다음을 통해 공유


Microsoft Sentinel의 예약 분석 규칙

가장 일반적인 형식의 분석 규칙인 예약된 규칙은 정기적으로 실행되고 정의된 "전환 확인" 기간의 원시 데이터를 검사하도록 구성된 Kusto 쿼리를 기반으로 합니다. 쿼리는 대상 데이터에 대해 복잡한 통계 작업을 수행하여 이벤트 그룹의 기준과 이상값을 드러낼 수 있습니다. 쿼리로 캡처한 결과 수가 규칙에 구성된 임계값을 초과하면 규칙이 경고를 생성합니다.

이 문서는 예약된 분석 규칙이 빌드되는 방식을 이해하는 데 도움이 되며 모든 구성 옵션 및 해당 의미를 소개합니다. 이 문서의 정보는 다음과 같은 두 가지 시나리오에서 유용합니다.

  • 템플릿으로 분석 규칙 만들기: 템플릿에 정의된 대로 쿼리 논리와 일정 및 전환 확인 설정을 사용하거나 이를 사용자 지정하여 새 규칙을 만들 수 있습니다.

  • 처음부터 분석 규칙 만들기: 처음부터 고유한 쿼리 및 규칙을 빌드합니다. 이를 효과적으로 수행하려면 데이터 과학 및 Kusto 쿼리 언어에 대한 철저한 기초 지식이 있어야 합니다.

Important

Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

분석 규칙 템플릿

예약된 규칙 템플릿의 쿼리는 Microsoft 또는 템플릿을 제공하는 솔루션 공급업체의 보안 및 데이터 과학 전문가가 작성했습니다.

템플릿 목록에서 템플릿 이름을 선택하고 이를 기반으로 규칙을 만들어 분석 규칙 템플릿을 사용합니다.

각 템플릿에는 필요한 데이터 원본 목록이 있습니다. 템플릿을 열면 데이터 원본의 가용성이 자동으로 검사됩니다. 가용성은 데이터 원본이 연결되고 데이터가 정기적으로 수집되고 있음을 의미합니다. 필요한 데이터 원본을 사용할 수 없는 경우 규칙을 만들 수 없으며 해당 효과에 대한 오류 메시지가 표시될 수도 있습니다.

템플릿으로 규칙을 만들면 선택한 템플릿에 따라 규칙 만들기 마법사가 열립니다. 모든 세부 정보가 자동으로 채워지며, 논리 및 기타 규칙 설정을 사용자 지정하여 특정 요구에 더 적합하게 만들 수 있습니다. 이 프로세스를 반복하여 템플릿을 기반으로 하는 규칙을 더 많이 만들 수 있습니다. 규칙 만들기 마법사의 끝에 도달하면 사용자 지정 내용의 유효성이 검사되고 규칙이 만들어집니다. 분석 페이지의 활성 규칙 탭에 새 규칙이 표시됩니다. 마찬가지로 규칙 템플릿 탭에서 규칙을 만드는 데 사용된 템플릿이 이제 In use 태그와 함께 표시됩니다.

분석 규칙 템플릿은 버그를 수정하거나 쿼리를 구체화하기 위해 작성자가 지속적으로 유지 관리합니다. 템플릿이 업데이트를 받으면 해당 템플릿을 기반으로 하는 모든 규칙이 Update 태그와 함께 표시되며 템플릿의 변경 내용을 포함하도록 해당 규칙을 수정할 수 있습니다. 규칙에서 변경한 내용을 원래 템플릿 기반 버전으로 되돌릴 수도 있습니다. 자세한 내용은 Microsoft Sentinel에서 예약된 분석 규칙에 대한 템플릿 버전 관리를 참조하세요.

이 문서의 구성 옵션에 익숙해지면 템플릿으로 예약된 분석 규칙 만들기를 참조하세요.

이 문서의 나머지 부분에는 규칙의 구성을 사용자 지정할 수 있는 모든 가능성이 설명되어 있습니다.

분석 규칙 구성

이 섹션에서는 규칙 구성을 시작하기 전에 고려해야 할 주요 고려 사항에 대해 설명합니다.

