Microsoft Sentinel에서 UEBA(사용자 및 엔터티 동작 분석) 사용

• 적용 대상:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

이전 배포 단계에서는 시스템을 보호하는 데 필요한 Microsoft Sentinel 보안 콘텐츠를 사용하도록 설정했습니다. 이 문서에서는 UEBA 기능을 사용하도록 설정하고 사용하여 분석 프로세스를 간소화하는 방법을 알아봅니다. 이 문서는 Microsoft Sentinel 배포 가이드의 일부입니다.

Microsoft Sentinel은 연결된 모든 데이터 원본에서 로그 및 경고를 수집하고 해당 로그 및 경고를 분석하여 조직의 엔터티(예: 사용자, 호스트, IP 주소 및 애플리케이션)의 기준 동작 프로필을 시간 및 피어 그룹을 기준선으로 하여 빌드합니다. 그러면 Microsoft Sentinel은 다양한 기술과 기계 학습 기능을 사용하여 비정상적인 작업을 식별하고 자산이 손상되었는지 여부를 판단하는 데 도움을 줄 수 있습니다. UEBA에 대해 자세히 알아봅니다.

참고 항목

US Government 클라우드의 기능 가용성에 대한 자세한 내용은 US Government 고객을 위한 클라우드 기능 가용성의 Microsoft Sentinel 표를 참조하세요.

Important

Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼의 공개 미리 보기의 일부로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

필수 조건

이 기능을 사용하거나 사용하지 않도록 설정하려면 다음이 필요합니다(이러한 필수 조건은 기능을 사용하는 데 필요하지 않음).

• 사용자에게 테넌트의 Microsoft Entra ID 전역 관리자 또는 보안 관리자 역할이 할당되어야 합니다.

• 사용자에게 다음 Azure 역할 중 하나 이상이 할당되어야 합니다(Azure RBAC 자세히 알아보기).

  • 작업 영역 또는 리소스 그룹 수준의 Microsoft Sentinel 기여자.
  • 리소스 그룹 또는 구독 수준에서 Log Analytics 기여자.

• 작업 영역에 Azure 리소스 잠금이 적용되지 않아야 합니다. Azure 리소스 잠금에 대해 자세히 알아보세요.

참고 항목

• Microsoft Sentinel에 UEBA 기능을 추가하는 데 특별한 라이선스는 필요하지 않으며 사용에 대한 추가 요금도 없습니다.
• 그러나 UEBA는 새 데이터를 생성하고 UEBA가 Log Analytics 작업 영역에서 만드는 새 테이블에 저장하므로 추가 데이터 스토리지 요금이 적용됩니다.

사용자 및 엔터티 동작 분석을 사용 설정하는 방법

• Azure Portal의 Microsoft Sentinel 사용자는 Azure Portal 탭의 지침을 따릅니다.
• Microsoft Defender 포털의 통합 보안 운영 플랫폼의 일부인 Microsoft Sentinel의 사용자는 Defender 포털 탭의 지침을 따릅니다.

1. 엔터티 동작 구성 페이지로 이동합니다.

   Azure Portal

   다음 세 가지 방법 중 하나를 사용하여 엔터티 동작 구성 페이지로 이동하세요.

   • Microsoft Sentinel 탐색 메뉴에서 엔터티 동작을 선택한 다음 상단 메뉴 모음에서 엔터티 동작 설정을 선택합니다.

   • Microsoft Sentinel 탐색 메뉴에서 설정을 선택하고 설정 탭을 선택한 다음 엔터티 동작 분석 확장기에서 UEBA 설정을 선택합니다.

   • Microsoft Defender XDR 데이터 커넥터 페이지에서 UEBA 구성 페이지로 이동 링크를 선택합니다.

   Defender 포털

   엔터티 동작 구성 페이지로 이동하려면 다음을 수행합니다.

   1. Microsoft Defender 포털 탐색 메뉴에서 설정을 선택합니다.
   2. 설정 페이지에서 Microsoft Sentinel을 선택합니다.
   3. 다음 메뉴에서 엔터티 동작 분석을 선택합니다.
   4. 그런 다음, Azure Portal의 엔터티 동작 구성 페이지가 있는 새 브라우저 탭을 여는 UEBA 설정을 선택합니다.

2. 엔터티 동작 구성 페이지에서 토글을 켜기로 전환합니다.

   

3. 사용자 엔터티를 Microsoft Sentinel과 동기화하려는 Active Directory 원본 형식 옆의 확인란을 선택합니다.

   • Active Directory 온-프레미스(미리 보기)
   • Microsoft Entra ID

   온-프레미스 Active Directory에서 사용자 엔터티를 동기화하려면 Azure 테넌트가 Microsoft Defender for Identity(독립 실행형 또는 Microsoft Defender XDR의 일부로)에 온보딩되어야 하고 Active Directory 도메인 컨트롤러에 MDI 센서가 설치되어 있어야 합니다. 자세한 내용은 Microsoft Defender for Identity 필수 조건을 참조하세요.

4. UEBA를 사용하도록 설정하려는 데이터 원본 옆의 확인란을 선택합니다.

   참고 항목

   기존 데이터 원본 목록 아래에는 아직 연결하지 않은 UEBA 지원 데이터 원본 목록이 표시됩니다.

   UEBA를 사용하도록 설정하면 새 데이터 원본을 연결할 때 UEBA 지원 대상인 경우 데이터 커넥터 창에서 직접 UEBA를 사용 설정할 수 있는 옵션이 있습니다.

5. 적용을 선택합니다. 엔터티 동작 페이지를 통해 이 페이지에 액세스한 경우 해당 페이지로 돌아갑니다.

다음 단계

이 문서에서는 Microsoft Sentinel에서 UEBA(User and Entity Behavior Analytics)를 사용하도록 설정하고 구성하는 방법을 알아보았습니다. UEBA에 대한 자세한 정보:

엔터티 페이지를 사용하여 엔터티 조사