Microsoft Sentinel 커넥터 작성기 에이전트는 VISUAL STUDIO CODE(VS Code)용 Microsoft Sentinel 확장을 사용하여 GitHub Copilot AI 지원 워크플로를 사용하여 몇 분 안에 데이터 커넥터를 빌드합니다. 이 로우 코드 환경은 스키마, 배포 자산, 커넥터 UI, 보안 비밀 처리 및 폴링 논리를 자율적으로 생성하여 개발자와 ISV(독립 소프트웨어 공급업체)를 엔드투엔드에 안내합니다. 기본 제공 유효성 검사는 폴링 문제를 조기에 표시하므로 데이터를 배포하고 수집하기 전에 이벤트 로그의 유효성을 검사할 수 있습니다.
Sentinel 커넥터 작성기 에이전트를 사용하면 다음을 수행할 수 있습니다.
CCF(Codeless Connector Framework) 기반 커넥터를 작성하는 데 수동 시간과 노력을 줄입니다.
간단한 프롬프트를 사용하여 커넥터 정의 스캐폴드
자연어를 사용하여 커넥터 논리 반복
배포 전에 커넥터 아티팩트 유효성 검사
필수 구성 요소
시작하기 전에 다음 요구 사항을 충족하는지 확인합니다.
활성 Microsoft Sentinel 작업 영역
GitHub Copilot 사용하여 Visual Studio Code 액세스
Sentinel 데이터 커넥터를 만들거나 수정하는 Microsoft Sentinel 기여자 역할
에이전트 환경을 사용하는 커넥터의 이점
Sentinel 커넥터 작성기 에이전트는 많은 일반적인 시나리오에서 커넥터 개발 시간을 주에서 몇 시간으로 줄일 수 있습니다. 이전에 여러 도구, 수동 핸드오프 및 반복된 유효성 검사 주기가 필요했던 작업을 이제 인라인으로 완료하여 더 빠른 반복 및 배포 준비 속도를 가능하게 할 수 있습니다.
| 영역 | 비 AI 커넥터 개발 프로세스 | 커넥터 작성기 에이전트를 사용한 VS Code 확장 |
|---|---|---|
| 제작 환경 | 커넥터 정의, 스키마 및 구성 항목은 종종 Azure Portal, 편집기 및 JSON 템플릿을 비롯한 여러 도구에서 작성됩니다. 컨텍스트 전환은 일반적입니다. | 커넥터 작성은 개발자 중심의 단일 환경을 사용하여 다른 개발 자산과 함께 VS Code에서 직접 수행됩니다. |
| 반복 속도 | 일반적으로 변경하려면 도구 간을 탐색하고, 항목을 업데이트하고, 수동으로 다시 수정해야 하므로 반복 속도가 느려집니다. | 개발자는 VS Code 내에서 에이전트 를 사용하여 커넥터를 반복적으로 구체화 하여 디자인, 업데이트 및 검토 간의 마찰을 줄일 수 있습니다. |
| 유효성 검사 및 피드백 | 유효성 검사 단계는 종종 워크플로의 뒷부분에서 수행되어 스키마 또는 구성 문제를 늦게 검색할 위험이 증가합니다. | 유효성 검사는 제작 환경에 더 가깝게 수행되어 이전 문제를 식별하고 배포 전에 전반적인 품질을 개선하는 데 도움이 됩니다. |
| 개발자 생산성 | 개발자는 커넥터 논리 및 정확성에 집중하지 않고 도구 및 탐색을 관리하는 데 시간을 할애합니다. | 개발자는 로우 코드 에이전트 기반 커넥터 빌드를 사용하여 코드를 검토하고 스키마를 구조화하는 데 집중할 수 있습니다. |
Sentinel 커넥터 작성기 에이전트를 사용하여 사용자 지정 커넥터 만들기
다음 단계에서는 VS Code에서 Sentinel Connector Builder 에이전트를 사용하여 사용자 지정 Microsoft Sentinel 커넥터를 만들고, 유효성을 검사하고, 배포하는 방법을 보여 줍니다.
1단계: VS Code용 Sentinel 확장 설치 및 열기
Visual Studio Code 대한 Microsoft Sentinel 확장을 설치하고 메시지가 표시되면 VS Code를 다시 로드합니다.
파일 탐색기에서 빈 폴더를 만들고 엽니다. 에이전트에서 생성된 모든 파일은 이 폴더에 로컬로 저장됩니다.
