통합 문서로 Microsoft Sentinel 마이그레이션 추적
조직의 SOC(보안 운영 센터)는 증가하는 데이터 양을 처리하므로 배포 상태를 계획하고 모니터링하는 것이 필수적입니다. Microsoft Project, Microsoft Excel, Microsoft Teams 또는 Azure DevOps와 같은 일반 도구를 사용하여 마이그레이션 프로세스를 추적할 수 있지만 이러한 도구는 SIEM(보안 정보 및 이벤트 관리) 마이그레이션 추적과 관련이 없습니다. 추적을 돕기 위해 Microsoft Sentinel 배포 및 마이그레이션이라는 Microsoft Sentinel 전용 통합 문서를 제공합니다.
통합 문서는 다음을 수행하는 데 도움이 됩니다.
- 마이그레이션 진행 상황 시각화
- 데이터 원본 배포 및 추적
- 분석 규칙 및 인시던트 배포 및 모니터링
- 통합 문서 배포 및 활용
- 자동화 배포 및 수행
- 사용자 및 엔터티 동작 분석 배포 및 사용자 지정(U E B A)
이 문서에서는 Microsoft Sentinel 배포 및 마이그레이션 통합 문서로 마이그레이션을 추적하는 방법, 통합 문서를 사용자 지정 및 관리하는 방법, 통합 문서 탭을 사용하여 데이터 커넥터, 분석, 인시던트, 플레이북, 자동화 규칙, U E B A 및 데이터 관리를 배포하고 모니터링하는 방법을 설명합니다. Microsoft Sentinel에서 Azure Monitor 통합 문서를 사용하는 방법에 대해 자세히 알아봅니다.
통합 문서 콘텐츠 배포 및 통합 문서 보기
통합 문서를 얻으려면 먼저 Microsoft Sentinel의 콘텐츠 허브의 독립 실행형 항목을 설치합니다.
Microsoft Sentinel 콘텐츠 허브에서 콘텐츠 유형 = 통합 문서에 나열된 콘텐츠를 필터링한 다음 검색 창에 마이그레이션을 입력합니다.
검색 결과에서 Microsoft Sentinel 배포 및 마이그레이션 통합 문서를 선택하고 설치를 선택합니다. Microsoft Sentinel은 통합 문서를 배포하고 사용자 환경에 통합 문서를 저장합니다.
Microsoft Sentinel의 위협 관리 아래에서 통합 문서>템플릿을 선택합니다.
Microsoft Sentinel 배포 및 마이그레이션 통합 문서를 선택하고 템플릿 봅니다.
관심 목록 배포
다음 단계는 Microsoft Sentinel GitHub 리포지토리에서 관련 관심 목록을 배포하는 것입니다.
- Microsoft Sentinel GitHub 리포지토리에서 DeploymentandMigration 폴더를 선택하고 Azure에 배포를 선택하여 Azure에서 템플릿 배포를 시작합니다.
- Microsoft Sentinel 리소스 그룹 및 작업 영역 이름을 제공합니다.
- 검토 및 만들기를 선택합니다.
- 정보의 유효성을 검사한 후 만들기를 선택합니다.
배포 및 마이그레이션 작업으로 관심 목록 업데이트
이 단계는 추적 설정 프로세스에 중요합니다. 이 단계를 건너뛰면 통합 문서에 추적 항목이 반영되지 않습니다.
배포 및 마이그레이션 작업으로 관심 목록을 업데이트하려면 다음을 수행합니다.
- Azure 또는 Microsoft Defender Portal에서 Microsoft Sentinel을 선택한 다음 관심 목록을 선택합니다.
- 배포 별칭이 있는 관심 목록을 선택합니다.
- 그런 다음 관심 목록 업데이트 > 관심 목록 항목 수정을 선택합니다.
- 배포 및 마이그레이션에 필요한 작업에 대한 정보를 제공합니다.
- 저장을 선택합니다.
이제 마이그레이션 추적기 통합 문서 내에서 관심 목록을 볼 수 있습니다. 관심 목록 관리 방법에 대해 알아봅니다.
또한 팀은 배포 프로세스 중에 작업을 업데이트하거나 완료할 수 있습니다. 이러한 변경 내용을 해결하기 위해 새 사용 사례를 식별하거나 새 요구 사항을 설정할 때 기존 작업을 업데이트하거나 새 작업을 추가할 수 있습니다. 작업을 업데이트하거나 추가하려면 배포 관심 목록을 편집합니다. 프로세스를 간소화하려면 통합 문서에서 배포 관심 목록 편집을 선택하여 통합 문서에서 직접 관심 목록을 엽니다.
