이 문서에서는 Microsoft Sentinel 솔루션의 다양한 구성 요소와 이러한 구성 요소가 함께 작동하여 중요한 고객 시나리오를 해결하는 방법에 대해 설명합니다.
Sentinel 플랫폼에는 고객이 비용 효율적인 방식으로 보안 데이터를 중앙 집중화하고 분석할 수 있도록 데이터 레이크, 그래프, Jupyter Notebook 작업, MCP(모델 컨텍스트 프로토콜) 서버 및 300개 이상의 Sentinel 커넥터의 데이터가 포함되어 있습니다. 이러한 기능과 Microsoft Security Copilot를 사용하면 고객과 파트너가 Microsoft Security Store를 통해 게시할 수 있는 영향력 있는 솔루션을 만들 수 있습니다.
Sentinel SIEM은 SOC(보안 운영) 팀에서 탐지를 생성하고 악의적인 동작을 조사하며 위협을 수정하는 데 사용됩니다. 새 데이터를 가져오는 Sentinel 커넥터를 만들고 분석 규칙, 플레이북, 헌팅 쿼리, 파서 및 통합 문서와 같은 콘텐츠를 만들면 파트너가 SOC 팀이 위협을 식별하고 적절하게 대응하는 데 필요한 정보를 얻을 수 있습니다. Sentinel SIEM 솔루션은 Sentinel의 콘텐츠 허브를 통해 게시됩니다.
데이터 수집
플랫폼 구성 요소를 사용하는 솔루션을 빌드하든 Sentinel SIEM 통합을 대상으로 하든 시나리오에 적합한 데이터를 사용하는 것이 중요합니다.
Sentinel 커넥터가 데이터를 Sentinel로 가져온 후 Jupyter Notebook 및 작업을 사용하여 레이크에서 분석하거나 분석 규칙 및 헌팅 쿼리와 같은 Sentinel SIEM 콘텐츠로 처리할 수 있습니다.
해당 데이터에는 다음 형식이 포함될 수 있습니다.
| Type | 설명 |
|---|---|
| 처리되지 않은 데이터 | 검색 및 헌팅 프로세스를 지원합니다. 악의적인 작업의 징후가 있을 수 있는 원시 작동 데이터를 분석합니다. 처리되지 않은 데이터를 Microsoft Sentinel로 가져와 Microsoft Sentinel의 기본 제공 헌팅 및 검색 기능을 사용하여 새로운 위협 등을 식별합니다. 예: Syslog 데이터, Syslog를 통한 CEF 데이터, 애플리케이션, 방화벽, 인증 또는 액세스 로그 등. |
| 보안 결론 | 경고 표시 유형과 상관 관계에 대한 기회를 만듭니다. 경고 및 검색은 위협에 대해 이미 내린 결론입니다. Microsoft Sentinel 조사에서 볼 수 있는 모든 작업 및 기타 검색과 관련하여 검색을 배치하면 분석가의 시간을 절약하고 인시던트에 대한 보다 완전한 그림을 만들어 우선 순위를 지정하고 더 나은 결정을 내릴 수 있습니다. 예: 맬웨어 방지 경고, 의심스러운 프로세스, 알려진 잘못된 호스트와의 통신, 차단된 네트워크 트래픽 및 이유, 의심스러운 로그온, 검색된 암호 스프레이 공격, 식별된 피싱 공격, 데이터 반출 이벤트 등. |
| 참조 데이터 | 참조된 환경으로 컨텍스트를 빌드하여 조사 활동을 절약하고 효율성을 높입니다. 예: CMDB, 고부가가치 자산 데이터베이스, 애플리케이션 종속성 데이터베이스, IP 할당 로그, 보강을 위한 위협 인텔리전스 컬렉션 등. |
| 위협 인텔리전스 | 알려진 위협의 지표를 제공하여 위협 검색을 강화합니다. 위협 인텔리전스에는 즉각적인 위협을 나타내는 현재 지표 또는 향후 예방을 위해 보관되는 과거 지표가 포함될 수 있습니다. 과거 데이터 집합은 종종 크기가 크며 Microsoft Sentinel로 직접 가져오는 대신 임시로 참조하는 것이 가장 좋습니다. |
파서
파서는 타사 제품에서 정규화된 ASIM 스키마로 사용자 지정 데이터를 변환하는 KQL 함수입니다. 정규화를 통해 SOC 분석가는 새 스키마에 대한 세부 정보를 학습할 필요가 없으며, 대신 이미 익숙한 정규화된 스키마에 대한 분석 규칙 및 헌팅 쿼리를 작성할 수 있습니다. Microsoft Sentinel에서 제공하는 사용 가능한 ASIM 스키마를 검토하여 데이터에 대한 관련 ASIM 스키마(하나 이상)를 식별하여 SOC 분석가를 위해 더 쉽게 온보딩하고 ASIM 스키마용으로 작성된 기존 보안 콘텐츠가 제품 데이터에 기본적으로 적용되도록 합니다. 사용 가능한 ASIM 스키마에 대한 자세한 내용은 ASIM(Advanced Security Information Model) 스키마를 참조하세요.
