Microsoft Sentinel에서 경고 세부 정보 사용자 지정

• 적용 대상:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

이 문서에서는 기본 쿼리 결과의 콘텐츠로 경고의 기본 속성을 재정의하는 방법을 설명합니다.

예약된 분석 규칙을 만드는 과정에서 첫 번째 단계로 규칙에 대한 이름과 설명을 정의하고 심각도 및 MITRE ATT&CK 전술을 할당합니다. 지정된 규칙에 의해 생성된 모든 경고와 결과로 생성된 모든 인시던트가 경고의 특정 인스턴스에 대한 특정 콘텐츠와 관계없이 규칙에 정의된 이름, 설명, 심각도 및 전술을 상속합니다.

경고 세부 정보 기능을 사용하면 다음과 같은 두 가지 방법으로 경고의 이러한 속성 및 다른 기본 속성을 재정의할 수 있습니다.

• 경고에 대한 사용자 지정 변수 이름 및 설명을 만듭니다. 경고의 쿼리 출력에서 경고의 각 인스턴스에 대한 이름 또는 설명에 해당 콘텐츠를 포함할 수 있는 필드를 선택할 수 있습니다. 지정된 인스턴스에서 선택한 매개 변수에 값이 없는 경우 해당 인스턴스에 대한 경고 세부 정보가 마법사의 첫 페이지에서 지정한 기본값으로 되돌아갑니다.

• 지정된 경고 인스턴스의 심각도, 전술 및 기타 속성을 쿼리 출력의 관련 필드 값으로 사용자 지정합니다(아래의 전체 속성 목록 참조). 선택한 필드가 비어 있거나 필드 데이터 형식과 일치하지 않는 값이 있는 경우 해당 경고 속성은 기본값(전술 및 심각도의 경우 마법사의 첫 번째 페이지에 지정된 값)으로 되돌아갑니다.

Important

• 일부 경고 세부 정보 사용자 지정 기능(아래 참조)은 현재 미리 보기로 제공됩니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.
• Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼의 공개 미리 보기의 일부로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

아래에 자세히 설명된 절차에 따라 경고 세부 정보 기능을 사용합니다. 이러한 단계는 분석 규칙 만들기 마법사의 일부이지만 기존 분석 규칙에서 경고 세부 정보를 추가하거나 변경하는 시나리오를 해결하기 위해 여기에서 독립적으로 해결됩니다.

경고 세부 정보 사용자 지정 방법

1. Microsoft Sentinel에 액세스하는 포털에서 분석 페이지를 입력합니다.

   Azure Portal

   Microsoft Sentinel 탐색 메뉴의 구성 섹션에서 분석을 선택합니다.

   Defender 포털

   Microsoft Defender 탐색 메뉴에서 Microsoft Sentinel을 확장한 다음, 구성을 확장합니다. 분석을 선택합니다.

2. 예약된 쿼리 규칙을 선택하고 편집을 선택합니다. 또는 화면 맨 위에서 만들기 > 예약된 쿼리 규칙을 선택하여 새 규칙을 만듭니다.

3. 규칙 논리 설정 탭을 선택합니다.

4. 경고 보강 섹션에서 경고 세부 정보를 펼칩니다.

   

5. 펼친 경고 세부 정보 섹션에서 경고에 표시하려는 세부 사항에 해당하는 속성을 포함하는 자유 텍스트를 추가합니다.

   1. 경고 이름 형식 필드에 경고의 이름으로 표시할 텍스트(경고 텍스트)를 입력하고 경고 텍스트에 포함할 쿼리 출력 필드를 이중 중괄호로 묶어 포함합니다.

      예: Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

   2. 경고 설명 형식 필드를 사용하여 동일한 작업을 수행합니다.

      참고 항목

      현재 경고 이름 형식 및 경고 설명 형식 필드에는 각각 매개 변수가 세 개로 제한됩니다.

   3. 다른 기본 속성을 재정의하려면 경고 속성 드롭다운 목록에서 경고 속성을 선택합니다. 그런 다음, 값 드롭다운 목록에서 경고 속성을 채울 콘텐츠가 포함된 필드를 쿼리 결과에서 선택합니다.

   4. 더 많은 기본 속성을 재정의하려면 + 새로 추가를 선택하고 이전 단계를 반복합니다. 다음 속성을 재정의할 수 있습니다.

      속성	설명
      AlertName	문자열
      설명	문자열
      경고 심각도	다음 값 중 하나입니다. - 정보 제공 - 낮음 - 중간 - 높음
      전술	다음 값 중 하나입니다. - 정찰 - 리소스 개발 - 초기 액세스 - 실행 - 지속성 - 권한 상승 - 방어 회피 - 자격 증명 액세스 - 검색 - 측면 이동 - 컬렉션 - 반출 - 명령 및 제어 - 영향 - 사전 공격 - 프로세스 제어 손상 - 응답 금지 함수
      기술(미리 보기)	다음 정규식과 일치하는 문자열입니다. ^T(?<Digits>\d{4})$ 예를 들어 T1234를 입력합니다.
      AlertLink(미리 보기)	문자열
      ConfidenceLevel(미리 보기)	다음 값 중 하나입니다. - 낮음 - 높음 - 알 수 없음
      ConfidenceScore(미리 보기)	0-1(포함) 사이의 정수
      ExtendedLinks(미리 보기)	문자열
      ProductComponentName(미리 보기)	문자열
      ProductName(미리 보기)	문자열
      ProviderName(미리 보기)	문자열
      RemediationSteps(미리 보기)	문자열

   생각이 바뀌었거나 실수한 경우 경고 속성/값 쌍 옆에 있는 휴지통 아이콘을 클릭하여 경고 세부 정보를 제거하거나 경고 이름/설명 형식 필드에서 자유 텍스트를 삭제할 수 있습니다.

6. 경고 세부 정보 사용자 지정을 마쳤으며 규칙을 만들려는 경우 마법사의 다음 탭으로 계속 진행합니다. 기존 규칙을 편집하는 경우 검토 및 만들기 탭을 선택합니다. 규칙 유효성 검사가 성공하면 저장을 선택합니다.

   참고 항목

   서비스 제한

   • 모든 경고 세부 정보 및 사용자 지정 세부 정보에 대한 결합된 크기 제한은 전체적으로 64KB입니다.

다음 단계

이 문서에서는 Microsoft Sentinel 분석 규칙에서 경고 세부 정보를 사용자 지정하는 방법을 배웠습니다. Microsoft Sentinel에 대해 자세히 알아보려면 다음 문서를 참조하세요.

• 경고를 보강하는 다른 방법을 살펴봅니다.
  • Microsoft Sentinel의 항목에 데이터 필드 매핑
  • Microsoft Sentinel 경고에 사용자 지정 이벤트 세부 정보 표시
• 예약된 쿼리 분석 규칙을 전체적으로 파악합니다.
• Microsoft Sentinel의 엔터티에 대해 자세히 알아봅니다.