기본적으로 제공되는 Microsoft Sentinel 콘텐츠 발견 및 관리
Microsoft Sentinel 콘텐츠 허브는 기본 제공 콘텐츠를 검색하고 관리할 수 있는 중앙 집중식 위치입니다. 도메인 또는 산업별 엔드투엔드 제품에 대한 패키지 솔루션을 찾을 수 있습니다. 또한 GitHub 리포지토리 및 기능 블레이드에서 호스트되는 수많은 독립 실행형 기여에 액세스할 수 있습니다.
상태, 콘텐츠 형식, 지원, 공급자 및 범주에 따라 AI 기반 검색 및 필터링을 사용하여 솔루션 및 독립 실행형 콘텐츠를 검색합니다.
솔루션을 확장하여 그들이 구성하는 콘텐츠 항목에 대해 자세히 알아보고 제공하는 가치를 더 잘 이해할 수 있습니다.
한 번에 또는 개별적으로 작업 영역에 콘텐츠를 설치합니다.
목록 보기에서 콘텐츠를 보고 업데이트가 있는 솔루션을 빠르게 확인할 수 있습니다. 독립 실행형 콘텐츠가 자동으로 업데이트되는 동안 솔루션을 한 번에 모두 업데이트합니다.
솔루션을 관리하며 그 콘텐츠 형식을 설치하고 최신 변경 내용을 가져옵니다.
최신 템플릿을 기반으로 새 활성 항목을 만들도록 독립 실행형 콘텐츠를 구성합니다.
고유한 솔루션을 만들려는 파트너인 경우 Microsoft Sentinel 솔루션 빌드 가이드에서 솔루션 작성 및 게시 방법을 참조하세요.
Important
Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.
필수 조건
콘텐츠 허브에서 독립 실행형 콘텐츠 또는 솔루션을 설치, 업데이트, 삭제하려면 리소스 그룹 수준에서 Microsoft Sentinel 기여자 역할이 있어야 합니다.
Microsoft Sentinel에 대해 지원되는 다른 역할 및 권한에 대한 자세한 내용은 Microsoft Sentinel의 권한을 참조하세요.
콘텐츠 검색
콘텐츠 허브에서 새 콘텐츠를 찾거나 설치된 솔루션을 관리하기가 가장 좋습니다.
Azure Portal의 Microsoft Sentinel에서는, 콘텐츠 관리에서 콘텐츠 허브를 선택합니다.
Defender 포털의 Microsoft Sentinel에서는, Microsoft Sentinel>콘텐츠 관리>콘텐츠 허브를 선택합니다.콘텐츠 허브 페이지에는 검색이 가능한 그리드 또는 솔루션 및 독립 실행형 콘텐츠 목록이 표시됩니다.
필요한 독립 실행형 콘텐츠 항목의 솔루션을 검색합니다. 필터에서 특정 값을 선택하여 AI 검색 필드를 사용하거나 필터를 사용합니다. AI 검색을 사용하면 유사 항목 검색을 수행하고 대략적인 어휘를 사용할 수 있습니다. 다음 예제에서는 검색 조건과 일치하는 특정 콘텐츠 항목을 포함하는 몇 가지 솔루션을 볼 수 있습니다.
자세한 내용은 Microsoft Sentinel 기본 제공 콘텐츠 및 솔루션 범주를 참조하세요.
Important
Enter 키를 눌러 검색 문자열에 따라 검색을 실행해야 합니다.
검색 결과 수는 솔루션 내에 있는 솔루션 및 콘텐츠 항목을 포함하여 50개 항목으로 제한됩니다. 원하는 항목을 찾지 못한 경우 검색 식을 구체화하거나 추가 필터를 사용하세요.
솔루션에 대한 정보와 솔루션에 포함된 콘텐츠 항목의 유형을 보려면 목록에서 솔루션을 선택합니다. 예를 들어 다음 이미지에서 Windows 보안 이벤트 솔루션은 두 개의 데이터 커넥터, 분석 규칙, 헌팅 쿼리 및 플레이북을 포함하고 있음을 나타냅니다.
왼쪽의 화살표를 사용하여 결과 집합의 솔루션을 확장하여 포함된 콘텐츠 항목 목록을 봅니다. 왼쪽의 정보 창에는 콘텐츠 항목에 대한 자세한 정보가 표시됩니다.
참고 항목
솔루션의 일부인 콘텐츠 항목을 사용하려는 경우 전체 솔루션을 설치해야 합니다. 따라서 콘텐츠 항목의 정보 패널에 콘텐츠 항목이 포함된 솔루션을 설치하는 "솔루션 설치" 단추가 있습니다.
