Microsoft Sentinel에서 인시던트 탐색 및 조사

  • 아티클

Microsoft Sentinel은 보안 인시던트를 조사하기 위한 완전한 기능을 갖춘 사례 관리 플랫폼을 제공합니다. 인시던트 세부 정보 페이지는 조사를 실행하고 모든 관련 정보와 모든 적용 가능한 도구 및 작업을 한 화면에 수집하는 중앙 위치입니다.

이 문서에서는 인시던트 세부 정보 페이지에서 사용할 수 있는 모든 패널과 옵션을 안내하여 인시던트를 더 빠르고 효과적이며 효율적으로 탐색하고, 조사하고, MTTR(평균 해결 시간)을 줄입니다.

이전 버전의 인시던트 조사에 대한 지침을 참조하세요.

인시던트는 특정 조사에 대한 모든 관련 증거의 집계를 포함하는 인시던트 파일입니다. 각 인시던트는 분석 규칙에서 생성되거나 자체 경고를 생성하는 타사 보안 제품에서 가져온 증거(경고)를 기반으로 하여 만들어지거나 추가됩니다. 인시던트는 경고에 포함된 엔터티와 경고 속성(예: 심각도, 상태, MITRE ATT&CK 전술 및 기술)을 상속합니다.

필수 조건

  • 인시던트를 조사하려면 Microsoft Sentinel 응답자 역할 할당이 필요합니다.

    Microsoft Sentinel의 역할에 대해 자세히 알아보세요.

  • 인시던트를 할당해야 하는 게스트 사용자가 있는 경우 해당 사용자에게 Microsoft Entra 테넌트의 디렉터리 읽기 권한자 역할을 할당해야 합니다. 일반(게스트가 아닌) 사용자에게는 기본적으로 이 역할이 할당됩니다.

인시던트 페이지

  1. Microsoft Sentinel 탐색 메뉴의 위협 관리 아래에서 인시던트를 선택합니다.

    인시던트 페이지에서는 모든 미해결 인시던트에 대한 기본 정보를 제공합니다.

    • 화면 위쪽에는 새 인시던트 또는 활성 인시던트 여부에 관계없이 미해결 인시던트 수와 심각도별 미해결 인시던트 수가 있습니다. 또한 특정 인시던트 외부(전체 그리드 또는 선택한 여러 인시던트)에서 수행할 수 있는 작업이 포함된 배너도 있습니다.

    • 가운데 창에는 인시던트 그리드, 목록 위쪽에 있는 필터링 컨트롤을 통해 필터링된 인시던트 목록 및 특정 인시던트를 찾을 수 있는 검색 창이 있습니다.

    • 오른쪽에는 가운데 목록에서 강조 표시된 인시던트에 대한 중요한 정보를 보여주는 세부 정보 창과 해당 인시던트와 관련하여 특정 작업을 수행하기 위한 단추가 있습니다.

    Screenshot of view of incident severity.

  2. 보안 운영 팀에는 새 인시던트에 대한 기본 심사를 수행하고 적절한 담당자에게 할당하기 위한 자동화 규칙이 있을 수 있습니다.

    이 경우 소유자별로 인시던트 목록을 필터링하여 목록을 사용자 또는 팀에 할당된 인시던트로 제한합니다. 필터링된 이 집합은 개인 워크로드를 나타냅니다.

    그렇지 않으면 기본 심사를 직접 수행할 수 있습니다. 먼저 상태, 심각도, 제품 이름에 관계없이 사용 가능한 필터링 조건을 기준으로 인시던트 목록을 필터링할 수 있습니다. 자세한 내용은 인시던트 검색을 참조하세요.

  3. 인시던트의 전체 세부 정보 페이지에 들어가지 않고도 인시던트 페이지의 세부 정보 창에서 바로 특정 인시던트를 심사하고 일부 작업을 즉시 수행합니다.

    • Microsoft Defender XDR에서 Microsoft Defender XDR 인시던트 조사:Microsoft Defender XDR에서 조사 링크를 따라 Defender 포털에서 유사한 인시던트로 피벗합니다. Microsoft Defender XDR의 인시던트에 대한 모든 변경 내용은 Microsoft Sentinel의 동일한 인시던트에 동기화됩니다.

    • 할당된 작업 목록 열기: 작업이 할당된 인시던트에는 완료된 작업 수, 총 작업 수 및 전체 세부 정보 보기 링크가 표시됩니다. 이 인시던트에 대한 작업 목록을 보려면 링크를 따라 인시던트 작업 패널을 엽니다.

    • 소유자 드롭다운 목록에서 선택하여 인시던트의 소유권을 사용자 또는 그룹에 할당합니다.

      Screenshot of assigning incident to user.

      최근에 선택한 사용자와 그룹이 그려진 드롭다운 목록의 맨 위에 표시됩니다.

    • 상태 드롭다운 목록에서 선택하여 인시던트 상태를 업데이트합니다(예: 신규에서 활성 또는 종료됨으로). 인시던트를 종료하는 경우 이유를 지정해야 합니다. 지침은 아래를 참조하세요..

    • 심각도 드롭다운 목록에서 선택하여 인시던트 심각도를 변경합니다.

    • 태그를 추가하여 인시던트를 분류합니다. 세부 정보 창 아래쪽으로 스크롤하여 태그를 추가할 위치를 확인해야 할 수도 있습니다.

    • 주석을 추가하여 작업, 아이디어, 질문 등을 로그합니다. 세부 정보 창 아래쪽으로 스크롤하여 주석을 추가할 위치를 확인해야 할 수도 있습니다.

  4. 세부 정보 창의 정보가 추가 수정 또는 완화 작업을 요청하는 데 충분한 경우 세부 정보 창 아래쪽에 있는 작업 단추를 선택하여 다음 중 하나를 수행합니다.

    • 조사:그래픽 조사 도구를 사용하여 이 인시던트 내와 다른 인시던트 전체에서 경고, 엔터티 및 활동 간의 관계를 검색합니다.

    • 플레이북 실행(미리 보기): 이 인시던트에 대한 플레이북을 실행하여 SOC 엔지니어가 제공할 수 있는 특정 보강, 협업 또는 대응 작업을 수행합니다.

    • 자동화 규칙 만들기: 향후 워크로드를 줄이거나 요구 사항(예: 침투 테스트)의 일시적인 변경을 고려하기 위해 향후 이 인시던트(동일한 분석 규칙에서 생성됨)와 같은 인시던트에서만 실행되는 자동화 규칙을 만듭니다.

    • 팀 만들기(미리 보기): Microsoft Teams에서 팀을 만들어 인시던트 처리에 대해 다른 개인 또는 여러 부서의 팀과 협업합니다.

    Screenshot of menu of actions that can be performed on an incident from the details pane.

  5. 인시던트에 대한 추가 정보가 필요한 경우 세부 정보 창에서 전체 세부 정보 보기를 선택하여 인시던트의 경고 및 엔터티, 유사한 인시던트 목록 및 선택한 주요 인사이트를 포함하여 인시던트의 전체 세부 정보를 열고 확인합니다.

이 문서의 다음 섹션을 참조하여 일반적인 조사 경로를 따르면서 프로세스에서 볼 수 있는 모든 정보와 수행할 수 있는 모든 작업에 대해 알아봅니다.

인시던트 심층 조사

Microsoft Sentinel은 완전한 기능을 갖춘 인시던트 조사 및 사례 관리 환경을 제공하므로 인시던트를 더 빠르고 효율적으로 조사, 수정 및 해결할 수 있습니다. 새 인시던트 세부 정보 페이지는 다음과 같습니다.

Screenshot of incident details page, featuring the overview tab.

사전 준비

인시던트를 조사하도록 설정할 때 워크플로를 지시하는 데 필요한 항목을 조합합니다. 인시던트 페이지 위쪽의 제목 바로 아래에 있는 단추 모음에서 다음 도구를 찾을 수 있습니다.

Screenshot of the button bar on the incident details page.

  1. 작업을 선택하여 이 인시던트에 할당된 작업을 확인하거나 고유한 작업을 추가합니다.

    인시던트 작업을 사용하여 SOC의 프로세스 표준화를 향상시키는 방법에 대해 자세히 알아보세요.

  2. 활동 로그를 선택하여 이 인시던트에 대해 자동화 규칙 등을 통해 이미 수행된 작업이 있는지와 작성된 주석이 있는지 확인합니다. 여기에 사용자 고유의 주석을 추가할 수도 있습니다. 아래에서 활동 로그에 대해 자세히 알아보세요.

  3. 언제든지 로그를 선택하여 인시던트 페이지 에서 비어 있는 완전한 로그 분석 쿼리 창을 엽니다. 관련 여부에 관계없이 인시던트에서 벗어나지 않고 쿼리를 작성하고 실행합니다. 따라서 생각을 쫓기 위해 갑자기 영감이 떠오를 때마다 흐름을 방해하는 것에 대해 걱정하지 마세요. 사용자를 위해 여기에 로그가 있습니다.

    아래에서 로그에 대해 자세히 알아보세요.

또한 개요엔터티 탭 맞은편에 인시던트 작업 단추도 표시됩니다. 여기서는 인시던트 그리드 페이지의 세부 정보 창에 있는 작업 단추를 통해 위에서 설명한 것과 동일한 작업을 사용할 수 있습니다. 유일하게 누락된 항목은 왼쪽 세부 정보 패널에서 사용할 수 있는 조사입니다.

Screenshot of incident actions button available on incident details page.

인시던트 작업 단추 아래에서 사용할 수 있는 작업을 요약하면 다음과 같습니다.

  • 플레이북 실행: 이 인시던트에 대한 플레이북을 실행하여 SOC 엔지니어가 제공할 수 있는 특정 보강, 협업 또는 대응 작업을 수행합니다.

