온보딩 Microsoft Sentinel

이 빠른 시작에서는 Microsoft Sentinel 사용하도록 설정하고 콘텐츠 허브에서 솔루션을 설치합니다. 그런 다음 데이터 커넥터를 설정하여 Microsoft Sentinel 데이터 수집을 시작합니다.

Microsoft Sentinel Microsoft Defender XDR 서비스 대 서비스 커넥터와 같은 Microsoft 제품에 대한 많은 데이터 커넥터와 함께 제공됩니다. Syslog 또는 CEF(Common Event Format)와 같은 비 Microsoft 제품에 기본 제공 커넥터를 사용하도록 설정할 수도 있습니다. 이 빠른 시작에서는 Microsoft Sentinel Azure 활동 솔루션에서 사용할 수 있는 Azure 활동 데이터 커넥터를 사용합니다.

API를 사용하여 Microsoft Sentinel 온보딩하려면 지원되는 최신 버전의 Sentinel 온보딩 상태를 참조하세요.

필수 구성 요소

• 활성 Azure 구독. 계정이 없는 경우 시작하기 전에 체험 계정을 만듭니다.

• 사용 권한:

  • Microsoft Sentinel 사용하도록 설정하려면 Microsoft Sentinel 작업 영역이 있는 구독에 대한 기여자 권한이 필요합니다.

  • Microsoft Sentinel 사용하려면 작업 영역이 속한 리소스 그룹에 대한 Microsoft Sentinel 기여자 또는 Microsoft Sentinel 읽기 권한자 권한이 필요합니다.

  • 콘텐츠 허브에 솔루션을 설치하거나 관리하려면 작업 영역이 속한 리소스 그룹에서 Microsoft Sentinel 기여자 역할이 필요합니다.

  • 새 Microsoft Sentinel 고객이고 구독 소유자 또는 사용자 액세스 관리자의 권한이 있는 경우 작업 영역이 Defender 포털에 자동으로 온보딩됩니다. 이러한 작업 영역의 사용자는 Defender 포털에서만 Microsoft Sentinel 사용합니다.

• Microsoft Sentinel 유료 서비스입니다. 가격 책정 옵션 및 Microsoft Sentinel 가격 책정 페이지를 검토합니다.

• 프로덕션 환경에 Microsoft Sentinel 배포하기 전에 Microsoft Sentinel 배포하기 위한 사전 배포 활동 및 필수 구성 요소를 검토합니다.

Log Analytics 작업 영역 만들기

Microsoft Sentinel 작업 영역에 추가해야 합니다. Log Analytics 작업 영역이 이미 있는 경우 Log Analytics 작업 영역에 Microsoft Sentinel 추가로 건너뜁니다. Log Analytics 작업 영역이 아직 없는 경우 아래 지침을 사용하여 만들거나 자세한 설명을 보려면 Log Analytics 작업 영역 만들기로 이동하세요. Log Analytics 작업 영역에 대한 자세한 내용은 Azure 모니터 로그 배포 디자인을 참조하세요.

Microsoft Sentinel 사용되는 Log Analytics 작업 영역에서 기본값인 30일 보존이 있을 수 있습니다. 모든 Microsoft Sentinel 기능 및 기능을 사용할 수 있도록 보존 기간을 90일로 높입니다. Azure 모니터 로그에서 데이터 보존 및 보관 정책을 구성합니다.

1. Azure 포털에 로그인합니다.

2. Microsoft Sentinel 검색하여 선택합니다.
   

3. 만들기를 선택합니다.

4. 새 작업 영역 만들기를 선택합니다.

5. 구독>리소스 그룹에서새로 만들기를 선택합니다. 리소스 그룹의 이름을 입력하고 확인을 선택합니다.

6. 작업 영역에 이름을 지정하고 지역을 선택한 다음 검토 + 만들기를 선택합니다. ( Log Analytics를 사용할 수 있는 지역을 참조하세요.)

7. 유효성 검사를 통과한 후 만들기를 선택합니다. 배포가 완료될 때까지 기다립니다.

