Microsoft Sentinel의 위협 헌팅
보안 분석가 및 조사자는 보안 위협을 사전에 찾기를 원하지만, 다양한 시스템과 보안 어플라이언스는 이해할 수 있는 이벤트로 구문 분석하고 필터링하기 어려울 수 있는 수많은 데이터를 생성합니다. Microsoft Sentinel은 조직의 데이터 원본에서 보안 위협을 헌팅하는 강력한 헌팅 검색 및 쿼리 도구입니다. 보안 분석가가 보안 앱 또는 예약된 분석 규칙에 의해 검색되지 않은 새 변칙을 사전에 확인하는 데 도움이 되도록 헌팅 쿼리는 네트워크에 이미 있는 데이터의 문제를 찾기 위한 적절한 질문을 안내합니다.
예를 들어 하나의 기본 제공 쿼리는 인프라에서 실행되는 가장 일반적이지 않은 프로세스에 대한 데이터를 제공합니다. 실행할 때마다 경고를 받고 싶지는 않을 것입니다. 완전히 결백할 수 있습니다. 그러나 가끔은 쿼리를 살펴보고 이상한 점이 있는지 확인하고 싶을 수도 있습니다.
Important
Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.
Microsoft Sentinel의 헌팅(미리 보기)
Microsoft Sentinel의 헌팅을 사용하여 가설을 만들고, 데이터를 검색하고, 가설의 유효성을 검사하고, 필요할 때 조치하여 감지되지 않은 위협 및 악의적인 동작을 찾습니다. 결과에 따라 새 분석 규칙, 위협 인텔리전스 및 인시던트를 만듭니다.
기능 | 설명 |
---|---|
가설 정의 | 가설을 정의하려면 MITRE 맵, 최근 헌팅 쿼리 결과, 콘텐츠 허브 솔루션에서 영감을 찾거나 사용자 지정 헌팅을 생성합니다. |
쿼리 조사 및 결과 책갈피로 지정 | 가설을 정의한 후 헌팅 페이지 쿼리 탭으로 이동합니다. 가설 및 새 헌팅과 관련된 쿼리를 선택하여 시작합니다. 헌팅 관련 쿼리를 실행하고 로그 환경을 사용하여 결과를 조사합니다. 결과를 헌팅에 직접 책갈피로 지정하여 결과에 주석을 달고, 엔터티 식별자를 추출하고, 관련 쿼리를 보존합니다. |
조사 및 조치 취하기 | UEBA 엔터티 페이지를 사용하여 더 자세히 조사합니다. 책갈피가 지정된 엔터티에서 엔터티별 플레이북을 실행합니다. 기본 제공 작업을 사용하여 결과에 따라 새 분석 규칙, 위협 지표 및 인시던트를 만듭니다. |
결과 추적 | 헌팅 결과를 기록합니다. 가설의 유효성이 검사되었는지 여부를 추적합니다. 주석에 자세한 메모를 남겨 둡니다. 헌팅은 새 분석 규칙 및 인시던트에 자동으로 연결됩니다. 메트릭 막대를 사용하여 헌팅 프로그램의 전반적인 영향을 추적합니다. |
시작하려면 Microsoft Sentinel에서 엔드투엔드 사전 위협 헌팅 수행을 참조하세요.
헌팅 쿼리
Microsoft Sentinel에서 헌팅>쿼리 탭을 선택하여 모든 쿼리 또는 선택한 하위 집합을 실행합니다. 쿼리 탭에는 콘텐츠 허브의 보안 솔루션과 함께 설치된 모든 헌팅 쿼리와 만들거나 수정한 추가 쿼리가 나열됩니다. 각 쿼리는 헌팅하는 것에 대한 설명 및 실행되는 데이터의 종류를 제공합니다. 이러한 쿼리는 MITRE ATT&CK 전술따라 그룹화됩니다. 오른쪽에 있는 아이콘은 초기 액세스, 지속성 및 유출과 같은 위협 형식을 분류합니다. MITRE ATT&CK 기술은 기술 열에 표시되며, 헌팅 쿼리로 식별되는 특정 동작을 설명합니다.
쿼리 탭을 사용하여 24시간 동안의 결과 수, 급증 또는 결과 수 변경을 확인하여 헌팅을 시작할 위치를 식별합니다. 즐겨찾기, 데이터 원본, MITRE ATT&CK 전술 또는 기술, 결과, 결과 델타, 또는 결과 델타 백분율을 기준으로 정렬 및 필터링합니다. 연결된 데이터 원본이 아직 필요한 쿼리를 확인하고, 이러한 쿼리를 사용하도록 설정하는 방법에 대한 권장 사항을 확인합니다.
