모범 사례 지침은 Microsoft Sentinel 대한 기술 설명서 전체에서 제공됩니다. 이 문서에서는 Microsoft Sentinel 배포, 관리 및 사용할 때 사용할 몇 가지 주요 지침을 강조 표시합니다.
중요
2027년 3월 31일 이후에는 Microsoft Sentinel 더 이상 Azure Portal 지원되지 않으며 Microsoft Defender 포털에서만 사용할 수 있습니다. Azure Portal Microsoft Sentinel 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel 사용합니다.
Azure Portal Microsoft Sentinel 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 제공하는 통합 보안 운영 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다.
Microsoft Sentinel 시작하려면 Microsoft Sentinel 배포를 계획, 배포 및 미세 조정하는 상위 수준 단계를 다루는 배포 가이드를 참조하세요. 이 가이드에서 제공된 링크를 선택하여 배포의 각 단계에 대한 자세한 지침을 찾습니다.
단일 플랫폼 아키텍처 채택
Microsoft Sentinel 저렴한 장기 스토리지를 제공하는 최신 데이터 레이크와 통합되어 있어 팀이 데이터 관리를 간소화하고 비용을 최적화하며 AI 채택을 가속화할 수 있습니다. Microsoft Sentinel 데이터 레이크는 보안 데이터에 대한 단일 플랫폼 아키텍처를 사용하도록 설정하고 Microsoft Sentinel 풍부한 커넥터 에코시스템을 활용하여 분석가에게 통합된 쿼리 환경을 제공합니다. 자세한 내용은 데이터 레이크 Microsoft Sentinel 참조하세요.
Microsoft Defender 포털에 Microsoft Sentinel 온보딩하고 Microsoft Defender XDR
Microsoft Defender 포털에 Microsoft Sentinel 온보딩하여 인시던트 관리 및 고급 헌팅과 같은 Microsoft Defender XDR 기능을 통합하는 것이 좋습니다.
Microsoft Defender 포털에 Microsoft Sentinel 온보딩하지 않으면 다음 사항에 유의하세요.
- 2026년 7월까지 Azure Portal 사용하는 모든 Microsoft Sentinel 고객은 Defender 포털로 리디렉션됩니다.
- 그때까지는 Defender XDR 데이터 커넥터를 사용하여 Microsoft Defender 서비스 데이터를 Azure Portal Microsoft Sentinel 통합할 수 있습니다.
다음 그림에서는 Microsoft의 XDR 솔루션이 Microsoft Sentinel 원활하게 통합되는 방법을 보여 줍니다.
자세한 내용은 다음 문서를 참조하세요.
- Microsoft Sentinel Microsoft Defender XDR 통합
- Microsoft Defender XDR에 Microsoft Sentinel 연결
- Microsoft Defender 포털의 Microsoft Sentinel
Microsoft 보안 서비스 통합
Microsoft Sentinel 작업 영역으로 데이터를 전송하는 구성 요소에 의해 강화되며 다른 Microsoft 서비스와의 통합을 통해 더욱 강력해졌습니다. Microsoft Defender for Cloud Apps, 엔드포인트용 Microsoft Defender 및 Microsoft Defender for Identity 같은 제품으로 수집된 모든 로그를 통해 이러한 서비스에서 검색을 생성할 수 있도록 허용하고, 이러한 검색을 Microsoft Sentinel. 로그를 Microsoft Sentinel 직접 수집하여 이벤트 및 인시던트에 대한 전체 그림을 제공할 수도 있습니다.
다른 원본에서 경고 및 로그를 수집하는 것 이상의 Microsoft Sentinel 다음을 제공합니다.
| 기능 | 설명 |
|---|---|
| 위협 탐지 | 인공 지능을 사용하는 위협 탐지 기능을 사용하면 통합 문서를 통해 대화형 시각적 개체를 빌드하고 표시하고, 플레이북을 실행하여 경고에 자동으로 대응하고, 기계 학습 모델을 통합하여 보안 작업을 강화하고, 위협 인텔리전스 플랫폼에서 보강 피드를 수집하고 가져올 수 있습니다. |
| 위협 조사 | 위협 조사 기능을 사용하면 경고 및 엔터티를 시각화 및 탐색하고, 사용자 및 엔터티 동작의 변칙을 검색하고, 조사 중에 실시간 이벤트를 모니터링할 수 있습니다. |
| 데이터 수집 | 온-프레미스 및 여러 클라우드에서 모든 사용자, 디바이스, 애플리케이션 및 인프라에서 데이터를 수집합니다. |
| 위협 대응 | Azure 서비스 및 기존 도구와 통합되는 플레이북과 같은 위협 대응 기능 |
| 파트너 통합 | Microsoft Sentinel 데이터 커넥터를 사용하여 파트너 플랫폼과 통합되어 SOC 팀에 필수적인 서비스를 제공합니다. |
사용자 지정 통합 솔루션 만들기(파트너)
Microsoft Sentinel 통합하는 사용자 지정 솔루션을 만들려는 파트너는 Microsoft Sentinel 통합하는 파트너에 대한 모범 사례를 참조하세요.
