작업 영역에 대한 액세스는 Azure RBAC를 사용하여 관리됩니다. 일반적으로 Microsoft Sentinel에 대해 활성화된 Log Analytics 작업 영역에 액세스할 수 있는 사용자는 보안 콘텐츠를 비롯한 모든 작업 영역 데이터에도 액세스할 수 있습니다. 관리자는 Azure 역할을 사용하여 팀의 액세스 요구 사항에 따라 Microsoft Sentinel의 특정 기능에 대한 액세스를 구성할 수 있습니다.
그러나 작업 영역의 특정 데이터에 대한 액세스 권한만 있어야 하며 전체 Microsoft Sentinel 환경에는 액세스해서는 안 되는 사용자가 일부 있을 수 있습니다. 예를 들어 소유하고 있는 서버에 대한 Windows 이벤트 데이터에 액세스할 수 있는 비-보안 작업(비 SOC) 팀을 제공하려고 할 수 있습니다.
이러한 경우 작업 영역 또는 특정 Microsoft Sentinel 기능에 대한 액세스 권한을 사용자에게 제공하는 대신 사용자에게 허용된 리소스를 기반으로 RBAC(역할 기반 액세스 제어)를 구성하는 것이 좋습니다. 이 방법은 리소스 컨텍스트 RBAC 설정이라고도 합니다.
사용자가 작업 영역 대신 액세스 가능한 리소스를 통해 Microsoft Sentinel 데이터에 액세스할 수 있는 경우 다음 방법을 사용하여 로그 및 통합 문서를 볼 수 있습니다.
Azure Virtual Machine과 같은 리소스 자체를 통해. 이 방법을 사용하면 특정 리소스에 대한 로그 및 통합 문서만 볼 수 있습니다.
Azure Monitor를 통해. 여러 리소스 및/또는 리소스 그룹에 걸친 쿼리를 만들려는 경우 이 방법을 사용합니다. Azure Monitor에서 로그 및 통합 문서를 탐색하는 경우 하나 이상의 특정 리소스 그룹 또는 리소스에 대한 범위를 정의합니다.
데이터가 Syslog, CEF 또는 Microsoft Entra ID 데이터와 같이 Azure 리소스가 아니거나 사용자 지정 수집기가 수집한 데이터가 아닌 경우 데이터를 식별하고 액세스가 가능하도록 설정하는 데 사용되는 리소스 ID를 수동으로 구성해야 합니다. 자세한 내용은 비 Azure 리소스에 대한 리소스 컨텍스트 RBAC의 명시적 구성을 참조하세요.
또한 리소스 중심 컨텍스트에서는 함수 및 저장된 검색이 지원되지 않습니다. 따라서 구문 분석 및 정규화와 같은 Microsoft Sentinel 기능은 Microsoft Sentinel의 리소스 컨텍스트 RBAC에 대해 지원되지 않습니다.
리소스 컨텍스트 RBAC에 대한 시나리오
다음 표에서는 리소스 컨텍스트 RBAC가 가장 유용한 시나리오를 강조 표시합니다. SOC 팀과 비 SOC 팀 간의 액세스 요구 사항에 대한 차이점을 확인합니다.
요구 사항 유형
SOC 팀
비 SOC 팀
권한
전체 작업 영역
특정 리소스 전용
데이터 액세스
작업 영역의 모든 데이터
팀이 액세스할 수 있는 리소스에 대한 데이터만
환경
전체 Microsoft Sentinel 환경(사용자에게 할당된 기능 권한에 의해 제한될 수 있음)
로그 쿼리 및 통합 문서만
팀이 위의 표에 설명된 비 SOC 팀에 대한 유사한 액세스 요구 사항이 있는 경우 리소스 컨텍스트 RBAC가 조직에 적합한 솔루션일 수 있습니다.
예를 들어 다음 이미지에서는 보안 및 운영 팀에서 다양한 데이터 집합에 액세스해야 하고 리소스 컨텍스트 RBAC를 사용하여 필요한 권한을 제공하는 경우 작업 영역 아키텍처의 간소화된 버전을 보여 줍니다.
이 이미지의 경우
Microsoft Sentinel에 대해 활성화된 Log Analytics 작업 영역은 애플리케이션 팀이 워크로드를 호스트하는 데 사용하는 구독에서 권한을 더 효과적으로 격리하기 위해 별도의 구독에 배치됩니다.
애플리케이션 팀에는 리소스를 관리할 수 있는 해당 리소스 그룹에 대한 액세스 권한이 부여됩니다.
로그가 직접 액세스할 수 없는 작업 영역에 저장된 경우에도 팀은 이 별도의 구독 및 리소스 컨텍스트 RBAC를 통해 액세스 권한이 있는 리소스에서 생성된 로그를 볼 수 있습니다. 애플리케이션 팀은 Azure Portal의 로그 영역을 통해 로그에 액세스하여 특정 리소스에 대한 로그를 표시하거나 Azure Monitor를 통해 동시에 액세스할 수 있는 모든 로그를 표시할 수 있습니다.
비 Azure 리소스에 대한 리소스 컨텍스트 RBAC의 명시적 구성
Azure 리소스에는 리소스 컨텍스트 RBAC에 대한 기본 제공 지원이 있지만, 비 Azure 리소스를 사용하는 경우 추가 미세 조정이 필요할 수 있습니다. 예를 들어 Azure 리소스가 아닌 Microsoft Sentinel에 대해 활성화된 Log Analytics 작업 영역의 데이터에는 Syslog, CEF, AAD 데이터 또는 사용자 지정 수집기에서 수집한 데이터가 포함됩니다.
리소스 컨텍스트 RBAC를 구성하려는 경우에는 다음 단계를 사용합니다. 그러나 데이터는 Azure 리소스가 아닙니다.
리소스 컨텍스트 RBAC를 사용하고 API를 통해 수집되는 이벤트를 특정 사용자가 사용할 수 있도록 하려면 사용자에 대해 만든 리소스 그룹의 리소스 ID를 사용합니다.
리소스 컨텍스트 RBAC의 대안
조직에 필요한 권한에 따라 리소스 컨텍스트 RBAC를 사용하여 전체 솔루션을 제공하지 않을 수 있습니다. 예를 들어 이전 섹션에 설명된 아키텍처의 조직이 내부 감사 팀에도 Office 365 로그에 대한 액세스 권한을 부여해야 하는지 생각해 보세요. 이 경우 테이블 수준 RBAC를 사용하여 다른 테이블에 대한 권한을 부여하지 않고 전체 OfficeActivity 테이블에 대한 액세스 권한을 감사 팀에 부여할 수 있습니다.
다음 목록에서는 데이터 액세스에 대한 다른 솔루션이 요구 사항에 더 적합할 수 있는 시나리오를 설명합니다.
Microsoft Sentinel을 보안 전용의 별도 관리 그룹에 배치하여 최소한의 권한만 그룹 구성원에게 상속되도록 합니다. 보안 팀 내에서 각 그룹 기능에 따라 서로 다른 그룹에 권한을 할당하세요. 모든 팀이 전체 작업 영역에 액세스할 수 있으므로 할당된 Microsoft Sentinel 역할로만 제한되는 전체 Microsoft Sentinel 환경에 액세스할 수 있습니다. 자세한 내용은 Microsoft Sentinel의 권한을 참조하세요.