다음을 통해 공유

Microsoft Sentinel에서 관심 목록 만들기

  • 적용 대상: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Microsoft Sentinel의 관심 목록은 Microsoft Sentinel 환경의 이벤트와 함께 제공하는 데이터 원본의 데이터를 상호 연결하는 데 도움이 됩니다. 예를 들어 사용자 환경의 높은 가치 자산, 퇴사 직원 또는 서비스 계정 목록을 사용하여 관심 목록을 만들 수 있습니다.

다음 방법 중 원하는 방법을 사용하여 관심 목록을 만들 수 있습니다.

현재 최대 3.8MB 크기의 로컬 파일을 업로드할 수 있습니다. 3.8MB 및 최대 500MB를 넘는 파일은 큰 관심 목록으로 간주됩니다. 대규모 관심 목록을 업로드하려면 Azure Storage 계정에 파일을 업로드합니다. 관심 목록을 만들기 전에 관심 목록의 제한 사항을 검토합니다.

Log Analytics 관심 목록 테이블의 데이터는 28일 동안 보존됩니다.

중요합니다

관심 목록 템플릿의 기능, Azure Storage의 파일에서 관심 목록을 만드는 기능 및 관심 목록을 수동으로 만드는 기능은 현재 미리 보기로 제공됩니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법적 조건이 포함됩니다.

2026년 7월부터 Azure Portal에서 Microsoft Sentinel을 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel을 사용합니다. 2025년 7월부터 많은 새 사용자가 Azure Portal에서 Defender 포털로 자동으로 온보딩 및 리디렉션됩니다. Azure Portal에서 Microsoft Sentinel을 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 에서 제공하는 통합 보안 작업 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다. 자세한 내용은 보안을 강화하기 위해 It's Time to Move: Retiring Microsoft Sentinel's Azure Portal을 참조하세요.

로컬 폴더에서 관심 목록 업로드

로컬 머신에서 CSV 파일을 업로드하여 관심 목록을 만드는 두 가지 방법이 있습니다.

만든 파일에서 관심 목록 업로드

관심 목록 템플릿을 사용하여 파일을 만들지 않은 경우:

  1. Defender 포털에서 Microsoft Sentinel>구성>관심 목록으로 이동합니다.

  2. +새로 만들기를 선택하여 관심 목록 마법사를 엽니다.

    관심 목록 페이지의 관심 목록 추가 옵션 스크린샷

  3. 일반 페이지에서 관심 목록의 이름, 설명 및 별칭을 입력한 다음 다음: 원본을 선택합니다.

    관심 목록 마법사의 관심 목록 일반 탭 스크린샷.

  4. 원본 페이지에서 다음 표의 정보를 사용하여 관심 목록 데이터를 업로드한 다음, 다음: 검토 + 만들기를 선택합니다.

    필드 설명
    원본 유형 로컬 파일
    파일 형식 헤더가 포함된 CSV 파일(.csv)
    머리글 행 앞 줄 수 데이터 파일에 있는 머리글 행 앞의 줄 수를 입력합니다.
    파일 업로드 데이터 파일을 끌어서 놓거나 파일 찾아보기를 선택하고 업로드할 파일을 선택합니다.
    검색 키 다른 데이터와 조인 또는 자주 사용되는 검색 개체로 사용할 관심 목록의 열 이름을 입력합니다. 예를 들어 서버 관심 목록에 국가/지역 이름과 해당 두 글자 국가 코드가 포함되어 있고 검색 또는 조인에 국가 코드를 자주 사용할 것으로 예상되는 경우 코드 열을 SearchKey로 사용합니다.

    참고

    CSV 파일이 3.8MB보다 큰 경우 Azure Storage의 파일에서 큰 관심 목록 만들기에 대한 지침을 사용해야 합니다.

    관심 목록 원본 탭을 보여 주는 스크린샷.

  5. 정보를 검토하고 올바른지 확인한 다음 만들기를 선택합니다.

    관심 목록 검토 페이지의 스크린샷.

    관심 목록이 만들어지면 알림이 표시됩니다.

관심 목록이 생성되고 쿼리에서 새 데이터를 사용할 수 있기까지 몇 분 정도 걸릴 수 있습니다.

템플릿에서 만든 관심 목록 업로드(미리 보기)

입력한 템플릿에서 관심 목록을 만들려면 다음을 수행합니다.

  1. Defender 포털에서 Microsoft Sentinel>구성>관심 목록으로 이동합니다.

  2. 템플릿(미리 보기)을 선택합니다.

  3. 목록에서 적절한 템플릿을 선택하여 오른쪽 창에서 템플릿 세부 정보를 봅니다.

  4. 템플릿에서 만들기를 선택하여 관심 목록 마법사를 엽니다.

    기본 제공 템플릿에서 관심 목록을 만드는 옵션의 스크린샷.

  5. 일반 페이지에서 이름, 설명별칭 필드는 모두 읽기 전용입니다. 다음: 원본을 선택합니다.

