다음을 통해 공유

Microsoft Sentinel 위협 인텔리전스 사용

  • 아티클
  • 적용 대상:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

위협 인텔리전스의 간소화된 생성 및 관리를 통해 위협 탐지 및 수정을 가속화합니다. 이 문서에서는 Azure Portal 또는 Defender 포털의 Microsoft Sentinel에서 액세스하든 관리 인터페이스에서 위협 인텔리전스 통합을 최대한 활용하는 방법을 보여 줍니다.

  • STIX(구조적 위협 정보 식)를 사용하여 위협 인텔리전스 개체 만들기
  • 보고, 큐레이팅하고, 시각화하여 위협 인텔리전스 관리

Important

Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

관리 인터페이스에 액세스

위협 인텔리전스를 사용하려는 위치에 따라 다음 탭 중 하나를 참조합니다. 사용하는 포털에 따라 관리 인터페이스에 다르게 액세스하더라도 만든 작업과 관리 작업에는 동일한 단계가 있습니다.

Defender 포털에서 위협 인텔리전스>Intel 관리이동합니다.

Defender 포털의 Intel 관리 메뉴 항목을 보여 주는 스크린샷

위협 인텔리전스 만들기

관리 인터페이스를 사용하여 STIX 개체를 만들고 표시기 태그 지정 및 개체 간의 연결 설정과 같은 다른 일반적인 위협 인텔리전스 작업을 수행합니다.

  • 새 STIX 개체를 만들 때 관계를 정의합니다.
  • 중복 기능을 사용하여 새 또는 기존 TI 개체에서 메타데이터를 복사하여 여러 개체를 빠르게 만듭니다.

지원되는 STIX 개체에 대한 자세한 내용은 위협 인텔리전스 이해를 참조하세요.

새 STIX 개체 만들기

  1. >TI 개체 추가를 선택합니다.

    새 위협 표시기 추가를 보여 주는 스크린샷

  2. 개체 유형을 선택한 다음 새 TI 개체 페이지에서 양식을 채웁니다. 필수 필드는 빨간색 별표(*)로 표시됩니다.

  3. 민감도 값 또는 TLP(신호등 프로토콜 ) 등급을 TI 개체에 지정하는 것이 좋습니다. 값이 나타내는 내용에 대한 자세한 내용은 큐레이팅 위협 인텔리전스를 참조하세요.

  4. 이 개체가 다른 위협 인텔리전스 개체와 어떻게 관련되어 있는지 알고 있는 경우 관계 유형대상 참조와의 연결을 나타냅니다.

  5. 개별 개체에 대해 추가를 선택하거나 동일한 메타데이터를 사용하여 더 많은 항목을 만들려면 추가 및 복제를 선택합니다. 다음 이미지는 중복된 각 STIX 개체의 메타데이터에 대한 공통 섹션을 보여줍니다.

새 STIX 개체 만들기 및 모든 개체에서 사용할 수 있는 일반적인 메타데이터를 보여 주는 스크린샷

위협 인텔리전스 관리

수집 규칙을 사용하여 원본에서 TI를 최적화합니다. 관계 작성기를 사용하여 기존 TI를 큐레이팅합니다. 관리 인터페이스를 사용하여 검색, 필터링 및 정렬한 다음, 위협 인텔리전스에 태그를 추가합니다.

수집 규칙을 사용하여 위협 인텔리전스 피드 최적화

TI 피드의 노이즈를 줄이고, 높은 값 표시기의 유효성을 확장하고, 들어오는 개체에 의미 있는 태그를 추가합니다. 이는 수집 규칙에 대한 사용 사례 중 일부에 불과합니다. 다음은 높은 값 표시기에서 유효 날짜를 확장하는 단계입니다.

  1. 수집 규칙을 선택하여 완전히 새 페이지를 열어 기존 규칙을 보고 새 규칙 논리를 생성합니다.

