다음을 통해 공유


Microsoft Sentinel에서 관심 목록 만들기

Microsoft Sentinel의 관심 목록을 사용하면 제공하는 데이터 원본의 데이터와 Microsoft Sentinel 환경의 이벤트 간 상관 관계를 지정할 수 있습니다. 예를 들어 사용자 환경의 높은 가치 자산, 퇴사 직원 또는 서비스 계정 목록을 사용하여 관심 목록을 만들 수 있습니다.

로컬 폴더 또는 Azure Storage 계정에서 관심 목록 파일을 업로드합니다. 관심 목록 파일을 만들기 위해 Microsoft Sentinel에서 관심 목록 템플릿 중 하나를 다운로드하여 사용자 데이터로 채울 수 있습니다. 그런 다음, Microsoft Sentinel에서 관심 목록을 만들 때 해당 파일을 업로드합니다.

현재 로컬 파일 업로드는 최대 3.8MB의 파일 크기로 제한됩니다. 크기가 3.8MB 이상이고 최대 500MB인 파일은 큰 관심 목록으로 간주됩니다. Azure Storage 계정에 파일을 업로드합니다. 관심 목록을 만들기 전에 관심 목록의 제한 사항을 검토합니다.

Important

관심 목록 템플릿의 기능과 Azure Storage의 파일에서 관심 목록을 만드는 기능은 현재 미리 보기로 제공됩니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

로컬 폴더에서 관심 목록 업로드

로컬 머신에서 CSV 파일을 업로드하여 관심 목록을 만드는 두 가지 방법이 있습니다.

  • 관심 목록 템플릿 없이 만든 관심 목록 파일의 경우: 새로 추가를 선택하고 필요한 정보를 입력합니다.
  • Microsoft Sentinel에서 다운로드한 템플릿으로 만든 관심 목록 파일의 경우: 관심 목록 템플릿(미리 보기) 탭으로 이동합니다. 템플릿에서 만들기 옵션을 선택합니다. Azure에서 자동으로 이름, 설명, 관심 목록 별칭을 미리 채웁니다.

만든 파일에서 관심 목록 업로드

관심 목록 템플릿을 사용하여 파일을 만들지 않은 경우

  1. Azure Portal의 Microsoft Sentinel의 경우 구성 아래에서 관심 목록을 선택합니다.
    Defender 포털에서 Microsoft Sentinel의 경우 Microsoft Sentinel>구성>관심 목록을 선택합니다.

  2. +새로 만들기를 선택합니다.

  3. 일반 페이지에서, 관심 목록의 이름, 설명, 별칭을 입력합니다.

    관심 목록 마법사의 관심 목록 일반 탭 스크린샷

  4. 다음: 원본을 선택합니다.

  5. 다음 표의 정보를 사용하여 관심 목록 데이터를 업로드합니다.

    필드 설명
    데이터 세트의 형식 선택 헤더가 포함된 CSV 파일(.csv)
    머리글 행 앞 줄 수 데이터 파일에 있는 머리글 행 앞의 줄 수를 입력합니다.
    파일 업로드 데이터 파일을 끌어서 놓거나 파일 찾아보기를 선택한 다음, 업로드할 파일을 선택합니다.
    SearchKey 다른 데이터와 조인 또는 자주 사용되는 검색 개체로 사용할 관심 목록의 열 이름을 입력합니다. 예를 들어 서버 관심 목록에 국가/지역 이름과 해당 두 글자 국가 코드가 포함되어 있고 검색 또는 조인에 국가 코드를 자주 사용할 것으로 예상되는 경우 코드 열을 SearchKey로 사용합니다.

    참고 항목

    CSV 파일이 3.8MB보다 큰 경우 Azure Storage의 파일에서 대규모 관심 목록 만들기 지침을 사용해야 합니다.

  6. 다음: 검토 및 만들기를 선택합니다.

    관심 목록 원본 탭을 보여 주는 스크린샷

  7. 정보를 검토하여 올바른지 확인하고, 유효성 검사 통과 메시지를 기다린 다음, 만들기를 선택합니다.

    관심 목록 검토 페이지의 스크린샷

    관심 목록이 만들어지면 알림이 표시됩니다.

관심 목록이 생성되고 쿼리에서 새 데이터를 사용할 수 있기까지 몇 분 정도 걸릴 수 있습니다.

템플릿에서 만든 관심 목록 업로드(미리 보기)

데이터를 채운 템플릿에서 관심 목록을 만들려면 다음을 수행합니다.

  1. Azure Portal의 Microsoft Sentinel의 경우 구성 아래에서 관심 목록을 선택합니다.
    Defender 포털에서 Microsoft Sentinel의 경우 Microsoft Sentinel>구성>관심 목록을 선택합니다.

  2. 템플릿(미리 보기) 탭을 선택합니다.

  3. 목록에서 적절한 템플릿을 선택하여 오른쪽 창에서 템플릿 세부 정보를 봅니다.

  4. 템플릿에서 만들기를 선택합니다.

    기본 제공 템플릿에서 관심 목록을 만드는 옵션의 스크린샷

  5. 일반 탭에서 이름, 설명, 관심 목록 별칭 필드는 모두 읽기 전용입니다.

  6. 원본 탭에서 파일 찾아보기를 선택한 다음, 템플릿에서 만든 파일을 선택합니다.

  7. 다음: 검토 및 만들기>만들기를 선택합니다.

  8. 관심 목록이 생성될 때 Azure 알림이 표시되는지 확인합니다.

관심 목록이 생성되고 쿼리에서 새 데이터를 사용할 수 있기까지 몇 분 정도 걸릴 수 있습니다.

Azure Storage의 파일에서 큰 관심 목록 만들기(미리 보기)

최대 500MB 크기의 대용량 관심 목록 파일이 있는 경우 Azure Storage 계정에 관심 목록 파일을 업로드합니다. 그런 다음, Microsoft Sentinel이 관심 목록 데이터를 검색하도록 공유 액세스 서명 URL을 만듭니다. 공유 액세스 서명 URL은 스토리지 계정의 csv 파일과 같은 리소스의 리소스 URI 및 공유 액세스 서명 토큰을 모두 포함하는 URI입니다. 마지막으로, Microsoft Sentinel의 작업 영역에 관심 목록을 추가합니다.

공유 액세스 서명에 대한 자세한 내용은 Azure Storage 공유 액세스 서명 토큰을 참조하세요.

1단계: Azure Storage에 관심 목록 파일 업로드

Azure Storage 계정에 큰 관심 목록 파일을 업로드하려면 AzCopy 또는 Azure Portal을 사용합니다.

  1. Azure Storage 계정이 아직 없는 경우 스토리지 계정을 만듭니다. 스토리지 계정은 Microsoft Sentinel의 작업 영역과 다른 리소스 그룹 또는 지역에 있을 수 있습니다.
  2. AzCopy 또는 Azure Portal을 사용하여 관심 목록 데이터가 포함된 csv 파일을 스토리지 계정에 업로드합니다.

AzCopy를 사용하여 파일 업로드

AzCopy v10 명령줄 유틸리티를 사용하여 Blob Storage에 파일과 디렉터리를 업로드합니다. 자세한 내용은 AzCopy를 사용하여 Azure Blob Storage에 파일 업로드를 참조하세요.

  1. 스토리지 컨테이너가 아직 없는 경우 다음 명령을 실행하여 새로 만듭니다.

    azcopy make 
    https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>
    
  2. 다음 명령을 실행하여 파일을 업로드합니다.

    azcopy copy '<local-file-path>' 'https://<storage-account-name>.<blob or dfs>.core.windows.net/<container-name>/<blob-name>'
    

Azure Portal에서 파일 업로드

AzCopy를 사용하지 않는 경우 Azure Portal을 사용하여 파일을 업로드합니다. Azure Portal의 스토리지 계정으로 이동하여 관심 목록 데이터가 포함된 csv 파일을 업로드합니다.

  1. 기존 스토리지 컨테이너가 아직 없는 경우 컨테이너를 만듭니다. 컨테이너에 대한 퍼블릭 액세스 수준에는 수준이 프라이빗(익명 액세스 없음)으로 설정되는 기본값을 사용하는 것이 좋습니다.
  2. 블록 Blob을 업로드하여 스토리지 계정에 csv 파일을 업로드합니다.

2단계: 공유 액세스 서명 URL 만들기

Microsoft Sentinel이 관심 목록 데이터를 검색하도록 공유 액세스 서명 URL을 만듭니다.

  1. Azure Portal에서 Blo에 대한 SAS 토큰 만들기의 단계를 수행합니다.
  2. 공유 액세스 서명 토큰 만료 시간을 최소 6시간으로 설정합니다.
  3. 허용된 IP 주소에 대한 기본값을 빈 상태로 유지합니다.
  4. Blob SAS URL 값을 복사합니다.

3단계: CORS 탭에 Azure 추가

SAS URI를 사용하기 전에 Azure Portal을 CORS(원본 간 리소스 공유)에 추가합니다.

  1. 스토리지 계정 설정, 리소스 공유 페이지로 이동합니다.
  2. Blob 서비스 탭을 선택합니다.
  3. https://*.portal.azure.net을 허용된 원본 테이블에 추가합니다.
  4. GETOPTIONS의 적절한 허용되는 메서드를 선택합니다.
  5. 구성을 저장합니다.

자세한 내용은 Azure Storage에 대한 CORS 지원을 참조하세요.