다음 표에서는 헌팅 대시보드에서 사용할 수 있는 자세한 작업을 설명합니다.
작업 | 설명 |
---|---|
쿼리가 사용자 환경에 적용되는 방식 확인 | 모든 쿼리 실행 단추를 선택하거나 각 행의 왼쪽에 있는 확인란을 사용하여 쿼리 하위 집합을 선택한 다음, 선택한 쿼리 실행 단추를 선택합니다. 쿼리를 실행하는 데는 선택한 쿼리 수, 시간 범위 및 쿼리되는 데이터의 양에 따라 몇 초에서 몇 분 정도 걸릴 수 있습니다. |
결과를 반환한 쿼리 보기 | 쿼리 실행이 완료되면 결과 필터를 사용하여 결과를 반환한 쿼리를 확인합니다. - 쿼리를 정렬하여 최대 결과 또는 최소 결과를 얻은 쿼리를 확인합니다. - 결과 필터에서 해당 없음을 선택하여 환경에서 활성화되지 않은 쿼리를 확인합니다. - 이 쿼리를 활성화하는 데 필요한 데이터 원본을 보려면 해당 없음 옆에 있는 정보 아이콘(i) 위로 마우스를 가져갑니다. |
데이터의 급증 식별 | 결과 델타 또는 결과 델타 백분율을 정렬하거나 필터링하여 데이터 급증을 식별합니다. 지난 24시간의 결과를 이전 24-48시간의 결과와 비교하여 볼륨의 큰 차이나 상대적인 차이를 강조 표시합니다. |
MITRE ATT&CK 전술에 매핑된 쿼리 보기 | 표 상단의 MITRE ATT&CK 전술 표시줄에는 각 MITER ATT&CK 전술에 매핑된 쿼리 수가 나열됩니다. 전술 표시줄은 적용된 현재 필터 집합에 따라 동적으로 업데이트됩니다. 이를 통해 주어진 결과 수, 높은 결과 델타, 해당 없음 결과 또는 기타 필터 집합을 기준으로 필터링할 때 표시되는 MITER ATT&CK 전술을 간편하게 확인할 수 있습니다. |
기술에 매핑된 쿼리 보기 | 쿼리를 MITER ATT&CK 기술에 매핑할 수도 있습니다. 기술 필터를 사용하여 MITER ATT&CK 기술별로 필터링하거나 정렬할 수 있습니다. 쿼리를 열면 기술을 선택하여 기술에 대한 MITRE ATT&CK 설명을 볼 수 있습니다. |
즐겨찾기에 쿼리 저장 | 즐겨찾기에 저장된 쿼리는 헌팅 페이지에 액세스할 때마다 자동으로 실행됩니다. 사용자 고유의 헌팅 쿼리를 만들거나 기존 헌팅 쿼리 템플릿을 복제하고 사용자 지정할 수 있습니다. |
쿼리 실행 | 헌팅 쿼리 세부 정보 페이지에서 쿼리 실행을 선택하여 헌팅 페이지에서 직접 쿼리를 실행합니다. 일치 항목 수는 결과 열의 표에 표시됩니다. 헌팅 쿼리 및 일치 항목의 목록을 검토합니다. |
기본 쿼리 검토 | 쿼리 세부 정보 창에서 기본 쿼리를 빠르게 검토합니다. 쿼리 결과 보기 링크(쿼리 창 아래) 또는 결과 보기 단추(창 하단)를 클릭하여 결과를 볼 수 있습니다. 쿼리를 실행하면 로그(Log Analytics) 페이지가 열리고 쿼리 아래에서 쿼리와 일치하는 항목을 검토할 수 있습니다. |
다음 작업을 수행하기 위해 손상 전, 도중 및 후에 쿼리를 사용합니다.
인시던트 발생 전: 탐지를 기다리는 것만으로는 충분하지 않습니다. 일주일에 한 번 이상 작업 영역으로 수집하는 데이터와 관련된 위협 수준 쿼리를 실행하여 사전 조치를 취합니다.
사전 예방적 헌팅의 결과는 손상이 진행 중임을 확인할 수 있는 이벤트에 대한 조기 인사이트를 제공하거나 최소한 위험에 처해 주의가 필요한 환경의 취약한 영역을 보여 줄 수 있습니다.
