Microsoft Sentinel의 위협 감지 및 완화 기능 설명
조직의 네트워크 보안 경계를 효과적으로 관리하려면 도구와 시스템을 올바르게 조합해야 합니다. Microsoft Sentinel은 엔터프라이즈 전체에 인텔리전트 보안 분석 및 위협 인텔리전스를 제공하는 스케일링 가능한 클라우드 네이티브 SIEM/SOAR 솔루션입니다. 사이버 위협 탐지, 조사, 대응 및 사전 예방적 헌팅을 위한 단일 솔루션을 기업 전체의 조감도와 함께 제공합니다.
Microsoft Sentinel의 엔드투엔드 기능을 보여 주는 다이어그램
- 온-프레미스와 여러 클라우드의 모든 사용자, 디바이스, 애플리케이션 및 인프라에서 클라우드 규모로 데이터를 수집합니다.
- 분석 및 탁월한 위협 인텔리전스를 사용하여 이전에 발견한 위협을 탐지하고 가양성을 최소화합니다.
- Microsoft의 수십년 간의 사이버 보안 성과물을 활용하여 AI(인공 지능)를 통해 위협을 조사하고 대규모로 의심스러운 활동을 헌팅합니다.
- 일반 보안 작업의 기본 제공 오케스트레이션 및 자동화로 빠르게 인시던트에 대응합니다.
Microsoft Sentinel은 최신 SOC(보안 운영 센터)에서 엔드투엔드 보안 작업을 사용하도록 지원합니다.
대규모로 데이터 수집
온-프레미스 및 여러 클라우드 모두에서 모든 사용자, 디바이스, 애플리케이션 및 인프라에 걸쳐 데이터를 수집합니다. 다음은 데이터 수집을 위한 Microsoft Sentinel의 주요 기능입니다.
기본 데이터 커넥터 - 많은 커넥터가 Microsoft Sentinel용 SIEM 솔루션으로 패키지되고 실시간 통합을 제공합니다. 이러한 커넥터에는 Microsoft Entra ID, Azure Activity, Azure Storage 등과 같은 Microsoft 원본과 Azure 원본이 포함됩니다.
Microsoft 이외의 솔루션에 대한 광범위한 보안 및 애플리케이션 에코시스템을 위해 기본 제공 가능한 커넥터도 사용할 수 있습니다. 일반적인 이벤트 형식, Syslog 또는 REST API를 사용하여 Microsoft Sentinel에 데이터 원본을 연결할 수도 있습니다.
사용자 지정 커넥터 - Microsoft Sentinel은 전용 커넥터 없이 일부 원본에서 데이터를 수집할 수 있도록 지원합니다. 기존 솔루션을 사용하여 Microsoft Sentinel에 데이터 원본을 연결할 수 없는 경우 사용자 고유의 데이터 원본 커넥터를 만들 수 있습니다.
데이터 정규화 - Microsoft Sentinel은 여러 원본에서 데이터를 수집합니다. 조사 및 헌팅 중에 다양한 유형의 데이터로 작업하고 상관 관계를 지정하는 것은 어려울 수 있습니다. Microsoft Sentinel은 이러한 다양한 원본과 사용자 사이에 있는 ASIM(Advanced Security Information Model)을 지원하여 균일하고 정규화된 보기를 편리하게 사용할 수 있도록 합니다.
위협 감지
Microsoft 분석 및 업계 최고의 위협 인텔리전스를 사용하여 이전에 미검사된 위협을 탐지하고 가양성을 최소화합니다. 다음은 위협 감지를 위한 Microsoft Sentinel의 주요 기능입니다.
분석 - Microsoft Sentinel은 분석을 사용하여 경고를 인시던트로 그룹화합니다. 기본 제공 가능한 분석 규칙을 있는 그대로 사용하거나 고유의 규칙을 빌드하기 위한 시작점으로 사용합니다. Microsoft Sentinel은 또한 네트워크 동작을 매핑한 다음 리소스 전체에서 변칙 현상을 찾는 규칙을 제공합니다.
