다음을 통해 공유

Microsoft Defender 포털에 Microsoft Sentinel 연결

  • 아티클
  • 적용 대상:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel 일반적으로 Microsoft Defender 포털에서 Microsoft의 SecOps(통합 보안 운영) 플랫폼 내에서 사용할 수 있습니다. Microsoft Defender XDR 사용하여 Defender 포털에 Microsoft Sentinel 온보딩하는 경우 인시던트 관리 및 고급 헌팅과 같은 기능을 통합합니다. 도구 전환을 줄이고 인시던트 대응을 신속하게 수행하고 위반을 더 빠르게 중지하는 보다 상황에 맞는 조사를 빌드합니다. 자세한 내용은 다음 항목을 참조하세요.

미리 보기의 경우 Microsoft Sentinel Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다.

필수 구성 요소

시작하기 전에 기능 설명서를 검토하여 제품 변경 및 제한 사항을 이해합니다.

Microsoft Defender 포털은 단일 Microsoft Entra 테넌트와 한 번에 하나의 작업 영역에 대한 연결을 지원합니다. 이 문서의 컨텍스트에서 작업 영역은 Microsoft Sentinel 사용하도록 설정된 Log Analytics 작업 영역입니다.

Microsoft Sentinel 필수 구성 요소

Defender 포털에서 Microsoft Sentinel 온보딩하고 사용하려면 다음 리소스와 액세스 권한이 있어야 합니다.

  • Microsoft Sentinel 사용하도록 설정된 Log Analytics 작업 영역

  • 인시던트 및 경고에 대해 Microsoft Sentinel Microsoft Defender XDR 사용할 수 있는 데이터 커넥터입니다. Defender XDR 솔루션을 설치하고 Microsoft Sentinel Defender 포털에 연결하도록 데이터 커넥터를 구성합니다. 자세한 내용은 기본 제공 콘텐츠 Microsoft Sentinel 검색 및 관리를 참조하세요. Defender XDR 데이터 커넥터 내에서 Defender 포털에 Microsoft Sentinel 온보딩한 후 인시던트 및 경고를 연결하는 구성 옵션이 해제되고 비활성화됩니다.

  • Defender 포털에서 Microsoft Sentinel 대한 지원 요청을 온보딩, 사용 및 만들 수 있는 적절한 역할이 있는 Azure 계정입니다. 다음 표에서는 필요한 몇 가지 주요 역할을 강조 표시합니다.

    작업 Microsoft Entra 또는 Azure 기본 제공 역할 필요 범위
    Defender 포털에 Microsoft Sentinel 온보딩 Microsoft Entra ID 전역 관리자 또는 보안 관리자 테넌트
    Microsoft Sentinel 사용하도록 설정된 작업 영역 연결 또는 연결 끊기 소유자 또는
    사용자 액세스 관리자Microsoft Sentinel 기여자    		 - 소유자 또는 사용자 액세스 관리자 역할에

    대한 구독 - Microsoft Sentinel 기여자를 위한 구독, 리소스 그룹 또는 작업 영역 리소스
    Defender 포털에서 Microsoft Sentinel 보기 Microsoft Sentinel 읽기 권한자 구독, 리소스 그룹 또는 작업 영역 리소스
    Sentinel 데이터 테이블 쿼리 또는 인시던트 보기 다음 작업을 사용하는 읽기 권한자 또는 역할 Microsoft Sentinel:
    - Microsoft.OperationalInsights/workspaces/read
    - Microsoft.OperationalInsights/workspaces/query/read
    - Microsoft.SecurityInsights/Incidents/read
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/tasks/read    		 구독, 리소스 그룹 또는 작업 영역 리소스
    인시던트에 대한 조사 작업 수행 microsoft.SecurityInsights/workspaces/read- Microsoft.OperationalInsights/workspaces/query
    /read
    - Microsoft.SecurityInsights/incidents/read
    - Microsoft.SecurityInsights/incidents/write
    - Microsoft.SecurityInsights/incidents/comments/read
    - Microsoft.SecurityInsights/incidents/comments/write
    를 사용하는 Microsoft Sentinel 기여자 또는 역할
    - Microsoft.SecurityInsights/incidents/relations/read
    - Microsoft.SecurityInsights/incidents/relations/write
    - Microsoft.SecurityInsights/incidents/tasks/read
    - Microsoft.SecurityInsights/incidents/tasks/write    		 구독, 리소스 그룹 또는 작업 영역 리소스
    지원 요청 만들기 소유자 또는
    기여자 또는
    지원 요청 기여자 또는 Microsoft.Support/*를 사용하는 사용자 지정 역할    		 구독

    Microsoft Sentinel Defender 포털에 연결한 후 기존 Azure RBAC(역할 기반 액세스 제어) 권한을 통해 액세스 권한이 있는 Microsoft Sentinel 기능을 사용할 수 있습니다. Azure Portal Microsoft Sentinel 사용자에 대한 역할 및 권한을 계속 관리합니다. 모든 Azure RBAC 변경 내용은 Defender 포털에 반영됩니다. Microsoft Sentinel 권한에 대한 자세한 내용은 Microsoft Sentinel 역할 및 사용 권한을 참조하세요. Microsoft Learn리소스별 Microsoft Sentinel 데이터에 대한 액세스 관리 | Microsoft Learn.

Microsoft의 통합 SecOps 플랫폼 필수 구성 요소

Microsoft의 통합 SecOps 플랫폼에서 Defender XDR 기능을 통합하려면 다음 리소스와 액세스 권한이 있어야 합니다.

  • Microsoft Defender XDR 필수 구성 요소에 설명된 대로 Defender XDR 라이선스
  • Defender XDR 대한 계정은 Microsoft Sentinel 연결된 동일한 Microsoft Entra 테넌트 구성원입니다.
  • Microsoft Defender XDR 필수 구성 요소에 설명된 대로 Defender 포털에서 Microsoft Defender XDR 액세스

온보딩 Microsoft Sentinel

Microsoft Sentinel 작업 영역을 Defender 포털에 연결하려면 다음 단계를 완료합니다. Defender XDR(미리 보기) 없이 Microsoft Sentinel 온보딩하는 경우 Microsoft Sentinel 및 Defender 포털과의 연결을 트리거하는 추가 단계가 있습니다.

  1. Microsoft Defender 포털로 이동하여 로그인합니다.

  2. Defender 포털에서 Defender XDR 않고 Microsoft Sentinel 온보딩하려면 다음을 수행합니다.

    1. Microsoft Sentinel 연결을 트리거하려면 조사 & 응답>인시던트 를 선택합니다.
    2. 연결이 완료되기까지 몇 분 정도 기다립니다.

  3. Defender 포털에서 개요를 선택합니다.

  4. 작업 영역 연결을 선택합니다.

  5. 연결하려는 작업 영역을 선택하고 다음을 선택합니다.

  6. 작업 영역 연결과 관련된 제품 변경 내용을 읽고 이해합니다. 이러한 변경 내용은 다음과 같습니다.

    • Microsoft Sentinel 작업 영역의 로그 테이블, 쿼리 및 함수는 Defender 포털 내의 고급 헌팅에서도 사용할 수 있습니다.
    • Microsoft Sentinel 기여자 역할은 구독 내의 Microsoft Threat Protection 및 WindowsDefenderATP 앱에 할당됩니다.
    • 중복 인시던트가 발생하지 않도록 활성 Microsoft 보안 인시던트 만들기 규칙이 비활성화됩니다. 이 변경 내용은 Microsoft 경고에 대한 인시던트 생성 규칙에만 적용되며 다른 분석 규칙에는 적용되지 않습니다.
    • Defender XDR 제품과 관련된 모든 경고는 일관성을 보장하기 위해 기본 Defender XDR 데이터 커넥터에서 직접 스트리밍됩니다. 작업 영역에서 이 커넥터의 인시던트 및 경고가 켜져 있는지 확인합니다.

  7. 연결을 선택합니다.

작업 영역이 연결되면 개요 페이지의 배너에 환경이 준비되었음을 표시합니다. 개요 페이지는 데이터 커넥터 수 및 자동화 규칙과 같은 Microsoft Sentinel 메트릭을 포함하는 새 섹션으로 업데이트됩니다.

Defender 포털에서 Microsoft Sentinel 기능 살펴보기

작업 영역을 Defender 포털에 연결한 후 Microsoft Sentinel 왼쪽 탐색 창에 있습니다. Defender XDR 사용하도록 설정한 경우 개요, 인시던트고급 헌팅과 같은 페이지에는 Microsoft Sentinel 및 Defender XDR 통합 데이터가 있습니다. Defender XDR 사용하도록 설정하지 않은 경우 이러한 페이지에는 Microsoft Sentinel(미리 보기)의 데이터만 포함됩니다. 포털 간의 통합 기능 및 차이점에 대한 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel 참조하세요.

대부분의 기존 Microsoft Sentinel 기능은 Defender 포털에 통합됩니다. 이러한 기능의 경우 Azure Portal Defender 포털의 Microsoft Sentinel 환경이 비슷합니다. 다음 문서를 사용하여 Defender 포털에서 Microsoft Sentinel 작업을 시작할 수 있습니다. 이러한 문서를 사용하는 경우 이 컨텍스트의 시작점은 Azure Portal 대신 Defender 포털이라는 점에 유의하세요.

Defender 포털의 시스템> 설정Microsoft Sentinel 아래에서Microsoft Sentinel 설정을> 찾습니다.

오프보딩 Microsoft Sentinel

한 번에 하나의 작업 영역만 Defender 포털에 연결할 수 있습니다. Microsoft Sentinel 사용하도록 설정된 다른 작업 영역에 연결하려면 현재 작업 영역의 연결을 끊고 다른 작업 영역을 연결합니다.

  1. Microsoft Defender 포털로 이동하여 로그인합니다.

  2. Defender 포털의 시스템 아래에서 설정>Microsoft Sentinel 선택합니다.

  3. 작업 영역 페이지에서 연결된 작업 영역 및 작업 영역 연결 끊기를 선택합니다.

  4. 작업 영역의 연결을 끊는 이유를 제공합니다.

  5. 선택 항목을 확인합니다.

    작업 영역의 연결이 끊어지면 Defender 포털의 왼쪽 탐색 영역에서 Microsoft Sentinel 섹션이 제거됩니다. Microsoft Sentinel 데이터는 더 이상 개요 페이지에 포함되지 않습니다.

다른 작업 영역에 연결하려면 작업 영역 페이지에서 작업 영역 및 작업 영역 연결을 선택합니다.

관련 콘텐츠