  • 자동화 규칙 만들기: 향후 워크로드를 줄이거나 요구 사항(예: 침투 테스트)의 일시적인 변경을 고려하기 위해 향후 이 인시던트(동일한 분석 규칙에서 생성됨)와 같은 인시던트에서만 실행되는 자동화 규칙을 만듭니다.

  • 팀 만들기(미리 보기): Microsoft Teams에서 팀을 만들어 인시던트 처리에 대해 다른 개인 또는 여러 부서의 팀과 협업합니다. 이 인시던트에 대해 팀을 이미 만든 경우 이 메뉴 항목은 팀 열기로 표시됩니다.

인시던트 세부 정보 페이지에서 전체 그림 가져오기

인시던트 세부 정보 페이지의 왼쪽 패널에는 그리드 오른쪽의 인시던트 페이지에서 본 것과 동일한 인시던트 세부 정보가 포함되어 있으며 이전 버전과 거의 변경되지 않았습니다. 이 패널은 페이지의 나머지 부분에 표시되는 탭에 관계없이 항상 표시됩니다. 여기서 인시던트의 기본 정보를 확인하고 다음과 같은 방법으로 드릴다운할 수 있습니다.

  • 이벤트, 경고 또는 책갈피를 선택하여 인시던트 페이지 내에서 로그 패널을 엽니다. 로그 패널에는 선택한 세 가지 쿼리 중 하나가 표시되며, 인시던트에서 피벗하지 않고 쿼리 결과를 자세히 살펴볼 수 있습니다. 로그에 대해 자세히 알아보세요.

  • 엔터티 아래에 있는 항목을 선택하여 엔터티 탭에 표시합니다. (여기에는 인시던트의 처음 4개 엔터티만 표시됩니다. 나머지 엔터티는 모두 보기를 선택하여 확인하거나 개요 탭엔터티 위젯 또는 엔터티 탭에서 확인합니다.) 엔터티 탭에서 수행할 수 있는 작업을 알아보세요.

    Screenshot of details panel in incident details page.

또한 조사를 선택하여 모든 인시던트 요소 간의 관계를 도표로 보여주는 그래픽 조사 도구에서 인시던트를 열 수 있습니다.

이 패널은 소유자 드롭다운 옆에서 왼쪽을 가리키는 작은 이중 화살표를 선택하여 화면의 왼쪽 여백으로 축소할 수도 있습니다. 그러나 이렇게 최소화된 상태에서도 소유자, 상태 및 심각도를 변경할 수 있습니다.

Screenshot of collapsed side panel on incident details page.

인시던트 세부 정보 페이지의 나머지 부분은 개요엔터티라는 두 개의 탭으로 구분됩니다.

개요 탭에는 다음과 같은 위젯이 포함되어 있으며, 각 위젯은 조사의 필수 목표를 나타냅니다.

엔터티 탭에는 인시던트의 전체 엔터티 목록이 표시됩니다(위의 엔터티 위젯과 동일). 위젯에서 엔터티를 선택하면 전체 엔터티 페이지에서 볼 수 있듯이 여기로 이동하여 엔터티의 전체 서류, 즉 식별 정보, 활동 타임라인(인시던트 내부 및 외부 모두), 엔터티에 대한 전체 인사이트 세트를 볼 수 있습니다(단, 인시던트에 적합한 시간 프레임으로 제한됨).

인시던트 타임라인

인시던트 타임라인 위젯은 공격자 활동의 타임라인을 재구성하는 데 도움이 될 수 있는 경고의 타임라인과 인시던트의 책갈피를 표시합니다.

경고 및 책갈피 목록을 검색하거나 심각도, 전술 또는 콘텐츠 형식(경고 또는 책갈피)별로 목록을 필터링하여 원하는 항목을 찾는 데 도움을 받을 수 있습니다.

타임라인이 처음 표시되면 경고 또는 책갈피 여부에 관계없이 다음과 같은 각 항목에 대한 몇 가지 중요한 사항을 즉시 알려줍니다.

  • 경고 또는 책갈피를 만든 날짜 및 시간
  • 마우스로 아이콘 위를 가리키면 아이콘과 도구 설명으로 표시되는 항목, 경고 또는 책갈피의 유형
  • 항목의 첫 번째 줄에 굵게 표시된 경고 또는 책갈피의 이름
  • 왼쪽 가장자리를 따라 색 밴드로 표시되고 경고의 세 부분으로 구성된 "부제목"의 시작 부분에 단어 형식으로 표시되는 경고의 심각도
  • 부제목의 두 번째 부분에 있는 경고 공급자. 책갈피의 경우 책갈피의 작성자입니다.
  • 부제목의 세 번째 부분에 아이콘과 도구 설명으로 표시되는 경고와 관련된 MITRE ATT&CK 전술

마우스로 아이콘 또는 불완전한 텍스트 요소 위를 가리키면 해당 아이콘 또는 텍스트 요소의 전체 텍스트가 포함된 도구 설명이 표시됩니다. 이러한 도구 설명은 위젯의 제한된 너비로 인해 표시된 텍스트가 잘릴 때 유용합니다. 다음 스크린샷의 예를 참조하세요.

