처음부터 예약된 분석 규칙 만들기
디지털 자산 전반에 걸쳐 커넥터 및 활동 데이터를 수집하는 기타 수단을 설정했습니다. 이제 모든 데이터를 조사하여 활동 패턴을 탐지하고 해당 패턴에 맞지 않고 보안 위협이 될 수 있는 활동을 발견해야 합니다.
Microsoft Sentinel과 콘텐츠 허브에서 제공되는 다양한 솔루션은 가장 일반적으로 사용되는 유형의 분석 규칙에 대한 템플릿을 제공하므로 이러한 템플릿을 활용하여 특정 시나리오에 맞게 사용자 지정하는 것이 좋습니다. 그러나 완전히 다른 규칙이 필요할 수도 있습니다. 이러한 경우 분석 규칙 마법사를 사용하여 처음부터 규칙을 만들 수 있습니다.
이 문서에서는 분석 규칙 마법사를 사용하는 것을 포함하여 분석 규칙을 처음부터 만드는 프로세스를 설명합니다. Azure Portal과 Defender 포털 모두에서 마법사에 액세스하는 스크린샷 및 지침이 함께 제공됩니다.
Important
Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.
필수 조건
Microsoft Sentinel 기여자 역할 또는 Log Analytics 작업 영역 및 해당 리소스 그룹에 대한 쓰기 권한을 포함하는 다른 역할 또는 사용 권한 집합이 있어야 합니다.
최소한 데이터 과학 및 분석과 Kusto 쿼리 언어에 대한 기본적인 지식이 있어야 합니다.
분석 규칙 마법사 및 사용 가능한 모든 구성 옵션을 숙지해야 합니다. 자세한 내용은 Microsoft Sentinel의 예약 분석 규칙을 참조하세요.
쿼리 설계 및 구축
다른 작업을 수행하기 전에 규칙이 Log Analytics 작업 영역에서 하나 이상의 테이블을 쿼리하는 데 사용할 KQL(Kusto 쿼리 언어)로 쿼리를 설계하고 작성해야 합니다.
비정상적이거나 의심스러운 활동을 검색하기 위해 검색하려는 데이터 원본 또는 데이터 원본 집합을 결정합니다. 해당 원본의 데이터가 수집되는 Log Analytics 테이블의 이름을 찾습니다. 해당 원본의 데이터 커넥터 페이지에서 테이블 이름을 찾을 수 있습니다. 쿼리의 기준으로 이 테이블 이름(또는 이를 기반으로 하는 함수)을 사용합니다.
이 쿼리가 테이블에서 수행하도록 하려는 분석의 종류를 결정합니다. 이 결정에 따라 쿼리에 사용해야 할 명령과 함수가 결정됩니다.
쿼리 결과에서 원하는 데이터 요소(필드, 열)를 결정합니다. 이 결정에 따라 쿼리 출력의 구조가 결정됩니다.
로그 화면에서 쿼리를 작성하고 테스트합니다. 만족스러우면 규칙에 사용할 수 있도록 쿼리를 저장합니다.
Kusto 쿼리를 빌드하기 위한 몇 가지 유용한 팁은 분석 규칙 쿼리에 대한 모범 사례를 참조하세요.
Kusto 쿼리 작성에 대한 자세한 도움말은 Microsoft Sentinel의 Kusto 쿼리 언어 및 Kusto 쿼리 언어 쿼리 모범 사례를 참조하세요.
분석 규칙 만들기
이 섹션에서는 Azure 또는 Defender 포털을 사용하여 규칙을 만드는 방법에 대해 설명합니다.
예약된 쿼리 규칙 만들기 시작
시작하려면 Microsoft Sentinel의 분석 페이지로 이동하여 예약된 분석 규칙을 만듭니다.
Azure Portal에 있는 Microsoft Sentinel의 경우 구성 아래에서 분석을 선택합니다.
Defender 포털에서 Microsoft Sentinel의 경우 Microsoft Sentinel>구성>분석을 선택합니다.+만들기를 선택하고 예약된 쿼리 규칙을 선택합니다.
