다음을 통해 공유


STIX/TAXII 위협 인텔리전스 피드에 Microsoft Sentinel 연결

위협 인텔리전스 전송을 위한 가장 널리 채택된 업계 표준은 STIX 데이터 형식과 TAXII 프로토콜의 조합입니다. 조직이 현재 STIX/TAXII 버전(2.0 또는 2.1)을 지원하는 솔루션에서 위협 지표를 가져오는 경우 위협 인텔리전스 - TAXII 데이터 커넥터를 사용하여 위협 지표를 Microsoft Sentinel로 가져올 수 있습니다. 이 커넥터를 사용하면 Microsoft Sentinel의 기본 제공 TAXII 클라이언트가 TAXII 2.x 서버에서 위협 인텔리전스를 가져올 수 있습니다.

TAXII 가져오기 경로를 보여 주는 스크린샷.

TAXII 서버에서 Microsoft Sentinel로 STIX 형식의 위협 표시기를 가져오려면 TAXII 서버 API 루트와 컬렉션 ID를 가져와야 합니다. 그런 다음 Microsoft Sentinel에서 위협 인텔리전스 - TAXII 데이터 커넥터를 사용하도록 설정합니다.

Microsoft Sentinel의 위협 인텔리전스와 특히 Microsoft Sentinel과 통합할 수 있는 TAXII 위협 인텔리전스 피드에 대해 자세히 알아봅니다.

참고 항목

US Government 클라우드의 기능 가용성에 대한 자세한 내용은 US Government 고객을 위한 클라우드 기능 가용성의 Microsoft Sentinel 표를 참조하세요.

자세한 내용은 Microsoft Sentinel에 TIP(위협 인텔리전스 플랫폼) 연결을 참조하세요.

Important

Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

필수 조건

  • 콘텐츠 허브에서 독립 실행형 콘텐츠 또는 솔루션을 설치, 업데이트, 삭제하려면 리소스 그룹 수준에서 Microsoft Sentinel 참가자 역할이 있어야 합니다.
  • 위협 지표를 저장할 Microsoft Sentinel 작업 영역에 대한 읽기 및 쓰기 권한이 있어야 합니다.
  • TAXII 2.0 또는 TAXII 2.1 API 루트 URI 및 컬렉션 ID가 있어야 합니다.

TAXII 서버 API 루트 및 컬렉션 ID 가져오기

TAXII 2.x 서버는 위협 인텔리전스의 컬렉션을 호스트하는 URL인 API 루트를 보급합니다. 일반적으로 TAXII 서버를 호스팅하는 위협 인텔리전스 공급자의 설명서 페이지에서 API 루트와 컬렉션 ID를 찾을 수 있습니다.

참고 항목

어떤 경우에는 공급자가 검색 엔드포인트라고 하는 URL만 보급합니다. cURL 유틸리티를 사용하여 검색 엔드포인트를 찾아보고 API 루트를 요청할 수 있습니다.

Microsoft Sentinel에 위협 인텔리전스 솔루션 설치

TAXII 서버의 위협 지표를 Microsoft Sentinel로 가져오려면 다음 단계를 수행합니다.

  1. Azure Portal의 Microsoft Sentinel에서는 콘텐츠 관리에서 콘텐츠 허브를 선택합니다.

    Defender 포털의 Microsoft Sentinel에서는, Microsoft Sentinel>콘텐츠 관리>콘텐츠 허브를 선택합니다.

  2. 위협 인텔리전스 솔루션을 찾아 선택합니다.

  3. 설치/업데이트 단추를 선택합니다.

솔루션 구성 요소를 관리하는 방법에 대한 자세한 내용은 기본 제공 콘텐츠 검색 및 배포를 참조하세요.

위협 인텔리전스 사용 - TAXII 데이터 커넥터

  1. TAXII 데이터 커넥터를 구성하려면 데이터 커넥터 메뉴를 선택합니다.

  2. 위협 인텔리전스 - TAXII 데이터 커넥터를 찾아 선택한 다음 커넥터 페이지 열기를 선택합니다.

    TAXII 데이터 커넥터가 나열된 데이터 커넥터 페이지를 보여 주는 스크린샷.

  3. 식별 이름 텍스트 상자에 이 TAXII 서버 컬렉션의 식별 이름을 입력합니다. API 루트 URL, 컬렉션 ID, 사용자 이름(필요한 경우) 및 암호(필요한 경우)에 대한 텍스트 상자를 채웁니다. 원하는 표시기 그룹과 폴링 빈도를 선택합니다. 추가를 선택합니다.

    TAXII 서버 구성을 보여 주는 스크린샷.

TAXII 서버에 성공적으로 연결되었다는 확인을 받게 됩니다. 하나 이상의 TAXII 서버에서 여러 컬렉션에 연결하려면 마지막 단계를 원하는 횟수만큼 반복합니다.

몇 분 이내에 위협 지표가 Microsoft Sentinel 작업 영역으로 흐르기 시작합니다. 위협 인텔리전스 창에서 새로운 표시기를 찾습니다. Microsoft Sentinel 메뉴에서 액세스할 수 있습니다.

Microsoft Sentinel TAXII 클라이언트에 대한 IP 허용 목록

FS-ISAC와 같은 일부 TAXII 서버는 Microsoft Sentinel TAXII 클라이언트의 IP 주소를 허용 목록에 유지해야 합니다. 대부분의 TAXII 서버에는 이 요구 사항이 없습니다.

해당하는 경우 허용 목록에 포함할 IP 주소는 다음과 같습니다.

  • 20.193.17.32
  • 20.197.219.106
  • 20.48.128.36
  • 20.199.186.58
  • 40.80.86.109
  • 52.158.170.36
  • 20.52.212.85
  • 52.251.70.29
  • 20.74.12.78
  • 20.194.150.139
  • 20.194.17.254
  • 51.13.75.153
  • 102.133.139.160
  • 20.197.113.87
  • 40.123.207.43
  • 51.11.168.197
  • 20.71.8.176
  • 40.64.106.65

이 문서에서는 TAXII 프로토콜을 사용하여 Microsoft Sentinel을 위협 인텔리전스 피드에 연결하는 방법을 알아보았습니다. Microsoft Sentinel에 대해 자세히 알아보려면 다음 문서를 참조하세요.