    수집 규칙에 마우스를 가져가는 위협 인텔리전스 관리 메뉴를 보여 주는 스크린샷

  2. 규칙에 대한 설명이 포함된 이름을 입력합니다. 수집 규칙 페이지에는 이름에 대한 충분한 규칙이 있지만 규칙을 편집하지 않고 구분하는 데 사용할 수 있는 유일한 텍스트 설명입니다.

  3. 개체 유형을 선택합니다. 이 사용 사례는 개체 형식에만 사용할 수 있는 속성을 확장하는 Valid from 것을 Indicator 기반으로 합니다.

  4. 조건을SourceEquals 추가하고 높은 값을 Source선택합니다.

  5. 조건을ConfidenceGreater than or equal 추가하고 점수를 입력합니다.Confidence

  6. 작업을 선택합니다. 이 표시기를 수정하려면 .를 선택합니다 Edit.

  7. 대한 Valid untilExtend by추가 작업을 선택하고 일 단위로 시간 범위를 선택합니다.

  8. 태그를 추가하여 다음과 같이 이러한 표시기에서 높은 값을 나타내는 것이 좋습니다 Extended. 수정된 날짜는 수집 규칙에 의해 업데이트되지 않습니다.

  9. 규칙을 실행할 순서를 선택합니다. 규칙은 가장 낮은 순서 번호에서 가장 높은 순서로 실행됩니다. 각 규칙은 수집된 모든 개체를 평가합니다.

  10. 규칙을 사용하도록 설정할 준비가 되면 상태를 설정/해제합니다.

  11. 추가를 선택하여 수집 규칙을 만듭니다.

날짜까지 유효한 확장을 위한 새 수집 규칙 만들기를 보여 주는 스크린샷

자세한 내용은 위협 인텔리전스 수집 규칙 이해를 참조 하세요.

관계 작성기를 사용하여 위협 인텔리전스 큐레이팅

관계 작성기를 사용하여 위협 인텔리전스 개체를 연결합니다. 작성기에서 한 번에 최대 20개의 관계가 있지만 여러 반복을 통해 새 개체에 대한 관계 대상 참조를 추가하여 더 많은 연결을 만들 수 있습니다.

  1. 단일 개체가 하나 이상의 개체(예: 표시기)에 연결되는 위협 행위자 또는 공격 패턴과 같은 개체로 시작합니다.

  2. 다음 표 및 STIX 2.1 참조 관계 요약 테이블에 설명된 모범 사례에 따라 관계 유형을 추가합니다.

관계 유형 설명
관련 항목에서
파생된 항목의 중복
 모든 STIX 도메인 개체에 대해 정의된 공통 관계(SDO)
자세한 내용은 일반적인 관계에 대한 STIX 2.1 참조를 참조 하세요.
대상 Attack pattern 또는 Threat actor 대상 Identity
사용 Threat actor 사용 Attack pattern
특성이 지정된 경우 Threat actor 특성이 지정된 경우 Identity
나타냅니다 Indicator또는 Attack patternThreat actor
가장 Threat actor 가장 Identity

다음 이미지는 관계 유형 테이블을 사용하여 위협 행위자와 공격 패턴, 표시기 및 ID 간에 이루어진 연결을 보여 줍니다.

관계 작성기를 보여 주는 스크린샷

관리 인터페이스에서 위협 인텔리전스 보기

관리 인터페이스를 사용하여 Log Analytics 쿼리를 작성하지 않고 수집된 원본에서 위협 인텔리전스를 정렬, 필터링 및 검색합니다.

  1. 관리 인터페이스에서 검색할 항목을 확장합니다.

  2. STIX 개체 유형을 선택하거나 기본 All 개체 형식을 그대로 둡니다.

  3. 논리 연산자를 사용하여 조건을 선택합니다.

  4. 자세한 정보를 보려는 개체를 선택합니다.

