Microsoft Sentinel에서 분석 규칙에 대한 미세 튜닝 권장 사항 받기
Important
검색 튜닝은 현재 미리 보기 상태입니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.
SIEM에서 위협 검색 규칙을 미세 튜닝하는 것은 위협 검색 범위를 최대화하고 가양성률을 최소화하는 것 사이에서 균형을 유지하는 어렵고 섬세하며 지속적인 프로세스일 수 있습니다. Microsoft Sentinel은 기계 학습을 사용하여 데이터 원본의 수십억 개의 신호를 분석하여 이 프로세스를 간소화하고 뿐만 아니라 시간 경과에 따른 사고에 대한 대응, 패턴을 추론하고 조정 오버헤드를 크게 낮추고 실제 위협을 감지하고 대응하는 데 집중할 수 있는 실행 가능한 권장 사항 및 인사이트를 제공합니다.
이제 튜닝 권장 사항 및 인사이트가 분석 규칙에 기본 제공됩니다. 이 문서에서는 이러한 인사이트가 보여 주는 것과 권장 사항을 구현하는 방법에 대해 설명합니다.
규칙 인사이트 및 튜닝 권장 사항 보기
Microsoft Sentinel에 분석 규칙에 대한 튜닝 권장 사항이 있는지 확인하려면 Microsoft Sentinel 탐색 메뉴에서 분석을 선택합니다.
권장 사항이 있는 모든 규칙에는 다음과 같이 전구 아이콘이 표시됩니다.
다른 인사이트와 함께 권장 사항을 보려면 규칙을 편집합니다. 결과 시뮬레이션 디스플레이 아래에 있는 분석 규칙 마법사의 규칙 논리 설정 탭에 함께 표시됩니다.
인사이트 유형
튜닝 인사이트 디스플레이는 스크롤하거나 스와이프할 수 있는 여러 창으로 구성되어 있으며 각각 다른 것을 보여 줍니다. 인사이트가 표시되는 시간 프레임(14일)이 프레임 상단에 표시됩니다.
첫 번째 인사이트 창에는 몇 가지 인사이트 정보가 표시됩니다. 인시던트당 평균 경고 수, 진행 중인 인시던트 수, 마감된 인시던트 수를 분류(진양성/가양성)별로 그룹화합니다. 이 인사이트는 이 규칙의 부하를 파악하고 튜닝이 필요한지(예: 그룹화 설정을 튜닝해야 하는지) 이해하는 데 도움이 됩니다.
이 인사이트는 Log Analytics 쿼리의 결과입니다. 인시던트당 평균 경고를 선택하면 인사이트를 생성한 Log Analytics의 쿼리로 이동합니다. 진행 중인 인시던트를 선택하면 인시던트 블레이드로 이동합니다.
두 번째 인사이트 창에서는 제외할 엔터티 목록을 권장합니다. 이러한 엔터티는 닫고 가양성으로 분류한 인시던트와 상관 관계가 높습니다. 나중에 이 규칙을 실행할 때 쿼리에서 제외하려면 나열된 각 엔터티 옆에 있는 더하기 기호를 선택합니다.
이 권장 사항은 Microsoft의 고급 데이터 과학 및 기계 학습 모델에 의해 생성됩니다. 이 창의 튜닝 인사이트 디스플레이 포함 여부는 표시할 권장 사항이 있는지 여부에 따라 다릅니다.
세 번째 인사이트 창에는 이 규칙에 의해 생성된 모든 경고에서 가장 자주 나타나는 매핑된 엔터티 4개가 표시됩니다. 결과를 생성하려면 이 인사이트에 대한 규칙에 대해 엔터티 매핑을 구성해야 합니다. 이 인사이트는 "스포트라이트를 받고 있는" 엔터티를 인식하고 다른 엔터티로부터 관심을 끄는 데 도움이 될 수 있습니다. 이러한 엔터티를 다른 규칙에서 별도로 처리하거나 가양성 또는 노이즈로 판단하여 규칙에서 제외할 수 있습니다.
이 인사이트는 Log Analytics 쿼리의 결과입니다. 엔터티를 선택하면 인사이트를 생성한 Log Analytics의 쿼리로 이동합니다.
다음 단계
자세한 내용은 다음을 참조하세요.