Microsoft Defender 포털에 Microsoft Sentinel 연결

Microsoft Sentinel 일반적으로 Microsoft Defender XDR 또는 E5 라이선스를 사용하거나 사용하지 않고 Microsoft Defender 포털에서 사용할 수 있습니다. Microsoft Defender XDR 함께 Defender 포털에 Microsoft Sentinel 온보딩하는 경우 인시던트 관리 및 고급 헌팅과 같은 기능을 통합합니다. 도구 전환을 줄이고 인시던트 대응을 신속하게 수행하고 위반을 더 빠르게 중지하는 보다 상황에 맞는 조사를 빌드합니다. 자세한 내용은 다음 항목을 참조하세요.

• 통합 보안 운영이란?
• Microsoft Defender 포털의 Microsoft Sentinel
• Microsoft Sentinel Microsoft Defender XDR 통합

필수 구성 요소

시작하기 전에 기능 설명서를 검토하여 제품 변경 및 제한 사항을 이해합니다.

• Microsoft Defender 포털의 Microsoft Sentinel
• Microsoft Defender 포털의 고급 헌팅
• Microsoft Defender XDR 경고, 인시던트 및 상관 관계
• Defender 포털에서 자동화 Microsoft Sentinel

Microsoft Defender 포털은 단일 Microsoft Entra 테넌트 및 주 작업 영역 및 여러 보조 작업 영역에 대한 연결을 지원합니다. Microsoft Sentinel 온보딩할 때 작업 영역이 하나만 있는 경우 해당 작업 영역이 기본 작업 영역으로 지정됩니다. 자세한 내용은 Defender 포털의 여러 Microsoft Sentinel 작업 영역을 참조하세요. 이 문서의 컨텍스트에서 작업 영역은 Microsoft Sentinel 사용하도록 설정된 Log Analytics 작업 영역입니다.

Microsoft Sentinel 필수 구성 요소

Defender 포털에서 Microsoft Sentinel 온보딩하고 사용하려면 다음 리소스와 액세스 권한이 있어야 합니다.

• Microsoft Sentinel 사용하도록 설정된 Log Analytics 작업 영역

• Defender 포털에서 Microsoft Sentinel 대한 지원 요청을 온보딩, 사용 및 만들 수 있는 적절한 역할이 있는 Azure 계정입니다. 필요한 권한이 없는 경우 온보딩할 수 있는 작업 영역이 Defender 포털에 표시되지 않습니다. 다음 표에서는 필요한 몇 가지 주요 역할을 강조 표시합니다.

  작업	Microsoft Entra 또는 Azure 기본 제공 역할 필요	범위
  Defender 포털에 Microsoft Sentinel 온보딩	Microsoft Entra ID 다음 중 하나입니다. - 전역 관리자 AND 구독 소유자 - 보안 관리자 AND 구독 소유자 - 전역 관리자 및 사용자 액세스 관리자 및 Microsoft Sentinel 기여자 - 보안 관리자 AND 사용자 액세스 관리자 및 Microsoft Sentinel 기여자	테넌트
  보조 작업 영역 연결 또는 연결 끊기	다음 중 하나가 필요합니다. - 전역 관리자 AND 구독 소유자 - 보안 관리자 AND 구독 소유자 - 전역 관리자 및 사용자 액세스 관리자 및 Microsoft Sentinel 기여자 - 보안 관리자 AND 사용자 액세스 관리자 및 Microsoft Sentinel 기여자 - 구독 소유자 - 사용자 액세스 관리자 AND Microsoft Sentinel 기여자	- 구독 소유자 또는 사용자 액세스 관리자 역할 - Microsoft Sentinel 기여자를 위한 구독, 리소스 그룹 또는 작업 영역 리소스
  기본 작업 영역 변경	Microsoft Entra ID 전역 관리자 또는 보안 관리자	테넌트
  Defender 포털에서 Microsoft Sentinel 보기	Microsoft Sentinel 읽기 권한자	구독, 리소스 그룹 또는 작업 영역 리소스
  Microsoft Sentinel 데이터 테이블 쿼리 또는 인시던트 보기	다음 작업을 사용하는 읽기 권한자 또는 역할 Microsoft Sentinel: - Microsoft.OperationalInsights/workspaces/read - Microsoft.OperationalInsights/workspaces/query/read - Microsoft.SecurityInsights/Incidents/read - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/tasks/read	구독, 리소스 그룹 또는 작업 영역 리소스
  인시던트에 대한 조사 작업 수행	microsoft.SecurityInsights/workspaces/read- Microsoft.OperationalInsights/workspaces/query /read - Microsoft.SecurityInsights/incidents/read - Microsoft.SecurityInsights/incidents/write - Microsoft.SecurityInsights/incidents/comments/read - Microsoft.SecurityInsights/incidents/comments/write 를 사용하는 Microsoft Sentinel 기여자 또는 역할 - Microsoft.SecurityInsights/incidents/relations/read - Microsoft.SecurityInsights/incidents/relations/write - Microsoft.SecurityInsights/incidents/tasks/read - Microsoft.SecurityInsights/incidents/tasks/write	구독, 리소스 그룹 또는 작업 영역 리소스
  지원 요청 만들기	소유자 또는 기여자 또는 지원 요청 기여자 또는 Microsoft.Support/*를 사용하는 사용자 지정 역할	구독

  Microsoft Sentinel Defender 포털에 연결한 후 기존 Azure RBAC(역할 기반 액세스 제어) 권한을 통해 액세스 권한이 있는 Microsoft Sentinel 기능을 사용할 수 있습니다. Azure RBAC 변경 내용이 Defender 포털에 반영되기 때문에 Azure Portal Microsoft Sentinel 사용자에 대한 역할 및 권한을 계속 관리합니다.

