Microsoft Sentinel 그래프는 보안, 규정 준수, ID 및 Microsoft 보안 에코시스템 전반에서 그래프 기반 환경을 지원하는 Microsoft Sentinel 내의 통합 그래프 분석 기능으로, 보안 팀이 디지털 자산 전체에서 복잡한 관계를 모델링, 분석 및 시각화할 수 있도록 지원합니다.
기존의 테이블 형식 데이터 접근 방식과 달리 Sentinel 그래프를 사용하면 Defender 및 AI 에이전트가 상호 연결된 자산, ID, 활동 및 위협 인텔리전스를 추론하여 더 깊은 인사이트를 잠금 해제하고 위반 전 및 위반 후 사이버 위협에 대한 대응을 가속화할 수 있습니다. 그래프는 기본적으로 사용자, 디바이스, 클라우드 리소스, 데이터 흐름, 활동 및 공격자 작업의 실제 웹을 나타냅니다. 이러한 관계를 노드 및 에지로 표시하여 보안 팀은 특정 사용자 계정이 손상될 경우 발생할 수 있는 작업과 같이 테이블로 인해 어렵거나 불가능한 질문에 답할 수 있습니다. 또는 손상된 문서의 폭발 반경이란?
모든 단계에서 방어 사용
Sentinel 그래프는 모든 방어 단계에서 도움을 주기 위해 상호 연결된 보안 그래프를 제공합니다. 그래프 기능은 Defender 및 Microsoft Purview 전체의 새로운 시나리오로 확장되고 있으며, 위반 전부터 위반 후, 자산, 활동 및 위협 인텔리전스에 이르기까지 모든 단계에서 그래프 기반 방어 전략을 제공합니다.
예를 들어 디지털 환경에는 Active Directory, 서버, 가상 머신 및 기타 자산, 취약성, 잘못된 구성 및 과도한 권한이 일반적이며 손상된 계정을 통해 보안 위반의 위험을 증가시킬 수 있습니다. 공격자는 조직에 침투하여 토큰을 손상시키고 결국 중요한 정보에 액세스하여 데이터 반출을 초래할 수 있습니다.
Microsoft Sentinel 그래프는 활동, 자산 및 위협 인텔리전스 기능을 상호 연결하고, 이러한 네트워크에서 분석을 강화하고, 위반 전 및 위반 후 Microsoft 솔루션 전체에서 포괄적인 그래프 기반 보안을 가능하게 하는 기본 그래프 분석 기능을 제공합니다.
- MSEM(Microsoft Security Exposure Management) 및 MDC(Microsoft Defender for Cloud) 내의 공격 경로와 같은 기능은 공격 표면을 사전에 관리하고, 중요한 자산을 보호하며, 노출 위험을 탐색하고 완화하기 위한 권장 사항을 제공합니다.
- [신규] Defender의 인시던트 그래프에서 폭발 반경 분석을 통해 공격자가 손상 엔터티에서 중요한 자산으로 취할 수 있는 취약한 경로를 평가하고 시각화할 수 있습니다.
- [신규] Defender의 그래프 기반 헌팅을 사용하면 사용자, 디바이스 및 기타 엔터티 간의 복잡한 관계 웹을 시각적으로 트래버스하여 중요한 자산에 대한 권한 있는 액세스 경로를 표시하여 인시던트 및 대응 작업의 우선 순위를 지정할 수 있습니다.
- [신규] Microsoft Purview Insider Risk Management를 통한 활동 분석은 사용자 위험 평가를 지원하고 SharePoint 및 OneDrive에서 위험한 사용자 활동의 데이터 유출 폭발 반경을 식별하는 데 도움이 됩니다.
- [신규] Microsoft Purview 데이터 보안 조사 그래프는 중요한 데이터 액세스 및 이동을 가리키고, 잠재적인 반출 경로를 매핑하고, 위험한 파일에 연결된 사용자 및 활동을 모두 하나의 보기로 시각화하여 위반 범위를 쉽게 이해할 수 있습니다.
전체적으로 Microsoft Sentinel 그래프의 기능을 통해 보안 수명 주기의 모든 단계에서 방어할 수 있습니다.
Microsoft 보안 솔루션과 통합
Microsoft Sentinel 그래프는 Microsoft의 보안 포트폴리오에서 새로운 고급 기능을 제공합니다.
| 해결 방법 | Capability | Description |
|---|---|---|
| Microsoft Defender XDR | Blast Radius로 확장된 인시던트 그래프 | 하나의 통합 그래프에서 위반의 현재 영향 및 향후 영향 시각화 |
| Microsoft Defender XDR | Defender의 탐색 그래프 | 대화형으로 그래프를 트래버스하여 자산 간의 숨겨진 관계를 파악합니다. |
| Microsoft Purview | 내부 위험 관리의 데이터 위험 그래프 | 사용자 활동을 매핑하여 데이터 반출 패턴을 감지하고 데이터 유출 폭발 반경 이해 |
| Microsoft Purview | 데이터 보안 조사의 데이터 위험 그래프 | 중요한 데이터 액세스 및 이동을 추적합니다. 데이터 유출 영향 범위 이해 |
시작하기
Microsoft Sentinel 그래프 사용을 시작하려면 다음을 수행합니다.
- Sentinel 데이터 레이크가 이미 있는 경우 Defender 포털에 로그인할 때 필요한 그래프가 자동으로 프로비전됩니다. 탐색 그래프 및 폭발 반경 경험이 Defender 포털에 표시됩니다.
- 데이터 레이크가 처음이신가요? Sentinel 데이터 레이크 온보딩 프로세스를 사용하여 데이터 레이크 및 그래프를 활성화합니다.
Pricing
모든 새로운 Microsoft Sentinel 그래프 기반 환경은 기존 Defender 및 Microsoft Purview 라이선스의 일부로 포함됩니다. 그러나 Sentinel 그래프는 Sentinel 데이터 레이크를 기반으로 하며 데이터 원본을 사용하도록 설정해야 합니다. 데이터 원본을 사용하도록 설정하면 수집, 데이터 처리 및 데이터 레이크 스토리지 비용이 발생합니다. Sentinel SIEM 고객의 경우 대부분의 필수 데이터 원본은 Sentinel의 무료 데이터 원본 의 일부이며 데이터가 분석 계층으로 수집된 후 레이크에서 무료로 사용할 수 있습니다. 인증되지 않은 원본(예: Microsoft Entra ID 로그)은 레이크에 직접 로드되는 경우 수집, 데이터 처리, 데이터 레이크 저장 비용이 발생합니다. 분석 계층에 로드되면 분석 계층의 수집 비용이 발생합니다. 자세한 내용은 Sentinel 데이터 레이크 청구를 참조하세요.