중요
2027년 3월 31일 이후에는 Microsoft Sentinel 더 이상 Azure Portal 지원되지 않으며 Microsoft Defender 포털에서만 사용할 수 있습니다. Azure Portal Microsoft Sentinel 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel 사용합니다.
Azure Portal Microsoft Sentinel 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 제공하는 통합 보안 운영 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다.
배포를 준비하려면 여러 작업 영역 아키텍처가 사용자 환경과 관련이 있는지 확인해야 합니다. 이 문서에서는 Microsoft Sentinel 여러 작업 영역 및 테넌트 간에 확장하여 이 기능이 organization 요구 사항에 적합한지 여부를 확인할 수 있는 방법을 알아봅니다. 이 문서는 Microsoft Sentinel 배포 가이드의 일부입니다.
작업 영역에서 Microsoft Sentinel 확장하는 데 사용하는 포털에 따라 다음 설정 지침 집합 중 하나를 사용합니다.
| 포털 | 참조 |
|---|---|
| Microsoft Defender 포털 |
-
Defender 포털의 여러 Microsoft Sentinel 작업 영역 - 다중 테넌트 관리 Microsoft Defender |
| Azure Portal |
-
작업 영역 및 테넌트 간에 Microsoft Sentinel 확장 - 작업 영역 관리자를 사용하여 Microsoft Sentinel 사용하도록 설정된 여러 Log Analytics 작업 영역을 중앙에서 관리 |
여러 작업 영역을 사용해야 하는 경우
Microsoft Sentinel 온보딩할 때 첫 번째 단계는 Log Analytics 작업 영역을 선택하는 것입니다. 단일 작업 영역을 사용하여 Microsoft Sentinel 환경의 모든 이점을 얻을 수 있지만, 경우에 따라 작업 영역과 테넌트 간에 데이터를 쿼리하고 분석하도록 작업 영역을 확장할 수 있습니다.
이 표에는 이러한 시나리오 중 일부가 나열되어 있으며 가능한 경우 시나리오에 단일 작업 영역을 사용하는 방법을 제안합니다.
| 요구 사항 | 설명 | 작업 영역 수를 줄이는 방법 |
|---|---|---|
| 주권 및 규정 준수 | 작업 영역은 특정 지역에 연결됩니다. 규정 요구 사항을 충족하기 위해 서로 다른 Azure 지역에 데이터를 유지하려면 데이터를 별도의 작업 영역으로 분할합니다. Microsoft Sentinel 데이터는 대부분 동일한 지리 또는 지역에 저장되고 처리되며, Microsoft의 Machine Learning을 활용하는 검색 규칙을 사용하는 경우와 같은 몇 가지 예외가 있습니다. 이러한 경우 처리를 위해 작업 영역 지리 외부에서 데이터를 복사할 수 있습니다. |
|
| 데이터 소유권 | 데이터 소유권의 경계(예: 자회사 또는 계열사)는 별도의 작업 영역을 사용하여 더 잘 구분됩니다. | |
| 여러 Azure 테넌트 | Microsoft Sentinel 자체 Microsoft Entra 테넌트 경계 내에서만 Microsoft 및 Azure SaaS 리소스의 데이터 수집을 지원합니다. 따라서 각 Microsoft Entra 테넌트는 별도의 작업 영역이 필요합니다. | |
| 세분화된 데이터 액세스 제어 | organization organization 내외부의 다른 그룹이 Microsoft Sentinel 수집한 일부 데이터에 액세스하도록 허용해야 할 수 있습니다. 예시:
|
리소스 Azure RBAC 또는 테이블 수준 Azure RBAC 사용 |
| 세분화된 보존 설정 | 지금까지 여러 작업 영역이 서로 다른 데이터 형식에 대해 서로 다른 보존 기간을 설정하는 유일한 방법이었습니다. 테이블 수준 보존 설정이 도입되어 많은 경우에 더 이상 필요하지 않습니다. | 테이블 수준 보존 설정 사용 또는 데이터 삭제 자동화 |
| 분할 청구 | 작업 영역을 별도의 구독에 배치하면 서로 다른 당사자에게 요금이 청구될 수 있습니다. | 사용량 보고 및 교차 충전 |
| 레거시 아키텍처 | 여러 작업 영역의 사용은 더 이상 참이 되지 않는 제한 사항 또는 모범 사례를 고려한 기록 디자인에서 비롯될 수 있습니다. Microsoft Sentinel 더 잘 수용하도록 수정할 수 있는 임의의 디자인 선택일 수도 있습니다. 예를 들면 다음과 같습니다.
