Microsoft Sentinel의 로그 보존 계획

• 적용 대상:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

성공적인 위협 탐지 프로그램에 중요한 로그 수집 및 보존의 두 가지 경쟁적 측면이 있습니다. 사용자는 수집한 로그 원본 수를 최대화하여 가능한 가장 포괄적인 보안 범위를 설정하려고 합니다. 또 한편으로는 모든 데이터를 수집하여 발생하는 비용을 최소화해야 합니다.

이러한 경쟁적 요구를 해결하기 위해서는 데이터 접근성, 쿼리 성능 및 스토리지 비용의 균형을 유지하는 로그 관리 전략이 필요합니다.

이 문서에서는 데이터 범주와 데이터를 저장하고 액세스하는 데 사용되는 보존 상태에 대해 설명합니다. 또한 Microsoft Sentinel에서 로그 관리 및 보존 전략을 빌드하기 위해 제공하는 로그 계획에 대해서도 설명합니다.

Important

보조 로그 로그 형식은 현재 미리 보기 상태입니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

이제 Microsoft Sentinel은 Microsoft Defender 포털의 Microsoft 통합 보안 운영 플랫폼 내에서 일반 공급됩니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

수집된 데이터의 범주

Microsoft Sentinel에 수집된 데이터를 다음 두 가지 일반 범주로 분류하는 것이 좋습니다.

• 기본 보안 데이터는 중요한 보안 값을 포함하는 데이터입니다. 이 데이터는 실시간 자동 관리 모니터링, 예약된 경고 및 분석을 통해 보안 위협을 감지하는 데 사용됩니다. 거의 실시간으로 모든 Microsoft Sentinel 환경에서 데이터를 쉽게 사용할 수 있어야 합니다.

• 보조 보안 데이터는 보조 데이터로, 주로 대용량의 자세한 정보 로그에 해당합니다. 이 데이터는 제한된 보안 값이지만 검색 및 조사에 대한 풍부한 기능과 컨텍스트를 제공하여 보안 인시던트에 대한 전체 상황을 파악할 수 있도록 합니다. 사용이 용이할 필요는 없지만 필요에 따라 적절한 크기만큼 액세스할 수 있어야 합니다.

기본 보안 데이터

이 범주는 조직에 중요한 보안 값을 포함하는 로그로 구성됩니다. 보안 작업에 대한 다음 사용 사례로 기본 보안 데이터를 설명할 수 있습니다.

• 잦은 모니터링 위협 탐지(분석) 규칙은 이 데이터에서 자주 또는 거의 실시간으로 실행됩니다.

• 주문형 헌팅. 이 데이터에서 복잡한 쿼리를 실행하여 보안 위협에 대한 대화형 고성능 헌팅을 실행합니다.

• 상관 관계. 이러한 원본의 데이터는 위협을 감지하고 공격 사례를 빌드하기 위해 다른 기본 보안 데이터 원본의 데이터와 상호 연관됩니다.

• 일반 보고. 이러한 원본의 데이터는 보안 및 일반 의사 결정자 모두를 위해 조직의 보안 상태에 대한 정기적 보고서로 컴파일할 수 있습니다.

• 동작 분석. 이러한 원본의 데이터는 사용자 및 디바이스에 대한 기준 동작 프로필을 빌드하는 데 사용되어 외부 동작을 의심스러운 것으로 식별할 수 있습니다.

기본 데이터 원본의 몇 가지 예로는 바이러스 백신 또는 EDR(엔터프라이즈 검색 및 응답) 시스템의 로그, 인증 로그, 클라우드 플랫폼의 감사 내역, 위협 인텔리전스 피드 및 외부 시스템의 경고가 있습니다.

기본 보안 데이터를 포함하는 로그는 이 문서의 뒷부분에 설명된 분석 로그 계획을 사용하여 저장해야 합니다.

보조 보안 데이터

이 범주는 개별 보안 값이 제한되지만 보안 인시던트 또는 위반에 대한 포괄적인 보기를 제공하는 데 필수적인 로그를 포함합니다. 일반적으로 이러한 로그는 대용량이며 자세한 정보를 표시할 수 있습니다. 이 데이터에 대한 보안 작업 사용 사례는 다음과 같습니다.

• 위협 인텔리전스 위협을 빠르고 쉽게 감지하려면 기본 데이터를 IoC(손상 지표) 또는 IoA(공격 지표) 목록을 기준으로 확인할 수 있습니다.

• 임시 헌팅/조사. 데이터를 30일 동안 대화형으로 쿼리하여 위협 헌팅 및 조사에 대한 중요한 분석을 용이하게 할 수 있습니다.

• 대규모 검색. 데이터를 페타바이트 규모로 백그라운드에서 수집 및 검색하는 동시에 최소한의 처리로 효율적으로 저장할 수 있습니다.

• 요약 규칙을 통한 요약. 대량 로그를 집계 정보로 요약하고 결과를 기본 보안 데이터로 저장합니다. 요약 규칙에 대한 자세한 내용은 요약 규칙을 사용하여 Microsoft Sentinel 데이터 집계를 참조하세요.

보조 데이터 로그 원본의 몇 가지 예로는 클라우드 스토리지 액세스 로그, NetFlow 로그, TLS/SSL 인증서 로그, 방화벽 로그, 프록시 로그 및 IoT 로그가 있습니다. 항상 필요한 것은 아니지만 이러한 각 원본이 보안 검색에 가치를 제공하는 방법에 대한 자세한 내용은 보조 로그 수집에 사용할 로그 원본을 참조하세요.

