Microsoft Sentinel을 사용하여 제로 트러스트(TIC 3.0) 보안 아키텍처 빌드 및 모니터링

TIC 3.0(제로 트러스트용 Microsoft Sentinel 솔루션)을 사용하면 거버넌스 및 규정 준수 팀이 제로 트러스트(TIC 3.0) 요구 사항을 설계, 빌드, 모니터링 및 대응할 수 있습니다. 이 솔루션에는 통합 문서, 분석 규칙 및 제로 트러스트 원칙의 자동화된 시각화를 제공하는 플레이북이 포함되어 있으며, 트러스트 인터넷 연결 프레임워크로 교차 안내되어 조직이 시간이 지남에 따라 구성을 모니터링할 수 있도록 지원합니다.

이 문서에서는 Microsoft Sentinel 작업 영역에서 TIC 3.0(제로 트러스트용 Microsoft Sentinel 솔루션)을 설치하고 사용하는 방법을 설명합니다.

시작하려면 Microsoft Sentinel만 필요하지만 다음과 같은 다른 Microsoft 서비스와의 통합을 통해 솔루션이 향상됩니다.

자세한 내용은 제로 트러스트의 원칙을 참조하세요.

참고

Microsoft Sentinel 솔루션은 특정 데이터 집합에 대해 미리 구성된 번들 콘텐츠 집합입니다. 자세한 내용은 Microsoft Sentinel 솔루션 설명서를 참조하세요.

제로 트러스트 솔루션 및 TIC 3.0 프레임워크

제로 트러스트와 TIC 3.0은 동일하지 않지만 많은 공통 테마를 공유하고 함께 공통의 이야기를 제공합니다. 제로 트러스트용 Microsoft Sentinel 솔루션 (TIC 3.0)은 Microsoft Sentinel과 TIC 3.0 프레임워크를 사용하는 제로 트러스트 모델 간의 자세한 횡단보도를 제공합니다. 이러한 횡단 보도는 사용자가 둘 사이의 겹침을 더 잘 이해하는 데 도움이 됩니다.

제로 트러스트용 Microsoft Sentinel 솔루션 (TIC 3.0) 은 모범 사례 지침을 제공하지만 Microsoft는 규정 준수를 보장하거나 의미하지 않습니다. 모든 TIC(신뢰할 수 있는 인터넷 연결) 요구 사항, 유효성 검사 및 제어는 사이버 & 보안 인프라 보안 기관의 관리를 받습니다.

TIC 3.0(제로 트러스트) 솔루션은 주로 클라우드 기반 환경에서 Microsoft 기술로 제공되는 제어 요구 사항에 대한 가시성 및 상황 인식을 제공합니다. 고객 환경은 사용자에 따라 다르며 일부 창에는 작업을 위해 추가 구성 및 쿼리 수정이 필요할 수 있습니다.

권장 사항은 각 고객에게 고유한 요구 사항에 접근하기 위한 여러 작업 과정 중 하나이기 때문에 각 컨트롤의 적용 범위를 의미하지는 않습니다. 권장 사항은 각 제어 요구 사항의 전체 또는 부분 적용 범위를 계획하기 위한 시작점으로 간주되어야 합니다.

제로 트러스트(TIC 3.0)용 Microsoft Sentinel 솔루션은 다음 사용자 및 사용 사례에 유용합니다.

  • 규정 준수 상태 평가 및 보고를 위한 보안 거버넌스, 위험 및 규정 준수 전문가
  • 제로 트러스트 및 TIC 3.0 정렬 워크로드를 설계해야 하는 엔지니어 및 설계
  • 경고 및 자동화 빌드를 위한 보안 분석가
  • 컨설팅 서비스를 위한 MSSP(관리형 보안 서비스 공급자)
  • 요구 사항을 검토하고, 보고를 분석하고, 기능을 평가해야 하는 보안 관리자

필수 구성 요소

제로 트러스트(TIC 3.0) 솔루션을 설치하기 전에 다음 필수 구성 요소가 있는지 확인합니다.

  • Microsoft 서비스 온보딩: Azure 구독에서 Microsoft SentinelMicrosoft Defender for Cloud 가 모두 사용하도록 설정되어 있는지 확인합니다.

