동작 분석 이해
조직 내부의 위협 및 위협의 잠재적 영향(손상된 엔터티 또는 악의적인 내부자)을 식별하는 것은 항상 시간과 인력이 많이 소모되는 프로세스입니다. 경고를 선별하고, 점을 연결하고, 적극적으로 헌팅하는 경우 엄청난 시간과 노력의 소모에도 불구하고 결과는 저조합니다. 게다가, 검색을 회피할 정도의 정교한 위협 가능성도 존재합니다. 탐지가 어려운 제로 데이, 대상이 지정된 위협, 지능형 지속 위협은 조직에 매우 큰 위험을 초래할 수 있기 때문에 반드시 탐지해야 합니다.
Microsoft Sentinel의 엔터티 동작 기능은 분석가의 워크로드에서 이런 힘든 작업을 없애고 수행된 작업에 대한 불확실성도 해소합니다. 엔터티 동작 기능은 충실도가 높고 실행 가능한 인텔리전스를 제공하므로 조사와 수정에 집중할 수 있습니다.
Microsoft Sentinel은 연결된 모든 데이터 원본에서 로그 및 경고를 수집하고 조직의 엔터티(사용자, 호스트, IP 주소, 애플리케이션 등)의 기준 동작 프로필을 분석해 빌드합니다. 분석은 시간 및 피어 그룹 수평선에 걸쳐 있습니다. Microsoft Sentinel은 다양한 기술 및 기계 학습 기능을 사용하여 비정상적인 활동을 식별하여 자산의 손상 여부를 확인하는 데 활용됩니다. 그뿐만 아니라 특정 자산의 상대적인 민감도를 파악하고 자산의 피어 그룹을 식별하며 손상된 특정 자산의 잠재적 영향(‘blast radius’)을 평가할 수도 있습니다. 해당 정보를 사용하여 조사 및 침해 인시던트 처리의 우선 순위를 효과적으로 지정할 수 있습니다.
아키텍처 개요
보안 기반 분석
Microsoft에서는 UEBA 솔루션에 대한 Gartner의 패러다임을 채택했으며 Microsoft Sentinel은 세 가지 참조 프레임을 기반으로 하는 “외부-내부” 접근 방식을 제공합니다.
사용 사례: Microsoft Sentinel은 전술, 기술 및 하위 기술의 MITRE ATT&CK 프레임워크와 일치하는 보안 연구를 기반으로 관련 공격 벡터 및 시나리오에 우선 순위를 지정합니다. 우선 순위는 다양한 엔터티를 킬 체인의 피해자, 가해자 또는 피벗 지점으로 식별합니다. Microsoft Sentinel은 특히 각 데이터 원본이 제공할 수 있는 가장 중요한 로그에 중점을 둡니다.
데이터 원본: Microsoft Sentinel은 Azure 데이터 소스를 가장 먼저 지원하는 동시에 위협 시나리오에 맞는 데이터를 제공하기 위해 타사 데이터 소스를 적절하게 지원합니다.
분석: Microsoft Sentinel은 ML(기계 학습) 알고리즘을 이용하며 명확하면서도 간결하게 증거를 제시하는 비정상적 활동을 상황적 보강의 형태로 식별합니다. 아래 예제를 참조하세요.
Microsoft Sentinel은 보안 분석가가 컨텍스트의 비정상적인 활동을 명확하게 이해하고 사용자의 기준 프로필을 비교하는 데 활용되는 아티팩트를 제공합니다. 사용자(또는 호스트나 주소)가 수행하는 작업은 상황별로 평가됩니다. “true”결과는 변칙이 탐지되었음을 의미합니다.
지리적 위치, 디바이스, 환경에 걸쳐 탐지
시간 및 빈도 범위에 걸쳐 탐지(사용자 본인의 기록과 비교)
피어 동작과 비교를 통해 탐지
조직의 동작과 비교를 통해 탐지
점수 매기기
각각의 활동에는 ‘조사 우선 순위 점수’가 매겨집니다. 이 점수는 사용자와 동료의 동작 학습을 기반으로 특정 사용자가 특정 활동을 수행할 가능성을 확인합니다. 가장 비정상적인 활동으로 식별된 활동은 가장 높은 점수를 받습니다(0~10까지의 점수).