규칙의 이름 지정 및 일반 정보 정의
Azure Portal에서 단계는 탭으로 시각적으로 표시됩니다. Defender 포털에서는 타임라인의 마일스톤으로 시각적으로 표시됩니다.
규칙에 대한 다음 정보를 입력합니다.
필드 설명 이름 규칙의 고유한 이름. 설명 규칙에 대한 자유 텍스트 설명. 심각도 규칙이 진양성인 경우 규칙을 트리거하는 활동이 대상 환경에 미칠 수 있는 영향과 일치합니다.
정보: 시스템에는 영향을 미치지 않지만 해당 정보는 위협 행위자가 계획한 향후 단계를 나타낼 수 있습니다.
낮음: 즉각적인 영향은 최소화될 것입니다. 위협 행위자가 환경에 영향을 미치려면 여러 단계를 수행해야 할 수 있습니다.
중간: 위협 행위자는 해당 활동을 통해 환경에 어느 정도 영향을 미칠 수 있지만 범위가 제한되거나 추가 활동이 필요합니다.
높음: 식별된 활동은 위협 행위자에게 환경에 대한 광범위한 액세스 권한을 제공하거나, 환경에 미치는 영향에 의해 트리거됩니다.MITRE ATT&CK 규칙에 적용되는 위협 활동을 선택합니다. 드롭다운 목록에 제시된 MITRE ATT&CK 전술 및 기술 중에서 선택합니다. 여러 항목을 선택 할 수 있습니다.
MITRE ATT&CK 위협 환경의 적용 범위를 최대화하는 방법에 대한 자세한 내용은 MITRE ATT&CK® 프레임워크의 보안 적용 범위 이해를 참조하세요.상태 사용: 규칙이 만들 때 즉시 실행되거나 예약을 위해 선택한 특정 날짜 및 시간에 실행됩니다(현재 미리 보기로 제공됨).
사용 안 함: 규칙이 생성되지만 실행되지 않습니다. 나중에 필요할 때 활성 규칙 탭에서 사용하도록 설정합니다.다음: 규칙 논리 설정을 선택합니다.
규칙 논리 정의
다음 단계에서는 만든 Kusto 쿼리를 추가하는 것을 포함하는 규칙 논리를 설정합니다.
규칙 쿼리 및 경고 향상 구성을 입력합니다.
설정 설명 규칙 쿼리 설계, 작성, 테스트한 쿼리를 규칙 쿼리 창에 붙여넣습니다. 이 창에서 변경하는 모든 사항은 즉시 유효성이 검사되므로 실수가 있는 경우 창 바로 아래에 표시가 나타납니다. 엔터티 매핑 엔터티 매핑을 확장하고, Microsoft Sentinel에서 인식한 최대 10개의 엔터티 유형을 쿼리 결과의 필드에 매핑합니다. 이 매핑은 식별된 엔티티를 경고 스키마의 엔터티 필드에 통합합니다.
항목 매핑에 대한 전체 지침은 Microsoft Sentinel의 항목에 데이터 필드 매핑을 참조하세요.경고에 사용자 지정 세부 정보 표시 사용자 지정 세부 정보를 확장하고 경고에 표시하려는 쿼리 결과의 필드를 사용자 지정 세부 정보로 정의합니다. 이러한 필드는 발생하는 모든 인시던트에도 표시됩니다.
사용자 지정 세부 정보 표시에 대한 자세한 지침은 Microsoft Sentinel의 경고서 사용자 지정 이벤트 세부 정보 표시를 참조하세요.경고 세부 정보 사용자 지정 경고 세부 정보를 확장하고 각 개별 경고의 다양한 필드 내용에 따라 표준 경고 속성을 사용자 지정합니다. 예를 들어 경고에 표시되는 사용자 이름이나 IP 주소를 포함하도록 경고 이름이나 설명을 사용자 지정합니다.
