Microsoft Defender 포털의 Microsoft Sentinel
이 문서에서는 Microsoft Defender 포털의 Microsoft Sentinel 환경에 대해 설명합니다. Microsoft Sentinel은 일반적으로 Microsoft Defender XDR을 사용하여 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 자세한 내용은 다음을 참조하세요.
- 블로그 게시물: Microsoft 통합 Security 운영 플랫폼 일반 공급
- 블로그 게시물: 통합 보안 운영 플랫폼에 대한 질문과 대답
- Microsoft Sentinel을 Microsoft Defender XDR에 연결
- Azure 상용/기타 클라우드에 대한 Microsoft Sentinel 기능 지원
미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다.
새롭고 향상된 기능
다음 표에서는 Microsoft Sentinel의 통합과 함께 Defender 포털에서 사용할 수 있는 새로운 기능 또는 향상된 기능에 대해 설명합니다. Microsoft는 Defender 포털에서만 사용할 수 있는 기능으로 이 새로운 환경을 지속적으로 혁신하고 있습니다.
| 기능 | 설명 |
|---|---|
| 고급 헌팅 | 단일 포털에서 다양한 데이터 세트에 걸쳐 쿼리하면 헌팅의 효율성이 높아지고 컨텍스트를 전환하지 않아도 됩니다. 보안 코필로트를 사용하여 KQL을 생성합니다. Microsoft 보안 서비스 및 Microsoft Sentinel의 데이터를 포함한 모든 데이터를 보고 쿼리합니다. 쿼리 및 함수를 포함하여 기존의 모든 Microsoft Sentinel 작업 영역 콘텐츠를 사용합니다. 자세한 내용은 다음 문서를 참조하세요. - Microsoft Defender 포털의 고급 헌팅 - 고급 헌팅의 보안 부조종사 |
| SOC 최적화 | 다음을 위해 영역을 식별하는 데 도움이 되는 고충실도 및 실행 가능한 권장 사항을 가져옵니다. - 비용 절감 - 보안 컨트롤 추가 - 누락된 데이터 추가 SOC 최적화는 Defender 및 Azure Portal에서 사용할 수 있고, 사용자 환경에 맞게 조정되며, 현재 적용 범위 및 위협 환경을 기반으로 합니다. 자세한 내용은 다음 문서를 참조하세요. - 보안 운영 최적화 - 권장 사항에 대한 SOC 최적화 참조 |
| Microsoft Defender에서의 Microsoft Copilot | Defender 포털에서 인시던트 조사 시 - 인시던트 요약 - 스크립트 분석 - 파일 분석 - 인시던트 보고서 만들기 고급 헌팅에서 위협을 헌팅할 때 쿼리 도우미를 사용하여 즉시 실행 가능한 KQL 쿼리를 만듭니다. 자세한 내용은 고급 헌팅의 Microsoft Security Copilot를 참조하세요. |
다음 표에서는 Microsoft 통합 보안 운영 플랫폼의 일부로 Microsoft Sentinel 및 Microsoft Defender XDR이 통합된 Defender 포털에서 사용할 수 있는 추가 기능에 대해 설명합니다.
