다음을 통해 공유

Microsoft Sentinel과 Microsoft Defender XDR 통합

  • 적용 대상: Microsoft Sentinel with Defender XDR in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

이 문서에서는 Microsoft Defender 포털 또는 Azure Portal에서 Microsoft Defender XDR 서비스를 Microsoft Sentinel과 통합하는 방법을 설명합니다.

Defender XDR의 인시던트에는 관련된 모든 경고, 엔터티 및 관련 정보가 포함되어 있어 Microsoft Sentinel에서 심사 및 예비 조사를 수행하기에 충분한 컨텍스트를 제공합니다. Microsoft Sentinel에 들어가면 인시던트는 Defender XDR과 양방향으로 동기화되므로 인시던트 조사에서 두 포털의 이점을 모두 활용할 수 있습니다.

Microsoft Sentinel 및 Defender XDR

다음 방법 중 하나를 사용하여 Microsoft Sentinel을 Microsoft Defender XDR 서비스와 통합합니다.

  • Microsoft Defender XDR 서비스 데이터를 Microsoft Sentinel에 수집하고 Azure Portal에서 Microsoft Sentinel 데이터를 봅니다. Microsoft Sentinel에서 Defender XDR 커넥터를 사용하도록 설정합니다.

  • Microsoft Sentinel 및 Defender XDR을 Microsoft Defender 포털에 직접 통합합니다. 이 경우 Defender 인시던트, 경고, 취약성 및 기타 보안 데이터의 나머지 부분과 함께 Microsoft Sentinel 데이터를 직접 봅니다. 이렇게 하려면 Microsoft Sentinel을 Defender 포털에 온보딩해야 합니다.

적절한 탭을 선택하여 사용하는 통합 방법에 따라 Defender XDR과 Microsoft Sentinel 통합이 어떻게 표시되는지 확인합니다.

다음 그림에서는 Microsoft의 XDR 솔루션이 Microsoft Defender 포털에서 Microsoft Sentinel과 원활하게 통합되는 방법을 보여 줍니다.

Microsoft Defender 포털의 Microsoft Sentinel 및 Microsoft Defender XDR 아키텍처 다이어그램

이 다이어그램에서

  • 전체 조직에서 신호의 인사이트는 Microsoft Defender XDR 및 클라우드용 Microsoft Defender에 공급됩니다.
  • Microsoft Sentinel은 다중 클라우드 환경을 지원하고 타사 앱 및 파트너와 통합합니다.
  • Microsoft Sentinel 데이터는 조직의 데이터와 함께 Microsoft Defender 포털로 수집됩니다.
  • 그런 다음, SecOps 팀은 Microsoft Defender 포털에서 Microsoft Sentinel 및 Microsoft Defender XDR로 식별된 위협을 분석하고 대응할 수 있습니다.

인시던트 상관 관계 및 경고

Defender XDR과 Microsoft Sentinel을 통합하여 Defender XDR 인시던트가 Microsoft Sentinel 내에서 표시되고 관리가 가능합니다. 이렇게 하면 전체 조직에서 기본 인시던트 큐가 제공됩니다. Defender XDR 인시던트를 다른 모든 클라우드 및 온-프레미스 시스템의 인시던트와 함께 확인하고 연관시키세요. 이와 동시에, 이 통합을 통해 Microsoft 365 에코시스템 전체에서 심층 조사 및 Defender 관련 환경을 위해 Defender XDR의 고유한 강점과 기능을 활용할 수 있습니다.

Defender XDR은 여러 Microsoft Defender 제품의 경고를 강화하고 그룹화함으로써 SOC의 인시던트 큐 크기를 줄이고 해결 시간을 단축시킵니다. 다음 Microsoft Defender 제품 및 서비스의 경고도 Defender XDR을 Microsoft Sentinel에 통합하는 데 포함됩니다.

Defender XDR에서 경고를 수집하는 기타 서비스는 다음과 같습니다.

