다음을 통해 공유

Microsoft Sentinel의 새로운 기능

  • 아티클

이 문서에는 Microsoft Sentinel에 추가된 최신 기능과 Microsoft Sentinel에서 향상된 사용자 환경을 제공하는 관련 서비스의 새로운 기능이 나열되어 있습니다. Microsoft의 SecOps(통합 보안 작업) 플랫폼의 새로운 기능은 통합 SecOps 플랫폼 설명서를 참조 하세요.

나열된 기능은 지난 3개월 동안 릴리스되었습니다. 이전에 제공된 기능에 대한 자세한 내용은 기술 커뮤니티 블로그를 참조하세요.

https://aka.ms/sentinel/rss URL을 복사하여 피드 reader에 붙여넣어 이 페이지가 업데이트되면 알림을 받습니다.

참고 항목

US Government 클라우드의 기능 가용성에 대한 자세한 내용은 US Government 고객을 위한 클라우드 기능 가용성의 Microsoft Sentinel 표를 참조하세요.

2024년 12월

유사한 조직을 기반으로 하는 새로운 SOC 최적화 권장 사항(미리 보기)

SOC 최적화에는 이제 유사한 산업 및 부문의 다른 고객의 보안 태세와 유사한 데이터 수집 패턴에 따라 작업 영역에 데이터 원본을 추가하기 위한 새로운 권장 사항이 포함되어 있습니다. 권장되는 데이터 원본을 추가하여 조직의 보안 범위를 개선합니다.

자세한 내용은 권장 사항의 SOC 최적화 참조를 참조하세요.

SAP 애플리케이션에 대한 에이전트 없는 배포(제한된 미리 보기)

SAP 애플리케이션용 Microsoft Sentinel 솔루션은 이제 SAP 자체 클라우드 플랫폼 기능을 사용하여 에이전트 없는 배포를 지원하여 간소화된 에이전트 없는 배포 및 연결을 제공합니다. 가상 머신 및 컨테이너화된 에이전트를 배포하는 대신 SAP Cloud Connector 및 기존 연결을 백 엔드 ABAP 시스템에 사용하여 SAP 시스템을 Microsoft Sentinel에 연결합니다.

에이전트 없는 솔루션대부분의 SAP 고객에게 이미 익숙한 SAP Cloud Connector 및 SAP Integration Suite를 사용합니다. 따라서 특히 Docker, Kubernetes 및 Linux 관리에 익숙하지 않은 배포 시간이 크게 줄어듭니다. SAP Cloud Connector를 사용하면 솔루션은 기존 설정 및 설정된 통합 프로세스에서 수익을 창출합니다. 즉, SAP Cloud Connector를 실행하는 사용자가 이미 해당 프로세스를 거쳤기 때문에 네트워크 문제를 다시 해결할 필요가 없습니다.

에이전트 없는 솔루션은 SAP S/4HANA Cloud, SAP를 사용하는 Private Edition RISE, SAP S/4HANA 온-프레미스 및 SAP ECC(ERP Central Component)와 호환되므로 검색, 통합 문서 및 플레이북을 비롯한 기존 보안 콘텐츠의 지속적인 기능을 보장합니다.

Important

Microsoft Sentinel의 에이전트 없는 솔루션 은 시험판 제품으로 제한된 미리 보기로 제공되며, 상업적으로 출시되기 전에 실질적으로 수정될 수 있습니다. Microsoft는 여기에 제공된 정보와 관련하여 명시되거나 묵시적인 보증을 하지 않습니다. 또한 에이전트 없는 솔루션액세스하려면 등록이 필요하며 미리 보기 기간 동안 승인된 고객 및 파트너만 사용할 수 있습니다.

자세한 내용은 다음을 참조하세요.

이제 Microsoft Sentinel 통합 문서를 Microsoft Defender 포털에서 직접 볼 수 있습니다.

Microsoft Sentinel 통합 문서는 이제 Microsoft의 SecOps(통합 보안 작업) 플랫폼을 사용하여 Microsoft Defender 포털에서 직접 볼 수 있습니다. 이제 Defender 포털에서 Microsoft Sentinel > 위협 관리> 통합 문서를 선택하면 Azure Portal에서 통합 문서에 대해 새 탭이 열리는 대신 Defender 포털에 남아 있습니다. 통합 문서를 편집해야 하는 경우에만 Azure Portal로 계속 탭합니다.

Microsoft Sentinel 통합 문서는 Azure Monitor 통합 문서를 기반으로 하며 Microsoft Sentinel에 수집된 데이터를 시각화하고 모니터링하는 데 도움이 됩니다. 통합 문서에서는 로그 및 쿼리에 대한 분석이 포함된 테이블과 차트를 이미 사용 가능한 도구에 추가합니다.

자세한 내용은 Microsoft Sentinel의 통합 문서를 사용하여 데이터 시각화 및 모니터링을 참조하고 Microsoft Sentinel을 Microsoft Defender XDR에 연결합니다.

Microsoft Business Apps용 통합 Microsoft Sentinel 솔루션

Microsoft Sentinel은 이제 Microsoft Power Platform, Microsoft Dynamics 365 Customer Engagement 및 Microsoft Dynamics 365 Finance and Operations에 대한 통합 솔루션을 제공합니다. 솔루션에는 모든 플랫폼에 대한 데이터 커넥터 및 보안 콘텐츠가 포함됩니다.

업데이트된 솔루션은 Microsoft Sentinel 콘텐츠 허브에서 Dynamics 365 CE 앱Dynamics 365 Finance and Operations 솔루션을 제거합니다. 기존 고객은 이러한 솔루션의 이름이 Microsoft Business Applications 솔루션으로 변경되는 것을 볼 수 있습니다 .

업데이트된 솔루션은 Power Platform 인벤토리 데이터 커넥터도 제거합니다. Power Platform 인벤토리 데이터 커넥터는 이미 배포된 작업 영역에서 계속 지원되지만 다른 작업 영역의 새 배포에는 사용할 수 없습니다.

자세한 내용은 다음을 참조하세요.

Microsoft의 통합 보안 운영 플랫폼용 새 설명서 라이브러리

Microsoft Defender 포털에서 Microsoft의 통합 SecOps 플랫폼에 대한 중앙 집중식 설명서를 찾습니다. Microsoft의 통합 SecOps 플랫폼은 Microsoft Sentinel, Microsoft Defender XDR, Microsoft 보안 노출 관리 및 생성 AI의 전체 기능을 Defender 포털에 통합합니다. Microsoft의 통합 SecOps 플랫폼에서 사용할 수 있는 기능과 기능에 대해 알아보고 배포 계획을 시작합니다.

Amazon Web Services WAF 로그용 새 S3 기반 데이터 커넥터(미리 보기)

Microsoft Sentinel의 새로운 S3 기반 커넥터를 사용하여 Amazon Web Services의 WAF(웹 애플리케이션 방화벽)에서 로그를 수집합니다. 이 커넥터는 리소스를 만들기 위해 AWS CloudFormation 템플릿을 사용하여 빠르고 쉽게 자동화된 설정을 처음으로 제공합니다. AWS WAF 로그를 S3 버킷으로 보냅니다. 여기서 데이터 커넥터는 이를 검색하고 수집합니다.

자세한 내용 및 설정 지침은 Microsoft Sentinel을 Amazon Web Services에 연결하여 AWS WAF 로그를 수집하는 방법을 참조 하세요.

2024년 11월

Microsoft Defender 포털의 Microsoft Sentinel 가용성

이전에 Microsoft Sentinel은 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 일반적으로 사용할 수 있다고 발표했습니다.

이제 미리 보기에서 Microsoft Sentinel은 Microsoft Defender XDR 또는 Microsoft 365 E5 라이선스 없이도 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 다음을 참조하세요.

