비즈니스용 Microsoft Defender 스트리밍 API 사용
organization SOC(보안 운영 센터)가 있는 경우 엔드포인트용 Microsoft Defender 스트리밍 API를 사용하는 기능은 비즈니스용 Defender 및 Microsoft 365 Business Premium 사용할 수 있습니다. API를 사용하면 디바이스 파일, 레지스트리, 네트워크, 로그인 이벤트 등과 같은 데이터를 다음 서비스 중 하나로 스트리밍할 수 있습니다.
- MICROSOFT Sentinel은 SIEM(보안 정보 및 이벤트 관리) 및 SOAR(보안 오케스트레이션, 자동화 및 응답) 기능을 제공하는 확장 가능한 클라우드 네이티브 솔루션입니다.
- Azure Event Hubs Apache Spark와 같은 외부 서비스와 함께 Stream Analytics, Power BI 및 Event Grid와 같은 다른 Azure 및 Microsoft 서비스와 원활하게 통합할 수 있는 최신 빅 데이터 스트리밍 플랫폼 및 이벤트 수집 서비스입니다.
- 최신 데이터 스토리지 시나리오를 위한 Microsoft의 클라우드 스토리지 솔루션인 Azure Storage는 클라우드의 다양한 데이터 개체에 대해 고가용성, 대규모 확장성, 내구성 및 보안 스토리지를 제공합니다.
스트리밍 API를 사용하면 비즈니스용 Defender 및 Microsoft 365 Business Premium 고급 헌팅 및 공격 검색을 사용할 수 있습니다. 스트리밍 API를 사용하면 SOC가 디바이스에 대한 더 많은 데이터를 보고, 공격이 발생한 방식을 더 잘 이해하고, 디바이스 보안을 개선하기 위한 조치를 취할 수 있습니다.
Microsoft Sentinel에서 스트리밍 API 사용
참고
Microsoft Sentinel 은 유료 서비스입니다. 몇 가지 요금제 및 가격 책정 옵션을 사용할 수 있습니다. Microsoft Sentinel 가격 책정을 참조하세요.
비즈니스용 Defender가 설정 및 구성되었으며 디바이스가 이미 온보딩되어 있는지 확인합니다. 비즈니스용 Microsoft Defender 설정 및 구성을 참조하세요.
Sentinel에서 사용할 Log Analytics 작업 영역을 Create. Log Analytics 작업 영역 Create 참조하세요.
Microsoft Sentinel에 온보딩합니다. 빠른 시작: Microsoft Sentinel 온보딩을 참조하세요.
Microsoft Defender XDR 커넥터를 사용하도록 설정합니다. Microsoft Defender XDR Microsoft Sentinel에 데이터 연결을 참조하세요.
Event Hubs에서 스트리밍 API 사용
참고
Azure Event Hubs Azure 구독이 필요합니다. 시작하기 전에 테넌트에서 이벤트 허브 를 만들어야 합니다. 그런 다음, Azure Portal 로그인하고 구독>구독>리소스 공급자Microsoft.insights>에 등록으로 이동합니다.
Microsoft Defender 포털로 이동하여 전역 관리자 또는 보안 관리자로 로그인합니다.
데이터 내보내기 설정 페이지로 이동합니다.
데이터 내보내기 설정 추가를 선택합니다.
새 설정의 이름을 선택합니다.
Azure Event Hubs 이벤트 전달을 선택합니다.
Event Hubs 이름 및 Event Hubs ID를 입력합니다.
참고
Event Hubs 이름 필드를 비워 두면 선택한 네임스페이스의 각 범주에 대한 이벤트 허브가 만들어집니다. 전용 Event Hubs 클러스터를 사용하지 않는 경우 Event Hubs 네임스페이스는 10개로 제한됩니다.
Event Hubs ID를 가져오려면 Azure Portal Azure Event Hubs 네임스페이스 페이지로 이동합니다. 속성 탭에서 ID 아래에 있는 텍스트를 복사합니다.
스트리밍할 이벤트를 선택한 다음 저장을 선택합니다.
Azure Event Hubs 이벤트의 스키마
Azure Event Hubs 이벤트의 스키마는 다음과 같습니다.
{
"records": [
{
"time": "<The time WDATP received the event>"
"tenantId": "<The Id of the tenant that the event belongs to>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
...
]
}
Azure Event Hubs 각 이벤트 허브 메시지에는 레코드 목록이 포함됩니다. 각 레코드에는 이벤트 이름, 비즈니스용 Defender가 이벤트를 수신한 시간, 해당 이벤트가 속한 테넌트(테넌트에서만 이벤트 가져오기) 및 "properties"라는 속성의 JSON 형식으로 이벤트가 포함됩니다. 스키마에 대한 자세한 내용은 Microsoft Defender XDR 고급 헌팅을 사용하여 위협 사전 헌팅을 참조하세요.
Azure Storage에서 스트리밍 API 사용
Azure Storage에는 Azure 구독이 필요합니다. 시작하기 전에 테넌트에서 Storage 계정을 만들어야 합니다. 그런 다음, Azure 테넌트로 로그인하고 구독>구독>리소스 공급자Microsoft.insights>에 등록으로 이동합니다.
원시 데이터 스트리밍 사용
Microsoft Defender 포털로 이동하여 전역 관리자 또는 보안 관리자로 로그인합니다.
Microsoft Defender XDR 데이터 내보내기 설정 페이지로 이동합니다.
데이터 내보내기 설정 추가를 선택합니다.
새 설정의 이름을 선택합니다.
Azure Storage에 이벤트 전달을 선택합니다.
스토리지 계정 리소스 ID를 입력합니다. 스토리지 계정 리소스 ID를 가져오려면 Azure Portal 스토리지 계정 페이지로 이동합니다. 그런 다음 속성 탭의 스토리지 계정 리소스 ID 아래에 있는 텍스트를 복사합니다.
스트리밍할 이벤트를 선택한 다음 저장을 선택합니다.
Azure Storage 계정의 이벤트 스키마
Blob 컨테이너는 각 이벤트 유형에 대해 만들어집니다. Blob에 있는 각 행의 스키마는 다음 JSON 파일입니다.
{
"time": "<The time WDATP received the event>"
"tenantId": "<Your tenant ID>"
"category": "<The Advanced Hunting table name with 'AdvancedHunting-' prefix>"
"properties": { <WDATP Advanced Hunting event as Json> }
}
각 Blob에는 여러 행이 포함됩니다. 각 행에는 이벤트 이름, 비즈니스용 Defender가 이벤트를 수신한 시간, 해당 이벤트가 속한 테넌트(테넌트에서만 이벤트 가져오기) 및 JSON 형식 속성의 이벤트가 포함됩니다. 엔드포인트용 Microsoft Defender 이벤트의 스키마에 대한 자세한 내용은 Microsoft Defender XDR 고급 헌팅을 사용하여 위협 사전 헌팅을 참조하세요.
참고 항목
- 엔드포인트용 Defender의 원시 데이터 스트리밍 API
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기