Defender 포털을 사용하면 Microsoft Sentinel 위해 하나의 기본 작업 영역과 여러 보조 작업 영역에 연결할 수 있습니다. 이 문서의 컨텍스트에서 작업 영역은 Microsoft Sentinel 사용하도록 설정된 Log Analytics 작업 영역입니다.
이 문서는 주로 통합 보안 작업에 대한 Microsoft Defender XDR 함께 Defender 포털에 Microsoft Sentinel 온보딩하는 시나리오에 적용됩니다. Microsoft Defender XDR 않고 Defender 포털에서 Microsoft Sentinel 사용하려는 경우에도 여러 작업 영역을 관리할 수 있습니다. 그러나 Defender XDR 없으므로 기본 작업 영역에는 Defender XDR 데이터가 없으며 Defender XDR 기능에 액세스할 수 없습니다.
기본 및 보조 작업 영역
Defender 포털에 Microsoft Sentinel 온보딩할 때 기본 작업 영역을 선택합니다. Defender 포털에 온보딩하는 다른 모든 작업 영역은 보조 작업 영역으로 간주됩니다. Defender 포털은 Microsoft Sentinel 테넌트당 하나의 기본 작업 영역과 무제한의 보조 작업 영역을 지원합니다.
또한 Microsoft Defender XDR 경우 주 작업 영역의 경고는 Defender XDR 데이터와 상관 관계가 있으며 인시던트에는 주 작업 영역과 통합 큐의 Defender XDR 경고가 포함됩니다. 기본 작업 영역을 선택하면 인시던트 및 경고에 대한 Defender XDR 데이터 커넥터가 기본 작업 영역에만 연결됩니다.
이러한 경우:
| 영역 | 설명 |
|---|---|
| 이전에 Defender XDR 연결된 다른 작업 영역 | 이전에 Defender XDR 커넥터에 연결되었던 다른 작업 영역은 연결이 끊어지고 보조 작업 영역으로 작동합니다. Defender XDR 데이터를 기반으로 이전에 구성한 분석 규칙 및 자동화는 테이블 수집을 구성할 때까지 더 이상 작동하지 않습니다. |
| 테넌트 기반 경고 및 독립 실행형 데이터 커넥터 | 다른 Defender 서비스를 포함한 다른 Microsoft 서비스의 경고는 테넌트 기반 경고이며 특정 작업 영역이 아닌 전체 테넌트와 관련이 있습니다. 작업 영역 간에 중복을 방지하려면 이러한 서비스에 대한 독립 실행형 직접 데이터 커넥터의 연결이 보조 작업 영역의 Microsoft Sentinel 연결이 끊어져야 합니다. 이로 인해 테넌트 기반 경고가 기본 작업 영역에서만 표시됩니다. 온보딩 시 Office 365, Microsoft Entra ID Protection, Microsoft Defender for Cloud Apps Microsoft Defender 위한 독립 실행형 데이터 커넥터 엔드포인트용 Microsoft Defender Microsoft Defender for Identity 자동으로 연결이 끊어집니다. 작업 영역에 경고가 있는 다른 독립 실행형 Microsoft 데이터 커넥터가 있는 경우 Defender 포털에 온보딩하기 전에 연결을 끊어야 합니다. |
| 경고 및 인시던트 Defender XDR | 모든 Defender XDR 경고 및 인시던트가 기본 작업 영역에만 동기화됩니다. 그러나 보조 작업 영역은 Azure Sentinel 포털의 Microsoft XDR 커넥터 또는 Defender 포털의 Microsoft Sentinel>구성> 테이블에서 구성된 경우 Defender테이블 데이터를 수집할 수 있습니다. |
| 인시던트 생성 및 경고 상관 관계 | Defender 포털은 Microsoft Sentinel 작업 영역 간에 인시던트 생성 및 경고 상관 관계를 별도로 유지합니다. 보조 작업 영역의 인시던트에는 다른 작업 영역 또는 Defender XDR 데이터가 포함되지 않습니다. |
| 하나의 기본 작업 영역 필요 | 하나의 기본 작업 영역은 항상 Defender 포털에 연결되어야 합니다. |
예를 들어 여러 자율 작업 영역이 있는 회사의 글로벌 SOC 팀에서 작업할 수 있습니다. 이러한 경우 Defender 포털의 전역 SOC 큐에 있는 이러한 각 작업 영역의 인시던트 및 경고를 보고 싶지 않을 수 있습니다. 이러한 작업 영역은 보조 작업 영역으로 Defender 포털에 온보딩되므로 Defender 포털에 Defender 인시던트 및 경고 없이 Microsoft Sentinel만 표시되며 자율적으로 계속 작동합니다. 전역 SOC 작업 영역을 보면 이러한 보조 작업 영역의 데이터가 표시되지 않습니다.
