Microsoft Sentinel에서 통합 문서를 사용하여 데이터 시각화 및 모니터링
데이터 원본을 Microsoft Sentinel에 연결한 후 Microsoft Sentinel의 통합 문서를 사용하여 데이터를 시각화하고 모니터링합니다. Microsoft Sentinel 통합 문서는 Azure Monitor 통합 문서를 기반으로 하며, 로그 및 쿼리에 대한 분석이 포함된 테이블 및 차트를 Azure에서 이미 사용할 수 있는 도구에 추가합니다.
Microsoft Sentinel을 사용하면 데이터 전체에서 사용자 지정 통합 문서를 만들거나 패키지된 솔루션 또는 콘텐츠 허브에서 독립 실행형 콘텐츠로 사용할 수 있는 기존 통합 문서 템플릿을 사용할 수 있습니다. 각 통합 문서는 다른 통합 문서와 마찬가지로 Azure 리소스이며 Azure RBAC(역할 기반 액세스 제어)를 사용하여 할당하여 액세스할 수 있는 사람을 정의하고 제한할 수 있습니다.
이 문서에서는 통합 문서를 사용해 Microsoft Sentinel에서 데이터를 시각화하는 방법을 설명합니다.
Important
이제 Microsoft Sentinel이 Microsoft Defender 포털의 Microsoft 통합 보안 운영 플랫폼 내에서 일반 공급됩니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.
필수 조건
Microsoft Sentinel 작업 영역의 리소스 그룹에 대해 최소한 통합 문서 읽기 권한자 또는 통합 문서 기여자 권한이 있어야 합니다.
Microsoft Sentinel에 표시되는 통합 문서는 Microsoft Sentinel 작업 영역의 리소스 그룹 내에 저장되며 만들어진 작업 영역에 의해 태그가 지정됩니다.
통합 문서 템플릿을 사용하려면 통합 문서가 포함된 솔루션을 설치하거나 Content Hub에서 통합 문서를 독립 실행형 항목으로 설치합니다. 자세한 내용은 Microsoft Sentinel 기본 제공 콘텐츠 검색 및 관리를 참조하세요.
템플릿에서 통합 문서 만들기
콘텐츠 허브에서 설치된 템플릿을 사용하여 통합 문서를 만듭니다.
Azure Portal의 Microsoft Sentinel에 대해서는 위협 관리에서 통합 문서를 선택합니다.
Defender 포털의 Microsoft Sentinel에 대해서는 Microsoft Sentinel>위협 관리>통합 문서를 선택합니다.통합 문서로 이동한 다음, 템플릿을 선택하여 설치된 통합 문서 템플릿의 목록을 확인합니다.
연결한 데이터 형식과 관련된 템플릿을 보려면 사용 가능한 각 통합 문서의 필수 데이터 형식 필드를 검토합니다.
템플릿 세부 정보 창에서 저장을 선택하고 템플릿에 대한 JSON 파일을 저장할 위치를 선택합니다. 이 작업을 수행하면 관련 템플릿을 기준으로 Azure 리소스가 생성되고 데이터가 아닌 통합 문서의 JSON 파일이 저장됩니다.
템플릿 세부 정보 창에서 저장된 통합 문서 보기를 선택합니다.
통합 문서 도구 모음에서 편집 단추를 선택하여 필요에 따라 통합 문서를 사용자 지정합니다.
예를 들어 TimeRange 필터를 선택하여 현재 선택 영역과 다른 시간 범위에 대한 데이터를 봅니다. 특정 통합 문서 영역을 편집하려면 편집을 선택하거나 줄임표(...)를 선택하여 요소를 추가하거나 영역을 이동, 복제 또는 제거합니다.
통합 문서를 복제하려면 다른 이름으로 저장을 선택합니다. 동일한 구독 및 리소스 그룹 아래에 다른 이름으로 복제본을 저장합니다. 복제된 통합 문서는 내 통합 문서 탭 아래에 표시됩니다.
