기본 Microsoft Sentinel 통합 문서 사용
Microsoft Sentinel은 사용할 준비가 된 여러 템플릿을 제공합니다. 해당 템플릿을 사용하여 고유한 통합 문서를 만든 다음, Contoso에 맞게 수정할 수 있습니다.
Microsoft Sentinel 통합 문서
Microsoft Sentinel이 데이터를 수집하는 데 사용하는 대부분 데이터 커넥터는 자체 통합 문서와 함께 제공됩니다. 가로 막대형 차트와 원형 차트를 비롯한 테이블 및 시각화를 사용하여 수집되는 데이터에 대한 인사이트를 얻을 수 있습니다. 미리 정의된 템플릿을 사용하는 대신 처음부터 고유한 통합 문서를 만들 수도 있습니다.
통합 문서 페이지
탐색 창에서 Microsoft Sentinel의 통합 문서 페이지에 액세스할 수 있습니다. 통합 문서 페이지에서 새 통합 문서를 추가하고 사용할 수 있는 저장된 통합 문서 및 템플릿을 검토할 수 있습니다.
템플릿 탭에서 기존 통합 문서 템플릿에 액세스할 수 있습니다. 빠른 액세스를 위해 통합 문서 중 일부를 저장할 수 있습니다. 이러한 통합 문서는 내 통합 문서 탭에 표시됩니다.
템플릿 탭에서 기존 통합 문서를 선택하여 템플릿의 추가 정보를 포함하는 세부 정보 창을 표시할 수 있습니다. 세부 정보 창에는 Microsoft Sentinel에 연결해야 필수 데이터 형식 및 데이터 커넥터에 관한 정보도 포함됩니다. 보고서 표시 방법을 검토할 수도 있습니다.
기존 통합 문서 템플릿 검토
앞에서 언급한 대로 Contoso는 손상된 ID에 관해 우려하고 있습니다. 보안 관리자는 템플릿 섹션에서 템플릿을 선택하여 기존 Microsoft Entra 로그인 로그 통합 문서를 검토할 수 있습니다. 그런 다음, 세부 정보 창에서 템플릿 보기를 선택합니다.
Microsoft Entra 로그인 로그 통합 문서에는 Microsoft Entra ID의 로그인 활동에 관한 중요한 인사이트를 제공할 수 있는 미리 정의된 차트, 그래프 및 테이블이 포함됩니다. 사용자 로그인 및 위치, 메일 주소 및 사용자의 IP 주소에 관한 정보를 찾을 수 있습니다. 실패한 작업 및 실패를 트리거한 오류에 관한 정보를 검토할 수도 있습니다.
Microsoft Entra 로그인 로그 페이지에서 시간 범위를 확장하거나 Microsoft Entra ID에서 로그인 권한이 있는 앱과 사용자를 필터링할 수 있습니다. 예를 들어 Contoso는 Azure Portal에 로그인할 수 있는 사용자를 식별하려고 하므로 아래와 같이 데이터를 필터링할 수 있습니다.
Contoso는 실패한 로그인 시도를 식별하는 데 관심이 있습니다. 정보 타일을 선택하여 이러한 계정을 표시한 다음, 타일 또는 행을 선택하여 다음과 같은 추가 정보를 표시할 수 있습니다.
- 위치별 로그인. 이 섹션은 사용자가 Microsoft Entra ID에 로그인한 위치를 나타냅니다.
- 위치 로그인 세부 정보. 이 섹션에는 사용자, 로그인 상태 및 로그인 시도 시간이 표시됩니다.
- 디바이스별 로그인. 이 섹션에는 사용자가 Microsoft Entra ID에 로그인하는 데 사용한 디바이스가 나열됩니다.
- 디바이스 로그인 세부 정보. 이 섹션에는 특정 디바이스에서 로그인한 사용자 및 로그인한 시간이 표시됩니다.
백그라운드의 해당 정보 타일은 쿼리를 실행하고 Microsoft Entra 커넥터에서 수집된 데이터를 필터링하도록 구성됩니다. Microsoft Sentinel은 이후 테이블을 사용하여 더 의미 있고 사용자 로그인 시도에 관한 유용한 인사이트를 제공하는 수집된 데이터를 시각화하고 표시합니다.