2024년 10월

Microsoft Power Platform용 Microsoft Sentinel 솔루션에 대한 업데이트

2024년 10월 17일부터 Power Apps, Power Platform DLP 및 Power Platform Connectors에 대한 감사 로깅 데이터가 테이블 및 PowerPlatformConnectorActivity 테이블 대신 PowerPlatformDlpActivity PowerAppsActivity테이블로 PowerPlatformAdminActivity 라우팅됩니다.

Microsoft Power Platform용 Microsoft Sentinel 솔루션의 보안 콘텐츠는 Power Apps, Power Platform DLP 및 Power Platform Connectors에 대한 새 테이블 및 스키마로 업데이트됩니다. 작업 영역의 Power Platform 솔루션을 최신 버전으로 업데이트하고 업데이트된 분석 규칙 템플릿을 적용하여 변경 내용을 활용하는 것이 좋습니다. 자세한 내용은 콘텐츠 설치 또는 업데이트를 참조 하세요.

Power Apps, Power Platform DLP 및 Power Platform Connectors에 사용되지 않는 데이터 커넥터를 사용하는 고객은 Microsoft Sentinel 작업 영역에서 이러한 커넥터를 안전하게 분리하고 제거할 수 있습니다. 연결된 모든 데이터 흐름은 Power Platform Admin Activity 커넥터를 사용하여 수집됩니다.

자세한 내용은 메시지 센터를 참조 하세요.

2024년 9월

SIEM 마이그레이션 환경에 추가된 스키마 매핑

SIEM 마이그레이션 환경이 2024년 5월에 일반 공급된 이후 Splunk에서 보안 모니터링을 마이그레이션하는 데 도움이 되도록 꾸준히 개선되었습니다. 다음과 같은 새로운 기능을 통해 고객은 Splunk 환경 및 사용에 대한 자세한 상황별 세부 정보를 Microsoft Sentinel SIEM 마이그레이션 번역 엔진에 제공할 수 있습니다.

  • 스키마 매핑
  • 번역에서 Splunk 매크로 지원
  • 번역에서 Splunk 조회 지원

이러한 업데이트에 대한 자세한 내용은 SIEM 마이그레이션 환경을 참조 하세요.

SIEM 마이그레이션 환경에 대한 자세한 내용은 다음 문서를 참조하세요.

2025년 2월에 타사 보강 위젯이 사용 중지됨

즉시 적용되어 외부의 타사 데이터 원본에서 데이터를 검색하는 보강 위젯을 만드는 기능을 더 이상 사용하도록 설정할 수 없습니다. 이러한 위젯은 Microsoft Sentinel 엔터티 페이지와 엔터티 정보가 제공되는 다른 위치에 표시됩니다. 이 변경은 외부 데이터 원본에 액세스하는 데 필요한 Azure Key Vault를 더 이상 만들 수 없기 때문에 발생합니다.

이미 타사 보강 위젯을 사용하고 있는 경우, 즉 이 키 자격 증명 모음이 이미 존재한다면 이전에 사용하지 않았던 위젯을 구성하여 사용할 수 있지만, 그렇게 하지 않는 것이 좋습니다.

2025년 2월부터 타사 원본에서 데이터를 검색하는 기존 보강 위젯은 엔터티 페이지나 다른 어느 곳에서도 표시되지 않습니다.

사용자의 조직에서 타사 보강 위젯을 사용하는 경우 이 목적으로 만든 키 자격 증명 모음을 리소스 그룹에서 삭제하여 미리 사용하지 않도록 설정하는 것이 좋습니다. 키 자격 증명 모음의 이름은 "위젯"으로 시작합니다.