Defender XDR 커넥터는 클라우드용 Microsoft Defender의 인시던트도 제공합니다. 이러한 인시던트의 경고와 엔터티도 동기화하려면 Microsoft Sentinel에서 클라우드용 Defender 커넥터를 사용하도록 설정해야 합니다. 그렇지 않으면 클라우드용 Defender 인시던트가 비어 있는 것으로 나타납니다. 자세한 내용은 Microsoft Defender XDR 통합을 통해 클라우드용 Microsoft Defender 인시던트 수집을 참조하세요.

Defender XDR은 이러한 구성 요소 및 기타 서비스에서 경고를 수집하는 것 외에도 자체 경고를 생성합니다. 이러한 모든 경고에서 인시던트를 만들어 Microsoft Sentinel로 보냅니다.

일반적인 사용 사례 및 시나리오

다음 사용 사례 및 시나리오에서는 Defender XDR을 Microsoft Sentinel과 통합하는 것이 좋습니다.

  • Microsoft Sentinel을 Microsoft Defender 포털에 온보딩합니다.

  • Defender XDR 구성 요소의 모든 경고 및 엔터티를 포함하여 Defender XDR 인시던트를 Microsoft Sentinel에 원클릭으로 연결할 수 있습니다.

  • 상태, 소유자 및 종료 이유에 대해 Microsoft Sentinel과 Defender XDR 인시던트 간의 양방향 동기화를 허용합니다.

  • Microsoft Sentinel에서 Defender XDR 경고 그룹화 및 보강 기능을 적용하여 문제 해결 시간을 단축합니다.

  • Microsoft Sentinel 인시던트와 병렬 Defender XDR 인시던트 간의 컨텍스트 내 딥 링크를 통해 두 포털 모두에서 조사를 지원합니다.

자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

Microsoft Defender XDR 에 연결

Defender XDR을 통합하는 방법은 Microsoft Sentinel을 Defender 포털에 온보딩할지 아니면 Azure Portal에서 계속 작업할지에 따라 달라집니다.

Defender 포털 통합

Microsoft Sentinel을 Defender 포털에 온보딩하고 Defender XDR에 대한 라이선스가 있는 경우 Microsoft Sentinel은 Defender XDR에 자동으로 연결됩니다. Defender XDR용 데이터 커넥터가 자동으로 설정됩니다. Defender XDR 커넥터에 포함된 경고 공급자에 대한 모든 데이터 커넥터의 연결이 끊어집니다. 여기에는 다음 데이터 커넥터가 포함됩니다.

  • Cloud Apps용 Microsoft Defender(경고)
  • 엔드포인트용 Microsoft Defender
  • Microsoft Defender for Identity
  • Office 365용 Microsoft Defender
  • Microsoft Entra ID 보호 기능

Azure Portal 통합

Azure Portal에서 Defender XDR 데이터를 Microsoft Sentinel과 동기화하려면 Microsoft Sentinel에서 Microsoft Defender XDR 커넥터를 사용하도록 설정해야 합니다. 커넥터를 사용하도록 설정하면 모든 Defender XDR 인시던트 및 경고 정보를 Microsoft Sentinel에 보내고 인시던트가 동기화된 상태로 유지됩니다.

  • 먼저 콘텐츠 허브에서 Microsoft Sentinel용 Microsoft Defender XDR 솔루션을 설치합니다. 그런 다음 Microsoft Defender XDR 데이터 커넥터를 사용하도록 설정하여 인시던트 및 경고를 수집합니다. 자세한 내용은 Microsoft Defender XDR의 데이터를 Microsoft Sentinel에 연결을 참조하세요.

  • Defender XDR 데이터 커넥터에서 경고 및 인시던트 수집을 사용하도록 설정하면 Defender XDR 인시던트가 Defender XDR에서 생성된 직후 Microsoft Sentinel 인시던트 큐에 표시됩니다. Defender XDR에서 인시던트가 생성된 후 Microsoft Sentinel에 나타날 때까지 최대 10분 정도 걸릴 수 있습니다. 이러한 인시던트에서 경고 제품 이름 필드에는 Microsoft Defender XDR 또는 구성 요소 Defender 서비스의 이름 중 하나가 포함됩니다.

