Microsoft Sentinel 데이터 커넥터
Microsoft Sentinel을 작업 영역에 온보딩한 후 데이터 커넥터를 사용하여 Microsoft Sentinel에 데이터 수집을 시작할 수 있습니다. Microsoft Sentinel은 실시간으로 통합하는 Microsoft 서비스용 커넥터와 함께 제공됩니다. 예를 들어 Microsoft Defender XDR 커넥터는 Office 365, Microsoft Entra ID, Microsoft Defender for Identity 및 클라우드용 Microsoft Defender 앱의 데이터를 통합하는 서비스 간 커넥터입니다.
기본 제공 커넥터를 사용하면 타사 제품에 대해 광범위한 보안 에코시스템에 연결할 수 있습니다. 예를 들어 Syslog, CEF(Common Event Format) 또는 REST API를 사용하여 Microsoft Sentinel에 데이터 원본을 연결합니다.
참고 항목
US Government 클라우드의 기능 가용성에 대한 자세한 내용은 US Government 고객을 위한 클라우드 기능 가용성의 Microsoft Sentinel 표를 참조하세요.
Important
Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.
솔루션과 함께 제공되는 데이터 커넥터
Microsoft Sentinel 솔루션은 데이터 커넥터, 통합 문서, 분석 규칙, 플레이북 등을 비롯한 보안 콘텐츠 패키지를 제공합니다. 데이터 커넥터를 사용하여 솔루션을 배포하는 경우 동일한 배포에서 관련 콘텐츠와 함께 데이터 커넥터를 가져옵니다.
Microsoft Sentinel 데이터 커넥터 페이지에 설치된 데이터 커넥터 또는 사용 중인 데이터 커넥터가 나열됩니다.
데이터 커넥터를 더 추가하려면 콘텐츠 허브에서 데이터 커넥터와 연결된 솔루션을 설치합니다. 자세한 내용은 다음 문서를 참조하세요.
- Microsoft Sentinel 데이터 커넥터 찾기
- Microsoft Sentinel 콘텐츠 및 솔루션 정보
- 기본적으로 제공되는 Microsoft Sentinel 콘텐츠 발견 및 관리
- Microsoft Sentinel 콘텐츠 허브 카탈로그
- Microsoft Sentinel용 ASIM(고급 보안 정보 모델) 기반 도메인 솔루션
데이터 커넥터를 위한 REST API 통합
많은 보안 솔루션은 제품 또는 서비스에서 로그 파일 및 기타 보안 데이터를 검색하기 위한 API 집합을 제공합니다. 이러한 API는 다음 방법 중 하나를 사용하여 Microsoft Sentinel에 연결합니다.
- 데이터 원본 API는 코드리스 커넥터 플랫폼을 사용하여 구성됩니다.
- 데이터 커넥터는 Azure Function 또는 Logic App의 일부로 Azure Monitor용 로그 수집 API를 사용합니다.
Azure Functions에 연결하는 방법에 대한 자세한 내용은 다음 문서를 참조하세요.
Logic Apps에 연결하는 방법에 대한 자세한 내용은 Logic Apps를 사용하여 연결을 참조 하세요.
데이터 커넥터를 위한 에이전트 기반 통합
Microsoft Sentinel은 Microsoft Sentinel의 기반이 되는 Azure Monitor 서비스에서 제공하는 에이전트를 사용하여 실시간 로그 스트리밍을 수행할 수 있는 모든 데이터 원본에서 데이터를 수집할 수 있습니다. 예를 들어 대부분의 온-프레미스 데이터 원본은 에이전트 기반 통합을 사용하여 연결합니다.
다음 섹션에서는 다양한 유형의 Microsoft Sentinel 에이전트 기반 데이터 커넥터에 대해 설명합니다. 각 Microsoft Sentinel 데이터 커넥터 페이지의 단계에 따라 에이전트 기반 메커니즘을 사용하여 연결을 구성합니다.
Syslog 및 CEF(Common Event Format)
AMA(Azure Monitor 에이전트)를 사용하여 Linux 기반 Syslog 지원 디바이스에서 Microsoft Sentinel로 이벤트를 스트리밍할 수 있습니다. 로그 형식은 다양하지만 대부분의 원본은 CEF 기반 형식을 지원합니다. 디바이스 유형에 따라 에이전트는 디바이스에 직접 설치되거나 전용 Linux 기반 로그 전달자에 설치됩니다. AMA는 UDP를 통해 Syslog 디먼으로부터 일반 Syslog 또는 CEF 이벤트 메시지를 수신합니다. Syslog 디먼은 버전에 따라 TCP 또는 UDS(Unix Domain Sockets)를 통해 통신하면서 내부적으로 에이전트에 이벤트를 전달합니다. 그런 다음 AMA는 이러한 이벤트를 Microsoft Sentinel 작업 영역으로 전송합니다.
다음은 Microsoft Sentinel이 Syslog 데이터를 스트리밍하는 방법을 보여 주는 간단한 흐름입니다.
- 디바이스의 기본 제공 Syslog 디먼은 지정된 형식의 로컬 이벤트를 수집하고 이벤트를 로컬로 에이전트에 전달합니다.
- 에이전트는 이벤트를 Log Analytics 작업 영역으로 스트리밍합니다.
- 성공적으로 구성되면 Syslog 메시지가 Log Analytics Syslog 테이블에 표시되고 CEF 메시지는 CommonSecurityLog 테이블에 표시됩니다.
자세한 내용은 Microsoft Sentinel용 AMA 커넥터를 통한 Syslog 및 CEF(Common Event Format)를 참조하세요.
사용자 지정 로그
일부 데이터 원본의 경우 Log Analytics 사용자 지정 로그 컬렉션 에이전트를 사용하여 Windows 또는 Linux 컴퓨터에서 로그를 파일로 수집할 수 있습니다.
각 Microsoft Sentinel 데이터 커넥터 페이지의 단계에 따라 Log Analytics 사용자 지정 로그 수집 에이전트를 사용하여 연결합니다. 성공적으로 구성되면 데이터가 사용자 지정 테이블에 나타납니다.
자세한 내용은 AMA 데이터 커넥터를 통한 사용자 지정 로그 - 특정 애플리케이션에서 Microsoft Sentinel로 데이터 수집 구성을 참조 하세요.
데이터 커넥터를 위한 서비스 간 통합
Microsoft Sentinel은 Azure 기반을 사용하여 Microsoft 서비스와 Amazon Web Services에 대해 즉시 사용 가능한 서비스 간 지원을 제공합니다.
자세한 내용은 다음 문서를 참조하세요.
데이터 커넥터 지원
Microsoft와 다른 조직에서 모두 Microsoft Sentinel 데이터 커넥터를 작성합니다. 각 데이터 커넥터에는 Microsoft Sentinel의 데이터 커넥터 페이지에 나열된 다음 지원 유형 중 하나가 있습니다.
지원 유형 | 설명 |
---|---|
Microsoft 지원 | 적용 대상:
Microsoft 이외의 당사자가 작성한 파트너 또는 커뮤니티 지원 데이터 커넥터를 지원합니다. |
파트너 지원 | Microsoft 이외의 당사자가 작성한 데이터 커넥터에 적용됩니다. 파트너 회사는 이러한 데이터 커넥터에 대한 지원 또는 유지 관리를 제공합니다. 파트너 회사는 독립 소프트웨어 공급업체, 관리형 서비스 공급자(MSP/MSSP), SI(시스템 통합자) 또는 해당 데이터 커넥터의 Microsoft Sentinel 페이지에 연락처 정보가 제공된 모든 조직일 수 있습니다. 파트너 지원 데이터 커넥터와 관련된 문제는 지정된 데이터 커넥터 지원 담당자에게 문의하세요. |
커뮤니티 지원 | Microsoft Sentinel의 데이터 커넥터 페이지에 데이터 커넥터 지원 및 유지 관리를 위한 연락처가 나열되지 않은 파트너 개발자 또는 Microsoft가 작성한 데이터 커넥터에 적용됩니다. 해당 데이터 커넥터와 관련된 질문이나 이슈가 있는 경우 Microsoft Sentinel GitHub 커뮤니티에서 이슈를 제출할 수 있습니다. |
자세한 내용은 데이터 커넥터 지원 찾기를 참조하세요.
다음 단계
데이터 커넥터에 대한 자세한 내용은 다음 문서를 참조하세요.
- 데이터 커넥터를 사용하여 Microsoft Sentinel에 데이터 원본 연결
- Microsoft Sentinel 데이터 커넥터 찾기
- Microsoft Sentinel 사용자 지정 커넥터를 만들기 위한 리소스
Microsoft Sentinel에 데이터 커넥터를 배포하기 위한 Bicep, Azure Resource Manager, Terraform의 기본 IaC(Infrastructure as Code) 참조는 Microsoft Sentinel 데이터 커넥터 IaC 참조를 참조하세요.