Microsoft Defender XDR 커넥터 연결
인시던트 통합 기능이 있는 Microsoft Defender XDR(확장 검색 및 응답) 커넥터를 사용하면 모든 Microsoft Defender XDR 인시던트 및 경고를 Microsoft Sentinel로 스트리밍할 수 있습니다. 커넥터는 두 포털 간에 인시던트를 동기화된 상태로 유지합니다. Microsoft Defender XDR 인시던트에는 모든 경고, 엔터티 및 기타 관련 정보가 포함됩니다. Microsoft Defender XDR의 구성 요소 서비스인 엔드포인트용 Microsoft Defender, Microsoft Defender for Identity, Office 365용 Microsoft Defender, Microsoft Defender for Cloud Apps의 경고가 함께 그룹화되고 보강됩니다. Microsoft Defender XDR 커넥터를 연결하는 것은 Microsoft Defender XDR에서 통합 보안 운영 플랫폼 또는 통합 SIEM(보안 정보 및 이벤트 관리)과 XDR 환경을 구성하기 위한 필수 조건입니다.
또한 커넥터를 사용하면 위의 모든 구성 요소에서 Microsoft Sentinel로 고급 헌팅 이벤트를 스트리밍할 수 있습니다. 이를 통해 해당 Defender 구성 요소의 고급 헌팅 쿼리를 Microsoft Sentinel에 복사하고, Defender 구성 요소의 원시 이벤트 데이터로 Sentinel 경고를 보강하여 더 많은 인사이트를 제공하고, Log Analytics에 보존이 증가한 로그를 저장할 수 있습니다.
커넥터를 배포하려면 다음 단계를 수행합니다.
Microsoft Sentinel 왼쪽 탐색 메뉴에서 구성을 확장한 다음 데이터 커넥터를 선택합니다.
Microsoft Defender XDR 커넥터를 선택합니다.
미리 보기 창에서 커넥터 페이지 열기 단추를 선택합니다.
지침 탭에서 필수 구성 요소를 검토하여 필요한 권한과 라이선스가 있는지 확인합니다.
다음으로, 구성 섹션에서 인시던트 및 경고 연결 단추를 선택합니다.
참고 항목
이러한 제품에 대한 모든 Microsoft 인시던트 만들기 규칙을 해제합니다. 권장 확인란을 선택하면 인시던트 큐에 중복이 발생할 수 있습니다.
특정 제품의 UEBA 엔터티 및 이벤트 로그를 사용자 및 엔터티 동작 분석에 연결할 수도 있습니다.
엔터티 연결 및 이벤트 연결 섹션을 선택합니다.
이벤트의 경우 수집하려는 이벤트 유형의 확인란을 선택한 다음 변경 내용 적용을 선택합니다.