Microsoft Sentinel 기술 향상 학습
이 문서에서는 Microsoft Sentinel 기술을 향상시키는 데 도움이 되는 수준 400 학습을 안내합니다. 학습은 관련 제품 설명서, 블로그 게시물 및 기타 리소스를 제공하는 21개의 자기 주도적 모듈로 구성됩니다.
여기에 나열된 모듈은 SOC(보안 운영 센터)의 수명 주기에 따라 다섯 부분으로 나뉩니다.
- 모듈 3: 작업 영역 및 테넌트 아키텍처
- 모듈 4: 데이터 수집
- 모듈 5: 로그 관리
- 모듈 6: 보강: 위협 인텔리전스, 관심 목록 등
- 모듈 7: 로그 변환
- 모듈 8: 마이그레이션
- 모듈 9: 고급 SIEM 정보 모델 및 정규화
- 모듈 10: Kusto 쿼리 언어
- 모듈 11: 분석
- 모듈 12: SOAR 구현
- 모듈 13: 통합 문서, 보고 및 시각화
- 모듈 14: Notebooks
- 모듈 15: 사용 사례 및 솔루션
- 모듈 16: SOC 분석가의 하루, 인시던트 관리 및 조사
- 모듈 17: 헌팅
- 모듈 18: UEBA(사용자 및 개체 동작 분석)
- 모듈 19: Microsoft Sentinel의 상태 모니터링
1부: 개요
모듈 0: 기타 학습 및 지원 옵션
이 기술 향상 학습은 Microsoft Sentinel Ninja 학습을 기반으로 하는 수준 400 학습입니다. 더 깊이 들어가고 싶지 않거나 해결해야 할 특정 문제가 있는 경우 다른 리소스가 더 적합할 수 있습니다.
- 기술 향상 학습은 광범위하지만 자연스럽게 대본을 따라야 하며 모든 항목으로 확장할 수 없습니다. 각 문서에 대한 정보는 참조 설명서를 참조하세요.
- 이제 Microsoft Sentinel을 다루는 새로운 인증 SC-200: Microsoft Security 운영 분석가로 인증을 받을 수 있습니다. Microsoft Security 제품군을 더 광범위하고 상위 수준에서 보려면 SC-900: Microsoft Security, 규정 준수 및 ID 기초 또는 AZ-500: Microsoft Azure 보안 기술을 고려할 수도 있습니다.
- 이미 Microsoft Sentinel에 능숙한 경우 새로운 기능을 추적하거나 Microsoft Cloud Security Private Community에 참여하여 예정된 릴리스를 미리 볼 수 있습니다.
- 공유할 기능 아이디어가 있나요? Microsoft Sentinel 사용자 음성 페이지에서 알려주세요.
- 프리미어 고객인가요? 현장 또는 원격으로 4일간의 의 Microsoft Sentinel 기본 사항 워크샵에 참여하고 싶을 수 있습니다. 자세한 내용은 고객 성공 계정 관리자에게 문의합니다.
- 특별한 문제가 있나요? Microsoft Sentinel 기술 커뮤니티에서 질문하거나 다른 사람에게 답변합니다. 또는 질문이나 문제를 이메일(MicrosoftSentinel@microsoft.com)로 보낼 수 있습니다.
모듈 1: Microsoft Sentinel 시작
Microsoft Sentinel은 스케일링 가능한 클라우드 네이티브, SIEM(보안 정보 이벤트 관리) 및 SOAR(보안 오케스트레이션 자동화 응답) 솔루션입니다. Microsoft Sentinel은 기업 전체에 보안 분석 및 위협 인텔리전스를 제공합니다. 경고 검색, 위협 표시, 사전 예방식 헌팅 및 위협 대응을 위한 단일 솔루션을 제공합니다. 자세한 내용은 Microsoft Sentinel이란?을 참조하세요.
Microsoft Sentinel의 기술 기능에 대한 초기 개요를 보려면 최신 Ignite 프레젠테이션을 시작하는 것이 좋습니다. Microsoft Sentinel에 대한 빠른 시작 가이드도 유용할 수 있습니다(사이트 등록 필요).
이 Microsoft Sentinel 웨비나(YouTube, MP4 또는 프레젠테이션)에서 더 자세한 개요를 찾습니다.
마지막으로 직접 해보시겠나요? Microsoft Sentinel 올인원 액셀러레이터(블로그, YouTube, MP4 또는 프레젠테이션)를 통해 쉽게 시작할 수 있습니다. 시작하는 방법을 알아보려면 온보딩 설명서를 검토하거나 Insight의 Microsoft Sentinel 설정 및 구성 동영상을 보세요.
