이 문서에서는 Microsoft Defender 외부 공격 표면 관리(Defender EASM)의 데이터 연결 기능에 대해 설명합니다.
개요
이제 Defender EASM 공격 표면 데이터를 다른 Microsoft 솔루션에 원활하게 통합하여 기존 워크플로를 새로운 인사이트를 보완하는 데 도움이 되는 데이터 연결을 제공합니다. 공격 노출 영역 데이터를 최대한 활용하려면 Defender EASM 데이터를 수정 목적으로 사용하는 다른 보안 도구로 가져와야 합니다.
데이터 커넥터는 Defender EASM 자산 데이터를 Log Analytics 및 Azure Data Explorer 두 개의 플랫폼으로 보냅니다. Defender EASM 데이터를 두 도구로 내보내야 합니다. 데이터 연결에는 각 플랫폼에 대한 가격 책정 모델이 적용됩니다.
Log Analytics는 보안 정보 및 이벤트 관리 및 보안 오케스트레이션, 자동화 및 응답 기능을 제공합니다. log Analytics에서 Defender EASM 자산 또는 인사이트 정보를 사용하여 다른 보안 데이터로 기존 워크플로를 보강할 수 있습니다. 이 정보는 방화벽 및 구성 정보, 위협 인텔리전스 및 규정 준수 데이터를 보완하여 개방형 인터넷의 외부 연결 인프라에 대한 가시성을 제공할 수 있습니다.
다음을 수행할 수 있습니다.
- 보안 인시던트 만들기 또는 보강
- 조사 플레이북을 빌드합니다.
- 기계 학습 알고리즘을 학습시킵니다.
- 수정 작업을 트리거합니다.
Azure Data Explorer 유연한 사용자 지정 기능을 사용하여 다양한 원본에서 대량의 데이터를 분석하는 데 도움이 되는 빅 데이터 분석 플랫폼입니다. Defender EASM 자산 및 인사이트 데이터를 통합하여 플랫폼 내에서 시각화, 쿼리, 수집 및 관리 기능을 사용할 수 있습니다.
Power BI를 사용하여 사용자 지정 보고서를 작성하든 정확한 KQL 쿼리와 일치하는 자산을 헌팅하든 관계없이 Defender EASM 데이터를 Azure Data Explorer 내보내면 끝없는 사용자 지정 가능성으로 공격 표면 데이터를 사용할 수 있습니다.
데이터 콘텐츠 옵션
Defender EASM 데이터 연결은 두 가지 종류의 공격 표면 데이터를 원하는 도구에 통합할 수 있는 기능을 제공합니다. 자산 데이터를 마이그레이션하거나, surface 인사이트를 공격하거나, 두 데이터 형식을 모두 마이그레이션하도록 선택할 수 있습니다. 자산 데이터는 전체 인벤토리에 대한 세부 정보를 제공합니다. 공격 표면 인사이트는 Defender EASM 대시보드를 기반으로 즉시 실행 가능한 인사이트를 제공합니다.
organization 가장 중요한 인프라를 정확하게 제시하기 위해 두 콘텐츠 옵션 모두 승인된 인벤토리 상태의 자산만 포함합니다.
자산 데이터: 자산 데이터 옵션은 모든 인벤토리 자산에 대한 데이터를 원하는 도구로 보냅니다. 이 옵션은 세분화된 기본 메타데이터가 Defender EASM 통합의 핵심인 사용 사례에 가장 적합합니다. 예를 들어 Azure Data Explorer Microsoft Sentinel 또는 사용자 지정된 보고가 있습니다. 인벤토리의 모든 자산과 특정 자산 유형과 관련된 세부 정보에 대해 개략적인 컨텍스트를 내보낼 수 있습니다.
이 옵션은 자산에 대한 미리 결정된 인사이트를 제공하지 않습니다. 대신, 가장 중요한 사용자 지정 인사이트를 찾을 수 있도록 방대한 양의 데이터를 제공합니다.
공격 표면 인사이트: 공격 표면 인사이트는 Defender EASM 대시보드를 통해 제공되는 주요 인사이트를 기반으로 실행 가능한 결과 집합을 제공합니다. 이 옵션은 각 자산에 대해 덜 세분화된 메타데이터를 제공합니다. 해당 인사이트를 기반으로 자산을 분류하고 추가 조사에 필요한 고급 컨텍스트를 제공합니다. 이 옵션은 이러한 미리 결정된 인사이트를 다른 도구의 데이터와 사용자 지정 보고 워크플로에 통합하려는 경우에 적합합니다.
