대시보드를 Azure 통합 문서로 변환

• 적용 대상:

  Microsoft Sentinel in the Azure portal and the Microsoft Defender portal

기존 SIEM(보안 정보 및 이벤트 관리) 솔루션의 대시보드를 Microsoft Sentinel용 Azure 통합문서로 변환합니다. Azure 통합문서는 Microsoft Sentinel용 사용자 지정 대시보드를 만드는 다양한 기능을 제공합니다. 이 문서에서는 현재 대시보드를 검토하고, 계획하고, Azure 통합문서로 마이그레이션하는 방법을 설명합니다.

현재 SIEM에서 대시보드 검토

마이그레이션을 설계할 때 다음 단계를 고려합니다.

• 대시보드를 분석합니다. 디자인, 매개 변수, 데이터 원본 및 기타 세부 정보를 포함하여 대시보드에 대한 정보를 수집합니다. 각 대시보드의 용도 또는 사용 현황을 파악합니다.
• 선택적으로 작업합니다. 생각없이 모든 대시보드를 마이그레이션하지는 마세요. 중요하고 정기적으로 사용되는 대시보드에 집중합니다.
• 권한 고려. 통합 문서의 대상 사용자가 누구인지 고려합니다. Azure 통합문서는 Azure RBAC(Azure 역할 기반 액세스 제어)를 사용합니다. 자세한 내용은 Azure 통합 문서의 컨트롤 평가를 참조하세요. Azure 외부에서 대시보드를 만들려면(예: Azure 액세스가 없는 비즈니스 임원의 경우) Power BI와 같은 보고 도구를 사용합니다.

대시보드 변환 준비

대시보드를 검토한 후 다음 작업을 수행하여 대시보드 마이그레이션을 준비합니다.

• 각 대시보드에서 모든 시각화를 검토합니다. 현재 SIEM의 대시보드에는 여러 차트 또는 패널이 포함될 수 있습니다. 원치 않는 시각화 또는 데이터를 제거하기 위해 나열된 짧은 대시보드의 콘텐츠를 검토하는 것이 중요합니다.

• 대시보드 디자인 및 대화형 작업을 캡처합니다.

• 사용자에게 중요한 디자인 요소를 식별합니다. 예를 들면 대시보드 레이아웃, 차트의 정렬 또는 그래프의 글꼴 크기 또는 색까지도 여기에 해당됩니다.

• 드릴다운, 필터링 및 Azure Monitor 통합 문서로 전달해야 하는 기타 모든 상호 작용 요소를 캡처합니다.

• 필수 매개 변수 또는 사용자 입력을 식별합니다. 대부분의 경우 사용자가 검색, 필터링 또는 결과 범위 지정(예: 날짜 범위, 계정 이름 등)을 수행하기 위한 매개 변수를 정의해야 합니다. 따라서 매개 변수에 대한 세부 정보를 캡처하는 것이 중요합니다. 수집해야 할 몇 가지 주요 매개 변수 요구 사항은 다음과 같습니다.

  • 사용자가 선택 또는 입력을 수행할 매개 변수의 형식. 예를 들어 날짜 범위, 텍스트 등이 여기에 해당합니다.
  • 드롭다운, 텍스트 상자 등과 같은 매개 변수를 나타내는 방법.
  • 예상되는 값 형식에는 시간, 문자열, 정수 등이 있습니다.
  • 기본값과 같은 기타 속성은 다중 선택, 조건부 표시 유형 등을 허용합니다.

대시보드 변환

Azure 통합 문서 및 Microsoft Sentinel에서 다음 작업을 수행하여 대시보드를 변환합니다.

1. 데이터 원본 식별

Azure 통합 문서는 다양한 데이터 원본과 호환됩니다. 자세한 내용은 Azure 통합 문서 데이터 원본을 참조하세요. 대부분의 경우 Azure Monitor 로그 데이터 원본과 KQL(Kusto 쿼리 언어) 쿼리를 사용하여 Microsoft Sentinel 작업 영역에서 기본 로그를 시각화합니다.

2. KQL 쿼리 생성 또는 검토

이 단계에서는 주로 KQL을 사용하여 데이터를 시각화합니다. Azure 통합 문서로 변환하기 전에 Microsoft Sentinel에서 쿼리를 생성하고 테스트할 수 있습니다. Azure Portal의 Microsoft Sentinel에서 쿼리를 테스트하려면 로그로 이동합니다. Defender 포털의 Microsoft Sentinel에서 조사 및 응답>헌팅>고급 헌팅으로 이동합니다.

KQL 쿼리를 완료하기 전에 항상 쿼리를 검토하고 조정하여 쿼리 성능을 향상시킵니다. 최적화된 쿼리는 다음 결과를 제공합니다.

• 실행 속도가 빨라지고 쿼리를 실행하는 전체 시간이 줄어듭니다.
• 제한되거나 거부될 가능성이 줄어듭니다.

자세한 내용은 다음 리소스를 참조하세요.

• KQL 쿼리 모범 사례
• Azure Monitor 로그에서 쿼리 최적화
• KQL 성능 최적화(웨비나)

3. 통합 문서 만들기 또는 업데이트

처음부터 시작할 필요가 없도록 통합 문서를 만들거나, 통합 문서를 업데이트하거나, 기존 통합 문서를 복제합니다. 또한 데이터 또는 시각화를 나타내고, 정렬하고, 그룹화하는 방법을 지정합니다. 두 가지 일반적인 디자인은 다음과 같습니다.

• 수직 통합 문서
• 탭 통합 문서

자세한 내용은 다음 문서를 참조하세요.

• Microsoft Sentinel에서 통합 문서를 사용하여 데이터 시각화 및 모니터링
• Azure 통합 문서에서 그룹 추가

4. 통합 문서 매개 변수 또는 사용자 입력 만들기 또는 업데이트

이 단계에 도달할 때쯤이면 통합 문서에 필요한 매개 변수를 식별했을 것입니다. 매개 변수를 사용하면 소비자로부터 입력을 수집하고 통합 문서의 다른 부분에서 입력을 참조할 수 있습니다. 이 입력은 일반적으로 결과 집합의 범위를 지정하고 올바른 시각화를 설정하는 데 사용되며 대화형 보고서 및 환경을 빌드할 수 있도록 합니다.

통합 문서를 사용하면 매개 변수 컨트롤이 소비자에게 표시되는 방식을 제어할 수 있습니다. 예를 들어 컨트롤을 텍스트 상자와 드롭다운 상자로 표시할지 아니면 단일 선택과 다중 선택으로 표시할지를 선택합니다. 텍스트, JSON, KQL 또는 Azure Resource Graph 등에서 사용할 값을 선택할 수도 있습니다.

지원되는 통합 문서 매개 변수를 검토합니다. 이러한 매개 변수 값은 바인딩이나 값 확장을 통해 통합 문서의 다른 부분에서 참조할 수 있습니다.

5. 시각화 만들기 또는 업데이트

통합 문서는 데이터 시각화를 위한 풍부한 기능 집합을 제공합니다. 다음과 같은 각 시각화 유형의 자세한 예제를 검토합니다.

• Text
• 차트
• 그리드
• 타일
• 트리
• 그래프
• Map
• 벌집
• 복합 막대

6. 통합 문서 미리 보기 및 저장

통합 문서를 저장한 후 매개 변수를 지정하고 결과를 확인합니다. 자동 새로 고침 또는 인쇄 기능을 사용하여 PDF로 저장할 수도 있습니다.

다음 단계

이 문서에서는 대시보드를 Azure 통합 문서로 변환하는 방법을 알아보았습니다.

SOC 프로세스 업데이트