인시던트 이해
조직에 대한 기술 관련 위협을 인시던트라고 합니다. 인시던트 관리는 인시던트 생성 후 심층 조사를 통해 해결에 이르는 전체 인시던트 조사 프로세스입니다. Microsoft Sentinel은 IT 팀이 생성에서 해결에 이르기까지 인시던트를 구성, 조사 및 추적하는 데 도움을 줄 수 있습니다.
Microsoft Sentinel을 사용하여 자세한 인시던트 정보를 검토하고, 인시던트 소유자를 할당하고, 인시던트 심각도를 설정 및 유지 관리하며, 인시던트 상태를 관리할 수 있습니다. Microsoft Sentinel은 이러한 단계를 처리하기 위한 완전한 인시던트 관리 환경을 제공합니다.
주요 개념
다음과 같은 주요 Microsoft Sentinel 인시던트 관리 개념을 이해하는 것이 중요합니다.
- 데이터 커넥터. Microsoft Sentinel 데이터 커넥터를 사용하여 보안 관련 서비스에서 데이터를 수집할 수 있습니다. 데이터 커넥터는 Log Analytics 에이전트를 실행하는 Linux 또는 Windows 컴퓨터, Linux syslog 서버(방화벽 또는 프록시와 같은 디바이스의 경우) 또는 Microsoft Azure 서비스에서 직접 이벤트를 수집할 수 있습니다. 이러한 이벤트는 Microsoft Sentinel과 연결된 Log Analytics 작업 영역으로 전달됩니다.
- 이벤트. Microsoft Sentinel은 Log Analytics 작업 영역에 이벤트를 저장합니다. 이러한 이벤트에는 Microsoft Sentinel로 모니터링하려는 보안 관련 활동의 세부 정보가 포함되어 있습니다.
- 분석 규칙. 분석 규칙은 중요한 보안 이벤트를 탐지하고 경고를 생성합니다. 기본 제공 템플릿을 사용하거나 Microsoft Sentinel의 Log Analytics 작업 영역에 대해 사용자 지정 KQL(Kusto 쿼리 언어) 쿼리를 사용하여 분석 규칙을 만들 수 있습니다.
- 경고. 분석 규칙은 중요한 보안 이벤트를 탐지할 때 경고를 생성합니다. 인시던트를 생성하도록 경고를 구성할 수 있습니다.
- 인시던트. Microsoft Sentinel은 분석 규칙 경고에서 인시던트를 만듭니다. 인시던트는 여러 관련 경고를 포함할 수 있습니다. 각 인시던트를 시작점 및 추적 메커니즘으로 사용하여 사용자 환경의 보안 문제를 조사합니다.
Microsoft Sentinel 개요 페이지
Microsoft Sentinel의 인시던트 관리는 개요 페이지에서 시작되며, 여기서 현재 Microsoft Sentinel 환경을 검토할 수 있습니다. 개요 페이지에는 최신 인시던트 목록이 다른 중요한 Microsoft Sentinel 정보와 함께 표시됩니다. 인시던트를 조사하기 전에 이 페이지를 사용하여 일반적인 보안 상황을 파악할 수 있습니다.