  자세한 내용은 Microsoft Sentinel 역할 및 권한 및 리소스별 Microsoft Sentinel 데이터에 대한 액세스 관리를 참조하세요.

  중요

  사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 이렇게 하면 조직의 보안을 개선하는 데 도움이 됩니다. 전역 관리자는 기존 역할을 사용할 수 없는 경우 긴급 시나리오로 제한해야 하는 매우 권한이 높은 역할입니다.

통합 보안 작업 필수 구성 요소

Defender 포털에서 Microsoft Defender XDR 및 Microsoft Sentinel 보안 작업을 통합하려면 다음 리소스와 액세스 권한이 있어야 합니다.

• Microsoft Defender XDR 필수 구성 요소에 설명된 대로 Defender XDR 라이선스
• Defender XDR 대한 계정은 Microsoft Sentinel 연결된 동일한 Microsoft Entra 테넌트 구성원입니다.
• Microsoft Defender XDR 필수 구성 요소에 설명된 대로 Defender 포털에서 Microsoft Defender XDR 액세스

해당하는 경우 다음 필수 구성 요소를 완료합니다.

서비스	필수 구성 요소
Microsoft Purview 참가자 위험 관리	organization Microsoft Purview 내부 위험 관리 사용하는 경우 기본 작업 영역에서 데이터 커넥터 Microsoft 365 Insider Risk Management를 사용하도록 설정하여 해당 데이터를 Microsoft Sentinel. Defender 포털에 온보딩하려는 Microsoft Sentinel 보조 작업 영역에서 해당 커넥터를 사용하지 않도록 설정합니다. - 기본 작업 영역의 콘텐츠 허브에서 Microsoft Purview 내부 위험 관리 솔루션을 설치합니다. - 데이터 커넥터를 구성합니다. 자세한 내용은 기본 제공 콘텐츠 Microsoft Sentinel 검색 및 관리를 참조하세요.
Microsoft Defender for Cloud	테넌트 모든 구독에서 Microsoft Sentinel 대한 기본 작업 영역으로 상관 관계가 있는 클라우드용 Defender 인시던트 스트림하려면 다음을 수행합니다. - 기본 작업 영역에서 테넌트 기반 클라우드용 Microsoft Defender(미리 보기) 데이터 커넥터를 연결합니다. - 테넌트 내의 모든 작업 영역에서 클라우드용 구독 기반 Microsoft Defender(레거시) 경고 커넥터의 연결을 끊습니다. 클라우드용 Defender의 상관 관계가 있는 테넌트 데이터를 기본 작업 영역으로 스트리밍하지 않으려면 작업 영역에서 클라우드용 구독 기반 Microsoft Defender(레거시) 커넥터를 계속 사용합니다. 자세한 내용은 Microsoft Defender XDR 통합을 사용하여 클라우드 인시던트에 대한 Microsoft Defender 수집을 참조하세요.

온보딩 Microsoft Sentinel

Microsoft Sentinel 작업 영역을 Defender 포털에 연결하려면 다음 단계를 완료합니다. Defender XDR 없이 Microsoft Sentinel 온보딩하는 경우 Microsoft Sentinel 및 Defender 포털과의 연결을 트리거하는 추가 단계가 있습니다.

1. Microsoft Defender 포털로 이동하여 로그인합니다.
2. Defender 포털에서 Defender XDR 않고 Microsoft Sentinel 온보딩하려면 다음을 수행합니다.
   1. Microsoft Sentinel 연결을 트리거하려면 조사 & 응답>인시던트 를 선택합니다.
   2. 연결이 완료되기까지 몇 분 정도 기다립니다.
3. Defender 포털에서 개요를 선택합니다.
4. 작업 영역 연결을 선택합니다.
5. 연결하려는 작업 영역을 선택하고 다음을 선택합니다.
6. 기본 작업 영역을 선택합니다.
7. 작업 영역 연결과 관련된 제품 변경 내용을 읽고 이해합니다.
8. 연결을 선택합니다.

작업 영역이 연결되면 개요 페이지의 배너에 환경이 준비되었음을 표시합니다. 개요 페이지는 데이터 커넥터 수 및 자동화 규칙과 같은 Microsoft Sentinel 메트릭을 포함하는 새 섹션으로 업데이트됩니다.

