다음을 통해 공유

Microsoft Sentinel에서 통합 문서를 사용하여 데이터 시각화 및 모니터링

  • 적용 대상: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

데이터 원본을 Microsoft Sentinel에 연결한 후 Microsoft Sentinel의 통합 문서를 사용하여 데이터를 시각화하고 모니터링합니다. Microsoft Sentinel 통합 문서는 Azure Monitor 통합 문서를 기반으로 하며, 로그 및 쿼리에 대한 분석이 포함된 테이블 및 차트를 Azure에서 이미 사용할 수 있는 도구에 추가합니다.

Microsoft Sentinel을 사용하면 데이터 전체에서 사용자 지정 통합 문서를 만들거나 패키지된 솔루션 또는 콘텐츠 허브에서 독립 실행형 콘텐츠로 사용할 수 있는 기존 통합 문서 템플릿을 사용할 수 있습니다. 각 통합 문서는 다른 통합 문서와 마찬가지로 Azure 리소스이며 Azure RBAC(역할 기반 액세스 제어)를 사용하여 할당하여 액세스할 수 있는 사람을 정의하고 제한할 수 있습니다.

이 문서에서는 통합 문서를 사용해 Microsoft Sentinel에서 데이터를 시각화하는 방법을 설명합니다. Defender 포털에서 직접 통합 문서를 편집하는 기능은 미리 보기 단계에 있습니다.

중요합니다

Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스가 없는 고객을 포함하여 Microsoft Defender 포털에서 일반적으로 사용할 수 있습니다.

2026년 7월부터 Azure Portal에서 Microsoft Sentinel을 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel을 사용합니다. 2025년 7월부터 많은 신규 고객이 자동으로 온보딩되고 Defender 포털로 리디렉션됩니다.

Azure Portal에서 Microsoft Sentinel을 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 에서 제공하는 통합 보안 작업 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다. 자세한 내용은 보안을 강화하기 위해 It's Time to Move: Retiring Microsoft Sentinel's Azure Portal을 참조하세요.

필수 구성 요소

  • Microsoft Sentinel 작업 영역의 리소스 그룹에 대해 최소한 통합 문서 읽기 권한자 또는 통합 문서 기여자 권한이 있어야 합니다.

    Microsoft Sentinel에 표시되는 통합 문서는 Microsoft Sentinel 작업 영역의 리소스 그룹 내에 저장되며 만들어진 작업 영역에 의해 태그가 지정됩니다.

  • 통합 문서 템플릿을 사용하려면 통합 문서가 포함된 솔루션을 설치하거나 Content Hub에서 통합 문서를 독립 실행형 항목으로 설치합니다. 자세한 내용은 Microsoft Sentinel 기본 제공 콘텐츠 검색 및 관리를 참조하세요.

  • Azure Data Explorer 데이터 원본을 사용하여 Defender 포털에서 작업하는 경우 Defender 포털에서 Azure Data Explorer를 구성하고 인증해야 합니다.

템플릿에서 통합 문서 만들기

콘텐츠 허브에서 설치된 템플릿을 사용하여 통합 문서를 만듭니다.

  1. Microsoft Sentinel에서 위협 관리 > 워크북을 선택합니다.

  2. 통합 문서 페이지에서 템플릿 탭을 선택하여 설치된 통합 문서 템플릿 목록을 확인합니다. 템플릿을 선택하여 세부 정보를 봅니다.

    일부 통합 문서가 정상적으로 작동하려면 특정 데이터 연결이 필요합니다. 통합 문서를 저장하기 전에 필수 데이터 형식 필드를 확인하여 해당 형식의 데이터를 수집했는지 확인합니다.

    예를 들면 다음과 같습니다.

  3. 세부 정보 창에서 저장을 선택한 다음 통합 문서를 저장할 위치를 선택합니다. 이 작업은 관련 템플릿을 기반으로 선택한 위치에 Azure 리소스를 만듭니다. 통합 문서의 JSON 파일만 이 위치에 저장되며 데이터는 저장되지 않습니다.

  4. 세부 정보 창에서 저장된 통합 문서 보기를 선택하여 편집용으로 엽니다.

  5. 통합 문서가 열려 있는 상태에서 편집 을 선택하여 필요에 따라 통합 문서를 사용자 지정합니다.

    저장된 통합 문서를 보여 주는 스크린샷

    Defender 포털에서 작업하는 경우 일부 시각화는 Azure Portal에서만 볼 수 있습니다. 이러한 경우 Azure에서 열기 를 선택하여 Azure Portal에서 통합 문서를 엽니다.

    예를 들어 TimeRange 필터를 선택하여 현재 선택 영역과 다른 시간 범위에 대한 데이터를 봅니다. 특정 통합 문서 영역을 편집하려면 편집을 선택하거나 줄임표(...)를 선택하여 요소를 추가하거나 영역을 이동, 복제 또는 제거합니다.

    통합 문서를 복제하려면 다른 이름으로 저장을 선택합니다. 동일한 구독 및 리소스 그룹 아래에 다른 이름으로 복제본을 저장합니다. 복제된 Workbooks는 Microsoft Sentinel > 위협 관리 > Workbooks 페이지의 내 통합 문서 탭에도 표시됩니다.

  6. 완료되면 편집 완료 를 선택하여 변경 내용을 저장합니다.

자세한 내용은 다음을 참조하세요.

새 통합 문서 만들기

Microsoft Sentinel에서 처음부터 새로 통합 문서를 만듭니다.

  1. Microsoft Sentinel에서 위협 관리 통합 문서를 선택한 다음, 통합 문서 추가를 선택합니다.

  2. 통합 문서를 편집하려면 편집을 선택한 다음, 필요에 따라 텍스트, 쿼리 및 매개 변수를 추가합니다.

    통합 문서를 사용자 지정하는 방법에 대한 자세한 내용은 Azure Monitor 통합 문서를 사용하여 대화형 보고서를 만드는 방법을 참조하세요.

    새 통합 문서를 보여주는 스크린샷.

  3. 쿼리를 빌드할 때 데이터 원본로그로 설정하고 리소스 종류Log Analytics로 설정한 다음, 하나 이상의 작업 영역을 선택합니다.

    쿼리는 기본 제공 테이블이 아닌 ASIM(고급 보안 정보 모델) 파서를 사용하는 것이 좋습니다. 그러면 쿼리가 단일 데이터 원본이 아닌 현재 또는 향후의 관련 데이터 원본을 지원하게 됩니다.

  4. 편집을 마쳤으면 편집 완료 를 선택한 다음 저장을 선택합니다. 측면 창에서 통합 문서의 의미 있는 이름을 입력하고 작업 영역에 대한 구독 및 리소스 그룹을 선택합니다.

  5. Azure Portal에서 작업할 때, 작업 영역의 통합 문서 간에 전환하려면, 어떤 통합 문서든 도구 모음에서 열기통합 문서 열기 아이콘을 선택하십시오. 화면이 전환할 수 있는 다른 통합 문서의 목록으로 전환됩니다.

    열려는 통합 문서를 선택합니다.

    통합 문서를 전환하는 방법을 보여 주는 스크린샷.

통합 문서에 대한 새 타일 만들기

Microsoft Sentinel 통합 문서에 사용자 지정 타일을 추가하려면 먼저 Log Analytics에서 타일을 만듭니다. 자세한 내용은 Log Analytics에서 시각적 데이터를 참조하세요.

타일을 만든 후 고정을 선택한 다음 타일을 표시할 통합 문서를 선택합니다.

통합 문서 데이터 새로 고침

통합 문서를 새로 고쳐서 업데이트된 데이터를 표시합니다. 도구 모음에서 다음 옵션 중 하나를 선택합니다.

  • 새로 고침 - 통합 문서 데이터를 수동으로 새로 고칩니다.

  • 자동 새로 고침 - 통합 문서를 구성된 간격으로 자동으로 새로 고치도록 설정합니다.

    • 지원되는 자동 새로 고침 간격의 범위는 5분에서 1일사이입니다.

    • 통합 문서를 편집하는 동안 자동 새로 고침이 일시 중지되며, 편집 모드에서 보기 모드로 다시 전환할 때마다 간격이 다시 시작됩니다.

    • 데이터를 수동으로 새로 고치는 경우에도 자동 새로 고침 간격이 다시 시작됩니다.

    기본적으로 자동 새로 고침은 꺼져 있습니다. 전자 필기장을 닫을 때마다 자동 새로 고침이 다시 꺼집니다. 이렇게 하면 성능이 최적화되고 백그라운드에서 실행되지 않도록 방지합니다. 다음에 통합 문서를 열 때 필요에 따라 자동 새로 고침을 다시 켭니다.

통합 문서를 인쇄하거나 PDF로 저장하려면 통합 문서 제목 오른쪽에 있는 옵션 메뉴를 사용합니다. 이러한 옵션은 Azure Portal에서만 사용할 수 있습니다. Defender 포털에서 작업하는 경우 Azure에서 열기 를 선택하여 Azure Portal에서 통합 문서를 엽니다.

  1. 옵션 >콘텐츠 인쇄를 선택합니다.

  2. 인쇄 화면에서 필요에 따라 인쇄 설정을 조정하거나 PDF로 저장을 선택하여 로컬로 저장합니다.

    예를 들면 다음과 같습니다.

    통합 문서를 인쇄하거나 PDF로 저장하는 방법을 보여 주는 스크린샷

하나 이상의 통합 문서 삭제

내 통합 문서 탭에서 저장된 템플릿과 사용자 지정된 통합 문서를 모두 삭제할 수 있습니다. 템플릿 자체는 삭제할 수 없습니다.

