Microsoft Sentinel의 위협 인텔리전스에 엔터티 추가
조사 중에 인시던트의 범위와 특성을 이해하는 데 중요한 부분으로 엔터티와 해당 컨텍스트를 조사합니다. 인시던트의 악성 도메인 이름, URL, 파일 또는 IP 주소로 엔터티를 검색할 때 위협 인텔리전스의 IoC(손상의 지표)로 레이블을 지정하고 추적해야 합니다.
예를 들어 네트워크를 통해 포트 검색을 수행하거나 명령 및 제어 노드로 작동하여 네트워크의 많은 노드에서 전송 및/또는 수신하는 IP 주소를 검색합니다.
Microsoft Sentinel을 사용하면 인시던트 조사 내에서 바로 이러한 형식의 엔터티를 플래그 지정하고 위협 인텔리전스에 추가할 수 있습니다. 로그 및 위협 인텔리전스에서 추가된 지표를 보고 Microsoft Sentinel 작업 영역에서 사용할 수 있습니다.
위협 인텔리전스에 엔터티 추가
새로운 인시던트 세부 정보 페이지는 조사 그래프 외에도 위협 인텔리전스에 항목을 추가하는 또 다른 방법을 제공합니다. 두 방법 모두 아래에 나와 있습니다.
- 인시던트 세부 정보 페이지
- 조사 그래프
Microsoft Sentinel 탐색 메뉴에서 인시던트를 선택합니다.
조사할 인시던트를 선택합니다. 인시던트 세부 정보 패널에서 전체 세부 정보 보기를 선택하여 인시던트 세부 정보 페이지를 엽니다.
엔터티 위젯에서 위협 지표로 추가할 개체를 찾습니다. (목록을 필터링하거나 찾는 데 도움이 되는 검색 문자열을 입력할 수 있습니다.)
항목 오른쪽에 있는 세 개의 점을 선택하고 팝업 메뉴에서 TI에 추가를 선택합니다.
다음 유형의 엔터티만 위협 지표로 추가할 수 있습니다.
- 도메인 이름
- IP 주소(IPv4 및 IPv6)
- URL
- 파일(해시)
두 인터페이스 중 어떤 것을 선택하든 최종 결과는 다음과 같습니다.
새 지표 측면 패널이 열립니다. 다음 필드가 자동으로 채워집니다.
Type
- 추가하려는 엔터티가 나타내는 지표의 형식입니다.
가능한 값이 있는 드롭다운: ipv4-addr, ipv6-addr, URL, file, domain-name - 필수: 엔터티 형식에 따라 자동으로 채워집니다.
- 추가하려는 엔터티가 나타내는 지표의 형식입니다.
값
- 이 필드의 이름은 선택한 지표 형식으로 동적으로 변경됩니다.
- 해당 지표의 값입니다.
- 필수: 엔터티 값으로 자동으로 채워집니다.
태그
- 지표에서 추가할 수 있는 자유 텍스트 태그입니다.
- 선택 사항: 인시던트 ID로 자동으로 채워집니다. 다른 사용자를 추가할 수 있습니다.
이름
- 표시기 이름 - 표시기 목록에 표시됩니다.
- 선택 사항: 인시던트 이름으로 자동으로 채워집니다.
만든 사람
- 지표 작성자입니다.
- 선택 사항: Microsoft Sentinel에 로그인한 사용자가 자동으로 채워집니다.
이에 따라 나머지 필드를 입력합니다.
위협 형식
- 지표가 나타내는 위협 유형입니다.
- 선택 사항: 자유 텍스트입니다.
설명
- 지표에 대한 설명입니다.
- 선택 사항: 자유 텍스트입니다.
해지됨
- 지표의 취소된 상태입니다. 지표를 취소하려면 확인란을 표시하고 확인란의 선택을 취소하여 활성화합니다.
- 선택적 부울입니다.
신뢰
- 데이터의 정확성에 대한 신뢰도를 백분율로 반영하는 점수입니다.
- 선택적 정수입니다(1~100).
킬 체인
- 지표에 해당하는 록히드 마틴 사이버 킬 체인의 단계입니다.
- 선택 사항: 자유 텍스트
유효 기간(시작)
- 이 지표가 유효한 것으로 간주되는 시간입니다.
- 필수: 날짜/시간
유효 기간(끝)
- 이 지표가 더 이상 유효한 것으로 간주되지 않아야 하는 시간입니다.
- 선택 사항: 날짜/시간
모든 필드가 만족도에 맞게 채워지면 적용을 선택합니다. 오른쪽 위 모서리에 지표가 생성되었다는 확인 메시지가 표시됩니다.
엔터티는 작업 영역에서 위협 지표로 추가됩니다. 위협 인텔리전스 페이지의 지표 목록과 로그의 ThreatIntelligenceIndicators 테이블에서 찾을 수 있습니다.
관련 콘텐츠
이 문서에서는 위협 지표 목록에 엔터티를 추가하는 방법을 알아보았습니다. 자세한 내용은 다음을 참조하세요.