Microsoft Sentinel 데이터 계층 및 보존 관리

SIEM(Microsoft Sentinel) 및 Microsoft Defender XDR 수집한 데이터는 테이블에 저장됩니다. Microsoft Defender 포털을 사용하면 데이터와 연결된 보존 기간 및 저장소 비용을 관리할 수 있습니다. 다음과 같은 경우 보존 및 비용을 관리할 수 있습니다.

• Microsoft Sentinel 또는 Microsoft Defender XDR 데이터를 보내도록 데이터 커넥터를 구성합니다.
• 기존 테이블 및 데이터를 관리합니다.

이 문서에서는 Microsoft Defender 포털에서 테이블 보존 및 계층 옵션을 관리하여 보안 작업을 최적화하고 Microsoft Sentinel 및 Microsoft Defender XDR 비용을 절감하는 방법을 설명합니다.

Defender 포털에서 관리할 수 있는 테이블은 무엇입니까?

이 섹션에서는 Microsoft Defender 포털에서 관리할 수 있는 테이블 형식에 대해 설명합니다.

데이터 계층 및 보존 작동 방식

두 계층 중 하나에서 Microsoft Sentinel 데이터를 유지할 수 있습니다.

• 분석 계층: 이 계층을 사용하면 경고, 헌팅, 통합 문서 및 모든 Microsoft Sentinel 기능에 데이터를 사용할 수 있습니다. 다음과 같은 두 가지 상태로 데이터를 유지합니다.

  • 분석 보존: 이 "핫" 상태에서는 고성능 쿼리 및 분석 규칙 및 위협 헌팅을 포함한 실시간 분석에 데이터를 완벽하게 사용할 수 있습니다. 기본적으로 Microsoft Sentinel 및 Microsoft Defender XDR 30일 동안 이 계층에 데이터를 보존합니다. 모든 테이블의 보존 기간을 비례 배분된 월별 장기 보존 요금으로 최대 2년까지 연장할 수 있습니다. Microsoft Sentinel 솔루션 테이블의 보존 기간을 무료로 90일로 연장할 수 있습니다.
  • 총 보존: 기본적으로 분석 계층의 모든 데이터는 동일한 보존 기간 동안 데이터 레이크에 미러링됩니다. 레이크의 데이터 보존 기간을 분석 보존 기간 이상으로 확장하여 최대 12년의 총 보존 기간을 저렴한 비용으로 연장할 수 있습니다.

• 데이터 레이크 계층: 이 저렴한 "콜드" 계층에서 Microsoft Sentinel 레이크에만 데이터를 보존합니다. 데이터 레이크 계층의 데이터는 실시간 분석 기능 및 위협 헌팅에 사용할 수 없습니다. 그러나 KQL 작업을 통해 필요할 때마다 레이크의 데이터에 액세스하고, 예약된 KQL 또는 Spark 작업을 실행하여 시간에 따른 추세를 분석하고, 요약 규칙을 사용하여 정기적으로 들어오는 데이터의 인사이트를 집계할 수 있습니다.

• XDR 데이터: 기본적으로 Microsoft Defender XDR 위협 헌팅 데이터는 항상 분석 계층에서 30일 동안 사용할 수 있습니다. 분석 계층에서 이 데이터의 보존 기간을 최대 90일까지 연장할 수 있으므로 수집 비용이 발생하지만 스토리지는 무료입니다. 분석에서 90일을 초과하면 스토리지 비용도 발생합니다. 데이터 레이크 계층으로만 수집할 수도 있지만 데이터는 항상 분석 계층에서 30일 동안 사용할 수 있습니다. XDR 데이터를 데이터 레이크 계층에 직접 수집하는 것은 비용 효율적이지만 수집, 스토리지 및 처리 비용이 포함됩니다. 이 옵션에서 고객은 추가 비용 없이 분석 계층에서 30일 분량의 데이터를 계속 얻을 수 있습니다.

이러한 두 보존 유형 간의 차이점에 대한 자세한 내용은 분석 및 데이터 레이크 계층 비교를 참조하세요.

이 다이어그램은 분석, 데이터 레이크 및 XDR 기본 계층의 보존 구성 요소와 각 계층에 적용되는 테이블 형식을 보여 줍니다.

Microsoft Sentinel 데이터 레이크에 대한 자세한 내용은 Microsoft Sentinel 데이터 레이크란?을 참조하세요.