  • 클라우드용 Microsoft Defender 요구 사항: 클라우드용 Microsoft Defender:

  • 필요한 사용자 권한입니다. 제로 트러스트(TIC 3.0) 솔루션을 설치하려면 보안 읽기 권한자 권한이 있는 Microsoft Sentinel 작업 영역에 액세스할 수 있어야 합니다.

제로 트러스트(TIC 3.0) 솔루션 설치

Azure Portal에서 제로 트러스트(TIC 3.0) 솔루션을 배포하려면 다음을 수행합니다.

  1. Microsoft Sentinel에서 콘텐츠 허브 를 선택하고 제로 트러스트(TIC 3.0) 솔루션을 찾습니다.

  2. 오른쪽 아래에서 세부 정보 보기를 선택한 다음 만들기를 선택합니다. 솔루션을 설치할 구독, 리소스 그룹 및 작업 영역을 선택한 다음 배포할 관련 보안 콘텐츠를 검토합니다.

    완료되면 검토 + 만들기를 선택하여 솔루션을 설치합니다.

자세한 내용은 기본 제공 콘텐츠 및 솔루션 배포를 참조하세요.

샘플 사용 시나리오

다음 섹션에서는 보안 운영 분석가가 제로 트러스트(TIC 3.0) 솔루션과 함께 배포된 리소스를 사용하여 요구 사항을 검토하고, 쿼리를 탐색하고, 경고를 구성하고, 자동화를 구현하는 방법을 보여 줍니다.

제로 트러스트(TIC 3.0) 솔루션을 설치한 후 Microsoft Sentinel 작업 영역에 배포된 통합 문서, 분석 규칙 및 플레이북을 사용하여 네트워크에서 제로 트러스트를 관리합니다.

제로 트러스트 데이터 시각화

  1. Microsoft Sentinel 통합 문서>제로 트러스트(TIC 3.0) 통합 문서로 이동하고 저장된 통합 문서 보기를 선택합니다.

    제로 트러스트(TIC 3.0) 통합 문서 페이지에서 보려는 TIC 3.0 기능을 선택합니다. 이 절차 에서는 침입 검색을 선택합니다.

    페이지 맨 위에 있는 가이드 토글을 사용하여 권장 사항 및 가이드 창을 표시하거나 숨깁니다. 찾으려는 특정 데이터를 볼 수 있도록 구독, 작업 영역TimeRange 옵션에서 올바른 세부 정보가 선택되어 있는지 확인합니다.

  2. 표시된 컨트롤 카드를 검토합니다. 예를 들어 아래로 스크롤하여 적응형 Access Control 카드를 봅니다.

    Screenshot of the Adaptive Access Control card.

    왼쪽 위에 있는 안내선 토글을 사용하여 권장 사항 및 가이드 창을 보거나 숨깁니다. 예를 들어 통합 문서에 처음 액세스할 때 유용할 수 있지만 관련 개념을 이해한 후에는 필요하지 않습니다.

  3. 쿼리를 탐색합니다. 예를 들어 적응형 액세스 제어 카드의 오른쪽 위에서 :More 단추를 선택한 다음 로그 보기에서 마지막 실행 쿼리 열기를 선택합니다.

    쿼리는 Microsoft Sentinel 로그 페이지에서 열립니 .

    Screenshot of the selected query in the Microsoft Sentinel Logs page.

Microsoft Sentinel에서 분석 영역으로 이동합니다. TIC3.0을 검색하여 제로 트러스트(TIC 3.0) 솔루션으로 배포된 기본 분석 규칙을 확인합니다.

기본적으로 제로 트러스트(TIC 3.0) 솔루션은 제어 패밀리에 의해 제로 트러스트(TIC3.0) 상태를 모니터링하도록 구성된 분석 규칙 집합을 설치하며, 규정 준수 팀에게 자세 변경을 경고하기 위한 임계값을 사용자 지정할 수 있습니다.

예를 들어 워크로드의 복원력 상태가 1주일 동안 지정된 비율 이하로 떨어지면 Microsoft Sentinel은 각 정책 상태(통과/실패), 식별된 자산, 마지막 평가 시간을 자세히 설명하고 수정 작업을 위해 Microsoft Defender for Cloud에 대한 딥 링크를 제공하는 경고를 생성합니다.

