다음을 통해 공유


Microsoft Sentinel 모범 사례

모범 사례 지침은 Microsoft Sentinel 기술 설명서 전반에 걸쳐 제공됩니다. 이 문서에서는 Microsoft Sentinel을 배포, 관리 및 사용할 때 사용할 몇 가지 주요 지침을 중점적으로 설명합니다.

Important

Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

Microsoft Sentinel 설정

Microsoft Sentinel 배포 가이드부터 시작해 보세요. 배포 가이드에서는 Microsoft Sentinel 배포를 계획, 배포 및 미세 조정하는 높은 수준의 단계를 다룹니다. 해당 지침에서 제공된 링크를 선택하여 배포의 각 단계에 대한 자세한 지침을 찾습니다.

Microsoft 보안 서비스 통합

Microsoft Sentinel은 작업 영역에 데이터를 전송하는 구성 요소에 의해 사용되며 다른 Microsoft 서비스와의 통합을 통해 더 강력하게 이루어집니다. 클라우드용 Microsoft Defender 앱, 엔드포인트용 Microsoft Defender 및 Microsoft Defender for Identity와 같은 제품에 수집된 모든 로그를 통해 이러한 서비스에서 검색을 만들고 Microsoft Sentinel에 해당 검색을 제공할 수 있습니다. 또한 로그를 Microsoft Sentinel에 직접 수집하여 이벤트 및 인시던트에 대한 전체 그림을 제공할 수도 있습니다.

예를 들어 다음 이미지는 Microsoft Sentinel이 다른 Microsoft 서비스, 다중 클라우드 및 파트너 플랫폼에서 데이터를 수집하여 환경에 적용되는 방법을 보여 줍니다.

다른 Microsoft 및 파트너 서비스와 통합되는 Microsoft Sentinel

Microsoft Sentinel은 다른 원본에서 경고 및 로그를 수집하는 것 외에도 다음을 수행합니다.

  • 기계 학습을 통해 수집되는 정보를 사용하여 더 나은 이벤트 상관 관계, 경고 집계, 이상 탐지 등이 가능합니다.
  • 관리 작업 및 조사에 사용되는 추세, 관련 정보 및 주요 데이터를 보여 주는 통합 문서를 통해 대화형 시각적 개체를 빌드하고 제공합니다.
  • 정보 수집, 항목에 대한 작업 수행 및 다양한 플랫폼에 알림 전송을 포함한 경고에 수행할 플레이북을 실행합니다.
  • ServiceNow 및 Jira와 같은 파트너 플랫폼과 통합하여 SOC 팀에 필수적인 서비스를 제공합니다.
  • 위협 인텔리전스 플랫폼에서 강화 피드를 수집 및 페치하여 수집에 유용한 데이터를 가져옵니다.

다른 서비스나 공급자의 데이터 통합에 대한 자세한 내용은 Microsoft Sentinel 데이터 커넥터를 참조하세요.

Microsoft Sentinel을 Microsoft Defender 포털에 온보딩하여 인시던트 관리 및 고급 검색과 같은 기능을 Microsoft Defender XDR과 통합하는 것이 좋습니다. 자세한 내용은 다음 문서를 참조하세요.

인시던트 관리 및 대응

다음 이미지는 인시던트 관리 및 응답 프로세스의 권장 단계를 보여 줍니다.

인시던트 관리 프로세스 다이어그램: 심사. 준비. 수정. 근절. 인시던트 후 작업.

다음 표에서는 인시던트 관리 및 대응을 위해 Microsoft Sentinel 기능을 사용하는 방법에 대한 개략적인 설명을 제공합니다. 자세한 내용은 Microsoft Sentinel로 인시던트 조사를 참조하세요.

기능 모범 사례
인시던트 생성된 인시던트는 심사 및 조기 조사를 위한 중앙 위치로 사용되는 인시던트 페이지에 표시됩니다. 인시던트 페이지에는 제목, 심각도 및 관련 경고, 로그 및 관심 엔터티가 나열됩니다. 인시던트는 수집된 로그 및 인시던트에 관련된 모든 도구로의 빠른 이동도 제공합니다.
조사 그래프 인시던트 페이지는 조사 그래프와 함께 작동하며 사용자는 경고에 대해 탐색하고 심층 조사를 통해 공격의 전체 범위를 표시할 수 있습니다. 그러면 사용자가 이벤트의 타임라인을 생성하고 위협 체인의 범위를 검색할 수 있습니다.

계정, URL, IP 주소, 호스트 이름, 작업, 타임라인 등의 주요 엔터티를 검색합니다. 이 데이터를 사용하여 가양성이 있는지 여부를 파악할 수 있습니다. 이 경우 인시던트를 직접 종료할 수 있습니다.

인시던트가 진양성임을 발견한 경우 인시던트 페이지에서 직접 작업을 수행하여 로그, 엔터티를 조사하고 위협 체인을 탐색합니다. 위협을 식별하고 작업 계획을 만든 후에는 Microsoft Sentinel 및 기타 Microsoft 보안 서비스의 다른 도구를 사용하여 조사를 계속합니다.
정보 시각화 사용자의 환경에서 일어나는 일을 시각화하고 분석하려면 먼저 Microsoft Sentinel 개요 대시보드를 살펴보고 조직의 보안 태세에 대한 아이디어를 가져옵니다. 자세한 내용은 수집된 데이터 시각화를 참조하세요.

Microsoft Sentinel 개요 페이지의 정보 및 추세 외에도 통합 문서는 귀중한 조사 도구입니다. 예를 들어 조사 인사이트 통합 문서를 사용하여 관련된 엔터티 및 경고와 함께 특정 인시던트를 조사합니다. 이 통합 문서를 사용하면 관련 로그, 작업 및 경고를 표시하여 엔터티를 심층적으로 조사할 수 있습니다.
위협 헌팅 근본 원인을 조사하고 검색하는 동안 기본 제공 위협 헌팅 쿼리를 실행하고 손상 지표에 대한 결과를 확인합니다. 자세한 내용은 Microsoft Sentinel의 위협 탐지를 참조하세요.

조사 중이나 위협을 수정하고 근절하기 위한 조치를 취한 후에는 라이브 스트림을 사용합니다. 라이브 스트림을 사용하면 악성 이벤트가 지속되고 있는지, 악성 이벤트가 여전히 계속되고 있는지 실시간으로 모니터링할 수 있습니다.
엔터티 동작 Microsoft Sentinel의 엔터티 동작을 통해 사용자는 계정 및 호스트 이름 조사와 같은 특정 엔터티에 대한 작업 및 경고를 검토하고 조사할 수 있습니다. 자세한 내용은 다음을 참조하세요.

- Microsoft Sentinel에서 UEBA(사용자 및 엔터티 동작 분석) 사용
- UEBA 데이터를 사용하여 인시던트 조사
- Microsoft Sentinel UEBA 보강 참조
관심 목록 수집된 데이터와 보강 데이터 같은 외부 원본의 데이터를 결합하는 관심 목록을 사용합니다. 예를 들어 조직 또는 최근에 종료된 직원에서 사용되는 IP 주소 범위의 목록을 만듭니다. 플레이북을 통해 관심 목록을 사용하여 보강 데이터를 수집합니다. 예를 들어 탐지, 위협 헌팅 및 조사 시에 사용할 관심 목록에 악성 IP 주소를 추가합니다.

인시던트 도중 관심 목록을 사용하여 조사 데이터를 포함한 다음, 조사가 완료되면 중요한 데이터가 계속 표시되는 것을 막기 위해 삭제합니다.

자세한 내용은 Microsoft Sentinel의 관심 목록을 참조하세요.