이 빠른 시작에서는 Microsoft Sentinel을 사용하도록 설정하고 콘텐츠 허브에서 솔루션을 설치합니다. 그런 다음, Microsoft Sentinel로 데이터 수집을 시작하도록 데이터 커넥터를 설정합니다.
Microsoft Sentinel은 Microsoft Defender XDR 서비스 간 커넥터와 같은 여러 Microsoft 제품용 커넥터와 함께 제공됩니다. Syslog 또는 CEF(Common Event Format)와 같은 타사 제품에 대해 기본 제공 커넥터를 사용하도록 설정할 수도 있습니다. 이 빠른 시작에서는 Microsoft Sentinel용 Azure Activity 솔루션에서 사용할 수 있는 Azure Activity 데이터 커넥터를 사용합니다.
API를 사용하여 Microsoft Sentinel에 온보딩하려면 지원되는 최신 버전의 Sentinel Onboarding States를 참조하세요.
필수 조건
활성 Azure 구독. 계정이 없으면 시작하기 전에 무료 계정을 만드세요.
Log Analytics 작업 영역 Log Analytics 작업 영역을 만드는 방법을 알아봅니다. Log Analytics 작업 영역에 대한 자세한 내용은 Azure Monitor 로그 배포 디자인을 참조하세요.
Microsoft Sentinel에 사용되는 Log Analytics 작업 영역에는 기본 30일의 보존 기간이 있을 수 있습니다. 모든 Microsoft Sentinel 기능을 사용할 수 있도록 하려면 보존 기간을 90일로 늘립니다. Azure Monitor 로그에서 데이터 보존 및 보관 정책 구성합니다.
사용 권한:
Microsoft Sentinel을 사용하도록 설정하려면 Microsoft Sentinel 작업 영역이 있는 구독에 대한 기여자 권한이 필요합니다.
Microsoft Sentinel을 사용하려면 작업 영역이 속한 리소스 그룹에 대해 Microsoft Sentinel 기여자 또는 Microsoft Sentinel 읽기 권한자 권한이 있어야 합니다.
콘텐츠 허브에서 솔루션을 설치하거나 관리하려면 작업 영역이 속한 리소스 그룹에서 Microsoft Sentinel 기여자 역할이 필요합니다.
Microsoft Sentinel은 유료 서비스입니다. 가격 책정 옵션 및 Microsoft Sentinel 가격 책정 페이지를 검토합니다.
프로덕션 환경에 Microsoft Sentinel을 배포하기 전에 Microsoft Sentinel 배포를 위한 사전 배포 활동 및 필수 구성 요소를 검토합니다.
Microsoft Sentinel 사용
시작하려면 기존 작업 영역에 Microsoft Sentinel을 추가하거나 새 작업 영역을 만듭니다.
Azure Portal에 로그인합니다.
Microsoft Sentinel을 검색하여 선택합니다.
만들기를 선택합니다.
사용하려는 작업 영역을 선택하거나 새 작업 영역을 만듭니다. 둘 이상의 작업 영역에서 Microsoft Sentinel을 실행할 수 있지만 데이터는 단일 작업 영역으로 격리됩니다.
- 클라우드용 Microsoft Defender에서 만든 기본 작업 영역은 목록에 표시되지 않습니다. 이러한 작업 영역에는 Microsoft Sentinel을 설치할 수 없습니다.
- 작업 영역에 배포되면 Microsoft Sentinel은 해당 작업 영역을 다른 리소스 그룹 또는 구독으로 이동하는 것을 지원하지 않습니다.
추가를 선택합니다.
팁 (조언)
Microsoft Sentinel 및 기타 Microsoft 보안 서비스에서 보안 작업(SecOps)을 관리하는 통합 환경을 위해 작업 영역을 Defender 포털에 온보딩하는 것이 좋습니다.
지금 작업 영역을 온보딩하기로 결정한 경우 Defender 포털에서 이 문서의 절차를 계속할 수 있습니다. 자세한 내용은 Defender 포털에 Microsoft Sentinel 온보딩을 참조하세요.
콘텐츠 허브에서 솔루션 설치
Microsoft Sentinel의 콘텐츠 허브는 데이터 커넥터를 포함하여 기본 제공 콘텐츠를 검색하고 관리할 수 있는 중앙 집중식 위치입니다. 이 빠른 시작에서는 Azure Activity에 대한 솔루션을 설치합니다.
