보안 운영 최적화
SOC(보안 운영 센터) 팀은 프로세스와 결과를 모두 최적화할 수 있는 기회를 적극적으로 찾습니다. 환경의 위험에 대해 조치를 취하는 데 필요한 모든 데이터를 확보하는 동시에 필요한 것보다 더 많은 데이터를 수집하는 데 비용을 지불하지 않기를 원합니다. 동시에 팀은 위협 환경과 비즈니스 우선 순위가 변화함에 따라 정기적으로 보안 제어를 조정하고 신속하고 효율적으로 조정하여 높은 투자 수익률을 유지해야 합니다.
SOC 최적화는 보안 제어를 최적화할 수 있는 방법을 제시하여 시간이 지남에 따라 Microsoft 보안 서비스로부터 더 많은 가치를 얻습니다.
SOC 최적화는 SOC 요구 사항이나 적용 범위에 영향을 주지 않고 비용을 절감할 수 있는 영역 또는 누락된 것으로 확인된 보안 제어 및 데이터를 추가할 수 있는 영역을 식별하는 데 도움이 되는 충실도가 높고 실행 가능한 권장 사항입니다. SOC 최적화는 현재 적용 범위와 위협 환경을 기반으로 환경에 맞게 조정됩니다.
SOC 최적화 권장 사항을 사용하면 특정 위협에 대한 적용 범위 간격을 줄이고 보안 가치를 제공하지 않는 데이터에 대한 수집 속도를 강화할 수 있습니다. SOC 최적화는 SOC 팀이 수동 분석 및 연구에 시간을 소비하지 않고도 Microsoft Sentinel 작업 영역을 최적화하는 데 도움이 됩니다.
Important
이제 Microsoft Sentinel이 Microsoft Defender 포털의 Microsoft 통합 보안 운영 플랫폼 내에서 일반 공급됩니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.
Defender 포털의 SOC 최적화에 대한 개요 및 데모를 보려면 다음 동영상을 시청합니다. 데모를 확인하려면 8분 14초로 이동합니다.
필수 조건
SOC 최적화는 표준 Microsoft Sentinel 역할 및 권한을 사용합니다. 자세한 내용은 Microsoft Sentinel의 역할 및 권한을 참조하세요.
Microsoft Defender 포털에서 SOC 최적화를 사용하려면 Microsoft Defender XDR과 통합된 Microsoft Sentinel이 있어야 합니다. 자세한 내용은 Microsoft Sentinel을 Microsoft Defender XDR에 연결을 참조하세요.
SOC 최적화 페이지에 액세스
통합 SOC 운영 플랫폼에서 작업하는지 아니면 Azure Portal에서 작업하는지에 따라 다음 탭 중 하나를 사용합니다.
Azure Portal의 Microsoft Sentinel에 있는 위협 관리에서 SOC 최적화를 선택합니다.
SOC 최적화 개요 메트릭 이해
개요 탭 상단에 표시되는 최적화 메트릭은 데이터를 얼마나 효율적으로 사용하고 있는지에 대한 높은 수준의 이해를 제공하며 권장 사항을 구현함에 따라 시간이 지남에 따라 변경됩니다.
개요 탭 상단에서 지원되는 메트릭은 다음과 같습니다.
타이틀 | 설명 |
---|---|
지난 3개월 동안 수집된 데이터 | 지난 3개월 동안 작업 영역에서 수집된 총 데이터를 표시합니다. |
최적화 상태 | 현재 활성 상태, 완료 및 해제된 권장 최적화 수를 표시합니다. |
관련 위협, 활성 및 권장 검색, 적용 범위 수준의 전체 목록을 보려면 모든 위협 시나리오 보기를 선택합니다.
최적화 권장 사항 보기 및 관리
Azure Portal에서 SOC 최적화 권장 사항은 SOC 최적화 > 개요 탭에 나열됩니다.
예시:
각 최적화 카드에는 상태, 제목, 만든 날짜, 개략적인 설명, 적용되는 작업 영역이 포함됩니다.
참고 항목
SOC 최적화 권장 사항은 24시간마다 계산됩니다.
필터 최적화
최적화 형식을 기준으로 최적화를 필터링하거나 측면에 있는 검색 상자를 사용하여 특정 최적화 제목을 검색합니다. 최적화 형식은 다음과 같습니다.
적용 범위: 다양한 형식의 공격에 대한 적용 범위 간격을 줄이는 데 도움이 되는 보안 제어 추가에 대한 위협 기반 권장 사항이 포함되어 있습니다.
데이터 값: 수집된 데이터의 보안 값을 최대화하기 위해 데이터 사용량을 개선하는 방법을 제안하거나 조직을 위한 더 나은 데이터 요금제를 제안하는 권장 사항이 포함됩니다.
최적화 세부 정보 보기 및 작업 수행
각 최적화 카드에서 전체 세부 정보 보기를 선택하면 권장 사항을 도출한 관찰 내용에 대한 전체 설명과 해당 권장 사항이 구현될 때 환경에 표시되는 값을 볼 수 있습니다.
권장 작업을 수행할 수 있는 링크를 보려면 세부 정보 창 아래쪽으로 스크롤합니다. 예시:
- 최적화에 분석 규칙을 추가하기 위한 권장 사항이 포함된 경우 콘텐츠 허브로 이동을 선택합니다.
- 최적화에 테이블을 기본 로그로 이동하라는 권장 사항이 포함된 경우 계획 변경을 선택합니다.
콘텐츠 허브에서 분석 규칙 템플릿을 설치하도록 선택했지만 솔루션이 아직 설치되어 있지 않은 경우 설치가 완료되면 설치한 분석 규칙 템플릿만 솔루션에 표시됩니다. 선택한 솔루션에서 사용 가능한 모든 콘텐츠 항목을 보려면 전체 솔루션을 설치합니다. 자세한 내용은 Microsoft Sentinel 기본 제공 콘텐츠 검색 및 관리를 참조하세요.
최적화 관리
기본적으로 최적화 상태는 활성입니다. 팀이 권장 사항을 분류하고 구현하는 과정을 진행하면서 상태를 변경합니다.
옵션 메뉴를 선택하거나 전체 세부 정보 보기를 선택하여 다음 작업 중 하나를 수행합니다.
작업 | 설명 |
---|---|
Complete | 각 권장 작업을 완료한 후 최적화를 완료합니다. 권장 사항을 관련성 없게 만드는 환경 변화가 검색되면 최적화가 자동으로 완료되고 완료됨 탭으로 이동됩니다. 예를 들어, 이전에 사용하지 않은 테이블과 관련된 최적화가 있을 수 있습니다. 이제 테이블이 새 분석 규칙에서 사용되는 경우 최적화 권장 사항은 이제 관련이 없습니다. 이러한 경우 마지막 방문 이후 자동으로 완료된 최적화 횟수와 함께 개요 탭에 배너가 표시됩니다. |
진행 중으로 표시 / 활성으로 표시 | 최적화를 진행 중 또는 활성으로 표시하여 다른 팀 멤버에게 사용자가 적극적으로 작업하고 있음을 알립니다. 조직의 필요에 따라 유연하면서도 일관되게 이 두 가지 상태를 사용합니다. |
해제 | 권장 조치를 취할 계획이 없고 더 이상 목록에 표시하지 않으려면 최적화를 닫으세요. |
피드백 제공하기 | 권장 작업에 대한 사용자의 생각을 Microsoft 팀과 공유해 보시기 바랍니다! 피드백을 공유할 때 기밀 데이터를 공유하지 않도록 주의해야 합니다. 자세한 내용은 Microsoft 개인정보처리방침를 참조하세요. |
완료 및 해제된 최적화 보기
특정 최적화를 완료됨 또는 해제됨으로 표시했거나 최적화가 자동으로 완료된 경우 각각 완료됨 및 해제됨 탭에 나열됩니다.
여기에서 옵션 메뉴를 선택하거나 전체 세부 정보 보기를 선택하여 다음 작업 중 하나를 수행합니다.
최적화를 다시 활성화하여 개요 탭으로 다시 보냅니다. 다시 활성화된 최적화는 가장 최근에 업데이트된 값과 작업을 제공하기 위해 다시 계산됩니다. 이러한 세부 정보를 다시 계산하는 데 최대 1시간이 걸릴 수 있으므로 세부 정보 및 권장 작업을 다시 확인하기 전에 기다려주세요.
다시 활성화된 최적화는 세부 정보를 다시 계산한 후 더 이상 관련이 없는 것으로 확인된 경우 완료됨 탭으로 직접 이동할 수도 있습니다.
Microsoft 팀에 추가 피드백을 제공합니다. 피드백을 공유할 때 기밀 데이터를 공유하지 않도록 주의해야 합니다. 자세한 내용은 Microsoft 개인정보처리방침를 참조하세요.
SOC 최적화 사용 흐름
이 섹션에서는 Defender 또는 Azure Portal에서 SOC 최적화를 사용하기 위한 샘플 흐름을 제공합니다.
SOC 최적화 페이지에서 대시보드를 이해하는 것부터 시작합니다.
- 전반적인 최적화 상태에 대한 주요 메트릭을 관찰합니다.
- 데이터 값 및 위협 기반 적용 범위에 대한 최적화 권장 사항을 검토합니다.
최적화 권장 사항을 사용하여 사용량이 낮은 테이블을 식별하여 검색에 사용되지 않음을 나타냅니다. 사용되지 않은 데이터의 크기와 비용을 보려면 전체 세부 정보 보기를 선택합니다. 다음 작업 중 하나를 고려합니다.
강화된 보호를 위해 테이블을 사용하려면 분석 규칙을 추가합니다. 이 옵션을 사용하려면 콘텐츠 허브로 이동을 선택하여 선택한 테이블을 사용하는 특정 기본 분석 규칙 템플릿을 보고 구성합니다. 콘텐츠 허브에서는 관련 규칙으로 직접 이동하므로 관련 규칙을 검색할 필요가 없습니다.
새로운 분석 규칙에 추가 로그 원본이 필요한 경우 이를 수집하여 위협 범위를 개선하는 것이 좋습니다.
자세한 콘텐츠는 기본적으로 제공되는 Microsoft Sentinel 콘텐츠 검색 및 관리 및 기본적으로 위협 검색을 참조하세요.
비용 절감을 위해 약정 계층을 변경합니다. 자세한 내용은 Microsoft Sentinel의 비용 절감을 참조하세요.
특정 위협에 대한 적용 범위를 개선하려면 최적화 권장 사항을 사용합니다. 예를 들어, 사람이 운영하는 랜섬웨어 최적화의 경우:
현재 적용 범위와 제안된 개선 사항을 보려면 전체 세부 정보 보기를 선택합니다.
MITRE ATT&CK 기술 개선 모두 보기를 선택하면 관련 전술과 기술을 드릴다운하고 분석하여 적용 범위 간격을 이해하는 데 도움이 됩니다.
이 최적화를 위해 특별히 필터링된 모든 권장 보안 콘텐츠를 보려면 콘텐츠 허브로 이동을 선택합니다.
새 규칙을 구성하거나 변경한 후 권장 사항을 완료로 표시하거나 시스템이 자동으로 업데이트되도록 합니다.