SOC 프로세스 업데이트
SOC(보안 운영 센터)는 사람, 프로세스 및 기술을 통합하는 조직 내의 중앙 집중식 기능입니다. SOC는 조직의 전반적인 사이버 보안 프레임워크를 구현합니다. SOC는 사이버 보안 인시던트를 모니터링, 경고, 예방, 검색, 분석 및 대응하기 위한 조직의 활동과 협력합니다. SOC 관리자가 이끄는 SOC 팀에는 인시던트 대응자, 수준 1, 2 및 3의 SOC 분석가, 위협 헌터 및 인시던트 대응 관리자가 포함될 수 있습니다.
SOC 팀은 네트워크, 디바이스, 애플리케이션, 동작, 어플라이언스 및 정보 저장소를 비롯한 조직의 IT 인프라 전반에서 원격 분석을 사용합니다. 그런 다음 팀은 데이터를 상호 연관시키고 분석하여 데이터를 관리하는 방법과 수행해야 할 작업을 결정합니다.
Microsoft Sentinel로 마이그레이션하려면 SOC에서 사용하는 기술뿐만 아니라 SOC 작업 및 프로세스도 업데이트해야 합니다. 이 문서에서는 Microsoft Sentinel로 마이그레이션하는 과정에서 SOC 및 분석이 프로세스를 업데이트하는 방법을 설명합니다.
분석이 워크플로 업데이트
Microsoft Sentinel은 인시던트 할당에서 종료에 이르기까지 일반적인 분석이 워크플로에 매핑되는 다양한 도구를 제공합니다. 분석가는 사용 가능한 도구의 일부 또는 전체를 유연하게 사용하여 인시던트를 심사하고 조사할 수 있습니다. 조직이 Microsoft Sentinel로 마이그레이션함에 따라 분석가는 이러한 새로운 도구 집합, 기능 및 워크플로에 적응해야 합니다.
Microsoft Sentinel의 인시던트
Microsoft Sentinel에서 인시던트는 Microsoft Sentinel이 인시던트를 트리거하기에 충분한 충실도가 있다고 판단하는 경고 컬렉션입니다. 따라서 분석가는 Microsoft Sentinel을 사용하여 먼저 인시던트 페이지에서 인시던트를 심사한 다음 심층 분석이 필요한 경우 경고 분석을 진행합니다. SIEM의 인시던트 용어 및 관리 영역을 Microsoft Sentinel과 비교합니다.
분석이 워크플로 단계
이 표에서는 분석이 워크플로의 주요 단계를 설명하고 워크플로의 각 작업과 관련된 특정 도구를 강조 표시합니다.
| 할당 | 심사 | 조사 | 응답 |
|---|---|---|---|
|
인시던트 할당: • 인시던트 페이지에서 수동으로 • 플레이북 또는 자동화 규칙을 사용하여 자동으로 |
다음을 사용하여 인시던트를 심사합니다. • 인시던트 페이지의 인시던트 세부 정보 • 엔터티 탭 아래에 있는 인시던트 페이지의 엔터티 정보 • Jupyter Notebook |
다음을 사용하여 인시던트를 조사합니다. • 조사 그래프 • Microsoft Sentinel 통합 문서 • Log Analytics 쿼리 창 |
다음을 사용하여 인시던트에 대응합니다. • 플레이북 및 자동화 규칙 • Microsoft Teams 워룸 |
다음 섹션에서는 용어와 분석이 워크플로를 특정 Microsoft Sentinel 기능에 매핑합니다.
할당
Microsoft Sentinel 인시던트 페이지를 사용하여 인시던트를 할당합니다. 인시던트 페이지에는 인시던트 미리 보기와 단일 인시던트에 대한 상세 보기가 포함되어 있습니다.
인시던트를 할당하려면 다음을 수행합니다.
- 수동 소유자 필드를 관련 사용자 이름으로 설정합니다.
- 자동 Microsoft Teams 및 Logic Apps 또는 자동화 규칙을 기반으로 하는 사용자 지정 솔루션을 사용합니다.
심사
Microsoft Sentinel에서 심사 연습을 수행하려면 전문 지식 수준과 조사 중인 인시던트의 특성에 따라 다양한 Microsoft Sentinel 기능으로 시작할 수 있습니다. 일반적인 출발점으로 인시던트 페이지에서 전체 세부 정보 보기를 선택합니다. 이제 인시던트를 구성하는 경고를 검사하고, 책갈피를 검토하고, 특정 엔터티로 드릴다운할 엔터티를 선택하거나, 설명을 추가할 수 있습니다.
인시던트 검토를 계속하기 위해 제안된 작업은 다음과 같습니다.
- 인시던트와 관련 엔터티 간의 관계를 시각적으로 나타내려면 조사를 선택합니다.
- Jupyter Notebook을 사용하여 특정 엔터티에 대한 심층 심사 연습을 수행합니다. 이 연습에서는 인시던트 심사 Notebook을 사용할 수 있습니다.
신속한 심사
다음 기능을 사용하여 신속하게 심사합니다.
- 빠른 필터링을 위해 인시던트 페이지에서 특정 엔터티와 관련된 인시던트를 검색합니다. 인시던트 페이지에서 항목별로 필터링하는 것이 레거시 SIEM 인시던트 큐에서 엔터티 열로 필터링하는 것보다 빠릅니다.