선택을 마치면 저장을 선택하여 변경 내용을 저장합니다.
자세한 내용은 다음을 참조하세요.
새 통합 문서 만들기
Microsoft Sentinel에서 처음부터 새로 통합 문서를 만듭니다.
Azure Portal의 Microsoft Sentinel에 대해서는 위협 관리에서 통합 문서를 선택합니다.
Defender 포털의 Microsoft Sentinel에 대해서는 Microsoft Sentinel>위협 관리>통합 문서를 선택합니다.통합 문서 추가를 선택합니다.
통합 문서를 편집하려면 편집을 선택한 다음, 필요에 따라 텍스트, 쿼리 및 매개 변수를 추가합니다. 통합 문서를 사용자 지정하는 방법에 대한 자세한 내용은 Azure Monitor 통합 문서를 사용하여 대화형 보고서를 만드는 방법을 참조하세요.
쿼리를 빌드할 때 데이터 원본을 로그로 설정하고 리소스 종류를 Log Analytics로 설정한 다음, 하나 이상의 작업 영역을 선택합니다.
쿼리는 기본 제공 테이블이 아닌 ASIM(고급 보안 정보 모델) 파서를 사용하는 것이 좋습니다. 그러면 쿼리가 단일 데이터 원본이 아닌 현재 또는 향후의 관련 데이터 원본을 지원하게 됩니다.
통합 문서를 만든 후 통합 문서를 저장하여 Microsoft Sentinel 작업 영역의 구독과 리소스 그룹 아래에 저장합니다.
조직의 다른 사용자가 통합 문서를 사용하도록 하려면 저장 위치에서 공유 보고서를 선택합니다. 이 통합 문서를 사용자만 사용할 수 있도록 하려면 내 보고서를 선택합니다.
작업 영역에서 통합 문서 간에 전환하려면 통합 문서의 도구 모음에서 열기를 선택합니다. 화면이 전환할 수 있는 다른 통합 문서의 목록으로 전환됩니다.
열려는 통합 문서를 선택합니다.
통합 문서에 대한 새 타일 만들기
Microsoft Sentinel 통합 문서에 사용자 지정 타일을 추가하려면 먼저 Log Analytics에서 타일을 만듭니다. 자세한 내용은 Log Analytics에서 시각적 데이터를 참조하세요.
타일을 만든 후 고정을 선택한 다음 타일을 표시할 통합 문서를 선택합니다.
통합 문서 데이터 새로 고침
통합 문서를 새로 고쳐서 업데이트된 데이터를 표시합니다. 도구 모음에서 다음 옵션 중 하나를 선택합니다.
새로 고침 - 통합 문서 데이터를 수동으로 새로 고칩니다.
자동 새로 고침 - 통합 문서를 구성된 간격으로 자동으로 새로 고치도록 설정합니다.
지원되는 자동 새로 고침 간격의 범위는 5분에서 1일사이입니다.
통합 문서를 편집하는 동안 자동 새로 고침이 일시 중지되며, 편집 모드에서 보기 모드로 다시 전환할 때마다 간격이 다시 시작됩니다.
데이터를 수동으로 새로 고치는 경우에도 자동 새로 고침 간격이 다시 시작됩니다.
기본적으로 자동 새로 고침은 꺼져 있습니다. 성능을 최적화하기 위해 통합 문서를 닫을 때마다 자동 새로 고침이 꺼집니다. 이 기능은 백그라운드에서 실행되지 않습니다. 다음에 통합 문서를 열 때 필요에 따라 자동 새로 고침을 다시 켭니다.
통합 문서 인쇄 또는 PDF로 저장
통합 문서를 인쇄하거나 PDF로 저장하려면 통합 문서 제목 오른쪽에 있는 옵션 메뉴를 사용합니다.
옵션 >콘텐츠 인쇄를 선택합니다.
인쇄 화면에서 필요에 따라 인쇄 설정을 조정하거나 PDF로 저장을 선택하여 로컬로 저장합니다.
예시:
통합 문서를 삭제하는 방법
저장된 템플릿 또는 사용자 지정된 통합 문서에 해당하는 저장된 통합 문서를 삭제하려면 삭제하려는 저장된 통합 문서를 선택하고 삭제를 선택합니다. 이 작업을 수행하면 저장된 통합 문서가 제거됩니다. 이렇게 하면 통합 문서 리소스뿐만 아니라 템플릿의 모든 변경 내용도 제거됩니다. 원래 템플릿은 계속 사용할 수 있습니다.
통합 문서 권장 사항
이 섹션에서는 Microsoft Sentinel 통합 문서를 사용하기 위한 기본 권장 사항을 검토합니다.
Microsoft Entra ID 통합 문서 추가
Microsoft Sentinel과 Microsoft Entra ID를 사용하는 경우 Microsoft Sentinel용 Microsoft Entra 솔루션을 설치하고 다음 통합 문서를 사용하는 것이 좋습니다.
- Microsoft Entra 로그인은 시간에 따른 로그인을 분석하여 변칙이 있는지 확인합니다. 이 통합 문서는 애플리케이션, 디바이스, 위치별로 실패한 로그인을 보여주기 때문에 비정상적인 상황이 발생하면 한눈에 알아볼 수 있습니다. 로그인이 여러 번 실패하면 주의하세요.
- Microsoft Entra 감사 로그는 사용자에 대한 변경(추가, 제거 등), 그룹 만들기 및 수정과 같은 관리 활동을 분석합니다.
방화벽 통합 문서 추가
콘텐츠 허브의 적절한 솔루션을 설치하여 방화벽에 대한 통합 문서를 추가하는 것이 좋습니다.
예를 들어 Microsoft Sentinel용 Palo Alto 방화벽 솔루션을 설치하여 Palo Alto 통합 문서를 추가합니다. 이 통합 문서는 방화벽 트래픽을 분석하여 방화벽 데이터와 위협 이벤트 간 상관 관계를 제공하며, 엔터티 전체에서 의심스러운 이벤트를 강조 표시합니다.
다양한 용도로 다른 통합 문서 만들기
가상 사용자의 역할 및 원하는 내용에 따라 통합 문서를 사용하는 각 가상 사용자 유형에 대해 서로 다른 시각화를 만드는 것이 좋습니다. 예를 들어, 네트워크 관리자를 위해 방화벽 데이터를 포함하는 통합 문서를 만들 수 있습니다.
또는 보고 싶은 빈도, 매일 검토하려는 항목이 있는지 여부 및 1시간에 한 번 확인하려는 다른 항목을 기준으로 통합 문서를 만듭니다. 예를 들어 1시간마다 Microsoft Entra 로그인을 확인하여 변칙을 검색할 수 있습니다.
몇 주 간 트래픽 추세를 비교하기 위한 샘플 쿼리
다음 쿼리를 사용하여 몇 주 간 트래픽 추세를 비교하는 시각화를 만듭니다. 환경에 따라 쿼리를 실행하는 디바이스 공급업체 및 데이터 원본을 전환합니다.
다음 샘플 쿼리는 Windows의 SecurityEvent 테이블을 사용합니다. 다른 방화벽의 AzureActivity 또는 CommonSecurityLog 테이블에서 실행되도록 이를 전환할 수 있습니다.
// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)
여러 원본의 데이터가 포함된 샘플 쿼리
여러 원본의 데이터를 통합하는 하나의 쿼리를 만들 수 있습니다. 예를 들어 만든 새 사용자의 Microsoft Entra 감사 로그를 살펴본 다음, Azure 로그를 확하는 쿼리를 만들어 사용자가 생성되고 24시간 이내에 역할 할당 변경을 시작했는지 확인합니다. 이러한 의심스러운 활동은 다음 쿼리를 사용하여 시각화에 표시됩니다.
AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1
관련된 문서
자세한 내용은 다음을 참조하세요.