Microsoft Sentinel에서 통합 문서를 사용하여 데이터 시각화 및 모니터링

  • 아티클
  • 적용 대상:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

데이터 원본을 Microsoft Sentinel에 연결한 후 Microsoft Sentinel의 통합 문서를 사용하여 데이터를 시각화하고 모니터링합니다. Microsoft Sentinel을 사용하면 데이터 전체에서 사용자 지정 통합 문서를 만들거나 패키지된 솔루션 또는 콘텐츠 허브에서 독립 실행형 콘텐츠로 사용할 수 있는 기존 통합 문서 템플릿을 사용할 수 있습니다. 이러한 템플릿을 사용하면 데이터 원본에 연결하는 즉시 데이터 전체에서 신속하게 인사이트를 얻을 수 있습니다.

이 문서에서는 통합 문서를 사용해 Microsoft Sentinel에서 데이터를 시각화하는 방법을 설명합니다.

Important

Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼의 공개 미리 보기의 일부로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

필수 조건

  • Microsoft Sentinel 작업 영역의 리소스 그룹에 대해 최소한 통합 문서 읽기 권한자 또는 통합 문서 기여자 권한이 있어야 합니다.

    Microsoft Sentinel에 표시되는 통합 문서는 Microsoft Sentinel 작업 영역의 리소스 그룹 내에 저장되며 만들어진 작업 영역에 의해 태그가 지정됩니다.

  • 통합 문서 템플릿을 사용하려면 통합 문서가 포함된 솔루션을 설치하거나 Content Hub에서 통합 문서를 독립 실행형 항목으로 설치합니다. 자세한 내용은 Microsoft Sentinel 기본 제공 콘텐츠 검색 및 관리를 참조하세요.

템플릿에서 통합 문서 만들기

콘텐츠 허브에서 설치된 템플릿을 사용하여 통합 문서를 만듭니다.

  1. Azure Portal의 Microsoft Sentinel에 대해서는 위협 관리에서 통합 문서를 선택합니다.
    Defender 포털의 Microsoft Sentinel에 대해서는 Microsoft Sentinel>위협 관리>통합 문서를 선택합니다.

  2. 통합 문서로 이동한 다음, 템플릿을 선택하여 설치된 통합 문서 템플릿의 목록을 확인합니다.

    연결한 데이터 형식과 관련된 템플릿을 보려면 사용 가능한 각 통합 문서의 필수 데이터 형식 필드를 검토합니다.

  3. 템플릿 세부 정보 창에서 저장을 선택하고 템플릿에 대한 JSON 파일을 저장할 위치를 선택합니다. 이 작업을 수행하면 관련 템플릿을 기준으로 Azure 리소스가 생성되고 데이터가 아닌 통합 문서의 JSON 파일이 저장됩니다.

  4. 템플릿 세부 정보 창에서 저장된 통합 문서 보기를 선택합니다.

  5. 통합 문서 도구 모음에서 편집 단추를 선택하여 필요에 따라 통합 문서를 사용자 지정합니다.

    저장된 통합 문서를 보여 주는 스크린샷

    통합 문서를 복제하려면 편집을 선택한 다음, 다른 이름으로 저장을 선택합니다. 동일한 구독 및 리소스 그룹 아래에 다른 이름으로 복제본을 저장합니다. 복제된 통합 문서는 내 통합 문서 탭 아래에 표시됩니다.

  6. 선택을 마치면 저장을 선택하여 변경 내용을 저장합니다.

자세한 내용은 Azure Monitor 통합 문서를 사용하여 대화형 보고서를 만드는 방법을 참조하세요.

새 통합 문서 만들기

Microsoft Sentinel에서 처음부터 새로 통합 문서를 만듭니다.

  1. Azure Portal의 Microsoft Sentinel에 대해서는 위협 관리에서 통합 문서를 선택합니다.
    Defender 포털의 Microsoft Sentinel에 대해서는 Microsoft Sentinel>위협 관리>통합 문서를 선택합니다.

  2. 통합 문서 추가를 선택합니다.

