Microsoft Sentinel 사용자 지정 커넥터를 만들기 위한 리소스
Microsoft Sentinel은 Azure 서비스 및 외부 솔루션을 위한 다양한 기본 제공 커넥터를 제공하며 전용 커넥터 없이 일부 원본에서 데이터를 수집할 수도 있습니다.
사용 가능한 기존 솔루션을 사용하여 Microsoft Sentinel에 데이터 원본을 연결할 수 없는 경우 고유한 데이터 원본 커넥터를 만드는 것이 좋습니다.
지원되는 커넥터의 전체 목록은 Microsoft Sentinel 데이터 커넥터 찾기를 참조하세요.
사용자 지정 커넥터 방법 비교
다음 표에서는 이 문서에서 설명하는 사용자 지정 커넥터를 만들기 위한 각 방법에 대한 필수 정보를 비교합니다. 각 방법에 대한 자세한 내용을 보려면 표에서 링크를 선택합니다.
| 방법 설명 | 기능 | 서버를 사용하지 않음 | 복잡성 |
|---|---|---|---|
| CCP(코드리스 커넥터 플랫폼) 기술이 뛰어나지 않은 대상 그룹이 고급 개발 대신 구성 파일을 사용하여 SaaS 커넥터를 만드는 데 가장 적합합니다. |
코드에서 사용할 수 있는 모든 기능을 지원합니다. | 예 | 낮음, 간단한 코드리스 개발 |
| Azure Monitor 에이전트 온-프레미스 및 IaaS 원본에서 파일을 수집하는 데 가장 적합 |
파일 컬렉션, 데이터 변환 | 아니요 | 낮음 |
| Logstash 온-프레미스 및 IaaS 원본, 플러그 인을 사용할 수 있는 원본 및 이미 Logstash에 익숙한 조직에 가장 적합합니다. |
Azure Monitor 에이전트의 모든 기능을 지원합니다. | 아니요, VM 또는 VM 클러스터를 실행해야 합니다. | 낮음, 플러그 인을 사용하는 많은 시나리오 지원 |
| 논리 앱 높은 비용, 대용량 데이터의 경우 방지 볼륨이 낮은 클라우드 원본에 가장 적합 |
코드리스 프로그래밍을 사용하면 알고리즘 구현에 대한 지원 없이 유연성을 제한할 수 있습니다. 사용 가능한 작업에서 요구 사항을 지원하지 않는 경우 사용자 지정 작업을 만들면 복잡성이 추가될 수 있습니다. |
예 | 낮음, 간단한 코드리스 개발 |
| Azure Monitor의 로그 수집 API ISV의 통합 구현 및 고유한 컬렉션 요구 사항에 가장 적합 |
코드에서 사용할 수 있는 모든 기능을 지원합니다. | 구현에 따라 달라집니다. | 높음 |
| Azure Functions 대용량 클라우드 원본과 고유한 컬렉션 요구 사항에 가장 적합합니다. |
코드에서 사용할 수 있는 모든 기능을 지원합니다. | 예 | 높음, 프로그래밍 지식 필요 |
팁
동일한 커넥터에 대해 Logic Apps 및 Azure Functions를 사용한 비교는 다음을 참조하세요.
- Web Application Firewall 로그를 Microsoft Sentinel로 신속하게 수집
- Office 365(Microsoft Sentinel GitHub 커뮤니티): 논리 앱 커넥터 | Azure Function 커넥터
코드리스 커넥터 플랫폼을 사용하여 연결
CCP(Codeless Connector Platform)는 고객과 파트너가 모두 사용하고 사용자 고유의 작업 영역에 배포하거나 Microsoft Sentinel의 콘텐츠 허브에 대한 솔루션으로 배포할 수 있는 구성 파일을 제공합니다.
CCP를 사용하여 만든 커넥터는 서비스 설치 요구 사항이 없는 완전한 SaaS로, 상태 모니터링과 Microsoft Sentinel의 전체 지원도 포함합니다.
