Microsoft Sentinel로의 마이그레이션 계획
SOC(보안 운영 센터) 팀은 중앙 집중식 SIEM(보안 정보 및 이벤트 관리) 및 SOAR(보안 오케스트레이션, 자동화 및 대응) 솔루션을 사용하여 점점 더 분산되는 디지털 자산을 보호합니다. 레거시 SIEM은 온-프레미스 자산의 적절한 적용 범위를 유지할 수 있지만 온-프레미스 아키텍처는 Azure, Microsoft 365, AWS 또는 GCP(Google Cloud Platform)과 같은 클라우드 자산에 대한 적용 범위가 충분하지 않을 수 있습니다. 반면, Microsoft Sentinel은 온-프레미스 자산과 클라우드 자산 모두에서 데이터를 수집하여 전체 자산에 대한 적용 범위를 보장할 수 있습니다.
이 문서에서는 레거시 SIEM에서 마이그레이션하는 이유를 설명하고 마이그레이션의 여러 단계를 계획하는 방법을 설명합니다.
마이그레이션 단계
이 가이드에서는 레거시 SIEM을 Microsoft Sentinel로 마이그레이션하는 방법을 알아봅니다. 이 일련의 문서를 통해 마이그레이션 프로세스를 따릅니다. 여기에서 프로세스의 여러 단계를 탐색하는 방법을 알아봅니다.
참고 항목
단계별 마이그레이션 프로세스의 경우 Microsoft Sentinel 마이그레이션 및 현대화 프로그램에 참여합니다. 이 프로그램을 사용하면 모든 단계에서 모범 사례 지침, 리소스 및 전문가 지원을 포함한 마이그레이션을 단순화하고 가속화할 수 있습니다. 자세히 알아보려면 계정 팀에 문의합니다.
| 단계 | 문서 |
|---|---|
| 마이그레이션 계획 | 여기 있습니다. |
| 통합 문서로 마이그레이션 추적 | 통합 문서로 Microsoft Sentinel 마이그레이션 추적 |
| SIEM 마이그레이션 환경 사용 | SIEM 마이그레이션(미리 보기) |
| ArcSight에서 마이그레이션 | • 검색 규칙 마이그레이션 • SOAR 자동화 마이그레이션 • 기록 데이터 내보내기 |
| Splunk에서 마이그레이션 | • 검색 규칙 마이그레이션 • SOAR 자동화 마이그레이션 • 기록 데이터 내보내기 Splunk 가시성 배포를 마이그레이션하려면 Splunk에서 Azure Monitor 로그로 마이그레이션하는 방법에 대해 자세히 알아보세요. |
| QRadar에서 마이그레이션 | • 검색 규칙 마이그레이션 • SOAR 자동화 마이그레이션 • 기록 데이터 내보내기 |
| 기록 데이터 수집 | • 내보낸 기록 데이터를 호스팅할 대상 Azure 플랫폼 선택 • 데이터 수집 도구 선택 • 기록 데이터를 대상 플랫폼으로 수집 |
| 대시보드를 통합 문서로 변환 | 대시보드를 Azure 통합 문서로 변환 |
| SOC 프로세스 업데이트 | SOC 프로세스 업데이트 |
Microsoft Sentinel이란?
Microsoft Sentinel은 스케일링 가능한 클라우드 네이티브, SIEM(보안 정보 및 이벤트 관리) 및 SOAR(보안 오케스트레이션, 자동화 및 응답) 솔루션입니다. Microsoft Sentinel은 기업 전체에 지능형 보안 분석 및 위협 인텔리전스를 제공합니다. Microsoft Sentinel은 공격 검색, 위협 표시 유형, 사전 헌팅 및 위협 대응을 위한 단일 솔루션을 제공합니다. Microsoft Sentinel에 대해 자세히 알아봅니다.
레거시 SIEM에서 마이그레이션하는 이유는 무엇인가요?
SOC 팀은 레거시 SIEM을 관리할 때 다음과 같은 문제에 직면합니다.
