Microsoft Sentinel이란?
먼저 몇 가지 정의를 살펴보고 SIEM(보안 정보 및 이벤트 관리) 시스템과 Microsoft Sentinel의 개념을 확인하겠습니다.
SIEM(보안 인시던트 및 이벤트 관리)이란 무엇인가요?
SIEM 시스템은 조직에서 컴퓨터 시스템에 대한 보안 작업을 수집, 분석 및 수행하는 데 사용하는 도구입니다. 이러한 시스템은 하드웨어 어플라이언스, 애플리케이션 또는 둘 다일 수 있습니다.
가장 간단한 형태에서 SIEM 시스템을 사용하면 다음을 수행할 수 있습니다.
- 로그를 수집하고 쿼리합니다.
- 일부 형식의 상관 관계 또는 변칙 검색을 수행합니다.
- 검색 결과에 따라 경고 및 인시던트를 생성합니다.
SIEM 시스템은 다음과 같은 기능을 제공할 수 있습니다.
로그 관리: 환경 내 리소스에서 로그 데이터를 수집, 저장 및 쿼리하는 기능입니다.
경고: 로그 데이터에서 잠재적 보안 인시던트 및 변칙을 사전에 확인합니다.
시각화: 로그 데이터에 대한 시각적 인사이트를 제공하는 그래프 및 대시보드입니다.
인시던트 관리: 식별된 인시던트를 생성하고, 업데이트하고, 할당하고, 조사할 수 있습니다.
데이터 쿼리: 데이터를 쿼리하고 이해하는 데 사용할 수 있는, 로그 관리용 쿼리 언어와 유사한 풍부한 쿼리 언어입니다.
Microsoft Sentinel이란?
Microsoft Sentinel은 보안 운영 팀에서 다음 작업을 수행하는 데 사용할 수 있는 클라우드 네이티브 SIEM 시스템입니다.
- 거의 모든 원본에서 데이터를 수집하여 기업 전역에서 보안 정보를 얻습니다.
- 기본 제공 기계 학습 및 Microsoft 위협 인텔리전스를 사용하여 위협을 신속하게 검색하고 조사합니다.
- 플레이북을 사용하고 Azure Logic Apps를 통합하여 위협 대응을 자동화합니다.
기존 SIEM 솔루션과 달리 Microsoft Sentinel을 실행하기 위해 온-프레미스 또는 클라우드에 서버를 설치할 필요가 없습니다. Microsoft Sentinel은 Azure에 배포하는 서비스입니다. Azure Portal에서 몇 분 안에 Sentinel을 시작하고 실행할 수 있습니다.
Microsoft Sentinel은 다른 클라우드 서비스와 긴밀하게 통합됩니다. 로그를 신속하게 수집할 수 있을 뿐만 아니라 다른 클라우드 서비스(예: 권한 부여 및 자동화)를 네이티브로 사용할 수도 있습니다.
Microsoft Sentinel을 통해 수집, 검색, 조사 및 응답을 포함한 엔드투엔트 보안 작업을 사용할 수 있습니다.
이제 Microsoft Sentinel의 주요 구성 요소를 살펴보겠습니다.