다음을 통해 공유

Microsoft Sentinel 및 Microsoft Purview 통합

  • 아티클

Microsoft Purview는 조직에서 중요한 정보가 저장되는 위치를 파악할 수 있도록 하여 보호에 대한 위험 데이터의 우선 순위를 지정하는 데 도움이 됩니다. Microsoft Purview를 Microsoft Sentinel과 통합하면 Microsoft Sentinel에 표시되는 많은 양의 인시던트 및 위협을 좁히고 시작해야 할 가장 중요한 영역을 파악할 수 있습니다.

먼저 데이터 커넥터를 통해 Microsoft Purview 로그를 Microsoft Sentinel에 수집합니다. 그런 다음, Microsoft Sentinel 통합 문서를 사용하여 검사된 자산, 검색된 분류 및 Microsoft Purview에서 적용한 레이블과 같은 데이터를 봅니다. 분석 규칙을 사용하여 데이터 민감도 내에서 변경에 대한 경고를 만듭니다.

조직의 요구 사항에 가장 적합하도록 Microsoft Purview 통합 문서 및 분석 규칙을 사용자 지정하고 Microsoft Purview 로그를 다른 원본에서 수집된 데이터와 결합하여 Microsoft Sentinel 내에서 풍부한 인사이트를 만듭니다.

필수 조건

시작하기 전에 Microsoft Sentinel 작업 영역Microsoft Purview가 모두 온보딩되고 사용자에게 다음 역할이 있는지 확인합니다.

  • 진단 설정을 지정하고 데이터 커넥터를 구성할 수 있는 Microsoft Purview 계정 소유자 또는 기여자 역할

  • 데이터 커넥터를 사용하도록 설정하고 통합 문서를 보고 분석 규칙을 만들 수 있는 쓰기 권한이 있는 Microsoft Sentinel 기여자 역할

  • Microsoft Sentinel에 대해 사용하도록 설정된 Log Analytics 작업 영역에 설치된 Microsoft Purview 솔루션입니다.

    Microsoft Purview 솔루션은 Microsoft Purview 데이터에 대해 특별히 구성된 데이터 커넥터, 통합 문서 및 분석 규칙을 포함한 번들 콘텐츠 세트입니다. 자세한 내용은 Microsoft Sentinel 콘텐츠 및 솔루션 정보Microsoft Sentinel 기본 제공 콘텐츠 검색 및 관리를 참조하세요.

    데이터 커넥터를 사용하도록 설정하기 위한 지침은 Microsoft Sentinel의 Microsoft Purview 데이터 커넥터 페이지에서도 사용할 수 있습니다.

Microsoft Sentinel에서 Microsoft Purview 데이터 수집 시작

Microsoft Purview 데이터 민감도 로그가 Microsoft Sentinel로 흐르도록 진단 설정을 구성한 다음, Microsoft Purview 검사를 실행하여 데이터 수집을 시작합니다.

진단 설정은 전체 검사가 실행된 후에 또는 증분 검사 중에 변경 내용이 검색된 경우에만 로그 이벤트를 보냅니다. 일반적으로 로그가 Microsoft Sentinel에 표시되기 시작하는 데 약 10~15분이 걸립니다.

데이터 민감도 로그가 Microsoft Sentinel로 흐르도록 설정하려면,

  1. Azure Portal에서 Microsoft Purview 계정으로 이동하여 진단 설정을 선택합니다.

    Microsoft Purview 계정 진단 설정 페이지의 스크린샷.

  2. + 진단 설정 추가를 선택하고, 로그를 Microsoft Purview에서 Microsoft Sentinel로 보내도록 새 설정을 구성합니다.

    • 설정에 의미 있는 이름을 입력합니다.
    • 로그 아래에서 DataSensitivityLogEvent를 선택합니다.
    • 대상 세부 정보 아래에서 Log Analytics 작업 영역으로 보내기를 선택하고, Microsoft Sentinel에 사용되는 구독 및 작업 영역 세부 정보를 선택합니다.

  3. 저장을 선택합니다.

자세한 내용은 진단 설정 기반 연결을 사용하여 Microsoft Sentinel을 다른 Microsoft 서비스에 연결을 참조하세요.

Microsoft Purview 검사를 실행하고 Microsoft Sentinel에서 데이터를 보려면,

  1. Microsoft Purview에서 리소스에 대한 전체 검사를 실행합니다. 자세한 내용은 Microsoft Purview에서 데이터 원본 검사를 참조하세요.

  2. Microsoft Purview 검사가 완료되면 Microsoft Sentinel의 Microsoft Purview 데이터 커넥터로 돌아가서 데이터가 수신되었는지 확인합니다.

Microsoft Purview에서 검색한 최근 데이터 보기

Microsoft Purview 솔루션은 일반 규칙과 사용자 지정 규칙을 포함하여 사용하도록 설정할 수 있는 두 가지의 기본 제공 분석 규칙 템플릿을 제공합니다.

  • 일반 버전인 지난 24시간 동안 검색된 중요한 데이터는 Microsoft Purview 검사 중에 데이터 자산 전체에서 발견된 분류 검색을 모니터링합니다.
  • 사용자 지정 버전인 지난 24시간 동안 검색된 중요한 데이터 - 사용자 지정은 사회 보장 번호와 같은 지정된 분류가 검색될 때마다 모니터링하고 경고를 생성합니다.

이 절차를 사용하여 특정 분류, 민감도 레이블, 원본 지역 등을 사용하여 자산을 검색하도록 Microsoft Purview 분석 규칙의 쿼리를 사용자 지정합니다. 생성된 데이터를 Microsoft Sentinel의 다른 데이터와 결합하여 검색 및 경고를 보강합니다.

참고 항목

Microsoft Sentinel 분석 규칙은 의심스러운 활동이 검색될 때 경고를 트리거하는 KQL 쿼리입니다. SOC 팀에서 조사할 인시던트를 만들 수 있도록 규칙을 사용자 지정하고 그룹화합니다.

Microsoft Purview 분석 규칙 템플릿 수정

  1. Microsoft Sentinel에서 Microsoft Purview 솔루션을 연 다음, 지난 24시간 - 사용자 지정된 규칙에서 검색된 중요한 데이터를 찾아 선택합니다. 측면 창에서 규칙 만들기를 선택하여 템플릿을 기반으로 새 규칙을 만듭니다.

  2. Configuration>Analytics 페이지로 이동하여 활성 규칙을 선택합니다. 지난 24시간 동안 검색된 중요한 데이터 - 사용자 지정된 규칙을 검색합니다.

    기본적으로 Microsoft Sentinel 솔루션에서 만든 분석 규칙은 사용하지 않도록 설정됩니다. 계속하기 전에 규칙을 작업 영역에 사용하도록 설정해야 합니다.

    1. 규칙을 선택합니다. 측면 창에서 편집을 선택합니다.

    2. 분석 규칙 마법사의 일반 탭 아래쪽에서 상태사용으로 전환합니다.

  3. 규칙 논리 설정 탭에서 경고를 생성하려는 데이터 필드 및 분류를 쿼리하도록 규칙 쿼리를 조정합니다. 쿼리에 포함될 수 있는 항목에 대한 자세한 내용은 다음을 참조하세요.

    형식이 지정된 쿼리에는 | where {data-field} contains {specified-string} 구문이 있습니다.

    예시:

    PurviewDataSensitivityLogs
| where Classification contains “Social Security Number”
| where SourceRegion contains “westeurope”
| where SourceType contains “Amazon”
| where TimeGenerated > ago (24h)

  4. 쿼리 예약 아래에서 규칙이 지난 24시간 동안 검색된 데이터를 표시하도록 설정을 정의합니다. 또한 모든 이벤트를 단일 경고로 그룹화하려면 이벤트 그룹화를 설정하는 것이 좋습니다.

    지난 24시간 동안 검색된 데이터를 표시하도록 정의된 분석 규칙 마법사의 스크린샷.

  5. 필요한 경우 인시던트 설정자동화된 응답 탭을 사용자 지정합니다. 예를 들어 인시던트 설정 탭에서 이 분석 규칙으로 트리거되는 경고에서 인시던트 만들기가 선택되어 있는지 확인합니다.

  6. 검토 + 만들기 탭에서 저장을 선택합니다.

자세한 내용은 위협 탐지를 위한 사용자 지정 분석 규칙 생성하기를 참조하세요.

Microsoft Sentinel 통합 문서에서 Microsoft Purview 데이터 보기

  1. Microsoft Sentinel에서 Microsoft Purview 솔루션을 연 다음, Microsoft Purview 통합 문서를 찾아 선택합니다. 측면 창에서 구성을 선택하여 통합 문서를 작업 영역에 추가합니다.

  2. Microsoft Sentinel의 위협 관리에서 통합 문서 내 통합 문서를>선택하고 Microsoft Purview 통합 문서를 찾습니다. 통합 문서를 작업 영역에 저장한 다음 저장된 통합 문서 보기를 선택합니다. 예시:

    Microsoft Purview 통합 문서의 스크린샷.

Microsoft Purview 통합 문서에는 다음 탭이 표시됩니다.

  • 개요: 데이터가 있는 지역 및 리소스 종류를 표시합니다.
  • 분류: 신용 카드 번호와 같이 지정된 분류가 포함된 자산을 표시합니다.
  • 민감도 레이블: 기밀 레이블이 있는 자산과 현재 레이블이 없는 자산을 표시합니다.

Microsoft Purview 통합 문서에서 드릴다운하려면 다음을 수행합니다.

  • Azure에서 해당 리소스로 이동할 특정 데이터 원본을 선택합니다.
  • 수집된 로그에서 모든 데이터 필드를 공유하여 자세한 내용을 표시하려면 자산 경로 링크를 선택합니다.
  • 데이터 원본, 분류 또는 민감도 레이블 테이블에서 행을 선택하여 구성된 대로 자산 수준 데이터를 필터링합니다.

Microsoft Purview 이벤트에서 트리거된 인시던트 조사

Microsoft Purview 분석 규칙으로 트리거된 인시던트를 조사하는 경우 인시던트의 이벤트에서 찾은 자산 및 분류에 대한 자세한 정보를 확인합니다.

예시:

Purview 이벤트에 의해 트리거된 인시던트의 스크린샷.

관련 콘텐츠

자세한 내용은 다음을 참조하세요.