다음을 통해 공유


빠른 시작: Microsoft Sentinel 온보딩

이 빠른 시작에서는 Microsoft Sentinel을 사용하도록 설정하고 콘텐츠 허브에서 솔루션을 설치합니다. 그런 다음, Microsoft Sentinel로 데이터 수집을 시작하도록 데이터 커넥터를 설정합니다.

Microsoft Sentinel은 Microsoft Defender XDR 서비스 간 커넥터와 같은 여러 Microsoft 제품용 커넥터와 함께 제공됩니다. Syslog 또는 CEF(Common Event Format)와 같은 타사 제품에 대해 기본 제공 커넥터를 사용하도록 설정할 수도 있습니다. 이 빠른 시작에서는 Microsoft Sentinel용 Azure Activity 솔루션에서 사용할 수 있는 Azure Activity 데이터 커넥터를 사용합니다.

API를 사용하여 Microsoft Sentinel에 온보딩하려면 지원되는 최신 버전의 Sentinel Onboarding States를 참조하세요.

필수 조건

Microsoft Sentinel 사용

시작하려면 기존 작업 영역에 Microsoft Sentinel을 추가하거나 새 작업 영역을 만듭니다.

  1. Azure Portal에 로그인합니다.

  2. Microsoft Sentinel을 검색하여 선택합니다.

    Microsoft Sentinel을 사용하도록 설정하는 동안 서비스를 검색하는 스크린샷

  3. 만들기를 실행합니다.

  4. 사용하려는 작업 영역을 선택하거나 새 작업 영역을 만듭니다. 둘 이상의 작업 영역에서 Microsoft Sentinel을 실행할 수 있지만 데이터는 단일 작업 영역으로 격리됩니다.

    Microsoft Sentinel을 사용하도록 설정하는 동안 작업 영역을 선택하는 스크린샷

    • 클라우드용 Microsoft Defender에서 만든 기본 작업 영역은 목록에 표시되지 않습니다. 이러한 작업 영역에는 Microsoft Sentinel을 설치할 수 없습니다.
    • 작업 영역에 배포되면 Microsoft Sentinel은 해당 작업 영역을 다른 리소스 그룹 또는 구독으로 이동하는 것을 지원하지 않습니다.
  5. 추가를 선택합니다.

콘텐츠 허브에서 솔루션 설치

Microsoft Sentinel의 콘텐츠 허브는 데이터 커넥터를 포함하여 기본 제공 콘텐츠를 검색하고 관리할 수 있는 중앙 집중식 위치입니다. 이 빠른 시작에서는 Azure Activity에 대한 솔루션을 설치합니다.

  1. Microsoft Sentinel에서 콘텐츠 허브를 선택합니다.

  2. Azure Activity 솔루션을 찾아 선택합니다.

    Azure 작업에 대한 솔루션이 선택된 콘텐츠 허브의 스크린샷.

  3. 페이지의 위쪽에 있는 도구 모음에서 설치/업데이트를 선택합니다.

데이터 커넥터 설정

Microsoft Sentinel은 서비스에 연결하고 이벤트 및 로그를 Microsoft Sentinel에 전달하여 서비스 및 앱에서 데이터를 수집합니다. 이 빠른 시작에서는 데이터 커넥터를 설치하여 Azure Activity의 데이터를 Microsoft Sentinel로 전달합니다.

  1. Microsoft Sentinel에서 데이터 커넥터를 선택합니다.

  2. Azure Activity 데이터 커넥터를 검색하여 선택합니다.

  3. 커넥터의 세부 정보 창에서 커넥터 페이지 열기를 선택합니다.

  4. 지침을 검토하여 커넥터를 구성합니다.

  5. Azure Policy 할당 마법사 시작을 선택합니다.

  6. 기본 탭에서 범위를, Microsoft Sentinel로 보낼 활동이 있는 구독 및 리소스 그룹으로 설정합니다. 예를 들어 Microsoft Sentinel 인스턴스를 포함하는 구독을 선택합니다.

  7. 매개 변수 탭을 선택합니다.

  8. 기본 Azure Log Analytics 작업 영역을 설정합니다. Microsoft Sentinel이 설치된 작업 영역이어야 합니다.

  9. 검토 + 만들기만들기를 선택합니다.

활동 데이터 생성

Microsoft Sentinel용 Azure Activity 솔루션에 포함된 규칙을 사용하도록 설정하여 일부 활동 데이터를 생성해 보겠습니다. 이 단계에서는 콘텐츠 허브에서 콘텐츠를 관리하는 방법도 보여 줍니다.

  1. Microsoft Sentinel에서 콘텐츠 허브를 선택합니다.

  2. Azure Activity 솔루션을 찾아 선택합니다.

  3. 오른쪽 창에서 관리를 선택합니다.

  4. 의심스러운 리소스 배포 규칙 템플릿을 찾아 선택합니다.

  5. 구성을 선택합니다.

  6. 규칙 및 규칙 만들기를 선택합니다.

  7. 일반 탭에서 상태를 사용으로 변경합니다. 나머지 기본값은 그대로 둡니다.

  8. 다른 탭에서 기본값을 적용합니다.

  9. 검토 및 만들기 탭에서 만들기를 선택합니다.

Microsoft Sentinel에 수집된 데이터 보기

Azure Activity 데이터 커넥터를 사용하도록 설정하고 일부 활동 데이터를 생성했으므로 이제 작업 영역에 추가된 활동 데이터를 살펴보겠습니다.

  1. Microsoft Sentinel에서 데이터 커넥터를 선택합니다.

  2. Azure Activity 데이터 커넥터를 검색하여 선택합니다.

  3. 커넥터의 세부 정보 창에서 커넥터 페이지 열기를 선택합니다.

  4. 데이터 커넥터의 상태를 검토합니다. 연결됨이어야 합니다.

    상태가 연결된 것으로 표시된 Azure 작업에 대한 데이터 커넥터의 스크린샷.

  5. 차트 위의 왼쪽 창에서 로그 분석으로 이동을 선택합니다.

  6. 창 위쪽의 새 쿼리 1 탭에서 +를 선택하여 새 쿼리 탭을 추가합니다.

  7. 쿼리 창에서 다음 쿼리를 실행하여 작업 영역에 수집된 활동 데이터를 확인합니다.

     AzureActivity
    

    Azure 활동 쿼리에 대해 반환된 결과가 있는 로그 쿼리 창의 스크린샷.

다음 단계

이 빠른 시작에서는 Microsoft Sentinel을 사용하도록 설정하고 콘텐츠 허브에서 솔루션을 설치했습니다. 그런 다음, Microsoft Sentinel로 데이터 수집을 시작하도록 데이터 커넥터를 설정했습니다. 또한 작업 영역에서 데이터를 확인하여 데이터가 수집되고 있는지 확인했습니다.