SIEM(Microsoft Sentinel)과 Microsoft Defender XDR로 수집한 데이터는 테이블에 저장됩니다. Microsoft Defender 포털을 사용하면 데이터와 관련된 보존 기간 및 저장소 비용을 관리할 수 있습니다. 다음과 같은 경우 보존 및 비용을 관리할 수 있습니다.
- Microsoft Sentinel 또는 Microsoft Defender XDR로 데이터를 보내도록 데이터 커넥터를 구성합니다.
- 기존 테이블 및 데이터를 관리합니다.
이 문서에서는 Microsoft Defender 포털에서 테이블 보존 및 계층 옵션을 관리하여 보안 작업을 최적화하고 Microsoft Sentinel 및 Microsoft Defender XDR의 비용을 절감하는 방법을 설명합니다.
Defender 포털에서 관리할 수 있는 테이블은 무엇입니까?
이 섹션에서는 Defender 포털에서 관리할 수 있는 테이블 형식에 대해 설명합니다.
| 테이블 형식 | 설명 | 예시 | Microsoft Sentinel 작업 영역에 있나요? |
|---|---|---|---|
| Microsoft Sentinel | 다음을 비롯한 기본 제공 테이블: - AzureDiagnostics 및 SigninLogs와 같은 Azure 테이블 - Microsoft Sentinel 테이블 - 지원되는 Defender XDR 고급 헌팅 테이블은 보존 기간을 30일 이상으로 늘릴 때 Microsoft Sentinel 작업 영역에서 생성됩니다. 현재 지원 되지 않는 Defender XDR 테이블에 대한 XDR 테이블 형식을 참조하세요. |
- Azure 테이블: AzureDiagnostics, SigninLogs- Microsoft Sentinel 테이블: AWSCloudTrailSecurityAlert- XDR 테이블: DeviceEvents,AlertInfo |
예 |
| 사용자 지정 | 요약 규칙 및 검색 작업 결과 테이블, 사용자 지정 데이터 원본 테이블을 포함하여 Microsoft Sentinel 작업 영역에서 수동으로 또는 작업을 통해 만드는 테이블입니다. |
_CL 또는 _SRCH 접미사가 있는 테이블. |
예 |
| XDR | 기본적으로 분석 보존 기간이 30일인 XDR 기본 계층의 테이블입니다. 이러한 테이블은 볼 수 있지만 Defender 포털에서는 관리할 수 없습니다. | IdentityInfo |
아니오 |
비고
Defender 포털에서 Microsoft Sentinel 작업 영역에서 기본 로그 테이블을 볼 수 있지만 현재 Log Analytics 작업 영역에서만 관리할 수 있습니다. Defender 포털에서 이러한 테이블을 관리하려면 Microsoft Sentinel 작업 영역에서 테이블 계획을 기본에서 분석으로 변경합니다.
데이터 계층 및 보존의 작동 방식
다음 두 계층 중 하나로 Microsoft Sentinel에 데이터를 유지할 수 있습니다.
분석 계층: 이 계층은 경고, 헌팅, 통합 문서 및 모든 Microsoft Sentinel 기능에 데이터를 사용할 수 있도록 합니다. 다음 두 가지 상태로 데이터를 유지합니다.
- 분석 보존: 이 "핫" 상태에서는 고성능 쿼리 및 분석 규칙 및 위협 헌팅을 포함한 실시간 분석에 데이터를 완벽하게 사용할 수 있습니다. 기본적으로 Microsoft Sentinel 및 Microsoft Defender XDR은 이 계층의 데이터를 30일 동안 유지합니다. 비례 배분된 월별 장기 보존 요금으로 모든 테이블의 보존 기간을 최대 2년까지 연장할 수 있습니다. Microsoft Sentinel 솔루션 테이블의 보존 기간을 무료로 90일로 연장할 수 있습니다.
- 총 보존: 기본적으로 분석 계층의 모든 데이터는 동일한 보존 기간 동안 데이터 레이크에 미러링됩니다. 레이크의 데이터 보존 기간을 분석 보존 기간 이상으로 최대 12년 동안 저렴한 비용으로 확장할 수 있습니다.
데이터 레이크 계층: 이 저비용 "콜드" 계층에서 Microsoft Sentinel은 데이터를 레이크에만 보관합니다. 데이터 레이크 계층의 데이터는 실시간 분석 기능 및 위협 헌팅에 사용할 수 없습니다. 그러나 KQL 작업을 통해 필요할 때마다 레이크의 데이터에 액세스하고, 예약된 KQL 또는 Spark 작업을 실행하여 시간에 따른 추세를 분석하고, 요약 규칙을 사용하여 정기적으로 들어오는 데이터의 인사이트를 집계할 수 있습니다.
XDR 기본 계층: 기본적으로 Microsoft Defender XDR은 XDR 라이선스에 포함된 30일간의 분석 보존을 포함하는 위협 헌팅 데이터를 XDR 기본 계층에 유지합니다. 이 데이터는 분석 또는 데이터 레이크 계층으로 수집되지 않습니다. 지원되는 Defender XDR 테이블의 보존 기간을 30일 이상으로 연장하고 분석 계층으로 데이터를 수집할 수 있습니다. 자세한 내용은 Microsoft Sentinel에서 XDR 데이터 관리를 참조하세요.
이러한 두 보존 유형 간의 차이점에 대한 자세한 내용은 분석 및 데이터 레이크 계층 비교를 참조하세요.
이 다이어그램은 분석, 데이터 레이크 및 XDR 기본 계층의 보존 구성 요소와 각 계층에 적용되는 테이블 형식을 보여 줍니다.
Microsoft Sentinel 데이터 레이크에 대한 자세한 내용은 Microsoft Sentinel 데이터 레이크란?을 참조하세요.
분석 및 데이터 레이크 계층 비교
이 표에서는 두 분석 및 데이터 레이크 계층과 주요 특징을 비교합니다.
| 비교 | 분석 계층 | 데이터 레이크 계층 |
|---|---|---|
| 주요 특징 | 로그에 대한 고성능 쿼리 및 인덱싱(핫 또는 대화형 보존이라고도 함). | 대규모 데이터 볼륨(콜드 스토리지라고도 함)의 비용 효율적인 장기 보존 |
| 적합한 대상 | 실시간 분석 규칙, 경고, 탐색, 통합 문서 및 모든 Microsoft Sentinel 기능들 | - 규정 준수 및 규정 로깅. - 역사적 추세 분석 및 법의학. - 실시간 경고에 필요하지 않은 낮은 터치 데이터입니다. |
| 수집 비용 | 스탠다드 | 최소 |
| 쿼리 가격이 포함됨 | ✅ | ❌ |
| 최적화된 쿼리 성능 | ✅ |
❌ 더 느린 쿼리. 감사에 적합합니다. 실시간 분석에 최적화되지 않았습니다. |
| 쿼리 기능 | Microsoft Defender와 Azure 포털에서 그리고 API를 사용하여 전체 쿼리 기능을 제공합니다. |
-
공용 구조체 및 조인을 포함한 전체 쿼리 기능. - 예약된 KQL 또는 Spark 작업을 실행합니다. - 노트북을 사용합니다. |
| 실시간 분석 기능의 전체 집합 | ✅ | ❌ 분석 규칙, 헌팅 쿼리, 파서, 관심 목록, 통합 문서, 플레이북을 포함한 일부 기능에는 제한 사항이 있습니다. |
| 검색 작업 | ✅ | ✅ |
| 요약 규칙 | ✅ | ✅ 단일 테이블의 전체 KQL은 조회를 사용하여 Analytics 테이블의 데이터로 확장할 수 있습니다. |
| 복원 | ✅ | ❌ |
| 데이터 내보내기 | ✅ | ❌ |
| 보존 기간 | Microsoft Sentinel의 경우 90일, Microsoft Defender XDR의 경우 30일입니다. 월별 장기 보존 요금을 비례 배분하여 최대 2년까지 연장할 수 있습니다. |
기본적으로 데이터 분석 보관 기간과 동일합니다. 최대 12년까지 연장할 수 있습니다. |
테이블 설정을 수정하면 어떻게 되나요?
