Microsoft Sentinel 데이터 레이크는 조직이 보안 데이터를 관리하고 분석하는 방법을 변환하는 용도로 빌드된 클라우드 네이티브 보안 데이터 레이크입니다. 진정한 데이터 레이크로 설계되어 다양한 보안 데이터를 대규모로 수집, 저장, 분석합니다. 보안 데이터를 단일하고 개방형이며 확장 가능한 플랫폼으로 중앙화함으로써 심층적인 표시 여부, 장기 보존 및 고급 분석 기능을 제공합니다.
데이터 레이크를 사용하면 모든 보안 데이터를 비용 효율적으로 Microsoft Sentinel로 가져올 수 있으므로 적용 범위와 비용 중 하나를 선택할 필요가 없습니다. 보안을 손상시키지 않으면서 더 많은 데이터를 더 오랫동안 보존하고, 더 폭넓은 컨텍스트와 과거 정보를 바탕으로 위협을 검색하고, 더 빠르게 대응할 수 있습니다.
Microsoft Sentinel 데이터 레이크는 완전 관리형이므로 데이터 인프라를 배포하거나 유지 관리할 필요가 없습니다. 엔드 투 엔드 위협 분석 및 대응을 위한 통합 데이터 플랫폼을 제공합니다. 자산, 활동 로그, 위협 인텔리전스 전반에 걸친 보안 데이터의 단일 복사본을 레이크에 저장하고 KQL 및 Jupyter Notebook과 같은 여러 분석 도구를 활용하여 심층적인 보안 분석을 수행합니다.
기존 SIEM 솔루션은 장기 보안 데이터를 저장하고 쿼리하는 데 드는 비용과 복잡성으로 어려움을 겪습니다. Microsoft Sentinel 데이터 레이크는 다음과 같은 방법으로 이러한 문제를 해결합니다.
- Microsoft Defender XDR, 타사 원본 및 자산, 활동 로그, 위협 인텔리전스 전반에 걸쳐 보안 데이터 통합
- 계층형 스토리지, 주문형 데이터 승격 및 단일 데이터 복사본을 통해 비용 최적화
- 최대 12년 동안의 보안 데이터와 원격 분석을 통해 심층적인 보안 인사이트를 확보하고 쿼리 및 분석 가능
- 더 빠른 검색 및 응답을 위해 AI 및 자동화를 지원합니다.
단일 데이터 복사본을 사용하여 KQL을 사용하여 정교한 Python 라이브러리와 기계 학습 도구로 쿼리와 Jupyter Notebook을 실행하여 포렌식, 사고 응답 및 이상 탐지를 위한 심층 분석을 수행합니다.
건축학
Azure의 확장 가능한 인프라를 기반으로 하는 Microsoft Sentinel 데이터 레이크는 다양한 데이터 원본에서 중앙 집중식 수집, 분석 및 작업을 용이하게 합니다. Microsoft Sentinel 데이터 레이크 기술 아키텍처에는 다음과 같은 주요 이점이 포함됩니다.
- 상호 운용성 및 확장성을 위한 오픈 포맷 Parquet 데이터 파일
- 효율적이고 비용 효율적인 스토리지를 위한 단일 데이터 복사본
- 스토리지와 컴퓨팅을 분리하여 유연성을 높입니다.
- 보안 데이터에서 인사이트를 얻기 위한 여러 분석 엔진 지원
- Microsoft Sentinel SIEM 및 보안 운영 워크플로와의 네이티브 통합
스토리지 계층
Microsoft Sentinel은 비용과 성능을 최적화하기 위해 두 가지 고유한 스토리지 계층으로 설계되었습니다.
- 분석 계층: 기존 Microsoft Sentinel 데이터 계층으로, 고급 헌팅, 경고 및 인시던트 관리를 지원하여 인프라와 애플리케이션 전반에서 문제를 적극적으로 식별하고 해결하는 데 도움이 됩니다. 이 계층은 고성능 분석 및 실시간 데이터 처리를 위해 설계되었습니다.
- 데이터 레이크 계층: 쿼리 및 Python 기반 고급 분석을 위한 중앙 집중식 장기 스토리지를 제공합니다. 최대 12년 동안 대량의 보안 데이터를 비용 효율적으로 보존하도록 설계되었습니다. 분석 계층의 데이터는 레이크 계층에 미러링되어 데이터의 단일 복사본이 보존됩니다.
데이터 계층 및 보존에 대한 자세한 내용은 Microsoft Defender 포털에서 데이터 계층 및 보존 관리를 참조하세요.
지원되는 데이터 원본
Microsoft Sentinel 데이터 레이크는 다음을 비롯한 모든 기존 Sentinel 데이터 커넥터에서 작동합니다.
- 모든 Microsoft Defender 및 Microsoft Sentinel 데이터 원본
- 마이크로소프트 365
- Microsoft Entra ID (마이크로소프트 엔트라 ID)
- Microsoft Resource Graph
- EDR(엔드포인트 검색 및 응답) 플랫폼
- 방화벽 및 네트워크 로그
- 클라우드 인프라 및 워크로드 원격 분석
- ID 및 액세스 로그(Microsoft Entra, Okta 등)
- DNS, 프록시 및 전자 메일 원격 분석
Kusto 쿼리 언어를 사용한 유연한 쿼리
데이터 레이크 탐색 KQL(Kusto 쿼리 언어) 쿼리를 사용하면 데이터 레이크 리소스에 대한 쿼리를 작성하고 실행할 수 있습니다. 쿼리 편집기를 사용하여 데이터를 탐색하고, 레이크를 분석하고, 데이터 레이크 계층에서 분석 계층으로 데이터를 승격하는 작업을 만듭니다. KQL 쿼리는 다음과 같은 주요 기능을 제공합니다.
- KQL 쿼리 편집기: IntelliSense 및 자동 완성을 사용하여 KQL 쿼리 편집 및 실행을 제공합니다.
- KQL에 대한 전체 지원: 기계 학습 함수 및 고급 분석을 비롯한 모든 범위의 KQL 기능을 사용합니다.
- 작업 만들기: 레이크에서 분석 계층으로 데이터를 상위 계층으로 전송하기 위한 일회성 또는 예약된 작업을 만듭니다.
자세한 내용은 KQL 및 Microsoft Sentinel 데이터 레이크를 참조하세요.
Jupyter Notebook을 사용하는 강력한 분석
Microsoft Sentinel 데이터 레이크의 Jupyter Notebook은 데이터 분석과 기계 학습을 위한 강력한 환경을 제공합니다. Python 라이브러리를 사용하여 기계 학습 모델을 빌드 및 실행하고, 고급 분석을 수행하고, 데이터를 시각화합니다. Notebook은 다양한 시각화를 지원하므로 보안 데이터에서 인사이트를 얻을 수 있습니다. 정기적으로 데이터를 요약하기 위해 Notebook을 예약하고, 기계 학습 모델을 실행하고, 데이터 레이크 계층에서 분석 계층으로 데이터를 승격합니다.
자세한 내용은 Microsoft Sentinel 데이터 레이크의 Jupyter Notebook을 참조하세요.
활동 로그 감사
Microsoft Sentinel 데이터 레이크는 레이크의 작업을 추적하는 감사 기능을 제공합니다. 감사 로그는 데이터 액세스, 작업 관리, 쿼리 이벤트를 캡처하여 작업을 모니터링하고 조사할 수 있도록 합니다.
감사되는 활동 중 일부는 다음과 같습니다.
- KQL 쿼리를 사용하여 레이크의 데이터 액세스
- Data Lake에서 노트북 실행
- 작업 만들기, 편집, 실행 및 삭제
Microsoft Sentinel 데이터 레이크에서는 감사가 기본적으로 사용하도록 설정되어 있습니다. 감사된 작업은 감사 로그에 표시됩니다.
감사된 데이터 레이크 작업에 대한 자세한 내용은 Microsoft Sentinel 데이터 레이크에 대한 감사 로그를 참조하세요.
지원되는 지역
지원되는 지역은 Microsoft Sentinel 데이터 레이크에서 지원되는 지역을 참조하세요.
시작하기
Microsoft Sentinel 데이터 레이크를 시작하려면 온보딩 가이드에서 다음 단계를 수행합니다. Microsoft Sentinel 데이터 레이크 사용에 대한 자세한 내용은 다음 문서를 참조하세요.