수집된 데이터 시각화

  • 아티클

이 문서에서는 Microsoft Sentinel을 사용하여 작업 환경에서 발생하는 상황을 빠르게 보고 모니터링하는 방법을 알아봅니다. Microsoft Sentinel에 데이터 원본을 연결하면 데이터가 바로 시각화되고 분석되므로 연결된 모든 데이터 원본에서 발생하는 상황을 파악할 수 있습니다. Microsoft Sentinel은 로그 및 쿼리 분석을 제공하기 위해 기본적으로 제공되는 표와 차트뿐만 아니라 Azure에서 이미 사용할 수 있는 전체 도구 기능을 제공하는 통합 문서를 지원합니다. 통합 문서 템플릿을 사용할 수도 있고, 처음부터 완전히 새롭게 또는 기존 통합 문서를 토대로 새 통합 문서를 쉽게 만들 수도 있습니다.

데이터 시각화

작업 환경에서 발생하는 상황을 시각화하고 분석하려면 먼저 개요 대시보드를 통해 조직의 보안 상황을 파악합니다. 노이즈를 줄이고 검토 및 조사해야 하는 경고의 수를 최소화하기 위해 Microsoft Sentinel은 Fusion 기법을 통해 경고와 인시던트 간 상관 관계를 파악합니다. 인시던트는 조사하고 해결할 수 있는 실행 가능한 인시던트를 만드는 데 사용되는 관련 경고 그룹입니다.

Azure Portal에서 Microsoft Sentinel을 선택하고 모니터링하려는 작업 영역을 선택합니다.

Screenshot of the Microsoft Sentinel overview page.

대시보드의 모든 섹션에 대한 데이터를 새로 고치려면 대시보드 맨 위에서 새로 고침을 선택합니다. 성능을 향상시키기 위해 대시보드의 각 섹션에 대한 데이터는 미리 계산되며 각 섹션의 맨 위에 새로 고침 시간을 볼 수 있습니다.

인시던트 데이터 보기

인시던트 아래에 다양한 유형의 인시던트 데이터가 표시됩니다.

Screenshot of the Incidents section in the Microsoft Sentinel Overview page.

  • 왼쪽 위에는 지난 24시간 동안 신규, 활성 및 종결된 인시던트 수가 표시됩니다.
  • 오른쪽 위에는 심각도별로 구성된 인시던트와 종료 분류별로 종결된 인시던트가 표시됩니다.
  • 왼쪽 아래에서 그래프는 생성 시간별로 인시던트 상태를 4시간 간격으로 나눕니다.
  • 오른쪽 아래에서 SOC 효율성 통합 문서에 대한 링크와 함께 인시던트를 승인하는 평균 시간과 평균 종료 시간을 확인할 수 있습니다.

자동화 데이터 보기

자동화.아래에 다양한 유형의 자동화 데이터가 표시됩니다.

Screenshot of the Automation section in the Microsoft Sentinel Overview page.

  • 맨 위에 자동화 규칙 작업의 요약 즉, 자동화로 종결된 인시던트, 자동화로 저장된 시간 및 관련 플레이북 상태가 표시됩니다.
  • 요약 아래 그래프는 작업 유형별로 자동화에 의해 수행된 작업 수를 요약합니다.
  • 아래쪽에서 자동화 블레이드에 대한 링크와 함께 활성 자동화 규칙의 수를 찾을 수 있습니다.

데이터 레코드, 데이터 수집기 및 위협 인텔리전스의 상태 보기

데이터 아래에 데이터 레코드, 데이터 수집기 및 위협 인텔리전스에 대한 다양한 유형의 데이터가 표시됩니다.

Screenshot of the Data section in the Microsoft Sentinel Overview page.

  • 왼쪽의 그래프는 Microsoft Sentinel이 이전 24시간과 비교해서 지난 24시간 동안 수집한 레코드 수와 해당 기간에 검색된 변칙을 보여줍니다.
  • 오른쪽 위에는 비정상 커넥터와 활성 커넥터로 나눈 데이터 커넥터 상태에 대한 요약이 표시됩니다. 비정상 커넥터는 오류가 있는 커넥터 수를 나타냅니다. 활성 커넥터는 커넥터에 포함된 쿼리로 측정된 Microsoft Sentinel로 데이터 스트리밍이 있는 커넥터입니다.
  • 오른쪽 아래에서 Microsoft Sentinel의 위협 인텔리전스 레코드를 손상 지표로 볼 수 있습니다.

