데이터 원본을 Microsoft Sentinel에 연결하려면 데이터 커넥터를 설치하고 구성해야 합니다. 이 문서에서는 일반적으로 Microsoft Sentinel 콘텐츠 허브 에서 사용할 수 있는 데이터 커넥터를 설치하여 향상된 위협 탐지를 위해 데이터를 수집하고 분석하는 방법을 설명합니다.
중요합니다
Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스가 없는 고객을 포함하여 Microsoft Defender 포털에서 일반적으로 사용할 수 있습니다.
2026년 7월부터 Azure Portal에서 Microsoft Sentinel을 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel을 사용합니다. 2025년 7월부터 많은 신규 고객이 자동으로 온보딩되고 Defender 포털로 리디렉션됩니다.
Azure Portal에서 Microsoft Sentinel을 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 에서 제공하는 통합 보안 작업 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다. 자세한 내용은 보안을 강화하기 위해 It's Time to Move: Retiring Microsoft Sentinel's Azure Portal을 참조하세요.
필수 구성 요소
시작하기 전에 적절한 액세스 권한이 있는지 확인하고 사용자 또는 조직의 누군가가 관련 솔루션을 설치하는지 확인합니다.
- Microsoft Sentinel 작업 영역에 대한 읽기 및 쓰기 사용 권한이 있어야 합니다.
- Microsoft Sentinel의 콘텐츠 허브 에서 데이터 커넥터를 포함하는 솔루션을 설치합니다. 자세한 내용은 Microsoft Sentinel 기본 제공 콘텐츠 검색 및 관리를 참조하세요.
데이터 커넥터를 사용하도록 설정
사용자 또는 조직의 누군가가 필요한 데이터 커넥터를 포함하는 솔루션을 설치한 후 데이터 수집을 시작하도록 데이터 커넥터를 구성합니다.
Defender 포털의 Microsoft Sentinel에 대해 Microsoft Sentinel>구성>데이터 커넥터를 선택합니다. Azure Portal의 Microsoft Sentinel의 경우 구성에서 데이터 커넥터를 선택합니다.
커넥터를 검색 및 선택합니다. 원하는 데이터 커넥터가 표시되지 않으면 관련 솔루션이 콘텐츠 허브에 설치되어 있는지 다시 확인합니다.
커넥터 열기 페이지를 선택합니다.
데이터 커넥터의 필수 구성 요소를 검토하고 충족되는지 확인합니다.
데이터 커넥터에 대한 구성 섹션에 설명된 단계를 따릅니다.
일부 커넥터의 경우 Microsoft Sentinel 설명서의 데이터 수집 섹션에서 보다 구체적인 구성 정보를 찾습니다.
데이터 보존 및 계층화 구성
Microsoft Sentinel 데이터 레이크(미리 보기)에 온보딩한 경우 데이터 커넥터에 대한 데이터 보존 및 계층을 구성할 수 있습니다. Data Lake는 분석 계층(현재 Microsoft Sentinel 작업 영역) 및 최대 12년 동안 데이터를 저장할 수 있는 데이터 레이크 계층으로 구성됩니다. 온보딩에 대한 자세한 내용은 Microsoft Sentinel 데이터 레이크에 온보딩을 참조하세요.
커넥터를 사용하도록 설정하면 기본적으로 데이터가 분석 계층으로 전송되고 데이터 레이크 계층에 미러됩니다. 각 계층에서 데이터 보존을 구성하거나 데이터 레이크 계층으로만 데이터를 보냅니다. 보존 및 계층화는 커넥터 설정 페이지에서 또는 Defender 포털의 테이블 관리 페이지를 사용하여 관리됩니다. 테이블 관리 및 보존에 대한 자세한 내용은 Microsoft Defender 포털에서 데이터 계층 및 보존 관리(미리 보기)를 참조하세요.
커넥터를 설정했으면 다음 단계를 사용하여 데이터 보존 및 계층을 구성합니다.
커넥터 세부 정보 페이지의 테이블 관리 섹션에서 관리할 테이블을 선택합니다.
현재 보존 설정을 보여 주는 테이블 패널이 표시됩니다.
보존을 구성하려면 테이블 관리를 선택합니다.
테이블 관리 패널이 표시되어 현재 보존 설정을 표시합니다. 분석 계층 및 데이터 레이크 계층에 대한 보존 설정을 변경할 수 있습니다. 기본값은 분석 계층과 동일한 보존을 사용하여 데이터를 데이터 레이크 계층에 미러링하는 것입니다.
분석 보존에서 분석 계층의 보존 기간을 선택합니다.
데이터 레이크 계층을 구성하려면 총 보존 드롭다운 목록에서 보존 기간을 선택합니다.
계층을 데이터 레이크로만 변경하려면 Data Lake 계층 을 선택하고 보존 드롭다운 목록에서 보존 기간을 선택합니다. 이 옵션을 선택하면 분석 계층에 대한 추가 수집이 중지됩니다.
저장을 선택하여 변경 내용을 저장합니다.
데이터 커넥터를 구성한 후에는 데이터가 Microsoft Sentinel에 수집되는 데 다소 시간이 걸릴 수 있습니다. 데이터를 데이터 레이크로 수집하는 데 90-120분이 걸립니다. 데이터 커넥터가 연결되면 받은 데이터 그래프의 데이터 요약과 데이터 형식의 연결 상태가 표시됩니다.
데이터 찾기
커넥터를 사용하도록 설정하면 커넥터가 구성한 데이터 형식과 관련된 테이블 스키마로 데이터를 스트리밍하기 시작합니다.
Defender 포털의 고급 헌팅 페이지에서 데이터를 쿼리하거나 Azure 포털의 로그 페이지에서 데이터를 쿼리합니다.
데이터 레이크 탐색기, KQL 쿼리로 이동하여 데이터 레이크의 데이터를 쿼리합니다. 자세한 내용은 KQL 및 Microsoft Sentinel 데이터 레이크(미리 보기)를 참조하세요.
데이터 커넥터의 지원 찾기
Microsoft와 다른 조직에서 모두 Microsoft Sentinel 데이터 커넥터를 작성합니다. Microsoft Sentinel의 데이터 커넥터 페이지에서 지원 연락처를 찾습니다.
Microsoft Sentinel 데이터 커넥터 페이지에서 관련 커넥터를 선택합니다.
커넥터에 대한 지원 및 유지 관리에 액세스하려면 커넥터의 측면 패널에 있는 지원 기준 필드의 지원 연락처 링크를 사용합니다.
자세한 내용은 데이터 커넥터 지원을 참조하세요.
관련 콘텐츠
Microsoft Sentinel의 솔루션 및 데이터 커넥터에 대한 자세한 내용은 다음 문서를 참조하세요.
- Microsoft Sentinel 데이터 커넥터
- Microsoft Sentinel 데이터 커넥터 찾기
- Azure, Windows, Microsoft 및 Amazon 서비스에 Microsoft Sentinel 연결
- Microsoft Sentinel 데이터 레이크란 무엇입니까(미리 보기)?
- Microsoft Sentinel 데이터 레이크에 온보딩(미리 보기)
- Microsoft Defender 포털(미리 보기)에서 데이터 계층 및 보존을 관리합니다.
- KQL 및 Microsoft Sentinel 데이터 레이크(미리 보기)
- Jupyter Notebook 및 Microsoft Sentinel 데이터 레이크(프리뷰)