데이터 연결 사용

이 문서에서는 Microsoft Defender EASM(Defender 외부 공격 표면 관리)의 데이터 연결 기능에 대해 설명합니다.

개요

이제 Defender EASM은 공격 표면 데이터를 다른 Microsoft 솔루션에 원활하게 통합하여 새로운 인사이트로 기존 워크플로를 보완할 수 있는 데이터 연결을 제공합니다. 공격 표면 데이터를 최대한 활용하려면 수정 목적으로 사용하는 다른 보안 도구로 Defender EASM의 데이터를 가져와야 합니다.

데이터 커넥터는 Defender EASM 자산 데이터를 Log Analytics와 Azure Data Explorer라는 두 가지 플랫폼으로 보냅니다. Defender EASM 데이터를 두 도구 중 하나로 내보내야 합니다. 데이터 연결에는 각 플랫폼의 가격 책정 모델이 적용됩니다.

Log Analytics은 보안 정보, 이벤트 관리, 보안 오케스트레이션, 자동화 및 응답 기능을 제공합니다. Defender EASM 자산 또는 인사이트 정보는 Log Analytics에서 사용되어 다른 보안 데이터로 기존 워크플로를 보강할 수 있습니다. 이 정보는 방화벽 및 구성 정보, 위협 인텔리전스, 규정 준수 데이터를 보완하여 개방형 인터넷의 외부 인프라에 대한 가시성을 제공할 수 있습니다.

마케팅 목록의 구성원을 관리할 수 있습니다.

• 보안 인시던트를 만들거나 보강합니다.
• 조사 플레이북을 빌드합니다.
• 기계 학습 알고리즘을 학습합니다.
• 수정 작업을 트리거합니다.

Azure Data Explorer는 유연한 사용자 지정 기능을 통해 다양한 원본에서 대량의 데이터를 분석할 수 있도록 도와주는 빅 데이터 분석 플랫폼입니다. Defender EASM 자산 및 인사이트 데이터를 통합하여 플랫폼 내에서 시각화, 쿼리, 수집 및 관리 기능을 사용할 수 있습니다.

Power BI를 사용하여 사용자 지정 보고서를 빌드하거나 정확한 KQL 쿼리와 일치하는 자산을 찾는 경우, Defender EASM 데이터를 Azure Data Explorer로 내보내면 무한한 사용자 지정 가능성이 있는 공격 표면 데이터를 사용할 수 있습니다.

데이터 콘텐츠 옵션

Defender EASM 데이터 연결은 두 가지 종류의 공격 표면 데이터를 선택한 도구에 통합할 수 있는 기능을 제공합니다. 자산 데이터, 공격 표면 인사이트 또는 두 데이터 형식을 모두 마이그레이션하도록 선택할 수 있습니다. 자산 데이터는 전체 인벤토리에 대한 세부적인 세부 정보를 제공합니다. 공격 표면 인사이트는 Defender EASM 대시보드를 기반으로 즉시 실행 가능한 인사이트를 제공합니다.

조직에 가장 중요한 인프라를 정확하게 표시하기 위해 두 콘텐츠 옵션 모두 승인됨 인벤토리 상태의 자산만 포함합니다.

자산 데이터: 자산 데이터 옵션은 모든 인벤토리 자산에 대한 데이터를 선택한 도구로 보냅니다. 이 옵션은 세분화된 기본 메타데이터가 Defender EASM 통합의 핵심인 사용 사례에 가장 적합합니다. 예에는 Microsoft Sentinel 또는 Azure Data Explorer의 사용자 지정 보고가 포함됩니다. 인벤토리의 모든 자산에 대한 개략적인 컨텍스트와 특정 자산 형식과 관련된 세부적인 세부 정보를 내보낼 수 있습니다.

이 옵션은 자산에 대해 미리 결정된 인사이트를 제공하지 않습니다. 대신, 가장 관심 있는 사용자 지정 인사이트를 찾을 수 있도록 방대한 양의 데이터를 제공합니다.