수집 비용

SecurityAlertSecurityIncident 테이블을 채우는 항목을 포함하여 Defender XDR의 경고 및 인시던트는 무료로 Microsoft Sentinel에 수집되어 동기화됩니다. 개별 Defender 구성 요소의 기타 모든 데이터 형식(예: 고급 헌팅 테이블 DeviceInfo, DeviceFileEvents, EmailEvents 등)의 경우 수집 요금이 청구됩니다.

자세한 내용은 비용 계획 및 Microsoft Sentinel 가격 책정 및 청구 이해를 참조하세요.

데이터 수집 동작

Defender XDR 통합 제품에서 만든 경고는 Defender XDR로 전송되고 인시던트로 그룹화됩니다. 경고와 인시던트는 모두 Defender XDR 커넥터를 통해 Microsoft Sentinel로 전달됩니다.

이 프로세스의 예외는 클라우드용 Defender입니다. 테넌트 기반 클라우드용 Defender 경고를 통해 Defender XDR에서 모든 경고와 인시던트를 수신하도록 설정하거나, 구독 기반 경고를 유지하고 Azure 포털 내의 Microsoft Sentinel에서 인시던트로 승격할 수 있는 옵션이 있습니다.

사용 가능한 옵션 및 자세한 내용은 다음을 참조하세요.

Microsoft 인시던트 만들기 규칙

동일한 경고에 대한 중복 인시던트가 만들어지지 않도록 하기 위해 Defender XDR 연결 시 Defender XDR 통합 제품에 대한 Microsoft 인시던트 만들기 규칙 설정이 꺼집니다. Defender XDR 통합 제품에는 Microsoft Defender for Identity, Office 365용 Microsoft Defender 등이 포함됩니다. 또한 Defender 포털에는 자체 인시던트 생성 엔진이 있기 때문에 Microsoft 인시던트 생성 규칙이 Defender 포털에서 지원되지 않습니다. 이 변경 내용은 다음과 같은 잠재적인 영향을 미칩니다.

  • 경고 필터링. Microsoft Sentinel의 인시던트 만들기 규칙을 사용하면 인시던트를 만드는 데 사용되는 경고를 필터링할 수 있습니다. 이러한 규칙을 사용하지 않도록 설정하면 Microsoft Defender 포털에서 알림 튜닝을 구성하거나 자동화 규칙을 사용하여 원하지 않는 인시던트를 억제(종료)함으로써 경고 필터링 기능을 유지합니다.

  • 인시던트 제목. Defender XDR 커넥터를 사용하도록 설정하면 더 이상 인시던트 타이틀을 미리 지정할 수 없습니다. Defender XDR 상관 관계 엔진은 인시던트 만들기를 관장하고 만들어진 인시던트의 이름을 자동으로 지정합니다. 이 변경 내용은 인시던트 이름을 조건으로 사용하여 만든 모든 자동화 규칙에 영향을 미칠 수 있습니다. 이러한 문제를 피하려면 인시던트 이름 이외의 기준을 자동화 규칙 트리거의 조건으로 사용합니다. 태그를 사용하는 것이 좋습니다.

  • 예약된 분석 규칙. Microsoft Purview 내부 위험 관리 같은 Defender XDR에 통합되지 않은 다른 Microsoft 보안 솔루션 또는 제품에 Microsoft Sentinel의 인시던트 생성 규칙을 사용하고 Defender 포털에 온보딩하려는 경우 인시던트 생성 규칙을 예약된 분석 규칙으로 바꿉니다.

Microsoft Sentinel 및 양방향 동기화에서 Microsoft Defender XDR 인시던트 작업

Defender XDR 인시던트는 Microsoft Sentinel 인시던트 큐에 제품 이름이 Microsoft Defender XDR이고 다른 Microsoft Sentinel 인시던트와 유사한 세부 정보 및 기능이 표시됩니다. 각 인시던트에는 Microsoft Defender 포털의 병렬 인시던트 링크가 포함되어 있습니다.

Defender XDR에서 인시던트가 발전하고 더 많은 경고 또는 엔터티가 추가됨에 따라 Microsoft Sentinel 인시던트가 업데이트됩니다.

