대규모로 보안을 관리할 경우 전용 SIEM 시스템을 활용하면 좋음
Azure Sentinel이란?
- Azure Sentinel은 Microsoft의 클라우드 기반 SIEM(보안 정보 및 이벤트 관리) 시스템
- 인텔리전트 보안 분석 및 위협 분석 사용
- 보안 이벤트를 분석할 수 있는 다양한 데이터 원본을 지원
Azure Sentinel 기능
- 대규모로 클라우드 데이터 수집
- 온-프레미스 및 여러 클라우드에서 둘 다 모든 사용자, 디바이스, 애플리케이션 및 인프라에 걸쳐 데이터를 수집합니다.
- 이전에 탐지되지 않은 위협 탐지
- Microsoft의 포괄적인 분석 및 위협 인텔리전스를 사용하여 가양성을 최소화합니다.
- 인공 지능을 사용하여 위협 조사
- 수년 동안 쌓인 Microsoft의 사이버 보안 경험을 활용하여 의심스러운 활동을 대규모로 검토합니다.
- 신속하게 인시던트에 대응
- 일반 작업의 기본 제공 오케스트레이션 및 자동화를 사용합니다.
데이터 원본 연결
회사에서 데이터 원본을 식별하고 연결
- Microsoft 솔루션 연결
- 커넥터는 Microsoft Threat Protection 솔루션, Microsoft 365 원본(Office 365 포함), Azure Active Directory, Windows Defender 방화벽 등의 서비스를 위한 실시간 통합 기능을 제공합니다.
- 다른 서비스 및 솔루션 연결
- 커넥터는 AWS CloudTrail, Citrix Analytics(Security), Sophos XG Firewall, VMware Carbon Black Cloud, OKTA SSO 등을 비롯한 일반 타사 서비스 및 솔루션에 사용할 수 있습니다.
- 업계 표준 데이터 원본 연결
- Azure Sentinel은 CEF(Common Event Format) 메시징 표준, Syslog 또는 REST API를 사용하는 다른 원본의 데이터를 지원합니다.
위협 감지
기본 제공 분석 및 사용자 지정 규칙을 사용하여 위협 탐지하고 알림을 받을 수 있음
기본 제공 분석
- 알려진 위협, 일반적인 공격 벡터 및 의심스러운 활동에 대한 에스컬레이션 체인을 바탕으로 Microsoft의 보안 전문가 및 분석가 팀이 설계한 템플릿을 사용
- Microsoft 소유의 알고리즘을 기반으로 하는 기계 학습 동작 분석을 사용하는 템플릿도 존재
사용자 지정 분석
- 환경 내에서 특정 조건을 검색하기 위해 만드는 규칙
- 쿼리에서 과거의 로그 이벤트를 기반으로 생성하는 결과 수를 미리 보고 쿼리를 실행할 일정을 설정 가능
- 경고 임계값도 설정 가능
조사 및 대응
회사에서는 조사 그래프를 사용하여 경고에 직접 연결된 엔티티의 정보를 검토하고 조사를 안내하는 데 도움이 되는 일반적인 탐색 쿼리 확인 가능
Azure Monitor를 사용하여 위협에 대한 대응 자동화 가능
- 경고가 트리거되면 IT 티켓팅 시스템에서 티켓을 엽니다.
- Microsoft Teams 또는 Slack에서 보안 작업 채널로 메시지를 보내서 보안 분석가가 인시던트를 인식하도록 합니다.
- 경고의 모든 정보를 선임 네트워크 관리자 및 보안 관리자에게 전송합니다. 이메일 메시지에는 차단 또는 무시 의 두 가지 사용자 옵션 단추가 있습니다.