Microsoft Sentinel의 위협 감지
조직 전체에서 데이터를 수집하도록 Microsoft Sentinel을 설정한 후에는 모든 데이터를 지속적으로 조사하여 환경에 대한 보안 위협을 검색해야 합니다. 이 작업을 수행하기 위해 Microsoft Sentinel은 정기적으로 실행되어 수집된 데이터를 쿼리하고 분석하여 위협을 쿼리하는 위협 감지 규칙을 제공합니다. 이러한 규칙은 몇 가지 다른 형태로 제공되며 분석 규칙으로 통칭하여 알려져 있습니다.
기본 제공된 분석 규칙 마법사를 사용하여 이러한 규칙을 처음부터 만들 수 있습니다. 그러나 Microsoft에서는 콘텐츠 허브에서 제공되는 Microsoft Sentinel용 솔루션을 통해 제공되는 다양한 분석 규칙 템플릿을 활용할 것을 적극 권장합니다. 이러한 템플릿은 알려진 위협, 일반적인 공격 벡터 및 의심스러운 작업 에스컬레이션 체인에 대한 지식을 기반으로 보안 전문가 및 분석가 팀이 설계한 미리 빌드된 규칙 프로토타입입니다. 이러한 템플릿에서 규칙을 활성화하면 환경 전체에서 의심스러워 보이는 작업을 자동으로 검색할 수 있습니다. 필요에 따라 특정 형식의 이벤트를 검색하거나 필터링하도록 많은 템플릿을 사용자 지정할 수 있습니다.
이러한 규칙은 원하는 항목을 찾으면 경고을 생성합니다. 경고에는 관련된 엔티티(사용자, 디바이스, 주소 및 기타 항목)와 같이 검색된 이벤트에 대한 정보가 포함됩니다. 경고는 인시던트(사례 파일)로 집계되고 상호 연결되며, 이를 할당하고 조사하여 검색된 위협의 전체 범위를 파악하고 이에 따라 대응할 수 있습니다.
이 문서는 Microsoft Sentinel이 위협을 검색하는 방법과 다음에 발생하는 작업을 이해하는 데 도움이 됩니다.
Important
Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼의 일부로 사용할 수 있습니다. 이제 Defender 포털의 Microsoft Sentinel이 프로덕션용으로 지원됩니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.
분석 규칙의 유형
Microsoft Sentinel의 구성 메뉴에 있는 분석 페이지에서 사용할 수 있는 분석 규칙과 템플릿을 볼 수 있습니다. 현재 활성 규칙은 한 탭에 표시되고, 새 규칙을 만들기 위한 템플릿은 다른 탭에 표시됩니다. 세 번째 탭에는 이 문서 뒷부분에 설명된 특수 규칙 유형인 변칙이 표시됩니다.
현재 표시된 것보다 더 많은 규칙 템플릿을 찾으려면 Microsoft Sentinel의 콘텐츠 허브로 이동하여 관련 제품 솔루션이나 독립형 콘텐츠를 설치합니다. Analytics 규칙 템플릿은 콘텐츠 허브의 거의 모든 제품 솔루션에서 사용할 수 있습니다.
Microsoft Sentinel에서는 다음 형식의 분석 규칙 및 규칙 템플릿을 사용할 수 있습니다.
앞의 규칙 유형 외에도 제한된 구성 옵션을 사용하여 각각 하나의 규칙 인스턴스를 만들 수 있는 몇 가지 다른 특수 템플릿 형식이 있습니다.
예약된 규칙
가장 일반적인 형식의 분석 규칙인 예약된 규칙은 정기적으로 실행되고 정의된 "전환 확인" 기간의 원시 데이터를 검사하도록 구성된 Kusto 쿼리를 기반으로 합니다. 쿼리로 캡처한 결과 수가 규칙에 구성된 임계값을 초과하면 규칙이 경고를 생성합니다.
예약된 규칙 템플릿의 쿼리는 Microsoft 또는 템플릿을 제공하는 솔루션 공급업체의 보안 및 데이터 과학 전문가가 작성했습니다. 쿼리는 대상 데이터에 대해 복잡한 통계 작업을 수행하여 이벤트 그룹의 기준과 이상값을 드러낼 수 있습니다.
쿼리 논리는 규칙 구성에 표시됩니다. 템플릿에 정의된 대로 쿼리 논리와 일정 및 전환 확인 설정을 사용하거나 이를 사용자 지정하여 새 규칙을 만들 수 있습니다.
