앞부분에서 만든 GitHub 개인용 액세스 토큰을 입력합니다.
연결을 선택하여 Microsoft Sentinel에 GitHub 로그를 수집하기 시작합니다.
Google Workspace(G-Suite)(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure Functions 및 REST API Google Reports API에 대한 추가 구성 |
| Log Analytics 테이블 | GWorkspace_ReportsAPI_admin_CL GWorkspace_ReportsAPI_calendar_CL GWorkspace_ReportsAPI_drive_CL GWorkspace_ReportsAPI_login_CL GWorkspace_ReportsAPI_mobile_CL GWorkspace_ReportsAPI_token_CL GWorkspace_ReportsAPI_user_accounts_CL |
| DCR 지원 | 현재 지원되지 않음 |
| Azure 함수 앱 코드 | https://aka.ms/Sentinel-GWorkspaceReportsAPI-functionapp |
| API 자격 증명 | |
| 공급업체 설명서/ 설치 지침 |
|
| 커넥터 배포 지침 | |
| Kusto 함수 별칭 | GWorkspaceActivityReports |
| Kusto 함수 URL/ 파서 구성 지침 |
https://aka.ms/Sentinel-GWorkspaceReportsAPI-parser |
| 애플리케이션 설정 | |
| 지원 요소 | Microsoft |
Google Reports API에 대한 추가 구성
웹 애플리케이션 자격 증명을 만드는 동안 권한 있는 리디렉션 URI 아래에 http://localhost:8081/ 을 추가합니다.
- 지침에 따라 credentials.json을 가져옵니다.
- Google pickle 문자열을 가져오려면 이 Python 스크립트를 실행합니다(credentials.json과 동일한 경로에서).
- 작은따옴표로 묶인 pickle 문자열 출력을 복사하고 저장합니다. 함수 앱을 배포하는 데 필요합니다.
Illusive AMS(Attack Management System)(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Syslog를 통한 CEF(Common Event Format) |
| Log Analytics 테이블 | CommonSecurityLog |
| DCR 지원 | 작업 영역 변환 DCR |
| 공급업체 설명서/ 설치 지침 |
Illusive Networks 관리자 가이드 |
| 지원 요소 | Illusive Networks |
Imperva WAF Gateway(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Syslog를 통한 CEF(Common Event Format) Imperva Cloud WAF 솔루션에서 사용 가능 |
| Log Analytics 테이블 | CommonSecurityLog |
| DCR 지원 | 작업 영역 변환 DCR |
| 공급업체 설명서/ 설치 지침 |
Microsoft Sentinel에 Imperva WAF 게이트웨이 경고 로깅을 사용하도록 설정하는 단계 |
| 지원 요소 | Imperva |
Infoblox NIOS(Network Identity Operating System)(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | syslog InfoBlox Threat Defense 솔루션에서 사용 가능 |
| Log Analytics 테이블 | Syslog |
| DCR 지원 | 작업 영역 변환 DCR |
| Kusto 함수 별칭: | InfobloxNIOS |
| Kusto 함수 URL: | https://aka.ms/sentinelgithubparsersinfoblox |
| 공급업체 설명서/ 설치 지침 |
NIOS SNMP 및 Syslog 배포 가이드 |
| 지원 요소 | Microsoft |
Juniper SRX(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | syslog |
| Log Analytics 테이블 | Syslog |
| DCR 지원 | 작업 영역 변환 DCR |
| Kusto 함수 별칭: | JuniperSRX |
| Kusto 함수 URL: | https://aka.ms/Sentinel-junipersrx-parser |
| 공급업체 설명서/ 설치 지침 |
SRX 분기 디바이스에 대한 트래픽 로깅(보안 정책 로그) 구성 시스템 로깅 구성 |
| 지원 요소 | Juniper Networks |
Lookout Mobile Threat Defense(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure Functions 및 REST API Microsoft Sentinel용 Lookout Mobile Threat Defense 솔루션을 설치한 후에만 사용 가능 |
| Log Analytics 테이블 | Lookout_CL |
| DCR 지원 | 현재 지원되지 않음 |
| API 자격 증명 | |
| 공급업체 설명서/ 설치 지침 |
|
| 지원 요소 | Lookout |
Microsoft 365 Defender
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure 서비스 간 통합: Microsoft 365 Defender의 데이터를 Azure Sentinel에 연결(상위 커넥터 문서) |
| 라이선스 필수 조건/ 비용 정보 |
Microsoft 365 Defender의 유효한 라이선스 |
| Log Analytics 테이블 | 경고: SecurityAlert SecurityIncident 엔드포인트용 Defender 이벤트: DeviceEvents DeviceFileEvents DeviceImageLoadEvents DeviceInfo DeviceLogonEvents DeviceNetworkEvents DeviceNetworkInfo DeviceProcessEvents DeviceRegistryEvents DeviceFileCertificateInfo Office 365용 Defender 이벤트: EmailAttachmentInfo EmailUrlInfo EmailEvents EmailPostDeliveryEvents Defender for Identity 이벤트: IdentityDirectoryEvents IdentityInfo IdentityLogonEvents IdentityQueryEvents 클라우드용 Defender 앱 이벤트: CloudAppEvents 이벤트로 Defender 경고: AlertInfo AlertEvidence |
| DCR 지원 | 현재 지원되지 않음 |
| 지원 요소 | Microsoft |
Microsoft Purview IRM(내부 위험 관리)(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure 서비스 간 통합: API 기반 연결 Microsoft Purview 내부 위험 관리 솔루션에서도 사용 가능 |
| 라이선스 및 기타 필수 조건 |
|
| Log Analytics 테이블 | SecurityAlert |
| 데이터 쿼리 필터 | SecurityAlert| where ProductName == "Microsoft Purview Insider Risk Management" |
| 지원 요소 | Microsoft |
Microsoft Defender for Cloud
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure 서비스 간 통합: 클라우드용 Microsoft Defender의 연결 보안 경고(상위 커넥터 문서) |
| Log Analytics 테이블 | SecurityAlert |
| 지원 요소 | Microsoft |
Microsoft Defender for Cloud 앱
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure 서비스 간 통합: API 기반 연결 Cloud Discovery 로그의 경우 클라우드용 Microsoft Defender 앱에서 Microsoft Sentinel을 SIEM으로 사용하도록 설정 |
| Log Analytics 테이블 | SecurityAlert - 경고용 McasShadowItReporting - Cloud Discovery 로그용 |
| 지원 요소 | Microsoft |
엔드포인트에 대한 Microsoft Defender
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure 서비스 간 통합: API 기반 연결 |
| 라이선스 필수 조건/ 비용 정보 |
Endpoint용 Microsoft Defender 배포를 위한 유효한 라이선스 |
| Log Analytics 테이블 | SecurityAlert |
| DCR 지원 | 작업 영역 변환 DCR |
| 지원 요소 | Microsoft |
Microsoft Defender for Identity
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure 서비스 간 통합: API 기반 연결 |
| Log Analytics 테이블 | SecurityAlert |
| DCR 지원 | 작업 영역 변환 DCR |
| 지원 요소 | Microsoft |
Microsoft Defender for IoT
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure 서비스 간 통합: API 기반 연결 |
| Log Analytics 테이블 | SecurityAlert |
| DCR 지원 | 작업 영역 변환 DCR |
| 지원 요소 | Microsoft |
Office 365용 Microsoft Defender
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure 서비스 간 통합: API 기반 연결 |
| 라이선스 필수 조건/ 비용 정보 |
Office 365 ATP 플랜 2에 대한 유효한 라이선스가 있어야 합니다. |
| Log Analytics 테이블 | SecurityAlert |
| DCR 지원 | 작업 영역 변환 DCR |
| 지원 요소 | Microsoft |
Microsoft Office 365
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure 서비스 간 통합: API 기반 연결 |
| 라이선스 필수 조건/ 비용 정보 |
Office 365 배포는 Microsoft Sentinel 작업 영역과 동일한 테넌트에 있어야 합니다. 다른 요금이 부과될 수 있습니다. |
| Log Analytics 테이블 | OfficeActivity |
| DCR 지원 | 작업 영역 변환 DCR |
| 지원 요소 | Microsoft |
Microsoft Power BI(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure 서비스 간 통합: API 기반 연결 |
| 라이선스 필수 조건/ 비용 정보 |
Office 365 배포는 Microsoft Sentinel 작업 영역과 동일한 테넌트에 있어야 합니다. 다른 요금이 부과될 수 있습니다. |
| Log Analytics 테이블 | PowerBIActivity |
| 지원 요소 | Microsoft |
Microsoft Project(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure 서비스 간 통합: API 기반 연결 |
| 라이선스 필수 조건/ 비용 정보 |
Office 365 배포는 Microsoft Sentinel 작업 영역과 동일한 테넌트에 있어야 합니다. 다른 요금이 부과될 수 있습니다. |
| Log Analytics 테이블 | ProjectActivity |
| 지원 요소 | Microsoft |
Linux용 Microsoft Sysmon(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Syslog, with, Kusto 함수 기반의 ASIM 파서 |
| Log Analytics 테이블 | Syslog |
| DCR 지원 | 작업 영역 변환 DCR |
| 지원 요소 | Microsoft |
Morphisec UTPP(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Kusto 함수 파서가 있는 Syslog를 통한 CEF(Common Event Format) |
| Log Analytics 테이블 | CommonSecurityLog |
| DCR 지원 | 작업 영역 변환 DCR |
| Kusto 함수 별칭: | Morphisec |
| Kusto 함수 URL | https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Morphisec/Parsers/Morphisec/ |
| 지원 요소 | Morphisec |
Netskope(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure Functions 및 REST API |
| Log Analytics 테이블 | Netskope_CL |
| DCR 지원 | 현재 지원되지 않음 |
| Azure 함수 앱 코드 | https://aka.ms/Sentinel-netskope-functioncode |
| API 자격 증명 | |
| 공급업체 설명서/ 설치 지침 |
|
| 커넥터 배포 지침 | |
| Kusto 함수 별칭 | Netskope |
| Kusto 함수 URL/ 파서 구성 지침 |
https://aka.ms/Sentinel-netskope-parser |
| 애플리케이션 설정 | https://<Tenant Name>.goskope.com 스키마를 따름) |
| 지원 요소 | Microsoft |
NGINX HTTP Server(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Log Analytics 에이전트 - 사용자 지정 로그 |
| Log Analytics 테이블 | NGINX_CL |
| DCR 지원 | 현재 지원되지 않음 |