Microsoft Entra ID 테넌트 내에 여러 Microsoft Sentinel 작업 영역이 있는 경우 전역 보안 운영 센터에 기본 작업 영역을 사용하는 것이 좋습니다.
작업 영역을 관리하고 작업 영역 데이터를 볼 수 있는 권한
다음 역할 또는 역할 조합 중 하나를 사용하여 기본 및 보조 작업 영역을 관리합니다.
| 작업 | Microsoft Entra 또는 Azure 기본 제공 역할 필요 | 범위 |
|---|---|---|
| Defender 포털에 Microsoft Sentinel 온보딩 | Microsoft Entra ID 보안 관리자 이상 소유자 또는 사용자 액세스 관리자 및 Microsoft Sentinel 기여자 |
테넌트 - 소유자 또는 사용자 액세스 관리자 역할에 대한 구독 - Microsoft Sentinel 기여자를 위한 구독, 리소스 그룹 또는 작업 영역 리소스 |
| 보조 작업 영역 연결 또는 연결 끊기 | Microsoft Entra ID 보안 관리자 이상 소유자 또는 사용자 액세스 관리자 및 Microsoft Sentinel 기여자 |
테넌트 - 소유자 또는 사용자 액세스 관리자 역할에 대한 구독 - Microsoft Sentinel 기여자를 위한 구독, 리소스 그룹 또는 작업 영역 리소스 |
| 기본 작업 영역 변경 | Microsoft Entra ID 보안 관리자 이상 소유자 또는 사용자 액세스 관리자 및 Microsoft Sentinel 기여자 |
테넌트 - 소유자 또는 사용자 액세스 관리자 역할에 대한 구독 - Microsoft Sentinel 기여자를 위한 구독, 리소스 그룹 또는 작업 영역 리소스 |
| 통합 RBAC에서 Sentinel 작업 영역 활성화 또는 비활성화 | Microsoft Entra ID 보안 관리자 이상 소유자 또는 사용자 액세스 관리자 및 Microsoft Sentinel 기여자 |
테넌트 - 소유자 또는 사용자 액세스 관리자 역할에 대한 구독 - Microsoft Sentinel 기여자를 위한 구독, 리소스 그룹 또는 작업 영역 리소스 |
중요
사용 권한이 가장 적은 역할을 사용하는 것이 좋습니다. 이렇게 하면 조직의 보안을 개선하는 데 도움이 됩니다.
Microsoft Sentinel Defender 포털에 연결한 후 기존 Azure RBAC(역할 기반 액세스 제어) 권한을 통해 액세스 권한이 있는 Microsoft Sentinel 기능 및 작업 영역을 보고 작업할 수 있습니다.
| 작업 영역 | Access |
|---|---|
| Primary | 기본 작업 영역에 액세스할 수 있는 경우 작업 영역에서 데이터를 읽고 관리하고 Defender XDR 수 있습니다. |
| 보조 | 보조 작업 영역에 액세스할 수 있는 경우 작업 영역에서만 데이터를 읽고 관리할 수 있습니다. Defender 인시던트 및 경고는 보조 작업 영역과 동기화되지 않지만 보조 작업 영역은 여전히 Defender 테이블 데이터를 수집할 수 있습니다. 자세한 내용은 기본 및 보조 작업 영역을 참조하세요. |
예외: Defender 포털에 하나의 작업 영역을 이미 온보딩한 경우 2025년 1월 중순 이전에 및 AlertEvidence 테이블에서 사용자 지정 검색 AlertInfo 을 사용하여 만든 모든 경고가 모든 사용자에게 표시됩니다.
자세한 내용은 Microsoft Sentinel 역할 및 권한을 참조하세요.
기본 작업 영역 변경 내용
Microsoft Sentinel Defender 포털에 온보딩한 후 기본 작업 영역을 변경할 수 있습니다. Microsoft Sentinel 기본 작업 영역을 전환하면 Defender XDR 커넥터가 새 주 데이터베이스에 연결되고 이전 작업 영역과 자동으로 연결이 끊어집니다.
시스템>설정>Microsoft Sentinel>Workspaces로 이동하여 Defender 포털에서 기본 작업 영역을 변경합니다.
