배포 옵션 고려

  • 6분

개념 증명 환경을 배포하기 위한 첫 번째 단계는 Microsoft Sentinel의 기능 및 배포 고려 사항을 파악하는 것입니다.

Microsoft Sentinel을 사용하여 데이터를 검색하고 인시던트를 모니터링

Microsoft Sentinel은 연결된 원본에서 데이터 인시던트를 검색하고 조치가 필요하다면 경고를 표시합니다. Microsoft Sentinel 개요, 대시보드, 사용자 지정 쿼리를 통해 원시 데이터와 잠재적 악성 이벤트에 대한 인사이트를 얻을 수 있습니다.

Microsoft Sentinel에서 서비스로 커넥터를 배포하여 조직의 경영진이 모니터링하려는 데이터를 여러 데이터 원본에서 검색합니다. Microsoft Sentinel은 서비스에서 로그 데이터를 검색한 후 데이터 원본 간의 상관관계를 수행합니다. Azure Monitor Log Analytics 작업 영역을 사용하여 해당 데이터를 관리할 수 있습니다.

Microsoft Sentinel은 기계 학습 및 AI를 사용하여 다음을 수행합니다.

  • 위협 헌팅
  • 경고 감지
  • 인시던트에 빠르게 응답

Microsoft Sentinel 온보딩

Microsoft Sentinel을 온보딩하려면 사용하도록 설정하고 데이터 원본을 연결해야 합니다.

Microsoft Sentinel에는 Microsoft 및 제품에 대한 기본 제공 데이터 커넥터를 포함하는 솔루션 및 독립 실행형 콘텐츠가 함께 제공됩니다. 다음 제품용 커넥터가 제공됩니다.

  • Microsoft Defender for Cloud
  • Microsoft 365 원본(Office 365 포함)
  • Microsoft Entra ID
  • Microsoft Defender for Cloud 앱
  • 파트너 솔루션
  • Amazon Web Services

또한 타사 솔루션인 경우 더 광범위한 보안 에코시스템에 대한 기본 제공 커넥터가 있습니다. CEF(Common Event Format), Syslog 또는 REST API를 사용하여 데이터 원본을 Microsoft Sentinel에 연결할 수도 있습니다. 다음 이미지는 이 연결 기능을 보여 줍니다.

Diagram showing multiple data connections to Microsoft Sentinel.

Microsoft Sentinel 배포의 핵심 요소

조직의 책임 시스템 엔지니어가 연구를 수행하고 다음 핵심 사항을 확인했습니다.

  • Microsoft Sentinel에서 Log Analytics 작업 영역에 액세스할 수 있어야 합니다. Log Analytics 작업 영역을 만들고 작업 영역상에서 Microsoft Sentinel을 사용하도록 설정하는 프로세스를 진행해야 합니다.
  • Microsoft Sentinel은 유료 서비스입니다.
  • 사용자 지정 작업 영역에 대한 데이터 보존 비용은 작업 영역 가격 책정 계층을 기반으로 합니다. Log Analytics 작업 영역을 Microsoft Sentinel과 함께 사용하면 데이터 보존은 90일까지 무료입니다.
  • Microsoft Sentinel을 사용하도록 설정하려면 Microsoft Sentinel 작업 영역이 상주하는 구독에 대한 기여자 권한이 필요합니다.
  • 데이터 커넥터, 분석 규칙 등과 같은 기본 솔루션 및 독립 실행형 콘텐츠를 설치하고 관리하려면 작업 영역이 속한 리소스 그룹에 대한 템플릿 사양 기여자 권한이 필요합니다.
  • Microsoft Sentinel을 사용하려면 작업 영역이 속한 리소스 그룹에 대한 기여자 또는 읽기 권한자 권한이 있어야 합니다.

