Microsoft Sentinel의 고급 다단계 공격 검색
Important
일부 Fusion 감지(아래 참조)는 현재 미리 보기로 제공됩니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.
Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.
참고 항목
US Government 클라우드의 기능 가용성에 대한 자세한 내용은 US Government 고객을 위한 클라우드 기능 가용성의 Microsoft Sentinel 표를 참조하세요.
Microsoft Sentinel은 확장 가능한 기계 학습 알고리즘을 기반으로 하는 상관 관계 엔진인 Fusion을 사용하여 킬 체인의 다양한 단계에서 관찰되는 비정상적인 동작과 의심스러운 작업의 조합을 식별하여 다단계 공격(고급 영구 위협 또는 APT라고도 함)을 자동으로 검색합니다. 이러한 발견을 기반으로 Microsoft Sentinel은 포착하기 어려운 인시던트를 생성합니다. 이러한 인시던트는 둘 이상의 경고 또는 활동으로 구성됩니다. 설계 의도에 따라 이러한 인시던트는 볼륨이 작고, 충실도가 높고, 심각도가 높습니다.
환경에 맞게 사용자 지정되는 이 감지 기술은 가양성 비율을 줄일 뿐 아니라 정보가 제한되거나 누락된 공격도 감지할 수 있습니다.
Fusion은 다양한 제품의 여러 신호를 상호 연관시켜 지능형 다단계 공격을 검색하므로 성공적인 Fusion 검색은 Microsoft Sentinel 인시던트 페이지에서 경고가 아닌 Fusion 인시던트로 표시되고 로그의 SecurityIncident 테이블에 저장되고 SecurityAlert 테이블에는 저장되지 않습니다.
Fusion 구성
Fusion은 기본적으로 Microsoft Sentinel에서 고급 다단계 공격 검색이라는 분석 규칙으로 사용하도록 설정되어 있습니다. 규칙의 상태를 보고 변경하고, Fusion ML 모델에 포함할 원본 신호를 구성하거나, Fusion 검색에서 환경에 적용할 수 없는 특정 검색 패턴을 제외할 수 있습니다. Fusion 규칙 구성 방법에 대해 알아봅니다.
참고 항목
Microsoft Sentinel은 현재 30일 간의 과거 데이터를 사용하여 Fusion 엔진의 기계 학습 알고리즘을 학습합니다. 이 데이터는 기계 학습 파이프라인을 통과할 때 항상 Microsoft의 키를 사용하여 암호화됩니다. 그러나 Microsoft Sentinel 작업 영역에서 CMK를 사용하도록 설정한 경우 학습 데이터는 CMK(고객 관리형 키)를 사용하여 암호화되지 않습니다. Fusion을 옵트아웃하려면 Microsoft Sentinel>구성>분석 > 활성 규칙으로 이동하여 고급 다단계 공격 검색 규칙을 마우스 오른쪽 단추로 클릭하고 사용 안 함을 선택합니다.
Microsoft Defender 포털에 온보딩된 Microsoft Sentinel 작업 영역의 경우 Fusion을 사용할 수 없습니다. 해당 기능은 Microsoft Defender XDR 상관 관계 엔진으로 대체됩니다.
새로운 위협에 대한 Fusion
Important
- 새로운 위협에 대한 Fusion 기반 검색은 현재 미리 보기 상태입니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.
보안 이벤트의 양은 계속 증가하고 공격의 범위와 정교함은 계속 증가하고 있습니다. Microsoft는 알려진 공격 시나리오를 정의할 수 있지만 귀사 환경에서 새로 발생하거나 알려지지 않은 위협은 어떻나요?
Microsoft Sentinel의 ML 기반 Fusion 엔진을 사용하면 확장 ML 분석을 적용하고 더 넓은 범위의 비정상적인 신호를 연관시키자만 경고 피로도를 낮게 유지하면서 환경에서 새로운 위협 및 알려지지 않은 위협을 찾을 수 있습니다.
Fusion 엔진의 ML 알고리즘은 기존 공격에서 지속적으로 학습하고 보안 분석가의 생각을 기반으로 분석을 적용합니다. 따라서 사용자 환경 전체의 킬 체인 전반에 걸쳐 수백만 건의 비정상적인 동작에서 이전에 검색되지 않은 위협을 발견할 수 있으므로 공격자보다 한 발 앞서 나갈 수 있습니다.
새로운 위협에 대한 Fusion 은 다음 원본에서 데이터 수집 및 분석을 지원합니다.