| Kusto 함수 별칭: | NGINXHTTPServer |
| Kusto 함수 URL | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/NGINX%20HTTP%20Server/Parsers/NGINXHTTPServer.txt |
| 공급업체 설명서/ 설치 지침 |
모듈 ngx_http_log_module |
| 사용자 지정 로그 샘플 파일: | access.log 또는 error.log |
| 지원 요소 | Microsoft |
NXLog BSM(Basic Security Module) macOS(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Microsoft Sentinel Data Collector API |
| Log Analytics 테이블 | BSMmacOS_CL |
| DCR 지원 | 현재 지원되지 않음 |
| 공급업체 설명서/ 설치 지침 |
NXLog Microsoft Sentinel 사용자 가이드 |
| 지원 요소 | NXLog |
NXLog DNS Logs(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Microsoft Sentinel Data Collector API |
| Log Analytics 테이블 | DNS_Logs_CL |
| DCR 지원 | 현재 지원되지 않음 |
| 공급업체 설명서/ 설치 지침 |
NXLog Microsoft Sentinel 사용자 가이드 |
| 지원 요소 | NXLog |
NXLog LinuxAudit(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Microsoft Sentinel Data Collector API |
| Log Analytics 테이블 | LinuxAudit_CL |
| DCR 지원 | 현재 지원되지 않음 |
| 공급업체 설명서/ 설치 지침 |
NXLog Microsoft Sentinel 사용자 가이드 |
| 지원 요소 | NXLog |
Okta Single Sign-On(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure Functions 및 REST API |
| Log Analytics 테이블 | Okta_CL |
| DCR 지원 | 현재 지원되지 않음 |
| Azure 함수 앱 코드 | https://aka.ms/sentineloktaazurefunctioncodev2 |
| API 자격 증명 | |
| 공급업체 설명서/ 설치 지침 |
|
| 커넥터 배포 지침 | |
| 애플리케이션 설정 | https://<OktaDomain>/api/v1/logs?since=를 따릅니다. 도메인 네임스페이스를 식별합니다.) |
| 지원 요소 | Microsoft |
Onapsis Platform(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Kusto 조회 및 보강 기능이 있는 Syslog를 통한 CEF(Common Event Format) CEF 로그를 로그 전달자로 보내도록 Onapsis 구성 |
| Log Analytics 테이블 | CommonSecurityLog |
| DCR 지원 | 작업 영역 변환 DCR |
| Kusto 함수 별칭: | incident_lookup |
| Kusto 함수 URL | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Onapsis%20Platform/Parsers/OnapsisLookup.txt |
| 지원 요소 | Onapsis |
CEF 로그를 로그 전달자로 보내도록 Onapsis 구성
Log Analytics 에이전트에 대한 로그 전달을 설정하려면 Onapsis 제품 내 도움말을 참조하세요.
- 설정 > 타사 통합 > 방어 알람으로 이동하여 Microsoft Sentinel에 대한 지침을 따릅니다.
- Onapsis 콘솔이 에이전트가 설치된 로그 전달자 컴퓨터에 연결할 수 있는지 확인합니다. 로그는 TCP를 사용하여 포트 514로 보내야 합니다.
One Identity Safeguard(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Syslog를 통한 CEF(Common Event Format) |
| Log Analytics 테이블 | CommonSecurityLog |
| DCR 지원 | 작업 영역 변환 DCR |
| 공급업체 설명서/ 설치 지침 |
권한 있는 세션을 위한 One Identity Safeguard 관리 가이드 |
| 지원 요소 | One Identity |
Oracle WebLogic Server(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Log Analytics 에이전트 - 사용자 지정 로그 |
| Log Analytics 테이블 | OracleWebLogicServer_CL |
| DCR 지원 | 현재 지원되지 않음 |
| Kusto 함수 별칭: | OracleWebLogicServerEvent |
| Kusto 함수 URL: | https://aka.ms/Sentinel-OracleWebLogicServer-parser |
| 공급업체 설명서/ 설치 지침 |
Oracle WebLogic 서버 문서 |
| 사용자 지정 로그 샘플 파일: | server.log |
| 지원 요소 | Microsoft |
Orca Security(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Microsoft Sentinel Data Collector API |
| Log Analytics 테이블 | OrcaAlerts_CL |
| DCR 지원 | 현재 지원되지 않음 |
| 공급업체 설명서/ 설치 지침 |
Microsoft Sentinel 통합 |
| 지원 요소 | Orca Security |
OSSEC(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Kusto 함수 파서가 있는 Syslog를 통한 CEF(Common Event Format) |
| Log Analytics 테이블 | CommonSecurityLog |
| DCR 지원 | 작업 영역 변환 DCR |
| Kusto 함수 별칭: | OSSECEvent |
| Kusto 함수 URL: | https://aka.ms/Sentinel-OSSEC-parser |
| 공급업체 설명서/ 설치 지침 |
OSSEC 문서 syslog를 통해 경고 보내기 |
| 지원 요소 | Microsoft |
Palo Alto Networks
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Syslog를 통한 CEF(Common Event Format) Palo Alto PAN-OS 및 Prisma 솔루션에서도 사용 가능 |
| Log Analytics 테이블 | CommonSecurityLog |
| DCR 지원 | 작업 영역 변환 DCR |
| 공급업체 설명서/ 설치 지침 |
CEF(Common Event Format) 구성 가이드 Syslog 모니터링 구성 |
| 지원 요소 | Palo Alto Networks |
