Microsoft Sentinel의 역할 및 권한
이 문서에서는 Microsoft Sentinel이 사용자 역할에 권한을 할당하고 각 역할에 허용되는 작업을 식별하는 방법을 설명합니다. Microsoft Sentinel은 Azure에서 사용자, 그룹, 서비스에 할당할 수 있는 기본 제공 역할을 제공하는 Azure RBAC(Azure 역할 기반 액세스 제어)를 사용합니다. 이 문서는 Microsoft Sentinel 배포 가이드의 일부입니다.
Azure RBAC를 사용하여 역할을 만들고 보안 운영 팀 내에 할당하여 Microsoft Sentinel에 대한 적절한 액세스 권한을 부여합니다. 다양한 역할을 통해 Microsoft Sentinel 사용자가 보고 수행할 수 있는 작업을 세밀하게 제어할 수 있습니다. Azure 역할을 Microsoft Sentinel 작업 영역에서 직접 할당하거나 작업 영역이 속해 있는 구독이나 리소스 그룹(Azure Sentinel에서 상속함)에서 할당할 수 있습니다.
Important
Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼의 공개 미리 보기의 일부로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.
Microsoft Sentinel에서 작업하기 위한 역할 및 권한
기본 제공 역할을 사용하여 작업 영역의 데이터에 대한 적절한 액세스 권한을 부여합니다. 사용자의 작업에 따라 더 많은 역할 또는 특정 권한을 부여해야 할 수 있습니다.
Microsoft Sentinel 전용 역할
모든 기본 제공 Microsoft Sentinel 역할은 Microsoft Sentinel 작업 영역에 있는 데이터에 대한 읽기 권한을 부여합니다.
Microsoft Sentinel 읽기 권한자는 데이터, 인시던트, 통합 문서 및 기타 Microsoft Sentinel 리소스를 볼 수 있습니다.
Microsoft Sentinel 응답자는 Microsoft Sentinel 읽기 권한자에 대한 권한 외에도 인시던트 할당, 해제 및 변경과 같은 인시던트 관리 작업이 가능합니다.
Microsoft Sentinel 기여자는 Microsoft Sentinel 응답자에 대한 권한 외에도 콘텐츠 허브에서 솔루션을 설치 및 업데이트하고 통합 문서, 분석 규칙 등과 같은 Microsoft Sentinel 리소스를 만들고 편집할 수 있습니다.
Microsoft Sentinel 플레이북 운영자는 플레이북을 나열, 보기 및 수동으로 실행할 수 있습니다.
Microsoft Sentinel 자동화 기여자는 Microsoft Sentinel에서 플레이북을 자동화 규칙에 추가하도록 허용합니다. 이 역할은 사용자 계정에 할당할 수 없습니다.
최상의 결과를 가져오려면 Microsoft Sentinel 작업 영역이 포함된 리소스 그룹에 이러한 역할을 할당합니다. 이러한 방식으로 역할은 Microsoft Sentinel을 지원하는 모든 리소스에 적용됩니다. 이러한 리소스도 동일한 리소스 그룹에 배치되어야 하기 때문입니다.
다른 옵션으로 Microsoft Sentinel 작업 영역 자체에 직접 역할을 할당합니다. 이렇게 하는 경우 해당 작업 영역의 SecurityInsights 솔루션 리소스에 동일한 역할을 할당해야 합니다. 다른 리소스에 할당하고 리소스에 대한 역할 할당을 지속적으로 관리해야 할 수도 있습니다.
기타 역할 및 권한
특정 작업 요구 사항을 가진 사용자는 작업을 수행하기 위해 다른 역할 또는 특정 권한을 할당받아야 할 수 있습니다.
기본 제공 콘텐츠 설치 및 관리
Microsoft Sentinel의 콘텐츠 허브에서 엔드 투 엔드 제품 또는 독립 실행형 콘텐츠에 대한 패키지 솔루션을 찾습니다. 콘텐츠 허브에서 콘텐츠를 설치하고 관리하려면 리소스 그룹 수준에서 Microsoft Sentinel 기여자 역할을 할당합니다.
플레이북을 사용하여 위협에 대한 대응 자동화
Microsoft Sentinel은 자동화된 위협 대응에 플레이북을 사용합니다. 플레이북은 Azure Logic Apps를 기반으로 하는 별도의 Azure 리소스입니다. 보안 운영 팀의 특정 구성원의 경우 SOAR(보안 오케스트레이션, Automation, 응답) 작업에 Logic Apps를 사용할 수 있는 기능을 할당할 수 있습니다. Microsoft Sentinel 플레이북 운영자 역할을 사용하여 플레이북을 실행하기 위한 명시적이고 제한된 권한과 논리 앱 기여자 역할을 할당하여 플레이북을 만들고 편집할 수 있습니다.
