Microsoft Sentinel의 항목에 데이터 필드 매핑

• 적용 대상:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

엔터티 매핑은 예약된 쿼리 분석 규칙 구성의 중요한 부분입니다. 뒤에 나오는 조사 프로세스 및 수정 작업의 구성 요소 역할을 하는 필수 정보로 규칙의 출력(경고와 인시던트)을 보강합니다.

아래에 자세히 설명된 절차는 분석 규칙 만들기 마법사의 일부입니다. 여기서는 기존 분석 규칙에서 엔터티 매핑을 추가하거나 변경하는 시나리오를 해결하기 위해 독립적으로 처리됩니다.

Important

• 이전 버전과의 호환성 및 새 버전과 이전 버전의 엔터티 매핑 간 차이점에 대한 중요한 정보는 이 문서의 끝에 있는 "새 버전에 대한 참고 사항"을 참조하세요.
• Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼의 공개 미리 보기의 일부로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

엔터티 매핑 방법

1. Microsoft Sentinel에 액세스하는 포털에서 분석 페이지를 시작합니다.

   Azure Portal

   Microsoft Sentinel 탐색 메뉴의 구성 섹션에서 분석을 선택합니다.

   Defender 포털

   Microsoft Defender 탐색 메뉴에서 Microsoft Sentinel을 확장한 다음, 구성을 확장합니다. 분석을 선택합니다.

2. 예약된 쿼리 규칙을 선택하고 세부 정보 창에서 편집을 선택합니다. 또는 화면 맨 위에서 만들기 > 예약된 쿼리 규칙을 클릭하여 새 규칙을 만듭니다.

3. 규칙 논리 설정 탭을 선택합니다. 새 규칙인 경우 규칙 쿼리 창에 쿼리를 입력합니다.

4. 경고 보강 섹션에서 엔터티 매핑을 펼칩니다.

   

5. 이제 확장된 엔터티 매핑 섹션에서 새 엔터티 추가를 선택합니다.

   

6. 엔터티 드롭다운 목록에서 엔터티를 선택합니다.

   

7. 엔터티의 식별자를 선택합니다. 식별자는 엔터티를 충분히 식별할 수 있는 엔터티 특성입니다. 식별자 드롭다운 목록에서 식별자를 선택한 다음, 값 드롭다운 목록에서 식별자에 해당하는 데이터 필드를 선택합니다. 몇 가지 예외를 제외하고 값 목록은 규칙 쿼리의 주체로 정의된 테이블의 데이터 필드로 채워집니다.

   지정된 엔터티 매핑에 대해 식별자를 최대 3개까지 정의할 수 있습니다. 일부 식별자는 필수이고 나머지는 선택 사항입니다. 필수 식별자를 하나 이상 선택해야 합니다. 그러지 않으면 필수 식별자를 알려주는 경고 메시지가 표시됩니다. 최상의 결과인 고유 식별을 극대화하려면 가능하면 항상 강력한 식별자를 사용해야 하며, 여러 개의 강력한 식별자를 사용하면 데이터 원본 간 상관 관계가 높아집니다. 사용 가능한 엔터티 및 식별자의 전체 목록을 참조하세요.

   

8. 새 엔터티 추가를 선택하여 더 많은 엔터티를 매핑합니다. 단일 분석 규칙에서 최대 10개의 엔터티 매핑을 정의할 수 있습니다. 동일한 형식의 엔터티를 둘 이상 매핑할 수도 있습니다. 예를 들어 ‘원본 IP 주소’ 필드와 ‘대상 IP 주소’ 필드에서 하나씩, 두 개의 IP 엔터티를 매핑할 수 있습니다. 이렇게 하면 두 엔터티를 모두 추적할 수 있습니다.

   마음이 바뀌거나 실수한 경우 엔터티 드롭다운 목록 옆에 있는 휴지통 아이콘을 클릭하여 엔터티 매핑을 제거할 수 있습니다.

9. 엔터티 매핑을 마쳤으면 검토 및 만들기 탭을 클릭합니다. 규칙 유효성 검사가 성공하면 저장을 클릭합니다.

참고 항목

• 단일 경고에서 최대 500개의 엔터티를 총체적으로 식별할 수 있으며 규칙에 정의된 모든 엔터티 매핑 간에 동일하게 분할됩니다.

  • 예를 들어 규칙에 두 엔터티 매핑이 정의된 경우 각 매핑은 최대 250개의 엔터티를 식별할 수 있습니다. 5개의 매핑이 정의되면 각 매핑은 최대 100개의 엔터티를 식별할 수 있습니다.
  • 단일 엔터티 형식의 여러 매핑(예: 원본 IP 및 대상 IP)은 각각 개별적으로 계산됩니다.
  • 경고에 이 제한을 초과하는 항목이 포함된 경우 이러한 초과 항목은 엔터티로 인식되고 추출되지 않습니다.

• 경고의 전체 엔터티 영역(엔터티 필드)에 대한 크기 제한은64 KB입니다.

  • 64KB보다 커지는 엔터티 필드는 잘립니다. 엔터티가 식별되면 경고 크기가 64KB에 도달할 때까지 경고에 하나씩 추가되고 나머지 엔터티는 경고에서 삭제됩니다.

새 버전에 대한 참고 사항

• 이제 새 버전이 GA(일반 공급) 버전이므로 이전 버전을 사용하는 기능 플래그 해결 방법을 더 이상 사용할 수 없습니다.

• 이전 버전을 사용하여 이 분석 규칙에 대한 엔터티 매핑을 이전에 정의한 경우 자동으로 새 버전으로 변환됩니다.

다음 단계

이 문서에서는 Microsoft Sentinel 분석 규칙의 엔터티에 데이터 필드를 매핑하는 방법을 배웠습니다. Microsoft Sentinel에 대해 자세히 알아보려면 다음 문서를 참조하세요.

• 경고를 보강하는 다른 방법을 살펴봅니다.
  • Microsoft Sentinel 경고에 사용자 지정 이벤트 세부 정보 표시
  • Microsoft Sentinel에서 경고 세부 정보 사용자 지정
• 예약된 쿼리 분석 규칙을 전체적으로 파악합니다.
• Microsoft Sentinel의 엔터티에 대해 자세히 알아봅니다.