빠른 시작: Microsoft Sentinel 온보딩

이 빠른 시작에서는 Microsoft Sentinel을 사용하도록 설정한 다음 데이터 커넥터를 설정하여 환경을 모니터링하고 보호합니다. 데이터 커넥터를 사용하여 데이터 원본을 연결한 후 데이터를 기반으로 인사이트를 표시하는 전문적으로 만든 통합 문서 갤러리에서 선택합니다. 이러한 통합 문서는 사용자의 요구에 맞게 쉽게 사용자 지정할 수 있습니다.

Microsoft Sentinel은 Microsoft 365 Defender 서비스 간 커넥터와 같은 Microsoft 제품용 커넥터와 함께 제공됩니다. Syslog 또는 CEF(Common Event Format)와 같은 타사 제품에 대해 기본 제공 커넥터를 사용하도록 설정할 수도 있습니다. 데이터 커넥터에 대해 자세히 알아봅니다.

전역 전제 조건

지리적 가용성 및 데이터 상주

Microsoft Sentinel 사용

  1. Azure Portal에 로그인합니다. Microsoft Sentinel을 이 만들어지는 구독이 선택되었는지 확인합니다.

  2. Microsoft Sentinel을 검색하여 선택합니다.

    Microsoft Sentinel을 사용하도록 설정하는 동안 서비스를 검색하는 스크린샷

  3. 추가를 선택합니다.

  4. 사용하려는 작업 영역을 선택하거나 새 작업 영역을 만듭니다. 둘 이상의 작업 영역에서 Microsoft Sentinel을 실행할 수 있지만 데이터는 단일 작업 영역으로 격리됩니다. 클라우드용 Microsoft Defender에서 만든 기본 작업 영역은 목록에 표시되지 않습니다. 이러한 작업 영역에는 Microsoft Sentinel을 설치할 수 없습니다.

    Microsoft Sentinel을 사용하도록 설정하는 동안 작업 영역을 선택하는 스크린샷

    중요

    • 작업 영역에 배포되면 Microsoft Sentinel은 해당 작업 영역을 다른 리소스 그룹 또는 구독으로 이동하는 것을 현재 지원하지 않습니다.

      작업 영역을 이미 이동한 경우 Analytics에서 모든 활성 규칙을 사용하지 않도록 설정하고 5분 후에 다시 사용하도록 설정합니다. 대부분의 경우에 이를 효과적으로 수행해야 하지만, 이는 지원되지 않으며 사용자의 책임하에 수행됩니다.

  5. Microsoft Sentinel 추가를 선택합니다.

데이터 커넥터 설정

Microsoft Sentinel은 서비스에 연결하고 이벤트 및 로그를 Microsoft Sentinel에 전달하여 서비스 및 앱에서 데이터를 수집합니다.

  • 실제 및 가상 머신의 경우 로그를 수집하고 Microsoft Sentinel에 전달하는 Log Analytics 에이전트를 설치할 수 있습니다.
  • 방화벽 및 프록시의 경우 Microsoft Sentinel은 Linux Syslog 서버에 Log Analytics 에이전트를 설치합니다. 여기서 에이전트는 로그 파일을 수집하여 Microsoft Sentinel에 전달합니다.
  1. 주 메뉴에서 데이터 커넥터를 선택합니다. 그러면 데이터 커넥터 갤러리가 열립니다.

  2. 데이터 커넥터를 선택한 다음 커넥터 페이지 열기 단추를 선택합니다.

  3. 커넥터 페이지에는 커넥터 구성 지침과 필요할 수 있는 기타 지침이 표시됩니다.

    예를 들어 Azure AD에서 Microsoft Sentinel로 로그를 스트림할 수 있는 Azure Active Directory 데이터 커넥터를 선택하는 경우 가져올 로그 유형(로그인 로그 및/또는 감사 로그)을 선택할 수 있습니다.
    설치 지침을 따릅니다. 자세히 알아보려면 관련 연결 가이드를 읽거나 Microsoft Sentinel 데이터 커넥터에 대해 알아봅니다.

  4. 커넥터 페이지의 다음 단계 탭에는 데이터 커넥터와 함께 제공되는 관련 기본 제공 통합 문서, 샘플 쿼리 및 분석 규칙 템플릿이 표시됩니다. 이를 그대로 사용하거나 수정할 수 있습니다. 두 가지 방법 모두 데이터에 대한 흥미로운 인사이트를 즉시 가져올 수 있습니다.

데이터 커넥터를 설정하고 나면 데이터가 Microsoft Sentinel로 스트리밍되기 시작하고 작업을 시작할 준비가 됩니다. 기본 제공 통합 문서에서 로그를 확인하고 Log Analytics에서 쿼리를 작성하여 데이터를 조사할 수 있습니다.

데이터 수집 모범 사례를 검토합니다.

다음 단계

자세한 내용은 다음을 참조하세요.