Microsoft Sentinel 사용 시작하기

이 빠른 시작에서는 Microsoft Sentinel을 사용하도록 설정하고 콘텐츠 허브에서 솔루션을 설치합니다. 그런 다음, Microsoft Sentinel로 데이터 수집을 시작하도록 데이터 커넥터를 설정합니다.

Microsoft Sentinel은 Microsoft Defender XDR 서비스 간 커넥터와 같은 여러 Microsoft 제품용 커넥터와 함께 제공됩니다. Syslog 또는 CEF(Common Event Format)와 같은 타사 제품에 대해 기본 제공 커넥터를 사용하도록 설정할 수도 있습니다. 이 빠른 시작에서는 Microsoft Sentinel용 Azure Activity 솔루션에서 사용할 수 있는 Azure Activity 데이터 커넥터를 사용합니다.

API를 사용하여 Microsoft Sentinel에 온보딩하려면 지원되는 최신 버전의 Sentinel Onboarding States를 참조하세요.

필수 조건

• 활성 Azure 구독. 계정이 없으면 시작하기 전에 무료 계정을 만드세요.

• 사용 권한:

  • Microsoft Sentinel을 사용하도록 설정하려면 Microsoft Sentinel 작업 영역이 있는 구독에 대한 기여자 권한이 필요합니다.

  • Microsoft Sentinel을 사용하려면 작업 영역이 속한 리소스 그룹에 대해 Microsoft Sentinel 기여자 또는 Microsoft Sentinel 읽기 권한자 권한이 있어야 합니다.

  • 콘텐츠 허브에서 솔루션을 설치하거나 관리하려면 작업 영역이 속한 리소스 그룹에서 Microsoft Sentinel 기여자 역할이 필요합니다.

  • 새 Microsoft Sentinel 고객이고 구독 소유자 또는 사용자 액세스 관리자의 권한이 있는 경우 작업 영역이 Defender 포털에 자동으로 온보딩됩니다. 이러한 작업 영역의 사용자는 Defender 포털에서만 Microsoft Sentinel을 사용합니다.

• Microsoft Sentinel은 유료 서비스입니다. 가격 책정 옵션 및 Microsoft Sentinel 가격 책정 페이지를 검토합니다.

• 프로덕션 환경에 Microsoft Sentinel을 배포하기 전에 Microsoft Sentinel 배포를 위한 사전 배포 활동 및 필수 구성 요소를 검토합니다.

Log Analytics 작업 영역 만들기

Microsoft Sentinel을 작업 영역에 추가해야 합니다. Log Analytics 작업 영역이 이미 있는 경우 Log Analytics 작업 영역에 Microsoft Sentinel을 추가하는 것으로 건너뜁니다. Log Analytics 작업 영역이 아직 없는 경우 아래 지침을 사용하여 만들거나 자세한 설명을 보려면 Log Analytics 작업 영역 만들기로 이동합니다. Log Analytics 작업 영역에 대한 자세한 내용은 Azure Monitor 로그 배포 디자인을 참조하세요.

Microsoft Sentinel에 사용되는 Log Analytics 작업 영역에는 기본 30일의 보존 기간이 있을 수 있습니다. 모든 Microsoft Sentinel 기능을 사용할 수 있도록 하려면 보존 기간을 90일로 늘립니다. Azure Monitor 로그에서 데이터 보존 및 보관 정책 구성합니다.

1. Azure Portal에 로그인합니다.

2. Microsoft Sentinel을 검색하여 선택합니다.
   

3. 만들기를 선택합니다.

4. 새 작업 영역 만들기를 선택합니다.

5. 구독>리소스 그룹에서새로 만들기를 선택합니다. 리소스 그룹의 이름을 입력하고 확인을 선택합니다.

6. 작업 영역에 이름을 지정하고 지역을 선택한 다음 검토 + 만들기를 선택합니다. ( Log Analytics를 사용할 수 있는 지역을 참조하세요.)

7. 유효성 검사가 통과된 후 만들기를 선택합니다. 배포가 완료될 때까지 기다립니다.

Log Analytics 작업 영역에 Microsoft Sentinel 추가

1. Azure Portal에서 Microsoft Sentinel을 검색하여 선택합니다.

2. 만들기를 선택합니다.

3. 사용할 작업 영역을 선택하고 추가를 선택합니다. 둘 이상의 작업 영역에서 Microsoft Sentinel을 실행할 수 있지만 데이터는 단일 작업 영역으로 격리됩니다.

   • 클라우드용 Microsoft Defender에서 만든 기본 작업 영역은 목록에 표시되지 않습니다. 이러한 작업 영역에는 Microsoft Sentinel을 설치할 수 없습니다.
   • 작업 영역에 배포되면 Microsoft Sentinel은 해당 작업 영역을 다른 리소스 그룹 또는 구독으로 이동하는 것을 지원하지 않습니다.

Defender 포털에서 Microsoft Sentinel에 액세스

Defender 포털에서 Microsoft Sentinel에 액세스하려면 다음을 수행합니다.

1. Defender 포털에 로그인합니다.

   Defender 포털에 처음 액세스하면 테넌트 설정에 시간이 걸릴 수 있습니다.

2. 프로비전되면 탐색 창에서 Microsoft Sentinel을 찾을 수 있으며, 그 안에 Microsoft Sentinel 노드들이 포함되어 있습니다. 다음은 그 예입니다.

