다음을 통해 공유

Microsoft Sentinel에 클라우드용 Microsoft Defender 경고 수집

  • 아티클
  • 적용 대상:
    Microsoft Sentinel

클라우드용 Microsoft Defender의 통합 클라우드 워크로드 보호를 사용하면 하이브리드 및 다중 클라우드 워크로드에서 위협을 감지하고 신속하게 대응할 수 있습니다. 클라우드용 Microsoft Defender 커넥터를 사용하면 클라우드용 Defender 보안 경고를 Microsoft Sentinel로 수집할 수 있으므로 광범위한 조직 위협 컨텍스트에서 Defender 경고 및 생성되는 인시던트를 보고 분석하고 대응할 수 있습니다.

클라우드용 Microsoft Defender Defender 플랜은 구독별로 사용하도록 설정됩니다. microsoft Sentinel의 클라우드용 Defender 앱용 레거시 커넥터도 구독별로 구성되지만, 테넌트 기반 클라우드용 Microsoft Defender 커넥터는 미리 보기로 각 구독을 별도로 사용하도록 설정하지 않고도 전체 테넌트에 대해 클라우드용 Defender 경고를 수집할 수 있습니다. 테넌트 기반 커넥터는 microsoft Defender XDR과 클라우드용 Defender 통합되어 Microsoft Defender XDR 인시던트 통합을 통해 수신하는 모든 인시던트에 모든 클라우드용 Defender 경고가 완전히 포함되도록 합니다.

  • 경고 동기화:

    • 클라우드용 Microsoft Defender를 Microsoft Sentinel에 연결하면 Microsoft Sentinel로 수집된 보안 경고의 상태가 두 서비스 간에 동기화됩니다. 예를 들어 클라우드용 Defender 경고가 닫힌 경우 해당 경고는 Microsoft Sentinel에서도 닫힌 것으로 표시됩니다.

    • 클라우드용 Defender 경고 상태를 변경해도 Microsoft Sentinel 경고가 포함된 Microsoft Sentinel 인시던트의 상태는 영향을 받지 않으며 경고 자체의 상태만 영향을 받지 않습니다.

  • 양방향 경고 동기화: 양방향 동기화사용하도록 설정하면 원래 보안 경고의 상태가 해당 경고가 포함된 Microsoft Sentinel 인시던트 상태와 자동으로 동기화됩니다. 예를 들어 보안 경고가 포함된 Microsoft Sentinel 인시던트가 닫히면 해당 원래 경고가 자동으로 클라우드용 Microsoft Defender 닫힙니다.

참고 항목

US Government 클라우드의 기능 가용성에 대한 자세한 내용은 US Government 고객을 위한 클라우드 기능 가용성의 Microsoft Sentinel 표를 참조하세요.

참고 항목

커넥터는 Lighthouse가 해당 테넌트에 대해 사용하도록 설정된 경우에도 다른 테넌트가 소유한 구독의 경고 동기화를 지원하지 않습니다.

필수 조건

  • Azure Portal에서 Microsoft Sentinel을 사용해야 합니다. Microsoft의 SecOps(통합 보안 작업) 플랫폼에 온보딩된 경우 클라우드용 Defender 경고가 이미 Microsoft Defender XDR로 수집되고 테넌트 기반 클라우드용 Microsoft Defender(미리 보기) 데이터 커넥터는 Defender 포털의 데이터 커넥터 페이지에 나열되지 않습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

    Microsoft의 통합 SecOps 플랫폼에 온보딩된 경우에도 Microsoft Sentinel에서 기본 제공 보안 콘텐츠를 사용하는 클라우드용 Microsoft Defender 솔루션을 설치하려고 합니다.

    Microsoft Defender XDR 없이 Defender 포털에서 Microsoft Sentinel을 사용하는 경우 이 절차는 여전히 사용자에게 적합합니다.

  • 다음과 같은 역할 및 권한이 있어야 합니다.

    • Microsoft Sentinel 작업 영역에 대한 읽기/쓰기 권한이 있어야 합니다.

    • Microsoft Sentinel에 연결하려는 구독에 대한 기여자 또는 소유자 역할이 있어야 합니다.

    • 양방향 동기화를 사용으로 설정하려면 관련 구독에 대한 기여자 또는 보안 관리자 역할이 있어야 합니다.

  • 커넥터를 사용하도록 설정하려는 각 구독에 대해 클라우드용 Microsoft Defender 내에서 하나 이상의 계획을 사용하도록 설정해야 합니다. 구독에서 Microsoft Defender 플랜을 사용으로 설정하려면 해당 구독에 대한 보안 관리자 역할이 있어야 합니다.

  • 커넥터를 SecurityInsights 사용하도록 설정하려는 각 구독에 대해 리소스 공급자를 등록해야 합니다. 리소스 공급자 등록 상태 및 등록 방법에 대한 지침을 검토합니다.

