Microsoft Sentinel이란?
Microsoft Sentinel은 SIEM과 SOAR(보안 오케스트레이션, 자동화 및 대응)을 위한 지능적이고 포괄적인 솔루션을 제공하는 확장성 있는 클라우드 기반 SIEM(보안 정보 및 이벤트 관리)입니다. Microsoft Sentinel은 엔터프라이즈 전반에 대한 조감도를 통해 사이버 위협 감지, 조사, 대응 및 사전 헌팅 기능을 제공합니다.
또한 Microsoft Sentinel은 Log Analytics 및 Logic Apps와 같은 입증된 Azure 서비스를 기본적으로 통합하고 AI를 통해 조사 및 검색을 보강합니다. 이는 Microsoft의 위협 인텔리전스 스트림을 모두 사용하고 자체 위협 인텔리전스를 가져올 수도 있습니다.
Microsoft Sentinel을 사용하면 점점 더 정교해지는 공격, 증가하는 경고 볼륨, 긴 해결 시간 프레임으로 인한 스트레스를 완화할 수 있습니다. 이 문서에서는 Microsoft Sentinel의 주요 기능을 중점적으로 설명합니다.
Important
Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.
Microsoft Sentinel은 Azure Monitor 변조 방지 및 불변성 사례를 상속합니다. Azure Monitor는 추가 전용 데이터 플랫폼이지만 규정 준수를 위해 데이터를 삭제하는 프로비전을 포함합니다.
이 서비스는 서비스 공급자가 자체 테넌트에 로그인하여 고객이 위임한 구독과 리소스 그룹을 관리할 수 있도록 하는 Azure Lighthouse를 지원합니다.
기본 제공 가능한 보안 콘텐츠 사용
Microsoft Sentinel은 데이터 수집, 모니터링, 경고, 검색, 조사, 대응 및 다양한 제품, 플랫폼 및 서비스 연결을 가능하게 하는 SIEM 솔루션에 패키지된 보안 콘텐츠를 제공합니다.
자세한 내용은 Microsoft Sentinel 콘텐츠 및 솔루션 정보를 참조하세요.
대규모로 데이터 수집
온-프레미스 및 여러 클라우드 모두에서 모든 사용자, 디바이스, 애플리케이션 및 인프라에 걸쳐 데이터를 수집합니다.
다음 표에서는 데이터 수집을 위한 Microsoft Sentinel의 주요 기능을 강조 표시합니다.
기능 | 설명 | 시작하기 |
---|---|---|
기본 제공 가능한 데이터 커넥터 | 많은 커넥터가 Microsoft Sentinel용 SIEM 솔루션과 함께 패키지되어 있으며 실시간 통합을 제공합니다. 이러한 커넥터에는 Microsoft Entra ID, Azure Activity, Azure Storage 등과 같은 Microsoft 원본과 Azure 원본이 포함됩니다. Microsoft 이외의 솔루션에 대한 광범위한 보안 및 애플리케이션 에코시스템을 위해 기본 제공 가능한 커넥터도 사용할 수 있습니다. 일반적인 이벤트 형식, Syslog 또는 REST API를 사용하여 Microsoft Sentinel에 데이터 원본을 연결할 수도 있습니다. |
Microsoft Sentinel 데이터 커넥터 |
사용자 지정 커넥터 | Microsoft Sentinel은 전용 커넥터 없이 일부 원본에서 데이터 수집을 지원합니다. 기존 솔루션을 사용하여 데이터 원본을 Microsoft Sentinel에 연결할 수 없는 경우 고유한 데이터 원본 커넥터를 만듭니다. | Microsoft Sentinel 사용자 지정 커넥터를 만들기 위한 리소스. |
데이터 정규화 | Microsoft Sentinel은 쿼리 시간과 수집 시간 정규화를 모두 사용하여 다양한 원본을 균일하고 정규화된 보기로 변환합니다. | 정규화 및 ASIM(고급 보안 정보 모델) |
위협 감지
Microsoft 분석 및 업계 최고의 위협 인텔리전스를 사용하여 이전에 미검사된 위협을 탐지하고 가양성을 최소화합니다.
다음 표에서는 위협 감지를 위한 Microsoft Sentinel의 주요 기능을 강조 표시합니다.
