다음을 통해 공유

Microsoft Sentinel 배포 가이드

  • 아티클

이 문서에서는 Microsoft Sentinel 배포를 계획, 배포 및 미세 조정하는 데 도움이 되는 활동을 소개합니다.

계획 및 준비 개요

이 섹션에서는 Microsoft Sentinel을 배포하기 전에 계획하고 준비하는 데 도움이 되는 활동 및 필수 구성 요소를 소개합니다.

계획 및 준비 단계는 일반적으로 SOC 설계자 또는 관련 역할에 의해 수행됩니다.

단계 세부 정보
1. 개요 및 필수 구성 요소 계획 및 준비 Azure 테넌트 필수 구성 요소를 검토합니다.
2. 작업 영역 아키텍처 계획 Microsoft Sentinel을 사용하도록 설정하여 Log Analytics 작업 영역을 설계합니다. 다음과 같은 매개 변수를 고려합니다.

- 단일 테넌트 또는 다중 테넌트를 사용할지 여부
- 데이터 수집 및 저장에 대한 모든 규정 준수 요구 사항
- Microsoft Sentinel 데이터에 대한 액세스를 제어하는 방법

다음 문서를 검토합니다.

1. 작업 영역 아키텍처 디자인
3. 샘플 작업 영역 디자인 검토
4. 여러 작업 영역 준비
3. 데이터 커넥터 우선 순위 지정 배포 예산과 타임라인을 정확하게 예측하는 데 도움이 되는 필요한 데이터 원본과 데이터 크기 요구 사항을 결정합니다.

비즈니스 사용 사례를 검토하는 동안 또는 이미 구축된 현재 SIEM을 평가하여 이 정보를 결정할 수 있습니다. SIEM이 이미 있는 경우 데이터를 분석하여 가장 많은 가치를 제공하는 데이터 원본을 파악하고 Microsoft Sentinel 수집해야 합니다.
4. 역할 및 사용 권한 계획 Azure RBAC(역할 기반 액세스 제어)를 사용하여 역할을 만들고 보안 운영 팀 내에 할당하여 Microsoft Sentinel에 대한 적절한 액세스 권한을 부여합니다. 다양한 역할을 통해 Microsoft Sentinel 사용자가 보고 수행할 수 있는 작업을 세밀하게 제어할 수 있습니다. Azure 역할을 작업 영역에서 직접 할당하거나 작업 영역이 속해 있는 구독이나 리소스 그룹(Microsoft Sentinel에서 상속함)에서 할당할 수 있습니다.
5. 비용 계획 계획된 각 시나리오에 대한 비용 영향을 고려하여 예산 계획을 시작합니다.

예산이 Microsoft Sentinel 및 Azure Log Analytics, 배포할 플레이북 등에 대한 데이터 수집 비용을 포함하는지 확인합니다.

배포 개요

배포 단계는 일반적으로 SOC 분석가 또는 관련 역할에 의해 수행됩니다.

단계 세부 정보
1. Microsoft Sentinel, 상태 및 감사 및 콘텐츠 사용 Microsoft Sentinel을 사용하도록 설정하고, 상태 및 감사 기능을 사용하도록 설정하고, 조직의 요구 사항에 따라 식별한 솔루션과 콘텐츠를 사용하도록 설정합니다.

API를 사용하여 Microsoft Sentinel에 온보딩하려면 지원되는 최신 버전의 Sentinel Onboarding States를 참조하세요.
2. 콘텐츠 구성 데이터 커넥터, 분석 규칙, 자동화 규칙, 플레이북, 통합 문서 및 관심 목록 등 시스템 전체의 보안 위협을 감지, 모니터링 및 대응할 수 있는 다양한 유형의 Microsoft Sentinel 보안 콘텐츠를 구성합니다.
3. 작업 영역 간 아키텍처 설정 환경에 여러 작업 영역이 필요한 경우 이제 배포의 일부로 설정할 수 있습니다. 이 문서에서는 여러 작업 영역 및 테넌트 간에 확장하도록 Microsoft Sentinel을 설정하는 방법을 알아봅니다.
4. UEBA(사용자 및 엔터티 동작 분석) 사용 UEBA 기능을 사용하도록 설정하고 사용하여 분석 프로세스를 간소화합니다.
5. 대화형 및 장기 데이터 보존 계획 설정 대화형 및 장기 데이터 보존을 설정하여 조직이 장기적으로 중요한 데이터를 보존할 수 있도록 합니다.

미세 조정 및 검토: 배포 후 검사 목록

배포 후 검사 목록을 검토하여 배포 프로세스가 예상대로 작동하는지, 배포한 보안 콘텐츠가 사용자의 요구 사항 및 사용 사례에 따라 작동하고 조직을 보호하는지 확인하는 데 도움이 됩니다.

