Microsoft Sentinel

🛡️ 보안SIEMAzure보안AI에이전트

소개

Microsoft Sentinel은 Azure 기반 클라우드 네이티브 SIEM/SOAR 솔루션으로, 350개 이상의 기본 커넥터를 통해 멀티클라우드·온프레미스 환경의 보안 데이터를 통합 수집합니다. AI 기반 분석과 MITRE ATT&CK 프레임워크 매핑으로 위협을 탐지하고, Azure Logic Apps 기반 플레이북으로 대응을 자동화합니다. Security Copilot 통합으로 자연어 기반 보안 조사가 가능하며, 종량제 과금 모델로 수집 데이터량에 따라 비용이 결정됩니다. 2025년 Gartner Magic Quadrant SIEM 부문 리더로 선정되었습니다.

장점

350개 이상 기본 커넥터로 Microsoft 365·Azure AD·AWS·GCP 등 멀티클라우드 데이터 통합 수집
Security Copilot 연동으로 자연어 질의 기반 인시던트 조사 가능
Azure Logic Apps 기반 SOAR 플레이북으로 위협 대응 자동화
클라우드 네이티브 아키텍처로 별도 인프라 구축·관리 불필요
한국어 공식 사이트와 문서가 완비되어 한국 사용자 접근성 높음

단점

KQL(Kusto Query Language) 학습이 필요해 비전문가 초기 진입 장벽 있음
종량제 모델로 대규모 데이터 수집 시 월 비용이 급격히 증가할 수 있음
Microsoft 외 서드파티 환경 연동 시 커스텀 커넥터 개발이 필요한 경우 있음
2027년 3월 이후 Azure Portal 지원 종료 예정으로 Defender Portal 전환 필요

주요 활용 사례

Microsoft 365·Azure 환경의 통합 보안 모니터링 및 위협 탐지
멀티클라우드(AWS·GCP·Azure) 환경의 보안 이벤트 중앙 수집·분석
MITRE ATT&CK 기반 보안 적용 범위 시각화 및 갭 분석
Azure Logic Apps 플레이북으로 보안 인시던트 자동 대응(예: ServiceNow 티켓 자동 생성)
UEBA로 사용자·엔터티 이상 행위 탐지
Jupyter Notebook 연동으로 머신러닝 기반 위협 헌팅
규정 준수를 위한 보안 감사 로그 통합 관리

핵심 기능

클라우드 네이티브 SIEM

Azure Monitor 기반으로 멀티클라우드·온프레미스 보안 데이터를 확장 가능하게 수집·분석합니다

350+ 기본 데이터 커넥터

Microsoft·AWS·GCP·서드파티 솔루션을 코드 없이 연결하고 REST API·Syslog 커스텀 커넥터도 지원합니다

Security Copilot 통합

생성형 AI로 보안 인시던트를 자연어로 조사하고 MCP 서버로 AI 보안 에이전트를 구축할 수 있습니다

SOAR 자동화 플레이북

Azure Logic Apps 워크플로로 위협 대응을 자동화하며 ServiceNow·Jira 등 외부 시스템과 연동합니다

MITRE ATT&CK 매핑

보안 적용 범위를 MITRE ATT&CK 프레임워크 전술·기술 기준으로 시각화하여 방어 갭을 식별합니다

UEBA 사용자 행위 분석

사용자·엔터티의 행동 패턴을 분석하여 내부 위협과 계정 탈취를 탐지합니다

위협 인텔리전스 통합

다수의 위협 인텔리전스 피드를 통합하여 악성 활동을 식별하고 조사 컨텍스트를 제공합니다

공식 사이트 2026-04-19 검증

영상 가이드

Functionality and Usage of Microsoft Sentinel - AZ-900 Certification Course

John Savill's Technical Training

How to Create Your Own Queries with MSTICPy [Microsoft Sentinel Demo]

Microsoft Security Community

(Microsoft Sentinel) Introduction to OpenAI Azure/ChatGPT and Azure Cognitive services

TheCyberNova - Exploring the New in Tech

💰 요금제 (2026-04-19 기준)

종량제(Pay-As-You-Go)

수집 GB당 과금

· 데이터 수집·저장·사용량 기반 과금
· 초기 투자 없이 시작 가능
· 50GB 프로모션 가격 제공(기간 한정)

약정 티어(Commitment Tier)

일일 고정 GB 약정 시 할인

· 일정 수집량 약정으로 GB당 단가 절감
· 예측 가능한 월 비용 관리

🇰🇷 한국 사용자 안내

한국어 UI:: ✅ 한국어 UI 지원
결제:: ✅ 원화/한국 결제 지원
환불:: Azure 구독 기반으로 Microsoft 한국 결제·환불 정책 적용

🔄 대안 도구

CrowdStrike Falcon

Splunk Enterprise Security

Wiz

❓ 자주 묻는 질문

Microsoft Sentinel은 무료로 사용할 수 있나요?

기본적으로 종량제 유료 서비스이지만, 신규 사용자에게 50GB 프로모션 가격이 제공됩니다. Azure 무료 계정으로 시작할 수 있습니다.

Splunk 같은 온프레미스 SIEM과 어떻게 다른가요?

Microsoft Sentinel은 클라우드 네이티브로 별도 서버 구축 없이 Azure에서 바로 사용합니다. 인프라 관리 부담이 없고 자동 확장되지만, 데이터량에 따라 비용이 변동됩니다.

AWS나 GCP 환경도 모니터링할 수 있나요?

네, 350개 이상의 기본 커넥터를 통해 AWS·GCP·온프레미스 등 멀티클라우드 환경의 보안 데이터를 수집·분석할 수 있습니다.

Security Copilot이 뭔가요?

Microsoft의 생성형 AI 보안 도구로, 자연어 질문으로 인시던트를 조사하고 KQL 쿼리를 자동 생성합니다. Sentinel과 통합되어 보안 분석가의 생산성을 높입니다.

KQL을 몰라도 사용할 수 있나요?

기본 제공 분석 규칙과 통합 문서로 코드 없이 시작할 수 있지만, 고급 커스텀 분석에는 KQL 학습이 필요합니다. Security Copilot이 자연어→KQL 변환을 지원합니다.

Azure Portal 지원이 종료된다는데요?

2027년 3월 31일 이후 Azure Portal에서의 Sentinel 지원이 종료되며, Microsoft Defender Portal로 전환됩니다. 기능은 동일하며 통합 보안 운영 환경이 제공됩니다.

한국어를 지원하나요?

네, 공식 제품 페이지와 기술 문서가 한국어로 완비되어 있고, Azure 한국 리전에서 운영 가능합니다. 한국어 무료 평가판도 제공됩니다.

2026-04-19 검증 · 변경 가능