Microsoft Graph 로그

개요

Panther는 다음을 쿼리하여 Microsoft Graph 로그를 가져오는 기능이 있습니다 Microsoft Graph API 다음 Microsoft 보안 제품의 보안 알러트를 얻기 위해:

• Azure Active Directory Identity Protection

• Azure Information Protection

• Microsoft 365 (기본, Cloud App Security, 사용자 지정 알러트)

• Microsoft Defender for Cloud Apps

• Microsoft Defender for Endpoint

• Microsoft Defender for Identity

• Microsoft Sentinel (이전 명칭: Azure Sentinel)

Microsoft Graph 로그를 Panther에 온보딩하는 방법

사전 요구 사항

• Microsoft Defender for Endpoint 및 Identity 알러트는 Panther로 알러트 이벤트를 스트리밍하기 전에 추가 사용자 구성이 필요합니다. 자세한 내용은 Microsoft의 문서 을 참조하세요.

• Microsoft Defender for Endpoint는 Microsoft Graph Security API에서 요구하는 역할 외에 추가 사용자 역할을 필요로 합니다. Microsoft Defender for Endpoint 및 Microsoft Graph Security API 역할 모두에 속한 사용자만 Microsoft Defender for Endpoint 데이터에 액세스할 수 있습니다. 애플리케이션 전용 인증은 이 제한을 받지 않으므로 애플리케이션 전용 인증 토큰 사용을 권장합니다.

• Microsoft Defender for Identity 알러트는 Microsoft Defender for Cloud Apps 통합을 통해 제공됩니다. 즉 Unified SecOps에 참여하고 Microsoft Defender for Identity를 Microsoft Defender for Cloud Apps에 연결한 경우에만 Microsoft Defender for Identity 알러트를 받을 수 있습니다.

1단계: Microsoft Entra ID 애플리케이션 생성

1. 다음에 로그인하세요 Azure 포털 로 이동하여 Microsoft Entra ID 서비스로 이동합니다.

2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 앱 등록 왼쪽 사이드바에서.

3. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새 등록.

4. 필드를 채우십시오:

   • 애플리케이션에 대한 설명적인 이름을 입력하세요.

   • 다음을 위해 지원되는 계정 유형SNS 주제 이 조직 디렉터리의 계정만.

5. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 등록.

6. 왼쪽 사이드바에서 인증서 및 비밀.

7. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새 클라이언트 비밀.

   • 시크릿에 대한 설명을 추가하세요(예: Panther 통합).

   • 다음을 설정하세요 만료 필드에 24개월.

8. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 리디렉트 URL.

   • 클라이언트 시크릿은 이 페이지에서 벗어나면 숨겨집니다; 값 필드를 복사하여 안전한 장소에 보관하세요 - 이 값을 2단계에서 클라이언트 시크릿 값으로 사용하게 됩니다.

9. 왼쪽 사이드바에서 API 권한 그런 다음 권한 추가.

10. 다음을 찾아 클릭하세요 Microsoft Graph API.

11. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 위임된 권한 그리고 다음을 선택하세요 SecurityEvents.Read.All ListBucket

12. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 응용 프로그램 권한 그리고 다음을 선택하세요 SecurityEvents.Read.All ListBucket

13. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 권한 추가 페이지 하단에서.

14. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 관리자 동의 부여 API 권한 페이지에서.

15. 동의가 부여된 후, 왼쪽 사이드바의 개요 탭을 클릭하여 애플리케이션(클라이언트) ID 와 디렉터리(테넌트) ID.

    • 다음 단계에서 Panther에 제공해야 합니다.

2단계: Panther에서 새 Microsoft Graph 소스 생성

1. Panther 콘솔의 왼쪽 탐색 창에서 구성 > 로그 소스.

2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새로 만들기.

3. 선택하세요 Microsoft Graph 사용 가능한 로그 소스 목록에서 선택하세요.

4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정 시작.

5. 다음 화면에서 필드를 작성하세요:

   • 이름: 소스의 설명적인 이름을 입력하세요 예: 내 Microsoft Graph 로그.

   • 테넌트 ID: 테넌트 ID를 입력하세요.

   • 로그 유형: 최소 하나 이상의 로그 유형을 선택하세요.

6. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정.

7. 페이지에서 자격 증명(Credentials) 페이지에서, 다음을 입력하세요 클라이언트 ID 와 클라이언트 시크릿.

   • 사용자를 사용할 것이며, 클라이언트 시크릿 은(는) 값 1단계에서 저장한

8. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정.

9. 필드입니다.

   

   • 성공 화면으로 이동됩니다: 선택적으로 하나 이상의.

   • 사용자를 사용할 것이며, 가 활성화될 수 있습니다 "이벤트가 처리되지 않을 때 알러트를 트리거" 설정의 기본값은. 로그 소스에서 일정 기간 동안 데이터 흐름이 중단되면 알림을 받으므로 이 옵션을 활성화 상태로 두는 것을 권장합니다. 시간 범위는 구성 가능하며 기본값은 24시간입니다.\

     

지원되는 로그 유형

Panther에서 성공 화면으로 리디렉션됩니다:\

MicrosoftGraph.SecurityAlert

참고: Microsoft 또는 파트너 보안 솔루션이 식별한 고객 테넌트 내 잠재적 보안 문제를 나타냅니다..