이 글에서는 Cato 스토리 작업대에서 검토할 수 있는 스토리를 생성하기 위해 Microsoft Defender for Endpoint에서 데이터를 통합하는 방법을 설명합니다.
참고
Note: XOps는 보안 및 운영에 대한 통찰력과 안내된 해결책을 제공하는 카토의 통합 분석 레이어입니다. XOps는 XDR을 대체했으며, 자세한 내용은 XOps FAQ를 참조하세요.
Microsoft API를 사용하여 Microsoft Defender for Endpoint에서 알림 데이터를 통합하여 엔드포인트 디바이스에 대한 스토리를 생성할 수 있습니다. 엔드포인트 스토리는 네트워크의 잠재적 위협에 대한 더 완전한 그림을 제공합니다.
Cato 엔드포인트 경고 엔진은 24시간 이내에 같은 디바이스에서 발생한 Defender 경고 데이터를 상관 분석하여 스토리를 생성합니다. 엔드포인트 알림 스토리에는 Defender가 감지한 알림에 대한 모든 관련 증거가 포함됩니다. XDR 발견 사건에서는 엔드포인트 스토리와 다른 스토리 유형들을 함께 보여주며, 엔드포인트 알림 스토리에 집중하기 위해 스토리를 정렬 및 필터링할 수 있습니다.
Defender for Endpoint 경고 데이터를 카토 XOps (이전 XDR)과 통합하려면 먼저 Microsoft 365 및 Defender for Endpoint에 대해 API 커넥터를 설정해야 합니다. 커넥터를 생성한 후, 엔드포인트 경고 엔진이 Defender for Endpoint에서 알림 데이터를 검색하고 분석합니다.
Microsoft Defender의 데이터를 포함한 XOps 스토리 검토에 대한 자세한 내용은 XOps 보안 스토리 심층 분석을 참조하십시오.
다음은 XDR 발견 사건에서 Defender for Endpoint 스토리를 통합하고 검토하기 위한 워크플로의 고급 설명입니다:
-
Microsoft 365 부모 커넥터 생성.
-
Defender for Endpoint 커넥터 생성.
-
XDR 발견 사건에서 엔드포인트 알림 스토리 검토.
Cato의 Microsoft Defender 커넥터를 구성하여 알림 데이터를 가져오려면, 먼저 Microsoft 365 커넥터를 부모 앱으로 구성하여 Defender 커넥터에 대한 읽기 권한을 부여해야 합니다. 부모 앱은 Microsoft 커넥터를 관리할 수 있는 권한만 있습니다. Microsoft 365 커넥터를 구성한 후, 알림 데이터를 검색하기 위해 Defender 커넥터를 구성할 수 있습니다.
조직 내의 다른 하위 조직에서 알림 데이터를 가져오려면, 각 관련 Azure 테넌트에 대한 별도의 Microsoft 365 커넥터를 생성한 후, 각 테넌트에 대한 Defender 커넥터를 구성하십시오.
-
Microsoft 365 E3 이상의 라이선스가 필요합니다
-
Microsoft 365 커넥터는 글로벌 관리자 역할을 가진 관리자에게 Cato의 Defender 커넥터에 대한 권한을 부여해야 합니다
Microsoft 365 계정을 위해 부모 Microsoft 365 커넥터를 구성한 후 Defender 커넥터를 정의합니다.
조직에서 이미 다른 기능을 위해 Microsoft 365 상위 커넥터를 구성한 경우, 예를 들어 Microsoft 앱에 대한 Saas 보안 API 정책이나 MIP 라벨을 DLP 정책에 가져오는 경우, Defender 커넥터만 구성하면 됩니다.
Cato 관리 애플리케이션을 사용하여 관련 Azure 테넌트에 대한 Microsoft 365 SaaS 애플리케이션 커넥터를 생성하세요. Cato 계정에 커넥터를 추가하려면 Microsoft 365에 인증할 수 있는 올바른 자격 증명이 필요합니다.
Microsoft 365 상위 엔드포인트 커넥터를 구성하려면:
-
네비게이션 메뉴에서 보안 > 커넥터를 선택하고 커넥터 설정 탭을 선택합니다.
-
새로운을 클릭합니다. 새 커넥터 패널이 열립니다.
-
SaaS 애플리케이션 드롭다운 메뉴에서 Microsoft 365 앱을 선택합니다.
-
고유한 커넥터 이름을 입력합니다.
-
승인 및 저장을 클릭합니다.
