다음을 통해 공유


Microsoft Sentinel 기본 제공 콘텐츠 중앙 집중화 변경

Microsoft Sentinel 콘텐츠 허브를 사용하면 단일 단계에서 OOTB(기본 제공) 콘텐츠 및 솔루션을 검색하고 주문형으로 설치할 수 있습니다. 이전에는 이 OOTB 콘텐츠 중 일부는 Microsoft Sentinel의 다양한 갤러리 섹션에만 존재했습니다. 이제 다음 갤러리 콘텐츠 템플릿은 모두 콘텐츠 허브에서 독립 실행형 항목 또는 패키지 솔루션의 일부로 사용할 수 있습니다.

  • 데이터 커넥터
  • 분석 규칙 템플릿
  • 헌팅 쿼리
  • 플레이북 템플릿
  • 통합 문서 템플릿

콘텐츠 허브 변경

모든 OOTB 콘텐츠를 중앙 집중화하기 위해 갤러리 전용 콘텐츠 템플릿을 사용 중지했습니다. 레거시 갤러리 콘텐츠 템플릿은 더 이상 일관되게 업데이트되지 않으며 콘텐츠 허브는 OOTB 콘텐츠가 최신 상태로 유지되는 곳입니다. 또한 콘텐츠 허브는 솔루션에 대한 업데이트된 워크플로와 독립 실행형 콘텐츠에 대한 자동 업데이트를 제공합니다.

이러한 전환을 용이하게 하기 위해 해당 콘텐츠 허브 솔루션에서 사용되는 사용 중지된 템플릿을 복원하는 중앙 도구를 게시했습니다.

중앙 도구를 사용하여 사용되는 사용 중지된 템플릿 복원

콘텐츠 허브 중앙 집중화 변경이 완료되었으므로 중앙 도구 복원 프로세스를 완료하는 방법에 대한 개요는 다음과 같습니다.

  1. 경고 배너에서 링크를 선택하여 사용되는 사용 중지된 갤러리 전용 콘텐츠 템플릿을 복원합니다.

    이 스크린샷은 통합 문서 갤러리에 있는 경고 배너의 예를 보여줍니다. Screenshot showing orange warning banner with link to initiate central tool.

  2. 링크를 선택하고 페이지를 주의 깊게 읽습니다.

  3. 계속을 선택하고 도구에서 생성하는 콘텐츠 목록을 검토합니다.

    Screenshot shows central tool page including details on how to use it.

  4. 중앙 집중화 완료를 선택하여 설치를 시작합니다. 선택 영역이 고정되어 있으며 변경할 수 없습니다.

    Screenshot shows the list of content the tool generates.

데이터 커넥터 페이지 변경

이제 모든 데이터 커넥터가 솔루션의 일부입니다. 이전에는 대시보드 시각화(현재 통합 문서라고 함)를 승격하고 샘플 KQL 쿼리를 제공하기 위해 데이터 커넥터 페이지의 다음 단계 탭에 이러한 항목 중 몇 가지를 포함했습니다. 데이터 커넥터와 함께 모든 솔루션 구성 요소를 관리하는 새 솔루션 콘텐츠 동작을 위해 데이터 커넥터 페이지의 다음 단계 부분을 더 이상 사용하지 않았습니다.

업데이트된 동작을 경험하는 핵심은 콘텐츠 허브에서 시작하는 것입니다. 이전 동작과 새 환경을 비교하려면 Azure 활동 데이터 커넥터를 검토합니다. 콘텐츠 허브에서 솔루션을 설치하고 관리를 선택하면 전체 솔루션을 검사할 수 있습니다. Azure 활동 데이터 커넥터의 시각화를 원하는 경우 통합 문서의 템플릿을 확인합니다. KQL 쿼리를 보려면 데이터 테이블로 시작합니다. 고급 쿼리의 경우 분석 규칙 및 헌팅 쿼리를 확인합니다.

새 솔루션 콘텐츠 동작에 대한 자세한 내용은 OOTB 콘텐츠 검색 및 배포를 참조하세요.

