이 문서는 Azure Arc 지원 컴퓨터를 Microsoft Sentinel에 온보딩하여 보안 관련 이벤트 수집을 시작하는 데 도움이 됩니다. Microsoft Sentinel은 기업 전체에서 경고 검색, 위협 표시, 사전 예방식 헌팅 및 위협 대응을 위한 단일 솔루션을 제공합니다.
필수 조건
시작하기 전에 다음 요구 사항을 충족하는지 확인합니다.
- 하나 이상의 컴퓨터가 Azure Arc에 온보딩되었습니다.
- Arc 지원 머신에 Azure Monitor 에이전트 를 설치하고 사용하도록 설정해야 합니다. 자세한 내용은 Azure Arc 지원 서버의 Azure Monitor 에이전트에 대한 배포 옵션을 참조하세요.
- Log Analytics 작업 영역 Log Analytics 작업 영역에 대한 자세한 내용은 Log Analytics 작업 영역 아키텍처 디자인을 참조하세요.
- 구독에서 Microsoft Sentinel 을 사용하도록 설정해야 합니다.
Arc 지원 서버에서 Azure Monitor 에이전트 사용
Microsoft Sentinel에는 Microsoft 솔루션용 많은 데이터 커넥터 가 제공되며, 기본적으로 사용할 수 있으며 실시간 통합을 제공합니다. 물리적 및 가상 머신의 경우 Azure Monitor 에이전트는 Microsoft Sentinel에 정보를 전달할 수 있습니다.
Azure Monitor 에이전트 확장을 설치하여 Arc 지원 서버에 Azure Monitor 에이전트를 배포할 수 있습니다. 이 작업은 각 컴퓨터에서 개별적으로 또는 Azure Policy 또는 Azure Automation을 통해 대규모로 수행할 수 있습니다. 자세한 내용은 Azure Arc 지원 서버에서 Azure Monitor 에이전트에 대한 배포 옵션을 참조하세요.
Microsoft Sentinel 사용 및 데이터 커넥터 설정
Azure Monitor 에이전트가 설치되면 Microsoft Sentinel을 사용하도록 설정하고 데이터 커넥터를 설정하여 Arc 지원 서버에서 보안 관련 이벤트 수집을 시작할 수 있습니다. 자세한 내용은 초보 가이드: Microsoft Sentinel 온보딩을 참조하세요.
Arc 지원 서버가 연결된 후 데이터가 Microsoft Sentinel로 스트림되기 시작하고 작업을 시작할 수 있습니다. 기본 제공 통합 문서에서 로그를 확인하고 Log Analytics에서 쿼리를 작성하여 데이터를 조사할 수 있습니다.
다음 단계
Microsoft Sentinel을 사용하여 위협 탐지에서 시작합니다.