Microsoft Sentinel은 Microsoft Defender 포털에서 Microsoft Defender XDR 또는 자체적으로 사용할 수 있습니다. SIEM 및 XDR 간에 통합된 환경을 제공하여 더 빠르고 정확한 위협 탐지 및 대응, 더 간단한 워크플로 및 더 나은 운영 효율성을 제공합니다.
이 문서에서는 Microsoft Sentinel 환경을 Azure Portal에서 Defender 포털로 전환하는 방법을 설명합니다. Azure Portal에서 Microsoft Sentinel을 사용하는 경우 통합 보안 작업 및 최신 기능을 위해 Microsoft Defender로 전환합니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하거나 YouTube 재생 목록을 시청하세요.
필수 조건
시작하기 전에 다음 사항에 유의하세요.
이 문서는 Microsoft Sentinel 환경을 Defender 포털로 전환하려는 Microsoft Sentinel에 대해 사용하도록 설정된 기존 작업 영역을 사용하는 고객을 위한 것입니다. 구독 소유자 또는 사용자 액세스 관리자의 권한으로 온보딩한 새 고객인 경우 작업 영역이 Defender 포털에 자동으로 온보딩됩니다.
일부 Microsoft Sentinel 기능에는 Defender 포털의 새 위치가 있습니다. 자세한 내용은 빠른 참조를 참조하세요.
관련된 경우 각 단계에 대한 연결된 문서에 자세한 필수 구성 요소가 있습니다.
전환 환경 계획 및 설정
대상: 보안 설계자
비디오:
계획 지침 검토, 사전 준비 사항 완료 및 온보딩 시작
작업 영역을 Defender 포털에 온보딩하기 전에 모든 계획 지침을 검토하고 모든 필수 구성 요소를 완료합니다. 자세한 내용은 다음 문서를 참조하세요.
Defender 포털에서 통합 보안 작업을 계획합니다. Defender 포털에 온보딩한 후 Microsoft Sentinel 기여자 역할은 구독의 Microsoft Threat Protection 및 WindowsDefenderATP 앱에 할당됩니다.
Defender 포털에서 통합 보안 작업을 위해 배포합니다. 이 문서는 Defender 포털에 온보딩된 Microsoft Sentinel 또는 기타 서비스에 대한 작업 영역이 아직 없는 신규 고객을 위한 것이지만 Defender 포털로 이동하는 경우 참조로 사용합니다.
Microsoft Sentinel을 Defender 포털에 연결합니다. 이 문서에서는 Defender 포털에 작업 영역을 온보딩하기 위한 필수 구성 요소를 나열합니다. Defender XDR 없이 Microsoft Sentinel을 사용하려는 경우 추가 단계를 수행하여 Microsoft Sentinel과 Defender 포털 간의 연결을 트리거해야 합니다.
데이터 스토리지 및 개인 정보 보호에 대한 차이점 검토
Azure Portal을 사용하는 경우 데이터 스토리지, 프로세스, 보존 및 공유에 대한 Microsoft Sentinel 정책이 적용됩니다. Defender 포털을 사용하는 경우 Microsoft Sentinel 데이터를 사용하는 경우에도 Microsoft Defender XDR 정책이 대신 적용됩니다.
다음 표에서는 Azure 및 Defender 포털에서 환경을 비교할 수 있도록 추가 세부 정보 및 링크를 제공합니다.
| 지원 영역 | Azure 포털 | Defender 포털 |
|---|---|---|
| BCDR | 고객은 데이터를 복제할 책임이 있습니다. | Microsoft Defender는 제어 창에서 BCDR에 대한 자동화를 사용합니다. |
| 데이터 스토리지 및 처리 | - 데이터 스토리지 위치 - 지원되는 지역 |
데이터 스토리지 위치 |
| 데이터 보존 | 데이터 보존 | 데이터 보존 |
| 데이터 공유 | 데이터 공유 | 데이터 공유 |
자세한 내용은 다음을 참조하세요.
CMK(고객 관리형 키)를 사용하여 Defender 포털에 온보딩
Microsoft Sentinel 사용 작업 영역을 Defender 포털에 온보딩하는 경우 수집된 작업 영역 데이터/로그는 CMK로 암호화된 상태로 유지됩니다. 다른 데이터는 CMK로 암호화되지 않으며 Microsoft 관리형 키를 사용합니다.
자세한 내용은 Microsoft Sentinel 고객 관리형 키 설정을 참조하세요.
다중 작업 영역 및 다중 테넌트 관리 구성
Defender는 다중 테넌트 포털을 통해 여러 테넌트에서 하나 이상의 작업 영역을 지원합니다. 이 작업은 인시던트 및 경고를 관리하고, 테넌트 간 위협을 검색하며, 고객 간에 MSSP(관리 보안 서비스 파트너)를 볼 수 있도록 하는 중앙 위치 역할을 합니다.