공격 표면 인사이트: 공격 표면 인사이트는 Defender EASM의 대시보드를 통해 제공된 주요 인사이트를 기반으로 실행 가능한 결과 집합을 제공합니다. 이 옵션은 각 자산에 대해 덜 세부적인 메타데이터를 제공합니다. 해당 인사이트를 기반으로 자산을 분류하고 추가 조사에 필요한 개략적인 컨텍스트를 제공합니다. 이 옵션은 미리 결정된 인사이트를 다른 도구의 데이터와 함께 사용자 지정 보고 워크플로에 통합하려는 경우에 이상적입니다.

구성 개요

이 섹션에서는 구성에 대한 일반 정보를 제공합니다.

데이터 연결에 액세스

Defender EASM 리소스 창의 가장 왼쪽 창에 있는 관리에서 데이터 연결을 선택합니다. 이 페이지에는 Log Analytics와 Azure Data Explorer 모두에 대한 데이터 커넥터가 표시됩니다. 현재 연결을 나열하고 연결을 추가, 편집 또는 제거하는 옵션을 제공합니다.

연결 필수 구성 요소

데이터 연결을 성공적으로 만들려면 먼저 선택한 도구에 Defender EASM 권한을 부여하는 데 필요한 단계를 완료했는지 확인해야 합니다. 이 프로세스를 통해 애플리케이션은 내보낸 데이터를 수집할 수 있습니다. 또한 연결을 구성하는 데 필요한 인증 자격 증명도 제공합니다.

Log Analytics 권한 구성

1. Defender EASM 데이터를 수집할 Log Analytics 작업 영역을 열거나 새 작업 영역을 만듭니다.

2. 가장 왼쪽 창의 설정에서 에이전트를 선택합니다.

   

3. 작업 영역 ID 및 기본 키를 보려면 Log Analytics 에이전트 지침 섹션을 확인하세요. 이 값은 데이터 연결을 설정하는 데 사용됩니다.

리소스 그룹 역할 할당 구성

1. 맨 왼쪽 창에서 개요를 선택하고 기본 창의 Essentials 아래에 있는 리소스 그룹으로 이동합니다.
2. Log Analytics 작업 영역이 포함된 리소스 그룹을 엽니다.
3. 맨 왼쪽 창에서 액세스 제어(IAM)를 선택합니다.
4. 읽기 권한자 역할을 검색하고 선택합니다.
5. EASM API를 검색하여 역할 할당의 멤버로 선택합니다.
6. 할당 유형이 영구 인지 확인한 다음 검토 + 할당을 클릭합니다.
7. 이 작업을 반복하고 EASM API 앱에 대한 모니터링 기여자, Log Analytics 기여자 및 모니터링 메트릭 게시자 역할을 추가합니다.

구독 리소스 공급자 구성

1. 리소스 그룹 및 Log Analytics 작업 영역이 포함된 구독을 엽니다.
2. 맨 왼쪽 창의 설정 에서 리소스 공급자를 선택합니다.
3. microsoft.insights를 검색하고 공급자를 등록합니다.

이 데이터 연결 사용에는 Log Analytics의 가격 책정 구조가 적용됩니다. 자세한 내용은 Azure Monitor 가격을 참조하세요.

Azure Data Explorer 권한 구성

Defender EASM API 서비스 주체가 공격 표면 데이터를 내보내려는 데이터베이스의 올바른 역할에 액세스할 수 있는지 확인합니다. 먼저, 이 작업은 EASM API 주체를 프로비전하므로 Defender EASM 리소스가 적절한 테넌트에 만들어졌는지 확인합니다.

1. Defender EASM 데이터를 수집할 Azure Data Explorer 클러스터를 열거나 새 클러스터를 만듭니다.

2. 가장 왼쪽 창의 데이터에서 데이터베이스를 선택합니다.

3. 데이터베이스 추가를 선택하여 Defender EASM 데이터를 저장할 데이터베이스를 만듭니다.

   

4. 데이터베이스 이름을 지정하고 보관 및 캐시 기간을 구성한 다음 만들기를 선택합니다.

   

5. Defender EASM 데이터베이스가 만들어진 후 데이터베이스 이름을 선택하여 세부 정보 페이지를 엽니다. 가장 왼쪽 창의 개요에서 권한을 선택합니다. Defender EASM 데이터를 Azure Data Explorer로 성공적으로 내보내려면 EASM API에 대해 두 가지 새로운 권한(사용자 및 수집기)을 만들어야 합니다.

