Az - Defender

Reading time: 7 minutes

Microsoft Sentinel

Microsoft Sentinel은 Azure에서 클라우드 네이티브 SIEM (Security Information and Event Management) 및 SOAR (Security Orchestration, Automation, and Response) 솔루션입니다.

조직 전반(온프레미스 및 클라우드)의 보안 데이터를 단일 플랫폼으로 집계하고 내장된 분석 및 위협 인텔리전스를 사용하여 잠재적인 위협을 식별합니다. Sentinel은 Log Analytics(대량 로그 저장 및 쿼리용) 및 Logic Apps(자동화된 워크플로우용)와 같은 Azure 서비스를 활용하여 필요에 따라 확장하고 Azure의 AI 및 자동화 기능과 통합할 수 있습니다.

본질적으로 Sentinel은 다양한 출처에서 로그를 수집하고 분석하며, 이상 징후나 악의적인 활동을 탐지하고 보안 팀이 Azure 포털을 통해 신속하게 위협을 조사하고 대응할 수 있도록 합니다. 온프레미스 SIEM 인프라가 필요하지 않습니다.

Microsoft Sentinel 구성

Azure Log Analytics 작업 공간에서 Sentinel을 활성화하는 것으로 시작합니다(작업 공간은 로그가 저장되고 분석되는 곳입니다). 시작하기 위한 주요 단계는 다음과 같습니다:

1. 작업 공간에서 Microsoft Sentinel 활성화: Azure 포털에서 기존 Log Analytics 작업 공간을 생성하거나 사용하고 Microsoft Sentinel을 추가합니다. 이렇게 하면 Sentinel의 기능이 작업 공간에 배포됩니다.
2. 데이터 소스 연결(데이터 커넥터): Sentinel이 활성화되면 내장된 데이터 커넥터를 사용하여 데이터 소스를 연결합니다. Entra ID 로그, Office 365 또는 방화벽 로그 등 어떤 것이든 Sentinel은 로그와 경고를 자동으로 수집하기 시작합니다. 이는 일반적으로 로그를 사용 중인 로그 작업 공간으로 보내기 위한 진단 설정을 생성하여 수행됩니다.
3. 분석 규칙 및 콘텐츠 적용: 데이터가 흐르기 시작하면 내장된 분석 규칙을 활성화하거나 사용자 정의 규칙을 생성하여 위협을 탐지합니다. 콘텐츠 허브를 사용하여 탐지 기능을 시작하는 사전 패키지된 규칙 템플릿 및 워크북을 활용합니다.
4. (선택 사항) 자동화 구성: 플레이북을 사용하여 사건에 자동으로 대응하도록 자동화를 설정합니다. 예를 들어 경고를 보내거나 손상된 계정을 격리하는 등의 작업을 통해 전체적인 대응을 강화합니다.

