다음을 통해 공유


Microsoft Sentinel에서 경고 세부 정보 사용자 지정

이 문서에서는 기본 쿼리 결과의 콘텐츠로 경고의 기본 속성을 재정의하는 방법을 설명합니다.

예약된 분석 규칙을 만드는 과정에서 첫 번째 단계로 규칙에 대한 이름과 설명을 정의하고 심각도 및 MITRE ATT&CK 전술을 할당합니다. 지정된 규칙에 의해 생성된 모든 경고와 결과로 생성된 모든 인시던트가 경고의 특정 인스턴스에 대한 특정 콘텐츠와 관계없이 규칙에 정의된 이름, 설명, 심각도 및 전술을 상속합니다.

경고 세부 정보 기능을 사용하면 다음과 같은 두 가지 방법으로 경고의 이러한 속성 및 다른 기본 속성을 재정의할 수 있습니다.

  • 경고에 대한 사용자 지정 변수 이름 및 설명을 만듭니다. 경고의 쿼리 출력에서 경고의 각 인스턴스에 대한 이름 또는 설명에 해당 콘텐츠를 포함할 수 있는 필드를 선택할 수 있습니다. 지정된 인스턴스에서 선택한 매개 변수에 값이 없는 경우 해당 인스턴스에 대한 경고 세부 정보가 마법사의 첫 페이지에서 지정한 기본값으로 되돌아갑니다.

  • 지정된 경고 인스턴스의 심각도, 전술 및 기타 속성을 쿼리 출력의 관련 필드 값으로 사용자 지정합니다(아래의 전체 속성 목록 참조). 선택한 필드가 비어 있거나 필드 데이터 형식과 일치하지 않는 값이 있는 경우 해당 경고 속성은 기본값(전술 및 심각도의 경우 마법사의 첫 번째 페이지에 지정된 값)으로 되돌아갑니다.

Important

  • 일부 경고 세부 정보 사용자 지정 기능(아래 참조)은 현재 미리 보기로 제공됩니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.
  • 이제 Microsoft Sentinel은 Microsoft Defender 포털의 Microsoft 통합 보안 운영 플랫폼 내에서 일반 공급됩니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

아래에 자세히 설명된 절차에 따라 경고 세부 정보 기능을 사용합니다. 이러한 단계는 분석 규칙 만들기 마법사의 일부이지만 기존 분석 규칙에서 경고 세부 정보를 추가하거나 변경하는 시나리오를 해결하기 위해 여기에서 독립적으로 해결됩니다.

경고 세부 정보 사용자 지정 방법

  1. Microsoft Sentinel에 액세스하는 포털에서 분석 페이지를 입력합니다.

    Microsoft Sentinel 탐색 메뉴의 구성 섹션에서 분석을 선택합니다.

  2. 예약된 쿼리 규칙을 선택하고 편집을 선택합니다. 또는 화면 맨 위에서 만들기 > 예약된 쿼리 규칙을 선택하여 새 규칙을 만듭니다.

  3. 규칙 논리 설정 탭을 선택합니다.

  4. 경고 보강 섹션에서 경고 세부 정보를 펼칩니다.

    경고 세부 정보 사용자 지정

  5. 펼친 경고 세부 정보 섹션에서 경고에 표시하려는 세부 사항에 해당하는 속성을 포함하는 자유 텍스트를 추가합니다.

    1. 경고 이름 형식 필드에 경고의 이름으로 표시할 텍스트(경고 텍스트)를 입력하고 경고 텍스트에 포함할 쿼리 출력 필드를 이중 중괄호로 묶어 포함합니다.

      예: Alert from {{ProviderName}}: {{AccountName}} failed to sign in to computer {{ComputerName}}.

    2. 경고 설명 형식 필드를 사용하여 동일한 작업을 수행합니다.

      참고 항목

      현재 경고 이름 형식경고 설명 형식 필드에는 각각 매개 변수가 세 개로 제한됩니다.

    3. 다른 기본 속성을 재정의하려면 경고 속성 드롭다운 목록에서 경고 속성을 선택합니다. 그런 다음, 드롭다운 목록에서 경고 속성을 채울 콘텐츠가 포함된 필드를 쿼리 결과에서 선택합니다.

    4. 더 많은 기본 속성을 재정의하려면 + 새로 추가를 선택하고 이전 단계를 반복합니다. 다음 속성을 재정의할 수 있습니다.

      속성 설명
      AlertName 문자열
      설명 문자열
      경고 심각도 다음 값 중 하나입니다.
      - 정보 제공
      - 낮음
      - 중간
      - 높음
      전술 다음 값 중 하나입니다.
      - 정찰
      - 리소스 개발
      - 초기 액세스
      - 실행
      - 지속성
      - 권한 상승
      - 방어 회피
      - 자격 증명 액세스
      - 검색
      - 측면 이동
      - 컬렉션
      - 반출
      - 명령 및 제어
      - 영향
      - 사전 공격
      - 프로세스 제어 손상
      - 응답 금지 함수
      기술(미리 보기) 다음 정규식과 일치하는 문자열입니다. ^T(?<Digits>\d{4})$
      예를 들어 T1234를 입력합니다.
      AlertLink(미리 보기) 문자열
      ConfidenceLevel(미리 보기) 다음 값 중 하나입니다.
      - 낮음
      - 높음
      - 알 수 없음
      ConfidenceScore(미리 보기) 0-1(포함) 사이의 정수
      ExtendedLinks(미리 보기) 문자열
      ProductComponentName(미리 보기) 문자열
      ProductName(미리 보기)
      * 이 표 다음의 참고 사항 참조
      문자열
      ProviderName(미리 보기) 문자열
      RemediationSteps(미리 보기) 문자열

      참고 항목

      Microsoft Sentinel을 통합 보안 운영 플랫폼에 온보딩한 경우 Microsoft 원본의 경고에 대해 ProductName 필드를 사용자 지정하지 마세요. 그렇게 하면 이러한 경고가 Microsoft Defender XDR에서 삭제되고 인시던트가 만들어지지 않습니다.

    생각이 바뀌었거나 실수한 경우 경고 속성/값 쌍 옆에 있는 휴지통 아이콘을 클릭하여 경고 세부 정보를 제거하거나 경고 이름/설명 형식 필드에서 자유 텍스트를 삭제할 수 있습니다.

  6. 경고 세부 정보 사용자 지정을 마쳤으며 규칙을 만들려는 경우 마법사의 다음 탭으로 계속 진행합니다. 기존 규칙을 편집하는 경우 검토 및 만들기 탭을 선택합니다. 규칙 유효성 검사가 성공하면 저장을 선택합니다.

서비스 제한

  • 단일 쿼리에서 최대 50개 값으로 필드를 재정의할 수 있습니다. 쿼리가 사용자 지정된 값 50을 초과하면 모든 사용자 지정된 값이 삭제되고 모든 쿼리 결과에서 필드가 기본값으로 되돌아갑니다. 사용자 지정된 값이 삭제되지 않도록 쿼리를 조정하여 50개 이하의 값을 생성합니다.
  • 필드 및 기타 비 컬렉션 속성의 AlertName 크기 제한은 256바이트입니다.
  • 필드 및 기타 컬렉션 속성의 Description 크기 제한은 5KB입니다.
  • 크기 제한을 초과하는 값은 삭제됩니다.

다음 단계

이 문서에서는 Microsoft Sentinel 분석 규칙에서 경고 세부 정보를 사용자 지정하는 방법을 배웠습니다. Microsoft Sentinel에 대해 자세히 알아보려면 다음 문서를 참조하세요.