Microsoft Sentinel에서 여러 작업 영역 및 테넌트 준비
배포를 준비하려면 여러 작업 영역 아키텍처가 사용자 환경과 관련이 있는지 확인해야 합니다. 이 문서에서는 Microsoft Sentinel이 여러 작업 영역과 테넌트 간에 확장되어 이 기능이 조직의 요구 사항에 적합한지 확인할 수 있는 방법을 알아봅니다. 이 문서는 Microsoft Sentinel 배포 가이드의 일부입니다.
작업 영역 간에 확장하도록 환경을 설정하기로 결정한 경우 작업 영역 및 테넌트 간 Microsoft Sentinel 확장 및 작업 영역 관리자를 사용하여 여러 Microsoft Sentinel 작업 영역을 중앙에서 관리를 참조하세요.
Microsoft Sentinel 작업 영역을 여러 개 사용해야 하는 요구 사항
Microsoft Sentinel을 온보딩할 때 첫 번째 단계는 Log Analytics 작업 영역을 선택하는 것입니다. 단일 작업 영역으로 Microsoft Sentinel 환경의 모든 이점을 얻을 수 있지만 경우에 따라 작업 영역을 확장하여 작업 영역 및 테넌트에서 데이터를 쿼리하고 분석할 수 있습니다.
이 표는 이러한 시나리오 중 일부를 나열하고 가능한 경우 시나리오에 단일 작업 영역을 사용할 수 있는 방법을 제안합니다.
| 요구 사항 | Description | 작업 영역 수를 줄이는 방법 |
|---|---|---|
| 관할 및 규정 준수 | 작업 영역이 특정 지역에 귀속되어 있음. 규정 요구 사항을 충족하기 위해 여러 Azure 지역에 데이터를 보관하려면 데이터를 별도의 작업 영역으로 분할합니다. | |
| 데이터 소유권 | 자회사 또는 계열사와 같은 데이터 소유권의 경계는 별도의 작업 영역을 사용하면 보다 쉽게 구분할 수 있습니다. | |
| 다수의 Azure 테넌트 | Microsoft Sentinel은 자체 Microsoft Entra 테넌트 경계 내에 있는 Microsoft 및 Azure SaaS 리소스의 데이터 수집만 지원합니다. 따라서 각 Microsoft Entra 테넌트에는 별도의 작업 영역이 필요합니다. | |
| 세부적인 데이터 액세스 제어 | 조직 내부 또는 외부의 다양한 그룹이 Microsoft Sentinel에서 수집하는 일부 데이터에 액세스하도록 조직에서 허용해야 할 수도 있습니다. 예시:
|
리소스 Azure RBAC 또는 테이블 수준 Azure RBAC 사용 |
| 세부적인 데이터 보존 설정 | 지금까지는 여러 작업 영역을 사용하는 것이 여러 데이터 형식에 서로 다른 보존 기간을 설정하는 유일한 방법이었습니다. 하지만 테이블 수준 보존 설정의 도입으로 인해 해당 방법은 더 이상 필요하지 않게 되었습니다. | 테이블 수준 보존 설정 사용 또는 데이터 삭제 자동화 |
| 분할 청구 | 작업 영역을 별도의 구독에 배치하면 여러 당사자에게 비용을 청구할 수 있습니다. | 사용량 보고 및 교차 요금 |
| 레거시 아키텍처 | 여러 작업 영역을 사용하는 이유가 더 이상 적용되지 않는 제한 사항이나 모범 사례를 고려한 과거 디자인 때문일 수도 있습니다. 자의적인 디자인 선택을 했다면 Microsoft Sentinel에 맞게 수정할 수도 있습니다. 예를 들면 다음과 같습니다.
|
작업 영역 재설계 |
MSSP(관리되는 보안 서비스 공급자)
MSSP의 경우 위의 모든 요구 사항은 아니더라도 많은 부분이 적용되므로 테넌트 간에 여러 작업 영역을 만드는 것이 가장 좋습니다. MSSP는 Azure Lighthouse를 사용하여 테넌트에 걸쳐 Microsoft Sentinel 작업 영역 간 기능을 확장할 수 있습니다.
Microsoft Sentinel 다중 작업 영역 아키텍처
위의 요구 사항에서 암시하는 것처럼 단일 SOC가 Microsoft Entra 테넌트 전반에 걸쳐 여러 Microsoft Sentinel 작업 영역을 중앙에서 관리하고 모니터링해야 하는 경우가 있습니다.
MSSP Microsoft Sentinel 서비스
다수의 자회사에 서비스를 제공하는 글로벌 SOC로서 각기 자체적인 로컬 SOC를 보유하고 있습니다.
조직 내의 여러 Microsoft Entra 테넌트를 모니터링하는 SOC입니다.
이러한 경우를 해결하기 위해 Microsoft Sentinel은 중앙 모니터링, 구성 및 관리를 가능하게 하는 다중 작업 영역 기능을 제공하여 SOC에서 다루는 모든 것을 단일 창으로 제공합니다. 이 다이어그램은 이러한 사용 사례에 대한 아키텍처 예를 보여 줍니다.
이 다중 작업 영역 모델은 모든 데이터를 단일 작업 영역으로 복사하는 완전 중앙 집중식 모델에 비해 훨씬 많은 이점을 제공합니다. 대표적인 이점은 다음과 같습니다.
글로벌 및 로컬 SOC 또는 MSSP 고객에게 유연한 역할 할당을 제공합니다.
데이터 소유권, 데이터 프라이버시 및 규정 준수 관련 문제가 줄어듭니다.
네트워크 대기 시간 및 요금이 최소화됩니다.
신규 자회사 또는 고객의 온보딩 및 오프보딩이 쉽습니다.
다음 섹션에서는 해당 모델을 운영하는 방법과 특히 다음 작업을 수행하는 방법을 설명합니다.
잠재적으로 테넌트 간에 여러 작업 영역을 중앙에서 모니터링하여 단일 창으로 SOC를 제공합니다.
자동화 기능을 사용하여 잠재적으로 테넌트 간에 여러 작업 영역을 중앙에서 구성하고 관리합니다.
다음 단계
이 문서에서는 Microsoft Sentinel이 여러 작업 영역 및 테넌트 간에 확장하는 방법을 알아보았습니다.