다중 작업 영역 시나리오에서 다중 테넌트 포털을 사용하면 테넌트당 하나의 기본 작업 영역과 여러 보조 작업 영역을 연결할 수 있습니다. 단일 테넌트에 대한 온보딩과 마찬가지로 각 테넌트에 대해 각 작업 영역을 Defender 포털에 개별적으로 온보딩합니다.
자세한 내용은 다음을 참조하세요.
Azure Lighthouse 설명서. Azure Lighthouse를 사용하면 온보딩된 작업 영역에서 다른 테넌트에서 Microsoft Sentinel 데이터를 사용할 수 있습니다. 예를 들어, 고급 헌팅 및 분석 규칙에서
workspace()연산자를 사용하여 작업 영역 간 쿼리를 실행할 수 있습니다.Microsoft Entra B2B. Microsoft Entra B2B를 사용하면 테넌트 전체의 데이터에 액세스할 수 있습니다. GDAP는 Microsoft Sentinel 데이터에 대해 지원되지 않습니다.
설정 및 콘텐츠 구성 및 검토
대상: 보안 엔지니어
비디오: Microsoft Defender에서 커넥터 관리
데이터 수집 확인 및 구성
Microsoft Sentinel이 Microsoft Defender와 통합되면 데이터 수집 및 원격 분석 흐름의 기본 아키텍처는 그대로 유지됩니다. Microsoft Defender 제품 또는 기타 데이터 원본에 관계없이 Microsoft Sentinel에 구성된 기존 커넥터는 중단 없이 계속 작동합니다.
Defender 제품과 관련된 경고는 일관성을 보장하기 위해 Microsoft Defender XDR 데이터 커넥터에서 직접 스트리밍됩니다. 작업 영역에서 이 커넥터의 인시던트 및 경고가 켜져 있는지 확인합니다. 자세한 내용은 Microsoft Defender XDR의 데이터를 Microsoft Sentinel에 연결을 참조하세요.
Log Analytics 관점에서 Microsoft Sentinel이 Microsoft Defender에 통합되면 기본 수집 파이프라인 또는 데이터 스키마가 변경되지 않습니다. 프런트 엔드 통합에도 불구하고 Microsoft Sentinel 백 엔드는 데이터 스토리지, 검색 및 상관 관계를 위해 Log Analytics와 완전히 통합되어 있습니다.
클라우드용 Microsoft Defender와 통합
- Defender for Cloud용 테넌트 기반 데이터 커넥터를 사용하는 경우 중복 이벤트 및 경고를 방지하기 위한 조치를 취해야 합니다.
- 레거시 구독 기반 커넥터를 대신 사용하는 경우 인시던트 및 경고를 Microsoft Defender에 동기화하지 않도록 옵트아웃해야 합니다.
자세한 내용은 Microsoft Defender의 경고 및 인시던트(Incidents)를 참조하세요.
Defender 포털의 데이터 커넥터 표시 여부
작업 영역을 Defender에 온보딩한 후 다음 데이터 커넥터는 통합 보안 작업에 사용되며 Defender 포털의 데이터 커넥터 페이지에 표시되지 않습니다.
- 클라우드 앱용 Microsoft Defender
- 엔드포인트용 Microsoft Defender
- Microsoft Defender for Identity
- Office 365용 Microsoft Defender(미리 보기)
- Microsoft Defender XDR
- 구독 기반 클라우드용 Microsoft Defender(레거시)
- 테넌트 기반 클라우드용 Microsoft Defender(미리 보기)
이러한 데이터 커넥터는 Azure Portal의 Microsoft Sentinel에 계속 나열됩니다.
에코시스템 구성
Microsoft Sentinel의 작업 영역 관리자는 Defender 포털에서 사용할 수 없지만, 작업 영역 간에 코드로 콘텐츠를 배포하기 위해 다음 대체 기능 중 하나를 사용합니다.
리포지토리에서 코드로 콘텐츠를 배포합니다 (공개 미리 보기). GitHub 또는 Azure DevOps의 YAML 또는 JSON 파일을 사용하여 통합 CI/CD 워크플로를 사용하여 Microsoft Sentinel 및 Defender에서 구성을 관리하고 배포합니다.
다중 테넌트 포털. Microsoft Defender 다중 테넌트 포털은 여러 테넌트에 콘텐츠 관리 및 배포를 지원합니다.
