Microsoft Sentinel 경고에 사용자 지정 이벤트 세부 정보 표시
예약된 쿼리 분석 규칙은 Microsoft Sentinel에 연결된 데이터 원본의 이벤트를 분석하고 이벤트 콘텐츠가 보안 관점에서 중요할 때 경고를 생성합니다. 경고는 Microsoft Sentinel의 다양한 엔진에서 추가로 분석, 그룹화, 필터링되며 SOC 분석가의 주의가 필요한 인시던트로 분류됩니다. 그러나 분석가가 인시던트를 볼 때는 구성 요소 경고 자체의 속성만 즉시 표시됩니다. 실제 콘텐츠, 즉 이벤트에 포함된 정보를 찾으려면 탐색이 필요합니다.
분석 규칙 마법사의 사용자 지정 세부 정보 기능을 사용하면 이러한 이벤트로 구성된 경고에 이벤트 데이터를 표시하여 이벤트 데이터를 경고 속성의 일부로 만들 수 있습니다. 실제로 이 기능은 인시던트에 대한 즉각적인 이벤트 콘텐츠 가시성을 제공하여 사용자가 심사하고, 조사하고, 결론을 내리고, 훨씬 더 빠르고 효율적으로 응답할 수 있도록 합니다.
아래에 자세히 설명된 절차는 분석 규칙 만들기 마법사의 일부입니다. 이는 기존 분석 규칙에서 사용자 지정 세부 정보를 추가하거나 변경하게 되는 시나리오를 해결하기 위해 독립적으로 처리됩니다.
Important
Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.
사용자 지정 이벤트 정보를 노출하는 방법
Microsoft Sentinel에 액세스하는 포털에서 분석 페이지를 시작합니다.
Microsoft Sentinel 탐색 메뉴의 구성 섹션에서 분석을 선택합니다.
예약된 쿼리 규칙을 선택하고 수정을 클릭합니다. 또는 화면 맨 위에서 만들기 > 예약된 쿼리 규칙을 클릭하여 새 규칙을 만듭니다.
규칙 논리 설정 탭을 클릭합니다.
경고 보강 섹션에서 사용자 지정 세부 정보를 확장합니다.
이제 확장된 사용자 지정 세부 정보 섹션에서 표시하려는 세부 정보에 해당하는 키-값 쌍을 추가합니다.
키 필드에 경고의 필드 이름으로 표시될 이름을 입력합니다.
값 필드의 드롭다운 목록에서 알림에 표시할 이벤트 매개 변수를 선택합니다. 이 목록은 규칙 쿼리의 대상인 테이블의 필드에 해당하는 값으로 채워집니다.
새 항목 추가를 클릭하고 키-값 쌍을 정의하는 마지막 단계를 반복하여 세부 정보를 표시합니다.
생각이 바뀌거나 실수를 한 경우 해당 세부 정보의 값 드롭다운 목록 옆에 있는 휴지통 아이콘을 클릭하여 사용자 지정 세부 정보를 삭제할 수 있습니다.
사용자 지정 세부 정보 정의가 완료되면 검토 및 만들기 탭을 클릭합니다. 규칙 유효성 검사가 성공하면 저장을 클릭합니다.
참고 항목
서비스 제한
단일 분석 규칙에서 최대 20개의 사용자 지정 세부 정보를 정의할 수 있습니다. 각 사용자 지정 세부 정보에는 최대 50개의 값이 포함될 수 있습니다.
단일 경고에 포함된 모든 사용자 지정 세부 정보와 해당 값의 총 크기 제한은 2KB입니다. 이 제한을 초과하는 값은 삭제됩니다.
다음 단계
이 문서에서는 Microsoft Sentinel 분석 규칙을 사용하여 경고에 사용자 지정 세부 정보를 표시하는 방법을 알아보았습니다. Microsoft Sentinel에 대해 자세히 알아보려면 다음 문서를 참조하세요.
- 경고를 보강하는 다른 방법을 살펴봅니다.
- 예약된 쿼리 분석 규칙을 전체적으로 파악합니다.
- Microsoft Sentinel의 엔터티에 대해 자세히 알아봅니다.