시각화
고객이 데이터를 관리하고 이해할 수 있도록 Microsoft Sentinel로 데이터가 얼마나 잘 들어오고 감지에 얼마나 효과적으로 기여하는지를 시각적으로 보여주는 그래픽 뷰를 포함할 수 있습니다.
고객이 데이터를 관리하고 이해하는 데 도움이 되는 시각화를 포함할 수 있습니다. Microsoft Sentinel로 데이터가 얼마나 잘 흐르는지와 검색에 얼마나 효과적으로 기여하는지를 보여주는 그래픽 보기를 포함합니다.
모니터링 및 탐지
Sentinel의 모니터링 및 검색 기능은 고객이 SOC 팀의 전문 지식을 확장하는 데 도움이 되는 자동화된 검색을 만듭니다.
다음 섹션에서는 솔루션에 포함할 수 있는 모니터링 및 검색 요소에 대해 설명합니다.
보안 코파일럿 에이전트
보안 부조종사 에이전트는 반복적인 작업을 자동화하고 수동 워크로드를 줄입니다. 클라우드, 데이터 보안 및 개인 정보 보호, ID 및 네트워크 보안 전반에 걸쳐 보안과 IT 운영을 강화합니다. Sentinel의 경우 에이전트는 SIEM 또는 데이터 레이크를 쿼리하고 API를 호출하여 Microsoft Sentinel 데이터를 보강할 수 있습니다. 집약적인 데이터 처리 또는 분석을 위해 Notebook 작업을 활용하고 여러 플러그 인을 활용할 수 있습니다.
Jupyter Notebook 작업
Jupyter Notebook 작업은 Sentinel Data Lake에서 Spark 작업을 사용하여 복잡한 데이터 변환을 수행하고 기계 학습 모델을 실행하기 위한 강력한 도구를 제공합니다. 보안 코필로트 에이전트가 데이터 분석 및 요약을 수행하고 지속적으로 실행하는 결정적이고 효율적인 방법을 제공하는 데 사용할 수 있습니다. Notebook 작업은 에이전트, 워크북, 헌팅 쿼리 등과 같은 다운스트림 구성 요소에서 사용할 분석 계층 및 데이터 레이크에 사용자 지정 데이터 테이블을 작성할 수 있습니다.
Analytics 규칙
분석 규칙들은 정확하고 의미 있는 경고를 만들 수 있는 정교한 탐지입니다.
고객이 Microsoft Sentinel의 시스템에서 데이터를 활용할 수 있도록 솔루션에 분석 규칙을 추가합니다. 예를 들어 분석 규칙은 통합에서 제공하는 데이터에서 검색할 수 있는 작업에 대한 전문 지식과 인사이트를 제공하는 데 도움이 될 수 있습니다.
경고(주목할 만한 이벤트), 인시던트(조사 단위) 또는 자동화 플레이북을 트리거할 수 있습니다.
솔루션에 포함하고 Microsoft Sentinel ThreatHunters 커뮤니티를 통해 분석 규칙을 추가할 수 있습니다. 커뮤니티를 통해 기여하여 파트너 원본 데이터에 대한 커뮤니티 창의성을 장려하여 고객이 보다 안정적이고 효과적인 검색을 할 수 있도록 돕습니다.
