예약된 분석 규칙에서 수집 지연 처리
Microsoft Sentinel은 다양한 원본에서 데이터를 수집할 수 있지만 각 데이터 원본의 수집 시간은 상황에 따라 다를 수 있습니다.
이 문서에서는 수집 지연이 예약된 분석 규칙에 영향을 줄 수 있는 방법과 간격을 해결하기 위해 규칙을 수정할 수 있는 방법을 설명합니다.
지연이 중요한 이유
예를 들어 필드 규칙이 5분마다 실행되고 최근 5분 동안의 데이터를 조회하도록 쿼리 실행 간격 및 다음 최근 기간의 데이터 조회 필드를 설정하여 사용자 지정 검색 규칙을 작성할 수 있습니다.
다음 최근 기간의 데이터 조회 필드는 되돌아보기 기간이라는 설정을 정의합니다. 다음 다이어그램과 같이 지연이 없을 경우 검색에서 누락되는 이벤트가 없는 것이 이상적입니다.
이벤트는 생성 시 도착하고 되돌아보기 기간에 포함됩니다.
이제 데이터 원본에 약간의 지연이 있다고 가정합니다. 이 예제에서는 이벤트가 생성된 시점부터 2분 후에 수집되었다고 가정해 봅시다. 지연 시간은 2분입니다.
이벤트가 첫 번째 되돌아보기 기간 내에 생성되었지만 첫 번째 실행 시에는 Microsoft Sentinel 작업 영역에 수집되지 않았습니다. 다음에 예약된 쿼리가 실행될 때 이벤트를 수집하지만 이벤트가 발생한 시점부터 5분이 지났기 때문에 시간 생성 필터가 이벤트를 제거합니다. 이 경우 규칙에서 경고가 발생하지 않습니다.
지연을 처리하는 방법
참고 항목
아래에 설명된 프로세스를 사용하여 이슈를 해결하거나 Microsoft Sentinel의 NRT(실시간에 가까운) 검색 규칙을 구현할 수 있습니다. 자세한 내용은 Microsoft Sentinel의 NRT(거의 실시간) 분석 규칙을 사용하여 신속하게 위협 검색을 참조하세요.
이슈를 해결하려면 데이터 형식의 지연을 알아야 합니다. 이 예제에서는 지연 시간이 2분이라는 것을 이미 알고 있습니다.
고유한 데이터의 경우 Kusto ingestion_time()
함수를 사용하고 TimeGenerated와 수집 시간 사이의 차이를 계산하여 지연 시간을 파악할 수 있습니다. 자세한 내용은 수집 지연 시간 계산을 참조하세요.
지연 시간을 확인한 후 다음과 같이 문제를 해결할 수 있습니다.
되돌아보기 기간을 늘립니다. 기본적인 직관에 따라 되돌아보기 기간 크기를 늘리면 도움이 될 것입니다. 되돌아보기 기간이 5분이고 지연 시간이 2분이므로 되돌아보기 기간을 7분으로 설정하면 이 문제를 해결하는 데 도움이 됩니다. 예를 들어 규칙 설정에서 다음을 수행합니다.
다음 다이어그램은 이제 되돌아보기 기간에 누락된 이벤트가 포함된 방식을 보여 줍니다.
중복을 처리합니다. 되돌아보기 기간을 늘리기만 하면 이제 되돌아보기 기간이 겹치므로 중복이 생성될 수 있습니다. 예를 들어 다른 이벤트가 다음 다이어그램과 같이 표시될 수 있습니다.
두 되돌아보기 기간에 모두 이벤트 TimeGenerated 값이 있으므로 이벤트에서 두 개의 경고가 발생합니다. 중복을 해결하는 방법을 찾아야 합니다.
이벤트를 특정 되돌아보기 기간에 연결합니다. 첫 번째 예제에서는 예약된 쿼리를 실행할 때 데이터가 수집되지 않았기 때문에 이벤트가 누락되었습니다. 이벤트가 포함되도록 되돌아보기를 확장했지만 이로 인해 중복이 발생했습니다. 이벤트가 포함되도록 확장한 기간에 이벤트를 연결해야 합니다.
원래 규칙인
look-back = 5m
대신ingestion_time() > ago(5m)
을 설정하면 됩니다. 이 설정은 첫 번째 되돌아보기 기간에 이벤트를 연결합니다. 예시:이제 수집 시간 제한으로 인해 되돌아보기 기간에 추가한 2분이 잘립니다. 또한 첫 번째 예제의 두 번째 실행 되돌아보기 기간에 이벤트가 캡처됩니다.
다음 샘플 쿼리는 수집 지연 이슈의 해결 방법을 요약해서 보여 줍니다.
let ingestion_delay = 2min;
let rule_look_back = 5min;
CommonSecurityLog
| where TimeGenerated >= ago(ingestion_delay + rule_look_back)
| where ingestion_time() > ago(rule_look_back)
수집 지연 시간 계산
기본적으로 Microsoft Sentinel 예약된 경고 규칙은 되돌아보기 기간이 5분으로 구성되어 있습니다. 그러나 데이터 원본마다 개별 수집 지연 시간이 다를 수 있습니다. 여러 데이터 형식을 조인하는 경우 되돌아보기 기간을 올바르게 구성하려면 각 데이터 형식에 따른 지연 시간을 알아야 합니다.
Microsoft Sentinel에서 기본적으로 제공되는 작업 영역 사용량 보고서에는 작업 영역으로 들어오는 다양한 데이터 형식의 대기 시간과 지연 시간을 보여 주는 대시보드가 포함되어 있습니다.
예시:
다음 단계
자세한 내용은 다음을 참조하세요.