다른 사용자로부터 알아보기
수천 개의 조직과 서비스 공급자가 Microsoft Sentinel을 사용하고 있습니다. 보안 제품의 경우와 마찬가지로 대부분의 조직에서는 이에 대해 공개하지 않습니다. 그래도 다음은 몇 가지가 있습니다.
- 공용 고객 사용 사례를 찾습니다.
- ASOS의 Stuart Gregg, Security Operations Manager는 헌팅에 초점을 맞춘 Microsoft Sentinel 환경의 블로그 게시물을 게시했습니다.
분석가로부터 알아보기
- Azure Sentinel, 전략 부문 1위와 함께 Forrester Wave의 리더 자리에 올랐습니다.
- Microsoft는 2021 Gartner Magic Quadrant의 SIEM for Microsoft Sentinel에서 Visionary로 선정되었습니다.
모듈 2: Microsoft Sentinel은 어떻게 사용되나요?
많은 조직에서 Microsoft Sentinel을 기본 SIEM으로 사용합니다. 이 과정의 대부분의 모듈은 이 사용 사례를 다룹니다. 이 모듈에서는 Microsoft Sentinel을 사용하는 몇 가지 추가 방법을 제시합니다.
Microsoft Security 스택의 일부로
Microsoft Sentinel, 클라우드용 Microsoft Defender 및 Microsoft Defender XDR을 함께 사용하여 Windows, Azure 및 Office를 포함한 Microsoft 워크로드를 보호합니다.
- Microsoft Sentinel과 Microsoft Defender XDR을 결합한 포괄적인 SIEM+XDR 솔루션에 대해 자세히 알아봅니다.
- 보안 작업에 대한 Microsoft 청사진을 이해하려면 Azure 보안 나침반(현재 Microsoft Security 모범 사례)을 참조하세요.
- 블로그, 동영상 데모에서 이러한 설정이 WebShell 공격을 검색하고 대응하는 데 어떻게 도움이 되는지 읽고 시청합니다.
- Better Together 웨비나 "OT 및 IOT 공격 검색, 조사 및 응답"를 봅니다.
다중 클라우드 워크로드를 모니터링하려면
클라우드는(여전히) 새롭고 종종 온-프레미스 워크로드만큼 광범위하게 모니터링되지 않습니다. 이 프레젠테이션을 읽고 Microsoft Sentinel이 클라우드 전반의 클라우드 모니터링 격차를 줄이는 데 어떻게 도움이 되는지 알아봅니다.
기존 SIEM과 함께 실행
전환 기간 또는 장기간 동안 클라우드 워크로드에 Microsoft Sentinel을 사용하는 경우 기존 SIEM과 함께 Microsoft Sentinel을 사용할 수 있습니다. Service Now와 같은 티켓팅 시스템에서 둘 다 사용할 수도 있습니다.
다른 SIEM에서 Microsoft Sentinel로 마이그레이션하는 방법에 대한 자세한 내용은 마이그레이션 웨비나(YouTube, MP4 또는 프레젠테이션)를 참조하세요.
병렬 배포에는 세 가지 일반적인 시나리오가 있습니다.
SOC에 티켓팅 시스템이 있는 경우 두 SIEM 시스템에서 Service Now와 같은 티켓팅 시스템으로 경고 또는 인시던트를 보내는 것이 가장 좋습니다. 예를 들어 ServiceNow와 Microsoft Sentinel 인시던트 양방향 동기화를 사용하거나 Microsoft Sentinel에서 타사 SIEM으로 지원 이벤트가 풍부한 경고 보내기를 들 수 있습니다.
적어도 처음에는 많은 사용자가 Microsoft Sentinel에서 온-프레미스 SIEM으로 경고를 보냅니다. 방법을 알아보려면 Microsoft Sentinel에서 타사 SIEM으로 지원 이벤트를 사용하여 보강된 경고 보내기를 참조하세요.
시간이 지남에 따라 Microsoft Sentinel이 더 많은 워크로드를 처리함에 따라 일반적으로 방향을 바꾸고 온-프레미스 SIEM에서 Microsoft Sentinel로 경고를 보냅니다. 수행할 작업:
- Splunk의 경우 Splunk에서 Microsoft Sentinel로 데이터 및 주요 이벤트 보내기를 참조하세요.
- QRadar의 경우 Microsoft Sentinel에 QRadar 공격 보내기를 참조하세요.
- ArcSight의 경우 CEF(Common Event Format) 전달을 참조하세요.
그래프 보안 API를 사용하여 Microsoft Sentinel에서 타사 SIEM 또는 티켓팅 시스템으로 경고를 보낼 수도 있습니다. 이 방법은 더 간단하지만 다른 데이터를 보낼 수는 없습니다.
MSSP의 경우
설치 비용이 없고 위치에 구애받지 않기 때문에 Microsoft Sentinel은 SIEM-as-a-service를 제공하는 데 널리 사용되는 선택입니다. Microsoft Sentinel을 사용하는 MISA(Microsoft 지능형 보안 연합) MSSP(멤버 관리 보안 서비스 공급자) 목록을 찾습니다. 다른 많은 MSSP, 특히 지역 및 소규모 MSSP는 Microsoft Sentinel을 사용하지만 MISA 멤버는 아닙니다.
MSSP로서의 과정을 시작하려면 MSSP용 Microsoft Sentinel 기술 플레이북을 참조하세요. MSSP 지원에 대한 자세한 내용은 클라우드 아키텍처 및 다중 테넌트 지원을 다루는 다음 모듈에 포함되어 있습니다.
2부: 설계 및 배포
"1부: 개요"에서는 몇 분 만에 Microsoft Sentinel 사용을 시작할 수 있는 방법을 제공하지만 프로덕션 배포를 시작하기 전에 계획을 세우는 것이 중요합니다.
이 섹션에서는 솔루션을 설계할 때 고려해야 할 영역을 안내하고 디자인을 구현하는 방법에 대한 지침을 제공합니다.
- 작업 영역 및 테넌트 아키텍처
- 데이터 수집
- 로그 관리
- 위협 인텔리전스 획득
모듈 3: 작업 영역 및 테넌트 아키텍처
Microsoft Sentinel 인스턴스를 작업 영역이라고 합니다. 작업 영역은 Log Analytics 작업 영역과 동일하며 모든 Log Analytics 기능을 지원합니다. Microsoft Sentinel은 Log Analytics 작업 영역 위에 SIEM 기능을 추가하는 솔루션으로 생각할 수 있습니다.
여러 작업 영역이 필요한 경우가 많으며 단일 Microsoft Sentinel 시스템으로 함께 작동할 수 있습니다. 특별한 사용 사례는 MSSP(관리 보안 서비스 공급자) 또는 대규모 조직의 글로벌 SOC와 같은 Microsoft Sentinel을 사용하여 서비스를 제공하는 것입니다.
여러 작업 영역을 하나의 Microsoft Sentinel 시스템으로 사용하는 방법에 대한 자세한 내용은 작업 영역 및 테넌트 간에 Microsoft Sentinel 확장을 참조하거나 웨비나(MP4, YouTube, 프레젠테이션)를 보세요.
여러 작업 영역을 사용하는 경우 다음을 고려합니다.
- 여러 작업 영역을 사용하기 위한 중요한 동인은 데이터 보존입니다. 자세한 내용은 Microsoft Sentinel 데이터 보존을 참조하세요.
- Microsoft Sentinel을 배포하고 여러 작업 영역에서 콘텐츠를 효율적으로 관리하기 위해 CI/CD(연속 통합/지속적인 업데이트) 기술을 사용하여 Microsoft Sentinel을 코드로 관리할 수 있습니다. Microsoft Sentinel에 권장되는 모범 사례는 지속적인 배포를 사용하도록 설정하는 것입니다. 자세한 내용은 기본적으로 Microsoft Sentinel 리포지토리를 사용하여 지속적인 배포 사용을 참조하세요.
- 여러 작업 영역을 MSSP로 관리하는 경우 Microsoft Sentinel에서 MSSP 지적 재산을 보호할 수 있습니다.
MSSP용 Microsoft Sentinel 기술 플레이북은 이러한 많은 항목에 대한 자세한 지침을 제공하며 MSSP뿐만 아니라 대규모 조직에 유용합니다.
모듈 4: 데이터 수집
SIEM의 기반은 이벤트, 경고 및 위협 인텔리전스, 취약성 데이터 및 자산 정보와 같은 상황별 보강 정보와 같은 원격 분석을 수집하는 것입니다. 참고할 원본 목록은 다음과 같습니다.
- Microsoft Sentinel 데이터 커넥터를 참조하세요.
- 지원되는 기본 데이터 커넥터를 모두 보려면 Microsoft Sentinel 데이터 커넥터 찾기로 이동합니다. 일반 배포 프로시저에 대한 링크와 특정 커넥터에 필요한 추가 단계를 찾습니다.