자세한 내용은 Microsoft Sentinel용 코드리스 커넥터 만들기를 참조하세요.
Azure Monitor 에이전트를 사용하여 연결
데이터 원본이 텍스트 파일에 이벤트를 전달하는 경우 Azure Monitor 에이전트를 사용하여 사용자 지정 커넥터를 만드는 것이 좋습니다.
자세한 내용은 Azure Monitor 에이전트를 사용하여 텍스트 파일에서 로그 수집을 참조하세요.
이 방법의 예제는 Azure Monitor 에이전트를 사용하여 JSON 파일에서 로그 수집을 참조하세요.
Logstash로 연결
Logstash를 잘 알고 있는 경우 Microsoft Sentinel용 Logstash 출력 플러그 인에서 Logstash를 사용하여 사용자 지정 커넥터를 만드는 것이 좋습니다.
Microsoft Sentinel Logstash 출력 플러그 인을 통해 Logstash 입력 및 필터링 플러그 인을 사용하고 Microsoft Sentinel을 Logstash 파이프라인의 출력으로 구성할 수 있습니다. Logstash에는 Event Hubs, Apache Kafka, 파일, 데이터베이스 및 클라우드 서비스와 같은 다양한 원본에서 입력을 사용할 수 있도록 하는 많은 플러그 인 라이브러리가 있습니다. 필터링 플러그 인을 사용하여 이벤트를 구문 분석하고, 불필요한 이벤트를 필터링하고, 값을 난독 처리합니다.
Logstash를 사용자 지정 커넥터로 사용하는 예제는 다음을 참조하세요.
유용한 Logstash 플러그 인의 예제는 다음을 참조하세요.
팁
Logstash는 클러스터를 사용하여 크기가 조정된 데이터 수집도 가능합니다. 자세한 내용은 대규모로 부하가 분산된 Logstash VM 사용을 참조하세요.
Logic Apps로 연결
Azure Logic Apps를 사용하여 Microsoft Sentinel용 서버리스 사용자 지정 커넥터를 만들 수 있습니다.
참고 항목
Logic Apps를 사용하여 서버리스 커넥터를 만드는 것이 편리할 수 있지만, 커넥터에 대해 Logic Apps를 사용하면 대용량 데이터에 대해 비용이 많이 들 수 있습니다
이 방법은 볼륨이 낮은 데이터 원본이나 데이터 업로드 보강에만 사용하는 것이 좋습니다.
다음 트리거 중 하나를 사용하여 Logic Apps를 시작합니다.
트리거 설명 되풀이 작업 예를 들어 특정 파일, 데이터베이스 또는 외부 API에서 정기적으로 데이터를 검색하도록 논리 앱을 예약합니다.
자세히 알아보려면 Azure Logic Apps에서 되풀이 작업 및 워크플로를 만들고 예약하고 실행하는 방법을 참조하세요.주문형 트리거 수동 데이터 수집 및 테스트를 위해 요청 시 논리 앱을 실행합니다.
자세한 내용은 HTTPS 엔드포인트를 사용하여 논리 앱 호출, 트리거 또는 중첩을 참조하세요.HTTP/S 엔드포인트 원본 시스템에서 데이터 전송을 시작할 수 있는 경우 스트리밍에 권장됩니다.
자세한 내용은 HTTP 또는 HTTPS를 통한 서비스 엔드포인트 호출을 참조하세요.정보를 읽는 논리 앱 커넥터를 사용하여 이벤트를 가져옵니다. 예시:
팁
REST API, SQL Server 및 파일 시스템에 대한 사용자 지정 커넥터는 온-프레미스 데이터 원본에서 데이터 검색도 지원합니다. 자세한 내용은 온-프레미스 데이터 게이트웨이 설치 문서를 참조하세요.
