작업 영역 관리자를 사용하여 여러 Microsoft Sentinel 작업 영역을 중앙에서 관리(미리 보기)
작업 영역 관리자를 사용하여 하나 이상의 Azure 테넌트 내에서 여러 Microsoft Sentinel 작업 영역을 중앙에서 관리하는 방법을 알아봅니다. 이 문서에서는 작업 영역 관리자의 프로비전 및 사용을 안내합니다. 글로벌 엔터프라이즈이든 MSSP(관리형 보안 서비스 공급자)이든 작업 영역 관리자는 대규모로 효율적으로 작업할 수 있도록 도와줍니다.
다음은 작업 영역 관리자에서 지원되는 활성 콘텐츠 형식입니다.
- Analytics 규칙
- 자동화 규칙(플레이북 제외)
- 파서, 저장된 검색 및 함수
- 헌팅 및 Livestream 쿼리
- 통합 문서
Important
작업 영역 관리자에 대한 지원은 현재 미리 보기로 제공됩니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.
Microsoft Sentinel을 Microsoft Defender 포털에 온보딩하는 경우 Microsoft Defender 다중 테넌트 관리를 참조하세요.
필수 조건
- 두 개 이상의 Microsoft Sentinel 작업 영역이 필요합니다. 관리를 수행할 작업 영역 하나와 관리 대상이 될 다른 작업 영역이 하나 이상 있어야 합니다.
- Microsoft Sentinel Contributor 역할 할당은 중앙 작업 영역(작업 영역 관리자를 사용하도록 설정된 위치) 및 contributor가 관리해야 하는 멤버 작업 영역에서 필요합니다. Microsoft Sentinel의 역할에 대한 자세한 내용은 Microsoft Sentinel의 역할 및 권한을 참조하세요.
- 여러 Microsoft Entra 테넌트에서 작업 영역을 관리하는 경우 Azure Lighthouse를 사용하도록 설정합니다. 자세한 내용은 대규모 Microsoft Sentinel 작업 영역 관리를 참조하세요.
고려 사항
중앙 작업 영역을 멤버 작업 영역에 대규모로 게시할 콘텐츠 항목 및 구성을 통합하는 환경이 되도록 구성합니다. 새 Microsoft Sentinel 작업 영역을 만들거나 기존 작업 영역을 활용하여 중앙 작업 영역으로 제공합니다.
시나리오에 따라 다음 아키텍처를 고려합니다.
- 직접 링크는 가장 덜 복잡한 설정입니다. 중앙 작업 영역이 하나만 있는 모든 멤버 작업 영역을 제어합니다.
- 공동 관리는 두 개 이상의 중앙 작업 영역이 멤버 작업 영역을 관리해야 하는 시나리오를 지원합니다. 예를 들어 사내 SOC 팀과 MSSP에서 동시에 관리되는 작업 영역입니다.
- N 계층은 중앙 작업 영역이 다른 중앙 작업 영역을 제어하는 복잡한 시나리오를 지원합니다. 예를 들면, 한 대기업이 여러 자회사를 관리하고, 각 자회사 또한 여러 작업 영역을 관리하는 경우입니다.
중앙 작업 영역에서 작업 영역 관리자 사용
작업 영역 관리자가 되어야 하는 Microsoft Sentinel 작업 영역을 결정했으면 중앙 작업 영역을 사용하도록 설정합니다.
부모 작업 영역에서 설정 블레이드로 이동하고 작업 영역 관리자 구성 설정을 켜기로 전환하여 “이 작업 영역을 부모로 설정”합니다.
사용하도록 설정하면 새 메뉴 작업 영역 관리자(미리 보기)가 구성 아래에 나타납니다.
멤버 작업 영역 온보딩
멤버 작업 영역은 작업 영역 관리자가 관리하는 작업 영역 집합입니다. 테넌트 및 여러 테넌트에서 작업 영역의 일부 또는 전부를 온보딩합니다(Azure Lighthouse를 사용하는 경우).
- 작업 영역 관리자로 이동하고 "작업 영역 추가"를 선택합니다.
- 작업 영역 관리자에 온보딩하려는 멤버 작업 영역을 선택합니다.
- 성공적으로 온보딩되면 멤버 수가 증가하고 멤버 작업 영역이 작업 영역 탭에 반영됩니다.
