Microsoft Sentinel 모범 사례

이 모범 사례 모음에서는 다른 문서에 대한 링크를 비롯하여 Microsoft Sentinel을 배포, 관리 및 사용할 때 적용할 지침을 제공합니다.

Important

Microsoft Sentinel을 배포하기 전에 배포 전 작업 및 필수 조건을 검토하고 완료합니다.

모범 사례 참조

Microsoft Sentinel 설명서에는 설명서 전체에 걸쳐 모범 사례 지침이 있습니다. 이 문서에서 제공하는 내용 외에도 자세한 내용은 다음을 참조하세요.

• 관리 사용자:

  • Microsoft Sentinel 배포를 위한 사전 배포 작업 및 필수 조건
  • Microsoft Sentinel 작업 영역 아키텍처 모범 사례
  • Microsoft Sentinel 작업 영역 아키텍처 설계
  • Microsoft Sentinel 샘플 작업 영역 디자인
  • 데이터 수집 모범 사례
  • Microsoft Sentinel 비용 및 청구
  • Microsoft Sentinel의 권한
  • Microsoft Sentinel에서 MSSP 지적 재산 보호
  • Microsoft Sentinel의 위협 인텔리전스 통합
  • Microsoft Sentinel 콘텐츠 및 솔루션
  • Microsoft Sentinel 쿼리 및 작업 감사

• 분석가:

  • 권장 플레이북
  • Microsoft Sentinel에서 가양성 처리
  • Microsoft Sentinel로 위협 찾기
  • 일반적으로 사용되는 Microsoft Sentinel 통합 문서
  • 처음부터 위협 탐지
  • 위협 탐지를 위한 사용자 지정 분석 규칙 만들기
  • Jupyter Notebook을 사용하여 보안 위협 헌팅

자세한 내용은 성공을 위한 SecOps 설계: Microsoft Sentinel 배포 모범 사례를 참조하세요.

수행할 일반 SOC 활동

지속적인 보안 모범 사례를 보장하기 위해 다음 Microsoft Sentinel 작업을 정기적으로 예약합니다.

일상적인 작업

• 인시던트 심사 및 조사 Microsoft Sentinel 인시던트 페이지를 검토하여 현재 구성된 분석 규칙에 의해 생성된 새 인시던트를 확인하고 새로운 인시던트 조사를 시작합니다. 자세한 내용은 자습서: Microsoft Sentinel을 사용하여 인시던트 조사를 참조하세요.

• 헌팅 쿼리 및 책갈피를 탐색합니다. 모든 기본 제공 쿼리에 대한 결과를 탐색하고 기존 헌팅 쿼리 및 책갈피를 업데이트합니다. 새 인시던트가 수동으로 생성되거나 해당되는 경우 이전 인시던트가 업데이트됩니다. 자세한 내용은 다음을 참조하세요.

  • Microsoft 보안 경고에서 인시던트를 자동으로 생성
  • Microsoft Sentinel로 위협 찾기
  • Microsoft Sentinel을 사용하여 헌팅하는 동안 데이터 추적

• 분석 규칙. 최근에 연결된 데이터 커넥터에서 새로 릴리스되었거나 새로 사용할 수 있는 규칙을 포함하여 적용 가능한 새 분석 규칙을 검토하고 사용하도록 설정합니다.

• 데이터 커넥터. 각 데이터 커넥터에서 받은 마지막 로그의 상태, 날짜 및 시간을 검토하여 데이터가 흐르는지 확인합니다. 새 커넥터를 확인하고 수집을 검토하여 설정된 제한을 초과하지 않았는지 확인합니다. 자세한 내용은 데이터 수집 모범 사례 및 커넥트 데이터 원본을 참조하세요.

• Log Analytics 에이전트. 서버 및 워크스테이션이 작업 영역에 적극적으로 연결되어 있는지 확인하고 실패한 연결 문제를 해결하고 수정합니다. 자세한 내용은 Log Analytics 에이전트 개요를 참조하세요.

• 플레이북 실패. 플레이북 실행 상태 확인하고 오류 문제를 해결합니다. 자세한 내용은 자습서: Microsoft Sentinel에서 자동화 규칙과 함께 플레이북 사용을 참조하세요.