분석 규칙 이름 및 세부 정보

분석 규칙 마법사의 첫 페이지에는 규칙의 기본 정보가 포함되어 있습니다.

이름: 규칙 목록 및 규칙 기반 필터에 표시되는 규칙의 이름입니다. 이름은 작업 영역에 대해 고유해야 합니다.

설명: 규칙의 목적에 대한 자유 텍스트 설명입니다.

ID: 무엇보다도 API 요청 및 응답에 사용되는 Azure 리소스로서의 규칙의 GUID입니다. 이 GUID는 규칙이 만들어질 때만 할당되므로 기존 규칙을 편집하는 경우에만 표시됩니다. 읽기 전용 필드이기 때문에 회색으로 표시되며 변경할 수 없습니다. 템플릿으로 또는 처음부터 새 규칙을 만들 때는 아직 존재하지 않습니다.

심각도: 이 규칙을 통해 생성된 경고를 제공하는 등급입니다. 활동의 심각도는 활동 발생의 잠재적으로 부정적인 영향을 계산한 것입니다.

심각도 설명
정보 제공 시스템에는 영향을 미치지 않지만 해당 정보는 위협 행위자가 계획한 향후 단계를 나타낼 수 있습니다.
낮음 즉각적인 영향은 최소화될 것입니다. 위협 행위자가 환경에 영향을 미치려면 여러 단계를 수행해야 할 수 있습니다.
중간 위협 행위자는 해당 활동을 통해 환경에 어느 정도 영향을 미칠 수 있지만 범위가 제한되거나 추가 활동이 필요합니다.
높음 식별된 활동은 위협 행위자에게 환경에 대한 광범위한 액세스 권한을 제공하거나 환경에 미치는 영향에 의해 트리거됩니다.

심각도 수준 기본값은 현재 또는 환경 영향 수준을 보장하지 않습니다. 경고 세부 정보를 사용자 지정하여 쿼리 출력의 관련 필드 값을 사용하여 특정 경고 인스턴스의 심각도, 전략, 기타 속성을 사용자 지정합니다.

Microsoft Sentinel 분석 규칙 템플릿의 심각도 정의는 분석 규칙에 의해 만들어진 경고에만 해당합니다. 다른 서비스에서 수집된 경고의 경우 심각도는 소스 보안 서비스에 의해 정의됩니다.

MITRE ATT&CK: 이 규칙을 통해 캡처된 활동에서 나타내는 공격 전술 및 기술의 사양입니다. 이는 MITRE ATT&CK® 프레임워크의 전술과 기술을 기반으로 합니다.

이 규칙에 정의된 MITRE ATT&CK 전술 및 기술은 규칙에 의해 생성된 모든 경고에 적용됩니다. 또한 이러한 경고에서 생성된 인시던트에도 적용됩니다.

MITRE ATT&CK 위협 환경의 적용 범위를 최대화하는 방법에 대한 자세한 내용은 MITRE ATT&CK® 프레임워크의 보안 적용 범위 이해를 참조하세요.

상태: 규칙을 만들 때 상태는 기본적으로 사용으로 설정되어 있습니다. 즉, 규칙 만들기를 완료한 후 즉시 실행됩니다. 즉시 실행하지 않으려는 경우 다음과 같은 두 가지 옵션을 사용할 수 있습니다.

  • 사용 안 함을 선택하면 규칙이 실행되지 않고 만들어집니다. 규칙을 실행하려면 활성 규칙 탭에서 해당 규칙을 찾아 사용하도록 설정합니다.
  • 특정 날짜 및 시간에 먼저 실행되도록 규칙을 예약합니다. 이 메서드는 현재 미리 보기 상태입니다. 이 문서의 뒷부분에서 쿼리 예약을 참조하세요.

규칙 쿼리

이 규칙에 의해 생성되는 경고에 어떤 정보가 포함될지, 정보가 어떻게 구성될지 결정하는 것이 바로 이 규칙의 핵심입니다. 이 구성은 인시던트 결과의 모양과 조사, 수정 및 해결이 얼마나 쉬운지 또는 어려운지에 따라 후속 영향을 미칩니다. 경고를 최대한 풍부한 정보로 만들고 해당 정보에 쉽게 액세스할 수 있도록 하는 것이 중요합니다.

