소개
Microsoft Sentinel은 테이블에 저장된 로그 데이터를 수집합니다. Microsoft Sentinel의 로그 페이지는 KQL(Kusto 쿼리 언어)을 사용하여 쿼리 결과를 빌드하고 볼 수 있는 사용자 인터페이스를 제공합니다. KQL은 분석, 통합 문서를 만들고 Microsoft Sentinel을 사용하여 헌팅을 수행하기 위해 데이터 분석을 수행하는 데 사용되는 쿼리 언어입니다.
Microsoft Sentinel을 구현하는 회사에서 근무하는 보안 운영 분석가입니다. 작업 영역에서 사용할 수 있는 테이블을 탐색해야 합니다. Azure Portal에서 Microsoft Sentinel의 로그 페이지와 고급 헌팅 및 Defender 포털에서 사용할 수 있는 Data Lake 페이지를 사용하여 KQL(Kusto Query Language) 문을 작성하여 테이블에 저장된 데이터를 볼 수 있습니다. 로그 데이터를 Microsoft Sentinel 작업 영역에 연결하면 커넥터는 특정 테이블에 데이터를 씁니다.
제공된 테이블과 해당 용도를 기본적으로 이해해야 합니다. 예를 들어 "SecurityEvents" 테이블은 Windows 보안 이벤트 로그 데이터를 위해 설계되었습니다. 이 지식을 통해 악의적인 활동을 검색하는 데 사용할 필수 테이블을 쿼리할 수 있습니다.
이 모듈을 완료하면 다음을 수행할 수 있습니다.
- 로그 페이지를 사용하여 Microsoft Sentinel로 데이터 테이블 보기
- Microsoft Sentinel을 사용하여 가장 많이 사용되는 테이블 쿼리
필수 조건
모니터링, 로그, 경고 같은 운영 개념에 관한 기본 지식
중요합니다
Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스가 없는 고객을 포함하여 Microsoft Defender 포털에서 일반적으로 사용할 수 있습니다.
2026년 7월부터 Azure Portal에서 Microsoft Sentinel을 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel을 사용합니다. 2025년 7월부터 많은 신규 고객이 자동으로 온보딩되고 Defender 포털로 리디렉션됩니다.
Azure Portal에서 Microsoft Sentinel을 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender에서 제공하는 통합 보안 작업 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다. 자세한 내용은 보안을 강화하기 위해 It's Time to Move: Retiring Microsoft Sentinel's Azure Portal을 참조하세요.