Microsoft Sentinel용 ASIM(고급 보안 정보 모델) 기반 도메인 솔루션(미리 보기)
Microsoft 필수 솔루션은 Microsoft Sentinel용 Microsoft에서 게시한 도메인 솔루션입니다. 이러한 솔루션에는 네트워킹과 같은 특정 범주에 대해 여러 제품에서 작동할 수 있는 기본 제공 콘텐츠가 있습니다. 이러한 필수 솔루션 중 일부는 정규화 기술 ASIM(고급 보안 정보 모델)을 사용하여 쿼리 시간 또는 수집 시간에 데이터를 정규화합니다.
Important
Microsoft 필수 솔루션과 네트워크 세션 Essentials 솔루션은 현재 미리 보기로 제공됩니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.
ASIM 기반 Microsoft 필수 솔루션을 사용하는 이유는 무엇인가요?
도메인 범주의 여러 솔루션이 유사한 탐지 패턴을 공유하는 경우 ASIM과 같은 정규화된 스키마에서 데이터를 캡처하는 것이 좋습니다. 필수 솔루션은 이 ASIM 스키마를 사용하여 대규모 위협을 탐지합니다.
콘텐츠 허브에는 “보안 - 네트워크”와 같은 다양한 도메인 범주에 대한 여러 제품 솔루션이 있습니다. 예를 들어 Azure Firewall, Palo Alto Firewall, Corelight에는 “보안 - 네트워크” 도메인 범주에 대한 제품 솔루션이 있습니다.
- 이러한 솔루션에는 디자인상 서로 다른 데이터 수집 구성 요소가 있습니다. 그러나 분석, 헌팅, 통합 문서, 동일한 도메인 범주 내의 다른 콘텐츠에는 특정 패턴이 있습니다.
- 대부분의 주요 네트워크 제품에는 비정상적인 IP 주소에서 오는 악의적인 위협이 포함된 일반적인 기본 방화벽 경고 집합이 있습니다. 분석 규칙 템플릿은 일반적으로 제품 솔루션의 각 “보안 - 네트워크” 범주에 대해 중복됩니다. 여러 네트워크 제품을 실행하는 경우 여러 분석 규칙을 개별적으로 확인하고 구성해야 합니다. 이는 비효율적입니다. 또한 구성된 각 규칙에 대한 경고를 받게 되며 경고 피로가 높아질 수 있습니다.
- 헌팅 쿼리가 중복되는 경우 모두 실행 모드의 헌팅을 사용하면 헌팅 환경 성능이 저하될 수 있습니다. 이러한 중복 헌팅 쿼리는 위협 헌터가 유사한 쿼리를 선택하고 실행하는 비효율성을 초래합니다.
다음과 같은 이유로 Microsoft 필수 솔루션을 고려할 수 있습니다.
- 정규화된 스키마를 사용하면 인시던트 세부 정보를 더 쉽게 쿼리할 수 있습니다. 유사한 로그 특성에 대해 다른 공급업체 구문을 기억할 필요가 없습니다.
- 여러 솔루션에 대한 콘텐츠를 관리할 필요가 없는 경우 사용 사례 배포 및 인시던트 처리가 더 쉽습니다.
- 통합 문서 보기를 사용하면 성능이 뛰어난 ASIM 파서를 사용하여 더 나은 환경 가시성과 가능한 쿼리 시간 구문 분석을 제공합니다.
지원되는 ASIM 스키마
Essentials 솔루션은 현재 Sentinel에서 지원하는 다음과 같은 다양한 ASIM 스키마에 걸쳐 있습니다.
- 감사 이벤트
- 인증 이벤트
- DNS 작업
- 파일 활동
- 네트워크 세션
- 프로세스 이벤트
- 웹 세션
자세한 내용은 ASIM(고급 보안 정보 모델) 스키마를 참조하세요.
수집 시간 정규화
수집 시간 정규화 결과를 다음 정규화된 테이블로 수집할 수 있습니다.
- DNS 스키마에 대한 ASimDnsActivityLogs입니다.
- 네트워크 세션 스키마에 대한 ASimNetworkSessionLogs
자세한 내용은 수집 시간 정규화를 참조하세요.
