Microsoft Sentinel은 기본 제공 AI, 자동화, 위협 인텔리전스 및 최신 데이터 레이크 아키텍처를 사용하여 다중 클라우드 및 다중 플랫폼 환경에서 확장 가능하고 비용 효율적인 보안을 제공하는 확장 가능한 클라우드 네이티브 SIEM(보안 정보 및 이벤트 관리)입니다. Microsoft Sentinel은 엔터프라이즈 전반에 대한 조감도를 통해 사이버 위협 감지, 조사, 대응 및 사전 헌팅 기능을 제공합니다.
또한 Microsoft Sentinel은 Log Analytics 및 Logic Apps와 같은 입증된 Azure 서비스를 기본적으로 통합하고 AI를 통해 조사 및 검색을 보강합니다. 이는 Microsoft의 위협 인텔리전스 스트림을 모두 사용하고 자체 위협 인텔리전스를 가져올 수도 있습니다.
Microsoft Sentinel을 사용하면 분석가가 클라우드 및 플랫폼 전반의 공격을 더 빠르고 정밀하게 예측하고 중지할 수 있습니다. Microsoft Sentinel을 사용하면 점점 더 정교해지는 공격, 증가하는 경고 볼륨, 긴 해결 시간 프레임으로 인한 스트레스를 완화할 수 있습니다. 이 문서에서는 Microsoft Sentinel의 주요 기능을 중점적으로 설명합니다.
Microsoft Sentinel은 Azure Monitor 변조 방지 및 불변성 사례를 상속합니다. Azure Monitor는 추가 전용 데이터 플랫폼이지만 규정 준수를 위해 데이터를 삭제하는 프로비전을 포함합니다.
이 서비스는 서비스 공급자가 자신의 테넌트에 로그인하여 고객이 위임한 구독 및 리소스 그룹을 관리할 수 있는 Azure Lighthouse를 지원합니다.
기본 제공 가능한 보안 콘텐츠 사용
Microsoft Sentinel은 데이터 수집, 모니터링, 경고, 검색, 조사, 대응 및 다양한 제품, 플랫폼 및 서비스 연결을 가능하게 하는 SIEM 솔루션에 패키지된 보안 콘텐츠를 제공합니다.
자세한 내용은 Microsoft Sentinel 콘텐츠 및 솔루션 정보를 참조하세요.
대규모로 데이터 수집
온-프레미스 및 여러 클라우드 모두에서 모든 사용자, 디바이스, 애플리케이션 및 인프라에 걸쳐 데이터를 수집합니다.
다음 표에서는 데이터 수집을 위한 Microsoft Sentinel의 주요 기능을 강조 표시합니다.
| 기능 | 설명 | 시작하기 |
|---|---|---|
| 기본 제공 가능한 데이터 커넥터 | 많은 커넥터가 Microsoft Sentinel용 SIEM 솔루션과 함께 패키지되어 있으며 실시간 통합을 제공합니다. 이러한 커넥터에는 Microsoft Entra ID, Azure Activity, Azure Storage 등과 같은 Microsoft 원본과 Azure 원본이 포함됩니다. Microsoft 이외의 솔루션에 대한 광범위한 보안 및 애플리케이션 에코시스템을 위해 기본 제공 가능한 커넥터도 사용할 수 있습니다. 일반적인 이벤트 형식, Syslog 또는 REST API를 사용하여 Microsoft Sentinel에 데이터 원본을 연결할 수도 있습니다. |
Microsoft Sentinel 데이터 커넥터 |
| 사용자 지정 커넥터 | Microsoft Sentinel은 전용 커넥터 없이 일부 원본에서 데이터 수집을 지원합니다. 기존 솔루션을 사용하여 데이터 원본을 Microsoft Sentinel에 연결할 수 없는 경우 고유한 데이터 원본 커넥터를 만듭니다. | Microsoft Sentinel 사용자 지정 커넥터를 만들기 위한 리소스입니다. |
| 데이터 정규화 | Microsoft Sentinel은 쿼리 시간과 수집 시간 정규화를 모두 사용하여 다양한 원본을 균일하고 정규화된 보기로 변환합니다. | 정규화 및 ASIM(고급 보안 정보 모델) |
Microsoft Sentinel 데이터 레이크
Microsoft Sentinel은 보안 운영 팀이 데이터 관리를 간소화하고 비용을 최적화하며 AI 채택을 가속화할 수 있도록 설계된 최신 데이터 레이크를 제공합니다. Microsoft Sentinel 데이터 레이크는 조직이 더 이상 비용과 더 나은 보안 사이에서 타협할 필요가 없도록 저렴한 장기 스토리지를 제공합니다. 이제 보안 운영 팀은 Microsoft Sentinel 환경 내에서 인시던트 문제를 더 빠르게 해결할 수 있는 가시성을 향상하고 데이터 분석 도구와의 통합을 통해 보강되었습니다.