그렇지 않은 경우 Defender 포털의 콘텐츠 허브에서 다양한 유형의 보안 콘텐츠를 포함하는 솔루션 패키지를 계속 배포합니다. 자세한 내용은 Microsoft Sentinel 기본 제공 콘텐츠 검색 및 관리를 참조하세요.
분석 규칙 구성
Microsoft Sentinel 분석 규칙은 Defender 포털에서 검색, 구성 및 관리를 위해 사용할 수 있습니다 . 마법사, 리포지토리 및 Microsoft Sentinel API를 통한 만들기, 업데이트 및 관리를 포함하여 분석 규칙의 기능은 동일하게 유지됩니다. 인시던트 상관 관계 및 다단계 공격 탐지도 Defender 포털에서 계속 작동합니다. Azure Portal의 Fusion 분석 규칙에서 관리하는 경고 상관 관계 기능은 Defender 포털의 Defender XDR 엔진에 의해 처리되며, 이 엔진은 모든 신호를 한 곳에서 통합합니다.
Defender 포털로 이동할 때 다음과 같은 변경 사항에 유의해야 합니다.
| 특징 | 설명 |
|---|---|
| 사용자 지정 검색 규칙 | Defender XDR 및 Microsoft Sentinel 데이터가 모두 포함된 검색 사용 사례가 있는 경우 Defender XDR 데이터를 30일 이상 유지할 필요가 없는 경우 Microsoft Sentinel 및 Defender XDR 테이블 모두에서 데이터를 쿼리하는 사용자 지정 검색 규칙을 만드는 것이 좋습니다. Defender XDR 데이터를 Microsoft Sentinel에 수집할 필요 없이 지원됩니다. 자세한 내용은 Microsoft Defender의 고급 헌팅에서 Microsoft Sentinel 사용자 지정 함수 사용을 참조하세요. |
| 경고 상관 관계 | Defender 포털에서는 경고 시나리오에 관계없이 Microsoft Defender 데이터와 Microsoft Sentinel에서 수집한 타사 데이터에 대한 경고에 상관 관계가 자동으로 적용됩니다. 단일 인시던트에서 경고를 상호 연결하는 데 사용되는 조건은 Defender 포털의 독점적인 내부 상관 관계 논리의 일부입니다. 자세한 내용은 Defender 포털에서 경고 상관 관계 및 인시던트 병합을 참조하세요. |
| 경고 그룹화 및 인시던트 병합 | 분석 규칙에 경고 그룹화 구성이 계속 표시되지만 Defender XDR 상관 관계 엔진은 Defender 포털에서 필요한 경우 경고 그룹화 및 인시던트 병합을 완전히 제어합니다. 이렇게 하면 다단계 공격에 대한 관련 경고를 함께 연결하여 전체 공격 스토리를 포괄적으로 볼 수 있습니다. 예를 들어 각 경고에 대한 인시던트를 생성하도록 구성된 여러 개별 분석 규칙은 Defender XDR 상관 관계 논리와 일치하는 경우 병합된 인시던트가 발생할 수 있습니다. |
| 경고 가시성 | 인시던트 생성이 해제된 상태에서 경고를 트리거하도록 Microsoft Sentinel 분석 규칙이 구성된 경우 이러한 경고는 Defender 포털에 표시되지 않습니다. 그러나 고급 헌팅 쿼리 편집기에서는 테이블 스키마를 SecurityAlerts 인식하지 못하지만 쿼리 및 분석 규칙에서 테이블을 계속 사용할 수 있습니다. |
| 경고 튜닝 | Microsoft Sentinel 작업 영역이 Defender에 온보딩되면 Microsoft Sentinel 분석 규칙의 인시던트 등 모든 인시던트가 Defender XDR 엔진에 의해 생성됩니다. 따라서 이전에 Defender XDR 경고에만 사용할 수 있었던 Defender 포털의 경고 튜닝 기능을 이제 Microsoft Sentinel의 경고에 적용할 수 있습니다. 이 기능을 사용하면 일반적인 경고의 해결을 자동화하고, 가양성을 줄이고, 노이즈를 최소화하여 인시던트 대응을 간소화할 수 있으므로 분석가가 중요한 보안 인시던트 우선 순위를 지정할 수 있습니다. |
| Fusion: 고급 다중 상태 공격 검색 | Azure Portal에서 Fusion 상관 관계 엔진의 경고 상관 관계를 기반으로 인시던트가 만들어지는 Fusion 분석 규칙은 Microsoft Sentinel을 Defender 포털에 온보딩할 때 비활성화됩니다. Defender 포털은 Microsoft Defender XDR의 인시던트 생성 및 상관 관계 기능을 사용하여 Fusion 엔진의 인시던트 생성 기능을 대체하므로 경고 상관 관계 기능이 손실되지 않습니다. 자세한 내용은 Microsoft Sentinel의 고급 다단계 공격 검색을 참조하세요. |
자동화 규칙 및 플레이북 구성
Microsoft Sentinel에서 플레이북은 엔터프라이즈 전체의 시스템에서 작업 및 워크플로를 예약, 자동화 및 오케스트레이션하는 데 도움이 되는 클라우드 서비스인 Azure Logic Apps에서 빌드된 워크플로를 기반으로 합니다.