원시 로그 데이터를 분석하는 Kusto 쿼리를 보거나 입력합니다. 처음부터 규칙을 만드는 경우 이 마법사를 열기 전에 쿼리를 계획하고 디자인하는 것이 좋습니다. 로그 페이지에서 쿼리를 작성하고 테스트할 수 있습니다.

규칙 쿼리 창에 입력하는 모든 항목의 유효성이 즉시 검사되므로 실수를 하면 바로 확인할 수 있습니다.

분석 규칙 쿼리에 대한 모범 사례

  • 기본 테이블을 사용하는 대신 ASIM(고급 보안 정보 모델) 파서를 쿼리 소스로 사용하는 것이 좋습니다. 이렇게 하면 쿼리가 단일 데이터 원본에 의존하는 대신 현재 또는 미래의 관련 데이터 원본이나 데이터 원본 계열을 지원하게 됩니다.

  • 쿼리 길이는 1 ~ 10,000자 사이여야 하며 "search *" 또는 "union *"를 포함할 수 없습니다. 단일 함수가 수십 줄의 코드를 대체할 수 있으므로 사용자 정의 함수를 사용하여 쿼리 길이 제한을 극복할 수 있습니다.

  • ADX 함수를 사용하여 Log Analytics 쿼리 창 안에 Azure Data Explorer 쿼리를 만드는 것은 지원되지 않습니다.

  • 쿼리에서 bag_unpack 함수를 사용할 때 "project field1"을 사용하여 필드로 열을 프로젝트하고 열이 존재하지 않으면 쿼리가 실패합니다. 이러한 상황을 방지하려면 다음과 같이 열을 프로젝트해야 합니다.

    project field1 = column_ifexists("field1","")

Kusto 쿼리 작성에 대한 자세한 도움말은 Microsoft Sentinel의 Kusto 쿼리 언어Kusto 쿼리 언어 쿼리 모범 사례를 참조하세요.

경고 향상

경고가 인시던트에서 즉시 표시되고 적절하게 추적 및 조사될 수 있도록 결과를 표시하려면 경고 향상 구성을 사용하여 경고의 모든 중요한 정보를 표시합니다.

이 경고 향상은 쉽게 표시되고 액세스할 수 있는 방식으로 결과를 제시하는 추가적인 이점을 제공합니다.

구성할 수 있는 세 가지 유형의 경고 향상 기능이 있습니다.

  • 엔터티 매핑
  • 사용자 지정 세부 정보
  • 경고 세부 정보(동적 콘텐츠라고도 함)

엔터티 매핑

엔터티는 공격 스토리의 양쪽에 있는 플레이어입니다. 경고의 모든 엔터티를 식별하는 것은 위협을 감지하고 조사하는 데 필수적입니다. Microsoft Sentinel이 원시 데이터의 엔터티를 식별하도록 하려면 Microsoft Sentinel에서 인식하는 엔터티 형식을 쿼리 결과의 필드에 매핑해야 합니다. 이 매핑은 식별된 엔티티를 경고 스키마의 엔터티 필드에 통합합니다.

항목 매핑에 대해 자세히 알아보고 전체 지침을 확인하려면 Microsoft Sentinel의 항목에 데이터 필드 매핑을 참조하세요.

사용자 지정 세부 정보

기본적으로 쿼리 결과의 원시 이벤트를 드릴다운하지 않고 인시던트에 경고 엔터티와 메타데이터만 표시됩니다. 쿼리 결과의 다른 필드를 경고 및 인시던트에 즉시 표시하려면 이를 사용자 지정 세부 정보로 정의합니다. Microsoft Sentinel은 이러한 사용자 지정 필드 세부 정보를 이 단계에서는 쿼리 결과의 다른 필드를 가져와서 경고의 ExtendedProperties 필드에 통합하여 경고 및 해당 항목에서 생성된 모든 인시던트에 해당 필드가 맨 앞에 표시되도록 합니다.

