Defender에 연결된 Microsoft Sentinel 작업 영역의 경우 Defender 포털의 새 테이블 관리 환경에서 계층화 및 보존 관리를 수행해야 합니다. 연결되지 않은 Microsoft Sentinel 작업 영역의 경우 아래 설명된 환경을 계속 사용하여 작업 영역의 데이터를 관리합니다.
성공적인 위협 탐지 프로그램에 중요한 로그 수집 및 보존의 두 가지 경쟁적 측면이 있습니다. 사용자는 수집한 로그 원본 수를 최대화하여 가능한 가장 포괄적인 보안 범위를 설정하려고 합니다. 또 한편으로는 모든 데이터를 수집하여 발생하는 비용을 최소화해야 합니다.
이러한 경쟁적 요구를 해결하기 위해서는 데이터 접근성, 쿼리 성능 및 스토리지 비용의 균형을 유지하는 로그 관리 전략이 필요합니다.
이 문서에서는 데이터 범주와 데이터를 저장하고 액세스하는 데 사용되는 보존 상태에 대해 설명합니다. 또한 Microsoft Sentinel에서 로그 관리 및 보존 전략을 빌드하기 위해 제공하는 로그 계층에 대해서도 설명합니다.
중요합니다
Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스가 없는 고객을 포함하여 Microsoft Defender 포털에서 일반적으로 사용할 수 있습니다.
2026년 7월부터 Azure Portal에서 Microsoft Sentinel을 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel을 사용합니다. 2025년 7월부터 많은 신규 고객이 자동으로 온보딩되고 Defender 포털로 리디렉션됩니다.
Azure Portal에서 Microsoft Sentinel을 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 에서 제공하는 통합 보안 작업 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다. 자세한 내용은 보안을 강화하기 위해 It's Time to Move: Retiring Microsoft Sentinel's Azure Portal을 참조하세요.
수집된 데이터의 범주
Microsoft Sentinel에 수집된 데이터를 다음 두 가지 일반 범주로 분류하는 것이 좋습니다.
기본 보안 데이터는 중요한 보안 값을 포함하는 데이터입니다. 이 데이터는 실시간 자동 관리 모니터링, 예약된 경고 및 분석을 통해 보안 위협을 감지하는 데 사용됩니다. 거의 실시간으로 모든 Microsoft Sentinel 환경에서 데이터를 쉽게 사용할 수 있어야 합니다.
보조 보안 데이터는 보조 데이터로, 주로 대용량의 자세한 정보 로그에 해당합니다. 이 데이터는 제한된 보안 값이지만 검색 및 조사에 대한 풍부한 기능과 컨텍스트를 제공하여 보안 인시던트에 대한 전체 상황을 파악할 수 있도록 합니다. 사용이 용이할 필요는 없지만 필요에 따라 적절한 크기만큼 액세스할 수 있어야 합니다.
기본 보안 데이터
이 범주는 조직에 중요한 보안 값을 포함하는 로그로 구성됩니다. 보안 작업에 대한 기본 보안 데이터 사용 사례는 다음과 같습니다.
자주 모니터링합니다. 위협 탐지(분석) 규칙은 이 데이터에서 자주 또는 거의 실시간으로 실행됩니다.
주문형 헌팅. 이 데이터에서 복잡한 쿼리를 실행하여 보안 위협에 대한 대화형 고성능 헌팅을 실행합니다.
상관 관계입니다. 이러한 원본의 데이터는 위협을 감지하고 공격 사례를 빌드하기 위해 다른 기본 보안 데이터 원본의 데이터와 상호 연관됩니다.
정기적인 보고. 이러한 원본의 데이터는 보안 및 일반 의사 결정자 모두를 위해 조직의 보안 상태에 대한 정기적 보고서로 컴파일할 수 있습니다.
동작 분석. 이러한 원본의 데이터는 사용자 및 디바이스에 대한 기준 동작 프로필을 빌드하는 데 사용되어 외부 동작을 의심스러운 것으로 식별할 수 있습니다.