다른 보기의 작업 영역 데이터 범위
Microsoft Sentinel 대한 기본 및 보조 작업 영역의 데이터를 볼 수 있는 적절한 권한이 있는 경우 다음 표의 작업 영역 scope 각 기능에 적용됩니다.
| 기능 | 작업 영역 scope |
|---|---|
| 검색 | Defender 포털의 브라우저 페이지 맨 위에 있는 전역 검색 결과는 볼 수 있는 권한이 있는 모든 관련 작업 영역 데이터의 집계 보기를 제공합니다. |
| 조사 & 응답 > 인시던트 & 경고 인시던트> | 통합 큐의 여러 작업 영역에서 인시던트 보기 또는 작업 영역별로 보기를 필터링합니다. |
| 조사 & 응답 > 인시던트 > & 경고 경고 | 통합 큐의 여러 작업 영역에서 경고를 보거나 작업 영역별로 보기를 필터링합니다. Defender 포털은 작업 영역별로 경고 상관 관계를 분할합니다. |
| 엔터티: 인시던트 또는 경고 > 에서 디바이스, 사용자 또는 기타 엔터티 자산을 선택합니다. | 단일 엔터티 페이지에서 여러 작업 영역의 모든 관련 엔터티 데이터를 봅니다. 엔터티 페이지는 모든 작업 영역의 경고, 인시던트 및 타임라인 이벤트를 집계하여 엔터티 동작에 대한 심층적인 인사이트를 제공합니다. 인시던트 및 경고, 타임라인 및 인사이트 탭에서 작업 영역별로 필터링합니다. 개요 탭에는 모든 작업 영역에서 집계된 엔터티 메타데이터가 표시됩니다. |
| 조사 & 응답 > 헌팅 고급 헌팅> | 브라우저의 오른쪽 위에서 작업 영역을 선택합니다. 또는 쿼리에서 작업 영역 연산자를 사용하여 여러 작업 영역에서 쿼리합니다.
여러 작업 영역 쿼리를 참조하세요. 쿼리 결과에는 작업 영역 이름 또는 ID가 표시되지 않습니다. 쿼리 및 함수를 포함하여 작업 영역의 모든 로그 데이터에 읽기 전용으로 액세스합니다. 자세한 내용은 Microsoft Defender 포털에서 Microsoft Sentinel 데이터를 사용하여 고급 헌팅을 참조하세요. 일부 기능은 기본 작업 영역으로 제한됩니다. - 사용자 지정 검색 만들기 - API를 통한 쿼리 Log Analytics 데이터에 대한 작업 영역 간 쿼리에는 Log Analytics 제한 사항이 적용됩니다. |
| Microsoft Sentinel 환경 | Defender 포털의 Microsoft Sentinel 섹션에서 각 페이지에 대한 하나의 작업 영역에서 데이터를 봅니다. 대부분의 페이지에 대해 브라우저의 오른쪽 위에서 작업 영역 선택을 선택하여 작업 영역 간을 전환합니다. - 통합 문서 페이지에는 기본 작업 영역과 연결된 데이터만 표시됩니다. 작업 영역 간 분석 규칙은 작업 영역 간 분석 규칙 제한 사항 및 권장 사항의 적용을 받습니다. |
| SOC 최적화 | 데이터 및 권장 사항은 여러 작업 영역에서 집계됩니다. |
작업 영역에 대한 양방향 동기화
인시던트 변경 내용이 Azure Portal Defender 포털 간에 동기화되는 방식은 기본 작업 영역인지 보조 작업 영역인지에 따라 달라집니다.
| 작업 영역 | 동기화 동작 |
|---|---|
| Primary | Azure Portal Microsoft Sentinel 경우 인시던트 공급자 이름이 Microsoft XDR인 위협 관리>인시던트에 Defender XDR 인시던트가 표시됩니다. Azure 또는 Defender 포털에서 상태, 닫는 이유 또는 Defender XDR 인시던트의 할당에 대한 변경 내용은 다른 인시던트 큐에서 업데이트됩니다. 자세한 내용은 Microsoft Sentinel Microsoft Defender XDR 인시던트 작업 및 양방향 동기화를 참조하세요. |
| 보조 | 보조 작업 영역에 대해 만든 모든 경고 및 인시던트가 Azure 및 Defender 포털의 해당 작업 영역 간에 동기화됩니다. 작업 영역의 데이터는 다른 포털의 작업 영역에만 동기화됩니다. |
IRM(내부 위험 관리) 지원
IRM(Microsoft Purview 내부 위험 관리) 경고는 기본 작업 영역과만 상관 관계가 있습니다. Microsoft Defender XDR IRM 경고가 있는 경우 작업 영역을 Defender 포털에 온보딩하기 전에 주 작업 영역의 Microsoft Defender XDR 커넥터에 IRM을 연결해야 합니다. 이는 IRM 경고 및 인시던트가 기본 작업 영역에서 사용할 수 있도록 하는 데 필요합니다. 기본 작업 영역에서 IRM 경고를 표시하지 않으려면 대신 Microsoft Defender XDR 통합을 옵트아웃할 수 있습니다.
또한 Microsoft Sentinel 데이터 커넥터에 대한 직접 Microsoft 365 Insider Risk Management 커넥터가 보조 작업 영역에 연결된 경우 작업 영역을 Defender 포털에 온보딩하기 전에 연결을 끊어야 합니다.