다음을 통해 공유


Microsoft Sentinel과 Microsoft Defender XDR 통합

Microsoft Defender XDR을 Microsoft Sentinel과 통합하여 모든 Defender XDR 인시던트와 고급 헌팅 이벤트를 Microsoft Sentinel로 스트리밍하고 Azure 및 Microsoft Defender 포털 간에 인시던트와 이벤트를 동기화된 상태로 유지합니다. Defender XDR의 인시던트에는 관련된 모든 경고, 엔터티 및 관련 정보가 포함되어 있어 Microsoft Sentinel에서 심사 및 예비 조사를 수행하기에 충분한 컨텍스트를 제공합니다. Microsoft Sentinel에 들어가면 인시던트는 Defender XDR과 양방향으로 동기화되므로 인시던트 조사에서 두 포털의 이점을 모두 활용할 수 있습니다.

또는 Defender XDR을 사용하여 Microsoft Sentinel을 Defender 포털의 Microsoft SecOps(통합 보안 작업) 플랫폼에 온보딩합니다. Microsoft의 통합 SecOps 플랫폼은 사이버 보안을 위해 특별히 빌드된 Microsoft Sentinel, Defender XDR 및 생성 AI의 전체 기능을 결합합니다. 자세한 내용은 다음 리소스를 참조하세요.

Microsoft Sentinel 및 Defender XDR

다음 방법 중 하나를 사용하여 Microsoft Sentinel을 Microsoft Defender XDR 서비스와 통합합니다.

  • Microsoft Defender XDR 서비스 데이터를 Microsoft Sentinel에 수집하고 Azure Portal에서 Microsoft Sentinel 데이터를 봅니다. Microsoft Sentinel에서 Defender XDR 커넥터를 사용하도록 설정합니다.

  • Microsoft Sentinel 및 Defender XDR을 Microsoft Defender 포털의 단일 통합 Security 운영 플랫폼에 통합합니다. 이 경우 나머지 Defender 인시던트, 경고, 취약성, 기타 보안 데이터를 사용하여 Microsoft Defender 포털에서 직접 Microsoft Sentinel 데이터를 확인합니다. Microsoft Sentinel에서 Defender XDR 커넥터를 사용하도록 설정하고 Defender 포털에서 Microsoft Sentinel을 Microsoft의 통합 SecOps 플랫폼에 온보딩합니다.

적절한 탭을 선택하여 사용하는 통합 방법에 따라 Defender XDR과 Microsoft Sentinel 통합이 어떻게 표시되는지 확인합니다.

다음 그림에서는 Microsoft의 XDR 솔루션이 Microsoft Sentinel과 원활하게 통합되는 방법을 보여 줍니다.

Microsoft Sentinel과 Microsoft XDR의 통합 다이어그램

이 다이어그램에서

  • 전체 조직에서 신호의 인사이트는 Microsoft Defender XDR 및 클라우드용 Microsoft Defender에 공급됩니다.
  • Microsoft Defender XDR 및 클라우드용 Microsoft Defender는 Microsoft Sentinel 커넥터를 통해 SIEM 로그 데이터를 보냅니다.
  • 그런 다음, SecOps 팀은 Microsoft Sentinel 및 Microsoft Defender XDR에서 식별된 위협을 분석하고 대응할 수 있습니다.
  • Microsoft Sentinel은 다중 클라우드 환경을 지원하고 타사 앱 및 파트너와 통합합니다.

인시던트 상관 관계 및 경고

Defender XDR과 Microsoft Sentinel을 통합하여 Defender XDR 인시던트가 Microsoft Sentinel 내에서 표시되고 관리가 가능합니다. 이렇게 하면 전체 조직에서 기본 인시던트 큐가 제공됩니다. Defender XDR 인시던트를 다른 모든 클라우드 및 온-프레미스 시스템의 인시던트와 함께 확인하고 연관시키세요. 이와 동시에, 이 통합을 통해 Microsoft 365 에코시스템 전체에서 심층 조사 및 Defender 관련 환경을 위해 Defender XDR의 고유한 강점과 기능을 활용할 수 있습니다.

Defender XDR은 여러 Microsoft Defender 제품의 경고를 강화하고 그룹화함으로써 SOC의 인시던트 큐 크기를 줄이고 해결 시간을 단축시킵니다. 다음 Microsoft Defender 제품 및 서비스의 경고도 Defender XDR을 Microsoft Sentinel에 통합하는 데 포함됩니다.

  • 엔드포인트에 대한 Microsoft Defender
  • Microsoft Defender for Identity
  • Office 365용 Microsoft Defender
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender 취약성 관리

Defender XDR에서 경고를 수집하는 기타 서비스는 다음과 같습니다.

