Share via

일치 분석을 사용하여 위협 감지

  • 아티클
  • 적용 대상:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft에서 생성한 위협 인텔리전스를 활용하여 Microsoft Defender 위협 인텔리전스 Analytics 규칙을 통해 충실도가 높은 경고 및 인시던트를 생성합니다. Microsoft Sentinel의 이 기본 제공 규칙은 CEF(Common Event Format) 로그, 도메인 및 IPv4 위협 지표가 있는 Windows DNS 이벤트, syslog 데이터 등을 사용하는 지표와 일치합니다.

Important

일치 분석은 현재 미리 보기에 있습니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

필수 조건

충실도가 높은 경고 및 인시던트를 생성하려면 지원되는 데이터 커넥터 중 하나 이상을 설치해야 하지만 프리미엄 MDTI 라이선스는 필요하지 않습니다. 콘텐츠 허브에서 적절한 솔루션을 설치하여 이러한 데이터 원본을 연결합니다.

  • CEF(Common Event Format)
  • DNS(미리 보기)
  • syslog
  • Office 활동 로그
  • Azure 활동 로그

Microsoft Defender 위협 인텔리전스 Analytics 규칙 데이터 원본 연결을 보여 주는 스크린샷

예를 들어 데이터 원본에 따라 다음 솔루션 및 데이터 커넥터를 사용할 수 있습니다.

솔루션 데이터 커넥터
Sentinel용 Common Event Format 솔루션 Microsoft Sentinel용 CEF(Common Event Format) 커넥터
Windows Server DNS Microsoft Sentinel용 DNS 커넥터
Sentinel용 Syslog 솔루션 Microsoft Sentinel용 Syslog 커넥터
Sentinel용 Microsoft 365 솔루션 Microsoft Sentinel용 Office 365 커넥터
Sentinel용 Azure 활동 솔루션 Microsoft Sentinel용 Azure 활동 커넥터

일치 분석 규칙 구성

일치 분석은 Microsoft Defender 위협 인텔리전스 Analytics 규칙을 사용하도록 설정할 때 구성됩니다.

  1. 구성 섹션에서 분석 메뉴를 클릭합니다.

  2. 규칙 템플릿 메뉴 탭을 선택합니다.

  3. 검색 창에 위협 인텔리전스를 입력합니다.

  4. Microsoft Defender 위협 인텔리전스 Analytics 규칙 템플릿을 선택합니다.

  5. 규칙 만들기를 클릭합니다. 규칙 세부 정보는 읽기 전용이며 규칙의 기본 상태는 사용으로 설정됩니다.

  6. 검토>만들기를 클릭합니다.

활성 규칙 탭에서 사용하도록 설정된 Microsoft Defender 위협 인텔리전스 Analytics 규칙을 보여 주는 스크린샷

데이터 원본 및 지표

Microsoft Defender 위협 인텔리전스 Analytics(MDTI)는 다음과 같은 방식으로 도메인, IP 및 URL 표시기와 로그를 일치합니다.

  • Log Analytics CommonSecurityLog 테이블에 수집된 CEF 로그는 RequestURL 필드에 채워진 경우 URL 및 도메인 표시기 및 DestinationIP 필드의 IPv4 표시기와 일치합니다.

  • DnsEvents 테이블에 수집된 SubType == "LookupQuery" 이벤트가 Name 필드에 채워진 도메인 표시기와 IPAddresses 필드의 IPv4 표시기와 일치하는 Windows DNS 로그입니다.

  • Syslog 테이블에 Facility == "cron"이(가) 수집된 Syslog 이벤트는 SyslogMessage 필드의 직접 도메인 및 IPv4 지표와 일치합니다.

  • OfficeActivity 테이블에 수집된 Office 활동 로그ClientIP 필드의 직접 IPv4 지표와 일치합니다.

  • AzureActivity 테이블에 수집된 Azure 활동 로그CallerIpAddress 필드의 직접 IPv4 지표와 일치합니다.

일치 분석으로 생성된 인시던트 심사

일치가 발견되면 생성된 모든 경고가 인시던트로 그룹화됩니다.

다음 단계를 사용하여 Microsoft Defender 위협 인텔리전스 Analytics 규칙에서 생성된 인시던트 심사를 수행합니다.

  1. Microsoft Defender 위협 인텔리전스 Analytics 규칙을 사용하도록 설정한 Microsoft Sentinel 작업 영역에서 인시던트를 선택하고 Microsoft Defender 위협 인텔리전스 Analytics을 검색합니다.

    발견된 인시던트 모두 그리드에 표시됩니다.

  2. 엔터티 및 인시던트 관련 기타 세부 정보(예: 특정 경고)를 보려면 전체 세부 정보 보기를 선택합니다.

    예시:

    분석과 세부 정보 창을 일치시켜 생성된 인시던트 스크린샷

  3. 경고 및 인시던트에 할당된 심각도를 관찰합니다. 표시기가 일치하는 방법에 따라 Informational부터 High까지 경고에 적절한 심각도가 할당됩니다. 예를 들어 표시기가 트래픽을 허용한 방화벽 로그와 일치하는 경우 높은 심각도 경고가 생성됩니다. 동일한 표시기가 트래픽을 차단하는 방화벽 로그와 일치하는 경우 생성된 경고는 낮거나 중간입니다.

    그런 다음 경고는 표시기의 관찰 가능한 기준으로 그룹화됩니다. 예를 들어, contoso.com 도메인과 일치하는 24시간 동안 생성된 모든 경고는 단일 인시던트로 그룹화됩니다.

  4. 표시기 세부 정보를 관찰합니다. 일치가 발견되면 지표가 Log Analytics ThreatIntelligenceIndicators 테이블에 게시되고 위협 인텔리전스 페이지에 표시됩니다. 이 규칙에서 게시된 모든 지표의 경우, 원본은 Microsoft Defender 위협 인텔리전스 Analytics로 정의됩니다.

예: ThreatIntelligenceIndicators 테이블

Microsoft 위협 인텔리전스 분석의 SourceSystem을 사용한 지표를 보여 주는 Log Analytics의 ThreatIntelligenceIndicator 테이블 스크린샷

위협 인텔리전스 페이지:

원본을 Microsoft Threat Intelligence Analytics로 보여 주는 표시기가 선택된 위협 인텔리전스 개요의 스크린샷

Microsoft Defender 위협 인텔리전스 추가 컨텍스트 가져오기

높은 충실도 경고 및 인시던트와 함께 MDTI 지표에는 MDTI 커뮤니티 포털의 참조 문서에 대한 링크가 포함됩니다.

참조 MDTI 문서에 대한 링크가 있는 인시던트 스크린샷

자세한 내용은 MDTI 포털Microsoft Defender 위협 인텔리전스란?을 참조하세요.

관련 콘텐츠

이 문서에서는 Microsoft에서 생성한 위협 인텔리전스를 연결하여 경고 및 인시던트 생성 방법을 알아보았습니다. Microsoft Sentinel의 위협 인텔리전스에 대한 자세한 내용은 다음 문서를 참조하세요.