Microsoft Sentinel 데이터 페더레이션을 사용하면 Microsoft Sentinel 데이터 레이크 환경 내에서 여러 외부 데이터 원본을 원활하게 쿼리할 수 있습니다. 조직은 Azure Databricks, ADLS(Azure Data Lake Storage) Gen2 및 Microsoft Fabric과 같은 데이터 원본을 페더레이션하여 데이터를 이동하거나 복제하지 않고도 보안 분석 및 운영 인사이트를 향상시킬 수 있습니다.
데이터 페더레이션이란?
데이터 페더레이션을 사용하면 Microsoft Sentinel Visual Studio Code 확장을 사용하여 Kusto 쿼리 언어(KQL) 또는 Jupyter Notebook을 사용하여 Microsoft Sentinel 데이터 레이크에서 직접 외부 데이터 원본을 쿼리할 수 있습니다. 페더레이션은 데이터를 Sentinel 수집하는 대신 외부 데이터 저장소에 대한 연결을 만들어 다음을 사용하도록 설정합니다.
- 통합 분석: 네이티브 Microsoft Sentinel 데이터 레이크 테이블과 함께 페더레이션된 원본을 쿼리합니다.
- 거버넌스 및 규정 준수 제어 유지: 데이터를 이동하지 않고 데이터를 쿼리하여 데이터 보안 및 규정 준수를 유지합니다.
- 향상된 인사이트: 보안 데이터를 외부 시스템에 저장된 비즈니스 데이터, 로그 또는 기타 데이터 세트와 결합합니다.
- 유연한 데이터 액세스: 보안 작업을 보완하는 기록 또는 특수 데이터 세트에 액세스합니다.
중요
데이터 페더레이션은 Sentinel 데이터 레이크에서 페더레이션 대상까지의 단방향입니다. 데이터 레이크에서 페더레이션된 원본을 쿼리할 수 있지만 페더레이션된 원본에서 데이터 레이크에 액세스할 수는 없습니다.
사용 가능한 페더레이션 원본
다음 페더레이션 원본을 사용할 수 있습니다.
| 원본 | 설명 |
|---|---|
| Azure Databricks | Databricks Unity 카탈로그 테이블에 연결하고 Sentinel 데이터를 쿼리합니다. |
| Azure Data Lake Storage Gen 2 | Sentinel 데이터 레이크에서 직접 ADLS Gen 2 스토리지 계정에 저장된 데이터를 쿼리합니다. |
| Microsoft Fabric | 통합 분석을 위해 Microsoft Fabric Lakehouse 테이블에 연결합니다. |
주요 개념
페더레이션 연결
페더레이션 연결은 Sentinel 데이터 레이크와 외부 데이터 원본 간에 구성된 링크입니다. 각 연결은 다음을 지정합니다.
- 대상 데이터 원본(Databricks, ADLS Gen 2 또는 Fabric)입니다.
- ADLS 및 Azure Databricks에 대한 Azure Key Vault 안전하게 저장된 인증 자격 증명입니다.
- 페더레이션할 특정 테이블입니다.
페더레이션 테이블
페더레이션 테이블은 페더레이션된 연결에서 제공되는 테이블입니다. 페더레이션 테이블은 Sentinel 데이터 레이크 테이블 관리 페이지에 표시되며 네이티브 테이블처럼 쿼리할 수 있습니다. 페더레이션 테이블 이름은 패턴을 <tableName>_<connectorInstanceName>따릅니다. 예를 들어 커넥터 instance 이름이 이 ADLS01 고 라는 widgets테이블과 페더레이션하는 경우 페더레이션된 테이블 이름은 입니다widgets_ADLS01.
커넥터 인스턴스
외부 데이터 원본에 대해 구성된 각 연결을 커넥터 instance 호출합니다. 동일한 페더레이션 원본 형식에 대해 여러 인스턴스를 만들 수 있으며, 각 인스턴스는 서로 다른 외부 리소스에 연결됩니다.
필수 구성 요소
데이터 페더레이션을 설정하기 전에 다음 요구 사항을 충족하는지 확인합니다.
