Microsoft Sentinel의 새로운 기능

  • 아티클

이 문서에는 Microsoft Sentinel에 추가된 최신 기능과 Microsoft Sentinel에서 향상된 사용자 환경을 제공하는 관련 서비스의 새로운 기능이 나열되어 있습니다.

나열된 기능은 지난 3개월 동안 릴리스되었습니다. 이전에 제공된 기능에 대한 자세한 내용은 기술 커뮤니티 블로그를 참조하세요.

https://aka.ms/sentinel/rss URL을 복사하여 피드 reader에 붙여넣어 이 페이지가 업데이트되면 알림을 받습니다.

참고 항목

US Government 클라우드의 기능 가용성에 대한 자세한 내용은 US Government 고객을 위한 클라우드 기능 가용성의 Microsoft Sentinel 표를 참조하세요.

2024년 9월

SIEM 마이그레이션 환경에 추가된 스키마 매핑

SIEM 마이그레이션 환경이 2024년 5월에 일반 공급된 이후 Splunk에서 보안 모니터링을 마이그레이션하는 데 도움이 되도록 꾸준히 개선되었습니다. 다음과 같은 새로운 기능을 통해 고객은 Splunk 환경 및 사용에 대한 자세한 상황별 세부 정보를 Microsoft Sentinel SIEM 마이그레이션 번역 엔진에 제공할 수 있습니다.

  • 스키마 매핑
  • 번역에서 Splunk 매크로 지원
  • 번역에서 Splunk 조회 지원

이러한 업데이트에 대한 자세한 내용은 SIEM 마이그레이션 환경을 참조 하세요.

SIEM 마이그레이션 환경에 대한 자세한 내용은 다음 문서를 참조하세요.

2025년 2월에 타사 보강 위젯이 사용 중지됨

즉시 적용되어 외부의 타사 데이터 원본에서 데이터를 검색하는 보강 위젯을 만드는 기능을 더 이상 사용하도록 설정할 수 없습니다. 이러한 위젯은 Microsoft Sentinel 엔터티 페이지와 엔터티 정보가 제공되는 다른 위치에 표시됩니다. 이 변경은 외부 데이터 원본에 액세스하는 데 필요한 Azure Key Vault를 더 이상 만들 수 없기 때문에 발생합니다.

이미 타사 보강 위젯을 사용하고 있는 경우, 즉 이 키 자격 증명 모음이 이미 존재한다면 이전에 사용하지 않았던 위젯을 구성하여 사용할 수 있지만, 그렇게 하지 않는 것이 좋습니다.

2025년 2월부터 타사 원본에서 데이터를 검색하는 기존 보강 위젯은 엔터티 페이지나 다른 어느 곳에서도 표시되지 않습니다.

사용자의 조직에서 타사 보강 위젯을 사용하는 경우 이 목적으로 만든 키 자격 증명 모음을 리소스 그룹에서 삭제하여 미리 사용하지 않도록 설정하는 것이 좋습니다. 키 자격 증명 모음의 이름은 "위젯"으로 시작합니다.

1차 데이터 원본을 기반으로 하는 보강 위젯은 이 변경의 영향을 가져오지 않으며, 이전과 마찬가지로 계속 작동합니다. "제1자 데이터 원본"에는 외부 원본에서 Microsoft Sentinel로 이미 수집된 모든 데이터(즉, Log Analytics 작업 영역의 표에 있는 모든 데이터)와 Microsoft Defender 위협 인텔리전스가 포함됩니다.

이제 Microsoft Sentinel에 대한 사전 구매 플랜 사용 가능

사전 구매 플랜은 Azure 예약의 한 유형입니다. 사전 구매 플랜을 구매하면 특정 제품에 대한 할인 계층에서 CU(커밋 단위)를 받게 됩니다. Microsoft Sentinel SCU(커밋 단위)는 작업 영역에서 적격 비용에 적용됩니다. 예측 가능한 비용이 있는 경우 올바른 사전 구매 플랜을 선택하면 비용을 절감할 수 있습니다.

자세한 내용은 사전 구매 계획을 통해 비용 최적화를 참조하세요.

이제 자동화 규칙의 가져오기/내보내기가 GA(일반 공급) 상태임

자동화 규칙을 JSON 형식으로 ARM(Azure Resource Manager) 템플릿으로 내보내고 ARM 템플릿에서 가져오는 기능은 이제 짧은 미리 보기 기간 후에 일반 공급됩니다.

