소개
Microsoft Sentinel을 배포하고 데이터 원본에 연결하여 엔터프라이즈 전체의 보안 경고에 대한 실시간 분석을 제공합니다.
뉴욕시에 지사가 있는 런던의 중소 금융 서비스 회사에 근무한다고 가정해 봅니다. 조직 환경에는 다음 제품과 서비스가 있습니다.
- Microsoft 365
- Microsoft Entra ID
- Microsoft Entra ID 보호
- Microsoft Defender for Cloud 앱
- Microsoft Defender for Cloud
- Microsoft Defender XDR
- Microsoft Purview 정보 보호
- Microsoft Intune
조직은 클라우드용 Microsoft Defender의 무료 클라우드 보안 태세 관리 기능을 사용합니다. 그러나 Azure와 온-프레미스에서 실행되는 리소스를 위협으로부터 보호하기 위해 표준 유료 버전으로 전환할 계획입니다. 조직에는 모니터링하고 보호할 타사 자산도 있습니다.
조직의 보안 분석가에게 심사는 막중한 부담이 됩니다. 여러 제품에서 생성된 대량 경고를 처리합니다. 보안 분석가는 다음과 같은 방법으로 경고의 상관관계를 지정합니다.
- 여러 제품 대시보드에서 수동으로 지정
- 기존 상관관계 엔진을 통해 지정
또한 IT 인프라를 설정하고 유지 관리하는 데 시간이 너무 걸려 SecOps(보안 운영) 팀이 보안 업무를 수행하기 어렵습니다.
IT 이사는 Microsoft Sentinel을 통해 보안 분석가가 복잡한 조사를 더 빠르게 수행하고 SecOps를 개선할 수 있다고 생각합니다.
조직의 책임 시스템 엔지니어이자 Azure 관리자인 여러분은 개념 증명 평가판 환경을 구축하라는 요청을 받습니다. 이 평가판은 Microsoft Sentinel을 통해 조직의 SecOps 팀이 실제 피해가 발생하기 전에 사이버 공격을 효율적으로 식별하고 중단할 수 있는지 여부를 확인합니다.
이 모듈에서는 다음을 비롯한 Microsoft Sentinel 배포 고려 사항에 대해 알아봅니다.
- 역할 및 권한 구성
- Microsoft Sentinel에 데이터 원본 연결
- Microsoft Sentinel 로그 데이터 관리
학습 목표
이 모듈을 완료하면 다음을 수행할 수 있습니다.
- Microsoft Sentinel을 사용하도록 설정합니다.
- Microsoft Sentinel의 커넥터를 모니터링할 서비스로 배포합니다.
- 커넥터에서 수집한 Microsoft Sentinel 로그 데이터를 관리합니다.