SIEM 도구를 Microsoft 365 Defender와 통합

적용 대상:

• 엔드포인트용 Microsoft Defender
• Microsoft 365 Defender

SIEM(보안 정보 및 이벤트 관리) 도구를 사용하여 인시던트 및 스트리밍 이벤트 데이터를 Microsoft 365 Defender 끌어오기

참고

• Microsoft 365 Defender 인시던트(incidents)는 상관 관계가 있는 경고 및 해당 증거의 컬렉션으로 구성됩니다.
• Microsoft 365 Defender 스트리밍 API는 이벤트 데이터를 Microsoft 365 Defender 이벤트 허브 또는 Azure Storage 계정으로 스트리밍합니다.

Microsoft 365 Defender 환경에 설치된 특정 SIEM 솔루션 또는 커넥터를 나타내는 등록된 AAD 애플리케이션에 대해 OAuth 2.0 인증 프로토콜을 사용하여 AAD(Azure Active Directory)의 엔터프라이즈 테넌트에서 정보를 수집하는 SIEM(보안 정보 및 이벤트 관리) 도구를 지원합니다.

자세한 내용은 다음을 참조하세요.

• Microsoft 365 Defender API 라이선스 및 사용 약관
• Microsoft 365 Defender API에 액세스
• Hello World 예제
• 응용 프로그램 컨텍스트를 사용하여 액세스

보안 정보를 수집하기 위한 두 가지 기본 모델이 있습니다.

1. Azure의 REST API에서 Microsoft 365 Defender 인시던트 및 포함된 경고를 수집합니다.

2. Azure Event Hubs 또는 Azure Storage 계정을 통해 스트리밍 이벤트 데이터를 수집합니다.

Microsoft 365 Defender 현재 다음 SIEM 솔루션 통합을 지원합니다.

• 인시던트 REST API에서 인시던트 수집
• Event Hub를 통해 스트리밍 이벤트 데이터 수집

인시던트 REST API에서 인시던트 수집

인시던트 스키마

포함된 경고 및 증거 엔터티 메타데이터를 포함하여 Microsoft 365 Defender 인시던트 속성에 대한 자세한 내용은 스키마 매핑을 참조하세요.

Splunk

다음을 지원하는 Microsoft Security용 완전히 지원되는 새로운 Splunk 추가 기능 사용:

• Splunk의 CIM(일반 정보 모델)에 매핑되는 다음 제품의 경고가 포함된 인시던트 수집:

  • Microsoft 365 Defender
  • 끝점용 Microsoft Defender
  • Microsoft Defender for Identity 및 Azure Active Directory ID 보호
  • Microsoft Defender for Cloud Apps

• 엔드포인트용 Defender 경고 수집(엔드포인트용 Defender의 Azure 엔드포인트에서) 및 이러한 경고 업데이트

• Microsoft 365 Defender 인시던트 및/또는 엔드포인트용 Microsoft Defender 경고 및 각 대시보드 업데이트에 대한 지원이 Splunk용 Microsoft 365 앱으로 이동되었습니다.

자세한 내용은 다음을 참조하세요.

• Microsoft 보안용 Splunk 추가 기능, Splunkbase의 Microsoft 보안 추가 기능 참조

• Splunk용 Microsoft 365 앱, Splunkbase의 Microsoft 365 앱 참조

Micro Focus ArcSight

Microsoft 365 Defender 위한 새 SmartConnector는 인시던트가 ArcSight에 수집되고 이를 CEF(Common Event Framework)에 매핑합니다.

새 ArcSight SmartConnector for Microsoft 365 Defender 대한 자세한 내용은 ArcSight 제품 설명서를 참조하세요.

SmartConnector는 사용되지 않는 엔드포인트용 Microsoft Defender 대한 이전 FlexConnector를 대체합니다.

Event Hubs를 통해 스트리밍 이벤트 데이터 수집

먼저 AAD 테넌트에서 Event Hubs 또는 Azure Storage 계정으로 이벤트를 스트리밍해야 합니다. 자세한 내용은 스트리밍 API를 참조하세요.

스트리밍 API에서 지원하는 이벤트 유형에 대한 자세한 내용은 지원되는 스트리밍 이벤트 유형을 참조하세요.

Splunk

Microsoft Cloud Services Splunk 추가 기능을 사용하여 Azure Event Hubs 이벤트를 수집합니다.

Microsoft Cloud Services Splunk 추가 기능에 대한 자세한 내용은 Splunkbase의 Microsoft Cloud Services 추가 기능을 참조하세요.

IBM QRadar

Event Hubs 또는 Azure Storage 계정을 통해 Microsoft 365 Defender 제품에서 스트리밍 이벤트 데이터를 수집할 수 있는 Microsoft 365 Defender 스트리밍 API를 호출하는 새 IBM QRadar Microsoft 365 Defender DSM(디바이스 지원 모듈)을 사용합니다. 지원되는 이벤트 유형에 대한 자세한 내용은 지원되는 이벤트 유형을 참조하세요.