클라우드용 Microsoft Defender 보안 경고 및 권장 사항의 연속 내보내기를 설정한 후 Azure Monitor에서 데이터를 볼 수 있습니다. 이 문서에서는 Log Analytics 또는 Azure Event Hubs에서 데이터를 보고 해당 데이터를 기반으로 Azure Monitor에서 경고 규칙을 만드는 방법을 설명합니다.
필수 조건
시작하기 전에 다음 방법 중 하나를 사용하여 연속 내보내기를 설치합니다.
Log Analytics에서 내보낸 데이터 보기
클라우드용 Defender 데이터를 Log Analytics 작업 영역으로 내보내면 두 개의 기본 테이블이 자동으로 만들어집니다.
SecurityAlertSecurityRecommendation
Log Analytics에서 이러한 테이블을 쿼리하여 연속 내보내기가 작동하는지 확인할 수 있습니다.
Azure Portal에 로그인합니다.
Log Analytics 작업 영역을 검색하고 선택합니다.
연속 내보내기 대상으로 구성한 작업 영역을 선택합니다.
작업 영역 메뉴의 일반 아래에서 로그를 선택합니다.
쿼리 창에서 다음 쿼리 중 하나를 입력하고 실행을 선택합니다.
SecurityAlert또는
SecurityRecommendation
Azure Event Hubs에서 내보낸 데이터 보기
Azure Event Hubs로 데이터를 내보낼 때 Defender for Cloud는 지속적으로 경고 및 권장 사항을 이벤트 메시지로 스트리밍합니다. Azure Portal에서 내보낸 이벤트를 보고 다운스트림 서비스를 연결하여 추가로 분석할 수 있습니다.
Azure Portal에 로그인합니다.
Event Hubs 네임스페이스를 검색하고 선택합니다.
연속 내보내기를 위해 구성한 네임스페이스 및 이벤트 허브를 선택합니다.
이벤트 허브 메뉴에서 메시지 활동을 볼 메트릭을 선택하거나 데이터 >를 처리하여 캡처 대상에 저장된 이벤트 콘텐츠를 검토합니다.
필요에 따라 Microsoft Sentinel, SIEM 또는 사용자 지정 소비자 앱과 같은 연결된 도구를 사용하여 내보낸 이벤트를 읽고 처리합니다.
비고
Defender for Cloud는 JSON 형식으로 데이터를 보냅니다. Event Hubs 캡처 또는 소비자 그룹을 사용하여 내보낸 이벤트를 저장하고 분석할 수 있습니다.
Azure Monitor에서 경고 규칙 만들기(선택 사항)
내보낸 Defender for Cloud 데이터를 기반으로 Azure Monitor 경고를 만들 수 있습니다. 이러한 경고를 사용하면 특정 보안 이벤트가 발생할 때 전자 메일 알림을 보내거나 ITSM 티켓을 만드는 등의 작업을 자동으로 트리거할 수 있습니다.
Azure Portal에 로그인합니다.
모니터를 검색하고 선택합니다.
경고를 선택합니다.
+ 만들기>경고 규칙을 선택합니다.
Azure Monitor의 로그 경고 규칙을 구성하는 것과 동일한 방식으로 새 규칙을 설정합니다.
- 리소스 유형의 경우 보안 경고 및 권장 사항을 내보낸 Log Analytics 작업 영역을 선택합니다.
- 조건에서 사용자 지정 로그 검색을 선택합니다. 표시되는 페이지에서 쿼리, 되돌아보기 기간 및 빈도 기간을 구성합니다. 쿼리에서 SecurityAlert 또는 SecurityRecommendation을 입력합니다.
- 선택적으로 트리거할 작업 그룹을 만듭니다. 작업 그룹은 환경의 이벤트를 기반으로 이메일 보내기, ITSM 티켓 만들기, 웹후크 실행 등을 자동화할 수 있습니다.
규칙을 저장하면 지속적인 내보내기 구성 및 경고 규칙 조건에 따라 클라우드용 Defender 경고 또는 권장 사항이 Azure Monitor에 표시됩니다. 작업 그룹을 연결한 경우 규칙 조건이 충족되면 자동으로 트리거됩니다.