  6. 원본 페이지에서 파일 찾아보기를 선택한 다음 템플릿에서 만든 파일을 선택합니다.

  7. 다음: 검토 및 만들기를 선택하고 만들기를 선택합니다. 관심 목록이 만들어지면 알림이 표시됩니다.

관심 목록이 생성되고 쿼리에서 새 데이터를 사용할 수 있기까지 몇 분 정도 걸릴 수 있습니다.

Azure Storage의 파일에서 큰 관심 목록 만들기(미리 보기)

최대 500MB 크기의 대용량 관심 목록 파일이 있는 경우 Azure Storage 계정에 관심 목록 파일을 업로드합니다. 그런 다음, Microsoft Sentinel이 관심 목록 데이터를 검색하도록 공유 액세스 서명 URL을 만듭니다. 공유 액세스 서명 URL은 스토리지 계정의 CSV 파일과 같은 리소스의 리소스 URI 및 공유 액세스 서명 토큰을 모두 포함하는 URI입니다. 마지막으로, Microsoft Sentinel의 작업 영역에 관심 목록을 추가합니다.

공유 액세스 서명에 대한 자세한 내용은 Azure Storage 공유 액세스 서명 토큰을 참조하세요.

1단계: Azure Storage에 관심 목록 파일 업로드

Azure Storage 계정에 큰 관심 목록 파일을 업로드하려면 AzCopy 또는 Azure Portal을 사용합니다.

  1. Azure Storage 계정이 아직 없는 경우 스토리지 계정을 만듭니다. 스토리지 계정은 Microsoft Sentinel의 작업 영역과 다른 리소스 그룹 또는 지역에 있을 수 있습니다.
  2. AzCopy 또는 Azure Portal을 사용하여 관심 목록 데이터와 함께 CSV 파일을 스토리지 계정에 업로드합니다.

AzCopy를 사용하여 파일 업로드

AzCopy v10 명령줄 유틸리티를 사용하여 Blob Storage에 파일과 디렉터리를 업로드합니다. 자세한 내용은 AzCopy를 사용하여 Azure Blob Storage에 파일 업로드를 참조하세요.

  1. 스토리지 컨테이너가 아직 없는 경우 다음 명령을 실행하여 새로 만듭니다.

    azcopy make 
https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>

  2. 다음 명령을 실행하여 파일을 업로드합니다.

    azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'

Azure Portal에서 파일 업로드

AzCopy를 사용하지 않는 경우 Azure Portal을 사용하여 파일을 업로드합니다. Azure Portal의 스토리지 계정으로 이동하여 관심 목록 데이터와 함께 CSV 파일을 업로드합니다.

  1. 기존 스토리지 컨테이너가 아직 없는 경우 컨테이너를 만듭니다. 컨테이너에 대한 공용 액세스 수준의 경우 Private(익명 액세스 없음)으로 설정된 기본값을 사용합니다.
  2. 블록 블롭을 업로드하여 CSV 파일을 스토리지 계정에 업로드합니다.

2단계: 공유 액세스 서명 URL 만들기

Microsoft Sentinel이 관심 목록 데이터를 검색하도록 공유 액세스 서명 URL을 만듭니다.

  1. Azure Portal에서 Blob에 대한 SAS 토큰 만들기의 단계를 따릅니다.
  2. 공유 액세스 서명 토큰 만료 시간을 6시간 이상으로 설정합니다.
  3. 허용된 IP 주소의 기본값을 비워 둠으로 유지합니다.
  4. Blob SAS URL의 값을 복사합니다.

3단계: CORS 탭에 Azure 추가

SAS URI를 사용하기 전에 Azure Portal을 CORS(원본 간 리소스 공유)에 추가합니다.

  1. 스토리지 계정 설정, 리소스 공유 페이지로 이동합니다.
  2. Blob 서비스 탭을 선택합니다.
  3. https://*.portal.azure.net을 허용된 원본 테이블에 추가합니다.
  4. 허용되는 적절한 메서드GETOPTIONS를 선택합니다.
  5. 구성을 저장합니다.

자세한 내용은 Azure Storage에 대한 CORS 지원을 참조하세요.

4단계: 작업 영역에 관심 목록 추가

  1. Defender 포털에서 Microsoft Sentinel>구성>관심 목록으로 이동합니다.

  2. +새로 만들기를 선택하여 관심 목록 마법사를 엽니다.

  3. 일반 페이지에서 관심 목록의 이름, 설명 및 별칭을 입력한 다음 다음: 원본을 선택합니다.

  4. 원본 페이지에서 다음 표의 정보를 사용하여 관심 목록 데이터를 업로드한 다음, 다음: 검토 + 만들기를 선택합니다.

