다음을 통해 공유


Microsoft Defender XDR에 Microsoft Sentinel 연결

Microsoft Sentinel은 일반적으로 Microsoft Defender 포털의 Microsoft 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. Microsoft Sentinel을 Defender 포털에 온보딩할 때 인시던트 관리 및 고급 헌팅과 같은 Microsoft Defender XDR과 기능을 통합합니다. 도구 전환을 줄이고 인시던트 대응을 신속하게 수행하고 위반을 더 빠르게 중지하는 보다 상황에 맞는 조사를 빌드합니다. 자세한 내용은 다음 항목을 참조하세요.

필수 구성 요소

시작하기 전에 기능 설명서를 검토하여 제품 변경 및 제한 사항을 이해합니다.

Microsoft Defender 포털은 단일 Microsoft Entra 테넌트와 한 번에 하나의 작업 영역에 대한 연결을 지원합니다. 이 문서의 컨텍스트에서 작업 영역은 Microsoft Sentinel을 사용하도록 설정된 Log Analytics 작업 영역입니다.

Microsoft Defender 포털에서 Microsoft Sentinel을 온보딩하고 사용하려면 다음 리소스와 액세스 권한이 있어야 합니다.

  • Microsoft Sentinel을 사용하도록 설정된 Log Analytics 작업 영역

  • 인시던트 및 경고에 대해 Microsoft Sentinel에서 사용하도록 설정된 Microsoft Defender XDR(이전의 Microsoft 365 Defender)용 데이터 커넥터입니다. 자세한 내용은 Microsoft Defender XDR에서 Microsoft Sentinel로 데이터 연결을 참조하세요.

  • Defender 포털에서 Microsoft Defender XDR에 액세스

  • Microsoft Entra 테넌트로 온보딩된 Microsoft Defender XDR

  • Defender 포털에서 Microsoft Sentinel에 대한 지원 요청을 온보딩, 사용 및 만들 수 있는 적절한 역할이 있는 Azure 계정. 다음 표에서는 필요한 몇 가지 주요 역할을 강조 표시합니다.

    작업 Azure 기본 제공 역할 필요 범위
    Microsoft Sentinel을 사용하도록 설정된 작업 영역 연결 또는 연결 끊기 소유자 또는
    사용자 액세스 관리자Microsoft Sentinel 기여자
    - 소유자 또는 사용자 액세스 관리자 역할에

    대한 구독 - Microsoft Sentinel 기여자를 위한 구독, 리소스 그룹 또는 작업 영역 리소스
    Defender 포털에서 Microsoft Sentinel 보기 Microsoft Sentinel 읽기 권한자 구독, 리소스 그룹 또는 작업 영역 리소스
    Sentinel 데이터 테이블 쿼리 또는 인시던트 보기 Microsoft Sentinel 읽기 권한자 또는 다음 작업을 사용하는 역할:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/Incidents/read
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/tasks/read
    구독, 리소스 그룹 또는 작업 영역 리소스
    인시던트에 대한 조사 작업 수행 Microsoft Sentinel 기여자 또는 다음 작업을 사용하는 역할:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/incidents/read
    - Microsoft.SecurityInsights/incidents/write
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/comments/write
    - Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/relations/write
    - Microsoft.SecurityInsights/incidents/tasks/read
    - Microsoft.SecurityInsights/incidents/tasks/write
    구독, 리소스 그룹 또는 작업 영역 리소스
    지원 요청 만들기 소유자 또는
    기여자 또는
    지원 요청 기여자 또는 Microsoft.Support/*를 사용하는 사용자 지정 역할
    구독

    Microsoft Sentinel을 Defender 포털에 연결한 후 기존 Azure RBAC(역할 기반 액세스 제어) 권한을 통해 액세스 권한이 있는 Microsoft Sentinel 기능을 사용할 수 있습니다. Azure Portal에서 Microsoft Sentinel 사용자에 대한 역할 및 권한을 계속 관리합니다. 모든 Azure RBAC 변경 내용은 Defender 포털에 반영됩니다. Microsoft Sentinel 권한에 대한 자세한 내용은 Microsoft Sentinel의 역할 및 사용 권한 | Microsoft Learn리소스별 Microsoft Sentinel 데이터에 대한 액세스 관리 | Microsoft Learn.

