다음을 통해 공유

Microsoft Sentinel에 위협 인텔리전스 플랫폼 연결

  • 적용 대상: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

참고 항목

이 데이터 커넥터는 더 이상 사용되지 않으며 2026년 4월에 데이터 수집을 중지합니다. 중단 없는 데이터 수집을 보장하기 위해 가능한 한 빨리 새로운 위협 인텔리전스 업로드 표시기 API 데이터 커넥터로 전환하는 것이 좋습니다. 자세한 내용은 업로드 API를 사용하여 Microsoft Sentinel에 위협 인텔리전스 플랫폼 연결을 참조하세요.

많은 조직에서 TIP(위협 인텔리전스 플랫폼) 솔루션을 사용하여 다양한 원본에서 위협 지표 피드를 집계합니다. 집계된 피드에서 데이터는 네트워크 장치, EDR/XDR 솔루션 또는 Microsoft Sentinel과 같은 SIEM(보안 정보 및 이벤트 관리) 솔루션과 같은 보안 솔루션에 적용하도록 큐레이팅됩니다. TIP 데이터 커넥터를 사용하면 이러한 솔루션을 사용하여 위협 지표를 Microsoft Sentinel로 가져올 수 있습니다.

TIP 데이터 커넥터는 Microsoft Graph Security tiIndicators API 와 함께 작동하여 이 프로세스를 수행하기 때문에 커넥터를 사용하여 해당 API와 통신할 수 있는 다른 사용자 지정 TIP에서 Microsoft Sentinel(및 Defender XDR과 같은 다른 Microsoft 보안 솔루션)에 표시기를 보낼 수 있습니다.

위협 인텔리전스 가져오기 경로를 보여 주는 스크린샷.

참고 항목

미국 정부 클라우드의 기능 가용성에 대한 자세한 내용은 미국 정부 고객을 위한 클라우드의 Microsoft Sentinel 테이블 기능 가용성을 참조하세요.

Microsoft Sentinel의 위협 인텔리전스 및 특히 Microsoft Sentinel과 통합할 수 있는 TIP 제품에 대해 자세히 알아봅니다.

중요합니다

Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스가 없는 고객을 포함하여 Microsoft Defender 포털에서 일반적으로 사용할 수 있습니다.

2026년 7월부터 Azure Portal에서 Microsoft Sentinel을 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel을 사용합니다. 2025년 7월부터 많은 신규 고객이 자동으로 온보딩되고 Defender 포털로 리디렉션됩니다.

Azure Portal에서 Microsoft Sentinel을 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 에서 제공하는 통합 보안 작업 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다. 자세한 내용은 보안을 강화하기 위해 It's Time to Move: Retiring Microsoft Sentinel's Azure Portal을 참조하세요.

필수 조건

  • 콘텐츠 허브에서 독립 실행형 콘텐츠 또는 솔루션을 설치, 업데이트 및 삭제하려면 리소스 그룹 수준에서 Microsoft Sentinel 기여자 역할이 필요합니다.
  • Microsoft Graph Security TI Indicators API에 대한 직접 통합을 사용하는 TIP 제품이나 사용자 지정 애플리케이션에 대한 권한을 부여하려면 보안 관리자 Microsoft Entra 역할 또는 이에 상응하는 권한이 있어야 합니다.
  • 위협 지표를 저장하려면 Microsoft Sentinel 작업 영역에 대한 읽기 및 쓰기 권한이 있어야 합니다.

지침

통합 TIP 또는 사용자 지정 위협 인텔리전스 솔루션에서 Microsoft Sentinel로 위협 지표를 가져오려면 다음 단계를 수행합니다.

  1. Microsoft Entra ID에서 애플리케이션 ID 및 클라이언트 암호를 가져옵니다.
  2. 이 정보를 TIP 솔루션 또는 사용자 지정 애플리케이션에 입력합니다.
  3. Microsoft Sentinel에서 TIP 데이터 커넥터를 사용하도록 설정합니다.

Microsoft Entra ID에서 애플리케이션 ID 및 클라이언트 암호 등록

TIP 또는 사용자 지정 솔루션으로 작업하는 경우 tiIndicators API에는 피드를 해당 API로 연결하고 위협 지표를 보낼 수 있도록 몇 가지 기본 정보가 필요합니다. 다음 세 가지 정보가 필요합니다.

  • 애플리케이션(클라이언트) ID
  • 디렉터리(테넌트) ID
  • 클라이언트 암호

이 정보는 앱 등록을 통해 Microsoft Entra ID에서 가져올 수 있으며, 이 프로세스에는 다음 세 단계가 포함됩니다.

  • Microsoft Entra ID를 사용하여 앱을 등록합니다.
  • 앱이 Microsoft Graph tiIndicators API에 연결하고 위협 지표를 보내기 위해 필요한 권한을 지정합니다.
  • 조직에서 동의를 받아 이 애플리케이션에 이러한 권한을 부여합니다.

Microsoft Entra ID를 사용하여 애플리케이션 등록

  1. Azure Portal에서 Microsoft Entra ID로 이동합니다.

  2. 메뉴에서 앱 등록을 선택한 다음 새 등록을 선택합니다.

  3. 애플리케이션 등록을 위한 이름을 선택하고, 단일 테넌트를 선택한 다음, 등록을 선택합니다.

    애플리케이션 등록을 보여 주는 스크린샷

  4. 열리는 화면에서 애플리케이션(클라이언트) ID디렉터리(테넌트) ID 값을 복사합니다. 이 두 가지 정보는 나중에 Microsoft Sentinel에 위협 지표를 보내도록 TIP 또는 사용자 지정 솔루션을 구성하는 데 필요합니다. 필요한 세 번째 정보인 클라이언트 암호는 나중에 제공됩니다.