보조 보안 데이터를 포함하는 로그는 이 문서의 뒷부분에 설명된 보조 로그 계획(현재 미리 보기로 제공)을 사용하여 저장해야 합니다.

미리 보기가 아닌 옵션의 경우 기본 로그를 대신 사용할 수 있습니다.

로그 관리 계획

Microsoft Sentinel은 이러한 범주의 수집된 데이터를 수용하기 위해 서로 다른 두 가지 로그 스토리지 계획 또는 유형을 제공합니다.

• 분석 로그 계획은 기본 보안 데이터를 저장하고 고성능으로 쉽고 지속적으로 액세스할 수 있도록 설계되었습니다.

• 보조 로그 계획은 제한된 접근성을 허용하면서 오랜 시간 동안 매우 저렴한 비용으로 보조 보안 데이터를 저장하도록 설계되었습니다.

• 세 번째 계획인 기본 로그는 보조 로그 계획의 선행 계획이며 보조 로그 계획이 미리 보기로 유지되는 동안 대신 사용할 수 있습니다.

이러한 각 계획은 다음과 같은 두 가지 상태로 데이터를 유지합니다.

• 대화형 보존 상태는 데이터가 수집되는 초기 상태입니다. 이 상태는 계획에 따라 데이터에 대한 다양한 수준의 액세스를 허용하며 이 상태의 비용은 계획에 따라 크게 달라집니다.

• 장기 보존 상태는 계획에 관계없이 매우 저렴한 비용으로 원래 테이블의 이전 데이터를 최대 12년 동안 보존합니다.

보존 상태에 대한 자세한 내용은 Log Analytics 작업 영역에서 데이터 보존 관리를 참조하세요.

다음 다이어그램에서는 이러한 두 로그 관리 계획을 요약하고 비교합니다.

분석 로그 계획

분석 로그 계획은 기본적으로 90일 동안 대화형 보존 상태로 데이터를 유지하며 최대 2년 동안 연장 가능합니다. 이 대화형 상태는 비용이 많이 들지만 쿼리당 무료로, 높은 성능을 유지하면서 무제한으로 데이터를 쿼리할 수 있습니다.

대화형 보존 기간이 종료되면 데이터는 원래 테이블에 남아 있는 동안 장기 보존 상태로 전환됩니다. 장기 보존 기간은 기본적으로 정의되지 않지만 최대 12년까지 지속되도록 정의할 수 있습니다. 이 보존 상태는 규정 준수 또는 내부 정책 목적을 위해 매우 저렴한 비용으로 데이터를 보존합니다. 이 상태의 데이터는 검색 작업 또는 복원을 사용하여 제한된 데이터 세트를 대화형 보존 방식으로 새 테이블로 끌어올 수 있으므로 전체 쿼리 기능을 사용할 수 있습니다.

보조 로그 계획

보조 로그 계획은 데이터를 30일 동안 대화형 보존 상태로 유지합니다. 보조 계획에서 이 상태는 분석 계획에 비해 보존 비용이 매우 낮습니다. 그러나 쿼리 기능은 제한됩니다. 즉, 쿼리에는 검색된 데이터의 기가바이트당 요금이 부과되고 단일 테이블로 제한되며 성능은 상당히 낮습니다. 이 데이터는 대화형 보존 상태로 유지되지만 이 데이터에 대해 요약 규칙을 실행하여 분석 로그 계획에 집계 요약 데이터의 테이블을 만들 수 있으며 이를 통해 이 집계 데이터에 대해 전체 쿼리 기능을 사용할 수 있습니다.

대화형 보존 기간이 종료되면 데이터는 원래 테이블에 남아 있는 동안 장기 보존 상태로 전환됩니다. 보조 로그 계획의 장기 보존은 분석 로그 계획의 장기 보존과 유사하지만 차이점은 데이터에 액세스하는 유일한 옵션이 검색 작업을 사용하는 것뿐이라는 것입니다. 보조 로그 계획에는 복원이 지원되지 않습니다.

기본 로그 계획

기본 로그로 알려진 세 번째 계획은 보조 로그 계획과 유사한 기능을 제공하지만 대화형 보존 비용은 더 높습니다(분석 로그 계획만큼 높지는 않음). 보조 로그 계획은 미리 보기로 유지되지만 조직에서 미리 보기 기능을 사용하지 않는 경우 장기적이고 저렴한 보존을 위한 옵션으로 기본 로그를 사용할 수 있습니다. 기본 로그 계획에 대한 자세한 내용은 Azure Monitor 설명서의 테이블 계획을 참조하세요.

관련 콘텐츠

• 로그 데이터 계획에 대한 자세한 비교 및 로그 유형에 대한 자세한 내용은 Azure Monitor 로그 개요 | 테이블 계획을 참조하세요.

• 보조 로그 계획에서 테이블을 설정하려면 Log Analytics 작업 영역에서 보조 계획을 사용하여 테이블 설정(미리 보기)을 참조하세요.

• 계획 간에 존재하는 보존 기간에 대해 자세한 내용은 Log Analytics 작업 영역에서 데이터 보존 관리를 참조하세요.