Microsoft Sentinel의 감사 및 상태 모니터링

  • 아티클

Microsoft Sentinel은 조직의 기술 및 정보 자산의 보안을 발전시키고 보호하기 위한 중요한 서비스이므로 항상 원활하고 간섭 없이 실행되고 있음을 확신할 수 있습니다. 서비스의 많은 이동 부분이 항상 의도한 대로 작동하고 서비스가 내부 사용자든 다른 사용자든 상관없이 권한 없는 작업에 의해 조작되지 않는지 확인할 수 있습니다. 응답하거나 응답을 승인할 수 있는 관련 이해 관계자에게 전송되는 상태 드리프트 또는 권한 없는 작업에 대한 알림을 구성할 수도 있습니다. 예를 들어 운영 팀, 관리자 또는 책임자에게 이메일 또는 Microsoft Teams 메시지 전송을 트리거하는 조건을 설정하고 티켓 시스템에서 새 티켓을 시작하는 등의 작업을 수행할 수 있습니다.

이 문서에서는 Microsoft Sentinel의 상태 모니터링 및 감사 기능을 통해 서비스의 주요 리소스 중 일부의 활동을 모니터링하고 서비스 내의 사용자 작업 로그를 검사하는 방법을 설명합니다.

설명

이 섹션에서는 상태 모니터링 및 감사 구성 요소의 함수와 사용 사례에 대해 설명합니다.

데이터 저장소

상태 및 감사 데이터는 Log Analytics 작업 영역의 두 테이블에서 수집됩니다.

  • 상태 데이터는 SentinelHealth 테이블에서 수집됩니다.
  • 감사 데이터는 SentinelAudit 테이블에서 수집됩니다.

이 데이터를 사용하는 일반적인 방법은 이러한 테이블을 쿼리하는 것입니다.

최상의 결과를 위해서는 테이블을 직접 쿼리하는 대신 이러한 테이블인 _SentinelHealth()_SentinelAudit()에서 미리 빌드된 함수에 대한 쿼리를 빌드해야 합니다. 이러한 함수는 테이블 자체의 스키마가 변경되는 경우 쿼리의 이전 버전과의 호환성을 유지 관리합니다.

Important

  • SentinelHealthSentinelAudit 데이터 테이블은 현재 미리 보기로 제공됩니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

  • 플레이북의 상태를 모니터링할 때 플레이북 활동의 전체 상황을 파악하려면 SentinelHealth 데이터 외에도 플레이북에서 Azure Logic Apps 진단 이벤트를 캡처해야 합니다. Azure Logic Apps 진단 데이터는 작업 영역의 AzureDiagnostics 테이블에서 수집됩니다.

사용 사례

상태

데이터 커넥터가 올바르게 실행되고 있나요?

데이터 커넥터가 데이터를 수신하고 있나요? 예를 들어 5분마다 쿼리를 실행하도록 Microsoft Sentinel에 지시한 경우 해당 쿼리가 수행되고 있는지 여부, 수행 방법 및 쿼리와 관련된 위험 또는 취약성이 있는지를 확인하려고 합니다.

자동화 규칙이 예상대로 실행되었나요?

자동화 규칙이 실행되어야 할 때(즉, 조건이 충족되었을 때) 실행되었나요? 자동화 규칙의 모든 작업이 성공적으로 실행되었나요?

분석 규칙이 예상대로 실행되었나요?

분석 규칙이 예상대로 실행되었고 결과를 생성했나요? 큐에 특정 인시던트가 표시되기를 예상했지만 그렇지 않은 경우 규칙이 실행되었지만 아무것도(또는 충분한 항목) 찾지 못했거나 전혀 실행되지 않았는지 여부를 확인하려고 합니다.

Audit

분석 규칙이 무단으로 변경되었나요?

규칙에서 변경된 사항이 있나요? 분석 규칙에서 예상한 결과를 얻지 못했고 상태 문제도 없었습니다. 규칙에 계획되지 않은 변경 내용이 있는지 확인하고, 변경된 경우 변경된 내용, 대상, 위치 및 시기를 확인하려고 합니다.

Microsoft Sentinel이 상태 및 감사 데이터를 제공하는 방법

상태 및 감사 데이터 수집을 시작하려면 Microsoft Sentinel 설정에서 상태 및 감사 모니터링을 사용하도록 설정해야 합니다. 그러면 Microsoft Sentinel에서 수집하는 상태 및 감사 데이터를 자세히 살펴볼 수 있습니다.

다음 단계

참고 항목: