Microsoft Sentinel의 관심 목록

• 적용 대상:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel의 관심 목록을 사용하면 제공하는 데이터 원본의 데이터와 Microsoft Sentinel 환경의 이벤트 간 상관 관계를 지정할 수 있습니다. 예를 들어 사용자 환경의 높은 가치 자산, 퇴사 직원 또는 서비스 계정 목록을 사용하여 관심 목록을 만들 수 있습니다.

검색, 검색 규칙, 위협 헌팅, 대응 플레이북에서 관심 목록을 사용합니다.

관심 목록은 Microsoft Sentinel 작업 영역에 이름 값 쌍으로 저장되며 쿼리 성능 최적화와 대기 시간 최소화를 위해 캐시됩니다.

Important

관심 목록 템플릿의 기능과 Azure Storage의 파일에서 관심 목록을 만드는 기능은 현재 미리 보기로 제공됩니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

관심 목록을 사용해야 하는 경우

관심 목록을 사용하여 다음 시나리오를 지원합니다.

• IP 주소, 파일 해시, 기타 데이터를 CSV 파일에서 신속하게 가져와 위협을 조사하고 인시던트에 빠르게 대응합니다. 데이터를 가져온 후 경고 규칙, 위협 헌팅, 통합 문서, Notebook, 일반 쿼리의 조인 및 필터에 관심 목록 이름-값 쌍을 사용합니다.

• 관심 목록으로 비즈니스 데이터를 가져옵니다. 예를 들어 권한 있는 시스템 액세스 권한이 있는 사용자 목록 또는 퇴사 직원을 가져옵니다. 그런 다음, 관심 목록으로 허용 목록 또는 차단 목록을 만들어 해당 사용자를 검색하거나 네트워크에 로그인할 수 없도록 방지합니다.

• 경고 피로를 줄입니다. 허용 목록을 만들어 일반적으로 경고를 트리거하는 작업을 수행하는 권한 있는 IP 주소의 사용자와 같은 사용자 그룹에서 발생하는 경고를 억제합니다. 무해한 이벤트가 경고가 되지 않도록 방지합니다.

• 이벤트 데이터를 보강합니다. 관심 목록을 사용해 외부 데이터 소스에서 파생된 이름 값 조합으로 이벤트 데이터를 보강합니다.

관심 목록의 제한 사항

관심 목록을 만들기 전에 다음 제한 사항에 유의합니다.

• 관심 목록을 만들 때 관심 목록 이름과 별칭은 각각 3~64자 사이여야 합니다. 첫 번째 및 마지막 문자는 영숫자여야 합니다. 그러나 첫 번째 문자와 마지막 문자 사이에 공백, 하이픈 및 밑줄을 포함할 수 있습니다.
• 관심 목록은 대규모 데이터 볼륨용으로 설계되지 않았으므로 참조 데이터로만 제한적으로 사용해야 합니다.
• 단일 작업 영역에 있는 모든 관심 목록 간의 활성 관심 목록 항목의 총 개수는 현재 1,000만 개로 제한됩니다. 삭제된 관심 목록 항목은 이 합계에 계산되지 않습니다. 대규모 데이터 볼륨에 대한 참조 기능이 필요하면 대신 사용자 지정 로그를 사용하여 수집할 수 있습니다.
• 관심 목록은 작업 영역에서 12일마다 새로 고쳐져 TimeGenerated 필드를 업데이트합니다.
• Lighthouse를 사용하여 다른 작업 영역에서 관심 목록을 관리하는 것은 현재 지원되지 않습니다.
• 현재 로컬 파일 업로드는 최대 3.8MB의 파일 크기로 제한됩니다.
• Azure Storage 계정(미리 보기)의 파일 업로드는 현재 최대 500MB의 파일 크기로 제한됩니다.
• 관심 목록은 KQL 엔터티와 동일한 열 및 테이블 제한을 준수해야 합니다. 자세한 내용은 KQL 엔터티 이름을 참조하세요.