애플리케이션에 필요한 권한 지정

  1. Microsoft Entra ID의 기본 페이지로 돌아갑니다.

  2. 메뉴에서 앱 등록을 선택한 다음, 새로 등록된 앱을 선택합니다.

  3. 메뉴에서 API 사용 권한>추가 권한을 선택합니다.

  4. API 선택 페이지에서 Microsoft Graph API를 선택합니다. 그런 다음 Microsoft Graph 권한 목록에서 선택합니다.

  5. 프롬프트에서 애플리케이션에 필요한 사용 권한 유형은 무엇인가요?에서 애플리케이션 권한을 선택합니다. 이 권한은 앱 ID 및 앱 비밀(API 키)을 사용하여 인증하는 애플리케이션에서 사용하는 유형입니다.

  6. ThreatIndicators.ReadWrite.OwnedBy를 선택한 다음, 권한 추가를 선택하여 앱의 사용 권한 목록에 이 권한을 추가합니다.

    사용 권한 지정을 보여 주는 스크린샷

  1. 동의를 부여하려면 권한 있는 역할이 필요합니다. 자세한 내용은 애플리케이션에 테넌트 전체 관리자 동의 부여를 참조하세요.

    동의 부여를 보여 주는 스크린샷

  2. 앱에 동의가 부여되면 상태 아래에 녹색 확인 표시가 표시됩니다.

앱이 등록되고 권한이 부여되면 앱에 대한 클라이언트 암호를 가져와야 합니다.

  1. Microsoft Entra ID의 기본 페이지로 돌아갑니다.

  2. 메뉴에서 앱 등록을 선택한 다음, 새로 등록된 앱을 선택합니다.

  3. 메뉴에서 인증서 및 비밀을 선택합니다. 그런 다음 새 클라이언트 비밀을 선택하여 앱에 대한 비밀(API 키)을 받습니다.

    클라이언트 암호 가져오기를 보여 주는 스크린샷

  4. 추가를 선택한 다음 클라이언트 암호를 복사합니다.

    중요합니다

    이 화면을 나가기 전에 클라이언트 암호를 복사해야 합니다. 이 페이지에서 벗어나면 이 암호를 다시 검색할 수 없습니다. TIP 또는 사용자 지정 솔루션을 구성할 때 이 값이 필요합니다.

TIP 솔루션 또는 사용자 지정 애플리케이션에 이 정보를 입력

이제 Microsoft Sentinel에 위협 지표를 보내도록 TIP 또는 사용자 지정 솔루션을 구성하는 데 필요한 세 가지 정보가 모두 있습니다.

  • 애플리케이션(클라이언트) ID
  • 디렉터리(테넌트) ID
  • 클라이언트 암호

필요한 경우 통합 TIP 또는 사용자 지정 솔루션의 구성에 이러한 값을 입력합니다.

  1. 대상 제품의 경우 Azure Sentinel을 지정합니다. ( Microsoft Sentinel 을 지정하면 오류가 발생합니다.)

  2. 작업의 경우 경고를 지정합니다.

이 구성이 완료되면 Microsoft Sentinel을 대상으로 하는 Microsoft Graph tiIndicators API를 통해 TIP 또는 사용자 지정 솔루션에서 위협 지표가 전송됩니다.

Microsoft Sentinel에서 TIP 데이터 커넥터를 사용하도록 설정

통합 프로세스의 마지막 단계는 Microsoft Sentinel에서 TIP 데이터 커넥터를 사용하도록 설정하는 것입니다. 커넥터를 사용하도록 설정하면 Microsoft Sentinel이 TIP 또는 사용자 지정 솔루션에서 전송된 위협 지표를 받을 수 있습니다. 이러한 지표는 조직의 모든 Microsoft Sentinel 작업 영역에서 사용할 수 있습니다. 각 작업 영역에 TIP 데이터 커넥터를 사용하도록 설정하려면 다음 단계를 수행합니다.

  1. Azure Portal의 Microsoft Sentinel의 경우 콘텐츠 관리에서 콘텐츠 허브를 선택합니다.
    Defender 포털의 Microsoft Sentinel에 대해 Microsoft Sentinel>>를 선택합니다.

  2. 위협 인텔리전스 솔루션을 찾아 선택합니다.

  3. 설치/업데이트 단추를 선택합니다.

    솔루션 구성 요소를 관리하는 방법에 대한 자세한 내용은 기본 제공 콘텐츠 검색 및 배포를 참조하세요.

  4. TIP 데이터 커넥터를 구성하려면 구성>데이터 커넥터를 선택합니다.

  5. 위협 인텔리전스 플랫폼 - 사용 중단 예정 데이터 커넥터를 찾아서 선택한 다음, 커넥터 페이지 열기를 선택합니다.

  6. 앱 등록을 이미 완료하고 위협 지표를 보내도록 TIP 또는 사용자 지정 솔루션을 구성했으므로 남은 단계는 연결을 선택하는 것입니다.

몇 분 이내에 위협 지표가 Microsoft Sentinel 작업 영역으로 흐르기 시작합니다. Microsoft Sentinel 메뉴에서 액세스할 수 있는 위협 인텔리전스 창에서 새 표시기를 찾을 수 있습니다.

관련 콘텐츠

이 문서에서는 사용 중단 경로의 메서드를 사용하여 TIP를 Microsoft Sentinel에 연결하는 방법을 알아보았습니다. 권장 방법을 사용하여 TIP를 연결하려면 업로드 API를 사용하여 TIP 연결을 참조하세요.

  • Last updated on