엔드포인트용 Microsoft Defender 고급 헌팅 쿼리 마이그레이션
적용 대상:
- Microsoft Defender XDR
고급 헌팅 워크플로를 엔드포인트용 Microsoft Defender 이동하여 광범위한 데이터 집합을 사용하여 위협을 사전에 헌팅합니다. Microsoft Defender XDR 다음을 비롯한 다른 Microsoft 365 보안 솔루션의 데이터에 액세스할 수 있습니다.
- 엔드포인트용 Microsoft Defender
- Office 365용 Microsoft Defender
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Identity
참고
대부분의 엔드포인트용 Microsoft Defender 고객은 추가 라이선스 없이 Microsoft Defender XDR 사용할 수 있습니다. 엔드포인트용 Defender에서 고급 헌팅 워크플로 전환을 시작하려면 Microsoft Defender XDR 켭니다.
기존 엔드포인트용 Defender 워크플로에 영향을 주지 않고 전환할 수 있습니다. 저장된 쿼리는 그대로 유지되며 사용자 지정 검색 규칙은 계속 실행되고 경고를 생성합니다. 그러나 Microsoft Defender XDR 표시됩니다.
Microsoft Defender XDR 스키마 테이블만
Microsoft Defender XDR 고급 헌팅 스키마는 다양한 Microsoft 365 보안 솔루션의 데이터를 포함하는 추가 테이블을 제공합니다. 다음 표는 Microsoft Defender XDR만 사용할 수 있습니다.
| 테이블 이름 | 설명 |
|---|---|
| AlertEvidence | 경고와 연결된 파일, IP 주소, URL, 사용자 또는 디바이스 |
| AlertInfo | 엔드포인트용 Microsoft Defender, Office 365용 Microsoft Defender, Microsoft Defender for Cloud Apps 및 Microsoft Defender for Identity 경고심각도 정보 및 위협 범주 포함 |
| EmailAttachmentInfo | 전자 메일에 첨부된 파일에 대한 정보 |
| EmailEvents | 전자 메일 배달과 차단 이벤트를 포함한 Microsoft 365 전자 메일 이벤트 |
| EmailPostDeliveryEvents | Microsoft 365가 받는 사람 사서함에 전자 메일을 배달하고 나서 배달 후 발생하는 보안 이벤트 |
| EmailUrlInfo | 전자 메일의 URL에 대한 정보 |
| IdentityDirectoryEvents | Active Directory(AD)를 실행하는 온-프레미스 도메인 컨트롤러와 관련된 이벤트. 이 표에서는 도메인 컨트롤러의 다양한 ID 관련 이벤트 및 시스템 이벤트를 다룹니다. |
| IdentityInfo | Microsoft Entra ID 포함한 다양한 원본의 계정 정보 |
| IdentityLogonEvents | Active Directory 및 Microsoft 온라인 서비스의 인증 이벤트 |
| IdentityQueryEvents | 사용자, 그룹, 장치 및 도메인과 같은 Active Directory 개체에 대한 쿼리 |
중요
Microsoft Defender XDR만 사용할 수 있는 스키마 테이블을 사용하는 쿼리 및 사용자 지정 검색은 Microsoft Defender XDR만 볼 수 있습니다.
DeviceAlertEvents 테이블 매핑
및 AlertEvidence 테이블은 AlertInfo 엔드포인트용 Microsoft Defender 스키마의 테이블을 대체 DeviceAlertEvents 합니다. 이 두 테이블에는 디바이스 경고에 대한 데이터 외에도 ID, 앱 및 전자 메일에 대한 경고에 대한 데이터가 포함됩니다.
다음 표를 사용하여 열이 및 AlertEvidence 테이블의 열 AlertInfo 에 매핑되는 방식을 DeviceAlertEvents 검사.
팁
다음 표 AlertEvidence 의 열 외에도 테이블에는 다양한 원본의 경고에 대한 보다 전체적인 그림을 제공하는 다른 많은 열이 포함되어 있습니다.
모든 AlertEvidence 열 보기
| DeviceAlertEvents 열 | Microsoft Defender XDR 동일한 데이터를 찾을 수 있는 위치 |
|---|---|
AlertId |
AlertInfo 및 AlertEvidence 테이블 |
Timestamp |
AlertInfo 및 AlertEvidence 테이블 |
DeviceId |
AlertEvidence 테이블 |
DeviceName |
AlertEvidence 테이블 |
Severity |
AlertInfo 테이블 |
Category |
AlertInfo 테이블 |
Title |
AlertInfo 테이블 |
FileName |
AlertEvidence 테이블 |
SHA1 |
AlertEvidence 테이블 |
RemoteUrl |
AlertEvidence 테이블 |
RemoteIP |
AlertEvidence 테이블 |
AttackTechniques |
AlertInfo 테이블 |
ReportId |
이 열은 일반적으로 엔드포인트용 Microsoft Defender 다른 테이블에서 관련 레코드를 찾는 데 사용됩니다. Microsoft Defender XDR 테이블에서 직접 AlertEvidence 관련 데이터를 가져올 수 있습니다. |
Table |
이 열은 일반적으로 다른 테이블의 추가 이벤트 정보를 위해 엔드포인트용 Microsoft Defender 사용됩니다. Microsoft Defender XDR 테이블에서 직접 AlertEvidence 관련 데이터를 가져올 수 있습니다. |
기존 엔드포인트용 Microsoft Defender 쿼리 조정
엔드포인트용 Microsoft Defender 쿼리는 테이블을 참조하지 않는 한 그대로 작동합니다DeviceAlertEvents. Microsoft Defender XDR 이러한 쿼리를 사용하려면 다음 변경 내용을 적용합니다.