관심 목록을 만드는 옵션

로컬 폴더 또는 Azure Storage 계정의 파일에서 업로드하는 파일을 통해 Microsoft Sentinel에서 관심 목록을 만듭니다.

Microsoft Sentinel에서 관심 목록 템플릿 중 하나를 다운로드하여 사용자 데이터로 채울 수 있습니다. 그런 다음, Microsoft Sentinel에서 관심 목록을 만들 때 해당 파일을 업로드합니다.

최대 500MB 크기의 대용량 파일에서 관심 목록을 만들려면 Azure Storage 계정에 파일을 업로드합니다. 그런 다음, Microsoft Sentinel이 관심 목록 데이터를 검색하도록 공유 액세스 서명 URL을 만듭니다. 공유 액세스 서명 URL은 스토리지 계정의 csv 파일과 같은 리소스의 리소스 URI 및 공유 액세스 서명 토큰을 모두 포함하는 URI입니다. 마지막으로, Microsoft Sentinel의 작업 영역에 관심 목록을 추가합니다.

자세한 내용은 다음 문서를 참조하세요.

• Microsoft Sentinel에서 관심 목록 만들기
• 기본 제공 관심 목록 스키마
• Azure Storage SAS 토큰

검색 및 검색 규칙에 대한 쿼리의 관심 목록

관심 목록을 조인 및 조회용 테이블로 처리하여 관심 목록의 데이터에 대해 테이블의 데이터를 쿼리합니다. 관심 목록을 만들 때 SearchKey를 정의합니다. 검색 키는 다른 데이터와 조인 또는 자주 사용되는 검색 개체로 사용할 관심 목록의 열 이름입니다. 예를 들어 국가 이름과 두 글자로 된 국가 코드를 포함하는 서버 관심 목록이 있다고 가정합니다. 검색 또는 조인에 국가 코드를 자주 사용할 것으로 예상합니다. 따라서 국가 코드 열을 검색 키로 사용합니다.

다음 예제 쿼리는 mywatchlist라는 관심 목록에 대해 정의된 검색 키를 사용하여 Heartbeat 테이블의 RemoteIPCountry 열을 조인합니다.

   Heartbeat
  | lookup kind=leftouter _GetWatchlist('mywatchlist') 
   on $left.RemoteIPCountry == $right.SearchKey

다른 몇 가지 예제 쿼리를 살펴봅시다.

분석 규칙에서 관심 목록을 사용하려 한다고 가정합니다. IPAddress 및 Location 열을 포함하는 ipwatchlist라는 관심 목록을 만듭니다. IPAddress를 SearchKey로 정의합니다.

IPAddress,Location
10.0.100.11,Home
172.16.107.23,Work
10.0.150.39,Home
172.20.32.117,Work

관심 목록에 있는 IP 주소의 이벤트만 포함하려면 관심 목록이 변수로 사용되거나 관심 목록이 인라인으로 사용되는 쿼리를 사용할 수 있습니다.

다음 예제 쿼리는 관심 목록을 변수로 사용합니다.

  //Watchlist as a variable
  let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
  Heartbeat
  | where ComputerIP in (watchlist)

다음 예제 쿼리는 관심 목록에 대해 정의된 쿼리 및 검색 키와 함께 관심 목록을 인라인으로 사용합니다.

  //Watchlist inline with the query
  //Use SearchKey for the best performance
  Heartbeat
  | where ComputerIP in ( 
      (_GetWatchlist('ipwatchlist')
      | project SearchKey)
  )

자세한 내용은 Microsoft Sentinel에서 관심 목록을 사용하여 쿼리 및 검색 규칙 빌드를 참조하세요.

다음 단계

Microsoft Sentinel에 대해 자세히 알아보려면 다음 문서를 참조하세요.

• 관심 목록 만들기
• 관심 목록을 사용하여 쿼리 및 검색 규칙 빌드
• 관심 목록 관리
• 데이터 및 잠재적 위협에 대한 가시성을 확보하는 방법을 알아봅니다.
• Microsoft Sentinel을 사용하여 위협 탐지에서 시작합니다.
• 통합 문서를 사용하여 데이터를 모니터링합니다.