분석 및 데이터 레이크 계층 비교

이 표에서는 두 분석 및 데이터 레이크 계층과 주요 특징을 비교합니다.

테이블 설정을 수정하면 어떻게 되나요?

언제든지 테이블의 계층 및 보존 설정을 전환할 수 있습니다.

테이블의 tierby 기본 xdr을 분석에서 데이터 레이크로 변경하면 모든 실시간 분석 및 헌팅 쿼리의 작동이 중지됩니다.

테이블의 총 보존 기간을 단축하면 Microsoft는 데이터를 제거하기 30일 전에 대기하므로 변경 내용을 되돌리기 구성에서 오류가 발생할 경우 데이터 손실을 방지할 수 있습니다.

총 보존 기간을 늘리면 테이블에 이미 수집되어 아직 제거되지 않은 모든 데이터에 새 보존 기간이 적용됩니다.

기존 데이터를 사용하여 테이블의 분석 보존 설정을 변경하면 변경 내용이 즉시 적용됩니다.

예:

• 분석 계층에는 분석 보존 기간이 180일인 테이블이 있습니다. 기본적으로 총 보존 기간도 180일로 설정됩니다.
• 총 보존 기간인 180일을 변경하지 않고 분석 보존 기간을 90일로 변경합니다.
• Microsoft Sentinel 분석 보존에서 지난 90일 간의 데이터를 자동으로 제거하지만 데이터 레이크에 90-180일의 데이터를 계속 저장합니다.

Microsoft Sentinel XDR 데이터 관리

기본적으로 Microsoft Defender XDR 위협 헌팅 데이터를 XDR 기본 계층에 30일 동안 유지합니다. 이 데이터는 기본적으로 분석 또는 데이터 레이크 계층에 수집되지 않습니다. 지원되는 XDR 테이블의 보존 기간을 30일 이상으로 연장하고 최대 90일까지 연장하면 Sentinel 수집 비용이 적용되지만 추가 스토리지 비용은 없습니다. 테이블은 분석 계층의 Microsoft Sentinel 작업 영역에서 만들어지고 데이터 레이크 계층에 미러링됩니다.

Azure Portal Microsoft Sentinel XDR 커넥터를 사용하도록 설정하면 설치 중에 선택한 테이블이 분석 계층에 자동으로 수집되고 데이터 레이크 계층에 미러링됩니다. 기본 보존 기간은 30일이며 최대 12년까지 연장할 수 있습니다. 테이블 목록은 Microsoft Sentinel Microsoft Defender XDR 통합을 참조하세요. 커넥터를 배포하는 동안 선택하지 않은 지원되는 XDR 테이블을 분석 계층으로 수집하고 보존 기간을 30일 이상으로 설정하여 데이터 레이크 계층에 미러 수 있습니다.

Microsoft Sentinel XDR 커넥터를 사용하도록 설정하지 않으면 XDR 테이블이 자동으로 수집되지 않지만 Defender 포털에서 30일 이상 분석 또는 데이터 레이크 계층 보존을 설정하여 수집할 수 있습니다.

보존 설정을 구성할 때 데이터 레이크 계층 옵션을 선택하여 지원되는 XDR 테이블을 데이터 레이크 계층 에 독점적으로 수집하도록 선택할 수 있습니다. 자세한 내용은 데이터 보존 및 계층화 구성을 참조하세요.

분석 계층 보존 및 총 보존 기간을 기본 30일로 다시 설정하여 분석 계층으로 데이터 수집을 중지합니다. 이 작업은 Azure Portal 커넥터를 사용하지 않도록 설정합니다.

테이블 및 데이터 관리에 대한 자세한 내용은 기존 테이블 및 데이터 관리를 참조하세요.

XDR 데이터 보존 및 비용

다음 표에서는 Microsoft Sentinel 다양한 계층에 대한 무료 보존 기간 및 비용 영향을 요약합니다.

청구 및 비용에 대한 자세한 내용은 Microsoft Sentinel 대한 전체 청구 모델 이해를 참조하세요.

다음 예제에서는 분석 또는 데이터 레이크 계층의 보존 설정에 관계없이 최소 30일 동안 고급 헌팅을 통해 XDR 데이터를 사용할 수 있습니다.

다음 단계

자세한 정보:

• 로그 테이블 계층 및 보존 설정 구성
• 특정 조건과 일치하는 데이터를 검색하는 검색 작업 만들기