Microsoft Sentinel 대규모 작업 영역 관리

Azure Lighthouse를 사용하여 서비스 공급자는 여러 테넌트에 걸쳐 대규모로 작업을 한 번에 수행할 수 있으므로 관리 작업을 보다 효율적으로 수행할 수 있습니다.

Microsoft Sentinel은 보안 분석 및 위협 인텔리전스를 제공하며, 경고 검색, 위협 가시성, 주도적 헌팅 및 위협 대응을 위한 단일 솔루션을 제공합니다. Azure Lighthouse를 사용하여 테넌트 전반의 여러 Microsoft Sentinel 작업 영역을 대규모로 관리할 수 있습니다. 이렇게 하면 여러 작업 영역에 걸쳐 쿼리를 실행하거나 통합 문서를 만들어 연결된 데이터 원본의 데이터를 시각화하고 모니터링하여 인사이트를 얻을 수 있습니다. 쿼리 및 플레이북과 같은 IP는 관리 테넌트에 상주하지만 고객 테넌트에서 보안 관리를 수행하는 데 사용할 수 있습니다.

이 항목에는 Azure Lighthouse를 통해 테넌트 간 가시성 및 관리되는 보안 서비스에 대해 확장 가능한 방법으로 Microsoft Sentinel을 사용하는 방법의 개요가 나와 있습니다.

팁

이 항목은 서비스 공급자 및 고객을 염두에 두고 만들었지만 이 지침은 Azure Lighthouse를 사용하여 여러 테넌트를 관리하는 기업에도 적용됩니다.

참고 항목

여러 지역에 있는 위임된 리소스를 관리할 수 있습니다. 그러나 국가별 클라우드와 Azure 퍼블릭 클라우드 또는 별도의 두 국가별 클라우드에서 리소스를 위임할 수는 없습니다.

아키텍처 고려 사항

Microsoft Sentinel을 사용하여 Security-as-a-service 제품을 빌드하려고 하는 MSSP(관리되는 보안 서비스 공급자)의 경우, 개별 고객 테넌트 내에 배포된 여러 Microsoft Sentinel 작업 영역을 중앙에서 모니터링, 관리하고 구성하려면 단일 SOC(보안 운영 센터)가 필요할 수 있습니다. 마찬가지로, 여러 Microsoft Entra 테넌트가 테넌트 전반에 배포된 여러 Microsoft Sentinel 작업 영역을 중앙에서 관리하려고 할 수 있습니다.

이 중앙 집중형 관리 모델의 장점은 다음과 같습니다.

• 데이터의 소유권은 관리되는 각 테넌트에 남아 있습니다.
• 지리적 경계 내에 데이터를 저장하기 위한 요구 사항을 지원합니다.
• 여러 고객에 대한 데이터가 동일한 작업 영역에 저장되지 않기 때문에 데이터 격리를 보장합니다.
• 관리되는 테넌트의 데이터 반출을 방지하여 데이터 규정 준수를 보장합니다.
• 관련 비용은 관리 테넌트 대신 관리되는 각 테넌트에 부과됩니다.
• Microsoft Sentinel(예: Microsoft Entra 활동 로그, Office 365 로그 또는 Microsoft Threat Protection 경고)과 통합된 모든 데이터 원본 및 데이터 커넥터의 데이터가 각 고객 테넌트 내에 유지됩니다.
• 네트워크 대기 시간을 줄입니다.
• 새 자회사 또는 고객을 쉽게 추가하거나 제거할 수 있습니다.
• Azure Lighthouse를 통해 작업할 때 다중 작업 영역 보기를 사용할 수 있습니다.
• 지적 재산을 보호하기 위해 플레이북과 통합 문서를 사용하여 코드를 고객과 직접 공유하지 않고도 테넌트에서 작업할 수 있습니다. 분석 및 헌팅 규칙만 각 고객의 테넌트에 직접 저장하면 됩니다.