4단계: 작업 영역에 관심 목록 추가

  1. Azure Portal의 Microsoft Sentinel의 경우 구성 아래에서 관심 목록을 선택합니다.
    Defender 포털에서 Microsoft Sentinel의 경우 Microsoft Sentinel>구성>관심 목록을 선택합니다.

  2. +새로 만들기를 선택합니다.

    관심 목록 페이지의 관심 목록 추가 스크린샷

  3. 일반 페이지에서, 관심 목록의 이름, 설명, 별칭을 입력합니다.

    이름, 설명 및 관심 목록 별칭 필드가 있는 관심 목록 일반 탭의 스크린샷

  4. 다음: 원본을 선택합니다.

  5. 다음 표의 정보를 사용하여 관심 목록 데이터를 업로드합니다.

    필드 설명
    원본 유형 Azure Storage(미리 보기)
    데이터 세트의 형식 선택 헤더가 포함된 CSV 파일(.csv)
    머리글 행 앞 줄 수 데이터 파일에 있는 머리글 행 앞의 줄 수를 입력합니다.
    Blob SAS URL(미리 보기) 만든 공유 액세스 URL을 붙여넣습니다.
    SearchKey 다른 데이터와 조인 또는 자주 사용되는 검색 개체로 사용할 관심 목록의 열 이름을 입력합니다. 예를 들어 서버 관심 목록에 국가/지역 이름과 해당 두 글자 국가 코드가 포함되어 있고 검색 또는 조인에 국가 코드를 자주 사용할 것으로 예상되는 경우 코드 열을 SearchKey로 사용합니다.

    모든 정보를 입력하면 페이지가 다음 이미지와 유사하게 표시됩니다.

    샘플 값이 입력된 관심 목록 원본 페이지의 스크린샷

  6. 다음: 검토 및 만들기를 선택합니다.

  7. 정보를 검토하여 올바른지 확인하고 유효성 검사 통과 메시지를 기다립니다.

  8. 만들기를 실행합니다.

큰 관심 목록이 생성되고 쿼리에서 새 데이터를 사용할 수 있기까지 시간이 걸릴 수 있습니다.

관심 목록 상태 보기

작업 영역에서 관심 목록을 선택하여 상태를 봅니다.

  1. Azure Portal의 Microsoft Sentinel의 경우 구성 아래에서 관심 목록을 선택합니다.
    Defender 포털에서 Microsoft Sentinel의 경우 Microsoft Sentinel>구성>관심 목록을 선택합니다.

  2. 내 관심 목록 탭에서 관심 목록을 선택합니다.

  3. 세부 정보 페이지에서 상태(미리 보기)를 검토합니다.

    관심 목록의 업로드 상태를 보여 주는 스크린샷

  4. 상태가 성공이면 Log Analytics에서 보기를 선택하여 쿼리에 관심 목록을 사용합니다. 관심 목록이 Log Analytics에 표시되는 데 몇 분 정도 걸릴 수 있습니다.

    스크린샷:

관심 목록 템플릿 다운로드(미리 보기)

Microsoft Sentinel에서 관심 목록 템플릿 중 하나를 다운로드하여 사용자 데이터로 채웁니다. 그런 다음, Microsoft Sentinel에서 관심 목록을 만들 때 해당 파일을 업로드합니다.

각 기본 제공 관심 목록 템플릿에는 템플릿과 연결된 CSV 파일에 나열된 고유한 데이터 집합이 포함됩니다. 자세한 내용은 기본 제공 관심 목록 스키마를 참조하세요.

관심 목록 템플릿 중 하나를 다운로드하려면 다음을 수행합니다.

  1. Azure Portal의 Microsoft Sentinel의 경우 구성 아래에서 관심 목록을 선택합니다.
    Defender 포털에서 Microsoft Sentinel의 경우 Microsoft Sentinel>구성>관심 목록을 선택합니다.

  2. 템플릿(미리 보기) 탭을 선택합니다.

  3. 목록에서 템플릿을 선택하여 오른쪽 창에서 템플릿 세부 정보를 봅니다.

  4. 행 끝에 있는 줄임표(...)를 선택합니다.

  5. 스키마 다운로드를 선택합니다.

    다운로드 스키마가 선택된 템플릿 탭의 스크린샷

  6. 로컬 버전의 파일을 채우고 로컬에 CSV 파일로 저장합니다.

  7. 템플릿에서 만든 관심 목록 업로드(미리 보기) 단계를 수행합니다.

삭제하고 다시 만든 Log Analytics 뷰의 관심 목록

관심 목록을 삭제하고 다시 만드는 경우 데이터 수집에 대한 5분 SLA 내에서 삭제된 항목과 다시 만든 항목이 Log Analytics에 모두 표시될 수 있습니다. 해당 항목이 더 오랜 기간 동안 Log Analytics에 함께 표시되는 경우 지원 티켓을 제출합니다.

Microsoft Sentinel에 대해 자세히 알아보려면 다음 문서를 참조하세요.