Screenshot of incident timeline display details.

개별 경고 또는 책갈피를 선택하여 전체 세부 정보를 확인합니다.

  • 경고 세부 정보에는 경고의 심각도 및 상태, 해당 경고를 생성한 분석 규칙, 경고를 생성한 제품, 경고에 언급된 엔터티, 관련 MITRE ATT&CK 전술 및 기술, 내부 시스템 경고 ID가 포함됩니다.

    시스템 경고 ID 링크를 선택하여 경고를 더 자세히 드릴다운하고, 로그 패널을 열고, 결과를 생성한 쿼리와 경고를 트리거한 이벤트를 표시합니다.

  • 책갈피 세부 정보는 경고 세부 정보와 정확히 동일하지 않습니다. 엔터티, MITRE ATT&CK 전술 및 기술, 책갈피 ID도 포함하지만 원시 결과와 책갈피 작성자 정보도 포함합니다.

    책갈피 로그 보기 링크를 선택하여 로그 패널을 열고, 책갈피로 저장된 결과를 생성한 쿼리를 표시합니다.

    Screenshot of the details of an alert displayed in the incident details page.

인시던트 타임라인 위젯에서 경고 및 책갈피에 대해 다음 작업을 수행할 수도 있습니다.

유사한 인시던트

보안 운영 분석가는 인시던트를 조사할 때 더 큰 컨텍스트에 주의를 기울이고 싶을 것입니다. 예를 들어, 이와 같은 다른 인시던트가 이전에 발생했거나 현재 발생하고 있는지 확인하고 싶을 것입니다.

  • 동일한 더 큰 공격 전략의 일부일 수 있는 동시 발생 인시던트를 식별할 수 있습니다.

  • 과거에 유사한 인시던트를 식별하여 현재 조사를 위한 참조 지점으로 사용할 수 있습니다.

  • 과거 유사한 인시던트의 소유자를 식별하고 SOC에서 더 많은 컨텍스트를 제공하거나 조사를 에스컬레이션할 수 있는 사용자를 찾을 수 있습니다.

인시던트 세부 정보 페이지의 유사한 인시던트 위젯은 현재 인시던트와 가장 유사한 다른 인시던트를 최대 20개까지 표시합니다. 유사성은 내부 Microsoft Sentinel 알고리즘에 의해 계산되며 인시던트는 유사성의 내림차순으로 정렬되어 표시됩니다.

Screenshot of the similar incidents display.

인시던트 타임라인 위젯과 마찬가지로 열 너비로 인해 불완전하게 표시되는 텍스트 위를 마우스로 가리켜서 텍스트를 표시할 수 있습니다.

유사성을 결정하는 세 가지 기준이 있습니다.

  • 유사한 항목: 두 항목에 동일한 항목이 포함되어 있으면 인시던트가 다른 인시던트와 유사한 것으로 간주됩니다. 두 인시던트에 공통점이 많을수록 더 유사한 것으로 간주됩니다.

  • 유사한 규칙: 동일한 분석 규칙에 의해 만들어진 인시던트는 다른 인시던트와 유사한 것으로 간주됩니다.

  • 유사한 경고 세부 정보: 동일한 제목, 제품 이름 및/또는 사용자 지정 세부 정보를 공유하는 인시던트는 다른 인시던트와 유사한 것으로 간주됩니다.

유사한 인시던트 목록에 인시던트가 나타나는 이유는 유사성 이유 열에 표시됩니다. 정보 아이콘 위로 마우스를 가져가면 공통 항목(엔티티, 규칙 이름 또는 세부 정보)이 표시됩니다.

Screenshot of pop-up display of similar incident details.

인시던트 유사성은 인시던트의 가장 최근 경고의 종료 시간인 인시던트의 마지막 작업 이전 14일의 데이터를 기반으로 계산됩니다.

인시던트 유사성은 인시던트 세부 정보 페이지에 들어갈 때마다 다시 계산되므로 새 인시던트가 만들어지거나 업데이트된 경우 세션 간에 결과가 다를 수 있습니다.

인시던트에 대한 주요 인사이트 얻기

Microsoft Sentinel의 보안 전문가는 인시던트의 엔터티에 대해 중요한 사항을 자동으로 질문하는 쿼리를 작성했습니다. 인시던트 세부 정보 페이지의 오른쪽에 표시되는 주요 인사이트 위젯에서 주요 답변을 확인할 수 있습니다. 이 위젯은 기계 학습 분석과 보안 전문가로 구성된 최고 팀의 큐레이션을 기반으로 하는 인사이트 컬렉션을 표시합니다.

이러한 인사이트는 엔터티 페이지에 표시되는 것과 동일한 인사이트 중 일부이며, 빠르게 심사하고 위협의 범위를 이해하는 데 도움이 되도록 특별히 선택되었습니다. 동일한 이유로, 인시던트의 모든 엔터티에 대한 인사이트를 함께 제공하여 현재 진행 상황을 더 완벽하게 파악할 수 있습니다.

