작업 영역 및 테넌트에 걸쳐 Microsoft Sentinel 확장

  • 아티클

Microsoft Sentinel을 온보딩할 때 첫 번째 단계는 Log Analytics 작업 영역을 선택하는 것입니다. 단일 작업 영역으로 Microsoft Sentinel 환경의 모든 이점을 얻을 수 있지만 경우에 따라 작업 영역을 확장하여 작업 영역 및 테넌트에서 데이터를 쿼리하고 분석할 수 있습니다. Microsoft Sentinel이 여러 작업 영역으로 확장되는 방법에 대해 자세히 알아봅니다.

여러 작업 영역에서 인시던트 관리

Microsoft Sentinel은 여러 작업 영역에서 인시던트를 중앙에서 관리하고 모니터링할 수 있는 다중 작업 영역 인시던트 보기를 지원합니다. 중앙 집중식 인시던트 보기 기능을 사용하면 인시던트를 직접 관리하거나 원래 작업 영역의 컨텍스트에서 인시던트 세부 정보를 투명하게 드릴다운할 수 있습니다.

여러 작업 영역 쿼리

여러 작업 영역을 쿼리하여 단일 쿼리에서 여러 작업 영역의 데이터를 쿼리하고 상호 연관시킬 수 있습니다.

  • 다른 작업 영역의 테이블을 참조하려면 작업 영역 식별자를 인수로 사용하여 workspace( )을 사용합니다.

    • 적절한 성능을 보장하려면 식별자 형식 사용에 대한 중요 정보를 참조하세요.

  • 여러 작업 영역의 테이블 전체에 쿼리를 적용하려면 workspace( ) 식과 함께 결합 연산자를 사용합니다.

  • 저장된 함수를 사용하여 작업 영역 간 쿼리를 단순화할 수 있습니다. 예를 들어, 고객 A의 작업 영역에 있는 SecurityEvent 테이블에 대한 긴 참조를

    workspace("/subscriptions/<customerA_subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName>").SecurityEvent

    SecurityEventCustomerA라는 함수로 식을 저장하여 줄일 수 있습니다. 그런 다음 SecurityEventCustomerA | where ... 함수를 사용하여 고객 A의 SecurityEvent 테이블을 쿼리할 수 있습니다.

  • 함수는 일반적으로 사용되는 공용 구조체를 단순화할 수도 있습니다. 예를 들어 다음 식을 unionSecurityEvent라는 함수로 저장할 수 있습니다.

    union 
workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName1>").SecurityEvent, 
workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName2>").SecurityEvent

    그런 다음 unionSecurityEvent | where ...부터 시작하여 두 작업 영역에 걸쳐 쿼리를 작성할 수 있습니다.

예약된 분석 규칙에 작업 영역 간 쿼리 포함

예약된 분석 규칙에 작업 영역 간 쿼리를 포함할 수 있습니다. MSSP에 적합한 중앙 SOC 및 테넌트 간에(Azure Lighthouse 사용) 작업 영역 간 분석 규칙을 사용할 수 있습니다. 이 사용에는 다음 제한 사항이 적용됩니다.

  • 단일 쿼리에 최대 20개의 작업 영역을 포함할 수 있습니다. 그러나 좋은 성능을 위해서는 5개 이하를 포함하는 것이 좋습니다.
  • 쿼리에서 참조하는 모든 작업 영역에 Microsoft Sentinel을 배포해야 합니다.
  • 교차 작업 공간 분석 규칙에 의해 생성된 알림과 알림에서 생성된 문제는 규칙이 정의된 작업 공간에만 존재합니다. 쿼리에서 참조하는 다른 작업 영역에는 경고가 표시되지 않습니다.
  • 모든 분석 규칙과 마찬가지로 작업 영역 간 분석 규칙은 규칙을 만든 사용자가 규칙의 쿼리에서 참조하는 작업 영역에 대한 액세스 권한을 상실하더라도 계속 실행됩니다. 이에 대한 유일한 예외는 분석 규칙과 다른 구독 및/또는 테넌트에 있는 작업 영역의 경우입니다.

교차 작업 영역 분석 규칙에 의해 만들어진 경고 및 인시던트에는 참조된 모든 작업 영역 및 "홈" 작업 영역(규칙이 정의된 위치)의 엔터티를 포함하여 모든 관련 엔터티가 포함됩니다. 이러한 방식으로 분석가는 경고 및 인시던트에 대한 전체 그림을 얻을 수 있습니다.

