기본적으로 제공되는 Microsoft Sentinel 콘텐츠 발견 및 관리

  • 아티클
  • 적용 대상:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal.

Microsoft Sentinel 콘텐츠 허브는 기본 제공 콘텐츠를 검색하고 관리할 수 있는 중앙 집중식 위치입니다. 도메인 또는 산업별 엔드투엔드 제품에 대한 패키지 솔루션을 찾을 수 있습니다. 또한 GitHub 리포지토리 및 기능 블레이드에서 호스트되는 수많은 독립 실행형 기여에 액세스할 수 있습니다.

  • 상태, 콘텐츠 형식, 지원, 공급자, 범주를 기반으로 일관된 필터링 기능 집합을 사용하여 솔루션 및 독립 실행형 콘텐츠를 검색합니다.

  • 한 번에 또는 개별적으로 작업 영역에 콘텐츠를 설치합니다.

  • 목록 보기에서 콘텐츠를 보고 업데이트가 있는 솔루션을 빠르게 확인할 수 있습니다. 독립 실행형 콘텐츠가 자동으로 업데이트되는 동안 솔루션을 한 번에 모두 업데이트합니다.

  • 솔루션을 관리하며 그 콘텐츠 형식을 설치하고 최신 변경 내용을 가져옵니다.

  • 최신 템플릿을 기반으로 새 활성 항목을 만들도록 독립 실행형 콘텐츠를 구성합니다.

고유한 솔루션을 만들려는 파트너인 경우 Microsoft Sentinel 솔루션 빌드 가이드에서 솔루션 작성 및 게시 방법을 참조하세요.

Important

Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼의 공개 미리 보기의 일부로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

필수 조건

콘텐츠 허브에서 독립 실행형 콘텐츠 또는 솔루션을 설치, 업데이트, 삭제하려면 리소스 그룹 수준에서 Microsoft Sentinel 기여자 역할이 있어야 합니다.

Microsoft Sentinel에 대해 지원되는 다른 역할 및 권한에 대한 자세한 내용은 Microsoft Sentinel의 권한을 참조하세요.

콘텐츠 검색

콘텐츠 허브에서 새 콘텐츠를 찾거나 설치된 솔루션을 관리하기가 가장 좋습니다.

  1. Azure Portal의 Microsoft Sentinel에서는, 콘텐츠 관리에서 콘텐츠 허브를 선택합니다.
    Defender 포털의 Microsoft Sentinel에서는, Microsoft Sentinel>콘텐츠 관리>콘텐츠 허브를 선택합니다.

    콘텐츠 허브 페이지에는 검색이 가능한 그리드 또는 솔루션 및 독립 실행형 콘텐츠 목록이 표시됩니다.

  2. 필터에서 특정 값을 선택하거나 검색 필드에 콘텐츠 이름이나 설명의 일부를 입력하여 표시되는 목록을 필터링합니다.

    자세한 내용은 Microsoft Sentinel 기본 제공 콘텐츠 및 솔루션 범주를 참조하세요.

  3. 카드 보기를 선택하여 솔루션에 대한 자세한 정보를 봅니다.

    각 콘텐츠 항목에는 해당 항목에 적용되는 범주가 표시되고 솔루션에는 포함된 콘텐츠 형식이 표시됩니다. 예를 들어, 다음 이미지에서 Cisco Umbrella 솔루션은 해당 범주 중 하나를 보안 - 클라우드 보안으로 나열하고 데이터 커넥터, 분석 규칙, 헌팅 쿼리, 플레이북 등을 포함하고 있음을 나타냅니다.

콘텐츠 설치 또는 업데이트

독립 실행형 콘텐츠와 솔루션을 개별적으로 설치하거나 모두 대량으로 설치합니다. 대량 작업에 대한 자세한 내용은 다음 섹션에서 콘텐츠 대량 설치 및 업데이트를 참조하세요.

배포한 솔루션에 마지막으로 배포한 이후의 업데이트가 있는 경우 목록 보기의 상태 열에 업데이트가 표시됩니다. 솔루션은 페이지 맨 위에 있는 업데이트 개수에도 포함됩니다.

개별 솔루션의 설치를 보여 주는 예제는 다음과 같습니다.

  1. 콘텐츠 허브에서 솔루션을 검색하고 선택합니다.

  2. 솔루션 세부 정보 창의 오른쪽 아래에서 세부 정보 보기를 선택합니다.

  3. 만들기 또는 업데이트를 선택합니다.

