Microsoft Sentinel 가양성 처리

중요

이제 사용자 지정 검색이 Microsoft Sentinel SIEM Microsoft Defender XDR 새 규칙을 만드는 가장 좋은 방법입니다. 사용자 지정 검색을 사용하면 수집 비용을 줄이고, 무제한 실시간 검색을 얻을 수 있으며, 자동 엔터티 매핑을 사용하여 Defender XDR 데이터, 함수 및 수정 작업과의 원활한 통합을 활용할 수 있습니다. 자세한 내용은 이 블로그를 참조하세요.

Microsoft Sentinel 분석 규칙은 네트워크에서 의심스러운 일이 발생하면 이를 알립니다. 어떤 분석 규칙도 완벽하지 않으며, 처리가 필요한 몇 가지 거짓 긍정을 얻을 수밖에 없습니다. 이 문서에서는 자동화를 사용하거나 예약된 분석 규칙을 수정하여 가양성 처리 방법을 설명합니다.

가양성 원인 및 예방

올바르게 빌드된 분석 규칙에서도 가양성이 규칙에서 제외되어야 하는 사용자 또는 IP 주소와 같은 특정 엔터티에서 발생하는 경우가 많습니다.

일반적인 시나리오는 다음과 같습니다.

• 특정 사용자(일반적으로 서비스 주체)의 일반적인 활동은 의심스러운 패턴을 표시합니다.
• 알려진 IP 주소에서 들어오는 의도적인 보안 검사 작업은 악의적인 것으로 검색됩니다.
• 개인 IP 주소를 제외하는 규칙은 프라이빗이 아닌 일부 내부 IP 주소도 제외해야 합니다.

이 문서에서는 가양성 방지를 위한 두 가지 방법을 설명합니다.

• 자동화 규칙은 분석 규칙을 수정하지 않고 예외를 만듭니다.
• 예약된 분석 규칙 수정은 보다 상세하고 영구적인 예외를 허용합니다.

다음 표에서는 각 메서드의 특징을 설명합니다.

메서드	특성
자동화 규칙	여러 분석 규칙에 적용할 수 있습니다. 감사 내역을 유지합니다. 예외는 생성한 인시던트 즉시 자동으로 닫히며 종료 이유와 주석을 기록합니다. 분석가가 생성하는 경우가 많습니다. 제한된 시간 동안 예외 적용을 허용합니다. 예를 들어 유지 관리 작업은 유지 관리 기간 외에 실제 인시던트가 될 수 있는 가양성 을 트리거할 수 있습니다.
분석 규칙 수정	고급 부울 식 및 서브넷 기반 예외를 허용합니다. 관심 목록을 사용하여 예외 관리를 중앙 집중화할 수 있습니다. 일반적으로 SOC(Security Operations Center) 엔지니어가 구현해야 합니다. 가장 유연하고 완전한 가양성 솔루션이지만 더 복잡합니다.

자동화 규칙을 사용하여 예외 추가(Azure Portal만 해당)

이 절차에서는 가양성 인시던트가 표시되면 자동화 규칙을 추가하는 방법을 설명합니다. 이 절차는 Azure Portal만 지원됩니다.

Microsoft Sentinel Defender 포털에 온보딩된 경우 인시던트 세부 정보에 따라 처음부터 자동화 규칙을 만듭니다. 자세한 내용은 자동화 규칙을 사용하여 Microsoft Sentinel 위협 대응 자동화를 참조하세요.

가양성 처리를 위한 자동화 규칙을 추가하려면 다음을 수행합니다.

1. Microsoft Sentinel 인시던트에서 예외를 만들 인시던트를 선택합니다.

2. 측면의 인시던트 세부 정보 창에서 작업 자동화 규칙 만들기를 >선택합니다.

3. 새 자동화 규칙 만들기 사이드바에서 필요에 따라 경고 규칙 이름이 아닌 예외를 식별하도록 새 규칙 이름을 수정합니다.

