연습 - Microsoft Sentinel 통합 문서를 사용하여 데이터 쿼리 및 시각화
이 데이터 쿼리 및 시각화 연습은 선택적 단원입니다. 이 연습을 수행하려면 Azure 리소스를 만들 수 있는 Azure 구독에 대한 액세스 권한이 필요합니다. Azure 구독이 아직 없는 경우 시작하기 전에 체험 계정을 만듭니다.
참고
이 모듈의 연습을 수행하기로 하는 경우 Azure 구독에서 비용이 발생할 수 있습니다. 비용을 예상하려면 Microsoft Sentinel 가격을 참조하세요.
연습의 필수 구성 요소를 배포하려면 다음 작업을 수행하세요.
작업 1: 리소스 만들기
다음 링크를 선택합니다.
Azure에 로그인하라는 메시지가 표시됩니다.
사용자 지정 배포 페이지에서 다음 정보를 제공합니다.
Name Description 구독 Azure 구독을 선택합니다. Resource group 새로 만들기를 선택하고 azure-sentinel-rg와 같은 리소스 그룹 이름을 제공합니다. 지역 드롭다운 메뉴에서 Microsoft Sentinel을 배포할 위치를 선택합니다. 작업 영역 이름 Microsoft Sentinel 작업 영역에 고유한 이름을 제공합니다(예: <yourName>-sentinel). 위치 [resourceGroup().location] 기본값을 사용합니다. Simplevm 이름 simple-vm 기본값을 사용합니다. Simplevm Windows OS 버전 2016-Datacenter 기본값을 사용합니다. 검토 및 만들기를 선택한 후 만들기를 선택합니다.
참고
배포가 완료될 때가지 기다립니다. 배포에 걸리는 시간은 5분 미만입니다.
작업 2: 생성된 리소스 확인
Azure Portal에서 리소스 그룹을 검색합니다.
azure-sentinel-rg를 선택합니다.
종류를 기준으로 리소스 목록을 정렬합니다.
리소스 그룹에는 다음 표에 나열된 리소스가 포함되어야 합니다.
속성 형식 Description <yourName>-sentinel Log Analytics 작업 영역 Microsoft Sentinel에서 사용하는 Log Analytics 작업 영역입니다(이전 작업에서 선택한 작업 영역 이름을 사용). simple-vmNetworkInterface 네트워크 인터페이스 VM(가상 머신)용 네트워크 인터페이스입니다. SecurityInsights(<yourName>-sentinel) 해결 방법 Microsoft Sentinel에 대한 보안 인사이트입니다. st1xxxxx 스토리지 계정 VM에서 사용하는 스토리지 계정입니다. 임의의 문자열 xxxxx는 고유한 스토리지 계정 이름을 만듭니다. simple-vm 가상 머신 데모에서 사용되는 가상 머신입니다. vnet1 가상 네트워크 VM의 가상 네트워크입니다.
참고
이 연습의 리소스 및 구성은 다음 연습에서 필요합니다. 다음 연습을 완료하려는 경우 이러한 리소스를 삭제하지 마세요.
작업 3: Microsoft Sentinel 커넥터 구성
이 작업에서는 Azure 활동에 Microsoft Sentinel 커넥터를 배포합니다.
Azure Portal에서 Microsoft Sentinel을 검색하여 선택합니다. 이전 작업에서 만든 Microsoft Sentinel 작업 영역을 선택합니다.
Microsoft Sentinel 페이지의 메뉴 모음에 있는 구성 아래에서 데이터 커넥터를 선택합니다.
데이터 커넥터 창에서 Azure 활동을 검색하고 선택합니다.
세부 정보 창에서 커넥터 페이지 열기를 선택합니다.
Azure 활동 화면의 지침에서 필수 구성 요소를 확인한 다음 구성 단계를 따릅니다.
연결됨 상태가 표시되면 열려 있는 모든 패널을 닫고 Microsoft Sentinel | 데이터 커넥터 패널로 돌아갑니다.
참고
Azure 활동용 커넥터를 배포하는 데 15분 정도 걸릴 수 있습니다. 연습의 나머지 단계와 이 모듈의 후속 단원을 진행할 수 있습니다.