- 을 로 대체
DeviceAlertEventsAlertInfo합니다. -
AlertInfo및 테이블을 조AlertId인AlertEvidence하여 동등한 데이터를 가져옵니다.
원래 쿼리
다음 쿼리는 엔드포인트용 Microsoft Defender 를 사용하여 DeviceAlertEventspowershell.exe관련된 경고를 가져옵니다.
DeviceAlertEvents
| where Timestamp > ago(7d)
| where AttackTechniques has "PowerShell (T1086)" and FileName == "powershell.exe"
수정된 쿼리
다음 쿼리는 Microsoft Defender XDR 사용하도록 조정되었습니다. 에서 직접 DeviceAlertEvents파일 이름을 확인하는 대신 해당 테이블에 있는 파일 이름을 조 AlertEvidence 인하고 확인합니다.
AlertInfo
| where Timestamp > ago(7d)
| where AttackTechniques has "PowerShell (T1086)"
| join AlertEvidence on AlertId
| where FileName == "powershell.exe"
사용자 지정 검색 규칙 마이그레이션
Microsoft Defender XDR 엔드포인트용 Microsoft Defender 규칙이 편집되면 결과 쿼리가 디바이스 테이블만 보는 것처럼 이전처럼 계속 작동합니다.
예를 들어 디바이스 테이블만 쿼리하는 사용자 지정 검색 규칙에 의해 생성된 경고는 엔드포인트용 Microsoft Defender 구성한 방법에 따라 SIEM에 계속 전달되고 메일 알림 생성합니다. 엔드포인트용 Defender의 기존 억제 규칙도 계속 적용됩니다.
엔드포인트용 Defender 규칙을 편집하여 Microsoft Defender XDR만 사용할 수 있는 ID 및 전자 메일 테이블을 쿼리하면 규칙이 자동으로 Microsoft Defender XDR 이동합니다.
마이그레이션된 규칙에 의해 생성된 경고:
- 엔드포인트용 Defender 포털(Microsoft Defender 보안 센터)에 더 이상 표시되지 않습니다.
- SIEM에 배달을 중지하거나 메일 알림 생성합니다. 이 변경을 해결하려면 Microsoft Defender XDR 통해 알림을 구성하여 경고를 가져옵니다. Microsoft Defender XDR API를 사용하여 고객 검색 경고 또는 관련 인시던트에 대한 알림을 받을 수 있습니다.
- 엔드포인트용 Microsoft Defender 제거 규칙에 의해 억제되지 않습니다. 특정 사용자, 디바이스 또는 사서함에 대한 경고가 생성되지 않도록 하려면 해당 쿼리를 수정하여 해당 엔터티를 명시적으로 제외합니다.
이러한 방식으로 규칙을 편집하는 경우 이러한 변경 내용이 적용되기 전에 확인하라는 메시지가 표시됩니다.
Microsoft Defender XDR 사용자 지정 검색 규칙에 의해 생성된 새 경고는 다음 정보를 제공하는 경고 페이지에 표시됩니다.
- 경고 제목 및 설명
- 영향을 받은 자산
- 경고에 대한 응답으로 수행된 작업
- 경고를 트리거한 쿼리 결과
- 사용자 지정 검색 규칙에 대한 정보
DeviceAlertEvents 없이 쿼리 작성
Microsoft Defender XDR 스키마 AlertInfo 에서 및 테이블은 다양한 원본의 경고와 AlertEvidence 함께 제공되는 다양한 정보 집합을 수용하기 위해 제공됩니다.
엔드포인트용 Microsoft Defender 스키마의 DeviceAlertEvents 테이블에서 가져오는 데 사용한 것과 동일한 경고 정보를 가져오려면 테이블을 기준으로 ServiceSource 필터링 AlertInfo 한 다음 각 고유 ID AlertEvidence 를 테이블에 조인하여 자세한 이벤트 및 엔터티 정보를 제공합니다.
아래 샘플 쿼리를 참조하세요.
AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| join AlertEvidence on AlertId
이 쿼리는 엔드포인트용 Microsoft Defender 스키마보다 DeviceAlertEvents 많은 열을 생성합니다. 결과를 관리하기 쉽게 유지하려면 를 사용하여 project 관심 있는 열만 가져옵니다. 아래 예제에서는 조사에서 PowerShell 활동을 감지했을 때 관심이 있을 수 있는 열을 프로젝트합니다.
AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
and AttackTechniques has "powershell"
| join AlertEvidence on AlertId
| project Timestamp, Title, AlertId, DeviceName, FileName, ProcessCommandLine
경고와 관련된 특정 엔터티를 필터링하려는 경우 에서 엔터티 형식 EntityType 과 필터링하려는 값을 지정하여 필터링할 수 있습니다. 다음 예제에서는 특정 IP 주소를 찾습니다.
AlertInfo
| where Title == "Insert_your_alert_title"
| join AlertEvidence on AlertId
| where EntityType == "Ip" and RemoteIP == "192.88.99.01"
참고 항목
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.