Microsoft Defender 포털의 Microsoft Sentinel(미리 보기)
Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼의 공개 미리 보기의 일부로 사용할 수 있습니다. 자세한 내용은 다음을 참조하세요.
이 문서에서는 Microsoft Defender 포털의 Microsoft Sentinel 환경에 대해 설명합니다.
Important
이 문서의 정보는 상업적으로 릴리스되기 전에 상당히 수정될 수 있는 시험판 제품과 관련이 있습니다. Microsoft는 여기에 제공된 정보에 대해 어떠한 명시적, 또는 묵시적인 보증을 하지 않습니다.
새롭고 향상된 기능
다음 표에서는 Microsoft Sentinel과 Defender XDR이 통합되어 Defender 포털에서 사용할 수 있는 새롭거나 향상된 기능에 대해 설명합니다.
| 기능 | 설명 |
|---|---|
| 고급 헌팅 | 단일 포털에서 다양한 데이터 세트에 걸쳐 쿼리하면 헌팅의 효율성이 높아지고 컨텍스트를 전환하지 않아도 됩니다. Microsoft 보안 서비스 및 Microsoft Sentinel의 데이터를 포함한 모든 데이터를 보고 쿼리합니다. 쿼리 및 함수를 포함하여 기존의 모든 Microsoft Sentinel 작업 영역 콘텐츠를 사용합니다. 자세한 내용은 Microsoft Defender 포털의 고급 헌팅을 참조하세요. |
| 공격 중단 | 통합 보안 운영 플랫폼과 SAP용 Microsoft Sentinel 솔루션 애플리케이션을 모두 사용하여 SAP에 대한 자동 공격 중단을 배포합니다. 예를 들어 재무 프로세스 조작 공격이 발생할 경우 의심스러운 SAP 사용자를 잠가서 손상된 자산을 방지합니다. SAP에 대한 공격 중단 기능은 Defender 포털에서만 사용할 수 있습니다. SAP에 대한 공격 중단을 사용하려면 데이터 커넥터 에이전트 버전을 업데이트하고 관련 Azure 역할이 에이전트의 ID에 할당되어 있는지 확인합니다. 자세한 내용은 SAP에 대한 자동 공격 중단(미리 보기)을 참조하세요. |
| 통합 엔터티 | Defender 포털의 디바이스, 사용자, IP 주소, Azure 리소스에 대한 엔터티 페이지에는 Microsoft Sentinel과 Defender 데이터 원본의 정보가 표시됩니다. 이러한 엔터티 페이지는 Defender 포털에서 인시던트 및 경고 조사에 대한 확장된 컨텍스트를 제공합니다. 자세한 내용은 Microsoft Sentinel의 엔터티 페이지로 엔터티 조사를 참조하세요. |
| 통합 인시던트 | Defender 포털의 단일 위치와 단일 큐에서 보안 인시던트를 관리하고 조사합니다. 인시던트에는 다음이 포함됩니다. - 다양한 원본에서 얻은 데이터 - SIEM(보안 정보 및 이벤트 관리)의 AI 분석 도구 - XDR(확장 검색 및 응답)에서 제공하는 컨텍스트 및 완화 도구 자세한 내용은 Microsoft Defender 포털의 인시던트 대응을 참조하세요. |
포털 간의 기능 차이점
대부분의 Microsoft Sentinel 기능은 Azure 및 Defender 포털 모두에서 사용할 수 있습니다. Defender 포털에서 일부 Microsoft Sentinel 환경은 사용자가 작업을 완료할 수 있도록 Azure Portal에 열립니다.
