위협 헌팅 쿼리 만들기 및 관리 살펴보기

  • 10분

Microsoft Sentinel에는 보안 운영 센터 팀의 일원인 여러분이 Contoso 환경에서 보안 위협 및 원치 않는 활동을 찾아서 격리할 수 있도록 도와주는 강력한 쿼리 도구가 포함되어 있습니다.

기본 제공 쿼리를 사용하여 헌팅

Microsoft Sentinel의 검색 및 쿼리 도구를 사용하여 환경 전반에서 보안 위협 및 기법을 헌팅할 수 있습니다. 이 도구들을 사용하면 다량의 이벤트 및 보안 데이터 원본을 필터링하여 잠재적인 위협을 파악하거나 알려진 위협 또는 예상되는 위협을 추적할 수 있습니다.

Microsoft Sentinel의 헌팅 페이지에는 기본 제공하는 쿼가 있어 헌팅 프로세스를 진행하고 적절한 헌팅 경로에 따라 환경에 있는 문제를 찾아낼 수 있습니다. 헌팅 쿼리는 그 자체로는 경고를 발생시킬 만큼 중요하지 않지만 시간에 따라 충분히 자주 발생하여 조사가 필요한 문제를 노출할 수 있습니다.

Microsoft Sentinel의 헌팅 페이지를 보여 주는 스크린샷

헌팅 페이지에서는 모든 헌팅 쿼리를 목록으로 보여 줍니다. 이름, 공급자, 데이터 원본, 결과 및 기법을 기준으로 쿼리를 필터링 및 정렬할 수 있습니다. 목록에 있는 쿼리의 즐겨찾기 별 아이콘을 선택하여 쿼리를 저장할 수 있습니다.

즐겨찾기로 선택한 쿼리는 헌팅 페이지를 열 때마다 자동으로 실행됩니다.

헌팅 쿼리 관리하기

목록에서 쿼리를 선택하면 쿼리에 대한 설명, 코드 및 기타 정보가 포함된 새 창에 쿼리 세부 정보가 표시됩니다. 이 정보에는 관련된 엔터티 및 식별된 기법이 포함됩니다. 세부 정보 창에서 쿼리 실행을 선택하여 쿼리를 대화형으로 실행할 수 있습니다.

MITRE ATT&CK 프레임워크를 사용하여 위협 헌팅

Microsoft Sentinel은 MITRE ATT&CK 프레임워크를 사용하여 기법을 기준으로 쿼리를 분류하고 순서를 지정합니다. ATT&CK은 글로벌 위협 환경에서 사용되고 관측되는 전술 및 기법 기술 자료입니다. MITRE ATT&CK을 사용하여 Microsoft Sentinel의 위협 헌팅 모델과 방법을 개발하고 뒷받침할 수 있습니다. Microsoft Sentinel에서 위협을 헌팅할 때 ATT&CK 프레임워크를 사용하여 분류하고 MITRE ATT&CK 기법 타임라인을 사용하여 쿼리를 실행할 수 있습니다.

참고 항목

헌팅 페이지의 타임라인에서 개별 MITRE ATT&CK 기법을 선택할 수 있습니다.

Microsoft Sentinel 헌팅 페이지의 기법 타임라인 스크린샷

기법을 선택하면 선택한 기법을 기준으로 사용 가능한 쿼리가 필터링됩니다. 다음의 헌팅 전술은 다음과 같은 ATT&CK Enterprise 및 ICS(산업 제어 시스템) 매트릭스에서 가져옵니다.