Perimeter 81 Activity Logs(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Microsoft Sentinel Data Collector API |
| Log Analytics 테이블 | Perimeter81_CL |
| DCR 지원 | 현재 지원되지 않음 |
| 공급업체 설명서/ 설치 지침 |
Perimeter 81 문서 |
| 지원 요소 | Perimeter 81 |
POD(Proofpoint On Demand) Email Security(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure Functions 및 REST API Proofpoint POD 솔루션에서도 사용 가능 |
| Log Analytics 테이블 | ProofpointPOD_message_CL ProofpointPOD_maillog_CL |
| DCR 지원 | 현재 지원되지 않음 |
| Azure 함수 앱 코드 | https://aka.ms/Sentinel-proofpointpod-functionapp |
| API 자격 증명 | |
| 공급업체 설명서/ 설치 지침 |
|
| 커넥터 배포 지침 | |
| Kusto 함수 별칭 | ProofpointPOD |
| Kusto 함수 URL/ 파서 구성 지침 |
https://aka.ms/Sentinel-proofpointpod-parser |
| 애플리케이션 설정 | |
| 지원 요소 | Microsoft |
Proofpoint TAP(Targeted Attack Protection)(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure Functions 및 REST API Proofpoint TAP 솔루션에서도 사용 가능 |
| Log Analytics 테이블 | ProofPointTAPClicksPermitted_CL ProofPointTAPClicksBlocked_CL ProofPointTAPMessagesDelivered_CL ProofPointTAPMessagesBlocked_CL |
| DCR 지원 | 현재 지원되지 않음 |
| Azure 함수 앱 코드 | https://aka.ms/sentinelproofpointtapazurefunctioncode |
| API 자격 증명 | |
| 공급업체 설명서/ 설치 지침 |
|
| 커넥터 배포 지침 | |
| 애플리케이션 설정 | https://tap-api-v2.proofpoint.com/v2/siem/all?format=json&sinceSeconds=300으로 설정) |
| 지원 요소 | Microsoft |
Pulse Connect Secure(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | syslog |
| Log Analytics 테이블 | Syslog |
| DCR 지원 | 작업 영역 변환 DCR |
| Kusto 함수 별칭: | PulseConnectSecure |
| Kusto 함수 URL: | https://aka.ms/sentinelgithubparserspulsesecurevpn |
| 공급업체 설명서/ 설치 지침 |
Syslog 구성 |
| 지원 요소 | Microsoft |
Qualys VM KB(기술 자료)(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure Functions 및 REST API Qualys VM KB에 대한 추가 구성 Qualys VM 솔루션에서도 사용 가능 |
| Log Analytics 테이블 | QualysKB_CL |
| DCR 지원 | 현재 지원되지 않음 |
| Azure 함수 앱 코드 | https://aka.ms/Sentinel-qualyskb-functioncode |
| API 자격 증명 | |
| 공급업체 설명서/ 설치 지침 |
|
| 커넥터 배포 지침 | |
| Kusto 함수 별칭 | QualysKB |
| Kusto 함수 URL/ 파서 구성 지침 |
https://aka.ms/Sentinel-qualyskb-parser |
| 애플리케이션 설정 | https://<API Server>/api/2.0 스키마를 따릅니다.&로 구분. 공백 없음) |
| 지원 요소 | Microsoft |
Qualys VM KB에 대한 추가 구성
- 관리자 계정으로 Qualys 취약성 관리 콘솔에 로그인하고 사용자 탭과 사용자 하위 탭을 선택합니다.
- 새로 만들기 드롭다운 메뉴를 선택하고 사용자를 선택합니다.
- API 계정의 사용자 이름과 암호를 만듭니다.
- 사용자 역할 탭에서 계정 역할이 관리자로 설정되어 있고 GUI 및 API에 대한 액세스가 허용되어 있는지 확인합니다.
- 관리자 계정에서 로그아웃하고 유효성 검사를 위해 새 API 자격 증명으로 콘솔에 로그인한 다음, API 계정에서 로그아웃합니다.
- 관리자 계정을 사용하여 콘솔에 다시 로그인하고 API 계정 사용자 역할을 수정하여 GUI에 대한 액세스 권한을 제거합니다.
- 모든 변경 내용을 저장합니다.
Qualys VM(취약성 관리)(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure Functions 및 REST API Qualys VM의 추가 구성 수동 배포 - 함수 앱 구성 후 |
| Log Analytics 테이블 | QualysHostDetection_CL |
| DCR 지원 | 현재 지원되지 않음 |
| Azure 함수 앱 코드 | https://aka.ms/sentinelqualysvmazurefunctioncode |
| API 자격 증명 | |
| 공급업체 설명서/ 설치 지침 |
|
| 커넥터 배포 지침 | |
| 애플리케이션 설정 | https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after= 스키마를 따릅니다.&로 구분. 공백 없음) |
| 지원 요소 | Microsoft |
Qualys VM에 대한 추가 구성
- 관리자 계정으로 Qualys 취약성 관리 콘솔에 로그인하고 사용자 탭과 사용자 하위 탭을 선택합니다.
- 새로 만들기 드롭다운 메뉴를 선택하고 사용자를 선택합니다.
- API 계정의 사용자 이름과 암호를 만듭니다.
- 사용자 역할 탭에서 계정 역할이 관리자로 설정되어 있고 GUI 및 API에 대한 액세스가 허용되어 있는지 확인합니다.
- 관리자 계정에서 로그아웃하고 유효성 검사를 위해 새 API 자격 증명으로 콘솔에 로그인한 다음, API 계정에서 로그아웃합니다.
- 관리자 계정을 사용하여 콘솔에 다시 로그인하고 API 계정 사용자 역할을 수정하여 GUI에 대한 액세스 권한을 제거합니다.
- 모든 변경 내용을 저장합니다.
수동 배포 - 함수 앱 구성 후
host.json 파일 구성
잠재적으로 많은 양의 Qualys 호스트 탐지 데이터가 수집되기 때문에 실행 시간이 기본 함수 앱 제한 시간인 5분을 초과할 수 있습니다. 함수 앱이 실행되는 데 더 많은 시간을 허용하려면 소비 계획에서 기본 시간 제한을 최대 10분으로 늘립니다.
- 함수 앱에서 함수 앱 이름을 선택하고 App Service 편집기 페이지를 선택합니다.
