Microsoft Sentinel에서 헌팅 라이브 스트림을 사용하여 위협 탐지
헌팅 라이브 스트림을 사용하여 이벤트가 발생할 때 새로 생성된 쿼리를 테스트하고, 일치 항목이 발견될 때 세션에서 알림을 받고, 필요한 경우 조사를 시작할 수 있는 대화형 세션을 만듭니다. Log Analytics 쿼리를 사용하여 라이브 스트림 세션을 신속하게 만들 수 있습니다.
Important
이제 Microsoft Sentinel이 Microsoft Defender 포털의 Microsoft 통합 보안 운영 플랫폼 내에서 일반 공급됩니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.
라이브 스트림 만들기
기존 헌팅 쿼리에서 라이브 스트림 세션을 만들거나 처음부터 세션을 만들 수 있습니다.
Azure Portal의 Microsoft Sentinel에 대해서는 위협 관리에서 헌팅을 선택합니다.
Defender 포털의 Microsoft Sentinel에 대해서는 Microsoft Sentinel>위협 관리>헌팅을 선택합니다.헌팅 쿼리에서 라이브 스트림 세션을 만들려면 다음을 수행합니다.
- 쿼리 탭에서 사용할 헌팅 쿼리를 찾습니다.
- 쿼리를 마우스 오른쪽 단추로 클릭하고 라이브 스트림에 추가를 선택합니다. 예시:
라이브 스트림 세션을 처음부터 만들려면 다음을 수행합니다.
- 라이브 스트림 탭을 선택합니다.
- + 새 라이브 스트림을 클릭합니다.
Livestream 창에서 다음을 수행합니다.
- 쿼리에서 라이브 스트림을 시작한 경우 쿼리를 검토하고 원하는 변경 작업을 수행합니다.
- 라이브 스트림을 처음부터 시작했으면 쿼리를 만듭니다.
Livestream은 Azure Data Explorer의 데이터 리소스 간 쿼리를 지원합니다. 리소스 간 쿼리에 대해 자세히 알아보세요.
명령 모음에서 재생을 선택합니다.
명령 모음 아래의 상태 표시줄에는 라이브 스트림 세션이 실행 중인지 아니면 일시 중지되었는지 여부가 표시됩니다. 다음 예제에서는 세션이 실행됩니다.
명령 모음에서 저장을 선택합니다.
일시 중지를 선택하지 않는 한 세션은 Azure Portal에서 로그아웃 될 때까지 계속 실행됩니다.
라이브 스트림 세션 보기
헌팅>라이브스트림 탭에서 라이브스트림 세션을 찾습니다.
Azure Portal의 Microsoft Sentinel에 대해서는 위협 관리에서 헌팅을 선택합니다.
Defender 포털의 Microsoft Sentinel에 대해서는 Microsoft Sentinel>위협 관리>헌팅을 선택합니다.라이브 스트림 탭을 선택합니다.
보거나 편집하길 원하는 라이브 스트림 세션을 선택합니다. 예시:
선택한 라이브 스트림 세션이 재생, 일시 중지, 편집 등으로 열립니다.
새 이벤트가 발생할 때 알림 받기
새 이벤트에 대한 라이브스트림 알림이 Azure 또는 Defender 포털 알림과 함께 표시됩니다. 예시:
- Azure 또는 Defender 포털에서 포털 페이지의 오른쪽 위에 있는 알림으로 이동합니다.
- 알림을 선택하여 라이브 스트림 창을 엽니다.
라이브 스트림 세션을 경고로 상승
관련 라이브 스트림 세션의 명령 모음에서 경고로 상승을 선택하여 라이브 스트림 세션을 새 경고로 승격합니다.
이 작업을 수행하면 라이브 스트림 세션과 연결된 쿼리로 미리 채워져 있는 규칙 만들기 마법사가 열립니다.
다음 단계
이 문서에서는 Microsoft Sentinel의 헌팅 Livestream을 사용하는 방법을 알아보았습니다. Microsoft Sentinel에 대해 자세히 알아보려면 다음 문서를 참조하세요.