Important

작업 영역이 고객 테넌트에 만들어지면 Microsoft.SecurityInsights 및 Microsoft.OperationalInsights 리소스 공급자도 관리 테넌트의 구독에 등록해야 합니다.

대체 배포 모델은 관리 테넌트에 하나의 Microsoft Sentinel 작업 영역을 만드는 것입니다. 이 모델에서 Azure Lighthouse는 관리되는 테넌트 전반의 데이터 원본에서 로그 수집을 사용하도록 설정합니다. 그러나 테넌트 간에 연결할 수 없는 데이터 원본(예: Microsoft Defender XDR)이 일부 있습니다. 이러한 제한 때문에 이 모델은 많은 서비스 공급자 시나리오에 적합하지 않습니다.

세분화된 Azure RBAC(Azure 역할 기반 액세스 제어)란?

MSSP에서 관리하는 각 고객 구독은 Azure Lighthouse아 온보딩되어야 합니다. 이렇게 하면 관리 테넌트의 지정된 사용자가 고객 테넌트에 배포된 Microsoft Sentinel 작업 영역에 액세스하고 관리 작업을 수행할 수 있습니다.

권한 부여를 만들 때 관리 테넌트의 사용자, 그룹 또는 서비스 사용자에게 Microsoft Sentinel 기본 제공 역할을 할당할 수 있습니다.

• Microsoft Sentinel 읽기 권한자
• Microsoft Sentinel 응답자
• Microsoft Sentinel 기여자

추가 기능을 수행하기 위해 추가 기본 제공 역할을 할당할 수도 있습니다. Microsoft Sentinel에서 사용할 수 있는 특정 역할에 대한 내용은 Microsoft Sentinel의 역할 및 권한을 참조하세요.

고객을 온보딩하면 지정된 사용자가 관리 테넌트에 로그인하고, 할당된 역할을 사용하여 고객의 Microsoft Sentinel 작업 영역에 직접 액세스할 수 있습니다.

작업 영역 전반에서 인시던트 보기 및 관리

여러 고객의 Microsoft Sentinel 리소스를 작업하는 경우, 한 번에 여러 테넌트의 여러 작업 영역에서 인시던트를 보고 관리할 수 있습니다. 자세한 내용은 한 번에 여러 작업 영역에서 인시던트 사용과 작업 영역 및 테넌트 간에 Microsoft Sentinel 확장을 참조하세요.

참고 항목

관리 테넌트의 사용자에게 모든 관리 작업 영역에 대한 읽기 및 쓰기 권한이 모두 할당되었는지 확인합니다. 사용자에게 일부 작업 영역에 대한 읽기 권한만 있는 경우, 해당 작업 영역에서 인시던트를 선택할 때 경고 메시지가 표시될 수 있으며, 해당 사용자가 이러한 인시던트나 선택된 다른 인시던트를 수정할 수 없습니다(다른 항목에 대한 쓰기 권한이 있는 경우에도).

완화를 위해 플레이북 구성

플레이북은 경고가 트리거될 때 자동 완화에 사용될 수 있습니다. 이러한 플레이북은 수동으로 실행할 수 있으며, 특정 경보가 트리거될 때 자동으로 실행될 수 있습니다. 플레이북은 보안 위협에 대응하기 위해 조치를 취해야 하는 테넌트의 사용자에 따라 구성된 대응 절차를 사용하여 관리 테넌트 또는 고객 테넌트에 배포할 수 있습니다.

테넌트 간 통합 문서 만들기

Microsoft Sentinel의 Azure Monitor 통합 문서는 연결된 데이터 원본의 데이터를 시각화하고 모니터링하여 인사이트를 확보하는 데 도움이 됩니다. Microsoft Sentinel에서 기본 제공 통합 문서 템플릿을 사용하거나, 시나리오에 맞는 사용자 지정 통합 문서를 만들 수 있습니다.

