자습서: Microsoft Sentinel에서 분석 규칙을 사용하여 위협 감지
SIEM(보안 정보 및 이벤트 관리) 서비스인 Microsoft Sentinel은 조직에 대한 보안 위협을 감지하는 역할을 담당합니다. 이 작업은 모든 시스템 로그에서 생성된 대량의 데이터를 분석하여 수행합니다.
이 자습서에서는 템플릿에서 Microsoft Sentinel 분석 규칙을 설정하여 환경 전체에서 Apache Log4j 취약성의 악용을 검색하는 방법을 알아봅니다. 이 규칙은 로그에 있는 사용자 계정 및 IP 주소를 추적 가능한 엔터티로 구성하고, 규칙에 의해 생성된 경고에 주목할 만한 정보를 표시하고, 경고를 조사할 인시던트로 패키지합니다.
이 자습서를 완료하면 다음을 수행할 수 있습니다.
- 템플릿에서 분석 규칙 만들기
- 규칙의 쿼리 및 설정 사용자 지정
- 세 가지 유형의 경고 보강 구성
- 규칙에 대한 자동화된 위협 대응 선택
필수 조건
이 자습서를 완료하려면 다음이 설치되어 있어야 합니다.
Azure 구독 아직 없는 경우 체험 계정을 만듭니다.
Microsoft Sentinel 솔루션이 배포되고 데이터가 수집되는 Log Analytics 작업 영역입니다.
Microsoft Sentinel이 배포된 Log Analytics 작업 영역에 할당된 Microsoft Sentinel 기여자 역할이 있는 Azure 사용자입니다.
이 규칙에서 참조되는 데이터 원본은 다음과 같습니다. 커넥터를 배포한 항목이 많을수록 규칙이 더 효과적입니다. 하나 이상 있어야 합니다.
데이터 원본 참조된 Log Analytics 테이블 Office 365 OfficeActivity(SharePoint)
OfficeActivity(Exchange)
OfficeActivity(Teams)DNS DnsEvents Azure Monitor (VM Insights) VMConnection Cisco ASA CommonSecurityLog(Cisco) Palo Alto Networks(방화벽) CommonSecurityLog(PaloAlto) 보안 이벤트 SecurityEvents Microsoft Entra ID SigninLogs
AADNonInteractiveUserSignInLogsAzure Monitor(WireData) WireData Azure Monitor(IIS) W3CIISLog Azure 활동 AzureActivity Amazon Web Services AWSCloudTrail Microsoft Defender XDR DeviceNetworkEvents Azure Firewall AzureDiagnostics(Azure Firewall)
Azure Portal 및 Microsoft Sentinel에 로그인
Azure Portal에 로그인합니다.
검색 창에서 Microsoft Sentinel을 검색하여 선택합니다.
사용 가능한 Microsoft Sentinel 작업 영역 목록에서 작업 영역을 검색하고 선택합니다.
콘텐츠 허브에서 솔루션 설치
Microsoft Sentinel의 콘텐츠 관리 아래 왼쪽 메뉴에서 콘텐츠 허브를 선택합니다.
솔루션 Log4j 취약성 검색을 검색하고 선택합니다.
페이지 맨 위에 있는 도구 모음에서 설치/업데이트를 선택합니다.
템플릿에서 예약된 분석 규칙 만들기
Microsoft Sentinel의 구성 왼쪽 메뉴에서 분석을 선택합니다.
분석 페이지에서 규칙 템플릿 탭을 선택합니다.
규칙 템플릿 목록의 맨 위에 있는 검색 필드에 log4j를 입력합니다.
필터링된 템플릿 목록에서 Log4j 취약성 악용(Log4Shell IP IOC)을 선택합니다. 세부 정보 창에서 규칙 만들기를 선택합니다.
분석 규칙 마법사가 열립니다.
일반 탭의 이름 필드에 Log4j 취약성 악용(Log4Shell IP IOC - Tutorial-1)을 입력합니다.
이 페이지의 나머지 필드는 그대로 둡니다. 기본값이지만 이후 단계에서 경고 이름에 사용자 지정을 추가합니다.
규칙을 즉시 실행하지 않으려면 [사용 안 함]을 선택하면 규칙이 활성 규칙 탭에 추가되고 필요할 때 이 탭에서 규칙을 사용하도록 설정할 수 있습니다.
다음을 선택합니다 . 규칙 논리를 설정합니다.
규칙 쿼리 논리 및 설정 구성 검토
규칙 논리 설정 탭에서 규칙 쿼리 제목 아래에 표시되는 쿼리를 검토합니다.
쿼리 텍스트를 한 번에 더 많이 보려면 쿼리 창의 오른쪽 위 모서리에 있는 대각선 이중 화살표 아이콘을 선택하여 창을 더 큰 크기로 확장합니다.
엔터티 및 기타 세부 정보를 사용하여 경고 보강
경고 보강에서 엔터티 매핑 설정을 그대로 유지합니다. 매핑된 세 개의 엔터티를 확인합니다.
사용자 지정 세부 정보 섹션에서 각 발생의 타임스탬프를 경고에 추가해 드릴다운하지 않고도 경고 세부 정보에서 바로 확인할 수 있습니다.
- 키 필드에 타임스탬프를 입력합니다. 경고의 속성 이름이 됩니다.
- 값 드롭다운 목록에서 타임스탬프를 선택합니다.
경고 세부 정보 섹션에서 경고 제목에 각 발생의 타임스탬프가 표시되도록 경고 이름을 사용자 지정해 보겠습니다.
경고 이름 형식 필드에 Log4j 취약성 악용({{timestamp}})에 Log4Shell IP IOC를 입력합니다.
다시 기본 설정 검토
규칙 논리 설정 탭에서 다시 기본 설정을 검토합니다. 예를 들어 간격을 변경하려면 아무 것도 변경할 필요가 없습니다. 조회 기간이 연속 범위를 기본 위해 간격과 일치하는지 확인합니다.
쿼리 예약:
- 1시간마다 쿼리를 실행합니다.
- 지난 1시간 동안의 조회 데이터입니다.
경고 임계값:
- 쿼리 결과 수가 0보다 큰 경우 경고를 생성합니다.
이벤트 그룹화:
- 규칙 쿼리 결과를 경고로 그룹화하는 방법을 구성합니다. 모든 이벤트를 단일 경고로 그룹화합니다.
억제:
- 경고가 생성된 후 쿼리 실행을 중지합니다. 꺼져 있습니다.
다음: 인시던트 설정을 선택합니다.
인시던트 만들기 설정 검토
인시던트 설정 탭에서 설정을 검토합니다. 예를 들어 인시던트 생성 및 관리를 위한 다른 시스템이 없으면 아무 것도 변경할 필요가 없습니다. 이 경우 인시던트 생성을 사용하지 않도록 설정하려고 합니다.
인시던트 설정:
- 이 분석 규칙에 의해 트리거된 경고에서 인시던트 만들기: 사용
경고 그룹화:
- 이 분석 규칙에 의해 트리거된 관련 경고를 인시던트: 사용 안 함으로 그룹화합니다.
다음: 자동화된 응답을 선택합니다.
자동화된 응답 설정 및 규칙 만들기
자동화된 응답 탭에서 다음을 수행 합니다.
+새로 추가를 선택하여 이 분석 규칙에 대한 새 자동화 규칙을 만듭니다. 그러면 새 자동화 규칙 만들기 마법사가 열립니다.
Automation 규칙 이름 필드에 Log4J 취약성 악용 검색 - Tutorial-1을 입력합니다.
트리거 및 조건 섹션을 그대로 둡니다.
작업 아래의 드롭다운 목록에서 태그 추가를 선택합니다.
- +태그 추가를 선택합니다.
- 텍스트 상자에 Log4J 악용을 입력하고 확인을 선택합니다.
규칙 만료 및 주문 섹션은 그대로 둡니다.
적용을 선택합니다. 곧 자동화된 응답 탭의 목록에 새 자동화 규칙이 표시됩니다.
다음을 선택합니다 . 검토 하여 새 분석 규칙에 대한 모든 설정을 검토합니다. "유효성 검사 통과" 메시지가 나타나면 만들기를 선택합니다. 위의 일반 탭에서 규칙을 사용 안 함으로 설정하지 않으면 규칙이 즉시 실행됩니다.
전체 검토를 표시하려면 아래 이미지를 선택합니다(대부분의 쿼리 텍스트가 보기 용으로 잘렸음).
규칙의 성공 확인
만든 경고 규칙의 결과를 보려면 인시던트 페이지로 이동합니다.
분석 규칙에서 생성된 인시던트 목록을 필터링하려면 검색 창에서 만든 분석 규칙의 이름(또는 이름의 일부)을 입력합니다.
타이틀이 분석 규칙의 이름과 일치하는 인시던트를 엽니다. 자동화 규칙에서 정의한 플래그가 인시던트에 적용되었는지 확인합니다.
리소스 정리
이 분석 규칙을 계속 사용하지 않으려면 다음 단계를 사용하여 만든 분석 및 자동화 규칙을 삭제하거나 최소한 사용하지 않도록 설정합니다.
분석 페이지에서 활성 규칙 탭을 선택합니다.
검색 창에서 만든 분석 규칙의 이름(또는 이름의 일부)을 입력합니다.
(표시되지 않는 경우 필터가 로 설정되어 있는지 확인합니다.모두 선택하십시오.)목록에서 규칙 옆에 있는 검사 상자를 표시하고 위쪽 배너에서 삭제를 선택합니다.
삭제하지 않으려 면대신 사용하지 않도록 설정합니다 .)Automation 페이지에서 Automation 규칙 탭을 선택합니다.
검색 창에서 만든 자동화 규칙의 이름(또는 이름의 일부)을 입력합니다.
(표시되지 않는 경우 필터가 로 설정되어 있는지 확인합니다.모두 선택하십시오.)목록에서 자동화 규칙 옆에 있는 검사 상자를 표시하고 위쪽 배너에서 삭제를 선택합니다.
삭제하지 않으려 면대신 사용하지 않도록 설정합니다 .)
다음 단계
분석 규칙을 사용하여 일반적인 취약성의 악용을 검색하는 방법을 알아보았으므로 Microsoft Sentinel에서 분석으로 수행할 수 있는 작업에 대해 자세히 알아보세요.
예약된 분석 규칙의 모든 설정 및 구성에 대해 알아봅니다.
특히 여기에서 본 다양한 유형의 경고 보강에 대해 자세히 알아봅니다.
Microsoft Sentinel의 다른 종류의 분석 규칙 및 해당 기능에 대해 알아봅니다.
KQL(Kusto 쿼리 언어)에서 쿼리를 작성하는 방법에 대해 자세히 알아봅니다. KQL 개념 및 쿼리에 대해 자세히 알아보고 이 편리한 빠른 참조 가이드를 참조하세요.