찾고 있는 타사 데이터 커넥터에 대한 특정 샘플 쿼리가 있는 경우 여전히 모든 커넥터 인덱스에 게시합니다. 예를 들어 Jamf Protect 커넥터에 대한 샘플 쿼리는 다음과 같습니다.

Microsoft Sentinel GitHub 변경 사항

Microsoft Sentinel에는 Microsoft 및 커뮤니티에서 심사한 커뮤니티 기여 대한 공식 GitHub 리포지토리가 있습니다. 콘텐츠 허브에 있는 대부분의 콘텐츠 항목에 대한 출처입니다.

이 콘텐츠를 일관되게 검색하기 위해 OOTB 콘텐츠 중앙 집중화 변경 내용이 이미 Microsoft Sentinel GitHub 리포지토리로 확장되었습니다.

  • 콘텐츠 허브 솔루션에서 패키지된 모든 OOTB 콘텐츠는 이제 GitHub 리포지토리의 솔루션 폴더에 저장됩니다.
  • 모든 독립 실행형 OOTB 콘텐츠 항목은 해당 위치에 유지됩니다.

콘텐츠 허브 및 Microsoft Sentinel GitHub 리포지토리에 대한 이러한 변경은 Microsoft Sentinel 콘텐츠를 중앙 집중화하는 과정을 완료합니다.

언제 변경되나요?

중앙 집중화 변경이 릴리스되었습니다! Microsoft Sentinel GitHub 변경이 이미 이루어졌습니다. 독립 실행형 콘텐츠는 기존 GitHub 폴더에서 사용할 수 있으며 솔루션 콘텐츠가 솔루션 폴더로 이동되었습니다.

다음 단계 탭의 변경이 이미 완료되었습니다.

변경 범위

이 변경은 템플릿의 갤러리 콘텐츠 형식으로만 범위가 지정됩니다. 이러한 모든 동일한 템플릿 및 더 많은 OOTB 콘텐츠는 솔루션 또는 독립 실행형 콘텐츠로 콘텐츠 허브에서 사용할 수 있습니다.

Microsoft Sentinel GitHub 리포지토리의 경우 콘텐츠 허브의 솔루션에 패키지된 OOTB 콘텐츠는 이제 GitHub 리포지토리의 솔루션 폴더 아래에만 나열됩니다. 다른 기존 GitHub 콘텐츠는 다음 폴더로 범위가 지정되며 독립 실행형 콘텐츠 항목만 포함합니다. 이 목록에 언급되지 않은 나머지 GitHub 폴더의 콘텐츠에는 변경되는 사항이 없습니다.

변경되지 않는 항목

이 변경은 활성 또는 사용자 지정 항목(템플릿에서 만든 항목 또는 기타 항목)에 영향을 주지 않습니다. 특히 이 변경은 다음 항목에 영향을 주지 않습니다.

  • 상태 = 연결됨이 있는 데이터 커넥터.
  • 분석 갤러리의 활성 규칙 탭에서 경고 규칙 또는 검색(사용 또는 사용 안 함).
  • 통합 문서 갤러리의 내 통합 문서 탭에 저장된 통합 문서.
  • 헌팅 갤러리에서 복제된 콘텐츠 또는 콘텐츠 원본 = 사용자 지정.
  • 자동화 갤러리의 활성 플레이북 탭에 있는 활성 플레이북(사용 또는 사용 안 함).

이 변경은 콘텐츠 허브에서 설치된 OOTB 콘텐츠 템플릿에도 영향을 주지 않습니다( 콘텐츠 원본 = 콘텐츠 허브로 식별 가능).

변경 내용은?

이제 모든 템플릿 갤러리에 제품 내 경고 배너가 표시됩니다. 이 배너에는 Microsoft Sentinel 포털 내에서 실행되는 도구에 대한 링크가 포함되어 있습니다. 도구를 활성화하면 콘텐츠 허브에서 사용되는 사용 중지된 템플릿에 대한 콘텐츠 템플릿을 복원하는 단계별 환경이 시작됩니다.

이 도구는 작업 영역당 한 번만 실행해야 하므로 조직과 함께 계획해야 합니다. 도구가 성공적으로 실행되면 해당 작업 영역의 템플릿 갤러리에서 경고 배너가 사라집니다.