내보내고 가져오는 자동화 규칙에 대해 자세히 알아봅니다.

Google Cloud Platform 데이터 커넥터는 이제 GA(일반 공급)됩니다.

CCP(Codeless Connector Platform)를 기준으로 하는 Microsoft Sentinel의GCP(Google Cloud Platform) 데이터 커넥터는 이제 일반 공급됩니다. 이러한 커넥터를 사용하면 GCP Pub/Sub 기능을 사용하여 GCP 환경에서 로그를 수집할 수 있습니다.

  • GCP(Google Cloud Platform) Pub/Sub 감사 로그 커넥터는 GCP 리소스에 대한 액세스의 감사 내역을 수집합니다. 분석가는 이러한 로그를 모니터링하여 리소스 액세스 시도를 추적하고 GCP 환경 내의 잠재적인 위협을 검색할 수 있습니다.

  • GCP(Google Cloud Platform) 보안 명령 센터 커넥터는 Google Cloud의 강력한 보안 및 위험 관리 플랫폼인 Google Security Command Center에서 결과를 수집합니다. 분석가는 이러한 결과를 확인하여 자산 인벤토리 및 검색, 취약성 및 위협 탐지, 위험 완화 및 수정을 포함하여 조직의 보안 태세에 대한 인사이트를 얻을 수 있습니다.

이러한 커넥터에 대한 자세한 내용은 Google Cloud Platform 로그 데이터를 Microsoft Sentinel에 수집을 참조하세요.

Microsoft Sentinel이 이제 Azure 이스라엘 중부에서 GA(일반 공급) 상태

이제 Microsoft Sentinel을 이스라엘 중부 Azure 지역에서 사용할 수 있으며, Azure Commercial 지역과 동일한 기능이 제공됩니다.

자세한 내용은 Azure 상업용/기타 클라우드에 대한 Microsoft Sentinel 기능 지원지리적 가용성 및 데이터 상주를 참조하세요.

2024년 8월

Log Analytics 에이전트 사용 중지

2024년 8월 31일부터 Log Analytics 에이전트(MMA/OMS)가 사용 중지됩니다.

이제 많은 어플라이언스 및 디바이스의 로그 수집이 Microsoft Sentinel의 AMA를 통한 CEF(Common Event Format), AMA를 통한 Syslog 또는 AMA 데이터 커넥터를 통한 사용자 지정 로그에서 지원됩니다. Microsoft Sentinel 배포에서 Log Analytics 에이전트를 사용해 온 경우 AMA(Azure Monitor 에이전트)로 마이그레이션하는 것이 좋습니다.

자세한 내용은 다음을 참조하세요.

자동화 규칙 내보내기 및 가져오기(미리 보기)

Microsoft Sentinel 자동화 규칙을 코드로 관리하세요! 이제 자동화 규칙을 ARM(Azure Resource Manager) 템플릿 파일로 내보내고, 프로그램의 일부로 이러한 파일에서 규칙을 가져와 Microsoft Sentinel 배포를 코드로 관리하고 제어할 수 있습니다. 내보내기 작업은 브라우저의 다운로드 위치에 JSON 파일을 만듭니다. 그러면 이름을 바꾸고, 이동하고, 다른 파일처럼 처리할 수 있습니다.

내보낸 JSON 파일은 작업 영역과 독립적이므로 다른 작업 영역 및 다른 테넌트로도 가져올 수 있습니다. 코드로서, 관리형 CI/CD 프레임워크에서 버전을 제어하고 업데이트하고 배포할 수도 있습니다.

파일에는 자동화 규칙에 정의된 모든 매개 변수가 포함됩니다. 모든 트리거 형식의 규칙을 JSON 파일로 내보낼 수 있습니다.

내보내고 가져오는 자동화 규칙에 대해 자세히 알아봅니다.

Microsoft Defender 다중 테넌트 관리의 Microsoft Sentinel 지원(미리 보기)

Microsoft Sentinel을 Microsoft 통합 보안 운영 플랫폼에 온보딩한 경우 이제 Microsoft Defender 다중 테넌트 관리의 Defender XDR 데이터와 함께 Microsoft Sentinel 데이터를 사용할 수 있습니다. 현재 Microsoft 통합 보안 운영 플랫폼에서는 테넌트당 하나의 Microsoft Sentinel 작업 영역만 지원됩니다. 따라서 Microsoft Defender 다중 테넌트 관리는 테넌트당 하나의 Microsoft Sentinel 작업 영역에서 SIEM(보안 정보 및 이벤트 관리) 데이터를 표시합니다. 자세한 내용은 Microsoft Defender 포털 Microsoft Defender 다중 테넌트 관리Microsoft Defender 포탈에서 Mimicrosoft Sentinel을 참조하세요.