주요 기능

• 로그: 로그 블레이드는 Log Analytics 쿼리 인터페이스를 열어 **Kusto Query Language (KQL)**를 사용하여 데이터를 깊이 탐색할 수 있습니다. 이 영역은 문제 해결, 포렌식 분석 및 사용자 정의 보고서 작성에 중요합니다. 로그 이벤트를 필터링하고, 다양한 출처 간의 데이터를 상관시키며, 발견한 내용을 기반으로 사용자 정의 대시보드나 경고를 생성할 수 있습니다. 이는 Sentinel의 원시 데이터 탐색 센터입니다.
• 검색: 검색 도구는 보안 이벤트, 사건 및 특정 로그 항목을 신속하게 찾을 수 있는 통합 인터페이스를 제공합니다. 여러 블레이드를 수동으로 탐색하는 대신 키워드, IP 주소 또는 사용자 이름을 입력하여 관련된 모든 이벤트를 즉시 불러올 수 있습니다. 이 기능은 조사가 필요할 때 서로 다른 정보 조각을 신속하게 연결해야 할 때 특히 유용합니다.
• 사건: 사건 섹션은 모든 그룹화된 경고를 관리 가능한 사례로 중앙 집중화합니다. Sentinel은 관련 경고를 단일 사건으로 집계하여 심각도, 타임라인 및 영향을 받는 리소스와 같은 맥락을 제공합니다. 사건 내에서 경고 간의 관계를 매핑한 상세 조사 그래프를 볼 수 있어 잠재적 위협의 범위와 영향을 이해하기 쉽게 합니다. 사건 관리는 작업 할당, 상태 업데이트 및 대응 워크플로우와의 통합 옵션도 포함합니다.
• 워크북: 워크북은 보안 데이터를 시각화하고 분석하는 데 도움을 주는 사용자 정의 대시보드 및 보고서입니다. 다양한 차트, 표 및 쿼리를 결합하여 추세와 패턴에 대한 포괄적인 뷰를 제공합니다. 예를 들어, 로그인 활동의 타임라인, IP 주소의 지리적 매핑 또는 특정 경고의 빈도를 표시하는 워크북을 사용할 수 있습니다. 워크북은 사전 구축된 것과 완전히 사용자 정의 가능한 것 모두를 제공하여 조직의 특정 모니터링 요구에 맞출 수 있습니다.
• 헌팅: 헌팅 기능은 표준 경고를 트리거하지 않을 수 있는 위협을 찾는 능동적인 접근 방식을 제공합니다. MITRE ATT&CK와 같은 프레임워크에 맞춘 사전 구축된 헌팅 쿼리를 제공하지만 사용자 정의 쿼리를 작성할 수도 있습니다. 이 도구는 은밀하거나 새로운 위협을 발견하려는 고급 분석가에게 이상적인 도구로, 비정상적인 네트워크 패턴이나 이상 사용자 행동과 같은 역사적 및 실시간 데이터를 탐색합니다.
• 노트북: 노트북 통합을 통해 Sentinel은 고급 데이터 분석 및 자동화된 조사를 위한 Jupyter 노트북을 활용합니다. 이 기능을 사용하면 Sentinel 데이터에 대해 Python 코드를 직접 실행할 수 있어 기계 학습 분석을 수행하거나 사용자 정의 시각화를 구축하거나 복잡한 조사 작업을 자동화할 수 있습니다. 이는 표준 쿼리를 넘어 심층 분석을 수행해야 하는 데이터 과학자나 보안 분석가에게 특히 유용합니다.
• 엔터티 행동: 엔터티 행동 페이지는 **사용자 및 엔터티 행동 분석 (UEBA)**를 사용하여 환경 내 정상 활동의 기준선을 설정합니다. 사용자, 장치 및 IP 주소에 대한 상세 프로필을 표시하며, 일반적인 행동에서의 편차를 강조합니다. 예를 들어, 일반적으로 활동이 적은 계정이 갑자기 대량의 데이터 전송을 수행하면 이 편차가 플래그가 지정됩니다. 이 도구는 행동 이상을 기반으로 내부 위협이나 손상된 자격 증명을 식별하는 데 중요합니다.
• 위협 인텔리전스: 위협 인텔리전스 섹션은 악의적인 IP 주소, URL 또는 파일 해시와 같은 외부 위협 지표를 관리하고 상관시키는 기능을 제공합니다. 외부 인텔리전스 피드와 통합함으로써 Sentinel은 알려진 위협과 일치하는 이벤트를 자동으로 플래그할 수 있습니다. 이를 통해 더 넓고 알려진 캠페인의 일환으로 발생하는 공격을 신속하게 탐지하고 대응할 수 있으며, 보안 경고에 또 다른 맥락을 추가합니다.