다음 이미지에서는 여러 원본을 그룹에 배치 OR 하여 검색하는 데 사용되었으며 여러 조건은 연산자를 사용하여 AND 그룹화되었습니다.

스크린샷은 위협 인텔리전스를 검색하기 위해 여러 AND 조건과 결합된 OR 연산자입니다.

Microsoft Sentinel은 이 보기에서 위협 인텔의 최신 버전만 표시합니다. 개체가 업데이트되는 방법에 대한 자세한 내용은 위협 인텔리전스 이해(Understand)를 참조하세요.

IP 및 도메인 이름 표시기는 추가 GeoLocationWhoIs 데이터로 보강되므로 지표가 있는 모든 조사에 더 많은 컨텍스트를 제공할 수 있습니다.

예제는 다음과 같습니다.

GeoLocation 및 WhoIs 데이터를 보여 주는 표시기가 있는 위협 인텔리전스 페이지를 보여 주는 스크린샷

Important

GeoLocationWhoIs 보강은 현재 미리 보기로 제공됩니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 기타 법률 용어가 포함되어 있습니다.

위협 인텔리전스 태그 및 편집

위협 인텔리전스 태그 지정은 개체를 더 쉽게 찾을 수 있도록 개체를 그룹화할 수 있는 빠른 방법입니다. 일반적으로 특정 인시던트 관련 태그를 적용할 수 있습니다. 그러나 개체가 특정 알려진 행위자 또는 잘 알려진 공격 캠페인의 위협을 나타내는 경우 태그 대신 관계를 만드는 것이 좋습니다.

  1. 관리 인터페이스를 사용하여 위협 인텔리전스를 정렬, 필터링 및 검색합니다.
  2. 작업할 개체를 찾은 후 동일한 형식의 하나 이상의 개체를 선택하여 다중 선택을 합니다.
  3. 태그 추가를 선택하고 하나 이상의 태그를 사용하여 태그를 한 번에 모두 지정합니다.
  4. 태그 지정은 자유 형식이므로 조직의 태그에 대한 표준 명명 규칙을 만드는 것이 좋습니다.

MICROSOFT Sentinel에서 직접 만들든 TIP 및 TAXII 서버와 같은 파트너 원본에서 만들어지든 위협 인텔리전스를 한 번에 하나씩 편집합니다. 관리 인터페이스에서 만든 위협 Intel의 경우 모든 필드를 편집할 수 있습니다. 파트너 원본에서 수집된 위협 인텔의 경우 태그, 만료 날짜, 신뢰도해지됨을 포함하여 특정 필드만 편집할 수 있습니다. 어느 쪽이든, 최신 버전의 개체만 관리 인터페이스에 나타납니다.

위협 인텔이 업데이트되는 방법에 대한 자세한 내용은 위협 인텔리전스 보기를 참조하세요.

쿼리를 사용하여 표시기 찾기 및 보기

이 절차에서는 수집에 사용한 원본 피드 또는 메서드에 관계없이 Log Analytics에서 다른 Microsoft Sentinel 이벤트 데이터와 함께 위협 지표를 보는 방법을 설명합니다.

위협 지표는 Microsoft Sentinel ThreatIntelligenceIndicator 테이블에 나열됩니다. 이 표는 분석, 헌팅 및 통합 문서와 같은 다른 Microsoft Sentinel 기능에서 수행하는 위협 인텔리전스 쿼리의 기초입니다.

위협 인텔리전스 지표를 보려면 다음을 수행합니다.

  1. Azure Portal의 Microsoft Sentinel의 경우 일반 아래에서 로그를 선택합니다.

    Defender 포털의 Microsoft Sentinel에서 조사 및 응답>헌팅>고급 헌팅을 선택합니다.

  2. ThreatIntelligenceIndicator 테이블은 Microsoft Sentinel 그룹 아래에 있습니다.

  3. 테이블 이름 옆에 있는 미리 보기 데이터아이콘(눈)을 선택합니다. 쿼리 편집기에서 보기를 선택하여 이 테이블의 레코드를 보여 주는 쿼리를 실행합니다.