Defender XDR 커넥터는 클라우드용 Microsoft Defender의 인시던트도 제공합니다. 이러한 인시던트의 경고와 엔터티도 동기화하려면 Microsoft Sentinel에서 클라우드용 Defender 커넥터를 사용하도록 설정해야 합니다. 그렇지 않으면 클라우드용 Defender 인시던트가 비어 있는 것으로 나타납니다. 자세한 내용은 Microsoft Defender XDR 통합을 통해 클라우드용 Microsoft Defender 인시던트 수집을 참조하세요.

Defender XDR은 이러한 구성 요소 및 기타 서비스에서 경고를 수집하는 것 외에도 자체 경고를 생성합니다. 이러한 모든 경고에서 인시던트를 만들어 Microsoft Sentinel로 보냅니다.

일반적인 사용 사례 및 시나리오

다음 사용 사례 및 시나리오에서는 Defender XDR을 Microsoft Sentinel과 통합하는 것이 좋습니다.

  • Microsoft Defender 포털에서 Microsoft Sentinel을 Microsoft의 통합 SecOps 플랫폼에 온보딩합니다. Defender XDR 커넥터를 사용하도록 설정하는 것이 필수 조건입니다.

  • Defender XDR 구성 요소의 모든 경고 및 엔터티를 포함하여 Defender XDR 인시던트를 Microsoft Sentinel에 원클릭으로 연결할 수 있습니다.

  • 상태, 소유자 및 종료 이유에 대해 Microsoft Sentinel과 Defender XDR 인시던트 간의 양방향 동기화를 허용합니다.

  • Microsoft Sentinel에서 Defender XDR 경고 그룹화 및 보강 기능을 적용하여 문제 해결 시간을 단축합니다.

  • Microsoft Sentinel 인시던트와 병렬 Defender XDR 인시던트 간의 컨텍스트 내 딥 링크를 통해 두 포털 모두에서 조사를 지원합니다.

Microsoft의 통합 SecOps 플랫폼에서 Defender XDR과 Microsoft Sentinel 통합의 기능에 대한 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

Microsoft Defender XDR 에 연결

Microsoft Sentinel에서 Microsoft Defender XDR 커넥터를 사용하도록 설정하여 모든 Defender XDR 인시던트 및 경고 정보를 Microsoft Sentinel에 보내고 인시던트를 동기화된 상태로 유지합니다.

수집 비용

SecurityAlertSecurityIncident 테이블을 채우는 항목을 포함하여 Defender XDR의 경고 및 인시던트는 무료로 Microsoft Sentinel에 수집되어 동기화됩니다. 개별 Defender 구성 요소의 기타 모든 데이터 형식(예: 고급 헌팅 테이블 DeviceInfo, DeviceFileEvents, EmailEvents 등)의 경우 수집 요금이 청구됩니다. 자세한 내용은 비용 계획 및 Microsoft Sentinel 가격 책정 및 청구 이해를 참조하세요.

데이터 수집 동작

Defender XDR 커넥터가 사용하도록 설정되면 Defender XDR 통합 제품에서 만들어진 경고가 Defender XDR로 전송되어 인시던트로 그룹화됩니다. 경고와 인시던트는 모두 Defender XDR 커넥터를 통해 Microsoft Sentinel로 전달됩니다. 이 프로세스의 예외는 클라우드용 Defender입니다. 테넌트 기반 클라우드용 Defender 경고가 Defender XDR을 통해 모든 경고와 인시던트 수신하도록 설정하거나, 구독 기반 경고를 유지하고 Azure Portal의 Microsoft Sentinel 내에서 인시던트로 승격할 수 있는 옵션이 있습니다. 사용 가능한 옵션과 자세한 내용은 다음 문서를 참조하세요.

Microsoft 인시던트 만들기 규칙

동일한 경고에 대한 중복 인시던트가 만들어지지 않도록 하기 위해 Defender XDR 연결 시 Defender XDR 통합 제품에 대한 Microsoft 인시던트 만들기 규칙 설정이 꺼집니다. Defender XDR 통합 제품에는 Microsoft Defender for Identity, Office 365용 Microsoft Defender 등이 포함됩니다. 또한 Microsoft 인시던트 생성 규칙은 Microsoft의 통합 SecOps 플랫폼에서 지원되지 않습니다. Defender XDR에는 자체 인시던트 만들기 규칙이 있습니다. 이 변경 내용은 다음과 같은 잠재적인 영향을 미칩니다.

  • Microsoft Sentinel의 인시던트 만들기 규칙을 사용하면 인시던트를 만드는 데 사용되는 경고를 필터링할 수 있습니다. 이러한 규칙을 사용하지 않도록 설정하면 Microsoft Defender 포털에서 알림 튜닝을 구성하거나 자동화 규칙을 사용하여 원하지 않는 인시던트를 억제(종료)함으로써 경고 필터링 기능을 유지합니다.