손상 도중: 라이브 스트림을 사용하여 특정 쿼리를 지속적으로 실행하고 나타나는 결과를 제공합니다. 위협 행위자의 다음 동작을 파악하고, 조사가 끝난 후에 손상이 실제로 끝났는지 확인하는 데 도움을 주기 위해 특정 손상이 아직 발생하고 있는지 여부를 확인해야 하는 경우처럼 사용자 이벤트를 적극적으로 모니터링해야 할 때 라이브 스트림을 사용합니다.
손상 후: 손상이나 인시던트가 발생한 후에는 나중에 비슷한 인시던트를 방지하기 위해 검사 및 인사이트를 개선해야 합니다.
기존 쿼리를 수정하거나 새 쿼리를 작성하여 손상이나 인시던트에 얻은 인사이트를 바탕으로 조기 탐지를 지원합니다.
가능한 공격에 대한 수준 높은 인사이트를 제공하는 헌팅 쿼리를 발견하거나 만든 후 쿼리를 기준으로 사용자 지정 검색 규칙을 만들고, 해당 인사이트를 보안 인시던트 응답자에게 경고로 제공할 수도 있습니다.
쿼리 결과를 보고 새 경고 규칙>Microsoft Sentinel 경고 만들기를 선택합니다. 분석 규칙 마법사를 사용하여 쿼리를 기준으로 새 규칙을 만들 수 있습니다. 자세한 내용은 위협 탐지를 위한 사용자 지정 분석 규칙 생성하기를 참조하세요.
Azure Data Explorer에 저장된 데이터에 대해 헌팅 및 라이브 스트림 쿼리를 만들 수도 있습니다. 자세한 내용은 Azure Monitor 설명서의 리소스 간 쿼리 생성에 대한 세부 정보를 참조하세요.
더 많은 쿼리 및 데이터 원본을 찾으려면 Microsoft Sentinel의 콘텐츠 허브로 이동하거나 Microsoft Sentinel GitHub 리포지토리와 같은 커뮤니티 리소스를 참조하세요.
기본 제공 헌팅 쿼리
많은 보안 솔루션에는 기본 제공 헌팅 쿼리가 포함됩니다. 콘텐츠 허브의 헌팅 쿼리를 포함하는 솔루션을 설치한 후 해당 솔루션에 대한 기본 제공 쿼리는 헌팅 쿼리 탭에 표시됩니다. 쿼리는 프로세스 생성, DNS 이벤트 또는 기타 이벤트 유형 등과 같은 로그 테이블에 저장된 데이터에 대해 실행됩니다.
Microsoft 보안 연구원은 사용 가능한 많은 헌팅 쿼리를 지속적으로 개발합니다. 보안 솔루션에 새 쿼리를 추가하고 기존 쿼리를 미세 조정하여 새로운 검색 및 공격을 찾는 진입점을 제공합니다.
사용자 지정 헌팅 쿼리
쿼리를 만들거나 편집하고 내 쿼리로 저장하거나 동일한 테넌트에 있는 사용자와 공유합니다. Microsoft Sentinel의 헌팅>쿼리 탭에서 사용자 지정 헌팅 쿼리를 만듭니다.
자세한 내용은 Microsoft Sentinel에서 사용자 지정 헌팅 쿼리 만들기를 참조하세요.
라이브 스트림 세션
이벤트가 발생할 때 새로 만들어진 쿼리를 테스트하고, 일치 항목이 발견되면 세션에서 알림을 가져오고, 필요한 경우 조사를 시작할 수 있는 대화형 세션을 만듭니다. Log Analytics 쿼리를 사용하여 라이브 스트림 세션을 신속하게 만들 수 있습니다.
이벤트가 발생하면 새로 생성된 쿼리 테스트
이벤트에 적극적으로 적용되는 현재 규칙에 대한 충돌 없이 쿼리를 테스트하고 조정할 수 있습니다. 이러한 새 쿼리가 예상대로 작동하는지 확인한 후에는 경고에 대한 세션을 상승시키는 옵션을 선택하여 사용자 지정 경고 규칙으로 승격하는 것이 쉽습니다.