Microsoft Sentinel은 Log Analytics가 출시된 대부분의 지역의 작업 영역에서 실행됩니다. Log Analytics를 새로 사용할 수 있는 지역은 Microsoft Sentinel 서비스를 온보딩하는 데 다소 시간이 걸릴 수 있습니다. Microsoft Sentinel에서 생성하는 특정 데이터에는 해당 작업 영역에서 제공된 고객 데이터가 포함될 수 있습니다. 예를 들어 인시던트, 책갈피, 경고 규칙 등이 있습니다. 이 데이터는 유럽 작업 영역의 경우 유럽, 오스트레일리아 작업 영역의 경우 오스트레일리아, 다른 지역에 있는 작업 영역의 경우 미국 동부에 저장됩니다.

Microsoft Sentinel을 배포하는 방법

다음 단계에 따라 Microsoft Sentinel을 사용하도록 설정합니다.

  1. Azure Portal에 로그인합니다.

  2. Microsoft Sentinel을 만들어야 하는 구독을 선택합니다. 이 계정에는 다음 요소가 있어야 합니다.

    1. Microsoft Sentinel 작업 영역을 생성할 구독에 대한 기여자 권한

    2. Microsoft Sentinel 작업 영역이 속하게 될 리소스 그룹에 대한 기여자 또는 읽기 권한자 권한

  3. Microsoft Sentinel을 검색하여 선택한 다음, 추가를 선택합니다. 표시할 Microsoft Sentinel 작업 영역 없음 메시지 창이 나타납니다.

  4. Microsoft Sentinel 만들기를 선택합니다. 작업 영역에 Microsoft Sentinel 추가 페이지가 나타납니다.

  5. 새 작업 영역 만들기를 선택합니다. Log Analytics 작업 영역 만들기 창이 나타납니다.

  6. 기본 사항 탭에서 드롭다운 목록을 사용하여 다음 값을 선택합니다.

    설정
    프로젝트 세부 정보
    Subscription Sentinel을 유료 서비스로 포함하는 구독
    Resource group 참가자 또는 읽기 권한자 권한이 있는 리소스 그룹
    인스턴스 세부 정보
    이름 Log Analytics 작업 영역에 사용할 고유한 이름
    지역 드롭다운 목록에서 Sentinel 서비스 구독에 적용되는 지리적 위치를 선택합니다.

  7. 다음:가격 책정 계층을 선택합니다.

  8. 가격 책정 계층을 선택합니다.

  9. 검토 + 만들기를 선택하고 Azure가 Log Analytics 작업 영역에 대한 설정의 유효성을 검사하면 만들기를 선택합니다.

  10. 작업 영역을 만드는 데 다소 시간이 걸릴 수 있습니다. 작업 영역이 리소스 그룹에 배포되면 알림이 표시되고 작업 영역 이름이 작업 영역 목록에 표시됩니다. Azure 도구 모음의 오른쪽 위에 있는 알림 아이콘을 선택하고 대시보드에 고정을 선택합니다.

  11. 대시보드에 고정 창에서 새로 만들기를 선택하고 대시보드의 이름을 제공한 다음 창의 맨 아래에 있는 추가를 선택합니다. 작업 영역에 대한 Microsoft Sentinel 대시보드가 표시됩니다.

  12. 왼쪽 메뉴에서 개요를 선택합니다.

데이터 피드 모니터링

조직의 책임 시스템 엔지니어는 보안 원본을 연결한 후 데이터 피드를 모니터링할 수 있음을 발견했습니다.

이 Sentinel 작업 영역의 기본 구조를 살펴보겠습니다. Sentinel은 미리 정의된 차트, 그래프 및 자동화 도구를 사용하는 클라우드 네이티브 SIEM(보안 정보 및 이벤트 관리) 엔진입니다. 이 레이아웃에는 모니터링되는 이벤트, 경고, 인시던트 수가 요약되는 위쪽 행과 보고 범위를 동적으로 변경하는 드롭다운 선택 항목이 있습니다. 아래에는 이벤트 및 인시던트에 대해 미리 정의된 그래픽 차트가 포함된 3개의 패널이 있습니다. 아래 표에 설명된 왼쪽 메뉴에는 데이터 연결을 사용자 지정하고 구성하는 다양한 기본 제공 도구가 있습니다.