| 기능 | 설명 | 시작하기 |
|---|---|---|
| 비용 및 적용 범위 최적화 | 원활한 데이터 계층화 및 중앙 집중식 관리 환경을 사용하여 비용 및 적용 범위를 관리합니다. | Microsoft Sentinel의 로그 보존 계획 |
| 대화형 KQL 탐색 | KQL 쿼리를 사용하면 Microsoft Sentinel 데이터 레이크의 데이터를 대화형으로 탐색하고 분석할 수 있습니다. 임시 쿼리를 실행하고, 예약된 작업을 만들고, 추가 분석을 위해 분석 계층으로 데이터를 승격할 수 있습니다. KQL 쿼리 편집기에서는 보안 분석가가 장기 데이터를 사용할 수 있는 친숙한 인터페이스를 제공합니다. | KQL 및 Microsoft Sentinel 데이터 레이크(개요) |
| 탐색용 Notebook | Jupyter Notebook은 Microsoft Sentinel 데이터 레이크 에코시스템의 필수적인 부분으로, 데이터 분석 및 시각화를 위한 강력한 도구를 제공합니다. Visual Studio Code 확장은 Python 및 Apache Spark를 사용하여 데이터 레이크와 상호 작용할 수 있는 노트북을 제공합니다. Notebook을 사용하면 복잡한 데이터 변환을 수행하고, 기계 학습 모델을 실행하고, Notebook 환경 내에서 직접 시각화를 만들 수 있습니다. | 노트북 (개요) |
위협 감지
Microsoft 분석 및 업계 최고의 위협 인텔리전스를 사용하여 이전에 미검사된 위협을 탐지하고 가양성을 최소화합니다.
다음 표에서는 위협 감지를 위한 Microsoft Sentinel의 주요 기능을 강조 표시합니다.
| 용량 | 설명 | 시작하기 |
|---|---|---|
| 분석 | 노이즈를 줄이고 검토하고 조사해야 하는 경고 수를 최소화하는 데 도움이 됩니다. Microsoft Sentinel은 분석을 사용하여 경고를 인시던트로 그룹화합니다. 기본 제공 가능한 분석 규칙을 있는 그대로 사용하거나 고유의 규칙을 빌드하기 위한 시작점으로 사용합니다. Microsoft Sentinel은 또한 네트워크 동작을 매핑한 다음 리소스 전체에서 변칙 현상을 찾는 규칙을 제공합니다. 이러한 분석 과정에서 여러 다른 엔터티에 대한 충실도가 낮은 경고와 충실도가 높은 보안 인시던트를 결합합니다. | 처음부터 위협 탐지 |
| MITRE ATT&CK 적용 범위 | Microsoft Sentinel은 수집된 데이터를 분석하여 위협을 검색하고 조사하는 데 도움을 줄 뿐만 아니라 MITRE ATT&CK® 프레임워크의 전술과 기술을 기반으로 조직 보안 상태의 특성과 적용 범위를 시각화합니다. | MITRE ATT&CK® 프레임워크의 보안 적용 범위 이해 |
| 위협 인텔리전스 | 다양한 위협 인텔리전스 원본을 Microsoft Sentinel에 통합하여 사용자 환경에서 악의적인 작업을 검색하고 보안 조사관에게 컨텍스트를 제공하여 정보에 입각한 대응 결정을 내릴 수 있습니다. | Microsoft Sentinel의 위협 인텔리전스 |
| 관심 목록 | 제공한 데이터 원본(관심 목록)의 데이터를 Microsoft Sentinel 환경의 이벤트 간 상관 관계를 지정합니다. 예를 들어 사용자 환경의 높은 가치 자산, 퇴사 직원 또는 서비스 계정 목록을 사용하여 관심 목록을 만들 수 있습니다. 검색, 검색 규칙, 위협 헌팅, 대응 플레이북에서 관심 목록을 사용합니다. | Microsoft Sentinel의 관심 목록 |
| 통합 문서 | 통합 문서를 사용하여 대화형 시각적 보고서를 만듭니다. Microsoft Sentinel에는 데이터 원본에 연결하는 즉시 데이터 전체에 대한 인사이트를 신속하게 얻을 수 있는 통합 문서 템플릿이 기본 제공되어 있습니다. 또는 고유의 사용자 지정 통합 문서를 만듭니다. | 수집된 데이터를 시각화합니다. |
위협 조사
수년간에 걸친 Microsoft 사이버 보안 성과물을 활용하여 AI를 통해 위협을 조사하고 의심스러운 대규모 활동을 헌팅합니다.