Defender 포털에서 작업할 때 Microsoft Sentinel 자동화 규칙 및 플레이북에는 다음과 같은 제한 사항이 적용됩니다. 전환할 때 사용자 환경을 일부 변경해야 할 수 있습니다.
| 기능성 | 설명 |
|---|---|
| 경고 트리거가 있는 자동화 규칙 | Defender 포털에서 경고 트리거가 있는 자동화 규칙은 Microsoft Sentinel 경고에만 적용됩니다. 자세한 내용은 경고 만들기 트리거를 참조하세요. |
| 인시던트 트리거를 사용하는 자동화 규칙 | 모든 인시던트에 인시던트 공급자(ProviderName 필드의 값)로 Microsoft XDR이 있으므로 Azure Portal과 Defender 포털 모두에서 인시던트 공급자 조건 속성이 제거됩니다. 이 시점에서 인시던트 공급자 조건이 Microsoft Sentinel 또는 Microsoft 365 Defender로만 설정된 경우를 포함하여 기존 자동화 규칙은 Microsoft Sentinel 및 Microsoft Defender XDR 인시던트 모두에서 실행됩니다. 그러나 특정 분석 규칙 이름을 지정하는 자동화 규칙은 지정된 분석 규칙에 의해 만들어진 경고가 포함된 인시던트에서만 실행됩니다. 즉, Microsoft Sentinel에만 존재하는 분석 규칙에 대한 분석 규칙 이름 조건 속성을 정의하여 Microsoft Sentinel에서만 인시던트에서만 규칙을 실행하도록 제한할 수 있습니다. 또한 Defender 포털에 온보딩한 후 SecurityIncident 테이블에는 더 이상 설명 필드가 포함되어 있지 않습니다. 따라서 - 인시던트 생성 트리거가 있는 자동화 규칙의 조건으로 이 설명 필드를 사용하는 경우 Defender 포털에 온보딩한 후에는 해당 자동화 규칙이 작동하지 않습니다. 이러한 경우 구성을 적절하게 업데이트해야 합니다. 자세한 내용은 인시던트 트리거 조건을 참조하세요. - ServiceNow와 같은 외부 발권 시스템으로 통합이 구성된 경우 인시던트 설명이 누락됩니다. |
| 플레이북 트리거의 대기 시간 | Microsoft Defender 인시던트가 Microsoft Sentinel에 표시되는 데 최대 5분이 걸릴 수 있습니다. 이러한 지연이 발생하면 플레이북 트리거도 지연됩니다. |
| 기존 인시던트 이름 변경 | Defender 포털은 고유한 엔진을 사용하여 인시던트와 경고를 연관합니다. Defender 포털에 작업 영역을 온보딩할 때 상관 관계가 적용되면 기존 인시던트 이름이 변경될 수 있습니다. 자동화 규칙이 항상 올바르게 실행되도록 하려면 자동화 규칙에서 인시던트 제목을 조건 기준으로 사용하지 않는 것이 좋으며, 대신 인시던트에 포함된 경고를 만든 모든 분석 규칙의 이름과 더 구체적인 정보가 필요한 경우 태그를 사용하는 것이 좋습니다. |
| 필드별로 업데이트됨 | 자세한 내용은 인시던트 업데이트 트리거를 참조하세요. |
| 인시던트 작업을 추가하는 자동화 규칙 | 자동화 규칙이 인시던트 작업을 추가하는 경우 해당 작업은 Azure Portal에만 표시됩니다. |
| 인시던트에서 직접 자동화 규칙 만들기 | 인시던트에서 직접 자동화 규칙을 만드는 것은 Azure Portal에서만 지원됩니다. Defender 포털에서 작업하는 경우 Automation 페이지에서 처음부터 자동화 규칙을 만듭니다. |
| Microsoft 인시던트 생성 규칙 | Microsoft 인시던트 만들기 규칙은 Defender 포털에서 지원되지 않습니다. 자세한 내용은 Microsoft Defender XDR 인시던트 및 Microsoft 인시던트 생성 규칙을 참조하세요. |