사용자 지정 세부 정보 표시에 대해 자세히 알아보고 전체 지침을 확인하려면 Microsoft Sentinel의 경고에서 사용자 지정 이벤트 세부 정보 표시를 참조하세요.

경고 세부 정보

이 설정을 사용하면 각 개별 경고의 다양한 필드 내용에 따라 표준 경고 속성을 사용자 지정할 수 있습니다. 이러한 사용자 지정은 경고의 ExtendedProperties 필드에 통합됩니다. 예를 들어 경고에 표시되는 사용자 이름이나 IP 주소를 포함하도록 경고 이름이나 설명을 사용자 지정할 수 있습니다.

경고 세부 정보 사용자 지정에 대해 자세히 알아보고 전체 지침을 확인하려면 Microsoft Sentinel에서 경고 세부 정보 사용자 지정을 참조하세요.

참고 항목

Microsoft Defender 포털에서 Defender XDR 상관 관계 엔진은 인시던트 이름 지정만 담당하므로 이러한 경고에서 인시던트가 생성될 때 사용자 지정한 경고 이름이 재정의될 수 있습니다.

쿼리 예약

다음 매개 변수는 예약된 규칙이 실행되는 빈도와 실행될 때마다 검사할 기간을 결정합니다.

설정 동작
쿼리 실행 간격 쿼리 간격, 즉 쿼리가 실행되는 빈도를 제어합니다.
마지막부터 데이터 조회 전환 확인 기간, 즉 검색어에 포함되는 기간을 결정합니다.
  • 두 매개 변수 모두에 허용되는 범위는 5분부터 14일까지입니다.

  • 쿼리 간격은 되돌아보기 기간보다 짧거나 같아야 합니다. 더 짧을 경우 쿼리 기간이 겹쳐서 결과가 일부 중복될 수 있습니다. 하지만 규칙 유효성 검사에서 되돌아보기 기간보다 긴 간격을 설정하면 적용 범위에 공백이 생길 수 있으므로 이보다 긴 간격을 설정할 수 없습니다.

실행 시작 설정(현재 미리 보기)을 사용하면 상태가 사용인 규칙을 만들 수 있지만 미리 결정된 날짜 및 시간까지 첫 번째 실행을 지연할 수 있습니다. 이 설정은 원본에서 데이터가 수집될 것으로 예상되는 시간 또는 SOC 분석가의 업무 시작 시간에 따라 규칙 실행 시간을 정하려는 경우에 유용합니다.

설정 동작
자동 규칙은 생성 즉시 처음으로 실행되며 그 이후에는 다음 간격으로 쿼리 실행 설정에 설정된 간격으로 실행됩니다.
특정 시간에(미리 보기) 규칙이 처음 실행될 날짜와 시간을 설정합니다. 그 후에는 쿼리 실행 간격 설정에 설정된 간격으로 규칙이 실행됩니다.
  • 실행 시작 시간은 규칙 생성(또는 사용 설정) 시간으로부터 10분에서 30일 사이여야 합니다.

  • 실행 시작 설정(왼쪽에 정보 아이콘 포함) 아래의 텍스트 행에는 현재 쿼리 예약 및 전환 확인 설정이 요약되어 있습니다.

    고급 일정 토글 및 설정의 스크린샷

참고 항목

수집 지연

원본에서 이벤트를 생성하고 Microsoft Sentinel에 수집하는 동안 발생할 수 있는 대기 시간을 고려하여 데이터 중복 없이 전체 범위를 보장하기 위해 Microsoft Sentinel은 예약된 시간부터 5분 지연 시간을 두어 예약된 분석 규칙을 실행합니다.

자세한 내용은 예약된 분석 규칙의 수집 지연 처리를 참조하세요.

경고 임계값

많은 유형의 보안 이벤트는 소량일 때는 정상적이거나 예상되는 것이지만, 그 수가 많을 때는 위협의 신호일 수 있습니다. 많은 수의 규모에 따라 위협의 종류도 달라질 수 있습니다. 예를 들어 1분 동안 로그인 시도가 두세 번 실패하면 사용자가 암호를 기억하지 못한다는 신호이지만, 1분 동안 50번이면 사람의 공격일 수 있고, 1천 번이면 자동화된 공격일 가능성이 높습니다.