미세 조정 및 검토 단계는 일반적으로 SOC 엔지니어 또는 관련 역할에 의해 수행됩니다.

단계 actions
인시던트 및 인시던트 프로세스 검토 - 인시던트 및 표시되는 인시던트 수가 사용자 환경에서 실제로 발생하는 상황을 반영하는지 확인합니다.
- SOC의 인시던트 프로세스가 인시던트 처리에 효율적으로 작동하는지 확인합니다. SOC의 여러 레이어/계층에 다양한 유형의 인시던트를 할당했습니까?

인시턴스를 탐색 및 조사하는 방법과 인시던트 작업을 수행하는 방법에 대해 자세히 알아봅니다.
분석 규칙 검토 및 미세 조정 - 인시던트 검토에 따라 분석 규칙이 예상대로 트리거되는지 여부와 규칙이 관심 있는 인시던트 유형을 반영하는지 확인합니다.
자동화를 사용하거나 예약된 분석 규칙을 수정하여 - 가양성을 처리합니다.
- Microsoft Sentinel은 분석 규칙을 분석하는 데 도움이 되는 기본 제공 미세 조정 기능을 제공합니다. 이러한 기본 제공 인사이트를 검토하고 관련 권장 사항을 구현합니다.
자동화 규칙 및 플레이북 검토 - 분석 규칙과 유사하게 자동화 규칙이 예상대로 작동하는지 확인하고 우려되고 관심 있는 인시던트를 반영합니다.
- 플레이북이 예상대로 경고 및 인시던트에 응답하는지 확인합니다.
관심 목록에 데이터 추가 관심 목록이 최신 상태인지 확인합니다. 사용자 환경에서 새 사용자 또는 사용 사례와 같은 변경이 발생한 경우 관심 목록을 적절하게 업데이트합니다.
약정 계층 검토 처음에 설정한 약정 계층을 검토하고 이러한 계층이 현재 구성을 반영하는지 확인합니다.
수집 비용 추적 수집 비용을 추적하려면 다음 통합 문서 중 하나를 사용합니다.
- 작업 영역 사용 현황 보고서 통합 문서는 작업 영역의 데이터 사용량, 비용 및 사용량 통계를 제공합니다. 통합 문서는 작업 영역의 데이터 수집 상태와 무료 및 청구 가능한 데이터의 양을 제공합니다. 통합 문서 논리를 사용하여 데이터 수집 및 비용을 모니터링하고, 사용자 지정 보기 및 규칙 기반 경고를 작성할 수 있습니다.
- Microsoft Sentinel 비용 통합 문서는 수집 및 보존 데이터, 적격 데이터 원본에 대한 수집 데이터, Logic Apps 청구 정보 등을 포함하여 Microsoft Sentinel 비용에 대한 보다 집중적인 보기를 제공합니다.
DCR(데이터 수집 규칙) 미세 조정 - DCR이 데이터 수집 요구 사항 및 사용 사례를 반영하는지 확인합니다.
- 필요한 경우, 수집 시간 변환을 구현하여 작업 영역에 처음 저장되기 전에도 관련 없는 데이터를 필터링합니다.
MITRE 프레임워크에 대한 분석 규칙 확인 Microsoft Sentinel MITRE 페이지에서 MITRE 적용 범위 확인: 작업 영역에서 이미 활성화된 탐지 항목과 사용자가 구성할 수 탐지 항목을 보고 MITRE ATT&CK® 프레임워크의 전술과 기술을 기반으로 조직의 보안 적용 범위를 이해합니다.
의심스러운 활동 헌팅 SOC에 사전 위협 헌팅을 위한 프로세스가 준비되었는지 확인합니다. 헌팅은 보안 분석가가 탐지되지 않은 위협이나 악의적인 동작을 찾는 프로세스입니다. 가설을 만들고, 데이터를 검색하고, 가설의 유효성을 검사하여 어떤 작업을 수행할지 결정합니다. 작업에는 새 탐지 만들기, 새로운 위협 인텔리전스 만들기, 새 인시던트 스핀업이 포함될 수 있습니다.

이 문서에서는 Microsoft Sentinel을 배포하는 데 도움이 되는 각 단계의 활동을 검토했습니다.

현재 단계에 따라 적절한 다음 단계를 선택합니다.

Microsoft Sentinel 배포가 완료되면 일반적인 작업을 다루는 자습서를 검토하여 Microsoft Sentinel 기능을 계속 탐색합니다.

정기적인 SOC 활동에 대한 Microsoft Sentinel 운영 가이드를 검토하여 매일, 매주 및 매월 수행하는 것이 좋습니다.