연습 - Microsoft Sentinel Analytics를 사용하여 위협 탐지

  • 20분

이 모듈의 Microsoft Sentinel Analytics를 사용한 위협 탐지 연습은 선택적 단원입니다. 하지만 연습을 수행하려면 Azure 리소스를 만들 수 있는 Azure 구독에 대한 액세스 권한이 필요합니다. Azure 구독이 아직 없는 경우 시작하기 전에 체험 계정을 만듭니다.

연습의 필수 구성 요소를 배포하려면 다음 작업을 수행하세요.

참고

이 모듈의 연습을 수행하기로 하는 경우 Azure 구독에서 비용이 발생할 수 있습니다. 비용을 예상하려면 Microsoft Sentinel 가격을 참조하세요.

작업 1: ARM 템플릿을 사용하여 Microsoft Sentinel 배포

  1. 다음 링크를 선택합니다.

    Azure에 배포합니다.

    Azure에 로그인하라는 메시지가 표시됩니다. 사용자 지정 배포 창이 나타납니다.

  2. 기본 탭에서 각 설정에 다음 값을 입력합니다.

    설정
    프로젝트 세부 정보
    구독 Azure 구독을 선택합니다.
    Resource group 새로 만들기를 선택하고 새 리소스 그룹의 이름을 azure-sentinel-rg와 같이 입력합니다.
    인스턴스 세부 정보
    지역 드롭다운 목록에서 Microsoft Sentinel을 배포할 위치를 선택합니다.
    작업 영역 이름 <yourName>-sentinel 같은 Microsoft Sentinel 작업 영역의 고유한 이름을 제공합니다. 여기서 <yourName>은 이전 작업에서 선택한 작업 영역 이름을 나타냅니다.
    위치 [resourceGroup().location] 기본값을 사용합니다.
    Simplevm 이름 simple-vm 기본값을 사용합니다.
    Simplevm Windows OS 버전 2016-Datacenter 기본값을 사용합니다.

  3. 검토 + 만들기를 선택합니다. 유효성 검사를 통과하면 만들기를 선택합니다.

    사용자 지정 배포 페이지의 스크린샷.

    참고

    배포가 완료될 때가지 기다립니다. 배포에 걸리는 시간은 5분 미만입니다.

작업 2: 생성된 리소스 확인

  1. Azure Portal에서 리소스 그룹을 검색합니다.

  2. azure-sentinel-rg를 선택합니다.

  3. 종류를 기준으로 리소스 목록을 정렬합니다.

    리소스 그룹에는 다음 표에 나열된 리소스가 포함되어야 합니다.

    속성 형식 Description
    <yourName>-sentinel Log Analytics 작업 영역 Microsoft Sentinel에서 사용하는 Log Analytics 작업 영역입니다. 여기서 <yourName>은 이전 작업에서 선택한 작업 영역 이름을 나타냅니다.
    simple-vmNetworkInterface 네트워크 인터페이스 VM의 네트워크 인터페이스입니다.
    SecurityInsights(<yourName>-sentinel) 해결 방법 Microsoft Sentinel에 대한 보안 인사이트입니다.
    simple-vm 가상 머신 데모에서 사용되는 VM(가상 머신)입니다.
    st1<xxxxx> 스토리지 계정 VM에서 사용하는 스토리지 계정입니다. 여기서 <xxxxx>는 고유한 스토리지 계정 이름을 만들기 위해 생성된 임의의 문자열을 나타냅니다.
    vnet1 가상 네트워크 VM의 가상 네트워크입니다.

참고

이 연습에서 배포된 리소스와 완료된 구성 단계는 다음 연습에서 필요합니다. 다음 연습을 완료하려는 경우 이 연습의 리소스를 삭제하지 마세요.

작업 3: Microsoft Sentinel 데이터 커넥터 구성

이 작업에서는 Microsoft Sentinel 데이터 커넥터를 배포하여 Azure 활동을 감지합니다.

  1. Azure Portal에서 을 선택한 다음, Microsoft Sentinel을 검색하고 선택합니다.

  2. Sentinel 작업 영역 이름 목록에서 작업 2에서 만든 Microsoft Sentinel 작업 영역을 선택합니다. Sentinel 작업 영역의 개요 창이 나타납니다.

  3. 메뉴 창의 콘텐츠 관리 아래에서 콘텐츠 허브를 선택합니다. 콘텐츠 허브 창이 나타납니다.

  4. 검색 창에서 Azure 활동 솔루션을 검색하고 선택합니다. Azure 활동 세부 정보 창에서 설치를 선택합니다.

  5. 설치가 완료되기를 기다린 후 관리를 선택합니다.

  6. 검색 창에서 Azure 활동 데이터 커넥터를 검색하고 선택합니다.

  7. Azure 활동 세부 정보 창에서 커넥터 페이지 열기를 선택합니다.

  8. 지침 탭의 구성 영역에서 아래로 스크롤하고 "2. 구독 연결...”에서 Azure Policy 할당 마법사 시작>을 선택합니다.

  9. 기본 탭에서 범위 아래의 줄임표 버튼(...)을 선택하고 드롭다운 목록에서 "Azure 구독"을 선택한 다음 선택을 선택합니다.

  10. 매개 변수 탭을 선택하고 기본 Log Analytics 작업 영역 드롭다운 목록에서 yourName-sentinel 작업 영역을 선택합니다.

  11. 수정 탭에서 수정 작업 만들기 확인란을 선택합니다. 이 작업은 구독 구성을 적용하여 Log Analytics 작업 영역으로 정보를 보냅니다.

    참고

    기존 리소스에 정책을 적용하려면 수정 작업을 만들어야 합니다.

  12. 검토 + 만들기 단추를 선택하여 구성을 검토합니다.

  13. 만들기를 선택하여 완료합니다.

  14. 배포가 완료되면 구성/데이터 커넥터 창의 Azure 활동 커넥터에 연결됨 상태(녹색 막대)가 표시됩니다.

Microsoft Sentinel 커넥터의 스크린샷

참고

Azure 활동용 커넥터가 Microsoft Sentinel에서 연결됨을 표시하는 데 15분 정도 걸릴 수 있습니다. 그동안 이 모듈의 나머지 단계와 다른 단원을 계속할 수 있습니다.