Microsoft Sentinel 콘텐츠 구성
이전 배포 단계에서 Microsoft Sentinel, 상태 모니터링 및 필수 솔루션을 사용하도록 설정했습니다. 이 문서에서는 시스템 전체의 보안 위협을 감지, 모니터링 및 대응할 수 있는 다양한 유형의 Microsoft Sentinel 보안 콘텐츠를 구성하는 방법을 알아봅니다. 이 문서는 Microsoft Sentinel 배포 가이드의 일부입니다.
보안 콘텐츠 구성
| 단계 | 설명 |
|---|---|
| 데이터 커넥터 설정 | 배포를 계획할 때 선택한 데이터 원본에 따라 관련 솔루션을 사용하도록 설정한 후, 데이터 커넥터를 설치하거나 설정할 수 있습니다. - 기존 커넥터를 사용하는 경우 이 전체 데이터 커넥터 목록에서 해당 커넥터를 찾습니다. - 사용자 지정 커넥터를 만드는 경우 이 리소스를 사용합니다. - CEF 또는 Syslog 로그를 수집하도록 커넥터를 설정하는 경우 다음 옵션을 검토합니다. |
| 분석 규칙 설정 | 조직 전체에서 데이터를 수집하도록 Microsoft Sentinel을 설정한 후에는 분석 규칙을 사용하여 위협을 탐지할 수 있습니다. 분석 규칙을 설정하고 구성하는 데 필요한 단계를 선택합니다. - 템플릿에서 또는 처음부터 예약된 규칙 만들기: 사용자 환경에서 위협 및 비정상적인 동작을 탐지하는 데 도움이 되는 분석 규칙을 만듭니다. - 엔터티에 데이터 필드 매핑: 분석 규칙에서 엔터티 매핑을 추가하거나 변경합니다. - 경고에서 사용자 지정 세부 포괄: 분석 규칙에서 사용자 지정 세부 정보를 추가하거나 변경합니다. - 경고 세부 정보 사용자 지정: 기본 쿼리 결과의 콘텐츠로 경고의 기본 속성을 재정의합니다. - 분석 규칙 내보내기 및 가져오기: 분석 규칙을 ARM(Azure Resource Manager) 템플릿 파일에 내보내고 해당 파일에서 규칙을 가져옵니다. 내보내기 작업은 브라우저의 다운로드 위치에 JSON 파일을 만듭니다. 그러면 다른 파일과 마찬가지로 이름을 바꾸고, 이동하고, 처리할 수 있습니다. - NRT(근 실시간) 검색 분석 규칙만들기: 기본 제공 위협 탐지를 위한 근 실시간 분석 규칙을 만듭니다. 이 형식의 규칙은 1분 간격으로 쿼리를 실행하여 응답성이 매우 높도록 설계되었습니다. - 변칙 검색 분석 규칙 작업: 수천 개의 데이터 원본과 수백만 개의 이벤트를 사용하는 기본 제공 변칙 템플릿을 사용하거나 사용자 인터페이스 내의 변칙에 대한 임계값 및 매개 변수를 변경합니다. - 예약된 분석 규칙에 대한 템플릿 버전 관리: 분석 규칙 템플릿의 버전을 추적하고 활성 규칙을 기존 템플릿 버전으로 되돌리거나, 새 버전으로 업데이트합니다. - 예약된 분석 규칙에서 수집 지연 처리: 수집 지연이 예약된 분석 규칙에 미치는 영향과, 수정을 통해 이러한 격차를 해결하는 방법을 알아봅니다. |
| 자동화 규칙 설정 | 자동화 규칙을 만듭니다. 자동화 규칙이 실행되는 시기, 규칙이 수행할 수 있는 다양한 작업 및 나머지 기능 등을 결정하는 트리거 및 조건을 정의합니다. |
| 플레이북 설정 | 플레이북은 위협 대응을 자동화하고 오케스트레이션하는 데 도움이 되도록 Microsoft Sentinel에서 루틴으로 실행하는 수정 작업의 컬렉션입니다. 플레이북을 설정하려면 다음을 수행합니다. - 권장 플레이북 검토 - 템플릿에서 플레이북 만들기: 플레이북 템플릿은 요구 사항에 따라 사용자 지정할 수 있게 사전에 빌드 및 테스트되어 바로 사용할 수 있는 워크플로입니다. 템플릿은 플레이북을 처음부터 개발할 때 모범 사례에 대한 참조 역할을 하거나 새로운 자동화 시나리오에 대한 영감을 줄 수도 있습니다. - 플레이북을 만들기 위한 단계 검토 |
| 통합 문서 설정 | 통합 문서는 Microsoft Sentinel 내에서 데이터를 분석하고 풍부한 시각적 보고서를 생성할 수 있는 유연한 캔버스를 제공합니다. 통합 문서 템플릿을 사용하면 데이터 원본에 연결하는 즉시 데이터 전체에서 신속하게 인사이트를 얻을 수 있습니다. 통합 문서를 설정하려면 다음을 수행합니다. - 일반적으로 사용되는 Microsoft Sentinel 통합 문서 검토 - 패키지 솔루션에서 사용할 수 있는 기존 통합 문서 템플릿 사용 - 데이터에서 사용자 지정 통합 문서 만들기 |
| 관심 목록 설정 | 관심 목록을 사용하면 제공하는 데이터 원본의 데이터와 Microsoft Sentinel 환경의 이벤트 간 상관 관계를 지정할 수 있습니다. 관심 목록을 설정하려면 다음을 수행합니다. - 관심 목록 만들기 - 관심 목록을 통한 쿼리 또는 검색 규칙 빌드: 관심 목록을 조인 및 조회에 대한 테이블로 처리하여 관심 목록 데이터에 대한 테이블의 데이터를 쿼리할 수 있습니다. 관심 목록을 만들 때 SearchKey를 정의합니다. 검색 키는 다른 데이터와 조인 또는 자주 사용되는 검색 개체로 사용할 관심 목록의 열 이름입니다. |
다음 단계
이 문서에서는 다양한 유형의 Microsoft Sentinel 보안 콘텐츠를 구성하는 방법을 알아보았습니다.