1차 데이터 원본을 기반으로 하는 보강 위젯은 이 변경의 영향을 가져오지 않으며, 이전과 마찬가지로 계속 작동합니다. "제1자 데이터 원본"에는 외부 원본에서 Microsoft Sentinel로 이미 수집된 모든 데이터(즉, Log Analytics 작업 영역의 표에 있는 모든 데이터)와 Microsoft Defender 위협 인텔리전스가 포함됩니다.

이제 Microsoft Sentinel에 대한 사전 구매 플랜 사용 가능

사전 구매 플랜은 Azure 예약의 한 유형입니다. 사전 구매 플랜을 구매하면 특정 제품에 대한 할인 계층에서 CU(커밋 단위)를 받게 됩니다. Microsoft Sentinel SCU(커밋 단위)는 작업 영역에서 적격 비용에 적용됩니다. 예측 가능한 비용이 있는 경우 올바른 사전 구매 플랜을 선택하면 비용을 절감할 수 있습니다.

자세한 내용은 사전 구매 계획을 통해 비용 최적화를 참조하세요.

이제 자동화 규칙의 가져오기/내보내기가 GA(일반 공급) 상태임

자동화 규칙을 JSON 형식으로 ARM(Azure Resource Manager) 템플릿으로 내보내고 ARM 템플릿에서 가져오는 기능은 이제 짧은 미리 보기 기간 후에 일반 공급됩니다.

내보내고 가져오는 자동화 규칙에 대해 자세히 알아봅니다.

Google Cloud Platform 데이터 커넥터는 이제 GA(일반 공급)됩니다.

CCP(Codeless Connector Platform)를 기준으로 하는 Microsoft Sentinel의GCP(Google Cloud Platform) 데이터 커넥터는 이제 일반 공급됩니다. 이러한 커넥터를 사용하면 GCP Pub/Sub 기능을 사용하여 GCP 환경에서 로그를 수집할 수 있습니다.

  • GCP(Google Cloud Platform) Pub/Sub 감사 로그 커넥터는 GCP 리소스에 대한 액세스의 감사 내역을 수집합니다. 분석가는 이러한 로그를 모니터링하여 리소스 액세스 시도를 추적하고 GCP 환경 내의 잠재적인 위협을 검색할 수 있습니다.

  • GCP(Google Cloud Platform) 보안 명령 센터 커넥터는 Google Cloud의 강력한 보안 및 위험 관리 플랫폼인 Google Security Command Center에서 결과를 수집합니다. 분석가는 이러한 결과를 확인하여 자산 인벤토리 및 검색, 취약성 및 위협 탐지, 위험 완화 및 수정을 포함하여 조직의 보안 태세에 대한 인사이트를 얻을 수 있습니다.

이러한 커넥터에 대한 자세한 내용은 Google Cloud Platform 로그 데이터를 Microsoft Sentinel에 수집을 참조하세요.

Microsoft Sentinel이 이제 Azure 이스라엘 중부에서 GA(일반 공급) 상태

이제 Microsoft Sentinel을 이스라엘 중부 Azure 지역에서 사용할 수 있으며, Azure Commercial 지역과 동일한 기능이 제공됩니다.

자세한 내용은 Azure 상업용/기타 클라우드에 대한 Microsoft Sentinel 기능 지원지리적 가용성 및 데이터 상주를 참조하세요.

2024년 8월

Log Analytics 에이전트 사용 중지

2024년 8월 31일부터 Log Analytics 에이전트(MMA/OMS)가 사용 중지됩니다.

이제 많은 어플라이언스 및 디바이스의 로그 수집이 Microsoft Sentinel의 AMA를 통한 CEF(Common Event Format), AMA를 통한 Syslog 또는 AMA 데이터 커넥터를 통한 사용자 지정 로그에서 지원됩니다. Microsoft Sentinel 배포에서 Log Analytics 에이전트를 사용해 온 경우 AMA(Azure Monitor 에이전트)로 마이그레이션하는 것이 좋습니다.

자세한 내용은 다음을 참조하세요.