  4. 탭에서 솔루션을 배포할 구독, 리소스 그룹 및 작업 영역을 입력합니다. 예시:

    기본 탭을 보여주는 솔루션 설치 마법사의 스크린샷

  5. 다음을 선택하여 나머지 탭을 살펴보고 경우에 따라 각 콘텐츠 구성 요소를 구성합니다.

    탭은 솔루션에서 제공하는 콘텐츠와 일치합니다. 솔루션마다 콘텐츠 형식이 다를 수 있으므로 솔루션에 동일한 탭이 모두 표시되지 않을 수 있습니다.

    Microsoft Sentinel이 시스템에 인증할 수 있도록 타사 서비스에 대한 자격 증명을 입력하라는 메시지가 표시될 수도 있습니다. 예를 들어 플레이북을 사용하여 시스템에 규정된 대로 대응 작업을 수행할 수 있습니다.

  6. 검토 + 만들기 탭에서 Validation Passed 메시지를 기다립니다.

  7. 만들기 또는 업데이트를 선택하여 솔루션을 배포합니다. 자동화를 위한 템플릿 다운로드 링크를 선택하여 솔루션을 코드로 배포할 수도 있습니다.

솔루션 내 각 콘텐츠 형식을 구성하려면 추가 단계가 필요할 수 있습니다. 자세한 내용은 솔루션에서 콘텐츠 항목 사용을 참조하세요.

콘텐츠 대량 설치 및 업데이트

콘텐츠 허브는 기본 카드 보기 외에 목록 보기도 지원합니다. 목록 보기를 선택하여 여러 솔루션 및 독립 실행형 콘텐츠를 한 번에 모두 설치합니다. 독립 실행형 콘텐츠는 자동으로 최신 상태를 유지됩니다. 솔루션 또는 콘텐츠 허브에서 설치된 독립 실행형 콘텐츠를 기반으로 만든 활성 또는 사용자 지정 콘텐츠는 그대로 유지됩니다.

  1. 항목을 대량으로 설치 또는 업데이트하려면 목록 보기로 변경합니다.

  2. 대량으로 설치하거나 업데이트하려는 콘텐츠를 검색하거나 필터링합니다.

  3. 설치하거나 업데이트하려는 각 솔루션 또는 독립 실행형 콘텐츠에 대한 확인란을 선택합니다.

  4. 설치/업데이트 단추를 선택합니다. 여러 솔루션이 선택되고 설치가 진행 중인 솔루션 목록 보기의 스크린샷

    선택한 솔루션 또는 독립 실행형 콘텐츠가 이미 설치되거나 업데이트된 경우 해당 항목에 대해 아무 작업도 수행되지 않습니다. 다른 항목의 업데이트 및 설치를 방해하지 않습니다.

  5. 설치한 각 솔루션에 대해 관리를 선택합니다. 솔루션 내의 콘텐츠 형식을 구성하려면 추가 정보가 필요할 수 있습니다. 자세한 내용은 솔루션에서 콘텐츠 항목 사용을 참조하세요.

솔루션에서 콘텐츠 항목 사용

콘텐츠 허브에서 설치된 솔루션의 콘텐츠 항목을 중앙에서 관리합니다.

  1. 콘텐츠 허브에서 버전이 2.0.0 이상인 설치된 솔루션을 선택합니다.

  2. 솔루션 세부 정보 페이지에서 관리를 선택합니다.

    Azure 활동 콘텐츠 허브 솔루션의 세부 정보 페이지에 있는 관리 단추의 스크린샷

  3. 콘텐츠 항목 목록을 검토합니다.

    Azure 활동 솔루션에 대한 솔루션 설명 및 콘텐츠 항목 목록의 스크린샷

  4. 시작할 콘텐츠 항목을 선택합니다.

각 콘텐츠 형식 관리

다음 섹션에서는 솔루션을 관리할 때 다양한 콘텐츠 형식으로 작업하는 방법에 대한 몇 가지 팁을 제공합니다.

데이터 커넥터

데이터 커넥터를 연결하려면 구성 단계를 완료합니다.

  1. 커넥터 페이지 열기를 선택합니다.

  2. 데이터 커넥터 구성 단계를 완료합니다.

    상태 연결이 끊긴 Azure 활동 솔루션에 대한 데이터 커넥터 콘텐츠 항목의 스크린샷

    데이터 커넥터를 구성하고 로그가 검색되면 상태가 연결됨으로 바뀝니다.

분석 규칙

템플릿에서 규칙을 만들거나 기존 규칙을 편집합니다.

  1. 분석 템플릿 갤러리에서 템플릿을 봅니다.

