다음을 통해 공유


Microsoft Sentinel에서 엔드투엔드 사전 위협 헌팅 수행

사전 위협 헌팅은 보안 분석가가 탐지되지 않은 위협이나 악의적인 동작을 찾는 프로세스입니다. 가설을 만들고, 데이터를 검색하고, 가설의 유효성을 검사하여 어떤 작업을 수행할지 결정합니다. 작업에는 새 탐지 만들기, 새로운 위협 인텔리전스 만들기, 새 인시던트 스핀업이 포함될 수 있습니다.

Microsoft Sentinel 내에서 엔드투엔드 헌팅 환경을 사용하여 다음을 수행합니다.

  • 특정 MITRE 기술, 잠재적 악성 활동, 최근 위협, 사용자 지정 가설을 기반으로 사전에 헌팅합니다.
  • 보안 연구원이 생성한 헌팅 쿼리 또는 사용자 지정 헌팅 쿼리를 사용하여 악의적인 동작을 조사합니다.
  • 시간이 지남에 따라 컨텍스트를 유지할 수 있는 여러 지속형 쿼리 탭을 사용하여 헌팅을 수행합니다.
  • 증거를 수집하고, UEBA 출처를 조사하고, 헌팅 특정 책갈피를 사용하여 결과에 메모를 달 수 있습니다.
  • 메모를 사용하여 결과를 공동 작업하고 문서화합니다.
  • 새 분석 규칙, 새 인시던트, 새 위협 지표를 만들고 플레이북을 실행하여 결과에 적용합니다.
  • 한 곳에서 신규, 활성 및 종료된 헌팅을 추적합니다.
  • 검증된 가설과 가시적인 결과를 기반으로 메트릭을 봅니다.

Important

Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

필수 조건

헌팅 기능을 사용하려면 기본 제공 Microsoft Sentinel 역할 또는 사용자 지정 Azure RBAC 역할을 할당해야 합니다. 옵션은 다음과 같습니다.

가설 정의

가설을 정의하는 것은 개방형의 유연한 프로세스이며 유효성을 검사하려는 모든 아이디어를 포함할 수 있습니다. 일반적인 가설은 다음과 같습니다.

  • 의심스러운 동작 - 사용자 환경에 표시되는 잠재적 악성 활동을 조사하여 공격이 발생하는지 확인합니다.
  • 새로운 위협 캠페인 - 새로 검색된 위협 행위자, 기술, 취약성을 기반으로 하는 악성 활동 유형을 찾습니다. 보안 뉴스 기사에서 들어 본 적 있을 것입니다.
  • 탐지 간격 - MITRE ATT&CK 맵을 사용하여 탐지 범위를 늘려 간격을 식별합니다.

Microsoft Sentinel은 가설을 조사하기 위해 올바른 헌팅 쿼리 집합에 집중할 때 유연성을 제공합니다. 헌팅을 만들 때 미리 선택된 헌팅 쿼리를 사용하여 시작하거나 진행하면서 쿼리를 추가합니다. 다음은 가장 일반적인 가설을 기반으로 미리 선택된 쿼리에 대한 권장 사항입니다.

가설 - 의심스러운 동작

  1. Azure Portal의 Microsoft Sentinel에 대해서는 위협 관리에서 헌팅을 선택합니다.
    Defender 포털의 Microsoft Sentinel에 대해서는 Microsoft Sentinel>위협 관리>헌팅을 선택합니다.

  2. 쿼리 탭을 선택합니다. 잠재적으로 악의적인 동작을 식별하려면 모든 쿼리를 실행합니다.

  3. 모든 쿼리 실행을 선택하면 쿼리가 실행>되기를 기다립니다. 이 프로세스에는 시간이 다소 소요될 수 있습니다.

  4. 필터>결과> 추가 선택 “!”, “N/A”, “-”, “0” 값 >적용3단계에서 설명한 필터를 보여 주는 스크린샷 확인란 선택을 취소합니다.

  5. 결과 델타 열을 기준으로 이러한 결과를 정렬하여 가장 최근에 변경된 내용을 확인합니다. 이러한 결과는 헌팅에 대한 초기 지침을 제공합니다.