   

3. 탐색 창에서 아래로 스크롤하고 Microsoft Sentinel > 작업 영역 설정을 > 선택하여 Defender 포털에 온보딩된 작업 영역을 보고 사용할 수 있습니다.

Defender 포털은 테넌트당 하나의 작업 영역이 기본 작업 영역 역할을 하는 여러 작업 영역을 지원합니다. 자세한 내용은 Defender 포털 및 Microsoft Defender 다중 테넌트 관리의 여러 Microsoft Sentinel 작업 영역을 참조하세요.

콘텐츠 허브에서 솔루션 설치

Microsoft Sentinel의 콘텐츠 허브는 데이터 커넥터를 포함하여 기본 제공 콘텐츠를 검색하고 관리할 수 있는 중앙 집중식 위치입니다. 이 빠른 시작에서는 Azure Activity에 대한 솔루션을 설치합니다.

1. Microsoft Sentinel에서 콘텐츠 허브 페이지로 이동하여 Azure 활동 솔루션을 찾아 선택합니다.

   • Defender 포털
   • Azure Portal

   

2. 측면의 솔루션 세부 정보 창에서 설치를 선택합니다.

데이터 커넥터 설정

Microsoft Sentinel은 서비스에 연결하고 이벤트 및 로그를 Microsoft Sentinel에 전달하여 서비스 및 앱에서 데이터를 수집합니다. 이 빠른 시작에서는 데이터 커넥터를 설치하여 Azure Activity의 데이터를 Microsoft Sentinel로 전달합니다.

1. Microsoft Sentinel에서 구성>데이터 커넥터를 선택하고 Azure 활동 데이터 커넥터를 검색하여 선택합니다.

2. 커넥터 세부 정보 창에서 커넥터 열기 페이지를 선택합니다. Azure 활동 커넥터 페이지의 지침을 사용하여 데이터 커넥터를 설정합니다.

   1. Azure Policy 할당 마법사 시작을 선택합니다.

   2. 기본 탭에서 범위를, Microsoft Sentinel로 보낼 활동이 있는 구독 및 리소스 그룹으로 설정합니다. 예를 들어 Microsoft Sentinel 인스턴스를 포함하는 구독을 선택합니다.

   3. 매개 변수 탭을 선택하고 기본 Log Analytics 작업 영역을 설정합니다. Microsoft Sentinel이 설치된 작업 영역이어야 합니다.

   4. 검토 + 만들기 및 만들기를 선택합니다.

활동 데이터 생성

Microsoft Sentinel용 Azure Activity 솔루션에 포함된 규칙을 사용하도록 설정하여 일부 활동 데이터를 생성해 보겠습니다. 이 단계에서는 콘텐츠 허브에서 콘텐츠를 관리하는 방법도 보여 줍니다.

1. Microsoft Sentinel에서 콘텐츠 허브를 선택하고 Azure 활동 솔루션에서 의심스러운 리소스 배포 규칙 템플릿을 검색하여 선택합니다.

2. 세부 정보 창에서 규칙 만들기 를 선택하여 분석 규칙 마법사를 사용하여 새 규칙을 만듭니다.

3. 분석 규칙 마법사 - 새 예약 규칙 만들기 페이지에서 상태를 사용으로 변경합니다.

   이 탭 및 마법사의 다른 모든 탭에서 기본값을 그대로 둡니다.

4. 검토 및 만들기 탭에서 만들기를 선택합니다.

Microsoft Sentinel에 수집된 데이터 보기

Azure Activity 데이터 커넥터를 사용하도록 설정하고 일부 활동 데이터를 생성했으므로 이제 작업 영역에 추가된 활동 데이터를 살펴보겠습니다.

1. Microsoft Sentinel에서 구성>데이터 커넥터를 선택하고 Azure 활동 데이터 커넥터를 검색하여 선택합니다.

2. 커넥터 세부 정보 창에서 커넥터 열기 페이지를 선택합니다.

3. 데이터 커넥터의 상태를 검토합니다. 연결됨이어야 합니다.

   

4. 사용 중인 포털에 따라 계속하려면 탭을 선택합니다.

   • Defender 포털
   • Azure Portal

   1. 로그 분석으로 이동을 선택하여 고급 헌팅 페이지를 엽니다.

   2. 창 위쪽의 새 쿼리 탭 옆에 있는 새 쿼리 탭을 선택하여 + 새 쿼리 탭을 추가합니다.

   3. 다음 쿼리를 실행하여 작업 영역에 수집된 활동 날짜를 확인합니다.

      AzureActivity
      

   다음은 그 예입니다.

   

다음 단계

이 빠른 시작에서는 Microsoft Sentinel을 사용하도록 설정하고 콘텐츠 허브에서 솔루션을 설치했습니다. 그런 다음, Microsoft Sentinel로 데이터 수집을 시작하도록 데이터 커넥터를 설정했습니다. 또한 작업 영역에서 데이터를 확인하여 데이터가 수집되고 있는지 확인했습니다.

Defender 포털에 자동으로 온보딩된 새 고객인 경우 사용자는 Defender 포털에서만 Microsoft Sentinel에 액세스합니다. Microsoft Sentinel 설명서를 사용할 때는 Defender 포털 버전의 설명서를 선택해야 합니다.

• 대시보드 및 통합 문서를 사용하여 수집한 데이터를 시각화하려면 수집된 데이터 시각화를 참조하세요.
• 분석 규칙을 사용하여 위협을 감지하려면 자습서: Microsoft Sentinel에서 분석 규칙을 사용하여 위협 검색을 참조하세요.