다음 표에서는 각 갤러리의 콘텐츠 템플릿에 미치는 특정 영향을 나열합니다. 이제 OOTB 콘텐츠 중앙 집중화가 라이브 상태이므로 이러한 변경이 이루어질 것입니다.

내용 유형 영향
데이터 커넥터 콘텐츠 원본 = 갤러리 콘텐츠로 식별할 수 있는 템플릿 및 상태 = 연결되지 않음은 데이터 커넥터 갤러리에 더 이상 표시되지 않습니다.
분석 원본 이름 = 갤러리 콘텐츠로 식별할 수 있는 템플릿은 분석 갤러리에 더 이상 표시되지 않습니다.
헌팅 콘텐츠 원본 = 갤러리 콘텐츠가 있는 템플릿은 더 이상 헌팅 갤러리에 표시되지 않습니다.
Playbooks 원본 이름 = 갤러리 콘텐츠로 식별할 수 있는 템플릿은 자동화 플레이북 갤러리에 더 이상 표시되지 않습니다.
통합 문서 콘텐츠 원본 = 갤러리 콘텐츠가 있는 템플릿은 더 이상 통합 문서 갤러리에 표시되지 않습니다.

다음은 중앙 집중화가 변경되고 도구가 실행되기 전과 후에 분석 규칙의 예입니다.

  • 활성 분석 규칙은 전혀 변경되지 않습니다. 사용 중지될 분석 규칙 템플릿을 기반으로 합니다.

    Screenshot that shows an active analytics rule before centralization changes.

    이 스크린샷은 사용 중지될 분석 규칙 템플릿을 보여줍니다.

    Screenshot that shows the analytics rule template that will be retired.

  • 분석 규칙 템플릿을 복원하기 위해 도구를 실행한 후 원본이 복원된 솔루션으로 변경됩니다.

    Screenshot that shows the analytics rule template after being reinstated from the content hub Microsoft Entra solution.

작업 필요

  • 콘텐츠 허브에서 새 OOTB 콘텐츠를 설치하고 필요에 따라 솔루션을 업데이트하여 최신 버전의 템플릿을 제공합니다.
  • 사용 중인 기존 갤러리 콘텐츠 템플릿의 경우 콘텐츠 허브에서 솔루션 또는 독립 실행형 콘텐츠 항목을 설치하여 향후 업데이트를 받으세요. 기능 갤러리의 갤러리 콘텐츠가 최신이 아닐 수 있습니다.
  • Microsoft Sentinel GitHub 리포지토리에서 OOTB 콘텐츠를 직접 가져오는 애플리케이션 또는 프로세스가 있는 경우 기존 콘텐츠 폴더 외에도 솔루션 폴더에서 OOTB 콘텐츠 가져오기를 포함하도록 위치를 업데이트합니다.
  • 이제 경고 배너 및 변경이 라이브 상태가 되었으므로 조직과 함께 누가 언제 도구를 실행할지 계획합니다. 콘텐츠 허브에서 사용되는 사용 중지된 모든 템플릿을 복원하려면 작업 영역에서 이 도구를 한 번 실행해야 합니다.
  • 환경에 적용될 수 있는 자세한 내용은 다음 FAQ를 검토하세요.

콘텐츠 중앙 집중화 FAQ

이 변경이 SOC 경고 생성 또는 인시던트 생성 및 관리에 영향을 주나요?

아니요. 활성 경고 규칙 또는 검색, 활성 플레이북, 복제된 헌팅 쿼리 또는 저장된 통합 문서는 영향을 받지 않습니다. OOTB 콘텐츠 중앙 집중화 변경은 현재 인시던트 생성 및 관리 프로세스에 영향을 주지 않습니다.

예. 다음 유형의 분석 규칙 템플릿은 이 변경에서 제외됩니다.

  • 변칙 규칙 템플릿
  • Fusion 규칙 템플릿
  • ML 동작 분석(기계 학습) 규칙 템플릿
  • Microsoft 보안(인시던트 생성) 규칙 템플릿
  • 위협 인텔리전스 규칙 템플릿

이 변경이 API에 영향을 주나요?