언제든지 테이블의 계층 및 보존 설정을 전환할 수 있습니다.
테이블의 계층을 분석에서 데이터 레이크로 변경하면 모든 실시간 분석 및 헌팅 쿼리의 작동이 중지됩니다.
테이블의 총 보존 기간을 줄이면 Microsoft는 데이터를 제거하기 30일 전에 대기하므로 구성에서 오류가 발생할 경우 변경 내용을 되돌리고 데이터 손실을 방지할 수 있습니다.
총 보존 기간을 늘리면 테이블에 이미 수집되어 아직 제거되지 않은 모든 데이터에 새 보존 기간이 적용됩니다.
기존 데이터를 사용하여 테이블의 분석 보존 설정을 변경하면 변경 내용이 즉시 적용됩니다.
예제:
- 분석 계층에 분석 보존 기간이 180일인 테이블이 있습니다. 기본적으로 총 보존 기간은 180일로 설정됩니다.
- 총 보존 기간인 180일을 변경하지 않고 분석 보존 기간을 90일로 변경합니다.
- Microsoft Sentinel은 분석 보존에서 최근 90일간의 데이터를 자동으로 제거하지만 데이터 레이크에 90-180일의 데이터를 계속 저장합니다.
Microsoft Sentinel에서 XDR 데이터 관리
기본적으로 Microsoft Defender XDR은 위협 헌팅 데이터를 XDR 기본 계층에 30일 동안 유지합니다. 이 데이터는 기본적으로 분석 또는 데이터 레이크 계층으로 수집되지 않습니다. 지원되는 XDR 테이블의 보존 기간을 30일 이상으로 연장하면 테이블이 분석 계층의 Microsoft Sentinel 작업 영역에서 만들어지고 데이터 레이크 계층으로 미러링됩니다. 먼저 분석 계층으로 수집하지 않고는 데이터 레이크 계층에 직접 XDR 테이블을 수집할 수 없습니다.
Azure Portal에서 Microsoft Sentinel XDR 커넥터를 이미 사용하도록 설정한 경우 커넥터를 설정할 때 선택한 테이블이 분석 계층에 자동으로 수집되고 데이터 레이크 계층에 미러링됩니다. 기본 보존 기간은 30일이며 최대 12년까지 연장할 수 있습니다. 테이블 목록은 Microsoft Sentinel과 Microsoft Defender XDR 통합을 참조하세요. 커넥터 배포 중에 선택되지 않은 지원되는 XDR 테이블은 분석 계층으로 수집되고 보존 기간을 30일 이상으로 설정하여 데이터 레이크 계층으로 미러링할 수 있습니다.
Microsoft Sentinel XDR 커넥터를 사용하도록 설정하지 않으면 XDR 테이블은 자동으로 수집되지 않지만 Defender 포털에서 30일 이상 분석 보존을 설정하여 수집할 수 있습니다. 데이터는 같은 기간 동안 데이터 레이크 계층에 자동으로 미러됩니다.
분석 계층 보존 및 총 보존 기간을 기본 30일로 다시 설정하여 분석 계층으로 데이터 수집을 중지합니다. 그러면 Azure Portal에서 커넥터가 비활성화됩니다.
테이블 및 데이터 관리에 대한 자세한 내용은 기존 테이블 및 데이터 관리를 참조하세요.