2단계: Sentinel 커넥터 작성기 에이전트 프롬프트
VS Code 채팅을 열고 채팅을 에이전트 모드로 설정합니다.
를 사용하여 에이전트에 프롬프트를 표시합니다
@sentinel. 메시지가 표시되면 지원되는 API를 선택하고/create-connector선택합니다.예를 들어 다음과 같이 프롬프트를 입력합니다.
@sentinel /create-connector Create a connector for Contoso. Here are the API docs: https://contoso-security-api.azurewebsites.net/v0101/api-doc
원본 API 정보, 인증 방법을 제공하여 적절한 커넥터 패턴을 생성합니다.
3단계: 커넥터 아티팩트 생성 또는 업데이트
입력에 따라 에이전트는 다음 네 개의 파일을 생성합니다.
폴링 구성
DCR(데이터 수집 규칙) 매핑
커넥터 정의
Sentinel 요구 사항에 맞는 스키마 및 테이블 참조
이 그림에서는 생성된 JSON 커넥터 파일을 보여 줍니다.
참고
에이전트 평가 중에 응답이 변경 내용을 승인하도록 한 번 허용 을 선택하거나 채팅에서 승인 무시 옵션을 선택합니다. 평가가 완료되는 데 최대 몇 분 정도 걸릴 수 있습니다.
에이전트 또는 인라인을 사용하여 생성된 JSON 파일에 직접 커넥터를 반복적으로 구체화합니다. 예시:
에이전트에 설명, 작성자 이름 등을 수정하도록 요청합니다.
테이블 이름에 대한 수집 논리 업데이트
인증 또는 폴링 매개 변수 조정; 예를 들어 폴링 빈도, 시간 제한 기간 등
중요
빌드하는 동안 파일을 편집하거나 수정하지 마세요. 파일의 필드에 오류가 표시되면 빌드가 계속 진행 중임을 의미합니다.
4단계: 커넥터 구성 유효성 검사
데이터 원본 이벤트에 대한 API의 유효성을 검사하려면 ARM 템플릿이 포함된 폴더를 마우스 오른쪽 단추로 클릭하고 Microsoft Sentinel>테스트 커넥터를 선택합니다.
테스트 커넥터 창에서 데이터 원본 API에 대한 인증 세부 정보를 입력한 다음 연결을 선택합니다.
폴링은 폴링 구성 JSON 파일의 설정에 따라 시작됩니다.
이벤트 탭에서 요청 헤더 및 API에서 반환된 이벤트를 검토합니다.
참고
이 테스트는 API 호출이 성공했는지 확인하고 이벤트를 반환합니다. Sentinel 테이블에 이벤트가 기록되고 있는지는 확인하지 않습니다. 테이블 수집은 Microsoft Sentinel 데이터 커넥터 페이지에서 커넥터 설정을 완료하면 유효성이 검사됩니다.
연결의 유효성을 검사한 후 연결 끊기를 선택하여 폴링 세션을 중지합니다.
5단계: 배포
유효성 검사 테스트가 성공하면 채팅 창에서 배포 를 선택하여 커넥터 배포를 시작합니다.
확장은 사용 가능한 Microsoft Sentinel 작업 영역에서 선택할 수 있는 패널을 엽니다.
작업 영역을 선택한 다음 배포 를 선택하여 해당 작업 영역에 커넥터를 배포합니다.
또는 생성된 파일이 포함된 폴더를 마우스 오른쪽 단추로 클릭하고 Microsoft Sentinel>사용자 배포 커넥터를 선택합니다.
배포가 완료되면 출력 창에 성공 메시지가 표시됩니다.
참고
Sentinel 작업 영역에 배포한 후 이 커넥터는 데이터를 Microsoft Sentinel 테이블에 수집하는 데 중점을 둡니다. 보안 검사를 위해 전체 솔루션 패키지 또는 미리 빌드된 엔드투엔드 SOAR 워크플로는 포함되지 않습니다. 자동화가 필요한 경우 시나리오에 필요한 플레이북 및 워크플로를 만듭니다.
도움말 확인
- 통합을 빌드하는 ISV 파트너의 경우 다음을 문의하세요. azuresentinelpartner@microsoft.com
- 기술 질문에 대한 자세한 내용은 'azure-sentinel' 태그와 함께 Microsoft Q&A 를 사용합니다.