많은 조직에서 TIP(위협 인텔리전스 플랫폼) 솔루션을 사용하여 다양한 원본의 위협 인텔리전스 피드를 집계합니다. 집계된 피드에서 데이터는 네트워크 디바이스, EDR/XDR 솔루션 또는 siEM(보안 정보 및 이벤트 관리) 솔루션(예: Microsoft Sentinel)과 같은 보안 솔루션에 적용하도록 큐레이팅됩니다. 사이버 위협 정보를 설명하기 위한 업계 표준을 "구조적 위협 정보 식" 또는 STIX라고 합니다. STIX 개체를 지원하는 업로드 API를 사용하면 위협 인텔리전스를 Microsoft Sentinel 가져오는 보다 표현적인 방법을 사용합니다.
업로드 API는 데이터 커넥터 없이 위협 인텔리전스를 Microsoft Sentinel 수집합니다. 이 문서에서는 연결해야 하는 사항에 대해 설명합니다. API 세부 정보에 대한 자세한 내용은 API 업로드 Microsoft Sentinel 참조 문서를 참조하세요.
위협 인텔리전스에 대한 자세한 내용은 위협 인텔리전스를 참조하세요.
중요
Microsoft Sentinel 위협 인텔리전스 업로드 API는 미리 보기 상태입니다. 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 더 많은 법적 용어는 Microsoft Azure Preview에 대한 추가 사용 약관을 참조하세요.
2027년 3월 31일 이후에는 Microsoft Sentinel 더 이상 Azure Portal 지원되지 않으며 Microsoft Defender 포털에서만 사용할 수 있습니다. Azure Portal Microsoft Sentinel 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel 사용합니다. 2025년 7월부터 많은 신규 고객이 자동으로 온보딩되고 Defender 포털로 리디렉션됩니다.
Azure Portal Microsoft Sentinel 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 제공하는 통합 보안 운영 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다. 자세한 내용은 It's Time to Move: Retiring Microsoft Sentinel s Azure Portal for greater security를 참조하세요.
참고
미국 정부 클라우드의 기능 가용성에 대한 자세한 내용은 미국 정부 고객을 위한 클라우드 기능 가용성의 Microsoft Sentinel 테이블을 참조하세요.
필수 구성 요소
- 위협 인텔리전스 STIX 개체를 저장하려면 Microsoft Sentinel 작업 영역에 대한 읽기 및 쓰기 권한이 있어야 합니다.
- Microsoft Entra 애플리케이션을 등록할 수 있어야 합니다.
- Microsoft Entra 애플리케이션에는 작업 영역 수준에서 Microsoft Sentinel 기여자 역할이 부여되어야 합니다.
지침
통합 TIP 또는 사용자 지정 위협 인텔리전스 솔루션에서 Microsoft Sentinel 위협 인텔리전스 STIX 개체를 가져오려면 다음 단계를 수행합니다.
- Microsoft Entra 애플리케이션을 등록한 다음 해당 애플리케이션 ID를 기록합니다.
- Microsoft Entra 애플리케이션에 대한 클라이언트 비밀을 생성하고 기록합니다.
- Microsoft Entra 애플리케이션에 Microsoft Sentinel 기여자 역할 또는 해당 역할을 할당합니다.
- TIP 솔루션 또는 사용자 지정 애플리케이션을 구성합니다.
Microsoft Entra 애플리케이션 등록
기본 사용자 역할 권한을 사용하면 사용자가 애플리케이션 등록을 만들 수 있습니다. 이 설정이 아니요로 전환된 경우 Microsoft Entra 애플리케이션을 관리할 수 있는 권한이 필요합니다. 다음 Microsoft Entra 역할에는 필요한 권한이 포함됩니다.
- 애플리케이션 관리자
- 응용 프로그램 개발자
- 클라우드 앱 관리자
Microsoft Entra 애플리케이션 등록에 대한 자세한 내용은 애플리케이션 등록을 참조하세요.
애플리케이션을 등록한 후 애플리케이션의 개요 탭에서 애플리케이션(클라이언트) ID를 기록합니다.
애플리케이션에 역할 할당
업로드 API는 작업 영역 수준에서 위협 인텔리전스 개체를 수집하며 Microsoft Sentinel 기여자의 역할이 필요합니다.
Azure Portal Log Analytics 작업 영역으로 이동합니다.
액세스 제어(IAM)를 선택합니다.
추가>역할 할당 추가를 선택합니다.
역할 탭에서 Microsoft Sentinel 기여자 역할을 선택한 다음, 다음을 선택합니다.
구성원 탭에서사용자, 그룹 또는 서비스 주체에 대한 액세스 할당을> 선택합니다.
멤버를 선택합니다. 기본적으로 Microsoft Entra 애플리케이션은 사용 가능한 옵션에 표시되지 않습니다. 애플리케이션을 찾으려면 이름으로 검색합니다.
검토 + 할당을 선택합니다.
애플리케이션에 역할을 할당하는 방법에 대한 자세한 내용은 애플리케이션에 역할 할당을 참조하세요.
위협 인텔리전스 플랫폼 솔루션 또는 사용자 지정 애플리케이션 구성
업로드 API에는 다음 구성 정보가 필요합니다.
- 응용 프로그램(클라이언트) ID
- OAuth 2.0 인증을 사용하여 액세스 토큰 Microsoft Entra
- Microsoft Sentinel 작업 영역 ID
필요한 경우 통합 TIP 또는 사용자 지정 솔루션의 구성에 이러한 값을 입력합니다.
- 업로드 API에 위협 인텔리전스를 제출합니다. 자세한 내용은 Microsoft Sentinel 업로드 API를 참조하세요.
- 몇 분 내에 위협 인텔리전스 개체가 Microsoft Sentinel 작업 영역으로 흐르기 시작해야 합니다. Microsoft Sentinel 메뉴에서 액세스할 수 있는 위협 인텔리전스 페이지에서 새 STIX 개체를 찾습니다.
관련 콘텐츠
이 문서에서는 TIP을 Microsoft Sentinel 연결하는 방법을 알아보았습니다. Microsoft Sentinel 위협 인텔리전스를 사용하는 방법에 대한 자세한 내용은 다음 문서를 참조하세요.
- 위협 인텔리전스를 이해합니다.
- Microsoft Sentinel 환경 전반에 걸쳐 위협 지표를 사용합니다.
- Microsoft Sentinel 기본 제공 또는 사용자 지정 분석 규칙을 사용하여 위협 검색을 시작합니다.