모범 사례 지침은 Microsoft Sentinel 기술 설명서 전반에 걸쳐 제공됩니다. 이 문서에서는 Microsoft Sentinel을 배포, 관리 및 사용할 때 사용할 몇 가지 주요 지침을 중점적으로 설명합니다.
중요합니다
Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스가 없는 고객을 포함하여 Microsoft Defender 포털에서 일반적으로 사용할 수 있습니다.
2026년 7월부터 Azure Portal에서 Microsoft Sentinel을 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel을 사용합니다. 2025년 7월부터 많은 신규 고객이 자동으로 온보딩되고 Defender 포털로 리디렉션됩니다.
Azure Portal에서 Microsoft Sentinel을 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 에서 제공하는 통합 보안 작업 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다. 자세한 내용은 보안을 강화하기 위해 It's Time to Move: Retiring Microsoft Sentinel's Azure Portal을 참조하세요.
Microsoft Sentinel을 시작하려면 Microsoft Sentinel 배포를 계획, 배포 및 미세 조정하는 대략적인 단계를 다루는 배포 가이드를 참조하세요. 해당 지침에서 제공된 링크를 선택하여 배포의 각 단계에 대한 자세한 지침을 찾습니다.
단일 플랫폼 아키텍처 채택
Microsoft Sentinel은 팀이 데이터 관리를 간소화하고 비용을 최적화하며 AI 채택을 가속화할 수 있도록 하는 저렴한 장기 스토리지를 제공하는 최신 데이터 레이크와 통합되어 있습니다. Microsoft Sentinel 데이터 레이크(미리 보기)는 보안 데이터에 단일 플랫폼 아키텍처를 사용하도록 설정하고 Microsoft Sentinel의 풍부한 커넥터 에코시스템을 활용하는 동시에 통합 쿼리 환경을 통해 분석가에게 권한을 부여합니다. 자세한 내용은 Microsoft Sentinel 데이터 레이크(미리 보기)를 참조하세요.
Microsoft Sentinel을 Microsoft Defender 포털에 온보딩하고 Microsoft Defender XDR과 통합
Microsoft Sentinel을 Microsoft Defender 포털에 온보딩하여 인시던트 관리 및 고급 검색과 같은 기능을 Microsoft Defender XDR과 통합하는 것이 좋습니다.
Microsoft Sentinel을 Microsoft Defender 포털에 온보딩하지 않으면 다음 사항에 유의하세요.
- 2026년 7월까지 Azure Portal을 사용하는 모든 Microsoft Sentinel 고객은 Defender 포털로 리디렉션됩니다.
- 그때까지 Defender XDR 데이터 커넥터 를 사용하여 Azure Portal에서 Microsoft Defender 서비스 데이터를 Microsoft Sentinel과 통합할 수 있습니다.
다음 그림에서는 Microsoft의 XDR 솔루션이 Microsoft Sentinel과 원활하게 통합되는 방법을 보여 줍니다.
자세한 내용은 다음 문서를 참조하세요.
- Microsoft Sentinel과 Microsoft Defender XDR 통합
- Microsoft Sentinel을 Microsoft Defender XDR에 연결
- Microsoft Defender 포털의 Microsoft Sentinel
Microsoft 보안 서비스 통합
Microsoft Sentinel은 작업 영역에 데이터를 전송하는 구성 요소에 의해 사용되며 다른 Microsoft 서비스와의 통합을 통해 더 강력하게 이루어집니다. 클라우드용 Microsoft Defender 앱, 엔드포인트용 Microsoft Defender 및 Microsoft Defender for Identity와 같은 제품에 수집된 모든 로그를 통해 이러한 서비스에서 검색을 만들고 Microsoft Sentinel에 해당 검색을 제공할 수 있습니다. 또한 로그를 Microsoft Sentinel에 직접 수집하여 이벤트 및 인시던트에 대한 전체 그림을 제공할 수도 있습니다.
Microsoft Sentinel은 다른 원본에서 경고 및 로그를 수집하는 것 외에도 다음을 제공합니다.
| Capability | Description |
|---|---|
| 위협 탐지 | 인공 지능을 사용한 위협 탐지 기능을 통해 통합 문서를 통해 대화형 시각적 개체를 빌드하고 표시하고, 플레이북을 실행하여 경고에 자동으로 대응하고, 기계 학습 모델을 통합하여 보안 작업을 강화하고, 위협 인텔리전스 플랫폼에서 보강 피드를 수집하고 가져올 수 있습니다. |
| 위협 조사 | 위협 조사 기능을 사용하면 경고 및 엔터티를 시각화 및 탐색하고, 사용자 및 엔터티 동작의 변칙을 검색하고, 조사 중에 실시간 이벤트를 모니터링할 수 있습니다. |
| 데이터 수집 | 온-프레미스 및 여러 클라우드에서 모든 사용자, 디바이스, 애플리케이션 및 인프라에서 데이터를 수집합니다. |
| 위협 대응 | Azure 서비스 및 기존 도구와 통합되는 플레이북과 같은 위협 대응 기능 |
| 파트너 통합 | Microsoft Sentinel 데이터 커넥터를 사용하여 파트너 플랫폼과 통합되어 SOC 팀에 필수 서비스를 제공합니다. |
사용자 지정 통합 솔루션 만들기(파트너)
Microsoft Sentinel과 통합되는 사용자 지정 솔루션을 만들려는 파트너는 Microsoft Sentinel과 통합하는 파트너에 대한 모범 사례를 참조하세요.