가설 - 새로운 위협 캠페인

콘텐츠 허브는 특정 공격을 찾기 위한 위협 캠페인과 도메인 기반 솔루션을 제공합니다. 다음 단계에서는 이러한 유형의 솔루션 중 하나를 설치합니다.

  1. 콘텐츠 허브로 이동합니다.

  2. Log4J 취약성 검색 또는 Apache Tomcat과 같은 위협 캠페인 또는 도메인 기반 솔루션을 설치합니다.

    Log4J 및 Apache 솔루션이 선택된 그리드 보기의 콘텐츠 허브를 보여 주는 스크린샷

  3. 이 솔루션이 설치되면 Microsoft Sentinel에서 헌팅으로 이동합니다.

  4. 쿼리 탭을 선택합니다.

  5. 솔루션 이름으로 검색하거나 솔루션의 원본 이름으로 필터링합니다.

  6. 쿼리를 선택하고 쿼리를 실행합니다.

가설 - 탐지 간격

MITRE ATT&CK 맵은 탐지 범위에서 특정 간격을 식별하는 데 도움이 됩니다. 특정 MITRE ATT&CK 기술에 대해 미리 정의된 헌팅 쿼리를 시작점으로 사용하여 새 탐지 논리를 개발합니다.

  1. MITRE ATT&CK(미리 보기) 페이지로 이동합니다.

  2. 활성 드롭다운 메뉴에서 항목 선택을 취소합니다.

  3. 시뮬레이트된 필터에서 헌팅 쿼리를 선택하여 어떤 기술이 헌팅 쿼리와 연결되어 있는지 확인합니다.

    시뮬레이션된 헌팅 쿼리 옵션이 선택된 MITRE ATT&CK 페이지를 보여 주는 스크린샷

  4. 원하는 기술이 있는 카드를 선택합니다.

  5. 세부 정보 창 아래쪽에 있는 헌팅 쿼리 옆에 있는 보기 링크를 선택합니다. 이 링크를 사용하면 선택한 기술에 따라 헌팅 페이지의 쿼리 탭의 필터링된 보기로 이동합니다.

    헌팅 쿼리 보기 링크가 있는 MITRE ATT&CK 카드 보기를 보여 주는 스크린샷

  6. 해당 기술에 대한 모든 쿼리를 선택합니다.

헌팅 만들기

헌팅을 만드는 두 가지 기본 방법이 있습니다.

  1. 쿼리를 선택한 가설을 시작한 경우 헌팅 작업 드롭다운 메뉴를 선택하여 >새 헌팅 만들기를 선택합니다. 선택한 모든 쿼리가 이 새 헌팅을 위해 복제됩니다.

    쿼리가 선택되고 새 헌팅 만들기 메뉴 옵션이 선택된 것을 보여 주는 스크린샷

  2. 쿼리를 아직 결정하지 않은 경우 헌팅(미리 보기) 탭의 > 새 헌팅을 선택하여 빈 헌팅을 만듭니다.

    미리 선택된 쿼리가 없는 빈 헌팅을 만드는 메뉴를 보여 주는 스크린샷

  3. 헌팅 이름과 선택적 필드를 입력합니다. 설명은 가설을 구두로 설명하기에 좋은 장소입니다. 가설 풀다운 메뉴에서 작업 가설의 상태를 설정할 수 있습니다.

  4. 만들기를 선택하여 시작합니다.

    헌팅 이름, 설명, 소유자, 상태 및 가설 상태가 있는 헌팅 만들기 페이지를 보여 주는 스크린샷

헌팅 세부 정보 보기

  1. 헌팅(미리 보기) 탭을 선택하여 새 헌팅을 봅니다.

  2. 이름으로 헌팅 링크를 선택하여 세부 정보를 보고 작업을 수행합니다.

    헌팅 탭의 새 헌팅을 보여 주는 스크린샷

  3. 헌팅 이름, 설명, 콘텐츠, 최근 업데이트 시간, 생성 시간으로 세부 정보 창을 봅니다.

  4. 쿼리, 책갈피, 엔터티를 확인합니다.

    헌팅 세부 정보를 보여 주는 스크린샷

쿼리 탭

쿼리탭에는 이 헌팅과 관련된 헌팅 쿼리가 포함되어 있습니다. 이러한 쿼리는 작업 영역의 다른 모든 쿼리와는 독립적인 원본의 복제본입니다. 전체 헌팅 쿼리 또는 다른 헌팅의 쿼리 집합에 영향을 주지 않고 업데이트하거나 삭제합니다.