| Defender 포털에서 자동화 규칙 실행 | 경고가 트리거되고 Defender 포털에서 인시던트가 만들어지거나 업데이트된 후 자동화 규칙이 실행될 때까지 최대 10분이 걸릴 수 있습니다. 이러한 시간 지연은 인시던트가 Defender 포털에서 만들어진 다음 자동화 규칙을 위해 Microsoft Sentinel로 전달되기 때문입니다. |
| 활성 플레이북 탭 | Defender 포털에 온보딩한 후 기본적으로 활성 플레이북 탭에는 온보딩된 작업 영역의 구독이 있는 미리 정의된 필터가 표시됩니다. Azure Portal에서 구독 필터를 사용하여 다른 구독에 대한 데이터를 추가합니다. 자세한 내용은 템플릿에서 Microsoft Sentinel 플레이북 만들기 및 사용자 지정을 참조하세요. |
| 요청 시 수동으로 플레이북 실행 | 다음 절차는 현재 Defender 포털에서 지원되지 않습니다. |
| 인시던트에서 플레이북을 실행하려면 Microsoft Sentinel 동기화가 필요합니다. | Defender 포털에서 인시던트에서 플레이북을 실행하려고 하면 "이 작업과 관련된 데이터에 액세스할 수 없습니다. 몇 분 안에 화면을 새로 고칩니다." 메시지가 표시되면 인시던트가 Microsoft Sentinel에 아직 동기화되지 않은 것입니다. 플레이북을 성공적으로 실행하려면 인시던트가 동기화된 후 인시던트 페이지를 새로 고칩니다. |
| 인시던트: 인시던트에 경고 추가 / 인시던트에서 경고 제거 |
Defender 포털에 작업 영역을 온보딩한 후에는 인시던트에서 경고를 추가하거나 제거하는 기능이 지원되지 않으므로 플레이북에서도 이러한 작업이 지원되지 않습니다. 자세한 내용은 Defender 포털에서 경고의 상관 관계 및 인시던트가 병합되는 방법 이해를 참조하세요. |
| 여러 작업 영역에서 Microsoft Defender XDR 통합 | 단일 테넌트에서 둘 이상의 작업 영역과 XDR 데이터를 통합한 경우 이제 데이터는 Defender 포털의 기본 작업 영역에만 수집됩니다. 자동화 규칙을 관련 작업 영역으로 전송하여 계속 실행합니다. |
| 자동화 및 상관 관계 엔진 | 상관 관계 엔진은 여러 신호의 경고를 단일 인시던트에 결합할 수 있으므로 자동화에서 예상하지 못한 데이터를 수신할 수 있습니다. 자동화 규칙을 검토하여 예상 결과가 표시되는지 확인하는 것이 좋습니다. |
API 구성
Defender 포털의 통합 환경에서는 API의 인시던트 및 경고에 주목할 만한 변경 사항이 도입되었습니다. 경고, 인시던트, 고급 헌팅 등과 관련된 자동화에 사용할 수 있는 Microsoft Graph REST API v1.0을 기반으로 하는 API 호출을 지원합니다.
Microsoft Sentinel API는 분석 규칙, 자동화 규칙 등과 같은 Microsoft Sentinel 리소스에 대한 작업을 계속 지원합니다. 통합 인시던트 및 경고와 상호 작용하려면 Microsoft Graph REST API를 사용하는 것이 좋습니다.
Microsoft Sentinel API를 사용하여 Microsoft Sentinel SecurityInsights 인시던트와 상호 작용하는 경우 응답 본문의 변경으로 인해 자동화 조건을 업데이트하고 조건을 트리거해야 할 수 있습니다.
다음 표에서는 응답 조각에서 중요한 필드를 나열하고 Azure 및 Defender 포털에서 비교합니다.