클라우드용 Microsoft Defender에 연결

  1. Microsoft Sentinel에서 콘텐츠 허브에서 클라우드용 Microsoft Defender 솔루션을 설치합니다. 자세한 내용은 Microsoft Sentinel 기본 제공 콘텐츠 검색 및 관리를 참조하세요.

  2. 구성 > 데이터 커넥터를 선택합니다.

  3. 데이터 커넥터 페이지에서 구독 기반 클라우드용 Microsoft Defender(레거시) 또는 테넌트 기반 클라우드용 Microsoft Defender(미리 보기) 커넥터를 선택한 다음 커넥터 페이지 열기를 선택합니다.

  4. 구성에서 테넌트의 구독 목록과 클라우드용 Microsoft Defender 대한 연결 상태가 표시됩니다. 경고를 Microsoft Sentinel로 스트리밍하려는 각 구독 옆에 있는 상태 토글을 선택합니다. 여러 구독을 한 번에 연결하려면 관련 구독 옆에 있는 확인란을 표시한 다음 목록 위의 표시줄에서 연결 단추를 선택하여 수행할 수 있습니다.

    • 확인란 및 연결 토글은 필요한 권한이 있는 구독에서만 활성화됩니다.
    • 하나 이상의 구독 확인란이 표시된 경우에만 연결 단추가 활성화됩니다.

  5. 구독에서 양방향 동기화를 사용으로 설정하려면 목록에서 구독을 찾고 양방향 동기화 열의 드롭다운 목록에서 사용을 선택합니다. 한 번에 여러 구독에서 양방향 동기화를 사용으로 설정하려면 해당 확인란을 표시하고 목록 위의 표시줄에서 양방향 동기화 사용 단추를 선택합니다.

    • 확인란 및 드롭다운 목록은 필요한 권한이 있는 구독에서만 활성화됩니다.
    • 양방향 동기화 사용 단추는 하나 이상의 구독 확인란이 표시된 경우에만 활성화됩니다.

  6. 목록의 Microsoft Defender 계획 열에서 커넥터를 사용하도록 설정하기 위한 필수 구성 요소구독에서 Microsoft Defender 계획이 사용하도록 설정되어 있는지 확인할 수 있습니다.

    이 열의 각 구독에 대한 값은 비어 있습니다. 즉, Defender 계획이 활성화되지 않았거나, 모두 사용되거나, 일부 사용이 활성화되어 있습니다. 일부 사용 설정에는 선택할 수 있는 모든 사용 링크가 있으며, 해당 구독에 대한 클라우드용 Microsoft Defender 구성 대시보드로 이동하며, 여기서 사용하도록 설정할 Defender 계획을 선택할 수 있습니다.

    목록 위의 막대에 있는 모든 구독에 대해 Microsoft Defender 사용 링크 단추를 사용하면 클라우드용 Microsoft Defender 시작 페이지로 이동합니다. 여기서 클라우드용 Microsoft Defender 사용하도록 설정할 구독을 선택할 수 있습니다. 예시:

    클라우드용 Microsoft Defender 커넥터 구성의 스크린샷.

  7. 클라우드용 Microsoft Defender의 경고가 Microsoft Sentinel에서 인시던트를 자동으로 생성하도록 설정할지 여부를 선택할 수 있습니다. 인시던트 만들기에서 사용을 선택하여 경고에서 인시던트를 자동으로 생성하는 기본 분석 규칙을 설정합니다. 그런 다음, 활성 규칙 탭의 분석에서 이 규칙을 편집할 수 있습니다.

    클라우드용 Microsoft Defender의 경고에 대한 사용자 지정 분석 규칙을 구성할 때 정보 경고에 대한 인시던트가 열리지 않도록 경고 심각도를 고려합니다.

    클라우드용 Microsoft Defender의 정보 경고는 그 자체로 보안 위험을 나타내지 않으며 기존의 미해결 인시던트의 컨텍스트에서만 관련이 있습니다. 자세한 내용은 클라우드용 Microsoft Defender의 보안 경고 및 인시던트를 참조하세요.

데이터 찾기 및 분석

보안 경고는 Log Analytics 작업 영역의 SecurityAlert 표에 저장됩니다. Log Analytics에서 보안 경고를 쿼리하려면 다음을 시작점으로 쿼리 창에 복사합니다.

SecurityAlert 
| where ProductName == "Azure Security Center"

‘양방향’ 경고 동기화는 몇 분이 소요될 수 있습니다. 경고 상태의 변경 내용이 즉시 표시되지 않을 수 있습니다.

더 유용한 샘플 쿼리, 분석 규칙 템플릿 및 권장 통합 문서는 커넥터 페이지의 다음 단계 탭을 참조하세요.

관련 콘텐츠

이 문서에서는 클라우드용 Microsoft Sentinel를 Microsoft Sentinel에 연결하고 둘 사이에 경고를 동기화하는 방법을 알아보았습니다. Microsoft Sentinel에 대해 자세히 알아보려면 다음 문서를 참조하세요.