배포 상태 보기
배포 진행 상황을 빠르게 보려면 Microsoft Sentinel 배포 및 마이그레이션 통합 문서에서 배포를 선택하고 아래로 스크롤하여 진행 상황 요약을 찾습니다. 이 영역에는 다음 정보를 포함하여 배포 상태가 표시됩니다.
- 데이터 보고 테이블
- 데이터를 보고하는 테이블 수
- 보고된 로그 수 및 로그 데이터를 보고하는 테이블
- 사용하도록 설정된 규칙 수와 배포되지 않은 규칙 수
- 배포된 권장 통합 문서
- 배포된 통합 문서의 총 수
- 배포된 총 플레이북 수
데이터 커넥터 배포 및 모니터링
배포된 리소스를 모니터링하고 새 커넥터를 배포하려면 Microsoft Sentinel 배포 및 마이그레이션 통합 문서에서 데이터 커넥터 > 모니터를 선택합니다. 모니터 보기 목록:
- 현재 수집 추세
- 데이터를 수집하는 테이블
- 각 테이블이 보고하는 데이터의 양
- MMA(Microsoft Monitoring Agent)를 사용한 엔드포인트 보고
- AMA(Azure Monitoring Agent)를 사용한 엔드포인트 보고
- MMA 및 AMA 에이전트 모두를 사용한 엔드포인트 보고
- 리소스 그룹의 데이터 수집 규칙 및 규칙에 연결된 디바이스
- 데이터 커넥터 상태(변경 및 실패)
- 지정된 시간 범위 내의 상태 로그
데이터 커넥터를 구성하려면:
- 구성 보기를 선택합니다.
- 구성하려는 커넥터의 이름이 있는 단추를 선택합니다.
- 열리는 커넥터 상태 화면에서 커넥터를 구성합니다. 필요한 커넥터를 찾을 수 없는 경우 커넥터 이름을 선택하여 커넥터 갤러리 또는 솔루션 갤러리를 엽니다.
분석 및 인시던트 배포 및 모니터링
데이터가 작업 영역에 보고되면 분석 규칙을 구성하고 모니터링합니다. Microsoft Sentinel 배포 및 마이그레이션 통합 문서에서 분석 탭을 선택하여 배포된 모든 규칙 템플릿과 목록을 봅니다. 이 보기는 현재 사용 중인 규칙과 규칙이 인시던트를 생성하는 빈도를 나타냅니다.
더 많은 적용 범위가 필요한 경우 왼쪽 표 아래에서 MITER 적용 범위 검토를 선택합니다. 이 옵션을 사용하여 마이그레이션 프로젝트의 모든 단계에서 더 많은 적용 범위를 받는 영역과 배포되는 규칙을 정의합니다.
분석 규칙을 배포하고 Defender 제품 커넥터가 경고를 보내도록 구성된 경우 배포 > 진행률 요약에서 인시던트 생성 및 빈도를 모니터링합니다. 이 영역에는 SOC의 상태와 가장 주의가 필요한 경고를 나타내기 위해 제품, 제목 및 분류별로 경고 세대와 관련된 메트릭이 표시됩니다. 경고가 너무 많은 양을 생성하는 경우 분석 탭으로 돌아가서 논리를 수정합니다.
통합 문서 배포 및 활용
Microsoft Sentinel이 수행하는 데이터 수집 및 검색에 관한 정보를 시각화하려면 Microsoft Sentinel 배포 및 마이그레이션 통합 문서에서 통합 문서를 선택합니다. 데이터 커넥터 탭과 유사하게 모니터 및 구성 보기를 사용하여 모니터링 및 구성 정보를 볼 수 있습니다.
다음은 통합 문서 탭에서 수행할 몇 가지 유용한 작업입니다.
환경의 모든 통합 문서 목록과 배포된 통합 문서 수를 보려면 모니터링을 선택합니다.
Microsoft Sentinel 배포 및 마이그레이션 통합 문서 내에서 특정 통합 문서를 보려면 통합 문서를 선택한 다음 선택한 통합 문서 열기를 선택합니다.
아직 통합 문서를 배포하지 않은 경우 구성을 선택하여 일반적으로 사용되는 권장 통합 문서 목록을 봅니다. 통합 문서가 목록에 없으면 통합 문서 갤러리로 이동 또는 콘텐츠 허브로 이동을 선택하여 관련 통합 문서를 배포합니다.
플레이북 및 자동화 규칙 배포 및 모니터링
데이터 수집, 검색 및 시각화를 구성하고 나면 이제 자동화를 살펴볼 수 있습니다. Microsoft Sentinel 배포 및 마이그레이션 통합 문서에서 자동화를 선택하여 배포된 플레이북을 보고 현재 자동화 규칙에 연결된 플레이북을 확인합니다. 자동화 규칙이 있는 경우 통합 문서는 각 규칙에 대한 다음 정보를 강조 표시합니다.
