Microsoft Sentinel에서 예약된 분석 규칙에 대한 템플릿 버전 관리

Important

이 기능은 미리 보기 상태입니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

소개

Microsoft Sentinel에는 복사본을 효과적으로 만들어 활성 규칙으로 전환하는 분석 규칙 서식 파일이 포함되어 있습니다. 이는 서식 파일에서 규칙을 만들 때 발생합니다. 그러나 이 시점에서 활성 규칙은 더 이상 템플릿에 연결되지 않습니다. Microsoft 엔지니어 또는 다른 사람이 규칙 템플릿을 변경하면 사전에 해당 템플릿에서 만들어진 모든 규칙이 새 템플릿과 일치하도록 동적으로 업데이트되지 않습니다.

그러나 템플릿에서 만들어진 규칙은 어떤 템플릿에서 만들어졌는지 기억하므로 다음과 같은 두 가지 이점이 있습니다.

• 서식 파일에서 규칙을 만들 때 또는 나중에 언제든지 규칙을 변경한 경우 언제든지 규칙을 원래 버전으로 되돌릴 수 있습니다.

• 서식 파일이 업데이트될 때 알림을 받습니다. 규칙을 새 버전의 서식 파일로 업데이트하거나 그대로 둘 수 있습니다.

이 문서에서는 이러한 작업을 관리하는 방법과 유의해야 할 사항을 보여 줍니다. 이 문서에서 설명하는 절차는 서식 파일에서 만들어진 모든 예약 분석 규칙에 적용됩니다.

규칙의 템플릿 버전 번호 확인

템플릿 버전 제어를 구현하면 규칙 템플릿과 이 템플릿에서 만들어진 규칙의 버전을 보고 추적할 수 있습니다. 업데이트된 서식 파일이 있는 규칙은 규칙 이름 옆에 “업데이트” 배지를 표시합니다.

1. 분석 페이지에서 활성 규칙 탭을 선택합니다.

2. 예약됨 형식의 규칙을 선택합니다.

   • 규칙에 “업데이트” 배지가 표시되면 세부 정보 창의 편집 단추 옆에 검토 및 업데이트 단추가 표시됩니다(다음 단계의 이미지 1 참조).

   • 규칙이 서식 파일에서 만들어졌지만 “업데이트” 배지가 없는 경우 세부 정보 창의 편집 단추 옆에 서식 파일과 비교 단추가 표시됩니다(다음 단계의 이미지 2 및 3 참조).

   • 편집 단추만 있는 경우 서식 파일이 아니라 처음부터 규칙이 만들어진 것입니다.

     

3. 세부 정보 창의 맨 아래로 스크롤하면 규칙이 만들어진 서식 파일 버전과 서식 파일의 사용 가능한 최신 버전이라는 두 가지 버전 번호가 표시됩니다.

   

   번호는 “1.0.0” 형식(주 버전, 부 버전, 빌드)입니다.

   • 주 버전 번호의 차이는 템플릿의 필수 사항이 변경되어 규칙이 위협을 검색하는 방법이나 전체 기능에 영향을 미칠 수 있음을 나타냅니다. 이 변경 내용을 규칙에 포함하려고 합니다.

   • 부 버전 번호의 차이는 템플릿의 사소한 개선(외관 변경 또는 이와 유사한 것)을 나타냅니다. 이는 “좋은 기능”이지만 규칙의 기능, 효율성 또는 성능을 유지하는 데 중요하지 않습니다. 이 변경을 쉽게 적용하거나 적용하지 않을 수 있습니다.

   참고 항목

   이미지 2와 3은 업데이트되지 않은 서식 파일에서 만들어진 규칙의 두 가지 예를 보여 줍니다.

   • 이미지 2는 현재 템플릿의 버전 번호가 있는 규칙을 보여 줍니다. 이는 2021년 10월에 Microsoft Sentinel이 템플릿 버전 제어를 처음 구현한 후 규칙이 만들어졌음을 나타냅니다.
   • 이미지 3은 현재 템플릿 버전이 없는 규칙을 보여 줍니다. 이는 규칙이 2021년 10월 이전에 만들어졌음을 나타냅니다. 사용 가능한 최신 템플릿 버전이 있는 경우 규칙을 만드는 데 사용된 템플릿보다 최신 버전의 템플릿일 가능성이 높습니다.