콘텐츠 설치 또는 업데이트
독립 실행형 콘텐츠와 솔루션을 개별적으로 설치하거나 모두 대량으로 설치합니다. 대량 작업에 대한 자세한 내용은 다음 섹션에서 콘텐츠 대량 설치 및 업데이트를 참조하세요.
배포한 솔루션에 마지막으로 배포한 이후의 업데이트가 있는 경우 목록 보기의 상태 열에 업데이트가 표시됩니다. 솔루션은 페이지 맨 위에 있는 업데이트 개수에도 포함됩니다.
개별 솔루션의 설치를 보여 주는 예제는 다음과 같습니다.
콘텐츠 허브에서 솔루션을 검색하고 선택합니다.
솔루션 세부 정보 창의 오른쪽 아래에서 세부 정보 보기를 선택합니다.
만들기 또는 업데이트를 선택합니다.
본 탭에서 솔루션을 배포할 구독, 리소스 그룹 및 작업 영역을 입력합니다. 예시:
다음을 선택하여 나머지 탭을 살펴보고 경우에 따라 각 콘텐츠 구성 요소를 구성합니다.
탭은 솔루션에서 제공하는 콘텐츠와 일치합니다. 솔루션마다 콘텐츠 형식이 다를 수 있으므로 솔루션에 동일한 탭이 모두 표시되지 않을 수 있습니다.
Microsoft Sentinel이 시스템에 인증할 수 있도록 Microsoft 외 타사 서비스에 대한 자격 증명을 입력하라는 메시지가 표시될 수도 있습니다. 예를 들어 플레이북을 사용하여 시스템에 규정된 대로 대응 작업을 수행할 수 있습니다.
검토 + 만들기 탭에서
Validation Passed
메시지를 기다립니다.만들기 또는 업데이트를 선택하여 솔루션을 배포합니다. 자동화를 위한 템플릿 다운로드 링크를 선택하여 솔루션을 코드로 배포할 수도 있습니다.
종속성을 사용하여 설치
일부 솔루션에는 여러 도메인 솔루션 및 CEF, Syslog 또는 사용자 지정 로그용 통합 AMA 커넥터를 사용하는 솔루션을 포함하여 설치할 종속성이 있습니다.
이러한 경우 종속성을 사용하여 설치를 선택하여 필요한 데이터 커넥터도 설치되도록 합니다. 거기에서 하나 이상의 종속성을 선택하여 원래 솔루션과 함께 설치합니다. 설치하도록 선택한 원래 솔루션은 항상 기본적으로 선택됩니다.
하나 이상의 종속성 솔루션이 이미 설치되어 있지만 업데이트가 있는 경우 설치/업데이트 버튼을 사용하여 선택한 모든 솔루션을 대량으로 설치 및 업데이트합니다. 예시:
솔루션을 설치한 후 솔루션 내 각 콘텐츠 형식을 구성하려면 추가 단계가 필요할 수 있습니다. 자세한 내용은 솔루션에서 콘텐츠 항목 사용을 참조하세요.
콘텐츠 대량 설치 및 업데이트
콘텐츠 허브는 기본 카드 보기 외에 목록 보기도 지원합니다. 목록 보기를 선택하여 여러 솔루션 및 독립 실행형 콘텐츠를 한 번에 모두 설치합니다. 독립 실행형 콘텐츠는 자동으로 최신 상태를 유지됩니다. 솔루션 또는 콘텐츠 허브에서 설치된 독립 실행형 콘텐츠를 기반으로 만든 활성 또는 사용자 지정 콘텐츠는 그대로 유지됩니다.
항목을 대량으로 설치 또는 업데이트하려면 목록 보기로 변경합니다.
대량으로 설치하거나 업데이트하려는 콘텐츠를 검색하거나 필터링합니다.
설치하거나 업데이트하려는 각 솔루션 또는 독립 실행형 콘텐츠에 대한 확인란을 선택합니다.
-
선택한 솔루션 또는 독립 실행형 콘텐츠가 이미 설치되거나 업데이트된 경우 해당 항목에 대해 아무 작업도 수행되지 않습니다. 다른 항목의 업데이트 및 설치를 방해하지 않습니다.
설치한 각 솔루션에 대해 관리를 선택합니다. 솔루션 내의 콘텐츠 형식을 구성하려면 추가 정보가 필요할 수 있습니다. 자세한 내용은 솔루션에서 콘텐츠 항목 사용을 참조하세요.
솔루션에서 콘텐츠 항목 사용
콘텐츠 허브에서 설치된 솔루션의 콘텐츠 항목을 중앙에서 관리합니다.
콘텐츠 허브에서 버전이 2.0.0 이상인 설치된 솔루션을 선택합니다.
솔루션 세부 정보 페이지에서 관리를 선택합니다.
콘텐츠 항목 목록을 검토합니다.
시작할 콘텐츠 항목을 선택합니다.