구성 개요
이 섹션에서는 구성에 대한 일반적인 정보를 제공합니다.
데이터 연결에 액세스
Defender EASM 리소스 창의 맨 왼쪽 창의 관리에서 데이터 연결을 선택합니다. 이 페이지에는 Log Analytics 및 Azure Data Explorer 모두에 대한 데이터 커넥터가 표시됩니다. 현재 연결을 나열하고 연결을 추가, 편집 또는 제거하는 옵션을 제공합니다.
연결 필수 구성 요소
데이터 연결을 성공적으로 만들려면 먼저 선택한 도구에 Defender EASM 권한을 부여하는 데 필요한 단계를 완료했는지 확인해야 합니다. 이 프로세스를 통해 애플리케이션은 내보낸 데이터를 수집할 수 있습니다. 또한 연결을 구성하는 데 필요한 인증 자격 증명을 제공합니다.
참고
Defender EASM 데이터 연결은 프라이빗 링크 또는 네트워크를 지원하지 않습니다.
Log Analytics 권한 구성
Defender EASM 데이터를 수집하거나 새 작업 영역을 만들 Log Analytics 작업 영역을 엽니다.
맨 왼쪽 창의 설정에서 에이전트를 선택합니다.
Log Analytics 에이전트 지침 섹션을 확장하여 작업 영역 ID 및 기본 키를 봅니다. 이러한 값은 데이터 연결을 설정하는 데 사용됩니다.
참고
현재 Defender EASM Log Analytics 데이터 커넥터에서 사용하는 HTTP 데이터 수집기 API는 2026년 9월 14일에 더 이상 사용되지 않습니다.
모든 새 Log Analytics 데이터 커넥터는 아래에 설명된 대로 추가 권한 구성이 필요한 로그 수집 API를 사용합니다.
리소스 그룹 역할 할당 구성
- 맨 왼쪽 창에서 개요를 선택하고 기본 창의 Essentials 아래의 리소스 그룹으로 이동합니다.
- Log Analytics 작업 영역이 포함된 리소스 그룹을 엽니다.
- 맨 왼쪽 창에서 액세스 제어(IAM)를 선택합니다.
- 읽기 권한자 역할을 검색하고 선택합니다.
- 역할 할당의 멤버로 EASM API를 검색하고 선택합니다.
- 할당 유형이 영구적 인지 확인한 다음 검토 + 할당을 클릭합니다.
- 이 작업을 반복하고 EASM API 앱에 대한 모니터링 기여자, Log Analytics 기여자 및 모니터링 메트릭 게시자 역할을 추가합니다.
참고
EASM API에 대한 역할 할당은 몇 분 후에 할당될 수 있습니다. 할당을 구성한 후 몇 분 동안 기다렸다가 새 데이터 연결을 만듭니다.
구독 리소스 공급자 구성
- 리소스 그룹 및 Log Analytics 작업 영역이 포함된 구독을 엽니다.
- 맨 왼쪽 창의 설정 에서 리소스 공급자를 선택합니다.
-
microsoft.insights를 검색하고 공급자를 등록합니다.
참고
새 Log Analytics API를 사용하면 Defender EASM 데이터를 수집할 Defender EASM 리소스 및 Log Analytics 작업 영역이 동일한 테넌트여야 합니다.
이 데이터 연결의 사용은 Log Analytics의 가격 책정 구조에 따라 다릅니다. 자세한 내용은 Azure Monitor 가격 책정을 참조하세요.
Azure Data Explorer 권한 구성
Defender EASM API 서비스 주체가 공격 노출 영역 데이터를 내보내려는 데이터베이스의 올바른 역할에 액세스할 수 있는지 확인합니다. 먼저 이 작업이 EASM API 주체를 프로비전하기 때문에 Defender EASM 리소스가 적절한 테넌트에서 생성되었는지 확인합니다.
Defender EASM 데이터를 수집하거나 새 클러스터를 만들 Azure Data Explorer 클러스터를 엽니다.
맨 왼쪽 창의 데이터에서 데이터베이스를 선택합니다.
데이터베이스 추가를 선택하여 Defender EASM 데이터를 보관할 데이터베이스를 만듭니다.
데이터베이스 이름을 지정하고, 보존 및 캐시 기간을 구성하고, 만들기를 선택합니다.
