Microsoft Sentinel에서 다단계 공격 검색(Fusion) 규칙 구성

Important

Fusion 분석 규칙의 새 버전은 현재 미리 보기에 있습니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

참고 항목

US Government 클라우드의 기능 가용성에 대한 자세한 내용은 US Government 고객을 위한 클라우드 기능 가용성의 Microsoft Sentinel 표를 참조하세요.

Microsoft Sentinel은 확장 가능한 기계 학습 알고리즘을 기반으로 하는 상관 관계 엔진인 Fusion을 사용하여 킬 체인의 다양한 단계에서 관찰되는 비정상적인 동작과 의심스러운 작업의 조합을 식별하여 다단계 공격을 자동으로 검색합니다. 이러한 발견을 기반으로 Microsoft Sentinel은 포착하기 어려운 인시던트를 생성합니다. 이러한 인시던트는 둘 이상의 경고 또는 활동으로 구성됩니다. 설계 의도에 따라 이러한 인시던트는 볼륨이 작고, 충실도가 높고, 심각도가 높습니다.

환경에 맞게 사용자 지정되는 이 감지 기술은 가양성 비율을 줄일 뿐 아니라 정보가 제한되거나 누락된 공격도 감지할 수 있습니다.

Fusion 규칙 구성

이 검색은 Microsoft Sentinel에서 기본적으로 사용하도록 설정되어 있습니다. 상태를 확인하거나 변경하려면 다음 지침을 따릅니다.

1. Azure Portal에 로그인하고 Microsoft Sentinel을 입력합니다.

2. Microsoft Sentinel 탐색 메뉴에서 분석을 선택합니다.

3. 활성 규칙 탭을 선택한 다음, Fusion 규칙 유형에 대한 목록을 필터링하여 이름 열에서 고급 다단계 공격 감지를 찾습니다. 상태 열을 확인하여 감지 사용 여부를 확인합니다.

   

4. 상태를 변경하려면 이 항목을 선택하고 고급 다단계 공격 감지 블레이드에서 편집을 선택합니다.

5. 분석 규칙 마법사의 일반 탭에서 상태(사용/사용 안 함)를 확인하거나 원하는 경우 변경합니다.

   상태를 변경했지만 더 이상 변경할 사항이 없으면 검토 및 업데이트 탭을 선택하고 저장을 선택합니다.

   Fusion 검색 규칙을 추가로 구성하려면 다음: Fusion 구성을 선택합니다.

   

6. Fusion 검색을 위한 원본 신호 구성: 최상의 결과를 가져오려면 모든 심각도와 함께 나열된 모든 원본 신호를 포함하는 것이 좋습니다. 기본적으로 이미 모두 포함되어 있지만 다음과 같은 방법으로 변경할 수 있습니다.

   참고 항목

   특정 원본 신호 또는 경고 심각도 수준을 제외하면 해당 원본의 신호 또는 해당 심각도 수준과 일치하는 경고에 의존하는 모든 Fusion 검색이 트리거되지 않습니다.

   • 변칙, 다양한 공급자의 경고, 원시 로그를 포함하여 Fusion 검색에서 신호를 제외합니다.

     사용 사례: 시끄러운 경고를 생성하는 것으로 알려진 특정 신호 원본을 테스트하는 경우 Fusion 검색을 위해 해당 특정 신호 원본의 신호를 일시적으로 끌 수 있습니다.

   • 각 공급자에 대한 경고 심각도 구성: 디자인에 따라 Fusion ML 모델은 여러 데이터 원본의 킬 체인 전반에 걸쳐 비정상적인 신호를 기반으로 낮은 충실도 신호를 하나의 높은 심각도 인시던트와 연관시킵니다. Fusion에 포함된 경고는 일반적으로 심각도가 낮지만(중간, 낮음, 정보 제공) 경우에 따라 관련된 높은 심각도 경고가 포함됩니다.

     사용 사례: 심각도가 높은 경고를 분류하고 조사하기 위한 별도의 프로세스가 있고 이러한 경고를 Fusion에 포함하지 않으려는 경우 Fusion 검색에서 심각도가 높은 경고를 제외하도록 원본 신호를 구성할 수 있습니다.

   • Fusion 탐지에서 특정 탐지 패턴 제외. 특정 퓨전 검색은 사용자 환경에 적용되지 않거나 가양성을 생성하는 경향이 있을 수 있습니다. 특정 Fusion 검색 패턴을 제외하려면 아래 지침을 따릅니다.

     1. 제외하려는 종류의 Fusion 인시던트를 찾아 엽니다.

     2. 설명 섹션에서 자세히 표시를 선택합니다.

     3. 이 특정 검색 패턴 제외에서 제외 링크를 선택하면 분석 규칙 마법사의 Fusion 구성 탭으로 리디렉션됩니다.

        

     퓨전 구성 탭에서 검색 패턴이 추가된 시간과 함께 검색 패턴(퓨전 인시던트의 경고 및 변칙 현상의 조합)이 제외 목록에 추가된 것을 볼 수 있습니다.

     해당 검색 패턴에서 휴지통 아이콘을 선택하여 언제든지 제외된 검색 패턴을 제거할 수 있습니다.

     

     제외된 검색 패턴과 일치하는 인시던트는 계속 트리거되지만 활성 인시던트 큐에는 표시되지 않습니다. 다음 값으로 자동 채워집니다.

