소개

• 5분

여러분이 뉴욕에 지사가 있는 런던 소재의 중간 규모 금융 서비스 회사인 Contoso, Ltd의 보안 엔지니어라고 가정해 보겠습니다. Contoso는 다음 Microsoft 보안 관리 제품을 사용합니다.

• Microsoft 365
• Microsoft Entra ID
• Microsoft Entra ID 보호
• Microsoft Defender for Cloud 앱
• Microsoft Defender for Identity
• 엔드포인트에 대한 Microsoft Defender
• Office 365용 Microsoft Defender
• Intune Endpoint Protection
• Azure Information Protection

Contoso는 클라우드용 Microsoft Defender를 Azure 및 온-프레미스에서 실행되는 리소스에 대한 위협 방지 기능으로 사용합니다. 이 회사는 Microsoft 이외의 자산도 모니터링하고 보호합니다.

최근 회사의 Azure 활동 로그에 따르면 Azure 구독에서 상당수의 VM이 삭제된 것으로 나타났습니다. 이 사건을 분석하고 앞으로 유사한 활동이 발생할 때 경고를 받아야 합니다.

Microsoft Sentinel은 Contoso의 리소스를 보호하는 데 도움이 되는 클라우드 애플리케이션입니다. 이 모듈에서는 Contoso 사용자가 기존 VM을 삭제할 경우 Microsoft Sentinel을 사용하여 인시던트를 만들고 조사하는 방법을 알아봅니다.

학습 목표

• 보안 인시던트 및 Microsoft Sentinel 인시던트 관리에 대해 알아봅니다.
• Microsoft Sentinel 인시던트 증거 및 엔터티 살펴보기
• Microsoft Sentinel을 사용하여 보안 인시던트 조사 및 인시던트 해결 관리

사전 요구 사항

• 조직 내 보안 운영 관련 지식
• 기본적인 Azure 서비스 사용 경험
• 모니터링, 로그, 경고 같은 운영 개념에 관한 지식.
• Microsoft Sentinel 규칙에 대한 기본 지식.