관리 및 API 개요

  • 아티클

적용 대상:

엔드포인트용 Defender를 경험하고 싶으신가요? 무료 평가판을 신청하세요.

엔드포인트용 Defender는 고객이 플랫폼을 쉽게 채택할 수 있도록 다양한 옵션을 지원합니다.

고객 환경 및 구조가 다를 수 있음을 인정하면서 엔드포인트용 Defender는 다양한 고객 요구 사항에 맞게 유연성과 세분화된 제어를 통해 만들어졌습니다.

엔드포인트 온보딩 및 포털 액세스

디바이스 온보딩은 클라이언트 디바이스의 Microsoft Configuration Manager 및 Microsoft Intune 완전히 통합되고 서버 디바이스의 Microsoft Defender 구성, 배포 및 모니터링의 완전한 엔드 투 엔드 환경을 제공합니다. 또한 엔드포인트용 Microsoft Defender 디바이스 관리에 사용되는 그룹 정책 및 기타 타사 도구를 지원합니다.

엔드포인트용 Defender는 RBAC(역할 기반 액세스 제어)의 유연성을 통해 포털에 액세스할 수 있는 사용자가 보고 수행할 수 있는 작업을 세부적으로 제어합니다. RBAC 모델은 보안 팀 구조의 모든 버전을 지원합니다.

  • 전역적으로 분산된 조직 및 보안 팀
  • 계층화된 모델 보안 운영 팀
  • 단일 중앙 집중식 글로벌 보안 운영 팀과 완전히 분리된 부서

사용 가능한 API

엔드포인트용 Microsoft Defender 솔루션은 통합 지원 플랫폼을 기반으로 빌드됩니다.

엔드포인트용 Defender는 프로그래밍 방식 API 집합을 통해 많은 데이터와 작업을 노출합니다. 이러한 API를 사용하면 엔드포인트용 Defender 기능을 기반으로 워크플로를 자동화하고 혁신할 수 있습니다.

엔드포인트용 Microsoft Defender 사용 가능한 API 및 통합

엔드포인트용 Defender API는 다음 세 가지로 그룹화할 수 있습니다.

  • 엔드포인트용 Microsoft Defender API
  • 원시 데이터 스트리밍 API
  • SIEM 통합

엔드포인트용 Microsoft Defender API

엔드포인트용 Defender는 사용자 또는 SaaS 애플리케이션의 컨텍스트에서 액세스를 허용하는 표준 Azure AD 기반 인증 및 권한 부여 모델을 통해 노출되는 구조화되고 명확하며 사용하기 쉬운 모델에서 데이터와 기능을 노출하는 계층화된 API 모델을 제공합니다. API 모델은 엔터티와 기능을 일관된 형식으로 노출하도록 설계되었습니다.

엔드포인트용 Defender의 API에 대한 간략한 개요는 이 비디오를 시청하세요.

조사 API는 일반적으로 엔터티와 관련된 동작을 설명하는 계산되거나 '프로파일링된' 엔터티(예: 디바이스, 사용자 및 파일) 및 불연속 이벤트(예: 프로세스 만들기 및 파일 만들기)를 노출하여 엔드포인트용 Defender의 풍부한 기능을 노출하며, 조사 인터페이스를 통해 데이터에 대한 쿼리 기반 액세스를 허용합니다. 자세한 내용은 지원되는 API를 참조하세요.

응답 API는 서비스 및 디바이스에서 작업을 수행하여 고객이 지표를 수집하고, 설정을 관리하고, 상태 경고하고, 네트워크에서 디바이스 격리, 파일 격리 등과 같이 프로그래밍 방식으로 디바이스에서 응답 작업을 수행할 수 있도록 하는 기능을 노출합니다.

원시 데이터 스트리밍 API

엔드포인트용 Defender 원시 데이터 스트리밍 API는 고객이 단일 데이터 스트림 내에서 발생할 때 인스턴스에서 실시간 이벤트 및 경고를 발송할 수 있는 기능을 제공하여 짧은 대기 시간, 높은 처리량 배달 메커니즘을 제공합니다.

엔드포인트용 Defender 이벤트 정보는 장기 데이터 보존을 위해 Azure Storage로 직접 푸시되거나 시각화 서비스 또는 추가 데이터 처리 엔진에서 사용할 수 있도록 Azure Event Hubs.

자세한 내용은 원시 데이터 스트리밍 API를 참조하세요.

새 Microsoft Defender XDR 스트리밍 API에는 디바이스 이벤트 외에도 이메일 및 경고 이벤트가 포함됩니다. 자세한 내용은 Microsoft Defender XDR 스트리밍 API를 참조하세요.

SIEM API

SIEM(보안 정보 및 이벤트 관리) 통합을 사용하도록 설정하면 SIEM 솔루션을 사용하거나 검색 REST API에 직접 연결하여 Microsoft Defender XDR 검색을 가져올 수 있습니다. 이렇게 하면 미리 채워진 값으로 SIEM 커넥터 액세스 세부 정보 섹션이 활성화되고 애플리케이션이 Microsoft Entra 테넌트 아래에 만들어집니다.

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: 엔드포인트용 Microsoft Defender Tech Community의 Microsoft 보안 커뮤니티와 Engage.