책갈피를 사용하여 주요 결과 저장하기
여러분은 Contoso 환경의 위협을 헌팅하기 위해 다량의 로그 데이터를 검토하여 악의적인 동작의 증거가 있는지 살펴보아야 합니다. 이 과정에서 잠재적인 가설을 검증하고 보안 유출의 전체적인 그림을 파악하기 위해 기억해 두고, 나중에 다시 참조하고, 분석하고 싶은 이벤트를 발견하게 될 수 있습니다.
책갈피를 사용하여 헌팅
Microsoft Sentinel의 책갈피를 사용하면 위협 헌팅에 도움이 되도록, 이미 실행한 쿼리 및 관련성이 있다고 판단되는 쿼리 결과를 저장할 수 있습니다. 컨텍스트에 따른 관찰 내용을 기록하고 메모와 태그를 추가하여 결과를 참조할 수도 있습니다. 책갈피가 설정된 데이터는 손쉬운 협업을 위해 본인과 팀 동료가 볼 수 있습니다.
언제든지 헌팅 창의 책갈피 탭에서 책갈피가 설정된 데이터를 다시 확인할 수 있습니다. 필터링 및 검색 옵션을 사용하면 현재 진행 중인 조사를 위해 빠르게 특정 데이터를 찾을 수 있습니다. 또는 Log Analytics 작업 영역의 HuntingBookmark 테이블에서 직접 책갈피가 설정된 데이터를 검토할 수도 있습니다.
참고
책갈피가 설정된 이벤트는 표준 이벤트 정보를 포함하지만, Microsoft Sentinel 인터페이스 전반에서 다양한 방법으로 사용할 수 있습니다.
책갈피를 사용하여 인시던트 만들기 또는 인시던트에 추가하기
책갈피를 사용하여 새 인시던트를 만들 수도 있고 기존 인시던트에 책갈피가 설정된 쿼리 결과를 추가할 수도 있습니다. 도구 모음의 인시던트 동작 단추를 사용하면 책갈피를 선택하여 이 두 가지 작업 중 하나를 수행할 수 있습니다.
책갈피에서 만든 인시던트는 Microsoft Sentinel에서 만들어진 다른 인시던트와 함께 인시던트 페이지에서 관리할 수 있습니다.
조사 그래프를 사용하여 책갈피 살펴보기
책갈피는 Microsoft Sentinel에서 인시던트를 조사하는 것과 같은 방법으로 조사할 수 있습니다. 헌팅 페이지에서 조사를 선택하여 해당 인시던트의 조사 그래프를 엽니다. 조사 그래프는 공격과 관련된 엔터티와 해당 엔터티 간의 관계를 파악하는 데 도움이 되는 시각적 도구입니다. 시간이 지나면서 여러 경고가 인시던트에 포함되는 경우 경고 간의 상관 관계와 경고 타임라인을 검토할 수도 있습니다.
엔터티 세부 정보 검토하기
그래프의 각 엔터티를 선택하여 전체 컨텍스트 정보를 확인할 수 있습니다. 이 정보에는 다른 엔터티, 계정 사용 및 데이터 흐름 정보에 대한 관계가 포함됩니다. 각 정보 영역에 대해 Log Analytics의 관련 이벤트로 이동하여 관련 경고 데이터를 그래프에 추가할 수 있습니다.
책갈피 세부 정보 검토하기
그래프에서 책갈피 항목을 선택하여 책갈피의 보안 및 환경 컨텍스트와 관련된 중요한 책갈피 메타데이터를 확인할 수 있습니다.
다음 질문에 대해 가장 적절한 답을 선택하세요.