Microsoft Defender 위협 인텔리전스에 대한 데이터 커넥터 사용
Defender 위협 인텔리전스 데이터 커넥터를 사용하여 MDTI(Microsoft Defender 위협 인텔리전스)에서 생성된 공개, 오픈 소스 및 충실도 높은 IOC(침해 지표)를 Microsoft Sentinel 작업 영역으로 가져옵니다. 간단한 원클릭 설정으로 표준 및 프리미엄 Defender 위협 인텔리전스 데이터 커넥터에서 위협 인텔리전스를 사용하여 모니터링, 경고 및 헌팅을 수행합니다.
Important
Defender 위협 인텔리전스 데이터 커넥터 및 프리미엄 Defender 위협 인텔리전스 데이터 커넥터는 현재 미리 보기로 제공됩니다. 베타, 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 자세한 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.
Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.
표준 및 프리미엄 Defender 위협 인텔리전스 데이터 커넥터의 이점에 대한 자세한 내용은 위협 인텔리전스 이해를 참조하세요.
필수 조건
- 콘텐츠 허브에서 독립 실행형 콘텐츠 또는 솔루션을 설치, 업데이트, 삭제하려면 리소스 그룹 수준에서 Microsoft Sentinel 참가자 역할이 있어야 합니다.
- 이러한 데이터 커넥터를 구성하려면 Microsoft Sentinel 작업 영역에 대한 읽기 및 쓰기 권한이 있어야 합니다.
Microsoft Sentinel에 위협 인텔리전스 솔루션 설치
표준 및 프리미엄 Defender 위협 인텔리전스에서 Microsoft Sentinel로 위협 지표를 가져오려면 다음 단계를 수행합니다.
Azure Portal의 Microsoft Sentinel에서는 콘텐츠 관리에서 콘텐츠 허브를 선택합니다.
Defender 포털의 Microsoft Sentinel에서는, Microsoft Sentinel>콘텐츠 관리>콘텐츠 허브를 선택합니다.
위협 인텔리전스 솔루션을 찾아 선택합니다.
설치/업데이트 단추를 선택합니다.
솔루션 구성 요소를 관리하는 방법에 대한 자세한 내용은 기본 제공 콘텐츠 검색 및 배포를 참조하세요.
Defender 위협 인텔리전스 데이터 커넥터 사용
Azure Portal의 Microsoft Sentinel의 경우 구성 아래에서 데이터 커넥터를 선택합니다.
Defender 포털에서 Microsoft Sentinel의 경우 Microsoft Sentinel>구성>데이터 커넥터를 선택합니다.
Defender 위협 인텔리전스 데이터 커넥터 커넥터 페이지 열기 버튼을 찾아 선택합니다.
연결을 선택하여 피드를 사용하도록 설정합니다.
Defender 위협 인텔리전스 지표가 Microsoft Sentinel 작업 영역을 채우기 시작하면 커넥터 상태에 연결됨이 표시됩니다.
이제 수집된 지표를 TI map... 분석 규칙에서 사용할 수 있습니다. 자세한 내용은 분석 규칙에서 위협 지표 사용을 참조하세요.
ThreatIntelligenceIndicator 테이블을 쿼리하여 위협 인텔리전스 창 또는 로그에서 직접 새 지표 를 찾습니다. 자세한 내용은 위협 지표 작업을 참조하세요.
관련 콘텐츠
이 게시물에서는 Defense 위협 인텔리전스 데이터 커넥터를 사용하여 Microsoft Sentinel을 Microsoft 위협 인텔리전스 피드에 연결하는 방법을 알아보았습니다. Defender 위협 인텔리전스에 대한 자세한 내용은 다음 게시물을 참조하세요.
- Defender 위협 인텔리전스란?에 대해 알아봅니다.
- Defender 위협 인텔리전스 포털을 시작합니다.
- 일치 분석을 위협 탐지에 사용하여 분석에 Defender 위협 인텔리전스를 사용합니다.