- 위협에 대한 느린 대응. 레거시 SIEM은 유지 관리가 어렵고 새로운 위협을 식별하는 데 비효율적인 상관 관계 규칙을 사용합니다. 또한 SOC 분석가는 많은 양의 가양성, 다양한 보안 구성 요소의 많은 경고, 점점 더 많은 양의 로그에 직면하고 있습니다. 이 데이터를 분석하면 환경의 중요한 위협에 대응하려는 SOC 팀의 활동이 느려집니다.
- 크기 조정 과제. 데이터 수집 속도가 증가함에 따라 SOC 팀은 SIEM을 크기 조정해야 하는 과제를 안고 있습니다. SOC 팀은 조직을 보호하는 데 집중하는 대신 인프라 설정 및 유지 관리에 투자해야 하며 스토리지 또는 쿼리 제한에 바인딩되어 있습니다.
- 수동 분석 및 대응. SOC 팀은 대량의 경고를 수동으로 처리하기 위해 고도로 숙련된 분석가가 필요합니다. SOC 팀은 과로하고 새로운 분석가를 찾기가 어렵습니다.
- 복잡하고 비효율적인 관리. SOC 팀은 일반적으로 오케스트레이션 및 인프라를 감독하고, SIEM과 다양한 데이터 원본 간의 연결을 관리하고, 업데이트 및 패치를 수행합니다. 이러한 작업은 종종 중요한 심사 및 분석을 해야 합니다.
클라우드 네이티브 SIEM은 이러한 문제를 해결합니다. Microsoft Sentinel은 자동으로 대규모 데이터를 수집하고, 알려지지 않은 위협을 검색하고, 인공 지능으로 위협을 조사하고, 기본 제공 자동화를 통해 인시던트에 신속하게 대응합니다.
마이그레이션 계획
계획 단계에서 기존 SIEM 구성 요소, 기존 SOC 프로세스를 식별하고 새로운 사용 사례를 디자인하고 계획합니다. 철저한 계획을 통해 Microsoft Azure, AWS 또는 GCP와 같은 클라우드 기반 자산과 Microsoft Office 365와 같은 SaaS 솔루션 모두에 대한 보호를 유지할 수 있습니다.
이 다이어그램은 일반적인 마이그레이션에 포함되는 상위 수준 단계를 설명합니다. 각 단계에는 명확한 목표, 주요 작업, 지정된 결과 및 결과물이 포함됩니다.
이 다이어그램의 단계는 일반적인 마이그레이션 프로시저를 완료하는 방법에 대한 지침입니다. 실제 마이그레이션에는 일부 단계가 포함되지 않거나 더 많은 단계가 포함될 수 있습니다. 전체 단계 집합을 검토하는 대신 이 가이드의 문서에서는 Microsoft Sentinel 마이그레이션에 특히 중요한 특정 작업과 단계를 검토합니다.
고려 사항
각 단계에 대해 이러한 주요 고려 사항을 검토합니다.
| 단계 | 고려 사항 |
|---|---|
| 검색 | 이 단계의 일부로 마이그레이션 우선 순위 및 사용 사례를 식별합니다. |
| 디자인 | Microsoft Sentinel 구현을 위한 세부 디자인 및 아키텍처를 정의합니다. 구현 단계를 시작하기 전에 이 정보를 사용하여 관련자의 승인을 얻습니다. |
| 구현 | 디자인 단계에 따라 Microsoft Sentinel 구성 요소를 구현할 때 전체 인프라를 변환하기 전에 모든 구성 요소를 마이그레이션하는 대신 Microsoft Sentinel 기본 콘텐츠를 사용할 수 있는지 여부를 고려합니다. 여러 사용 사례에 대해 MVP(최소 실행 가능 제품)부터 시작하여 점차적으로 Microsoft Sentinel을 사용할 수 있습니다. 더 많은 사용 사례를 추가함에 따라 이 Microsoft Sentinel 인스턴스를 UAT(사용자 승인 테스트) 환경으로 사용하여 사용 사례의 유효성을 검사할 수 있습니다. |
| 운영 | 기존 분석이 환경이 중단되지 않도록 콘텐츠 및 SOC 프로세스를 마이그레이션합니다. |
마이그레이션 우선 순위 식별
다음 질문을 사용하여 마이그레이션 우선 순위를 고정합니다.
