Microsoft Sentinel의 감사 및 상태 모니터링

Microsoft Sentinel은 조직의 기술 및 정보 자산의 보안을 발전시키고 보호하기 위한 중요한 서비스이므로 사용자는 이것이 항상 원활하고 간섭 없이 실행되고 있음을 확신하고자 합니다.

사용자는 서비스에서 작동하는 많은 부분이 항상 의도한 대로 작동하고 서비스가 내부 사용자든 다른 사용자든 상관없이 권한 없는 작업에 의해 조작되지 않는지 확인하고자 합니다. 또한 사용자는 응답하거나 응답을 승인할 수 있는 관련자에게 전송되는 상태 드리프트 또는 권한 없는 작업에 대한 알림을 구성하고자 할 수도 있습니다. 예를 들어 운영 팀, 관리자 또는 책임자에게 이메일 또는 Microsoft Teams 메시지 전송을 트리거하는 조건을 설정하고 티켓 시스템에서 새 티켓을 시작하는 등의 작업을 수행할 수 있습니다.

이 문서에서는 Microsoft Sentinel의 상태 모니터링 및 감사 기능을 통해 서비스의 주요 리소스 중 일부의 활동을 모니터링하고 서비스 내의 사용자 작업 로그를 검사하는 방법을 설명합니다.

상태 및 감사 데이터 스토리지

상태 및 감사 데이터는 Log Analytics 작업 영역의 두 테이블인 SentinelHealth와 SentinelAudit에서 수집됩니다.

감사 데이터는 SentinelAudit 테이블에서 수집됩니다.

상태 데이터는 SentinelHealth 테이블에서 수집하는 것으로, 자동화 규칙이 실행될 때마다 기록되는 이벤트와 해당 실행의 최종 결과를 캡처합니다. SentinelHealth 테이블에 포함되는 요소는 다음과 같습니다.

• 규칙에서 시작된 작업의 성공/실패 여부와 규칙에서 호출한 플레이북입니다.
• 플레이북을 트리거한 ID 및 해당 실행의 최종 결과를 포함하여 플레이북의 주문형(수동 또는 API 기반) 트리거를 기록하는 이벤트

SentinelHealth 테이블에는 플레이북의 콘텐츠 실행 기록이 포함되지 않고 해당 플레이북이 성공적으로 시작했는지 여부만 포함됩니다. 플레이북 내에서 수행된 작업의 로그, 즉 Logic Apps 워크플로는 AzureDiagnostics 테이블에 목록으로 작성됩니다. AzureDiagnostics에서는 SentinelHealth 데이터와 함께 사용할 때 자동화 상태에 대한 전체 그림을 제공합니다.

이 데이터를 사용하는 가장 일반적인 방법은 이러한 테이블을 쿼리하는 것입니다. 최상의 결과를 위해서는 테이블을 직접 쿼리하는 대신 이러한 테이블인 _SentinelHealth() 및 _SentinelAudit()에서 미리 빌드된 함수에 대한 쿼리를 빌드해야 합니다. 이러한 함수는 테이블 자체의 스키마가 변경되는 경우 쿼리의 이전 버전과의 호환성을 유지 관리합니다.

SentinelHealth 테이블은 청구 대상이 아니며 상태 데이터를 수집하는 데 요금이 발생하지 않습니다. SentinelAudit 테이블은 청구 가능하며 Microsoft Sentinel의 다른 영역과 마찬가지로 발생하는 비용은 로그 볼륨에 따라 달라지며 이는 관련 규칙에 대한 작업 수와 변경 내용에 영향을 받을 수 있습니다. 자세한 내용은 비용 계획 및 Microsoft Sentinel 가격 책정 및 청구 이해를 참조하세요.

Important

SentinelHealth 및 SentinelAudit 데이터 테이블은 현재 미리 보기로 제공됩니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

서비스 상태 및 감사 데이터를 확인하는 질문

다음 질문을 사용하여 Microsoft Sentinel의 상태 및 감사 데이터 모니터링을 안내합니다.

데이터 커넥터가 올바르게 실행되고 있나요?

데이터 커넥터가 데이터를 수신하고 있나요? 예를 들어 5분마다 쿼리를 실행하도록 Microsoft Sentinel에 지시한 경우 해당 쿼리가 수행되고 있는지 여부, 수행 방법 및 쿼리와 관련된 위험 또는 취약성이 있는지를 확인하려고 합니다.

자동화 규칙이 예상대로 실행되었나요?

자동화 규칙이 실행되어야 할 때(즉, 조건이 충족되었을 때) 실행되었나요? 자동화 규칙의 모든 작업이 성공적으로 실행되었나요?

분석 규칙이 예상대로 실행되었나요?

분석 규칙이 예상대로 실행되었고 결과를 생성했나요? 큐에 특정 인시던트가 표시되기를 예상했지만 그렇지 않은 경우 규칙이 실행되었지만 아무것도(또는 충분한 항목) 찾지 못했거나 전혀 실행되지 않았는지 여부를 확인하려고 합니다.

분석 규칙이 무단으로 변경되었나요?

규칙에서 변경된 사항이 있나요? 분석 규칙에서 예상한 결과를 얻지 못했고 상태 문제도 없었습니다. 규칙에 계획되지 않은 변경 내용이 있는지 확인하고, 변경된 경우 변경된 내용, 대상, 위치 및 시기를 확인하려고 합니다.

상태 및 감사 모니터링 흐름

상태 및 감사 데이터 수집을 시작하려면 Microsoft Sentinel 설정에서 상태 및 감사 모니터링을 사용하도록 설정해야 합니다. 그러면 Microsoft Sentinel에서 수집하는 상태 및 감사 데이터를 자세히 살펴볼 수 있습니다.

활동	자세한 정보
Microsoft Sentinel 로그 페이지에서 SentinelHealth 및 SentinelAudit 데이터 테이블에 대해 쿼리를 실행합니다.	데이터 커넥터 Automation 규칙 및 플레이북(Azure Logic Apps 진단을 사용하여 쿼리 조인) 분석 규칙
Microsoft Sentinel에서 제공하는 감사 및 상태 모니터링 통합 문서 사용.	데이터 커넥터 자동화 규칙 및 플레이북 분석 규칙
예약된 분석 규칙의 실행을 모니터링하고 최적화하기 위하여 Microsoft Sentinel의 실행 관리 도구 사용.	예약된 분석 규칙의 실행 모니터링 및 최적화
Log Analytics 작업 영역과 같은 다양한 대상으로 데이터를 내보내고 스토리지 계정에 보관하는 것과 같은 작업을 수행합니다.	Azure Monitor의 진단 설정

관련 콘텐츠

• Microsoft Sentinel에서 감사 및 상태 모니터링의 설정 켜기
• 자동화 규칙 및 플레이북의 상태 모니터링
• 데이터 커넥터의 상태 모니터링
• 분석 규칙의 상태 및 무결성 모니터링
• SAP 시스템 상태 모니터링
• SentinelHealth 및 SentinelAudit 테이블 스키마.