   

6. 추가를 선택하고 사용자를 만듭니다. EASM API를 검색하고 값을 선택한 다음 선택을 선택합니다.

7. 수집기를 만들려면 추가를 선택합니다. 이전에 설명한 것과 동일한 단계에 따라 EASM API를 수집기로 추가합니다.

8. 이제 데이터베이스가 Defender EASM에 연결할 준비가 되었습니다. 데이터 연결을 구성할 때 클러스터 이름, 데이터베이스 이름 및 지역이 필요합니다.

데이터 연결 추가

Defender EASM 데이터를 Log Analytics 또는 Azure Data Explorer에 연결할 수 있습니다. 이렇게 하려면 데이터 연결 페이지에서 해당 도구에 대한 연결 추가를 선택합니다.

데이터 연결 페이지 오른쪽에 구성 창이 열립니다. 각 해당 도구에는 다음 필드가 필요합니다.

Log Analytics

• 이름: 이 데이터 연결의 이름을 입력합니다.

• 작업 영역 ID: Defender EASM 데이터를 내보내려는 Log Analytics 인스턴스의 작업 영역 ID를 입력합니다.

• 콘텐츠: 자산 데이터, 공격 표면 인사이트 또는 두 데이터 세트를 모두 통합하려면 선택합니다.

• 빈도: Defender EASM 연결이 선택한 도구에 업데이트된 데이터를 보내는 데 사용하는 빈도를 선택합니다. 사용 가능한 옵션은 매일, 매주 및 매월입니다.

  

Azure Data Explorer

• 이름: 이 데이터 연결의 이름을 입력합니다.

• 클러스터 이름: Defender EASM 데이터를 내보내려는 Azure Data Explorer 클러스터의 이름을 입력합니다.

• 지역: Azure Data Explorer 클러스터의 지역을 입력합니다.

• 데이터베이스 이름: 원하는 데이터베이스의 이름을 입력합니다.

• 콘텐츠: 자산 데이터, 공격 표면 인사이트 또는 두 데이터 세트를 모두 통합하려면 선택합니다.

• 빈도: Defender EASM 연결이 선택한 도구에 업데이트된 데이터를 보내는 데 사용하는 빈도를 선택합니다. 사용 가능한 옵션은 매일, 매주 및 매월입니다.

  

  모든 필드를 구성한 후 추가를 선택하여 데이터 연결을 만듭니다. 이 시점에서 데이터 연결 페이지에는 리소스가 성공적으로 만들어졌음을 나타내는 배너가 표시됩니다. 30분 후에 데이터가 채워지기 시작합니다. 연결이 만들어지면 기본 데이터 연결 페이지의 해당 도구 아래에 나열됩니다.

데이터 연결 편집 또는 삭제

데이터 연결을 편집하거나 삭제할 수 있습니다. 예를 들어, 연결이 연결 끊김으로 표시되는 것을 볼 수 있습니다. 이 경우 문제를 해결하려면 구성 세부 정보를 다시 입력해야 합니다.

데이터 연결을 편집하거나 삭제하려면:

1. 기본 데이터 연결 페이지의 목록에서 적절한 연결을 선택합니다.

   

2. 연결에 대한 추가 데이터를 제공하는 페이지가 열립니다. 연결을 만들 때 선택한 구성과 오류 메시지가 표시됩니다. 다음 데이터도 표시됩니다.

   • 정기 일정: Defender EASM이 업데이트된 데이터를 연결된 도구로 보내는 요일 또는 월입니다.

   • 만든 날짜: 데이터 연결이 만들어진 날짜 및 시간입니다.

   • 업데이트 날짜: 데이터 연결이 마지막으로 업데이트된 날짜 및 시간입니다.

     

3. 이 페이지에서 데이터 연결을 다시 연결, 편집 또는 삭제할 수 있습니다.

   • 다시 연결: 구성을 변경하지 않고 데이터 연결의 유효성을 검사하려고 시도합니다. 이 옵션은 데이터 연결에 사용된 인증 자격 증명의 유효성을 검사한 경우에 가장 적합합니다.
   • 편집: 데이터 연결 구성을 변경할 수 있습니다.
   • 삭제: 데이터 연결을 삭제합니다.