새 브라우저 탭이 열리며 Microsoft 365 앱으로 이동합니다.
-
새 브라우저 탭에서 Microsoft 365 앱에 인증하기:
-
Microsoft 365 앱에 대한 Microsoft 계정을 선택합니다.
-
앱의 비밀번호를 입력하고 승인합니다.
-
Cato가 Microsoft 365 앱에 액세스할 수 있도록 수락합니다.
-
앱에 대한 권한이 성공적으로 적용되었음을 화면에 표시합니다.
브라우저 탭을 닫고 Cato 관리 애플리케이션으로 돌아갈 수 있습니다.
-
-
Microsoft 365 SaaS 애플리케이션이 커넥터 설정 페이지에 추가되었습니다.
Microsoft Azure가 요청을 처리하는 데 몇 초가 걸릴 수 있으므로, 상태가 사용자 동의 대기 중으로 표시되면 브라우저를 새로고침하세요.
원하는 알림 데이터를 포함하는 Azure 테넌트에 대해 Microsoft Defender for Endpoint SaaS 애플리케이션 커넥터를 생성하려면 Cato 관리 애플리케이션을 사용하세요. Cato 계정에 커넥터를 추가하려면 Microsoft 365에 인증할 수 있는 올바른 자격 증명이 필요합니다.
참고
참고: Microsoft 365 앱에 대한 API 커넥터를 생성하면 커넥터가 3개월 동안 유효한 인증서를 생성하고 만료 7일 전에 인증서를 갱신합니다.
Microsoft Defender 커넥터를 구성하려면:
-
네비게이션 메뉴에서 보안 > 커넥터를 선택하고 커넥터 설정 탭을 선택합니다.
-
새로운을 클릭합니다. 새 커넥터 패널이 열립니다.
-
SaaS 애플리케이션 드롭다운 메뉴에서 Microsoft Defender 앱을 선택합니다.
-
커넥터 테넌트 드롭다운 메뉴에서 사용하고자 하는 알림 데이터를 가진 테넌트의 상위 Microsoft 365 커넥터를 선택합니다.
-
Defender 커넥터에 대한 고유한 커넥터 이름을 입력합니다.
-
저장을 클릭합니다.
-
커넥터가 성공적으로 생성된 후, 승인을 클릭합니다.
새로운 브라우저 탭이 Microsoft 365 앱으로 열립니다.
-
새로운 브라우저 탭에서 Microsoft 365 앱에 인증하기:
-
Microsoft 365 앱에 대한 Microsoft 계정을 선택합니다.
-
앱에 대한 비밀번호를 입력하고 승인합니다.
-
수락하기 권한을 카토가 Microsoft 365 앱에 접근할 수 있도록 허용합니다.
-
화면에 애플리케이션의 권한을 성공적으로 적용한 것이 표시됩니다.
브라우저 탭을 닫고 카토 관리 애플리케이션으로 돌아갈 수 있습니다.
-
-
Microsoft Defender SaaS 애플리케이션이 커넥터 설정 페이지에 추가되었습니다.
Microsoft Azure가 요청을 처리하는 데 몇 초가 걸릴 수 있으므로 상태가 사용자 동의 대기 중을 표시하면 브라우저를 새로고침 하십시오.
상태 열은 Microsoft 앱과 귀하의 카토 계정 간의 연결 상태를 보여줍니다. 다음은 상태에 대한 설명입니다:
-
연결됨 - 계정이 앱에 연결되어 있으며 정상 작동하고 있습니다
-
사용자 동의 대기 중 - 카토가 Microsoft 365 앱에 접근할 수 있도록 권한이 부여되지 않았습니다. 이 문제를 해결하려면 브라우저를 새로고침 하십시오. 상태가 연결됨으로 변경되면 문제가 해결된 것입니다. 만약 상태가 변경되지 않는다면 연결기를 삭제하고 다시 생성하십시오.
-
오류 - Microsoft 커넥터에 연결, 권한 또는 기타 문제가 있습니다. 연결기를 삭제하고 다시 생성하십시오.
커넥터를 생성하면 스토리가 XDR 발견 사건에서 보이게 됩니다.
스토리 작업대의 열에 대한 정보는 스토리 열 이해를 참조하세요.
Microsoft Defender의 데이터를 포함한 XOps 스토리 검토에 대한 자세한 내용은 XOps 보안 스토리 심층 분석을 참조하십시오.
댓글 0개
댓글을 남기려면 로그인하세요.