Log Analytics 작업 영역에 Microsoft Sentinel 추가

1. Azure Portal검색하여 Microsoft Sentinel 선택합니다.

2. 만들기를 선택합니다.

3. 사용할 작업 영역을 선택하고 추가를 선택합니다. 둘 이상의 작업 영역에서 Microsoft Sentinel 실행할 수 있지만 데이터는 단일 작업 영역으로 격리됩니다.

   • 클라우드용 Microsoft Defender 만든 기본 작업 영역은 목록에 표시되지 않습니다. 이러한 작업 영역에는 Microsoft Sentinel 설치할 수 없습니다.
   • 작업 영역에 배포되면 Microsoft Sentinel 해당 작업 영역을 다른 리소스 그룹 또는 구독으로 이동하는 것을 지원하지 않습니다.

참고

작업 영역이 Defender 포털에 자동으로 온보딩되지 않는 경우 Microsoft Sentinel 및 기타 Microsoft 보안 서비스에서 보안 작업(SecOps)을 관리하는 통합 환경을 위해 온보딩하는 것이 좋습니다. 자세한 내용은 Defender 포털에 Microsoft Sentinel 온보딩을 참조하세요.

작업 영역이 자동으로 온보딩되거나 지금 작업 영역을 온보딩하기로 결정한 경우 Defender 포털에서 이 문서의 절차를 계속할 수 있습니다. Defender 포털을 처음 사용하는 경우 프로세스가 완료되는 동안 몇 분 정도 지연됩니다.

Defender 포털에서 Microsoft Sentinel 액세스

Defender 포털에서 Microsoft Sentinel 액세스하려면 다음을 수행합니다.

1. Defender 포털에 로그인합니다.

   Defender 포털에 처음 액세스할 때 테넌트를 프로비전하는 데 다소 시간이 걸릴 수 있습니다.

2. 프로비전되면 탐색 창에 Microsoft Sentinel 노드가 중첩된 Microsoft Sentinel 표시됩니다. 예시:

   

3. 탐색 창에서 아래로 스크롤하고 설정 > Microsoft Sentinel > 작업 영역을 선택하여 Defender 포털에 온보딩된 작업 영역을 보고 사용할 수 있습니다.

Defender 포털은 여러 작업 영역을 지원하며, 하나의 작업 영역이 테넌트당 기본 작업 영역 역할을 합니다. 자세한 내용은 Defender 포털의 여러 Microsoft Sentinel 작업 영역 및 다중 테넌트 관리를 Microsoft Defender 참조하세요.

콘텐츠 허브에서 솔루션 설치

Microsoft Sentinel 콘텐츠 허브는 데이터 커넥터를 포함하여 기본 제공 콘텐츠를 검색하고 관리할 수 있는 중앙 집중식 위치입니다. 이 빠른 시작에서는 Azure 작업에 대한 솔루션을 설치합니다.

1. Microsoft Sentinel 콘텐츠 허브 페이지로 이동하여 Azure 활동 솔루션을 찾아 선택합니다.

   Defender 포털

   

   Azure Portal

   

2. 측면의 솔루션 세부 정보 창에서 설치를 선택합니다.

데이터 커넥터 설정

Microsoft Sentinel 서비스에 연결하고 이벤트 및 로그를 Microsoft Sentinel 전달하여 서비스 및 앱에서 데이터를 수집합니다. 이 빠른 시작에서는 데이터 커넥터를 설치하여 Azure 작업에 대한 데이터를 Microsoft Sentinel 전달합니다.

1. Microsoft Sentinel 구성>데이터 커넥터를 선택하고 Azure 활동 데이터 커넥터를 검색하여 선택합니다.

2. 커넥터 세부 정보 창에서 커넥터 페이지 열기를 선택합니다. Azure 활동 커넥터 페이지의 지침을 사용하여 데이터 커넥터를 설정합니다.

