Microsoft Sentinel 범위 지정 구성(행 수준 RBAC)

Microsoft Sentinel 범위 지정은 RBAC(행 수준 역할 기반 액세스 제어)를 제공하여 작업 영역을 분리할 필요 없이 세분화된 행 수준 액세스를 가능하게 합니다. 이 기능을 사용하면 여러 팀이 공유 Microsoft Sentinel 환경 내에서 안전하게 운영하면서 테이블 및 환경에서 일관되고 재사용 가능한 scope 정의를 사용할 수 있습니다.

범위 지정은 Microsoft Defender 포털에서 구성됩니다.

Microsoft Sentinel 범위 지정이란?

Microsoft Sentinel 범위 지정은 관리자가 Sentinel 테이블의 특정 데이터 하위 집합에 권한을 부여할 수 있도록 Defender 포털에서 권한 관리를 확장합니다. 범위를 만들려면 다음을 수행합니다.

  • 논리 범위 정의: 조직 구조에 맞는 scope 정의 만들기(사업부, 지역 또는 데이터 민감도별)
  • 범위에 사용자 또는 그룹 할당: 통합 RBAC를 사용하여 하나 이상의 범위에 특정 사용자 또는 그룹 할당
  • 수집 시 데이터 행 태그 지정: 테이블 관리를 사용하여 테이블의 행에 scope 태그를 적용하여 새로 수집된 데이터에 자동으로 태그를 지정하는 규칙을 만들 수 있습니다.
  • scope 액세스 제한: 할당된 scope 따라 경고, 인시던트, 헌팅 쿼리 및 데이터 레이크 탐색에 대한 사용자 액세스 제한

참고

범위는 가산적입니다. 여러 역할이 할당된 사용자는 모든 할당에서 사용할 수 있는 가장 광범위한 권한을 얻습니다. 예를 들어 시스템 테이블에 범위가 지정된 권한을 제공하는 Entra 전역 판독기 역할과 Defender XDR URBAC 역할을 모두 보유하는 경우 Entra 역할로 인해 시스템 테이블의 범위에 의해 제한되지 않습니다. 또 다른 예는 작업 영역에 대해 Microsoft Defender XDR 동일한 역할 권한을 보유하는 경우 두 가지 범위가 서로 다른 경우 두 범위에 대해 해당 권한이 있는 것입니다.

범위는 수집 시간 변환을 지원하는 Sentinel 테이블에 적용됩니다.

사용 사례

  • 분산/페더레이션된 SOC Teams: 대기업 및 MSP는 종종 서로 다른 팀이 특정 지역, 사업부 또는 고객을 담당하는 페더레이션 SOC 모델을 운영합니다. 범위 지정을 통해 각 SOC 팀은 공유 Sentinel 작업 영역 내에서 독립적으로 작동하여 관련 없는 데이터에 액세스하지 않고도 도메인 내의 위협을 조사하고 대응할 수 있습니다.
  • 외부, 비보안 팀에 대한 범위가 지정된 액세스: 네트워킹, IT 운영 또는 규정 준수와 같은 팀은 광범위한 보안 콘텐츠에 대한 가시성 없이 특정 원시 데이터 원본에 액세스해야 하는 경우가 많습니다. 행 수준 범위 지정을 사용하면 이러한 외부 팀이 해당 기능과 관련된 데이터에만 안전하게 액세스할 수 있습니다.
  • 중요한 데이터 보호: 최소 권한 데이터 액세스 접근 방식을 적용하여 특정 데이터/테이블을 보호하여 권한 있는 사용자만 중요한 정보에 액세스할 수 있도록 합니다.

필수 구성 요소

시작하기 전에 다음 필수 구성 요소를 확인합니다.

  • Microsoft Defender 포털에 대한 액세스:https://security.microsoft.com
  • Defender 포털에 온보딩된 Microsoft Sentinel 작업 영역: 역할 및 권한을 할당하려면 먼저 Defender 포털에서 Sentinel 작업 영역을 사용할 수 있어야 합니다.
  • 통합 RBAC에서 사용하도록 Sentinel: 이 기능을 사용하기 전에 URBAC에서 Microsoft Sentinel 사용하도록 설정해야 합니다.
  • scope 할당하고 테이블에 태그를 지정하는 사용자에게 필요한 권한:
    • 범위 및 할당을 만들기 위한 URBAC(보안 권한 부여( 관리) 권한
    • 테이블 관리에 대한 URBAC(데이터 작업(관리) 권한
    • 구독 소유자 또는 DCR(데이터 수집 규칙)을 만들 수 있는 권한이 할당됨 Microsoft.Insights/DataCollectionRules/Write

1단계: Sentinel scope 만들기

  1. Microsoft Defender 포털에서 시스템>권한으로 이동합니다.
  2. Microsoft Defender XDR 선택합니다.
  3. 범위 탭 엽니다.
  4. Sentinel scope 추가를 선택합니다.
  5. scope 이름 및 선택적 설명을 입력합니다.
  6. scope 만들기를 선택합니다.

