Microsoft Defender for Endpoint 경고: XOps 통합 구성

이 문서에서는 Microsoft Defender for Endpoint에서 데이터를 통합하여 Cato 스토리 워크벤치에서 검토할 수 있는 스토리를 생성하는 방법을 논의합니다.

엔드포인트 경고 스토리 개요

Microsoft API를 사용하여 Microsoft Defender for Endpoint에서 경고 데이터를 통합하여 엔드포인트 장치를 위한 스토리를 생성할 수 있습니다. 엔드포인트 스토리는 네트워크 내 잠재적 위협에 대한 보다 완전한 그림을 제공하는 데 도움이 됩니다.

Cato 엔드포인트 경고 엔진은 동일한 Defender 사건과 관련된 Defender 경고 데이터의 상관관계를 분석하여 스토리를 생성합니다. 엔드포인트 경고 스토리에는 Defender에 의해 감지된 경고에 대한 모든 관련 증거가 포함됩니다. 스토리 워크벤치에서는 엔드포인트 스토리와 다른 스토리 유형을 함께 표시하며, 엔드포인트 경고 스토리에 집중할 수 있도록 스토리를 정렬하고 필터링할 수 있습니다.

Defender for 엔드포인트 알림 데이터를 Cato XOps와 통합하려면 먼저 Microsoft 365와 Defender for 엔드포인트에 대한 API 커넥터를 설정해야 합니다. 커넥터를 생성한 후, 엔드포인트 경고 엔진은 Defender for Endpoint에서 경고 데이터를 검색하고 분석합니다.

Microsoft Defender의 데이터를 포함한 XOps 스토리 검토에 대한 자세한 내용은 Drilling-Down and Analyzing XOps Security Stories를 참조하세요.

엔드포인트 경고 스토리 통합의 고급 개요

스토리 워크벤치에서 Defender for Endpoint 스토리를 통합 및 검토하는 워크플로의 개략적인 설명입니다:

  1. Microsoft 365 상위 커넥터를 생성합니다.
  2. Defender for Endpoint 커넥터를 생성합니다.
  3. 스토리 작업 영역에서 엔드포인트 경고 스토리를 검토하십시오.

알려진 제한 사항

  • 스토리 작업 패널의 설정은 엔드포인트 경고 스토리에 대해 구성할 수 없습니다. 작업과 관련된 모든 필드는 N/A로 나타납니다. 스토리 작업 패널에 대한 자세한 내용은 아래를 참조하십시오.
  • 공유 디바이스의 Microsoft 엔드포인트 경고 스토리에는 디바이스에 로그인한 모든 사용자가 포함되어 있는 반면, 관련된 Defender for Endpoint 경고에는 단일 사용자만 표시될 수 있습니다.
  • 커넥터를 추가하려면 자원 섹션에서 통합에 대한 편집자 권한이 필요합니다. 자세한 내용은 RBAC 사용하여 관리자 역할 관리를 참조하십시오.

Microsoft 엔드포인트 경고 스토리 이해하기

Microsoft 엔드포인트 경고 생성자는 통합을 기반으로 스토리를 생성합니다. 이 섹션은 스토리 드릴다운 페이지의 개요 탭에서 사용할 수 있는 정보를 설명합니다.

Endpoint Defender에 대한 스토리 업데이트.png

다음은 스토리 개요 위젯입니다:

이름 설명
요약 위젯

페이지 상단의 막대는 스토리에 대한 기본 정보를 요약하여 포함합니다.:

  • 위협의 중요성
  • 스토리 세부 정보 요약
  • 분석가에 의해 결정된 위협의 심각도
  • 분석가에 의해 결정된 위협의 판결
타임라인 스토리 내에서 발생한 이벤트 또는 조치의 타임라인.
세부 정보

스토리의 기본 정보입니다.

  • 사건 URL 링크를 클릭하여 Microsoft Defender의 사건을 봅니다.
엔터티 사건에 관련된 엔터티. 이는 사용자, 장치, 사이트, 데이터 저장소, 애플리케이션 등이 될 수 있습니다. 스토리는 여러 사용자 및 디바이스에 대한 경고를 포함할 수 있습니다.
알림

Defender 사건과 관련된 알림의 세부 정보를 보여줍니다.

