Microsoft Sentinel 데이터 레이크 데이터 위에 Microsoft Sentinel 통합 문서를 실행하면 SOC 팀이 데이터를 복제하거나 변환하지 않고도 KQL(Kusto 쿼리 언어)을 사용하여 레이크에서 직접 보안 데이터를 시각화하고 모니터링할 수 있습니다. 분석가는 Sentinel 데이터 레이크를 통합 문서의 데이터 원본으로 선택하여 조사 및 헌팅에 사용되는 것과 동일한 분석 쿼리를 실행할 수 있습니다. 운영 모니터링 및 보고를 위한 대화형 차트 및 테이블로 렌더링할 수 있습니다. Sentinel 데이터 레이크를 통합 문서 데이터 원본으로 사용하면 쿼리 간에 일관된 분석을 가능하게 하고, 더 긴 데이터 보존을 지원하며, 대용량 기록 데이터로 스케일링할 수 있습니다. 이렇게 하면 통합 문서가 고급 위협 헌팅, 추세 분석 및 임원 대시보드에 이상적입니다.
이 문서에서는 Microsoft Sentinel 데이터 레이크를 데이터 원본으로 사용하기 위한 통합 문서를 만드는 과정을 안내합니다. Sentinel 통합 문서를 사용하는 방법에 대한 자세한 내용은 Microsoft Sentinel 통합 문서를 사용하여 데이터 시각화 및 모니터링을 참조하세요.
통합 문서의 데이터 원본으로 Sentinel 데이터 레이크를 사용하는 경우 통합 문서 시각화가 자동으로 새로 고침되고 반복적으로 실행되도록 쿼리 성능의 중요성을 염두에 두어야 합니다. 레이크에서 과도한 기록 데이터를 검사하지 않도록 적절한 시간 필터, 요약 및 프로젝션을 사용하여 쿼리 범위를 지정해야 합니다. 적절하게 범위가 지정된 쿼리는 분석을 위해 장기 대용량 데이터를 계속 사용하는 동안 대시보드의 응답성을 유지합니다.
Microsoft Sentinel data lake를 데이터 원본으로 사용하여 통합 문서 만들기
Defender 포털에서 Microsoft Sentinel>관리>통합 문서로 이동합니다.
오른쪽 위 모서리에서 큐브 아이콘을 선택하여 통합 문서를 저장할 작업 영역을 선택합니다.
통합 문서 추가를 선택합니다.
기본 쿼리와 파 차트 시각적 개체를 사용하여 새 통합 문서가 열립니다.
편집을 선택합니다.
차트에서 추가를 선택한 다음, 데이터 원본 및 시각화 추가를 선택합니다.
데이터 원본으로 Sentinel 데이터 레이크를 선택합니다.
데이터 레이크에서 SignInLogs 테이블이 포함된 작업 영역을 선택합니다.
다음 KQL을 쿼리 편집기에 붙여넣습니다.
AWSCloudTrail | where isnotempty(ErrorCode) | summarize FailedEvents = count() by bin(TimeGenerated, 1h), SourceIpAddress, UserIdentityPrincipalid | where FailedEvents > 3 | summarize FailedEvents = sum(FailedEvents) by UserIdentityPrincipalid | top 10 by FailedEvents시각화에서 가로 막대형 차트를 선택합니다.
쿼리 실행을 선택하여 결과를 시각화합니다.
편집 완료를 선택하여 편집 모드를 종료하고 시각적 개체를 봅니다.
이 시각적 개체는 AWSCloudTrail 로그에서 가장 많은 실패한 API 호출을 생성하는 상위 10개의 AWS 주체 ID를 보여 줍니다. 실패한 이벤트는 반복된 오류로 ID를 강조 표시하기 위해 집계 및 필터링됩니다. 이 차트는 분석가가 잠재적으로 의심스럽거나 잘못 구성된 ID를 신속하게 식별하여 비정상적인 오류 패턴을 생성하는 데 도움이 됩니다.
참고
쿼리별로 설정된시각화 유형은 지원되지 않습니다.
와 같은
> ago(10d)상대 시간 범위는 최대 90일까지 지원됩니다. 절대 시간 범위는 데이터 보존 정책에 따라 지원됩니다.통합 문서 페이지에서 편집 완료를 선택합니다.
저장을 선택하여 통합 문서를 라이브러리에 저장하고 통합 문서에 이름과 위치를 지정합니다.
통합 문서 목록에서 저장된 통합 문서를 보고 이를 선택하여 만든 시각화를 볼 수 있습니다. 언제든지 통합 문서를 편집하여 쿼리 또는 시각적 개체를 업데이트할 수도 있습니다.
