SIEM 도구를 엔드포인트용 Microsoft Defender 통합
적용 대상:
SIEM(보안 정보 및 이벤트 관리) 도구를 사용하여 경고 수집
참고
엔드포인트용 Microsoft Defender 경고는 디바이스에서 발생한 하나 이상의 의심스럽거나 악의적인 이벤트와 관련 세부 정보로 구성됩니다. 엔드포인트용 Microsoft Defender 경고 API는 경고 사용량에 대한 최신 API이며 각 경고에 대한 자세한 관련 증거 목록을 포함합니다. 자세한 내용은 경고 방법 및 속성 및 목록 경고를 참조하세요.
엔드포인트용 Microsoft Defender 환경에 설치된 특정 SIEM 솔루션 또는 커넥터를 나타내는 등록된 AAD 애플리케이션에 대해 OAuth 2.0 인증 프로토콜을 사용하여 AAD(Azure Active Directory)의 엔터프라이즈 테넌트에서 정보를 수집하는 SIEM(보안 정보 및 이벤트 관리) 도구를 지원합니다.
자세한 내용은 다음을 참조하세요.
- 엔드포인트용 Microsoft Defender API 라이선스 및 사용 약관
- 엔드포인트용 Microsoft Defender API에 액세스
- 헬로 월드 예제(Azure Active Directory에서 애플리케이션을 등록하는 방법을 설명합니다).
- 응용 프로그램 컨텍스트를 사용하여 액세스
엔드포인트용 Microsoft Defender 현재 다음 SIEM 솔루션 통합을 지원합니다.
- Microsoft 365 Defender 인시던트 및 경고 수집 및 인시던트 및 경고 REST API 엔드포인트용 Microsoft Defender
- Microsoft 365 Defender 이벤트 스트리밍 API에서 엔드포인트용 Microsoft Defender 이벤트 수집
Microsoft 365 Defender 인시던트 및 경고 수집 및 인시던트 및 경고 REST API 엔드포인트용 Microsoft Defender
Microsoft 365 Defender 인시던트 REST API에서 인시던트 수집
Microsoft 365 Defender 인시던트 API에 대한 자세한 내용은 인시던트 메서드 및 속성을 참조하세요.
엔드포인트용 Microsoft Defender 경고 REST API에서 경고 수집
엔드포인트용 Microsoft Defender 경고 API에 대한 자세한 내용은 경고 메서드 및 속성을 참조하세요.
엔드포인트용 Microsoft Defender SIEM 도구 통합
Splunk
지원하는 Splunk용 Microsoft 365 Defender 추가 기능 사용:
- 엔드포인트용 Microsoft Defender 경고 수집
- Splunk 내에서 엔드포인트용 Microsoft Defender 경고 업데이트
Splunk용 Microsoft 365 Defender 추가 기능에 대한 자세한 내용은 splunkbase를 참조하세요.
Datadog
Datadog와 엔드포인트 통합을 위한 Microsoft 365 Defender 다음을 지원합니다.
- 엔드포인트용 Microsoft Defender 경고 및 인시던트 수집
- 엔드포인트, 위협 및 취약성 및 소프트웨어에서 모니터링 메트릭을 사용하도록 설정하는 대시보드
통합에 대한 자세한 내용은 Datadog Marketplace를 참조하세요.
Micro Focus ArcSight
Microsoft 365 Defender 위한 새 SmartConnector는 엔드포인트용 Microsoft Defender 포함한 모든 Microsoft 365 Defender 제품의 경고를 포함하는 인시던트(인시던트)를 ArcSight로 수집하고 이를 CEF(Common Event Framework)에 매핑합니다.
새 ArcSight SmartConnector for Microsoft 365 Defender 대한 자세한 내용은 ArcSight 제품 설명서를 참조하세요.
SmartConnector는 Microsoft 365 Defender 대한 이전 FlexConnector를 대체합니다.
IBM QRadar
참고
엔드포인트용 Microsoft Defender 포함하는 Microsoft 365 Defender IBM QRadar 통합은 이제 Microsoft 365 Defender 호출하는 새 Microsoft 365 Defender DSM(디바이스 지원 모듈)에서 지원됩니다. 엔드포인트용 Microsoft Defender 포함하여 Microsoft 365 Defender 제품에서 스트리밍 이벤트 데이터를 수집할 수 있는 스트리밍 API입니다. 새 QRadar Microsoft 365 Defender DSM에 대한 자세한 내용은 IBM QRadar 제품 설명서를 참조하고 스트리밍 API 지원 이벤트 유형에 대한 자세한 내용은 지원되는 이벤트 유형을 참조하세요.
새 고객은 더 이상 이전 QRadar Microsoft Defender ATP DSM(디바이스 지원 모듈)을 사용하여 온보딩되지 않으며, 기존 고객은 모든 Microsoft 365 Defender 제품과의 단일 통합 지점으로 새 Microsoft 365 Defender DSM을 채택하는 것이 좋습니다.
Microsoft 365 Defender 이벤트 스트리밍 API에서 엔드포인트용 Microsoft Defender 이벤트 수집
Microsoft 365 Defender 스트리밍 이벤트 데이터에는 엔드포인트용 Microsoft Defender 및 기타 Microsoft Defender 제품의 경고 및 기타 이벤트가 포함됩니다. 이러한 이벤트는 Azure Storage 계정 또는 Azure Event Hubs 스트리밍될 수 있습니다. 이벤트 허브를 통한 통합 모델은 현재 Splunk 및 IBM QRadar에서 지원됩니다.