  • 알림을 확장하여 알림과 관련된 증거인 프로세스, 파일 및 레지스트리 값을 포함하는 순서적 프로세스 트리를 표시합니다.
  • 프로세스 트리에서 항목을 클릭하여 증거에 대한 세부 데이터를 더 자세히 표시합니다.

다음은 테이블에 있는 열입니다:

  • 의심스러운 활동을 설명하는 알림 이름
  • 위험 수준 - Cato의 머신 러닝 위험 분석 알고리즘에 의해 계산된 알림의 전반적인 위험 점수 (값은 1 - 10 범위)
  • 알림과 관련된 장치의 로컬 IP외부 IP입니다.
  • 벤더 사용자 이름 - 알림과 관련된 사용자 계정
  • 장치 이름 - 알림에 관련된 장치의 이름
  • 운영 체제 - 알림에 관련된 장치의 운영 체제
  • 벤더 도메인 이름 - 알림의 사용자 계정과 관련된 Windows, AD 또는 로컬 도메인
  • 알림 ID - 알림의 ID 번호

  • MITRE 기법 - 위협에 대해 식별된 MITRE ATT&CK® 기술

    MITRE ATT&CK® 프레임워크에 대한 자세한 내용은 MITRE ATTACK® 대시보드 사용을 참조하십시오.

  • 상태 - 알림이 새로운 또는 이미 해결됨을 나타냅니다.
  • 최초 활동 날짜 - 알림에 대해 탐지된 초기 의심스러운 활동의 날짜
  • 최종 활동 날짜 - 알림에 대해 탐지된 최신 의심스러운 활동의 날짜
  • 위협 이름 - 감지된 맬웨어의 이름. 예를 들어: Trojan:Win32/Startpage
  • 설명 및 추천 조치 - 짧은 알림 설명 및 위협 조사 및 완화를 위한 추천 단계를 보려면 보기를 클릭하십시오.
증거

모든 프로세스, 파일, 레지스트리 값 및 네트워크 매개변수에 대한 세부 정보가 스토리의 다양한 알림에 대해 증거로 식별됩니다.

증거 테이블의 일부 열은 모든 유형의 증거에 공유되고 일부는 유형에 따라 다릅니다.

다음은 모든 유형의 증거에 나타나는 열입니다:

  • 판결 - 증거의 일부에 대해 Defender가 생성한 판결 (악성, 의심스러운 또는 위협이 없음)
  • 복구 상태 - 위협이 복구되었는지 여부를 보여줍니다.
  • 생성 시간 - 이벤트가 기록된 날짜 및 시간

다음은 각 유형의 증거에 대한 특정 열입니다:

  • 프로세스:

    • 프로세스 이름 - 프로세스에 대한 실행 파일의 이름
    • 프로세스 ID - 프로세스에 대해 Windows가 할당한 ID 번호
    • 프로세스 명령 줄 - Windows에 프로세스에 전달된 인수. 이는 의심스러운 프로세스 실행에 대한 중요한 맥락을 제공할 수 있습니다.
    • 파일 경로 - 엔드포인트 장치에서 프로세스의 실행 파일 위치

  • 파일:

    • 파일 경로 - 엔드포인트 장치의 파일 위치
    • 파일 이름 - 확장을 포함한 파일 이름
    • 파일 크기 - 바이트, 킬로바이트 또는 메가바이트 단위의 파일 크기

  • 레지스트리:

    • 레지스트리 키 이름
    • 레지스트리 값 유형 - 레지스트리 값에 저장된 데이터 형식
    • 레지스트리 값 - 레지스트리 항목의 값

  • 네트워크:

    • 경고를 생성한 플로우에 대한 네트워크 데이터를 표시하여 목적지 IP, 목적지 포트, DNS 및 HTTP 데이터, 그리고 액세스한 URL 등을 포함합니다.

Microsoft 커넥터 개요

Cato의 Microsoft Defender 커넥터를 구성하여 경고 데이터를 가져오려면 먼저 Microsoft 365 커넥터를 부모 앱으로 구성하여 Defender 커넥터에 읽기 권한을 부여해야 합니다. 부모 앱은 Microsoft 커넥터를 관리할 수 있는 권한만 가집니다. Microsoft 365 커넥터를 구성한 후 경고 데이터를 검색하기 위해 Defender 커넥터를 구성할 수 있습니다.

조직 내 다양한 하위 조직에서 경고 데이터를 가져오려면 관련 Azure 테넌트별로 별도의 Microsoft 365 커넥터를 생성한 다음 각 테넌트에 대한 Defender 커넥터를 구성합니다.

필수 조건

  • Microsoft 365 E3 라이선스 이상이 필요합니다
  • Microsoft 365 커넥터는 Cato의 Defender 커넥터에 권한을 부여하기 위해 글로벌 관리자 역할을 가진 관리자가 필요합니다.

Microsoft Defender 커넥터 필수 권한

Microsoft 365 계정에서 경고 데이터를 검색할 수 있도록 Defender 커넥터가 Cato에 다음 권한과 작업을 부여합니다:

  • Microsoft API에 연결하고 조직의 모든 Microsoft Defender for Endpoint 데이터를 읽습니다
  • 사용자 프로필에 로그인하고 읽기

Microsoft 커넥터 구성

Microsoft 365 계정을 위한 부모 Microsoft 365 커넥터를 구성한 다음 Defender 커넥터를 정의합니다.

조직이 Microsoft 앱에 대한 Saas Security API 정책이나 DLP 정책에 대한 MIP 라벨 가져오기 등 다른 기능을 위해 이미 Microsoft 365 부모 커넥터를 구성한 경우, Defender 커넥터만 구성하면 됩니다.

Microsoft 365 커넥터 구성

관련 Azure 테넌트를 위해 Microsoft 365 SaaS 애플리케이션 커넥터를 생성하려면 Cato 관리 애플리케이션을 사용합니다. 커넥터를 Cato 계정에 추가하려면 Microsoft 365에 인증할 수 있는 올바른 자격 증명이 필요합니다.

Endpoint_Connectors.png

Microsoft 365 부모 엔드포인트 커넥터를 구성하려면:

  1. 내비게이션 메뉴에서 보안 > 커넥터를 선택하고, 커넥터 설정 탭을 선택합니다.
  2. 새로 만들기를 클릭합니다. 새 커넥터 패널이 열립니다.

  3. SaaS 애플리케이션 드롭다운 메뉴에서 Microsoft 365 앱을 선택합니다.

    MIP_New_Connector_MS365.png
  4. 고유한 커넥터 이름을 입력합니다.

  5. 인증 및 저장을 클릭합니다.

    새 브라우저 탭이 Microsoft 365 앱으로 열립니다.

  6. 새 브라우저 탭에서 Microsoft 365 앱에 인증합니다:
    1. Microsoft 365 앱에 대한 Microsoft 계정을 선택합니다.
    2. 앱의 비밀번호를 입력하고 승인합니다.

    3. Cato가 Microsoft 365 앱에 액세스할 수 있는 권한을 허용합니다.

      MIP_Labels_Parent_Connector_Permissions.png

    4. 화면에 앱에 대한 권한을 성공적으로 적용했다는 메시지가 표시됩니다.

      Success_Connector_Permissions.png

      브라우저 탭을 닫고 Cato 관리 애플리케이션으로 돌아갑니다.

  7. Microsoft 365 SaaS 애플리케이션이 커넥터 설정 페이지에 추가됩니다.

    Endpoint_Connectors_-_MS_365.png

    Microsoft Azure가 요청을 처리하는 데 몇 초가 걸릴 수 있으며, 상태사용자 동의 대기 중으로 표시되면 브라우저를 새로 고칩니다.

