이전 배포 단계에서는 Microsoft Sentinel, 상태 모니터링 및 필요한 솔루션을 사용하도록 설정했습니다. 이 문서에서는 시스템 전체에서 보안 위협을 감지, 모니터링 및 대응할 수 있는 다양한 유형의 Microsoft Sentinel 보안 콘텐츠를 구성하는 방법을 알아봅니다. 이 문서는 Microsoft Sentinel 배포 가이드의 일부입니다.
보안 콘텐츠 구성
| 단계 | 설명 |
|---|---|
| 데이터 커넥터 설정 |
배포를 계획할 때 선택한 데이터 원본에 따라 관련 솔루션을 사용하도록 설정한 후 이제 데이터 커넥터를 설치하거나 설정할 수 있습니다. - 기존 커넥터를 사용하는 경우 이 전체 데이터 커넥터 목록에서 커넥터를 찾 습니다. - 사용자 지정 커넥터를 만드는 경우 이러한 리소스를 사용합니다. - CEF 또는 Syslog 로그를 수집하기 위해 커넥터를 설정하는 경우 다음 옵션을 검토합니다. |
| 분석 규칙 설정 | organization 전체에서 데이터를 수집하도록 Microsoft Sentinel 설정한 후에는 분석 규칙을 사용하여 위협을 검색할 수 있습니다. 분석 규칙을 설정하고 구성하는 데 필요한 단계를 선택합니다. - 템플릿에서 또는 처음부터 예약된 규칙 만들기: 사용자 환경에서 위협 및 비정상적인 동작을 검색하는 데 도움이 되는 분석 규칙을 만듭니다. - 데이터 필드를 엔터티에 매핑: 분석 규칙에서 엔터티 매핑을 추가하거나 변경합니다. - 경고의 Surface 사용자 지정 세부 정보: 분석 규칙에서 사용자 지정 세부 정보를 추가하거나 변경합니다. - 경고 세부 정보 사용자 지정: 기본 쿼리 결과의 콘텐츠로 경고의 기본 속성을 재정의합니다. - 분석 규칙 내보내기 및 가져오기: 분석 규칙을 ARM(Azure Resource Manager) 템플릿 파일로 내보내고 이러한 파일에서 규칙을 가져옵니다. 내보내기 작업은 브라우저의 다운로드 위치에 JSON 파일을 만듭니다. 그러면 다른 파일과 마찬가지로 이름을 바꾸고, 이동하고, 처리할 수 있습니다. - NRT(근 실시간) 검색 분석 규칙 만들기: 기본 제공 위협 탐지를 위한 근시간 분석 규칙을 만듭니다. 이 유형의 규칙은 단 1분 간격으로 쿼리를 실행하여 응답성이 뛰어나도록 설계되었습니다. - 변칙 검색 분석 규칙 작업: 수천 개의 데이터 원본과 수백만 개의 이벤트를 사용하는 기본 제공 변칙 템플릿을 사용하거나 사용자 인터페이스 내의 변칙에 대한 임계값 및 매개 변수를 변경합니다. - 예약된 분석 규칙의 템플릿 버전 관리: 분석 규칙 템플릿의 버전을 추적하고 활성 규칙을 기존 템플릿 버전으로 되돌리기 새 템플릿 버전으로 업데이트합니다. - 예약된 분석 규칙의 수집 지연 처리: 수집 지연이 예약된 분석 규칙에 미치는 영향과 이러한 격차를 해소하기 위해 이를 해결하는 방법을 알아봅니다. |
| 자동화 규칙 설정 | 자동화 규칙을 만듭니다. 자동화 규칙이 실행되는 시기, 규칙이 수행할 수 있는 다양한 작업 및 나머지 기능과 기능을 결정하는 트리거 및 조건을 정의합니다. |
| 플레이북 설정 |
플레이북은 위협 대응을 자동화하고 오케스트레이션하는 데 도움이 되는 일상적인 Microsoft Sentinel 실행하는 수정 작업의 모음입니다. 플레이북을 설정하려면 다음을 수행합니다. - 권장 플레이북 검토 - 템플릿에서 플레이북 만들기: 플레이북 템플릿은 요구 사항에 맞게 사용자 지정할 수 있는 미리 빌드되고 테스트되고 즉시 사용할 수 있는 워크플로입니다. 템플릿은 플레이북을 처음부터 개발할 때 모범 사례에 대한 참조 또는 새로운 자동화 시나리오에 대한 영감으로 사용할 수도 있습니다. - 플레이북을 만들기 위해 다음 단계를 검토합니다. |
| 통합 문서 설정 |
통합 문서는 데이터 분석을 위한 유연한 캔버스를 제공하고 Microsoft Sentinel 내에서 풍부한 시각적 보고서를 만듭니다. 통합 문서 템플릿을 사용하면 데이터 원본을 연결하는 즉시 데이터 전체에서 신속하게 인사이트를 얻을 수 있습니다. 통합 문서를 설정하려면 다음을 수행합니다. - 일반적으로 사용되는 Microsoft Sentinel 통합 문서 검토 - 패키지된 솔루션에서 사용할 수 있는 기존 통합 문서 템플릿 사용 - 데이터에서 사용자 지정 통합 문서 만들기 |
| 관심 목록 설정 |
관심 목록을 사용하면 제공된 데이터 원본의 데이터를 Microsoft Sentinel 환경의 이벤트와 상호 연결할 수 있습니다. 관심 목록을 설정하려면 다음을 수행합니다. - 관심 목록 만들기 - 관심 목록을 사용하여 쿼리 또는 검색 규칙 빌드: 관심 목록을 조인 및 조회 테이블로 처리하여 관심 목록의 데이터에 대해 테이블의 데이터를 쿼리합니다. 관심 목록을 만들 때 SearchKey를 정의합니다. 검색 키는 관심 목록에 있는 열의 이름으로, 다른 데이터와의 조인 또는 검색의 빈번한 개체로 사용할 것으로 예상합니다. |
다음 단계
이 문서에서는 다양한 유형의 Microsoft Sentinel 보안 콘텐츠를 구성하는 방법을 알아보았습니다.