   1. Azure Policy 할당 마법사 시작을 선택합니다.

   2. 기본 탭에서 범위를 Microsoft Sentinel 보낼 활동이 있는 구독 및 리소스 그룹으로 설정합니다. 예를 들어 Microsoft Sentinel instance 포함된 구독을 선택합니다.

   3. 매개 변수 탭을 선택하고 기본 Log Analytics 작업 영역을 설정합니다. Microsoft Sentinel 설치되는 작업 영역이어야 합니다.

   4. 검토 + 만들기 및 만들기를 선택합니다.

활동 데이터 생성

Microsoft Sentinel Azure 활동 솔루션에 포함된 규칙을 사용하도록 설정하여 일부 활동 데이터를 생성해 보겠습니다. 이 단계에서는 콘텐츠 허브에서 콘텐츠를 관리하는 방법도 보여 줍니다.

1. Microsoft Sentinel 콘텐츠 허브를 선택하고 Azure 활동 솔루션에서 의심스러운 리소스 배포 규칙 템플릿을 검색하여 선택합니다.

2. 세부 정보 창에서 규칙 만들기 를 선택하여 분석 규칙 마법사를 사용하여 새 규칙을 만듭니다.

3. 분석 규칙 마법사 - 새 예약된 규칙 만들기 페이지에서 상태를사용으로 변경합니다.

   이 탭 및 마법사의 다른 모든 탭에서 기본값을 그대로 둡니다.

4. 검토 및 만들기 탭에서 만들기를 선택합니다.

Microsoft Sentinel 수집된 데이터 보기

이제 Azure 활동 데이터 커넥터를 사용하도록 설정하고 일부 활동 데이터를 생성했으므로 작업 영역에 추가된 활동 데이터를 살펴보겠습니다.

1. Microsoft Sentinel 구성>데이터 커넥터를 선택하고 Azure 활동 데이터 커넥터를 검색하여 선택합니다.

2. 커넥터 세부 정보 창에서 커넥터 페이지 열기를 선택합니다.

3. 데이터 커넥터의 상태를 검토합니다. 연결되어야 합니다.

   

4. 사용 중인 포털에 따라 계속할 탭을 선택합니다.

   Defender 포털

   1. 로그 분석으로 이동을 선택하여 고급 헌팅 페이지를 엽니다.

   2. 창 위쪽의 새 쿼리 탭 옆에 있는 을 + 선택하여 새 쿼리 탭을 추가합니다.

   3. 다음 쿼리를 실행하여 작업 영역에 수집된 활동 날짜를 확인합니다.

      AzureActivity
      

   예시:

   

   Azure Portal

   1. 쿼리로 이동을 선택하여 Azure Portal 로그 페이지를 엽니다.

   2. 창 위쪽의 새 쿼리 1 탭 옆에 있는 을 + 선택하여 새 쿼리 탭을 추가합니다.

   3. 쪽에서 단순 모드 에서 KQL 모드로 전환하고 다음 쿼리를 실행하여 작업 영역에 수집된 활동 날짜를 확인합니다.

      AzureActivity
      

   예시:

   

---

다음 단계

이 빠른 시작에서는 Microsoft Sentinel 사용하도록 설정하고 콘텐츠 허브에서 솔루션을 설치했습니다. 그런 다음 데이터 커넥터를 설정하여 Microsoft Sentinel 데이터 수집을 시작합니다. 또한 작업 영역에서 데이터를 확인하여 데이터가 수집되고 있는지 확인했습니다.

Defender 포털에 자동으로 온보딩된 새 고객인 경우 사용자는 Defender 포털에서만 Microsoft Sentinel 액세스합니다. Microsoft Sentinel 설명서를 사용할 때는 설명서의 Defender 포털 버전을 선택해야 합니다.

• 대시보드 및 통합 문서를 사용하여 수집한 데이터를 시각화하려면 수집된 데이터 시각화를 참조하세요.
• 분석 규칙을 사용하여 위협을 감지하려면 자습서: Microsoft Sentinel 분석 규칙을 사용하여 위협 감지를 참조하세요.