Microsoft Defender for Endpoint 커넥터 구성

Microsoft Defender for Endpoint SaaS 애플리케이션 커넥터를 Azure 테넌트에 대해 생성하려면 Cato 관리 애플리케이션을 사용하십시오. 커넥터를 Cato 계정에 추가하려면 Microsoft 365에 인증할 수 있는 올바른 자격 증명이 필요합니다.

참고

참고: Microsoft 365 앱에 대한 API 커넥터를 생성할 때, 커넥터는 3개월 동안 유효한 인증서를 만들고, 만료 7일 전에 인증서를 갱신합니다.

Microsoft Defender 커넥터를 구성하려면:

  1. 내비게이션 메뉴에서 보안 > 커넥터를 선택하고, 커넥터 설정 탭을 선택합니다.
  2. 새로 만들기를 클릭합니다. 새 커넥터 패널이 열립니다.

  3. SaaS 애플리케이션 드롭다운 메뉴에서 Microsoft Defender 앱을 선택합니다.

    Defender_Connector.png
  4. 커넥터 테넌트 드롭다운 메뉴에서 사용하고자 하는 경고 데이터를 가진 테넌트에 대한 부모 Microsoft 365 커넥터를 선택합니다.
  5. Defender 커넥터에 대한 고유한 커넥터 이름을 입력합니다.
  6. 저장을 클릭합니다.

  7. 커넥터가 성공적으로 생성되면 인증을 클릭합니다.

    MIP_Labels_SuccessCreate_Authorize.png

    새 브라우저 탭이 Microsoft 365 앱으로 열립니다.

  8. 새 브라우저 탭에서 Microsoft 365 앱에 인증합니다:
    1. Microsoft 365 앱에 대한 Microsoft 계정을 선택합니다.
    2. 앱의 비밀번호를 입력하고 승인합니다.

    3. Cato가 Microsoft 365 앱에 액세스할 수 있는 권한을 허용합니다.

      Defender_connector_permissions.png

    4. 화면에 앱에 대한 권한을 성공적으로 적용했다는 메시지가 표시됩니다.

      Success_Connector_Permissions.png

      브라우저 탭을 닫고 Cato 관리 애플리케이션으로 돌아갑니다.

  9. Microsoft Defender SaaS 애플리케이션이 커넥터 설정 페이지에 추가됩니다.

    Endpoint_Connectors.png

    Microsoft Azure가 요청을 처리하는 데 몇 초가 걸릴 수 있으며, 상태사용자 동의 대기 중으로 표시되면 브라우저를 새로 고칩니다.

커넥터 상태 이해하기

커넥터 설정 페이지의 상태 열은 Microsoft 앱과 Cato 계정 간 연결 상태를 보여줍니다. 이것들은 상태에 대한 설명입니다:

  • 연결됨 - 계정이 앱과 연결되어 있으며 제대로 작동하고 있습니다
  • 사용자 동의 대기 중 - Cato가 Microsoft 365 앱에 액세스할 수 있도록 권한이 부여되지 않았습니다. 이 문제를 해결하려면 브라우저를 새로 고칩니다. 상태연결됨으로 변경되면 문제가 해결되었으며, 상태가 변경되지 않으면 커넥터를 삭제하고 다시 생성합니다.
  • 오류 - Microsoft 커넥터에 연결, 권한, 기타 문제가 있습니다. 커넥터를 삭제하고 다시 생성합니다.

스토리 워크벤치 페이지 보기

커넥터를 생성한 후 스토리는 스토리 워크벤치에 표시됩니다.

스토리 워크벤치 페이지를 보려면:

  • 내비게이션 메뉴에서 홈 > 스토리 워크벤치를 클릭합니다.

Stories Workbench의 열에 관한 정보는 스토리 열 이해하기를 참조하십시오.

Microsoft Defender의 데이터를 포함한 XOps 스토리 검토에 대한 자세한 내용은 Drilling-Down and Analyzing XOps Security Stories를 참조하세요.

도움이 되었습니까?

1명 중 1명이 도움이 되었다고 했습니다.

댓글 0개