위협이 발생하면 알림 받기
위협 데이터 피드를 집계된 로그 데이터와 비교하여 일치가 발생하면 알림을 받을 수 있습니다. 위협 데이터 피드는 잠재적 또는 현재 위협과 관련된 지속적인 데이터 스트림이므로 알림이 조직에 대한 잠재적 위협을 의미할 수 있습니다. 사용자 지정 경고 규칙 대신 실시간 스트리밍 세션을 만들어 사용자 지정 경고 규칙을 유지 관리하는 데 드는 오버헤드 없이 잠재적인 문제에 대한 경고를 받을 수 있습니다.
조사 시작
호스트 또는 사용자와 같은 자산을 포함하는 활성 조사가 있는 경우 해당 자산에서 발생하는 로그 데이터의 특정(또는 임의) 활동을 봅니다. 해당 활동이 발생하면 알림을 받습니다.
자세한 내용은 Microsoft Sentinel에서 헌팅 라이브 스트림을 사용하여 위협 탐지를 참고하세요.
데이터 추적을 위한 책갈피
위협 헌팅을 사용하려면 일반적으로 많은 로그 데이터를 검토하여 악의적인 동작의 증거를 찾아야 합니다. 이 프로세스 중에 조사자는 잠재적인 가설의 유효성을 검사하고 손상의 전체적인 스토리를 파악하는 작업의 일부로 기억하고, 다시 방문하고, 분석하려는 이벤트를 찾습니다.
헌팅 및 조사 프로세스 중에 비정상적이거나 의심스러워 보이는 쿼리 결과가 나타날 수 있습니다. 이러한 항목에 책갈피를 지정하면 나중에 조사를 위해 인시던트를 만들거나 보강하는 경우 다시 참조할 수 있습니다. 잠재적 근본 원인, 손상 표시 또는 기타 주의할 만한 이벤트 등을 책갈피를 통해 제기해야 합니다. 책갈피를 지정한 주요 이벤트가 조사를 보증할 만큼 심각하면 인시던트로 에스컬레이션합니다.
결과에서 유지할 행에 대해 확인란을 표시하고 책갈피 추가를 선택합니다. 이렇게 하면 행 결과와 결과를 만든 쿼리가 포함된 표시된 각 행(책갈피)에 대한 레코드가 만들어집니다. 각 책갈피에 고유한 태그 및 메모를 추가할 수 있습니다.
- 예약된 분석 규칙과 마찬가지로 항목 매핑을 사용하여 책갈피를 보강하여 여러 항목 형식 및 식별자를 추출하고 MITRE ATT&CK 매핑을 사용하여 특정 전술과 기술을 연결할 수 있습니다.
- 책갈피는 기본적으로 책갈피가 지정된 결과를 생성한 헌팅 쿼리와 동일한 항목 및 MITRE ATT&CK 기술 매핑을 사용하도록 설정됩니다.
기본 헌팅 페이지에서 책갈피 탭을 클릭하여 책갈피가 지정된 모든 결과를 확인합니다. 태그를 책갈피에 추가하여 필터링을 위해 분류합니다. 예를 들어 공격 캠페인을 조사하는 경우 캠페인에 대한 태그를 만들고 관련 책갈피에 태그를 지정한 다음 캠페인을 기반으로 모든 책갈피를 필터링할 수 있습니다.
책갈피를 선택한 다음, 세부 정보 창에서 조사를 클릭하여 조사 환경을 연 후 책갈피가 지정된 단일 결과를 조사합니다. 대화형 엔터티-그래프 다이어그램과 타임라인을 사용하여 결과를 보고, 조사하고, 시각적으로 전달합니다. 나열된 엔터티를 직접 선택하여 해당 엔터티의 해당 엔터티 페이지를 볼 수도 있습니다.
하나 이상의 책갈피에서 인시던트를 만들거나 기존 인시던트에 하나 이상의 책갈피를 추가할 수도 있습니다. 사용하려는 책갈피의 왼쪽에 있는 확인란을 선택한 다음, 인시던트 작업>새 인시던트 만들기 또는 기존 인시던트에 추가를 선택합니다. 그런 다음, 다른 인시던트와 마찬가지로 인시던트를 심사하고 조사할 수 있습니다.
Log Analytics 작업 영역의 HuntingBookmark 테이블에서 직접 책갈피가 지정된 데이터를 봅니다. 예시:
테이블에서 책갈피를 보면 책갈피가 지정된 데이터를 필터링, 요약하고 다른 데이터 원본과 조인하여 보강 증거를 쉽게 찾을 수 있습니다.