필요에 따라 규칙을 업데이트하거나 새 규칙을 구성합니다.

Screenshot of the Analytics rule wizard.

자세한 내용은 위협을 탐지하는 사용자 지정 분석 규칙 만들기를 참조하세요.

SOAR로 응답

Microsoft Sentinel에서 Automation>Active 플레이북 탭으로 이동하고 Notify-GovernanceComplianceTeam 플레이북을 찾습니다.

이 플레이북을 사용하여 CMMC 경고를 자동으로 모니터링하고, 이메일 및 Microsoft Teams 메시지를 통해 거버넌스 규정 준수 팀에 관련 세부 정보를 알립니다. 필요에 따라 플레이북을 수정합니다.

Screenshot of the Logic app designer showing a sample playbook.

자세한 내용은 Microsoft Sentinel 플레이북에서 트리거 및 작업 사용을 참조하세요.

질문과 대답

사용자 지정 보기 및 보고서가 지원되는가요?

예. 제로 트러스트(TIC 3.0) 통합 문서를 사용자 지정하여 구독, 작업 영역, 시간, 제어 패밀리 또는 완성도 매개 변수별로 데이터를 볼 수 있으며 통합 문서를 내보내고 인쇄할 수 있습니다.

자세한 내용은 Azure Monitor 통합 문서를 사용하여 데이터를 시각화하고 모니터링하는 방법을 참조하세요.

추가 제품이 필요한가요?

Microsoft Sentinel과 Microsoft Defender for Cloud가 모두 필요합니다.

이러한 서비스 외에도 각 제어 카드는 카드에 표시되는 데이터 형식 및 시각화에 따라 여러 서비스의 데이터를 기반으로 합니다. 25개가 넘는 Microsoft 서비스는 제로 트러스트(TIC 3.0) 솔루션에 대한 보강을 제공합니다.

데이터가 없는 패널로 무엇을 해야 하나요?

데이터가 없는 패널은 제로 트러스트 및 TIC 3.0 컨트롤 요구 사항을 해결하기 위한 시작점을 제공합니다. 여기에는 각 컨트롤을 해결하기 위한 권장 사항이 포함됩니다.

여러 구독, 클라우드 및 테넌트가 지원되는가요?

예. 통합 문서 매개 변수, Azure Lighthouse 및 Azure Arc를 사용하여 모든 구독, 클라우드 및 테넌트에서 제로 트러스트(TIC 3.0) 솔루션을 활용할 수 있습니다.

자세한 내용은 Azure Monitor 통합 문서를 사용하여 데이터를 시각화 및 모니터링하고MSSP로 Microsoft Sentinel에서 여러 테넌트 관리를 참조하세요.

파트너 통합이 지원되는가요?

예. 통합 문서 및 분석 규칙은 모두 파트너 서비스와의 통합을 위해 사용자 지정할 수 있습니다.

자세한 내용은 Azure Monitor 통합 문서를 사용하여 경고의 데이터 및Surface 사용자 지정 이벤트 세부 정보를 시각화하고 모니터링하는 방법을 참조하세요.

정부 지역에서 사용할 수 있나요?

예. 제로 트러스트(TIC 3.0) 솔루션은 공개 미리 보기로 제공되며 상업/정부 지역에 배포할 수 있습니다. 자세한 내용은 상업용 및 미국 정부 고객의 클라우드 기능 가용성을 참조하세요.

이 콘텐츠를 사용하려면 어떤 권한이 필요합니까?

  • Microsoft Sentinel 기여자 사용자는 통합 문서, 분석 규칙 및 기타 Microsoft Sentinel 리소스를 만들고 편집할 수 있습니다.

  • Microsoft Sentinel 판독기 사용자는 데이터, 인시던트, 통합 문서 및 기타 Microsoft Sentinel 리소스를 볼 수 있습니다.

자세한 내용은 Microsoft Sentinel의 권한을 참조하세요.

다음 단계

자세한 내용은 다음을 참조하세요.

비디오를 시청하세요.

블로그를 읽어보세요!