예약된 분석 규칙의 실행 모니터링 및 최적화

아티클
02/26/2024

Microsoft Sentinel의 위협 탐지 기능이 사용자 환경에서 완벽하게 보장되도록 하려면 실행 관리 도구를 활용합니다. 이러한 도구는 Microsoft Sentinel의 상태 및 감사 데이터를 기반으로 예약된 분석 규칙의 실행에 대한 인사이트와 테스트 및/또는 문제 해결을 위해 특정 기간에 규칙의 이전 실행을 수동으로 다시 실행하는 기능으로 구성됩니다.

Important

Microsoft Sentinel의 분석 규칙 인사이트 및 수동 다시 실행은 현재 미리 보기로 제공됩니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

요약

예약된 분석 규칙에 대한 실행 관리 도구에는 기본 제공 예약된 규칙 인사이트 및 예약된 규칙을 요청 시 다시 실행하는 기능의 두 가지가 있습니다.

Analytics 페이지에서 Insights 패널이 정보 탭과 함께 세부 정보 창에 다른 탭으로 표시됩니다. Insights 패널은 규칙의 활동 및 결과에 대한 정보를 제공합니다. 예를 들어 실패한 실행, 상위 상태 문제, 시간에 따른 경고 수 및 규칙에 의해 생성된 인시던트의 최종 분류가 있습니다. 이러한 인사이트를 통해 보안 분석가는 분석 규칙을 사용하여 잠재적인 문제 또는 잘못된 구성을 식별하고, 규칙 오류를 검색 및 수정하고, 규칙 구성을 최적화하여 성능과 정확도를 높일 수 있습니다.

또한 Analytics 페이지에는 요청 시 분석 규칙을 다시 실행하는 기능도 있습니다. 이 기능은 규칙의 유효성을 검사할 때 유연성과 제어를 제공합니다. 규칙 구체화, 테스트, 유효성 검사 등의 시나리오에서 유용할 수 있습니다. 수동 다시 실행을 유연하게 시작하면 효율적인 보안 작업을 지원하고, 효과적인 인시던트 대응을 사용하도록 설정하고, 시스템의 전반적인 검색 및 대응 기능을 향상시킬 수 있습니다.

규칙 다시 실행의 사용 사례 및 이점

다음은 분석 규칙의 특정 실행을 재생하면 도움이 될 수 있는 몇 가지 시나리오입니다.

규칙 구체화 및 튜닝: 분석 규칙에는 진화하는 위협 환경 및 변화하는 조직 요구 사항에 따라 주기적인 조정 및 미세 조정이 필요할 수 있습니다. 분석가는 규칙을 수동으로 다시 실행하여 규칙 수정의 영향을 평가하고 프로덕션 환경에 배포하기 전에 해당 효과의 유효성을 검사할 수 있습니다.

테스트 및 유효성 검사: 새 분석 규칙을 도입하거나, 기존 규칙을 크게 변경하거나, 새 인시던트 플레이북을 개발할 때는 성능과 정확도를 철저히 테스트해야 합니다. 수동 다시 실행을 사용하면 엔드투엔드 자동화된 인시던트 흐름을 비롯한 다양한 시나리오를 시뮬레이션하고 일관된 데이터 입력 집합에 대한 규칙의 유효성을 검사할 수 있습니다. 이 프로세스는 규칙이 과도한 가양성을 생성하지 않고 예상되는 경고를 생성하도록 합니다.

인시던트 조사: 보안 인시던트 또는 의심스러운 활동이 발생하는 경우 분석가는 이미 생성된 경고에 추가 세부 정보를 표시할 수 있습니다. 규칙을 업데이트하고 특정 실행 간격(최대 7일 백업)으로 다시 실행하여 추가 정보를 수집하고 관련 이벤트를 식별하여 이 작업을 수행할 수 있습니다. 수동 다시 실행을 사용하면 분석가가 심층 조사를 수행하고 포괄적인 검사를 수행하도록 보장할 수 있습니다.

규정 준수 및 감사: 일부 규정 요구 사항 또는 내부 정책은 지속적인 모니터링 및 규정 준수를 입증하기 위해 주기적으로 또는 요청 시 분석 규칙을 다시 실행해야 할 수 있습니다. 수동 다시 실행은 규칙이 일관되게 적용되고 적절한 경고를 생성하도록 하여 이러한 의무를 충족하는 기능을 제공합니다.

필수 조건

실행 관리 도구를 사용하려면 Microsoft Sentinel의 상태 및 감사 기능, 특히 분석 규칙 상태 모니터링 기능을 사용하도록 설정해야 합니다. 상태 및 감사를 사용하도록 설정하는 방법을 알아봅니다.