활성 규칙을 템플릿과 비교

수행하려는 작업에 따라 다음 탭 중 하나를 선택하여 해당 작업에 대한 지침을 확인합니다.

템플릿 업데이트

규칙을 선택하고 업데이트를 고려하기로 결정했으면 세부 정보 창에서 검토 및 업데이트를 선택합니다(이전 참조). 이제 분석 규칙 마법사에 최신 버전과 비교 탭이 있는 것을 볼 수 있습니다.

이 탭에서 기존 규칙의 YAML 표현과 최신 버전의 템플릿을 나란히 비교한 것을 볼 수 있습니다.

참고 항목

이 규칙을 업데이트하면 기존 규칙을 최신 버전의 템플릿으로 덮어씁니다.

참조된 이름이 변경된 경우 기존 규칙을 참조하는 모든 자동화 단계 또는 논리를 확인해야 합니다. 또한 쿼리, 일정, 그룹화 또는 기타 설정에 대한 변경 내용과 같이 원래 규칙을 만들 때 수행한 모든 사용자 지정 사항을 덮어쓸 수 있습니다.

새 템플릿 버전으로 규칙 업데이트

• 서식 파일의 새 버전에 대한 변경 내용을 수락할 수 있고 원래 규칙의 다른 부분에 영향을 미치지 않은 경우 검토 및 업데이트를 선택하여 변경 내용의 유효성을 검사하고 적용합니다.

• 규칙을 추가로 사용자 지정하거나 덮어쓸 수 있는 변경 사항을 다시 적용하려면 다음: 사용자 지정 변경 사항을 선택합니다. 분석 규칙 마법사의 나머지 탭을 순환하여 변경한 다음, 검토 및 업데이트 탭에서 변경 내용의 유효성을 검사하고 적용합니다.

• 기존 규칙을 변경하지 않고 기존 템플릿 버전을 유지하려면 오른쪽 상단 모서리에 있는 X를 선택하여 마법사를 종료하면 됩니다.

템플릿으로 되돌리기

규칙을 선택하고 원래 버전으로 되돌리기로 결정했으면 세부 정보 창에서 서식 파일과 비교를 선택합니다(이전 참조). 이제 분석 규칙 마법사에 최신 버전과 비교 탭이 있는 것을 볼 수 있습니다.

이 탭에서 기존 규칙의 YAML 표현과 최신 버전의 템플릿을 나란히 비교한 것을 볼 수 있습니다. 이 두 버전 번호는 같을 수 있지만 오른쪽에는 변경되지 않은 원래 서식 파일이 표시되고 왼쪽에는 원래 서식 파일의 변경 내용을 포함하여 활성 규칙이 표시됩니다.

참고 항목

이 규칙을 업데이트하면 기존 규칙을 최신 버전의 템플릿으로 덮어씁니다.

참조된 이름이 변경된 경우 기존 규칙을 참조하는 모든 자동화 단계 또는 논리를 확인해야 합니다. 또한 쿼리, 일정, 그룹화 또는 기타 설정에 대한 변경 내용과 같이 원래 규칙을 만들 때 수행한 모든 사용자 지정 사항을 덮어쓸 수 있습니다.

규칙을 원래 템플릿 버전으로 되돌리기

• 이 규칙의 원래 버전(서식 파일의 깨끗한 복사본)으로 완전히 되돌리려면 검토 및 업데이트를 선택하여 변경 내용의 유효성을 검사하고 적용합니다.

• 규칙을 다르게 사용자 지정하거나 덮어쓸 수 있는 변경 내용을 다시 적용하려면 다음: 변경 내용 사용자 지정을 선택합니다. 분석 규칙 마법사의 나머지 탭을 순환하여 변경한 다음, 검토 및 업데이트 탭에서 변경 내용의 유효성을 검사하고 적용합니다.

• 기존 규칙을 변경하지 않으려면 오른쪽 상단 모서리에 있는 X를 선택하여 마법사를 종료하기만 하면 됩니다.

다음 단계

이 문서에서는 Microsoft Sentinel 분석 규칙 템플릿 버전을 추적하고 활성 규칙을 기존 템플릿 버전으로 되돌리거나 새 규칙으로 업데이트하는 방법을 배웠습니다. Microsoft Sentinel에 대해 자세히 알아보려면 다음 문서를 참조하세요.

• 분석 규칙에 대해 자세히 알아봅니다.
• 분석 규칙 마법사에 대한 자세한 내용을 참조하세요.