예. 현재 콘텐츠 템플릿 관리에 존재하는 유일한 Microsoft Sentinel REST API 호출은 경고 규칙 템플릿에 대한 GetList 작업입니다. 이러한 작업은 갤러리 콘텐츠 템플릿만 표시하며 업데이트되지 않습니다. 이러한 작업에 대한 자세한 내용은 현재 경고 규칙 템플릿 REST API 참조를 참조하세요.

콘텐츠 허브의 새로운 REST API 작업을 곧 사용할 수 있게 되어 OOTB 콘텐츠 관리 시나리오를 보다 광범위하게 사용할 수 있습니다. 이 API 업데이트에는 중앙 집중화 변경(데이터 커넥터, 플레이북 템플릿, 통합 문서 템플릿, 분석 규칙 템플릿, 헌팅 쿼리)에서 범위가 지정된 동일한 콘텐츠 형식에 대한 작업이 포함됩니다. 작업 영역에 설치된 분석 규칙 템플릿을 업데이트하는 메커니즘도 로드맵에 있습니다.

필요한 작업: 사용 가능한 경우 콘텐츠 허브에서 새 OOTB 콘텐츠 관리 API 작업을 사용하도록 애플리케이션 및 프로세스를 업데이트할 계획입니다. 원래 2023년 2분기에 사용할 수 있다고 표현했지만 아직 준비되지 않았습니다.

중앙 도구는 사용 중인 OOTB 콘텐츠 템플릿을 어떻게 식별합니까?

이 도구는 상태 = 연결됨사용되는 플레이북 템플릿이 있는 데이터 커넥터의 두 가지 기준에 따라 솔루션 목록을 빌드합니다. 도구가 제안된 솔루션 목록을 빌드한 후 승인 목록을 표시합니다. 목록이 승인되면 도구는 이러한 모든 솔루션을 설치합니다. OOTB 콘텐츠는 솔루션에 따라 복원되므로 실제로 사용하는 것보다 더 많은 템플릿을 가져올 수 있습니다.

이 중앙 도구는 사용되는 OOTB 콘텐츠 템플릿을 콘텐츠 허브에서 복원하기 위한 최선의 노력입니다. 생략된 OOTB 콘텐츠를 콘텐츠 허브에서 직접 설치할 수 있습니다.

API를 사용하여 Microsoft Sentinel 작업 영역의 데이터 원본을 연결하는 경우 어떻게 해야 하나요?

현재 API 데이터 연결이 데이터 커넥터 데이터 형식과 일치하는 경우 데이터 커넥터 갤러리에 상태 = 연결됨으로 표시됩니다. 중앙 집중화 변경이 라이브 상태가 된 후에는 동일한 동작을 얻으려면 각 솔루션에서 특정 데이터 커넥터를 설치해야 합니다.

필요한 작업: 데이터 수집 API와 연결하기 전에 콘텐츠 허브 솔루션에서 설치할 데이터 커넥터 배포에 대한 프로세스 또는 도구를 업데이트할 계획입니다. 솔루션을 설치하기 위한 REST API 운영자는 OOTB 콘텐츠 관리 API를 사용하여 2023년 2분기에 출시될 예정입니다.

Microsoft Sentinel에서 리포지토리 기능을 사용하여 콘텐츠로 작업하는 경우 어떻게 해야 하나요?

리포지토리는 특히 Microsoft Sentinel에서 사용자 지정 또는 활성 콘텐츠를 배포합니다. OOTB 콘텐츠 중앙 집중화 변경은 리포지토리 기능을 통해 배포된 콘텐츠에 영향을 주지 않습니다.

작업 영역 관리자의 배포 그룹에 영향을 주나요?

리포지토리와 마찬가지로 작업 영역 관리자는 사용자 지정 또는 활성 콘텐츠만 배포하므로 OOTB 콘텐츠 중앙 집중화 변경은 작업 영역 관리자를 통해 배포된 콘텐츠에도 영향을 주지 않습니다.

다음 단계

OOTB 콘텐츠 및 콘텐츠 허브에 대한 다른 리소스를 살펴보세요.