| 기능성 | Azure 포털 | Defender 포털 |
|---|---|---|
| 인시던트 링크 | incidentUrl: Microsoft Sentinel 포털의 인시던트에 대한 직접 URL |
providerIncidentUrl : 이 추가 필드는 이 정보를 ServiceNow와 같은 타사 티켓 시스템과 동기화하는 데 사용할 수 있는 인시던트에 대한 직접 링크를 제공합니다. incidentUrl 는 여전히 사용할 수 있지만 Microsoft Sentinel 포털을 가리킵니다. |
| 탐지를 유발하고 경고를 게시한 소스 | alertProductNames |
alertProductNames: GET에 ?$expand=alerts를 추가해야 합니다. 예를 들어 https://graph.microsoft.com/v1.0/security/incidents/368?$expand=alerts |
| 경고 공급자의 이름 | providerName = "Azure Sentinel" |
providerName = "Microsoft XDR" |
| 경고를 만든 서비스 또는 제품 | Azure Portal에 없음 | serviceSource 예를 들어 "microsoftDefenderForCloudApps" |
| 주목할 만한 구성 요소 또는 활동을 식별한 감지 기술 또는 센서 | Azure Portal에 없음 | detectionSource 예를 들어 "cloudAppSecurity" |
| 이 경고를 게시한 제품의 이름 | Azure Portal에 없음 | productName 예를 들어 "Microsoft Defender for Cloud Apps" |
Defender 포털에서 작업 실행
대상: 보안 분석가
비디오:
- Microsoft Defender에서 Microsoft Sentinel 콘텐츠 및 위협 인텔리전스 검색 및 관리
- Microsoft Defender에서 자동화 및 통합 문서 만들기
- Microsoft Defender의 경고 상관 관계
- Microsoft Defender의 인시던트 조사
- Microsoft Defender의 사례 관리
- Microsoft Defender의 고급 헌팅
- Microsoft Defender의 SOC 최적화
Defender 포털에 대한 인시던트 심사 프로세스 업데이트
Azure Portal에서 Microsoft Sentinel을 사용한 경우 Defender 포털에서 향상된 사용자 환경을 확인할 수 있습니다. SOC 프로세스를 업데이트하고 분석가를 재학습해야 할 수도 있지만 디자인은 모든 관련 정보를 한 곳에 통합하여 보다 간소화되고 효율적인 워크플로를 제공합니다.
Defender 포털의 통합 인시던트 큐는 제품 전체의 모든 인시던트를 단일 보기로 통합하여 분석가가 이제 여러 보안 간 도메인 경고를 포함하는 인시던트를 심사하는 방법에 영향을 줍니다. 다음은 그 예입니다.
- 일반적으로 분석가는 특정 보안 도메인 또는 전문 지식을 기반으로 인시던트를 심사하며, 종종 사용자 또는 호스트와 같은 엔터티당 티켓을 처리합니다. 이 접근 방식은 통합 환경이 해결하는 것을 목표로 하는 사각지대를 만들 수 있습니다.
- 공격자가 횡적으로 이동하면 서로 다른 보안 도메인으로 인해 관련 경고가 별도의 인시던트에서 발생할 수 있습니다. 통합 환경은 포괄적인 보기를 제공하여 모든 관련 경고가 상호 관련되고 응집력있게 관리되도록 하여 이 문제를 제거합니다.
또한 분석가는 Defender 포털에서 검색 원본 및 제품 이름을 보고 필터를 적용하고 공유하여 보다 효율적인 인시던트 및 경고 심사를 수행할 수 있습니다.
통합 심사 프로세스는 분석가 워크로드를 줄이고 잠재적으로 계층 1 및 계층 2 분석가의 역할을 결합하는 데 도움이 될 수 있습니다. 그러나 통합 심사 프로세스에는 더 광범위하고 심층적인 분석가 지식이 필요할 수도 있습니다. 원활한 전환을 위해 새 포털 인터페이스에 대한 학습을 권장합니다.
자세한 내용은 Microsoft Defender 포털의 인시던트 및 경고를 참조하세요.
Defender 포털에서 경고가 상호 연관되고 인시던트가 병합되는 방법을 이해합니다.
Defender의 상관관계 엔진은 별개의 인시던트에서 경고 간 공통 요소를 인식할 때 인시던트를 병합합니다. 새 경고가 상관 관계 조건을 충족하는 경우 Microsoft Defender는 모든 검색 원본의 다른 관련 경고를 집계하고 새 인시던트에 연결합니다. Microsoft Sentinel을 Defender 포털에 온보딩한 후 통합 인시던트 큐는 보다 포괄적인 공격을 표시하여 분석가를 보다 효율적으로 만들고 완전한 공격 스토리를 제공합니다.
다중 작업 영역 시나리오에서는 기본 작업 영역의 경고만 Microsoft Defender XDR 데이터와 상관 관계가 있습니다. 특정한 시나리오에서는 인시던트가 병합되지 않는 경우도 있습니다.
Microsoft Sentinel을 Defender 포털에 온보딩한 후 인시던트 및 경고에 다음과 같은 변경 내용이 적용됩니다.
