Microsoft Sentinel(레거시)를 사용하여 인시던트 조사

  • 적용 대상: Microsoft Sentinel in the Azure portal

이 문서는 Microsoft Sentinel 레거시 인시던트 조사 환경을 사용하는 데 도움이 됩니다. 최신 버전의 인터페이스를 사용하는 경우 최신 명령 집합을 사용하여 일치합니다. 자세한 내용은 Microsoft Sentinel 인시던트 탐색 및 조사를 참조하세요.

데이터 원본을 Microsoft Sentinel 연결한 후 의심스러운 일이 발생하면 알림을 받습니다. 이 작업을 수행할 수 있도록 Microsoft Sentinel 할당하고 조사할 수 있는 인시던트 생성 고급 분석 규칙을 만들 수 있습니다.

인시던트에는 여러 경고가 포함될 수 있습니다. 그것은 특정 조사에 대 한 모든 관련 증거의 집계. 인시던트가 분석 페이지에서 만든 분석 규칙을 기반으로 만들어 집니다 . 심각도 및 상태 같은 경고와 관련된 속성은 인시던트 수준에서 설정됩니다. Microsoft Sentinel 찾고 있는 위협의 종류와 이를 찾는 방법을 알려면 인시던트 조사를 통해 감지된 위협을 모니터링할 수 있습니다.

중요

언급된 기능은 현재 미리 보기로 제공됩니다. Azure 미리 보기 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법적 조건이 포함됩니다.

필수 구성 요소

  • 분석 규칙을 설정할 때 엔터티 매핑 필드를 사용한 경우에만 인시던트 조사를 수행할 수 있습니다. 조사 그래프를 사용하려면 원래 인시던트에 엔터티가 포함되어야 합니다.

  • 인시던트 할당이 필요한 게스트 사용자가 있는 경우 사용자에게 Microsoft Entra 테넌트에서 디렉터리 읽기 권한자 역할이 할당되어야 합니다. 일반(비가구) 사용자에게는 기본적으로 이 역할이 할당됩니다.

인시던트 조사 방법

  1. 인시던트 를 선택합니다. 인시던트 페이지에서는 인시던트 수와 인시던트가 새로운 인시던트인지, 활성인지 또는 닫혔는지를 알 수 있습니다. 각 인시던트에 대해 발생한 시간과 인시던트 상태 확인할 수 있습니다. 심각도를 확인하여 먼저 처리할 인시던트 결정

    인시던트 심각도 보기의 스크린샷

  2. 필요에 따라 인시던트(예: 상태 또는 심각도)를 필터링할 수 있습니다. 자세한 내용은 인시던트 검색을 참조하세요.

  3. 조사를 시작하려면 특정 인시던트를 선택합니다. 오른쪽에서는 심각도, 관련된 엔터티 수 요약, 이 인시던트를 트리거한 원시 이벤트, 인시던트의 고유 ID 및 매핑된 MITRE ATT&CK 전술 또는 기술을 포함하여 인시던트에 대한 자세한 정보를 볼 수 있습니다.

  4. 인시던트에서 경고 및 엔터티에 대한 자세한 내용을 보려면 인시던트 페이지에서 전체 세부 정보 보기를 선택하고 인시던트 정보를 요약하는 관련 탭을 검토합니다.

    경고 세부 정보 보기의 스크린샷

    • 현재 새 환경을 사용하는 경우 인시던트 세부 정보 페이지의 오른쪽 위에서 해제하여 레거시 환경을 대신 사용합니다.

    • 타임라인 탭에서 인시트의 경고 및 책갈피 타임라인 검토하여 공격자 활동의 타임라인 재구성하는 데 도움이 될 수 있습니다.

    • 유사한 인시던트(미리 보기) 탭에는 현재 인시던트와 가장 유사한 최대 20개의 다른 인시던트 컬렉션이 표시됩니다. 이렇게 하면 더 큰 컨텍스트에서 인시던트 보기를 허용하고 조사를 지시하는 데 도움이 됩니다. 아래에서 유사한 인시던트에 대해 자세히 알아보세요.

    • 경고 탭에서 이 인시던트에 포함된 경고를 검토합니다. 경고에 대한 모든 관련 정보( 경고를 생성한 분석 규칙, 경고당 반환된 결과 수 및 경고에서 플레이북을 실행하는 기능)가 표시됩니다. 인시던트에 대해 자세히 알아보려면 이벤트 수를 선택합니다. 그러면 결과를 생성한 쿼리와 Log Analytics에서 경고를 트리거한 이벤트가 열립니다.

    • 책갈피 탭에 사용자 또는 다른 조사관이 이 인시던트에 연결한 책갈피가 표시됩니다. 책갈피에 대해 자세히 알아보세요.

    • 엔터티 탭에서 경고 규칙 정의의 일부로 매핑한 모든 엔터티를 볼 수 있습니다. 이러한 개체는 사용자, 디바이스, 주소, 파일 또는 기타 유형 등 인시던트에서 역할을 한 개체입니다.

    • 마지막으로 메모 탭에서 조사에 대한 의견을 추가하고 다른 분석가 및 조사자의 의견을 볼 수 있습니다. 주석에 대해 자세히 알아보세요.

  5. 인시던트를 적극적으로 조사하는 경우 닫을 때까지 인시던트의 상태 활성으로 설정하는 것이 좋습니다.

  6. 인시던트가 특정 사용자 또는 그룹에 할당될 수 있습니다. 각 인시던트에 대해 소유자 필드를 설정하여 소유자 를 할당할 수 있습니다. 모든 인시던트가 할당되지 않은 것으로 시작합니다. 다른 분석가가 조사한 내용과 인시던트에 대한 우려 사항을 이해할 수 있도록 의견을 추가할 수도 있습니다.

    사용자에게 인시던트 할당 스크린샷

    최근에 선택한 사용자 및 그룹이 그림 드롭다운 목록의 맨 위에 표시됩니다.

  7. 조사를 선택하여 조사 맵을 봅니다.

조사 그래프를 사용하여 심층 분석

조사 그래프를 사용하면 분석가가 각 조사에 대해 올바른 질문을 할 수 있습니다. 조사 그래프를 사용하면 관련 데이터를 관련 엔터티와 상호 연결하여 잠재적인 보안 위협의 scope 이해하고 근본 원인을 식별할 수 있습니다. 그래프를 선택하고 다양한 확장 옵션 중에서 선택하여 그래프에 표시되는 엔터티를 자세히 살펴보고 조사할 수 있습니다.

조사 그래프는 다음을 제공합니다.

  • 원시 데이터의 시각적 컨텍스트: 라이브, 시각적 그래프는 원시 데이터에서 자동으로 추출된 엔터티 관계를 표시합니다. 이렇게 하면 다양한 데이터 원본에서 연결을 쉽게 볼 수 있습니다.

  • 전체 조사 scope 검색: 기본 제공 탐색 쿼리를 사용하여 조사 scope 확장하여 위반의 전체 scope 표시합니다.

  • 기본 제공 조사 단계: 미리 정의된 탐색 옵션을 사용하여 위협에 직면하여 올바른 질문을 하고 있는지 확인합니다.

조사 그래프를 사용하려면 다음을 수행합니다.

  1. 인시던 트를 선택한 다음 조사를 선택합니다. 그러면 조사 그래프로 이동합니다. 그래프는 경고에 직접 연결된 엔터티와 추가로 연결된 각 리소스의 설명 맵을 제공합니다.

    지도를 봅니다.

    중요

    • 분석 규칙을 설정할 때 엔터티 매핑 필드를 사용한 경우에만 인시던트 조사를 수행할 수 있습니다. 조사 그래프를 사용하려면 원래 인시던트에 엔터티가 포함되어야 합니다.

    • Microsoft Sentinel 현재 최대 30일의 인시던트 조사를 지원합니다.

  2. 엔터티를 선택하여 해당 엔터티 에 대한 정보를 검토할 수 있도록 엔터티 창을 엽니다.

    맵에서 엔터티 보기

  3. 각 엔터티를 마우스로 가리켜 조사를 확장하여 조사를 심화하기 위해 엔터티 유형별 보안 전문가 및 분석가가 설계한 질문 목록을 표시합니다. 이러한 옵션을 탐색 쿼리라고 합니다.

    자세한 정보 살펴보기

    예를 들어 관련 경고를 요청할 수 있습니다. 탐색 쿼리를 선택하면 결과 권한은 그래프에 다시 추가됩니다. 이 예제에서 관련 경고를 선택하면 다음 경고가 그래프로 반환되었습니다.

    스크린샷: 관련 경고 보기

    관련 경고가 점선으로 엔터티에 연결된 것으로 표시되는지 확인합니다.

  4. 각 탐색 쿼리에 대해 이벤트를 선택하여 원시 이벤트 결과 및 Log Analytics에 사용되는 쿼리를 여는 옵션을 선택할 수 있습니다>.

  5. 인시던트 이해를 위해 그래프는 병렬 타임라인 제공합니다.

    스크린샷: 지도에서 타임라인 보기.

  6. 타임라인 마우스로 가리키면 그래프에서 어떤 시점이 발생했는지 확인합니다.

    스크린샷: 맵에서 타임라인 사용하여 경고를 조사합니다.'

조사에 집중

인시던트에 경고를 추가하거나 인시던트에서 경고를 제거하여 조사 scope 확대 또는 축소하는 방법을 알아봅니다.

유사한 인시던트(미리 보기)

보안 운영 분석가로서 인시던트를 조사할 때 더 큰 컨텍스트에 주의를 기울이려고 합니다. 예를 들어 이와 같은 다른 인시던트가 이전에 발생했거나 지금 발생하는지 확인할 수 있습니다.

  • 동일한 더 큰 공격 전략의 일부일 수 있는 동시 인시던트를 식별할 수 있습니다.

  • 과거에 비슷한 인시던트를 식별하여 현재 조사의 참조 지점으로 사용할 수 있습니다.

  • 과거 유사한 인시던트 소유자를 식별하여 SOC에서 더 많은 컨텍스트를 제공할 수 있는 사람 또는 조사를 에스컬레이션할 수 있는 사용자를 찾을 수 있습니다.

현재 미리 보기로 제공되는 인시던트 세부 정보 페이지의 유사한 인시 던트 탭에는 현재 인시던트와 가장 유사한 최대 20개의 다른 인시던트가 표시됩니다. 유사성은 내부 Microsoft Sentinel 알고리즘에 의해 계산되며 인시던트가 정렬되어 내림차순으로 표시됩니다.

유사한 인시던트 표시 스크린샷

유사성 계산

유사성이 결정되는 세 가지 기준이 있습니다.

  • 유사한 엔터티: 인시던트가 동일한 엔터티를 모두 포함하는 경우 인시 던트가 다른 인시던트와 유사한 것으로 간주됩니다. 두 인시던트의 공통점이 있는 엔터티가 많을수록 더 비슷하다고 간주됩니다.

  • 유사한 규칙: 인시던트가 동일한 분석 규칙에 의해 만들어진 경우 인시던트가 다른 인시 던트와 유사한 것으로 간주됩니다.

  • 유사한 경고 세부 정보: 인시던트가 동일한 타이틀, 제품 이름 및/또는 사용자 지정 세부 정보를 공유하는 경우 인시던트가 다른 인시던트와 유사한 것으로 간주됩니다.

유사한 인시던트 목록에 인시던트가 표시되는 이유는 유사성 이유 열에 표시됩니다. 정보 아이콘을 마우스로 가리키면 일반적인 항목(엔터티, 규칙 이름 또는 세부 정보)이 표시됩니다.

유사한 인시던트 세부 정보의 팝업 표시 스크린샷

유사성 시간 프레임

인시던트 유사성은 인시던트에서 가장 최근 경고의 종료 시간인 인시던트에서 마지막 작업 14일 전의 데이터를 기반으로 계산됩니다.

인시던트 유사성은 인시던트 세부 정보 페이지를 입력할 때마다 다시 계산되므로 새 인시던트가 생성되거나 업데이트된 경우 세션마다 결과가 달라질 수 있습니다.

인시던트에 대한 주석

보안 운영 분석가로서 인시던트를 조사할 때 경영진에 대한 정확한 보고를 보장하고 동료 간의 원활한 협력과 협업을 가능하게 하기 위해 수행하는 단계를 철저히 문서화해야 합니다. Microsoft Sentinel 이를 수행하는 데 도움이 되는 풍부한 주석 처리 환경을 제공합니다.

주석으로 수행할 수 있는 또 다른 중요한 작업은 인시던트가 자동으로 보강되는 것입니다. 외부 원본에서 관련 정보를 가져오는 인시던트에 대한 플레이북을 실행하는 경우(예: VirusTotal에서 맬웨어 파일 확인) 플레이북에서 정의한 다른 정보와 함께 외부 원본의 응답을 인시던트의 주석에 배치할 수 있습니다.

주석은 사용하기 간단합니다. 인시 던트 세부 정보 페이지의 메모 탭을 통해 액세스합니다.

메모를 보고 입력하는 스크린샷.

인시던트 주석에 대한 질문과 대답

인시던트 주석을 사용할 때 고려해야 할 몇 가지 고려 사항이 있습니다. 다음 질문 목록은 이러한 고려 사항을 가리킵니다.

어떤 종류의 입력이 지원됩니까?

  • 텍스트: Microsoft Sentinel 주석은 일반 텍스트, 기본 HTML 및 Markdown의 텍스트 입력을 지원합니다. 복사한 텍스트, HTML 및 Markdown을 메모 창에 붙여넣을 수도 있습니다.

  • 이미지: 메모에 이미지에 대한 링크를 삽입할 수 있으며 이미지는 인라인으로 표시되지만 이미지는 Dropbox, OneDrive, Google Drive 등과 같은 공개적으로 액세스할 수 있는 위치에서 이미 호스트되어야 합니다. 이미지는 메모에 직접 업로드할 수 없습니다.

주석에 크기 제한이 있나요?

  • 주석당: 단일 주석은 최대 30,000자를 포함할 수 있습니다.

  • 인시던트당: 단일 인시던트에는 최대 100개의 댓글이 포함될 수 있습니다.

    참고

    Log Analytics의 SecurityIncident 테이블에 있는 단일 인시던트 레코드의 크기 제한은 64KB입니다. 이 제한을 초과하면 주석(가장 이른 시간부터 시작)이 잘리며 고급 검색 결과에 표시되는 주석에 영향을 줄 수 있습니다.

    인시던트 데이터베이스의 실제 인시던트 레코드는 영향을 받지 않습니다.

주석을 편집하거나 삭제할 수 있는 사람은 누구인가요?

  • 편집: 주석 작성자만 편집할 수 있는 권한이 있습니다.

  • 삭제:Microsoft Sentinel 기여자 역할이 있는 사용자만 메모를 삭제할 수 있는 권한이 있습니다. 댓글 작성자라도 삭제하려면 이 역할이 있어야 합니다.

인시던트 닫기

특정 인시던트가 resolve(예: 조사가 결론에 도달한 경우) 인시던트의 상태 Closed로 설정해야 합니다. 이렇게 하면 인시던트 종료 이유를 지정하여 인시던트 분류를 묻는 메시지가 표시됩니다. 이 단계는 필수입니다. 분류 선택을 선택하고 드롭다운 목록에서 다음 중 하나를 선택합니다.

  • True Positive - 의심스러운 활동
  • 양성 양성 - 의심스럽지만 예상됨
  • 가양성 - 잘못된 경고 논리
  • 가양성 - 잘못된 데이터
  • 불확 실한

분류 선택 목록에서 사용할 수 있는 분류를 강조 표시하는 스크린샷

가양성 및 양성 긍정에 대한 자세한 내용은 Microsoft Sentinel 가양성 처리를 참조하세요.

적절한 분류를 선택한 후 메모 필드에 설명 텍스트를 추가합니다. 이는 이 인시던트 다시 참조해야 하는 경우에 유용합니다. 완료되면 적용 을 선택하고 인시던트가 닫힙니다.

인시던트를 닫는 스크린샷

인시던트 검색

특정 인시던트 목록을 빠르게 찾으려면 인시던트 표 위의 검색 상자에 검색 문자열을 입력하고 Enter 키를 눌러 그에 따라 표시되는 인시던트 목록을 수정합니다. 인시던트가 결과에 포함되지 않은 경우 고급 검색 옵션을 사용하여 검색 범위를 좁힐 수 있습니다.

검색 매개 변수를 수정하려면 검색 단추를 선택한 다음 검색을 실행할 매개 변수를 선택합니다.

예시:

기본 및/또는 고급 검색 옵션을 선택하는 인시던트 검색 상자 및 단추의 스크린샷.

기본적으로 인시던트 검색은 인시던트 ID, 타이틀, 태그, 소유자제품 이름 값에서만 실행됩니다. 검색 창에서 목록을 아래로 스크롤하여 검색할 하나 이상의 다른 매개 변수를 선택하고 적용 을 선택하여 검색 매개 변수를 업데이트합니다. 기본값으로 설정을 선택하여 선택한 매개 변수를 기본 옵션으로 다시 설정합니다.

참고

소유자 필드의 검색은 이름과 전자 메일 주소를 모두 지원합니다.

고급 검색 옵션을 사용하면 다음과 같이 검색 동작이 변경됩니다.

검색 동작 설명
검색 단추 색 검색 단추의 색은 현재 검색에 사용되는 매개 변수 유형에 따라 변경됩니다.
  • 기본 매개 변수만 선택하는 한 단추는 회색입니다.
  • 고급 검색 매개 변수와 같은 다른 매개 변수를 선택하는 즉시 단추가 파란색으로 바뀝니다.
자동 새로 고침 고급 검색 매개 변수를 사용하면 결과를 자동으로 새로 고치도록 선택할 수 없습니다.
엔터티 매개 변수 모든 엔터티 매개 변수는 고급 검색에 대해 지원됩니다. 엔터티 매개 변수에서 검색할 때 검색은 모든 엔터티 매개 변수에서 실행됩니다.
문자열 검색 단어 문자열을 검색하면 검색 쿼리의 모든 단어가 포함됩니다. 검색 문자열은 대/소문자를 구분합니다.
작업 영역 간 지원 고급 검색은 작업 영역 간 보기에 대해 지원되지 않습니다.
표시된 검색 결과 수 고급 검색 매개 변수를 사용하는 경우 한 번에 50개 결과만 표시됩니다.

찾고 있는 인시던트 를 찾을 수 없는 경우 검색 매개 변수를 제거하여 검색을 확장합니다. 검색 결과 항목이 너무 많은 경우 더 많은 필터를 추가하여 결과의 범위를 좁힐 수 있습니다.

관련 콘텐츠

이 문서에서는 Microsoft Sentinel 사용하여 인시던트 조사를 시작하는 방법을 알아보았습니다. 자세한 내용은 다음 항목을 참조하세요.

  • Last updated on