     • 상태: "닫힘"

     • 종료 분류: "미확인"

     • 설명: "자동 닫힘, 제외된 Fusion 검색 패턴"

     • 태그: "ExcludedFusionDetectionPattern" - 이 태그를 쿼리하여 이 쿼리 패턴과 일치하는 모든 인시던트를 볼 수 있습니다.

       

참고 항목

Microsoft Sentinel은 현재 30일의 기록 데이터를 사용하여 기계 학습 시스템을 학습시킵니다. 이 데이터는 기계 학습 파이프라인을 통과할 때 항상 Microsoft의 키를 사용하여 암호화됩니다. 그러나 Microsoft Sentinel 작업 영역에서 CMK를 사용하도록 설정한 경우 학습 데이터는 CMK(고객 관리형 키)를 사용하여 암호화되지 않습니다. Fusion을 옵트아웃하려면 Microsoft Sentinel>구성>분석 > 활성 규칙으로 이동하여 고급 다단계 공격 검색 규칙을 마우스 오른쪽 단추로 클릭하고 사용 안 함을 선택합니다.

Fusion 검색을 위한 예약된 분석 규칙 구성

Important

• 분석 규칙 경고를 사용하는 Fusion 기반 검색은 현재 미리 보기로 제공됩니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

Fusion은 예약 분석 규칙에 의해 생성된 경고를 사용하여 시나리오 기반 다단계 공격과 새로운 위협을 검색할 수 있습니다. Microsoft Sentinel의 Fusion 기능을 최대한 활용할 수 있도록 다음 단계를 수행하여 이러한 규칙을 구성하고 사용하는 것이 좋습니다.

1. 새로운 위협에 대한 퓨전은 킬체인(전술) 및 엔터티 매핑 정보를 포함하는 예약된 분석 규칙에 의해 생성된 경고를 사용할 수 있습니다. Fusion에서 분석 규칙의 출력을 사용하여 새로운 위협을 검색할 수 있도록 하려면 다음을 수행합니다.

   • 이러한 예약된 규칙에 대한 엔터티 매핑을 검토합니다. 엔터티 매핑 구성 섹션을 사용하여 쿼리 결과의 매개 변수를 Microsoft Sentinel 인식 엔터티에 매핑합니다. Fusion은 항목(예: 사용자 계정 또는 IP 주소)을 기반으로 경고를 연관시키므로 ML 알고리즘은 항목 정보 없이 경고 일치를 수행할 수 없습니다.

   • 분석 규칙 세부 정보에서 전술 및 기술을 검토합니다. Fusion ML 알고리즘은 다단계 공격을 검색하기 위해 MITRE ATT&CK 정보를 사용하며 분석 규칙에 레이블을 지정하는 전술과 기술은 결과 인시던트에 나타납니다. 수신 경고에 전술 정보가 누락된 경우 퓨전 계산이 영향을 받을 수 있습니다.

2. 또한 Fusion은 다음 예약 분석 규칙 템플릿을 기반으로 하는 규칙을 사용하여 시나리오 기반 위협을 검색할 수 있습니다.

   분석 페이지에서 쿼리를 템플릿으로 사용할 수 있도록 하려면 규칙 템플릿 탭으로 이동하여 템플릿 갤러리에서 규칙 이름을 선택하고, 세부 정보 창에서 규칙 만들기를 선택합니다.

   • Cisco - 방화벽이 차단하지만 Microsoft Entra ID에 성공적으로 로그온
   • Fortinet - 비콘 패턴이 검색됨
   • 실패한 여러 Microsoft Entra 로그인이 있는 IP가 Palo Alto VPN에 성공적으로 로그인함
   • 사용자에 의한 다중 암호 재설정
   • 드문 애플리케이션 동의
   • 이전에 보지 못한 IP를 통한 SharePointFileOperation
   • 의심스러운 리소스 배포
   • 비정상적인 IP 주소의 Palo Alto Threat 서명

   현재 규칙 템플릿으로 신뢰할 수 없는 쿼리를 추가하려면 처음부터 사용자 지정 분석 규칙 만들기를 참조하세요.

   • 이전에 볼 수 없었던 새 관리자 계정 활동이 확인됨

   자세한 내용은 예약된 분석 규칙을 사용하는 Fusion 고급 다단계 공격 탐지 시나리오를 참조하세요.

   참고 항목

   Fusion에서 사용하는 예약된 분석 규칙 세트의 경우 ML 알고리즘은 템플릿에 제공된 KQL 쿼리에 대해 유사 일치를 수행합니다. 템플릿 이름을 변경해도 Fusion 검색에 영향을 주지 않습니다.

다음 단계

Microsoft Sentinel의 Fusion 검색에 대해 자세히 알아봅니다.

다양한 시나리오 기반 Fusion 검색에 대해 자세히 알아봅니다.

고급 다단계 공격 감지에 대해 자세히 알아보았으므로, Microsoft Sentinel 시작 빠른 시작을 통해 데이터 및 잠재적 위협에 대한 가시성을 얻는 방법을 알아볼 수 있습니다.

준비된 인시던트를 조사할 준비가 되었으면 Microsoft Sentinel을 사용하여 인시던트 조사 자습서를 살펴보세요.