경고 세부 정보 사용자 지정에 대한 자세한 지침은 Microsoft Sentinel에서 경고 세부 정보 사용자 지정을 참조하세요.쿼리를 예약하고 범위를 지정합니다. 쿼리 일정 섹션에서 다음 매개 변수를 설정합니다.
설정 설명/옵션 쿼리 실행 간격 쿼리 간격, 즉 쿼리가 실행되는 빈도를 제어합니다.
허용 범위: 5분~14일.마지막부터 데이터 조회 전환 확인 기간, 즉 검색어에 포함되는 기간을 결정합니다.
허용 범위: 5분~14일.
쿼리 간격보다 길거나 같아야 합니다.실행 시작 자동으로: 규칙은 만들어지는 즉시 처음 실행되며 그 이후에는 쿼리 간격으로 실행됩니다.
특정 시간에(미리 보기): 규칙이 처음 실행될 날짜와 시간을 설정합니다. 그 후에는 쿼리 간격으로 실행됩니다.
허용되는 범위: 10분~30일(규칙을 만들거나 사용하도록 설정한 이후).-
경고 임계값 섹션을 사용하여 규칙의 민감도 수준을 정의합니다. 예를 들어 최소 임계값을 100으로 설정합니다.
설정 설명 쿼리 결과 수가 다음과 같은 경우 경고 생성 보다 큼 이벤트 수 100
임계값을 설정하지 않’으려면 숫자 필드에
0
을 입력합니다. 이벤트 그룹화 설정을 설정합니다.
이벤트 그룹화에서 두 가지 방법 중 하나를 선택하여 이벤트를 경고로 그룹화합니다.
설정 동작 모든 이벤트를 단일 경고로 그룹화합니다.
(기본값)쿼리가 위에서 지정된 경고 임계값보다 많은 결과를 반환하는 한 규칙은 실행될 때마다 단일 경고를 생성합니다. 이 단일 경고에는 쿼리 결과에서 반환된 모든 이벤트가 요약되어 있습니다. 각 이벤트에 대한 경고 트리거 규칙은 쿼리에서 반환된 각 이벤트에 대해 고유한 경고를 생성합니다. 이벤트를 개별적으로 표시하거나 특정 매개 변수(사용자, 호스트 이름 또는 기타 항목)별로 그룹화하려는 경우에 유용합니다. 쿼리에서 이러한 매개 변수를 정의할 수 있습니다. 경고가 생성된 후 규칙을 일시적으로 억제합니다.
경고가 생성된 경우 다음 런타임 이후에 규칙을 표시하지 않도록 하려면 경고가 생성된 후 쿼리 실행 중지 설정을 켜기로 설정합니다. 이 기능을 설정하는 경우 다음 기간 동안 쿼리 실행 중지를 쿼리 실행을 중지해야 하는 시간(최대 24시간)으로 설정합니다.
쿼리 및 논리 설정 결과를 시뮬레이션합니다.
결과 시뮬레이션 영역에서 현재 데이터로 테스트 를 선택하여 현재 데이터에서 실행된 규칙 결과가 어떻게 표시되는지 확인합니다. Microsoft Sentinel은 정의된 일정을 사용하여 현재 데이터에 대해 규칙을 50번 실행하는 것을 시뮬레이션하고 결과 그래프(로그 이벤트)를 표시합니다. 쿼리를 수정하는 경우 현재 데이터로 테스트를 다시 선택하여 그래프를 업데이트합니다. 그래프에서는 쿼리 일정 섹션의 설정에 따라 결정되는 정의된 기간 동안의 결과 수를 보여 줍니다.
다음: 인시던트 설정을 선택합니다.
인시던트 만들기 설정 구성
인시던트 설정 탭에서 Microsoft Sentinel이 경고를 조치 가능한 인시던트로 설정하는지 여부, 인시던트에서 경고를 함께 그룹화할지 여부와 그룹화 방법을 선택합니다.
인시던트 만들기를 사용하도록 설정합니다.
