Microsoft Sentinel의 엔터티 페이지
인시던트 조사에서 사용자 계정, 호스트 이름, IP 주소 또는 Azure 리소스를 발견하는 경우 이에 대해 자세히 알고 싶을 수 있습니다. 예를 들어 활동 기록, 다른 경고 또는 인시던트에 표시되는지 여부, 예기치 않은 작업을 수행했는지 아니면 문자가 아닌지 등을 알고 싶을 수 있습니다. 즉, 이러한 엔터티가 나타내는 위협의 종류를 확인하고 그에 따라 조사를 안내하는 데 도움이 되는 정보를 원합니다.
Important
Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼의 공개 미리 보기의 일부로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.
엔터티 페이지
이러한 경우 엔터티를 선택하면(클릭 가능한 링크로 표시됨) 해당 엔터티에 대한 유용한 정보로 가득 찬 데이터시트인 엔터티 페이지로 이동할 수 있습니다. Microsoft Sentinel 엔터티 동작 페이지에서 엔터티를 직접 검색하여 엔터티 페이지에 도달할 수도 있습니다. 엔터티 페이지에서 찾을 수 있는 정보 유형에는 엔터티에 대한 기본 팩트, 해당 엔터티와 관련된 주목할 만한 이벤트의 타임라인 및 엔터티 동작에 대한 인사이트가 포함됩니다.
특히 엔터티 페이지는 다음 세 부분으로 구성됩니다.
왼쪽 패널에는 Microsoft Entra ID, Azure Monitor, Azure Activity, Azure Resource Manager, 클라우드용 Microsoft Defender, CEF/Syslog 및 Microsoft Defender XDR(모든 구성 요소 포함)와 같은 데이터 원본에서 수집된 엔터티의 식별 정보가 포함되어 있습니다.
가운데 패널에는 경고, 북마크, 변칙 및 활동과 같이 엔터티와 관련된 주목할 만한 이벤트의 그래픽 및 텍스트 타임라인이 표시됩니다. 활동은 Log Analytics에서 주목할 만한 이벤트의 집계입니다. 이러한 활동을 검색하는 쿼리는 Microsoft 보안 연구팀에서 개발했으며 이제 사용자 지정 쿼리를 추가하여 선택한 활동을 검색할 수 있습니다.
오른쪽 패널은 엔터티에 대한 동작 인사이트를 제공합니다. 이러한 인사이트는 Microsoft 보안 연구 팀에서 지속적으로 개발합니다. 다양한 데이터 원본을 기반으로 하며 엔터티 및 관찰된 활동에 대한 컨텍스트를 제공하여 비정상적인 동작 및 보안 위협을 신속하게 식별할 수 있습니다.
2023년 11월부터 차세대 인사이트가 보강 위젯 형태의 미리 보기로 제공되기 시작했습니다. 이러한 새로운 인사이트는 외부 원본의 데이터를 통합하고 실시간으로 업데이트를 가져올 수 있으며 기존 인사이트와 함께 볼 수 있습니다. 이러한 새로운 위젯을 활용하려면 위젯 환경을 사용하도록 설정해야 합니다.
새로운 조사 환경을 사용하여 인시던트를 조사하는 경우 인시던트 세부 정보 페이지 바로 내에서 엔터티 페이지의 패널화된 버전을 볼 수 있습니다. 지정된 인시던트에 있는 모든 엔터티 목록이 있고 엔터티를 선택하면 인시던트 경고에 해당하는 특정 시간 프레임 내에서 위에서 설명한 것과 동일한 정보를 모두 보여 주는 세 개의 "카드"(정보, 타임라인 및 인사이트)가 있는 측면 패널이 열립니다.
Microsoft Defender 포털에서 통합 보안 운영 플랫폼을 사용하는 경우 타임라인 및 인사이트 패널이 Defender 엔터티 페이지의 Sentinel 이벤트 탭에 표시됩니다.
타임라인
타임라인은 Microsoft Sentinel의 동작 분석에 대한 엔터티 페이지 기여의 주요 부분입니다. 엔터티 관련 이벤트에 대한 스토리를 제공하여 특정 시간 프레임 내에서 엔터티의 작업을 이해하도록 도와줍니다.
몇 가지 사전 설정된 옵션(예: 최근 24시간) 중에서 시간 범위를 선택하거나 사용자 지정된 시간 프레임으로 설정할 수 있습니다. 또한 타임라인의 정보를 특정 형식의 이벤트 또는 경고로 제한하는 필터를 설정할 수 있습니다.
타임라인에는 다음 형식의 항목이 포함됩니다.
경고: 항목이 매핑된 항목으로 정의되는 모든 경고입니다. 조직에서 분석 규칙을 사용하여 사용자 지정 경고를 생성된 경우 규칙의 엔터티 매핑이 제대로 수행되었는지 확인해야 합니다.
책갈피: 페이지에 표시된 특정 엔터티를 포함하는 책갈피입니다.
이상 징후: UEBA 검색은 다양한 데이터 입력에서 각 엔터티에 대해 만든 동적 기준과 자체 기록 활동, 해당 피어의 활동, 조직 전체의 활동과 비교하여 UEBA가 탐지합니다.
활동: 엔터티와 관련된 주목할 만한 이벤트의 집계입니다. 광범위한 활동이 자동으로 수집되며 이제 자체적으로 선택한 활동을 추가하여 이 섹션을 사용자 지정할 수 있습니다.
엔터티 인사이트
엔터티 인사이트는 분석가가 더 효율적이고 효과적으로 조사하는 데 도움이 되도록 Microsoft 보안 연구원에 의해 정의된 쿼리입니다. 해당 인사이트는 엔터티 페이지의 일부로 제공되며 호스트와 사용자에 대한 중요 보안 정보를 테이블 형식 데이터 및 차트 형식으로 제공합니다. 여기에 인사이트가 있다는 것은 Log Analytics로 우회할 필요가 없다는 것을 의미합니다. 해당 인사이트에는 로그인, 그룹 추가, 비정상 이벤트 등에 대한 데이터가 포함되며 비정상적인 동작을 탐지하는 고급 ML 알고리즘이 포함되어 있습니다.
인사이트는 다음과 같은 데이터 원본을 기반으로 합니다.
- Syslog(Linux)
- SecurityEvent(Windows)
- AuditLogs(Microsoft Entra ID)
- SigninLogs(Microsoft Entra ID)
- OfficeActivity(Office 365)
- BehaviorAnalytics(Microsoft Sentinel UEBA)
- 하트비트(Azure Monitor 에이전트)
- CommonSecurityLog(Microsoft Sentinel)
일반적으로 엔터티 페이지에 표시되는 각 엔터티 인사이트에는 결과와 함께 인사이트의 기본 쿼리가 표시되는 페이지로 이동하는 링크가 함께 제공되므로 결과를 더 심층적으로 조사할 수 있습니다.
- Azure Portal의 Microsoft Sentinel에서 링크를 클릭하면 로그 페이지로 이동합니다.
- Microsoft Defender 포털의 통합 보안 운영 플랫폼에서 링크를 클릭하면 고급 헌팅 페이지로 이동합니다.
엔터티 페이지를 사용하는 방법
엔터티 페이지는 다양한 활용 시나리오의 일부로 설계되었으며 인시던트 관리, 조사 그래프, 북마크에서 액세스하거나, Microsoft Sentinel 메인 메뉴의 엔터티 동작에 있는 엔터티 검색 페이지에서 직접 액세스할 수 있습니다.
엔터티 페이지 정보는 Microsoft Sentinel UEBA 참조에 자세히 설명되어 있는 BehaviorAnalytics 테이블에 저장됩니다.
지원되는 엔터티 페이지
Microsoft Sentinel은 현재 다음과 같은 엔터티 페이지를 제공합니다.
사용자 계정
Host
IP 주소(미리 보기)
참고 항목
IP 주소 엔터티 페이지(현재 미리 보기로 제공됨)에는 Microsoft 위협 인텔리전스 서비스에서 제공하는 지리적 위치 데이터가 포함되어 있습니다. 이 서비스는 Microsoft 솔루션과 타사 공급업체 및 파트너의 지리적 위치 데이터를 결합합니다. 그런 다음 데이터를 보안 인시던트 컨텍스트에서 분석 및 조사할 수 있습니다. 자세한 내용은 REST API를 통해 지리적 위치 데이터로 Microsoft Sentinel의 엔터티 보강(공개 미리 보기)을 참조하세요.
Azure 리소스(미리 보기)
IoT 디바이스(미리 보기)는 현재 Azure Portal의 Microsoft Sentinel에서만 사용할 수 있습니다.
다음 단계
이 문서에서는 엔터티 페이지를 사용하여 Microsoft Sentinel의 엔터티에 대한 정보를 가져오는 방법을 알아보았습니다. 엔터티에 대한 자세한 내용과 사용 방법은 다음 문서를 참조하세요.