Microsoft Sentinel 통합(미리 보기)

  • 아티클
  • 읽는 데 10분 걸림

참고

  • Microsoft Cloud App Security 이름이 바뀌었습니다. 이제 Microsoft Defender for Cloud Apps 호출되었습니다. 앞으로 몇 주 안에 여기와 관련 페이지에서 스크린샷과 지침을 업데이트할 예정입니다. 변경에 대한 자세한 내용은 이 공지 사항을 참조하세요. Microsoft 보안 서비스의 최근 이름 바꾸기에 대한 자세한 내용은 Microsoft Ignite 보안 블로그를 참조하세요.

  • Microsoft Defender for Cloud Apps 이제 Microsoft 365 Defender 일부입니다. Microsoft 365 Defender 포털을 사용하면 보안 관리자가 한 위치에서 보안 작업을 수행할 수 있습니다. 이렇게 하면 워크플로가 간소화되고 다른 Microsoft 365 Defender 서비스의 기능이 추가됩니다. Microsoft 365 Defender Microsoft ID, 데이터, 디바이스, 앱 및 인프라 전반에서 보안을 모니터링하고 관리하는 가정이 될 것입니다. 이러한 변경에 대한 자세한 내용은 Microsoft 365 Defender Microsoft Defender for Cloud Apps 참조하세요.

Microsoft Sentinel(확장 가능한 클라우드 네이티브 SIEM 및 SOAR)과 Microsoft Defender for Cloud Apps 통합하여 경고 및 검색 데이터를 중앙 집중식으로 모니터링할 수 있습니다. Microsoft Sentinel과 통합하면 일반적인 보안 워크플로를 유지 관리하고, 보안 절차를 자동화하고, 클라우드 기반 이벤트와 온-프레미스 이벤트 간의 상관 관계를 유지하면서 클라우드 애플리케이션을 더 잘 보호할 수 있습니다.

Microsoft Sentinel 사용의 이점은 다음과 같습니다.

  • Log Analytics에서 제공하는 더 긴 데이터 보존.
  • 기본 시각화입니다.
  • Microsoft Power BI 또는 Microsoft Sentinel 통합 문서와 같은 도구를 사용하여 조직의 요구에 맞는 고유한 검색 데이터 시각화를 만듭니다.

추가 통합 솔루션은 다음과 같습니다.

  • 제네릭 SIEM - 클라우드용 Defender 앱을 일반 SIEM 서버와 통합합니다. 제네릭 SIEM과 통합하는 방법에 대한 자세한 내용은 제네릭 SIEM 통합을 참조하세요.
  • Microsoft 보안 그래프 API - 여러 보안 공급자를 연결하는 단일 프로그래밍 인터페이스를 제공하는 중간 서비스(또는 브로커)입니다. 자세한 내용은 Microsoft Graph 보안 API 사용하여 보안 솔루션 통합을 참조하세요.

통합 방법

SIEM과 통합은 다음 두 단계로 수행됩니다.

  1. 클라우드용 Defender 앱에서 설정합니다.
  2. Microsoft Sentinel에서 설정합니다.

참고

이전에 통합을 수행한 경우에는 Microsoft Sentinel을 추가하는 옵션을 사용할 수 없습니다.

필수 구성 요소

Microsoft Sentinel과 통합하려면 다음을 수행합니다.

  • 유효한 Microsoft Sentinel 라이선스가 있어야 합니다.
  • 테넌트에서 전역 관리자 또는 보안 관리자여야 합니다.

Microsoft Sentinel과 통합

  1. 클라우드용 Defender 앱 포털설정 코그 아래에서 보안 확장을 선택합니다.

  2. SIEM 에이전트 탭에서 추가(+)를 선택한 다음, Microsoft Sentinel을 선택합니다.

    Screenshot showing Add SIEM integration menu.

  3. 마법사에서 Microsoft Sentinel로 전달할 데이터 형식을 선택합니다. 다음과 같이 통합을 구성할 수 있습니다.

    1. 경고: Microsoft Sentinel을 사용하도록 설정하면 경고가 자동으로 설정됩니다.
    2. 검색 로그: 슬라이더를 사용하여 슬라이더를 사용하도록 설정하고 사용하지 않도록 설정합니다. 기본적으로 모든 항목이 선택된 다음 적용을 사용하여 드롭다운을 사용하여 Microsoft Sentinel로 전송되는 검색 로그를 필터링합니다.

    Screenshot showing start page of Configure Microsoft Sentinel integration.

  4. 다음을 선택하고 Microsoft Sentinel로 계속 이동하여 통합을 완료합니다. Microsoft Sentinel 구성에 대한 자세한 내용은 클라우드용 Defender 앱용 Microsoft Sentinel 데이터 커넥터를 참조하세요.

    Screenshot showing finish page of Configure Microsoft Sentinel integration.

