중요
이제 사용자 지정 검색이 Microsoft Sentinel SIEM Microsoft Defender XDR 새 규칙을 만드는 가장 좋은 방법입니다. 사용자 지정 검색을 사용하면 수집 비용을 줄이고, 무제한 실시간 검색을 얻을 수 있으며, 자동 엔터티 매핑을 사용하여 Defender XDR 데이터, 함수 및 수정 작업과의 원활한 통합을 활용할 수 있습니다. 자세한 내용은 이 블로그를 참조하세요.
Microsoft Sentinel 근 실시간 분석 규칙은 기본 제공 위협 탐지 기능을 제공합니다. 이 유형의 규칙은 단 1분 간격으로 쿼리를 실행하여 응답성이 뛰어나도록 설계되었습니다.
당분간 이러한 템플릿은 아래에 설명된 대로 애플리케이션이 제한되어 있지만 기술은 빠르게 진화하고 성장하고 있습니다.
중요
2027년 3월 31일 이후에는 Microsoft Sentinel 더 이상 Azure Portal 지원되지 않으며 Microsoft Defender 포털에서만 사용할 수 있습니다. Azure Portal Microsoft Sentinel 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel 사용합니다.
Azure Portal Microsoft Sentinel 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 제공하는 통합 보안 운영 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다.
NRT(근 실시간) 규칙 보기
Microsoft Defender 탐색 메뉴에서 Microsoft Sentinel 확장한 다음 구성을 확장합니다. 분석을 선택합니다.
분석 화면에서 활성 규칙 탭이 선택된 상태에서 NRT 템플릿 목록을 필터링합니다.
필터 추가를 선택하고 필터 목록에서 규칙 유형을 선택합니다.
결과 목록에서 NRT를 선택합니다. 그런 다음 , 적용을 선택합니다.
NRT 규칙 만들기
일반 예약 쿼리 분석 규칙을 만드는 것과 동일한 방식으로 NRT 규칙을 만듭니다.
Microsoft Defender 탐색 메뉴에서 Microsoft Sentinel 확장한 다음 구성을 확장합니다. 분석을 선택합니다.
표 위쪽의 작업 표시줄에서 +만들기 를 선택하고 NRT 쿼리 규칙을 선택합니다. 그러면 분석 규칙 마법사가 열립니다.
분석 규칙 마법사의 지침을 따릅니다.
NRT 규칙의 구성은 대부분의 경우 예약된 분석 규칙과 동일합니다.
쿼리 논리에서 여러 테이블 및 관심 목록을 참조할 수 있습니다.
엔터티 매핑, 사용자 지정 세부 정보 및 경고 세부 정보 등 모든 경고 보강 방법을 사용할 수 있습니다.
경고를 인시던트로 그룹화하고 특정 결과가 생성될 때 쿼리를 표시하지 않는 방법을 선택할 수 있습니다.
경고 및 인시던트 모두에 대한 응답을 자동화할 수 있습니다.
여러 작업 영역에서 규칙 쿼리를 실행할 수 있습니다.
그러나 NRT 규칙의 특성 및 제한 사항으로 인해 마법사에서 예약된 분석 규칙의 다음 기능을 사용할 수 없습니다 .
- 쿼리 는 1분 조회 기간으로 분당 한 번 실행되도록 자동으로 예약되므로 쿼리 예약을 구성할 수 없습니다.
- 경고 임계값 은 항상 생성되므로 관련이 없습니다.
- 이제 이벤트 그룹화 구성을 제한된 수준까지 사용할 수 있습니다. NRT 규칙이 최대 30개의 이벤트에 대해 각 이벤트에 대한 경고를 생성하도록 선택할 수 있습니다. 이 옵션을 선택하면 규칙이 30개 이상의 이벤트를 발생시키는 경우 처음 29개 이벤트에 대해 단일 이벤트 경고가 생성되고 30번째 경고는 결과 집합의 모든 이벤트를 요약합니다.
또한 경고의 크기 제한으로 인해 쿼리는 테이블에서 필요한 필드만 포함하도록 문을 사용해야
project합니다. 그렇지 않으면 노출하려는 정보가 잘리게 될 수 있습니다.
다음 단계
이 문서에서는 Microsoft Sentinel NRT(근 실시간) 분석 규칙을 만드는 방법을 알아보았습니다.
- Microsoft Sentinel NRT(근 실시간) 분석 규칙에 대해 자세히 알아봅니다.
- 다른 분석 규칙 유형을 살펴봅니다.