  2. 템플릿이 아직 사용되지 않은 경우 열기>규칙 만들기를 선택하고, 단계에 따라 분석 규칙을 사용하도록 설정합니다.

    규칙을 만든 후에는 규칙 템플릿에서 만든 활성 규칙의 수가 생성된 콘텐츠 열에 표시됩니다.

  3. 활성 규칙 링크를 선택하여 기존 규칙을 편집합니다. 예를 들어 다음 이미지의 활성 규칙 링크는 생성된 콘텐츠 아래에 있으며 2개 항목을 표시합니다.

    Azure 활동에 대한 솔루션의 분석 규칙 콘텐츠 항목 스크린샷

헌팅 쿼리

제공된 헌팅 쿼리를 실행하거나 사용자 지정합니다.

  1. 바로 검색을 시작하려면 세부 정보 페이지에서 쿼리 실행을 선택하여 빠른 결과를 확인합니다.

    Azure 작업에 대한 솔루션의 복제된 헌팅 쿼리 콘텐츠 항목 스크린샷

  2. 헌팅 쿼리를 사용자 지정하려면 콘텐츠 이름 열에서 링크를 선택합니다.

    헌팅 갤러리에서 줄임표 메뉴로 이동하여 읽기 전용 헌팅 쿼리 템플릿의 복제본을 만들 수 있습니다. 이렇게 생성된 헌팅 쿼리에는 콘텐츠 허브 생성된 콘텐츠 열에 항목으로 표시됩니다.

통합 문서

템플릿에서 만든 통합 문서를 사용자 지정하려면 통합 문서의 인스턴스를 만듭니다.

  1. 템플릿 보기를 선택하여 통합 문서를 열고 시각적 개체를 확인합니다.

  2. 저장을 선택하여 통합 문서 템플릿의 인스턴스를 만듭니다.

  3. 저장된 통합 문서 보기를 선택하여 저장된 사용자 지정 가능한 통합 문서를 봅니다.

  4. 콘텐츠 허브에서 생성된 콘텐츠에 있는 항목 1개 링크를 선택하여 통합 문서를 관리합니다.

    Azure 작업에 대한 솔루션에 저장된 통합 문서 항목의 스크린샷

파서

솔루션이 설치되면 포함된 파서는 Log Analytics에서 작업 영역 함수로 추가됩니다.

  1. 함수 코드 로드를 선택하여 Log Analytics를 열고 함수 코드를 보거나 실행합니다.

  2. 편집기에서 사용을 선택하여 사용자 지정 쿼리에 추가할 준비가 된 파서 이름으로 Log Analytics를 엽니다.

    솔루션의 파서 콘텐츠 형식을 나타내는 스크린샷

플레이 북

템플릿에서 플레이북을 만듭니다.

  1. 플레이북의 콘텐츠 이름 링크를 선택합니다.

  2. 템플릿을 선택하고 플레이북 만들기를 선택합니다.

  3. 플레이북을 만든 후에는 활성 플레이북이 생성된 콘텐츠 열에 표시됩니다.

  4. 활성 플레이북 항목 1개 링크를 선택하여 플레이북을 관리합니다.

    솔루션의 플레이북 형식 콘텐츠 형식 스크린샷

콘텐츠에 대한 지원 모델 찾기

각 솔루션 및 독립 실행형 콘텐츠 항목은 Microsoft 또는 파트너 이름이 나열된 지원 상자의 세부 정보 창에 지원 모델을 설명합니다. 예시:

솔루션에 대한 지원 모델을 찾을 수 있는 위치의 스크린샷

고객 지원팀에 문의할 때 게시자, 공급자, 플랜 ID 값과 같은 솔루션에 대한 기타 세부 정보가 필요할 수도 있습니다. 사용 정보 및 지원 탭의 세부 정보 페이지에서 이 정보를 찾습니다.

솔루션에 대한 사용량 및 지원 세부 정보의 스크린샷

다음 단계

이 문서에서는 Microsoft Sentinel에 대한 기본 제공 솔루션 및 독립 실행형 콘텐츠를 찾고 배포하는 방법에 대해 알아보았습니다.

Microsoft Sentinel로 데이터 수집을 시작하기 위해 구성해야 하는 데이터 커넥터가 포함된 솔루션이 많습니다. 각 데이터 커넥터에는 고유한 요구 사항 집합이 있으며, Microsoft Sentinel의 데이터 커넥터 페이지에 자세히 표시됩니다.

자세한 내용은 데이터 원본 연결을 참조하세요.