고급 헌팅 탐색
고급 헌팅은 최대 30일의 원시 데이터를 탐색할 수 있는 쿼리 기반 위협 헌팅 도구입니다. 위협 지시기 및 엔터티를 찾기 위해 네트워크상의 이벤트를 미리 조사할 수 있습니다. 데이터에 유연하게 액세스하면 알려진 위협과 잠재적 위협 모두에 대한 헌팅을 제한 없이 수행할 수 있습니다.
동일한 위협 헌팅 쿼리를 사용하여 사용자 지정 탐지 규칙을 빌드할 수 있습니다. 이러한 규칙은 자동으로 실행되어 의심되는 위반 활동, 잘못 구성된 머신 및 기타 결과를 확인한 후 대응합니다. 고급 헌팅 기능은 다음의 보다 광범위한 데이터 세트를 확인하는 쿼리를 지원합니다.
엔드포인트에 대한 Microsoft Defender
Office 365용 Microsoft Defender
Microsoft Defender for Cloud 앱
Microsoft Defender for Identity
고급 헌팅을 사용하려면 Microsoft Defender XDR을 켭니다.
데이터 신선도와 빈도 업데이트
고급 헌팅 데이터는 서로 다르게 통합된 두 가지 유형으로 분류할 수 있습니다.
이벤트 또는 활동 데이터 - 경고, 보안 이벤트, 시스템 이벤트, 일상적인 평가에 대한 테이블을 채웁니다. 고급 헌팅은 대상 데이터를 수집하는 센서가 해당 클라우드 서비스에 해당 데이터를 정상적으로 송신하자마자 해당 데이터를 수신합니다. 예를 들어 워크스테이션 또는 도메인 컨트롤러의 정상 센서에서 발생한 이벤트 데이터를 엔드포인트용 Microsoft Defender 및 Microsoft Defender for Identity에서 사용할 수 있게 되는 즉시 쿼리할 수 있습니다.
엔터티 데이터 - 테이블을 사용자 및 디바이스에 대한 정보로 채웁니다. 해당 데이터는 Active Directory 항목 및 이벤트 로그와 같은 비교적 정적 데이터 소스와 동적 소스 모두에서 제공됩니다. 새 데이터를 제공하기 위해 테이블은 완전히 채워지지 않을지도 모르는 행을 추가하여 15분마다 새 정보로 업데이트됩니다. 24시간마다 데이터를 통합하여 각 엔터티에 대한 가장 포괄적인 최신 데이터 세트가 들어 있는 레코드를 삽입합니다.
표준 시간대
고급 헌팅의 시간 정보는 UTC 영역에 있습니다.
데이터 스키마
고급 헌팅 스키마는 이벤트 정보나 디바이스, 경고, ID, 기타 엔터티 형식에 대한 정보를 제공하는 여러 테이블로 구성됩니다. 여러 테이블에 걸친 쿼리를 효과적으로 작성하려면 고급 헌팅 스키마의 테이블 및 열을 이해해야 합니다.
스키마 정보 가져오기
쿼리를 생성하는 동안 기본 제공 스키마 참조를 사용하여 스키마의 각 테이블에 대한 다음 정보를 신속하게 가져옵니다.
테이블 설명-테이블에 포함된 데이터 형식 및 해당 데이터의 원본
열-테이블의 모든 열
작업 유형-테이블에서 지원되는 이벤트 유형을 나타내는 ActionType 열의 가능한 값. 이 정보는 이벤트 정보를 포함하는 테이블에 대해서만 제공됩니다.
샘플 쿼리-테이블을 활용할 수 있는 방법을 보여 주는 예제 쿼리
스키마 참조에 액세스
스키마 참조에 빠르게 액세스하려면 스키마 표현의 테이블 이름 옆에 있는 참조 보기 작업을 선택합니다. 스키마 참조를 선택하여 테이블을 검색할 수도 있습니다.
스키마 테이블에 대해 알아보기
다음 참조는 스키마의 모든 테이블을 나열합니다. 각 테이블 이름은 해당 테이블의 열 이름을 설명하는 페이지에 연결됩니다. 테이블 및 열 이름은 고급 헌팅 화면에서 스키마 표현의 일부로 보안 센터에도 나열됩니다.
| 테이블 이름 | 설명 |
|---|---|
| AlertEvidence | 경고와 연결된 파일, IP 주소, URL, 사용자 또는 디바이스 |
| AlertInfo | 엔드포인트용 Microsoft Defender, Office 365용 Microsoft Defender, Microsoft Cloud App Security 및 Microsoft Defender for Identity의 경고(심각도 정보 및 위협 분류 포함) |
| CloudAppEvents | Office 365 및 기타 클라우드 앱 및 서비스의 계정 및 개체와 관련된 이벤트 |
| DeviceEvents | Windows Defender 바이러스 백신 및 악용 방지와 같은 보안 제어가 트리거한 이벤트를 포함하는 다양한 이벤트 유형 |
| DeviceFileCertificateInfo | 엔드포인트의 인증서 확인 이벤트로부터 획득한 서명 파일의 인증서 정보 |
| DeviceFileEvents | 파일 생성, 수정, 기타 파일 시스템 이벤트 |
| DeviceImageLoadEvents | DLL 로드 이벤트 |
| DeviceInfo | 머신 정보(OS 정보 포함) |
| DeviceLogonEvents | 디바이스의 로그인 및 기타 인증 이벤트 |
| DeviceNetworkEvents | 네트워크 연결 및 관련 이벤트 |
| DeviceNetworkInfo | 물리적 어댑터, IP 및 MAC 주소, 연결된 네트워크 및 도메인을 비롯한 디바이스의 네트워크 속성 |
| DeviceProcessEvents | 프로세스 생성 및 관련 이벤트 |
| DeviceRegistryEvents | 레지스트리 항목 생성 및 수정 |
| DeviceTvmSecureConfigurationAssessment | 디바이스 내 다양한 보안 구성 상태를 나타내는 위협 및 취약성 관리 평가 이벤트 |
| DeviceTvmSecureConfigurationAssessmentKB | 위협 및 취약성 관리가 디바이스를 평가하기 위해 사용하는 다양한 보안 구성 관련 기술 자료로, 다양한 표준 및 벤치마크에 대한 매핑 포함 |
| DeviceTvmSoftwareInventory | 디바이스에 설치된 소프트웨어의 인벤토리(버전 정보 및 지원 종료 상태 포함) |
| DeviceTvmSoftwareVulnerabilities | 디바이스에서 발견된 소프트웨어 취약성 및 각 취약성을 해결하는 사용 가능한 보안 업데이트 목록 |
| DeviceTvmSoftwareVulnerabilitiesKB | 악용 코드의 공개적 활용 가능성 등 대중에게 공개된 취약성 관련 기술 자료 |
| EmailAttachmentInfo | 메일에 첨부된 파일에 대한 정보 |
| EmailEvents | 메일 전송 및 차단 이벤트를 비롯한 Microsoft 365 메일 이벤트 |
| EmailPostDeliveryEvents | Microsoft 365가 받는 사람 사서함에 메일을 전송한 후에 발생하는 보안 이벤트 |
| EmailUrlInfo | 메일의 URL에 대한 정보 |
| IdentityDirectoryEvents | AD(Active Directory)를 실행하는 온-프레미스 도메인 컨트롤러를 포함하는 이벤트입니다. 이 표에서는 도메인 컨트롤러에서 ID 관련 이벤트 및 시스템 이벤트의 범위를 설명합니다. |
| IdentityInfo | Microsoft Entra ID를 비롯한 다양한 원본의 계정 정보 |
| IdentityLogonEvents | Active Directory 및 Microsoft 온라인 서비스의 인증 이벤트 |
| IdentityQueryEvents | 사용자, 그룹, 디바이스 및 도메인과 같은 Active Directory 개체에 대한 쿼리 |
사용자 지정 검색
사용자 지정 검색을 통해 의심스러운 위반 활동 및 잘못 구성된 엔드포인트를 포함하여 다양한 이벤트 및 시스템 상태를 사전에 모니터링하고 응답할 수 있습니다. 경고 및 응답 작업을 자동으로 트리거하는 사용자 지정 가능한 탐지 규칙을 사용하여 이 작업을 수행할 수 있습니다.
