작업 영역 관리자를 사용하여 여러 Microsoft Sentinel 작업 영역을 중앙에서 관리(미리 보기)

작업 영역 관리자를 사용하여 하나 이상의 Azure 테넌트 내에서 여러 Microsoft Sentinel 작업 영역을 중앙에서 관리하는 방법을 알아봅니다. 이 문서에서는 작업 영역 관리자의 프로비전 및 사용을 안내합니다. 글로벌 기업이든 MSSP(관리형 보안 서비스 공급자)이든 관계없이 작업 영역 관리자는 대규모로 효율적으로 운영하는 데 도움이 됩니다.

다음은 작업 영역 관리자에서 지원되는 활성 콘텐츠 형식입니다.

• 분석 규칙
• 자동화 규칙(플레이북 제외)
• 파서, 저장된 검색 및 함수
• 헌팅 쿼리
• 통합 문서

중요

작업 영역 관리자에 대한 지원은 현재 미리 보기로 제공됩니다. Azure 미리 보기 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법적 조건이 포함됩니다.

Microsoft Defender 포털에 Microsoft Sentinel 온보딩하는 경우 다중 테넌트 관리 Microsoft Defender 참조하세요.

필수 구성 요소

• 두 개 이상의 Microsoft Sentinel 작업 영역이 필요합니다. 관리할 작업 영역 하나와 관리할 다른 작업 영역이 하나 이상 있습니다.
• Microsoft Sentinel 기여자 역할 할당은 중앙 작업 영역(작업 영역 관리자가 활성화된 위치) 및 멤버 작업 영역에서 기여자 관리해야 합니다. Microsoft Sentinel 역할에 대한 자세한 내용은 Microsoft Sentinel 역할 및 권한을 참조하세요.
• 여러 Microsoft Entra 테넌트에서 작업 영역을 관리하는 경우 Azure Lighthouse를 사용하도록 설정합니다. 자세한 내용은 대규모 Microsoft Sentinel 작업 영역 관리를 참조하세요.

고려 사항

중앙 작업 영역을 구성원 작업 영역에 대규모로 게시할 콘텐츠 항목 및 구성을 통합하는 환경으로 구성합니다. 새 Microsoft Sentinel 작업 영역을 만들거나 기존 작업 영역을 활용하여 중앙 작업 영역으로 사용합니다.

시나리오에 따라 다음 아키텍처를 고려합니다.

• 직접 링크 는 가장 복잡한 설정입니다. 하나의 중앙 작업 영역만 사용하여 모든 멤버 작업 영역을 제어합니다.
• 공동 관리는 둘 이상의 중앙 작업 영역이 멤버 작업 영역을 관리해야 하는 시나리오를 지원합니다. 예를 들어 사내 SOC 팀과 MSSP에서 동시에 관리되는 작업 영역입니다.
• N 계층 은 중앙 작업 영역이 다른 중앙 작업 영역을 제어하는 복잡한 시나리오를 지원합니다. 예를 들어, 여러 자회사를 관리하는 대기업으로, 각 자회사는 여러 작업 영역도 관리합니다.

중앙 작업 영역에서 작업 영역 관리자 사용

작업 영역 관리자가 되어야 하는 Microsoft Sentinel 작업 영역을 결정한 후에는 중앙 작업 영역을 사용하도록 설정합니다.

1. 부모 작업 영역의 설정 블레이드로 이동하고 작업 영역 관리자 구성 설정에서 " 이 작업 영역을 부모로 만들기"로 전환합니다.

2. 사용하도록 설정하면 구성 아래에 새 메뉴 작업 영역 관리자(미리 보기)가 나타납니다.

   

멤버 작업 영역 온보딩

멤버 작업 영역은 작업 영역 관리자가 관리하는 작업 영역 집합입니다. 테넌트 및 여러 테넌트에서 작업 영역의 일부 또는 전부를 온보딩합니다(Azure Lighthouse를 사용하는 경우).

1. 작업 영역 관리자로 이동하여 "작업 영역 추가"를 선택합니다
2. 작업 영역 관리자에 온보딩하려는 멤버 작업 영역을 선택합니다.
3. 성공적으로 온보딩되면 멤버 수가 증가하고 구성원 작업 영역이 작업 영역 탭에 반영됩니다.

그룹 만들기

작업 영역 관리자 그룹을 사용하면 비즈니스 그룹, 수직, 지리 등에 따라 작업 영역을 함께 구성할 수 있습니다. 그룹을 사용하여 작업 영역과 관련된 콘텐츠 항목을 페어링합니다.

팁

중앙 작업 영역에 하나 이상의 활성 콘텐츠 항목이 배포되어 있는지 확인합니다. 이렇게 하면 후속 단계에서 멤버 작업 영역에 게시할 중앙 작업 영역의 콘텐츠 항목을 선택할 수 있습니다.

1. 그룹 만들기:

   • 하나의 작업 영역을 추가하려면그룹추가>를 선택합니다.
   • 여러 작업 영역을 추가하려면 선택한 작업 영역 및 그룹 추가>를선택합니다.

2. 그룹 만들기 또는 업데이트 페이지에서 그룹의이름 및 설명을 입력합니다.

3. 작업 영역 선택 탭에서 추가를 선택하고 그룹에 추가할 멤버 작업 영역을 선택합니다.

4. 콘텐츠 선택 탭에는 콘텐츠 항목을 추가하는 두 가지 방법이 있습니다.

   • 방법 1: 추가 메뉴를 선택하고 모든 콘텐츠를 선택합니다. 현재 중앙 작업 영역에 배포된 모든 활성 콘텐츠가 추가됩니다. 이 목록은 템플릿이 아닌 활성 콘텐츠만 선택하는 특정 시점 스냅샷.
   • 방법 2: 추가 메뉴를 선택하고 콘텐츠를 선택합니다. 추가된 콘텐츠를 사용자 지정 선택하기 위한 콘텐츠 선택 창이 열립니다.

5. 검토 + 만들기 전에 필요에 따라 콘텐츠를 필터링합니다.

6. 그룹 수가 생성되면 그룹 수가 증가하고 그룹이 그룹 탭에 반영됩니다.

그룹 정의 게시

이 시점에서 선택한 콘텐츠 항목은 아직 멤버 작업 영역에 게시되지 않았습니다.

참고

최대 게시 작업을 초과하면 게시 작업이 실패합니다 . 이 제한에 접근하는 경우 구성원 작업 영역을 추가 그룹으로 분할하는 것이 좋습니다.

1. 콘텐츠 게시 그룹을 > 선택합니다.

   

   대량 게시하려면 원하는 그룹을 다중 선택하고 게시를 선택합니다.

2. 마지막 게시 상태 열이 진행 중을 반영하도록 업데이트됩니다.

3. 성공하면 마지막 게시 상태 성공이 반영되도록 업데이트됩니다. 이제 선택한 콘텐츠 항목이 멤버 작업 영역에 있습니다.

   전체 그룹에 대해 하나의 콘텐츠 항목만 게시하지 못하면 마지막 게시 상태 실패를 반영하도록 업데이트됩니다.

문제 해결

각 게시 시도에는 콘텐츠 항목이 게시되지 않을 경우 문제 해결에 도움이 되는 링크가 있습니다.

1. 실패한 하이퍼링크를 선택하여 작업 실패 세부 정보 창을 엽니다. 각 콘텐츠 항목 및 대상 작업 영역 쌍에 대한 상태 표시됩니다.

2. 실패한 항목 쌍에 대한 상태를 필터링합니다.

   

실패의 일반적인 원인은 다음과 같습니다.

• 그룹 정의에서 참조되는 콘텐츠 항목은 게시 시 더 이상 존재하지 않습니다(삭제됨).
• 게시 시 사용 권한이 변경되었습니다. 예를 들어 사용자는 더 이상 Microsoft Sentinel 기여자가 아니거나 멤버 작업 영역에 대한 권한이 더 이상 없습니다.
• 멤버 작업 영역이 삭제되었습니다.

알려진 제한

• 그룹당 게시된 최대 작업은 2000개입니다. 게시된 작업 = (멤버 작업 영역) * (콘텐츠 항목).
  예를 들어 그룹에 멤버 작업 영역이 10개 있고 해당 그룹에 20개의 콘텐츠 항목을 게시하는 경우
  게시된 작업 = 10 * 20 = 200.
• 분석 및 자동화 규칙에 귀속되거나 연결된 플레이북은 현재 지원되지 않습니다.
• Bring-your-own-Storage에 저장된 통합 문서는 현재 지원되지 않습니다.
• 작업 영역 관리자는 중앙 작업 영역에서 게시된 콘텐츠 항목만 관리합니다. 멤버 작업 영역에서 로컬로 만든 콘텐츠는 관리하지 않습니다.
• 현재 작업 영역 관리자를 통해 중앙에서 멤버 작업 영역에 있는 콘텐츠를 삭제하는 것은 지원되지 않습니다.

API 참조

• 작업 영역 관리자 할당 작업
• 작업 영역 관리자 할당
• 작업 영역 관리자 구성
• 작업 영역 관리자 그룹
• 작업 영역 관리자 멤버

다음 단계

• MSSP로 Microsoft Sentinel 여러 테넌트 관리
• 여러 작업 영역에서 Microsoft Sentinel 인시던트 한 번에 작업
• Microsoft Sentinel MSSP 지적 재산권 보호