헌팅 쿼리
헌팅 쿼리를 사용하면 SOC 분석가가 현재 예약된 분석 규칙에 의해 감지되지 않는 새로운 이상 현상을 예방적으로 찾을 수 있습니다. 헌팅 쿼리는 SOC 분석가가 Microsoft Sentinel에서 이미 사용할 수 있는 데이터에서 문제를 찾고 잠재적인 위협 시나리오를 식별하는 데 도움이 되는 올바른 질문을 하도록 안내합니다. 헌팅 쿼리를 포함하면 고객이 제공하는 데이터에서 알 수 없는 위협을 찾을 수 있습니다.
워크북
통합 문서는 사용자가 보안 데이터를 시각화하고 데이터 내의 패턴을 식별하는 데 도움이 되는 대화형 보고서 및 대시보드를 제공합니다. 통합 문서의 필요성은 특정 사용 사례에 따라 달라집니다. 솔루션을 디자인할 때 시각적으로 가장 잘 설명될 수 있는 시나리오, 특히 성능을 추적하는 시나리오를 생각해 보세요.
조사
Sentinel 조사 그래프는 조사자에게 필요할 때 관련 데이터를 제공하여 연결된 엔터티를 통한 보안 인시던트 및 경고에 대한 가시성을 제공합니다. 조사자는 조사 그래프를 사용하여 조사 중인 위협에 관련성이 있거나 기여하는 이벤트를 찾을 수 있습니다.
파트너는 다음을 제공하여 조사 그래프에 기여할 수 있습니다.
- 파트너 솔루션의 분석 규칙을 통해 생성된 Microsoft Sentinel 경고 및 사건
- 파트너 제공 데이터에 대한 사용자 지정 탐색 쿼리. 사용자 지정 탐색 쿼리는 보안 조사관을 위한 데이터와 인사이트 간의 풍부한 탐색 및 연결을 제공합니다.
응답
플레이북은 풍부한 자동화를 통해 워크플로를 지원하며 고객 환경에서 보안 관련 작업을 실행합니다. SOC 분석가가 전술적 항목에 과부하가 발생하지 않도록 하고 취약성의 보다 전략적이고 심층적인 근본 원인에 집중할 수 있도록 하는 것이 중요합니다. 예를 들어 심각도가 높은 경고가 감지되면 플레이북은 보안 팀에 알리고, 영향을 받는 시스템을 격리하고, 추가 분석을 위해 관련 로그를 수집하는 등의 일련의 작업을 자동으로 시작할 수 있습니다.
예를 들어 플레이북은 다음과 같은 방법으로 도움이 될 수 있습니다.
- 고객이 파트너 제품에서 보안 정책을 구성하도록 지원
- 조사 결정을 알리기 위해 추가 데이터 수집
- Microsoft Sentinel 인시던트를 외부 관리 시스템에 연결
- 파트너 솔루션 전반에 걸쳐 경고 수명 주기 관리 통합
솔루션을 디자인할 때 솔루션에 정의된 분석 규칙에 의해 생성된 인시던트 해결을 위해 수행할 수 있는 자동화된 작업을 생각해 보세요.
Sentinel SIEM 시나리오 예제
다음 섹션에서는 일반적인 파트너 시나리오 및 각 시나리오에 대한 솔루션에 포함할 항목에 대한 권장 사항을 설명합니다.
사용자의 제품은 보안 조사에 중요한 데이터를 생성합니다.
시나리오: 제품이 보안 조사를 알릴 수 있는 데이터를 생성합니다.
예: 어떤 형태의 로그 데이터를 제공하는 제품에는 방화벽, 클라우드 애플리케이션 보안 브로커, 물리적 액세스 시스템, Syslog 출력, 상업적으로 사용 가능하고 엔터프라이즈에서 빌드된 LOB 애플리케이션, 서버, 네트워크 메타데이터, Syslog 또는 CEF 형식의 Syslog를 통해 결과물 또는 JSON 형식의 REST API를 통해 제공되는 모든 것이 포함됩니다.
Microsoft Sentinel에서 데이터를 사용하는 방법: 데이터 커넥터를 통해 제품 데이터를 Microsoft Sentinel로 가져와서 분석, 헌팅, 조사, 시각화 등을 제공합니다.