주간 작업

• 솔루션 또는 독립 실행형 콘텐츠의 콘텐츠 검토 콘텐츠 허브에서 설치된 솔루션 또는 독립 실행형 콘텐츠에 대한 콘텐츠 업데이트를 가져옵니다. 분석 규칙, 통합 문서, 헌팅 쿼리 또는 플레이북과 같이 환경에 가치가 있을 수 있는 새 솔루션 또는 독립 실행형 콘텐츠를 검토합니다.

• Microsoft Sentinel 감사. Microsoft Sentinel 작업을 검토하여 분석 규칙, 책갈피 등과 같은 리소스를 업데이트하거나 삭제한 사람을 확인합니다. 자세한 내용은 Microsoft Sentinel 쿼리 및 작업 감사를 참조하세요.

월별 작업

• 사용자 액세스 검토. 사용자에 대한 사용 권한을 검토하고 비활성 사용자에 대한 검사. 자세한 내용은 Microsoft Sentinel의 권한을 참조하세요.

• Log Analytics 작업 영역 검토 Log Analytics 작업 영역 데이터 보존 정책이 여전히 조직의 정책에 부합하는지 검토합니다. 자세한 내용은 데이터 보존 정책 및 장기 로그 보존을 위한 Azure Data Explorer 통합을 참조하세요.

Microsoft 보안 서비스와 통합

Microsoft Sentinel은 작업 영역에 데이터를 전송하는 구성 요소에 의해 사용되며 다른 Microsoft 서비스와의 통합을 통해 더 강력하게 이루어집니다. 클라우드용 Microsoft Defender 앱, 엔드포인트용 Microsoft Defender 및 Microsoft Defender for Identity와 같은 제품에 수집된 모든 로그를 통해 이러한 서비스에서 검색을 만들고 Microsoft Sentinel에 해당 검색을 제공할 수 있습니다. 또한 로그를 Microsoft Sentinel에 직접 수집하여 이벤트 및 인시던트에 대한 전체 그림을 제공할 수도 있습니다.

예를 들어 다음 이미지는 Microsoft Sentinel이 다른 Microsoft 서비스, 다중 클라우드 및 파트너 플랫폼에서 데이터를 수집하여 환경에 적용되는 방법을 보여 줍니다.

Microsoft Sentinel은 다른 원본에서 경고 및 로그를 수집하는 것 외에도 다음을 수행합니다.

• 더 나은 이벤트 상관 관계, 경고 집계, 변칙 검색 등을 허용하는 기계 학습과 함께 수집하는 정보를 사용합니다.
• 통합 문서를 통해 대화형 시각적 개체를 빌드하고 표시하며, 추세, 관련 정보 및 관리 작업 및 조사 모두에 사용되는 주요 데이터를 보여 줍니다.
• 플레이북을 실행하여 경고에 대해 작업하고, 정보를 수집하고, 항목에 대한 작업을 수행하고, 다양한 플랫폼에 알림을 보냅니다.
• ServiceNow 및 Jira와 같은 파트너 플랫폼과 통합되어 SOC 팀에 필수 서비스를 제공합니다.
• 위협 인텔리전스 플랫폼에서 강화 피드를 수집 및 페치하여 수집에 유용한 데이터를 가져옵니다.

인시던트 관리 및 대응

다음 이미지는 인시던트 관리 및 응답 프로세스의 권장 단계를 보여 줍니다.

다음 섹션에서는 프로세스 전반에 걸쳐 인시던트 관리 및 대응을 위해 Microsoft Sentinel 기능을 사용하는 방법에 대한 상위 수준 설명을 제공합니다. 자세한 내용은 자습서: Microsoft Sentinel을 사용하여 인시던트 조사를 참조하세요.

인시던트 페이지 및 조사 그래프 사용

Microsoft Sentinel의 Microsoft Sentinel 인시던트 페이지와 조사 그래프에서 새 인시던트에 대한 분류 프로세스를 시작합니다.

계정, URL, IP 주소, 호스트 이름, 활동, 타임라인 등과 같은 주요 엔터티를 검색합니다. 이 데이터를 사용하여 가양성인지 여부를 파악합니다. 이 경우 인시던트를 직접 닫을 수 있습니다.