인시던트 설정 섹션에서 이 분석 규칙에 의해 트리거된 경고에서 인시던트 만들기가 기본적으로 사용으로 설정됩니다. 즉, Microsoft Sentinel은 규칙에 의해 트리거되는 각 경고에서 별도의 단일 인시던트를 만듭니다.
이 규칙을 사용하여 인시던트가 생성되는 것을 원하지 않는 경우(예: 이 규칙이 후속 분석을 위해 정보만 수집하는 경우) 사용 안 함으로 설정합니다.
Important
Microsoft Sentinel을 Microsoft Defender 포털에 온보딩한 경우 이 설정을 사용 상태로 둡니다.
모든 단일 경고에 대해 하나의 인시던트 대신 경고 그룹에서 단일 인시던트를 만들려면 다음 섹션을 참조하세요.
-
경고 그룹화 섹션에서 최대 150개의 유사하거나 반복되는 경고 그룹에서 단일 인시던트를 생성하려면(참고 참조) 이 분석 규칙에 의해 트리거되는 관련 경고 그룹화를 사용으로 설정하고 다음 매개 변수를 설정합니다.
선택한 시간 프레임 내에 만들어진 경고로 그룹 제한: 유사하거나 반복되는 경고를 함께 그룹화할 시간 프레임을 설정합니다. 이 시간 프레임을 벗어난 경고는 별도의 인시던트 또는 인시던트 집합을 생성합니다.
다음을 기준으로 이 분석 규칙에 의해 트리거된 경고를 단일 인시던트로 그룹화: 경고를 그룹화하는 방법을 선택합니다.
옵션 설명 모든 엔터티가 일치하는 경우 경고를 단일 인시던트로 그룹화 경고는 매핑된 각 엔터티에 대해 동일한 값을 공유하는 경우 함께 그룹화됩니다(위의 규칙 논리 설정 탭에 정의됨). 권장 설정입니다. 이 규칙으로 트리거된 모든 경고를 단일 인시던트로 그룹화 이 규칙에 의해 생성된 모든 경고가 동일한 값을 공유하지 않더라도 함께 그룹화됩니다. 선택한 엔터티 및 세부 정보가 일치하는 경우 경고를 단일 인시던트로 그룹화 경고는 매핑된 모든 엔터티, 경고 세부 정보 및 해당 드롭다운 목록에서 선택한 사용자 지정 세부 정보의 동일한 값을 공유하는 경우 함께 그룹화됩니다. 닫힌 일치 인시던트 다시 열기: 인시던트가 해결되어 닫힌 후 나중에 해당 인시던트에 속해야 하는 다른 경고가 생성되는 경우 닫힌 인시던트를 다시 열려면 이 설정을 사용으로 설정하고 경고가 새 인시던트를 만들도록 하려면 사용 안 함으로 그대로 둡니다.
참고 항목
최대 150개의 경고를 하나의 인시던트로 그룹화할 수 있습니다.
모든 경고가 만들어진 후에만 인시던트가 만들어집니다. 모든 경고는 만드는 즉시 인시던트에 추가됩니다.
단일 인시던트로 그룹화하는 규칙에 의해 150개가 넘는 경고가 생성되는 경우 원본과 동일한 인시던트 세부 정보를 사용하여 새 인시던트가 생성되고 초과 경고는 새 인시던트로 그룹화됩니다.
다음: 자동화된 응답을 선택합니다.
자동화된 응답 검토 또는 추가
자동화된 응답 탭에서 목록에 표시되는 자동화 규칙을 참조하세요. 기존 규칙에서 아직 다루지 않은 응답을 추가하려면 다음 두 가지 옵션이 있습니다.
- 추가된 응답이 여러 규칙 또는 모든 규칙에 적용되도록 하려면 기존 규칙을 편집합니다.
- 새로 추가를 선택하여 이 분석 규칙에만 적용할 새 자동화 규칙을 만듭니다.
자동화 규칙을 사용할 수 있는 대상에 대해 자세히 알아보려면 자동화 규칙을 사용하여 Microsoft Sentinel에서 위협 응답 자동화를 참조하세요.