XDR 데이터 보존 및 비용
다음 표에서는 Microsoft Sentinel의 여러 계층에 대한 무료 보존 기간 및 비용 영향을 요약합니다.
| 계층 | Retention | 비고 |
|---|---|---|
| 고급 헌팅(기본값) | 30일 | XDR 라이선스에 포함된 기본값 |
| 분석 계층 | 90일 | Sentinel 사용 작업 영역에 대한 무료 스토리지입니다. 수집 요금이 적용됩니다. |
| Data Lake | 설정 가능. 기본적으로 분석 계층과 동일합니다. | 총 보존이 분석 계층 보존과 동일한 경우 무료 스토리지입니다. 분석 계층 보존 기간을 초과하여 데이터 레이크에 데이터를 보존하면 추가 스토리지 비용이 발생합니다. |
청구 및 비용에 대한 자세한 내용은 Microsoft Sentinel의 전체 청구 모델 이해
다음 예제에서는 분석 또는 데이터 레이크 계층의 보존 설정에 관계없이 최소 30일 동안 고급 헌팅을 통해 XDR 데이터를 사용할 수 있습니다.
| 분석 계층 보존 | 총 보존 기간 | 분석 계층 데이터 수집 비용 | 분석 계층 스토리지 비용 | 데이터 레이크 계층 비용 |
|---|---|---|---|---|
| 30일 기본값 | 30일 기본값 | 추가 비용 없음 | N/A | N/A |
| 90일 | 90일 | 분석 계층 데이터 처리 비용이 발생합니다. | 추가 비용이 없습니다. 90일은 무료로 제공됩니다. | 추가 비용이 없습니다. 총 보존은 분석 계층 보존과 일치합니다. |
| 90일 | 180일 | 분석 계층 데이터 처리 비용이 발생합니다. | 추가 비용 없음 90일은 무료로 제공됩니다. | 추가 데이터 레이크 보존 90일(180~90일)에 대한 비용이 적용됩니다. |
| 커넥터를 사용하도록 설정된 30일 | 180일 | 분석 계층 데이터 처리 비용이 발생합니다. | 추가 비용 없음 90일은 무료로 제공됩니다. | 추가 데이터 레이크 보존 150일(180~30일)에 대한 비용이 적용됩니다. |
| 180일 | 1년 | 분석 계층 데이터 처리 비용이 발생합니다. | 비용은 추가 분석 계층 보존 90일 동안 적용됩니다. | 비용은 185일의 추가 데이터 레이크 보존(365-180일)에 적용됩니다. |
미리 보기 제한 사항
공개 미리 보기의 일부로:
기본 계획이 있는 Microsoft Sentinel 테이블은 Log Analytics 작업 영역에서만 관리할 수 있습니다. 자세한 내용은 Log Analytics 작업 영역의 테이블 관리를 참조하세요.
Microsoft Defender 포털에서 보존 및 계층화를 관리하려면 Log Analytics 작업 영역에서 테이블 계획을 Analytics로 변경합니다.
일부 Microsoft Defender XDR 테이블은 Microsoft Defender 포털에서만 볼 수 있습니다. 현재 Microsoft Defender 포털은 다음 Microsoft Defender XDR 테이블 관리를 지원합니다.
- 경고 증거
- AlertInfo
- CampaignInfo
- 클라우드앱이벤트
- 디바이스 이벤트
- 장치 파일 인증서 정보
- DeviceFileEvents
- 디바이스이미지로드이벤트
- DeviceInfo
- 디바이스로그온이벤트
- 디바이스 네트워크 이벤트
- DeviceNetworkInfo
- 디바이스 프로세스 이벤트
- 장치 등록 이벤트
- 이메일첨부정보
- 이메일 이벤트
- EmailPostDeliveryEvents
- 이메일URL정보
- 파일 악성 콘텐츠 정보
- 아이덴티티디렉토리이벤트
- 아이덴티티로그온이벤트
- 아이덴티티쿼리이벤트
- 보안경고
- 보안 사고
- URL 클릭 이벤트
다음 단계
자세히 알아보기: