Microsoft 보안 경고에서 인시던트를 자동으로 생성

Microsoft Sentinel에 연결된 Microsoft 보안 솔루션(예: 클라우드용 Microsoft Defender 앱, Microsoft Defender for Identity)에서 트리거된 경고는 Microsoft Sentinel에서 인시던트를 자동으로 만들지 않습니다. 기본적으로 Microsoft 솔루션을 Microsoft Sentinel에 연결하는 경우 해당 서비스에서 생성되는 모든 경고는 Microsoft Sentinel의 작업 영역에 있는 보안 경고 테이블에 원시 데이터로 저장됩니다. 그러면 Microsoft Sentinel에 수집하는 다른 모든 원시 데이터처럼 해당 데이터를 사용할 수 있습니다.

이 문서의 지침을 따르면 연결된 Microsoft 보안 솔루션에서 경고가 트리거될 때마다 인시던트를 자동으로 만들도록 Microsoft Sentinel을 쉽게 구성할 수 있습니다.

필수 조건

Microsoft Sentinel의 콘텐츠 허브에서 적절한 솔루션을 설치하고 데이터 커넥터를 설정하여 보안 솔루션을 연결합니다. 자세한 내용은 Microsoft Sentinel 기본 제공 콘텐츠 및 솔루션 검색 및 관리 및 Microsoft Sentinel 데이터 커넥터를 참조하세요.

Microsoft 보안 인시던트 생성 분석 규칙 사용

Microsoft Sentinel에서 제공되는 규칙 템플릿을 사용하여 Microsoft Sentinel 인시던트를 자동 생성할 연결된 Microsoft 보안 솔루션을 선택할 수 있습니다. 규칙을 편집하여 Microsoft 보안 솔루션에서 생성된 경고 중 Microsoft Sentinel에서 인시던트를 만들 경고를 필터링하는 보다 구체적인 옵션을 정의할 수도 있습니다. 예를 들어, 심각도가 높은 클라우드용 Microsoft Defender 경고에서만 Microsoft Sentinel 인시던트를 자동으로 만들도록 선택할 수 있습니다.

1. Azure Portal에서 Microsoft Sentinel 아래의 Analytics를 선택합니다.

2. 규칙 템플릿 탭을 선택하면 분석 규칙 템플릿을 모두 볼 수 있습니다. 더 많은 규칙 템플릿을 찾으려면 Microsoft Sentinel의 콘텐츠 허브로 이동합니다.

   

3. 사용할 Microsoft 보안 분석 규칙 템플릿을 선택한 다음, 규칙 만들기를 선택합니다.

   

4. 규칙 세부 정보를 수정하고 경고 이름에 포함된 텍스트 또는 경고 심각도별로 인시던트를 생성하는 경고를 필터링하도록 선택할 수 있습니다.

   예를 들어 Microsoft 보안 서비스 필드에서 클라우드용 Microsoft Defender를 선택한 다음, 심각도로 필터링 필드에서 높음을 선택하면 심각도가 높은 보안 경고만 Microsoft Sentinel에서 자동으로 인시던트를 만듭니다.

   

5. +만들기를 클릭하고 Microsoft 인시던트 생성 규칙을 선택하여 여러 Microsoft 보안 서비스의 경고를 필터링하는 새로운 Microsoft 보안 규칙을 만들 수도 있습니다.

   

   Microsoft 보안 서비스 유형별로 둘 이상의 Microsoft Security 분석 규칙을 만들 수 있습니다. 각 규칙이 필터로 사용되기 때문에 중복 인시던트는 생성되지 않습니다. 경고가 둘 이상의 Microsoft Security 분석 규칙과 일치하는 경우에도 Microsoft Sentinel 인시던트는 하나만 생성됩니다.

연결 중에 인시던트 자동 생성이 가능하도록 설정

Microsoft 보안 솔루션을 연결할 때 보안 솔루션의 경고가 자동으로 Microsoft Sentinel에서 인시던트를 자동으로 생성할지 여부를 선택할 수 있습니다.

1. Microsoft 보안 솔루션 데이터 원본을 연결합니다.

   

2. 인시던트 만들기에서 사용을 선택하여 연결된 보안 서비스에서 생성된 경고에서 인시던트가 자동으로 생성되는 기본 분석 규칙을 사용하도록 설정합니다. 그런 다음, Analytics 및 활성 규칙에서 이 규칙을 편집할 수 있습니다.

다음 단계

• Microsoft Sentinel을 시작하려면 Microsoft Azure에 대한 구독이 필요합니다. 구독이 없는 경우 무료 평가판을 등록할 수 있습니다.
• Microsoft Sentinel에 데이터를 온보딩하고 데이터 및 잠재적 위협을 확인하는 방법을 알아봅니다.