규칙이 검색하려는 활동의 종류에 따라 경고를 트리거하는 데 필요한 최소 이벤트 수(쿼리 결과)를 설정할 수 있습니다. 임계값은 규칙이 실행될 때마다 개별적으로 적용되며 일괄적으로는 적용되지 않습니다.

임계값은 최대 결과 수 또는 정확한 숫자로 설정할 수도 있습니다.

이벤트 그룹화

이벤트경고로 그룹화하는 작업을 처리하는 방법에는 두 가지가 있습니다.

  • 모든 이벤트를 단일 경고로 그룹화: 기본값입니다. 쿼리가 이전 섹션에서 설명된 경고 임계값보다 많은 결과를 반환하는 한 규칙은 실행될 때마다 단일 경고를 생성합니다. 이 단일 경고에는 쿼리 결과에서 반환된 모든 이벤트가 요약되어 있습니다.

  • 각 이벤트에 대해 경고 트리거: 규칙은 쿼리에서 반환된 각 이벤트(결과)에 대해 고유한 경고를 생성합니다. 이 모드는 이벤트를 개별적으로 표시하거나 특정 매개 변수(사용자, 호스트 이름 또는 기타 항목)별로 그룹화하려는 경우에 유용합니다. 쿼리에서 이러한 매개 변수를 정의할 수 있습니다. |

분석 규칙은 최대 150개의 경고를 생성할 수 있습니다. 이벤트 그룹화각 이벤트에 대해 경고 실행으로 설정되어 있고 규칙 쿼리가 150개를 초과하는 이벤트를 반환하는 경우 처음 149개 이벤트는 149개 경고에 대해 각각 고유한 이벤트를 생성하고 150번째 경고는 반환된 이벤트의 전체 집합을 요약합니다. 즉, 150번째 경고는 이벤트 그룹화모든 이벤트를 단일 경고로 그룹화로 설정된 경우 생성되었을 경고입니다.

각 이벤트에 대해 경고 트리거 설정은 쿼리 결과가 누락되거나 예상과 다른 경우 문제를 유발할 수 있습니다. 이 시나리오에 대한 자세한 내용은 Microsoft Sentinel의 분석 규칙 문제 해결 | 문제: 쿼리 결과에 이벤트가 표시되지 않음을 참조하세요.

표시 안 함

이 규칙이 경고를 생성한 후 일정 기간 동안 작동을 중지하려면 경고가 생성된 후 쿼리 실행 중지 설정을 켜기로 설정합니다. 그런 후 다음 기간 동안 쿼리 실행 중지를 쿼리 실행을 중지해야 하는 시간(최대 24시간)으로 설정해야 합니다.

결과 시뮬레이션

분석 규칙 마법사를 사용하면 현재 데이터 집합에서 실행하여 그 효능을 테스트할 수 있습니다. 테스트를 실행하는 경우 결과 시뮬레이션 창에는 현재 정의된 일정에 따라 지난 50회 동안 쿼리가 실행되었을 때 생성되었을 결과 그래프가 표시됩니다. 쿼리를 수정하는 경우 테스트를 다시 실행하여 그래프를 업데이트할 수 있습니다. 그래프는 정의한 쿼리 일정에 따라 결정되는 정의된 기간 동안의 결과 수를 보여 줍니다.

다음은 위의 스크린샷에 나온 쿼리 결과 시뮬레이션입니다. 왼쪽은 기본 보기이며 오른쪽은 그래프의 특정 시점을 마우스로 가리킬 때 표시되는 내용입니다.

결과 시뮬레이션의 스크린샷.

쿼리에서 너무 많거나 너무 자주 발생하는 경고를 트리거하는 경우 예약 및 임계값 설정을 실험하고 시뮬레이션을 다시 실행할 수 있습니다.

인시던트 설정

Microsoft Sentinel이 경고를 실행 가능한 인시던트로 전환할지 여부를 선택합니다.

인시던트 만들기 기능은 기본적으로 사용됩니다. Microsoft Sentinel은 규칙에 의해 생성된 각 경고와 별도의 단일 인시던트를 만듭니다.