- 비즈니스에서 가장 중요한 인프라 구성 요소, 시스템, 앱 및 데이터는 무엇인가요?
- 마이그레이션의 관련자는 누구인가요? SIEM 마이그레이션은 비즈니스의 많은 영역에 영향을 미칠 수 있습니다.
- 우선 순위를 결정하는 요인은 무엇인가요? 예를 들어, 가장 큰 비즈니스 위험, 규정 준수 요구 사항, 비즈니스 우선 순위 등이 있습니다.
- 마이그레이션 규모와 일정은 어떻게 되나요? 날짜와 마감일에 영향을 미치는 요인. 전체 레거시 시스템을 마이그레이션하고 있나요?
- 필요한 기술이 있나요? 보안 담당자가 마이그레이션에 대한 학습을 받았고 준비가 되었나요?
- 조직에 특정 방해 요소가 있나요? 마이그레이션 계획 및 일정에 영향을 주는 문제가 있나요? 예를 들어, 인력 및 학습 요구 사항, 라이선스 날짜, 긴급 중단, 특정 비즈니스 요구 사항 등과 같은 문제가 있습니다.
마이그레이션을 시작하기 전에 현재 SIEM에서 주요 사용 사례, 검색 규칙, 데이터 및 자동화를 식별합니다. 마이그레이션을 점진적 프로세스로 접근합니다. 먼저 마이그레이션하는 항목, 우선 순위를 낮추는 항목, 실제로 마이그레이션할 필요가 없는 항목에 대해 의도적이고 신중해야 합니다. 팀은 현재 SIEM에서 실행 중인 검색 및 사용 사례가 압도적으로 많을 수 있습니다. 마이그레이션을 시작하기 전에 비즈니스에 적극적으로 유용한 마이그레이션을 결정합니다.
사용 사례 식별
발견 단계를 계획할 때 다음 지침을 사용하여 사용 사례를 식별합니다.
- 위협, 운영 체제, 제품 등으로 현재 사용 사례를 식별하고 분석합니다.
- 범위는 무엇인가요? 모든 사용 사례를 마이그레이션하려고 하나요? 아니면 일부 우선 순위 기준을 사용하려고 하나요?
- 마이그레이션에 가장 중요한 보안 자산을 식별합니다.
- 어떤 사용 사례가 효과적인가요? 좋은 출발점은 지난 1년 동안 어떤 검색이 결과를 산출했는지 살펴보는 것입니다(가양성 대 양성 비율).
- 사용 사례 마이그레이션에 영향을 미치는 비즈니스 우선 순위는 무엇인가요? 사용자의 비즈니스에 가장 큰 위험은 무엇인가요? 어떤 형식의 문제가 사용자의 비즈니스를 가장 위험하게 하나요?
- 사용 사례 특성에 따라 우선 순위를 지정합니다.
- 더 낮고 더 높은 우선 순위를 설정하는 것을 고려합니다. 경고 피드에서 90%의 진양성을 적용하는 검색에 집중하는 것이 좋습니다. 높은 가양성 비율을 유발하는 사용 사례는 비즈니스의 우선 순위가 낮을 수 있습니다.
- 비즈니스 우선 순위 및 효율성 측면에서 규칙 마이그레이션을 정당화하는 사용 사례를 선택합니다.
- 지난 6~12개월 동안 경고를 트리거하지 않은 규칙을 검토합니다.
- 일상적으로 무시하는 낮은 수준의 위협이나 경고를 제거합니다.
- 유효성 검사 프로세스를 준비합니다. 테스트 시나리오를 정의하고 테스트 스크립트를 빌드합니다.
- 사용 사례의 우선 순위를 지정하기 위해 방법론을 적용할 수 있나요? MoSCoW와 같은 방법론에 따라 마이그레이션을 위한 보다 간단한 사용 사례 집합의 우선 순위를 지정할 수 있습니다.
다음 단계
이 문서에서는 마이그레이션을 계획하고 준비하는 방법을 알아보았습니다.