    필드 설명
    원본 유형 Azure Storage(미리 보기)
    데이터 세트의 형식 선택 헤더가 포함된 CSV 파일(.csv)
    머리글 행 앞 줄 수 데이터 파일에 있는 머리글 행 앞의 줄 수를 입력합니다.
    Blob SAS URL(미리 보기) 만든 공유 액세스 URL을 붙여넣습니다.
    검색 키 다른 데이터와 조인 또는 자주 사용되는 검색 개체로 사용할 관심 목록의 열 이름을 입력합니다. 예를 들어 서버 관심 목록에 국가/지역 이름과 해당 두 글자 국가 코드가 포함되어 있고 검색 또는 조인에 국가 코드를 자주 사용할 것으로 예상되는 경우 코드 열을 SearchKey로 사용합니다.

  5. 정보를 검토하고 올바른지 확인한 다음 만들기를 선택합니다. 관심 목록이 만들어지면 알림이 표시됩니다.

대규모 관심 목록을 만들고 쿼리에서 새 데이터를 사용할 수 있는 데 시간이 걸릴 수 있습니다.

관심 목록을 수동으로 만들기(미리 보기)

관심 목록을 처음부터 만들려면 다음을 수행합니다.

  1. Defender 포털에서 Microsoft Sentinel>구성>관심 목록으로 이동합니다.

  2. +새로 만들기를 선택하여 관심 목록 마법사를 엽니다.

  3. 일반 페이지에서 관심 목록의 이름, 설명 및 별칭을 입력한 다음 다음: 원본을 선택합니다.

  4. 원본 페이지에서 원본 유형으로 수동(미리 보기)을 선택합니다.

  5. 관심 목록에 대한 열 이름을 추가하고 정의합니다. 검색 키 역할을 하는 열을 선택합니다. 이 키는 관심 목록의 열로, 다른 데이터 또는 검색의 빈번한 개체와의 조인으로 사용할 것으로 예상됩니다.

    관심 목록을 수동으로 만드는 옵션의 스크린샷.

  6. “다음: 검토 + 만들기”를 선택합니다.

  7. 정보를 검토하고 올바른지 확인한 다음 만들기를 선택합니다. 관심 목록이 만들어지면 알림이 표시됩니다.

관심 목록이 생성되고 쿼리에서 새 데이터를 사용할 수 있기까지 몇 분 정도 걸릴 수 있습니다.

참고

수동으로 만드는 관심 목록에는 기본값을 사용하는 단일 항목이 자동으로 포함됩니다. 필요에 따라 이 항목을 업데이트할 수 있습니다. 자세한 내용은 관심 목록 관리를 참조하세요.

관심 목록 상태 보기

작업 영역에서 관심 목록의 상태를 보려면 다음을 수행합니다.

  1. Defender 포털에서 Microsoft Sentinel>구성>관심 목록으로 이동합니다.

  2. 내 관심 목록 탭에서 관심 목록을 선택합니다.

  3. 세부 정보 페이지에서 상태(미리 보기)를 검토합니다.

    관심 목록의 상태를 보여 주는 스크린샷.

  4. 상태가 성공하면로그에서 보기를 선택하여 쿼리에서 관심 목록을 사용합니다. 관심 목록이 Log Analytics에 표시되는 데 몇 분 정도 걸릴 수 있습니다.

    로그에서 보기 단추가 강조 표시된 관심 목록 페이지의 스크린샷.

관심 목록 템플릿 다운로드(미리 보기)

Microsoft Sentinel에서 관심 목록 템플릿 중 하나를 다운로드하여 사용자 데이터로 채웁니다. 그런 다음, Microsoft Sentinel에서 관심 목록을 만들 때 해당 파일을 업로드합니다.

각 기본 제공 관심 목록 템플릿에는 템플릿과 연결된 CSV 파일에 나열된 고유한 데이터 집합이 포함됩니다. 자세한 내용은 기본 제공 관심 목록 스키마를 참조하세요.

관심 목록 템플릿 중 하나를 다운로드하려면 다음을 수행합니다.

  1. Defender 포털에서 Microsoft Sentinel>구성>관심 목록으로 이동합니다.

  2. 템플릿(미리 보기)을 선택합니다.

  3. 목록에서 템플릿을 선택하여 오른쪽 창에서 템플릿 세부 정보를 봅니다.

  4. 행의 끝에 있는 줄임표 ...를 선택합니다.

  5. 스키마 다운로드 버튼을 선택합니다.

    다운로드 스키마가 선택된 템플릿 탭의 스크린샷

  6. 로컬 버전의 파일을 채우고 로컬에 CSV 파일로 저장합니다.

  7. 단계에 따라 템플릿에서 만든 관심 목록을 업로드합니다(미리 보기).

삭제하고 다시 만든 Log Analytics 뷰의 관심 목록

관심 목록을 삭제하고 다시 만드는 경우 데이터 수집에 대한 5분 SLA 내에서 삭제된 항목과 다시 만든 항목이 Log Analytics에 모두 표시될 수 있습니다. 해당 항목이 더 오랜 기간 동안 Log Analytics에 함께 표시되는 경우 지원 티켓을 제출합니다.

관련 콘텐츠

Microsoft Sentinel에 대한 자세한 내용은 다음 문서를 참조하세요.

  • Last updated on