- 이동을 선택하여 편집기를 연 다음 wwwroot 디렉터리에서 host.json 파일을 선택합니다.
managedDependancy줄 위에"functionTimeout": "00:10:00",줄을 추가합니다.- 편집기의 오른쪽 상단에 저장됨이 표시되는지 확인한 다음, 편집기를 종료합니다.
더 긴 시간 초과 기간이 필요한 경우 App Service 계획으로 업그레이드하는 것이 좋습니다.
Salesforce Service Cloud(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure Functions 및 REST API |
| Log Analytics 테이블 | SalesforceServiceCloud_CL |
| DCR 지원 | 현재 지원되지 않음 |
| Azure 함수 앱 코드 | https://aka.ms/Sentinel-SalesforceServiceCloud-functionapp |
| API 자격 증명 | |
| 공급업체 설명서/ 설치 지침 |
Salesforce REST API 개발자 가이드 권한 부여 설정에서 OAuth 대신 세션 ID 메서드를 사용합니다. |
| 커넥터 배포 지침 | |
| Kusto 함수 별칭 | SalesforceServiceCloud |
| Kusto 함수 URL/ 파서 구성 지침 |
https://aka.ms/Sentinel-SalesforceServiceCloud-parser |
| 애플리케이션 설정 | |
| 지원 요소 | Microsoft |
레거시 에이전트를 통한 보안 이벤트(Windows)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure 서비스 간 통합: Log Analytics 에이전트 기반 연결(레거시) |
| Log Analytics 테이블 | SecurityEvents |
| DCR 지원 | 작업 영역 변환 DCR |
| 지원 요소 | Microsoft |
자세한 내용은 다음을 참조하세요.
- Microsoft Sentinel로 보낼 수 있는 Windows 보안 이벤트 세트
- 안전하지 않은 프로토콜 통합 문서 설정
- AMA(Azure Monitor Agent) 기반의 AMA를 통한 Windows 보안 이벤트 커넥터
- 비정상적인 RDP 로그인 검색에 대한 보안 이벤트/Windows 보안 이벤트 커넥터 구성
SentinelOne(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure Functions 및 REST API SentinelOne에 대한 추가 구성 |
| Log Analytics 테이블 | SentinelOne_CL |
| DCR 지원 | 현재 지원되지 않음 |
| Azure 함수 앱 코드 | https://aka.ms/Sentinel-SentinelOneAPI-functionapp |
| API 자격 증명 | https://<SOneInstanceDomain>.sentinelone.net) |
| 공급업체 설명서/ 설치 지침 |
<SOneInstanceDomain>.sentinelone.net/api-doc/overview |
| 커넥터 배포 지침 | |
| Kusto 함수 별칭 | SentinelOne |
| Kusto 함수 URL/ 파서 구성 지침 |
https://aka.ms/Sentinel-SentinelOneAPI-parser |
| 애플리케이션 설정 | |
| 지원 요소 | Microsoft |
SentinelOne에 대한 추가 구성
지침에 따라 자격 증명을 가져옵니다.
- 관리자 자격 증명으로 SentinelOne 관리 콘솔에 로그인합니다.
- 관리 콘솔에서 설정을 선택합니다.
- 설정 보기에서 사용자를 선택합니다.
- 새 사용자를 선택합니다.
- 새 콘솔 사용자에 대한 정보를 입력합니다.
- 역할에서 관리자를 선택합니다.
- 저장을 선택합니다.
- 데이터 커넥터에서 사용할 새 사용자의 자격 증명을 저장합니다.
SonicWall Firewall(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Syslog를 통한 CEF(Common Event Format) |
| Log Analytics 테이블 | CommonSecurityLog |
| DCR 지원 | 작업 영역 변환 DCR |
| 공급업체 설명서/ 설치 지침 |
로그 > Syslog Syslog 형식으로 시설 local4 및 ArcSight를 선택합니다. |
| 지원 요소 | SonicWall |
Sophos Cloud Optix(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Microsoft Sentinel Data Collector API |
| Log Analytics 테이블 | SophosCloudOptix_CL |
| DCR 지원 | 현재 지원되지 않음 |
| 공급업체 설명서/ 설치 지침 |
첫 번째 단계를 건너뛰고 Microsoft Sentinel과 통합합니다. Sophos 쿼리 샘플 |
| 지원 요소 | Sophos |
Sophos XG Firewall(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | syslog |
| Log Analytics 테이블 | Syslog |
| DCR 지원 | 작업 영역 변환 DCR |
| Kusto 함수 별칭: | SophosXGFirewall |
| Kusto 함수 URL: | https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Sophos%20XG%20Firewall/Parsers/SophosXGFirewall.txt |
| 공급업체 설명서/ 설치 지침 |
Syslog 서버 추가 |
| 지원 요소 | Microsoft |
Squadra 기술 secRMM
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Microsoft Sentinel Data Collector API |
| Log Analytics 테이블 | secRMM_CL |
| DCR 지원 | 현재 지원되지 않음 |
| 공급업체 설명서/ 설치 지침 |
secRMM Microsoft Sentinel 관리자 가이드 |
| 지원 요소 | Squadra Technologies |
Squid Proxy(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Log Analytics 에이전트 - 사용자 지정 로그 |
| Log Analytics 테이블 | SquidProxy_CL |
| DCR 지원 | 현재 지원되지 않음 |
| Kusto 함수 별칭: | SquidProxy |
| Kusto 함수 URL | https://aka.ms/Sentinel-squidproxy-parser |
| 사용자 지정 로그 샘플 파일: | access.log 또는 cache.log |
| 지원 요소 | Microsoft |
Symantec ICDx(Integrated Cyber Defense Exchange)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Microsoft Sentinel Data Collector API |
| Log Analytics 테이블 | SymantecICDx_CL |
| DCR 지원 | 현재 지원되지 않음 |
| 공급업체 설명서/ 설치 지침 |
Microsoft Sentinel(Log Analytics) 전달자 구성 |
