Corelight 데이터 통합 활성화

  • 아티클
  • 읽는 데 2분 걸림

적용 대상:

중요

일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다.

엔드포인트용 Microsoft Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

Microsoft는 조직 전체에서 IoT/OT 디바이스를 검색할 수 있도록 업계 최고의 NDR(개방형 네트워크 검색 및 응답) 플랫폼 공급자인 Corelight와 파트너십을 맺고 있습니다. Corelight 네트워크 어플라이언스에서 보낸 데이터를 사용하여 Microsoft 365 Defender 관리되지 않는 다른 디바이스 또는 외부 네트워크와의 통신을 포함하여 관리되지 않는 디바이스의 네트워크 활동에 대한 가시성을 높입니다.

이 데이터 원본을 사용하도록 설정하면 Corelight 네트워크 어플라이언스의 모든 이벤트가 Microsoft 365 Defender 전송됩니다. 엔드포인트용 Microsoft Defender 디바이스 인벤토리에서 사용할 수 있는 관리되지 않는 디바이스 타임라인에서 이러한 활동을 볼 수 있습니다. 자세한 내용은 디바이스 검색을 참조하세요.

필수 구성 요소

  1. Corelight 데이터 통합을 설정하려면 사용자에게 다음 역할이 있어야 합니다.
    • Azure Active Directory의 테넌트 전역 관리자
    • Microsoft Defender for IoT 통합에 사용할 Azure 구독의 보안 관리자
  2. 온보딩된 Defender for IoT 계획입니다. 자세한 내용은 엔드포인트용 Microsoft Defender 사용하여 Microsoft Defender for IoT 온보딩을 참조하세요.

Corelight 통합 사용

Corelight 통합을 사용하도록 설정하려면 다음 단계를 수행해야 합니다.

1단계: Corelight를 데이터 원본으로 켜기
2단계: Corelight에서 Microsoft 365 Defender 이벤트를 보낼 수 있는 권한 제공
3단계: Microsoft 365 Defender 데이터를 보내도록 Corelight 어플라이언스 구성

1단계: Corelight를 데이터 원본으로 켜기

  1. 포털의 https://security.microsoft.com 탐색 창에서 디바이스 검색 > 데이터 원본 설정을 > 선택합니다.

    Microsoft 365 Defender 포털의 데이터 원본 페이지

  2. Corelight 데이터를 M365D로 보내기를 선택하고 저장 을 선택합니다.

2단계: Corelight에서 Microsoft 365 Defender 이벤트를 보낼 수 있는 권한 제공

참고

조직의 리소스에 액세스할 수 있는 Corelight 권한을 부여하려면 전역 관리자여야 합니다.

  1. 테넌트 전역 관리자로 이 링크 로 이동하여 권한을 부여합니다.
  2. 포털로 이동하여 https://security.microsoft.com Microsoft 365 Defender 설정을 > 선택하고 테넌트 ID 를 기록해 둡니다. Corelight 어플라이언스 구성 시 이 정보가 필요합니다.

3단계: Microsoft 365 Defender 데이터를 보내도록 Corelight 어플라이언스 구성

참고

통합은 Corelight Sensor 소프트웨어 v25 이상에서 사용할 수 있습니다.

솔루션이 작동하려면 센서가 Defender 및 Corelight 클라우드 서비스 모두에 연결하려면 인터넷 연결이 필요합니다.

Corelight 웹 인터페이스에서 통합 사용

  1. Corelight 웹 인터페이스에서 센서 > 내보내 기로 이동합니다.

    kafka 내보내기

  2. Microsoft Defender로 내보내기를 사용하도록 설정합니다.

  3. Microsoft 356 Defender 테넌트 ID를 입력합니다.

  4. 필요에 따라 다음을 수행할 수 있습니다.

    • Zeek 로그를 제외로 설정합니다. 포함해야 하는 최소 로그 집합은 dns, conn, files, http, ssl, ssh, x509, snmp, smtp, ftp, sip, dhcp 및 notice입니다.
    • Microsoft Defender 로그 필터 를 만들도록 선택합니다.

  5. 변경 내용 적용 을 선택합니다.

corelight-client에서 통합 사용

  1. corelight-client에서 다음 명령을 사용하여 Microsoft Defender로 내보내 기를 사용하도록 설정합니다.

    corelight-client configuration update \
--bro.export.defender.enable True

  2. 테넌트 ID 설정

  3. 필요에 따라 다음 명령을 사용하여 특정 로그를 제외하거나 Microsoft Defender 로그 필터를 만들 수 있습니다. 포함해야 하는 최소 로그 집합은 dns, conn, files, http, ssl, ssh, x509, snmp, smtp, ftp, sip, dhcp 및 notice입니다.

      corelight-client configuration update \
 --bro.export.defender.exclude=<logs_to_exclude> \
 --bro.export.defender.filter=<logs_to_filter>

참고 항목