빌드 대상: 이 시나리오의 경우 솔루션에 다음 요소를 포함합니다.
| Type | 포함할 요소 |
|---|---|
| 필수 | - 데이터를 전달하고 포털에서 다른 사용자 지정을 연결하기 위한 Microsoft Sentinel 데이터 커넥터. 샘플 데이터 쿼리 |
| 권장 | - 통합 문서 - Microsoft Sentinel에서 데이터를 기반으로 검색을 빌드하기 위한 분석 규칙 |
| 선택 사항 | - 헌팅 쿼리, 헌터에게 헌팅 시 사용할 수 있는 기본 제공 쿼리 제공 - 완전히 안내되고 반복 가능한 헌팅 환경을 제공하는 Notebooks |
사용자의 제품은 검색 기능을 제공합니다.
시나리오: 사용자의 제품은 다른 시스템의 경고 및 인시던트를 보완하는 검색 기능을 제공합니다.
예: 맬웨어 방지, 엔터프라이즈 감지 및 대응 솔루션, 네트워크 검색 및 응답 솔루션, 피싱 방지 제품, 취약성 검사, 모바일 디바이스 관리 솔루션, UEBA 솔루션, 정보 보호 서비스 등의 메일 보안 솔루션
Microsoft Sentinel에서 데이터를 사용하는 방법: Microsoft Sentinel에서 검색, 경고 또는 인시던트를 사용할 수 있도록 하여 고객 환경에서 발생할 수 있는 다른 경고 및 인시던트와 함께 이를 표시합니다. 또한 조사를 위한 추가 컨텍스트로 검색을 지원하는 로그 및 메타데이터를 제공하는 것을 고려합니다.
빌드 대상: 이 시나리오의 경우 솔루션에 다음 요소를 포함합니다.
| Type | 포함할 요소 |
|---|---|
| 필수 | 포털에서 데이터를 제공하고 다른 사용자 지정을 연결하기 위한 Microsoft Sentinel 데이터 커넥터입니다. |
| 권장 | 조사에 도움이 되는 검색에서 Microsoft Sentinel 인시던트를 만들기 위한 분석 규칙 |
귀사의 제품은 위협 인텔리전스 지표를 제공합니다.
시나리오: 귀사의 제품은 고객 환경에서 발생하는 보안 이벤트에 대한 컨텍스트를 제공할 수 있는 위협 인텔리전스 지표를 제공합니다.
예: TIP 플랫폼, STIX/TAXII 컬렉션, 공용 또는 라이선스가 부여된 위협 인텔리전스 원본. WhoIS, GeoIP 또는 새로 관찰된 도메인과 같은 참조 데이터.
Microsoft Sentinel에서 데이터를 사용하는 방법: Microsoft 검색 플랫폼에서 사용할 수 있도록 Microsoft Sentinel에 현재 지표를 제공합니다. 원격 액세스를 통해 보강 시나리오에 대규모 또는 기록 데이터 세트를 사용합니다.
빌드 대상: 이 시나리오의 경우 솔루션에 다음 요소를 포함합니다.
| Type | 포함할 요소 |
|---|---|
| 현재 위협 인텔리전스 | 지표를 Microsoft Sentinel에 푸시하는 GSAPI 데이터 커넥터를 빌드합니다. 고객이 기본 제공 TAXII 데이터 커넥터와 함께 사용할 수 있는 STIX 2.0 또는 2.1 TAXII 서버를 제공합니다. |
| 기록 지표 및/또는 참조 데이터 세트 | 데이터에 액세스할 수 있는 논리 앱 커넥터와 데이터를 올바른 위치로 안내하는 보강 워크플로 플레이북을 제공합니다. |
사용자의 제품은 조사를 위한 추가 컨텍스트를 제공합니다.
시나리오: 사용자의 제품은 Microsoft Sentinel을 기반으로 하는 조사를 위한 추가 컨텍스트 데이터를 제공합니다.
예: 추가 컨텍스트 CMDB, 고부가가치 자산 데이터베이스, VIP 데이터베이스, 애플리케이션 종속성 데이터베이스, 인시던트 관리 시스템, 티켓팅 시스템
Microsoft Sentinel에서 데이터를 사용하는 방법: Microsoft Sentinel에서 데이터를 사용하여 경고와 인시던트를 모두 보강합니다.