Microsoft Sentinel에 플레이북을 실행하기 위한 권한 부여
Microsoft Sentinel은 특수 서비스 계정을 사용하여 인시던트 트리거 플레이북을 수동으로 실행하거나 자동화 규칙에서 호출합니다. 사용자 계정이 아닌 이 계정을 사용하면 서비스의 보안 수준이 향상됩니다.
플레이북을 실행할 자동화 규칙의 경우 플레이북이 있는 리소스 그룹에 대한 명시적 권한을 이 계정에 부여해야 합니다. 이 시점에서 모든 자동화 규칙은 해당 리소스 그룹의 모든 플레이북을 실행할 수 있습니다. 이 서비스 계정에 이러한 권한을 부여하려면 계정에 플레이북이 포함된 리소스 그룹에 대한 소유자 권한이 있어야 합니다.
Microsoft Sentinel에 데이터 원본 연결
사용자가 데이터 커넥터를 추가할 수 있으려면 사용자에게 Microsoft Sentinel 작업 영역에서의 쓰기 권한을 할당해야 합니다. 관련 커넥터 페이지에 나열된 대로 각 커넥터에 필요한 추가 권한을 확인합니다.
게스트 사용자가 인시던트 할당 허용
게스트 사용자가 인시던트를 할당할 수 있어야 하는 경우 Microsoft Sentinel 응답자 역할과 함께 사용자에게 디렉터리 읽기 권한자 역할을 할당해야 합니다. 디렉터리 읽기 권한자 역할은 Azure 역할이 아니라 Microsoft Entra 역할이며 일반(게스트가 아닌) 사용자에게는 기본적으로 이 역할이 할당됩니다.
통합 문서 만들기 및 삭제
Microsoft Sentinel 통합 문서를 만들고 삭제하려면 사용자에게 통합 문서 기여자 Azure Monitor 역할과 함께 Microsoft Sentinel 기여자 역할 또는 그 이하의 Microsoft Sentinel 역할이 필요합니다. 이 역할은 통합 문서를 사용하는 데 필요하지 않으며 만들기 및 삭제에만 필요합니다.
할당된 것으로 볼 수 있는 Azure 및 Log Analytics 역할
Microsoft Sentinel 관련 Azure 역할을 할당할 때 다른 목적으로 사용자에게 할당되었을 수 있는 다른 Azure 및 Log Analytics 역할을 발견할 수 있습니다. 이러한 역할은 Microsoft Sentinel 작업 영역 및 기타 리소스에 대한 액세스를 포함하는 더 광범위한 권한 집합을 부여합니다.
Azure 역할:소유자, 기여자 및 읽기 권한자. Azure 역할은 Log Analytics 작업 영역과 Microsoft Sentinel 리소스를 포함한 모든 Azure 리소스에 대한 액세스 권한을 부여합니다.
Log Analytics 역할:Log Analytics 기여자 및 Log Analytics 읽기 권한자. Log Analytics 역할은 Log Analytics 작업 영역에 대한 액세스 권한을 부여합니다.
예를 들어 Microsoft Sentinel 읽기 권한자 역할이 할당되었지만 Microsoft Sentinel 기여자 역할이 할당되지 않은 사용자는 해당 사용자에게 Azure 수준 기여자 역할도 할당된 경우 Microsoft Sentinel에서 항목을 편집할 수 있습니다. 따라서 Microsoft Sentinel에서만 사용자에게 권한을 부여하려는 경우 이 사용자의 이전 권한을 신중하게 제거하여 다른 리소스에 액세스하는 데 필요한 권한이 중단되지 않도록 해야 합니다.
Microsoft Sentinel 역할, 권한 및 허용된 작업
이 표에는 Microsoft Sentinel 역할과 Microsoft Sentinel에서 허용되는 작업이 요약되어 있습니다.
| 역할 | 플레이북 보기 및 실행 | 플레이북 만들기 및 편집 | 분석 규칙, 통합 문서 및 기타 Microsoft Sentinel 리소스 만들기 및 편집 | 인시던트 관리(해제, 할당 등) | 데이터, 인시던트, 통합 문서 및 기타 Microsoft Sentinel 리소스 보기 | 콘텐츠 허브에서 콘텐츠 설치 및 관리 |
|---|---|---|---|---|---|---|
| Microsoft Sentinel 읽기 권한자 | -- | -- | --* | -- | ✓ | -- |
| Microsoft Sentinel 응답자 | -- | -- | --* | ✓ | ✓ | -- |
| Microsoft Sentinel 기여자 | -- | -- | ✓ | ✓ | ✓ | ✓ |
| Microsoft Sentinel 플레이북 운영자 | ✓ | -- | -- | -- | -- | -- |
| 논리 앱 참가자 | ✓ | ✓ | -- | -- | -- | -- |
* 이러한 역할을 가진 사용자는 통합 문서 기여자 역할로 통합 문서를 만들고 삭제할 수 있습니다. 기타 역할 및 권한에 대해 알아봅니다.
SOC에서 어떤 사용자에게 역할을 할당할지에 대한 역할 권장 사항을 검토합니다.
사용자 지정 역할 및 고급 Azure RBAC
사용자 지정 역할. Azure 기본 제공 역할을 사용하는 것 외에도 이에 더해 Microsoft Sentinel에 대한 Azure 사용자 지정 역할을 만들 수 있습니다. Microsoft Sentinel 및 Azure Log Analytics 리소스에 대한 특정 권한을 기반으로 Azure 사용자 지정 역할과 동일한 방식으로 Microsoft Sentinel에 대한 Azure 사용자 지정 역할을 만듭니다.
Log Analytics RBAC. Microsoft Sentinel 작업 영역의 데이터에서 Log Analytics 고급 Azure RBAC를 사용할 수 있습니다. 여기에는 데이터 형식 기반 Azure RBAC 및 리소스-컨텍스트 Azure RBAC가 모두 포함됩니다. 자세히 알아보려면 다음을 수행합니다.
리소스 컨텍스트 및 테이블 수준 RBAC는 전체 Microsoft Sentinel 환경에 대한 액세스를 허용하지 않고 Microsoft Sentinel 작업 영역의 특정 데이터에 대한 액세스 권한을 부여하는 두 가지 방법입니다.
역할 및 권한 권장 사항
Microsoft Sentinel에서 역할 및 권한이 작동하는 방식을 이해한 후에는 사용자에게 역할을 적용하기 위한 다음 모범 사례를 검토할 수 있습니다.
| 사용자 유형 | 역할 | Resource group | 설명 |
|---|---|---|---|
| 보안 분석가 | Microsoft Sentinel 응답자 | Microsoft Sentinel 리소스 그룹 | 데이터, 인시던트, 통합 문서 및 기타 Microsoft Sentinel 리소스 보기 인시던트를 할당하거나 해제하는 등, 인시던트를 관리합니다. |
| Microsoft Sentinel 플레이북 운영자 | Microsoft Sentinel의 리소스 그룹 또는 플레이북이 저장되는 리소스 그룹 | 분석 및 자동화 규칙에 플레이북을 첨부합니다. 플레이북을 실행합니다. |
|
| 보안 엔지니어 | Microsoft Sentinel 기여자 | Microsoft Sentinel 리소스 그룹 | 데이터, 인시던트, 통합 문서 및 기타 Microsoft Sentinel 리소스 보기 인시던트를 할당하거나 해제하는 등, 인시던트를 관리합니다. 통합 문서, 분석 규칙 및 기타 Microsoft Sentinel 리소스 만들기 및 편집 콘텐츠 허브에서 솔루션을 설치하고 업데이트합니다. |
| Logic Apps 기여자 | Microsoft Sentinel의 리소스 그룹 또는 플레이북이 저장되는 리소스 그룹 | 분석 및 자동화 규칙에 플레이북을 첨부합니다. 플레이북을 실행하고 수정합니다. |
|
| 서비스 주체 | Microsoft Sentinel 기여자 | Microsoft Sentinel 리소스 그룹 | 관리 작업에 대한 자동화된 구성 |
수집하거나 모니터링하는 데이터에 따라 더 많은 역할이 필요할 수 있습니다. 예를 들어, 다른 Microsoft 포털의 서비스에 대한 데이터 커넥터를 설정하려면 전역 관리자 또는 보안 관리자 역할과 같은 Microsoft Entra 역할이 필요할 수 있습니다.
리소스 기반 Access Control
Microsoft Sentinel 작업 영역의 특정 데이터에만 액세스해야 하지만 전체 Microsoft Sentinel 환경에는 액세스할 수 없어야 하는 일부 사용자가 있을 수 있습니다. 예를 들어 소유하고 있는 서버에 대한 Windows 이벤트 데이터에 액세스할 수 있는 권한을 보안 작업 외의 팀에게 제공하려고 할 수 있습니다.
이러한 경우 Microsoft Sentinel 작업 영역 또는 특정 Microsoft Sentinel 기능에 대한 액세스 권한을 사용자에게 제공하는 대신 사용자에게 허용된 리소스를 기반으로 RBAC(역할 기반 액세스 제어)를 구성하는 것이 좋습니다. 이 방법은 리소스 컨텍스트 RBAC 설정이라고도 합니다. 자세한 내용은 리소스별로 Microsoft Sentinel 데이터에 대한 액세스 관리를 참조하세요.
다음 단계
이 문서에서는 Microsoft Sentinel 사용자의 역할을 사용하는 방법과 각 역할을 통해 사용자가 수행할 수 있는 작업을 알아보았습니다.