Microsoft Sentinel 배포 가이드

이 문서에서는 Microsoft Sentinel 배포를 계획, 배포 및 미세 조정하는 데 도움이 되는 활동을 소개합니다.

개요 계획 및 준비

이 섹션에서는 Microsoft Sentinel 배포하기 전에 계획하고 준비하는 데 도움이 되는 활동 및 필수 구성 요소를 소개합니다.

계획 및 준비 단계는 일반적으로 SOC 설계자 또는 관련 역할에 의해 수행됩니다.

단계 세부 정보
1. 개요 및 필수 구성 요소 계획 및 준비 Azure 테넌트 필수 구성 요소를 검토합니다.
2. 작업 영역 아키텍처 계획 Microsoft Sentinel 사용하도록 설정된 Log Analytics 작업 영역을 디자인합니다. Microsoft Defender 포털에 온보딩할지 여부에 관계없이 Log Analytics 작업 영역이 여전히 필요합니다.

다음과 같은 매개 변수를 고려합니다.
- 단일 테넌트 또는 여러 테넌트 사용 여부
- 데이터 수집 및 스토리지에 대한 모든 규정 준수 요구 사항
- Microsoft Sentinel 데이터에 대한 액세스를 제어하는 방법

다음 문서를 검토합니다.

1. 작업 영역 아키텍처 디자인
3. 샘플 작업 영역 디자인 검토
4. 여러 작업 영역 준비
3. 데이터 커넥터 우선 순위 지정 배포 예산 및 타임라인 정확하게 프로젝터화할 수 있도록 필요한 데이터 원본과 데이터 크기 요구 사항을 결정합니다.

비즈니스 사용 사례 검토 중 또는 이미 있는 현재 SIEM을 평가하여 이 정보를 확인할 수 있습니다. SIEM이 이미 있는 경우 데이터를 분석하여 가장 많은 값을 제공하는 데이터 원본을 이해하고 Microsoft Sentinel 수집해야 합니다.
4. 역할 및 사용 권한 계획 Azure RBAC(역할 기반 액세스 제어)를 사용하여 보안 운영 팀 내에서 역할을 만들고 할당하여 Microsoft Sentinel 대한 적절한 액세스 권한을 부여합니다. 다양한 역할을 통해 사용자가 보고 수행할 수 있는 Microsoft Sentinel 세부 제어할 수 있습니다. Azure 역할은 작업 영역에서 직접 할당하거나 작업 영역이 속한 구독 또는 리소스 그룹에서 할당할 수 있으며, Microsoft Sentinel 상속됩니다.
5. 비용 계획 계획된 각 시나리오에 대한 비용 영향을 고려하여 예산 계획을 시작합니다.

예산은 Microsoft Sentinel 및 Azure Log Analytics, 배포될 플레이북 등에 대한 데이터 수집 비용을 충당해야 합니다.

배포 개요

배포 단계는 일반적으로 SOC 분석가 또는 관련 역할에 의해 수행됩니다.

단계 세부 정보
1. Microsoft Sentinel, 상태 및 감사 및 콘텐츠 사용 Microsoft Sentinel 사용하도록 설정하고, 상태 및 감사 기능을 사용하도록 설정하고, organization 요구에 따라 식별한 솔루션 및 콘텐츠를 사용하도록 설정합니다.

API를 사용하여 Microsoft Sentinel 온보딩하려면 지원되는 최신 버전의 Sentinel 온보딩 상태를 참조하세요.
2. 콘텐츠 구성 데이터 커넥터, 분석 규칙, 자동화 규칙, 플레이북, 통합 문서 및 관심 목록 등 시스템 전체에서 보안 위협을 감지, 모니터링 및 대응할 수 있는 다양한 유형의 Microsoft Sentinel 보안 콘텐츠를 구성합니다.
3. 작업 영역 간 아키텍처 설정 환경에 여러 작업 영역이 필요한 경우 이제 배포의 일부로 설정할 수 있습니다. 이 문서에서는 여러 작업 영역 및 테넌트 간에 확장하도록 Microsoft Sentinel 설정하는 방법을 알아봅니다.
4. UEBA(사용자 및 엔터티 동작 분석) 사용 UEBA 기능을 사용하도록 설정하고 사용하여 분석 프로세스를 간소화합니다.
5. Microsoft Sentinel 데이터 레이크 구성 organization 중요한 장기 데이터를 유지하도록 대화형 및 데이터 보존 설정을 구성하여 비용 효율적인 스토리지, 향상된 가시성 및 고급 분석 도구와의 원활한 통합을 위해 Microsoft Sentinel 데이터 레이크를 활용합니다.

미세 조정 및 검토: 배포 후 검사 목록

배포 후 검사 목록을 검토하여 배포 프로세스가 예상대로 작동하는지, 배포한 보안 콘텐츠가 작동 중인지 확인하고 요구 사항 및 사용 사례에 따라 organization 보호하는 데 도움이 됩니다.

미세 조정 및 검토 단계는 일반적으로 SOC 엔지니어 또는 관련 역할에 의해 수행됩니다.

단계 작업
인시던트 및 인시던트 프로세스 검토 - 인시던트와 표시되는 인시던트 수가 사용자 환경에서 실제로 발생하는 상황을 반영하는지 확인합니다.
- SOC의 인시던트 프로세스가 인시던트 처리에 효율적으로 작동하는지 확인합니다. SOC의 여러 계층/계층에 다양한 유형의 인시던트가 할당되었나요?

인시던트 탐색 및 조사 방법 및 인시던트 작업 방법에 대해 자세히 알아봅니다.
분석 규칙 검토 및 미세 조정 - 인시던트 검토에 따라 분석 규칙이 예상대로 트리거되는지 여부와 규칙이 관심 있는 인시던트 유형을 반영하는지 여부를 검사.
- 자동화를 사용하거나 예약된 분석 규칙을 수정하여 가양성 처리
- Microsoft Sentinel 분석 규칙을 분석하는 데 도움이 되는 기본 제공 미세 조정 기능을 제공합니다. 이러한 기본 제공 인사이트를 검토하고 관련 권장 사항을 구현합니다.
자동화 규칙 및 플레이북 검토 - 분석 규칙과 유사하게 자동화 규칙이 예상대로 작동하는 검사 우려되고 관심 있는 인시던트가 반영됩니다.
- 플레이북이 예상대로 경고 및 인시던트에 응답하는지 확인합니다.
관심 목록에 데이터 추가 관심 목록이 최신 상태인지 확인합니다. 사용자 환경(예: 새 사용자 또는 사용 사례)이 변경된 경우 그에 따라 관심 목록을 업데이트합니다.
약정 계층 검토 처음에 설정한 약정 계층을 검토하고 이러한 계층이 현재 구성을 반영하는지 확인합니다.
수집 비용 추적 수집 비용을 추적하려면 다음 통합 문서 중 하나를 사용합니다.
- 작업 영역 사용 현황 보고서 통합 문서는 작업 영역의 데이터 사용량, 비용 및 사용량 통계를 제공합니다. 통합 문서는 작업 영역의 데이터 수집 상태 및 무료 및 청구 가능한 데이터의 양을 제공합니다. 통합 문서 논리를 사용하여 데이터 수집 및 비용을 모니터링하고 사용자 지정 보기 및 규칙 기반 경고를 빌드할 수 있습니다.
- Microsoft Sentinel 비용 통합 문서는 수집 및 보존 데이터, 적격 데이터 원본에 대한 수집 데이터, Logic Apps 청구 정보 등을 포함하여 Microsoft Sentinel 비용에 대한 보다 집중적인 보기를 제공합니다.
DCR(데이터 수집 규칙) 미세 조정 - DCR 이 데이터 수집 요구 사항 및 사용 사례를 반영하는지 확인합니다.
- 필요한 경우 수집 시간 변환을 구현 하여 작업 영역에 처음 저장되기 전에도 관련 없는 데이터를 필터링합니다.
MITRE 프레임워크에 대한 분석 규칙 확인 Microsoft Sentinel MITRE 페이지에서 MITRE 검사 확인: MITRE ATT&CK® 프레임워크의 전술과 기술에 따라 작업 영역에서 이미 활성화된 검색과 구성할 수 있는 검색을 확인하여 organization 보안 범위를 이해합니다.
의심스러운 활동 찾기 SOC에 사전 위협 헌팅을 위한 프로세스가 있는지 확인합니다. 헌팅은 보안 분석가가 검색되지 않은 위협과 악의적인 동작을 찾는 프로세스입니다. 가설을 만들고, 데이터를 검색하고, 해당 가설의 유효성을 검사하여 수행할 작업을 결정합니다. 작업에는 새 검색, 새로운 위협 인텔리전스 만들기 또는 새 인시던트 회전이 포함될 수 있습니다.

이 문서에서는 Microsoft Sentinel 배포하는 데 도움이 되는 각 단계의 활동을 검토했습니다.

현재 진행 중인 단계에 따라 적절한 다음 단계를 선택합니다.

Microsoft Sentinel 배포가 완료되면 일반적인 작업을 다루는 자습서를 검토하여 Microsoft Sentinel 기능을 계속 살펴봅니다.

매일, 매주, 매월 수행하는 것이 좋습니다 일반 SOC 활동에 대한 Microsoft Sentinel 운영 가이드를 검토합니다.

  • Last updated on