Microsoft Sentinel에서 사용자 지정 가능한 변칙을 사용하여 위협 탐지

  • 아티클

사용자 지정 가능한 변칙이란?

사이버 보안 군비 경쟁에서 공격자와 방어자가 끊임없이 싸우는 상황에서 공격자는 항상 탐지를 피할 방법을 찾고 있습니다. 그러나 공격으로 인해 공격을 받는 시스템에서는 여전히 비정상적인 동작이 발생하는 것은 불가피합니다. Microsoft Sentinel의 사용자 지정 가능한 기계 학습 기반 변칙은 즉시 작동하도록 배치할 수 있는 분석 규칙 템플릿을 사용하여 이 동작을 식별할 수 있습니다. 변칙은 악의적이거나 심지어 의심스러운 행동을 의미하지는 않지만 검색, 조사 및 위협 검색을 개선하는 데 사용할 수 있습니다.

  • 검색 향상을 위한 추가 신호: 보안 분석가는 변칙을 사용하여 새로운 위협을 검색하고 기존 검색을 보다 효과적으로 만들 수 있습니다. 하나의 이상 징후는 악의적인 동작의 강력한 신호가 아니지만 Kill 체인의 여러 지점에서 여러 이상 징후가 조합되면 명확한 메시지를 전달할 수 있습니다. 보안 분석가는 비정상적인 동작을 식별하여 기존 탐지 경보를 더욱 정확하게 만들 수 있습니다.

  • 조사 중 증거: 보안 분석가는 또한 조사 중에 변칙을 사용하여 변칙을 확인하고 새로운 조사 경로를 찾고 잠재적 영향을 평가할 수 있습니다. 이러한 효율성은 보안 분석가가 조사에 소비하는 시간을 단축합니다.

  • 사전 위협 헌팅의 시작: 위협 헌터는 이상 징후를 컨텍스트로 사용하여 쿼리에서 의심스러운 동작을 발견했는지 여부를 확인할 수 있습니다. 동작이 의심스러운 경우 변칙은 추가 헌팅에 대한 잠재적 경로를 가리키기도 합니다. 변칙에서 제공하는 이러한 단서를 통해 위협을 검색하는 시간과 피해가 발생할 가능성을 줄일 수 있습니다.

이상 징후는 강력한 도구일 수 있지만 노이즈가 매우 많습니다. 일반적으로 특정 환경 또는 복잡한 사후 처리에 대해 많은 지루한 조정이 필요합니다. 사용자 지정할 수 있는 이상 징후 템플릿은 Microsoft Sentinel의 데이터 과학 팀에서 조정하여 즉시 사용 가능한 가치를 제공합니다. 추가로 조정해야 하는 경우 프로세스가 간단하며 기계 학습에 대한 지식이 필요하지 않습니다. 많은 변칙에 대한 임계값 및 매개 변수는 이미 익숙한 분석 규칙 사용자 인터페이스를 통해 구성하고 미세 조정할 수 있습니다. 원래 임계값 및 매개 변수의 성능을 인터페이스 내의 새 임계값과 비교하고 테스트 또는 플라이팅 단계에서 필요에 따라 추가로 조정할 수 있습니다. 변칙이 성능 목표를 충족하면 단추를 클릭하여 새 임계값 또는 매개 변수가 있는 변칙을 프로덕션으로 승격할 수 있습니다. Microsoft Sentinel 사용자 지정 이상 징후를 사용하면 힘든 작업 없이도 이상을 탐지하는 이점을 얻을 수 있습니다.

UEBA 변칙

Microsoft Sentinel의 일부 이상 징후 탐지는 다양한 환경에서 각 엔터티의 기준 기록 동작을 기반으로 이상 징후를 탐지하는 UEBA(사용자 및 엔터티 동작 분석) 엔진을 통해 이루어집니다. 각 엔터티의 기준 동작은 자체 기록 활동, 해당 피어 및 조직 전체에 따라 설정됩니다. 동작 유형, 지리적 위치, 디바이스, 리소스, ISP 등과 같은 다양한 특성의 상관 관계를 통해 변칙을 트리거할 수 있습니다.

다음 단계

이 문서에서는 Microsoft Sentinel의 사용자 지정 가능한 변칙을 활용하는 방법을 알아보았습니다.