Microsoft Sentinel을 사용해야 하는 경우
Microsoft Sentinel은 클라우드 및 온-프레미스 환경에서 보안 작업을 수행하기 위한 솔루션입니다.
다음을 수행하려는 경우 Microsoft Sentinel을 사용합니다.
- 다양한 원본에서 이벤트 데이터를 수집합니다.
- 해당 데이터에 대한 보안 작업을 수행하여 의심스러운 활동을 식별합니다.
보안 작업에는 다음이 포함될 수 있습니다.
- 로그 데이터 시각화
- 이상 감지
- 위협 헌팅
- 보안 인시던트 조사
- 경고 및 인시던트에 대한 자동 응답.
Microsoft Sentinel은 적합성 여부를 판단하는 데 도움이 되는 다른 기능을 제공합니다.
- 클라우드 네이티브 SIEM: 프로비저닝할 서버가 없으므로 스케일링이 간편합니다.
- Azure Logic Apps 서비스 및 수백 개 커넥터와의 통합.
- Microsoft 리서치 및 기계 학습의 이점.
- 무료로 제공되는 주요 로그 원본.
- 하이브리드 클라우드 및 온-프레미스 환경 지원.
- 일체형 SIEM 및 데이터 레이크.
Microsoft Sentinel에 대한 조사를 시작할 때 조직에 다음과 같은 몇 가지 명백한 요구 사항이 있었습니다.
- 여러 클라우드 환경의 데이터 지원
- SOC(보안 운영 센터)에 필요한 기능(과도한 관리 오버헤드를 유발하지 않아야 함)
여러분은 Microsoft Sentinel이 적합하다는 것을 확인했습니다. Azure Sentinel은 Syslog, AWS(Amazon Web Services) 및 기타 원본에 대한 데이터 커넥터를 제공하며 서버를 프로비전하지 않고 쉽게 확장할 수 있는 기능을 제공합니다. 또한 분석하는 동안 조직이 SOC 전략의 핵심 부분을 자동화해야 한다는 점도 인식했습니다. 이전에는 자동화가 조직의 고려 대상이 아니었지만 이제는 자동화 플레이북 사용에 대해 자세히 알아보려고 합니다.
성능 모니터링을 위해 인프라 또는 애플리케이션 로그를 수집한다면 해당 목적을 위해 Azure Monitor 및 Azure Log Analytics를 사용하는 것도 고려합니다.
사용자 환경의 보안 상태를 이해하려는 경우에는 정책을 준수하고 보안 오류를 확인해야 합니다. 그렇다면 클라우드용 Microsoft Defender를 사용하는 것도 좋습니다. 클라우드용 Defender를 Microsoft Sentinel의 데이터 커넥터로 수집할 수 있습니다.