Microsoft Sentinel 온보딩

Microsoft Sentinel을 사용하도록 설정된 작업 영역을 Defender XDR에 연결하려면 다음 단계를 완료합니다.

  1. Microsoft Defender 포털로 이동하여 로그인합니다.

  2. Microsoft Defender XDR에서 개요를 선택합니다.

  3. 작업 영역 연결을 선택합니다.

  4. 연결하려는 작업 영역을 선택하고 다음을 선택합니다.

  5. 작업 영역 연결과 관련된 제품 변경 내용을 읽고 이해합니다. 이러한 변경 내용은 다음과 같습니다.

    • Microsoft Sentinel 작업 영역의 로그 테이블, 쿼리 및 함수는 Defender XDR 내의 고급 헌팅에서도 사용할 수 있습니다.
    • Microsoft Sentinel 기여자 역할은 구독 내의 Microsoft Threat Protection 및 WindowsDefenderATP 앱에 할당됩니다.
    • 중복 인시던트가 발생하지 않도록 활성 Microsoft 보안 인시던트 만들기 규칙이 비활성화됩니다. 이 변경 내용은 Microsoft 경고에 대한 인시던트 생성 규칙에만 적용되며 다른 분석 규칙에는 적용되지 않습니다.
    • Defender XDR 제품과 관련된 모든 경고는 일관성을 보장하기 위해 기본 Defender XDR 데이터 커넥터에서 직접 스트리밍됩니다. 작업 영역에서 이 커넥터의 인시던트 및 경고가 켜져 있는지 확인합니다.
  6. 연결을 선택합니다.

작업 영역이 연결되면 개요 페이지의 배너에 SIEM(통합 보안 정보 및 이벤트 관리) 및 XDR(확장 검색 및 응답)이 준비되었음을 보여 줍니다. 개요 페이지는 데이터 커넥터 수 및 자동화 규칙과 같은 Microsoft Sentinel의 메트릭을 포함하는 새 섹션으로 업데이트됩니다.

Defender 포털에서 Microsoft Sentinel 기능 살펴보기

작업 영역을 Defender 포털에 연결하면 Microsoft Sentinel 이 왼쪽 탐색 창에 있습니다. 개요, 인시던트고급 헌팅과 같은 페이지에는 Microsoft Sentinel 및 Defender XDR의 통합 데이터가 있습니다. 포털 간의 통합 기능 및 차이점에 대한 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

기존 Microsoft Sentinel 기능의 대부분은 Defender 포털에 통합됩니다. 이러한 기능의 경우 Azure Portal에서 Microsoft Sentinel과 Defender 포털 간의 환경이 유사합니다. 다음 문서를 사용하여 Defender 포털에서 Microsoft Sentinel 작업을 시작할 수 있습니다. 이러한 문서를 사용하는 경우 이 컨텍스트의 시작점은 Azure Portal 대신 Defender 포털 이라는 점에 유의하세요.

시스템> 설정 Microsoft Sentinel 아래의 Defender 포털에서Microsoft Sentinel설정을> 찾습니다.

Microsoft Sentinel 오프보딩

한 번에 하나의 작업 영역만 Defender 포털에 연결할 수 있습니다. Microsoft Sentinel을 사용하도록 설정된 다른 작업 영역에 연결하려면 현재 작업 영역의 연결을 끊고 다른 작업 영역을 연결합니다.

  1. Microsoft Defender 포털로 이동하여 로그인합니다.

  2. Defender 포털의 시스템 아래에서 설정>Microsoft Sentinel을 선택합니다.

  3. 작업 영역 페이지에서 연결된 작업 영역 및 작업 영역 연결 끊기를 선택합니다.

  4. 작업 영역의 연결을 끊는 이유를 제공합니다.

  5. 선택 항목을 확인합니다.

    작업 영역의 연결이 끊어지면 Defender 포털의 왼쪽 탐색 영역에서 Microsoft Sentinel 섹션이 제거됩니다. Microsoft Sentinel의 데이터는 더 이상 개요 페이지에 포함되지 않습니다.

다른 작업 영역에 연결하려면 작업 영역 페이지에서 작업 영역 및 작업 영역 연결을 선택합니다.