Microsoft Sentinel의 예약 분석 규칙에 대해 자세히 알아봅니다.
NRT(거의 실시간) 규칙
NRT 규칙은 예약된 규칙의 제한된 하위 집합입니다. 가능한 한 최신 정보를 제공하기 위해 1분마다 한 번씩 실행되도록 설계되었습니다.
이들은 대부분 예약된 규칙처럼 작동하며 몇 가지 제한 사항을 제외하고 유사하게 구성됩니다.
Microsoft Sentinel의 NRT(거의 실시간) 분석 규칙을 사용한 빠른 위협 감지에 대해 자세히 알아봅니다.
변칙 규칙
변칙 규칙은 기계 학습을 사용하여 일정 기간 동안 특정 형식의 동작을 관찰하여 기준을 결정합니다. 각 규칙에는 분석 중인 동작에 적합한 고유 매개 변수와 임계값이 있습니다. 관찰 기간이 완료되면 기준이 설정됩니다. 규칙이 기준에 설정된 경계를 초과하는 동작을 관찰하면 해당 발생을 비정상적인 것으로 표시합니다.
기본 제공 규칙 구성을 변경하거나 미세 조정할 수 없지만 규칙을 복제한 다음, 복제본을 변경하고 미세 조정할 수 있습니다. 이 경우 플라이트 모드에서 복제본을 실행하고 프로덕션 모드에서 원본을 동시에 실행합니다. 그런 다음 결과를 비교하고 원하는 대로 미세 조정하면 복제본을 프로덕션으로 전환합니다.
변칙이 반드시 그 자체로 악의적이거나 의심스러운 동작을 나타내는 것은 아닙니다. 따라서 변칙 규칙은 자체 경고를 생성하지 않습니다. 오히려 분석 결과(검색된 변칙)를 변칙 표에 기록합니다. 이 테이블을 쿼리하여 검색, 조사 및 위협 헌팅을 개선하는 컨텍스트를 제공할 수 있습니다.
자세한 내용은 사용자 지정 가능한 변칙 항목을 사용하여 Microsoft Sentinel에서 위협 검색 및 Microsoft Sentinel에서 변칙 검색 분석 규칙 사용을 참조하세요.
Microsoft 보안 규칙
예약된 규칙과 NRT 규칙은 만들어진 경고에 대한 인시던트를 자동으로 만들지만 외부 서비스에서 만들어지고 Microsoft Sentinel에 수집된 경고는 자체 인시던트를 만들지 않습니다. Microsoft 보안 규칙은 다른 Microsoft 보안 솔루션에서 생성된 경고에서 실시간으로 Microsoft Sentinel 인시던트를 자동으로 만듭니다. Microsoft 보안 템플릿을 사용하여 유사한 논리로 새 규칙을 만들 수 있습니다.
Important
다음과 같은 경우에는 Microsoft 보안 규칙을 사용할 수 없습니다.
- Microsoft Defender XDR 인시던트 통합이 사용하도록 설정된 경우 또는
- Microsoft Sentinel이 통합 보안 운영 플랫폼에 온보딩된 경우.
이러한 시나리오에서는 Microsoft Defender XDR이 인시던트를 대신 만듭니다.
사전에 정의한 규칙은 자동으로 사용하지 않도록 설정됩니다.
Microsoft 보안 인시던트 만들기 규칙에 대한 자세한 내용은 Microsoft 보안 경고에서 자동으로 인시던트 만들기를 참조하세요.
위협 인텔리전스
Microsoft에서 생성한 위협 인텔리전스를 활용하여 Microsoft 위협 인텔리전스 Analytics 규칙을 통해 충실도가 높은 경고 및 인시던트를 생성합니다. 이 고유한 규칙을 사용자 지정할 수 없지만 사용하도록 설정하면 이 규칙에서 CEF(Common Event Format) 로그, Syslog 데이터 또는 Windows DNS 이벤트를 Microsoft 위협 인텔리전스의 도메인, IP 및 URL 위협 지표와 자동으로 일치시킵니다. 특정 지표에는 MDTI(Microsoft Defender 위협 인텔리전스)를 통한 더 많은 컨텍스트 정보가 포함됩니다.
이 규칙을 사용하는 방법에 대한 자세한 내용은 일치 분석을 사용하여 위협 검색를 참조하세요.
