Microsoft Sentinel이란?

Microsoft Sentinel은 다음을 제공하는 확장 가능한 클라우드 네이티브 솔루션입니다.

  • SIEM(보안 정보 및 이벤트 관리)
  • SOAR(보안 오케스트레이션, 자동화 및 응답)

Microsoft Sentinel은 기업 전체에 지능형 보안 분석 및 위협 인텔리전스를 제공합니다. Microsoft Sentinel을 사용하면 공격 검색, 위협 표시 유형, 자동 관리 헌팅 및 위협 응답을 위한 단일 솔루션을 얻을 수 있습니다.

Microsoft Sentinel은 점점 더 정교해지는 공격, 점점 늘어나는 경고의 양과 긴 해결 기간이라는 문제를 완화하기 위해 엔터프라이즈 전체를 폭넓은 시각으로 모니터링합니다.

참고

Microsoft Sentinel은 Azure Monitor 변조 방지 및 불변성 사례를 상속합니다. Azure Monitor는 추가 전용 데이터 플랫폼이지만 규정 준수를 위해 데이터를 삭제하는 프로비저닝을 포함합니다.

  • 온-프레미스와 여러 클라우드의 모든 사용자, 디바이스, 애플리케이션 및 인프라에서 클라우드 규모로 데이터를 수집합니다.

  • Microsoft의 분석 및 업계 최고의 위협 인텔리전스를 사용하여 이전에 미검사된 위협을 탐지하고 가양성을 최소화합니다.

  • Microsoft의 수년 간의 사이버 보안 성과물을 활용하여 인공 지능을 통해 위협을 조사하고 대규모로 의심스러운 활동을 헌팅합니다.

  • 일반 작업의 기본 제공 오케스트레이션 및 자동화로 빠르게 인시던트에 대응합니다.

Microsoft Sentinel은 기본적으로 Log Analytics 및 Logic Apps와 같은 입증된 Azure 서비스를 통합합니다. Microsoft Sentinel은 AI로 조사 및 검색을 보강합니다. Microsoft의 위협 인텔리전스 스트림을 제공하고 자체 위협 인텔리전스를 가져올 수 있습니다.

참고

이 서비스는 서비스 공급자가 자체 테넌트에 로그인하여 고객이 위임한 구독과 리소스 그룹을 관리할 수 있도록 하는 Azure Lighthouse를 지원합니다.

데이터 커넥터를 사용하여 데이터 수집

Microsoft Sentinel을 온보딩하려면 먼저 데이터 원본에 연결해야 합니다.

Microsoft Sentinel은 즉시 사용 가능하고 실시간 통합을 제공하는 Microsoft 솔루션용 커넥터와 함께 제공됩니다. 이러한 커넥터 중 일부는 다음과 같습니다.

  • Microsoft 365 Defender, 클라우드용 Microsoft Defender, Office 365, IoT용 Microsoft Defender 등과 같은 Microsoft 원본.
  • Azure Active Directory, Azure Activity, Azure Storage, Azure Key Vault, Azure Kubernetes Service 등과 같은 Azure 서비스 원본.

Microsoft Sentinel에는 타사 솔루션을 위한 광범위한 보안 및 애플리케이션 에코시스템에 대한 기본 제공 커넥터가 있습니다. 일반적인 이벤트 형식, Syslog 또는 REST API를 사용하여 Microsoft Sentinel에 데이터 원본을 연결할 수도 있습니다.

자세한 내용은 데이터 커넥터 찾기를 참조하세요.

사용 가능한 커넥터 목록을 표시하는 Microsoft Sentinel의 데이터 커넥터 페이지 스크린샷

통합 문서를 사용하여 대화형 보고서 만들기

Microsoft Sentinel에 온보딩한 후 Azure Monitor 통합 문서와의 통합을 사용하여 데이터를 모니터링합니다.

통합 문서는 Azure Monitor와 Microsoft Sentinel에서 다르게 표시됩니다. 그러나 Azure Monitor에서 통합 문서를 만드는 방법을 확인하는 것이 유용할 수 있습니다. Microsoft Sentinel을 사용하면 데이터 전반에 걸쳐 사용자 지정 통합 문서를 만들 수 있습니다. Microsoft Sentinel에는 데이터 원본에 연결하는 즉시 데이터 전체에서 신속하게 인사이트를 얻을 수 있는 기본 제공 통합 문서 템플릿도 함께 제공됩니다.

사용 가능한 통합 문서 목록이 있는 Microsoft Sentinel의 통합 문서 페이지 스크린샷

통합 문서는 모든 계층의 SOC 엔지니어와 분석가가 데이터를 시각화하기 위한 것입니다.

통합 문서는 Microsoft Sentinel 데이터의 상위 수준 보기에 가장 적합하며 코딩 지식이 필요하지 않습니다. 그러나 통합 문서를 외부 데이터와 통합할 수는 없습니다.

분석 규칙을 사용하여 경고를 인시던트와 연관시킵니다.

노이즈를 줄이고 검토 및 조사해야 하는 경고의 수를 최소화하기 위해 Microsoft Sentinel은 분석을 통해 경고와 인시던트 간 상관 관계를 파악합니다. 인시던트는 조사하고 해결할 수 있는 실행 가능한 위협을 나타내는 데 사용되는 관련 경고 그룹입니다. 기본 제공 상관 관계 규칙을 있는 그대로 사용하거나, 이러한 규칙을 토대로 사용자 고유의 규칙을 구축할 수 있습니다. 또한 Microsoft Sentinel은 네트워크 동작을 매핑한 후 리소스의 오류를 찾아내는 기계 학습 규칙을 제공합니다. 이러한 분석 과정에서 여러 다른 엔터티에 대한 충실도가 낮은 경고와 충실도가 높은 보안 인시던트를 결합합니다.

미해결 인시던트 목록이 있는 Microsoft Sentinel의 인시던트 페이지 스크린샷

플레이북을 사용하여 일반적인 작업 자동화 및 조정

일반적인 작업을 자동화하고, Azure 서비스 및 기준 도구와 통합되는 플레이 북을 사용하여 보안 오케스트레이션 간소화합니다.

Microsoft Sentinel의 자동화 및 오케스트레이션 솔루션은 새로운 기술과 위협이 등장할 때 확장 가능한 자동화를 가능하게 하는 고도로 확장 가능한 아키텍처를 제공합니다. Azure Logic Apps를 사용하여 플레이 북을 빌드하려는 경우 점점 더 커지는 기본 제공 플레이 북 갤러리 중에서 선택할 수 있습니다. 여기에는 Azure Functions와 같은 서비스를 위한 200개 이상의 커넥터가 포함됩니다. 커넥터를 사용하면 다음과 같은 코드에 사용자 지정 논리를 적용할 수 있습니다.

  • ServiceNow
  • Jira
  • Zendesk
  • HTTP 요청
  • Microsoft Teams
  • Slack
  • Azure Active Directory
  • 엔드포인트에 대한 Microsoft Defender
  • Microsoft Defender for Cloud Apps

예를 들어 ServiceNow 티켓팅 시스템을 사용하는 경우 Azure Logic Apps를 사용하여 워크플로를 자동화하고 특정 경고 또는 인시던트가 생성될 때마다 ServiceNow에서 티켓을 엽니다.

인시던트가 다른 작업을 트리거할 수 있는 Azure Logic Apps의 자동화된 워크플로 예 스크린샷

플레이북은 모든 계층의 SOC 엔지니어와 분석가가 데이터 수집, 보강, 조사 및 수정을 포함한 작업을 자동화하고 간소화하기 위한 것입니다.

플레이북은 반복 가능한 단일 작업에서 가장 잘 작동하며 코딩 지식이 필요하지 않습니다. 플레이북은 임시 또는 복잡한 작업 체인에 적합하지 않거나 증거를 문서화하고 공유하는 데 적합하지 않습니다.

보안 위협의 범위 및 근본 원인 조사

Microsoft Sentinel 심층 조사 도구는 잠재적 보안 위협의 범위를 이해하고 근본 원인을 찾는 데 도움이 됩니다. 대화형 그래프에서 엔터티를 선택하여 특정 엔터티에 대해 흥미로운 질문을 하고, 해당 엔터티 및 연결을 드릴다운하여 위협의 근본 원인을 파악할 수 있습니다.

대화형 그래프에서 개체와 연결된 개체를 보여 주는 인시던트 조사 스크린샷

기본 제공 쿼리를 사용하여 보안 위협 추적

경고가 트리거되기 전에 조직의 데이터 원본에 대한 보안 위협을 미리 찾아낼 수 있도록 하는 MITRE 프레임워크를 기준으로 하는 Microsoft Sentinel의 강력한 검색 및 쿼리 도구를 사용하세요. 헌팅 쿼리를 기반으로 사용자 지정 쿼리 규칙을 만듭니다. 그런 다음 이러한 인사이트를 보안 인시던트 대응 담당자에게 경고로 표시합니다.

헌팅하는 동안 책갈피를 만들어 나중에 흥미로운 이벤트로 돌아갑니다. 책갈피를 사용하여 다른 사람과 이벤트를 공유합니다. 또는 이벤트를 다른 관련 이벤트와 그룹화하여 조사를 위한 매력적인 인시던트를 만듭니다.

사용 가능한 쿼리 목록을 보여 주는 Microsoft Sentinel의 헌팅 페이지 스크린샷

Notebooks로 위협 헌팅 강화

Microsoft Sentinel은 기계 학습, 시각화 및 데이터 분석을 위한 전체 라이브러리를 포함하여 Azure Machine Learning 작업 영역에서 Jupyter Notebook을 지원합니다.

Microsoft Sentinel에서 Notebook을 통해 Microsoft Sentinel 데이터를 사용하여 수행할 수 있는 작업의 범위를 확장합니다. 다음은 그 예입니다.

  • 일부 Python 기계 학습 기능과 같이 Microsoft Sentinel에 기본 제공되지 않는 분석을 수행합니다.
  • 사용자 지정 타임라인 및 프로세스 트리와 같이 Microsoft Sentinel에 기본 제공되지 않는 데이터 시각화를 만듭니다.
  • Microsoft Sentinel 외부의 데이터 원본(예: 온-프레미스 데이터 세트)을 통합합니다.

Azure Machine Learning 작업 영역의 Sentinel Notebook 스크린샷

Notebooks는 위협 헌터 또는 계층 2-3 분석가, 인시던트 조사관, 데이터 과학자 및 보안 연구원을 대상으로 합니다. 학습 곡선이 높고 코딩 지식이 필요합니다. 자동화 지원이 제한되어 있습니다.

Microsoft Sentinel의 Notebooks는 다음을 제공합니다.

  • Microsoft Sentinel 및 외부 데이터 모두에 대한 쿼리
  • 데이터 보강, 조사, 시각화, 헌팅, 기계 학습 및 빅 데이터 분석을 위한 기능

Notebooks는 다음에 가장 적합합니다.

  • 반복 가능한 작업의 더 복잡한 체인
  • 임시 절차 제어
  • 기계 학습 및 사용자 지정 분석

Notebooks는 데이터 조작 및 시각화를 위한 풍부한 Python 라이브러리를 지원합니다. 분석 증거를 문서화하고 공유하는 데 유용합니다.

커뮤니티에서 보안 콘텐츠 다운로드

Microsoft Sentinel 커뮤니티는 위협 탐지 및 자동화를 위한 강력한 리소스입니다. Microsoft Security 분석가는 새 통합 문서, 플레이북, 검색 쿼리 등을 만들고 추가합니다. 사용자 환경에서 사용할 수 있도록 이러한 콘텐츠 항목을 커뮤니티에 게시합니다. 프라이빗 커뮤니티 GitHub 리포지토리에서 샘플 콘텐츠를 다운로드하여 Microsoft Sentinel용 사용자 지정 통합 문서, 헌팅 쿼리, 노트 및 플레이북을 만듭니다.

헌팅 쿼리, 파서, 플레이북과 같은 다운로드 가능한 콘텐츠가 포함된 Microsoft Sentinel용 GitHub 리포지토리의 스크린샷

다음 단계