2단계. Microsoft Sentinel 작업 영역 설계
Microsoft Sentinel 환경 배포에는 보안 및 규정 준수 요구 사항을 충족하도록 작업 영역 구성을 설계하는 작업이 포함됩니다. 프로비저닝 프로세스에는 Log Analytics 작업 영역 만들기 및 적절한 Microsoft Sentinel 옵션 구성이 포함됩니다.
이 문서에서는 제로 트러스트 원칙에 따라 Microsoft Sentinel 작업 영역을 디자인하고 구현하는 방법에 대한 권장 사항을 제공합니다.
참고 항목
Microsoft Sentinel 작업 영역을 접하는 경우 Log Analytics 작업 영역 아키텍처 디자인의 디자인 전략 및 조건을 참조하세요.
1단계: 거버넌스 전략 설계
조직에 Azure 구독이 많으면 구독에 대한 액세스, 정책 및 준수를 효율적으로 관리하는 방법이 필요할 수 있습니다. 관리 그룹은 구독에 대한 거버넌스 범위를 제공합니다. 관리 그룹 내에서 구독을 구성할 때 관리 그룹에 대해 구성하는 거버넌스 조건이 포함된 구독에 적용됩니다. 자세한 내용은 관리 그룹을 사용하여 리소스 구성을 참조하세요.
예를 들어 다음 다이어그램의 Microsoft Sentinel 작업 영역은 Microsoft Entra ID 테넌트에 속하는 플랫폼 관리 그룹의 보안 구독에 있습니다.
보안 Azure 구독 및 Microsoft Sentinel 작업 영역은 플랫폼 관리 그룹에 적용되는 RBAC(역할 기반 액세스 제어) 및 Azure 정책을 상속합니다.
2단계: Log Analytics 작업 영역 만들기
Microsoft Sentinel을 사용하려면 첫 번째 단계는 Log Analytics 작업 영역을 만드는 것입니다. 단일 Log Analytics 작업 영역은 많은 환경에 충분할 수 있지만 많은 조직에서 비용을 최적화하고 다양한 비즈니스 요구 사항을 더 잘 충족하기 위해 여러 작업 영역을 만듭니다.
Microsoft Sentinel의 데이터 소유권 및 비용 관리를 위해 운영 및 보안 데이터에 대한 별도의 작업 영역을 만드는 것이 좋습니다. 예를 들어 운영 및 보안 역할을 관리하는 사람이 두 명 이상 있는 경우 제로 트러스트 대한 첫 번째 결정은 해당 역할에 대해 별도의 작업 영역을 만들지 여부입니다.
자세한 내용은 Log Analytics 작업 영역에 대한 디자인 조건을 참조 하세요.
작업 및 보안 역할에 대한 별도의 작업 영역의 예는 Contoso의 솔루션을 참조 하세요.
Log Analytics 작업 영역 디자인 고려 사항
단일 테넌트에는 다음 두 가지 방법으로 Microsoft Sentinel 작업 영역을 구성할 수 있습니다.
단일 Log Analytics 작업 영역이 있는 단일 테넌트입니다. 이 경우 작업 영역은 테넌트 내의 모든 리소스에서 로그의 중앙 리포지토리가 됩니다.
장점:
- 로그의 중앙 통합.
- 정보를 더 쉽게 쿼리할 수 있습니다.
- 액세스를 제어하는 Log Analytics RBAC입니다. 자세한 내용은 Log Analytics 작업 영역에 대한 액세스 관리 - Azure Monitor를 참조하세요.
- 서비스 RBAC용 Microsoft Sentinel RBAC. 자세한 내용은 Microsoft Sentinel의 역할 및 권한을 참조하세요.
단점:
- 거버넌스 요구 사항을 충족하지 못할 수 있습니다.
- 지역 간에 대역폭 비용이 발생합니다.
지역별 Log Analytics 작업 영역이 있는 단일 테넌트입니다.
장점:
- 지역 간 대역폭 비용은 없습니다.
- 거버넌스를 충족해야 할 수 있습니다.
- 세분화된 데이터 액세스 제어.
- 세분화된 보존 설정입니다.
- 청구를 분할합니다.
단점:
- 중앙 단일 창이 없습니다.
- 분석, 통합 문서 및 기타 구성을 여러 번 배포해야 합니다.
