Microsoft Sentinel 작업 영역 계획
Microsoft Sentinel을 배포하기 전에 작업 영역 옵션을 이해하는 것이 중요합니다. Microsoft Sentinel 솔루션은 Log Analytics 작업 영역에 설치되며 대부분의 구현 고려 사항은 Log Analytics 작업 영역 생성에 중점을 두었습니다. 새 Log Analytics 작업 영역을 만들 때 가장 중요한 한 가지 옵션은 지역입니다. 지역은 로그 데이터를 저장할 위치를 지정합니다.
세 가지 구현 옵션은 다음과 같습니다.
단일 Microsoft Sentinel 작업 영역을 사용한 단일 테넌트
지역 Microsoft Sentinel 작업 영역을 사용하는 단일 테넌트
다중 테넌트
단일 테넌트 단일 작업 영역
단일 Microsoft Sentinel 작업 영역을 포함하는 단일 테넌트는 동일한 테넌트 내의 모든 리소스의 로그를 위한 중앙 리포지토리입니다.
이 작업 영역은 동일한 테넌트 내의 다른 지역에 있는 리소스에서 로그를 수신합니다. 로그 데이터(수집된 경우)는 지역 간에 이동하여 다른 지역에 저장되므로 두 가지 문제가 발생할 수 있습니다. 첫 번째로 대역폭 비용이 발생할 수 있습니다. 두 번째로 특정 지역에 데이터를 유지해야 하는 데이터 거버넌스 요구 사항이 있는 경우 단일 작업 영역 옵션은 구현 옵션이 될 수 없습니다.
단일 작업 영역을 사용한 단일 테넌트의 장단점에는 다음이 포함됩니다.
| 장점 | 단점 |
|---|---|
| 중앙 단일 창 | 데이터 거버넌스 요구 사항을 충족하지 못할 수 있음 |
| 모든 보안 로그 및 정보를 통합 | 지역 간 대역폭 비용이 발생할 수 있음 |
| 모든 정보를 더 간편하게 쿼리할 수 있음 | |
| 데이터 액세스를 제어하기 위한 Azure Log Analytics RBAC | |
| 서비스 RBAC에 대한 Microsoft Sentinel RBAC |
지역 Microsoft Sentinel 작업 영역을 사용하는 단일 테넌트
지역 Microsoft Sentinel 작업 영역을 사용하는 단일 테넌트에는 여러 Microsoft Sentinel 및 Log Analytics 작업 영역을 만들고 구성해야 하는 여러 Sentinel 작업 영역이 있습니다.
| 장점 | 단점 |
|---|---|
| 지역 간 대역폭 비용이 없습니다. | 중앙 단일 창이 없습니다. 한곳에서 모든 데이터를 볼 수 없습니다. |
| 데이터 거버넌스 요구 사항을 충족하기 위해 필요할 수 있습니다. | 분석, 통합 문서 등을 여러 번 배포해야 합니다. |
| 세부적인 데이터 액세스 제어 | |
| 세부적인 데이터 보존 설정 | |
| 분할 청구 |
작업 영역에서 데이터를 쿼리하려면 테이블 이름 앞에 workspace() 함수를 사용합니다.
TableName
| union workspace("WorkspaceName").TableName
다중 테넌트 작업 영역
테넌트가 아닌 Microsoft Sentinel 작업 영역을 관리해야 하는 경우 Azure Lighthouse를 사용하여 다중 테넌트 작업 영역을 구현합니다. 해당 보안 구성은 테넌트에 대한 액세스 권한을 부여합니다. 테넌트 내에 있는 테넌트 구성(지역 또는 다중 지역)은 이전과 동일하게 고려됩니다.
클라우드용 Microsoft Defender와 동일한 로그 분석 작업 영역 사용
Microsoft Sentinel과 클라우드용 Microsoft Defender에 동일한 작업 영역을 사용하여 클라우드용 Microsoft Defender가 수집한 모든 로그를 Microsoft Sentinel에서도 수집 및 사용할 수 있도록 합니다. 클라우드용 Microsoft Defender에서 만든 기본 작업 영역은 Microsoft Sentinel에 사용 가능한 작업 영역으로 표시되지 않습니다.