Microsoft Sentinel 운영 가이드
이 문서에는 SOC(보안 운영) 팀과 보안 관리자가 Microsoft Sentinel을 사용하여 정기적인 보안 활동의 일부로 계획하고 실행하는 것이 좋습니다. 보안 작업 관리에 대한 자세한 내용은 보안 작업 개요를 참조하세요.
매일 수행하는 작업
매일 다음 활동을 예약합니다.
| Task | description |
|---|---|
| 인시던트 심사 및 조사 | Microsoft Sentinel 인시던트 페이지를 검토하여 현재 구성된 분석 규칙에 의해 생성된 새 인시던트를 확인하고 새로운 인시던트 조사를 시작합니다. 자세한 내용은 Microsoft Sentinel로 인시던트 조사를 참조하세요. |
| 헌팅 쿼리 및 책갈피 살펴보기 | 모든 기본 제공 쿼리에 대한 결과를 탐색하고 기존 헌팅 쿼리와 책갈피를 업데이트합니다. 해당하는 경우 새 인시던트를 수동으로 생성하거나 이전 인시던트를 업데이트합니다. 자세한 내용은 다음을 참조하세요 - . Microsoft Sentinel을 사용하여 헌팅하는 동안 Microsoft Sentinel- 로 데이터 추적을 유지하여 위협을 찾기 위해 Microsoft 보안 경고 - 에서 자동으로 인시던트 만들기 |
| 분석 규칙 | 해당되는 경우 새 분석 규칙을 검토하고 사용하도록 설정합니다. 여기에는 최근에 연결된 데이터 커넥터의 새로 출시된 규칙과 새로 사용 가능한 규칙이 모두 포함됩니다. |
| 데이터 커넥터 | 각 데이터 커넥터에서 마지막으로 받은 로그의 상태, 날짜 및 시간을 검토하여 데이터가 흐르는지 확인합니다. 새 커넥터가 있는지 확인하고 수집을 검토하여 설정된 한도를 초과하지 않았는지 확인합니다. 자세한 내용은 데이터 수집 모범 사례 및 데이터 원본 연결을 참조하세요. |
| Azure Monitor 에이전트 | 서버와 워크스테이션이 작업 영역에 활발히 연결되어 있는지 확인하고 실패한 모든 연결 문제를 해결하고 수정합니다. 자세한 내용은 Azure Monitor 에이전트 개요를 참조하세요. |
| 플레이북 실패 | 플레이북 실행 상태를 확인하고 오류를 해결합니다. 자세한 내용은 자습서: Microsoft Sentinel의 자동화 규칙이 포함된 플레이북을 사용하여 위협에 대응을 참조하세요. |
주별 작업
매주 다음 활동을 예약합니다.
| Task | description |
|---|---|
| 솔루션 또는 독립 실행형 콘텐츠의 콘텐츠 검토 | 콘텐츠 허브에서 설치된 솔루션 또는 독립 실행형 콘텐츠에 대한 콘텐츠 업데이트를 가져옵니다. 분석 규칙, 통합 문서, 헌팅 쿼리 또는 플레이북과 같이 환경에 가치가 있을 수 있는 새로운 솔루션 또는 독립 실행형 콘텐츠를 검토합니다. |
| Microsoft Sentinel 감사 | Microsoft Sentinel 작업을 검토하여 분석 규칙, 책갈피 등과 같은 리소스를 업데이트하거나 삭제한 사람을 확인합니다. 자세한 내용은 Microsoft Sentinel 쿼리 및 작업 감사를 참조하세요. |
월별 작업
매월 다음 활동을 예약합니다.
| Task | description |
|---|---|
| 사용자 액세스 검토 | 사용자에 대한 사용 권한을 검토하고 비활성 사용자를 확인합니다. 자세한 내용은 Microsoft Sentinel의 권한을 참조하세요. |
| Log Analytics 작업 영역 검토 | Log Analytics 작업 영역 데이터 보존 정책이 여전히 조직의 정책에 부합하는지 검토합니다. 자세한 내용은 데이터 보존 정책 및 장기 로그 보존을 위한 Azure Data Explorer 통합을 참조하세요. |