참고

새 검색 로그는 일반적으로 클라우드용 Defender 앱 포털에서 구성한 후 15분 이내에 Microsoft Sentinel에 표시됩니다. 그러나 시스템 환경 조건에 따라 시간이 더 오래 걸릴 수 있습니다. 자세한 내용은 분석 규칙의 수집 지연 처리를 참조하세요.

Microsoft Sentinel의 경고 및 검색 로그

통합이 완료되면 Microsoft Sentinel에서 클라우드용 Defender 앱 경고 및 검색 로그를 볼 수 있습니다.

Microsoft Sentinel의 로그 아래의 보안 Insights 아래에서 다음과 같이 클라우드용 Defender 앱 데이터 형식에 대한 로그를 찾을 수 있습니다.

데이터 형식 테이블
검색 로그 McasShadowItReporting
경고 SecurityAlert

다음 표에서는 McasShadowItReporting 스키마의 각 필드에 대해 설명합니다.

필드 Type Description
TenantId String 작업 영역 ID b459b4u5-912x-46d5-9cb1-p43069212nb4
SourceSystem String 원본 시스템 – 정적 값 Azure
TimeGenerated [UTC] DateTime 검색 데이터 날짜 2019-07-23T11:00:35.858Z
StreamName String 특정 스트림의 이름 마케팅 부서
TotalEvents 정수 세션당 총 이벤트 수 122
BlockedEvents 정수 차단된 이벤트 수 0
UploadedBytes 정수 업로드된 데이터의 양 1,514,874
TotalBytes 정수 총 데이터 크기 4,067,785
DownloadedBytes 정수 다운로드한 데이터의 양 2,552,911
IpAddress String 원본 IP 주소 127.0.0.0
UserName String 사용자 이름 Raegan@contoso.com
EnrichedUserName String Azure AD 사용자 이름을 사용하여 보강된 사용자 이름 Raegan@contoso.com
AppName String 클라우드 앱의 이름 비즈니스용 Microsoft OneDrive
AppId 정수 클라우드 앱 식별자 15600
AppCategory String 클라우드 앱의 범주 클라우드 스토리지
AppTags 문자열 배열 앱에 대해 정의된 기본 제공 및 사용자 지정 태그 ["제재됨"]
AppScore 정수 비위험 앱의 점수인 0-10, 10 규모 앱의 위험 점수 10
Type String 로그 유형 – 정적 값 McasShadowItReporting

Microsoft Sentinel에서 클라우드용 Defender 앱 데이터와 함께 Power BI 사용

통합이 완료되면 다른 도구에서 Microsoft Sentinel에 저장된 클라우드용 Defender 앱 데이터를 사용할 수도 있습니다.

이 섹션에서는 Microsoft Power BI 사용하여 데이터를 쉽게 형성하고 결합하여 조직의 요구 사항을 충족하는 보고서 및 대시보드를 빌드하는 방법을 설명합니다.

다음 단계를 사용하여 빠르게 시작할 수 있습니다.

  1. Power BI Microsoft Sentinel에서 클라우드용 Defender 앱 데이터에 대한 쿼리를 가져옵니다. 자세한 내용은 Power BI로 Azure Monitor 로그 데이터 가져오기를 참조하세요.

  2. 클라우드용 Defender 앱 섀도 IT 검색 앱을 설치하고 검색 로그 데이터에 연결하여 기본 제공 섀도 IT 검색 대시보드를 봅니다.

    참고

    현재 앱은 Microsoft AppSource에 게시되지 않습니다. 따라서 앱을 설치할 수 있는 권한을 Power BI 관리자에게 문의해야 할 수 있습니다.

    Screenshot showing the Shadow IT Discovery dashboard.

  3. 필요에 따라 Power BI Desktop 사용자 지정 대시보드를 빌드하고 조직의 시각적 분석 및 보고 요구 사항에 맞게 조정합니다.

클라우드용 Defender 앱 커넥트

  1. Power BI 앱을 선택한 다음, 섀도 IT 검색 앱을 선택합니다.

  2. 새 앱 페이지의 시작커넥트 선택합니다.

    Screenshot showing connect app data page.

  3. 작업 영역 ID 페이지에서 로그 분석 개요 페이지에 표시된 대로 Microsoft Sentinel 작업 영역 ID를 입력한 다음, 다음을 선택합니다.

    Screenshot showing request for workspace ID.

  4. 인증 페이지에서 인증 방법 및 개인 정보 수준을 지정한 다음 , 로그인을 선택합니다.

    Screenshot showing the authentication page.

  5. 데이터를 연결한 후 작업 영역 데이터 세트 탭으로 이동하여 새로 고침을 선택합니다. 그러면 보고서가 사용자 고유의 데이터로 업데이트됩니다.

문제가 발생하는 경우 지원받을 수 있습니다. 제품 문제에 대해 도움이나 지원을 받으려면 지원 티켓을 여세요.