[Microsoft Sentinel] 비용에 대한 이해_ 2024 8월_최신

기본 로그 vs 분석 로그

기본적으로 Log Analytics 작업 영역의 모든 테이블은 Analytics 테이블이며 쿼리 및 경고에 사용할 수 있습니다. 기본 로그를 사용하려면 아래와 같은 조건이 충족되어야 합니다.

기본 로그 사용 시 Azure 환경에서 고려해야 할 사항

1. 테이블이 기본 로그를 지원합니다 https://learn.microsoft.com/ko-kr/azure/azure-monitor/logs/basic-logs-configure?tabs=portal-1#supported-tables ex) ComtainerLogV2
2. DCR(데이터 컬렉션 규칙) 기반 로그 수집 API로 만들어지거나 마이그레이션된 모든 사용자 지정 테이블.

기본 로그 사용 시 수집가가 고려해야 할 사항

1. 테이블에 저장된 로그 데이터의 보존 기간이 30일이상으로 필요하지 않습니다.
2. 제한된 기능의 쿼리 언어만 필요합니다.
   1. KQL 언어 사용 제한
   2. 시간 범위 제한 (where 문으로 시간 검색 범위 지정 불가)
3. 다음과 같은 상황에서 기본 로그를 사용합니다:
   • 대량의 로그 데이터를 수집할 때
   • 로그 데이터를 자주 쿼리 하지 않을 때
   • 비용 절감이 중요한 상황에서 데이터 수집 전략을 선택할 때

• 센티넬 로그에서 자주 사용되는 테이블 이름
•  

  테이블 이름	테이블 설명
  AzureActivity	Azure에서 발생한 구독 수준 또는 관리 그룹 수준 이벤트에 대한 인사이트를 제공하는 Azure 활동 로그의 항목입니다.
  AzureDiagnostics	Azure Diagnostics 모드를 사용하는 Azure 서비스의 리소스 로그를 저장합니다. 리소스 로그는 Azure 리소스의 내부 작업을 설명합니다.
  AuditLogs	Microsoft Entra ID에 대한 감사 로그입니다. 사용자 및 그룹 관리, 관리형 애플리케이션, 디렉터리 작업에 대한 시스템 작업 정보를 포함합니다.
  CommonSecurityLog	CEF(Common Event Format)를 사용하는 Syslog 메시지입니다.
  McasShadowItReporting	클라우드용 Microsoft Defender 앱 로그
  OfficeActivity	Microsoft Sentinel에서 수집한 Office 365 테넌트의 감사 로그입니다. Exchange, SharePoint, Teams 로그를 포함합니다.
  SecurityEvent	Azure Security Center 또는 Microsoft Sentinel이 Windows 머신에서 수집한 보안 이벤트
  SigninLogs	Azure Activity Directory 로그인 로그
  syslog	Log Analytics 에이전트를 사용하는 Linux 컴퓨터의 Syslog 이벤트입니다.
  이벤트	Windows 호스트에서 수집한 Sysmon 이벤트입니다.
  WindowsFirewall	Windows 방화벽 이벤트입니다.

센티넬 비용 

 

1. 수집 된 로그

• 분석 로그
• 기본 로그

2. 보존 비용

• 대상 : 분석 로그, 기본 로그
• 데이터 보존 (Data Retention)
  • 데이터를 일정 기간 동안 유지하여 실시간 접근 및 분석이 가능하며 실시간 쿼리 및 분석이 가능합니다.
  • 데이터 보존 검색 예시

  syslog
  | where TimeGenerated >= ago(4d)
  | where Severity == "Error"
  
  

• 데이터 보관 (Data Archiving)
  • 데이터를 장기적으로 저렴한 비용으로 저장하고 필요할 때 검색할 수 있도록 하는 과정
    • 보관된 데이터를 검색 할 때 두가지 옵션으로 검색이 가능합니다.
      1. 작업 검색 : 아카이브된 데이터를 스캔하여 필요한 정보를 조회하고 새로운 테이블에 저장
      2. 데이터 복원 : 아카이브된 데이터를 다시 활성 상태로 복원하여 실시간 쿼리 및 분석 가능
  • 보관된 로그 검색 예시