그룹 만들기
작업 영역 관리자 그룹을 사용하면 비즈니스 그룹, 검색 범주, 지리 등에 따라 작업 영역을 함께 구성할 수 있습니다. 그룹을 사용하여 작업 영역과 관련된 콘텐츠 항목을 페어링합니다.
팁
중앙 작업 영역에 하나 이상의 활성 콘텐츠 항목이 배포되어 있는지 확인합니다. 이렇게 하면 후속 단계에서 멤버 작업 영역에 게시할 중앙 작업 영역에서 콘텐츠 항목을 선택할 수 있습니다.
그룹을 만들려면 다음을 수행합니다.
- 작업 영역을 하나 추가하려면 추가>그룹을 선택합니다.
- 여러 작업 영역을 추가하려면 작업 영역과 추가>선택 영역의 그룹을 선택합니다.
그룹 만들기 또는 업데이트 페이지에서 그룹에 대한 이름 및 설명을 입력합니다.
작업 영역 선택 탭에서 추가를 선택하고 그룹에 추가할 멤버 작업 영역을 선택합니다.
콘텐츠 선택 탭에는 콘텐츠 항목을 추가하는 두 가지 방법이 있습니다.
- 방법 1: 추가 메뉴를 선택하고 모든 콘텐츠를 선택합니다. 현재 중앙 작업 영역에 배포된 모든 활성 콘텐츠가 추가됩니다. 이 목록은 템플릿이 아닌 활성 콘텐츠만 선택하는 특정 시점 스냅샷입니다.
- 방법 2: 추가 메뉴를 선택하고 콘텐츠를 선택합니다. 추가된 콘텐츠를 사용자 지정 선택하는 콘텐츠 선택 창이 열립니다.
검토 + 만들기를 하기 전에 필요에 따라 콘텐츠를 필터링합니다.
그룹을 만들면 그룹 수가 증가하고 해당 그룹이 그룹 탭에 반영됩니다.
그룹 정의 게시
이 시점에서 선택한 콘텐츠 항목이 멤버 작업 영역에 아직 게시되지 않았습니다.
참고 항목
최대 게시 작업이 초과된 경우 게시 작업은 실패합니다. 이 제한에 접근하는 경우 멤버 작업 영역을 추가 그룹으로 분할하는 것이 좋습니다.
그룹 >콘텐츠 게시를 선택합니다.
대량 게시하려면 원하는 그룹을 다중 선택하고 게시를 선택합니다.
마지막 게시 상태 열이 진행 중을 반영하도록 업데이트됩니다.
성공하면 마지막 게시 상태가 성공을 반영하도록 업데이트됩니다. 이제 선택한 콘텐츠 항목이 멤버 작업 영역에 있습니다.
전체 그룹에 대해 하나의 콘텐츠 항목만 게시하지 못하면 마지막 게시 상태가 실패를 반영하도록 업데이트됩니다.
문제 해결
각 게시 시도에는 콘텐츠 항목이 게시되지 않은 경우 문제를 해결하는 데 도움이 되는 링크가 있습니다.
일반적인 실패 이유는 다음과 같습니다.
- 그룹 정의에서 참조되는 콘텐츠 항목은 게시 시 더 이상 존재하지 않습니다(삭제되었음).
- 게시 시 사용 권한이 변경되었습니다. 예를 들어 사용자는 더 이상 Microsoft Sentinel Contributor가 아니거나 더 이상 멤버 작업 영역에 대한 충분한 사용 권한이 없습니다.
- 멤버 작업 영역이 삭제되었습니다.
알려진 제한 사항
- 그룹당 게시된 최대 작업은 2000개입니다. 게시된 작업 = (멤버 작업 영역) * (콘텐츠 항목).
예를 들어 그룹에 10개의 멤버 작업 영역이 있고 해당 그룹에 20개의 콘텐츠 항목을 게시하는 경우입니다.
게시된 작업 = 10 * 20 = 200. - 분석 및 자동화 규칙에 귀속되거나 연결된 플레이북은 현재 지원되지 않습니다.
- bring-your-own-storage에 저장된 통합 문서는 현재 지원되지 않습니다.
- 작업 영역 관리자는 중앙 작업 영역에서 게시된 콘텐츠 항목만 관리합니다. 멤버 작업 영역에서 로컬로 만든 콘텐츠는 관리하지 않습니다.
- 현재 작업 영역 관리자를 통해 중앙에 있는 멤버 작업 영역에 있는 콘텐츠 삭제는 지원되지 않습니다.