대시보드를 기존 SIEM(보안 정보 및 이벤트 관리) 솔루션에서 Microsoft Sentinel 위한 Azure 통합 문서로 변환합니다. Azure 통합 문서는 Microsoft Sentinel 위한 사용자 지정 대시보드를 만들 수 있는 다양한 기능을 제공합니다. 이 문서에서는 현재 대시보드를 검토, 계획 및 변환하는 방법을 Azure 통합 문서로 변환합니다.
현재 SIEM에서 대시보드 검토
마이그레이션을 디자인할 때 다음 단계를 고려합니다.
- 대시보드를 분석합니다. 디자인, 매개 변수, 데이터 원본 및 기타 세부 정보를 포함하여 대시보드에 대한 정보를 수집합니다. 각 dashboard 목적 또는 사용량을 식별합니다.
- 선택적이어야 합니다. 모든 대시보드를 고려하지 않고 마이그레이션하지 마세요. 중요하고 정기적으로 사용되는 대시보드에 집중합니다.
- 사용 권한을 고려합니다. 통합 문서의 대상 사용자가 누구인지 고려합니다. Azure 통합 문서에서는 Azure RBAC(역할 기반 액세스 제어)를 Azure 사용합니다. 자세한 내용은 Azure 통합 문서의 제어 평가를 참조하세요. Azure 외부에서 대시보드를 만들려면(예: Azure 액세스 권한이 없는 비즈니스 임원의 경우) Power BI와 같은 보고 도구를 사용합니다.
dashboard 변환 준비
대시보드를 검토한 후 다음 작업을 완료하여 dashboard 마이그레이션을 준비합니다.
각 dashboard 모든 시각화를 검토합니다. 현재 SIEM의 대시보드에는 여러 차트 또는 패널이 포함될 수 있습니다. 원치 않는 시각화 또는 데이터를 제거하려면 짧은 나열된 대시보드의 콘텐츠를 검토하는 것이 중요합니다.
dashboard 디자인 및 대화형 작업을 캡처합니다.
사용자에게 중요한 디자인 요소를 식별합니다. 예를 들어 dashboard 레이아웃, 차트의 배열 또는 그래프의 글꼴 크기 또는 색도 있습니다.
드릴다운, 필터링 및 Azure 통합 문서로 이월해야 하는 다른 대화형 작업을 캡처합니다.
필요한 매개 변수 또는 사용자 입력을 식별합니다. 대부분의 경우 사용자가 검색, 필터링 또는 결과 범위 지정(예: 날짜 범위, 계정 이름 등)을 수행할 매개 변수를 정의해야 합니다. 따라서 매개 변수에 대한 세부 정보를 캡처하는 것이 중요합니다. 수집해야 하는 몇 가지 주요 매개 변수 요구 사항은 다음과 같습니다.
- 사용자가 선택 또는 입력을 수행할 매개 변수의 형식입니다. 예를 들어 날짜 범위, 텍스트 또는 기타입니다.
- 드롭다운, 텍스트 상자 등과 같은 매개 변수를 나타내는 방법입니다.
- 예상 값 형식(예: 시간, 문자열, 정수 또는 기타)입니다.
- 기본값과 같은 기타 속성은 다중 선택, 조건부 표시 여부 등을 허용합니다.
대시보드 변환
dashboard 변환하려면 통합 문서 및 Microsoft Sentinel Azure 다음 작업을 완료합니다.
1. 데이터 원본 식별
Azure 통합 문서는 많은 수의 데이터 원본과 호환됩니다. 자세한 내용은 통합 문서 데이터 원본 Azure 참조하세요. 대부분의 경우 Azure Monitor 로그 데이터 원본 및 KQL(Kusto 쿼리 언어) 쿼리를 사용하여 Microsoft Sentinel 작업 영역에서 기본 로그를 시각화합니다.
2. KQL 쿼리 생성 또는 검토
이 단계에서는 주로 KQL을 사용하여 데이터를 시각화합니다. Microsoft Sentinel 쿼리를 생성하고 테스트한 후 Azure 통합 문서로 변환할 수 있습니다. Azure Portal Microsoft Sentinel 쿼리를 테스트하려면 로그로 이동합니다. Defender 포털의 Microsoft Sentinel 조사 & 응답>헌팅고급 헌팅>으로 이동합니다.
KQL 쿼리를 마무리하기 전에 항상 쿼리를 검토하고 조정하여 쿼리 성능을 향상시킵니다. 최적화된 쿼리:
- 더 빠르게 실행하여 쿼리 실행의 전체 기간을 줄입니다.
- 제한되거나 거부될 가능성이 더 적습니다.
자세한 내용은 다음 리소스를 참조하세요.
3. 통합 문서 만들기 또는 업데이트
처음부터 시작할 필요가 없도록 통합 문서를 만들거나, 통합 문서를 업데이트하거나, 기존 통합 문서를 복제합니다. 또한 데이터 또는 시각화를 나타내고, 정렬하고, 그룹화하는 방법을 지정합니다. 다음과 같은 두 가지 일반적인 디자인이 있습니다.
- 수직 통합 문서
- 탭된 통합 문서
자세한 내용은 다음 문서를 참조하세요.
4. 통합 문서 매개 변수 또는 사용자 입력 만들기 또는 업데이트
이 단계에 도달할 때까지 통합 문서에 필요한 매개 변수를 식별했습니다. 매개 변수를 사용하면 소비자로부터 입력을 수집하고 통합 문서의 다른 부분에서 입력을 참조할 수 있습니다. 이 입력은 일반적으로 결과 집합을 scope 올바른 시각화를 설정하는 데 사용되며 대화형 보고서 및 환경을 빌드할 수 있습니다.
통합 문서를 사용하면 매개 변수 컨트롤이 소비자에게 표시되는 방식을 제어할 수 있습니다. 예를 들어 컨트롤을 텍스트 상자와 드롭다운으로 표시할지 아니면 단일 선택과 다중 선택으로 표시할지를 선택합니다. 텍스트, JSON, KQL 또는 Azure Resource Graph 등에서 사용할 값을 선택할 수도 있습니다.
지원되는 통합 문서 매개 변수를 검토합니다. 바인딩 또는 값 확장을 통해 통합 문서의 다른 부분에서 이러한 매개 변수 값을 참조할 수 있습니다.
5. 시각화 만들기 또는 업데이트
통합 문서는 데이터를 시각화하기 위한 다양한 기능 집합을 제공합니다. 각 시각화 유형의 이러한 자세한 예제를 검토합니다.
6. 통합 문서 미리 보기 및 저장
통합 문서를 저장한 후 매개 변수를 지정하고 결과의 유효성을 검사합니다. 자동 새로 고침 또는 인쇄 기능을 사용해 PDF로 저장할 수도 있습니다.
다음 단계
이 문서에서는 대시보드를 Azure 통합 문서로 변환하는 방법을 알아보았습니다.