여러 범위를 만들고 각 scope 대한 고유한 값을 정의하여 조직 구조와 정책을 반영할 수 있습니다.

참고

테넌트당 최대 100개의 고유한 Sentinel 범위를 만들 수 있습니다.

추가 Sentinel scope 탭 및 대화 상자의 스크린샷

2단계: 사용자 또는 그룹에 범위 태그 할당

  1. 사용 권한에서 역할 탭을 엽니다.

  2. 사용자 지정 역할 만들기를 선택합니다.

  3. 역할 이름 및 설명을 구성하고 다음을 선택합니다.

    사용자 지정 역할의 이름 및 설명을 만드는 대화 상자의 스크린샷

  4. 역할에 필요한 권한을 할당하고 적용을 선택합니다.

    사용자 지정 역할에 권한을 할당하는 대화 상자의 스크린샷

  5. 할당에서 이름을 지정하고 다음을 선택합니다.

    • 사용자 또는 사용자 그룹(Azure AD 그룹)
    • 데이터 원본 및 데이터 컬렉션(Sentinel 작업 영역)

  6. 범위에서 편집을 선택합니다.

  7. 이 역할에 할당할 범위를 하나 이상 선택합니다.

  8. 역할을 저장합니다.

사용자는 할당된 모든 범위에 걸쳐 집계된 액세스 권한을 사용하여 여러 작업 영역에 걸쳐 동시에 여러 범위에 할당할 수 있습니다. 제한된 사용자는 할당된 범위와 연결된 SIEM 데이터에만 액세스할 수 있습니다.

사용자 지정 역할에 Sentinel 범위를 할당하는 스크린샷

3단계: scope 사용하여 테이블 태그 지정

수집 중에 데이터에 태그를 지정하여 범위를 적용합니다. 이 태그 지정은 새로 수집된 데이터에 scope 태그를 적용하는 DCR(데이터 수집 규칙)을 만듭니다.

  1. Microsoft Sentinel 구성>테이블로 이동합니다.

  2. 수집 시간 변환을 지원하는 테이블을 선택합니다.

  3. 범위 태그 규칙을 선택합니다.

    범위 태그 규칙 탭의 스크린샷.

  4. RBAC 토글에 scope 태그 사용 허용을 사용하도록 설정합니다.

  5. 범위 태그 규칙 토글을 사용하도록 설정합니다.

  6. transformKQL 지원 연산자 및 제한을 사용하여 행을 선택하는 KQL 식을 정의합니다.

    위치별로 scope 예제:

    Location == 'Spain'

  7. 식과 일치하는 행에 적용할 scope 선택합니다.

  8. 규칙을 저장합니다.

새로 수집된 데이터만 태그가 지정됩니다. 이전에 수집한 데이터는 포함되지 않습니다. 태그를 지정한 후 새 규칙이 적용되는 데 최대 1시간이 걸릴 수 있습니다.

동일한 테이블에 여러 scope 태그 규칙을 만들어 서로 다른 범위의 다른 행에 태그를 지정할 수 있습니다. 레코드는 동시에 여러 범위에 속할 수 있습니다.

태그 규칙에 scope 테이블의 스크린샷.

4단계: 범위가 지정된 데이터 액세스

범위를 만들고, 할당하고, 테이블에 적용한 후 범위가 지정된 사용자는 할당된 scope 따라 Sentinel 환경에 액세스할 수 있습니다. 새로 수집된 모든 데이터는 자동으로 scope 태그가 지정됩니다. 기록(이전에 수집된) 데이터는 포함되지 않습니다. 명시적으로 범위가 지정되지 않은 데이터는 범위가 지정된 사용자에게 표시되지 않습니다. 범위가 지정되지 않은 사용자는 작업 영역 내의 모든 데이터를 볼 수 있습니다.

범위가 지정된 사용자는 다음을 수행할 수 있습니다.

