분석 규칙 관리
분석 규칙 관리
노이즈를 조정하고 검색된 더 중요한 위협을 필터링하려면 분석 규칙을 지속적으로 관리해야 합니다. 이렇게 하면 잠재적 보안 위협을 검색하는 규칙의 효과와 효율성을 유지할 수 있습니다.
기존 활성 규칙에 대해 다음 네 가지 작업을 수행할 수 있습니다.
편집
사용 안 함
중복
DELETE
규칙 편집
세부 정보 창에서 편집을 선택하여 기존 규칙을 수정할 수 있습니다. 규칙을 편집하려면 규칙을 만들 때 사용한 것과 동일한 페이지를 탐색합니다. 규칙을 만들 때 사용한 이전 입력이 보존되어 있습니다. 규칙의 속성을 변경하여 위협 검색의 결과를 추가로 조정할 수 있습니다.
구현할 일반적인 수정은 이미 검색된 위협에 자동화된 대응을 연결하는 것입니다. 이렇게 하려면 자동화된 대응 페이지에서 위협 검색 시 실행될 자동화된 작업을 정의하는 기존 플레이북 중 하나를 선택하면 됩니다.
예를 들어 분석 규칙이 이미 해결된 인시던트를 검색 중이고 사용자는 비슷한 활동이 발생하는 경우의 추가 경고를 줄이려고 할 수 있습니다. 자동화된 작업이 포함된 플레이북을 연결하면 비슷한 인시던트가 검색될 때 인시던트 상태를 변경하거나 주석을 추가할 수 있습니다.
규칙 사용 안 함
규칙 경고를 트리거할 수 있는 활동을 수행할 때 규칙을 사용하지 않도록 설정할 수 있습니다. 사용하지 않도록 설정된 규칙은 해당 구성을 유지하며, 나중에 다시 사용하도록 설정할 수 있습니다.
규칙 복제
규칙을 복제하면 원래 규칙에서 제공된 모든 구성이 규칙에 포함됩니다. 요구 사항에 따라 구성을 추가로 수정할 수 있습니다. 복제된 규칙의 이름은 기본적으로 문자열 copy가 뒤에 추가된 원래 규칙 이름과 같으므로 복제된 규칙의 이름을 변경해야 합니다.
규칙 삭제
규칙을 삭제하면 Microsoft Sentinel Analytics가 활성 규칙 집합에서 규칙을 제거하기 전에 확인 메시지가 표시됩니다. 예를 들어 사용하지 않는 서비스나 리소스에 대한 규칙을 삭제하여 규칙의 필요성을 없앨 수 있습니다. 규칙 삭제는 영구적이며 실행 취소 기능이 없습니다. 따라서 규칙이 필요 없다고 확신할 때까지 일정 기간 동안 규칙을 사용하지 않도록 설정하는 것이 좋습니다.