• MITRE ATT&CK: MITRE ATT&CK 블레이드에서 Sentinel은 보안 데이터 및 탐지 규칙을 널리 인정받는 MITRE ATT&CK 프레임워크에 매핑합니다. 이 뷰는 환경에서 관찰되는 전술 및 기술을 이해하고, 커버리지의 잠재적 격차를 식별하며, 탐지 전략을 인정된 공격 패턴과 정렬하는 데 도움을 줍니다. 이는 적들이 환경을 공격할 수 있는 방법을 분석하는 구조화된 방법을 제공하며 방어 조치를 우선순위화하는 데 도움을 줍니다.
• 콘텐츠 허브: 콘텐츠 허브는 데이터 커넥터, 분석 규칙, 워크북 및 플레이북을 포함한 사전 패키지된 솔루션의 중앙 집중식 저장소입니다. 이러한 솔루션은 배포를 가속화하고 Office 365, Entra ID 등과 같은 일반 서비스에 대한 모범 사례 구성을 제공하여 보안 태세를 개선하도록 설계되었습니다. 이러한 콘텐츠 팩을 탐색하고 설치 및 업데이트할 수 있어 광범위한 수동 설정 없이 새로운 기술을 Sentinel에 통합하기가 더 쉬워집니다.
• 저장소: 저장소 기능(현재 미리보기 중)은 Sentinel 콘텐츠에 대한 버전 관리를 가능하게 합니다. GitHub 또는 Azure DevOps와 같은 소스 제어 시스템과 통합되어 분석 규칙, 워크북, 플레이북 및 기타 구성을 코드로 관리할 수 있습니다. 이 접근 방식은 변경 관리 및 협업을 개선할 뿐만 아니라 필요할 경우 이전 버전으로 롤백하기도 더 쉽게 만듭니다.
• 작업 공간 관리: Microsoft Sentinel의 작업 공간 관리자는 사용자가 하나 이상의 Azure 테넌트 내에서 여러 Microsoft Sentinel 작업 공간을 중앙에서 관리할 수 있도록 합니다. 중앙 작업 공간(작업 공간 관리자가 활성화된 경우)은 콘텐츠 항목을 통합하여 회원 작업 공간에 대규모로 게시할 수 있습니다.
• 데이터 커넥터: 데이터 커넥터 페이지는 Sentinel로 데이터를 가져오는 모든 사용 가능한 커넥터를 나열합니다. 각 커넥터는 특정 데이터 소스(Microsoft 및 타사 모두)에 대해 사전 구성되어 있으며 연결 상태를 표시합니다. 데이터 커넥터를 설정하는 것은 일반적으로 몇 번의 클릭으로 이루어지며, 그 후 Sentinel은 해당 출처에서 로그를 수집하고 분석하기 시작합니다. 이 영역은 연결된 데이터 소스의 범위와 구성에 따라 보안 모니터링의 품질과 범위가 달라지기 때문에 중요합니다.
• 분석: 분석 블레이드에서 Sentinel의 경고를 지원하는 탐지 규칙을 생성하고 관리합니다. 이러한 규칙은 로그 데이터에서 의심스러운 패턴이나 임계값 위반을 식별하기 위해 일정에 따라(또는 거의 실시간으로) 실행되는 쿼리입니다. Microsoft에서 제공하는 내장 템플릿 중에서 선택하거나 KQL을 사용하여 사용자 정의 규칙을 작성할 수 있습니다. 분석 규칙은 경고가 생성되는 방법과 시기를 결정하며, 이는 사건이 형성되고 우선 순위가 매겨지는 방식에 직접적인 영향을 미칩니다.
• 워치리스트: Microsoft Sentinel 워치리스트는 Microsoft Sentinel 환경의 이벤트와 상관시키기 위해 외부 데이터 소스에서 데이터를 수집할 수 있도록 합니다. 생성된 후에는 검색, 탐지 규칙, 위협 헌팅, 워크북 및 대응 플레이북에서 워치리스트를 활용할 수 있습니다.
• 자동화: 자동화 규칙은 사건 처리의 모든 자동화를 중앙에서 관리할 수 있도록 합니다. 자동화 규칙은 Microsoft Sentinel에서 자동화 사용을 간소화하고 사건 조정 프로세스를 위한 복잡한 워크플로우를 단순화할 수 있도록 합니다.