작업 영역 및 테넌트에 걸쳐 Microsoft Sentinel 확장

2025-06-10
적용 대상: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Microsoft Sentinel을 온보딩할 때 첫 번째 단계는 Log Analytics 작업 영역을 선택하는 것입니다. 단일 작업 영역으로 Microsoft Sentinel 환경의 모든 이점을 얻을 수 있지만 경우에 따라 작업 영역을 확장하여 작업 영역 및 테넌트에서 데이터를 쿼리하고 분석할 수 있습니다. 자세한 내용은 Log Analytics 작업 영역 아키텍처 디자인 및 Microsoft Sentinel에서 여러 작업 영역 및 테넌트에 대한 준비를 참조하세요.

Microsoft Sentinel을 Microsoft Defender 포털에 온보딩하는 경우 다음을 참조하세요.

여러 작업 영역에서 인시던트 관리

Azure 및 Defender 포털에서 인시던트 보기를 사용하면 여러 작업 영역에서 인시던트 관리 및 모니터링을 중앙에서 관리하거나 작업 영역별로 보기를 필터링할 수 있습니다. 원본 작업 영역의 컨텍스트에서 인시던트를 직접 관리하거나 인시던트 세부 정보를 자세히 탐색합니다.

Azure Portal에서 작업하는 경우 여러 작업 영역 인시던트 보기를 참조하세요. Defender 포털의 경우 Defender 포털에서 여러 Microsoft Sentinel 작업 영역을 참조하세요.

여러 작업 영역 쿼리

여러 작업 영역을 쿼리하여 단일 쿼리에서 여러 작업 영역의 데이터를 검색하고 상호 연결합니다.

workspace( )작업 영역 식별자를 인수로 사용하여 다른 작업 영역의 테이블을 참조하는 식을 사용합니다. 명시적 식별자 형식을 사용하여 최상의 성능을 보장합니다. 자세한 내용은 작업 영역 간 쿼리에 대한 식별자 형식을 참조하세요.
여러 작업 영역의 테이블 전체에 쿼리를 적용하려면 식과 함께 workspace( )를 사용합니다.
저장된 함수를 사용하여 작업 영역 간 쿼리를 간소화합니다. 예를 들어 식을 저장하여 고객 A의 작업 영역에서 SecurityEvent 테이블에 대한 긴 참조를 줄일 수 있습니다.
```
workspace("/subscriptions/<customerA_subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName>").SecurityEvent
```
SecurityEventCustomerA라는 이름의 함수로 사용합니다. 그런 다음 함수를 사용하여 고객 A의 SecurityEventCustomerA | where ... 테이블을 쿼리할 수 있습니다.

함수는 흔히 사용되는 유니언을 단순화할 수도 있습니다. 예를 들어 다음 식을 unionSecurityEvent라는 함수로 저장할 수 있습니다.

union 
workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName1>").SecurityEvent, 
workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName2>").SecurityEvent

그런 다음 , 로 시작하여 unionSecurityEvent | where ... 두 작업 영역에서 쿼리를 작성합니다.

Log Analytics 데이터에 대한 작업 영역 간 쿼리는 Log Analytics 제한 사항이 적용됩니다.

예약된 분석 규칙에 작업 영역 간 쿼리 포함

예약된 분석 규칙에 작업 영역 간 쿼리를 포함할 수 있습니다. MSSP에 적합한 중앙 SOC 및 테넌트 간에(Azure Lighthouse 사용) 작업 영역 간 분석 규칙을 사용할 수 있습니다. 이 사용에는 다음 제한 사항이 적용됩니다.

단일 쿼리 에 최대 20개의 작업 영역을 포함할 수 있습니다. 그러나 좋은 성능을 위해서는 5개 이하를 포함하는 것이 좋습니다.
쿼리에서 참조되는 모든 작업 영역에 Microsoft Sentinel을 배포해야 합니다.
작업 영역 간 분석 규칙에서 생성된 경고와 이 규칙에서 생성된 인시던트가 규칙이 정의된 작업 영역에만 존재합니다. 쿼리에서 참조하는 다른 작업 영역에는 경고가 표시되지 않습니다.
모든 분석 규칙과 마찬가지로 작업 영역 간 분석 규칙은 규칙을 만든 사용자가 규칙의 쿼리에서 참조하는 작업 영역에 대한 액세스 권한을 상실하더라도 계속 실행됩니다. 이에 대한 유일한 예외는 분석 규칙과 다른 구독 및/또는 테넌트에 있는 작업 영역의 경우입니다.

교차 작업 영역 분석 규칙에 의해 만들어진 경고 및 인시던트에는 참조된 모든 작업 영역 및 "홈" 작업 영역(규칙이 정의된 위치)의 엔터티를 포함하여 모든 관련 엔터티가 포함됩니다. 이러한 방식으로 분석가는 경고 및 인시던트에 대한 전체 그림을 얻을 수 있습니다.