| 지원 요소 | Broadcom Symantec |
Symantec ProxySG(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | syslog |
| Log Analytics 테이블 | Syslog |
| DCR 지원 | 작업 영역 변환 DCR |
| Kusto 함수 별칭: | SymantecProxySG |
| Kusto 함수 URL: | https://aka.ms/sentinelgithubparserssymantecproxysg |
| 공급업체 설명서/ 설치 지침 |
Syslog 서버에 액세스 로그 보내기 |
| 지원 요소 | Microsoft |
Symantec VIP(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | syslog |
| Log Analytics 테이블 | Syslog |
| DCR 지원 | 작업 영역 변환 DCR |
| Kusto 함수 별칭: | SymantecVIP |
| Kusto 함수 URL: | https://aka.ms/sentinelgithubparserssymantecvip |
| 공급업체 설명서/ 설치 지침 |
syslog 구성 |
| 지원 요소 | Microsoft |
Thycotic Secret Server(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Syslog를 통한 CEF(Common Event Format) |
| Log Analytics 테이블 | CommonSecurityLog |
| DCR 지원 | 작업 영역 변환 DCR |
| 공급업체 설명서/ 설치 지침 |
보안 Syslog/CEF 로깅 |
| 지원 요소 | Thycotic |
Trend Micro Deep Security
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Kusto 함수 파서가 있는 Syslog를 통한 CEF(Common Event Format) |
| Log Analytics 테이블 | CommonSecurityLog |
| DCR 지원 | 작업 영역 변환 DCR |
| Kusto 함수 별칭: | TrendMicroDeepSecurity |
| Kusto 함수 URL | https://aka.ms/TrendMicroDeepSecurityFunction |
| 공급업체 설명서/ 설치 지침 |
Syslog 또는 SIEM 서버로 Deep Security 이벤트 전달 |
| 지원 요소 | Trend Micro |
Trend Micro TippingPoint(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Kusto 함수 파서가 있는 Syslog를 통한 CEF(Common Event Format) |
| Log Analytics 테이블 | CommonSecurityLog |
| DCR 지원 | 작업 영역 변환 DCR |
| Kusto 함수 별칭: | TrendMicroTippingPoint |
| Kusto 함수 URL | https://aka.ms/Sentinel-trendmicrotippingpoint-function |
| 공급업체 설명서/ 설치 지침 |
ArcSight CEF 형식 v4.2 형식으로 Syslog 메시지를 보냅니다. |
| 지원 요소 | Trend Micro |
Trend Micro Vision One(XDR)(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure Functions 및 REST API |
| Log Analytics 테이블 | TrendMicro_XDR_CL |
| DCR 지원 | 현재 지원되지 않음 |
| API 자격 증명 | |
| 공급업체 설명서/ 설치 지침 |
|
| 커넥터 배포 지침 | ARM(Azure Resource Manager) 템플릿을 통한 단일 클릭 배포 |
| 지원 요소 | Trend Micro |
VMware Carbon Black Endpoint Standard(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure Functions 및 REST API |
| Log Analytics 테이블 | CarbonBlackEvents_CL CarbonBlackAuditLogs_CL CarbonBlackNotifications_CL |
| DCR 지원 | 현재 지원되지 않음 |
| Azure 함수 앱 코드 | https://aka.ms/sentinelcarbonblackazurefunctioncode |
| API 자격 증명 | API 액세스 수준(감사 및 이벤트 로그용): SIEM 액세스 수준(알림 이벤트용): |
| 공급업체 설명서/ 설치 지침 |
|
| 커넥터 배포 지침 | |
| 애플리케이션 설정 | https://<API URL>.conferdeploy.net) |
| 지원 요소 | Microsoft |
VMware ESXi(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | syslog |
| Log Analytics 테이블 | Syslog |
| DCR 지원 | 작업 영역 변환 DCR |
| Kusto 함수 별칭: | VMwareESXi |
| Kusto 함수 URL: | https://aka.ms/Sentinel-vmwareesxi-parser |
| 공급업체 설명서/ 설치 지침 |
ESXi 3.5 및 4.x에서 syslog 사용 ESXi 호스트에서 Syslog 구성 |
| 지원 요소 | Microsoft |
WatchGuard Firebox(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | syslog |
| Log Analytics 테이블 | Syslog |
| DCR 지원 | 작업 영역 변환 DCR |
| Kusto 함수 별칭: | WatchGuardFirebox |
| Kusto 함수 URL: | https://aka.ms/Sentinel-watchguardfirebox-parser |
| 공급업체 설명서/ 설치 지침 |
Microsoft Sentinel 통합 가이드 |
| 지원 요소 | WatchGuard Technologies |
WireX Network Forensics Platform(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Syslog를 통한 CEF(Common Event Format) |
| Log Analytics 테이블 | CommonSecurityLog |
| DCR 지원 | 작업 영역 변환 DCR |
| 공급업체 설명서/ 설치 지침 |
CEF 형식으로 Syslog 메시지를 보내도록 NFP 솔루션을 구성하려면 WireX 지원에 문의하세요. |
| 지원 요소 | WireX Systems |
Windows DNS 서버(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure 서비스 간 통합: Log Analytics 에이전트 기반 연결(레거시) |
| Log Analytics 테이블 | DnsEvents DnsInventory |
| DCR 지원 | 작업 영역 변환 DCR |
| 지원 요소 | Microsoft |
Windows DNS 서버 데이터 커넥터 문제 해결
DNS 이벤트가 Microsoft Sentinel에 표시되지 않으면 다음을 수행합니다.