참고 항목

동일한 쿼리에서 여러 작업 영역을 쿼리하면 성능에 영향을 줄 수 있으므로 논리에 해당 기능이 필요한 경우에만 권장됩니다.

교차 작업 영역 통합 문서 사용

통합 문서는 Microsoft Sentinel에 대시보드와 앱을 제공합니다. 여러 작업 영역으로 작업할 때 통합 문서는 작업 영역 전체에 대한 모니터링 및 작업을 제공합니다.

통합 문서는 다양한 수준의 최종 사용자 전문 지식에 적합한 세 가지 방법 중 하나로 작업 영역 간 쿼리를 제공할 수 있습니다.

메서드 설명 언제 사용해야 하나요?
작업 영역 간 쿼리 작성 통합 문서 작성자는 통합 문서에서 위에서 설명된 작업 영역 간 쿼리를 작성할 수 있습니다. 통합 문서 작성자가 사용자에게 투명한 작업 영역 구조를 만들기를 원합니다.
통합 문서에 작업 영역 선택기 추가 통합 문서 작성자는 통합 문서의 일부로 작업 영역 선택기를 구현할 수 있습니다. 사용하기 쉬운 드롭다운 상자를 사용하여 통합 문서에 표시된 작업 영역을 사용자가 제어할 수 있도록 하려고 합니다.
대화형으로 통합 문서 편집 기존 통합 문서를 수정하는 고급 사용자는 편집기에서 작업 영역 선택기를 사용하여 대상 작업 영역을 선택하는 것으로 기존 통합 문서 내의 쿼리를 편집할 수 있습니다. 고급 사용자가 기존 통합 문서를 쉽게 수정하여 여러 작업 영역에서 작업할 수 있도록 하려고 합니다.

여러 작업 영역에서 헌팅

Microsoft Sentinel은 사용자가 테이블과 쿼리 언어를 시작하고 익숙해질 수 있도록 설계된 미리 로드된 쿼리 샘플을 제공합니다. Microsoft Security 연구원은 지속적으로 새로운 기본 제공 쿼리를 추가하고 기존 쿼리를 미세 조정합니다. 이러한 쿼리를 사용하여 새로운 검색을 찾고 보안 도구가 놓쳤을 수 있는 침입 징후를 식별할 수 있습니다.

작업 영역 간 헌팅 기능을 사용하면, 위협 헌터가 위에 표시된 것처럼 union 연산자와 workspace()식을 사용하여 새로운 헌팅 쿼리를 만들거나 기존 쿼리를 조정하여 여러 작업 영역을 처리하도록 할 수 있습니다.

자동화를 사용하여 여러 작업 영역 관리

여러 Microsoft Sentinel 작업 영역을 구성하고 관리하려면 Microsoft Sentinel 관리 API 사용을 자동화해야 합니다.

Azure Lighthouse를 사용하여 테넌트 간 작업 영역 관리

위에서 언급한 것처럼 많은 시나리오에서 다양한 Microsoft Sentinel 작업 영역은 다양한 Microsoft Entra 테넌트에 위치할 수 있습니다. Azure Lighthouse를 사용하여 모든 작업 영역 간 활동을 테넌트 경계에 걸쳐 확장하면 관리 테넌트의 사용자가 모든 테넌트의 Microsoft Sentinel 작업 영역에서 작업할 수 있습니다.

Azure Lighthouse가 온보딩되면 Azure Portal에서 디렉터리 + 구독 선택기를 사용하여 관리하려는 작업 영역이 포함된 모든 구독을 선택하여 포털의 다른 작업 영역 선택기에서 사용할 수 있도록 합니다.

Azure Lighthouse를 사용하는 경우 각 Microsoft Sentinel 역할의 그룹을 만들고 각 테넌트의 권한을 해당 그룹에 위임하는 것이 좋습니다.

다음 단계

이 문서에서는 Microsoft Sentinel의 기능을 여러 작업 영역 및 테넌트로 확장하는 방법을 알아보았습니다. Microsoft Sentinel의 작업 영역 간 아키텍처를 구현하는 방법에 대한 실용적인 지침은 다음 문서를 참조하세요.