Microsoft Sentinel에서 헌팅 라이브 스트림을 사용하여 위협 탐지

  • 아티클
  • 적용 대상:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

헌팅 라이브 스트림을 사용하여 이벤트가 발생할 때 새로 생성된 쿼리를 테스트하고, 일치 항목이 발견될 때 세션에서 알림을 받고, 필요한 경우 조사를 시작할 수 있는 대화형 세션을 만듭니다. Log Analytics 쿼리를 사용하여 라이브 스트림 세션을 신속하게 만들 수 있습니다.

  • 이벤트가 발생하면 새로 생성된 쿼리 테스트

    이벤트에 적극적으로 적용되는 현재 규칙에 대한 충돌 없이 쿼리를 테스트하고 조정할 수 있습니다. 이러한 새 쿼리가 예상대로 작동하는지 확인한 후에는 경고에 대한 세션을 상승시키는 옵션을 선택하여 사용자 지정 경고 규칙으로 승격하는 것이 쉽습니다.

  • 위협이 발생하면 알림 받기

    위협 데이터 피드를 집계된 로그 데이터와 비교하여 일치가 발생하면 알림을 받을 수 있습니다. 위협 데이터 피드는 잠재적 또는 현재 위협과 관련된 지속적인 데이터 스트림이므로 알림이 조직에 대한 잠재적 위협을 의미할 수 있습니다. 사용자 지정 경고 규칙 대신 실시간 스트리밍 세션을 만들어 사용자 지정 경고 규칙을 유지 관리하는 데 드는 오버헤드 없이 잠재적인 문제에 대한 경고를 받을 수 있습니다.

  • 조사 시작

    호스트 또는 사용자와 같은 자산을 포함하는 활성 조사가 있는 경우 해당 자산에서 발생하는 로그 데이터의 특정(또는 임의) 활동을 봅니다. 해당 활동이 발생하면 알림을 받습니다.

Important

Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼의 공개 미리 보기의 일부로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

라이브 스트림 만들기

기존 헌팅 쿼리에서 라이브 스트림 세션을 만들거나 처음부터 세션을 만들 수 있습니다.

  1. Azure Portal의 Microsoft Sentinel에 대해서는 위협 관리에서 헌팅을 선택합니다.
    Defender 포털의 Microsoft Sentinel에 대해서는 Microsoft Sentinel>위협 관리>헌팅을 선택합니다.

  2. 헌팅 쿼리에서 라이브 스트림 세션을 만들려면 다음을 수행합니다.

    1. 쿼리 탭에서 사용할 헌팅 쿼리를 찾습니다.
    2. 쿼리를 마우스 오른쪽 단추로 클릭하고 라이브 스트림에 추가를 선택합니다. 예시:

    Microsoft Sentinel 헌팅 쿼리에서 라이브 스트림 세션 만들기

  3. 라이브 스트림 세션을 처음부터 만들려면 다음을 수행합니다.

    1. 라이브 스트림 탭을 선택합니다.
    2. + 새 라이브 스트림을 클릭합니다.

  4. Livestream 창에서 다음을 수행합니다.

    • 쿼리에서 라이브 스트림을 시작한 경우 쿼리를 검토하고 원하는 변경 작업을 수행합니다.
    • 라이브 스트림을 처음부터 시작했으면 쿼리를 만듭니다.

    Livestream은 Azure Data Explorer의 데이터 리소스 간 쿼리를 지원합니다. 리소스 간 쿼리에 대해 자세히 알아보세요.

  5. 명령 모음에서 재생을 선택합니다.

    명령 모음 아래의 상태 표시줄에는 라이브 스트림 세션이 실행 중인지 아니면 일시 중지되었는지 여부가 표시됩니다. 다음 예제에서는 세션이 실행됩니다.

    Microsoft Sentinel 헌팅에서 라이브 스트림 세션 만들기

  6. 명령 모음에서 저장을 선택합니다.

    일시 중지를 선택하지 않는 한 세션은 Azure Portal에서 로그아웃 될 때까지 계속 실행됩니다.

라이브 스트림 세션 보기

  1. Azure Portal의 Microsoft Sentinel에 대해서는 위협 관리에서 헌팅을 선택합니다.
    Defender 포털의 Microsoft Sentinel에 대해서는 Microsoft Sentinel>위협 관리>헌팅을 선택합니다.

  2. 라이브 스트림 탭을 선택합니다.

  3. 보거나 편집하길 원하는 라이브 스트림 세션을 선택합니다. 예시:

    Microsoft Sentinel 헌팅 쿼리에서 라이브 스트림 세션 만들기

    선택한 라이브 스트림 세션이 재생, 일시 중지, 편집 등으로 열립니다.

새 이벤트가 발생할 때 알림 받기

새 이벤트에 대한 라이브 스트림 알림은 Azure Portal 알림을 사용하기 때문에 Azure Portal를 사용할 때마다 이러한 알림이 표시됩니다. 예시:

라이브 스트림에 대한 Azure Portal 알림

알림을 선택하여 라이브 스트림 창을 엽니다.

라이브 스트림 세션을 경고로 상승

관련 라이브 스트림 세션의 명령 모음에서 경고로 상승을 선택하여 라이브 스트림 세션을 새 경고로 승격합니다.

라이브 스트림 세션을 경고로 상승

이 작업을 수행하면 라이브 스트림 세션과 연결된 쿼리로 미리 채워져 있는 규칙 만들기 마법사가 열립니다.

다음 단계

이 문서에서는 Microsoft Sentinel의 헌팅 Livestream을 사용하는 방법을 알아보았습니다. Microsoft Sentinel에 대해 자세히 알아보려면 다음 문서를 참조하세요.