다음을 통해 공유

Microsoft Sentinel에서 사용자 지정 헌팅 쿼리 만들기

  • 아티클
  • 적용 대상:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

사용자 지정 헌팅 쿼리를 사용하여 조직의 데이터 원본에서 보안 위협을 헌팅합니다. Microsoft Sentinel은 네트워크에 있는 데이터에서 문제를 찾는 데 도움이 되는 기본 제공 헌팅 쿼리를 제공합니다. 하지만 사용자 고유의 사용자 지정 쿼리를 만들 수 있습니다. 헌팅 쿼리에 대한 자세한 내용은 Microsoft Sentinel의 위협 헌팅을 참조하세요.

새 쿼리 만들기

Microsoft Sentinel의 헌팅>쿼리 탭에서 사용자 지정 헌팅 쿼리를 만듭니다.

  1. Azure Portal의 Microsoft Sentinel에 대해서는 위협 관리에서 헌팅을 선택합니다.
    Defender 포털의 Microsoft Sentinel에 대해서는 Microsoft Sentinel>위협 관리>헌팅을 선택합니다.

  2. 쿼리 탭을 선택합니다.

  3. 명령 모음에서 새 쿼리를 선택합니다.

  4. 빈 필드를 모두 입력합니다.

    1. 항목 형식, 식별자, 열을 선택하여 항목 매핑을 만듭니다.

      헌팅 쿼리에서 엔터티 형식을 매핑하는 스크린샷

    2. 전략, 기술, 하위 기술을 선택하여 MITRE ATT&CK 기술을 헌팅 쿼리에 매핑합니다(해당되는 경우).

      새 쿼리

  5. 쿼리 정의가 완료되면 만들기를 선택합니다.

기존 쿼리 복제

사용자 지정 또는 기본 제공 쿼리를 복제하고 필요에 따라 편집합니다.

  1. 헌팅>쿼리 탭에서 복제하려는 헌팅 쿼리를 선택합니다.

  2. 수정하려는 쿼리 줄에서 줄임표(...)를 선택하고 복제를 선택합니다.

  3. 쿼리 및 기타 필드를 적절하게 편집합니다.

  4. 만들기를 실행합니다.

기존 사용자 지정 쿼리 편집

사용자 지정 컨텐츠 원본의 쿼리만 편집할 수 있습니다. 다른 콘텐츠 원본은 해당 원본에서 편집해야 합니다.

  1. 헌팅>쿼리 탭에서 변경하려는 헌팅 쿼리를 선택합니다.

  2. 변경하려는 쿼리 줄에서 줄임표(...)를 선택하고 편집을 선택합니다.

  3. 쿼리 필드를 업데이트된 쿼리로 업데이트합니다. 엔터티 매핑 및 기술을 변경할 수도 있습니다.

  4. 마쳤으면 저장을 선택합니다.

관련 콘텐츠