Defender 포털에서 Microsoft Sentinel 기능 살펴보기

작업 영역을 Defender 포털에 연결한 후 Microsoft Sentinel 왼쪽 탐색 창에 있습니다. Defender XDR 사용하도록 설정한 경우 개요, 인시던트 및 고급 헌팅과 같은 페이지에는 Microsoft Sentinel 및 Defender XDR 위한 기본 작업 영역의 통합 데이터가 있습니다. Defender XDR 사용하도록 설정하지 않은 경우 이러한 페이지에는 Microsoft Sentinel 데이터만 포함됩니다. 포털 간의 통합 기능 및 차이점에 대한 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel 참조하세요.

대부분의 기존 Microsoft Sentinel 기능은 Defender 포털에 통합됩니다. 이러한 기능의 경우 Azure Portal Defender 포털의 Microsoft Sentinel 환경이 비슷합니다. 다음 문서를 사용하여 Defender 포털에서 Microsoft Sentinel 작업을 시작할 수 있습니다. 이러한 문서를 사용하는 경우 이 컨텍스트의 시작점은 Azure Portal 대신 Defender 포털이라는 점에 유의하세요.

• 검색
  • 큰 데이터 세트의 오랜 시간 범위에서 검색
  • 검색에서 보관된 로그 복원
• 위협 관리
  • 통합 문서를 사용하여 데이터 시각화 및 모니터링
  • 헌팅을 사용하여 엔드 투 엔드 위협 헌팅 수행
  • 데이터 조사에 헌팅 책갈피 사용
  • Microsoft Sentinel 헌팅 Livestream을 사용하여 위협 탐지
  • Jupyter Notebook을 사용하여 보안 위협 찾기
  • CSV 또는 JSON 파일에서 위협 인텔리전스를 Microsoft Sentinel 위해 대량으로 표시기 추가
  • Microsoft Sentinel 위협 지표 작업
  • MITRE ATT&CK 프레임워크의 보안 적용 범위 이해
• 콘텐츠 관리
  • 기본 제공 콘텐츠 Microsoft Sentinel 검색 및 관리
  • 콘텐츠 허브 카탈로그 Microsoft Sentinel
  • 리포지토리에서 사용자 지정 콘텐츠 배포
• 구성
  • Microsoft Sentinel 데이터 커넥터 찾기
  • 위협을 감지하는 사용자 지정 분석 규칙 만들기
  • Microsoft Sentinel NRT(근 실시간) 검색 분석 규칙 사용
  • 관심 목록 만들기
  • Microsoft Sentinel 관심 목록 관리
  • 자동화 규칙 만들기
  • 콘텐츠 템플릿에서 Microsoft Sentinel 플레이북 만들기 및 사용자 지정

Defender 포털의 시스템> 설정Microsoft Sentinel 아래에서Microsoft Sentinel 설정을> 찾습니다.

기본 작업 영역 변경

한 번에 하나의 기본 작업 영역만 Defender 포털에 연결할 수 있습니다. 그러나 기본 작업 영역을 변경할 수 있습니다.

1. Defender 포털에서 시스템>설정>Microsoft Sentinel>작업 영역으로 이동합니다.
2. 기본으로 만들 작업 영역의 이름을 선택합니다.
3. 기본으로 설정을 선택합니다.
4. 기본 작업 영역 변경과 관련된 제품 변경 내용을 읽고 이해합니다.
5. 확인을 선택하고 계속 진행합니다.

Microsoft Sentinel 기본 작업 영역을 전환하면 Defender XDR 커넥터가 새 주 데이터베이스에 연결되고 이전 작업 영역과 자동으로 연결이 끊어집니다. 자세한 내용은 Defender 포털의 여러 Microsoft Sentinel 작업 영역을 참조하세요.

오프보딩 Microsoft Sentinel

Defender 포털에서 작업 영역을 오프보딩하기로 결정한 경우 Microsoft Sentinel 설정에서 작업 영역의 연결을 끊습니다.

1. Microsoft Defender 포털로 이동하여 로그인합니다.

2. Defender 포털의 시스템 아래에서 설정>Microsoft Sentinel 선택합니다.

3. 작업 영역 페이지에서 연결된 작업 영역 및 작업 영역 연결 끊기를 선택합니다.

4. 작업 영역의 연결을 끊는 이유를 제공합니다.

5. 선택 항목을 확인합니다.

   작업 영역의 연결이 끊어지면 Defender 포털의 왼쪽 탐색 영역에서 Microsoft Sentinel 섹션이 제거됩니다. Microsoft Sentinel 데이터는 더 이상 개요 페이지에 포함되지 않습니다.

다른 작업 영역에 연결하려면 작업 영역 페이지에서 작업 영역 및 작업 영역 연결을 선택합니다.

관련 콘텐츠

• Microsoft Defender 포털의 Microsoft Sentinel
• Microsoft Defender 포털의 고급 헌팅
• Microsoft Defender XDR 자동 공격 중단
• Microsoft Defender 포털에서 인시던트 조사
• 보안 작업 최적화