다음을 통해 공유

Microsoft Sentinel의 NRT(거의 실시간) 분석 규칙을 사용한 빠른 위협 감지

  • 아티클

보안 위협에 직면한 경우 시간과 속도가 중요합니다. 구체화되는 위협을 인식해야 신속하게 분석하고 대응하여 억제할 수 있습니다. Microsoft Sentinel의 NRT(거의 실시간) 분석 규칙은 온-프레미스 SIEM에 가까운 더 빠른 위협 탐지와 특정 시나리오에서 응답 시간을 단축하는 기능을 제공합니다.

Microsoft Sentinel의 실시간에 가까운 분석 규칙은 기본 제공 최신 위협 탐지 기능을 제공합니다. 이 형식의 규칙은 1분 간격으로 쿼리를 실행하여 응답성이 매우 높도록 설계되었습니다.

NRT 규칙의 작동 방식

NRT 규칙은 1분마다 한 번씩 실행되어 이전 1분간 수집된 이벤트를 캡처하도록 하드 코딩되므로 가능한 최신 정보를 제공합니다.

수집 시간 지연을 고려하기 위해 기본 제공 5분 지연으로 실행되는 일반 예약 규칙과 달리 NRT 규칙은 단 2분 지연으로 실행되고 원본의 생성 시간(TimeGenerated 필드) 대신 이벤트 수집 시간을 쿼리하여 수집 지연 문제를 해결합니다. 이로 인해 탐지 빈도와 정확도가 모두 향상됩니다. 해당 이슈에 대한 자세한 내용은 쿼리 예약 및 경고 임계값예약된 분석 규칙에서 수집 지연 처리를 참조하세요.

NRT 규칙에는 예약된 분석 규칙과 동일한 많은 기능과 특징이 있습니다. 엔터티를 매핑하고, 사용자 지정 세부 정보를 표시하고, 경고 세부 정보를 위해 동적 콘텐츠를 구성하는 등 경고 보강 기능의 전체 집합을 사용할 수 있습니다. 경고를 인시던트로 그룹화하는 방법을 선택하고, 결과를 생성한 후 쿼리 실행을 일시적으로 억제하고, 규칙에서 생성된 경고 및 인시던트에 대응하여 실행할 자동화 규칙 및 플레이북을 정의할 수 있습니다.

당분간 이러한 템플릿은 아래와 같이 제한적으로 사용되지만 기술이 빠르게 발전하고 성장하고 있습니다.

고려 사항

현재 NRT 규칙의 사용을 제어하는 제한 사항은 다음과 같습니다.

  • 현재 고객당 50개 이하의 규칙을 정의할 수 있습니다.

  • 설계상 NRT 규칙은 수집 지연 시간이 12시간 미만인 로그 원본에서만 제대로 작동합니다.

    (NRT 규칙 유형은 실시간 데이터 수집에 근접해야 하므로 12시간보다 훨씬 짧은 경우에도 상당한 수집 지연이 있는 로그 원본에서 NRT 규칙을 사용하는 것은 이점이 없습니다.)

  • 이러한 유형의 규칙에 대한 구문은 점차 진화하고 있습니다. 현재 다음과 같은 제한 사항이 적용됩니다.

    • 이 규칙 유형은 거의 실시간에 적용되므로 기본 제공 지연을 최소(2분)로 줄였습니다.

    • NRT 규칙은 이벤트 생성 시간(TimeGenerated 필드로 표시)이 아닌 수집 시간을 사용하므로 데이터 원본 지연 및 수집 대기 시간을 안전하게 무시할 수 있습니다(위 참조).

    • 이제 여러 작업 영역에서 쿼리를 실행할 수 있습니다.

    • 이제 이벤트 그룹화가 제한된 수준까지 구성 가능합니다. NRT 규칙은 최대 30개의 단일 이벤트 경고를 생성할 수 있습니다. 30개 이상의 이벤트를 생성하는 쿼리가 있는 규칙은 처음 29개에 대한 경고를 생성한 다음, 적용 가능한 모든 이벤트를 요약하는 30번째 경고를 생성합니다.

    • NRT 규칙에 정의된 쿼리는 이제 둘 이상의 테이블을 참조할 수 있습니다.

다음 단계

이 문서에서는 Microsoft Sentinel에서 NRT(근 실시간) 분석 규칙이 작동하는 방식을 알아보았습니다.