|
작업 영역 다시 설계 |
사용할 테넌트 및 작업 영역 수를 결정할 때 대부분의 Microsoft Sentinel 기능은 단일 작업 영역 또는 Microsoft Sentinel instance 사용하여 작동하고 Microsoft Sentinel 작업 영역 내에 보관된 모든 로그를 수집한다는 점을 고려합니다.
MSSP(관리형 보안 서비스 공급자)
MSSP의 경우 위의 요구 사항이 모두 적용되지 않을 경우 테넌트 간에 여러 작업 영역을 만드는 것이 가장 좋습니다. 특히 각 Microsoft Entra 테넌트마다 하나 이상의 작업 영역을 만들어 고유한 Microsoft Entra 테넌트 내에서만 작동하는 서비스 간 기본 제공 데이터 커넥터를 지원하는 것이 좋습니다.
진단 설정을 기반으로 하는 커넥터는 리소스가 있는 동일한 테넌트에서 없는 작업 영역에 연결할 수 없습니다. 이는 Azure Firewall, AzureStorage, Azure 작업 또는 Microsoft Entra ID 같은 커넥터에 적용됩니다.
파트너 데이터 커넥터는 종종 API 또는 에이전트 컬렉션을 기반으로 하므로 특정 Microsoft Entra 테넌트에서 연결되지 않습니다.
Azure Lighthouse를 사용하여 다른 tenants.u에서 여러 Microsoft Sentinel 인스턴스 관리
여러 작업 영역 아키텍처 Microsoft Sentinel
위의 요구 사항에서 알 수 있듯이 단일 SOC가 Microsoft Entra 테넌트 전체에서 Microsoft Sentinel 사용하도록 설정된 여러 Log Analytics 작업 영역을 중앙에서 관리하고 모니터링해야 하는 경우가 있습니다.
- MSSP Microsoft Sentinel 서비스입니다.
- 여러 자회사에 서비스를 제공하는 글로벌 SOC로, 각각 자체 로컬 SOC를 보유하고 있습니다.
- ORGANIZATION 내의 여러 Microsoft Entra 테넌트를 모니터링하는 SOC입니다.
이러한 경우를 해결하기 위해 Microsoft Sentinel 중앙 모니터링, 구성 및 관리를 가능하게 하는 다중 작업 영역 기능을 제공하여 SOC에서 다루는 모든 항목에 대해 단일 창을 제공합니다. 이 다이어그램은 이러한 사용 사례에 대한 예제 아키텍처를 보여 줍니다.
이 모델은 모든 데이터가 단일 작업 영역에 복사되는 완전 중앙 집중식 모델에 비해 상당한 이점을 제공합니다.
- 글로벌 및 로컬 SOC 또는 MSSP 고객에게 유연한 역할 할당.
- 데이터 소유권, 데이터 개인 정보 보호 및 규정 준수와 관련된 문제 수가 줄어듭니다.
- 네트워크 대기 시간 및 요금을 최소화합니다.
- 새 자회사 또는 고객의 간편한 온보딩 및 오프보딩.
다음 단계
이 문서에서는 Microsoft Sentinel 여러 작업 영역 및 테넌트 간에 확장할 수 있는 방법을 알아보았습니다.