생성된 인시던트가 인시던트 페이지에 표시됩니다. 이 인시던트 페이지는 심사 및 조기 조사를 위한 중앙 위치 역할을 합니다. 인시던트 페이지에는 제목, 심각도 및 관련 경고, 로그 및 관심 있는 엔터티가 나열됩니다. 또한 인시던트를 통해 수집된 로그 및 인시던트와 관련된 모든 도구로 빠르게 이동할 수 있습니다.

인시던트 페이지는 사용자가 경고에 대해 자세히 살펴보고 자세히 분석하여 공격의 전체 범위를 표시할 수 있는 대화형 도구인 조사 그래프와 함께 작동합니다. 그러면 사용자는 이벤트 타임라인 생성하고 위협 체인의 범위를 검색할 수 있습니다.

인시던트가 참 긍정인 경우 인시던트 페이지에서 직접 조치를 취하여 로그, 엔터티를 조사하고 위협 체인을 탐색합니다. 위협을 식별하고 작업 계획을 만든 후에는 Microsoft Sentinel 및 기타 Microsoft 보안 서비스의 다른 도구를 사용하여 조사를 계속합니다.

통합 문서를 사용하여 인시던트 처리

정보와 추세를 시각화하고 표시하는 것 외에도 Microsoft Sentinel 통합 문서는 귀중한 조사 도구입니다.

예를 들어 Investigation Insights 통합 문서를 사용하여 관련 엔터티 및 경고와 함께 특정 인시던트를 조사합니다. 이 통합 문서를 사용하면 관련 로그, 작업 및 경고를 표시하여 엔터티를 심층적으로 조사할 수 있습니다.

위협 헌팅을 사용하여 인시던트 처리

근본 원인을 조사하고 검색하는 동안 기본 제공 위협 헌팅 쿼리를 실행하고 손상 지표에 대한 결과를 검사.

조사 중 또는 위협을 수정하고 근절하기 위한 조치를 취한 후 라이브 스트림을 사용하여 악의적인 이벤트가 남아 있는지 또는 악의적인 이벤트가 계속 진행 중인지 실시간으로 모니터링합니다.

엔터티 동작을 사용하여 인시던트 처리

Microsoft Sentinel의 엔터티 동작을 통해 사용자는 계정 및 호스트 이름 조사와 같은 특정 엔터티에 대한 작업 및 경고를 검토하고 조사할 수 있습니다. 자세한 내용은 다음을 참조하세요.

• Microsoft Sentinel에서 UEBA(사용자 및 엔터티 동작 분석) 사용
• UEBA 데이터를 사용하여 인시던트 조사
• Microsoft Sentinel UEBA 보강 참조

관심 목록 및 위협 인텔리전스를 사용하여 인시던트 처리

위협 인텔리전스 기반 검색을 최대화하려면 위협 인텔리전스 데이터 커넥터를 사용하여 손상 지표를 수집해야 합니다.

• 에 필요한 데이터 원본 커넥트Fusion 및 TI 맵 경고
• TAXII 및 TIP 플랫폼에서 지표 수집

위협 헌팅, 로그 조사 또는 더 많은 인시던트 생성 시 분석 규칙에서 손상 지표를 사용합니다.

수집된 데이터 및 외부 원본(예: 보강 데이터)의 데이터를 결합하는 관심 목록을 사용합니다. 예를 들어 조직 또는 최근에 해고된 직원이 사용하는 IP 주소 범위 목록을 만듭니다. 감시 목록을 플레이북과 함께 사용하여 탐지, 위협 헌팅 및 조사 중에 사용할 관심 목록에 악성 IP 주소를 추가하는 등 보강 데이터를 수집합니다.

인시던트 중에 관심 목록을 사용하여 조사 데이터를 포함하고 조사가 완료되면 삭제하여 중요한 데이터가 다시 표시되지 않도록 합니다기본.

다음 단계

Microsoft Sentinel을 시작하려면 다음을 참조하세요.

• Microsoft Sentinel 온보딩
• 경고에 대한 가시성 가져오기