자동화 규칙 내보내기 및 가져오기(미리 보기)

Microsoft Sentinel 자동화 규칙을 코드로 관리하세요! 이제 자동화 규칙을 ARM(Azure Resource Manager) 템플릿 파일로 내보내고, 프로그램의 일부로 이러한 파일에서 규칙을 가져와 Microsoft Sentinel 배포를 코드로 관리하고 제어할 수 있습니다. 내보내기 작업은 브라우저의 다운로드 위치에 JSON 파일을 만듭니다. 그러면 이름을 바꾸고, 이동하고, 다른 파일처럼 처리할 수 있습니다.

내보낸 JSON 파일은 작업 영역과 독립적이므로 다른 작업 영역 및 다른 테넌트로도 가져올 수 있습니다. 코드로서, 관리형 CI/CD 프레임워크에서 버전을 제어하고 업데이트하고 배포할 수도 있습니다.

파일에는 자동화 규칙에 정의된 모든 매개 변수가 포함됩니다. 모든 트리거 형식의 규칙을 JSON 파일로 내보낼 수 있습니다.

내보내고 가져오는 자동화 규칙에 대해 자세히 알아봅니다.

Microsoft Defender 다중 테넌트 관리의 Microsoft Sentinel 지원(미리 보기)

Microsoft Sentinel을 Microsoft 통합 보안 운영 플랫폼에 온보딩한 경우 이제 Microsoft Defender 다중 테넌트 관리의 Defender XDR 데이터와 함께 Microsoft Sentinel 데이터를 사용할 수 있습니다. 현재 Microsoft 통합 보안 운영 플랫폼에서는 테넌트당 하나의 Microsoft Sentinel 작업 영역만 지원됩니다. 따라서 Microsoft Defender 다중 테넌트 관리는 테넌트당 하나의 Microsoft Sentinel 작업 영역에서 SIEM(보안 정보 및 이벤트 관리) 데이터를 표시합니다. 자세한 내용은 Microsoft Defender 포털 Microsoft Defender 다중 테넌트 관리Microsoft Defender 포탈에서 Mimicrosoft Sentinel을 참조하세요.

프리미엄 Microsoft Defender 위협 인텔리전스 데이터 커넥터(미리 보기)

Microsoft Defender 위협 인텔리전스(MDTI)에 대한 프리미엄 라이선스는 이제 모든 프리미엄 지표를 작업 영역에 직접 수집할 수 있는 기능을 잠금 해제합니다. 프리미엄 MDTI 데이터 커넥터는 Microsoft Sentinel 내의 헌팅 및 연구 기능에 더 많은 기능을 추가합니다.

자세한 내용은 위협 인텔리전스의 이해를 참조하세요.

syslog 수집을 위한 통합 AMA 기반 커넥터

Log Analytics 에이전트의 사용 중지가 임박하면서 Microsoft Sentinel은 Syslog, CEF 및 사용자 지정 형식 로그 메시지의 수집 및 수집을 AMA(Azure Monitor 에이전트)를 기반으로 하는 세 가지 다목적 데이터 커넥터로 통합했습니다.

  • 로그가 Log Analytics의 Syslog 테이블에 수집되는 모든 디바이스의 경우, AMA를 통해 Syslog.
  • 로그가 Log Analytics의 CommonSecurityLog 테이블에 수집되는 모든 디바이스의 경우, AMA 통해 CEF(Common Event Format).
  • 새로운 기능 AMA를 통한 사용자 지정 로그(미리 보기)- Log Analytics에서 이름이 _CL로 끝나는 사용자 지정 테이블에 로그가 수집되는 15개 디바이스 유형 또는 목록에 없는 디바이스의 경우

이러한 커넥터는 레거시 Log Analytics 에이전트(MMA 또는 OMS라고도 함) 또는 현재 Azure Monitor 에이전트를 기반으로 한 개별 디바이스 및 어플라이언스 유형에 대한 거의 모든 기존 커넥터를 대체합니다. 이러한 모든 디바이스 및 어플라이언스에 대한 콘텐츠 허브에서 제공되는 솔루션에는 이제 솔루션에 적합한 세 가지 커넥터 중 어느 것이 포함됩니다.* 대체된 커넥터는 이제 데이터 커넥터 갤러리에서 "사용되지 않음"으로 표시됩니다.