현재 선택된 주요 인사이트는 다음과 같습니다(목록은 변경될 수 있음).

  1. 계정 작업
  2. 계정에 대한 작업
  3. UEBA 인사이트
  4. 사용자와 관련된 위협 지표
  5. 관심 목록 인사이트(미리 보기)
  6. 비정상적으로 많은 수의 보안 이벤트
  7. Windows 로그인 활동
  8. IP 주소 원격 연결
  9. TI 일치를 사용하는 IP 주소 원격 연결

이러한 각 인사이트(현재 관심 목록과 관련된 인사이트 제외)에는 인시던트 페이지에서 열리는 로그 패널에서 기본 쿼리를 열도록 선택할 수 있는 링크가 있습니다. 그러면 쿼리 결과를 드릴다운할 수 있습니다.

주요 인사이트 위젯의 시간 프레임은 인시던트의 가장 빠른 경고 24시간 전부터 최신 경고 시간까지입니다.

인시던트의 엔터티 살펴보기

엔터티 위젯은 인시던트의 경고에서 식별된 모든 엔터티를 표시합니다. 이는 사용자, 디바이스, 주소, 파일 또는 기타 형식에 관계없이 인시던트에서 역할을 한 개체입니다.

엔터티 위젯에서 엔터티 목록을 검색하거나 엔터티 형식별로 목록을 필터링하여 엔터티를 찾는 데 도움을 받을 수 있습니다.

Screenshot of the actions you can take on an entity from the overview tab.

특정 엔터티가 알려진 손상 지표임을 이미 알고 있는 경우 엔터티 행에서 3점을 선택하고 TI에 추가를 선택하여 해당 엔터티를 위협 인텔리전스에 추가합니다. (이 옵션은 지원되는 엔터티 형식에 사용할 수 있습니다.)

특정 엔터티에 대한 자동 응답 시퀀스를 트리거하려면 3점을 선택하고 플레이북 실행(미리 보기)을 선택합니다. (이 옵션은 지원되는 엔터티 형식에 사용할 수 있습니다.)

엔터티를 선택하여 전체 세부 정보를 확인합니다. 엔터티를 선택하면 개요 탭에서 인시던트 세부 정보 페이지의 다른 부분인 엔터티 탭으로 이동합니다.

엔터티 탭

엔터티 탭은 인시던트의 모든 엔터티 목록을 표시합니다.

Screenshot of entities tab in incident details page.

엔터티 위젯과 마찬가지로 이 목록도 엔터티 형식별로 검색하고 필터링할 수 있습니다. 한 목록에 적용된 검색 및 필터는 다른 목록에 적용되지 않습니다.

오른쪽 측면 패널에 표시할 해당 엔터티 정보의 목록에서 행을 선택합니다.

엔터티 이름이 링크로 표시되는 경우 엔터티 이름을 선택하면 인시던트 조사 페이지 외부의 전체 엔터티 페이지로 리디렉션됩니다. 인시던트에서 벗어나지 않고 측면 패널만 표시하려면 목록에서 엔터티가 표시되는 행을 선택하지만 이름은 선택하지 않습니다.

여기서는 개요 페이지의 위젯에서 수행할 수 있는 것과 동일한 작업을 수행할 수 있습니다. 엔터티 행에서 3점을 선택하여 플레이북을 실행하거나 엔터티를 위협 인텔리전스에 추가합니다.

이러한 작업은 측면 패널 아래쪽의 전체 세부 정보 보기 옆에 있는 단추를 선택하여 수행할 수도 있습니다. 단추는 TI에 추가, 플레이북 실행(미리 보기) 또는 엔터티 작업을 표시합니다. 이 경우 다른 두 가지 선택 항목이 포함된 메뉴가 표시됩니다.

전체 세부 정보 보기 단추를 누르면 해당 엔터티의 전체 엔터티 페이지로 리디렉션됩니다.

측면 패널에는 다음 세 개의 카드가 있습니다.

  • 정보에는 엔터티에 대한 식별 정보가 포함됩니다. 예를 들어 사용자 계정 엔터티의 경우 사용자 이름, 도메인 이름, SID(보안 식별자), 조직 정보, 보안 정보 등이 포함될 수 있으며, IP 주소의 경우 지리적 위치와 같은 항목이 포함될 수 있습니다.

  • 타임라인에는 이 엔터티를 특징으로 하는 경고, 책갈피변칙의 목록이 포함되며, 엔터티가 나타나는 로그에서 수집한 대로 엔터티에서 수행한 활동도 포함됩니다. 이 엔터티를 특징으로 하는 모든 경고는 해당 경고가 이 인시던트에 속하는지 여부와 관계없이 이 목록에 포함됩니다.

    인시던트에 속하지 않은 경고는 다르게 표시됩니다. 방패 아이콘이 회색으로 표시되고 심각도 색 밴드가 실선이 아닌 점선으로 표시되며, 경고 행의 오른쪽에 더하기 기호가 있는 단추가 있습니다.

    Screenshot of entity timeline in entities tab.

    더하기 기호를 선택하여 경고를 이 인시던트에 추가합니다. 경고가 인시던트에 추가되면 경고(아직 인시던트에 속하지 않은)의 다른 엔터티도 모두 추가됩니다. 이제 관련 경고에 대한 이러한 엔터티의 타임라인을 확인하여 조사를 더 확장할 수 있습니다.

    이 타임라인은 이전 7일 동안의 경고 및 활동으로 제한됩니다. 더 뒤로 이동하려면 시간 프레임을 사용자 지정할 수 있는 전체 엔터티 페이지의 타임라인으로 피벗합니다.

  • 인사이트에는 원본 컬렉션의 데이터를 기반으로 하여 엔터티에 대한 중요하고 상황에 맞는 보안 정보를 제공하는 Microsoft 보안 연구원이 정의한 쿼리 결과가 포함되어 있습니다. 이러한 인사이트에는 주요 인사이트 위젯의 인사이트와 기타 다양한 인사이트가 포함됩니다. 즉, 전체 엔터티 페이지에 표시되는 것과 동일하지만, 인시던트의 가장 빠른 경고 24시간 전부터 시작하여 가장 최근 경고 시간으로 끝나는 제한된 시간 프레임에 걸쳐 있습니다.

    대부분의 인사이트에는 선택 시 결과와 함께 인사이트를 생성한 쿼리를 표시하는 로그 패널을 열 수 있는 링크가 포함되어 있습니다.

조사에 집중

인시던트에 경고를 추가하거나 인시던트에서 경고를 제거하여 조사 범위를 넓히거나 좁힐 수 있는 방법에 대해 알아봅니다.

로그 데이터 자세히 살펴보기

조사 환경의 거의 모든 위치에서 조사 컨텍스트에 따라 로그 패널의 기본 쿼리를 여는 링크를 선택할 수 있습니다. 이러한 링크 중 하나에서 로그 패널에 액세스하면 해당 쿼리가 쿼리 창에 표시되고 쿼리가 자동으로 실행되어 탐색할 수 있는 적절한 결과를 생성합니다.

조사 중 시도하려는 쿼리가 컨텍스트에 남아 있는 경우 언제든지 인시던트 세부 정보 페이지 내에서 빈 로그 패널을 호출할 수도 있습니다. 이렇게 하려면 페이지 위쪽에서 로그를 선택합니다.

그러나 결과를 저장하려는 쿼리를 실행한 경우 로그 패널이 종료됩니다.

  1. 결과 중에서 저장하려는 행 옆의 확인란을 선택합니다. 모든 결과를 저장하려면 열 위쪽의 확인란을 선택합니다.

  2. 표시된 결과를 책갈피로 저장합니다. 이를 수행하는 옵션은 다음과 같이 두 가지가 있습니다.

    • 현재 인시던트에 책갈피 추가를 선택하여 책갈피를 만들고 미해결 인시던트에 추가합니다. 책갈피 지침에 따라 프로세스를 완료합니다. 완료되면 책갈피가 인시던트 타임라인에 표시됩니다.

    • 책갈피 추가를 선택하여 책갈피를 인시던트에 추가하지 않고 책갈피를 만듭니다. 책갈피 지침에 따라 프로세스를 완료합니다. 이 책갈피는 헌팅 페이지의 책갈피 탭 아래에서 사용자가 만든 다른 책갈피와 함께 찾을 수 있습니다. 여기서는 이 인시던트 또는 다른 인시던트에 추가할 수 있습니다.

  3. 책갈피가 만들어지면(또는 만들지 않도록 선택한 경우) 완료를 선택하여 로그 패널을 닫습니다.

Screenshot of Logs panel open in incident details page.

인시던트에 대한 감사 및 주석

인시던트를 조사하는 경우 경영진에 대한 정확한 보고를 보장하고 동료 간의 원활한 협력과 협업을 가능하게 하기 위해 수행하는 단계를 철저하게 문서화하려고 합니다. 또한 자동화된 프로세스를 포함하여 다른 사용자가 인시던트에 대해 수행한 모든 작업의 기록을 명확하게 확인하려고 합니다. Microsoft Sentinel은 이러한 작업을 수행하는 데 도움이 되는 풍부한 감사 및 주석 처리 환경인 활동 로그를 제공합니다.

주석을 사용하여 인시던트를 자동으로 보강할 수도 있습니다. 예를 들어 외부 원본에서 관련 정보를 가져오는 인시던트에 대한 플레이북(예: VirusTotal에서 파일에 맬웨어가 있는지 확인)을 실행하는 경우 플레이북에서 외부 원본의 응답을 사용자가 정의한 다른 정보와 함께 인시던트 주석에 배치하도록 할 수 있습니다.

활동 로그는 열려 있는 동안에도 자동으로 새로 고쳐지므로 언제든지 실시간으로 변경 내용을 확인할 수 있습니다. 또한 활동 로그가 열려 있는 동안 이 활동 로그의 변경 내용에 대한 알림도 표시됩니다.

활동 로그와 주석을 보거나 사용자 고유의 주석을 추가하려면 다음을 수행합니다.

  1. 인시던트 세부 정보 페이지의 위쪽에서 활동 로그를 선택합니다.
  2. 로그를 필터링하여 활동만 표시하거나 주석만 표시하려면 로그 위쪽에 있는 필터 컨트롤을 선택합니다.
  3. 주석을 추가하려면 인시던트 활동 로그 패널의 아래쪽에 있는 서식 있는 텍스트 편집기에서 주석을 입력합니다.
  4. 주석을 선택하여 주석을 제출합니다. 이제 주석이 로그 위쪽에 표시됩니다.

Screenshot of viewing and entering comments.

주석에 대한 고려 사항

인시던트 주석을 사용할 때 고려해야 할 몇 가지 사항은 다음과 같습니다.

지원되는 입력:

  • 텍스트: Microsoft Sentinel의 주석은 일반 텍스트, 기본 HTML 및 마크다운의 텍스트 입력을 지원합니다. 복사한 텍스트, HTML 및 Markdown을 주석 창에 붙여넣을 수도 있습니다.

  • 링크: 링크는 HTML 앵커 태그 형식이어야 하며 target="_blank" 매개 변수가 있어야 합니다. 예제:

    <a href="https://www.url.com" target="_blank">link text</a>

    참고 항목

    주석을 인시던트에 만드는 플레이북이 있는 경우 주석 형식이 변경되어 이러한 주석의 링크도 이제 이 템플릿을 따라야 합니다.

  • 이미지: 주석에 이미지 링크를 삽입할 수 있으며 이미지는 인라인으로 표시되지만 이미지는 Dropbox, OneDrive, Google 드라이브 등과 같이 공개적으로 액세스할 수 있는 위치에 이미 호스팅되어 있어야 합니다. 이미지는 주석에 직접 업로드할 수 없습니다.

크기 제한:

  • 주석당: 단일 주석에는 최대 30,000자가 포함될 수 있습니다.

  • 인시던트당: 단일 인시던트에는 최대 주석 100개가 포함될 수 있습니다.

    참고 항목

    Log Analytics의 SecurityIncident 테이블에 있는 단일 인시던트 레코드의 크기 제한은 64KB입니다. 이 제한을 초과하면 주석(가장 이른 것부터 시작)이 잘려서 고급 검색 결과에 표시될 주석에 영향을 미칠 수 있습니다.

    인시던트 데이터베이스의 실제 인시던트 기록은 영향을 받지 않습니다.

편집하거나 삭제할 수 있는 사람:

  • 편집: 주석 작성자만 편집할 수 있습니다.

  • 삭제:Microsoft Sentinel 기여자 역할이 있는 사용자만 주석을 삭제할 수 있는 권한이 있습니다. 주석 작성자라도 삭제하려면 이 역할이 있어야 합니다.

조사 그래프를 활용하여 시각적으로 인시던트 조사

조사에서 경고, 엔터티 및 이러한 항목 간의 연결을 시각적, 그래픽으로 표현하려는 경우 클래식 조사 그래프를 사용하여 위에서 설명한 다양한 작업을 수행할 수 있습니다. 그래프의 단점은 컨텍스트를 훨씬 더 많이 전환해야 한다는 것입니다.

조사 그래프는 다음을 제공합니다.

  • 원시 데이터의 시각적 컨텍스트: 라이브 시각적 그래프는 원시 데이터에서 자동으로 추출된 엔터티 관계를 표시합니다. 이를 통해 다양한 데이터 원본 간의 연결을 쉽게 확인할 수 있습니다.

  • 전체 조사 범위 검색: 기본 제공 탐색 쿼리를 사용하여 조사 범위를 확장하여 위반 사항의 전체 범위를 노출합니다.

  • 기본 제공 조사 단계: 미리 정의된 탐색 옵션을 사용하여 위협에 대해 적절한 질문을 하고 있는지 확인합니다.

조사 그래프를 사용하려면 다음을 수행합니다.

  1. 인시던트를 선택하고 조사를 선택합니다. 그러면 조사 그래프로 이동합니다. 그래프는 경고에 직접 연결된 엔터티 및 추가로 연결된 각 리소스의 설명 맵을 제공합니다.

    View map.

    Important

    • 엔터티 매핑이 인시던트를 생성한 분석 규칙 또는 책갈피에 포함된 경우에만 해당 인시던트를 조사할 수 있습니다. 조사 그래프에서 원본 인시던트에 엔터티를 포함해야 합니다.

    • 조사 그래프는 현재 최대 30일 이전의 인시던트에 대한 조사를 지원합니다.

  2. 엔터티를 선택하면 해당 엔터티에 대한 정보를 검토할 수 있는 엔터티 창이 열립니다.

    View entities in map

  3. 각 엔터티를 가리켜 조사를 확장하면 조사를 심화하기 위해 엔터티 유형별 보안 전문가 및 분석가가 디자인한 질문 목록이 표시됩니다. 이러한 옵션을 탐색 쿼리라고 합니다.

    Explore more details

    예를 들어 관련 경고를 요청할 수 있습니다. 탐색 쿼리를 선택하면 결과 엔터티가 그래프에 다시 추가됩니다. 이 예에서는 관련 경고를 선택하여 그래프에 다음 경고를 반환했습니다.

    Screenshot: view related alerts.

    관련 경고가 점선으로 엔터티에 연결된 것으로 나타나는지 확인합니다.

  4. 각 탐색 쿼리에 대해 이벤트>를 선택하여 원시 이벤트 결과 및 Log Analytics에서 사용되는 쿼리를 여는 옵션을 선택할 수 있습니다.

  5. 인시던트를 이해하기 위해 그래프는 병렬 타임라인을 제공합니다.

    Screenshot: view timeline in map.

  6. 타임라인을 가리켜 그래프에서 어떤 시점에 어떤 항목이 발생했는지 확인합니다.

    Screenshot: use timeline in map to investigate alerts.'

인시던트 종결

특정 인시던트를 해결한 후(예: 조사가 결론에 도달했을 때) 인시던트의 상태를 종결됨으로 설정해야 합니다. 이렇게 하면 종결 이유를 지정하여 인시던트를 분류하라는 메시지가 표시됩니다. 이 단계는 필수입니다. 분류 선택을 클릭하고 드롭다운 목록에서 다음 중 하나를 선택합니다.

  • 진양성 – 의심스러운 활동
  • 무해한 양성 - 의심스럽지만 예상되는 활동
  • 가양성 - 잘못된 경고 논리
  • 가양성 - 잘못된 데이터
  • 결정되지 않음

Screenshot that highlights the classifications available in the Select classification list.

가양성 및 무해한 양성에 대한 자세한 내용은 Microsoft Sentinel에서 가양성 처리를 참조하세요.

적절한 분류를 선택한 후 설명 필드에 설명 텍스트를 추가합니다. 이 문제는 이 인시던트를 다시 참조해야 하는 경우에 유용합니다. 완료되면 적용을 클릭합니다. 그러면 인시던트가 종결됩니다.

{alt-text}

인시던트 검색

특정 인시던트를 신속하게 찾으려면 인시던트 그리드 위의 검색 상자에 검색 문자열을 입력하고 Enter 키를 눌러 적절하게 표시되는 인시던트 목록을 수정합니다. 인시던트가 결과에 포함되지 않은 경우 고급 검색 옵션을 사용하여 검색 범위를 좁힐 수 있습니다.

검색 매개 변수를 수정하려면 검색 단추를 선택한 다음, 검색을 실행하려는 매개 변수를 선택합니다.

예시:

Screenshot of the incident search box and button to select basic and/or advanced search options.

기본적으로 인시던트 검색은 인시던트 ID, 제목, 태그, 소유자제품 이름 값에서만 실행됩니다. 검색 창에서 목록을 아래로 스크롤하여 검색할 다른 매개 변수를 하나 이상 선택하고 적용을 선택하여 검색 매개 변수를 업데이트합니다. 기본값으로 설정을 선택하면 선택된 매개 변수를 기본 옵션으로 다시 설정합니다.

참고 항목

소유자 필드 검색은 이름 및 이메일 주소를 모두 지원합니다.

고급 검색 옵션을 사용하면 검색 동작이 다음과 같이 변경됩니다.

검색 동작 설명
검색 단추 색 검색 단추의 색은 현재 검색에 사용되는 매개 변수의 형식에 따라 변경됩니다.
  • 기본 매개 변수만 선택하면 단추가 회색으로 표시됩니다.
  • 고급 검색 매개 변수와 같은 다른 매개 변수를 선택하는 즉시 단추가 파란색으로 바뀝니다.
자동 새로 고침 고급 검색 매개 변수를 사용하면 결과를 자동으로 새로 고치도록 선택할 수 없게 됩니다.
엔터티 매개 변수 모든 엔터티 매개 변수는 고급 검색에 대해 지원됩니다. 엔터티 매개 변수에서 검색할 때 검색은 모든 엔터티 매개 변수에서 실행됩니다.
검색 문자열 단어 문자열을 검색하면 검색 쿼리에 모든 단어가 포함됩니다. 검색 문자열은 대/소문자를 구분합니다.
작업 영역 간 지원 작업 영역 간 보기에는 고급 검색이 지원되지 않습니다.
표시된 검색 결과 수 고급 검색 매개 변수를 사용하는 경우 한 번에 50개의 결과만 표시됩니다.

찾고 있는 인시던트를 찾을 수 없는 경우 검색 매개 변수를 제거하여 검색을 확장합니다. 검색 결과 항목이 너무 많으면 필터를 더 추가하여 결과의 범위를 좁힐 수 있습니다.

다음 단계

이 문서에서는 Microsoft Sentinel을 사용하여 인시던트 조사를 시작하는 방법을 배웠습니다. 자세한 내용은 다음을 참조하세요.