이전 배포 단계에서는 시스템을 보호하는 데 필요한 Microsoft Sentinel 보안 콘텐츠를 사용하도록 설정했습니다. 이 문서에서는 UEBA 기능을 사용하도록 설정하고 사용하여 분석 프로세스를 간소화하는 방법을 알아봅니다. 이 문서는 Microsoft Sentinel 배포 가이드의 일부입니다.
Microsoft Sentinel은 연결된 모든 데이터 원본에서 로그 및 경고를 수집하고 해당 로그 및 경고를 분석하여 조직의 엔터티(예: 사용자, 호스트, IP 주소 및 애플리케이션)의 기준 동작 프로필을 시간 및 피어 그룹을 기준선으로 하여 빌드합니다. 다양한 기술과 기계 학습 기능을 사용하여 Microsoft Sentinel은 비정상적인 작업을 식별하고 자산이 손상되었는지 여부를 판단하는 데 도움을 줄 수 있습니다. UEBA에 대해 자세히 알아보세요.
참고
미국 정부 클라우드의 기능 가용성에 대한 자세한 내용은 미국 정부 고객을 위한 클라우드의 Microsoft Sentinel 테이블 기능 가용성을 참조하세요.
중요합니다
Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스가 없는 고객을 포함하여 Microsoft Defender 포털에서 일반적으로 사용할 수 있습니다.
2026년 7월부터 Azure Portal에서 Microsoft Sentinel을 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel을 사용합니다. 2025년 7월부터 많은 신규 고객이 자동으로 온보딩되고 Defender 포털로 리디렉션됩니다.
Azure Portal에서 Microsoft Sentinel을 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 에서 제공하는 통합 보안 작업 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다. 자세한 내용은 보안을 강화하기 위해 It's Time to Move: Retiring Microsoft Sentinel's Azure Portal을 참조하세요.
필수 구성 요소
이 기능을 사용하거나 사용하지 않도록 설정하려면 다음이 필요합니다(이러한 필수 조건은 기능을 사용하는 데 필요하지 않음).
사용자는 테넌트에서 Microsoft Entra ID 보안 관리자 역할 또는 해당 권한에 할당되어야 합니다.
사용자에게 다음 Azure 역할 중 하나 이상을 할당해야 합니다(Azure RBAC에 대한 자세한 정보).
- 작업 영역 또는 리소스 그룹 수준의 Microsoft Sentinel 기여자입니다.
- 리소스 그룹 또는 구독 수준에서 Log Analytics 기여자.
작업 영역에 Azure 리소스 잠금이 적용되지 않아야 합니다. Azure 리소스 잠금에 대해 자세히 알아봅니다.
참고
- Microsoft Sentinel에 UEBA 기능을 추가하는 데 특별한 라이선스는 필요하지 않으며 사용에 대한 추가 요금도 없습니다.
- 그러나 UEBA는 새 데이터를 생성하고 UEBA가 Log Analytics 작업 영역에서 만드는 새 테이블에 저장하므로 추가 데이터 스토리지 요금이 적용됩니다.
사용자 및 엔터티 동작 분석을 사용 설정하는 방법
- Azure Portal의 Microsoft Sentinel 사용자는 Azure Portal 탭의 지침을 따릅니다.
- Microsoft Defender 포털의 일부로 Microsoft Sentinel의 사용자는 Defender 포털 탭의 지침을 따릅니다.
엔터티 동작 구성 페이지로 이동합니다.
다음 세 가지 방법 중 하나를 사용하여 엔터티 동작 구성 페이지로 이동하세요.
Microsoft Sentinel 탐색 메뉴에서 엔터티 동작 을 선택한 다음, 위쪽 메뉴 모음에서 엔터티 동작 설정을 선택합니다.
Microsoft Sentinel 탐색 메뉴에서 설정을 선택하고 설정 탭을 선택한 다음 엔터티 동작 분석 확장기에서 UEBA 설정을 선택합니다.
Microsoft Defender XDR 데이터 커넥터 페이지에서 UEBA 구성 페이지 이동 링크를 선택합니다.
엔터티 동작 구성 페이지에서 UEBA 기능 활성화를 토글합니다.
사용자 엔터티를 Microsoft Sentinel과 동기화하려는 디렉터리 서비스를 선택합니다.
- Active Directory 온-프레미스(미리 보기)
- Microsoft Entra ID
온-프레미스 Active Directory에서 사용자 엔터티를 동기화하려면 Azure 테넌트를 Microsoft Defender for Identity(독립 실행형 또는 Microsoft Defender XDR의 일부로)에 온보딩해야 하고 Active Directory 도메인 컨트롤러에 MDI 센서가 설치되어 있어야 합니다. 자세한 내용은 Microsoft Defender for Identity 필수 조건을 참조하세요.
모든 데이터 원본 연결을 선택하여 모든 적격 데이터 원본을 연결하거나 목록에서 특정 데이터 원본을 선택합니다.
Defender 및 Azure Portal에서만 이러한 데이터 원본을 활성화할 수 있습니다.
- 로그인 로그
- 감사 로그
- Azure 활동
- 보안 이벤트
Defender 포털에서만 이러한 데이터 원본을 활성화할 수 있습니다(미리 보기).
- AAD 관리 ID 로그인 로그(Microsoft Entra ID)
- AAD 서비스 주체 로그인 로그(Microsoft Entra ID)
- AWS CloudTrail
- 디바이스 로그온 이벤트
- Okta CL
- GCP 감사 로그
UEBA 데이터 원본 및 변칙에 대한 자세한 내용은 Microsoft Sentinel UEBA 참조 및 UEBA 변칙을 참조하세요.
참고
UEBA를 활성화한 후에는 이 문서에 설명된 대로 데이터 커넥터 창 또는 Defender 포털 설정 페이지에서 UEBA에 지원되는 데이터 원본을 직접 활성화할 수 있습니다.
연결을 선택합니다.
Sentinel 작업 영역에서 변칙 검색을 활성화합니다.
- Microsoft Defender 포털 탐색 메뉴에서 설정>Microsoft Sentinel>SIEM 작업 영역을 선택합니다.
- 구성하려는 작업 영역을 선택합니다.
- 작업 영역 구성 페이지에서 변칙을 선택하고 변칙 감지를 토글합니다.
다음 단계
이 문서에서는 Microsoft Sentinel에서 UEBA(User and Entity Behavior Analytics)를 사용하도록 설정하고 구성하는 방법을 알아보았습니다. UEBA에 대한 자세한 정보: