Microsoft Defender 포털에서 Microsoft Sentinel 데이터를 사용하여 고급 헌팅
고급 헌팅을 사용하면 통합 Microsoft Defender 포털 내에서 사용할 수 있는 모든 데이터 원본을 보고 쿼리할 수 있습니다. 데이터 원본에는 Microsoft Defender XDR 및 다양한 Microsoft 보안 서비스가 포함될 수 있습니다. defender 포털에 Microsoft Sentinel 온보딩하는 경우 쿼리 및 함수를 포함하여 모든 기존 Microsoft Sentinel 작업 영역 콘텐츠에 액세스하고 사용합니다.
여러 데이터 집합에서 단일 포털에서 쿼리하면 헌팅이 더 효율적이며 컨텍스트 전환의 필요성이 제거됩니다.
중요
Microsoft Sentinel 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기의 경우 Microsoft Sentinel Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel 참조하세요.
액세스 방법
필요한 역할 및 사용 권한 할당
현재 역할 및 권한에 따라 액세스할 수 있는 모든 워크로드의 데이터를 쿼리할 수 있습니다.
통합 고급 헌팅 페이지에서 Microsoft Sentinel 및 Microsoft Defender XDR 데이터를 쿼리하려면 최소한 Microsoft Sentinel 읽기 권한자 역할이 필요합니다. 자세한 내용은 Microsoft Sentinel 특정 역할을 참조하세요.
작업 영역 연결
Microsoft Defender 위쪽 배너에서 작업 영역 연결을 선택하여 작업 영역을 연결할 수 있습니다. 통합 Microsoft Defender 포털에 Microsoft Sentinel 작업 영역을 온보딩할 자격이 있는 경우 이 단추가 나타납니다. 작업 영역 온보딩의 단계를 따릅니다.
Microsoft Sentinel 작업 영역을 연결하고 고급 헌팅 데이터를 Microsoft Defender XDR 고급 헌팅 페이지에서 Microsoft Sentinel 데이터 쿼리를 시작할 수 있습니다. 고급 헌팅 기능에 대한 개요는 고급 헌팅을 사용하여 위협을 사전에 헌팅을 참조하세요.
Microsoft Sentinel 스트리밍된 Defender XDR 테이블에 대해 예상되는 사항
- 쿼리에서 데이터 보존 기간이 긴 테이블 사용 – 고급 헌팅은 Defender XDR 테이블에 대해 구성된 최대 데이터 보존 기간을 따릅니다(할당량 이해 참조). Defender XDR 테이블을 스트리밍하여 Microsoft Sentinel 데이터 보존 기간이 30일보다 긴 경우 고급 헌팅에서 더 긴 기간을 쿼리할 수 있습니다.
-
Microsoft Sentinel 사용한 Kusto 연산자 사용 – 일반적으로 Microsoft Sentinel 쿼리는 연산자를 사용하는
adx()쿼리를 포함하여 고급 헌팅에서 작동합니다. IntelliSense가 쿼리의 연산자가 스키마와 일치하지 않는다고 경고하는 경우가 있을 수 있지만 쿼리를 계속 실행할 수 있으며 성공적으로 실행되어야 합니다. - 쿼리에서 시간 범위를 설정하는 대신 시간 필터 드롭다운을 사용합니다. 테이블을 있는 그대로 스트리밍하는 대신 Sentinel Defender XDR 테이블 수집을 필터링하는 경우 불완전한 결과를 생성할 수 있으므로 쿼리의 시간을 필터링하지 마세요. 쿼리에서 시간을 설정하면 일반적으로 데이터 보존 기간이 길기 때문에 Sentinel 스트리밍된 필터링된 데이터가 사용됩니다. 최대 30일 동안 모든 Defender XDR 데이터를 쿼리하려는 경우 쿼리 편집기에 제공된 시간 필터 드롭다운을 대신 사용합니다.
-
Microsoft Sentinel 스트리밍된 Defender XDR 데이터의 보기
SourceSystem및MachineGroup열 – 열SourceSystem이MachineGroupMicrosoft Sentinel 스트리밍되면 Defender XDR 테이블에 추가되므로 Defender의 고급 헌팅 결과로도 표시됩니다. 그러나 스트리밍되지 않은 Defender XDR 테이블(기본 30일 데이터 보존 기간을 따르는 테이블)에는 공백으로 유지됩니다.
참고
Microsoft Sentinel 작업 영역을 연결한 후 Microsoft Sentinel 데이터를 쿼리할 수 있는 통합 포털을 사용하면 Microsoft Sentinel 동안 Defender XDR 데이터를 쿼리할 수도 있습니다. Defender XDR 원시 데이터 수집은 계속 Microsoft Sentinel 구성해야 합니다.
Microsoft Sentinel 데이터를 찾을 수 있는 위치
고급 헌팅 KQL(Kusto 쿼리 언어) 쿼리를 사용하여 Microsoft Defender XDR 및 Microsoft Sentinel 데이터를 헌팅할 수 있습니다.
작업 영역을 연결한 후 처음으로 고급 헌팅 페이지를 열면 스키마 탭 아래의 Microsoft Defender XDR 테이블 다음에 솔루션별로 구성된 해당 작업 영역의 많은 테이블을 찾을 수 있습니다.
마찬가지로 함수 탭에서 Microsoft Sentinel 함수를 찾을 수 있으며 Microsoft Sentinel 공유 및 샘플 쿼리는 Sentinel 표시된 폴더 내의 쿼리 탭에서 찾을 수 있습니다.
스키마 정보 보기
스키마 테이블에 대해 자세히 알아보려면 스키마 탭 아래의 스키마 테이블 이름 오른쪽에 있는 세로 타원(
)을 선택한 다음 스키마 보기를 선택합니다.
통합 포털에서 스키마 열 이름 및 설명을 보는 것 외에도 다음을 볼 수도 있습니다.
- 샘플 데이터 – 다음과 같은 간단한 쿼리를 로드하는 미리 보기 데이터 보기를 선택합니다.
TableName | take 5 - 스키마 유형 – 테이블이 전체 쿼리 기능(고급 테이블)을 지원하는지 여부(기본 로그 테이블)
- 데이터 보존 기간 - 데이터가 유지되도록 설정된 기간
- 태그 – Sentinel 데이터 테이블에 사용할 수 있음
알려진 문제
- 테이블이
IdentityInfo tableDefender XDR 그대로 유지되므로IdentityInfo의 Microsoft Sentinel 사용할 수 없습니다. 이 테이블을 쿼리하는 분석 규칙과 같은 Microsoft Sentinel 기능은 Log Analytics 작업 영역을 직접 쿼리할 때 영향을 받지 않습니다. - Microsoft Sentinel
SecurityAlert테이블은 및AlertEvidence테이블로AlertInfo대체됩니다. 이 테이블은 모두 경고의 모든 데이터를 포함합니다. SecurityAlert는 스키마 탭에서 사용할 수 없지만 고급 헌팅 편집기를 사용하여 쿼리에서 계속 사용할 수 있습니다. 이 프로비저닝은 이 테이블을 사용하는 Microsoft Sentinel 기존 쿼리를 중단하지 않도록 합니다. - 단계별 헌팅 모드 및 작업 수행 기능은 Defender XDR 데이터에만 지원됩니다.
- 사용자 지정 검색에는 다음과 같은 제한 사항이 있습니다.
- 사용자 지정 검색은 Defender XDR 데이터를 포함하지 않는 KQL 쿼리에 사용할 수 없습니다.
- Microsoft Sentinel 데이터를 포함하는 검색에는 근 실시간 검색 빈도를 사용할 수 없습니다.
- Microsoft Sentinel 만들어 저장한 사용자 지정 함수는 지원되지 않습니다.
- Sentinel 데이터에서 엔터티 정의는 사용자 지정 검색에서 아직 지원되지 않습니다.
- 책갈피는 고급 헌팅 환경에서 지원되지 않습니다. Microsoft Sentinel > 위협 관리 > 헌팅 기능에서 지원됩니다.
- Defender XDR 테이블을 Log Analytics로 스트리밍하는 경우 및
TimeGenerated열 간에Timestamp차이가 있을 수 있습니다. 데이터가 48시간 후에 Log Analytics에 도착하는 경우 로 수집now()시 재정의됩니다. 따라서 이벤트가 발생한 실제 시간을 얻으려면 열을 사용하는Timestamp것이 좋습니다. - 고급 헌팅 쿼리에 대한 보안에 대한 Copilot를 묻는 메시지가 표시되면 현재 모든 Microsoft Sentinel 테이블이 지원되지 않을 수 있습니다. 그러나 이러한 테이블에 대한 지원은 나중에 예상할 수 있습니다.