Defender XDR 또는 Microsoft Sentinel에서 Defender XDR 인시던트의 특정 필드 또는 특성에 대한 변경 내용도 마찬가지로 다른 인시던트 큐에서 적절하게 업데이트됩니다. 동기화는 인시던트에 대한 변경 내용이 적용된 직후 지연 없이 두 포털 모두에서 발생합니다. 최신 변경 내용을 보려면 새로 고침이 필요할 수 있습니다.

다음 필드는 Defender 포털과 Azure Portal의 Microsoft Sentinel에서 인시던트 간에 "있는 그대로" 동기화됩니다.

  • 제목
  • 설명
  • ProductName
  • 심각도
  • 사용자 지정 태그
  • 추가 데이터
  • 주석(새 항목만 해당)
  • 최근 수정자

다음 필드는 동기화 중에 변환되므로 해당 값이 각 플랫폼의 스키마를 준수합니다.

분야 Defender 포털에서의 값 Microsoft Sentinel의 값
상태
활동 중 새롭다
분류/
분류 이유
True Positive/
일부		 True Positive/
의심스러운 활동
거짓 긍정/
일부		 거짓 긍정/
부정확한 데이터
해당 없음(N/A) 거짓 긍정/
부정확한 경고 논리
무해한 양성/
정보 제공을 위한 예상 활동		 무해한 양성/
의심스럽지만 예상됨
설정 안 함 미확인

Defender XDR에서는 한 인시던트의 모든 경고를 다른 인시던트로 전송할 수 있으며, 이렇게 하면 인시던트가 병합됩니다. 이러한 병합이 발생하면 Microsoft Sentinel 인시던트에 변경 내용이 반영됩니다. 한 인시던트에는 원래 두 인시던트의 모든 경고가 포함되고, 다른 인시던트는 "리디렉션됨" 태그가 추가되어 자동으로 종료됩니다.

참고

Microsoft Sentinel의 인시던트는 최대 150개의 경고를 포함할 수 있습니다. Defender XDR 인시던트에는 이보다 더 많은 일이 있을 수 있습니다. 150개가 넘는 경고가 있는 Defender XDR 인시던트가 Microsoft Sentinel에 동기화되는 경우 Microsoft Sentinel 인시던트는 "150+" 경고가 있는 것으로 표시되고 전체 경고 집합을 볼 수 있는 Defender XDR의 병렬 인시던트에 대한 링크를 제공합니다.

고급 사냥 이벤트 모음

Defender XDR 커넥터를 사용하면 Defender XDR 및 해당 구성 요소 서비스에서 Microsoft Sentinel로 원시 이벤트 데이터 형식인 고급 헌팅 이벤트를 스트리밍할 수도 있습니다. 모든 Defender XDR 구성 요소에서 고급 헌팅 이벤트를 수집하고 Microsoft Sentinel 작업 영역에서 특별히 빌드된 테이블로 직접 스트리밍합니다. 이 테이블은 Defender 포털에서 사용되는 것과 동일한 스키마를 기반으로 작성되므로 고급 헌팅 이벤트의 전체 세트에 대한 완전한 액세스가 제공되며 다음 작업을 수행할 수 있습니다.

  • 기존 엔드포인트/Office 365/Identity/클라우드용 Microsoft Defender 앱 고급 헌팅 쿼리를 Microsoft Sentinel에 쉽게 복사합니다.

  • 원시 이벤트 로그를 사용하여 경고, 헌팅 및 조사에 대한 추가 정보를 제공하고 이러한 이벤트와 Microsoft Sentinel 내 다른 데이터 원본의 이벤트 간의 상관 관계를 파악합니다.

  • Defender XDR 기본 보존 기간인 30일을 초과하여 보존 기간이 증가한 로그를 저장합니다. 작업 영역의 보존을 구성하거나 Log Analytics에서 테이블당 보존을 구성하여 해당 작업을 수행할 수 있습니다.

관련 콘텐츠

이 문서에서는 Microsoft Sentinel에서 Defender XDR 커넥터를 사용하도록 설정하는 이점에 대해 알아보았습니다.