4. 조건 아래에서 필요에 따라 예외를 적용할 Analytics 규칙 이름s를 더 추가합니다. 분석 규칙 이름이 포함된 드롭다운 상자를 선택하고 목록에서 더 많은 분석 규칙을 선택합니다.

5. 사이드바에는 가양성을 유발했을 수 있는 현재 인시던트에 특정 엔터티가 표시됩니다. 자동 제안을 유지하거나 수정하여 예외를 미세 조정합니다. 예를 들어 IP 주소의 조건을 변경하여 전체 서브넷에 적용할 수 있습니다.

   

6. 조건에 만족하면 측면 창에서 아래로 스크롤하여 규칙이 수행하는 작업을 계속 정의합니다.

   

   • 예외 조건을 충족하는 인시던트를 닫도록 규칙이 이미 구성되어 있습니다.
   • 지정된 닫는 이유를 있는 그대로 유지하거나 다른 이유가 더 적합한 경우 변경할 수 있습니다.
   • 예외를 설명하는 자동으로 닫힌 인시던트에 주석을 추가할 수 있습니다. 예를 들어 인시던트가 알려진 관리 활동에서 발생했음을 지정할 수 있습니다.
   • 기본적으로 규칙은 24시간 후에 자동으로 만료되도록 설정됩니다. 이 만료는 원하는 것일 수 있으며 거짓 부정 오류의 가능성을 줄입니다. 더 긴 예외를 원하는 경우 규칙 만료 를 나중에 로 설정합니다.

7. 원하는 경우 더 많은 작업을 추가할 수 있습니다. 예를 들어 인시던트에 태그를 추가하거나 플레이북을 실행하여 이메일이나 알림을 보내거나 외부 시스템과 동기화할 수 있습니다.

8. 적용을 선택하여 예외를 활성화합니다.

분석 규칙을 수정하여 예외 추가

예외를 구현하기 위한 또 다른 옵션은 분석 규칙 쿼리를 수정하는 것입니다. 규칙에 직접 예외를 포함하거나 가능하면 관심 목록에 대한 참조를 사용하는 것이 좋습니다. 그런 다음 관심 목록에서 예외 목록을 관리할 수 있습니다.

쿼리 수정

기존 분석 규칙을 편집하려면 Microsoft Sentinel 왼쪽 탐색 메뉴에서 자동화를 선택합니다. 편집할 규칙을 선택한 다음 오른쪽 아래에서 편집 을 선택하여 분석 규칙 마법사를 엽니다.

분석 규칙 마법사를 사용하여 분석 규칙을 만들고 편집하는 방법에 대한 자세한 지침은 위협을 감지하는 사용자 지정 분석 규칙 만들기를 참조하세요.

일반적인 규칙 프리앰블에서 예외를 구현하려면 규칙 쿼리의 시작 부분에 와 같은 where IPAddress !in ('<ip addresses>') 조건을 추가할 수 있습니다. 이 줄은 규칙에서 특정 IP 주소를 제외합니다.

let timeFrame = 1d;
SigninLogs
| where TimeGenerated >= ago(timeFrame)
| where IPAddress !in ('10.0.0.8', '192.168.12.1')
...

이러한 유형의 예외는 IP 주소로 제한되지 않습니다. 필드를 사용하여 특정 사용자를 제외하거나 를 사용하여 UserPrincipalNameAppDisplayName특정 앱을 제외할 수 있습니다.

여러 특성을 제외할 수도 있습니다. 예를 들어 IP 주소 10.0.0.8 또는 사용자 user@microsoft.com에서 경고를 제외하려면 다음을 사용합니다.

| where IPAddress !in ('10.0.0.8')
| where UserPrincipalName != 'user@microsoft.com'

적용 가능한 경우 보다 세분화된 예외를 구현하고 거짓 부정의 가능성을 줄이려면 특성을 결합할 수 있습니다. 다음 예외는 두 값이 동일한 경고에 표시되는 경우에만 적용됩니다.

| where IPAddress != '10.0.0.8' and UserPrincipalName != 'user@microsoft.com'

서브넷 제외

organization 사용하는 IP 범위를 제외하려면 서브넷 제외가 필요합니다. 다음 예제에서는 서브넷을 제외하는 방법을 보여 줍니다.

ipv4_lookup 연산자는 필터링 연산자가 아닌 보강 연산자입니다. 줄은 where isempty(network) 실제로 일치 항목을 표시하지 않는 이벤트를 검사하여 필터링을 수행합니다.

let subnets = datatable(network:string) [ "111.68.128.0/17", "5.8.0.0/19", ...];
let timeFrame = 1d;
SigninLogs
| where TimeGenerated >= ago(timeFrame)
| evaluate ipv4_lookup(subnets, IPAddress, network, return_unmatched = true)
| where isempty(network)
...

관심 목록을 사용하여 예외 관리

관심 목록을 사용하여 규칙 자체 외부의 예외 목록을 관리할 수 있습니다. 해당하는 경우 이 솔루션에는 다음과 같은 이점이 있습니다.

• 분석가는 SOC 모범 사례를 더 잘 따르는 규칙을 편집하지 않고 예외를 추가할 수 있습니다.
• 동일한 관심 목록이 여러 규칙에 적용되어 중앙 예외 관리를 사용하도록 설정할 수 있습니다.

관심 목록을 사용하는 것은 직접 예외를 사용하는 것과 유사합니다. 를 사용하여 _GetWatchlist('<watchlist name>') 관심 목록을 호출합니다.

let timeFrame = 1d;
let logonDiff = 10m;
let allowlist = (_GetWatchlist('ipallowlist') | project IPAddress);
SigninLogs
| where TimeGenerated >= ago(timeFrame)
| where IPAddress !in (allowlist)
...

관심 목록을 사용하여 서브넷 필터링을 수행할 수도 있습니다. 예를 들어 이전 서브넷 제외 코드에서 서브넷 datatable 정의를 관심 목록으로 바꿀 수 있습니다.

let subnets = _GetWatchlist('subnetallowlist');

이전 예제에서 사용된 다음 항목에 대한 자세한 내용은 Kusto 설명서를 참조하세요.

• let 문
• where 연산자
• 프로젝트 연산자
• datatable 연산자
• 플러그 인 연산자 평가
• ago() 함수
• isempty() 함수
• 플러그 인 ipv4_lookup

KQL에 대한 자세한 내용은 Kusto 쿼리 언어(KQL) 개요를 참조하세요.

기타 리소스:

• KQL 빠른 참조
• Kusto 쿼리 언어 학습 리소스

예: SAP® 애플리케이션에 대한 Microsoft Sentinel 솔루션에 대한 예외 관리

SAP® 애플리케이션용 Microsoft Sentinel 솔루션은 경고 트리거에서 사용자 또는 시스템을 제외하는 데 사용할 수 있는 함수를 제공합니다.

• 사용자를 제외합니다. SAPUsersGetVIP 함수를 사용하여 다음을 수행합니다.

  • 경고 트리거에서 제외하려는 사용자에 대한 태그를 호출합니다. 별표(*)를 와일드카드로 사용하여 지정된 명명 구문을 사용하여 모든 사용자에게 태그를 지정하여 SAP_User_Config 관심 목록의 사용자에 태그를 지정합니다.
  • 경고 트리거에서 제외하려는 특정 SAP 역할 및/또는 프로필을 나열합니다.

• 시스템을 제외합니다. SelectedSystemRoles 매개 변수를 지원하는 함수를 사용하여 특정 유형의 시스템만 프로덕션 시스템, UAT 시스템 또는 둘 다를 포함하여 경고를 트리거하는지 확인합니다.

자세한 내용은 SAP® 애플리케이션용 Microsoft Sentinel 솔루션 데이터 참조를 참조하세요.

관련 콘텐츠

자세한 내용은 다음 항목을 참조하세요.

• UEBA 데이터를 사용하여 가양성 분석
• 자동화 규칙을 사용하여 Microsoft Sentinel 인시던트 처리 자동화
• 위협을 감지하는 사용자 지정 분석 규칙 만들기
• Microsoft Sentinel 관심 목록 사용