MDTI에 대한 자세한 내용은 Microsoft Defender 위협 인텔리전스란을 참조하세요.
고급 다단계 공격 탐지(Fusion)
Microsoft Sentinel은 확장 가능한 기계 학습 알고리즘과 함께 Fusion 상관 관계 분석 엔진을 사용하여 여러 제품에 걸친 많은 저충실도 경고 및 이벤트를 고충실도의 실행 가능한 인시던트와 연관시켜 지능형 다단계 공격을 검색합니다. 고급 다단계 공격 검색 규칙은 기본적으로 사용하도록 설정됩니다. 논리가 숨겨져 있어 사용자 지정할 수 없으므로 이 템플릿에는 규칙이 하나만 있을 수 있습니다.
또한 Fusion 엔진은 예약된 분석 규칙에서 생성된 경고를 다른 시스템의 경고와 상호 연관시키며 결과적으로는 충실도가 높은 인시던트를 생성할 수 있습니다.
Important
다음과 같은 경우에는 고급 다단계 공격 검색 규칙 유형을 사용할 수 없습니다.
- Microsoft Defender XDR 인시던트 통합이 사용하도록 설정된 경우 또는
- Microsoft Sentinel이 통합 보안 운영 플랫폼에 온보딩된 경우.
이러한 시나리오에서는 Microsoft Defender XDR이 인시던트를 대신 만듭니다.
또한, 현재 일부 Fusion 감지 템플릿은 미리 보기 상태입니다(이러한 템플릿을 확인하려면 Microsoft Sentinel의 고급 다단계 공격 검색 참조). 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.
ML(기계 학습) 동작 분석
Microsoft의 독자적인 기계 학습 알고리즘을 활용하여 ML 동작 분석 규칙으로 충실도가 높은 경고 및 인시던트를 생성합니다. 이러한 고유한 규칙(현재 미리 보기)은 사용자 지정할 수 없지만, 사용하도록 설정되면 IP, 지리적 위치 및 사용자 기록 정보를 기반으로 특정 비정상적인 SSH 및 RDP 로그인 동작을 검색합니다.
분석 규칙에 대한 액세스 권한
분석 규칙을 만들면 액세스 권한 토큰이 규칙에 적용되고 함께 저장됩니다. 이 토큰은 규칙이 규칙에서 쿼리한 데이터를 포함하는 작업 영역에 액세스할 수 있도록 하고 규칙 작성자가 해당 작업 영역에 대한 액세스 권한을 상실하더라도 이 액세스가 유지되도록 합니다.
그러나 이 액세스에는 한 가지 예외가 있습니다. MSSP의 경우와 같이 다른 구독 또는 테넌트에서 작업 영역에 액세스하기 위한 규칙이 만들어지면 Microsoft Sentinel은 고객 데이터에 대한 무단 액세스를 방지하기 위해 추가 보안 조치를 취합니다. 이러한 종류의 규칙의 경우 규칙을 만든 사용자의 자격 증명이 독립적인 액세스 토큰 대신 규칙에 적용되므로 사용자가 더 이상 다른 구독이나 테넌트에 액세스할 수 없으면 규칙이 작동하지 않습니다.
구독 간 또는 테넌트 간 시나리오에서 Microsoft Sentinel을 운영하는 경우 분석가나 엔지니어 중 한 명이 특정 작업 영역에 대한 액세스 권한을 상실하게 되면 해당 사용자가 만든 모든 규칙이 작동하지 않습니다. 이 경우 "리소스에 대한 액세스 불충분"에 대한 상태 모니터링 메시지가 표시되고 특정 횟수에 실패한 후 규칙이 자동으로 비활성화 됩니다.
ARM 템플릿으로 규칙 내보내기
규칙을 관리하고 코드로 배포하려는 경우 ARM(Azure Resource Manager) 템플릿으로 규칙을 쉽게 내보낼 수 있습니다. 사용자 인터페이스에서 규칙을 보고 편집하기 위해 템플릿 파일에서 규칙을 가져올 수도 있습니다.
다음 단계
Microsoft Sentinel의 예약 분석 규칙 및 Microsoft Sentinel의 NRT(거의 실시간) 분석 규칙을 사용한 빠른 위협 감지에 대해 자세히 알아봅니다.
더 많은 규칙 템플릿을 찾으려면 Microsoft Sentinel 기본 콘텐츠 검색 및 관리를 참조하세요.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기