프리미엄 Microsoft Defender 위협 인텔리전스 데이터 커넥터(미리 보기)

Microsoft Defender 위협 인텔리전스(MDTI)에 대한 프리미엄 라이선스는 이제 모든 프리미엄 지표를 작업 영역에 직접 수집할 수 있는 기능을 잠금 해제합니다. 프리미엄 MDTI 데이터 커넥터는 Microsoft Sentinel 내의 헌팅 및 연구 기능에 더 많은 기능을 추가합니다.

자세한 내용은 위협 인텔리전스의 이해를 참조하세요.

syslog 수집을 위한 통합 AMA 기반 커넥터

Log Analytics 에이전트의 사용 중지가 임박하면서 Microsoft Sentinel은 Syslog, CEF 및 사용자 지정 형식 로그 메시지의 수집 및 수집을 AMA(Azure Monitor 에이전트)를 기반으로 하는 세 가지 다목적 데이터 커넥터로 통합했습니다.

  • 로그가 Log Analytics의 Syslog 테이블에 수집되는 모든 디바이스의 경우, AMA를 통해 Syslog.
  • 로그가 Log Analytics의 CommonSecurityLog 테이블에 수집되는 모든 디바이스의 경우, AMA 통해 CEF(Common Event Format).
  • 새로운 기능 AMA를 통한 사용자 지정 로그(미리 보기)- Log Analytics에서 이름이 _CL로 끝나는 사용자 지정 테이블에 로그가 수집되는 15개 디바이스 유형 또는 목록에 없는 디바이스의 경우

이러한 커넥터는 레거시 Log Analytics 에이전트(MMA 또는 OMS라고도 함) 또는 현재 Azure Monitor 에이전트를 기반으로 한 개별 디바이스 및 어플라이언스 유형에 대한 거의 모든 기존 커넥터를 대체합니다. 이러한 모든 디바이스 및 어플라이언스에 대한 콘텐츠 허브에서 제공되는 솔루션에는 이제 솔루션에 적합한 세 가지 커넥터 중 어느 것이 포함됩니다.* 대체된 커넥터는 이제 데이터 커넥터 갤러리에서 "사용되지 않음"으로 표시됩니다.

각 디바이스의 커넥터 페이지에서 이전에 찾은 데이터 수집 그래프는 이제 각 디바이스의 솔루션으로 패키지된 디바이스별 통합 문서에서 찾을 수 있습니다.

* 이러한 애플리케이션, 디바이스 또는 어플라이언스에 대한 솔루션을 설치할 때 함께 제공되는 데이터 커넥터가 설치되었는지 확인하려면 솔루션 페이지에서 종속성이 있는 설치를 선택한 다음 다음 페이지에 데이터 커넥터를 표시해야 합니다.

이러한 솔루션을 설치하기 위한 업데이트된 절차는 다음 문서를 참조하세요.

Windows 보안 이벤트에 대한 향상된 가시성

Windows 보안 이벤트를 호스트하는 SecurityEvent 테이블의 스키마를 개선했으며 Windows용 AMA(Azure Monitor 에이전트)(버전 1.28.2)와 호환되도록 새 열을 추가했습니다. 이러한 향상된 기능은 수집된 Windows 이벤트의 가시성과 투명성을 높이기 위해 설계되었습니다. 이러한 필드에서 데이터를 받는 데 관심이 없는 경우 수집 시간 변환(예: "project-away")을 적용하여 삭제할 수 있습니다.

새로운 보조 로그 보존 계획(미리 보기)

Log Analytics 테이블을 위한 새로운 보조 로그 보존 계획을 사용하면 훨씬 낮은 비용으로 보안을 강화하는 추가 값으로 대용량 로그를 대량으로 수집할 수 있습니다. 보조 로그는 30일 동안 대화형으로 보존할 수 있으며, 이를 통해 데이터를 요약하고 집계하는 등 단순한 단일 테이블 쿼리를 실행할 수 있습니다. 30일 기간이 지난 후 보조 로그 데이터는 장기 보존으로 전환되며, 최대 12년까지 매우 저렴한 비용으로 보존 기간을 정의할 수 있습니다. 이 계획을 사용하면 장기 보존 데이터에 대한 검색 작업을 실행하여 원하는 레코드만 새 테이블로 추출하여 일반 Log Analytics 테이블처럼 처리할 수 있으며 전체 쿼리 기능이 제공됩니다.

