Microsoft Sentinel의 인시던트 조사 및 사례 관리 기능 이해
Microsoft Sentinel은 보안 인시던트를 조사하고 관리하기 위한 완전한 기능을 갖춘 사례 관리 플랫폼을 제공합니다. 인시던트는 개별 증거(경고), 용의자 및 관심 당사자(엔터티), 보안 전문가와 AI/기계 학습 모델에 의해 수집 및 큐레이팅된 인사이트, 조사 과정에서 수행된 모든 작업의 의견 및 로그 등 보안 위협의 완전하고 지속적으로 업데이트된 연대를 포함하는 사례 파일에 대해 Microsoft Sentinel에서 부르는 이름입니다.
Microsoft Sentinel의 인시던트 조사 환경은 한 곳에서 조사에 필요한 모든 것을 제공하도록 설계된 새로운 환경인 인시던트 페이지로 시작됩니다. 이 새로운 환경의 주요 목표는 SOC의 효율성과 효율성을 높이고 평균 해결 시간(MTTR)을 줄이는 것입니다.
이 문서에서는 일반적인 인시던트 조사 단계를 안내하여 도움이 되는 모든 표시와 도구를 제공합니다.
SOC의 완성도 증가
Microsoft Sentinel은 보안 운영(SecOps) 완성도를 높이는 데 도움이 되는 도구를 제공합니다.
프로세스 표준화
인시던트 작업은 분석가가 일관된 관리 표준을 보장하고 중요한 단계가 누락되지 않도록 하기 위해 따라야 하는 작업의 워크플로 목록입니다. SOC 관리자와 엔지니어는 이러한 작업 목록을 개발하고 적절하게 또는 전반적으로 인시던트 그룹에 자동으로 적용하도록 할 수 있습니다. 그런 다음, SOC 분석가는 각 인시던트 내에서 할당된 작업에 액세스하여 완료될 때 이를 표시할 수 있습니다. 또한 분석가는 자체 미리 알림으로 또는 인시던트에 공동 작업할 수 있는 다른 분석가를 위해(예: 교대 또는 상사에게 보고) 진행 중인 인시던트에 작업을 수동으로 추가할 수 있습니다.
인시던트 작업에 대해 자세히 알아봅니다.
인시던트 관리 감사
인시던트 활동 로그는 사람이 시작했든 자동화된 프로세스가 시작했든 인시던트에서 수행한 작업을 추적하여 인시던트에 대한 모든 메모와 함께 표시합니다. 여기에 직접 의견을 추가할 수도 있습니다. 발생한 모든 일을 완벽하게 기록하여 철저함과 책임을 보장합니다.
효과적이고 효율적으로 조사
타임라인 보기
우선 가장 중요한 일부터 합니다. 분석가로서 가장 기본적인 질문은 왜 이 사건이 분석가의 주의를 끌고 있는가 하는 것입니다. 인시던트의 세부 정보 페이지를 입력하면 해당 질문에 대한 답이 있습니다. 화면 중앙에 인시던트 타임라인 위젯이 표시됩니다. 타임라인은 조사와 관련된 모든 기록된 이벤트를 발생한 순서대로 나타내는 모든 경고의 일기입니다. 또한 타임라인에는 책갈피, 헌팅 중 수집하여 인시던트에 추가된 스냅샷이 표시됩니다. 이 목록을 선택하여 이 목록에 있는 항목의 전체 세부 정보를 확인합니다. 원래 경고, 경고를 만든 분석 규칙, 책갈피와 같은 이러한 세부 정보 중 상당수는 더 자세히 알아보고 자세히 알아보기 위해 선택할 수 있는 링크로 표시됩니다.
인시던트 타임라인에서 수행할 수 있는 작업을 자세히 알아봅니다.
유사한 인시던트에서 알아보기
지금까지 인시던트에서 본 것이 익숙해 보인다면 그럴 만한 이유가 있습니다. Microsoft Sentinel은 열린 인시던트보다 가장 유사한 인시던트 수를 표시하여 한 단계 앞서 있습니다. 유사한 인시던트 위젯은 최근 업데이트된 날짜 및 시간, 마지막 소유자, 마지막 상태(닫힌 경우, 폐쇄된 이유 포함), 유사성 이유를 포함하여 유사한 것으로 간주되는 인시던트에 대한 가장 관련성이 큰 정보를 보여 줍니다.