- 더 빠른 심사를 위해 경고 세부 정보 화면을 사용하여 관련 사용자 이름, IP 주소 또는 호스트와 같은 주요 인시던트 정보를 인시던트 이름 및 설명에 포함합니다. 예를 들어 인시던트의 이름을
Ransomware activity detected in DC01로 동적으로 변경할 수 있습니다. 여기서DC01은 사용자 지정 가능한 경고 속성을 통해 동적으로 식별되는 중요한 자산입니다. - 자세한 분석을 위해 인시던트 페이지에서 인시던트를 선택하고 증거 아래에서 이벤트를 선택하여 인시던트를 트리거한 특정 이벤트를 확인합니다. 이벤트 데이터는 원시 이벤트가 아니라 분석 규칙과 연결된 쿼리의 출력으로 표시됩니다. 규칙 마이그레이션 엔지니어는 이 출력을 사용하여 분석가가 올바른 데이터를 얻도록 할 수 있습니다.
- 자세한 엔터티 정보를 보려면 인시던트 페이지에서 인시던트를 선택하고 엔터티 아래에서 엔터티 이름을 선택하여 엔터티의 디렉터리 정보, 타임라인 및 인사이트를 봅니다. 엔터티 매핑 방법에 대해 알아봅니다.
- 관련 통합 문서에 연결하려면 인시던트 미리 보기를 선택합니다. 통합 문서를 사용자 지정하여 인시던트 또는 연결된 엔터티 및 사용자 지정 필드에 대한 추가 정보를 표시할 수 있습니다.
조사
조사 그래프를 사용하여 인시던트를 자세히 조사합니다. 인시던트 페이지에서 인시던트를 선택하고 조사를 선택하여 조사 그래프를 봅니다.
조사 그래프를 사용하여 다음을 수행할 수 있습니다.
- 관련 데이터를 관련 엔터티와 연결하여 범위를 이해하고 잠재적인 보안 위협의 근본 원인을 식별합니다.
- 엔터티에 대해 자세히 알아보고 다양한 확장 옵션 중에서 선택합니다.
- 원시 데이터에서 자동으로 추출된 관계를 확인하여 다양한 데이터 원본 간의 연결을 쉽게 확인할 수 있습니다.
- 기본 제공 탐색 쿼리를 통해 조사 범위를 확장하여 모든 위협 범위를 표시합니다.
- 미리 정의된 탐색 옵션을 사용하여 위협을 조사하는 동안 올바른 질문을 할 수 있습니다.
조사 그래프에서 통합 문서를 열어 조사 활동을 추가로 지원할 수도 있습니다. Microsoft Sentinel에는 특정 사용 사례에 맞게 사용자 지정할 수 있는 여러 통합 문서 템플릿이 포함되어 있습니다.
응답
Microsoft Sentinel 자동화된 대응 기능을 사용하여 복잡한 위협에 대응하고 경고 피로를 줄입니다. Microsoft Sentinel은 Logic Apps 플레이북 및 자동화 규칙을 사용하여 자동화된 응답을 제공합니다.
다음 옵션 중 하나를 사용하여 플레이북에 액세스합니다.
- Automation > 플레이북 템플릿 탭
- Microsoft Sentinel 콘텐츠 허브
- Microsoft Sentinel Github 리포지토리
이러한 원본에는 다양한 복잡성의 사용 사례의 상당 부분을 다루는 광범위한 보안 지향 플레이북이 포함되어 있습니다. 플레이북 작업을 간소화하려면 Automation > 플레이북 템플릿에 있는 템플릿을 사용합니다. 템플릿을 사용하면 플레이북을 Microsoft Sentinel 인스턴스에 쉽게 배포한 다음 조직의 요구 사항에 맞게 플레이북을 수정할 수 있습니다.
SOC 프로세스를 Microsoft Sentinel 기능에 매핑하려면 SOC 프로세스 프레임워크를 참조하세요.
SIEM 개념 비교
이 표를 사용하여 레거시 SIEM의 주요 개념을 Microsoft Sentinel 개념과 비교합니다.
| ArcSight | QRadar | Splunk | Microsoft Sentinel |
|---|---|---|---|
| 이벤트 | 이벤트 | 이벤트 | 이벤트 |
| 상관 관계 이벤트 | 상관 관계 이벤트 | 주목할 만한 이벤트 | 경고 |
| Incident | 공격 | 주목할 만한 이벤트 | Incident |
| 공격 목록 | 태그 | 인시던트 페이지 | |
| 레이블 | SOAR의 사용자 지정 필드 | 태그 | 태그 |
| Jupyter 노트북 | Jupyter 노트북 | Microsoft Sentinel Notebooks | |
| 대시보드 | 대시보드 | 대시보드 | 통합 문서 |
| 상관 규칙 | 빌딩 블록 | 상관 규칙 | Analytics 규칙 |
| 인시던트 큐 | 범죄 탭 | 인시던트 검토 | 인시던트 페이지 |
다음 단계
마이그레이션 후에는 Microsoft의 Microsoft Sentinel 리소스를 살펴보고 기술을 확장하여 Microsoft Sentinel을 최대한 활용합니다.
또한 Microsoft Defender XDR과 함께 Microsoft Sentinel을 사용하고 통합 위협 방지용 클라우드용 Microsoft Defender를 사용하여 위협 방지를 개선하는 것이 좋습니다. Microsoft Sentinel이 제공하는 광범위한 가시성을 활용하는 동시에 자세한 위협 분석을 심층적으로 살펴봅니다.
자세한 내용은 다음을 참조하세요.