다음을 통해 공유

업로드 API를 사용하여 위협 인텔리전스 플랫폼을 Microsoft Sentinel에 연결(미리 보기)

  • 아티클
  • 적용 대상:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

많은 조직에서 TIP(위협 인텔리전스 플랫폼) 솔루션을 사용하여 다양한 원본의 위협 인텔리전스 피드를 집계합니다. 집계된 피드에서 데이터는 네트워크 장치, EDR/XDR 솔루션 또는 Microsoft Sentinel과 같은 SIEM(보안 정보 및 이벤트 관리) 솔루션과 같은 보안 솔루션에 적용하도록 큐레이팅됩니다. 사이버 위협 정보를 설명하는 업계 표준을 "구조적 위협 정보 식" 또는 STIX라고 합니다. STIX 개체를 지원하는 업로드 API를 사용하면 보다 표현적인 방법을 사용하여 위협 인텔리전스를 Microsoft Sentinel로 가져옵니다.

업로드 API는 데이터 커넥터 없이 Microsoft Sentinel에 위협 인텔리전스를 수집합니다. 이 문서에서는 연결해야 하는 항목을 설명합니다. API 세부 정보에 대한 자세한 내용은 참조 문서 Microsoft Sentinel 업로드 API를 참조하세요.

위협 인텔리전스 가져오기 경로를 보여 주는 스크린샷입니다.

위협 인텔리전스에 대한 자세한 내용은 위협 인텔리전스를 참조하세요.

Important

Microsoft Sentinel 위협 인텔리전스 업로드 API는 미리 보기로 제공됩니다. 베타, 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 자세한 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

참고 항목

US Government 클라우드의 기능 가용성에 대한 자세한 내용은 US Government 고객을 위한 클라우드 기능 가용성의 Microsoft Sentinel 표를 참조하세요.

필수 조건

  • 위협 인텔리전스 STIX 개체를 저장하려면 Microsoft Sentinel 작업 영역에 대한 읽기 및 쓰기 권한이 있어야 합니다.
  • Microsoft Entra 애플리케이션을 등록해야 합니다.
  • Microsoft Entra 애플리케이션에는 작업 영역 수준에서 Microsoft Sentinel 기여자 역할이 부여되어야 합니다.

지침

통합 TIP 또는 사용자 지정 위협 인텔리전스 솔루션에서 위협 인텔리전스 STIX 개체를 Microsoft Sentinel로 가져오려면 다음 단계를 수행합니다.

  1. Microsoft Entra 애플리케이션을 등록한 다음 해당 애플리케이션 ID를 기록합니다.
  2. Microsoft Entra 애플리케이션에 대한 클라이언트 비밀을 생성하고 기록합니다.
  3. Microsoft Entra 애플리케이션에 Microsoft Sentinel 기여자 역할 또는 동등한 역할을 할당합니다.
  4. TIP 솔루션 또는 사용자 지정 애플리케이션을 구성합니다.

Microsoft Entra 애플리케이션 등록

기본 사용자 역할 권한이 있으면 사용자가 애플리케이션 등록을 만들 수 있습니다. 이 설정이 없음으로 전환된 경우 Microsoft Entra에서 애플리케이션을 관리할 수 있는 권한이 필요합니다. 다음 Microsoft Entra 역할에는 필요한 권한이 포함됩니다.

  • 애플리케이션 관리자
  • 애플리케이션 개발자
  • 클라우드 애플리케이션 관리자

Microsoft Entra 애플리케이션 등록에 대한 자세한 내용은 애플리케이션 등록을 참조하세요.

애플리케이션을 등록한 후 애플리케이션의 개요 탭에서 애플리케이션(클라이언트) ID를 기록합니다.

애플리케이션에 역할 할당

업로드 API는 작업 영역 수준에서 위협 인텔리전스 개체를 수집하며 Microsoft Sentinel 기여자의 역할이 필요합니다.

  1. Azure Portal에서 Log Analytics 작업 영역으로 이동합니다.

  2. 액세스 제어(IAM) 를 선택합니다.

  3. 추가>역할 할당 추가를 선택합니다.

  4. 역할 탭에서 Microsoft Sentinel 기여자 역할을 선택한 다음 다음을 선택합니다.

  5. 구성원 탭에서 액세스 권한 할당>사용자, 그룹 또는 서비스 주체를 선택합니다.

  6. 구성원을 선택합니다. 기본적으로 Microsoft Entra 애플리케이션은 사용 가능한 옵션에 표시되지 않습니다. 애플리케이션을 찾으려면 해당 이름으로 검색합니다.

    작업 영역 수준에서 애플리케이션에 할당된 Microsoft Sentinel 기여자 역할을 보여 주는 스크린샷입니다.

  7. 검토 + 할당을 선택합니다.

애플리케이션에 역할을 할당하는 방법에 대한 자세한 내용은 애플리케이션에 역할 할당을 참조하세요.

위협 인텔리전스 플랫폼 솔루션 또는 사용자 지정 애플리케이션 구성

업로드 API에는 다음 구성 정보가 필요합니다.

필요한 경우 통합 TIP 또는 사용자 지정 솔루션의 구성에 이러한 값을 입력합니다.

  1. 위협 인텔리전스를 업로드 API에 제출합니다. 자세한 내용은 Microsoft Sentinel 업로드 API를 참조하세요.
  2. 몇 분 내에 위협 인텔리전스 개체가 Microsoft Sentinel 작업 영역으로 전달되기 시작해야 합니다. Microsoft Sentinel 메뉴에서 액세스할 수 있는 위협 인텔리전스 페이지에서 새 STIX 개체를 찾습니다.

관련 콘텐츠

이 게시물에서는 TIP를 Microsoft Sentinel에 연결하는 방법을 알아보았습니다. Microsoft Sentinel에서 위협 인텔리전스를 사용하는 방법에 대한 자세한 내용은 다음 문서를 참조하세요.