검색하려는 정보를 준비합니다.
예를 들어 JSON 구문 분석 작업을 사용하여 JSON 콘텐츠에서 속성에 액세스하면 논리 앱에 대한 입력을 지정할 때 동적 콘텐츠 목록에서 해당 속성을 선택할 수 있습니다.
자세한 내용은 Azure Logic Apps에서 데이터 작업 수행을 참조하세요.
Log Analytics에 데이터를 씁니다.
자세한 내용은 Azure Log Analytics 데이터 수집기 설명서를 참조하세요.
Logic Apps를 사용하여 Microsoft Sentinel용 사용자 지정 커넥터를 만드는 방법의 예제는 다음을 참조하세요.
- 데이터 수집기 API를 사용하여 데이터 파이프라인 만들기
- 웹후크를 사용하는 Palo Alto Prisma 논리 앱 커넥터(Microsoft Sentinel GitHub 커뮤니티)
- 예약된 활성화로 Microsoft Teams 호출 보호(블로그)
- AlienVault OTX 위협 지표를 Microsoft Sentinel로 수집(블로그)
로그 수집 API를 사용하여 연결
Log Analytics 데이터 수집기 API를 사용하여 RESTful 엔드포인트를 직접 호출하면 이벤트를 Microsoft Sentinel로 스트리밍할 수 있습니다.
RESTful 엔드포인트를 직접 호출하는 경우 더 많은 프로그래밍이 필요하지만 유연성이 향상됩니다.
자세한 내용은 다음 문서를 참조하세요.
- Azure Monitor의 로그 수집 API입니다.
- 로그 수집 API를 사용하여 Azure Monitor로 데이터를 보내는 샘플 코드입니다.
Azure Functions로 연결
RESTful API 및 PowerShell과 같은 다양한 코딩 언어와 함께 Azure Functions를 사용하여 서버리스 사용자 지정 커넥터를 만듭니다.
이 방법의 예제는 다음을 참조하세요.
- Azure Function을 사용하여 Microsoft Sentinel에 VMware Carbon Black Cloud Endpoint Standard 연결
- Azure Function을 사용하여 Microsoft Sentinel에 Okta Single Sign-On 연결
- Azure Function을 사용하여 Microsoft Sentinel에 Proofpoint TAP 연결
- Azure Function을 사용하여 Microsoft Sentinel에 Qualys VM 연결
- XML, CSV 또는 다른 형식의 데이터 수집
- Microsoft Sentinel을 사용하여 Zoom 모니터링(블로그)
- Office 365 관리 API 데이터를 Microsoft Sentinel로 가져오기 위한 함수 앱 배포(Microsoft Sentinel GitHub 커뮤니티)
사용자 지정 커넥터 데이터 구문 분석
사용자 지정 커넥터를 사용하여 수집된 데이터를 활용하려면 커넥터 작업을 위한 ASIM(고급 보안 정보 모델) 파서를 개발합니다. ASIM을 사용하면 Microsoft Sentinel의 기본 제공 콘텐츠에 사용자 지정 데이터를 사용할 수 있으며, 분석가가 데이터를 더 쉽게 쿼리할 수 있습니다.
커넥터 메서드가 허용하는 경우 부분적으로 구문 분석을 커넥터의 일부로 구현하여 쿼리 시간 구문 분석 성능을 향상할 수 있습니다.
- Logstash를 사용한 경우 Grok 필터 플러그 인을 사용하여 데이터를 구문 분석합니다.
- Azure 함수를 사용한 경우에는 코드를 사용하여 데이터를 구문 분석합니다.
여전히 ASIM 파서를 구현해야 하지만, 커넥터에서 직접 구문 분석의 일부를 구현하면 구문 분석이 간소화되고 성능이 향상됩니다.
다음 단계
Microsoft Sentinel로 수집된 데이터를 사용하여 다음 프로세스 중 하나로 환경을 보호합니다.