인시던트 조사에서 사용자 계정, 호스트 이름, IP 주소 또는 Azure 리소스를 발견하는 경우 이에 대해 자세히 알고 싶을 수 있습니다. 예를 들어 활동 기록, 다른 경고 또는 인시던트에 표시되는지 여부, 예기치 않은 작업을 수행했는지 아니면 문자가 아닌지 등을 알고 싶을 수 있습니다. 즉, 이러한 엔터티가 나타내는 위협의 종류를 확인하고 그에 따라 조사를 안내하는 데 도움이 되는 정보를 원합니다.
중요합니다
Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스가 없는 고객을 포함하여 Microsoft Defender 포털에서 일반적으로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털에서 Microsoft Sentinel을 참조하세요.
엔터티 페이지
이러한 경우 엔터티를 선택하고(클릭 가능한 링크로 표시됨) 엔터티 페이지로 이동하면 해당 엔터티에 대한 유용한 정보가 가득 찬 데이터시트로 이동됩니다. Microsoft Sentinel 엔터티 동작 페이지에서 엔터티를 직접 검색하여 엔터티 페이지에 도달할 수도 있습니다. 엔터티 페이지에서 찾을 수 있는 정보 유형에는 엔터티에 대한 기본 팩트, 해당 엔터티와 관련된 주목할 만한 이벤트의 타임라인 및 엔터티 동작에 대한 인사이트가 포함됩니다.
특히 엔터티 페이지는 다음 세 부분으로 구성됩니다.
왼쪽 패널에는 Microsoft Entra ID, Azure Monitor, Azure Activity, Azure Resource Manager, 클라우드용 Microsoft Defender, CEF/Syslog 및 Microsoft Defender XDR(모든 구성 요소 포함)와 같은 데이터 원본에서 수집된 엔터티의 식별 정보가 포함되어 있습니다.
가운데 패널에는 경고, 책갈피, 변칙 및 활동과 같은 엔터티와 관련된 주목할 만한 이벤트의 그래픽 및 텍스트 타임라인이 표시됩니다. 활동은 Log Analytics에서 주목할 만한 이벤트의 집계입니다. 이러한 활동을 감지하는 쿼리는 Microsoft 보안 연구 팀에서 개발하며, 이제 사용자 지정 쿼리를 추가하여 선택한 활동을 검색할 수 있습니다.
오른쪽 패널은 엔터티에 대한 동작 인사이트를 제공합니다. 이러한 인사이트는 Microsoft 보안 연구 팀에서 지속적으로 개발합니다. 다양한 데이터 원본을 기반으로 하며 엔터티 및 해당 관찰된 활동에 대한 컨텍스트를 제공하여 비정상적인 동작 및 보안 위협을 신속하게 식별할 수 있습니다.
새 조사 환경을 사용하여 인시던트를 조사하는 경우 인시던트 세부 정보 페이지 바로 안에 패널로 구성된 버전의 엔터티 페이지를 볼 수 있습니다. 지정된 인시던트에 있는 모든 엔터티 목록이 있고 엔터티를 선택하면 인시던트 경고에 해당하는 특정 시간 프레임 내에서 위에서 설명한 모든 동일한 정보를 보여 주는 세 개의 "카드"(정보, 타임라인 및 인사이트)가 있는 측면 패널이 열립니다.
Defender 포털에서 Microsoft Sentinel을 사용하는 경우 Defender 엔터티 페이지의 Sentinel 이벤트 탭에 타임라인 및 인사이트 패널이 표시됩니다.
타임라인
Sentinel 이벤트 탭의 타임라인은 Defender 포털의 동작 분석에 대한 엔터티 페이지의 기여도의 주요 부분을 추가합니다. 엔터티 관련 이벤트에 대한 스토리를 제공하여 특정 시간 프레임 내에서 엔터티의 작업을 이해하도록 도와줍니다.
특히 Sentinel 이벤트 타임라인에서는 syslog/CEF 및 Azure Monitor Agent 또는 사용자 지정 커넥터를 통해 수집된 사용자 지정 로그와 같이 Microsoft Sentinel에서만 수집한 타사 소스의 이벤트 및 경고를 볼 수 있습니다.
타임라인에는 다음 형식의 항목이 포함됩니다.
경고: 엔터티가 매핑된 엔터티로 정의되는 모든 경고입니다. 조직에서 분석 규칙을 사용하여 사용자 지정 경고를 만든 경우 규칙의 엔터티 매핑이 제대로 수행되었는지 확인합니다.
책갈피: 페이지에 표시된 특정 엔터티를 포함하는 책갈피입니다.
이상 현상: UEBA 탐지는 다양한 데이터 입력에서 각 엔터티에 대해 생성된 동적 기준선을 기반으로 하며, 이는 엔터티 자체 기록 활동, 피어 활동 및 조직 전체의 이전 활동과 비교하여 감지됩니다.
활동: 엔터티와 관련된 주목할 만한 이벤트의 집계입니다. 다양한 활동이 자동으로 수집되며, 이제 선택한 활동을 추가하여 이 섹션을 사용자 지정할 수 있습니다.
디바이스 엔터티의 경우 2025년 1월에 새 활동 유형이 추가되었습니다. 이 활동에는 업계 최고의 네트워크 디바이스 로그에서 수집된 데이터를 기반으로 지정된 디바이스에서 발생하는 삭제, 차단 또는 거부된 네트워크 트래픽이 포함됩니다. 이러한 로그는 보안 팀에 잠재적인 위협을 신속하게 식별하고 해결하기 위한 중요한 정보를 제공합니다.
2025년 1월부터 디바이스 엔터티에 대한 활동은 디바이스 엔터티 페이지의 기본 타임라인 탭에 표시되며, 이전과 같이 Sentinel 이벤트 탭에 남아 있습니다. 자세한 내용은 통합 타임라인(미리 보기)을 참조하세요.
이 타임라인에는 지난 24시간 동안의 정보가 표시됩니다. 이 기간은 현재 조정할 수 없습니다.
엔터티 인사이트
엔터티 인사이트는 분석가가 더 효율적이고 효과적으로 조사하는 데 도움이 되도록 Microsoft 보안 연구원에 의해 정의된 쿼리입니다. 해당 인사이트는 엔터티 페이지의 일부로 제공되며 호스트와 사용자에 대한 중요 보안 정보를 테이블 형식 데이터 및 차트 형식으로 제공합니다. 여기에 인사이트가 있다는 것은 Log Analytics로 우회할 필요가 없다는 것을 의미합니다. 해당 인사이트에는 로그인, 그룹 추가, 비정상 이벤트 등에 대한 데이터가 포함되며 비정상적인 동작을 탐지하는 고급 ML 알고리즘이 포함되어 있습니다.
인사이트는 다음과 같은 데이터 원본을 기반으로 합니다.
- Syslog(Linux)
- SecurityEvent(Windows)
- AuditLogs(Microsoft Entra ID)
- SigninLogs(Microsoft Entra ID)
- OfficeActivity(Office 365)
- BehaviorAnalytics(Microsoft Sentinel UEBA)
- 하트비트(Azure Monitor 에이전트)
- CommonSecurityLog(Microsoft Sentinel)
일반적으로 엔터티 페이지에 표시되는 각 엔터티 인사이트에는 결과와 함께 인사이트의 기본 쿼리가 표시되는 페이지로 이동하는 링크가 함께 제공되므로 결과를 더 심층적으로 조사할 수 있습니다.
- Azure Portal의 Microsoft Sentinel에서 링크는 로그 페이지로 이동합니다.
- Microsoft Defender 포털에서 링크는 고급 헌팅 페이지로 이동합니다.
엔터티 페이지를 사용하는 방법
엔터티 페이지는 여러 사용 시나리오의 일부로 설계되었으며 인시던트 관리, 조사 그래프, 책갈피 또는 Microsoft Sentinel 주 메뉴의 엔터티 동작 아래 엔터티 검색 페이지에서 직접 액세스할 수 있습니다.
엔터티 페이지 정보는 Microsoft Sentinel UEBA 참조에 자세히 설명된 BehaviorAnalytics 테이블에 저장됩니다.
지원되는 엔터티 페이지
Microsoft Sentinel은 현재 다음과 같은 엔터티 페이지를 제공합니다.
사용자 계정
호스트
IP 주소(미리 보기)
참고 항목
IP 주소 엔터티 페이지(현재 미리 보기 상태)에는 Microsoft Threat Intelligence 서비스에서 제공하는 지리적 위치 데이터가 포함되어 있습니다. 이 서비스는 Microsoft 솔루션과 타사 공급업체 및 파트너의 지리적 위치 데이터를 결합합니다. 그런 다음 데이터를 보안 인시던트 컨텍스트에서 분석 및 조사할 수 있습니다. 자세한 내용은 REST API(공개 미리 보기)를 통해 지리적 위치 데이터를 사용하여 Microsoft Sentinel의 엔터티 보강을 참조하세요.
Azure 리소스(미리 보기)
현재 Azure Portal의 Microsoft Sentinel에서만 IoT 디바이스(미리 보기).
다음 단계
이 문서에서는 엔터티 페이지를 사용하여 Microsoft Sentinel의 엔터티에 대한 정보를 가져오는 방법을 알아보았습니다. 엔터티에 대한 자세한 내용과 사용 방법은 다음 문서를 참조하세요.