다음 표에서는 위협 조사를 위한 Microsoft Sentinel의 주요 기능을 강조 표시합니다.
| 기능 | 설명 | 시작하기 |
|---|---|---|
| 인시던트 | Microsoft Sentinel 심층 조사 도구를 사용하면 범위를 이해하고 잠재적인 보안 위협의 근본 원인을 찾을 수 있습니다. 대화형 그래프에서 엔터티를 선택하여 특정 엔터티에 대해 흥미로운 질문을 하고, 해당 엔터티 및 연결을 드릴다운하여 위협의 근본 원인을 파악할 수 있습니다. | Microsoft Sentinel에서 인시던트 탐색 및 조사 |
| 헌팅 | MITRE 프레임워크를 기반으로 하는 Microsoft Sentinel의 강력한 검색 및 쿼리 도구를 사용하면 경고가 트리거되기 전에 조직의 데이터 원본 전체에서 보안 위협을 미리 찾아낼 수 있습니다. 헌팅 쿼리를 기반으로 사용자 지정 쿼리 규칙을 만듭니다. 그런 다음 이러한 인사이트를 보안 인시던트 대응 담당자에게 경고로 표시합니다. | Microsoft Sentinel의 위협 헌팅 |
| 노트북 | Microsoft Sentinel은 기계 학습, 시각화 및 데이터 분석을 위한 전체 라이브러리를 포함하여 Azure Machine Learning 작업 영역에서 Jupyter Notebook을 지원합니다. Microsoft Sentinel에서 Notebook을 사용하여 Microsoft Sentinel 데이터를 사용하여 수행할 수 있는 작업의 범위를 확장합니다. 예를 들면 다음과 같습니다. - 일부 Python 기계 학습 기능과 같이 Microsoft Sentinel에 기본 제공되지 않는 분석을 수행합니다. - 사용자 지정 타임라인 및 프로세스 트리와 같이 Microsoft Sentinel에 기본 제공되지 않는 데이터 시각화를 만듭니다. - 온-프레미스 데이터 세트와 같이 Microsoft Sentinel 외부의 데이터 원본을 통합합니다. |
Microsoft Sentinel의 탐색 기능이 포함된 Jupyter Notebook |
인시던트에 신속하게 대응
일반적인 작업을 자동화하고 Azure 서비스 및 기존 도구와 통합되는 플레이북을 사용하여 보안 오케스트레이션을 간소화합니다. Microsoft Sentinel의 자동화 및 오케스트레이션은 새로운 기술과 위협이 등장할 때 확장 가능한 자동화를 가능하게 하는 고도로 확장 가능한 아키텍처를 제공합니다.
Microsoft Sentinel의 플레이북은 Azure Logic Apps에 빌드된 워크플로를 기반으로 합니다. 예를 들어 ServiceNow 티켓팅 시스템을 사용하는 경우 Azure Logic Apps를 사용하여 워크플로를 자동화하고 특정 경고 또는 인시던트가 생성될 때마다 ServiceNow에서 티켓을 엽니다.
