로그 관리

  • 10분

마지막으로, Microsoft Sentinel이 수집하는 로그 데이터를 배포 및 관리하는 방법을 파악해야 합니다.

Azure Monitor 로그 관리

Azure Monitor와 관련 Log Analytics 기능은 Microsoft Sentinel을 구동하는 기본 로그 관리 플랫폼입니다. Microsoft Sentinel에서 사용하는 작업 영역은 기본적으로 다양한 원본에서 로그 데이터를 수집하는 컨테이너입니다. 전체 모니터링 데이터에 단일 Log Analytics 작업 영역을 사용할 수도 있고, 여러 작업 영역을 사용해야 할 수도 있습니다.

기본적으로 Monitor나 Log Analytics로 로그를 전송하는 모든 원본은 Microsoft Sentinel도 지원합니다. 대부분의 Azure 및 Microsoft 솔루션은 원격 분석 데이터를 Monitor으로 전송하는 기능을 지원합니다.

가격 책정 모델

Microsoft Sentinel 요금은 Microsoft Sentinel에서 분석을 위해 수집된 데이터 양과 Log Analytics 작업 영역에 저장된 데이터 양을 기준으로 청구됩니다. Microsoft Sentinel 서비스 비용은 두 가지 방법으로 지불할 수 있습니다. 바로 용량 예약과 종량제입니다.

Azure Monitor Log Analytics 작업 영역은 데이터가 전송되는 위치입니다. 작업 영역에서 데이터는 테이블로 구성됩니다. 각 테이블에는 서로 다른 종류의 데이터가 저장되고 고유한 속성 세트가 있습니다. 속성은 데이터를 생성하는 리소스를 기반으로 합니다. 대부분의 데이터 원본은 Log Analytics 작업 영역에 있는 자체 테이블에 기록합니다.

단일 작업 영역을 사용한다면 Microsoft Sentinel 환경의 모든 이점을 누릴 수 있습니다. 그러나 경우에 따라 다음과 같은 이유 때문에 여러 작업 영역을 이용할 수도 있습니다.

  • 주권 및 규정 준수: 작업 영역이 특정 지역에 귀속되어 있음. 규정 준수를 위해 데이터를 다른 Azure 지역에 보관해야 한다면, 여러 작업 영역에 분할해야 합니다.
  • 데이터 소유권: 자회사 또는 계열사 같은 데이터 소유권 경계는 별도의 작업 영역을 사용하면 더 쉽게 구분할 수 있습니다.
  • 여러 Azure 테넌트: Microsoft Sentinel은 자체 Microsoft Entra 테넌트 경계 내에서만 Microsoft 및 Azure SaaS(서비스 제공 소프트웨어) 리소스의 데이터 수집을 지원합니다. 따라서 각 Microsoft Entra 테넌트에는 별도의 작업 영역이 필요합니다.

데이터에 대한 액세스를 세부적으로 제어해야 하는 경우와 같은 요구 사항이 있을 수도 있습니다. 단일 작업 영역을 사용하면 해당 상황이 가장 잘 충족됩니다. 다음 표에는 작업 영역 수를 줄일 수 있는 몇 가지 상황과 방법이 나와 있습니다.

요구 사항 Description 작업 영역 수를 줄이는 방법
세부적인 데이터 액세스 제어 조직은 조직 내부 또는 외부의 다양한 그룹이 Microsoft Sentinel에서 수집하는 일부 데이터에 액세스하게 해야 할 때도 있습니다. 리소스 Azure RBAC 또는 테이블 수준 Azure RBAC 사용
분할 청구 작업 영역을 별도의 구독에 배치하면 다양한 당사자에게 비용을 청구할 수 있습니다. 사용량 보고 및 교차 요금
레거시 아키텍처 여러 작업 영역 사용은 오래된 제한 또는 모범 사례를 고려하는 과거 디자인에서 기인한 것일 수 있습니다. 자의적인 디자인 선택을 했다면 Microsoft Sentinel에 맞게 수정할 수도 있습니다. 작업 영역 재설계

Microsoft Sentinel 다중 작업 영역 아키텍처

잠재적으로 Microsoft Entra 테넌트 전반에 걸쳐 여러 Microsoft Sentinel 작업 영역을 단일 보안 운영 센터에서 중앙에서 모니터링하고 관리해야 하는 경우가 있습니다.

  • 관리되는 보안 서비스 공급자 Microsoft Sentinel 서비스
  • 조직 내 여러 Microsoft Entra 테넌트를 모니터링하는 보안 운영 센터
  • 각각 고유한 현지 보안 운영 센터가 있으며 여러 자회사에 서비스를 제공하는 글로벌 보안 운영 센터

이 요구 사항을 해결하기 위해 Microsoft Sentinel은 중앙 모니터링, 구성, 관리를 지원하는 여러 작업 영역 기능을 제공합니다. 보안 운영 센터에서 처리하는 모든 사항을 포함하는 단일 관리 디스플레이 콘솔을 제공합니다.

Diagram showing a multiple-workspace configuration for Microsoft Sentinel.

이 다중 작업 영역 모델은 모든 데이터가 단일 작업 영역에 복사되는 완전 중앙 집중식 모델 대비 상당한 이점을 제공합니다. 예를 들면 다음과 같습니다.

  • 글로벌 또는 현지 보안 운영 센터 팀이나 고객의 관리형 보안 서비스 공급자에게 더욱 유연하게 역할 할당
  • 데이터 소유권, 데이터 프라이버시, 규정 준수와 관련된 문제 감소
  • 네트워크 대기 시간 및 요금 최소화
  • 새 자회사와 고객의 편리한 온보딩 및 오프보딩