Microsoft Sentinel로 인시던트 조사

  • 아티클

Important

언급된 기능은 현재 미리 보기로 제공됩니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

이 문서는 Microsoft Sentinel과 관련된 인시던트를 조사하는 데 도움이 됩니다. 데이터 원본을 Microsoft Sentinel에 연결한 후 의심스러운 일이 발생하면 알림을 받고 싶습니다. 이를 가능하게 하기 위해 Microsoft Sentinel을 사용하면 할당하고 조사할 수 있는 인시던트를 만드는 고급 분석 규칙을 만들 수 있습니다.

이 문서에서 다루는 내용:

  • 인시던트 조사
  • 조사 그래프 사용
  • 위협에 대응

인시던트는 여러 경고를 포함할 수 있습니다. 이는 특정 조사에 대한 모든 관련 증거의 집계입니다. 분석 페이지에서 만든 분석 규칙에 따라 인시던트가 생성됩니다. 심각도 및 상태와 같은 경고와 관련된 속성은 인시던트 수준에서 설정됩니다. Microsoft Sentinel이 사용자가 찾고 있는 위협의 종류와 찾는 방법을 파악하면 사용자는 인시던트를 조사하여 검색된 위협을 모니터링할 수 있습니다.

필수 조건

  • 분석 규칙을 설정할 때 엔터티 매핑 필드를 사용한 경우에만 인시던트를 조사할 수 있습니다. 조사 그래프에서 원본 인시던트에 엔터티를 포함해야 합니다.

  • 인시던트를 할당해야 하는 게스트 사용자가 있는 경우 해당 사용자에게 Microsoft Entra 테넌트의 디렉터리 읽기 권한자 역할을 할당해야 합니다. 일반(게스트가 아닌) 사용자에게는 기본적으로 이 역할이 할당됩니다.

인시던트 조사 방법

  1. 인시던트를 선택합니다. 인시던트 페이지에서는 발생한 인시던트의 수와 새로운 인시던트, 활성 또는 종료된 인시던트를 알 수 있습니다. 각 인시던트에 대해 발생한 시간 및 인시던트의 상태를 확인할 수 있습니다. 심각도를 확인하여 먼저 처리할 인시던트를 결정합니다.

    Screenshot of view of incident severity.

  2. 상태 또는 심각도와 같이 필요에 따라 인시던트를 필터링할 수 있습니다. 자세한 내용은 인시던트 검색을 참조하세요.

  3. 조사를 시작하려면 특정 인시던트를 선택합니다. 오른쪽에서 심각도, 관련된 엔터티 수 요약, 이 인시던트를 트리거한 원시 이벤트, 인시던트의 고유 ID, 매핑된 모든 MITRE ATT&CK 전술 또는 기술을 포함하여 인시던트에 대한 자세한 정보를 볼 수 있습니다.

  4. 인시던트의 경고 및 엔터티에 대한 자세한 내용을 보려면 인시던트 페이지에서 전체 세부 정보 보기를 선택하고 인시던트 정보를 요약하는 관련 탭을 검토합니다.

    Screenshot of view of alert details.

    • 타임라인 탭에서 공격자 활동의 타임라인 막대를 다시 생성하는 데 도움이 될 수 있는 인시던트의 경고 및 책갈피의 타임라인을 검토합니다.

    • 유사한 인시던트(미리 보기) 탭에서 현재 인시던트와 가장 유사한 인시던트를 최대 20개까지 볼 수 있습니다. 이렇게 하면 인시던트를 더 큰 컨텍스트에서 볼 수 있고 조사를 지시하는 데 도움이 됩니다. 아래에서 유사한 인시던트에 대해 자세히 알아봅니다.

    • 경고 탭에서 이 인시던트에 포함된 경고를 검토합니다. 경고를 생성한 분석 규칙, 경고당 반환된 결과 수, 경고에 대한 플레이북 실행 기능 등 경고에 대한 모든 관련 정보를 볼 수 있습니다. 인시던트를 더 자세히 드릴다운하려면 이벤트 수를 선택합니다. 그러면 결과를 생성한 쿼리와 Log Analytics 경고를 트리거한 이벤트가 열립니다.

    • 책갈피 탭에서 사용자 또는 다른 조사관이 이 인시던트에 연결한 책갈피를 볼 수 있습니다. 책갈피에 대해 자세히 알아보기.

    • 엔터티 탭에서 경고 규칙 정의의 일부로 매핑한 모든 엔터티를 확인할 수 있습니다. 이는 사용자, 디바이스, 주소, 파일 또는 기타 형식에 관계없이 인시던트에서 역할을 한 개체입니다.

    • 마지막으로 주석 탭에서 조사에 대한 의견을 추가하고 다른 분석가 및 조사관이 작성한 의견을 볼 수 있습니다. 주석에 대해 자세히 알아봅니다.

  5. 인시던트를 적극적으로 조사하고 있다면 인시던트를 종료할 때까지 인시던트의 상태를 활성으로 설정하는 것이 좋습니다.

  6. 인시던트를 그룹 또는 특정 사용자에게 할당할 수 있습니다. 각 인시던트에 대해 소유자 필드를 설정하여 소유자를 할당할 수 있습니다. 모든 인시던트는 할당되지 않은 상태로 시작합니다. 조사한 내용과 인시던트에 대한 우려 사항을 다른 분석가가 이해할 수 있도록 설명을 추가할 수도 있습니다.

    Screenshot of assigning incident to user.

    최근에 선택한 사용자와 그룹이 그려진 드롭다운 목록의 맨 위에 표시됩니다.

  7. 조사 맵을 보려면 조사를 선택합니다.

조사 그래프를 사용하여 심층 분석

조사 그래프를 통해 분석가는 각 조사에 대해 적절한 질문을 할 수 있습니다. 조사 그래프는 관련 데이터와 관련 엔터티를 상호 연결하여 범위를 파악하고 잠재적 보안 위협의 근본 원인을 식별하는 데 도움이 됩니다. 그래프에 표시된 모든 엔터티를 선택하고 다른 확장 옵션 중에서 선택하여 더 자세히 살펴보고 조사할 수 있습니다.

조사 그래프는 다음을 제공합니다.

  • 원시 데이터의 시각적 컨텍스트: 라이브 시각적 그래프는 원시 데이터에서 자동으로 추출된 엔터티 관계를 표시합니다. 이를 통해 다양한 데이터 원본 간의 연결을 쉽게 확인할 수 있습니다.

  • 전체 조사 범위 검색: 기본 제공 탐색 쿼리를 사용하여 조사 범위를 확장하여 위반 사항의 전체 범위를 노출합니다.

  • 기본 제공 조사 단계: 미리 정의된 탐색 옵션을 사용하여 위협에 대해 적절한 질문을 하고 있는지 확인합니다.

조사 그래프를 사용하려면 다음을 수행합니다.

  1. 인시던트를 선택하고 조사를 선택합니다. 그러면 조사 그래프로 이동합니다. 그래프는 경고에 직접 연결된 엔터티 및 추가로 연결된 각 리소스의 설명 맵을 제공합니다.

    View map.

    Important

    • 분석 규칙을 설정할 때 엔터티 매핑 필드를 사용한 경우에만 인시던트를 조사할 수 있습니다. 조사 그래프에서 원본 인시던트에 엔터티를 포함해야 합니다.

    • Microsoft Sentinel은 현재 최대 30일 이전의 인시던트 조사를 지원합니다.

  2. 엔터티를 선택하면 해당 엔터티에 대한 정보를 검토할 수 있는 엔터티 창이 열립니다.

    View entities in map

  3. 각 엔터티를 가리켜 조사를 확장하면 조사를 심화하기 위해 엔터티 유형별 보안 전문가 및 분석가가 디자인한 질문 목록이 표시됩니다. 이러한 옵션을 탐색 쿼리라고 합니다.

    Explore more details

    예를 들어 관련 경고를 요청할 수 있습니다. 탐색 쿼리를 선택하면 결과 엔터티가 그래프에 다시 추가됩니다. 이 예에서는 관련 경고를 선택하여 그래프에 다음 경고를 반환했습니다.

    Screenshot: view related alerts

    관련 경고가 점선으로 엔터티에 연결된 것으로 나타나는지 확인합니다.

  4. 각 탐색 쿼리에 대해 이벤트>를 선택하여 원시 이벤트 결과 및 Log Analytics에서 사용되는 쿼리를 여는 옵션을 선택할 수 있습니다.

  5. 인시던트를 이해하기 위해 그래프는 병렬 타임라인을 제공합니다.

    Screenshot: view timeline in map.

  6. 타임라인을 가리켜 그래프에서 어떤 시점에 어떤 항목이 발생했는지 확인합니다.

    Screenshot: use timeline in map to investigate alerts.'

조사에 집중

인시던트에 경고를 추가하거나 인시던트에서 경고를 제거하여 조사 범위를 넓히거나 좁힐 수 있는 방법에 대해 알아봅니다.

유사한 인시던트(미리 보기)

보안 운영 분석가는 인시던트를 조사할 때 더 큰 컨텍스트에 주의를 기울이고 싶을 것입니다. 예를 들어, 이와 같은 다른 인시던트가 이전에 발생했거나 현재 발생하고 있는지 확인하고 싶을 것입니다.

  • 동일한 더 큰 공격 전략의 일부일 수 있는 동시 발생 인시던트를 식별할 수 있습니다.

  • 과거에 유사한 인시던트를 식별하여 현재 조사를 위한 참조 지점으로 사용할 수 있습니다.

  • 과거 유사한 인시던트의 소유자를 식별하고 SOC에서 더 많은 컨텍스트를 제공하거나 조사를 에스컬레이션할 수 있는 사용자를 찾을 수 있습니다.

현재 미리 보기로 제공되는 인시던트 세부 정보 페이지의 유사한 인시던트 탭에는 현재 인시던트와 가장 유사한 다른 인시던트가 최대 20개까지 표시됩니다. 유사성은 내부 Microsoft Sentinel 알고리즘에 의해 계산되며 인시던트는 유사성의 내림차순으로 정렬되어 표시됩니다.

Screenshot of the similar incidents display.

유사성 계산

유사성을 결정하는 세 가지 기준이 있습니다.

  • 유사한 항목: 두 항목에 동일한 항목이 포함되어 있으면 인시던트가 다른 인시던트와 유사한 것으로 간주됩니다. 두 인시던트에 공통점이 많을수록 더 유사한 것으로 간주됩니다.

  • 유사한 규칙: 동일한 분석 규칙에 의해 만들어진 인시던트는 다른 인시던트와 유사한 것으로 간주됩니다.

  • 유사한 경고 세부 정보: 동일한 제목, 제품 이름 및/또는 사용자 지정 세부 정보를 공유하는 인시던트는 다른 인시던트와 유사한 것으로 간주됩니다.

유사한 인시던트 목록에 인시던트가 나타나는 이유는 유사성 이유 열에 표시됩니다. 정보 아이콘 위로 마우스를 가져가면 공통 항목(엔티티, 규칙 이름 또는 세부 정보)이 표시됩니다.

Screenshot of pop-up display of similar incident details.

유사성 시간 프레임

인시던트 유사성은 인시던트의 가장 최근 경고의 종료 시간인 인시던트의 마지막 작업 이전 14일의 데이터를 기반으로 계산됩니다.

인시던트 유사성은 인시던트 세부 정보 페이지에 들어갈 때마다 다시 계산되므로 새 인시던트가 만들어지거나 업데이트된 경우 세션 간에 결과가 다를 수 있습니다.

인시던트에 대한 주석

보안 운영 분석가는 인시던트를 조사할 때 경영진에게 정확한 보고를 보장하고 동료 간의 원활한 협력과 협업을 가능하게 하기 위해 취하는 단계를 철저히 문서화하기를 원할 것입니다. Microsoft Sentinel은 이를 수행할 수 있도록 하는 풍부한 주석 처리 환경을 제공합니다.

주석으로 수행할 수 있는 또 다른 중요한 작업은 인시던트가 자동으로 보강되는 것입니다. 외부 원본에서 관련 정보를 가져오는 인시던트에 대한 플레이북을 실행할 때(예: VirusTotal에서 맬웨어에 대한 파일 확인), 플레이북이 외부 원본의 응답(사용자가 정의한 다른 정보와 함께)을 인시던트의 주석에 배치하도록 할 수 있습니다.

주석은 사용하기 쉽습니다. 인시던트 세부 정보 페이지의 주석 탭을 통해 액세스할 수 있습니다.

Screenshot of viewing and entering comments.

자주 묻는 질문

인시던트 주석을 사용할 때 고려해야 할 몇 가지 사항이 있습니다. 다음 질문 목록은 이러한 고려 사항을 나타냅니다.

어떤 종류의 입력이 지원되나요?

  • 텍스트: Microsoft Sentinel의 주석은 일반 텍스트, 기본 HTML 및 마크다운의 텍스트 입력을 지원합니다. 복사한 텍스트, HTML 및 Markdown을 주석 창에 붙여넣을 수도 있습니다.

  • 이미지: 주석에 이미지 링크를 삽입할 수 있으며 이미지는 인라인으로 표시되지만 이미지는 Dropbox, OneDrive, Google 드라이브 등과 같이 공개적으로 액세스할 수 있는 위치에 이미 호스팅되어 있어야 합니다. 이미지는 주석에 직접 업로드할 수 없습니다.

주석에 크기 제한이 있나요?

  • 주석당: 단일 주석에는 최대 30,000자가 포함될 수 있습니다.

  • 인시던트당: 단일 인시던트에는 최대 주석 100개가 포함될 수 있습니다.

    참고 항목

    Log Analytics의 SecurityIncident 테이블에 있는 단일 인시던트 레코드의 크기 제한은 64KB입니다. 이 제한을 초과하면 주석(가장 이른 것부터 시작)이 잘려서 고급 검색 결과에 표시될 주석에 영향을 미칠 수 있습니다.

    인시던트 데이터베이스의 실제 인시던트 기록은 영향을 받지 않습니다.

누가 주석을 편집하거나 삭제할 수 있나요?

  • 편집: 주석 작성자만 편집할 수 있습니다.

  • 삭제:Microsoft Sentinel 기여자 역할이 있는 사용자만 주석을 삭제할 수 있는 권한이 있습니다. 주석 작성자라도 삭제하려면 이 역할이 있어야 합니다.

인시던트 종결

특정 인시던트를 해결한 후(예: 조사가 결론에 도달했을 때) 인시던트의 상태를 종결됨으로 설정해야 합니다. 이렇게 하면 종결 이유를 지정하여 인시던트를 분류하라는 메시지가 표시됩니다. 이 단계는 필수입니다. 분류 선택을 클릭하고 드롭다운 목록에서 다음 중 하나를 선택합니다.

  • 진양성 - 의심스러운 활동
  • 무해한 양성 - 의심스럽지만 예상됨
  • 가양성 - 잘못된 경고 논리
  • 가양성 - 잘못된 데이터
  • 결정되지 않음

Screenshot that highlights the classifications available in the Select classification list.

가양성 및 무해한 양성에 대한 자세한 내용은 Microsoft Sentinel에서 가양성 처리를 참조하세요.

적절한 분류를 선택한 후 설명 필드에 설명 텍스트를 추가합니다. 이 문제는 이 인시던트를 다시 참조해야 하는 경우에 유용합니다. 완료되면 적용을 클릭합니다. 그러면 인시던트가 종결됩니다.

{alt-text}

인시던트 검색

특정 인시던트를 신속하게 찾으려면 인시던트 그리드 위의 검색 상자에 검색 문자열을 입력하고 Enter 키를 눌러 적절하게 표시되는 인시던트 목록을 수정합니다. 인시던트가 결과에 포함되지 않은 경우 고급 검색 옵션을 사용하여 검색 범위를 좁힐 수 있습니다.

검색 매개 변수를 수정하려면 검색 단추를 선택한 다음, 검색을 실행하려는 매개 변수를 선택합니다.

예시:

Screenshot of the incident search box and button to select basic and/or advanced search options.

기본적으로 인시던트 검색은 인시던트 ID, 제목, 태그, 소유자제품 이름 값에서만 실행됩니다. 검색 창에서 목록을 아래로 스크롤하여 검색할 다른 매개 변수를 하나 이상 선택하고 적용을 선택하여 검색 매개 변수를 업데이트합니다. 기본값으로 설정을 선택하면 선택된 매개 변수를 기본 옵션으로 다시 설정합니다.

참고 항목

소유자 필드 검색은 이름 및 이메일 주소를 모두 지원합니다.

고급 검색 옵션을 사용하면 검색 동작이 다음과 같이 변경됩니다.

검색 동작 설명
검색 단추 색 검색 단추의 색은 현재 검색에 사용되는 매개 변수의 형식에 따라 변경됩니다.
  • 기본 매개 변수만 선택하면 단추가 회색으로 표시됩니다.
  • 고급 검색 매개 변수와 같은 다른 매개 변수를 선택하는 즉시 단추가 파란색으로 바뀝니다.
자동 새로 고침 고급 검색 매개 변수를 사용하면 결과를 자동으로 새로 고치도록 선택할 수 없게 됩니다.
엔터티 매개 변수 모든 엔터티 매개 변수는 고급 검색에 대해 지원됩니다. 엔터티 매개 변수에서 검색할 때 검색은 모든 엔터티 매개 변수에서 실행됩니다.
검색 문자열 단어 문자열을 검색하면 검색 쿼리에 모든 단어가 포함됩니다. 검색 문자열은 대/소문자를 구분합니다.
작업 영역 간 지원 작업 영역 간 보기에는 고급 검색이 지원되지 않습니다.
표시된 검색 결과 수 고급 검색 매개 변수를 사용하는 경우 한 번에 50개의 결과만 표시됩니다.

찾고 있는 인시던트를 찾을 수 없는 경우 검색 매개 변수를 제거하여 검색을 확장합니다. 검색 결과 항목이 너무 많으면 필터를 더 추가하여 결과의 범위를 좁힐 수 있습니다.

다음 단계

이 문서에서는 Microsoft Sentinel을 사용하여 인시던트 조사를 시작하는 방법을 배웠습니다. 자세한 내용은 다음을 참조하세요.