Microsoft Sentinel 책갈피를 헌팅하면 관련성이 있다고 판단되는 쿼리 및 쿼리 결과를 유지할 수 있습니다. 메모와 태그를 추가하여 상황별 관찰을 기록하고 결과를 참조할 수도 있습니다. 책갈피가 지정된 데이터는 공동 작업을 쉽게 수행할 수 있도록 사용자와 팀원에게 표시됩니다. 자세한 내용은 책갈피를 참조하세요.
참고
책갈피는 Azure Portal 만들 수 있습니다. Microsoft Defender 포털에서 책갈피를 추가할 수는 없지만 이미 만든 책갈피를 볼 수 있습니다.
중요
2027년 3월 31일 이후에는 Microsoft Sentinel 더 이상 Azure Portal 지원되지 않으며 Microsoft Defender 포털에서만 사용할 수 있습니다. Azure Portal Microsoft Sentinel 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel 사용합니다.
Azure Portal Microsoft Sentinel 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 제공하는 통합 보안 운영 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다.
책갈피 추가(Azure Portal만 해당)
쿼리, 결과, 관찰 및 결과를 보존하는 책갈피를 만듭니다.
위협 관리에서 헌팅을 선택합니다.
쿼리 탭에서 하나 이상의 헌팅 쿼리를 선택합니다.
위쪽 명령 모음에서 선택한 쿼리 실행을 선택합니다.
쿼리 결과 보기를 선택합니다. 예시:
이 작업을 수행하면 로그 창에서 쿼리 결과가 열립니다.
로그 쿼리 결과 목록에서 확인란을 사용하여 관심 있는 정보를 포함하는 하나 이상의 행을 선택합니다.
Azure Portal 책갈피 추가를 선택합니다.
오른쪽의 책갈피 추가 창에서 필요에 따라 책갈피 이름을 업데이트하고 태그 및 노트를 추가하여 항목에 대한 흥미로운 항목을 식별하는 데 도움이 됩니다.
책갈피는 선택적으로 MITRE ATT&CK 기술 또는 하위 기술에 매핑할 수 있습니다. MITRE ATT&CK 매핑은 헌팅 쿼리의 매핑된 값에서 상속되지만 수동으로 만들 수도 있습니다. 책갈피 추가 창의 전술 & 기술 섹션에 있는 드롭다운 메뉴에서 원하는 기술과 관련된 MITRE ATT & CK 전술을 선택합니다. 메뉴가 확장되어 모든 MITRE ATT&CK 기술이 표시되며, 이 메뉴에서 여러 기술과 하위 기술을 선택할 수 있습니다.
이제 추가 조사를 위해 책갈피가 지정된 쿼리 결과에서 확장된 엔터티 집합을 추출할 수 있습니다. 엔터티 매핑 섹션에서 드롭다운을 사용하여 엔터티 형식 및 식별자를 선택합니다. 그런 다음 해당 식별자를 포함하는 쿼리 결과의 열을 매핑합니다. 예시:
조사 그래프에서 책갈피를 보려면 하나 이상의 엔터티를 매핑해야 합니다. 만든 계정, 호스트, IP 및 URL 엔터티 형식에 대한 엔터티 매핑이 지원되어 이전 버전과의 호환성을 유지합니다.
만들기를 선택하여 변경 내용을 커밋하고 책갈피를 추가합니다. 책갈피가 지정된 모든 데이터는 다른 분석가와 공유되며 공동 조사 환경을 향한 첫 번째 단계입니다.
로그 쿼리 결과는 Microsoft Sentinel 이 창을 열 때마다 책갈피를 지원합니다. 예를 들어 탐색 모음에서 일반>로그를 선택하는 경우 조사 그래프에서 이벤트 링크를 선택하거나 인시던트에 대한 전체 세부 정보에서 경고 ID를 선택합니다. 로그 창이 다른 위치에서 열리면(예: Azure Monitor에서 직접) 책갈피를 만들 수 없습니다.
책갈피 보기 및 업데이트
책갈피 탭에서 책갈피를 찾아 업데이트합니다.
Azure Portal Microsoft Sentinel위협 관리에서 헌팅을 선택합니다.
Defender 포털의 Microsoft Sentinel Microsoft Sentinel관리>헌팅을 선택합니다>.책갈피 탭을 선택하여 책갈피 목록을 봅니다.
검색하거나 필터링하여 특정 책갈피 또는 책갈피를 찾습니다.
