Microsoft Sentinel을 사용하여 메시지 알림 이벤트(O365 커넥터)

4941 단어 Azure AzureSentinel Microsoft

1. 시작
Microsoft Sentinel을 사용하여 이벤트를 감지할 때 메일 알림을 자동으로 설정하는 것을 시도했기 때문에 필기를 했습니다.
2. 구조도
본 구성의 시스템 구성도를 소개하다.
Microsoft Sentinel 업무를 모니터링할 때 높은 이벤트가 발생할 때 외부에 전자 우편으로 통지할 것을 구상하기 위해서입니다.
Microsoft Defender for Cloud는 Microsoft Sentinel에 대한 위협 경보로 생성됐으며, 이번에는 샘플 경보 기능을 사용해 검증했다.

Azure 환경에서 전자메일의 외부 알림으로 사용되는 구조는 SendGrid를 사용하느냐, 아니면 AAD와 연결된 Office 365를 사용하느냐 두 가지 모드가 있다.이 경우 Microsoft Sentinel의 템플릿으로 준비된 Office 365 방법으로 시도해 봅니다.
3. 설정 방법

Microsoft Sentinel이 자동 기능에서 "이 템플릿 재생"을 선택하고 이메일을 보낼 템플릿을 선택합니다.

Microsoft Sentinel에서 이메일 발송 템플릿으로 두 개의 패키지를 준비했습니다.

둘 다 HTML 기반 이메일 템플릿이므로 취향에 따라 쉽게 사용자 정의할 수 있습니다.

쌍방의 템플릿은 모두 Logic Apps를 사용하고 O365 커넥터를 통해 메일을 보낸다.

사용자 정의 템플릿 이름
기본 전자 메일 보내기
서식있는 들여쓰기 보고서를 포함한 전자 메일 보내기
Logic App 이름
Send-basic-email
Send-email-with-formatted-incident-report
서식
HTML
HTML
메시지 예

논리 프로그램에서'Send-basic-email','Send-email-with-formatted-incident-report'중 어느 것이 만들어졌는지 확인하세요.

템플릿을 가져온 후 Office 365에 대한 인증을 통과하지 못했기 때문에 디자이너 화면을 열어 연결기의 연결 설정을 한다.

여기에 연결된 Azure Active Directory 인증의 사용자 ID가 발송 소스의 메일 주소가 됩니다.

원활한 연결이 가능하면 최종 단계가 펼쳐져 알림 가능한 메일 설정 내용을 확인할 수 있다.

'Send-basic-email'에서 HTML 형식의 메일을 사용하여 이전 단계에서 정규화된 데이터를 사용했다는 통지를 받았다.

'Send-email-with-formatted-incident-report'에서 알 수 있듯이 이전 단계에서'Compose Email response'단계에서 HTML E-mail의 BODY 부분을 제작했다.

일본어로 번역하거나 사이즈와 목적지를 변경할 때 본 내용을 업데이트하세요

Microsoft Sentinel로 돌아가 자동 규칙을 만듭니다.

책 게임의 실행에 권한이 없는 경우 Sentinel에 실행 권한이 없음을 표시하지만 아래에 직접 표시하는'편집'설정을 실시함으로써 Sentinel에 실행 권한을 부여할 수 있다.

4. 시도해보세요~ 동작 확인
이번에는 마이크로소프트 센티넬에 알리기 위해 마이크로소프트 Defender for Cloud의 샘플 경보 기능을 사용했다.
Microsoft Defender for Cloud는 IaS/PaaS 환경에 대한 보호로서 Microsoft Defender 시리즈의 구성, 가져오기를 실현하는 기능(CWPP-Colud Workload Protection Plateform)을 갖추고 있어 샘플 경보를 생성하는 기능이 있다.

이 기능을 사용하여 샘플 경고를 생성하면 Microsoft Defender for Cloud에서 보안 경고에서 샘플 이벤트가 생성됩니다.

Microsoft Sentinel 측에서 연결기를 사용하면 Microsoft Sentinel 측에서도 위협 이벤트를 이벤트로 검출할 수 있습니다.

센티넬을 활용하면 IP 주소와 호스트 이름 등 위협 사건을 식별할 수 있고 실체로서 다른 사건과 연관되어 조사할 수 있다.

Microsoft Defender의 경고가 e-메일로 통지되는지 확인합니다.

Logic App 측의 동작이 성공했고 Office365 커넥터를 통해 메일을 보낼 때 Logic App 측의 이력에서'성공'을 확인하면 메일을 보낼 수 있다.

6. 주의사항 등
검증된 환경에서 각 사건(이번 1사건)에 대해 약 몇 초의 처리 시간이 필요하다.
대량의 이벤트 알림이 발생하는 환경에서 이벤트의 지연과 자원 비용 등의 영향을 고려하여 이번 알림의 한도값에 대한 운용 알림 설계를 고려하십시오.
7. 요약
이상은 Microsoft Sentinel의 보안 이벤트를 Microsoft Teams에 알리는 설정 예입니다.
남의 참고가 됐으면 좋겠어요.
* 본 문서는 소속사의 공식적인 견해가 아닌 개인적 견해를 바탕으로 작성된 것입니다.또한 어떠한 보증도 제공하지 않는다.공식적인 정보는 각 제품의 판매상에게 확인하세요.

Reference

이 문제에 관하여(Microsoft Sentinel을 사용하여 메시지 알림 이벤트(O365 커넥터)), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/hisnakad/items/cfaeae8c7b92c7d26365

텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.

우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)

[안드로이드] studay day 6

자바 script 내 가 배 운 2 함수 정의

좋은 웹페이지 즐겨찾기

개발자 우수 사이트 수집

개발자가 알아야 할 필수 사이트 100선 추천 우리는 당신을 위해 100개의 자주 사용하는 개발자 학습 사이트를 정리했습니다