Log Analytics 작업 영역을 만들려면 Log Analytics 작업 영역 만들기를 참조 하세요.
3단계: Sentinel 작업 영역 설계
Microsoft Sentinel을 온보딩하려면 Log Analytics 작업 영역을 선택해야 합니다. 다음은 Microsoft Sentinel용 Log Analytics를 설정하기 위한 고려 사항입니다.
- 거버넌스를 위해 Microsoft Sentinel 리소스를 격리하고 컬렉션에 대한 역할 기반 액세스를 허용하는 "보안" 리소스 그룹을 만듭니다. 자세한 내용은 Log Analytics 작업 영역 아키텍처 디자인를 참조하세요.
- "보안" 리소스 그룹에 Log Analytics 작업 영역을 만들고 Microsoft Sentinel을 온보딩합니다. 이렇게 하면 무료 평가판의 일부로 하루에 최대 10Gb의 데이터를 31일 동안 무료로 수집할 수 있습니다.
- Microsoft Sentinel을 지원하는 Log Analytics 작업 영역을 최소 90일 보존으로 설정합니다.
Microsoft Sentinel을 Log Analytics 작업 영역에 온보딩하면 추가 비용 없이 90일간의 데이터 보존 기간을 얻을 수 있습니다. 90일 후에 작업 영역의 총 데이터 양에 대한 비용이 발생합니다. 이를 90일로 설정하면 로그 데이터의 90일 롤오버가 보장됩니다. 정부 요구 사항에 따라 로그 데이터를 더 오래 보존하는 것이 좋습니다. 자세한 내용은 빠른 시작: Microsoft Sentinel에서 온보딩을 참조하세요.
Microsoft Sentinel을 사용하여 제로 트러스트
제로 트러스트 아키텍처를 구현하려면 작업 영역과 테넌트 간에 데이터를 쿼리하고 분석하도록 작업 영역을 확장하는 것이 좋습니다. 샘플 Microsoft Sentinel 작업 영역 디자인을 사용하고 작업 영역 및 테넌트 간에 Microsoft Sentinel을 확장하여 조직에 가장 적합한 작업 영역 디자인을 결정합니다.
또한 클라우드 역할 및 운영 관리 규범 지침과 해당 Excel 스프레드시트(다운로드)를 사용합니다. 이 가이드에서 Microsoft Sentinel에 대해 고려해야 할 제로 트러스트 작업은 다음과 같습니다.
- 연결된 Microsoft Entra 그룹을 사용하여 Microsoft Sentinel RBAC 역할을 정의합니다.
- Microsoft Sentinel에 대한 구현된 액세스 사례가 여전히 조직의 요구 사항을 충족하는지 확인합니다.
- 고객 관리형 키를 사용하는 것이 좋습니다.
RBAC를 사용하여 제로 트러스트
제로 트러스트 준수하려면 전체 Microsoft Sentinel 환경에 대한 액세스 권한을 제공하는 대신 사용자에게 허용되는 리소스에 따라 RBAC를 구성하는 것이 좋습니다. 다음 표에서는 Microsoft Sentinel 관련 역할 중 일부를 나열합니다.
| 역할 이름 | 설명 |
|---|---|
| Microsoft Sentinel 읽기 권한자 | 데이터, 인시던트, 통합 문서 및 기타 Microsoft Sentinel 리소스 보기 |
| Microsoft Sentinel 응답자 | Microsoft Sentinel 판독기 역할의 기능 외에도 인시던트(할당, 해제 등)를 관리합니다. 이 역할은 보안 분석가의 사용자 유형에 적용할 수 있습니다. |
| Microsoft Sentinel 플레이북 운영자 | 플레이북을 나열, 보기 및 수동으로 실행합니다. 이 역할은 보안 분석가의 사용자 유형에도 적용됩니다. 이 역할은 Microsoft Sentinel 응답자에게 최소한의 권한으로 Microsoft Sentinel 플레이북을 실행할 수 있는 기능을 부여하기 위한 것입니다. |
| Microsoft Sentinel 기여자 | Microsoft Sentinel 플레이북 운영자 역할의 기능 외에도 통합 문서, 분석 규칙 및 기타 Microsoft Sentinel 리소스를 만들고 편집합니다. 이 역할은 보안 엔지니어의 사용자 유형에 적용할 수 있습니다. |
| Microsoft Sentinel 자동화 기여자 | Microsoft Sentinel에서 자동화 규칙에 플레이북을 추가할 수 있습니다. 이 역할은 사용자 계정에 할당할 수 없습니다. |
Microsoft Sentinel 관련 Azure 역할을 할당할 때 다른 목적으로 사용자에게 할당되었을 수 있는 다른 Azure 및 Log Analytics 역할을 발견할 수 있습니다. 예를 들어 Log Analytics 기여자 및 Log Analytics 판독기 역할은 Log Analytics 작업 영역에 대한 액세스 권한을 부여합니다. Microsoft Sentinel 작업 영역에 대한 RBAC를 구현하려면 Microsoft Sentinel의 역할 및 사용 권한을 참조하고 리소스별 Microsoft Sentinel 데이터에 대한 액세스 관리를 참조하세요.
