Microsoft Sentinel을 사용하는 Azure Arc 지원 서버의 위협 인텔리전스
Tailwind Traders SOC(보안 운영 센터) 분석가는 다양한 SIEM 및 SOAR 솔루션을 사용하여 환경을 평가하는 데 어려움을 겪고 있습니다. 이 단원에서는 하이브리드 및 다중 클라우드 환경을 유지하는 SIEM 및 SOAR 솔루션인 Microsoft Sentinel과 Azure Arc 지원 서버를 함께 사용하는 방법을 알아봅니다.
Microsoft Sentinel 개요
Microsoft Sentinel은 스케일링 가능한 클라우드 네이티브, SIEM(보안 정보 및 이벤트 관리) 및 SOAR(보안 오케스트레이션, 자동화 및 응답) 솔루션입니다. Microsoft Sentinel은 기업 전체에 위협 인텔리전스를 제공하여 공격 탐지, 주도적 헌팅 및 위협 대응을 위한 단일 솔루션을 제공합니다.
Microsoft Sentinel은 점점 더 정교해지는 공격, 점점 늘어나는 경고의 양과 긴 해결 기간이라는 문제를 완화하기 위해 엔터프라이즈 전체를 폭넓은 시각으로 모니터링합니다.
- 온-프레미스와 여러 클라우드의 모든 사용자, 디바이스, 애플리케이션 및 인프라에서 클라우드 규모로 데이터를 수집합니다.
- Microsoft의 분석 및 업계 최고의 위협 인텔리전스를 사용하여 이전에 탐지되지 않은 위협을 탐지하고 가양성을 최소화합니다.
- Microsoft에서 수년간 쌓아온 사이버 보안 성과물을 활용하여 AI를 통해 위협을 조사하고 의심스러운 활동을 대규모로 헌팅합니다.
- 일반 작업의 기본 제공 오케스트레이션 및 자동화로 빠르게 인시던트에 대응합니다.
데이터 연결
Microsoft Sentinel을 온보딩하려면 먼저 보안 원본에 연결해야 합니다.
Microsoft Sentinel은 기본 제공되고 실시간 통합을 제공하는 Microsoft 솔루션을 위한 여러 가지 커넥터와 함께 제공됩니다. Microsoft Sentinel의 기본 커넥터에는 Microsoft 365 원본, Microsoft Entra ID, Microsoft Defender for Identity 및 클라우드용 Microsoft Defender Apps가 포함됩니다. 또한 타사 솔루션에 대한 광범위한 보안 에코시스템에 기본 제공 커넥터도 제공됩니다.
Azure Arc 지원 서버의 관련 데이터 커넥터에는 레거시 에이전트를 통한 보안 이벤트, AMA를 통한 Windows 보안 이벤트 또는 Syslog가 포함될 수 있습니다.
통합 문서 및 분석
Microsoft Sentinel에 데이터 원본을 연결한 후에는 사용자 지정 통합 문서를 만들 때 다양한 기능을 제공하는 Azure Monitor 통합 문서와 Microsoft Sentinel 통합을 사용하여 데이터를 모니터링할 수 있습니다. Microsoft Sentinel에는 데이터 원본에 연결하는 즉시 데이터 전체에서 신속하게 인사이트를 얻을 수 있는 기본 제공 통합 문서 템플릿도 함께 제공됩니다.
조사해야 하는 경고 수를 최소화할 수 있도록 Microsoft Sentinel은 분석을 사용하여 경고와 인시던트의 상관 관계를 지정합니다. 인시던트는 조사하고 해결할 수 있는 실행 가능한 위협을 함께 만드는 관련 경고 그룹입니다. 기본 제공 상관 관계 규칙을 있는 그대로 사용하거나, 이러한 규칙을 토대로 사용자 고유의 규칙을 구축할 수 있습니다. 또한 Microsoft Sentinel은 네트워크 동작을 매핑한 후 리소스의 오류를 찾아내는 기계 학습 규칙을 제공합니다.
보안 자동화 및 오케스트레이션
Azure 서비스 및 기존 도구와 통합되는 플레이 북을 사용하여 일반적인 작업을 자동화하고 보안 오케스트레이션을 간소화할 수 있습니다.
Azure Logic Apps를 사용하는 Microsoft Sentinel의 자동화 및 오케스트레이션 솔루션은 확장 가능하고, 스케일링 가능하고, 현대화됩니다. Azure Logic Apps를 사용하여 플레이 북을 빌드하려는 경우 점점 더 커지는 기본 제공 플레이 북 갤러리 중에서 선택할 수 있습니다. 여기에는 Azure Functions와 같은 서비스를 위한 200개 이상의 커넥터가 포함됩니다. 이러한 커넥터를 사용하면 코드, ServiceNow, Jira, Zendesk, HTTP 요청, Microsoft Teams, Slack, Windows Defender ATP 및 Defender for Cloud Apps에서 사용자 지정 논리를 적용할 수 있습니다.
헌팅 및 Notebook
경고가 트리거되기 전에 조직의 데이터 원본에 대한 보안 위협을 주도적으로 헌팅할 수 있도록 MITRE 프레임워크를 기준으로 하는 Microsoft Sentinel의 강력한 검색 및 쿼리 도구를 사용합니다. 공격에 대한 수준 높은 인사이트를 제공하는 헌팅 쿼리를 검색한 후 쿼리를 기반으로 사용자 지정 검색 규칙을 만들고 해당 인사이트를 보안 인시던트 응답자에게 경고로 표시할 수도 있습니다. 헌팅 동안 관심 있는 이벤트에 대해 책갈피를 만들어 나중에 해당 이벤트를 다른 사람들과 공유하고, 관련 있는 다른 이벤트와 그룹화하여 조사가 필요한 인시던트로 구현할 수 있습니다.
Microsoft Sentinel은 기계 학습, 시각화 및 데이터 분석을 위한 전체 라이브러리를 포함하여 Azure Machine Learning 작업 영역에서 Jupyter Notebook을 지원합니다. Microsoft Sentinel에서 Notebook을 통해 Microsoft Sentinel 데이터를 사용하여 수행할 수 있는 작업의 범위를 확장할 수 있습니다. 예를 들어, 일부 Python 기계 학습 기능과 같이 Microsoft Sentinel에 기본 제공되지 않은 분석을 수행하거나, 사용자 지정 타임라인 및 프로세스 트리와 같이 Microsoft Sentinel에 기본 제공되지 않는 데이터 시각화를 만들거나, 온-프레미스 데이터 세트와 같은 Microsoft Sentinel 외부의 데이터 원본을 통합할 수 있습니다.