  .create async materialized-view with (docstring = "ArchivedSearch") ArchivedResults 
  on table('syslog')
  | where TimeGenerated between(datetime(2022-01-01) .. datetime(2022-12-31))
  | where Severity == "Error"
  
  

 ❓ 보존과 보관의 차이

1. 보존은 데이터가 실시간으로 쿼리 가능하며, 기본적으로 분석 로그에서 사용됩니다.
2. 보관은 쿨 스토리지로, 장기간 데이터 보관용이며 해당 로그를 검색하기 위해서 비용이 발생합니다. 작업 검색이나 데이터 복원을 통해 로그를 검색할 수 있습니다.

3. 데이터 복원 비용

• 대상 : 분석 로그, 기본로그
• 아카이브 된 데이터를 분석 로그로 복원하는 데 발생하는 비용 (GB당 비용)
• 특정 시간 범위를 지정하여 복원할 수 있습니다.
• 특정 조건에 맞는 데이터만 복원할 수 없습니다.

4. 데이터 쿼리 검색 및 검색 작업

1. 기본 로그 쿼리
   • 기본 로그에만 해당되며, 기본 로그에서 데이터를 검색하면 추가 요금이 부과됩니다.
2. 작업 검색 비용
   • 아카이브된 데이터를 스캔하여 새로운 테이블에 저장하는 과정에서 발생하는 비용입니다.

❓ 검색 작업과 데이터 복원의 차이는 무엇인가요?

1. 검색 작업은 보관된 데이터에서 필요한 부분만 조회하여 저렴한 비용으로 접근이 가능합니다.
2. 데이터 복원은 실시간 고성능 쿼리 및 분석이 필요할때 사용되며 비용이 많이 발생합니다. 데이터 복원 시 특정 시간 범위를 지정하여 복원할 수 있으며 특정 조건에 맞는 데이터만 복원할 수는 없습니다.

가격 계산기 이해

[참고] 할인 혜택

Microsoft 365 E5, A5, F5 및 G5 고객을 위한 Microsoft Sentinel 혜택

Microsoft 365 E5, A5, F5 및 G5, Microsoft 365 E5, A5, F5, 그리고 G5 보안 고객은 Microsoft 365 데이터를 수집하기 위해 사용자/일당 최대 5MB의 데이터 부여를 받을 수 있습니다. 이 제품에 포함된 데이터 원본에는 다음이 포함됩니다.

• Azure AD(Azure Active Directory) 로그인 및 감사 로그
• Microsoft Defender for Cloud Apps 섀도 IT 검색 로그
• Microsoft Information Protection 로그
• Microsoft 365 고급 헌팅 데이터

Server P2용 Microsoft Defender 고객을 위한 Microsoft Sentinel 혜택

Defender for Server 플랜 2를 사용하는 Azure Monitor Log Analytics 및 Microsoft Sentinel 고객은 매일 VM당 500MB의 무료 데이터 수집을 받습니다. 이 허용량은 특히 클라우드용 Microsoft Defender에서 직접 수집하는 보안 데이터 유형에 대한 것입니다.

• SecurityAlert
• SecurityBaseline
• SecurityBaselineSummary
• SecurityDetection
• SecurityEvent
• WindowsFirewall
• SysmonEvent
• ProtectionStatus
• 업데이트 및 UpdateSummary

Defender for Cloud 청구는 Azure Monitor Log Analytics에 대한 청구와 밀접하게 연결되어 있습니다. Microsoft Sentinel 청구서에는 특정 계층에 대한 Azure Monitor Log Analytics가 포함되므로 혜택은 전체 Microsoft Sentinel 청구서에 적용됩니다.