인시던트 검색 예약 Microsoft Azure Sentinel

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 3분

    • 인시던트 데이터를 검색하고 프로파일의 기준과 일치하는 인시던트를 수집 Microsoft Azure Sentinel 하도록 일정을 설정합니다.

    시작하기 전에

    중요사항:

    Microsoft는 Azure Portal에서 Azure Sentinel 환경의 사용 중단을 2026년 3월에서 2027년 3월로 연장했습니다.

    현재 SIR(보안 인시던트 응답)과 Azure Sentinel 통합을 사용하는 경우 가능한 한 빨리 새 Defender 포털 통합으로 마이그레이션하는 것이 좋습니다. Defender 통합에는 기존 Sentinel 프로파일을 Defender 프로파일로 자동 변환하는 동시에 전환 후 Sentinel을 통해 생성된 인시던트의 연속성을 보장하는 기본 제공 마이그레이션 유틸리티가 포함되어 있습니다. 자세한 내용은 Microsoft Sentinel에서 Defender로의 마이그레이션 가이드를 참조하세요.

    필요한 역할: sn_si.ingestion_profile_admin

    주:
    sn_si.admin 역할은 기본적으로 필수 권한을 상속하므로 sn_si.admin 역할을 가진 사용자는 프로필 관리자가 사용할 수 있는 모든 작업을 수행할 수 있습니다.

    이 태스크 정보

    인시던트 프로파일 구성과 일치하는 향후 Microsoft Azure Sentinel 인시던트를 폴링할 빈도를 계획할 수 있습니다.

    자동화된 인시던트 수집을 사용하려면 프로파일을 활성화하기 전에 예약 및 인시던트 검색을 구성해야 합니다. 초기 수집에 대한 특정 날짜 및 시간을 정의하려면 인시던트 수집 시간 설정을 활성화합니다. 후속 수집은 폴링 간격 기간을 기반으로 합니다.

    폴링 간격은 각 프로파일에 대해 개별적으로 구성됩니다. 다른 폴링 간격은 인시던트 통합의 Microsoft Azure Sentinel 성능에 영향을 줄 수 있습니다. 일정을 설정할 때 인시던트의 긴급도에 따라 시스템 부하의 균형을 맞추도록 계획합니다. 모든 프로파일에 대해 1분의 기본값이 설정됩니다. 인시던트의 긴급도와 시스템의 예상되는 부하에 따라 이 설정을 수정할 수 있습니다.

    특정 폴링 간격에 인시던트에 추가되는 모든 경보는 프로세스가 실행된 다음 Azure Sentinel 경보 관련 목록에 추가되며 작업 메모도 게시됩니다.

    프로시저

    1. 예약 양식의 필드에 내용을 입력합니다.

      테넌트에서 인시던트를 끌어오는 방법과 시기를 정의하도록 일정을 구성합니다.Microsoft Azure

      표 1. 일정 예약 양식
      필드 설명
      지속적 이벤트 수집 인스턴스가 새 인시던트에 대해 테넌트 Microsoft Azure 에서 끌어오는 진행적 인시던트 수집 ServiceNow AI Platform 입니다. 트리거된 인시던트가 발견되고 인시던트 생성 필터링 기준이 일치하는 경우 보안 인시던트가 만들어집니다.
      폴링 증분(분) 분 단위로 정의된 폴링 빈도입니다.
      시던트 수집 시간 설정 구성된 날짜 및 시간을 기반으로 하는 인시던트 수집입니다.

      이 옵션을 사용하여 초기 수집에 대한 특정 날짜 및 시간을 정의할 수 있습니다. 후속 수집은 폴링 간격 기간을 기반으로 합니다.
      입력 인시던트 수집 시간

      인시던트 수집에 지정하는 날짜 및 시간입니다.
      일회성 검색 기록 Azure Sentinel 인시던트를 일회성 검색한 다음 데이터 조정을 수행하려면 이 확인란을 선택합니다. 이 checkox를 선택하면 애플리케이션은 최대 약 6개월 동안의 모든 열린 Azure Sentinel 인시던트 및 종결된 Azure Sentinel 인시던트를 끌어옵니다.

      데이터를 처리할 때 진행 중인 인시던트와 이력 데이터를 모두 끌어오지만 진행 중인 인시던트의 처리가 이력 끌어오기보다 우선하며, 그렇지 않으면 수집하는 인시던트 수뿐만 아니라 지속 기간에 따라 이력 끌어오기에 시간이 걸릴 수 있습니다.

      주:
      검색된 기록 Azure Sentinel 인시던트는 중복 제거 검사를 거쳐 보안 인시던트 응답 애플리케이션 내에서 중복이 발생하지 않도록 합니다.
      날짜 이후 Azure Sentinel에서 기록 인시던트가 수집된 이후의 날짜입니다.
      주:
      인시던트 데이터는 대략 지난 6개월 동안의 데이터를 가져온 것입니다.

      예약 페이지를 사용하면 테넌트에서 인시던트를 가져오는 방법과 시기를 정의할 수 있습니다.Microsoft Azure

    2. 추가 옵션 페이지로 이동하려면 계속을 클릭합니다.