| 기능 | 설명 |
|---|---|
| 공격 중단 | Defender 포털과 SAP 애플리케이션용 Microsoft Sentinel 솔루션을 모두 사용하여 SAP에 대한 자동 공격 중단을 배포합니다. 예를 들어 재무 프로세스 조작 공격이 발생할 경우 의심스러운 SAP 사용자를 잠가서 손상된 자산을 방지합니다. SAP에 대한 공격 중단 기능은 Defender 포털에서만 사용할 수 있습니다. SAP에 대한 공격 중단을 사용하려면 데이터 커넥터 에이전트 버전을 업데이트하고 관련 Azure 역할이 에이전트의 ID에 할당되어 있는지 확인합니다. 자세한 내용은 SAP에 대한 자동 공격 중단을 참조하세요. |
| 통합 엔터티 | Defender 포털의 디바이스, 사용자, IP 주소, Azure 리소스에 대한 엔터티 페이지에는 Microsoft Sentinel과 Defender 데이터 원본의 정보가 표시됩니다. 이러한 엔터티 페이지는 Defender 포털에서 인시던트 및 경고 조사에 대한 확장된 컨텍스트를 제공합니다. 자세한 내용은 Microsoft Sentinel의 엔터티 페이지로 엔터티 조사를 참조하세요. |
| 통합 인시던트 | Defender 포털의 단일 위치와 단일 큐에서 보안 인시던트를 관리하고 조사합니다. 보안 코필로트를 사용하여 요약, 응답 및 보고합니다. 인시던트에는 다음이 포함됩니다. - 다양한 원본에서 얻은 데이터 - SIEM(보안 정보 및 이벤트 관리)의 AI 분석 도구 - XDR(확장 검색 및 응답)에서 제공하는 컨텍스트 및 완화 도구 자세한 내용은 다음 문서를 참조하세요. - Microsoft Defender 포털의 인시던트 응답 - 보안 부조종사에서 Microsoft Sentinel 인시던트 조사 |
| Microsoft Defender에서의 Microsoft Copilot | Defender XDR과 통합된 Microsoft Sentinel로 인시던트 조사 시 - 안내된 응답을 사용하여 인시던트 심사 및 조사 - 디바이스 정보 요약 - ID 정보 요약 환경에 영향을 주는 관련 위협을 요약하여 노출 수준에 따라 위협 해결의 우선 순위를 지정하거나 위협 인텔리전스에서 Security Copilot를 사용하여 업계를 대상으로 할 수 있는 위협 행위자를 찾습니다. 자세한 내용은 위협 인텔리전스에 Microsoft 보안 코필로트 사용을 참조 하세요. |
포털 간의 기능 차이점
대부분의 Microsoft Sentinel 기능은 Azure 및 Defender 포털 모두에서 사용할 수 있습니다. Defender 포털에서 일부 Microsoft Sentinel 환경은 사용자가 작업을 완료할 수 있도록 Azure Portal에 열립니다.
이 섹션에서는 Azure Portal 또는 Defender 포털에서만 사용할 수 있는 Microsoft Sentinel 기능 또는 통합 또는 포털 간의 다른 중요한 차이점에 대해 설명합니다. Defender 포털에서 Azure Portal을 여는 Microsoft Sentinel 환경은 제외됩니다.
| 기능 | 가용성 | 설명 |
|---|---|---|
| 책갈피를 사용하는 고급 헌팅 | Azure Portal만 | Microsoft Defender 포털의 고급 헌팅 환경에서는 책갈피가 지원되지 않습니다. Defender 포털에서는 Microsoft Sentinel > 위협 관리 > 헌팅에서 지원됩니다. 자세한 내용은 Microsoft Sentinel을 사용하여 헌팅하는 동안 데이터 추적을 참조하세요. |
| SAP에 대한 공격 중단 | Defender 포털에서 Defender XDR만 사용 | Azure Portal에서는 이 기능을 사용할 수 없습니다. 자세한 내용은 Microsoft Defender 포털의 자동 공격 중단을 참조하세요. |
| 자동화 | 일부 자동화 절차는 Azure Portal에서만 사용할 수 있습니다. 다른 자동화 절차는 Defender 및 Azure Portal에서 동일하지만 Defender 포털에 온보딩된 작업 영역과 그렇지 않은 작업 영역 간에는 Azure Portal이 다릅니다. |
자세한 내용은 통합 보안 운영 플랫폼으로 자동화를 참조하세요. |
| 데이터 커넥터: 통합 보안 운영 플랫폼에서 사용하는 커넥터의 표시 여부 | Azure Portal만 | Defender 포털에서 Microsoft Sentinel을 온보딩한 후 통합 보안 운영 플랫폼의 일부인 다음 데이터 커넥터가 데이터 커넥터 페이지에 표시되지 않습니다. Azure Portal에서 이러한 데이터 커넥터는 Microsoft Sentinel에 설치된 데이터 커넥터와 함께 계속 나열됩니다. |
| 엔터티: 인시던트의 위협 인텔리전스에 엔터티 추가 | Azure Portal만 | 이 기능은 Defender 포털에서 사용할 수 없습니다. 자세한 내용은 위협 표시기에 개체 추가를 참조하세요. |
| Fusion: 고급 다단계 공격 탐지 | Azure Portal만 | Fusion 상관 관계 엔진의 경고 상관 관계를 기반으로 인시던트가 생성되는 Fusion 분석 규칙은 Microsoft Sentinel을 Defender 포털에 온보딩할 때 비활성화됩니다. Defender 포털은 Microsoft Defender XDR의 인시던트 생성 및 상관 관계 기능을 사용하여 Fusion 엔진의 인시던트 생성 기능을 대체합니다. 자세한 내용은 Microsoft Sentinel의 고급 다단계 공격 감지를 참조하세요. |
| 인시던트: 인시던트에 경고 추가 / 인시던트에서 경고 제거 |
Defender 포털 전용 | Microsoft Sentinel을 Defender 포털에 온보딩한 후에는 더 이상 Azure Portal에서 경고를 추가하거나 경고를 제거할 수 없습니다. Defender 포털의 인시던트에서 경고를 제거할 수 있지만 경고를 다른 인시던트(기존 또는 신규)에 연결해야만 제거할 수 있습니다. |
| 인시던트: 주석 편집 | Azure Portal만 | Microsoft Sentinel을 Defender 포털에 온보딩한 후에는 두 포털의 인시던트에 메모를 추가할 수 있지만 기존 주석은 편집할 수 없습니다. Azure Portal에서 주석을 편집해도 Defender 포털과 동기화되지 않습니다. |
| 인시던트: 인시던트의 프로그래밍 방식 만들기 및 수동 만들기 | Azure Portal만 | API를 통해, 논리 앱 플레이북을 통해 또는 Azure Portal에서 수동으로 Microsoft Sentinel에서 생성된 인시던트가 Defender 포털에 동기화되지 않습니다. 이러한 인시던트는 Azure Portal 및 API에서 계속 지원됩니다. Microsoft Sentinel에서 수동으로 사용자 고유의 인시던트 만들기를 참조하세요. |
| 인시던트: 종료된 인시던트 재개 | Azure Portal만 | Defender 포털에서는 새 경고가 추가된 경우 닫힌 인시던트가 다시 열리도록 Microsoft Sentinel 분석 규칙에서 경고 그룹을 설정할 수 없습니다. 이 경우 닫힌 인시던트는 다시 열리지 않으며 새 경고가 새 인시던트를 트리거합니다. |
| 인시던트: 작업 | Azure Portal만 | Defender 포털에서는 작업을 사용할 수 없습니다. 자세한 내용은 작업을 사용하여 Microsoft Sentinel에서 인시던트 관리를 참조하세요. |
| Microsoft Sentinel에 대한 다중 작업 영역 관리 | Defender 포털: 테넌트당 하나의 Microsoft Sentinel 작업 영역으로 제한됨 Azure Portal: 테넌트에 대해 여러 Microsoft Sentinel 작업 영역을 중앙에서 관리 |
현재 Defender 포털에서 테넌트당 하나의 Microsoft Sentinel 작업 영역만 지원됩니다. 따라서 Microsoft Defender 다중 테넌트 관리는 테넌트당 하나의 Microsoft Sentinel 작업 영역을 지원합니다. 자세한 내용은 다음 문서를 참조하세요. - Defender 포털: Microsoft Defender 다중 테넌트 관리 - Azure Portal: 작업 영역 관리자를 사용하여 여러 Microsoft Sentinel 작업 영역 관리 |
제한되거나 사용할 수 없는 기능
Defender XDR 또는 다른 서비스를 사용하지 않고 Microsoft Sentinel을 Defender 포털에 온보딩하는 경우 Defender 포털에 표시되는 다음 기능은 현재 제한되거나 사용할 수 없습니다.
| 기능 | 서비스 필요 |
|---|---|
| 노출 관리 | Microsoft 보안 노출 관리 |
| 사용자 지정 검색 규칙 | Microsoft Defender XDR |
| 조치 센터 | Microsoft Defender XDR |
Defender XDR 또는 다른 서비스를 사용하도록 설정하지 않은 Defender 포털의 Microsoft Sentinel에도 다음과 같은 제한 사항이 적용됩니다.
- 새 Microsoft Sentinel 고객은 이스라엘 지역에서 만든 Log Analytics 작업 영역을 온보딩할 수 없습니다. Defender 포털에 온보딩하려면 다른 지역에 Microsoft Sentinel에 대한 다른 작업 영역을 만듭니다. 이 추가 작업 영역에는 데이터를 포함할 필요가 없습니다.
- Microsoft Sentinel 사용자 및 UEBA(엔터티 동작 분석)를 사용하는 고객에게는 제한된 버전의 IdentityInfo 테이블이 제공됩니다.
빠른 참조
통합 인시던트 큐와 같은 일부 Microsoft Sentinel 기능은 Microsoft의 통합 보안 운영 플랫폼에서 Microsoft Defender XDR과 통합됩니다. 다른 많은 Microsoft Sentinel 기능은 Defender 포털의 Microsoft Sentinel 섹션에서 사용할 수 있습니다.
다음 이미지는 Defender 포털의 Microsoft Sentinel 메뉴를 보여 줍니다.
다음 섹션에서는 Defender 포털에서 Microsoft Sentinel 기능을 찾을 수 있는 위치에 대해 설명합니다. 섹션은 Microsoft Sentinel이 Azure Portal에 있는 것처럼 구성되어 있습니다.
일반
다음 표에는 Azure Portal의 일반 섹션에 대한 Azure Portal과 Defender 포털 간의 탐색 변경 사항이 나와 있습니다.
| Azure Portal | Defender 포털 |
|---|---|
| 개요 | 개요 |
| 로그 | 조사 및 대응 > 헌팅 > 고급 헌팅 |
| 뉴스 및 가이드 | 사용할 수 없음 |
| 검색 | Microsoft Sentinel > 검색 |
위협 관리
다음 표에는 Azure Portal의 위협 관리 섹션에 대한 Azure Portal과 Defender 포털 간의 탐색 변경 사항이 나와 있습니다.
| Azure Portal | Defender 포털 |
|---|---|
| 인시던트 | 조사 및 대응 > 인시던트 및 경고 > 인시던트 |
| 통합 문서 | Microsoft Sentinel > 위협 관리 > 통합 문서 |
| 사냥 | Microsoft Sentinel > 위협 관리 > 헌팅 |
| Notebooks | Microsoft Sentinel > 위협 관리 > Notebook |
| 엔터티 동작 | 사용자 엔터티 페이지: 자산 > ID >{사용자}> Sentinel 이벤트 디바이스 엔터티 페이지: 자산 > 디바이스 >{디바이스}> Sentinel 이벤트 또한 인시던트 및 경고에서 사용자, 디바이스, IP, Azure 리소스 엔터티 유형에 대한 엔터티 페이지가 표시되는 대로 찾아봅니다. |
| 위협 인텔리전스 | Microsoft Sentinel > 위협 관리 > 위협 인텔리전스 |
| MITRE ATT&CK | Microsoft Sentinel > 위협 관리 > MITRE ATT&CK |
콘텐츠 관리
다음 표에는 Azure Portal의 콘텐츠 관리 섹션에 대한 Azure Portal과 Defender 포털 간의 탐색 변경 사항이 나와 있습니다.
| Azure Portal | Defender 포털 |
|---|---|
| 콘텐츠 허브 | Microsoft Sentinel > 콘텐츠 관리 > 콘텐츠 허브 |
| 리포지토리 | Microsoft Sentinel > 콘텐츠 관리 > 리포지토리 |
| 커뮤니티 | Microsoft Sentinel > 콘텐츠 관리 > 커뮤니티 |
구성
다음 표에는 Azure Portal의 구성 섹션에 대한 Azure Portal과 Defender 포털 간의 탐색 변경 사항이 나와 있습니다.
| Azure Portal | Defender 포털 |
|---|---|
| 작업 영역 관리자 | 사용할 수 없음 |
| 데이터 커넥터 | Microsoft Sentinel > 구성 > 데이터 커넥터 |
| 분석 | Microsoft Sentinel > 구성 > 분석 |
| 관심 목록 | Microsoft Sentinel > 구성 > 관심 목록 |
| 자동화 | Microsoft Sentinel > 구성 > 자동화 |
| 설정 | 시스템 > 설정 > Microsoft Sentinel |