  • 정찰. 악의적 사용자가 향후 작업을 계획하는 데 사용할 수 있는 정보를 찾는 데 사용하는 전략입니다.
  • 리소스 개발. 악의적 사용자가 작업을 지원하는 데 사용할 수 있는 리소스를 수립하는 데 사용하는 전략입니다. 리소스에는 인프라, 계정 또는 기능이 포함됩니다.
  • 초기 액세스. 악의적 사용자가 퍼블릭 시스템에서 취약성 또는 구성 약점을 악용하여 네트워크에 진입하는 데 사용하는 기법입니다. 대상 스피어 피싱을 예로 들 수 있습니다.
  • 실행. 악의적 사용자가 대상 시스템에서 코드를 실행하는 결과로 이어지는 기법입니다. 예를 들어 악의적인 해커가 PowerShell 스크립트를 실행하여 추가 공격자 도구를 다운로드하거나 다른 시스템을 검사할 수 있습니다.
  • 지속성. 다시 시작 및 자격 증명 변경이 이루어진 후에도 악의적 사용자가 대상 시스템에 대한 액세스 권한을 유지하도록 해 주는 기법입니다. 지속성 기법의 한 가지 예로 공격자가 특정 시간에 또는 다시 시작 시에 코드를 실행하는 예약된 작업을 만드는 것을 들 수 있습니다.
  • 권한 상승. 악의적 사용자가 시스템에서 더 높은 수준의 권한(예: 로컬 관리자 또는 루트)을 얻기 위해 사용하는 기법입니다.
  • 방어 우회. 공격자가 탐지를 피하기 위해 사용하는 기법입니다. 우회 기법에는 신뢰할 수 있는 프로세스 및 폴더에 악의적인 코드 숨기기, 악의적인 코드를 암호화하거나 난독 처리하기, 보안 소프트웨어를 비활성화하기 등이 있습니다.
  • 자격 증명 액세스. 사용자 이름과 자격 증명을 사취하여 재사용하기 위해 시스템과 네트워크에 배포되는 기법입니다.
  • 발견. 악의적 사용자가 악용하거나 전술적 우위로 사용할 시스템 및 네트워크에 대한 정보를 얻기 위해 사용하는 기법입니다.
  • 수평 이동. 공격자가 네트워크 내에서 하나의 시스템에서 다른 시스템으로 이동할 수 있도록 해 주는 기법입니다. 일반적으로 사용되는 기법에는 사용자를 인증하는 pass-the-hash 방법과 원격 데스크톱 프로토콜의 악용이 있습니다.
  • 수집. 악의적 사용자가 자신의 목표에 따라 대상을 지정한 정보를 수집하고 통합하는 데 사용하는 기법입니다.
  • 명령 및 제어. 공격자가 자신이 통제한 시스템과 통신하는 데 사용하는 기법입니다. 한 가지 예로 공격자가 보안 어플라이언스 또는 프록시의 탐지를 우회하기 위해 자주 사용되지 않거나 번호가 높은 포트를 통해 시스템과 통신하는 경우를 들 수 있습니다.
  • 반출. 손상된 네트워크에서 공격자의 완전한 통제하에 있는 시스템 또는 네트워크로 데이터를 이동하는 데 사용하는 기법입니다.
  • 영향. 공격자가 시스템, 네트워크 및 데이터의 가용성에 영향을 주기 위해 사용하는 기법입니다. 이 범주에 포함된 방법에는 서비스 거부 공격, 디스크 지우기 또는 데이터 지우기 소프트웨어 등이 포함됩니다.
  • 프로세스 제어 손상. 악의적 사용자가 물리적 제어 프로세스를 조작, 비활성화 또는 손상시키려고 할 때 사용하는 전략입니다.
  • 반응 함수 금지. 악의적 사용자가 안전, 보호, 품질 보증 및 운영자 개입 기능이 고장, 위험 또는 안전하지 않은 상태에 반응하는 것을 방지하기 위해 사용하는 전략입니다.
  • 없음.

사용자 지정 쿼리를 만들어서 위협 헌팅 구체화하기

모든 Microsoft Sentinel 헌팅 쿼리는 Log Analytics에서 사용되는 KQL(Kusto Query Language)을 사용합니다. 세부 정보 창에서 쿼리를 수정하고 새 쿼리를 실행할 수 있습니다. 또는 Microsoft Sentinal 작업 영역에서 다시 사용할 수 있는 새 쿼리로 저장할 수 있습니다.

KQL 코드를 사용하여 자체 사용자 지정 쿼리를 만들어서 위협을 헌팅할 수도 있습니다.

Microsoft Sentinal에서 사용자 지정 쿼리를 만들기 위한 페이지를 보여주는 스크린샷

사용자 지정 쿼리를 사용하면 다음을 정의할 수 있습니다.

쿼리 매개 변수 Description
Name 사용자 지정 쿼리의 이름을 제공합니다.
Description 쿼리 기능에 대한 설명을 제공합니다.
사용자 지정 쿼리 이는 KQL 헌팅 쿼리입니다.
엔터티 매핑 엔터티 유형을 쿼리 결과의 열에 매핑하여 쿼리 결과를 더 많은 유용한 정보로 채웁니다. KQL 쿼리의 코드를 사용하여 엔터티를 매핑할 수도 있습니다.
전략 및 기술 쿼리가 노출하도록 설계된 기법을 지정합니다.

사용자 지정 쿼리는 용이한 관리를 위해 기본 제공 쿼리 옆에 표시됩니다.

GitHub에서 Microsoft Sentinel을 살펴봅니다.

Microsoft Sentinel 리포지토리에는 환경을 보호하고 위협을 헌팅하는 데 도움이 되도록 즉시 사용 가능한 탐지, 검색 쿼리, 헌팅 쿼리, 통합 문서, 플레이북을 비롯한 다양한 리소스가 포함되어 있습니다. Microsoft 및 Microsoft Sentinel 커뮤니티가 해당 리포지토리에 참여합니다.

리포지토리에는 헌팅 쿼리를 포함하여 Microsoft Sentinel 기능의 다양한 영역에 해당하는 참여 콘텐츠가 들어 있는 폴더가 포함되어 있습니다. 이러한 쿼리의 코드를 사용하여 Microsoft Sentinel 작업 영역에서 사용자 지정 쿼리를 만들 수 있습니다.

다음 질문에 대해 가장 적절한 답을 선택하세요.