인시던트 관리 및 대응 프로세스 계획
다음 이미지는 인시던트 관리 및 응답 프로세스의 권장 단계를 보여 줍니다.
다음 표에서는 개략적인 인시던트 관리 및 대응 작업 및 관련 모범 사례를 제공합니다. 자세한 내용은 Azure 포털의 Microsoft Sentinel 인시던트 조사 또는 Microsoft Defender 포털에서 인시던트 및 경고를 참조하세요.
| 과업 | 모범 사례 |
|---|---|
| 인시던트 검토 페이지 | 제목, 심각도, 그리고 관련 경고, 로그, 관심 있는 엔터티를 나열한 사고 페이지에서 사건을 검토합니다. 인시던트에서 수집된 로그 및 인시던트와 관련된 모든 도구로 이동할 수도 있습니다. |
| 인시던트 그래프 사용 | 인시던트 그래프를 검토하여 공격의 전체 범위를 확인합니다. 그런 다음 이벤트의 타임라인을 생성하고 위협 체인의 범위를 검색할 수 있습니다. |
| 가양성 인시던트 검토 | 계정, URL, IP 주소, 호스트 이름, 작업, 타임라인과 같은 주요 엔터티에 대한 데이터를 사용하여 가양성이 있는지 확인하고, 그런 경우 인시던트를 직접 종료할 수 있습니다. 인시던트가 진양성임을 발견한 경우 인시던트 페이지에서 직접 작업을 수행하여 로그, 엔터티를 조사하고 위협 체인을 탐색합니다. 위협을 식별하고 작업 계획을 만든 후에는 Microsoft Sentinel 및 기타 Microsoft 보안 서비스의 다른 도구를 사용하여 조사를 계속합니다. |
| 정보 시각화 | Microsoft Sentinel 개요 대시보드를 살펴보고 조직의 보안 상태를 파악합니다. 자세한 내용은 수집된 데이터 시각화를 참조하세요. Microsoft Sentinel 개요 페이지의 정보 및 추세 외에도 통합 문서는 귀중한 조사 도구입니다. 예를 들어 조사 인사이트 통합 문서를 사용하여 관련된 엔터티 및 경고와 함께 특정 인시던트를 조사합니다. 이 통합 문서를 사용하면 관련 로그, 작업 및 경고를 표시하여 엔터티를 심층적으로 조사할 수 있습니다. |
| 위협 찾기 | 근본 원인을 조사하고 검색하는 동안 기본 제공 위협 헌팅 쿼리를 실행하고 손상 지표에 대한 결과를 확인합니다. 자세한 내용은 Microsoft Sentinel의 위협 탐지를 참조하세요. |
| 라이브 스트림 사용 | 조사 중이나 위협을 수정하고 근절하기 위한 조치를 취한 후에는 라이브 스트림을 사용합니다. 라이브 스트림을 사용하면 악성 이벤트가 지속되고 있는지, 악성 이벤트가 여전히 계속되고 있는지 실시간으로 모니터링할 수 있습니다. |
| 엔터티 동작 | Microsoft Sentinel의 엔터티 동작을 통해 사용자는 계정 및 호스트 이름 조사와 같은 특정 엔터티에 대한 작업 및 경고를 검토하고 조사할 수 있습니다. 자세한 내용은 다음을 참조하세요. - Microsoft Sentinel에서 UEBA(사용자 및 엔터티 동작 분석) 사용 - UEBA 데이터를 사용하여 인시던트 조사 - Microsoft Sentinel UEBA 보강 참조 |
| Watchlists | 수집된 데이터와 보강 데이터 같은 외부 원본의 데이터를 결합하는 관심 목록을 사용합니다. 예를 들어 조직 또는 최근에 종료된 직원에서 사용되는 IP 주소 범위의 목록을 만듭니다. 플레이북을 통해 관심 목록을 사용하여 보강 데이터를 수집합니다. 예를 들어 탐지, 위협 헌팅 및 조사 시에 사용할 관심 목록에 악성 IP 주소를 추가합니다. 인시던트 도중 관심 목록을 사용하여 조사 데이터를 포함한 다음, 조사가 완료되면 중요한 데이터가 계속 표시되는 것을 막기 위해 삭제합니다. 자세한 내용은 Microsoft Sentinel의 관심 목록을 참조하세요. |
데이터 수집 및 입력 최적화
데이터 커넥터 우선 순위 지정, 로그 필터링 및 데이터 수집 최적화를 포함하는 Microsoft Sentinel 데이터 수집 모범 사례를 검토합니다.
Kusto 쿼리 언어 쿼리를 더 빠르게 만들기
Kusto 쿼리 언어 모범 사례를 검토하여 쿼리를 더 빠르게 만듭니다.