작업 영역 및 테넌트에 걸쳐 Microsoft Sentinel 확장
Microsoft Sentinel을 온보딩할 때 첫 번째 단계는 Log Analytics 작업 영역을 선택하는 것입니다. 단일 작업 영역으로 Microsoft Sentinel 환경의 모든 이점을 얻을 수 있지만 경우에 따라 작업 영역을 확장하여 작업 영역 및 테넌트에서 데이터를 쿼리하고 분석할 수 있습니다. Log Analytics 작업 영역 아키텍처 디자인 및 Microsoft Sentinel에서 여러 작업 영역 및 테넌트 준비를 참조하세요.
Microsoft Sentinel을 Microsoft Defender 포털에 온보딩하는 경우 Microsoft Defender 다중 테넌트 관리를 참조하세요.
여러 작업 영역에서 인시던트 관리
Microsoft Sentinel은 여러 작업 영역에서 인시던트를 중앙에서 관리하고 모니터링할 수 있는 다중 작업 영역 인시던트 보기를 지원합니다. 중앙 집중식 인시던트 보기 기능을 사용하면 인시던트를 직접 관리하거나 원래 작업 영역의 컨텍스트에서 인시던트 세부 정보를 투명하게 드릴다운할 수 있습니다.
여러 작업 영역 쿼리
여러 작업 영역을 쿼리하여 단일 쿼리에서 여러 작업 영역의 데이터를 쿼리하고 상호 연관시킬 수 있습니다.
다른 작업 영역의 테이블을 참조하려면 작업 영역 식별자를 인수로 사용하여
workspace( )식을 사용합니다.- 적절한 성능을 보장하려면 식별자 형식 사용에 대한 중요 정보를 참조하세요.
여러 작업 영역의 테이블 전체에 쿼리를 적용하려면
workspace( )식과 함께 결합 연산자를 사용합니다.저장된 함수를 사용하여 작업 영역 간 쿼리를 단순화할 수 있습니다. 예를 들어, 고객 A의 작업 영역에 있는 SecurityEvent 테이블에 대한 긴 참조를
workspace("/subscriptions/<customerA_subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName>").SecurityEventSecurityEventCustomerA라는 함수로 식을 저장하여 줄일 수 있습니다. 그런 다음SecurityEventCustomerA | where ...함수를 사용하여 고객 A의 SecurityEvent 테이블을 쿼리할 수 있습니다.함수는 일반적으로 사용되는 공용 구조체를 단순화할 수도 있습니다. 예를 들어 다음 식을
unionSecurityEvent라는 함수로 저장할 수 있습니다.union workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName1>").SecurityEvent, workspace("/subscriptions/<subscriptionId>/resourcegroups/<resourceGroupName>/providers/microsoft.OperationalInsights/workspaces/<workspaceName2>").SecurityEvent그런 다음
unionSecurityEvent | where ...부터 시작하여 두 작업 영역에 걸쳐 쿼리를 작성할 수 있습니다.
예약된 분석 규칙에 작업 영역 간 쿼리 포함
예약된 분석 규칙에 작업 영역 간 쿼리를 포함할 수 있습니다. MSSP에 적합한 중앙 SOC 및 테넌트 간에(Azure Lighthouse 사용) 작업 영역 간 분석 규칙을 사용할 수 있습니다. 이 사용에는 다음 제한 사항이 적용됩니다.
- 단일 쿼리에 최대 20개의 작업 영역을 포함할 수 있습니다. 그러나 좋은 성능을 위해서는 5개 이하를 포함하는 것이 좋습니다.
- 쿼리에서 참조하는 모든 작업 영역에 Microsoft Sentinel을 배포해야 합니다.
- 교차 작업 공간 분석 규칙에 의해 생성된 알림과 알림에서 생성된 문제는 규칙이 정의된 작업 공간에만 존재합니다. 쿼리에서 참조하는 다른 작업 영역에는 경고가 표시되지 않습니다.
- 모든 분석 규칙과 마찬가지로 작업 영역 간 분석 규칙은 규칙을 만든 사용자가 규칙의 쿼리에서 참조하는 작업 영역에 대한 액세스 권한을 상실하더라도 계속 실행됩니다. 이에 대한 유일한 예외는 분석 규칙과 다른 구독 및/또는 테넌트에 있는 작업 영역의 경우입니다.
교차 작업 영역 분석 규칙에 의해 만들어진 경고 및 인시던트에는 참조된 모든 작업 영역 및 "홈" 작업 영역(규칙이 정의된 위치)의 엔터티를 포함하여 모든 관련 엔터티가 포함됩니다. 이러한 방식으로 분석가는 경고 및 인시던트에 대한 전체 그림을 얻을 수 있습니다.
참고 항목
동일한 쿼리에서 여러 작업 영역을 쿼리하면 성능에 영향을 줄 수 있으므로 논리에 해당 기능이 필요한 경우에만 권장됩니다.
교차 작업 영역 통합 문서 사용
통합 문서는 Microsoft Sentinel에 대시보드와 앱을 제공합니다. 여러 작업 영역으로 작업할 때 통합 문서는 작업 영역 전체에 대한 모니터링 및 작업을 제공합니다.
통합 문서는 다양한 수준의 최종 사용자 전문 지식에 적합한 세 가지 방법 중 하나로 작업 영역 간 쿼리를 제공할 수 있습니다.
| 메서드 | 설명 | 언제 사용해야 하나요? |
|---|---|---|
| 작업 영역 간 쿼리 작성 | 통합 문서 작성자는 통합 문서에서 위에서 설명된 작업 영역 간 쿼리를 작성할 수 있습니다. | 통합 문서 작성자가 사용자에게 투명한 작업 영역 구조를 만들기를 원합니다. |
| 통합 문서에 작업 영역 선택기 추가 | 통합 문서 작성자는 통합 문서의 일부로 작업 영역 선택기를 구현할 수 있습니다. | 사용하기 쉬운 드롭다운 상자를 사용하여 통합 문서에 표시된 작업 영역을 사용자가 제어할 수 있도록 하려고 합니다. |
| 대화형으로 통합 문서 편집 | 기존 통합 문서를 수정하는 고급 사용자는 편집기에서 작업 영역 선택기를 사용하여 대상 작업 영역을 선택하는 것으로 기존 통합 문서 내의 쿼리를 편집할 수 있습니다. | 고급 사용자가 기존 통합 문서를 쉽게 수정하여 여러 작업 영역에서 작업할 수 있도록 하려고 합니다. |
여러 작업 영역에서 헌팅
Microsoft Sentinel은 사용자가 테이블과 쿼리 언어를 시작하고 익숙해질 수 있도록 설계된 미리 로드된 쿼리 샘플을 제공합니다. Microsoft Security 연구원은 지속적으로 새로운 기본 제공 쿼리를 추가하고 기존 쿼리를 미세 조정합니다. 이러한 쿼리를 사용하여 새로운 검색을 찾고 보안 도구가 놓쳤을 수 있는 침입 징후를 식별할 수 있습니다.
작업 영역 간 헌팅 기능을 사용하면, 위협 헌터가 위에 표시된 것처럼 union 연산자와 workspace()식을 사용하여 새로운 헌팅 쿼리를 만들거나 기존 쿼리를 조정하여 여러 작업 영역을 처리하도록 할 수 있습니다.
자동화를 사용하여 여러 작업 영역 관리
Microsoft Sentinel에 대해 여러 Log Analytics 작업 영역을 구성하고 관리하려면 Microsoft Sentinel 관리 API의 사용을 자동화해야 합니다.
- 경고 규칙, 검색 쿼리, 통합 문서 및 플레이북을 포함하여 Microsoft Sentinel 리소스 배포를 자동화하는 방법을 알아봅니다.
- 리포지토리에서 사용자 지정 콘텐츠를 배포하는 방법을 알아봅니다. 이 리소스는 Microsoft Sentinel을 코드로 관리하고 프라이빗 Azure DevOps 또는 GitHub 리포지토리에서 리소스를 배포 및 구성하기 위한 통합 방법을 제공합니다.
Azure Lighthouse를 사용하여 테넌트 간 작업 영역 관리
위에서 언급한 것처럼 많은 시나리오에서 다양한 Microsoft Sentinel이 사용하도록 설정된 여러 다른 Log Analytics 작업 영역이 다양한 Microsoft Entra 테넌트에 위치할 수 있습니다. Azure Lighthouse를 사용하여 테넌트 경계에 걸쳐 있는 작업 영역 간 활동을 모두 확장할 수 있습니다. 해당 방식을 통해 관리 테넌트의 사용자가 모든 테넌트의 작업 영역에서 작업할 수 있습니다.
Azure Lighthouse가 온보딩되면 Azure Portal에서 디렉터리 + 구독 선택기를 사용하여 관리하려는 작업 영역이 포함된 모든 구독을 선택하여 포털의 다른 작업 영역 선택기에서 사용할 수 있도록 합니다.
Azure Lighthouse를 사용하는 경우 각 Microsoft Sentinel 역할의 그룹을 만들고 각 테넌트의 권한을 해당 그룹에 위임하는 것이 좋습니다.
다음 단계
이 문서에서는 Microsoft Sentinel의 기능을 여러 작업 영역 및 테넌트로 확장하는 방법을 알아보았습니다. Microsoft Sentinel의 작업 영역 간 아키텍처를 구현하는 방법에 대한 실용적인 지침은 다음 문서를 참조하세요.
- Azure Lighthouse를 사용하여 Microsoft Sentinel에서 여러 테넌트로 작업하는 방법을 알아봅니다.
- 여러 작업 영역에서 인시던트를 보고 관리하는 원활한 방법을 알아봅니다.