각 콘텐츠 형식 관리
다음 섹션에서는 솔루션을 관리할 때 다양한 콘텐츠 형식으로 작업하는 방법에 대한 몇 가지 팁을 제공합니다.
데이터 커넥터
데이터 커넥터를 연결하려면 구성 단계를 완료합니다.
커넥터 페이지 열기를 선택합니다.
데이터 커넥터 구성 단계를 완료합니다.
데이터 커넥터를 구성하고 로그가 검색되면 상태가 연결됨으로 바뀝니다.
분석 규칙
템플릿에서 규칙을 만들거나 기존 규칙을 편집합니다.
분석 템플릿 갤러리에서 템플릿을 봅니다.
템플릿이 아직 사용되지 않은 경우 열기>규칙 만들기를 선택하고, 단계에 따라 분석 규칙을 사용하도록 설정합니다.
규칙을 만든 후에는 규칙 템플릿에서 만든 활성 규칙의 수가 생성된 콘텐츠 열에 표시됩니다.
활성 규칙 링크를 선택하여 기존 규칙을 편집합니다. 예를 들어 다음 이미지의 활성 규칙 링크는 생성된 콘텐츠 아래에 있으며 2개 항목을 표시합니다.
헌팅 쿼리
제공된 헌팅 쿼리를 실행하거나 사용자 지정합니다.
바로 검색을 시작하려면 세부 정보 페이지에서 쿼리 실행을 선택하여 빠른 결과를 확인합니다.
헌팅 쿼리를 사용자 지정하려면 콘텐츠 이름 열에서 링크를 선택합니다.
헌팅 갤러리에서 줄임표 메뉴로 이동하여 읽기 전용 헌팅 쿼리 템플릿의 복제본을 만들 수 있습니다. 이렇게 생성된 헌팅 쿼리에는 콘텐츠 허브 생성된 콘텐츠 열에 항목으로 표시됩니다.
통합 문서
템플릿에서 만든 통합 문서를 사용자 지정하려면 통합 문서의 인스턴스를 만듭니다.
템플릿 보기를 선택하여 통합 문서를 열고 시각적 개체를 확인합니다.
저장을 선택하여 통합 문서 템플릿의 인스턴스를 만듭니다.
저장된 통합 문서 보기를 선택하여 저장된 사용자 지정 가능한 통합 문서를 봅니다.
콘텐츠 허브에서 생성된 콘텐츠에 있는 항목 1개 링크를 선택하여 통합 문서를 관리합니다.
파서
솔루션이 설치되면 포함된 파서는 Log Analytics에서 작업 영역 함수로 추가됩니다.
함수 코드 로드를 선택하여 Log Analytics를 열고 함수 코드를 보거나 실행합니다.
편집기에서 사용을 선택하여 사용자 지정 쿼리에 추가할 준비가 된 파서 이름으로 Log Analytics를 엽니다.
플레이 북
템플릿에서 플레이북을 만듭니다.
플레이북의 콘텐츠 이름 링크를 선택합니다.
템플릿을 선택하고 플레이북 만들기를 선택합니다.
플레이북을 만든 후에는 활성 플레이북이 생성된 콘텐츠 열에 표시됩니다.
활성 플레이북 항목 1개 링크를 선택하여 플레이북을 관리합니다.
콘텐츠에 대한 지원 모델 찾기
각 솔루션 및 독립 실행형 콘텐츠 항목은 Microsoft 또는 파트너 이름이 나열된 지원 상자의 세부 정보 창에 지원 모델을 설명합니다. 예시:
고객 지원팀에 문의할 때 게시자, 공급자, 플랜 ID 값과 같은 솔루션에 대한 기타 세부 정보가 필요할 수도 있습니다. 사용 정보 및 지원 탭의 세부 정보 페이지에서 이 정보를 찾습니다.
다음 단계
이 문서에서는 Microsoft Sentinel에 대한 기본 제공 솔루션 및 독립 실행형 콘텐츠를 찾고 배포하는 방법에 대해 알아보았습니다.
- Microsoft Sentinel 솔루션에 대해 자세히 알아봅니다.
- Azure Marketplace서 전체 Microsoft Sentinel 솔루션 카탈로그를 참조하세요.
- Microsoft Sentinel 콘텐츠 허브 카탈로그에서 도메인별 솔루션을 찾습니다.
- 설치된 Microsoft Sentinel 기본 제공 콘텐츠 및 솔루션 삭제
Microsoft Sentinel로 데이터 수집을 시작하기 위해 구성해야 하는 데이터 커넥터가 포함된 솔루션이 많습니다. 각 데이터 커넥터에는 고유한 요구 사항 집합이 있으며, Microsoft Sentinel의 데이터 커넥터 페이지에 자세히 표시됩니다.
자세한 내용은 데이터 원본 연결을 참조하세요.