책갈피 사용을 시작하려면 Microsoft Sentinel을 사용하여 헌팅하는 동안 데이터 추적을 참조하세요.
조사를 강화하기 위한 Notebook
헌팅과 조사가 더 복잡해지면 Microsoft Sentinel Notebooks를 사용하여 기계 학습, 시각화 및 데이터 분석을 통해 작업을 향상시킵니다.
Notebooks는 완전한 조사를 수행할 수 있는 자체 커널로 완성된 일종의 가상 샌드박스를 제공합니다. Notebook에는 원시 데이터, 해당 데이터에서 실행하는 코드, 결과 및 시각화가 포함될 수 있습니다. 다른 사람과 공유하여 조직에서 재사용할 수 있도록 Notebooks를 저장합니다.
Notebooks는 헌팅 또는 조사가 너무 커서 쉽게 기억하거나 세부 정보를 볼 수 없거나 쿼리 및 결과를 저장해야 할 때 유용할 수 있습니다. Notebooks를 만들고 공유할 수 있도록 Microsoft Sentinel은 Microsoft Sentinel Notebooks 페이지에 직접 통합된 오픈 소스, 대화형 개발 및 데이터 조작 환경인 Jupyter Notebook을 제공합니다.
자세한 내용은 다음을 참조하세요.
다음 표에서는 Microsoft Sentinel에서 프로세스를 돕기 위해 Jupyter Notebook을 사용하는 몇 가지 방법을 설명합니다.
메서드 | 설명 |
---|---|
데이터 지속성, 반복성 및 역추적 | 많은 쿼리와 결과 집합으로 작업하는 경우 어려움이 있을 수 있습니다. 유지해야 할 쿼리와 결과, 유용한 결과를 단일 보고서에 누적하는 방법을 결정해야 합니다. Jupyter Notebooks를 사용하여 쿼리 및 데이터를 이동 중에 저장하고, 변수를 사용하여 다른 값 또는 날짜로 쿼리를 다시 실행하거나, 쿼리를 저장하여 향후 조사에서 다시 실행할 수 있습니다. |
스크립팅 및 프로그래밍 | Jupyter Notebooks를 사용하여 다음을 포함하여 쿼리에 프로그래밍을 추가합니다. - 선언적 언어(예: KQL(Kusto 쿼리 언어) 또는 SQL)는 논리를 복잡할 수 있는 단일 문으로 인코딩합니다. - 일련의 단계에서 논리를 실행하는 절차적 프로그래밍 언어입니다. 논리를 단계로 분할하여 중간 결과를 보고 디버그하고, 쿼리 언어에서 사용할 수 없는 기능을 추가하고, 이후 처리 단계에서 부분 결과를 재사용하는 데 도움이 될 수 있습니다. |
외부 데이터 링크 | Microsoft Sentinel 테이블에는 대부분의 원격 분석 및 이벤트 데이터가 있지만 Jupyter Notebooks는 네트워크를 통해 또는 파일에서 액세스할 수 있는 모든 데이터에 연결할 수 있습니다. Jupyter Notebooks를 사용하면 다음과 같은 데이터를 포함할 수 있습니다. - 지리적 위치 데이터 또는 위협 인텔리전스 원본과 같이 사용자가 소유하지 않은 외부 서비스의 데이터 - 인적 리소스 데이터베이스 또는 고가 자산 목록과 같이 조직 내에서만 저장되는 중요한 데이터 - 아직 클라우드로 마이그레이션하지 않은 데이터. |
전문 데이터 처리, 기계 학습 및 시각화 도구 | Jupyter Notebooks는 더 많은 시각화, 기계 학습 라이브러리, 데이터 처리, 변환 기능을 제공합니다. 예를 들어 다음 Python 기능과 함께 Jupyter Notebooks를 사용합니다. - 데이터 처리, 정리 및 엔지니어링을 위한 pandas - 시각화를 위한 Matplotlib, HoloViews 및 Plotly - 고급 수치 및 과학 처리를 위한 NumPy 및 SciPy - 기계 학습을 위한 scikit-learn - 딥 러닝을 위한 TensorFlow, PyTorch 및 Keras 팁: Jupyter Notebooks는 다국어 커널을 지원합니다. 매직을 사용하면 다른 언어를 사용하여 개별 셀을 실행할 수 있으므로 동일한 Notebook 내에서 언어를 혼합할 수 있습니다. 예를 들어 PowerShell 스크립트 셀을 사용하여 데이터를 검색하고 Python에서 데이터를 처리하고 JavaScript를 사용하여 시각화를 렌더링할 수 있습니다. |
MSTIC, Jupyter 및 Python 보안 도구
MSTIC(Microsoft Threat Intelligence Center)는 여러 Microsoft 플랫폼에 대한 보안 검색을 작성하고 위협 식별 및 조사를 수행하는 Microsoft 보안 분석이 및 엔지니어 팀입니다.
