클라우드용 Microsoft Defender는 자세한 보안 경고 및 권장 사항을 생성합니다. 이러한 경고 및 권장 사항의 정보를 분석하려면 Azure Monitor의 Log Analytics, Azure Event Hubs 또는 SIEM(보안 정보 및 이벤트 관리), SOAR(보안 오케스트레이션 자동화 응답) 또는 IT 클래식 배포 모델 솔루션으로 내보낼 수 있습니다. 경고 및 권장 사항이 생성될 때 스트리밍하거나 모든 새 데이터의 정기적인 스냅샷을 보내는 일정을 정의할 수 있습니다.
이 문서에서는 Log Analytics 작업 영역 또는 Azure의 이벤트 허브로 연속 내보내기를 설정하는 방법을 설명합니다.
팁 (조언)
또한 Defender for Cloud는 CSV(쉼표로 구분된 값) 파일로 한 번 수동으로 내보내는 옵션을 제공합니다. CSV 파일을 다운로드하는 방법을 알아봅니다.
필수 조건
Microsoft Azure 구독이 필요합니다. Azure 구독이 없는 경우 무료 구독에 등록하면 됩니다.
Azure 구독에서 클라우드용 Microsoft Defender를 사용하도록 설정해야 합니다.
필요한 역할 및 권한:
- 리소스 그룹에 대한 보안 관리자 또는 소유자
- 대상 리소스에 대한 쓰기 권한입니다.
- Azure Policy DeployIfNotExist 정책을 사용하는 경우 정책을 할당할 수 있는 권한이 있어야 합니다.
- Event Hubs로 데이터를 내보내려면 Event Hubs 정책에 대한 쓰기 권한이 있어야 합니다.
- Log Analytics 작업 영역으로 내보내려면 다음을 수행합니다.
SecurityCenterFree 솔루션이 있는 경우 작업 영역
Microsoft.OperationsManagement/solutions/read솔루션에 대한 최소 읽기 권한이 있어야 합니다.SecurityCenterFree 솔루션이 없는 경우 작업 영역 솔루션
Microsoft.OperationsManagement/solutions/action에 대한 쓰기 권한이 있어야 합니다.Azure Monitor 및 Log Analytics 작업 영역 솔루션에 대해 자세히 알아봅니다.
Azure Portal에서 연속 내보내기 설정
Azure Portal의 클라우드용 Microsoft Defender 페이지에서 REST API를 사용하거나 제공된 Azure Policy 템플릿을 사용하여 대규모로 연속 내보내기를 설정할 수 있습니다.
Azure Portal을 사용하여 Log Analytics 또는 Azure Event Hubs로 연속 내보내기를 설정하려면 다음을 수행합니다.
클라우드용 Defender 리소스 메뉴에서 환경 설정을 선택합니다.
데이터 내보내기를 구성할 구독을 선택합니다.
설정 아래의 리소스 메뉴에서 연속 내보내기를 선택합니다.
내보내기 옵션이 나타납니다. 사용 가능한 각 내보내기 대상(이벤트 허브 또는 Log Analytics 작업 영역)에 대한 탭이 있습니다.
내보낼 데이터 형식을 선택하고 각 형식의 필터 중에서 선택합니다(예: 심각도가 높은 경고만 내보내기).
내보내기 빈도를 선택합니다.
- 스트리밍. 리소스의 상태가 업데이트되면 평가가 전송됩니다(업데이트가 발생하지 않으면 데이터가 전송되지 않음).
- 스냅샷. 구독당 일주일에 한 번 전송되는 선택한 데이터 형식의 현재 상태에 대한 스냅샷입니다. 스냅샷 데이터를 식별하려면 IsSnapshot 필드를 찾습니다.
선택 항목에 이러한 권장 사항 중 하나가 포함된 경우 취약성 평가 결과를 다음과 같이 포함할 수 있습니다.
- SQL 데이터베이스에 취약성 발견이 해결되어야 합니다.
- 컴퓨터의 SQL 서버에는 취약성 발견이 해결되어야 합니다.
- 컨테이너 레지스트리 이미지에 취약성 발견이 해결되어야 합니다(Qualys에 의해 구동됨).
- 머신에 취약성 발견이 해결되어야 합니다.
- 머신에 시스템 업데이트를 설치해야 합니다.
이러한 권장 사항에 결과를 포함하려면 보안 결과 포함을예로 설정합니다.
내보내기 대상에서 데이터를 저장할 위치를 선택합니다. 데이터는 다른 구독의 대상(예: 중앙 Event Hubs 인스턴스 또는 중앙 Log Analytics 작업 영역)에 저장할 수 있습니다.
다른 테넌트에 있는 이벤트 허브 또는 Log Analytics 작업 영역으로 데이터를 보낼 수도 있습니다.
저장을 선택합니다.
비고
Log Analytics는 최대 32KB 크기의 레코드만 지원합니다. 데이터 제한에 도달하면 경고에 데이터 제한이 초과되었다는 메시지가 표시됩니다.
관련 콘텐츠
이 문서에서는 권장 사항 및 경고의 연속 내보내기를 구성하는 방법을 알아보았습니다. 경고 데이터를 CSV 파일로 다운로드하는 방법도 알아보았습니다.
관련 콘텐츠를 보려면 다음을 수행합니다.
- Azure Monitor에서 내보낸 데이터를 보는 방법을 알아봅니다.
- 워크플로 자동화 템플릿에 대해 자세히 알아봅니다.
- Azure Event Hubs 설명서를 참조하세요.
- Microsoft Sentinel에 대해 자세히 알아보세요.
- Azure Monitor 설명서를 검토합니다.
- 데이터 형식 스키마를 내보내는 방법을 알아봅니다.
- 연속 내보내기와 관련된 일반적인 질문을 확인하세요.