  3. 통합 문서를 편집하려면 편집을 선택한 다음, 필요에 따라 텍스트, 쿼리 및 매개 변수를 추가합니다. 통합 문서를 사용자 지정하는 방법에 대한 자세한 내용은 Azure Monitor 통합 문서를 사용하여 대화형 보고서를 만드는 방법을 참조하세요.

    새 통합 문서를 보여 주는 스크린샷

  4. 쿼리를 빌드할 때 데이터 원본로그로 설정하고 리소스 종류Log Analytics로 설정한 다음, 하나 이상의 작업 영역을 선택합니다.

    쿼리는 기본 제공 테이블이 아닌 ASIM(고급 보안 정보 모델) 파서를 사용하는 것이 좋습니다. 그러면 쿼리가 단일 데이터 원본이 아닌 현재 또는 향후의 관련 데이터 원본을 지원하게 됩니다.

  5. 통합 문서를 만든 후 통합 문서를 저장하여 Microsoft Sentinel 작업 영역의 구독과 리소스 그룹 아래에 저장합니다.

  6. 조직의 다른 사용자가 통합 문서를 사용하도록 하려면 저장 위치에서 공유 보고서를 선택합니다. 이 통합 문서를 사용자만 사용할 수 있도록 하려면 내 보고서를 선택합니다.

  7. 작업 영역에서 통합 문서 간에 전환하려면 통합 문서의 도구 모음에서 열기통합 문서를 여는 아이콘를 선택합니다. 화면이 전환할 수 있는 다른 통합 문서의 목록으로 전환됩니다.

    열려는 통합 문서를 선택합니다.

    통합 문서를 전환합니다.

통합 문서 데이터 새로 고침

통합 문서를 새로 고쳐서 업데이트된 데이터를 표시합니다. 도구 모음에서 다음 옵션 중 하나를 선택합니다.

  • 새로 고침 - 통합 문서 데이터를 수동으로 새로 고칩니다.

  • 자동 새로 고침 - 통합 문서를 구성된 간격으로 자동으로 새로 고치도록 설정합니다.

    • 지원되는 자동 새로 고침 간격의 범위는 5분에서 1일사이입니다.

    • 통합 문서를 편집하는 동안 자동 새로 고침이 일시 중지되며, 편집 모드에서 보기 모드로 다시 전환할 때마다 간격이 다시 시작됩니다.

    • 데이터를 수동으로 새로 고치는 경우에도 자동 새로 고침 간격이 다시 시작됩니다.

    기본적으로 자동 새로 고침은 꺼져 있습니다. 성능을 최적화하기 위해 통합 문서를 닫을 때마다 자동 새로 고침이 꺼집니다. 이 기능은 백그라운드에서 실행되지 않습니다. 다음에 통합 문서를 열 때 필요에 따라 자동 새로 고침을 다시 켭니다.

통합 문서를 인쇄하거나 PDF로 저장하려면 통합 문서 제목 오른쪽에 있는 옵션 메뉴를 사용합니다.

  1. 옵션 >콘텐츠 인쇄를 선택합니다.

  2. 인쇄 화면에서 필요에 따라 인쇄 설정을 조정하거나 PDF로 저장을 선택하여 로컬로 저장합니다.

    예: 통합 문서를 인쇄하거나 PDF로 저장하는 방법을 보여 주는 스크린샷

통합 문서를 삭제하는 방법

저장된 템플릿 또는 사용자 지정된 통합 문서에 해당하는 저장된 통합 문서를 삭제하려면 삭제하려는 저장된 통합 문서를 선택하고 삭제를 선택합니다. 이 작업을 수행하면 저장된 통합 문서가 제거됩니다. 이렇게 하면 통합 문서 리소스뿐만 아니라 템플릿의 모든 변경 내용도 제거됩니다. 원래 템플릿은 계속 사용할 수 있습니다.

널리 사용되는 기본 제공 통합 문서에 대해 알아보려면 일반적으로 사용되는 Microsoft Sentinel 통합 문서를 참조하세요.