인시던트 관리 및 대응 프로세스 계획
다음 이미지는 인시던트 관리 및 대응 프로세스의 권장 단계를 보여줍니다.
다음 표에서는 개략적인 인시던트 관리 및 대응 작업 및 관련 모범 사례를 제공합니다. 자세한 내용은 Azure Portal Microsoft Sentinel 인시던트 조사 또는 Microsoft Defender 포털의 인시던트 및 경고를 참조하세요.
| 작업 | 모범 사례 |
|---|---|
| 인시던트 검토 페이지 | 제목, 심각도 및 관련 경고, 로그 및 관심 있는 엔터티를 나열하는 인 시던트 페이지에서 인시던트를 검토합니다. 인시던트에서 수집된 로그 및 인시던트와 관련된 도구로 이동할 수도 있습니다. |
| 인시던트 그래프 사용 | 인시던트 그래프에서 인시던트를 검토하여 공격의 전체 scope 확인합니다. 그런 다음 이벤트의 타임라인 구성하고 위협 체인의 범위를 검색할 수 있습니다. |
| 가양성 인시던트 검토 | 계정, URL, IP 주소, 호스트 이름, 활동, 타임라인 같은 주요 엔터티에 대한 데이터를 사용하여 가양성이 있는지 여부를 파악합니다. 이 경우 인시던트 직접 닫을 수 있습니다. 인시던트가 참 긍정인 경우 인시던트 페이지에서 직접 조치를 취하여 로그, 엔터티를 조사하고 위협 체인을 탐색합니다. 위협을 식별하고 작업 계획을 만든 후 Microsoft Sentinel 및 기타 Microsoft 보안 서비스의 다른 도구를 사용하여 조사를 계속합니다. |
| 정보 시각화 | Microsoft Sentinel 개요 dashboard 살펴보고 organization 보안 상태를 파악합니다. 자세한 내용은 수집된 데이터 시각화를 참조하세요. Microsoft Sentinel 개요 페이지의 정보 및 추세 외에도 통합 문서는 유용한 조사 도구입니다. 예를 들어 Investigation Insights 통합 문서를 사용하여 관련 엔터티 및 경고와 함께 특정 인시던트를 조사합니다. 이 통합 문서를 사용하면 관련 로그, 작업 및 경고를 표시하여 엔터티를 자세히 살펴볼 수 있습니다. |
| 위협에 대한 헌팅 | 근본 원인을 조사하고 검색하는 동안 기본 제공 위협 헌팅 쿼리를 실행하고 손상 지표에 대한 결과를 검사. 자세한 내용은 Microsoft Sentinel 위협 헌팅을 참조하세요. |
| 엔터티 동작 | Microsoft Sentinel 엔터티 동작을 사용하면 계정 및 호스트 이름 조사와 같은 특정 엔터티에 대한 작업 및 경고를 검토하고 조사할 수 있습니다. 자세한 내용은 다음 항목을 참조하세요. - Microsoft Sentinel UEBA(사용자 및 엔터티 동작 분석) 사용 - UEBA 데이터를 사용하여 인시던트 조사 - Microsoft Sentinel UEBA 보강 참조 |
| 관심 목록 | 수집된 데이터와 보강 데이터와 같은 외부 원본의 데이터를 결합하는 관심 목록을 사용합니다. 예를 들어 organization 또는 최근에 종료된 직원이 사용하는 IP 주소 범위 목록을 만듭니다. 감시 목록을 플레이북과 함께 사용하여 탐지, 위협 헌팅 및 조사 중에 사용할 관심 목록에 악성 IP 주소를 추가하는 등 보강 데이터를 수집합니다. 인시던트 중에 관심 목록을 사용하여 조사 데이터를 포함시킨 다음, 조사가 완료되면 삭제하여 중요한 데이터가 보이지 않도록 합니다. 자세한 내용은 Microsoft Sentinel 관심 목록을 참조하세요. |
데이터 수집 및 수집 최적화
데이터 커넥터 우선 순위 지정, 로그 필터링 및 데이터 수집 최적화를 포함하는 Microsoft Sentinel 데이터 수집 모범 사례를 검토합니다.
Kusto 쿼리 언어 쿼리를 더 빠르게 만들기
Kusto 쿼리 언어 모범 사례를 검토하여 쿼리를 더 빠르게 만듭니다.