사용자 지정 검색은 네트워크의 광범위한 이벤트 및 시스템 정보를 포함하는 강력하고 유연한 쿼리 언어를 제공하는 고급 헌팅을 통해 작동합니다. 정기적으로 실행되고 경고를 생성하고 일치하는 항목이 있을 때마다 응답 작업을 수행하도록 설정할 수 있습니다.
사용자 지정 검색은 다음을 제공합니다.
고급 헌팅 쿼리에서 작성된 규칙 기반 검색 관련 경고
파일 및 디바이스에 적용되는 자동 응답 작업
검색 규칙 작성
검색 규칙을 작성하는 방법:
1. 쿼리를 준비합니다.
Microsoft Defender 보안 센터에서 고급 헌팅으로 이동하여 기존 쿼리를 선택하거나 새 쿼리를 생성합니다. 새 쿼리를 사용하는 경우 쿼리를 실행하여 오류를 파악하고 가능한 결과를 이해합니다.
중요
서비스가 너무 많은 경고를 반환하는 것을 방지하기 위해 각 규칙은 실행될 때마다 경고를 100건씩만 생성하도록 제한됩니다. 규칙을 생성 전에, 일반적이고 일상적인 활동에 대한 경고를 방지하기 위해 쿼리를 조정합니다.
사용자 지정 검색 규칙에 쿼리를 사용하려면 쿼리는 다음 열을 반환해야 합니다.
타임스탬프
DeviceId
ReportId
프로젝트 또는 요약 연산자를 사용하지 않고 결과를 사용자 지정하거나 집계하는 등의 간단한 쿼리는 일반적으로 이러한 공통 열을 반환합니다.
더 복잡한 쿼리가 이러한 열을 반환하도록 하는 다양한 방법이 있습니다. 예를 들어 DeviceId로 집계하고 세는 것을 선호하는 경우에도 각 디바이스와 관련된 최신 이벤트에서 Timestamp 및 ReportId를 가져와서 반환할 수 있습니다.
아래의 샘플 쿼리는 바이러스 백신 검색을 사용하는 고유 디바이스(DeviceId) 수를 계산하고 이를 사용하여 5개 이상의 검색을 사용하는 디바이스만 찾습니다. 최신 Timestamp와 해당 ReportId를 반환하기 위해 arg_max 함수를 통해 요약 연산자를 사용합니다.
DeviceEvents
| where Timestamp > ago(7d)
| where ActionType == "AntivirusDetection"
| summarize (Timestamp, ReportId)=arg_max(Timestamp, ReportId), count() by DeviceId
| where count_ > 5
2. 새 규칙을 만들고 경고 세부 정보를 제공합니다.
쿼리 편집기에서 쿼리를 사용하여, 검색 규칙 생성를 선택하고 경고 세부 정보를 다음과 같이 지정합니다.
검색 이름 - 검색 규칙의 이름입니다.
빈도-쿼리를 실행하고 작업을 수행하는 간격입니다. 추가 설명은 아래를 참조하세요.
경고 제목 - 규칙에 따라 트리거되는 경고와 함께 표시되는 제목입니다.
심각도 - 규칙에 따라 파악된 구성 요소나 활동의 잠재적 위험입니다.
범주 - 위협 구성 요소 또는 활동이 존재하는 경우 해당 항목의 유형입니다.
MITRE ATT&CK 기술 - MITRE ATT&CK 프레임워크에 기록된 대로 규칙에 따라 파악된 하나 이상의 공격 기술. 해당 섹션은 맬웨어, 랜섬웨어, 의심스러운 활동, 사용자 동의 없이 설치된 소프트웨어와 같은 특정 경고 범주에서 사용할 수 없습니다.
설명 - 규칙에 따라 파악된 구성 요소 또는 작업에 대한 자세한 정보
권장 작업 - 경고에 대응하여 응답기가 수행할 수 있는 추가 작업
3. 규칙 빈도
저장하면 새 사용자 지정 검색 규칙이 즉시 실행되어 지난 30일간의 데이터와 일치하는지 확인합니다. 그런 뒤에는 규칙이 고정된 간격으로 다시 실행되고 다음과 같이 선택한 빈도에 따라 기간이 룩백됩니다.
매 24시간 - 지난 30일 동안의 데이터를 확인하며 24시간마다 실행됩니다.
12시간마다 - 지난 48시간의 데이터를 검사 12시간마다 실행됩니다.
3시간마다 - 지난 12시간의 데이터를 검사 3시간마다 실행됩니다.
매시간 - 지난 4시간의 데이터를 검사 매시간 실행됩니다.
연속(NRT) - NRT(거의 실시간으로 수집 및 처리됨)로 이벤트의 데이터를 검사 지속적으로 실행됩니다.
검색을 모니터링하려는 빈도와 일치하는 빈도를 선택하고 경고에 대응하는 조직의 역량을 고려합니다.
참고 항목
NRT(연속) 빈도로 실행되도록 사용자 지정 검색을 설정하면 위협을 더 빠르게 식별하는 조직의 기능을 높일 수 있습니다.
4. 영향을 받는 엔터티를 선택합니다.
주로 영향을 받는 엔터티 또는 영향을 받는 엔터티를 찾을 것으로 기대되는 쿼리 결과의 열을 파악합니다. 예를 들어 쿼리는 디바이스 및 사용자 ID를 모두 반환할 수 있습니다. 주로 영향을 받는 엔터티를 표시하는 이러한 열을 파악하면 서비스에서 관련 경고를 집계하고 인시던트를 연결하고 대상 응답 작업을 수행할 수 있습니다.
각 엔터티 형식에 대해 하나의 열만 선택할 수 있습니다. 쿼리가 반환하지 않은 열은 선택할 수 없습니다.
5. 작업을 지정합니다.
사용자 지정 검색 규칙은 쿼리에서 반환하는 파일 또는 디바이스에 대한 작업을 자동으로 수행할 수 있습니다.
디바이스 관련 작업
해당 작업은 쿼리 결과의 DeviceId 열에 있는 디바이스에 적용됩니다.
디바이스 격리 - 전체 네트워크 격리를 적용하여 디바이스가 엔드포인트용 Defender 서비스를 제외한 애플리케이션이나 서비스에 연결하지 못하도록 합니다.
조사 패키지 수집 - ZIP 파일에서 디바이스 정보를 수집합니다.
바이러스 검사 실행 - 디바이스에 전체 Microsoft Defender 바이러스 백신 검사를 수행합니다.
조사 시작 - 디바이스에 자동 조사를 시작합니다.
파일 관련 작업
해당 작업은 쿼리 결과의 SHA1 또는 InitiatingProcessSHA1 열에 있는 파일에 적용됩니다.
허용/차단 - 사용자 지정 지표 목록에 파일을 자동으로 추가하므로 항상 실행되거나 실행이 차단됩니다. 선택한 디바이스 그룹에서만 사용되도록 해당 작업의 범위를 설정할 수 있습니다. 해당 범위는 규칙의 범위에 종속되지 않습니다.
파일 격리 - 현재 위치에서 파일을 삭제하고 복사본을 격리하여 배치합니다.
6. 규칙 범위를 설정합니다.
범위를 설정하여 규칙을 적용할 디바이스를 지정합니다.
All 디바이스
특정 디바이스 그룹
범위 내 디바이스의 데이터만 쿼리됩니다. 작업 또한 해당 디바이스에서만 수행됩니다.
7. 규칙을 검토하고 활성화합니다.
규칙을 검토 후, 생성를 선택하여 저장합니다. 사용자 지정 검색 규칙이 즉시 실행됩니다. 구성된 빈도에 따라 다시 실행되어 일치 항목을 확인하고 경고를 생성하고 응답 작업을 수행합니다.