헌팅에 쿼리 추가

  1. 쿼리 작업>헌팅할 쿼리 추가를 선택합니다.
  2. 추가하려는 쿼리를 선택합니다. 쿼리 탭 페이지의 쿼리 작업 메뉴를 보여 주는 스크린샷

쿼리 실행

  1. 모든 쿼리 실행을 선택하거나 특정 쿼리를 선택하고 선택한 쿼리 실행을 선택합니다.
  2. 언제든지 쿼리 실행을 취소하려면 취소를 선택합니다.

쿼리 관리

  1. 쿼리를 마우스 오른쪽 단추로 클릭하고 상황에 맞는 메뉴에서 다음 중 하나를 선택합니다.

    • Run
    • 편집
    • 복제
    • Delete
    • 분석 규칙 만들기

    헌팅의 쿼리 탭에서 마우스 오른쪽 단추 클릭 상황에 맞는 메뉴 옵션을 보여 주는 스크린샷

    이러한 옵션은 헌팅 페이지의 기존 쿼리 테이블처럼 동작합니다. 단, 작업은 이 헌팅 내에서만 적용됩니다. 분석 규칙을 만들도록 선택하면 새 규칙 만들기에 이름, 설명, KQL 쿼리가 미리 채워집니다. 관련 분석 규칙에 있는 새 분석 규칙을 보기 위한 링크가 만들어집니다.

    관련 분석 규칙이 있는 헌팅 세부 정보를 보여 주는 스크린샷

결과 보기

이 기능을 사용하면 Log Analytics 검색 환경에서 헌팅 쿼리 결과를 볼 수 있습니다. 여기에서 결과를 분석하고, 쿼리를 구체화하고 책갈피를 만들어 정보를 기록하고 개별 행 결과를 추가로 조사합니다.

  1. 결과 보기 단추를 선택합니다.
  2. Microsoft Sentinel 포털의 다른 부분으로 피벗한 다음, 헌팅 페이지에서 LA 로그 검색 환경으로 다시 이동하면 모든 LA 쿼리 탭이 유지됩니다.
  3. 브라우저 탭을 닫으면 이러한 LA 쿼리 탭이 손실됩니다. 쿼리를 장기적으로 유지하려면 쿼리를 저장하거나, 새 헌팅 쿼리를 만들거나, 나중에 헌팅 내에서 사용할 수 있도록 메모에 복사해야 합니다.

책갈피 추가

흥미로운 결과 또는 중요한 데이터 행을 찾으면 책갈피를 만들어 해당 결과를 헌팅에 추가합니다. 자세한 내용은 데이터 조사에 헌팅 책갈피 사용을 참조하세요.

  1. 원하는 행을 하나 또는 여러 개 선택합니다.

  2. 결과 테이블 위에서 책갈피 추가를 선택합니다. 선택적 필드가 채워진 책갈피 추가 창을 보여 주는 스크린샷

  3. 책갈피 이름을 지정합니다.

  4. 이벤트 시간 열을 설정합니다.

  5. 엔터티 식별자를 매핑합니다.

  6. MITRE 전술 및 기술을 설정합니다.

  7. 태그를 추가하고 메모를 추가합니다.

    책갈피는 특정 행 결과, KQL 쿼리, 결과를 생성한 시간 범위를 유지합니다.

  8. 만들기를 선택하여 책갈피를 헌팅에 추가합니다.

책갈피 보기

  1. 헌팅의 책갈피 탭으로 이동하여 책갈피를 봅니다.

    모든 세부 정보와 헌팅 작업 메뉴가 열려 있는 책갈피를 보여 주는 스크린샷

  2. 원하는 책갈피를 선택하고 다음 작업을 수행합니다.

    • 엔터티 링크를 선택하여 해당 UEBA 엔터티 페이지를 봅니다.
    • 원시 결과, 태그, 노트를 봅니다.
    • 원본 쿼리 보기를 선택하여 Log Analytics에서 원본 쿼리를 확인합니다.
    • Log Analytics 헌팅 책갈피 테이블에서 책갈피 콘텐츠를 보려면 책갈피 로그 보기를 선택합니다.
    • 조사 단추를 선택하여 조사 그래프에서 책갈피와 관련 엔터티를 봅니다.
    • 편집 단추를 선택하여 태그, MITRE 전술 및 기술, 메모를 업데이트합니다.