    결과는 여기에 표시된 샘플 위협 지표와 비슷합니다.

    세부 정보가 확장된 샘플 ThreatIntelligenceIndicator 테이블 결과를 보여 주는 스크린샷.

통합 문서를 사용하여 위협 인텔리전스 시각화

특별히 빌드된 Microsoft Sentinel 통합 문서를 사용하여 Microsoft Sentinel의 위협 인텔리전스에 대한 주요 정보를 시각화하고 비즈니스 요구 사항에 따라 통합 문서를 사용자 지정합니다.

Microsoft Sentinel에서 제공하는 위협 인텔리전스 통합 문서를 찾는 방법과 통합 문서를 편집하여 사용자 지정하는 방법의 예제는 다음과 같습니다.

  1. Azure Portal에서 Microsoft Sentinel로 이동합니다.

  2. 위협 인텔리전스 데이터 커넥터를 사용하여 위협 지표를 가져온 작업 영역을 선택합니다.

  3. Microsoft Sentinel 메뉴의 위협 관리 섹션에서 통합 문서를 선택합니다.

  4. 위협 인텔리전스라는 통합 문서를 찾습니다. ThreatIntelligenceIndicator 테이블에 데이터가 있는지 확인합니다.

    데이터가 있는지 확인하는 스크린샷

  5. 저장을 선택하고 통합 문서를 저장할 Azure 위치를 선택합니다. 어떤 방식으로든 통합 문서를 수정하고 변경 내용을 저장하려는 경우 이 단계가 필요합니다.

  6. 이제 저장된 통합 문서 보기를 선택하여 보기 및 편집을 위해 통합 문서를 엽니다.

  7. 이제 템플릿에서 제공하는 기본 차트가 표시됩니다. 차트를 수정하려면 페이지 맨 위에서 편집을 선택하여 통합 문서의 편집 모드를 시작합니다.

  8. 위협 유형별 위협 지표라는 새 차트를 추가합니다. 페이지의 아래쪽으로 스크롤하여 쿼리 추가를 선택합니다.

  9. Log Analytics 작업 영역 로그 쿼리 텍스트 상자에 다음 텍스트를 추가합니다.

    ThreatIntelligenceIndicator
| summarize count() by ThreatType

    이전 예제에서 사용된 다음 항목에 대한 자세한 내용은 Kusto 설명서를 참조하세요.

  10. 시각화 드롭다운 메뉴에서 막대형 차트를 선택합니다.

  11. 편집 완료를 선택하고 통합 문서의 새 차트를 봅니다.

    통합 문서의 가로 막대형 차트를 보여 주는 스크린샷

통합 문서는 Microsoft Sentinel의 모든 측면에 대한 정보를 제공하는 강력한 대화형 대시보드를 제공합니다. 통합 문서를 사용하여 많은 작업을 수행할 수 있으며 제공된 템플릿은 좋은 시작점입니다. 고유한 방식으로 데이터를 시각화할 수 있도록 여러 데이터 원본을 결합하여 템플릿을 사용자 지정하거나 새 대시보드를 만듭니다.

Microsoft Sentinel 통합 문서는 Azure Monitor 통합 문서를 기반으로 하므로 광범위한 설명서와 더 많은 템플릿을 사용할 수 있습니다. 자세한 내용은 Azure Monitor 통합 문서를 사용하여 대화형 보고서 만들기를 참조하세요.

GitHub에는 Azure Monitor 통합 문서를 위한 풍부한 리소스도 있으며 여기서 더 많은 템플릿을 다운로드하고 고유의 템플릿을 기여할 수 있습니다.

관련 콘텐츠

자세한 내용은 다음 문서를 참조하세요.

KQL에 대한 자세한 내용은 KQL(Kusto 쿼리 언어) 개요를 참조하세요.

기타 리소스: