이 문서에서는 기본 쿼리 결과의 콘텐츠로 경고의 기본 속성을 재정의하는 방법을 설명합니다.
예약된 분석 규칙을 만드는 과정에서 첫 번째 단계로 규칙에 대한 이름과 설명을 정의하고 심각도 및 MITRE ATT&CK 전술을 할당합니다. 지정된 규칙에 의해 생성된 모든 경고와 결과로 생성된 모든 인시던트가 경고의 특정 instance 특정 콘텐츠와 관계없이 규칙에 정의된 이름, 설명, 심각도 및 전술을 상속합니다.
경고 세부 정보 기능을 사용하면 다음과 같은 두 가지 방법으로 경고의 다른 기본 속성을 재정의할 수 있습니다.
경고에 대한 사용자 지정 변수 이름 및 설명을 만듭니다. 경고의 각 instance 이름 또는 설명에 내용을 포함할 수 있는 경고의 쿼리 출력에서 필드를 선택할 수 있습니다. 선택한 필드에 지정된 instance 값이 없으면 해당 instance 대한 경고 세부 정보가 마법사의 첫 페이지에 지정된 기본값으로 되돌리기.
지정된 경고 instance 심각도, 전술 및 기타 속성을 쿼리 출력의 관련 필드 값으로 사용자 지정합니다(아래 속성 전체 목록 참조). 선택한 필드가 비어 있거나 필드 데이터 형식과 일치하지 않는 값이 있는 경우 해당 경고 속성은 기본값(마법사의 첫 페이지에 지정된 전술 및 심각도)으로 되돌리기.
중요
- 일부 경고 세부 정보의 사용자 지정 가능성(아래에 표시된 내용 참조)은 현재 미리 보기로 제공됩니다. 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법적 조건은 Microsoft Azure Preview에 대한 추가 사용 약관을 참조하세요.
- 2027년 3월 31일 이후에는 Microsoft Sentinel 더 이상 Azure Portal 지원되지 않으며 Microsoft Defender 포털에서만 사용할 수 있습니다. Azure Portal Microsoft Sentinel 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel 사용합니다. 2025년 7월부터 많은 신규 고객이 자동으로 온보딩되고 Defender 포털로 리디렉션됩니다. 여전히 Azure Portal Microsoft Sentinel 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 제공하는 통합 보안 운영 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다. 자세한 내용은 It's Time to Move: Retiring Microsoft Sentinel s Azure Portal for greater security를 참조하세요.
아래에 설명된 절차에 따라 경고 세부 정보 기능을 사용합니다. 이러한 단계는 분석 규칙 만들기 마법사의 일부이지만 기존 분석 규칙에서 경고 세부 정보를 추가하거나 변경하는 시나리오를 해결하기 위해 여기에서 독립적으로 해결됩니다.
경고 세부 정보를 사용자 지정하는 방법
포털에서 Microsoft Sentinel 액세스하는 분석 페이지를 입력합니다.
Microsoft Sentinel 탐색 메뉴의 구성 섹션에서 분석을 선택합니다.
예약된 쿼리 규칙을 선택하고 편집을 선택합니다. 또는 화면 맨 위에서 예약된 쿼리 규칙 만들기 > 를 선택하여 새 규칙을 만듭니다.
규칙 논리 설정 탭을 선택합니다.
경고 보강 섹션에서 경고 세부 정보를 확장합니다.
이제 확장된 경고 세부 정보 섹션에서 경고 에 표시하려는 세부 정보에 해당하는 속성을 포함하는 무료 텍스트를 추가합니다.
경고 이름 형식 필드에 경고 이름(경고 텍스트)으로 표시할 텍스트를 입력하고 이중 중괄호 안에 경고 텍스트의 일부가 될 쿼리 출력 필드를 포함합니다.
예:
Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.경고 설명 형식 필드를 사용하여 동일한 작업을 수행합니다.
참고
현재 경고 이름 형식 및 경고설명 형식 필드에서 각각 세 개의 매개 변수로 제한됩니다.
다른 기본 속성을 재정의하려면 경고 속성 드롭다운 목록에서 경고 속성을 선택합니다. 그런 다음 값 드롭다운 목록에서 경고 속성을 채울 내용을 포함하는 쿼리 결과에서 필드를 선택합니다.
더 많은 기본 속성을 재정의하려면 + 새로 추가 를 선택하고 이전 단계를 반복합니다. 다음 속성을 재정의할 수 있습니다.
이름 설명 AlertName 문자열입니다. 일반 텍스트만 지원합니다. 설명 문자열입니다. Microsoft Sentinel Defender 포털에 온보딩된 경우에만 일반 텍스트만 지원합니다. 경고 심각도 다음 값 중 하나
- 정보
- 낮은
- Medium
- High전술 다음 값 중 하나
- 정찰
- ResourceDevelopment
- InitialAccess
- 실행
- 유지
- PrivilegeEscalation
- DefenseEvasion
- CredentialAccess
- 검색
- LateralMovement
- 컬렉션
- 반출
- CommandAndControl
- 영향
- 사전 공격
- ImpairProcessControl
- InhibitResponseFunction기술 (미리 보기) 다음 정규식과 일치하는 문자열입니다 ^T(?<Digits>\d{4})$.
예: T1234AlertLink (미리 보기) String ConfidenceLevel (미리 보기) 다음 값 중 하나
- 낮은
- High
- 알려지지 않은ConfidenceScore (미리 보기) 정수( 0-1 (포함) ExtendedLinks (미리 보기) String ProductComponentName (미리 보기)
* 이 표의 다음 주의 사항을 참조하세요.String ProductName (미리 보기)
* 이 표의 다음 주의 사항을 참조하세요.String ProviderName (미리 보기)
* 이 표의 다음 주의 사항을 참조하세요.String RemediationSteps (미리 보기) String 주의
Microsoft Defender 포털에 Microsoft Sentinel 온보딩한 경우:
Microsoft 원본의 경고에 대한 ProductName 필드를 사용자 지정하지 마세요. 이렇게 하면 이러한 경고가 Microsoft Defender XDR 삭제되고 인시던트가 생성되지 않습니다.
ProductComponentName 및 ProviderName 필드를 더 이상 사용자 지정할 수 없습니다.
이러한 사용자 지정이 이미 규칙에 있는 경우 호환성을 유지하고 예기치 않은 결과를 방지하기 위해 사용자 지정을 제거합니다.
마음이 바뀌거나 실수한 경우 경고 속성/값 쌍 옆에 있는 휴지통 아이콘을 클릭하여 경고 세부 정보를 제거하거나 경고 이름/설명 형식 필드에서 무료 텍스트를 삭제할 수 있습니다.
경고 세부 정보 사용자 지정을 마쳤으면 이제 규칙을 만드는 경우 마법사의 다음 탭으로 계속 이동합니다. 기존 규칙을 편집하는 경우 검토 및 만들기 탭을 선택합니다. 규칙 유효성 검사가 성공하면 저장을 선택합니다.
서비스 제한
- 단일 쿼리에서 최대 50개 값 으로 필드를 재정의할 수 있습니다. 쿼리가 사용자 지정된 값 50을 초과하면 모든 사용자 지정된 값이 삭제되고 모든 쿼리 결과에서 필드는 기본값으로 되돌아갑니다. 쿼리를 조정하여 50개 이하의 값을 생성하여 사용자 지정 값이 삭제되지 않도록 합니다.
- 필드 및 기타 비 컬렉션 속성의
AlertName크기 제한은 256바이트입니다. - 필드 및 기타 컬렉션 속성의
Description크기 제한은 5KB입니다. - 크기 제한을 초과하는 값은 삭제됩니다.
다음 단계
이 문서에서는 Microsoft Sentinel 분석 규칙에서 경고 세부 정보를 사용자 지정하는 방법을 알아보았습니다. Microsoft Sentinel 대한 자세한 내용은 다음 문서를 참조하세요.
- 경고를 보강하는 다른 방법을 살펴봅니다.
- 예약된 쿼리 분석 규칙에 대한 전체 그림을 가져옵니다.
- Microsoft Sentinel 엔터티에 대해 자세히 알아봅니다.