오른쪽 창에서 책갈피 세부 정보를 보려면 개별 책갈피를 선택합니다.
필요에 따라 변경합니다. 변경 내용이 자동으로 저장됩니다.
참고
책갈피 탭에서 최대 1,000개의 책갈피만 볼 수 있습니다. 로그에서 책갈피가 지정된 나머지 데이터를 볼 수 있습니다. 자세한 정보
조사 그래프에서 책갈피 탐색
대화형 엔터티 그래프 다이어그램 및 타임라인 사용하여 결과를 보고, 조사하고, 시각적으로 전달할 수 있는 조사 환경을 시작하여 책갈피가 지정된 데이터를 시각화합니다.
책갈피 탭에서 조사하려는 책갈피 또는 책갈피를 선택합니다.
책갈피 세부 정보에서 하나 이상의 엔터티가 매핑되었는지 확인합니다.
조사 그래프에서 책갈피를 보려면 조사를 선택합니다.
조사 그래프를 사용하는 지침은 조사 그래프를 사용하여 심층 분석을 참조하세요.
새 인시던트 또는 기존 인시던트에 책갈피 추가(Azure Portal만 해당)
헌팅 페이지의 책갈피 탭에서 인시던트에 책갈피를 추가합니다.
책갈피 탭에서 인시던트에 추가할 책갈피 또는 책갈피를 선택합니다.
명령 모음에서 인시던트 작업을 선택합니다.
새 인시던트 만들기 또는 기존 인시던트에 추가를 적절하게 선택합니다. 그런 다음 다음을 수행합니다.
- 새 인시던트: 필요에 따라 인시던트에 대한 세부 정보를 업데이트한 다음 만들기를 선택합니다.
- 기존 인시던트에 책갈피를 추가하려면 하나의 인시던트를 선택한 다음 , 추가를 선택합니다.
인시던트 내에서 책갈피를 보려면
- Microsoft Sentinel>관리인시던트> 로 이동합니다.
- 책갈피를 사용하여 인시던트 및 전체 세부 정보 보기를 선택합니다.
- 인시던트 페이지의 왼쪽 창에서 책갈피를 선택합니다.
로그에서 책갈피가 지정된 데이터 보기
책갈피가 지정된 쿼리, 결과 또는 해당 기록을 봅니다.
헌팅>책갈피 탭에서 책갈피를 선택합니다.
세부 정보 창에서 다음 링크를 선택합니다.
원본 쿼리를 보고 로그 창에서 원본 쿼리 를 봅니다.
책갈피 로그를 보고 업데이트한 사용자, 업데이트된 값 및 업데이트가 발생한 시간을 포함하는 모든 책갈피 메타데이터를 확인합니다.
헌팅>책갈피 탭의 명령 모음에서 책갈피 로그를 선택하여 모든 책갈피에 대한 원시 책갈피 데이터를 봅니다.
이 보기에는 연결된 메타데이터가 있는 모든 책갈피가 표시됩니다. KQL(Kusto 쿼리 언어) 쿼리를 사용하여 원하는 특정 책갈피의 최신 버전으로 필터링할 수 있습니다.
책갈피를 만드는 시간과 책갈피 탭에 표시되는 시간 사이에 상당한 지연(분 단위)이 발생할 수 있습니다 .
책갈피 삭제
책갈피를 삭제하면 책갈피 탭의 목록에서 책갈피 가 제거됩니다. Log Analytics 작업 영역에 대한 HuntingBookmark 테이블은 이전 책갈피 항목을 계속 포함하지만, 최신 항목은 SoftDelete 값을 true로 변경하여 이전 책갈피를 쉽게 필터링할 수 있습니다. 책갈피를 삭제해도 조사 환경에서 다른 책갈피 또는 경고와 연결된 엔터티가 제거되지는 않습니다.
책갈피를 삭제하려면 다음 단계를 완료합니다.
헌팅>책갈피 탭에서 삭제할 책갈피 또는 책갈피를 선택합니다.
마우스 오른쪽 단추를 클릭하고 선택한 책갈피를 삭제하는 옵션을 선택합니다.
관련 콘텐츠
이 문서에서는 Microsoft Sentinel 책갈피를 사용하여 헌팅 조사를 실행하는 방법을 알아보았습니다. Microsoft Sentinel 대한 자세한 내용은 다음 문서를 참조하세요.