Defender for Endpoint

구독
다운로드 20
업데이트 2024. 6. 30.

설치 매뉴얼

Azure Entra 앱 등록

Azure 포탈에 접속하여 아래와 같이 Logpresso 앱을 등록하고 디펜더 경보 읽기 권한을 부여합니다.

Defender for Endpoint 앱 등록 클릭

Defender for Endpoint 앱 이름 입력

API 사용 권한 메뉴를 클릭하고 권한 추가 버튼을 클릭합니다.

Defender for Endpoint 앱 권한 추가 클릭

새로 열리는 대화상자에서 WindowsDefenderATP 를 선택합니다.

Defender for Endpoint 앱 권한 부여 대상 API 선택

애플리케이션 사용 권한 을 클릭하고 Alert.Read.All, Machine.Read.All 권한을 추가합니다.

Defender for Endpoint 앱 경보 읽기 권한 부여

마지막으로 관리자 동의 허용 버튼을 클릭하여 권한 부여를 완료합니다.

Defender for Endpoint 권한 부여 동의

API 키 등록

인증서 및 암호 메뉴로 이동하여 클라이언트 비밀 탭을 클릭하고 새 클라이언트 암호 를 추가합니다.

Defender for Endpoint 클라이언트 암호 추가

새로 생성된 클라이언트 비밀을 안전한 위치에 복사하여 보관합니다.

Defender for Endpoint 클라이언트 암호 생성 완료

마지막으로 애플리케이션(클라이언트) ID와 디렉터리(테넌트) ID를 안전한 위치에 복사하여 보관합니다.

Defender for Endpoint 등록 정보

방화벽 정책 설정

Defender for Endpoint 앱이 아래 엔드포인트로 접속할 수 있도록 방화벽 정책을 허용해야 합니다.

  • https://login.microsoftonline.com (OAuth 인증)
  • https://api.securitycenter.microsoft.com (데이터 조회 등 API 통신)

로그프레소 접속 프로파일 설정

이제 로그프레소의 접속 프로파일 메뉴로 이동하여 추가 버튼을 클릭합니다. Microsoft Defender for Endpoint 유형을 선택하고 앱 ID, 테넌트 ID, 클라이언트 비밀 값을 입력하여 새 접속 프로파일을 등록합니다.

Defender for Endpoint 접속 프로파일 설정

Defender for Endpoint 경보 수집기 설정

Defender for Endpoint 경보 수집 모델을 선택하고 접속 프로파일 식별자를 입력하여 설정을 완료합니다. 기본 설치되는 대시보드 및 데이터셋은 EPP_DEFENDER 테이블을 참조합니다.

Defender for Endpoint 경보 수집기 설정