Microsoft Defender XDR 로그 (Beta)

개요

Panther는 수집을 지원합니다 Microsoft Defender XDR logs via common 데이터 전송 옵션, 예를 들어 Azure Event Hub 및 Blob Storage.

Panther에 Microsoft Defender XDR 로그를 온보딩하는 방법

먼저 Panther에서 Azure Blob Storage 또는 Azure Event Hub 소스를 만든 다음, Azure를 구성하여 해당 위치로 로그를 내보내세요.

사전 요구 사항

Microsoft Defender XDR 로그를 Panther에 온보딩하기 전에 다음을 확인하세요:

• Azure 구독이 있고 사용자의 Owner 또는 Contributor 권한이 있습니다.

• Defender XDR 로그를 다음을 통해 수집할 계획이라면 Event Hub Data Transport, 이미 다음이 생성되어 있어야 합니다. Event Hubs 네임스페이스 및 Event Hub(다음 항목에 명시된 대로) 전제 조건).

  • Defender XDR 로그를 다음을 통해 수집할 계획이라면 Blob Storage Data Transport의 경우, 저장소 계정을 미리 생성해 둘 필요는 없습니다.

• 사용자에게 네임스페이스 또는 저장소 계정에 메시지를 게시할 권한이 있습니다.

1단계: Panther에서 Microsoft Defender XDR 소스 생성

1. 왼쪽 탐색 모음에서 Panther Console의 구성 > 로그 소스.

2. 클릭 새로 만들기.

3. “Microsoft Defender XDR”를 검색한 다음 해당 타일을 클릭하세요.

   • 슬라이드아웃 패널에서 오른쪽 상단의 전송 메커니즘 드롭다운은 미리 채워져 있으며 Azure Event Hub 옵션을 선택합니다. 이 선택은 그대로 두거나 Azure Blob Storage.

     
4. 클릭 설정 시작.

5. 다음에 대한 구성을 위해 Panther의 지침을 따르세요. Azure Event Hub 또는 Azure Blob Storage Source.

   • Azure Blob Storage를 선택하고 2단계: 필요한 Azure 인프라 만들기 Azure 리소스를 수동으로 만들기로 선택한 경우(Terraform 대신) Azure 컨테이너를 만드는 단계는 건너뛰세요.아래 2단계에서 저장소 계정에 자동으로 생성됩니다.

2단계: 스트리밍 API로 Microsoft Defender XDR 로그 내보내기

Microsoft Defender XDR 로그를 Event Hubs 또는 저장소 계정으로 내보내려면 아래 지침을 따르세요.

1. Azure Portal에서 Microsoft Defender 포털로 이동하세요: https://security.microsoft.com/.

2. 왼쪽 탐색 모음에서 다음을 클릭합니다. 설정.

3. 클릭 Microsoft Defender XDR.

4. 아래에서 일반, 클릭하세요 Streaming API.

5. 아래에서 Streaming API, 클릭하세요 + 추가.

6. 양식을 작성하세요:

   • 이름: 예를 들어 설명적인 이름을 입력하세요. Panther forwarder.

   • 다음 중 하나를 선택합니다. 이벤트를 Azure Storage로 전달 또는 이벤트를 Event Hub로 전달Panther에서 생성한 로그 소스 유형에 따라 1단계.

     • 다음을 선택하면 이벤트를 Azure Storage로 전달, 에서 Storage account Resource ID 필드에 저장소 계정의 ID를 입력하세요.

     • 다음을 선택하면 이벤트를 Event Hub로 전달, 에서 Event-Hub Resource ID 필드에 이벤트 허브의 ID를 입력하세요.

   • Event Types: Panther로 전송할 로그 범주를 선택하세요. 다음에서 이벤트 유형 전체 목록을 확인하세요.

7. 클릭 제출.

지원되는 로그 유형

MicrosoftDefenderXDR.AdvancedHunting