Defender에 연결된 Microsoft Sentinel 작업 영역의 경우 Defender 포털의 새 테이블 관리 환경에서 계층화 및 보존 관리를 수행해야 합니다. 연결되지 않은 Microsoft Sentinel 작업 영역의 경우 아래 설명된 환경을 계속 사용하여 작업 영역의 데이터를 관리합니다.
성공적인 위협 탐지 프로그램에 중요한 로그 수집 및 보존의 두 가지 경쟁 측면이 있습니다. 한편으로는 수집한 로그 원본 수를 최대화하여 가능한 가장 포괄적인 보안 범위를 설정하려고 합니다. 반면에 모든 데이터 수집으로 인해 발생하는 비용을 최소화해야 합니다.
이러한 경쟁 요구 사항에는 데이터 접근성, 쿼리 성능 및 스토리지 비용의 균형을 맞추는 로그 관리 전략이 필요합니다.
이 문서에서는 데이터 범주 및 데이터를 저장하고 액세스하는 데 사용되는 보존 상태에 대해 설명합니다. 또한 로그 관리 및 보존 전략을 빌드할 Microsoft Sentinel 제공하는 로그 계층에 대해서도 설명합니다.
중요
2027년 3월 31일 이후에는 Microsoft Sentinel 더 이상 Azure Portal 지원되지 않으며 Microsoft Defender 포털에서만 사용할 수 있습니다. Azure Portal Microsoft Sentinel 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel 사용합니다.
Azure Portal Microsoft Sentinel 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 제공하는 통합 보안 운영 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다.
수집된 데이터의 범주
Microsoft는 Microsoft Sentinel 수집된 데이터를 두 가지 일반 범주로 분류하는 것이 좋습니다.
기본 보안 데이터는 중요한 보안 값을 포함하는 데이터입니다. 이 데이터는 실시간 자동 관리 모니터링, 예약된 경고 및 분석을 통해 보안 위협을 검색하는 데 사용됩니다. 데이터를 거의 실시간으로 모든 Microsoft Sentinel 환경에서 쉽게 사용할 수 있어야 합니다.
보조 보안 데이터는 종종 대용량 자세한 로그에서 추가 데이터입니다. 이 데이터는 제한된 보안 값이지만 검색 및 조사에 풍부한 기능과 컨텍스트를 제공하여 보안 인시던트에 대한 전체 그림을 그릴 수 있습니다. 그것은 쉽게 사용할 수 있을 필요가 없습니다., 하지만 필요에 따라 적절 한 복용량에 액세스할 수 있어야 합니다.
기본 보안 데이터
이 범주는 organization 중요한 보안 값을 보유하는 로그로 구성됩니다. 보안 작업에 대한 기본 보안 데이터 사용 사례는 다음과 같습니다.
자주 모니터링합니다. 위협 탐지(분석) 규칙은 이 데이터에서 자주 또는 거의 실시간으로 실행됩니다.
주문형 헌팅. 복잡한 쿼리는 이 데이터에서 실행되어 보안 위협에 대한 대화형 고성능 헌팅을 실행합니다.
상관 관계입니다. 이러한 원본의 데이터는 위협을 감지하고 공격 스토리를 빌드하기 위해 다른 기본 보안 데이터 원본의 데이터와 상관 관계가 있습니다.
정기적인 보고. 이러한 원본의 데이터는 보안 및 일반 의사 결정자 모두를 위해 organization 보안 상태에 대한 정기적인 보고서로 컴파일하는 데 쉽게 사용할 수 있습니다.
동작 분석. 이러한 원본의 데이터는 사용자 및 디바이스에 대한 기준 동작 프로필을 빌드하는 데 사용되므로 외부 동작을 의심스러운 것으로 식별할 수 있습니다.
기본 데이터 원본의 몇 가지 예는 다음과 같습니다.
- 바이러스 백신 또는 EDR(엔터프라이즈 검색 및 응답) 시스템의 로그
- 인증 로그
- 클라우드 플랫폼의 감사 내역
- 위협 인텔리전스 피드
- 외부 시스템의 경고
기본 보안 데이터를 포함하는 로그는 분석 계층을 사용하여 저장해야 합니다.
보조 보안 데이터
이 범주에는 개별 보안 값이 제한되지만 보안 인시던트 또는 위반에 대한 포괄적인 보기를 제공하는 데 필수적인 로그가 포함됩니다. 일반적으로 이러한 로그는 대용량이며 자세한 정보일 수 있습니다. 이 데이터에 대한 보안 작업 사용 사례는 다음과 같습니다.
위협 인텔리전스 위협을 빠르고 쉽게 감지하려면 기본 데이터를 IoC(손상 지표) 또는 IoA(공격 지표) 목록에 대해 확인할 수 있습니다.
임시 헌팅/조사. 데이터는 30일 동안 대화형으로 쿼리할 수 있으므로 위협 헌팅 및 조사에 대한 중요한 분석을 용이하게 할 수 있습니다.
대규모 검색. 데이터를 페타바이트 규모로 백그라운드에서 수집 및 검색할 수 있으며 최소한의 처리로 효율적으로 저장될 수 있습니다.
KQL 작업을 통한 요약입니다. 대량 로그를 집계 정보로 요약하고 분석 계층에 결과를 저장합니다.
보조 데이터 로그 원본의 몇 가지 예로는 클라우드 스토리지 액세스 로그, NetFlow 로그, TLS/SSL 인증서 로그, 방화벽 로그, 프록시 로그 및 IoT 로그가 있습니다.
보조 보안 데이터를 포함하는 로그의 경우 고급 보안 및 규정 준수 시나리오를 위해 향상된 확장성, 유연성 및 통합 기능을 제공하도록 설계된 Microsoft Sentinel Data Lake를 사용합니다.
로그 관리 계층
Microsoft Sentinel 수집된 데이터의 이러한 범주를 수용하기 위해 두 가지 다른 로그 스토리지 계층 또는 형식을 제공합니다.
분석 계층 계획은 기본 보안 데이터를 저장하고 고성능에서 쉽고 지속적으로 액세스할 수 있도록 설계되었습니다.
데이터 레이크 계층은 접근성을 유지하면서 장기간에 걸쳐 보조 보안 데이터를 비용 효율적으로 저장하는 데 최적화되어 있습니다.
분석 계층
분석 계층은 기본적으로 최대 2년 동안 확장 가능한 90일 동안데이터를 대화형 보존 상태로 유지합니다. 이 대화형 상태는 비용이 많이 들지만 쿼리당 무료로 고성능을 통해 무제한 방식으로 데이터를 쿼리할 수 있습니다.
데이터 레이크 계층
Microsoft Sentinel 데이터 레이크는 보안 데이터를 대규모로 통합하고 유지하는 완전히 관리되는 최신 데이터 레이크로, 여러 양식 및 AI 에이전트 기반 위협 탐지에서 고급 분석을 가능하게 합니다. 보안 팀이 수개월의 데이터를 사용하여 장기 위협을 조사하고, 경고를 보강하고, 행동 기준을 빌드할 수 있습니다.
총 보존이 분석 계층 보존보다 길도록 구성되거나 분석 계층 보존 기간이 종료되는 경우 분석 계층 보존을 초과하여 저장된 데이터는 데이터 레이크 계층에서 계속 액세스할 수 있습니다.
관련 콘텐츠
- Microsoft Sentinel 데이터 레이크에 대한 자세한 내용은 데이터 레이크 Microsoft Sentinel 참조하세요.
- 데이터 레이크를 Microsoft Sentinel 온보딩하려면 데이터 레이크를 Microsoft Sentinel 데이터 온보딩을 참조하세요.