분석 데이터 보기

분석 아래에 분석 규칙에 대한 데이터가 표시됩니다.

Screenshot of the Analytics section in the Microsoft Sentinel Overview page.

사용, 사용 안 함 또는 자동 사용 안 함 상태별로 Microsoft Sentinel의 분석 규칙 수가 표시됩니다.

통합 문서 템플릿 사용

통합 문서 템플릿은 연결된 데이터 원본의 통합 데이터를 제공하여 해당 서비스에서 생성된 이벤트를 자세히 분석할 수 있도록 합니다. 통합 문서 템플릿에는 방화벽 트래픽 로그, Office 365 및 Windows 이벤트 기반 비보안 프로토콜을 포함하여 서버의 Windows 이벤트, 자사 경고, 타사의 데이터가 될 수 있는 Microsoft Entra ID, Azure 활동 이벤트 및 온-프레미스가 포함됩니다. 통합 문서는 Azure Monitor 통합 문서에 기반하기 때문에, 자신의 통합 문서를 직접 디자인할 때 향상된 사용자 지정 기능으로 보다 유연하게 디자인할 수 있습니다. 자세한 내용은 통합 문서를 참조하세요.

  1. 설정에서 통합 문서를 선택합니다. 내 통합 문서에서 저장된 통합 문서를 모두 볼 수 있습니다. 템플릿, 아래에서 설치된 통합 문서 템플릿을 볼 수 있습니다. 더 많은 통합 문서 템플릿을 찾으려면 Microsoft Sentinel의 콘텐츠 허브로 이동하여 제품 솔루션 또는 독립 실행형 콘텐츠를 설치합니다.
  2. 특정 통합 문서를 검색하여 각 통합 문서가 제공하는 항목의 전체 목록 및 설명을 볼 수 있습니다.
  3. Microsoft Entra ID를 사용하여 Microsoft Sentinel을 시작하고 실행한다고 가정하면 Microsoft Sentinel용 Microsoft Entra 솔루션을 설치하고 다음 통합 문서를 사용하는 것이 좋습니다.

    • Microsoft Entra ID: 다음 중 하나 또는 둘 다를 사용합니다.

      • Microsoft Entra 로그인은 시간에 따른 로그인을 분석하여 변칙이 있는지 확인합니다. 이 통합 문서는 애플리케이션, 디바이스, 위치별로 실패한 로그인을 보여주기 때문에 비정상적인 상황이 발생하면 한눈에 알아볼 수 있습니다. 로그인이 여러 번 실패하면 주의하세요.
      • Microsoft Entra 감사 로그는 사용자에 대한 변경(추가, 제거 등), 그룹 만들기 및 수정과 같은 관리 활동을 분석합니다.

    • 적절한 솔루션을 설치하여 방화벽에 대한 통합 문서를 추가합니다. 예를 들어 Microsoft Sentinel용 Palo Alto 방화벽 솔루션을 설치하여 Palo Alto 통합 문서를 추가합니다. 이 통합 문서는 방화벽 트래픽을 분석하여 방화벽 데이터와 위협 이벤트 간 상관 관계를 제공하며, 엔터티 전체에서 의심스러운 이벤트를 강조 표시합니다. 통합 문서는 트래픽의 추세에 대한 정보를 제공하며, 결과를 드릴다운하고 필터링할 수 있습니다.

      Palo Alto dashboard

주 쿼리를 편집하여 query edit button 통합 문서를 사용자 지정할 수 있습니다. Log Analytics button 단추를 클릭하여 Log Analytics로 이동하여 쿼리를 편집할 수 있으며, 줄임표(...)를 선택하고 타일 데이터 사용자 지정을 선택하여 주 시간 필터를 편집하거나, 통합 문서에서 특정 타일을 제거할 수 있습니다.

쿼리 작업에 대한 자세한 내용은 자습서: Log Analytics의 시각적 데이터를 참조하세요.

새 타일 추가

새 타일을 추가하려는 경우 직접 만든 통합 문서 또는 Microsoft Sentinel 기본 제공 통합 문서에 추가할 수 있습니다.

  1. Log Analytics에서 자습서: Log Analytics의 시각적 데이터에 제공된 지침에 따라 타일을 만듭니다.
  2. 타일이 생성되면 고정 아래에서 타일을 표시할 통합 문서를 선택합니다.

새 통합 문서 만들기

처음부터 새로 통합 문서를 만들거나 통합 문서 템플릿을 새 통합 문서의 기초로 사용할 수 있습니다.