기본 데이터 원본의 몇 가지 예는 다음과 같습니다.
- 바이러스 백신 또는 EDR(엔터프라이즈 검색 및 응답) 시스템의 로그
- 인증 로그
- 클라우드 플랫폼의 감사 내역
- 위협 정보 피드
- 외부 시스템의 경고
기본 보안 데이터를 포함하는 로그는 분석 계층을 사용하여 저장해야 합니다.
보조 보안 데이터
이 범주는 개별 보안 값이 제한되지만 보안 인시던트 또는 위반에 대한 포괄적인 보기를 제공하는 데 필수적인 로그를 포함합니다. 일반적으로 이러한 로그는 대용량이며 자세한 정보를 표시할 수 있습니다. 이 데이터에 대한 보안 작업 사용 사례는 다음과 같습니다.
위협 인텔리전스. 위협을 빠르고 쉽게 감지하려면 기본 데이터를 IoC(손상 지표) 또는 IoA(공격 지표) 목록을 기준으로 확인할 수 있습니다.
즉석 수렵/조사. 데이터를 30일 동안 대화형으로 쿼리하여 위협 헌팅 및 조사에 대한 중요한 분석을 용이하게 할 수 있습니다.
대규모 검색. 데이터를 페타바이트 규모로 백그라운드에서 수집 및 검색하는 동시에 최소한의 처리로 효율적으로 저장할 수 있습니다.
KQL 작업을 통한 요약 대량 로그를 집계 정보로 요약하고 분석 계층에 결과를 저장합니다.
보조 데이터 로그 원본의 몇 가지 예로는 클라우드 스토리지 액세스 로그, NetFlow 로그, TLS/SSL 인증서 로그, 방화벽 로그, 프록시 로그 및 IoT 로그가 있습니다.
보조 보안 데이터를 포함하는 로그의 경우 고급 보안 및 규정 준수 시나리오에 향상된 확장성, 유연성 및 통합 기능을 제공하도록 설계된 Microsoft Sentinel 데이터 레이크를 사용합니다.
로그 관리 계층
Microsoft Sentinel은 수집된 데이터의 이러한 범주를 수용하기 위해 서로 다른 두 가지 로그 스토리지 계층 또는 형식을 제공합니다.
분석 계층 계획은 기본 보안 데이터를 저장하고 고성능에서 쉽고 지속적으로 액세스할 수 있도록 설계되었습니다.
데이터 레이크 계층은 접근성을 유지하면서 장기간에 걸쳐 비용 효율적으로 보조 보안 데이터를 저장하기 위해 최적화되어 있습니다.
분석 계층
분석 계층은 기본적으로 최대 2년 동안 확장 가능한 90일 동안대화형 보존 상태로 데이터를 유지합니다. 이 대화형 상태는 비용이 많이 들지만 쿼리당 무료로, 높은 성능을 유지하면서 무제한으로 데이터를 쿼리할 수 있습니다.
데이터 레이크 계층
Microsoft Sentinel 데이터 레이크는 보안 데이터를 대규모로 통합하고 유지하는 완전히 관리되는 최신 데이터 레이크로, 여러 형식 및 AI 에이전트 기반 위협 탐지에서 고급 분석을 가능하게 합니다. 보안 팀이 수개월 간의 데이터를 사용하여 장기 위협을 조사하고 경고를 보강하며 행동 기준을 빌드할 수 있습니다.
총 보존이 분석 계층 보존보다 길도록 구성되거나 분석 계층 보존 기간이 종료되는 경우 분석 계층 보존을 초과하여 저장된 데이터에 데이터 레이크 계층에서 계속 액세스할 수 있습니다.
관련 콘텐츠
- Microsoft Sentinel 데이터 레이크에 대한 자세한 내용은 Microsoft Sentinel 데이터 레이크를 참조하세요.
- Microsoft Sentinel 데이터 레이크에 온보딩하려면 Microsoft Sentinel 데이터 레이크에 데이터 온보딩을 참조하세요.