엔터티와 상호 작용

  1. 헌팅의 엔터티 탭으로 이동하여 헌팅에 포함된 엔터티를 보고 검색하고 필터링합니다. 이 목록은 책갈피의 엔터티 목록에서 생성됩니다. 엔터티 탭은 중복된 항목을 자동으로 해결합니다.

  2. 해당 UEBA 엔터티 페이지를 방문하려면 엔터티 이름을 선택합니다.

  3. 엔터티를 마우스 오른쪽 단추로 클릭하여 TI에 IP 주소를 추가하거나 엔터티 형식 특정 플레이북을 실행하는 등의 엔터티 형식에 적합한 작업을 수행합니다.

    엔터티에 대한 상황에 맞는 메뉴를 보여 주는 스크린샷

댓글 추가

메모는 동료와 공동 작업하고, 메모를 보존하고, 결과를 문서화할 수 있는 좋은 공간입니다.

  1. 선택

  2. 편집 상자에 메모를 입력하고 서식을 지정합니다.

  3. 공동 작업자가 컨텍스트를 빠르게 이해할 수 있도록 쿼리 결과를 링크로 추가합니다.

  4. 메모 단추를 선택하여 메모를 적용합니다.

    LA 쿼리가 링크로 포함된 주석 편집 상자를 보여 주는 스크린샷

인시던트 만들기

헌팅하는 동안 인시던트 생성에는 두 가지 선택 사항이 있습니다.

옵션 1: 책갈피를 사용합니다.

  1. 책갈피를 하나 혹은 여러 개 선택합니다.

  2. 인시던트 작업 단추를 선택합니다.

  3. 새 인시던트 만들기 또는 기존 인시던트에 추가 선택

    책갈피 창의 인시던트 작업 메뉴를 보여 주는 스크린샷

    • 새 인시던트 만들기의 경우 안내된 단계를 수행합니다. 책갈피 탭에는 선택한 책갈피가 미리 채워집니다.
    • 기존 인시던트에 추가하려면 인시던트를 선택하여 수락 단추를 선택합니다.

옵션 2: 헌팅 작업을 사용합니다.

  1. 헌팅 작업 메뉴를 선택하고 >인시던트 만들기를 선택하고 안내된 단계를 따릅니다.

    책갈피 창의 헌팅 작업 메뉴를 보여 주는 스크린샷

  2. 책갈피 추가 단계 중에 책갈피 추가 작업을 사용하여 헌팅에서 책갈피를 선택하여 인시던트에 추가합니다. 인시던트에 할당되지 않은 책갈피로 제한됩니다.

  3. 인시던트가 만들어지면 해당 헌팅에 대한 관련 인시던트 목록 아래에 연결됩니다.

업데이트 상태

  1. 가설의 유효성을 검사하거나 무효화할 충분한 증거를 캡처한 경우 가설 상태를 업데이트합니다.

    가설 상태 메뉴 선택을 보여 주는 스크린샷

  2. 분석 규칙, 인시던트 만들기, TI에 IOC(손상 지표) 추가 등 헌팅과 관련된 모든 작업이 완료되면 헌팅을 닫습니다.

    헌팅 상태 메뉴 선택을 보여 주는 스크린샷

이러한 상태 업데이트는 기본 헌팅 페이지에 표시되며 메트릭을 추적하는 데 사용됩니다.

메트릭 추적

헌팅 탭의 메트릭 표시줄을 사용하여 헌팅 작업의 가시적인 결과를 추적합니다. 메트릭은 유효성이 검사된 가설 수, 생성된 새 인시던트, 생성된 새 분석 규칙을 보여 줍니다. 이러한 결과를 사용하여 목표를 설정하거나 헌팅 프로그램의 이정표를 기념하세요.

헌팅 메트릭을 보여 주는 스크린샷

다음 단계

이 문서에서는 Microsoft Sentinel을 사용하여 헌팅 조사를 실행하는 방법을 배웠습니다.

자세한 내용은 다음을 참조하세요.