통합 문서에는 조건부 액세스를 사용하여 로그인한 사용자를 나타내는 추가 타일이 포함됩니다. 조건부 액세스 상태 테이블에서 ID의 유효성을 검사하기 위해 다단계 인증이 필요한 사용자를 검토할 수 있습니다.
페이지의 나머지 부분에는 대화형 테이블 및 차트도 포함되어 있습니다. 표시되는 데이터를 필터링하려면 행 또는 타일 중 일부를 선택합니다. 일부 테이블은 다음 스크린샷에 표시된 대로 해당 로그의 링크를 사용하여 생성됩니다.
참고
빠른 검색을 위해 프라이빗 또는 공유 대시보드에 쿼리 단계를 고정할 수도 있습니다.
통합 문서에서 쿼리 편집
예를 들어 Contoso는 로그에서 실패한 사용자 로그인을 제공하는 자세한 정보를 검색하려고 합니다. 이들은 Microsoft Sentinel이 로그 쿼리를 수행하여 정보를 필터링하는 Azure Data Explorer로 리디렉션됩니다.
저장된 통합 문서 탐색
템플릿 페이지에서 템플릿 중 하나를 선택한 후 저장을 선택하여 기존 템플릿에서 통합 문서를 저장할 수 있습니다. 통합 문서를 저장할 위치를 제공해야 합니다. 이 프로세스를 통해 템플릿의 JSON 파일을 사용하여 템플릿을 기반으로 Azure 리소스가 만들어집니다.
저장된 통합 문서는 내 통합 문서 탭에서 사용할 수 있으며 여기서 통합 문서를 사용자 지정할 수 있습니다. 저장된 통합 문서 보기를 선택하여 저장된 통합 문서를 열 수 있습니다. 이렇게 하면 템플릿 통합 문서 페이지와 동일한 페이지가 열리지만 Contoso의 요구 사항에 따라 페이지를 사용자 지정할 수 있습니다.
편집을 선택하여 통합 문서를 편집 모드에서 엽니다. 항목을 추가 또는 제거하고 더 많은 사용자 지정을 제공할 수 있습니다. 편집 모드에는 읽기 모드에서 숨겨지는 단계와 매개 변수를 포함하여 통합 문서의 모든 콘텐츠가 표시됩니다.
편집 모드의 머리글 표시줄에는 다음 스크린샷에 표시되는 여러 옵션이 포함됩니다.
편집 모드로 전환하면 통합 문서의 개별 요소에 해당하는 여러 가지 편집 옵션이 표시됩니다. 해당 편집 옵션 중 하나를 선택하는 경우 Microsoft Sentinel이 해당 로그의 데이터를 필터링하는 데 사용하는 쿼리를 검토할 수 있습니다.
설정 아이콘을 선택하면 설정 페이지가 열립니다. 여기에서 통합 문서에서 사용할 추가 리소스를 제공할 수 있습니다. 통합 문서 스타일을 변경하거나, 태그를 지정하거나, 통합 문서에 항목을 고정할 수도 있습니다.
고정 옵션 표시를 선택하여 통합 문서에서 여러 테이블의 배치를 다시 정렬할 수 있습니다.
고급 사용자 지정의 경우 고급 편집기를 선택하여 현재 통합 문서의 JSON 표현을 연 다음, 텍스트 편집기에서 추가로 사용자 지정할 수 있습니다. 기존 통합 문서에 변경 내용을 저장하거나 다른 통합 문서로 저장할 수 있습니다. 모든 사용자 지정을 완료하면 편집 완료를 선택하여 편집 모드를 종료할 수 있습니다.
GitHub의 Microsoft Sentinel 리포지토리 살펴보기
Microsoft Sentinel 리포지토리에는 환경을 보호하고 위협을 탐지하는 데 도움이 되는 기본 제공 탐지, 검색 쿼리, 헌팅 쿼리, 통합 문서, 플레이북 등이 포함됩니다. Microsoft 및 Microsoft Sentinel 커뮤니티가 해당 리포지토리에 참여합니다.
리포지토리에는 탐지 쿼리를 포함하여 Microsoft Sentinel 기능의 다양한 영역에 해당하는 참여 콘텐츠가 들어 있는 폴더가 포함되어 있습니다. 이러한 쿼리의 코드를 사용하여 Microsoft Sentinel 작업 영역에서 사용자 지정 쿼리를 만들 수 있습니다.