템플릿에서 예약된 분석 규칙 만들기

• 적용 대상:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

가장 일반적인 형식의 분석 규칙인 예약된 규칙은 정기적으로 실행되고 정의된 "전환 확인" 기간의 원시 데이터를 검사하도록 구성된 Kusto 쿼리를 기반으로 합니다. 이러한 쿼리는 대상 데이터에 대해 복잡한 통계 작업을 수행하여 이벤트 그룹의 기준과 이상값을 드러낼 수 있습니다. 쿼리로 캡처한 결과 수가 규칙에 구성된 임계값을 초과하면 규칙이 경고를 생성합니다.

Microsoft는 콘텐츠 허브에서 제공되는 다양한 솔루션을 통해 다양한 분석 규칙 템플릿을 제공하고 이를 사용하여 규칙을 만들 것을 적극 권장합니다. 예약된 규칙 템플릿의 쿼리는 Microsoft 또는 템플릿을 제공하는 솔루션 공급업체의 보안 및 데이터 과학 전문가가 작성합니다.

이 문서에서는 템플릿을 사용하여 예약된 분석 규칙을 만드는 방법을 보여 줍니다.

Important

Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

기존 분석 규칙 보기

Microsoft Sentinel에 설치된 분석 규칙을 보려면 분석 페이지로 이동합니다. 규칙 템플릿 탭에는 설치된 모든 규칙 템플릿이 표시됩니다. 더 많은 규칙 템플릿을 찾으려면 Microsoft Sentinel의 콘텐츠 허브로 이동하여 관련 제품 솔루션이나 독립 실행형 콘텐츠를 설치합니다.

Azure Portal

1. Microsoft Sentinel 탐색 메뉴의 구성 섹션에서 분석을 선택합니다.

2. 분석 화면에서 규칙 템플릿 탭을 선택합니다.

3. 예약된 템플릿 목록을 필터링하려면 다음을 수행합니다.

   1. 필터 추가를 선택하고 필터 목록에서 규칙 유형을 선택합니다.

   2. 결과 목록에서 일정을 선택합니다. 그런 다음 적용을 선택합니다.

   

Defender 포털

1. Microsoft Defender 탐색 메뉴에서 Microsoft Sentinel을 확장한 다음 구성을 확장합니다. 분석을 선택합니다.

2. 분석 화면에서 규칙 템플릿 탭을 선택합니다.

3. 예약된 템플릿 목록을 필터링하려면 다음을 수행합니다.

   1. 필터 추가를 선택하고 필터 목록에서 규칙 유형을 선택합니다.

   2. 결과 목록에서 일정을 선택합니다. 그런 다음 적용을 선택합니다.

   

템플릿에서 규칙 만들기

이 절차에서는 템플릿에서 분석 규칙을 만드는 방법을 설명합니다.

Azure Portal

Microsoft Sentinel 탐색 메뉴의 구성 섹션에서 분석을 선택합니다.

Defender 포털

Microsoft Defender 탐색 메뉴에서 Microsoft Sentinel을 확장한 다음, 구성을 확장합니다. 분석을 선택합니다.

1. 분석 화면에서 규칙 템플릿 탭을 선택합니다.

2. 템플릿 이름을 선택한 다음 세부 정보 창에서 규칙 만들기 단추를 선택하여 해당 템플릿을 기반으로 새 활성 규칙을 만듭니다.

   각 템플릿에는 필요한 데이터 원본 목록이 있습니다. 템플릿을 열면 데이터 원본의 가용성이 자동으로 검사됩니다. 데이터 원본이 사용하도록 설정되지 않은 경우 규칙 만들기 단추가 사용하지 않도록 설정되거나 해당 메시지가 표시될 수 있습니다.

   

3. 규칙 만들기 마법사가 열립니다. 모든 세부 사항은 자동으로 채워집니다.

4. 마법사의 탭을 순환하면서 특정 요구 사항에 더 적합하도록 논리 및 기타 규칙 설정을 사용자 지정합니다.

   규칙 만들기 마법사가 끝나면 Microsoft Sentinel이 규칙을 만듭니다. 새 규칙이 활성 규칙 탭에 표시됩니다.

   더 많은 규칙을 만들려면 이 과정을 반복합니다. 규칙 만들기 마법사에서 규칙을 사용자 지정하는 방법에 대한 자세한 내용은 처음부터 사용자 지정 분석 규칙 만들기를 참조하세요.

팁

• 환경을 완전한 보안하려면 연결된 데이터 원본과 연결된 모든 규칙 사용을 설정해야 합니다. 분석 규칙을 사용하도록 설정하는 가장 효율적인 방법은 모든 관련 규칙을 나열하는 데이터 커넥터 페이지에서 직접 사용하는 것입니다. 자세한 내용은 데이터 원본 연결을 참조하세요.

• 추가 활동이 필요하지만 API 및 PowerShell을 통해 Microsoft Sentinel에 규칙을 푸시할 수도 있습니다.

  API 또는 PowerShell을 사용하는 경우 규칙을 사용하도록 설정하기 전에 먼저 규칙을 JSON으로 내보내야 합니다. API 또는 PowerShell은 각 인스턴스에서 동일한 설정으로 Microsoft Sentinel의 여러 인스턴스에서 규칙을 사용하도록 설정할 때 유용할 수 있습니다.

다음 단계

이 문서에서는 Microsoft Sentinel의 템플릿에서 예약된 분석 규칙을 만드는 방법을 알아보았습니다.

• 분석 규칙에 대해 자세히 알아봅니다.
• 분석 규칙을 처음부터 만드는 방법을 알아봅니다.