대규모 데이터 세트에서 이벤트를 검색하여 조사 시작

  • 아티클
  • 적용 대상:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

보안 팀의 주요 작업 중 하나는 특정 이벤트에 대한 로그를 검색하는 것입니다. 예를 들어 지정된 시간 프레임 내에서 특정 사용자의 작업에 대한 로그를 검색할 수 있습니다.

Microsoft Sentinel에서는 검색 작업을 사용하여 매우 큰 데이터 세트에서 장기간에 걸쳐 검색할 수 있습니다. 모든 형식의 로그에서 검색 작업을 실행할 수 있지만 검색 작업은 보관된 로그를 검색하는 데 이상적으로 적합합니다. 보관된 데이터에 대한 전체 조사를 수행해야 하는 경우 해당 데이터를 핫 캐시로 복원하여 고성능 쿼리 및 심층 분석을 실행할 수 있습니다.

Important

Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼의 공개 미리 보기의 일부로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

대규모 데이터 세트 검색

조사를 시작할 때 검색 작업을 사용하여 지정된 시간 프레임 내의 로그에서 특정 이벤트를 찾습니다. 모든 로그를 검색하여 기준과 일치하는 이벤트를 찾고 결과를 필터링할 수 있습니다.

Microsoft Sentinel의 검색은 검색 작업을 기반으로 합니다. 검색 작업은 레코드를 가져오는 비동기 쿼리입니다. 검색 작업을 시작한 후 Log Analytics 작업 영역에 만들어진 검색 테이블에 결과가 반환됩니다. 검색 작업은 병렬 처리를 사용하여 매우 큰 데이터 세트에서 장기간에 걸쳐 검색을 실행합니다. 따라서 검색 작업은 작업 영역의 성능이나 가용성에 영향을 미치지 않습니다.

검색 결과가 *_SRCH 접미사가 있는 테이블에 저장됩니다.

다음 이미지는 검색 작업에 대한 검색 기준의 예를 보여 줍니다.

관리자의 검색 조건, 지난 1년 동안의 시간 범위 및 테이블이 선택된 검색 페이지의 스크린샷

지원되는 로그 유형

검색을 사용하여 다음 로그 형식에서 이벤트를 찾습니다.

보관된 로그에 저장된 분석 또는 기본 로그 데이터를 검색할 수도 있습니다.

검색 작업의 한계

검색 작업을 시작하기 전에 다음 제한 사항에 유의합니다.

  • 한 번에 하나의 테이블을 쿼리하도록 최적화되었습니다.
  • 검색 날짜 범위는 최대 7년입니다.
  • 최대 24시간 제한 시간까지 장기간 실행되는 검색을 지원합니다.
  • 결과는 레코드 집합의 100만 레코드로 제한됩니다.
  • 동시 실행은 작업 영역당 5개의 검색 작업으로 제한됩니다.
  • 작업 영역당 검색 결과 테이블이 100개로 제한됩니다.
  • 작업 영역당 하루에 100개의 검색 작업 실행으로 제한됩니다.

검색 작업은 현재 다음 작업 영역에서 지원되지 않습니다.

  • 고객 관리형 키 사용 작업 영역
  • 중국 동부 2 지역의 작업 영역

자세한 내용은 Azure Monitor 설명서에서 Azure Monitor에서 검색 작업을 참조하세요.

보관된 로그에서 기록 데이터 복원

보관된 로그에 저장된 데이터에 대해 전체 조사를 수행해야 하는 경우 Microsoft Sentinel의 검색 페이지에서 테이블을 복원합니다. 복원하려는 데이터의 대상 테이블과 시간 범위를 지정합니다. 몇 분 안에 로그 데이터가 복원되어 Log Analytics 작업 영역 내에서 사용할 수 있습니다. 그런 다음 전체 KQL을 지원하는 고성능 쿼리에서 데이터를 사용할 수 있습니다.

복원된 로그 테이블은 *_RST 접미사가 있는 새 테이블에서 사용할 수 있습니다. 기본 원본 데이터를 사용할 수 있는 한 복원된 데이터를 사용할 수 있습니다. 그러나 기본 원본 데이터를 삭제하지 않고 언제든지 복원된 테이블을 삭제할 수 있습니다. 비용을 절약하려면 더 이상 필요하지 않을 때 복원된 테이블을 삭제하는 것이 좋습니다.

다음 이미지는 저장된 검색의 복원 옵션을 보여 줍니다.

저장된 검색의 복원 링크 스크린샷.

로그 복원의 제한 사항

보관된 로그 테이블 복원을 시작하기 전에 다음 제한 사항에 유의합니다.

  • 최소 이틀 동안 데이터를 복원합니다.
  • 14일이 지난 데이터를 복원합니다.
  • 최대 60TB를 복원합니다.
  • 복원은 테이블당 하나의 활성 복원으로 제한됩니다.
  • 매주 작업 영역당 최대 4개의 보관된 테이블을 복원합니다.
  • 작업 영역당 2개의 동시 복원 작업으로 제한됩니다.

자세한 내용은 Azure Monitor에서 로그 복원을 참조하세요.

책갈피 검색 결과 또는 복원된 데이터 행

위협 추적 대시보드와 마찬가지로 관심 있는 정보가 포함된 행을 책갈피에 추가하면 인시던트에 첨부하거나 나중에 참조할 수 있습니다. 자세한 내용은 책갈피 만들기를 참조하세요.

다음 단계