보조 로그에 대해 자세히 알아보고 Analytics 로그와 비교하려면 Microsoft Sentinel의 로그 보존 계획을 참조하세요.

다양한 로그 관리 계획에 대한 자세한 내용은 Azure Monitor 설명서의 Azure Monitor 로그 개요 문서에서 테이블 계획을 참조하세요.

Microsoft Sentinel에서 큰 데이터 집합에 대한 요약 규칙 만들기(미리 보기)

이제 Microsoft Sentinel은 모든 로그 계층에서 보다 원활한 보안 작업 환경을 위해 백그라운드에서 큰 데이터 집합을 집계하는 Azure Monitor 요약 규칙을 사용하여 동적 요약을 만드는 기능을 제공합니다.

  • 검색, 조사, 헌팅 및 보고 활동에서 KQL(Kusto 쿼리 언어)을 통해 요약 규칙 결과에 액세스합니다.
  • 요약된 데이터에 대해 고성능 KQL(Kusto 쿼리 언어) 쿼리를 실행합니다.
  • 조사, 헌팅 및 규정 준수 활동에서 더 오랫동안 요약 규칙 결과를 사용합니다.

자세한 내용은 요약 규칙을 사용하여 Microsoft Sentinel 데이터 집계를 참조하세요.

2024년 7월

이제 SOC 최적화가 일반 공급됨

Azure와 Defender 포털의 SOC 최적화 환경이 이제 데이터 값 및 위협 기반 권장 사항을 포함하여 모든 Microsoft Sentinel 고객에게 일반 공급됩니다.

  • 데이터 값 권장 사항을 사용하면 수집된 청구 가능 로그의 데이터 사용량을 개선하고, 사용률이 낮은 로그에 대한 가시성을 확보하고, 해당 로그에 대한 올바른 탐지 결과나 로그 계층 또는 수집에 대한 올바른 조정을 확인할 수 있습니다.

  • 위협 기반 권장 사항을 사용하면 Microsoft 연구를 기반으로 특정 공격에 대한 보호 범위의 빈틈을 식별하고, 권장 로그 수집과 권장 탐지 추가를 통해 이를 완화할 수 있습니다.

recommendations API는 계속해서 미리 보기로 제공됩니다.

자세한 내용은 다음을 참조하세요.

이제 SAP BTP(Business Technology Platform) 커넥터가 GA(일반 공급)됨

SAP BTP용 Microsoft Sentinel 솔루션이 이제 일반 공급(GA)됩니다. 이 솔루션은 SAP BTP 환경에 대한 표시 여부를 제공하고 위협과 의심스러운 활동을 검색하고 대응하는 데 도움이 됩니다.

자세한 내용은 다음을 참조하세요.

Microsoft 통합 보안 플랫폼 일반 공급

이제 Microsoft Sentinel이 Microsoft Defender 포털의 Microsoft 통합 보안 운영 플랫폼 내에서 일반 공급됩니다. 이 Microsoft 통합 Security 운영 플랫폼에서는 Microsoft Sentinel, Microsoft Defender XDR, Microsoft Copilot의 모든 기능을 Microsoft Defender에 통합합니다. 자세한 내용은 다음 리소스를 참조하세요.

2024년 6월

코드리스 커넥터 플랫폼 일반 공급

CCP(코드리스 커넥터 플랫폼)가 이제 GA(일반 공급)됩니다. 공지 블로그 게시물을 확인하세요.

CCP의 향상된 사항 및 기능에 대한 자세한 내용은 Microsoft Sentinel을 위한 코드리스 커넥터 만들기를 참조하세요.

사용할 수 있는 고급 위협 지표 검색 기능

위협 인텔리전스 검색 및 필터링 기능이 향상되었으며, 이제 Microsoft Sentinel 및 Microsoft Defender 포털에서 동등한 환경을 제공합니다. 검색은 각각 최대 3개의 하위 절을 포함하는 최대 10개의 조건을 지원합니다.

자세한 내용은 위협 지표 보기 및 관리에서 업데이트된 스크린샷을 참조하세요.

다음 단계

Azure Sentinel 온보딩

경고 표시