분석 규칙 인사이트 보기

이러한 도구를 활용하려면 먼저 지정된 규칙에 대한 인사이트를 검사합니다.

Microsoft Sentinel 탐색 메뉴에서 분석을 선택합니다.
인사이트를 보려는 규칙(예약됨 또는 NRT)을 찾아 선택합니다.
세부 정보 창에서 Insights 탭을 선택합니다.
Insights 탭을 선택하면 시간 프레임 선택기가 표시됩니다. 시간 프레임을 선택하거나 지난 24시간의 기본값으로 그대로 둡니다.

Insights 패널에는 현재 4가지 종류의 인사이트가 표시됩니다. 각 인사이트 다음에는 로그 페이지로 이동하고 전체 원시 결과와 함께 인사이트를 생성한 쿼리를 표시하는 모두 보기 링크가 표시됩니다. 인사이트는 다음과 같습니다.

Failed executions에는 지정된 시간 프레임에서 이 규칙의 실패한 실행 목록이 표시됩니다. 이 인사이트 다음에는 규칙 실행 패널에 대한 링크가 옵니다. 이 패널에서 규칙이 실행된 모든 시간의 목록을 볼 수 있으며 규칙의 특정 실행을 재생할 수 있습니다.
상위 상태 문제에는 지정된 시간 프레임 동안 이 규칙의 가장 일반적인 상태 문제 목록이 표시됩니다. 이 인사이트 다음에는 이 규칙이 실행된 모든 시간에 대한 쿼리가 표시되는 로그 페이지로 이동하는 실행 보기 링크가 옵니다.
경고 그래프는 지정된 시간 프레임에서 이 규칙에 의해 생성된 경고 수의 차트를 보여 줍니다.
인시던트 분류는 지정된 시간 프레임 동안 이 규칙에 의해 생성된 닫힌 인시던트 분류의 요약을 보여 줍니다.

분석 규칙 다시 실행

규칙을 다시 실행하도록 할 수 있는 몇 가지 시나리오가 있습니다.

정상으로 되돌아간 임시 조건이나 잘못된 구성으로 인해 규칙 실행에 실패했습니다. 잘못된 구성을 수정하거나 조건을 복구한 후에는 실패한 실행과 동일한 기간(즉, 동일한 데이터)에 규칙을 다시 실행하여 적용 범위에서 격차를 완화할 수 있습니다.
규칙이 성공적으로 실행되었지만 생성된 경고에 충분한 정보가 제공되지 않았습니다. 이 경우 쿼리 또는 보강 설정을 변경하여 자세한 정보를 제공하도록 규칙을 편집할 수 있습니다. 그런 다음, 추가 정보를 원하는 실행과 동일한 기간(즉, 동일한 데이터)에 규칙을 다시 실행할 수 있습니다.
규칙을 작성하거나 편집하는 방법을 실험하고 다양한 설정이 해당 규칙이 생성하는 경고에 어떤 영향을 미치는지 확인할 수 있습니다. 유효한 비교를 위해 동일한 기간에 규칙을 다시 실행할 수 있습니다.

규칙을 다시 실행하는 방법은 다음과 같습니다.

Analytics 페이지의 위쪽 도구 모음에서 Rule runs(미리 보기)를 선택합니다. Rule runs 패널이 열립니다.

Insights 탭의 Failed executions 표시에서 Rerun rules을 선택하여 Rule runs 패널로 이동할 수도 있습니다(위 참조).
실행 시간 열에 표시된 대로 원래 실행된 기간에 따라 재생하려는 규칙 실행을 선택합니다. 둘 이상의 규칙 실행을 선택할 수 있습니다.
Replay run을 선택합니다. 요청의 진행률을 표시하고 규칙이 실행을 위해 큐에 대기되었음을 나타내는 알림이 표시됩니다.
새로 고침을 선택하여 규칙 실행의 업데이트된 상태를 봅니다. 진행 중 상태(결국 성공으로 표시됨) 및 시스템 트리거됨이 아닌 사용자 트리거됨 형식을 사용하여 요청이 표시되는 것을 확인할 수 있습니다.

또한 요청된 다시 실행의 실행 시간은 다시 실행의 실행 시간이 아니라 원래 시스템 트리거 실행의 실행과 동일하다는 것을 알 수 있습니다. 이는 다시 실행이 참조하는 기간을 표시하기 위한 것입니다.

사용자 트리거 규칙 실행이 아닌 시스템 트리거 규칙 실행만 재생할 수 있습니다.