- 이름
- 상태
- 규칙의 작업
- 규칙이 수정된 마지막 날짜 및 규칙을 수정한 사용자
- 규칙이 만들어진 날짜
통합 문서의 현재 섹션 내에서 자동화를 보고, 배포하고, 테스트하려면 왼쪽 하단에서 자동화 리소스 배포를 선택합니다.
플레이북 및 자동화 규칙용 Microsoft Sentinel SOAR 기능에 대해 알아봅니다.
U E B A 배포 및 모니터링
데이터 보고 및 검색은 엔터티 수준에서 발생하므로 엔터티 동작 및 추세를 모니터링하는 것이 중요합니다. Microsoft Sentinel 내에서 U E B A 기능을 사용하도록 설정하려면 Microsoft Sentinel 배포 및 마이그레이션 통합 문서에서 UEBA를 선택합니다. 여기에서 엔터티 페이지의 엔터티 타임라인을 사용자 지정하고 데이터로 채워진 엔터티 관련 테이블을 볼 수 있습니다.
U E B A를 사용하도록 설정하려면:
- 테이블 목록 위에서 UEBA 사용을 선택합니다.
- U E B A를 사용하도록 설정하려면 켜기를 선택합니다.
- 인사이트를 생성하는 데 사용할 데이터 원본을 선택합니다.
- 적용을 선택합니다.
U E B A를 사용하도록 설정한 후에는 Microsoft Sentinel이 U E B A 데이터를 생성하고 있는지 모니터링하고 확인할 수 있습니다.
타임라인을 사용자 지정하려면:
- 표 목록 위에 있는 엔터티 타임라인 사용자 지정을 선택합니다.
- 사용자 지정 항목을 만들거나 기본 템플릿 중 하나를 선택합니다.
- 템플릿을 배포하고 마법사를 완료하려면 만들기를 선택합니다.
U E B A에 대해 자세히 알아보거나 타임라인을 사용자 지정하는 방법을 알아봅니다.
데이터 수명 주기 구성 및 관리
Microsoft Sentinel을 배포하거나 마이그레이션할 때 수신 로그의 사용 및 수명 주기를 관리하는 것이 중요합니다. Microsoft Sentinel 배포 및 마이그레이션 통합 문서에서 데이터 관리를 선택하여 테이블 보존 및 보관을 보고 구성합니다.
관련 정보 보기:
- 기본 로그 수집을 위해 구성된 테이블
- 분석 계층 수집을 위해 구성된 테이블
- 보관되도록 구성된 테이블
- 기본 작업 영역 보존에 대한 테이블
테이블에 대한 기존 보존 정책을 수정하려면:
- 기본 보존 테이블 보기를 선택합니다.
- 수정할 테이블을 선택하고 업데이트 보존을 선택합니다. 필요에 따라 다음 정보 편집:
- 작업 영역의 현재 보존
- 보관의 현재 보존
- 데이터가 환경에 보관되는 총 일수
- TotalRetention 값을 편집하여 데이터가 환경 내에 존재해야 하는 새로운 총 일수를 설정합니다.
ArchiveRetention 값은 InteractiveRetention 값에서 TotalRetention 값을 빼서 계산합니다. 작업 영역 보존을 조정해야 하는 경우 변경 내용은 구성된 보관을 포함하는 테이블에 영향을 미치지 않으며 데이터가 손실되지 않습니다. InteractiveRetention 값을 편집하고 TotalRetention 값이 변경되지 않으면 Azure Log Analytics는 보관 보존을 조정하여 변경 내용을 보상합니다.
UI에서 변경하려는 경우 UI에서 보존 업데이트를 선택하여 관련 페이지를 엽니다.
데이터 수명 주기 관리에 대해 알아봅니다.
마이그레이션 팁 및 지침 사용
배포 및 마이그레이션 프로세스를 지원하기 위해 통합 문서에는 다양한 탭을 사용하는 방법을 설명하는 팁과 관련 리소스에 대한 링크가 포함되어 있습니다. 팁은 Microsoft Sentinel 마이그레이션 설명서를 기반으로 하며 현재 SIEM과 관련이 있습니다. 도움말 및 지침을 사용하려면 Microsoft Sentinel 배포 및 마이그레이션 통합 문서에서 오른쪽 위에 있는 MigrationTips 및 지침을 예로 설정합니다.
다음 단계
이 문서에서는 Microsoft Sentinel 배포 및 마이그레이션 통합 문서를 사용하여 마이그레이션을 추적하는 방법을 알아보았습니다.