Microsoft Sentinel을 사용하는 Azure Arc 지원 서버에 대한 위협 인텔리전스
Tailwind Traders SOC(보안 운영 센터) 분석가는 다양한 SIEM 및 SOAR 솔루션으로 환경을 평가하는 데 어려움을 겪고 있습니다. 이 단원에서는 Azure Arc 지원 서버가 하이브리드 및 다중 클라우드 환경을 유지하는 SIEM 및 SOAR 솔루션인 Microsoft Sentinel과 함께 작동하는 방법을 알아봅니다.
Microsoft Sentinel 개요
Microsoft Sentinel은 확장 가능한 클라우드 네이티브 SIEM(보안 정보 및 이벤트 관리) 및 SOAR(보안 오케스트레이션, 자동화 및 응답) 솔루션입니다. Microsoft Sentinel은 엔터프라이즈 전체에 위협 인텔리전스를 제공하여 공격 탐지, 사전 예방적 헌팅 및 위협 대응을 위한 단일 솔루션을 제공합니다.
Microsoft Sentinel은 점점 더 정교해지는 공격, 경고 볼륨 증가 및 긴 해결 시간 프레임의 스트레스를 완화하기 위한 기업 전체의 조감도입니다.
- 온-프레미스 및 여러 클라우드의 모든 사용자, 디바이스, 애플리케이션 및 인프라에서 클라우드 규모로 데이터를 수집합니다.
- Microsoft의 분석 및 비교할 수 없는 위협 인텔리전스를 사용하여 이전에 감지되지 않은 위협을 감지하고 오탐을 최소화합니다.
- 인공 지능을 사용하여 위협을 조사하고 Microsoft에서 수년간의 사이버 보안 작업을 활용하여 대규모로 의심스러운 활동을 헌팅합니다.
- 일반적인 작업의 기본 제공 오케스트레이션 및 자동화를 사용하여 인시던트에 빠르게 대응합니다.
데이터 연결
Microsoft Sentinel을 온보딩하려면 먼저 보안 원본에 연결해야 합니다.
Microsoft Sentinel에는 Microsoft 솔루션용 여러 커넥터가 함께 제공되며, 기본적으로 제공되며 실시간 통합을 제공합니다. Microsoft Sentinel의 기본 커넥터에는 Microsoft 365 소스, Microsoft Entra ID, Microsoft Defender for Identity 및 Microsoft Defender for Cloud Apps가 포함됩니다. 또한 타사 솔루션에 대한 광범위한 보안 에코시스템에 기본 제공 커넥터도 제공됩니다.
Azure Arc 지원 서버에 대한 관련 데이터 커넥터에는 레거시 에이전트를 통한 보안 이벤트, AMA를 통한 Windows 보안 이벤트 또는 Syslog가 포함될 수 있습니다.
워크북 및 분석
데이터 원본을 Microsoft Sentinel에 연결한 후 Azure Monitor 통합 문서와 Microsoft Sentinel 통합을 사용하여 데이터를 모니터링할 수 있습니다. 이 통합 문서는 사용자 지정 통합 문서를 만드는 데 유용하게 사용할 수 있습니다. Microsoft Sentinel에는 데이터 원본에 연결하는 즉시 데이터 전체에서 신속하게 인사이트를 얻을 수 있도록 하는 기본 제공 통합 문서 템플릿도 함께 제공됩니다.
조사해야 하는 경고 수를 최소화하기 위해 Microsoft Sentinel은 분석을 사용하여 경고를 인시던트에 연결합니다. 인시던트(Incidents)는 관련 경고를 그룹화하여 조사하고 해결할 수 있는 잠재적 위협을 만듭니다. 기본 제공 상관 관계 규칙을 사용하거나 이를 시작점으로 하여 직접 구축하십시오 (as-is). 또한 Microsoft Sentinel은 네트워크 동작을 매핑한 다음 리소스 전체에서 변칙을 찾는 기계 학습 규칙을 제공합니다.
보안 자동화 및 오케스트레이션
일반적인 작업을 자동화하고 Azure 서비스 및 기존 도구와 통합되는 플레이북을 사용하여 보안 오케스트레이션을 간소화할 수 있습니다.
Azure Logic Apps를 사용하면 Microsoft Sentinel의 자동화 및 오케스트레이션 솔루션이 확장 가능하고 확장 가능하며 현대화됩니다. Azure Logic Apps를 사용하여 플레이북을 빌드하려면 증가하는 기본 제공 플레이북 갤러리 중에서 선택할 수 있습니다. 여기에는 Azure Functions와 같은 서비스에 대한 200개 이상의 커넥터가 포함됩니다. 커넥터를 사용하면 코드, ServiceNow, Jira, Zendesk, HTTP 요청, Microsoft Teams, Slack, Windows Defender ATP 및 Cloud Apps용 Defender에서 사용자 지정 논리를 적용할 수 있습니다.
사냥과 공책
MITRE 프레임워크를 기반으로 하는 Microsoft Sentinel의 강력한 헌팅 검색 및 쿼리 도구를 사용하여 경고가 트리거되기 전에 조직의 데이터 원본에서 보안 위협을 사전에 헌팅합니다. 공격에 대한 높은 가치의 인사이트를 제공하는 헌팅 쿼리를 검색한 후에는 쿼리를 기반으로 사용자 지정 검색 규칙을 만들고 이러한 인사이트를 보안 인시던트 응답자에게 경고로 표시할 수도 있습니다. 헌팅하는 동안 흥미로운 이벤트에 대한 책갈피를 만들 수 있습니다. 그러면 나중에 해당 이벤트로 돌아가서 다른 사용자와 공유하고 다른 상관 관계 이벤트와 그룹화하여 조사를 위한 강력한 인시던트를 만들 수 있습니다.
Microsoft Sentinel은 기계 학습, 시각화 및 데이터 분석을 위한 전체 라이브러리를 포함하여 Azure Machine Learning 작업 영역에서 Jupyter Notebook을 지원합니다. Microsoft Sentinel에서 Notebook을 사용하여 Microsoft Sentinel 데이터로 수행할 수 있는 작업의 범위를 확장할 수 있습니다. 예를 들어 일부 Python 기계 학습 기능과 같이 Microsoft Sentinel에 기본 제공되지 않는 분석을 수행할 수 있습니다. 사용자 지정 타임라인 및 프로세스 트리와 같이 Microsoft Sentinel에 기본 제공되지 않는 데이터 시각화를 만듭니다. 또는 온-프레미스 데이터 세트와 같은 Microsoft Sentinel 외부의 데이터 원본을 통합합니다.