끝점용 Microsoft Defender와 SIEM 도구 통합

적용 대상:

SIEM(보안 정보 및 이벤트 관리) 도구를 사용하여 경고 수집

참고

끝점용 Microsoft Defender 경고는 장치에서 발생한 하나 이상의 의심스러우거나 악의적인 이벤트와 관련 세부 정보로 구성됩니다. 끝점 경고용 Microsoft Defender 경고 API는 경고 소비를 위한 최신 API로, 각 경고에 대한 자세한 관련 증거 목록을 포함 합니다. 자세한 내용은 Alert 메서드 및 속성 및 목록 경고를 참조하세요.

Microsoft Defender for Endpoint는 환경에 설치된 특정 SIEM 솔루션 또는 커넥터를 나타내는 등록된 AAD 응용 프로그램에 대해 OAuth 2.0 인증 프로토콜을 사용하여 Azure Active Directory(AAD)의 엔터프라이즈 테넌트에서 정보를 수집하는 SIEM(보안 정보 및 이벤트 관리) 도구를 지원합니다.

자세한 내용은 다음을 참조하세요.

Microsoft Defender for Endpoint는 현재 다음과 같은 SIEM 솔루션 통합을 지원합니다.

엔드포인트 인시던트 및 Microsoft Defender에서 인시던트 Microsoft 365 Defender 및 경고 REST API를 알림

인시던트 REST API에서 Microsoft 365 Defender 인시던트 검색

인시던트 API에 대한 Microsoft 365 Defender 인시던트 메서드 및 속성을 참조하세요.

끝점 경고 REST API에 대한 Microsoft Defender의 경고 검색

끝점 경고 API용 Microsoft Defender에 대한 자세한 내용은 경고 메서드 및 속성을 참조하세요.

Microsoft Defender for Endpoint와 SIEM 도구 통합

Splunk

다음을 Microsoft 365 Defender Splunk용 추가 기능 사용:

  • 끝점 경고에 대한 Microsoft Defender 검사
  • Splunk 내에서 끝점용 Microsoft Defender의 경고 업데이트

Splunk용 추가 Microsoft 365 Defender 자세한 내용은 splunkbase를 참조하세요.

마이크로 포커스 ArcSight

새로운 Microsoft 365 Defender SmartConnector는 Microsoft Defender for Endpoint를 포함하여 모든 Microsoft 365 Defender 제품의 경고를 포함하는 인시던트가 ArcSight에 추가되어 CEF(Common Event Framework)에 매핑됩니다.

새 ArcSight SmartConnector에 대한 자세한 Microsoft 365 Defender ArcSight 제품 설명서를 참조하세요.

SmartConnector는 이전 FlexConnector에서 이전 FlexConnector를 Microsoft 365 Defender.  

IBM QRadar

참고

끝점용 Microsoft Defender와 IBM QRadar의 통합은 이제 웹에서 스트리밍 이벤트 데이터를 수집할 수 있도록 하는 Microsoft 365 Defender Streaming API를 호출하는 새로운 Microsoft 365 Defender DSM(Microsoft 365 Defender 장치 지원 모듈)에서 지원됩니다Microsoft 365 Defender 제품( 끝점용 Microsoft Defender 포함) 지원되는 이벤트 유형에 대한 자세한 내용은 지원되는 이벤트 유형을 참조하세요. 새 고객은 더 이상 이전 QRadar Microsoft Defender ATP DSM(장치 지원 모듈)을 사용하여 온보딩되지 않습니다. 기존 고객은 새로운 Microsoft 365 Defender DSM을 모든 Microsoft 365 Defender 제품과의 단일 통합 지점으로 채택하는 것이 Microsoft 365 Defender 있습니다.

이벤트 스트리밍 API에서 끝점 이벤트에 대한 Microsoft Defender Microsoft 365 Defender

Microsoft 365 Defender 데이터에는 끝점용 Microsoft Defender 및 기타 Microsoft Defender 제품의 경고 및 기타 이벤트가 포함됩니다. 이러한 이벤트는 Azure Storage Azure 이벤트 허브로 스트리밍될 수 있습니다. 이벤트 허브를 통한 통합 모델은 현재 Splunk 및 IBM QRadar에서 지원됩니다.

자세한 내용은 SIEM 통합 Microsoft 365 Defender 참조하세요.