이 섹션에서는 Azure Portal 또는 Defender 포털에서만 사용할 수 있는 통합 보안 운영 플랫폼의 Microsoft Sentinel 기능이나 통합 또는 포털 간의 기타 중요한 차이점을 다룹니다. Defender 포털에서 Azure Portal을 여는 Microsoft Sentinel 환경은 제외됩니다.
| 기능 | 가용성 | 설명 |
|---|---|---|
| 책갈피를 사용하는 고급 헌팅 | Azure Portal만 | Microsoft Defender 포털의 고급 헌팅 환경에서는 책갈피가 지원되지 않습니다. Defender 포털에서는 Microsoft Sentinel > 위협 관리 > 헌팅에서 지원됩니다. 자세한 내용은 Microsoft Sentinel을 사용하여 헌팅하는 동안 데이터 추적을 참조하세요. |
| SAP에 대한 공격 중단 | Defender 포털 전용 | Azure Portal에서는 이 기능을 사용할 수 없습니다. 자세한 내용은 Microsoft Defender 포털의 자동 공격 중단을 참조하세요. |
| 자동화 | 일부 자동화 절차는 Azure Portal에서만 사용할 수 있습니다. 다른 자동화 절차는 Defender 및 Azure Portal에서 동일하지만 Azure Portal에서는 통합 보안 운영 플랫폼에 온보딩된 작업 영역과 그렇지 않은 작업 영역 간에 차이가 있습니다. |
자세한 내용은 통합 보안 운영 플랫폼으로 자동화를 참조하세요. |
| 데이터 커넥터: 통합 보안 운영 플랫폼에서 사용하는 커넥터의 표시 여부 | Azure Portal만 | Defender 포털에서 Microsoft Sentinel을 온보딩한 후 통합 보안 운영 플랫폼의 일부인 다음 데이터 커넥터가 데이터 커넥터 페이지에 표시되지 않습니다. Azure Portal에서 이러한 데이터 커넥터는 Microsoft Sentinel에 설치된 데이터 커넥터와 함께 계속 나열됩니다. |
| 엔터티: 인시던트의 위협 인텔리전스에 엔터티 추가 | Azure Portal만 | 이 기능은 통합 보안 운영 플랫폼에서 사용할 수 없습니다. 자세한 내용은 위협 표시기에 개체 추가를 참조하세요. |
| Fusion: 고급 다단계 공격 탐지 | Azure Portal만 | Microsoft Sentinel을 통합 보안 운영 플랫폼에 온보딩하면 Fusion 상관 관계 엔진에서 만들어진 경고 상관 관계를 기반으로 인시던트를 만드는 Fusion 분석 규칙이 사용하지 않도록 설정됩니다. 통합 보안 운영 플랫폼은 Microsoft Defender XDR의 인시던트 만들기 및 상관 관계 기능을 사용하여 Fusion 엔진의 기능을 바꿉니다. 자세한 내용은 Microsoft Sentinel의 고급 다단계 공격 감지를 참조하세요. |
| 인시던트: 인시던트에 경고 추가 / 인시던트에서 경고 제거 |
Defender 포털 전용 | Microsoft Sentinel을 통합 보안 운영 플랫폼에 온보딩한 후에는 더 이상 Azure Portal의 인시던트에 경고를 추가하거나 제거할 수 없습니다. Defender 포털의 인시던트에서 경고를 제거할 수 있지만 경고를 다른 인시던트(기존 또는 신규)에 연결해야만 제거할 수 있습니다. |
| 인시던트: 주석 편집 | Azure Portal만 | Microsoft Sentinel을 통합 보안 운영 플랫폼에 온보딩한 후 두 포털 모두에서 인시던트에 댓글을 추가할 수 있지만 기존 댓글을 편집할 수는 없습니다. Azure Portal에서 주석을 편집한 내용은 통합 보안 운영 플랫폼과 동기화되지 않습니다. |
| 인시던트: 인시던트의 프로그래밍 방식 만들기 및 수동 만들기 | Azure Portal만 | API를 통해, Logic Apps 플레이북을 통해 또는 Azure Portal에서 수동으로 Microsoft Sentinel에서 만들어진 인시던트는 통합 보안 운영 플랫폼에 동기화되지 않습니다. 이러한 인시던트는 Azure Portal 및 API에서 계속 지원됩니다. Microsoft Sentinel에서 수동으로 사용자 고유의 인시던트 만들기를 참조하세요. |
| 인시던트: 종료된 인시던트 재개 | Azure Portal만 | 통합 보안 운영 플랫폼에서는 새 경고가 추가되는 경우 닫힌 인시던트를 다시 열도록 Microsoft Sentinel 분석 규칙에서 경고 그룹화를 설정할 수 없습니다. 이 경우 닫힌 인시던트는 다시 열리지 않으며 새 경고가 새 인시던트를 트리거합니다. |
| 인시던트: 작업 | Azure Portal만 | 통합 보안 운영 플랫폼에서는 작업을 사용할 수 없습니다. 자세한 내용은 작업을 사용하여 Microsoft Sentinel에서 인시던트 관리를 참조하세요. |
빠른 참조
통합 인시던트 큐와 같은 일부 Microsoft Sentinel 기능은 통합 보안 운영 플랫폼의 Microsoft Defender XDR과 통합되어 있습니다. 다른 많은 Microsoft Sentinel 기능은 Defender 포털의 Microsoft Sentinel 섹션에서 사용할 수 있습니다.