  • Defender XDR 커넥터를 사용하도록 설정한 후에는 더 이상 인시던트 제목을 미리 지정할 수 없습니다. Defender XDR 상관 관계 엔진은 인시던트 만들기를 관장하고 만들어진 인시던트의 이름을 자동으로 지정합니다. 이 변경 내용은 인시던트 이름을 조건으로 사용하여 만든 모든 자동화 규칙에 영향을 미칠 수 있습니다. 이러한 문제를 피하려면 인시던트 이름 이외의 기준을 자동화 규칙 트리거의 조건으로 사용합니다. 태그를 사용하는 것이 좋습니다.

  • Microsoft Purview 내부 위험 관리 같은 Defender XDR에 통합되지 않은 다른 Microsoft 보안 솔루션 또는 제품에 Microsoft Sentinel의 인시던트 생성 규칙을 사용하고 Defender 포털에서 Microsoft의 통합 SecOps 플랫폼에 온보딩하려는 경우 인시던트 생성 규칙을 예약된 분석 규칙으로 바꿉니다.

Microsoft Sentinel 및 양방향 동기화에서 Microsoft Defender XDR 인시던트 작업

Defender XDR 인시던트는 Microsoft Sentinel 인시던트 큐에 제품 이름이 Microsoft Defender XDR이고 다른 Microsoft Sentinel 인시던트와 유사한 세부 정보 및 기능이 표시됩니다. 각 인시던트에는 Microsoft Defender 포털의 병렬 인시던트 링크가 포함되어 있습니다.

Defender XDR에서 인시던트가 발전하고 더 많은 경고 또는 엔터티가 추가됨에 따라 Microsoft Sentinel 인시던트가 업데이트됩니다.

Defender XDR 또는 Microsoft Sentinel에서 Defender XDR 인시던트의 상태, 종료 이유 또는 할당에 대한 변경 내용은 마찬가지로 다른 인시던트 큐에 따라 업데이트됩니다. 동기화는 인시던트에 대한 변경 내용이 적용된 직후 지연 없이 두 포털 모두에서 발생합니다. 최신 변경 내용을 보려면 새로 고침이 필요할 수 있습니다.

Defender XDR에서는 한 인시던트의 모든 경고를 다른 인시던트로 전송할 수 있으며, 이렇게 하면 인시던트가 병합됩니다. 이러한 병합이 발생하면 Microsoft Sentinel 인시던트에 변경 내용이 반영됩니다. 한 인시던트에는 원래 두 인시던트의 모든 경고가 포함되고, 다른 인시던트는 "리디렉션됨" 태그가 추가되어 자동으로 종료됩니다.

참고 항목

Microsoft Sentinel의 인시던트는 최대 150개의 경고를 포함할 수 있습니다. Defender XDR 인시던트에는 이보다 더 많은 일이 있을 수 있습니다. 150개가 넘는 경고가 있는 Defender XDR 인시던트가 Microsoft Sentinel에 동기화되는 경우 Microsoft Sentinel 인시던트는 "150+" 경고가 있는 것으로 표시되고 전체 경고 집합을 볼 수 있는 Defender XDR의 병렬 인시던트에 대한 링크를 제공합니다.

고급 헌팅 이벤트 수집

Defender XDR 커넥터를 사용하면 Defender XDR 및 해당 구성 요소 서비스에서 Microsoft Sentinel로 원시 이벤트 데이터 형식인 고급 헌팅 이벤트를 스트리밍할 수도 있습니다. 모든 Defender XDR 구성 요소에서 고급 헌팅 이벤트를 수집하고 Microsoft Sentinel 작업 영역에서 특별히 빌드된 테이블로 직접 스트리밍합니다. 이 테이블은 Defender 포털에서 사용되는 것과 동일한 스키마를 기반으로 작성되므로 고급 헌팅 이벤트의 전체 세트에 대한 완전한 액세스가 제공되며 다음 작업을 수행할 수 있습니다.

  • 기존 엔드포인트/Office 365/Identity/클라우드용 Microsoft Defender 앱 고급 헌팅 쿼리를 Microsoft Sentinel에 쉽게 복사합니다.

  • 원시 이벤트 로그를 사용하여 경고, 헌팅 및 조사에 대한 추가 정보를 제공하고 이러한 이벤트와 Microsoft Sentinel 내 다른 데이터 원본의 이벤트 간의 상관 관계를 파악합니다.

  • Defender XDR 또는 해당 구성 요소의 기본 보존 기간인 30일을 초과하여 보존 기간을 늘려 로그를 저장합니다. 작업 영역의 보존을 구성하거나 Log Analytics에서 테이블당 보존을 구성하여 해당 작업을 수행할 수 있습니다.

이 문서에서는 Microsoft Sentinel에서 Defender XDR 커넥터를 사용하도록 설정하는 이점에 대해 알아보았습니다.