- 데이터 레이크 온보딩 Sentinel: 테넌트는 Sentinel 데이터 레이크에 온보딩되어야 합니다. 자세한 내용은 데이터 레이크를 Microsoft Sentinel 온보딩을 참조하세요.
- 공용 접근성: 외부 원본에 공개적으로 액세스할 수 있어야 합니다. 프라이빗 엔드포인트는 현재 지원되지 않습니다.
- 서비스 주체: 연결하려는 데이터 원본에 적절한 권한이 있는 서비스 주체는 Azure Databricks 및 Azure Data Lake Storage Gen2 원본에 필요합니다.
- Azure Key Vault: 서비스 주체에 대한 인증 비밀을 저장하는 Azure Key Vault. 키 자격 증명 모음에서 비밀을 읽으려면 Microsoft Sentinel 관리 ID에 대한 권한을 구성해야 합니다.
페더레이션 작동 방식
- 인증 구성: 서비스 주체를 만들고 자격 증명을 Azure Key Vault 저장합니다.
- 페더레이션된 연결 만들기: Microsoft Sentinel 데이터 커넥터 페이지를 사용하여 선택한 데이터 페더레이션 원본에 대한 커넥터 instance 만듭니다.
- 테이블 선택: 페더레이션할 외부 원본에서 테이블을 선택합니다.
- 페더레이션된 데이터 쿼리: KQL 쿼리, Notebooks 또는 MCP 도구와 같은 데이터 레이크 환경을 사용하여 네이티브 Sentinel 데이터와 함께 페더레이션된 테이블에 액세스합니다.
데이터 페더레이션에 대한 일반적인 시나리오
데이터 페더레이션을 사용하면 데이터 레이크 외부에 있는 데이터에 액세스할 수 있습니다. 이는 다음 시나리오에서 특히 유용합니다.
여러 팀과 시스템에서 운영되는 데이터 원본입니다.
자연스럽게 노후화되고 수집에 비용 효율적이지 않은 수년간의 기록 데이터입니다.
데이터 복사를 제한하는 지역 또는 규정 준수 규정입니다.
자주 액세스되지 않고 제한된 시나리오에서 컨텍스트적으로만 관련된 데이터입니다.
데이터 페더레이션의 이점
통합 보안 분석
Sentinel 보안 이벤트 데이터를 다음과 같은 외부 원본의 컨텍스트와 결합합니다.
- Databricks의 분석 출력
- ADLS Gen 2에 저장된 기록 로그
- Microsoft Fabric의 비즈니스 애플리케이션 데이터
운영 유연성
- 조직 경계를 넘어 데이터에 액세스
- 다른 팀 또는 사업부의 데이터 통합
- 여러 데이터 원본에 걸친 복잡한 조사 지원
제한 사항
- 데이터 원본은 공개적으로 액세스할 수 있어야 합니다. 프라이빗 엔드포인트는 지원되지 않습니다.
- Azure Key Vault 네트워킹은 ADLS 또는 Azure Databricks 연결 인스턴스를 구성하는 동안 Key Vault 기본값인 모든 네트워크에서 공용 액세스 허용에 대해 설정해야 합니다. 연결 만들기 또는 편집을 완료하면 연결된 Key Vault 다른 네트워킹 설정을 구성할 수 있습니다.
- Microsoft Fabric에 대한 페더레이션된 연결은 아웃바운드 액세스 보호를 위해 작업 영역이 사용하도록 설정되지 않은 스키마 사용 레이크하우스를 지원합니다.
- 데이터 페더레이션은 읽기 전용입니다. 페더레이션된 원본에 데이터를 다시 쓸 수 없습니다.
- 쿼리 성능은 외부 원본의 응답성 및 데이터 볼륨에 따라 달라집니다.
- 패브릭 원본에 대한 페더레이션된 연결은 연결 instance 최대 100개의 테이블을 가질 수 있습니다.
- 최대 100개의 커넥터 인스턴스를 가질 수 있습니다. Azure Databricks 및 ADLS는 페더레이션 연결당 하나의 커넥터 instance 사용합니다. Microsoft Fabric은 페더레이션 연결에서 레이크하우스 스키마당 하나의 커넥터 instance 사용합니다.