| 특징 | 설명 |
|---|---|
| 작업 영역을 온보딩한 직후 지연 | Microsoft Defender 인시던트가 Microsoft Sentinel과 완전히 통합되는 데 최대 5분이 걸릴 수 있습니다. 이는 자동 공격 차단과 같이 Microsoft Defender가 직접 제공하는 기능에는 영향을 미치지 않습니다. |
| 보안 인시던트 생성 규칙 | 중복 인시던트 생성 방지를 위해 활성화된 Microsoft 보안 인시던트 생성 규칙은 비활성화됩니다. 다른 유형의 분석 규칙에서 인시던트 생성 설정은 그대로 유지되며 Defender 포털에서 구성할 수 있습니다. |
| 인시던트 공급자 이름 | Defender 포털에서 인시던트 공급자 이름은 항상 Microsoft XDR입니다. |
| 인시던트에서 경고 추가/제거 | 인시던트에 대한 Microsoft Sentinel 경고 추가 또는 제거는 Defender 포털에서만 지원됩니다. Defender 포털의 인시던트에서 경고를 제거하려면 경고를 다른 인시던트에 추가해야 합니다. |
| 메모 편집 | Defender 또는 Azure Portal에서 인시던트에 주석을 추가하지만 Defender 포털에서는 기존 주석 편집이 지원되지 않습니다. Azure Portal의 메모에 대한 편집 내용은 Defender 포털에 동기화되지 않습니다. |
| 인시던트의 프로그래밍 방식 및 수동 만들기 | API를 통해 Microsoft Sentinel에서 만들어진 인시던트, 논리 앱 플레이북에서 만들어진 인시던트 또는 Azure Portal에서 수동으로 만들어진 인시던트는 Defender Portal과 동기화되지 않습니다. 이러한 인시던트는 Azure Portal 및 API에서 계속 지원됩니다. Microsoft Sentinel에서 수동으로 사용자 고유의 인시던트 만들기를 참조하세요. |
| 폐쇄된 인시던트 다시 열기 | Defender 포털에서는 새 경고가 추가된 경우 닫힌 인시던트를 다시 열도록 Microsoft Sentinel 분석 규칙에서 경고 그룹화를 설정할 수 없습니다. 이 경우 닫힌 인시던트는 다시 열리지 않으며 새 경고가 새 인시던트를 트리거합니다. |
| 작업 | Defender 포털에서는 인시던트 작업을 사용할 수 없습니다. 자세한 내용은 작업을 사용하여 Microsoft Sentinel에서 인시던트 관리를 참조하세요. |
자세한 내용은 Microsoft Defender 포털의 인시던트 및 경고 및 Microsoft Defender 포털의 경고 상관 관계 및 인시던트 병합을 참조하세요.
고급 헌팅을 사용하여 조사에 대한 변경 사항을 기록하세요.
Microsoft Sentinel을 Defender 포털에 온보딩한 후, 고급 사냥 페이지에서 기존 로그 테이블, KQL(Kusto 쿼리 언어) 쿼리, 및 함수를 모두 액세스하고 사용할 수 있습니다. 모든 인시던트에 연결된 Microsoft Sentinel 경고는 AlertInfo 페이지에서 접근할 수 있는 테이블에 저장됩니다.
다음과 같은 몇 가지 차이점이 있습니다.
- 고급 헌팅에서는 책갈피가 지원되지 않습니다. 대신 Microsoft Sentinel > 위협 관리 > 헌팅의 Defender 포털에서 책갈피가 지원됩니다.
- SecurityAlert 테이블은 고급 헌팅>스키마 테이블 목록에 표시되지 않지만 쿼리에서 계속 지원됩니다.
자세한 내용은 Microsoft Defender의 Microsoft Sentinel 데이터를 사용한 고급 헌팅, 특히 알려진 문제 목록을 참조하고 Microsoft Sentinel을 사용하여 헌팅하는 동안 데이터를 추적하세요.
Defender 포털의 엔터티로 조사
Microsoft Defender 포털 내에서 엔터티는 일반적으로 두 가지 유형으로 구분됩니다. 첫 번째는 계정, 호스트 또는 사서함과 같은 자산이고, 두 번째는 IP 주소, 파일 또는 URL과 같은 증거입니다.
Microsoft Sentinel을 Defender 포털에 온보딩한 후 사용자, 디바이스 및 IP 주소에 대한 엔터티 페이지가 Microsoft Sentinel 및 Microsoft Defender XDR의 엔터티 활동 및 컨텍스트 및 데이터를 포괄적으로 볼 수 있는 단일 보기로 통합됩니다.
또한 Defender 포털은 SIEM 및 XDR에서 검색할 수 있도록 모든 엔터티의 결과를 중앙 집중화하는 전역 검색 창을 제공합니다.
자세한 내용은 Microsoft Sentinel의 엔터티 페이지를 참조하세요.
Defender 포털에서 UEBA로 조사
UEBA(사용자 및 엔터티 동작 분석)의 대부분의 기능은 다음과 같은 예외를 제외하고 Azure Portal의 Defender 포털에서 동일하게 유지됩니다.
인시던트에서 위협 인텔리전스에 엔터티를 추가하는 것은 Azure Portal에서만 지원됩니다. 자세한 내용은 위협 지표에 엔터티 추가를 참조하세요.