빌드 대상: 이 시나리오의 경우 솔루션에 다음 요소를 포함합니다.
- 논리 앱 커넥터
- 보강 워크플로 플레이북
- 외부 인시던트 수명 주기 관리 워크플로(선택 사항)
사용자의 제품은 보안 정책을 구현할 수 있습니다.
시나리오: 제품이 Azure Policy 및 기타 시스템에서 보안 정책을 구현할 수 있음
예: 방화벽, NDR, EDR, MDM, ID 솔루션, 조건부 액세스 솔루션, 실제 액세스 솔루션 또는 차단/허용 또는 기타 실행 가능한 보안 정책을 지원하는 기타 제품
Microsoft Sentinel에서 데이터를 사용하는 방법: 위협에 대한 수정 및 대응을 가능하게 하는 Microsoft Sentinel 작업 및 워크플로
빌드 대상: 이 시나리오의 경우 솔루션에 다음 요소를 포함합니다.
- 논리 앱 커넥터
- 작업 워크플로 플레이북
시작하기 위한 참조
모든 Microsoft Sentinel SIEM 통합은 Microsoft Sentinel GitHub 리포지토리 및 기여 지침으로 시작합니다.
Microsoft Sentinel 솔루션 작업을 시작할 준비가 되면 Microsoft Sentinel 솔루션 빌드 가이드에서 제출, 패키지 및 게시에 대한 지침을 찾습니다.
시장 진출
Microsoft는 파트너가 Microsoft 고객에게 접근할 수 있도록 하는 프로그램을 제공합니다.
MPN(Microsoft 파트너 네트워크). Microsoft와의 파트너십을 위한 기본 프로그램은 Microsoft 파트너 네트워크입니다. 모든 Microsoft Sentinel 솔루션이 게시되는 Azure Marketplace 게시자가 되려면 MPN의 멤버 자격이 필요합니다.
Azure Marketplace. Microsoft Sentinel 솔루션은 고객이 Microsoft 및 파트너 제공 일반 Azure 통합을 모두 검색하고 배포하는 Azure Marketplace를 통해 제공됩니다.
Microsoft Sentinel 솔루션은 Marketplace에서 찾을 수 있는 다양한 형식의 제안 중 하나입니다. Microsoft Sentinel 콘텐츠 허브에 포함된 솔루션을 찾을 수도 있습니다.
MISA(Microsoft 지능형 보안 연합). MISA는 Microsoft Security 파트너에게 Microsoft 고객과의 파트너 만들기 통합에 대한 인식을 제고하고 Microsoft Security 제품 통합에 대한 검색 가능성을 제공하는 데 도움을 줍니다.
MISA 프로그램에 참여하려면 참여하는 Microsoft Security 제품 팀의 추천이 필요합니다. 다음 통합을 빌드하면 파트너가 지명될 수 있습니다.
- 통합 문서, 샘플 쿼리 및 분석 규칙과 같은 Microsoft Sentinel 데이터 커넥터 및 관련 콘텐츠
- 게시된 로직 앱 커넥터 및 마이크로소프트 센티넬 플레이북
- 사례별 API 통합
MISA 지명 검토를 요청하거나 질문이 있는 경우 AzureSentinelPartner@microsoft.com에 문의합니다.
다음 단계
자세한 내용은 다음을 참조하세요.
데이터 컬렉션:
- 데이터 수집 모범 사례
- Microsoft Sentinel 데이터 커넥터
- Microsoft Sentinel 데이터 커넥터 찾기
- Microsoft Sentinel의 위협 인텔리전스 이해
위협 탐지:
- 자동화 규칙을 사용하여 Microsoft Sentinel에서 인시던트 처리 자동화
- Microsoft Sentinel로 인시던트 조사
- Microsoft Sentinel의 플레이북으로 위협 대응 자동화
헌팅 및 Notebook
- Microsoft Sentinel로 위협 찾기
- REST API를 사용하여 Microsoft Sentinel에서 헌팅 및 실시간 스트리밍 쿼리 관리
- Jupyter Notebook을 사용하여 보안 위협 헌팅
시각화: 수집된 데이터를 시각화합니다.
조사: Microsoft Sentinel을 사용하여 인시던트를 조사합니다.
응답: