Microsoft Sentinel을 사용하여 엔터프라이즈 보안 관리

  • 10분

여러분의 금융 조직은 전 세계 여러 지역의 고객 및 파트너와 지속적으로 거래합니다. 매일 많은 트랜잭션이 발생하며 각 트랜잭션은 유형, 관련 디바이스, 사용자를 불문하고 모니터링되고 보호되어야 합니다. 조직의 보안 및 모니터링 전략은 엔터프라이즈 차원의 보안 및 모니터링에 집중해야 합니다.

이 단원에서는 Microsoft Sentinel이 엔터프라이즈 수준 조직에서 보안 위협을 모니터링하고 대응하는 방법을 설명합니다. Microsoft Sentinel을 사용하여 다음을 수행할 수 있습니다.

  • 잠재적으로 여러 클라우드 및 온-프레미스 위치에서 기업에 대해 상세 개요를 살펴봅니다.
  • 복잡하고 이질적인 도구를 사용하지 않으려는 경우
  • 전문가가 구축한 엔터프라이즈급 AI를 사용하여 조직 전체의 위협을 식별하고 처리하려는 경우

데이터 원본을 Microsoft Sentinel에 연결

Microsoft Sentinel을 구현하려면 Log Analytics 작업 영역이 필요합니다. Azure Portal에서 Microsoft Sentinel 리소스를 만들 때 새 Log Analytics 작업 영역을 만들거나 기존 작업 영역을 연결할 수 있습니다.

Screenshot of adding a Log Analytics workspace.

Microsoft Sentinel 리소스를 만들고 작업 영역에 연결한 후에는 엔터프라이즈의 데이터 원본을 연결해야 합니다. 콘텐츠 허브에서 데이터 커넥터를 사용하여 솔루션을 설치합니다. Microsoft Sentinel은 커넥터를 통해 Microsoft Entra ID 및 Microsoft 365를 포함한 Microsoft 솔루션과 통합합니다.

Microsoft Sentinel 왼쪽 탐색 창의 구성에서 데이터 커넥터를 선택하면 사용 가능한 모든 데이터 커넥터를 볼 수 있습니다.

Screenshot of data connectors.

데이터 원본에 적합한 데이터 커넥터를 선택하고 커넥터에 대한 정보를 읽고 커넥터 페이지 열기를 선택하여 커넥터의 필수 구성 요소를 확인합니다. 데이터 원본을 성공적으로 연결하려면 모든 필수 구성 요소를 해결해야 합니다.

데이터 원본을 연결하면 로그가 Microsoft Sentinel에 동기화됩니다. 커넥터에 대해 수신된 데이터 그래프에 수집된 데이터의 요약이 표시됩니다. 또한 원본에 대해 수집된 다양한 데이터 형식도 표시됩니다. 예를 들어 Azure Storage 계정 커넥터는 Blob, 큐, 파일 또는 테이블 로그 데이터를 수집할 수 있습니다.

Screenshot of the Data received graph.

데이터 원본이 연결되면 Microsoft Sentinel에서 엔터프라이즈 모니터링을 시작합니다.

Screenshot of an alert map.

기업 모니터링에 경고 사용

변칙과 위협을 더 지능적으로 조사하도록 경고 규칙을 구성할 수 있습니다. 경고 규칙은 경고가 발생되는 위협과 활동을 지정합니다. 수동으로 또는 플레이북을 사용한 자동화된 대응으로 대응할 수도 있습니다.

구성 아래의 Microsoft Sentinel 왼쪽 탐색 창에서 분석을 선택하여 현재 설정되어 있는 모든 규칙을 보고 새 규칙을 만듭니다.

Screenshot of View all alerts.

규칙을 만들 때 규칙의 활성화 여부와 경고의 심각도를 지정합니다. 규칙 논리 설정 탭의 규칙 쿼리 필드에 규칙 쿼리를 입력합니다.

Screenshot of Create alert rule.

예를 들어 다음 쿼리는 의심스러운 수의 Azure VM이 생성되거나 업데이트되는지 또는 의심스러운 수의 리소스 배포가 발생하는지 정할 수 있습니다.

AzureActivity
 | where OperationName == "Create or Update Virtual Machine" or OperationName == "Create Deployment"
 | where ActivityStatus == "Succeeded"
 | make-series dcount(ResourceId)  default=0 on EventSubmissionTimestamp in range(ago(7d), now(), 1d) by Caller

쿼리 예약 섹션에서 필드를 사용하여 쿼리 실행 빈도와 조회할 데이터 기간을 설정할 수 있습니다. 경고 임계값 섹션에서는 경고가 발생해야 하는 때를 지정할 수 있습니다.

인시던트 조사

Microsoft Sentinel은 생성된 경고를 인시던트에 결합하여 추가 조사를 지원합니다. Microsoft Sentinel 왼쪽 탐색의 위협 관리 아래에서 인시던트를 선택하여 닫힌 인시던트 수, 열려 있는 인시던트 수, 인시던트가 발생한 때, 심각도 등 모든 인시던트에 대한 세부 정보를 확인합니다.

인시던트 조사를 시작하려면 인시던트를 선택합니다. 오른쪽 창에서 인시던트에 대한 정보를 가져옵니다. 자세한 내용을 보려면 전체 세부 정보 보기를 선택합니다.

Screenshot of the Incidents page.

인시던트를 조사하려면 상태를 신규에서 활성으로 업데이트하고 소유자에게 할당한 다음 조사를 선택합니다.

Screenshot of Incident detail.

조사 맵을 사용하면 인시던트 원인과 영향을 받는 범위를 이해하는 데 도움이 됩니다. 또한 맵을 사용하여 인시던트를 둘러싼 데이터와의 상관 관계를 확인할 수 있습니다.

Screenshot of an investigation map.

조사 맵을 사용하면 인시던트를 드릴다운할 수 있습니다. 사용자, 디바이스 및 어플라이언스를 포함한 여러 엔터티를 인시던트에 매핑할 수 있습니다. 예를 들어 인시던트의 일부로 식별된 사용자에 대한 세부 정보를 가져올 수 있습니다.

Screenshot of entity.

엔터티를 마우스로 가리키면 Microsoft 보안 분석가와 전문가가 설계한 탐색 쿼리 목록이 나타납니다. 탐색 쿼리를 사용하면 더욱 효율적으로 조사할 수 있습니다.

Screenshot of exploration queries.

조사 맵에는 특정 시간에 발생한 이벤트를 이해하는 데 도움이 되는 타임라인도 제공됩니다. 타임라인 기능을 사용하여 시간이 지남에 따라 위협이 발생할 수 있는 경로를 파악합니다.

Screenshot of timeline.

지식 점검

1.

Microsoft Sentinel을 사용하는 이유는 무엇인가요?

2.

인시던트에 영향을 받은 사용자를 확인하려면 Microsoft Sentinel 조사 맵에서 무엇을 사용해야 하나요?