MITRE ATT&CK 적용 범위 - Microsoft Sentinel은 수집된 데이터를 분석하여 위협을 감지하고 조사하는 데 도움을 줄 뿐만 아니라 악의적인 전술 및 기술의 글로벌 데이터베이스인 MITRE ATT&CK® 프레임워크의 전술과 기술을 기준으로 조직의 보안 상태의 특성과 범위를 시각화합니다.
위협 인텔리전스 - Microsoft Sentinel에 수많은 위협 인텔리전스 원본을 통합하여 사용자 환경에서 악의적인 활동을 감지하고 정보에 입각한 대응 결정을 위해 보안 조사자에게 컨텍스트를 제공할 수 있습니다.
관심 목록 - 사용자가 제공하는 데이터 원본의 데이터인 관심 목록과 Microsoft Sentinel 환경의 이벤트 간 상관 관계를 파악할 수 있습니다. 예를 들어 사용자 환경의 높은 가치 자산, 퇴사 직원 또는 서비스 계정 목록을 사용하여 관심 목록을 만들 수 있습니다. 검색, 검색 규칙, 위협 헌팅, 대응 플레이북에서 관심 목록을 사용합니다.
통합 문서 - 통합 문서를 사용하여 대화형 시각적 보고서를 만들 수 있습니다. Microsoft Sentinel에 데이터 원본을 연결한 후에는 Azure Monitor Workbooks와 Microsoft Sentinel 통합을 사용하여 데이터를 모니터링할 수 있습니다. Microsoft Sentinel에는 데이터 전체에서 신속하게 인사이트를 얻을 수 있는 기본 제공 통합 문서 템플릿이 함께 제공됩니다. 자체 사용자 지정 통합 문서를 만들 수도 있습니다.
위협 조사
Microsoft의 수년 간의 사이버 보안 성과물을 활용하여 인공 지능을 통해 위협을 조사하고 대규모로 의심스러운 활동을 헌팅합니다. 다음은 위협 조사를 위한 Microsoft Sentinel의 주요 기능입니다.
인시던트 - 인시던트는 특정 조사에 대한 모든 관련 증거를 집계하는 사례 파일입니다. 각 인시던트는 분석 규칙에서 생성되거나 자체 경고를 생성하는 타사 보안 제품에서 가져온 증거(경고)를 기반으로 하여 만들어지거나 추가됩니다. 인시던트 세부 정보 페이지는 잠재적 보안 위협의 범위를 이해하고 근본 원인을 찾는 데 도움이 되는 정보 및 조사 도구를 제공합니다.
헌팅 - MITRE 프레임워크를 기준으로 하는 Microsoft Sentinel의 강력한 헌팅 검색 및 쿼리 도구를 사용하여 경고가 트리거되기 전에 조직의 데이터 원본에 대한 보안 위협을 미리 헌팅할 수 있습니다. 가능한 공격에 대한 수준 높은 인사이트를 제공하는 헌팅 쿼리를 검색한 후에는 쿼리를 기준으로 사용자 지정 검색 규칙을 만들고, 해당 인사이트를 보안 인시던트 응답자에게 경고로 제공할 수도 있습니다.
Notebook - Microsoft Sentinel은 Azure Machine Learning 작업 영역에서 Jupyter Notebook을 지원합니다. Jupyter Notebook은 사용자가 라이브 코드, 수식, 시각화 및 내레이션 텍스트를 포함하는 문서를 만들고 공유할 수 있는 오픈 소스 웹 애플리케이션입니다.
Microsoft Sentinel에서 Notebook을 통해 Microsoft Sentinel 데이터를 사용하여 수행할 수 있는 작업의 범위를 확장합니다. 예시:
- 일부 Python 기계 학습 기능과 같이 Microsoft Sentinel에 기본 제공되지 않는 분석을 수행합니다.
- 사용자 지정 타임라인 및 프로세스 트리와 같이 Microsoft Sentinel에 기본 제공되지 않는 데이터 시각화를 만듭니다.
- Microsoft Sentinel 외부의 데이터 원본(예: 온-프레미스 데이터 세트)을 통합합니다.
신속하게 인시던트에 대응
Microsoft Sentinel을 사용하여 Azure 서비스 및 기존 도구와 통합되는 플레이북을 통해 일반적인 작업을 자동화하고 보안 오케스트레이션을 간소화하여 인시던트에 더 빠르게 대응할 수 있습니다.