이렇게 하면 여러 가지 면에서 조사에 도움이 될 수 있습니다.
- 더 큰 공격 전략의 일부일 수 있는 동시 인시던트를 파악합니다.
- 현재 조사를 위한 참조 지점으로 유사한 인시던트가 어떻게 처리되었는지 확인합니다.
- 과거 유사한 인시던트 소유자를 식별하여 지식을 활용합니다.
위젯은 가장 유사한 20개의 인시던트를 보여 줍니다. Microsoft Sentinel은 엔터티, 원본 분석 규칙, 경고 세부 정보를 비롯한 일반적인 요소에 따라 유사한 인시던트를 결정합니다. 이 위젯에서 현재 인시던트에 대한 연결을 그대로 유지하면서 이러한 인시던트의 전체 세부 정보 페이지로 직접 이동할 수 있습니다.
유사한 인시던트에서 수행할 수 있는 작업을 자세히 알아봅니다.
상위 인사이트 검사
다음으로 무슨 일이 일어났는지(또는 아직 일어나고 있는) 광범위한 개요를 가지고 있으며, 컨텍스트를 더 잘 이해하면 Microsoft Sentinel이 이미 알아낸 흥미로운 정보가 무엇인지 궁금할 것입니다. 인시던트의 엔터티에 대한 큰 질문을 자동으로 요청하고 인시던트 세부 정보 페이지의 오른쪽에 표시되는 상위 인사이트 위젯의 상위 답변을 표시합니다. 이 위젯은 기계 학습 분석과 최고 보안 전문가 팀의 큐레이션을 기반으로 하는 인사이트 컬렉션을 보여 줍니다.
엔터티 페이지에 표시되는 인사이트 중 특별히 선택된 하위 집합이지만, 이 컨텍스트에서는 인시던트의 모든 엔터티에 대한 인사이트가 함께 제공되어 무슨 일이 일어나고 있는지 보다 완벽하게 파악할 수 있습니다. 엔터티 탭에 각 엔터티에 대한 전체 인사이트 집합이 개별적으로 표시됩니다. 아래를 참조하세요.
상위 인사이트 위젯은 피어 및 자체 기록, 관심 목록, 위협 인텔리전스에서의 존재 또는 이와 관련된 다른 종류의 비정상적인 발생에 대해 해당 동작과 관련된 엔터티에 대한 질문에 답변합니다.
이러한 인사이트의 대부분은 자세한 정보로 연결되는 링크를 포함합니다. 이러한 링크를 열면 상황에 맞는 로그 패널을 열어 해당 인사이트에 대한 원본 쿼리와 결과와 함께 볼 수 있습니다.
엔터티 보기
이제 몇 가지 컨텍스트와 몇 가지 기본적인 질문에 대한 답변이 있으므로 이 스토리에 있는 주요 플레이어에 대해 좀 더 깊이 있게 설명하려고 합니다. 사용자 이름, 호스트 이름, IP 주소, 파일 이름, 기타 유형의 엔터티는 모두 조사에서 “요주의 인물”일 수 있습니다. Microsoft Sentinel은 사용자를 위해 모든 항목을 찾아서 타임라인과 함께 엔터티 위젯의 앞과 가운데에 표시합니다. 이 위젯에서 엔터티를 선택하면 동일한 인시던트 페이지의 엔터티 탭에 있는 해당 엔터티 목록으로 피벗됩니다.
엔터티 탭에는 인시던트에 있는 모든 엔터티 목록이 포함됩니다. 목록의 엔터티를 선택하면 엔터티 페이지를 기반으로 하는 디스플레이가 포함된 사이드 패널이 열립니다. 사이드 패널에는 다음 세 개의 카드가 포함되어 있습니다.