Defender 포털
IdentityInfo에 Microsoft Sentinel을 온보딩한 후 Defender 포털에서 사용되는 테이블에는 Defender XDR과 Microsoft Sentinel의 통합 필드가 모두 포함됩니다. Azure Portal에서 사용할 때 존재했던 일부 필드는 Defender 포털에서 이름이 바뀌거나 전혀 지원되지 않습니다. 쿼리에서 이러한 필드에 대한 참조를 확인하고 필요에 따라 업데이트하는 것이 좋습니다. 자세한 내용은 IdentityInfo 테이블을 참조하세요.
Microsoft Defender 위협 인텔리전스를 사용하도록 조사 프로세스 업데이트
Azure Portal에서 Defender 포털로 이동하는 Microsoft Sentinel 고객의 경우 친숙한 위협 인텔리전스 기능은 Intel 관리 하에 Defender 포털에 유지되고 Defender 포털에서 사용할 수 있는 다른 위협 인텔리전스 기능으로 향상됩니다. 지원되는 기능은 다음과 같은 라이선스에 따라 달라집니다.
| 특징 | 설명 |
|---|---|
| 위협 분석 | Microsoft Defender XDR 고객에게 지원됩니다. Microsoft 보안 연구원이 제공하는 제품 내 솔루션으로, 새로운 위협, 활성 위협 및 해당 영향에 대한 인사이트를 제공하여 보안 팀을 지원하도록 설계되었습니다. 데이터는 카드, 데이터 행, 필터 등이 포함된 직관적인 대시보드에 표시됩니다. |
| Intel 프로필 | Microsoft Defender 위협 인텔리전스 고객에게 지원됩니다. 위협 행위자 프로필별로 위협 및 동작을 분류하여 더 쉽게 추적하고 상관 관계를 지정할 수 있습니다. 이러한 프로필에는 공격에 사용되는 전술, 기술 및 도구와 관련된 손상 지표(IoC)가 포함됩니다. |
| Intel Explorer | Microsoft Defender 위협 인텔리전스 고객에게 지원됩니다. 사용 가능한 IoC를 통합하고 게시될 때 위협 관련 문서를 제공하여 보안 팀이 새로운 위협에 대한 업데이트를 유지할 수 있도록 합니다. |
| Intel 프로젝트 | Microsoft Defender 위협 인텔리전스 고객에게 지원됩니다. 팀은 특정 시나리오와 관련된 모든 아티팩트를 검토하기 위해 위협 인텔리전스를 '프로젝트'로 통합할 수 있습니다. |
Defender 포털에서 ThreatIntelOjbects 및 ThreatIntelIndicators를 위협 헌팅, 인시던트 응답, Copilot, 보고를 위한 침해 표시기와 함께 사용하고 표시기와 엔터티 간의 연결을 보여 주는 관계형 그래프를 만듭니다.
MDTI(Microsoft Defender 위협 인텔리전스) 피드를 사용하는 고객의 경우 MDTI용 Microsoft Sentinel의 데이터 커넥터를 통해 무료 버전을 사용할 수 있습니다. MDTI 라이선스를 가진 사용자는 MDTI 데이터를 수집하고 위협 분석, 활성 위협 검토 및 위협 행위자 연구에 보안 코필로트를 사용할 수도 있습니다.
자세한 내용은 다음을 참조하세요.
Microsoft Defender 데이터를 시각화하고 보고서를 작성하기 위해 통합 문서를 사용하십시오.
Azure 통합 문서는 계속해서 Defender 포털에서 데이터 시각화 및 상호 작용을 위한 기본 도구로, Azure Portal에서와 마찬가지로 작동합니다.
고급 헌팅에서 얻은 데이터가 포함된 통합 문서를 사용하려면 Microsoft Sentinel에 로그를 수집해야 합니다. 통합 문서는 사용자를 Defender 포털에 유지시키는 반면, 페이지 또는 리소스를 Azure 포털에서 열도록 프로그래밍된 버튼이나 링크는 계속해서 Azure 포털용 별도의 탭을 엽니다.
자세한 내용은 Microsoft Sentinel의 통합 문서를 사용하여 데이터 시각화 및 모니터링을 참조하세요.
관련 콘텐츠
- Microsoft Sentinel의 최고 - 이제 Microsoft Defender에서 (블로그)
- 웹 세미나를 시청하세요. 통합 SOC 플랫폼으로 전환: SOC 전문가를 위한 심층 분석 및 대화형 Q&A.
- TechCommunity 블로그 또는 Microsoft Community Hub에서 자주 묻는 질문을 참조하세요.