이 규칙을 사용하여 인시던트가 생성되는 것을 원하지 않는 경우(예: 이 규칙이 후속 분석을 위해 정보만 수집하는 경우) 사용 안 함으로 설정합니다.

Important

Microsoft Sentinel을 Defender 포털에 온보딩한 경우 Microsoft Defender는 인시던트 생성을 담당합니다. 그럼에도 불구하고 Defender XDR에서 이 경고에 대한 인시던트를 만들도록 하려는 경우 이 설정을 사용으로 유지해야 합니다. Defender XDR은 여기에 정의된 명령을 따릅니다.

Microsoft Defender 서비스에서 생성된 경고에 대한 인시던트를 만드는 Microsoft 보안 유형의 분석 규칙과 혼동해서는 안 됩니다. 이러한 규칙은 Microsoft Sentinel을 Defender 포털에 온보딩할 때 자동으로 비활성화됩니다.

모든 단일 경고에 대해 하나의 인시던트 대신 경고 그룹에서 단일 인시던트를 만들려면 다음 섹션을 참조하세요.

경고 그룹화

인시던트에서 경고를 그룹화할 방법을 선택합니다. 기본적으로 Microsoft Sentinel은 생성된 모든 경고에 대해 인시던트를 만듭니다. 대신 여러 경고를 단일 인시던트로 그룹화할 수 있습니다.

모든 경고가 생성된 후에만 인시던트가 만들어집니다. 모든 경고는 만들어지는 즉시 인시던트에 추가됩니다.

최대 150개의 경고를 하나의 인시던트로 그룹화할 수 있습니다. 단일 인시던트로 그룹화하는 규칙에 의해 150개가 넘는 경고가 생성되는 경우 원본과 동일한 인시던트 세부 정보를 사용하여 새 인시던트가 생성되고 초과 경고는 새 인시던트로 그룹화됩니다.

경고를 함께 그룹화하려면 경고 그룹화 설정을 사용으로 설정합니다.

경고를 그룹화할 때 고려해야 할 몇 가지 옵션은 다음과 같습니다.

  • 시간 프레임: 기본적으로 인시던트에서 첫 번째 경고가 발생한 후 최대 5시간 후에 만들어진 경고가 동일한 인시던트에 추가됩니다. 5시간이 지나면 새 인시던트가 만들어집니다. 이 기간을 5분에서 7일 사이로 변경할 수 있습니다.

  • 그룹화 기준: 그룹에 포함되는 경고를 결정하는 방법을 선택합니다. 다음 표에는 선택 가능한 항목이 나와 있습니다.

    옵션 설명
    모든 엔터티가 일치하는 경우 경고를 단일 인시던트로 그룹화 경고는 앞에 정의된 매핑된 각 엔터티에 대해 동일한 값을 공유하는 경우 함께 그룹화됩니다. 권장 설정입니다.
    이 규칙으로 트리거된 모든 경고를 단일 인시던트로 그룹화 이 규칙에 의해 생성된 모든 경고가 동일한 값을 공유하지 않더라도 함께 그룹화됩니다.
    선택한 엔터티 및 세부 정보가 일치하는 경우 경고를 단일 인시던트로 그룹화 경고는 매핑된 모든 엔터티, 경고 세부 정보 및 이 설정에 대해 선택한 사용자 지정 세부 정보의 동일한 값을 공유하는 경우 함께 그룹화됩니다. 이 옵션을 선택할 때 표시되는 드롭다운 목록에서 엔터티 및 세부 정보를 선택합니다.

    예를 들어, 원본 또는 대상 IP 주소를 기준으로 별도의 인시던트를 만들거나 특정 엔터티 및 심각도와 일치하는 경고를 그룹화하려는 경우 이 설정을 사용할 수 있습니다.

