데이터 모니터링 및 시각화

  • 5분

Microsoft Sentinel 로그를 통해 보안 커넥터에서 수집된 다양한 로그에 액세스할 수 있습니다. Microsoft Sentinel은 통합된 커넥터에서 관련 로그를 수집하고 Azure Log Analytics 작업 영역에 저장합니다.

Log Analytics 작업 영역

Log Analytics 작업 영역은 데이터 및 구성 정보를 저장하는 리포지토리입니다. 분석 규칙을 만들고 위협을 탐지하는 데 사용할 수 있는 중요한 정보를 필터링하는 쿼리를 만들 수 있습니다. 예를 들어 Microsoft Sentinel 로그를 사용하여 여러 원본에서 데이터를 검색하고, 대량 데이터 세트를 집계하고, 잠재적인 보안 위협 및 취약성을 찾는 복잡한 작업을 수행할 수 있습니다.

Microsoft Sentinel 로그 페이지 살펴보기

Microsoft Sentinel 로그 페이지에서 특정 로그를 검색할 수 있습니다. Microsoft Sentinel의 탐색 창에서 로그를 선택하여 페이지를 봅니다.

로그 페이지는 다음과 같은 주요 부분으로 구성됩니다.

  • 페이지 머리글에는 쿼리, 설정 및 도움말 섹션에 대한 링크가 포함됩니다.
  • 테이블 창에는 로그에서 수집된 데이터가 각각 여러 열로 구성된 테이블에 표시됩니다.
  • 쿼리 창에서 고유한 쿼리 식을 작성합니다.
  • 쿼리 결과 창에는 쿼리 결과가 표시됩니다.

Screenshot of the default Logs page that shows four elements: the Header bar, the Tables pane, the Queries pane, and the Query results/history pane.

쿼리

페이지 머리글에서 쿼리 링크를 선택하면 새 창이 열리며 여기에서 미리 정의된 일부 샘플 쿼리 중에서 선택할 수 있습니다. 쿼리 드롭다운 메뉴에서 다음을 기준으로 관련 쿼리를 필터링할 수 있습니다.

  • 범주
  • 쿼리 유형
  • 리소스 종류
  • 솔루션
  • 항목

실행을 선택하여 미리 정의된 쿼리를 시작합니다. 이렇게 하면 쿼리 창으로 리디렉션됩니다. 쿼리 구조 및 결과를 확인할 수 있습니다. 권한이 없는 사용자에 대한 Contoso의 우려를 해결하기 위해 미리 정의된 쿼리인 권한이 없는 사용자를 실행합니다.

Screenshot that presents unauthorized users.

쿼리 탐색기

쿼리 탐색기를 사용하여 이전에 저장된 쿼리에 액세스합니다. 기본적으로 데이터를 필터링하는 데 사용할 수 있는 가장 일반적인 쿼리를 필터링하는 일부 솔루션 쿼리에도 액세스할 수 있습니다. 솔루션 쿼리 목록에서 별모양 기호를 선택하여 즐겨찾기 섹션에서 쿼리를 실행하거나 쿼리를 구성할 수 있습니다.

테이블 창

테이블 창은 여러 솔루션의 로그를 테이블로 그룹화합니다. 솔루션 그룹을 확장하고 수집되는 모든 로그를 관찰할 수 있습니다. 테이블 창에서 로그 중 하나를 선택할 수도 있습니다. 데이터를 미리 보거나 해당 로그를 즐겨찾기 섹션에 추가할 수 있습니다.

다음 스크린샷은 Microsoft Sentinel 솔루션에서 수집된 로그를 보여 줍니다.

Screenshot displaying the Tables view.

쿼리 창

쿼리 창을 사용하여 사용자가 제공하는 식을 기반으로 데이터를 검색하는 쿼리를 만듭니다. 쿼리 창은 제안 사항을 제공하고 쿼리의 필요한 요소를 자동으로 채워 정확한 쿼리를 작성하는 데 도움이 됩니다.

KQL(Kusto Query Language)의 기능을 활용하여 로그에서 데이터를 검색하는 쿼리를 작성합니다. 다음 예제에서는 쿼리에서 KQL 코드를 사용하여 삭제된 가상 머신을 식별하는 방법을 보여 줍니다.

AzureActivity
| where OperationName == 'Delete Virtual Machine'
| where ActivityStatus == 'Accepted'
| extend AccountCustomEntity = Caller
| extend IPCustomEntity = CallerIpAddress

머리글 도구 모음

머리글 도구 모음은 다음 스크린샷에 표시된 대로 추가적인 쿼리 상호 작용을 제공합니다.

Screenshot of the header toolbar, with options described in the text following the image.

  • 저장을 선택하여 쿼리 창에서 쿼리를 저장합니다. 이렇게 하면 저장된 쿼리 및 범주의 이름을 입력하라는 메시지가 표시된 새 창이 열립니다. 저장된 쿼리는 쿼리 탐색기에 나타납니다.

  • 시간 범위 필드에서 쿼리 결과를 표시하려는 시간 범위를 변경할 다른 시간을 제공할 수 있습니다.

  • 쿼리 링크를 만들고 쿼리 링크 복사를 선택하여 다른 팀 멤버와 공유합니다. 쿼리 텍스트를 복사할 수도 있습니다.

  • 쿼리 창의 머리글 도구 모음에서 새 Azure Monitor 경고 또는 새 Microsoft Sentinel 경고를 만들 수 있습니다. 새 Microsoft Sentinel 경고를 만들도록 선택하면 분석 규칙을 만들기 위한 다음 단계로 이동합니다.

  • 다음 형식 중 하나로 쿼리를 내보냅니다.

    • CSV로 내보내기. 시각적 열과 숨겨진 열을 포함한 모든 열을 Microsoft Excel로 열 수 있는 CSV로 내보냅니다.
    • CSV로 내보내기 - 표시된 열. 쿼리의 결과 창에 표시되는 열만 내보냅니다.
    • Power BI(M Query)로 내보내기. Microsoft Power BI 애플리케이션을 사용하여 열 수 있는 PowerBIQuery.txt 파일을 만들고 다운로드합니다.

    쿼리 결과를 프라이빗 또는 공유 대시보드에 고정하여 쿼리 결과를 빠르게 검토할 수 있습니다.

  • 머리글 도구 모음에서 쿼리 서식 지정을 사용하여 쿼리를 보다 읽기 쉽게 설정할 수 있습니다.

참고

쿼리 식이 쿼리 결과 섹션에서 데이터를 생성하는 경우에만 쿼리를 내보내거나 고정할 수 있습니다.

쿼리 결과

결과 아래에서 쿼리 결과를 확인할 수 있습니다. 차트를 사용하여 결과를 제공하거나, 추가 열을 숨기고 표시하여 쿼리 결과를 필터링할 수도 있습니다.

지식 점검

1.

관리자가 이전에 저장된 쿼리를 열려고 합니다. Microsoft Sentinel에서 로그 페이지를 연 후 다음 중 관리자가 선택해야 하는 옵션은 무엇인가요?

2.

관리자가 생성된 쿼리에서 분석 규칙을 만들려고 합니다. 관리자가 쿼리 창에서 선택해야 하는 옵션은 무엇인가요?