ASIM 기반 도메인 필수 솔루션에서 사용할 수 있는 콘텐츠
다음 표에서는 각 필수 솔루션에서 사용할 수 있는 콘텐츠 형식을 설명합니다. 특정 사용 사례의 경우 Microsoft Sentinel 제품 솔루션에서 사용할 수 있는 콘텐츠도 사용할 수 있습니다.
| 콘텐츠 형식 | description |
|---|---|
| 분석 규칙 | ASIM 기반 필수 솔루션에서 사용할 수 있는 분석 규칙은 일반적이고 해당 도메인에 대한 종속 Microsoft Sentinel 제품 솔루션에 적합합니다. Microsoft Sentinel 제품 솔루션에는 분석 규칙의 일부로 적용되는 원본 특정 사용 사례가 있을 수 있습니다. 사용자 환경에 필요한 대로 Microsoft Sentinel 제품 솔루션 규칙을 사용하도록 설정합니다. |
| 헌팅 쿼리 | ASIM 기반 필수 솔루션에서 사용할 수 있는 헌팅 쿼리는 일반적이고 해당 도메인에 대한 종속 Microsoft Sentinel 제품 솔루션의 위협을 헌팅하기에 적합합니다. Microsoft Sentinel 제품 솔루션에는 즉시 사용할 수 있는 원본 특정 헌팅 쿼리가 있습니다. 사용자 환경에 필요한 경우 Microsoft Sentinel 제품 솔루션의 헌팅 쿼리를 사용합니다. |
| 플레이 북 | ASIM 기반 필수 솔루션은 높은 초당 이벤트로 데이터를 처리해야 합니다. 해당 데이터 볼륨을 사용하는 콘텐츠가 있는 경우 통합 문서 또는 쿼리 결과의 로드 속도가 느려질 수 있는 성능에 영향을 줄 수 있습니다. 이 문제를 해결하기 위해 요약 플레이북은 원본 로그를 요약하고 정보를 미리 정의된 테이블에 저장합니다. 필수 솔루션이 이 테이블을 쿼리할 수 있도록 요약 플레이북을 사용하도록 설정합니다. Microsoft Sentinel의 플레이북은 별도의 리소스를 만드는 Azure Logic Apps에서 빌드된 워크플로를 기준으로 하므로 다른 요금이 부과될 수 있습니다. 자세한 내용은 Azure Logic Apps 가격 책정 페이지를 참조하세요. 요약된 데이터의 스토리지에 다른 요금이 부과될 수도 있습니다. |
| Watchlist | ASIM 기반 필수 솔루션은 분석 규칙 검색 및 헌팅 쿼리에 대한 여러 조건 집합을 포함하는 관심 목록을 사용합니다. 관심 목록을 사용하면 다음 작업을 수행할 수 있습니다. - 데이터 필터링을 사용하여 집중 모니터링을 수행합니다. - 각 목록 항목에 대한 헌팅과 탐지 사이를 전환합니다. - 임계값 유형을 정적으로 설정하여 임계값 기반 경고를 활용하는 반면 변칙 기반 경고는 지난 며칠 간(최대 14일)의 데이터에서 학습합니다. - 개별 목록 항목에 이 관심 목록을 사용하여 경고 이름, 설명, 전술, 심각도를 수정합니다. - 심각도를 사용 안 함으로 설정하여 탐지를 사용하지 않도록 설정합니다. |
| 통합 문서 | ASIM 기반 필수 솔루션에서 사용할 수 있는 통합 문서는 종속 도메인에서 발생하는 다양한 이벤트 및 활동에 대한 통합 보기를 제공합니다. 이 통합 문서는 매우 많은 양의 데이터에서 결과를 가져오기 때문에 성능 지연이 있을 있습니다. 성능 문제가 발생하는 경우 요약 플레이북을 사용합니다. |
다른 Microsoft Sentinel 도메인 솔루션과 같은 이러한 필수 솔루션에는 자체 커넥터가 없습니다. 로그를 풀하기 위해 Microsoft Sentinel 제품 솔루션의 원본 특정 커넥터에 따라 달라집니다. 도메인 솔루션이 지원하는 제품을 이해하려면 각 ASIM 도메인 필수 솔루션 목록의 제품 솔루션 필수 구성 요소 목록을 참조하세요. 하나 이상의 제품 솔루션을 설치합니다. 기본 제품 종속성 요구 사항을 충족하고 이 도메인 솔루션 콘텐츠를 더 잘 사용할 수 있도록 데이터 커넥터를 구성합니다.
관련된 문서
- Microsoft Sentinel용 네트워크 세션 Essentials 및 DNS Essentials 솔루션과 같은 ASIM 기반 도메인 필수 솔루션 찾기
- ASIM(고급 보안 정보 모델) 사용