Defender EASM 데이터베이스를 만든 후 데이터베이스 이름을 선택하여 세부 정보 페이지를 엽니다. 맨 왼쪽 창의 개요에서 사용 권한을 선택합니다. Defender EASM 데이터를 Azure Data Explorer 내보내려면 EASM API에 대한 두 가지 새 권한(사용자 및 수집기)을 만들어야 합니다.
사용자 추가 및 만들기를 선택합니다. EASM API를 검색하고, 값을 선택하고, 선택을 선택합니다.
추가를 선택하여 수집기를 만듭니다. 이전에 설명한 것과 동일한 단계에 따라 EASM API를 수집기로 추가합니다.
이제 데이터베이스가 Defender EASM 연결할 준비가 되었습니다. 데이터 연결을 구성할 때 클러스터 이름, 데이터베이스 이름 및 지역이 필요합니다.
데이터 연결 추가
Defender EASM 데이터를 Log Analytics 또는 Azure Data Explorer 연결할 수 있습니다. 이렇게 하려면 데이터 연결 페이지에서 적절한 도구에 대한 연결 추가를 선택합니다.
구성 창이 데이터 연결 페이지의 오른쪽에 열립니다. 각 도구에 대해 다음 필드가 필요합니다.
Log Analytics
이름: 이 데이터 연결의 이름을 입력합니다.
작업 영역 ID: Defender EASM 데이터를 내보낼 Log Analytics instance 대한 작업 영역 ID를 입력합니다.
콘텐츠: 자산 데이터, 공격 표면 인사이트 또는 두 데이터 세트를 통합하려면 선택합니다.
빈도: Defender EASM 연결이 선택한 도구로 업데이트된 데이터를 보내는 데 사용하는 빈도를 선택합니다. 사용 가능한 옵션은 매일, 매주, 매월입니다.
참고
모든 새 데이터 연결은 Log Analytics API를 사용하며 API 키를 사용하지 않습니다 .
Azure Data Explorer
이름: 이 데이터 연결의 이름을 입력합니다.
클러스터 이름: Defender EASM 데이터를 내보낼 Azure Data Explorer 클러스터의 이름을 입력합니다.
지역: Azure Data Explorer 클러스터의 지역을 입력합니다.
데이터베이스 이름: 원하는 데이터베이스의 이름을 입력합니다.
콘텐츠: 자산 데이터, 공격 표면 인사이트 또는 두 데이터 세트를 통합하려면 선택합니다.
빈도: Defender EASM 연결이 선택한 도구로 업데이트된 데이터를 보내는 데 사용하는 빈도를 선택합니다. 사용 가능한 옵션은 매일, 매주, 매월입니다.
모든 필드를 구성한 후 추가 를 선택하여 데이터 연결을 만듭니다. 이 시점에서 데이터 연결 페이지에 리소스가 성공적으로 생성되었음을 나타내는 배너가 표시됩니다. 30분 후에 데이터가 채워지기 시작합니다. 연결을 만든 후에는 기본 데이터 연결 페이지의 적용 가능한 도구 아래에 나열됩니다.
데이터 연결 편집 또는 삭제
데이터 연결을 편집하거나 삭제할 수 있습니다. 예를 들어 연결이 연결 끊김으로 나열되는 것을 알 수 있습니다. 이 경우 문제를 해결하려면 구성 세부 정보를 다시 입력해야 합니다.
데이터 연결을 편집하거나 삭제하려면 다음을 수행합니다.
기본 데이터 연결 페이지의 목록에서 적절한 연결을 선택합니다.
연결에 대한 더 많은 데이터를 제공하는 페이지가 열립니다. 연결 및 오류 메시지를 만들 때 선택한 구성이 표시됩니다. 다음 데이터도 표시됩니다.
되풀이 날짜: Defender EASM 연결된 도구에 업데이트된 데이터를 보내는 요일 또는 월입니다.
만든 날짜: 데이터 연결이 만들어진 날짜 및 시간입니다.
업데이트됨: 데이터 연결이 마지막으로 업데이트된 날짜 및 시간입니다.
이 페이지에서 데이터 연결을 다시 연결, 편집 또는 삭제할 수 있습니다.
- 다시 연결: 구성을 변경하지 않고 데이터 연결의 유효성을 검사하려고 시도합니다. 이 옵션은 데이터 연결에 사용되는 인증 자격 증명의 유효성을 검사하는 경우에 가장 적합합니다.
- 편집: 데이터 연결에 대한 구성을 변경할 수 있습니다.
- 삭제: 데이터 연결을 삭제합니다.