다음 표에서는 위협 대응을 위한 Microsoft Sentinel의 주요 기능을 강조 표시합니다.
| 기능 | 설명 | 시작하기 |
|---|---|---|
| 자동화 규칙 | 다양한 시나리오를 다루는 소규모 규칙 집합을 정의하고 조정하여 Microsoft Sentinel에서 인시던트 처리 자동화를 중앙에서 관리합니다. | 자동화 규칙을 사용하여 Microsoft Sentinel에서 위협 대응 자동화 |
| 플레이북 | 수정 작업 컬렉션인 플레이북을 사용하여 위협 대응을 자동화하고 오케스트레이션합니다. 자동화 규칙에 의해 트리거될 때 특정 경고나 인시던트에 대한 대응으로 주문형으로 플레이북을 실행하거나 자동으로 실행합니다. Azure Logic Apps를 사용하여 플레이북을 빌드하려면 ServiceNow, Jira 등과 같은 다양한 서비스 및 시스템에 대해 지속적으로 확장되는 커넥터 갤러리에서 선택합니다. 이러한 커넥터를 사용하면 워크플로에 사용자 지정 논리를 적용할 수 있습니다. |
Microsoft Sentinel에서 플레이북을 사용하여 위협 대응 자동화 모든 논리 앱 커넥터 목록 |
Azure 포털에서 Microsoft Sentinel의 사용 중지 일정
Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 사용할 수 있으며, Microsoft Defender XDR이나 E5 라이선스가 없는 고객도 사용할 수 있습니다. 즉, 다른 Microsoft Defender 서비스를 사용하지 않더라도 Defender 포털에서 Microsoft Sentinel을 사용할 수 있습니다.
2026년 7월부터 Microsoft Sentinel은 Defender 포털에서만 지원되며, Azure Portal을 사용하는 나머지 고객은 자동으로 리디렉션됩니다.
현재 Azure Portal에서 Microsoft Sentinel을 사용하는 경우 이제 Defender 포털로의 전환 계획을 시작하여 원활한 전환을 보장하고 Microsoft Defender에서 제공하는 통합 보안 작업 환경을 최대한 활용하는것이 좋습니다.
자세한 내용은 다음을 참조하세요.
- Microsoft Defender 포털의 Microsoft Sentinel
- Microsoft Sentinel 환경을 Defender 포털로 전환
- 모든 Microsoft Sentinel 고객을 위한 Microsoft Defender 포털로 이동 계획(블로그)
2025년 7월부터 신규 고객에 대한 변경 내용
이 섹션에 설명된 변경 내용을 위해 새 Microsoft Sentinel 고객은 테넌트에서 첫 번째 작업 영역을 Microsoft Sentinel에 온보딩하는 고객입니다.
2025년 7월부터 구독 소유자 또는 사용자 액세스 관리자의 권한이 있고 Azure Lighthouse 위임 사용자가 아닌 신규 고객은 Microsoft Sentinel에 온보딩과 함께 해당 작업 영역을 Defender 포털에 자동으로 등록합니다.
Azure Lighthouse 위임 사용자가 아닌 이러한 작업 영역의 사용자는 Azure Portal의 Microsoft Sentinel에서 Defender 포털로 리디렉션되는 링크를 참조하세요.
예를 들면 다음과 같습니다.
이러한 사용자는 Defender 포털에서만 Microsoft Sentinel을 사용합니다.
관련 권한이 없는 새 고객은 Defender 포털에 자동으로 온보딩되지 않지만, 관련 권한이 있는 사용자가 작업 영역을 Defender 포털에 수동으로 온보딩하라는 프롬프트와 함께 Azure Portal 리디렉션 링크가 계속 표시됩니다.
다음 표에서는 이러한 환경을 요약합니다.
| 고객 유형 | 경험 |
|---|---|
| Microsoft Sentinel에 사용할 수 있는 작업 영역이 이미 있는 테넌트에서 새 작업 영역을 만드는 기존 고객 | 작업 영역은 자동으로 온보딩되지 않으며 사용자에게 리디렉션 링크가 표시되지 않습니다. |
| 모든 테넌트에서 새 작업 영역을 만드는 Azure Lighthouse 위임 사용자 | 작업 영역은 자동으로 온보딩되지 않으며 사용자에게 리디렉션 링크가 표시되지 않습니다. |
| 테넌트에서 첫 번째 작업 영역을 Microsoft Sentinel에 온보딩하는 신규 고객 | - 필요한 권한이 있는 사용자는 작업 영역이 자동으로 온보딩됩니다. 이러한 작업 영역의 다른 사용자는 Azure Portal에서 리디렉션 링크를 볼 수 있습니다. - 필요한 권한이 없는 사용자에게 는 작업 영역이 자동으로 등록되지 않습니다. 이러한 작업 영역의 모든 사용자는 Azure Portal에서 리디렉션 링크를 볼 수 있으며, 필요한 권한이 있는 사용자는 작업 영역을 Defender 포털에 온보딩해야 합니다. |