- 화면 하단의 경고 자동화(클래식) 아래에는 이전 방법을 사용하여 경고가 생성될 때 자동으로 실행되도록 구성한 모든 플레이북이 표시됩니다.
2023년 6월부터 이 목록에 플레이북을 더 이상 추가할 수 없습니다. 여기에 이미 나열된 플레이북은 이 방법이 더 이상 사용되지 않을 때까지(2026년 3월까자는 유효함) 계속 실행됩니다.
나열된 플레이북이 아직 여기에 있으면 대신 경고 만들기 트리거를 기반으로 자동화 규칙을 만들고 자동화 규칙에서 플레이북을 호출해야 합니다. 이 작업을 완료한 후 여기에 나열된 플레이북의 줄 끝에 있는 줄임표를 선택하고 제거를 선택합니다. 전체 지침은 Microsoft Sentinel 경고 트리거 플레이북을 자동화 규칙으로 마이그레이션을 참조하세요.
- 새 분석 규칙에 대한 모든 설정을 검토하려면 다음: 검토 및 만들기를 선택하세요.
구성 유효성 검사 및 규칙 만들기
"유효성 검사 통과" 메시지가 나타나면 만들기를 선택합니다.
대신 오류가 표시되면 오류가 발생한 마법사의 탭에서 빨간색 X를 찾아 선택합니다.
오류를 수정하고 검토 및 만들기 탭로 돌아가서 유효성 검사를 다시 실행합니다.
규칙 및 해당 출력 보기
규칙 정의 보기
기본 분석 화면의 활성 규칙 탭 아래에 있는 표에서 새로 만든 사용자 지정 규칙('예약 됨'유형)을 찾을 수 있습니다. 이 목록에서 각 규칙을 사용 또는 사용하지 않도록 설정하거나 삭제할 수 있습니다.
규칙 결과 보기
규칙 조정
- 가양성을 제외하도록 규칙 쿼리를 업데이트할 수 있습니다. 자세한 내용은 Microsoft Sentinel의 가양성 처리를 참조하세요.
참고 항목
Microsoft Sentinel에서 생성된 경고는 Microsoft Graph 보안을 통해 사용할 수 있습니다. 자세한 내용은 Microsoft Graph 보안 경고 문서를 참조하세요.
ARM 템플릿으로 규칙 내보내기
관리 및 배포할 규칙을 코드로 패키징하려는 경우 규칙을 ARM(Azure Resource Manager) 템플릿으로 쉽게 내보낼 수 있습니다. 사용자 인터페이스에서 규칙을 보고 편집하기 위해 템플릿 파일에서 규칙을 가져올 수도 있습니다.
다음 단계
분석 규칙을 사용하여 Microsoft Sentinel 위협을 탐지하는 경우 사용자 환경에 대한 전체 보안 범위를 보장하기 위해 연결된 데이터 원본과 연결된 모든 규칙을 사용하도록 설정해야 합니다.
규칙 사용을 자동화하려면, 추가 활동이 필요하지만 API 및 PowerShell을 통해 Microsoft Sentinel에 규칙을 푸시합니다. API 또는 PowerShell을 사용하는 경우 규칙을 사용하도록 설정하기 전에 먼저 규칙을 JSON으로 내보내야 합니다. API 또는 PowerShell은 각 인스턴스에서 동일한 설정으로 Microsoft Sentinel의 여러 인스턴스에서 규칙을 사용하도록 설정할 때 유용할 수 있습니다.
자세한 내용은 다음을 참조하세요.
- Microsoft Sentinel의 분석 규칙 문제 해결
- Microsoft Sentinel에서 인시던트 탐색 및 조사
- Microsoft Sentinel의 항목
- 자습서: Microsoft Sentinel에서 자동화 규칙으로 플레이북 사용
또한 사용자 지정 커넥터를 사용한 Zoom 모니터링 시 사용자 지정 분석 규칙을 사용하는 예제를 알아봅니다.