관리 테넌트에 통합 문서를 배포하고 대규모 대시보드를 만들어 고객 테넌트 간에 데이터를 모니터링하고 쿼리할 수 있습니다. 자세한 내용은 작업 영역 간 통합 문서를 참조하세요.

해당 고객과 관련된 시나리오를 위해 개별 관리 테넌트에 직접 통합 문서를 배포할 수도 있습니다.

Microsoft Sentinel 작업 영역에서 Log Analytics 및 헌팅 쿼리를 실행합니다.

관리 테넌트에서 중앙 집중식으로 위협 탐지를 수행하기 위해 헌팅 쿼리를 포함한 Log Analytics 쿼리를 만들고 저장합니다. 모든 고객의 Microsoft Sentinel 작업 영역에서 Union 연산자와 workspace() 식을 사용하여 이러한 쿼리를 실행할 수 있습니다.

자세한 내용은 작업 영역 간 쿼리를 참조하세요.

작업 영역 간 관리를 위한 자동화 사용

자동화를 사용하여 여러 Microsoft Sentinel 작업 영역을 관리하고, 헌팅 쿼리, 플레이북 및 통합 문서를 구성할 수 있습니다. 자세한 내용은 자동화를 사용하여 작업 영역 간 관리를 참조하세요.

Office 365 환경의 보안 모니터링

Azure Lighthouse를 Microsoft Sentinel과 함께 사용하여 테넌트 전반에서 Office 365 환경의 보안을 모니터링합니다. 먼저 관리되는 테넌트에서 기본 Office 365 데이터 커넥터를 사용하도록 설정합니다. 그런 다음 Exchange 및 SharePoint(OneDrive 포함)의 사용자 및 관리자 활동에 대한 정보를 관리되는 테넌트 내의 Microsoft Sentinel 작업 영역으로 수집할 수 있습니다. 이 정보에는 파일 다운로드, 보낸 액세스 요청, 그룹 이벤트에 대한 변경 내용 및 사서함 작업 등의 동작에 대한 세부 정보와 해당 동작을 수행한 사용자에 대한 정보가 포함됩니다. 기본 제공 Office 365 커넥터의 일부로 Office 365 DLP 경고도 지원됩니다.

클라우드용 Microsoft Defender Apps 커넥터를 사용하여 경고 및 Cloud Discovery 로그를 Microsoft Sentinel로 스트리밍할 수 있습니다. 이 커넥터는 클라우드 앱에 대한 가시성을 제공하고, 사이버 위협을 식별하여 대응할 수 있는 정교한 분석 자료를 제공하며, 데이터 이동 방식을 제어할 수 있습니다. Defender for Cloud Apps의 활동 로그는 CEF(Common Event Format)를 통해 사용할 수 있습니다.

Office 365 데이터 커넥터를 설정하면 통합 문서에서 데이터를 확인/분석하고, 쿼리를 사용해 사용자 지정 경고를 만들며, 위협에 대응하도록 플레이북을 구성하는 등 테넌트 간 Microsoft Sentinel 기능을 사용할 수 있습니다.

지적 재산 보호

고객과 함께 작업할 때 Microsoft Sentinel 분석 규칙, 헌팅 쿼리, 플레이북, 통합 문서 등 Microsoft Sentinel에서 개발한 지적 재산을 보호하고자 할 수 있습니다. 고객이 이러한 리소스에서 사용되는 코드에 완전히 액세스할 수 없도록 하는 데 사용할 수 있는 방법이 여러 가지 있습니다.

자세한 내용은 Microsoft Sentinel에서 MSSP 지적 재산 보호를 참조하세요.

다음 단계

• Microsoft Sentinel에 대해 알아봅니다.
• Microsoft Sentinel 가격 페이지를 검토합니다.
• Microsoft Sentinel 환경의 배포 및 초기 구성 작업 속도를 높이는 프로젝트인 MicrosoftSentinel All-in-One을 살펴보세요.
• 테넌트 간 관리 환경에 대해 알아봅니다.