Azure Lighthouse를 사용하여 다중 테넌트 아키텍처의 제로 트러스트
Azure Lighthouse는 확장성, 높은 자동화, 리소스 전반의 향상된 거버넌스를 통해 다중 테넌트 관리를 지원합니다. Azure Lighthouse를 사용하면 대규모 Microsoft Entra 테넌트에서 여러 Microsoft Sentinel 인스턴스를 관리할 수 있습니다. 다음은 예제입니다.
Azure Lighthouse를 사용하면 여러 작업 영역에서 쿼리를 실행하거나 통합 문서를 만들어 연결된 데이터 원본의 데이터를 시각화 및 모니터링하고 추가 인사이트를 얻을 수 있습니다. 제로 트러스트 원칙을 고려하는 것이 중요합니다. Azure Lighthouse에 대한 최소 권한 액세스 제어를 구현하려면 권장 보안 사례를 참조하세요.
Azure Lighthouse에 대한 보안 모범 사례를 구현할 때 다음 질문을 고려합니다.
- 데이터 소유권에 대한 책임은 누구에게 있나요?
- 데이터 격리 및 규정 준수 요구 사항은 무엇인가요?
- 테넌트 전체에서 최소 권한을 구현하는 방법입니다.
- 여러 Microsoft Sentinel 작업 영역의 여러 데이터 커넥터는 어떻게 관리되나요?
- Office 365 환경을 모니터링하는 방법
- 테넌트 전체에서 지적 속성(예: 플레이북, Notebook, 분석 규칙)을 보호하는 방법
Microsoft Sentinel 및 Azure Lighthouse의 보안 모범 사례는 대규모 Microsoft Sentinel 작업 영역 관리: 세분화된 Azure RBAC를 참조하세요.
권장 교육
다음은 이 단계에 권장되는 학습 모듈입니다.
Microsoft Sentinel 소개
| 학습 | Microsoft Sentinel 소개 |
|---|---|
|
Microsoft Sentinel을 통해 클라우드 및 온-프레미스 데이터에서 중요한 보안 인사이트를 신속하게 얻을 수 있는 방법을 알아봅니다. |
Microsoft Sentinel 환경 구성
| 학습 | Microsoft Sentinel 환경 구성 |
|---|---|
|
Microsoft Sentinel 작업 영역을 올바르게 구성하여 Microsoft Sentinel을 시작합니다. |
Microsoft Sentinel 작업 영역 만들기 및 관리
| 학습 | Microsoft Sentinel 작업 영역 만들기 및 관리 |
|---|---|
|
조직의 보안 작업 요구 사항에 맞게 시스템을 구성할 수 있도록 Microsoft Sentinel 작업 영역의 아키텍처에 대해 알아봅니다. |
다음 단계
3단계를 계속 진행하여 데이터 원본을 수집하고 인시던트 검색을 구성하도록 Microsoft Sentinel을 구성합니다.
참조
이 문서에 멘션 서비스 및 기술에 대해 알아보려면 다음 링크를 참조하세요.
Microsoft Sentinel:
Microsoft Sentinel 거버넌스:
Log Analytics 작업 영역:
- Log Analytics 작업 영역 아키텍처 디자인
- Log Analytics 작업 영역에 대한 디자인 조건
- Contoso의 솔루션
- Log Analytics 작업 영역에 대한 액세스 관리 - Azure Monitor
- Log Analytics 작업 영역 아키텍처 디자인
- Log Analytics 작업 영역 만들기
Microsoft Sentinel 작업 영역 및 Azure Lighthouse:
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기