각 디바이스의 커넥터 페이지에서 이전에 찾은 데이터 수집 그래프는 이제 각 디바이스의 솔루션으로 패키지된 디바이스별 통합 문서에서 찾을 수 있습니다.

* 이러한 애플리케이션, 디바이스 또는 어플라이언스에 대한 솔루션을 설치할 때 함께 제공되는 데이터 커넥터가 설치되었는지 확인하려면 솔루션 페이지에서 종속성이 있는 설치를 선택한 다음 다음 페이지에 데이터 커넥터를 표시해야 합니다.

이러한 솔루션을 설치하기 위한 업데이트된 절차는 다음 문서를 참조하세요.

Windows 보안 이벤트에 대한 향상된 가시성

Windows 보안 이벤트를 호스트하는 SecurityEvent 테이블의 스키마를 개선했으며 Windows용 AMA(Azure Monitor 에이전트)(버전 1.28.2)와 호환되도록 새 열을 추가했습니다. 이러한 향상된 기능은 수집된 Windows 이벤트의 가시성과 투명성을 높이기 위해 설계되었습니다. 이러한 필드에서 데이터를 받는 데 관심이 없는 경우 수집 시간 변환(예: "project-away")을 적용하여 삭제할 수 있습니다.

새로운 보조 로그 보존 계획(미리 보기)

Log Analytics 테이블을 위한 새로운 보조 로그 보존 계획을 사용하면 훨씬 낮은 비용으로 보안을 강화하는 추가 값으로 대용량 로그를 대량으로 수집할 수 있습니다. 보조 로그는 30일 동안 대화형으로 보존할 수 있으며, 이를 통해 데이터를 요약하고 집계하는 등 단순한 단일 테이블 쿼리를 실행할 수 있습니다. 30일 기간이 지난 후 보조 로그 데이터는 장기 보존으로 전환되며, 최대 12년까지 매우 저렴한 비용으로 보존 기간을 정의할 수 있습니다. 이 계획을 사용하면 장기 보존 데이터에 대한 검색 작업을 실행하여 원하는 레코드만 새 테이블로 추출하여 일반 Log Analytics 테이블처럼 처리할 수 있으며 전체 쿼리 기능이 제공됩니다.

보조 로그에 대해 자세히 알아보고 Analytics 로그와 비교하려면 Microsoft Sentinel의 로그 보존 계획을 참조하세요.

다양한 로그 관리 계획에 대한 자세한 내용은 Azure Monitor 설명서의 Azure Monitor 로그 개요 문서에서 테이블 계획을 참조하세요.

Microsoft Sentinel에서 큰 데이터 집합에 대한 요약 규칙 만들기(미리 보기)

이제 Microsoft Sentinel은 모든 로그 계층에서 보다 원활한 보안 작업 환경을 위해 백그라운드에서 큰 데이터 집합을 집계하는 Azure Monitor 요약 규칙을 사용하여 동적 요약을 만드는 기능을 제공합니다.

  • 검색, 조사, 헌팅 및 보고 활동에서 KQL(Kusto 쿼리 언어)을 통해 요약 규칙 결과에 액세스합니다.
  • 요약된 데이터에 대해 고성능 KQL(Kusto 쿼리 언어) 쿼리를 실행합니다.
  • 조사, 헌팅 및 규정 준수 활동에서 더 긴 기간 동안 요약 규칙 결과를 사용합니다.

자세한 내용은 요약 규칙을 사용하여 Microsoft Sentinel 데이터 집계를 참조하세요.

다음 단계

Azure Sentinel 온보딩

경고 표시