빠른 시작: Microsoft Sentinel 온보딩

이 빠른 시작에서는 Microsoft Sentinel을 사용하도록 설정하고 콘텐츠 허브에서 솔루션을 설치합니다. 그런 다음 Microsoft Sentinel에 데이터 수집을 시작하도록 데이터 커넥터를 설정합니다.

Microsoft Sentinel에는 Microsoft 365 Defender 서비스 대 서비스 커넥터와 같은 Microsoft 제품에 대한 많은 데이터 커넥터가 제공됩니다. Syslog 또는 CEF(Common Event Format)와 같은 Microsoft 이외의 제품에 기본 제공 커넥터를 사용하도록 설정할 수도 있습니다. 이 빠른 시작에서는 Microsoft Sentinel용 Azure 활동 솔루션에서 사용할 수 있는 Azure 활동 데이터 커넥터를 사용합니다.

필수 조건

Microsoft Sentinel 사용

시작하려면 기존 작업 영역에 Microsoft Sentinel을 추가하거나 새 작업 영역을 만듭니다.

  1. Azure Portal에 로그인합니다.

  2. Microsoft Sentinel을 검색하여 선택합니다.

    Screenshot of searching for a service while enabling Microsoft Sentinel.

  3. 추가를 선택합니다.

  4. 사용하려는 작업 영역을 선택하거나 새 작업 영역을 만듭니다. 둘 이상의 작업 영역에서 Microsoft Sentinel을 실행할 수 있지만 데이터는 단일 작업 영역으로 격리됩니다.

    Screenshot of choosing a workspace while enabling Microsoft Sentinel.

    • 클라우드용 Microsoft Defender 만든 기본 작업 영역은 목록에 표시되지 않습니다. 이러한 작업 영역에는 Microsoft Sentinel을 설치할 수 없습니다.
    • 작업 영역에 배포된 후 Microsoft Sentinel 은 현재 해당 작업 영역을 다른 리소스 그룹 또는 구독으로 이동하는 것을 지원하지 않습니다.
  5. Microsoft Sentinel 추가를 선택합니다.

콘텐츠 허브에서 솔루션 설치

Microsoft Sentinel의 콘텐츠 허브는 데이터 커넥터를 포함하여 기본 제공 콘텐츠를 검색하고 관리하는 중앙 집중식 위치입니다. 이 빠른 시작에서는 Azure 작업에 대한 솔루션을 설치합니다.

  1. Microsoft Sentinel에서 콘텐츠 허브를 선택합니다.

  2. Azure 활동 솔루션을 찾아 선택합니다.

    Screenshot of the content hub with the solution for Azure Activity selected.

  3. 페이지 맨 위에 있는 도구 모음에서 설치/업데이트를 선택합니다.

데이터 커넥터 설정

Microsoft Sentinel은 서비스에 연결하고 이벤트 및 로그를 Microsoft Sentinel에 전달하여 서비스 및 앱에서 데이터를 수집합니다. 이 빠른 시작에서는 데이터 커넥터를 설치하여 Azure 작업에 대한 데이터를 Microsoft Sentinel에 전달합니다.

  1. Microsoft Sentinel에서 데이터 커넥터를 선택합니다.

  2. Azure 활동 데이터 커넥터를 검색하여 선택합니다.

  3. 커넥터의 세부 정보 창에서 커넥터 열기 페이지를 선택합니다.

  4. 지침을 검토하여 커넥터를 구성합니다.

  5. Azure Policy 할당 마법사 시작을 선택합니다.

  6. 기본 사항 탭에서 범위를 Microsoft Sentinel로 보낼 활동이 있는 구독 및 리소스 그룹으로 설정합니다. 예를 들어 Microsoft Sentinel 인스턴스가 포함된 구독을 선택합니다.

  7. 매개 변수 탭을 선택합니다.

  8. 기본 Log Analytics 작업 영역을 설정합니다. Microsoft Sentinel이 설치된 작업 영역이어야 합니다.

  9. 검토 + 만들기만들기를 선택합니다.

활동 데이터 생성

Microsoft Sentinel용 Azure 활동 솔루션에 포함된 규칙을 사용하도록 설정하여 일부 활동 데이터를 생성해 보겠습니다. 이 단계에서는 콘텐츠 허브에서 콘텐츠를 관리하는 방법도 보여 줍니다.

  1. Microsoft Sentinel에서 콘텐츠 허브를 선택합니다.

  2. Azure 활동 솔루션을 찾아 선택합니다.

  3. 오른쪽 창에서 관리를 선택합니다.

  4. 규칙 템플릿 의심스러운 리소스 배포를 찾아 선택합니다.

  5. 구성 마법사를 선택합니다.

  6. 규칙을 선택하고 규칙을 만듭니다.

  7. 일반 탭에서 상태를 사용하도록 변경합니다. 나머지 기본값은 그대로 둡니다.

  8. 다른 탭에서 기본값을 적용합니다.

  9. 검토 및 만들기 탭에서 만들기를 선택합니다.

Microsoft Sentinel에 수집된 데이터 보기

이제 Azure 활동 데이터 커넥터를 사용하도록 설정하고 일부 활동 데이터를 생성했으므로 작업 영역에 추가된 활동 데이터를 살펴보겠습니다.

  1. Microsoft Sentinel에서 데이터 커넥터를 선택합니다.

  2. Azure 활동 데이터 커넥터를 검색하여 선택합니다.

  3. 커넥터의 세부 정보 창에서 커넥터 열기 페이지를 선택합니다.

  4. 데이터 커넥터의 상태를 검토합니다. 커넥트 합니다.

    Screenshot of data connector for Azure Activity with the status showing as connected.

  5. 차트 위의 왼쪽 창에서 로그 분석으로 이동을 선택합니다.

  6. 창 위쪽의 새 쿼리 1 탭 옆에 있는 새 쿼리 탭을 선택하여 + 새 쿼리 탭을 추가합니다.

  7. 쿼리 창에서 다음 쿼리를 실행하여 작업 영역에 수집된 활동 날짜를 봅니다.

     AzureActivity
    

    Screenshot of the log query window with results returned for the Azure Activity query.

다음 단계

이 빠른 시작에서는 Microsoft Sentinel을 사용하도록 설정하고 콘텐츠 허브에서 솔루션을 설치했습니다. 그런 다음 Microsoft Sentinel에 데이터 수집을 시작하도록 데이터 커넥터를 설정합니다. 또한 작업 영역에서 데이터를 확인하여 데이터가 수집되고 있는지 확인했습니다.