통합 문서를 삭제하려면 내 통합 문서 탭에서 통합 문서를 선택한 다음 삭제를 선택합니다. 이 작업을 수행하면 통합 문서 리소스와 템플릿에 대한 변경 내용이 제거됩니다. 원래 템플릿은 계속 사용할 수 있습니다.

통합 문서 권장 사항

이 섹션에서는 Microsoft Sentinel에서 통합 문서를 사용하기 위한 기본 권장 사항을 검토합니다.

Microsoft Entra ID 통합 문서 추가

Microsoft Sentinel과 Microsoft Entra ID를 사용하는 경우 Microsoft Sentinel용 Microsoft Entra 솔루션을 설치하고 다음 통합 문서를 사용하는 것이 좋습니다.

  • Microsoft Entra 로그인은 시간에 따른 로그인을 분석하여 변칙이 있는지 확인합니다. 이 통합 문서는 애플리케이션, 디바이스, 위치별로 실패한 로그인을 보여주기 때문에 비정상적인 상황이 발생하면 한눈에 알아볼 수 있습니다. 로그인이 여러 번 실패하면 주의하세요.
  • Microsoft Entra 감사 로그는 사용자에 대한 변경(추가, 제거 등), 그룹 만들기 및 수정과 같은 관리 활동을 분석합니다.

방화벽 통합 문서 추가

콘텐츠 허브의 적절한 솔루션을 설치하여 방화벽에 대한 통합 문서를 추가하는 것이 좋습니다.

예를 들어 Microsoft Sentinel용 Palo Alto 방화벽 솔루션을 설치하여 Palo Alto 통합 문서를 추가합니다. 이 통합 문서는 방화벽 트래픽을 분석하여 방화벽 데이터와 위협 이벤트 간 상관 관계를 제공하며, 엔터티 전체에서 의심스러운 이벤트를 강조 표시합니다.

Palo Alto 통합 문서의 스크린샷.

다양한 용도로 다른 통합 문서 만들기

가상 사용자의 역할 및 원하는 내용에 따라 통합 문서를 사용하는 각 가상 사용자 유형에 대해 서로 다른 시각화를 만드는 것이 좋습니다. 예를 들어, 네트워크 관리자를 위해 방화벽 데이터를 포함하는 통합 문서를 만들 수 있습니다.

또는 보고 싶은 빈도, 매일 검토하려는 항목이 있는지 여부 및 1시간에 한 번 확인하려는 다른 항목을 기준으로 통합 문서를 만듭니다. 예를 들어 1시간마다 Microsoft Entra 로그인을 확인하여 변칙을 검색할 수 있습니다.

다음 쿼리를 사용하여 몇 주 간 트래픽 추세를 비교하는 시각화를 만듭니다. 환경에 따라 쿼리를 실행하는 디바이스 공급업체 및 데이터 원본을 전환합니다.

다음 샘플 쿼리는 Windows의 SecurityEvent 테이블을 사용합니다. 다른 방화벽의 AzureActivity 또는 CommonSecurityLog 테이블에서 실행되도록 이를 전환할 수 있습니다.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

여러 원본의 데이터가 포함된 샘플 쿼리

여러 원본의 데이터를 통합하는 하나의 쿼리를 만들 수 있습니다. 예를 들어 만든 새 사용자의 Microsoft Entra 감사 로그를 살펴본 다음, Azure 로그를 확하는 쿼리를 만들어 사용자가 생성되고 24시간 이내에 역할 할당 변경을 시작했는지 확인합니다. 이러한 의심스러운 활동은 다음 쿼리를 사용하여 시각화에 표시됩니다.

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

앞의 예제에서 사용된 다음 항목에 대한 자세한 내용은 Kusto 설명서를 참조하세요.

KQL에 대한 자세한 내용은 KQL(Kusto 쿼리 언어) 개요를 참조하세요.

기타 리소스:

Defender 포털(미리 보기)에서 워크북 편집 시의 알려진 문제

Defender 포털에서 직접 통합 문서를 편집하는 작업은 현재 미리 보기로 제공되며 현재 다음과 같은 알려진 문제가 포함되어 있습니다.

  • 포털이 어두운 모드로 설정된 경우에도 고급 편집기가 라이트 모드로 표시될 수 있습니다.
  • 사용자 지정 엔드포인트 데이터는 Defender 포털에서 통합 문서를 편집하는 데 지원되지 않습니다.
  • 통합 문서 내의 Workbooks는 Defender 포털에서 편집할 수 없습니다.
  • Defender 포털의 통합 문서에는 읽기 전용 공유가 지원되지 않습니다.
  • 인어 다이어그램은 Defender 포털에서 통합 문서를 편집하는 데 지원되지 않습니다.

자세한 내용은 다음을 참조하세요.