편집

클라우드용 Microsoft Defender 및 Microsoft Sentinel을 사용한 하이브리드 보안 모니터링

Azure Log Analytics
Azure Monitor
Microsoft Defender for Cloud
Microsoft Sentinel
Azure Stack

이 참조 아키텍처는 클라우드용 Microsoft Defender 및 Microsoft Sentinel을 사용하여 온-프레미스, Azure 및 Azure Stack 워크로드의 보안 구성 및 원격 분석을 모니터링하는 방법을 보여 줍니다.

아키텍처

Diagram that shows monitoring agent on on-premises as well as on Azure transferring data to Microsoft Defender for Cloud and Microsoft Sentinel.

이 아키텍처의 Visio 파일을 다운로드합니다.

워크플로

  • 클라우드용 Microsoft Defender. Microsoft가 모든 Azure 구독자에게 제공하는 고급 통합 보안 관리 플랫폼입니다. 클라우드용 Defender는 CSPM(클라우드 보안 태세 관리) 및 CWPP(클라우드 워크로드 보호 플랫폼)로 분류됩니다. CWPP는 일반적으로 에이전트 기반인 워크로드 중심 보안 보호 솔루션에 의해 정의됩니다. 클라우드용 Microsoft Defender는 Windows 및 Linux VM(가상 머신), 컨테이너, 데이터베이스 및 IoT(사물 인터넷)를 비롯한 온-프레미스 및 기타 클라우드 모두에서 Azure 워크로드에 대한 위협 방지 기능을 제공합니다. 활성화되면 Log Analytics 에이전트가 Azure Virtual Machines으로 자동으로 배포됩니다. 온-프레미스 Windows 및 Linux 서버와 VM의 경우 에이전트를 수동으로 배포하거나, Microsoft Endpoint Protection Manager와 같은 조직의 배포 도구를 사용하거나 스크립팅된 배포 방법을 활용할 수 있습니다. 클라우드용 Defender는 모든 VM, 네트워크, 애플리케이션 및 데이터의 보안 상태를 평가하기 시작합니다.
  • Microsoft Sentinel. 엔터프라이즈 전체의 위협을 감지, 헌팅, 방지, 응답을 지원하는 고급 AI 및 보안 분석을 사용하는 클라우드 네이티브 SIEM(보안 정보 및 이벤트 관리)와 SOAR(보안 오케스트레이션 자동화 응답) 솔루션입니다.
  • Azure Stack. 데이터 센터, 에지 위치 및 원격 사무실 등 Azure 서비스 및 기능을 원하는 환경으로 확장하는 제품 포트폴리오입니다. Azure Stack은 일반적으로 신뢰할 수 있는 하드웨어 파트너가 빌드하고 데이터 센터에 전달하는 4~16개의 서버 랙을 활용합니다.
  • Azure Monitor. 다양한 온-프레미스 및 Azure 원본에서 모니터링 원격 분석을 수집합니다. 클라우드용 Microsoft Defender 및 Azure Automation과 같은 관리 도구도 Azure Monitor에 로그 데이터를 푸시합니다.
  • Log Analytics 작업 영역 Azure Monitor는 데이터 및 구성 정보가 포함된 컨테이너 인 Log Analytics 작업 영역에 로그 데이터를 저장합니다.
  • Log Analytics 에이전트 Log Analytics 에이전트는 게스트 운영 체제에서 모니터링 데이터를 수집하고, Azure, 기타 클라우드 공급자 및 온-프레미스에서 VM 워크로드를 수집합니다. Log Analytics 에이전트는 프록시 구성을 지원하며, 일반적으로 이 시나리오에서는 OMS(Microsoft Operations Management Suite) 게이트웨이가 프록시 역할을 합니다.
  • 온-프레미스 네트워크. 정의된 시스템에서 HTTPS 송신을 지원하도록 구성된 방화벽입니다.
  • 온-프레미스 Windows 및 Linux 시스템. Log Analytics 에이전트가 설치된 시스템
  • Azure Windows 및 Linux VM. 클라우드용 Microsoft Defender 모니터링 에이전트가 설치된 시스템

구성 요소

시나리오 정보

잠재적인 사용 사례

이 아키텍처의 일반적인 용도는 다음과 같습니다.

  • 온-프레미스 보안 및 원격 분석 모니터링을 Azure 기반 워크로드와 통합하기 위한 모범 사례
  • Azure Stack과 클라우드용 Microsoft Defender 통합
  • 클라우드용 Microsoft Defender와 Microsoft Sentinel 통합

권장 사항

대부분의 시나리오의 경우 다음 권장 사항을 적용합니다. 이러한 권장 사항을 재정의하라는 특정 요구 사항이 있는 경우가 아니면 따릅니다.

클라우드용 Microsoft Defender 업그레이드

이 참조 아키텍처는 클라우드용 Microsoft Defender를 사용하여 온-프레미스 시스템, Azure VM, Azure Monitor 리소스뿐만 아니라 다른 클라우드 공급자에서 호스트되는 VM도 모니터링할 수 있습니다. 클라우드용 Microsoft Defender 가격 책정에 대한 자세한 내용은 여기에서 확인할 수 있습니다.

사용자 지정된 Log Analytics 작업 영역

Microsoft Sentinel에서 Log Analytics 작업 영역에 액세스할 수 있어야 합니다. 이 시나리오에서는 기본 클라우드용 Defender Log Analytics 작업 영역을 Microsoft Sentinel과 함께 사용할 수 없습니다. 대신 사용자 지정된 작업 영역을 만듭니다. 사용자 지정된 작업 영역에 대한 데이터 보존은 작업 영역 가격 책정 계층을 기반으로 하며 여기에서 모니터 로그에 대한 가격 책정 모델을 찾을 수 있습니다.

참고

Azure Sentinel은 중국과 독일(소버린) 지역을 제외한 모든 Log Analytics의 GA(일반 공급) 지역의 작업 영역에서 실행할 수 있습니다. 인시던트, 책갈피 및 경고 규칙과 같이 Microsoft Sentinel에서 생성되는 데이터는 이러한 작업 영역이 원본으로 사용되는 일부 고객 데이터를 포함할 수 있으며 유럽(유럽 기반 작업 영역의 경우), 호주(호주 기반 작업 영역의 경우) 또는 미국 동부(다른 지역에 있는 작업 영역의 경우)에 저장됩니다.

고려 사항

이러한 고려 사항은 워크로드의 품질을 향상시키는 데 사용할 수 있는 일단의 지침 원칙인 Azure Well-Architected Framework의 핵심 요소를 구현합니다. 자세한 내용은 Microsoft Azure Well-Architected Framework를 참조하세요.

보안

우수한 보안은 중요한 데이터 및 시스템에 대한 고의적인 공격과 악용을 방어합니다. 자세한 내용은 보안 요소의 개요를 참조하세요.

보안 정책은 지정된 구독 내에서 리소스에 대해 권장되는 제어 집합을 정의합니다. 클라우드용 Microsoft Defender에서 회사의 보안 요구 사항 및 애플리케이션 형식 또는 각 구독의 데이터 민감도에 따라 Azure 구독에 대한 정책을 정의합니다.

클라우드용 Microsoft Defender에서 사용하도록 설정된 보안 정책은 보안 권장 사항 및 모니터링을 구동합니다. 보안 정책에 대한 자세한 내용은 클라우드용 Microsoft Defender를 사용하여 보안 정책 강화를 참조하세요. 클라우드용 Microsoft Defender 보안 정책은 관리 또는 구독 그룹 수준에서만 할당할 수 있습니다.

참고

참조 아키텍처의 1부에서는 클라우드용 Microsoft Defender를 사용 설정하여 Azure 리소스, 온-프레미스 시스템 및 Azure Stack 시스템을 모니터링하는 방법을 자세히 설명합니다.

비용 최적화

비용 최적화는 불필요한 비용을 줄이고 운영 효율성을 높이는 방법을 찾는 것입니다. 자세한 내용은 비용 최적화 핵심 요소 개요를 참조하세요.

앞에서 설명한 대로 Azure 구독 이외의 비용에는 다음이 포함될 수 있습니다.

  1. 클라우드용 Microsoft Defender 비용 자세한 내용은 클라우드용 Defender 가격 책정을 참조하세요.
  2. Azure Monitor 작업 영역은 청구가 세분화됩니다. 자세한 내용은 Azure Monitor 로그를 사용하여 사용량 및 비용 관리를 참조하세요.
  3. Microsoft Sentinel은 유료 서비스입니다. 자세한 내용은 Microsoft Sentinel 가격 책정을 참조하세요.

운영 우수성

운영 우수성은 애플리케이션을 배포하고 프로덕션에서 계속 실행하는 운영 프로세스를 다룹니다. 자세한 내용은 운영 우수성 핵심 요소 개요를 참조하세요.

클라우드용 Microsoft Defender 역할

클라우드용 Defender는 리소스의 구성을 평가하여 보안 문제 및 취약성을 식별하고 리소스가 속한 구독 또는 리소스 그룹에 대한 소유자, 기여자 또는 읽기 권한자의 역할이 할당된 경우 리소스와 관련된 정보를 표시합니다.

이러한 역할 외에도 두 가지 특정 Defender for Cloud 역할이 있습니다.

  • 보안 읽기 권한자. 이 역할에 속한 사용자는 클라우드용 Defender를 볼 수 있는 권한만 있습니다. 사용자가 권장 사항, 경고, 보안 정책 및 보안 상태를 관찰할 수는 있지만 변경할 수는 없습니다.

  • 보안 관리자. 이 역할에 속하는 사용자는 보안 읽기 권한자와 동일한 권한이 있으며 보안 정책을 업데이트하고 경고 및 권장 사항을 해제할 수도 있습니다. 일반적으로 이 역할의 사용자는 워크로드를 관리합니다.

  • 보안 역할인 보안 읽기 권한자보안 관리자는 클라우드용 Defender에서만 액세스할 수 있습니다. 보안 역할은 스토리지, 웹, 모바일 또는 IoT와 같은 다른 Azure 서비스 영역에 액세스할 수 없습니다.

Microsoft Sentinel 구독

  • Microsoft Sentinel을 사용하도록 설정하려면 Microsoft Sentinel 작업 영역이 있는 구독에 대한 기여자 권한이 필요합니다.
  • Microsoft Sentinel을 사용하려면 작업 영역이 속한 리소스 그룹에 대한 기여자 또는 읽기 권한자 권한이 있어야 합니다.
  • Microsoft Sentinel은 유료 서비스입니다. 자세한 내용은 Microsoft Sentinel 가격 책정을 참조하세요.

성능 효율성

성능 효율성은 워크로드가 사용자의 요구 사항을 충족하기 위해 효율적인 방식으로 스케일 인되는 기능입니다. 자세한 내용은 성능 효율성 핵심 요소 개요를 참조하세요.

Windows 및 Linux용 Log Analytics 에이전트는 VM 또는 물리적 시스템의 성능에 미치는 영향을 최소화하도록 설계되었습니다.

클라우드용 Microsoft Defender의 운영 프로세스는 정상적인 운영 절차를 방해하지 않습니다. 대신 배포를 수동적으로 모니터링하고, 사용하는 보안 정책에 따라 권장 사항을 제공합니다.

시나리오 배포

Azure Portal에서 Log Analytics 작업 영역 만들기

  1. 보안 관리자 권한이 있는 사용자로 Azure Portal에 로그인합니다.
  2. Azure Portal에서 모든 서비스를 선택합니다. 리소스 목록에서 Log Analytics를 입력합니다. 입력을 시작하면 입력한 내용을 바탕으로 목록이 필터링됩니다. Log Analytics 작업 영역을 선택합니다.
  3. Log Analytics 페이지에서 추가를 선택합니다.
  4. 클라우드용 Defender-SentinelWorkspace와 같은 새 Log Analytics 작업 영역의 이름을 입력합니다. 이 이름은 모든 Azure Monitor 구독에서 전역적으로 고유해야 합니다.
  5. 기본으로 선택된 값이 적절하지 않으면 드롭다운 목록에서 선택하여 구독을 선택합니다.
  6. 리소스 그룹의 경우 기존 리소스 그룹을 사용하도록 선택하거나 새 리소스 그룹을 만듭니다.
  7. 위치의 경우 사용 가능한 지리적 위치를 선택합니다.
  8. 확인을 선택하여 구성을 완료합니다. New Workspace created for the architecture

클라우드용 Defender 사용

보안 관리자 권한이 있는 사용자로 Azure Portal에 로그인되어 있는 동안 패널에서 클라우드용 Defender를 선택합니다. 클라우드용 Defender - 개요가 열립니다.

Defender for Cloud Overview dashboard blade opens

클라우드용 Defender는 사용자 또는 다른 구독 사용자가 이전에 온보딩하지 않은 Azure 구독을 무료 계층으로 자동으로 사용하도록 설정합니다.

클라우드용 Microsoft Defender 업그레이드

  1. 클라우드용 Defender 주 메뉴에서 시작을 선택합니다.
  2. 지금 업그레이드 단추를 선택합니다. 클라우드용 Defender는 사용할 수 있는 구독 및 작업 영역을 나열합니다.
  3. 평가판 사용 자격이 있는 작업 영역 및 구독을 선택하여 평가판을 시작할 수 있습니다. 드롭다운 메뉴에서 이전에 만든 작업 영역인 ASC-SentinelWorkspace를 선택합니다.
  4. 클라우드용 Defender 주 메뉴에서 평가판 시작을 선택합니다.
  5. 그러면 에이전트 설치 대화 상자가 표시됩니다.
  6. 에이전트 설치 단추를 선택합니다. 클라우드용 Defender - 적용 범위 블레이드가 표시되며 선택한 구독을 확인해야 합니다. Security Coverage blade showing your subscriptions should be open

이제 자동 프로비저닝을 사용하도록 설정했으며 클라우드용 Defender는 지원되는 모든 Azure VM 및 새로 만든 VM에 Windows용 Log Analytics 에이전트(HealthService.exe) 및 Linux용 omsagent를 설치합니다. 자동 프로비저닝을 강력하게 권장하지만 이 정책을 끄고 수동으로 관리할 수 있습니다.

Windows 및 Linux에서 사용할 수 있는 구체적인 클라우드용 Defender 기능에 대한 자세한 내용은 컴퓨터의 기능 적용 범위를 참조하세요.

온-프레미스 Windows 컴퓨터의 클라우드용 Microsoft Defender 모니터링 사용 설정

  1. 클라우드용 Defender - 개요 블레이드의 Azure Portal에서 시작 탭을 선택합니다.
  2. 새로운 비Azure 컴퓨터 추가에서 구성을 선택합니다. Log Analytics 작업 영역 목록이 표시되며 클라우드용 Defender-SentinelWorkspace가 포함되어야 합니다.
  3. 이 작업 영역을 선택합니다. Windows 에이전트 및 해당 에이전트를 구성할 때 사용할 작업 영역 ID용 키를 다운로드할 수 있는 링크가 포함된 직접 에이전트 블레이드가 열립니다.
  4. 사용하는 컴퓨터 프로세서 유형에 해당하는 Windows 에이전트 다운로드 링크를 선택하여 설치 파일을 다운로드합니다.
  5. 작업 영역 ID 오른쪽에서 복사 아이콘을 선택하고 ID를 메모장에 붙여 넣습니다.
  6. 기본 키 오른쪽에서 복사 아이콘을 선택하고 키를 메모장에 붙여 넣습니다.

Windows 에이전트 설치

대상 컴퓨터에 에이전트를 설치하려면 다음 단계를 수행합니다.

  1. 대상 컴퓨터에 파일을 복사하고 설치 프로그램을 실행합니다.
  2. Welcome 페이지에서 다음을 선택합니다.
  3. 사용권 계약 페이지에서 사용권을 읽고 동의를 선택합니다.
  4. 대상 폴더 페이지에서 기본 설치 폴더를 변경 또는 유지하고 다음을 선택합니다.
  5. 에이전트 설치 옵션 페이지에서 Azure Log Analytics에 에이전트를 연결하도록 선택한 후 다음을 선택합니다.
  6. Azure Log Analytics 페이지에서 이전 절차에서 메모장에 복사해 둔 작업 영역 ID작업 영역 키(기본 키)를 붙여 넣습니다.
  7. 컴퓨터가 Azure Government 클라우드에서 Log Analytics 작업 영역에 보고해야 하는 경우 Azure Cloud 드롭다운 목록에서 Azure 미국 정부를 선택합니다. 컴퓨터가 프록시 서버를 통해 Log Analytics 서비스와 통신해야 하는 경우 고급을 선택하고 프록시 서버의 URL 및 포트 번호를 입력합니다.
  8. 필요한 구성 설정을 제공한 후 다음을 선택합니다. Log Analytics Agent setup page for connecting agent to an Azure Log Analytics workspace
  9. 설치 준비 페이지에서 선택 항목을 검토한 다음 설치를 선택합니다.
  10. 구성이 완료되었습니다 페이지에서 마침을 선택합니다.

완료되면 Log Analytics 에이전트가 Windows 제어판에 표시되어 구성을 검토하고 에이전트가 연결되어 있는지 확인할 수 있습니다.

에이전트 설치 및 구성에 대한 자세한 내용은 Windows 컴퓨터에 Log Analytics 에이전트 설치를 참조하세요.

Log Analytics 에이전트 서비스는 이벤트 및 성능 데이터를 수집하고, 작업 및 관리 팩에 정의된 기타 워크플로를 실행합니다. 클라우드용 Defender 통합하여 클라우드 워크로드 보호 플랫폼을 확장합니다.서버용 Microsoft Defender. 또한 포괄적인 EDR(엔드포인트 검색 및 응답) 기능을 제공합니다.

서버용 Microsoft Defender에 대한 자세한 내용은 서버용 Microsoft Defender 서비스에 서버를 온보딩하는 방법을 참조 하세요.

온-프레미스 Linux 컴퓨터의 클라우드용 Microsoft Defender 모니터링 사용 설정

  1. 앞에서 설명한 대로 시작 탭으로 돌아갑니다.
  2. 새로운 비Azure 컴퓨터 추가에서 구성을 선택합니다. Log Analytics 작업 영역 목록이 표시됩니다. 목록에는 사용자가 만든 클라우드용 Defender-SentinelWorkspace 가 포함되어야 합니다.
  3. 직접 에이전트 페이지의 Linux용 에이전트 다운로드 및 온보딩 아래에서 복사 단추를 선택하여 wget 명령을 복사합니다.
  4. 메모장을 열고 이 명령을 붙여 넣습니다. Linux 컴퓨터에서 액세스할 수 있는 위치에 이 파일을 저장합니다.

참고

Unix 및 Linux 운영 체제에서 wget은 웹에서 비대화형 파일을 다운로드하기 위한 도구입니다. 이는 HTTPS, FTP 및 프록시를 지원합니다.

Linux 에이전트는 Linux 감사 디먼 프레워크를 사용합니다. 클라우드용 Defender는 Log Analytics 에이전트 내에서 이 프레임워크의 기능을 통합하여 Linux용 Log Analytics 에이전트를 통해 감사 레코드를 수집, 보강 및 이벤트로 집계할 수 있습니다. Defender for Cloud는 Linux 신호를 사용하여 클라우드 및 온-프레미스 Linux 컴퓨터에서 악의적인 동작을 탐지하는 새 분석을 지속적으로 추가합니다.

Linux 경고 목록은 경고 참조 테이블을 참조하세요.

Linux 에이전트 설치

대상 Linux 컴퓨터에 에이전트를 설치하려면 다음 단계를 수행합니다.

  1. Linux 컴퓨터에서 이전에 저장한 파일을 엽니다. 전체 내용을 선택하여 복사한 다음 터미널 콘솔을 열고 명령을 붙여 넣습니다.
  2. 설치가 완료되면 pgrep 명령을 실행하여 omsagent가 설치되어 있는지 확인할 수 있습니다. 이 명령은 PID(omsagent 프로세스 식별자)를 반환합니다. 에이전트에 대한 로그는 /var/opt/microsoft/omsagent/"workspace id"/log/에서 찾을 수 있습니다.

새 Linux 컴퓨터가 클라우드용 Defender에 표시되는 데에는 최대 30분이 걸릴 수 있습니다.

Azure Stack VM의 클라우드용 Microsoft Defender 모니터링 사용 설정

Azure 구독을 온보딩한 후 Azure Stack 마켓플레이스에서 Azure Monitor, Update 및 Configuration Management VM 확장을 추가하여 Azure Stack에서 실행 중인 VM을 보호하도록 클라우드용 Defender를 사용 설정할 수 있습니다. 가상 하드 디스크 파일에 대한 중요 정보를 제공하려면

  1. 앞에서 설명한 대로 시작 탭으로 돌아갑니다.
  2. 새로운 비Azure 컴퓨터 추가에서 구성을 선택합니다. Log Analytics 작업 영역 목록이 표시되며, 사용자가 만든 클라우드용 Defender-SentinelWorkspace가 포함되어야 합니다.
  3. 직접 에이전트 블레이드에는 에이전트 구성 중에 사용할 작업 영역 ID의 에이전트 및 키를 다운로드하기 위한 링크가 있습니다. 에이전트를 수동으로 다운로드할 필요가 없습니다. 이는 다음 단계에서 VM 확장으로 설치됩니다.
  4. 작업 영역 ID 오른쪽에서 복사 아이콘을 선택하고 ID를 메모장에 붙여 넣습니다.
  5. 기본 키 오른쪽에서 복사 아이콘을 선택하고 키를 메모장에 붙여 넣습니다.

Azure Stack VM의 클라우드용 Defender 모니터링 사용 설정

클라우드용 Microsoft Defender는 Azure Stack과 함께 번들로 제공되는 Azure Monitor, Update 및 Configuration Management VM 확장을 사용합니다. Azure Monitor, Update 및 Configuration Management 확장을 사용하도록 설정하려면 다음 단계를 수행합니다.

  1. 새 브라우저 탭에서 Azure Stack 포털에 로그인합니다.
  2. 가상 머신 페이지를 참조한 다음 클라우드용 Defender로 보호할 가상 머신을 선택합니다.
  3. 확장을 섡택합니다. 이 VM에 설치된 VM 확장 목록이 표시됩니다.
  4. 추가 탭을 선택합니다. 새 리소스 메뉴 블레이드가 열리고 사용 가능한 VM 확장 목록이 표시됩니다.
  5. Azure Monitor, Update 및 Configuration Management 확장을 선택하고 만들기를 선택합니다. 설치 확장 구성 블레이드가 열립니다.
  6. 설치 확장 구성 블레이드에서 이전 절차에서 메모장에 복사해 둔 작업 영역 ID작업 영역 키(기본 키)를 붙여넣습니다.
  7. 필요한 구성 설정 제공을 완료했으면 확인을 클릭합니다.
  8. 확장 설치가 완료되면 해당 상태가 프로비전 성공으로 표시됩니다. 클라우드용 Defender에 VM이 나타날 때까지 최대 1시간이 걸릴 수 있습니다.

Windows용 에이전트 설치 및 구성에 대한 자세한 내용은 설치 마법사를 사용하여 에이전트 설치를 참조하세요.

Linux 에이전트에 대한 문제 해결은 Linux용 Log Analytics 에이전트 문제 해결 방법을 참조하세요.

이제 Azure VM과 비 Azure 컴퓨터를 한곳에서 모니터링할 수 있습니다. Azure Compute는 모든 VM 및 컴퓨터의 개요가 권장 사항과 함께 제공됩니다. 각 열은 하나의 권장 사항 집합을 나타내며 색상은 해당 권장 사항에 대한 VM 또는 컴퓨터 및 현재의 보안 상태를 나타냅니다. 클라우드용 Defender는 보안 경고에서 이러한 컴퓨터에 대한 검색도 제공합니다. Defender for Cloud list of systems monitored on the Compute blade

컴퓨팅 블레이드에는 두 가지 유형의 아이콘이 표시됩니다.

Purple computer icon that represents a non-azure monitored computer 비Azure 컴퓨터

Blue terminal icon that represents an Azure monitored computer Azure 컴퓨터

참고 항목

참조 아키텍처의 2부에서는 클라우드용 Microsoft Defender 경고를 연결하고 Microsoft Sentinel로 스트리밍합니다.

Microsoft Sentinel의 역할은 다양한 데이터 원본에서 데이터를 수집하고 이러한 데이터 원본에서 데이터 상관 관계를 수행하는 것입니다. Microsoft Sentinel은 기계 학습 및 AI를 활용하여 위협 헌팅, 경고 검색 및 위협 대응을 더 스마트하게 만듭니다.

Microsoft Sentinel을 온보딩하려면 사용하도록 설정하고 데이터 원본을 연결해야 합니다. Microsoft Sentinel에는 Microsoft 솔루션을 위한 다양한 커넥터가 제공되며, 클라우드용 Microsoft Defender, Microsoft Threat Protection 솔루션, Microsoft 365 원본(Office 365 포함), Microsoft Entra ID, 서버용 Microsoft Defender, 클라우드용 Microsoft Defender 앱 및 더. 또한 Microsoft 외 타사 솔루션인 경우 더 광범위한 보안 에코시스템에 연결할 수 있도록 기본 제공 커넥터도 제공합니다. Common Event Format, syslog 또는 Representational State Transfer API를 사용하여 데이터 원본을 Microsoft Sentinel에 연결할 수도 있습니다.

Microsoft Sentinel을 클라우드용 Microsoft Defender와 통합하기 위한 요구 사항

  1. Microsoft Azure 구독
  2. 클라우드용 Microsoft Defender를 사용하도록 설정할 때 만든 기본 작업 영역이 아닌 Log Analytics 작업 영역입니다.
  3. 클라우드용 Microsoft Defender

이전 섹션을 진행한 경우 세 가지 요구 사항이 모두 충족되어야 합니다.

전역 전제 조건

  • Microsoft Sentinel을 사용하도록 설정하려면 Microsoft Sentinel 작업 영역이 있는 구독에 대한 기여자 권한이 필요합니다.
  • Microsoft Sentinel을 사용하려면 작업 영역이 속한 리소스 그룹에 대한 기여자 또는 읽기 권한자 권한이 있어야 합니다.
  • 특정 데이터 원본을 연결하려면 다른 권한이 필요할 수 있습니다. 클라우드용 Defender에 연결하려면 추가 권한이 필요하지 않습니다.
  • Microsoft Sentinel은 유료 서비스입니다. 자세한 내용은 Microsoft Sentinel 가격 책정을 참조하세요.

Microsoft Sentinel 사용

  1. 클라우드용 Defender-Sentinelworkspace에 대한 기여자 권한이 있는 사용자로 Azure Portal에 로그인합니다.
  2. Microsoft Sentinel을 검색하여 선택합니다. In the Azure portal search for the term
  3. 추가를 선택합니다.
  4. Microsoft Sentinel 블레이드에서 크라우드용 Defender-Sentinelworkspace를 선택합니다.
  5. Microsoft Sentinel의 탐색 메뉴에서 데이터 커넥터를 선택합니다.
  6. 데이터 커넥터 갤러리에서 클라우드용 Microsoft Defender를 선택하고 커넥터 페이지 열기 단추를 선택합니다. In Microsoft Sentinel showing the open Collectors page
  7. 구성에서 경고를 Microsoft Sentinel로 스트리밍하려는 구독 옆에 있는 연결을 선택합니다. 연결 단추는 필요한 권한과 클라우드용 Defender 구독이 있는 경우에만 사용할 수 있습니다.
  8. 이제 연결 상태연결로 관찰해야 합니다. 연결하면 연결됨으로 전환됩니다.
  9. 연결을 확인한 후 클라우드용 Defender 데이터 커넥터 설정을 닫고 페이지를 새로 고쳐 Microsoft Sentinel에서 경고를 관찰할 수 있습니다. 로그가 Microsoft Sentinel과 동기화되기 시작하는 데에는 다소 시간이 걸릴 수 있습니다. 연결되면 데이터 수신 그래프의 데이터 요약과 데이터 유형의 연결 상태를 관찰하게 됩니다.
  10. 클라우드용 Microsoft Defender의 경고가 Microsoft Sentinel에서 인시던트를 자동으로 생성하도록 설정할지 여부를 선택할 수 있습니다. 인시던트 만들기에서 사용을 선택하여 경고에서 인시던트를 자동으로 생성하는 기본 분석 규칙을 설정합니다. 그런 다음, 활성 규칙 탭의 분석에서 이 규칙을 편집할 수 있습니다.
  11. 클라우드용 Microsoft Defender 경고에 대한 Log Analytics에서 관련 스키마를 사용하려면 SecurityAlert를 검색합니다.

SIEM으로 Microsoft Sentinel을 사용할 경우의 이점 중 하나는 여러 원본 간에 데이터 상관 관계를 제공하므로 조직의 보안 관련 이벤트에 대한 엔드투엔드 가시성을 확보할 수 있다는 것입니다.

Microsoft Sentinel에 대한 자세한 내용은 다음 문서를 참조하세요.

다음 단계

Azure Monitor

Microsoft Defender for Cloud

Microsoft Sentinel

Azure Stack