데이터 원본 연결

  • 10분

Microsoft Sentinel을 사용하도록 설정한 후의 다음 단계는 사용할 서비스에 연결하는 것입니다.

서비스 간 데이터 커넥터

200개가 넘는 바로 사용할 수 있는 데이터 커넥터를 이용해 일반적인 데이터 원본 통합을 지원할 수 있습니다. 해당 애플리케이션에 통신 서비스 계층이 기본 제공되므로 이 커넥터는 ‘서비스 간’으로 분류됩니다. 통신 서비스 계층을 사용하면 Microsoft Sentinel의 커넥터 서비스가 선택한 애플리케이션의 통신 서비스와 통신할 수 있습니다.

기본 서비스 간 커넥터

Microsoft Sentinel은 다음과 같은 많은 Azure 및 Azure 외 서비스 및 제품과 기본적으로 상호 운용됩니다.

  • Azure 활동
  • Microsoft Entra ID(감사 로그 및 로그인 로그)
  • Microsoft Defender for Cloud
  • Microsoft Entra ID 보호
  • Amazon Web Services CloudTrail
  • Microsoft Defender for Cloud 앱
  • Windows DNS
  • Office 365
  • Microsoft Defender XDR
  • Azure 웹 애플리케이션 방화벽
  • Windows Defender 방화벽
  • Windows 보안 이벤트

이러한 솔루션은 기본 상호 운용성을 위해 Azure 기반을 사용하기 때문에 몇 가지 단계만 거치면 Microsoft Sentinel에 연결할 수 있습니다.

API를 통한 외부 솔루션 연결

일부 데이터 원본은 연결된 데이터 원본에서 제공하는 API를 사용하여 연결됩니다. 대부분의 보안 기술은 이벤트 로그를 검색할 수 있는 API 세트를 제공합니다. 예를 들어 이 API는 Microsoft Sentinel에 연결하고, 특정 데이터 형식을 수집하고, 다음과 같은 선택한 Azure Monitor Log Analytics 작업 영역에 데이터를 저장합니다.

  • F5 BIG-IP
  • Forcepoint DLP
  • Perimeter 81 활동 로그
  • Symantec ICDx
  • Zimperium Mobile Threat Defense

Microsoft Entra ID에 연결

데이터를 수집하는 가장 직접적인 방법은 솔루션의 일부로 또는 Microsoft Sentinel의 콘텐츠 허브에서 독립 실행형 콘텐츠로 사용할 수 있는 데이터 커넥터를 사용하는 것입니다.

이 예에서는 Microsoft Sentinel에서 Microsoft Entra ID에 연결합니다.

  1. Azure Portal에서 Microsoft Sentinel을 검색하여 선택합니다.

  2. Microsoft Sentinel의 콘텐츠 관리 섹션에서 콘텐츠 허브를 선택합니다.

  3. Microsoft Entra ID에 대한 솔루션을 찾아 선택합니다.

    Screenshot of the content hub page with Microsoft Entra ID selected.

  4. 위쪽 도구 모음에서 설치/업데이트를 선택합니다.

  5. 왼쪽 메뉴의 구성 섹션에서 데이터 커넥터를 선택합니다. 이 페이지에는 설치된 모든 데이터 커넥터와 해당 상태가 나열됩니다.

    Screenshot of the Microsoft Sentinel connector page with the list of connectors.

  6. 데이터 커넥터 페이지에서 Microsoft Entra ID 타일을 선택합니다. Microsoft Sentinel Microsoft Entra ID 커넥터 페이지가 열립니다.

    Screenshot of the Microsoft Sentinel Microsoft Entra connector page.

  7. 필수 조건을 읽고 이행했는지 확인합니다. 그런 다음, 지침에 따라 데이터 원본을 연결합니다.

  8. Microsoft Entra 로그인 로그Microsoft Entra 감사 로그를 모두 선택합니다.

    Screenshot of the Microsoft Sentinel connector configuration options.

데이터 원본 연결 유효성 검사

데이터 원본을 Microsoft Sentinel에 연결한 후, 연결된 모든 데이터 원본에서 발생하는 사항을 확인할 수 있도록 데이터 시각화와 분석을 가져옵니다.

커넥터가 작동하는지 확인하려면 Azure Portal로 이동합니다. Azure Portal에서 Microsoft Sentinel을 선택한 다음, Microsoft Sentinel을 사용하도록 설정할 때 사용한 작업 영역을 선택합니다.

Screenshot of the Microsoft Sentinel Analytics overview page.

개요 페이지의 본문에서는 작업 영역의 보안 상태에 대한 정보를 제공합니다. 다음 스크린샷은 시간에 따른 이벤트 및 경고 섹션을 보여 줍니다.

Screenshot of the events and alerts over time section.

시간에 따른 이벤트 및 경고 섹션에는 이벤트 수와 이벤트에서 생성된 경고 수가 나열됩니다. 이벤트가 등록되고 있다면 커넥터가 정상적으로 작동함을 알 수 있습니다.

조직의 관리자가 처음으로 연결된 서비스에 따라 일부 경고가 표시되기 전에 지연이 발생할 수 있습니다. 정보 경고가 가장 먼저 표시되어야 합니다.

위협 감지 규칙 템플릿

데이터 원본을 Microsoft Sentinel에 연결한 후 의심스러운 상황이 발생하면 알림이 표시됩니다. 이 작업을 수행하기 위해 Microsoft Sentinel은 있는 그대로 사용하거나 사용자 지정할 수 있는 위협 탐지 규칙 템플릿을 제공합니다. 해당 템플릿은 Microsoft 보안 전문가 및 분석가가 설계한 것입니다. 알려진 위협, 일반적인 공격 벡터, 의심스러운 활동 에스컬레이션 체인을 기반으로 합니다.

템플릿에서 생성된 규칙은 환경에서 의심스러운 활동을 자동으로 검색합니다. 여러 템플릿을 사용자 지정하여 필요에 따라 활동을 검색하거나 필터링할 수 있습니다.

Microsoft Sentinel은 이러한 규칙이 생성하는 경고를 융합 기술을 사용하여 인시던트와의 상관 관계를 형성합니다. 인시던트는 사용자의 환경에서 할당하고 조사하는 조치 가능한 인시던트를 만드는 관련 경고의 그룹입니다. 기본 제공 대시보드에서 로그를 검토하고 Log Analytics에서 쿼리를 작성하여 데이터를 조사할 수 있습니다.

기본 제공 통합 문서

Microsoft Sentinel은 로그 및 쿼리를 분석하는 통합 문서를 제공합니다. 기본 제공 테이블 및 차트 외에도 Azure에서 이미 사용 가능한 도구를 사용합니다. 기본 제공 통합 문서를 사용하거나, 기존 통합 문서를 사용자 지정하거나, 새 통합 문서를 처음부터 만들 수 있습니다.

기본 제공 통합 문서는 연결된 데이터 원본의 통합 데이터를 제공합니다. 서비스를 통해 해당 서비스가 생성하는 이벤트를 검사할 수 있습니다. 통합 문서에는 Microsoft Entra ID, Azure 작업 이벤트 및 온-프레미스 이벤트가 포함됩니다. 이러한 온-프레미스 이벤트에는 서버 또는 Microsoft 경고의 Windows 이벤트 데이터가 포함될 수 있습니다.

타사 서비스에서 이벤트를 수집할 수도 있습니다. 해당 이벤트에는 방화벽 트래픽 로그, Office 365, Windows 이벤트를 기반으로 하는, 안전하지 않은 프로토콜이 포함됩니다.