연습 - Microsoft Sentinel을 사용하여 위협 헌팅

  • 20분

Contoso에서 일하는 보안 엔지니어인 여러분은 최근 Azure 구독에서 상당수의 VM(가상 머신)이 삭제된 것을 발견했습니다. 여러분은 삭제된 VM을 시뮬레이션하고 이 사건을 분석하여 Microsoft Sentinel에서 잠재적인 위협의 주요 요소를 이해해 보고자 합니다.

이 연습에서는 VM을 삭제하고, 위협 헌팅 쿼리를 관리하고, 책갈피를 사용하여 중요한 결과를 저장해 봅니다.

참고

이 연습을 완료하려면 모듈의 앞부분에서 설정 연습을 완료해야 합니다. 아직 완료하지 않았다면 지금 수행하세요.

VM 삭제

이 작업에서는 규칙 탐지 및 인시던트 만들기를 테스트하기 위해 VM을 삭제합니다.

  1. Azure Portal에서 가상 머신을 검색하여 선택합니다.
  2. 가상 머신 페이지에서 simple-vm으로 레이블이 지정된 가상 머신 옆의 확인란을 선택하고 도구 모음에서 삭제를 선택합니다.
  3. 리소스 삭제 창에서 삭제를 확인한 다음 삭제를 선택합니다.

Microsoft Sentinel 위협 헌팅 쿼리 관리

이 작업에서는 위협 헌팅 쿼리를 만들고 관리하여 이전 작업의 VM 삭제와 관련 있는 이벤트를 검토합니다. VM을 삭제한 후에 이 이벤트가 Microsoft Sentinel에 나타나기까지 최대 5분이 걸릴 수 있습니다.

  1. Azure Portal에서 Microsoft Sentinel을 검색하여 선택한 다음, 이전에 만든 Sentinel 작업 영역을 선택합니다.

  2. Microsoft Sentinel 페이지, 메뉴 모음의 위협 관리 섹션에서 헌팅을 선택합니다.

  3. 헌팅 페이지에서 쿼리 탭을 선택합니다. 그런 다음 새 쿼리를 선택합니다.

  4. 사용자 지정 쿼리 만들기 페이지에서 다음 입력을 제공한 후 만들기를 선택합니다.

    • 이름: Deleted VMs를 입력합니다.

    • 설명: 규칙이 수행하는 작업을 다른 보안 분석가가 이해할 수 있도록 자세한 설명을 입력합니다.

    • 사용자 지정 쿼리: 다음 코드를 입력합니다.

        AzureActivity
  | where OperationName == 'Delete Virtual Machine'
  | where ActivityStatus == 'Accepted'
  | extend AccountCustomEntity = Caller
  | extend IPCustomEntity = CallerIpAddress

    • 기법: 영향을 선택합니다.

  5. 헌팅 페이지의 쿼리 탭에서 쿼리 필드 검색삭제된 VM을 입력합니다.

  6. 쿼리 목록에서 삭제된 VM 옆의 별 아이콘을 선택하여 해당 쿼리를 즐겨찾기로 표시합니다.

  7. 삭제된 VM 쿼리를 선택합니다. 세부 정보 창에서 결과 보기를 선택합니다.

    참고

    삭제된 VM 이벤트가 Microsoft Sentinel로 전송될 때까지 최대 15분이 걸릴 수 있습니다. VM 삭제 이벤트가 표시되지 않는다면 결과 탭에서 주기적으로 쿼리를 실행해 볼 수 있습니다.

  8. 로그 페이지의 결과 섹션에서 표시된 이벤트를 선택합니다. "action": "Microsoft.Compute/virtualMachines/delete"권한 부여 열에 표시되어 있을 것입니다. 이것은 VM이 삭제되었음을 나타내는 Azure 활동 로그의 이벤트입니다.

  9. 다음 작업의 진행을 위해 이 페이지를 나가지 마세요.

책갈피를 사용하여 주요 결과 저장하기

이 작업에서는 책갈피를 사용하여 이벤트를 저장하고 더 많은 헌팅을 진행합니다.

  1. 로그 페이지의 결과 섹션에서 나열된 이벤트 옆의 확인란을 선택합니다. 그런 다음, 책갈피 추가를 선택합니다.
  2. 책갈피 추가 창에서 만들기를 선택합니다.
  3. 페이지 상단의 사이트 이동 경로에서 Microsoft Sentinel을 선택합니다.
  4. 헌팅 페이지에서 책갈피 탭을 선택합니다.
  5. 책갈피 목록에서 삭제된 VM으로 시작하는 책갈피를 선택합니다.
  6. 세부 정보 페이지에서 조사를 선택합니다.
  7. 조사 페이지에서 삭제된 VM을 선택하고 인시던트의 세부 정보를 확인합니다.
  8. 조사 페이지에서 사용자를 나타내는 그래프의 엔터티를 선택합니다. 이것은 사용자 계정이며 VM을 삭제했음을 나타냅니다.

결과

이 연습에서는 VM을 삭제하고, 위협 헌팅 쿼리를 관리하고, 책갈피를 사용하여 중요한 결과를 저장했습니다.

Azure 리소스 정리

이 연습에서 만든 Azure 리소스 사용을 마친 후에는 비용이 청구되지 않도록 리소스를 삭제하세요.

  1. Azure Portal에서 리소스 그룹을 검색합니다.
  2. 리소스 그룹을 선택합니다.
  3. 머리글 표시줄에서 리소스 그룹 삭제를 선택합니다.
  4. 리소스 그룹 이름 입력 필드에 리소스 그룹의 이름을 입력하고 삭제를 선택합니다.