    참고: 이 옵션을 선택하는 경우 규칙에 대해 하나 이상의 엔터티 또는 세부 정보를 선택해야 합니다. 그렇지 않으면 규칙 유효성 검사가 실패하고 규칙이 만들어지지 않습니다.
  • 인시던트 다시 열기: 인시던트가 해결되어 닫힌 후 나중에 해당 인시던트에 속해야 하는 다른 경고가 생성되는 경우 닫힌 인시던트를 다시 열려면 이 설정을 사용으로 설정하고 새 경고가 새 인시던트를 만들도록 하려면 사용 안 함으로 그대로 둡니다.

    Defender 포털에 Microsoft Sentinel을 온보딩한 경우 닫힌 인시던트 다시 열기 옵션을 사용할 수 없습니다 .

자동화된 대응

Microsoft Sentinel을 사용하면 다음과 같은 경우 자동화된 응답이 발생하도록 설정할 수 있습니다.

  • 이 분석 규칙에 의해 경고가 생성되는 경우.
  • 이 분석 규칙에 의해 생성된 경고에서 인시던트가 만들어지는 경우.
  • 이 분석 규칙에 의해 생성된 경고로 인시던트가 업데이트되는 경우.

만들고 자동화할 수 있는 다양한 종류의 응답에 대해 자세히 알아보려면 자동화 규칙으로 Microsoft Sentinel에서 위협 대응 자동화를 참조하세요.

마법사는 자동화 규칙 제목 아래에 이 분석 규칙에 조건이 적용되는 전체 작업 영역에 이미 정의된 자동화 규칙 목록을 표시합니다. 이러한 기존 규칙을 편집하거나 이 분석 규칙에만 적용되는 새 자동화 규칙을 만들 수 있습니다.

자동화 규칙을 사용하여 기본 심사, 할당, 워크플로 및 인시던트 종결을 수행합니다.

보다 복잡한 작업을 자동화하고 원격 시스템에서 응답을 호출하여 이러한 자동화 규칙에서 플레이북을 호출하여 위협을 수정합니다. 인시던트뿐만 아니라 개별 경고에 대해서도 플레이북을 호출할 수 있습니다.

  • 플레이북 및 자동화 규칙을 생성하는 방법에 대한 자세한 내용 및 지침은 위협 응답 자동화를 참조하세요.

  • 인시던트 만들기 트리거, 인시던트 업데이트 트리거 또는 경고 만들기 트리거를 사용하는 경우에 대한 자세한 내용은 Microsoft Sentinel 플레이북의 트리거 및 작업 사용을 참조하세요.

  • 경고 자동화(클래식) 제목 아래에는 2026년 3월 이후 더 이상 사용되지 않는 이전 메서드를 사용하여 자동으로 실행되도록 구성된 플레이북 목록이 표시될 수 있습니다. 이 목록에는 아무것도 추가할 수 없습니다. 여기에 나열된 모든 플레이북에는 플레이북을 호출하기 위해 만들어진 경고 트리거를 기반으로 자동화 규칙이 만들어져야 합니다. 이 작업을 완료한 후 여기에 나열된 플레이북의 줄 끝에 있는 줄임표를 선택하고 제거를 선택합니다. 전체 지침은 Microsoft Sentinel 경고 트리거 플레이북을 자동화 규칙으로 마이그레이션을 참조하세요.

다음 단계

Microsoft Sentinel 분석 규칙을 사용하여 환경에서 위협을 탐지하는 경우 사용자 환경에 대한 전체 보안 범위를 보장하기 위해 연결된 데이터 원본과 연결된 모든 규칙을 사용하도록 설정해야 합니다.

규칙 사용을 자동화하려면, 추가 활동이 필요하지만 APIPowerShell을 통해 Microsoft Sentinel에 규칙을 푸시합니다. API 또는 PowerShell을 사용하는 경우 규칙을 사용하도록 설정하기 전에 먼저 규칙을 JSON으로 내보내야 합니다. API 또는 PowerShell은 각 인스턴스에서 동일한 설정으로 Microsoft Sentinel의 여러 인스턴스에서 규칙을 사용하도록 설정할 때 유용할 수 있습니다.

자세한 내용은 다음을 참조하세요.

또한 사용자 지정 커넥터를 사용한 Zoom 모니터링 시 사용자 지정 분석 규칙을 사용하는 예제를 알아봅니다.