참고

동일한 쿼리에서 여러 작업 영역을 쿼리하면 성능에 영향을 줄 수 있으므로 논리에 해당 기능이 필요한 경우에만 권장됩니다.

워크스페이스 간 통합 문서 사용

워크북은 Microsoft Sentinel에 대시보드와 앱을 제공합니다. 여러 작업 영역으로 작업할 때 통합 문서는 작업 영역 전체에 대한 모니터링 및 작업을 제공합니다.

통합 문서는 다양한 수준의 최종 사용자 전문 지식에 적합한 세 가지 방법 중 하나로 작업 영역 간 쿼리를 제공할 수 있습니다.

메서드	설명	언제 사용해야 하나요?
작업 영역 간 쿼리 작성	통합 문서 작성자는 통합 문서에서 위에서 설명된 작업 영역 간 쿼리를 작성할 수 있습니다.	통합 문서 작성자가 사용자에게 투명한 작업 영역 구조를 만들기를 원합니다.
통합 문서에 작업 영역 선택기 추가	통합 문서 작성자는 통합 문서의 일부로 작업 영역 선택기를 구현할 수 있습니다.	사용하기 쉬운 드롭다운 상자를 사용하여 통합 문서에 표시된 작업 영역을 사용자가 제어할 수 있도록 하려고 합니다.
대화형으로 통합 문서 편집	기존 통합 문서를 수정하는 고급 사용자는 편집기에서 작업 영역 선택기를 사용하여 대상 작업 영역을 선택하는 것으로 기존 통합 문서 내의 쿼리를 편집할 수 있습니다.	고급 사용자가 기존 통합 문서를 쉽게 수정하여 여러 작업 영역에서 작업할 수 있도록 하려고 합니다.

여러 작업 공간에서 탐색

Microsoft Sentinel은 사용자가 테이블과 쿼리 언어를 시작하고 익숙해질 수 있도록 설계된 미리 로드된 쿼리 샘플을 제공합니다. Microsoft Security 연구원은 지속적으로 새로운 기본 제공 쿼리를 추가하고 기존 쿼리를 미세 조정합니다. 이러한 쿼리를 사용하여 새로운 검색을 찾고 보안 도구에서 누락되었을 수 있는 침입 징후를 식별할 수 있습니다.

작업 영역 간 헌팅 기능을 사용하면 위협 사냥꾼이 위에 표시된 대로 공용 구조체 연산자 및 작업 영역() 식을 사용하여 여러 작업 영역을 포함하도록 새로운 헌팅 쿼리를 만들거나 기존 헌팅 쿼리를 조정할 수 있습니다.

자동화를 사용하여 여러 작업 영역 관리

Microsoft Sentinel에 대해 여러 Log Analytics 작업 영역을 구성하고 관리하려면 Microsoft Sentinel 관리 API의 사용을 자동화해야 합니다.

경고 규칙, 헌팅 쿼리, 통합 문서 및 플레이북 을 포함하여 Microsoft Sentinel 리소스의 배포를 자동화하는 방법을 알아봅니다.
리포지토리에서 사용자 지정 콘텐츠를 배포하는 방법을 알아봅니다. 이 리소스는 Microsoft Sentinel을 코드로 관리하고 프라이빗 Azure DevOps 또는 GitHub 리포지토리에서 리소스를 배포 및 구성하기 위한 통합 방법을 제공합니다.

테넌트 간 작업 영역 관리

많은 시나리오에서 Microsoft Sentinels에 사용하도록 설정된 다양한 Log Analytics 작업 영역은 다른 Microsoft Entra 테넌트에 있을 수 있습니다. Azure Lighthouse를 사용하여 테넌트 경계를 넘어 모든 작업 영역 간 활동을 확장할 수 있으므로 관리 테넌트에서 사용자가 모든 테넌트에서 작업 영역에서 작업할 수 있습니다.

Azure Lighthouse가 온보딩되면 Azure Portal의 디렉터리 + 구독 선택기를 사용하여 관리하려는 작업 영역이 포함된 모든 구독을 선택하여 포털의 다른 작업 영역 선택기에서 모두 사용할 수 있도록 합니다.

Azure Lighthouse를 사용하는 경우 각 Microsoft Sentinel 역할의 그룹을 만들고 각 테넌트의 권한을 해당 그룹에 위임하는 것이 좋습니다.

Defender 포털을 사용하는 경우 Microsoft Defender XDR 및 Microsoft Sentinel에 대한 다중 테넌트 관리는 관리하는 모든 테넌트의 단일 통합 보기를 보안 운영 팀에 제공합니다. 자세한 내용은 Microsoft Defender 다중 테넌트 관리를 참조하세요.

Azure Portal의 Microsoft Sentinel은 다음을 참조하세요.

Azure Lighthouse를 사용하여 MSSP로 Microsoft Sentinel에서 여러 테넌트 관리
Azure 포털에서 여러 작업 공간에서 인시던트를 한 번에 작업하기

Defender 포털의 Microsoft Sentinel은 다음을 참조하세요.