- 서버의 DNS 분석 로그가 사용하도록 설정되었는지 확인합니다.
- Azure DNS Analytics로 이동합니다.
- 구성 영역에서 설정을 변경하고 변경 내용을 저장합니다. 필요한 경우 설정을 다시 변경한 다음, 변경 내용을 다시 저장합니다.
- Azure DNS Analytics를 확인하여 이벤트 및 쿼리가 제대로 표시되는지 확인합니다.
자세한 내용은 DNS 분석 미리 보기 솔루션으로 DNS 인프라에 대한 인사이트 수집을 참조하세요.
Windows Forwarded 이벤트(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure 서비스 간 통합: Azure Monitor 에이전트 기반 연결 Windows Forwarded 이벤트 커넥터 배포에 대한 추가 지침 |
| 필수 구성 요소 | WEC(Windows Event Collection)를 사용하도록 설정하고 실행해야 합니다. WEC 머신에 Azure Monitor 에이전트를 설치합니다. |
| xPath 쿼리 접두사 | "ForwardedEvents!*" |
| Log Analytics 테이블 | WindowsEvents |
| DCR 지원 | 표준 DCR |
| 지원 요소 | Microsoft |
Windows Forwarded 이벤트 커넥터 배포에 대한 추가 지침
데이터 정규화를 완전히 지원하려면 ASIM(Advanced Security Information Model) 파서를 설치하는 것이 좋습니다. Azure-Sentinel GitHub 리포지토리에서 Azure에 배포 단추를 사용하여 이러한 파서를 배포할 수 있습니다.
Windows 방화벽
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure 서비스 간 통합: Log Analytics 에이전트 기반 연결(레거시) |
| Log Analytics 테이블 | WindowsFirewall |
| 지원 요소 | Microsoft |
AMA를 통한 Windows 보안 이벤트
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure 서비스 간 통합: Azure Monitor 에이전트 기반 연결 |
| xPath 쿼리 접두사 | "Security!*" |
| Log Analytics 테이블 | SecurityEvents |
| DCR 지원 | 표준 DCR |
| 지원 요소 | Microsoft |
레거시 에이전트 커넥터를 통한 보안 이벤트도 참조하세요.
비정상적인 RDP 로그인 검색에 대한 보안 이벤트/Windows 보안 이벤트 커넥터 구성
중요
비정상적인 RDP 로그인 검색은 현재 퍼블릭 미리 보기로 제공됩니다. 해당 기능은 별도의 Service Level Agreement(서비스 수준 규약) 없이 제공되며, 프로덕션 작업에는 사용하지 않는 것이 좋습니다. 자세한 내용은 Microsoft Azure Preview에 대한 추가 사용 약관을 참조하세요.
Microsoft Sentinel은 ML(기계 학습)을 보안 이벤트 데이터에 적용하여 비정상적인 RDP(원격 데스크톱 프로토콜) 로그인 활동을 식별할 수 있습니다. 다음과 같은 시나리오가 있습니다.
비정상적인 IP -지난 30일 동안 IP 주소가 거의 또는 전혀 관찰되지 않았습니다.
비정상적인 지리적 위치 -지난 30일 동안 IP 주소, 구/군/시, 국가 및 ASN이 거의 또는 전혀 관찰되지 않았습니다.
새 사용자 -새 사용자가 IP 주소 및 지리적 위치에서 로그인하거나 둘 다 또는 어느 쪽도 30일 이전 데이터를 기반으로 하여 표시되지 않습니다.
구성 지침
보안 이벤트 또는 Windows 보안 이벤트 데이터 커넥터를 통해 RDP 로그인 데이터(이벤트 ID 4624)를 수집해야 합니다. "없음" 이외의 이벤트 세트를 선택했거나 이 이벤트 ID를 포함하는 데이터 수집 규칙을 만들어 Microsoft Sentinel로 스트리밍했는지 확인합니다.
Microsoft Sentinel 포털에서 분석을 선택한 다음, 규칙 템플릿 탭을 선택합니다. (미리 보기) 비정상적인 RDP 로그인 검색 규칙을 선택하고 상태 슬라이더를 사용으로 움직입니다.
참고
기계 학습 알고리즘은 사용자 동작의 기준 프로필을 컴파일하는 데 30일 분량의 데이터가 필요하므로 인시던트 이전에 30일간의 Windows 보안 이벤트 데이터를 수집해야 합니다.
Workplace from Facebook(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure Functions 및 REST API 웹후크 구성 웹후크 구성에 콜백 URL 추가 |
| Log Analytics 테이블 | Workplace_Facebook_CL |
| DCR 지원 | 현재 지원되지 않음 |
| Azure 함수 앱 코드 | https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Workplace%20from%20Facebook/Data%20Connectors/WorkplaceFacebook/WorkplaceFacebookWebhooksSentinelConn.zip |
| API 자격 증명 | |
| 공급업체 설명서/ 설치 지침 |
|
| 커넥터 배포 지침 | |
| Kusto 함수 별칭 | Workplace_Facebook |
| Kusto 함수 URL/ 파서 구성 지침 |
https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Workplace%20from%20Facebook/Parsers/Workplace_Facebook.txt |
| 애플리케이션 설정 | |
| 지원 요소 | Microsoft |
웹후크 구성
- 관리 사용자 자격 증명으로 Workplace에 로그인합니다.
- 관리자 패널에서 통합을 선택합니다.
- 모든 통합 보기에서 사용자 지정 통합 만들기를 선택합니다.
- 이름과 설명을 입력하고 만들기를 선택합니다.
- 통합 세부 정보 패널에서 앱 비밀을 표시하고 복사합니다.
- 통합 권한 패널에서 모든 읽기 권한을 설정합니다. 자세한 내용은 권한 페이지를 참조하세요.
웹후크 구성에 콜백 URL 추가
- 함수 앱 페이지를 열고 함수 목록으로 이동하여 함수 URL 가져오기를 선택하고 복사합니다.
- Workplace from Facebook으로 돌아갑니다. 웹후크 구성 패널의 각 탭에서 콜백 URL을 마지막 단계에서 복사한 함수 URL로 설정하고 인증 토큰을 자동 배포 중에 받았거나 수동 배포 중에 입력한 것과 동일한 값으로 설정합니다.
- 저장을 선택합니다.
Zimperium Mobile Thread Defense(미리 보기)
Zimperium Mobile Threat Defense 데이터 커넥터는 Zimperium 위협 로그를 Microsoft Sentinel에 연결하여 대시보드를 확인하고, 사용자 지정 경고를 만들고, 조사를 개선합니다. 이 커넥터는 조직의 모바일 위협 환경에 대한 자세한 인사이트를 제공하고 보안 작업 기능을 향상시킵니다.
자세한 내용은 Microsoft Sentinel에 Zimperium 연결을 참조하세요.
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Microsoft Sentinel Data Collector API Zimperium MTD 구성 및 연결 |
| Log Analytics 테이블 | ZimperiumThreatLog_CL ZimperiumMitigationLog_CL |
| DCR 지원 | 현재 지원되지 않음 |
| 공급업체 설명서/ 설치 지침 |
Zimperium 고객 지원 포털(로그인 필요) |
| 지원 요소 | Zimperium |
Zimperium MTD 구성 및 연결
- zConsole의 탐색 모음에서 관리를 선택합니다.
- 통합 탭을 선택합니다.
- 위협 보고 단추를 클릭한 다음, 통합 추가 단추를 선택합니다.
- 통합 만들기:
- 사용 가능한 통합에서 Microsoft Sentinel을 선택합니다.
- 작업 영역 ID와 기본 키를 입력하고 다음을 선택합니다.
- Microsoft Sentinel 통합의 이름을 입력합니다.
- Microsoft Sentinel에 푸시할 위협 데이터의 필터 수준을 선택합니다.
- 완료를 선택합니다.
Zoom Reports(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Azure Functions 및 REST API |
| Log Analytics 테이블 | Zoom_CL |
| DCR 지원 | 현재 지원되지 않음 |
| Azure 함수 앱 코드 | https://aka.ms/Sentinel-ZoomAPI-functionapp |
| API 자격 증명 | |
| 공급업체 설명서/ 설치 지침 |
|
| 커넥터 배포 지침 | |
| Kusto 함수 별칭 | Zoom |
| Kusto 함수 URL/ 파서 구성 지침 |
https://aka.ms/Sentinel-ZoomAPI-parser |
| 애플리케이션 설정 | |
| 지원 요소 | Microsoft |
Zscaler
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Syslog를 통한 CEF(Common Event Format) |
| Log Analytics 테이블 | CommonSecurityLog |
| DCR 지원 | 작업 영역 변환 DCR |
| 공급업체 설명서/ 설치 지침 |
Zscaler 및 Microsoft Sentinel 배포 가이드 |
| 지원 요소 | Zscaler |
ZPA(Zscaler Private Access)(미리 보기)
| 커넥터 특성 | Description |
|---|---|
| 데이터 수집 방법 | Log Analytics 에이전트 - 사용자 지정 로그 Zscaler Private Access를 위한 추가 구성 |
| Log Analytics 테이블 | ZPA_CL |
| DCR 지원 | 현재 지원되지 않음 |
| Kusto 함수 별칭: | ZPAEvent |
| Kusto 함수 URL | https://aka.ms/Sentinel-zscalerprivateaccess-parser |
| 공급업체 설명서/ 설치 지침 |
Zscaler Private Access 문서 또한 아래를 참조하세요. |
| 지원 요소 | Microsoft |
Zscaler Private Access에 대한 추가 구성
Microsoft Sentinel에 Zscaler Private Access 로그를 가져오려면 아래 구성 단계를 따르세요. 자세한 내용은 Azure Monitor 설명서를 참조하세요. Zscaler Private Access 로그는 LSS(로그 스트리밍 서비스)를 통해 전달됩니다. 자세한 내용은 LSS 문서를 참조하세요.
로그 수신기를 구성합니다. 로그 수신기를 구성하는 동안 JSON을 로그 템플릿으로 선택합니다.
구성 파일 zpa.conf를 다운로드합니다.
wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.confAzure Log Analytics 에이전트를 설치한 서버에 로그인합니다.
zpa.conf를 /etc/opt/microsoft/omsagent/
workspace_id/conf/omsagent.d/ 폴더에 복사합니다.다음과 같이 zpa.conf를 편집합니다.
- 로그를 전달하도록 Zscaler Log Receivers를 설정한 포트를 지정합니다(4행).
workspace_id을 작업 영역 ID의 실제 값으로 바꿉니다(14,15,16,19행).
다음 명령을 사용하여 변경 사항을 저장하고 Linux용 Azure Log Analytics 에이전트 서비스를 다시 시작합니다.
sudo /opt/microsoft/omsagent/bin/service_control restart
ZScaler Private Access 커넥터 페이지 또는 Log Analytics 작업 영역의 에이전트 관리 페이지에서 작업 영역 ID 값을 찾을 수 있습니다.
다음 단계
자세한 내용은 다음을 참조하세요.