MSTIC는 Jupyter Notebooks에서 정보 보안 조사 및 헌팅을 위한 라이브러리인 MSTICPy를 빌드했습니다. MTICPy는 Notebooks 만들기 속도를 높이고 사용자가 Microsoft Sentinel에서 Notebooks를 더 쉽게 읽을 수 있도록 하는 재사용 가능한 기능을 제공합니다.
예를 들어 MTICPy는 다음을 수행할 수 있습니다.
- 여러 원본에서 로그 데이터를 쿼리합니다.
- 위협 인텔리전스, 지리적 위치 및 Azure 리소스 데이터로 데이터를 보강합니다.
- 로그에서 IoA(작업 지표)를 추출하고 인코딩된 데이터의 압축을 풉니다.
- 비정상적인 세션 검색 및 시계열 분해와 같은 정교한 분석을 수행합니다.
- 대화형 타임라인, 프로세스 트리 및 다차원 모프 차트를 사용하여 데이터를 시각화합니다.
MTICPy에는 쿼리 시간 경계를 설정하고, 목록에서 항목을 선택 및 표시하고, Notebook 환경을 구성하는 위젯과 같은 시간 절약형 Notebook 도구도 포함되어 있습니다.
자세한 내용은 다음을 참조하세요.
- MSTICPy 설명서
- Microsoft Sentinel 헌팅 기능을 사용하는 Jupyter Notebook
- Microsoft Sentinel의 Jupyter Notebook 및 MSTICPy에 대한 고급 구성
유용한 연산자 및 함수
헌팅 쿼리는 기본 제공된 KQL(Kusto Query Language)로, 헌팅을 다음 수준으로 가져오는 데 필요한 성능과 유연성을 제공하는 IntelliSense 언어를 포함하는 강력한 쿼리 언어입니다.
분석 규칙 및 Microsoft Sentinel의 다른 곳에서 쿼리에 사용되는 것과 동일한 언어입니다. 자세한 내용은 쿼리 언어 참조를 참조하세요.
다음 연산자는 Microsoft Sentinel 헌팅 쿼리에 특히 유용합니다.
where - 조건자를 충족하는 행의 하위 집합으로 테이블을 필터링합니다.
summarize - 입력 테이블의 콘텐츠를 집계하는 테이블을 생성합니다.
조인 - 두 테이블의 행을 병합하여 각 테이블에서 지정된 열의 값을 일치시키는 방식으로 새 테이블을 만듭니다.
count - 입력 레코드 집합의 레코드 수를 반환합니다.
top - 지정한 열을 기준으로 정렬된 처음 N개 레코드를 반환합니다.
limit - 최대 지정된 수의 행을 반환합니다.
project - 포함하거나, 이름을 바꾸거나 또는 삭제할 열을 선택하고 새로운 컴퓨팅된 열을 삽입합니다.
extend - 계산된 열을 만들고 결과 집합에 추가합니다.
makeset - 해당 그룹에서 가져오는 고유 값 집합의 동적(JSON) 배열을 반환합니다.
find - 테이블 집합 사이에서 조건자와 일치하는 행을 찾습니다.
adx() - 이 함수는 Microsoft Sentinel 헌팅 환경 및 Log Analytics에서 Azure Data Explorer 데이터 원본에 대한 리소스 간 쿼리를 수행합니다. 자세한 내용은 Azure Monitor를 사용하여 Azure Data Explorer 리소스 간 쿼리를 참조하세요.
관련된 문서
- Microsoft Sentinel 헌팅 기능을 사용하는 Jupyter Notebook
- Microsoft Sentinel을 사용하여 헌팅하는 동안 데이터 추적
- Microsoft Sentinel에서 헌팅 라이브 스트림을 사용하여 위협 탐지
- 사용자 지정 커넥터를 사용한 Zoom 모니터링 시, 사용자 지정 분석 규칙을 사용하는 예제를 알아봅니다.