엔터티 매핑은 예약된 분석 규칙 구성의 필수적인 부분입니다. 다음 조사 프로세스 및 수정 작업의 구성 요소 역할을 하는 필수 정보로 규칙의 출력(경고 및 인시던트)을 보강합니다.
아래에 자세히 설명된 절차는 분석 규칙 만들기 마법사의 일부입니다. 여기서는 기존 분석 규칙에서 엔터티 매핑을 추가하거나 변경하는 시나리오를 해결하기 위해 독립적으로 처리됩니다.
중요
- 이전 버전과의 호환성과 새 버전과 이전 버전의 엔터티 매핑 간의 차이점에 대한 중요한 정보는 이 문서의 끝에 있는 "새 버전에 대한 참고 사항"을 참조하세요.
- 2027년 3월 31일 이후에는 Microsoft Sentinel 더 이상 Azure Portal 지원되지 않으며 Microsoft Defender 포털에서만 사용할 수 있습니다. Azure Portal Microsoft Sentinel 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel 사용합니다. 2025년 7월부터 많은 신규 고객이 자동으로 온보딩되고 Defender 포털로 리디렉션됩니다. 여전히 Azure Portal Microsoft Sentinel 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 제공하는 통합 보안 운영 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다. 자세한 내용은 It's Time to Move: Retiring Microsoft Sentinel s Azure Portal for greater security를 참조하세요.
엔터티를 매핑하는 방법
포털에서 Microsoft Sentinel 액세스하는 분석 페이지를 입력합니다.
Microsoft Sentinel 탐색 메뉴의 구성 섹션에서 분석을 선택합니다.
예약된 쿼리 규칙을 선택하고 세부 정보 창에서 편집 을 선택합니다. 또는 화면 맨 위에 있는 예약된 쿼리 규칙 만들기 > 를 클릭하여 새 규칙을 만듭니다.
규칙 논리 설정 탭을 선택합니다. 새 규칙이 있는 경우 규칙 쿼리 창에 쿼리를 입력합니다.
경고 향상 섹션에서 엔터티 매핑을 확장합니다.
이제 확장된 엔터티 매핑 섹션에서 새 엔터티 추가를 선택합니다.
엔터티 드롭다운 목록에서 엔터티 형식을 선택합니다.
엔터티의 식별자를 선택합니다. 식별자는 충분히 식별할 수 있는 엔터티의 특성입니다. 식별자 드롭다운 목록에서 하나를 선택한 다음, 식별자에 해당하는 값 드롭다운 목록에서 데이터 필드를 선택합니다. 일부 예외를 제외하고 값 목록은 규칙 쿼리의 주체로 정의된 테이블의 데이터 필드로 채워집니다.
지정된 엔터티 매핑 에 대해 최대 3개의 식별자를 정의할 수 있습니다. 일부 식별자는 필수이고 다른 식별자는 선택 사항입니다. 하나 이상의 필수 식별자를 선택해야 합니다. 그렇지 않으면 필요한 식별자를 알려주는 경고 메시지가 표시됩니다. 최상의 결과를 위해 최대 고유 식별을 위해 가능하면 강력한 식별자를 사용해야 하며, 여러 개의 강력한 식별자를 사용하면 데이터 원본 간에 더 큰 상관 관계를 설정할 수 있습니다. 사용 가능한 엔터티 및 식별자의 전체 목록을 참조하세요.
새 엔터티 추가를 선택하여 더 많은 엔터티를 매핑합니다. 단일 분석 규칙에서 최대 10개의 엔터티 매핑 을 정의할 수 있습니다. 동일한 형식 중 하나 이상을 매핑할 수도 있습니다. 예를 들어 원본 IP 주소 필드와 대상IP 주소 필드에서 하나씩 두 개의 IP 엔터티를 매핑할 수 있습니다. 이렇게 하면 둘 다 추적할 수 있습니다.
마음이 바뀌거나 실수한 경우 엔터티 드롭다운 목록 옆에 있는 휴지통 아이콘을 클릭하여 엔터티 매핑을 제거할 수 있습니다.
엔터티 매핑을 마쳤으면 검토 및 만들기 탭을 클릭합니다. 규칙 유효성 검사가 성공하면 저장을 클릭합니다.
참고
단일 경고에서 최대 500개의 엔터티를 전체적으로 식별할 수 있으며 규칙에 정의된 모든 엔터티 매핑 간에 동일하게 나눌 수 있습니다.
- 예를 들어 두 엔터티 매핑이 규칙에 정의된 경우 각 매핑은 최대 250개의 엔터티를 식별할 수 있습니다. 5개의 매핑이 정의되면 각 매핑은 최대 100개의 엔터티를 식별할 수 있습니다.
- 단일 엔터티 형식(예: 원본 IP 및 대상 IP)의 여러 매핑은 각각 개별적으로 계산됩니다.
- 경고에 이 제한을 초과하는 항목이 포함된 경우 해당 초과 항목은 엔터티로 인식 및 추출되지 않습니다.
경고(엔터티 필드)의 전체 엔터티 영역에 대한 크기 제한은 64KB입니다.
- 64KB보다 큰 엔터티 필드는 잘립니다. 엔터티가 식별되면 필드 크기가 64KB에 도달하고 아직 확인되지 않은 엔터티가 경고에서 삭제될 때까지 하나씩 경고에 추가됩니다.
새 버전에 대한 참고 사항
이제 새 버전이 GA(일반 공급)되므로 이전 버전을 사용하기 위한 기능 플래그 해결 방법을 더 이상 사용할 수 없습니다.
이전 버전을 사용하여 이 분석 규칙에 대한 엔터티 매핑을 이전에 정의한 경우 자동으로 새 버전으로 변환됩니다.
다음 단계
이 문서에서는 Microsoft Sentinel 분석 규칙의 엔터티에 데이터 필드를 매핑하는 방법을 알아보았습니다. Microsoft Sentinel 대한 자세한 내용은 다음 문서를 참조하세요.
- 경고를 보강하는 다른 방법을 살펴봅니다.
- 예약된 쿼리 분석 규칙에 대한 전체 그림을 가져옵니다.
- Microsoft Sentinel 엔터티에 대해 자세히 알아봅니다.