- 정보에는 엔터티에 대한 기본 정보가 포함되어 있습니다. 사용자 계정 엔터티의 경우 사용자 이름, 도메인 이름, SID(보안 식별자), 조직 정보, 보안 정보 등과 같은 항목일 수 있습니다.
- 타임라인에는 엔터티가 표시되는 로그에서 수집된 것처럼 이 엔터티와 엔터티가 수행한 활동을 특징으로 하는 경고 목록이 포함됩니다.
- 인사이트에는 피어 및 자체 기록과 비교하여 해당 동작과 관련된 엔터티에 대한 질문, 관심 목록 또는 위협 인텔리전스에서의 존재, 이와 관련된 다른 종류의 비정상적인 발생에 대한 답변이 포함되어 있습니다. 이러한 답변은 원본 컬렉션의 데이터를 기반으로 엔터티에 대한 중요하고 상황별 보안 정보를 제공하는 Microsoft 보안 연구원이 정의한 쿼리의 결과입니다.
엔터티 형식에 따라 이 사이드 패널에서 여러 가지 추가 작업을 수행할 수 있습니다.
- 엔터티의 전체 엔터티 페이지로 피벗하여 더 긴 시간 동안 더 많은 세부 정보를 얻거나 해당 엔터티를 중심으로 그래픽 조사 도구를 시작합니다.
- 플레이북을 실행하여 엔터티에 대한 특정 응답이나 수정 작업을 수행합니다(미리 보기).
- 엔터티를 IOC(손상 지표)로 분류하고 위협 인텔리전스 목록에 추가합니다.
이러한 각 작업은 현재 특정 엔터티 형식에 대해 지원되며 다른 엔터티 형식에는 지원되지 않습니다. 다음 표에서는 어떤 엔터티 형식에 대해 지원되는 작업을 보여 줍니다.
| 사용 가능한 작업 ▶ 엔터티 형식 ▼ |
자세한 내용 보기 (엔터티 페이지) |
TI에 추가 * | 플레이북 실행 * (미리 보기) |
|---|---|---|---|
| 사용자 계정 | ✔ | ✔ | |
| 호스트 | ✔ | ✔ | |
| IP 주소 | ✔ | ✔ | ✔ |
| URL | ✔ | ✔ | |
| 도메인 이름 | ✔ | ✔ | |
| 파일(해시) | ✔ | ✔ | |
| Azure 리소스 | ✔ | ||
| IoT 디바이스 | ✔ |
* TI에 추가 또는 플레이북 실행 작업을 사용할 수 있는 엔터티의 경우 개요 탭의 엔터티 위젯에서 바로 이러한 작업을 수행할 수 있으며 인시던트 페이지를 벗어나지 않을 수 있습니다.
로그 탐색
이제 세부 정보로 내려가서 정확히 무슨 일이 일어났는지 확인합니다. 위에서 언급한 거의 모든 위치에서 개별 경고, 엔터티, 인사이트, 인시던트에 포함된 기타 항목으로 드릴다운하여 원래 쿼리와 결과를 볼 수 있습니다. 이러한 결과는 인시던트 세부 정보 페이지의 패널 확장으로 여기에 표시되는 로그(로그 분석) 화면에 표시되므로 조사 컨텍스트를 벗어나지 않습니다.
레코드를 순서대로 유지
마지막으로, 투명성, 책임성, 연속성을 위해 자동화된 프로세스 또는 사람에 의해 인시던트에 대해 수행된 모든 작업에 대한 기록이 필요합니다. 인시던트 활동 로그에는 이러한 모든 활동이 표시됩니다. 또한 작성된 모든 의견을 보고 직접 추가할 수도 있습니다. 활동 로그는 열려 있는 동안에도 지속적으로 자동 새로 고침되므로 변경 내용을 실시간으로 볼 수 있습니다.
다음 단계
이 문서에서는 Microsoft Sentinel의 인시던트 조사 환경이 단일 컨텍스트에서 조사를 수행하는 데 어떻게 도음이 되는지 알아보았습니다. 인시던트 관리 및 조사에 대한 자세한 내용은 다음 문서를 참조하세요.