  • 범위가 지정된 데이터에서 생성된 경고 보기
  • 경고에 연결된 모든 이벤트에 액세스할 수 있는 경우 경고 관리
  • 범위가 지정된 경고가 하나 이상 포함된 인시던트 보기
  • 모든 기본 경고에 액세스할 수 있고 필요한 권한이 있는 경우 인시던트 관리
  • 범위가 지정된 행에 대해서만 고급 헌팅 쿼리 실행
  • Sentinel 레이크에서 데이터 쿼리 및 탐색(scope 테이블)
  • Sentinel 범위에 따라 경고 및 인시던트 필터링

경고는 기본 데이터에서 scope 상속합니다. 하나 이상의 경고가 scope 내에 있는 경우 인시던트가 표시됩니다.

SentinelScope_CF 사용자 지정 필드는 쿼리 및 검색 규칙에 사용하여 분석의 scope 참조할 수 있습니다.

참고

사용자 지정 검색 및 분석 규칙을 만들 때 트리거된 경고를 범위가 지정된 분석가에게 표시하려면 해당 KQL에 열을 프로젝 SentinelScope_CF 션해야 합니다. 이 열을 프로젝트하지 않으면 범위가 지정되지 않고 범위가 지정된 사용자로부터 경고가 숨겨집니다.

Sentinel scope 필터링된 경고의 스크린샷

제한 사항

다음 제한 사항이 적용됩니다.

  • 기록 데이터: 새로 수집된 데이터만 범위가 지정됩니다. 이전에 수집된 데이터는 포함되지 않으며 소급 범위로 지정할 수 없습니다.
  • 테이블 지원: 수집 시간 변환을 지원하는 테이블만 태그를 지정할 수 있습니다. 사용자 지정 테이블(CLv1)은 지원되지 않습니다. CLv2 테이블이 지원됩니다.
  • 변환 배치: 변환은 사용자의 구독과 동일한 구독에서만 추가할 수 있습니다.
  • 최대 범위: 테넌트당 최대 100개의 고유한 Sentinel 범위를 만들 수 있습니다.
  • Defender 포털만 해당: Azure Portal(Ibiza)의 Sentinel 범위 지정을 지원하지 않습니다. 대신 Defender 포털을 사용합니다.
  • XDR 테이블이 지원되지 않음: XDR 테이블은 지원되지 않습니다. 여기에는 XDR 테이블을 레이크로 장기간 보존하는 것이 포함됩니다.
  • 자동 scope 상속 없음: Log Analytics 테이블 SecurityAlertsSecurityIncidents 는 생성된 원시 데이터/테이블의 scope 자동으로 상속하지 않습니다. 따라서 범위가 지정된 사용자는 기본적으로 액세스할 수 없습니다. 해결 방법으로 다음 작업 중 하나를 수행할 수 있습니다.
    • scope 자동으로 상속되는 XDR AlertsInfoAlertsEvidence 테이블을 사용하거나
    • 이러한 Log Analytics 테이블에 scope 수동으로 적용합니다(이 메서드는 테이블의 특성으로 제한되며 이러한 경고를 생성한 데이터 테이블의 상속과 동일하지 않을 수 있음).
  • 지원되는 환경: Sentinel 범위는 Defender XDR RBAC 역할에만 할당할 수 있습니다. Azure 작업 영역 또는 Entra 전역 역할 권한에 대한 RBAC 권한은 지원되지 않습니다. Jupyter Notebook과 같이 행 수준 RBAC를 사용할 수 없는 환경은 scope 제한된 사용자가 해당 작업 영역에 대한 데이터를 볼 수 있도록 허용하지 않습니다.

사용 권한 및 액세스

  • 사용자가 인시던트에서 하나 이상의 경고에 액세스할 수 있는 경우 인시던트를 볼 수 있습니다. 인시던트에서 모든 경고에 액세스할 수 있고 필요한 권한이 있는 경우에만 인시던트 관리가 가능합니다.
  • 범위가 지정된 사용자는 scope 연결된 데이터만 볼 수 있습니다. 경고에 사용자가 액세스할 수 없는 엔터티가 포함된 경우 사용자는 볼 수 없습니다. 사용자가 연결된 엔터티 중 하나 이상에 액세스할 수 있는 경우 경고 자체를 볼 수 있습니다.
  • 전체 테이블을 scope 모든 행과 일치하는 규칙을 사용합니다(예: 항상 true인 조건 사용). 이전에 수집한 데이터의 범위를 소급하여 지정할 수 없습니다.
  • 범위가 지정된 사용자는 별도의 역할 할당에서 권한이 할당되지 않는 한 리소스(예: 검색 규칙, 플레이북, 자동화 규칙)를 관리할 수 없습니다.

다음 단계

  • Last updated on