Microsoft Sentinel 작동 방식

  • 10분

이미 배운 대로 Microsoft Sentinel은 엔드투엔드 보안 작업을 사용하는 데 도움이 됩니다. 로그 수집에서 보안 경고에 대한 자동 대응까지 가능합니다.

다음은 Microsoft Sentinel의 주요 기능 및 구성 요소입니다.

데이터 커넥터

가장 먼저 할 일은 데이터를 Microsoft Sentinel 내부로 수집하는 것입니다. 데이터 커넥터로 할 수 있습니다. 단추 하나만 선택하여 Azure 활동 로그와 같은 일부 서비스를 추가할 수 있습니다. syslog와 같은 다른 서비스는 약간의 구성이 필요합니다. 다음과 같이 모든 시나리오 및 원본(이에 국한되지 않음)을 포함하는 데이터 커넥터가 있습니다.

  • syslog
  • CEF(Common Event Format)
  • TAXII(Trusted Automated eXchange of Indicator Information)(위협 인텔리전스의 경우)
  • Azure
  • AWS 서비스

Screenshot that shows a partial list of data connectors in the Microsoft Sentinel UI in the Azure portal.

로그 보존

Microsoft Sentinel에 수집된 데이터는 Log Analytics를 사용하여 저장됩니다. Log Analytics를 사용하는 이점에는 KQL(Kusto 쿼리 언어)를 사용하여 데이터를 쿼리하는 기능이 포함됩니다. KQL은 데이터를 자세히 살펴보고 인사이트를 얻을 수 있는 풍부한 쿼리 언어입니다.

Screenshot showing the Log Analytics interface in the Azure portal.

통합 문서

통합 문서를 사용하여 Microsoft Sentinel 내에서 데이터를 시각화할 수 있습니다. 통합 문서를 대시보드로 생각할 수 있습니다. 대시보드의 각 구성 요소는 데이터의 기본 KQL 쿼리를 사용하여 빌드됩니다. Microsoft Sentinel에서 기본 제공 통합 문서를 사용하고 요구 사항에 맞게 편집하거나, 처음부터 새로 만들 수 있습니다. Azure Monitor 통합 문서를 사용한 적이 있다면 이 기능이 익숙할 것입니다. Sentinel에서 구현한 Monitor 통합 문서이기 때문입니다.

Screenshot showing an example of a workbook in Microsoft Sentinel.

분석 경고

지금까지 로그 수집과 일부 데이터 시각화를 마쳤습니다. 이제 데이터에 대한 몇 가지 사전 분석을 수행할 차례입니다. 이때 의심스러운 상황이 발생하면 알림을 받게 됩니다. Sentinel 작업 영역 내에서 기본 제공 분석 경고를 사용하도록 설정할 수 있습니다. 다양한 유형의 경고가 있으며, 일부 경고는 사용자의 요구에 맞게 편집할 수 있습니다. 다른 경고는 Microsoft 소유의 기계 학습 모델을 기반으로 합니다. 사용자 지정 예약 경고를 처음부터 새로 만들 수도 있습니다.

Screenshot showing some of the built-in analytics alerts available in a Microsoft Sentinel workbook.

위협 헌팅

이 모듈에서는 위협 헌팅에 대해 자세히 다루지 않습니다. 그러나 SOC 분석가가 의심스러운 활동을 헌팅해야 하는 경우 몇 가지 기본 제공 헌팅 쿼리를 사용할 수 있습니다. 분석가가 고유한 쿼리를 만들 수도 있습니다. 또한 Sentinel은 Azure Notebooks와 통합됩니다. 이를 통해 프로그래밍 언어의 전체 기능을 이용하여 데이터를 헌팅하려는 고급 헌터를 위한 예제 Notebook을 제공합니다.

Screenshot showing the threat-hunting interface in Microsoft Sentinel.

인시던트 및 조사

인시던트는 사용 설정한 경고가 트리거될 때 생성됩니다. Microsoft Sentinel에서는 상태를 변경하거나 조사를 위해 개인에게 인시던트를 할당하는 등의 표준 인시던트 관리 작업을 수행할 수 있습니다. 또한 Microsoft Sentinel에는 타임라인을 따라 엔터티를 로그 데이터에 매핑하여 인시던트를 시각적으로 조사할 수 있는 조사 기능이 있습니다.

Screenshot showing an incident-investigation graph within Microsoft Sentinel.

자동화 플레이북

인시던트에 자동으로 대응하는 기능을 활용하여 보안 작업의 일부를 자동화하고 SOC의 생산성을 높일 수 있습니다. Microsoft Sentinel을 사용하면 자동화된 워크플로를 만들거나 이벤트에 대응하여 플레이북을 만들 수 있습니다. 이를 활용하여 인시던트 관리, 보강, 조사 또는 수정을 수행할 수 있습니다. 이러한 기능을 흔히 SOAR(보안 오케스트레이션, 자동화 및 응답)이라고 합니다.

Screenshot showing a Microsoft Sentinel Automation, with the Create options highlighted.

SOC 분석가인 여러분은 이제 Microsoft Sentinel을 사용하여 목표를 달성하는 방법을 이해했을 것입니다. 예를 들어 다음과 같이 할 수 있습니다.

  • 클라우드 및 온-프레미스 환경에서 데이터를 수집합니다.
  • 해당 데이터에 대한 분석을 수행합니다.
  • 발생한 인시던트를 관리하고 조사합니다.
  • 플레이북을 사용하여 자동으로 대응할 수도 있습니다.

즉, Microsoft Sentinel은 보안 작업에 대한 엔드투엔드 솔루션을 제공합니다.