- 기본 제공 변칙 검색
- Microsoft 제품의 경고:
- Microsoft Entra ID 보호
- Microsoft Defender for Cloud
- Microsoft Defender for IoT
- Microsoft Defender XDR
- Microsoft Defender for Cloud 앱
- 엔드포인트에 대한 Microsoft Defender
- Microsoft Defender for Identity
- Office 365용 Microsoft Defender
- 예약된 분석 규칙의 경고. Fusion에서 사용하려면 분석 규칙에 킬 체인(전술) 및 엔터티 매핑 정보가 포함되어야 합니다.
새로운 위협에 대한 Fusion이 작동하도록 하기 위해 위에 나열된 모든 데이터 원본을 연결할 필요는 없습니다. 그러나 연결한 데이터 원본이 많을수록 적용 범위가 넓어지고 Fusion에서 더 많은 위협을 찾을 수 있습니다.
Fusion 엔진의 상관 관계로 인해 새로운 위협이 감지되면 Microsoft Sentinel 작업 공간의 incidents 테이블에 'Fusion에서 감지한 다단계 공격 작업'이라는 심각도가 높은 인시던트가 생성됩니다.
랜섬웨어용 Fusion
Microsoft Sentinel의 Fusion 엔진은 다음 데이터 원본에서 다양한 형식의 여러 경고를 검색하고 랜섬웨어 작업과 관련이 있을 수 있다고 판단하면 인시던트를 생성합니다.
- Microsoft Defender for Cloud
- 엔드포인트에 대한 Microsoft Defender
- Microsoft Defender for Identity 커넥터
- Microsoft Defender for Cloud 앱
- Microsoft Sentinel 예약 분석 규칙. Fusion은 전술 정보 및 매핑된 엔터티가 포함된 예정된 분석 규칙만 고려합니다.
이러한 Fusion 인시던트를 랜섬웨어 활동과 관련된 여러 경고가 검색됨이라고 하며, 관련 경고가 특정 기간 내에 검색되고 공격의 실행 및 방어 우회 단계와 연결된 경우에 생성됩니다.
예를 들어 다음 경고가 특정 기간 내에 동일한 호스트에서 트리거되는 경우 Microsoft Sentinel은 가능한 랜섬웨어 활동에 대해 인시던트를 생성합니다.
경고 | 원본 | 심각도 |
---|---|---|
Windows 오류 및 경고 이벤트 | Microsoft Sentinel 예약 분석 규칙 | 정보 제공 |
'GandCrab' 랜섬웨어가 방지되었습니다. | Microsoft Defender for Cloud | 보통 |
'Emotet' 맬웨어가 발견되었습니다. | 엔드포인트에 대한 Microsoft Defender | 정보 제공 |
'Tofsee' 백도어가 발견되었습니다. | Microsoft Defender for Cloud | 낮음 |
'Parite' 악성코드가 발견되었습니다. | 엔드포인트에 대한 Microsoft Defender | 정보 제공 |
시나리오 기반 Fusion 검색
다음 섹션에서는 Microsoft Sentinel이 Fusion 상관 관계 엔진을 사용하여 검색하는 시나리오 기반 다단계 공격 형식을 위협 분류별로 그룹화하여 나열합니다.
이러한 Fusion 기반 공격 검색 시나리오를 사용하려면 연결된 데이터 원본을 Log Analytics 작업 영역으로 수집해야 합니다. 아래 표에서 링크를 선택하여 각 시나리오 및 관련 데이터 원본에 대해 알아봅니다.
참고 항목
이러한 시나리오 중 일부는 미리 보기이며 미리 보기라고 표시됩니다.
위협 분류 | 시나리오 |
---|---|
컴퓨팅 리소스 남용 | |
자격 증명 액세스 |
|
자격 증명 수집 | |
암호화 채굴 | |
데이터 파기 | |
데이터 반출 |
|
서비스 거부 | |
수평 이동 | |
악의적인 관리 활동 | |
악의적인 실행 악의적 실행 |
|
맬웨어 C2 또는 다운로드 | |
지속성 |
|
랜섬웨어 | |
원격 악용 | |
리소스 하이재킹 |
다음 단계
Fusion 고급 다단계 공격 검색에 대한 자세한 정보:
- Fusion 시나리오 기반 공격 검색에 대해 자세히 알아봅니다.
- Fusion 규칙 구성 방법에 대해 알아봅니다.
고급 다단계 공격 감지에 대해 자세히 알아보았으므로, Microsoft Sentinel 시작 빠른 시작을 통해 데이터 및 잠재적 위협에 대한 가시성을 얻는 방법을 알아볼 수 있습니다.
준비된 인시던트를 조사할 준비가 되었으면 Microsoft Sentinel을 사용하여 인시던트 조사 자습서를 살펴보세요.