다음 이미지는 Defender 포털의 Microsoft Sentinel 메뉴를 보여 줍니다.
다음 섹션에서는 Defender 포털에서 Microsoft Sentinel 기능을 찾을 수 있는 위치에 대해 설명합니다. 섹션은 Microsoft Sentinel이 Azure Portal에 있는 것처럼 구성되어 있습니다.
일반
다음 표에는 Azure Portal의 일반 섹션에 대한 Azure Portal과 Defender 포털 간의 탐색 변경 사항이 나와 있습니다.
| Azure Portal | Defender 포털 |
|---|---|
| 개요 | 개요 |
| 로그 | 조사 및 대응 > 헌팅 > 고급 헌팅 |
| 뉴스 및 가이드 | 사용할 수 없음 |
| 검색 | Microsoft Sentinel > 검색 |
위협 관리
다음 표에는 Azure Portal의 위협 관리 섹션에 대한 Azure Portal과 Defender 포털 간의 탐색 변경 사항이 나와 있습니다.
| Azure Portal | Defender 포털 |
|---|---|
| 인시던트 | 조사 및 대응 > 인시던트 및 경고 > 인시던트 |
| 통합 문서 | Microsoft Sentinel > 위협 관리 > 통합 문서 |
| 사냥 | Microsoft Sentinel > 위협 관리 > 헌팅 |
| Notebooks | Microsoft Sentinel > 위협 관리 > Notebook |
| 엔터티 동작 | 사용자 엔터티 페이지: 자산 > ID >{사용자}> Sentinel 이벤트 디바이스 엔터티 페이지: 자산 > 디바이스 >{디바이스}> Sentinel 이벤트 또한 인시던트 및 경고에서 사용자, 디바이스, IP, Azure 리소스 엔터티 유형에 대한 엔터티 페이지가 표시되는 대로 찾아봅니다. |
| 위협 인텔리전스 | Microsoft Sentinel > 위협 관리 > 위협 인텔리전스 |
| MITRE ATT&CK | Microsoft Sentinel > 위협 관리 > MITRE ATT&CK |
콘텐츠 관리
다음 표에는 Azure Portal의 콘텐츠 관리 섹션에 대한 Azure Portal과 Defender 포털 간의 탐색 변경 사항이 나와 있습니다.
| Azure Portal | Defender 포털 |
|---|---|
| 콘텐츠 허브 | Microsoft Sentinel > 콘텐츠 관리 > 콘텐츠 허브 |
| 리포지토리 | Microsoft Sentinel > 콘텐츠 관리 > 리포지토리 |
| 커뮤니티 | 사용할 수 없음 |
구성
다음 표에는 Azure Portal의 구성 섹션에 대한 Azure Portal과 Defender 포털 간의 탐색 변경 사항이 나와 있습니다.
| Azure Portal | Defender 포털 |
|---|---|
| 작업 영역 관리자 | 사용할 수 없음 |
| 데이터 커넥터 | Microsoft Sentinel > 구성 > 데이터 커넥터 |
| 분석 | Microsoft Sentinel > 구성 > 분석 |
| 관심 목록 | Microsoft Sentinel > 구성 > 관심 목록 |
| 자동화 | Microsoft Sentinel > 구성 > 자동화 |
| 설정 | 시스템 > 설정 > Microsoft Sentinel |