Microsoft Sentinel 데이터 레이크는 Microsoft Sentinel 작업 영역의 데이터를 미러링합니다. Microsoft Sentinel 데이터 레이크에 온보딩하는 경우 기존 Microsoft Sentinel 데이터 커넥터는 분석 계층(Microsoft Sentinel 작업 영역)에 데이터를 보내고 데이터를 데이터 레이크 계층에 미러링하여 장기 스토리지하도록 구성됩니다. 온보딩 후 요구 사항에 따라 각 계층에서 데이터를 유지하도록 커넥터를 구성합니다.
이 문서에서는 Microsoft Sentinel 데이터 레이크에 대한 커넥터를 설정하고 보존을 구성하는 방법을 설명합니다. 온보딩에 대한 자세한 내용은 Microsoft Sentinel 데이터 레이크에 온보딩을 참조하세요.
보존 및 데이터 계층화 구성
온보딩 후 새 커넥터를 사용하도록 설정하고 기존 커넥터에 대한 보존을 구성할 수 있습니다. 분석 계층으로 데이터를 보내고 데이터를 데이터 레이크 계층으로 미러링하거나 데이터 레이크 계층으로만 데이터를 보낼 수 있습니다. 보존 및 계층화는 커넥터 설정 페이지에서 또는 Defender 포털의 테이블 관리 페이지를 사용하여 관리됩니다. 테이블 관리 및 보존에 대한 자세한 내용은 Microsoft Defender 포털에서 데이터 계층 및 보존 관리를 참조하세요.
커넥터를 사용하도록 설정하면 기본적으로 데이터가 분석 계층으로 전송되고 데이터 레이크 계층에 미러됩니다. Microsoft Sentinel 데이터 레이크를 사용하도록 설정하면 온보딩 이후로 모든 테이블에 대해서 미러링이 자동으로 활성화됩니다. 분석 계층과 동일한 보존 기간을 가진 데이터 레이크의 미러된 데이터에는 추가 청구 요금이 발생하지 않습니다. 테이블의 기존 데이터는 미러되지 않습니다. 데이터 레이크 계층의 보존은 분석 계층과 동일한 값으로 설정됩니다. 데이터 수집을 데이터 레이크 계층으로만 전환할 수 있습니다. 데이터 레이크 계층에만 수집하도록 구성하면 분석 계층에 대한 수집이 중지되고 분석 계층의 기존 데이터는 보존 설정에 따라 유지됩니다.
보관에 보관된 데이터는 계속 사용할 수 있으며 검색 및 복원 기능을 사용하여 복원할 수 있습니다.
데이터 커넥터에 대한 보존 및 계층을 구성하려면 데이터 커넥터 구성을 참조하세요.
Microsoft Sentinel XDR 데이터
기본적으로 Microsoft Defender XDR은 위협 헌팅 데이터를 XDR 기본 계층에 30일 동안 유지합니다. XDR 데이터는 기본적으로 분석 또는 데이터 레이크 계층으로 수집되지 않습니다. 일부 XDR 테이블은 보존 시간을 30일 이상으로 늘려 분석 및 데이터 레이크 계층으로 수집될 수 있습니다. 자세한 내용은 Microsoft Sentinel에서 XDR 데이터 관리를 참조하세요.
사용자 지정 로그 테이블
MMA(Microsoft Monitoring 에이전트) 및 Log analytics 에이전트(CLV1) 사용자 지정 테이블은 데이터 레이크에 미러링되지 않습니다.
로그 수집 API 또는 AMA(Azure Monitor 에이전트) 및 DCR 기반 사용자 지정 테이블을 사용하여 만든 테이블은 미러링됩니다. 자세한 내용은 Azure Monitor의 로그 수집 API를 참조하세요.
보조 로그 테이블
고객이 Defender와 Microsoft Sentinel 모두에 온보딩한 다음 데이터 레이크에 온보딩하면 보조 로그 테이블이 더 이상 Microsoft Defender의 고급 헌팅 또는 Microsoft Sentinel Azure 포털에 표시되지 않습니다. 보조 테이블 데이터는 데이터 레이크에서 사용할 수 있으며 KQL 쿼리 또는 Jupyter Notebook을 사용하여 쿼리할 수 있습니다. Defender 포털의 Microsoft Sentinel>Data Lake 탐색에서 KQL 쿼리를 찾으십시오.