Microsoft Sentinel에서 콘텐츠 허브를 선택합니다.
Azure Activity 솔루션을 찾아 선택합니다.
- 측면의 솔루션 세부 정보 창에서 설치를 선택합니다.
데이터 커넥터 설정
Microsoft Sentinel은 서비스에 연결하고 이벤트 및 로그를 Microsoft Sentinel에 전달하여 서비스 및 앱에서 데이터를 수집합니다. 이 빠른 시작에서는 데이터 커넥터를 설치하여 Azure Activity의 데이터를 Microsoft Sentinel로 전달합니다.
Microsoft Sentinel에서 구성>데이터 커넥터를 선택하고 Azure 활동 데이터 커넥터를 검색하여 선택합니다.
커넥터 세부 정보 창에서 커넥터 열기 페이지를 선택합니다. Azure 활동 커넥터 페이지의 지침을 사용하여 데이터 커넥터를 설정합니다.
Azure Policy 할당 마법사 시작을 선택합니다.
기본 탭에서 범위를, Microsoft Sentinel로 보낼 활동이 있는 구독 및 리소스 그룹으로 설정합니다. 예를 들어 Microsoft Sentinel 인스턴스를 포함하는 구독을 선택합니다.
매개 변수 탭을 선택하고 기본 Log Analytics 작업 영역을 설정합니다. Microsoft Sentinel이 설치된 작업 영역이어야 합니다.
검토 + 만들기 및 만들기를 선택합니다.
활동 데이터 생성
Microsoft Sentinel용 Azure Activity 솔루션에 포함된 규칙을 사용하도록 설정하여 일부 활동 데이터를 생성해 보겠습니다. 이 단계에서는 콘텐츠 허브에서 콘텐츠를 관리하는 방법도 보여 줍니다.
Microsoft Sentinel에서 콘텐츠 허브를 선택하고 Azure 활동 솔루션에서 의심스러운 리소스 배포 규칙 템플릿을 검색하여 선택합니다.
세부 정보 창에서 규칙 만들기 를 선택하여 분석 규칙 마법사를 사용하여 새 규칙을 만듭니다.
분석 규칙 마법사 - 새 예약 규칙 만들기 페이지에서 상태를 사용으로 변경합니다.
이 탭 및 마법사의 다른 모든 탭에서 기본값을 그대로 둡니다.
검토 및 만들기 탭에서 만들기를 선택합니다.
Microsoft Sentinel에 수집된 데이터 보기
Azure Activity 데이터 커넥터를 사용하도록 설정하고 일부 활동 데이터를 생성했으므로 이제 작업 영역에 추가된 활동 데이터를 살펴보겠습니다.
Microsoft Sentinel에서 구성>데이터 커넥터를 선택하고 Azure 활동 데이터 커넥터를 검색하여 선택합니다.
커넥터 세부 정보 창에서 커넥터 열기 페이지를 선택합니다.
데이터 커넥터의 상태를 검토합니다. 연결됨이어야 합니다.
사용 중인 포털에 따라 계속하려면 탭을 선택합니다.
로그 분석으로 이동을 선택하여 고급 헌팅 페이지를 엽니다.
창 위쪽의 새 쿼리 탭 옆에 있는 새 쿼리 탭을 선택하여 + 새 쿼리 탭을 추가합니다.
다음 쿼리를 실행하여 작업 영역에 수집된 활동 날짜를 확인합니다.
AzureActivity
다음은 그 예입니다.
다음 단계
이 빠른 시작에서는 Microsoft Sentinel을 사용하도록 설정하고 콘텐츠 허브에서 솔루션을 설치했습니다. 그런 다음, Microsoft Sentinel로 데이터 수집을 시작하도록 데이터 커넥터를 설정했습니다. 또한 작업 영역에서 데이터를 확인하여 데이터가 수집되고 있는지 확인했습니다.
- 대시보드 및 통합 문서를 사용하여 수집한 데이터를 시각화하려면 수집된 데이터 시각화를 참조하세요.
- 분석 규칙을 사용하여 위협을 감지하려면 자습서: Microsoft Sentinel에서 분석 규칙을 사용하여 위협 검색을 참조하세요.