메뉴 항목 Description
일반
개요 사용자가 구성한 이벤트 및 인시던트의 복합 그래픽 보기입니다.
로그 미리 정의된 쿼리는 애플리케이션에서 가상 네트워크에 이르기까지 Azure 작업 영역의 모든 측면에서 실행할 수 있습니다.
뉴스 및 가이드 새로운 기능, 시작 가이드 및 평가판 정보.
검색 모든 로그에서 이벤트를 검색합니다. 조건과 일치하는 이벤트를 필터링합니다.
위협 관리
인시던트 구성한 경고 및 인시던트의 모든 그룹 또는 선택한 그룹을 보는 실습 액세스입니다.
통합 문서 Microsoft Sentinel 통합 문서를 사용하여 데이터를 모니터링합니다.
사냥 MITRE ATT&CK 프레임워크를 기반으로 하는 강력한 헌팅 검색 및 쿼리 도구를 사용합니다. 해당 도구를 통해 조직의 데이터 원본에서 보안 위협을 사전에 헌팅할 수 있습니다.
Notebooks SIEM의 모든 범주에서 커뮤니티가 제공하는 다양한 자습서 및 템플릿 중에서 선택하고 고유한 라이브러리를 만듭니다.
엔터티 동작 계정, 호스트 또는 IP 주소를 기준으로 이벤트 보기
위협 인텔리전스 심층 조사 도구를 사용하여 관련 범위를 파악하고 잠재적 보안 위협의 근본 원인을 찾습니다.
MITRE ATT&CK 공격자가 일반적으로 사용하는 전술 및 기술의 공개적으로 액세스할 수 있는 기술 자료에 따라 조직의 보안 상태 특성과 범위를 시각화합니다.
콘텐츠 관리
콘텐츠 허브 기본 제공 솔루션 및 독립 실행형 콘텐츠를 설치하고 관리합니다.
리포지토리 Microsoft Sentinel에 대한 사용자 지정 콘텐츠를 코드로 배포하고 관리합니다.
커뮤니티 Microsoft Sentinel 블로그 및 포럼에 대한 커뮤니티 뉴스와 링크를 가져옵니다.
Configuration
데이터 커넥터 다양한 디바이스 및 플랫폼을 사용하여 보안 원본에 대한 연결을 설정합니다. 예를 들어 Azure 활동을 선택하여 Azure 활동 로그를 실시간으로 볼 수 있습니다.
분석 Microsoft Sentinel은 분석을 사용하여 경고와 인시던트의 상관관계를 지정합니다. 분석을 통해 노이즈를 줄이고 검토 및 조사할 경고 수를 최소화할 수 있습니다.
Watchlist 사용자 지정 관심 목록을 만들어 Sentinel에서 중요한 인시던트 보고를 제공하도록 경고를 필터링하거나 표시 하지 않습니다.
Automation Azure 서비스와 상호 운용되는 플레이북을 사용하여 일반적인 작업을 자동화하고 보안 오케스트레이션을 간소화합니다. 기존 도구를 사용할 수 있습니다.
설정 가격 책정 세부 정보, 기능 설정 및 작업 영역 설정을 찾습니다.

다음 스크린샷은 Microsoft Sentinel - 개요 창을 보여 줍니다. Microsoft Sentinel은 이벤트, 경고 및 보안 작업에 대한 인시던트를 이해하는 데 도움이 되는 실시간 차트 및 그래프를 표시할 수 있습니다.

Screenshot of Microsoft Sentinel showing events and alerts over time, recent incidents, potential malicious events, and the total number of events, alerts, and incidents.