변칙 검색 분석 규칙 템플릿 사용
사이버 보안 군비 경쟁에서 공격자와 방어자가 끊임없이 싸우는 상황에서 공격자는 항상 탐지를 피할 방법을 찾고 있습니다. 그러나 불가피하게 공격은 여전히 공격받는 시스템에서 비정상적인 동작을 초래합니다. Microsoft Sentinel의 사용자 지정 가능한 기계 학습 기반 변칙은 즉시 작동하도록 배치할 수 있는 분석 규칙 템플릿을 사용하여 이 동작을 식별할 수 있습니다. 변칙은 악의적이거나 심지어 의심스러운 행동을 의미하지는 않지만 검색, 조사 및 위협 검색을 개선하는 데 사용할 수 있습니다.
검색 향상을 위한 추가 신호: 보안 분석가는 변칙을 사용하여 새로운 위협을 검색하고 기존 검색을 보다 효과적으로 만들 수 있습니다. 단일 변칙은 악의적인 동작에 대한 강력한 신호가 아니지만 Kill 체인의 서로 다른 지점에서 발생하는 몇 가지 변칙과 함께 사용하면 누적 효과가 훨씬 더 강해집니다. 보안 분석가는 변칙으로 식별된 비정상적인 동작을 경고가 실행되는 조건으로 설정하여 기존 탐지 기능을 향상시킬 수도 있습니다.
조사 중 증거: 보안 분석가는 또한 조사 중에 변칙을 사용하여 변칙을 확인하고 새로운 조사 경로를 찾고 잠재적 영향을 평가할 수 있습니다. 이러한 효율성은 보안 분석가가 조사에 소비하는 시간을 단축합니다.
사전 위협 헌팅의 시작: 위협 헌터는 변칙을 컨텍스트로 사용하여 쿼리에서 의심스러운 동작을 발견했는지 확인할 수 있습니다. 동작이 의심스러운 경우 변칙은 추가 헌팅에 대한 잠재적 경로를 가리키기도 합니다. 변칙에서 제공하는 이러한 단서를 통해 위협을 검색하는 시간과 피해가 발생할 가능성을 줄일 수 있습니다.
변칙은 강력한 도구일 수 있지만 매우 노이즈가 많습니다. 일반적으로 특정 환경 또는 복잡한 사후 처리에 대해 많은 지루한 조정이 필요합니다. Microsoft Sentinel 사용자 지정 가능한 변칙 템플릿은 기본 제공 값을 제공하기 위해 데이터 과학 팀에서 튜닝되지만, 더 자세히 튜닝해야 하는 경우 프로세스가 간단하며 기계 학습에 대한 지식이 필요하지 않습니다. 많은 변칙에 대한 임계값 및 매개 변수는 이미 익숙한 분석 규칙 사용자 인터페이스를 통해 구성하고 미세 조정할 수 있습니다. 원래 임계값 및 매개 변수의 성능을 인터페이스 내의 새 임계값과 비교하고 테스트 또는 플라이팅 단계에서 필요에 따라 추가로 조정할 수 있습니다. 변칙이 성능 목표를 충족하면 단추를 클릭하여 새 임계값 또는 매개 변수가 있는 변칙을 프로덕션으로 승격할 수 있습니다. Microsoft Sentinel 사용자 지정 가능한 변칙을 사용하면 어려운 작업 없이도 변칙을 활용할 수 있습니다.
변칙 검색 분석 역할을 이용한 작업
Microsoft Sentinel의 사용자 지정 변칙 기능은 기본 제공 기본 제공 변칙 템플릿을 제공합니다. 이러한 변칙 템플릿은 수천 개의 데이터 원본과 수백만 개의 이벤트를 사용해 강력하게 개발되었지만, 이 기능을 이용하면 사용자 인터페이스 내에서 변칙 임계값과 매개 변수를 쉽게 변경할 수 있습니다. 변칙 규칙은 변칙을 생성하기 전에 활성화해야 합니다. 이러한 규칙은 로그 섹션의 변칙 테이블에서 찾을 수 있습니다.
Microsoft Sentinel 탐색 메뉴에서 분석을 선택합니다.
분석 페이지에서 규칙 템플릿 탭을 선택합니다.
변칙 템플릿 목록을 필터링합니다.
규칙 유형 필터를 선택한 다음 아래에 표시되는 드롭다운 목록을 클릭합니다.
모두 선택을 표시 해제한 다음 변칙을 표시합니다.
필요한 경우 드롭다운 목록의 상단을 선택하여 취소한 다음 확인을 선택합니다.
변칙 규칙 활성화
규칙 템플릿 중 하나를 선택하면 세부 정보 창에 규칙 만들기 단추와 함께 다음 정보가 표시됩니다.
설명은 변칙의 작동 방식과 필요한 데이터를 설명합니다.
데이터 원본은 분석하려면 수집해야 하는 로그 유형을 나타냅니다.
전술과 기술은 변칙에서 다루는 MITRE ATT&CK 프레임워크 전술 및 기술입니다.
매개 변수는 변칙에 구성 가능한 특성입니다.
임계값은 변칙을 만들기 전에 이벤트가 비정상이어야 하는 정도를 나타내는 구성 가능한 값입니다.
규칙 빈도는 변칙을 찾는 로그 처리 작업 간의 시간입니다.
변칙 버전은 규칙에서 사용하는 템플릿의 버전을 보여 줍니다. 이미 활성화된 규칙에서 사용하는 버전을 변경하려면 규칙을 다시 만들어야 합니다.
템플릿 마지막 업데이트 날짜는 변칙 버전이 변경된 날짜입니다.
규칙을 활성화하려면 다음 단계를 완료합니다.
아직 사용 중 레이블이 지정되지 않은 규칙 템플릿을 선택합니다. 규칙 만들기 단추를 선택하여 규칙 만들기 마법사를 엽니다.
각 규칙 템플릿 마법사는 약간 다르지만 일반, 구성, 검토 및 만들기의 세 가지 단계 또는 탭이 있습니다.
마법사 값은 변경할 수 없습니다. 먼저 규칙을 만들고 활성화해야 합니다.
탭을 순환한 후 검토 및 만들기 탭에서 "유효성 검사 통과" 메시지를 기다렸다가 만들기 단추를 선택합니다.
각 템플릿에서는 활성 규칙을 하나만 만들 수 있습니다. 마법사를 완료하면 활성 규칙 탭에 활성 변칙 규칙이 만들어지고, 템플릿(규칙 템플릿 탭)이 사용 중인 상태로 표시됩니다.
변칙 규칙이 활성화되면 검색된 변칙은 Microsoft Sentinel 작업 영역의 로그 섹션에 있는 변칙 테이블에 저장됩니다.
각 변칙 규칙에는 학습 기간이 있으며, 해당 학습 기간이 종료될 때까지 변칙은 테이블에 표시되지 않습니다. 각 변칙 규칙의 설명에서 학습 기간을 찾을 수 있습니다.
변칙 품질 평가
최근 24시간 동안 규칙에 따라 만들어진 변칙 샘플을 검토하여 변칙 규칙이 얼마나 잘 수행되는지 확인할 수 있습니다.
Microsoft Sentinel 탐색 메뉴에서 분석을 선택합니다.
분석 페이지에서 활성 규칙 탭이 선택되어 있는지 확인합니다.
변칙 규칙 목록을 필터링합니다(위와 같음).
평가할 규칙을 선택하고 세부 정보 창 맨 위의 이름을 오른쪽으로 복사합니다.
Microsoft Sentinel 탐색 메뉴에서 로그를 선택합니다.
맨 위에 쿼리 갤러리가 표시되면 닫습니다.
로그 페이지의 왼쪽 창에서 테이블 탭을 선택합니다.
시간 범위 필터를 지난 24시간으로 설정합니다.
아래의 Kusto 쿼리를 복사하여 쿼리 창("여기에 쿼리를 입력하거나..."라고 표시됨)에 붙여넣습니다.
Anomalies
| where AnomalyTemplateName contains "________________________________"
Paste the rule name you copied above in place of the underscores between the quotation marks.
- 실행을 선택합니다.
결과가 몇 가지 있으면 변칙의 품질 평가를 시작할 수 있습니다. 결과가 없으면 시간 범위를 늘려 보세요.
각 변칙 결과를 확장한 다음 AnomalyReasons 필드를 확장합니다. 이렇게 하면 변칙이 발생한 이유를 알 수 있습니다.
변칙의 "타당성" 또는 "유용성"은 사용자 환경의 조건에 따라 달라질 수 있지만, 변칙 규칙이 변칙을 너무 많이 생성하는 일반적인 이유는 임계값이 너무 낮을 수 있기 때문입니다.
변칙 규칙 조정
변칙 규칙은 기본적으로 효율성을 극대화하도록 설계되었지만, 모든 상황은 고유하며 경우에 따라서는 변칙 규칙을 조정해야 합니다.
원래 활성 규칙을 편집할 수 없기 때문에 먼저 활성 변칙 규칙을 복제한 후 복사본을 사용자 지정해야 합니다.
원래 변칙 규칙은 사용하지 않도록 설정하거나 삭제할 때까지 계속 실행됩니다.
이는 원래 구성과 새 구성에서 생성된 결과를 비교할 수 있는 기회를 제공하기 위해 의도된 것입니다. 기본적으로 중복된 규칙은 사용하지 않도록 설정됩니다. 지정된 변칙 규칙의 사용자 지정 복사본은 하나만 만들 수 있습니다. 두 번째 복사본을 만들려는 시도는 실패합니다.
변칙 규칙의 구성을 변경하려면 활성 규칙 탭에서 변칙 규칙을 선택합니다.
규칙 행의 아무 곳이나 마우스 오른쪽 단추로 클릭하거나 행 끝에 있는 줄임표(...)를 마우스 왼쪽 단추로 클릭한 다음 복제를 선택합니다.
규칙의 새 복사본은 규칙 이름에 "- Customized" 접미사가 붙습니다. 이 규칙을 실제로 사용자 지정하려면 이 규칙을 선택하고 편집을 선택합니다.
규칙이 분석 규칙 마법사에서 열립니다. 여기에서 규칙의 매개 변수와 해당 임계값을 변경할 수 있습니다. 변경할 수 있는 매개 변수는 각 변칙 유형과 알고리즘에 따라 달라집니다.
결과 미리 보기 창에서 변경 내용의 결과를 미리 볼 수 있습니다. 결과 미리 보기에서 변칙 ID를 선택하여 ML 모델이 해당 변칙을 식별하는 이유를 확인합니다.
사용자 지정된 규칙을 사용하여 결과를 생성합니다. 일부 내용을 변경하려면 규칙을 다시 실행해야 할 수 있으므로, 완료될 때까지 기다렸다가 다시 돌아와 로그 페이지에서 결과를 확인해야 합니다. 사용자 지정된 변칙 규칙은 기본적으로 플라이팅(테스트) 모드에서 실행됩니다. 원래 규칙은 기본적으로 프로덕션 모드에서 계속 실행됩니다.
결과를 비교하려면 로그의 변칙 테이블로 되돌아가 이전과 같이 새 규칙을 평가하고, 원래 규칙 이름이 있는 행과 AnomalyTemplateName 열에 "- Customized"가 추가된 중복 규칙 이름이 있는 행만 찾습니다.
사용자 지정 규칙의 결과가 만족스러우면 활성 규칙 탭으로 되돌아가 사용자 지정 규칙을 선택한 다음 편집 단추를 선택하고, 일반 탭에 있는 플라이팅에서 프로덕션으로 전환할 수 있습니다. 동일한 규칙의 두 가지 버전을 동시에 프로덕션에서 사용할 수 없으므로 원래 규칙이 플라이팅으로 자동 변경됩니다.