다음은 위협 대응을 위한 Microsoft Sentinel의 주요 기능입니다.
Automation 규칙 - 다양한 시나리오를 다루는 작은 규칙 집합을 정의하고 조정하여 Microsoft Sentinel에서 인시던트 처리 자동화를 중앙에서 관리합니다.
플레이북 - 수정 작업의 컬렉션인 플레이북을 사용하여 위협 대응을 자동화하고 오케스트레이션합니다. 자동화 규칙에 의해 트리거될 때 특정 경고나 인시던트에 대한 대응으로 주문형으로 플레이북을 실행하거나 자동으로 실행합니다.
Microsoft Sentinel의 플레이북은 Azure Logic Apps에 빌드된 워크플로를 기반으로 합니다. 예를 들어 ServiceNow 티켓팅 시스템을 사용하는 경우 Azure Logic Apps를 사용하여 워크플로를 자동화하고 특정 경고나 인시던트가 생성될 때마다 ServiceNow에서 티켓을 엽니다.
기본 제공 가능한 보안 콘텐츠 사용
Microsoft Sentinel 콘텐츠는 고객이 데이터를 수집하고, 모니터링하고, 경고하고, 헌팅하고, 조사하고, 응답하고, 다양한 제품, 플랫폼 및 서비스와 연결할 수 있도록 하는 SIEM(보안 정보 및 이벤트 관리) 솔루션 구성 요소를 나타냅니다. Microsoft Sentinel의 콘텐츠에는 데이터 커넥터, 통합 문서, 분석 규칙, 헌팅 쿼리, Notebook, 관심 목록 및 플레이북과 같은 콘텐츠 형식이 포함될 수 있습니다.
Microsoft Sentinel은 이러한 콘텐츠 형식을 솔루션 및 독립형 항목으로 제공합니다. 솔루션은 Microsoft Sentinel 콘텐츠 또는 Microsoft Sentinel API 통합 패키지로, Microsoft Sentinel에서 엔드투엔드 제품, 도메인 또는 수직 시장 시나리오를 충족합니다. 솔루션과 독립 실행형 항목 모두 콘텐츠 허브에서 검색 및 관리할 수 있습니다.
Microsoft Sentinel 콘텐츠 허브는 기본 제공 패키지 솔루션을 검색하고 관리할 수 있는 중앙 집중화된 위치입니다. Microsoft Sentinel 솔루션은 단일 단계로 배포 및 사용 가능한 Microsoft Sentinel 콘텐츠 또는 Microsoft Sentinel API 통합 패키지입니다. Microsoft Sentinel의 엔드투엔드 제품, 도메인 또는 산업 수직 시나리오를 충족하는 콘텐츠 허브 솔루션입니다. 기본 제공 도메인별 예로는 데이터 커넥터, 통합 문서, 분석 규칙, 헌팅 쿼리 및 플레이북이 포함된 Microsoft Purview 내부 위험 관리가 있습니다.
Microsoft Defender 포털의 Microsoft Sentinel
Microsoft Sentinel은 Azure Portal을 통해 사용하도록 설정된 보안 서비스입니다. Microsoft Sentinel 서비스를 사용하도록 설정하면 Azure Portal을 통해 또는 Microsoft Defender 포털의 Microsoft 통합 보안 운영 플랫폼 내에서 액세스할 수 있습니다.
Microsoft Defender 포털의 Microsoft 통합 Security 운영 플랫폼은 Microsoft Defender에서 Microsoft Sentinel, Microsoft Defender XDR 및 Microsoft Copilot의 전체 기능을 결합합니다.
Microsoft Sentinel을 Defender 포털에 온보딩하면 인시던트 관리 및 고급 헌팅과 같은 Microsoft Defender XDR에 기능이 통합됩니다. 도구 전환을 줄이고, 인시던트 대응을 신속하게 수행하고 위반을 더 빠르게 중지하는 보다 컨텍스트 중심적인 조사를 빌드합니다.
Microsoft Defender 포털의 Microsoft Sentinel 환경 및 온보딩 방법에 대한 자세한 내용은 이 모듈의 요약 및 리소스 섹션에서 확인할 수 있습니다.