용량 | 설명 | 시작하기 |
---|---|---|
분석 | 노이즈를 줄이고 검토하고 조사해야 하는 경고 수를 최소화하는 데 도움이 됩니다. Microsoft Sentinel은 분석을 사용하여 경고를 인시던트로 그룹화합니다. 기본 제공 가능한 분석 규칙을 있는 그대로 사용하거나 고유의 규칙을 빌드하기 위한 시작점으로 사용합니다. Microsoft Sentinel은 또한 네트워크 동작을 매핑한 다음 리소스 전체에서 변칙 현상을 찾는 규칙을 제공합니다. 이러한 분석 과정에서 여러 다른 엔터티에 대한 충실도가 낮은 경고와 충실도가 높은 보안 인시던트를 결합합니다. | 처음부터 위협 탐지 |
MITRE ATT&CK 적용 범위 | Microsoft Sentinel은 수집된 데이터를 분석하여 위협을 검색하고 조사하는 데 도움을 줄 뿐만 아니라 MITRE ATT&CK® 프레임워크의 전술과 기술을 기반으로 조직 보안 상태의 특성과 적용 범위를 시각화합니다. | MITRE ATT&CK® 프레임워크의 보안 적용 범위 이해 |
위협 인텔리전스 | 다양한 위협 인텔리전스 원본을 Microsoft Sentinel에 통합하여 사용자 환경에서 악의적인 작업을 검색하고 보안 조사관에게 컨텍스트를 제공하여 정보에 입각한 대응 결정을 내릴 수 있습니다. | Microsoft Sentinel의 위협 인텔리전스 |
관심 목록 | 제공한 데이터 원본(관심 목록)의 데이터를 Microsoft Sentinel 환경의 이벤트 간 상관 관계를 지정합니다. 예를 들어 사용자 환경의 높은 가치 자산, 퇴사 직원 또는 서비스 계정 목록을 사용하여 관심 목록을 만들 수 있습니다. 검색, 검색 규칙, 위협 헌팅, 대응 플레이북에서 관심 목록을 사용합니다. | Microsoft Sentinel의 관심 목록 |
통합 문서 | 통합 문서를 사용하여 대화형 시각적 보고서를 만듭니다. Microsoft Sentinel에는 데이터 원본에 연결하는 즉시 데이터 전체에 대한 인사이트를 신속하게 얻을 수 있는 통합 문서 템플릿이 기본 제공되어 있습니다. 또는 고유의 사용자 지정 통합 문서를 만듭니다. | 수집된 데이터 시각화. |
위협 조사
Microsoft의 수년 간의 사이버 보안 성과물을 활용하여 인공 지능을 통해 위협을 조사하고 대규모로 의심스러운 활동을 헌팅합니다.
다음 표에서는 위협 조사를 위한 Microsoft Sentinel의 주요 기능을 강조 표시합니다.
기능 | 설명 | 시작하기 |
---|---|---|
인시던트 | Microsoft Sentinel 심층 조사 도구는 잠재적 보안 위협의 범위를 이해하고 근본 원인을 찾는 데 도움이 됩니다. 대화형 그래프에서 엔터티를 선택하여 특정 엔터티에 대해 흥미로운 질문을 하고, 해당 엔터티 및 연결을 드릴다운하여 위협의 근본 원인을 파악할 수 있습니다. | Microsoft Sentinel에서 인시던트 탐색 및 조사 |
Hunts | MITRE 프레임워크를 기반으로 하는 Microsoft Sentinel의 강력한 검색 및 쿼리 도구를 사용하면 경고가 트리거되기 전에 조직의 데이터 원본 전체에서 보안 위협을 미리 찾아낼 수 있습니다. 헌팅 쿼리를 기반으로 사용자 지정 쿼리 규칙을 만듭니다. 그런 다음 이러한 인사이트를 보안 인시던트 대응 담당자에게 경고로 표시합니다. | Microsoft Sentinel의 위협 헌팅 |
Notebooks | Microsoft Sentinel은 기계 학습, 시각화 및 데이터 분석을 위한 전체 라이브러리를 포함하여 Azure Machine Learning 작업 영역에서 Jupyter Notebook을 지원합니다. Microsoft Sentinel에서 Notebook을 통해 Microsoft Sentinel 데이터를 사용하여 수행할 수 있는 작업의 범위를 확장합니다. 예시: - 일부 Python 기계 학습 기능과 같이 Microsoft Sentinel에 기본 제공되지 않는 분석을 수행합니다. - 사용자 지정 타임라인 및 프로세스 트리와 같이 Microsoft Sentinel에 기본 제공되지 않는 데이터 시각화를 만듭니다. - 온-프레미스 데이터 세트와 같이 Microsoft Sentinel 외부의 데이터 원본을 통합합니다. |
Microsoft Sentinel 헌팅 기능을 사용하는 Jupyter Notebook |
신속하게 인시던트에 대응
Azure 서비스 및 기존 도구와 통합되는 플레이 북을 사용하여 일반적인 작업을 자동화하고 보안 오케스트레이션 간소화합니다. Microsoft Sentinel의 자동화 및 오케스트레이션은 새로운 기술과 위협이 등장할 때 확장 가능한 자동화를 가능하게 하는 고도로 확장 가능한 아키텍처를 제공합니다.
Microsoft Sentinel의 플레이북은 Azure Logic Apps에 빌드된 워크플로를 기반으로 합니다. 예를 들어 ServiceNow 티켓팅 시스템을 사용하는 경우 Azure Logic Apps를 사용하여 워크플로를 자동화하고 특정 경고나 인시던트가 생성될 때마다 ServiceNow에서 티켓을 엽니다.
다음 표에서는 위협 대응을 위한 Microsoft Sentinel의 주요 기능을 강조 표시합니다.
기능 | 설명 | 시작하기 |
---|---|---|
자동화 규칙 | 다양한 시나리오를 다루는 소규모 규칙 집합을 정의하고 조정하여 Microsoft Sentinel에서 인시던트 처리 자동화를 중앙에서 관리합니다. | 자동화 규칙으로 Microsoft Sentinel의 위협 대응 자동화 |
플레이북 | 수정 작업 컬렉션인 플레이북을 사용하여 위협 대응을 자동화하고 오케스트레이션합니다. 자동화 규칙에 의해 트리거될 때 특정 경고나 인시던트에 대한 대응으로 주문형으로 플레이북을 실행하거나 자동으로 실행합니다. Azure Logic Apps를 사용하여 플레이북을 빌드하려면 ServiceNow, Jira 등과 같은 다양한 서비스 및 시스템에 대해 지속적으로 확장되는 커넥터 갤러리에서 선택합니다. 이러한 커넥터를 사용하면 워크플로에 사용자 지정 논리를 적용할 수 있습니다. |
Microsoft Sentinel의 플레이북으로 위협 대응 자동화 모든 Logic Apps 커넥터 목록 |