이 문서에서는 Microsoft Sentinel 분석 규칙 및 Microsoft Defender 사용자 지정 검색에서 지원하는 다양한 기능을 나열하고 비교합니다. 또한 해당하는 경우 사용자 지정 검색에서 사용할 수 없는 분석 규칙 기능을 지원하는 계획과 같은 추가 정보를 제공합니다.
중요
이제 사용자 지정 검색이 Microsoft Sentinel SIEM Microsoft Defender XDR 새 규칙을 만드는 가장 좋은 방법입니다. 사용자 지정 검색을 사용하면 수집 비용을 줄이고, 무제한 실시간 검색을 얻을 수 있으며, 자동 엔터티 매핑을 사용하여 Defender XDR 데이터, 함수 및 수정 작업과의 원활한 통합을 활용할 수 있습니다. 자세한 내용은 이 블로그를 참조하세요.
분석 규칙 및 사용자 지정 검색 기능 비교
| 기능 | 기능 | 분석 규칙 | 사용자 지정 검색 |
|---|---|---|---|
| 경고 보강 | Sentinel 데이터에 대한 유연한 엔터티 매핑 | 않음 | 않음 |
| 여러 MITRE 전술 연결 | 않음 | 예정 | |
| MITRE 기술 및 하위 기술 전체 목록 지원 | 않음 | 예정 | |
| 사용자 지정 세부 정보를 사용하여 경고 보강 | 않음 | 않음 | |
| 경고 제목 및 설명을 동적으로 정의 - 런타임에 쿼리 결과 통합 | 않음 | 않음 | |
| 모든 경고 속성을 동적으로 정의 - 런타임에 쿼리 결과 통합 | 지원 | 예정 | |
| 규칙 빈도 | Sentinel 데이터에 대해 유연하고 높은 빈도 지원 | 않음 | 않음 |
| Sentinel 데이터에 대한 NRT(근 실시간) 규칙 | 않음 | 예정 | |
| NRT 스트리밍 기술 - 수집 지연에 민감하지 않고 스트리밍할 때 이벤트 테스트 | 지원되지 않습니다. 분석 NRT 규칙은 수집된 후 이벤트를 테스트합니다. | 않음 | |
| 규칙의 첫 번째 실행 확인 | 지원 | 지원되지 않음 | |
| 규칙 조회 | 조회 지원 | 조회는 유연합니다.
|
조회는 빈도에 따라 정적으로 결정됩니다. 24시간 이하의 빈도에 대해 빈도의 4배 또는 30일과 같습니다. 분석 규칙과의 패리티 계획 |
| 규칙 데이터 | 데이터 Defender XDR | 지원되지 않음 | 지원 |
| Sentinel 분석 계층 | 않음 | 않음 | |
| 자동화된 작업 | 네이티브 Defender XDR 수정 작업 | 지원되지 않음 | 지원 |
| 인시던트 트리거를 사용하여 자동화 규칙 Sentinel | 않음 | 예정 | |
| 경고 트리거를 사용하여 자동화 규칙 Sentinel | 않음 | 예정 | |
| 감사 및 상태 표시 여부 | 고급 헌팅에서 사용할 수 있는 규칙 감사 로그 | 지원됨(표에서 SentinelAudit ) |
Microsoft Defender for Cloud Apps 사용자를 위해 테이블에 노출됩니다CloudAppEvents.이 기능은 향후 모든 사용자 지정 검색 사용자에 사용할 수 있습니다. |
| 고급 헌팅에서 사용할 수 있는 규칙 상태 로그 | 지원됨(표에서 SentinelHealth ) |
예정 | |
| 경고 및 이벤트 그룹화 제어 | 경고 그룹화 논리 사용자 지정 | 않음 | 지원되지 않습니다. SIEM 및 XDR 솔루션에서 상관 관계 엔진은 경고의 그룹화 논리를 처리하고 그룹화 논리를 구성해야 하는 필요성을 해결할 수 있습니다. |
| 하나의 경고에서 모든 이벤트와 이벤트당 하나의 경고 중에서 선택 | 지원 | 지원되지 않음 | |
| 사용자 지정 세부 정보, 경고 동적 세부 정보 및 엔터티가 동일한 경우 이벤트를 하나의 경고로 그룹화 | 지원되지 않음 | 지원 | |
| 인시던트 및 경고 만들기 제어 | 상관 관계 엔진에서 인시던트 제외 - 다른 규칙의 인시던트가 분리된 상태로 유지되도록 합니다. | 예정 | 예정 |
| 인시던트 없이 경고 만들기 | 지원 | 지원되지 않음 | |
| 경고 표시 안 함 - 규칙이 실행된 후 경고 표시 안 함 정의 | 지원 | 지원되지 않음 | |
| 규칙 관리 | 이전 시간 창에서 요청 시 규칙 다시 실행 | 않음 | 예정 |
| 요청 시 규칙 실행 | 지원되지 않음 | 지원 | |
| 상태 및 품질 통합 문서 | 않음 | 예정 | |
| Sentinel 리포지토리와 통합 | 않음 | 예정 | |
| API에서 규칙 관리 | 않음 | 않음 | |
| Bicep 지원 | 않음 | 예정 | |
| 콘텐츠 허브 | 콘텐츠 허브에서 규칙 만들기 | 않음 | 예정 |
| 다중 작업 영역 | Defender에 온보딩된 모든 작업 영역에서 사용자 지정 검색 만들기 | 않음 | 예정 |
| 작업 영역 연산자를 사용하여 작업 영역 간 검색 | 않음 | 예정 | |
| 테스트 및 유효성 검사 | 규칙 마법사의 규칙 시뮬레이션 | 지원 | 예정 |