  1. 새 통합 문서를 처음부터 만들려면 통합 문서를 선택한 다음, +새 통합 문서를 선택합니다.
  2. 통합 문서가 생성된 구독을 선택하고 설명이 포함된 이름을 지정합니다. 각 통합 문서는 다른 통합 문서와 마찬가지로 Azure 리소스이며 액세스할 수 있는 사람을 정의하고 제한하기 위해 역할(Azure RBAC)을 할당할 수 있습니다.
  3. 통합 문서에 표시하여 시각화를 고정하려면 공유해야 합니다. 공유, 사용자 관리를 차례로 클릭합니다.
  4. 다른 Azure 리소스와 마찬가지로 액세스 권한 확인역할 할당을 사용합니다. 자세한 내용은 Azure RBAC를 사용하여 Azure 통합 문서 공유를 참조하세요.

새 통합 문서 예제

다음 샘플 쿼리를 사용하여 여러 주 동안의 트래픽 추세를 비교할 수 있습니다. 쿼리를 실행하는 디바이스 공급업체와 데이터 원본을 쉽게 전환할 수 있습니다. 이 예제에서는 Windows의 SecurityEvent를 사용하며, 다른 방화벽의 AzureActivity 또는 CommonSecurityLog에서 실행되도록 전환할 수 있습니다.

// week over week query
SecurityEvent
| where TimeGenerated > ago(14d)
| summarize count() by bin(TimeGenerated, 1d)
| extend Week = iff(TimeGenerated>ago(7d), "This Week", "Last Week"), TimeGenerated = iff(TimeGenerated>ago(7d), TimeGenerated, TimeGenerated + 7d)

여러 원본의 데이터를 통합하는 하나의 쿼리를 만들 수 있습니다. 방금 만든 새 사용자의 Microsoft Entra 감사 로그를 살펴본 다음, Azure 로그를 확하는 쿼리를 만들어 사용자가 생성되고 24시간 이내에 역할 할당 변경을 시작했는지 알아볼 수 있습니다. 이러한 의심스러운 활동이 다음과 같이 이 대시보드에 표시됩니다.

AuditLogs
| where OperationName == "Add user"
| project AddedTime = TimeGenerated, user = tostring(TargetResources[0].userPrincipalName)
| join (AzureActivity
| where OperationName == "Create role assignment"
| project OperationName, RoleAssignmentTime = TimeGenerated, user = Caller) on user
| project-away user1

데이터를 보는 사용자의 역할과 이들이 원하는 정보에 따라 다른 통합 문서를 만들 수 있습니다. 예를 들어, 네트워크 관리자를 위해 방화벽 데이터를 포함하는 통합 문서를 만들 수 있습니다. 항목을 확인하려는 빈도, 매일 검토하려는 항목이 있는지 여부 및 1시간에 한 번 확인하려는 기타 항목을 기준으로 통합 문서를 만들 수도 있습니다. 예를 들어, 1시간 간격으로 Microsoft Entra 로그인을 확인하여 변칙을 검색할 수 있습니다.

새 탐지 만들기

Microsoft Sentinel에 연결한 데이터 원본에 대한 탐지를 생성하여 조직 내 위험 요소를 조사할 수 있습니다.

새 탐지를 만들 때 Microsoft 보안 연구원들이 만든 탐지를 활용하세요. 이 탐지는 사용자가 연결한 데이터 원본에 맞게 조정됩니다.

설치되어 기본 제공되는 탐지를 보려면 Analytics로 이동한 다음, 규칙 템플릿으로 이동합니다. 이 탭에는 설치된 모든 Microsoft Sentinel 규칙 템플릿이 포함되어 있습니다. 더 많은 규칙 템플릿을 찾으려면 Microsoft Sentinel의 콘텐츠 허브로 이동하여 제품 솔루션 또는 독립 실행형 콘텐츠를 설치합니다.

Use built-in detections to find threats with Microsoft Sentinel

즉시 기본 제공되는 검색을 가져오는 방법에 대한 자세한 내용은 기본 제공 분석 가져오기를 참조하세요.

다음 단계

기본 제공 위협을 검색하고 사용자 정의 위협 감지 규칙을 만들어 위협에 대한 응답을 자동화합니다.