- 데이터 수집 시나리오: Logstash/CEF/WEF와 같은 컬렉션 방법에 대해 알아봅니다. 다른 일반적인 시나리오에는 테이블에 대한 권한 제한, 로그 필터링, AWS(Amazon Web Services) 또는 GCP(Google Cloud Platform)에서 로그 수집, Microsoft 365 원시 로그 등이 있습니다. 모두 "데이터 수집 시나리오" 웨비나(YouTube, MP4 또는 프레젠테이션)에서 찾을 수 있습니다.
각 커넥터에 대해 가장 먼저 볼 수 있는 정보는 데이터 수집 방법입니다. 표시되는 방법에는 데이터 원본을 Microsoft Sentinel에 연결하는 데 필요한 대부분의 정보가 포함된 다음 제네릭 배포 절차 중 하나에 대한 링크가 있습니다.
| 데이터 수집 방법 | 관련 문서 |
|---|---|
| Azure 서비스 간 통합 | Azure, Windows, Microsoft 및 Amazon 서비스에 연결 |
| Syslog를 통한 CEF(Common Event Format) | Azure Monitor 에이전트를 사용하여 Syslog 및 CEF 메시지를 Microsoft Sentinel에 수집 |
| Microsoft Sentinel Data Collector API | 데이터 원본을 Microsoft Sentinel Data Collector API에 연결하여 데이터 수집 |
| Azure Functions 및 REST API | Azure Functions를 사용하여 Microsoft Sentinel을 데이터 원본에 연결 |
| syslog | Azure Monitor 에이전트를 사용하여 Syslog 및 CEF 메시지를 Microsoft Sentinel에 수집 |
| 사용자 지정 로그 | AMA 데이터 커넥터를 통해 사용자 지정 로그 - 특정 애플리케이션에서 Microsoft Sentinel로 데이터 수집 구성 |
원본을 사용할 수 없는 경우 사용자 지정 커넥터를 만들 수 있습니다. 사용자 지정 커넥터는 수집 API를 사용하므로 직접 원본과 유사합니다. 코드 없는 옵션을 제공하는 Azure Logic Apps 또는 Azure Functions를 사용하여 사용자 지정 커넥터를 구현하는 경우가 가장 많습니다.
모듈 5: 로그 관리
Microsoft Sentinel을 구성할 때 고려해야 할 첫 번째 아키텍처 결정은 몇 개의 작업 영역과 사용할 작업 영역입니다. 고려해야 할 기타 주요 로그 관리 아키텍처 결정은 다음과 같습니다.
- 데이터를 보존할 위치와 기간.
- 데이터에 대한 액세스를 가장 잘 관리하고 보호하는 방법.
Microsoft Sentinel 내에서 데이터 수집, 보관, 검색 및 복원
시작하려면 "새로운 수집, 보관, 검색 및 복원 방법으로 로그 수명 주기 관리" 웨비나를 보세요.
이 기능 모음에는 다음이 포함됩니다.
- 기본 수집 계층: 더 저렴한 비용으로 로그를 수집할 수 있는 Azure Monitor 로그의 새로운 가격 책정 계층입니다. 이 데이터는 작업 영역에 8일 동안만 보존됩니다.
- 보존 계층: Azure Monitor 로그는 보존 기간을 2년에서 7년으로 확장했습니다. 이 새로운 계층을 사용하면 저렴한 보존 상태에서 최대 7년 동안 데이터를 보존할 수 있습니다.
- 검색 작업: 제한된 KQL을 실행하여 모든 관련 로그를 찾아 반환하는 작업을 검색합니다. 이러한 작업은 분석 계층, 기본 계층 및 보관된 데이터에서 데이터를 검색합니다.
- 데이터 복원: 데이터 테이블과 시간 범위를 선택하여 복원 테이블을 통해 작업 영역으로 데이터를 복원할 수 있는 새로운 기능입니다.
이러한 새로운 기능에 대한 자세한 내용은 Microsoft Sentinel에서 데이터 수집, 보관, 검색 및 복원을 참조하세요.
Microsoft Sentinel 플랫폼 외부의 대체 보존 옵션
2년 이상 데이터를 보존하거나 보존 비용을 줄이려면 Microsoft Sentinel 로그의 장기 보존을 위해 Azure Data Explorer를 사용하는 것이 좋습니다. 웨비나 슬라이드, 웨비나 녹화 또는 블로그를 참조하세요.
더 자세한 정보를 원하나요? "ADX 지원, 더 많은 엔터티 형식 및 업데이트된 MITRE 통합을 통한 위협 헌팅의 범위 및 범위 개선" 웨비나를 봅니다.
다른 장기 보존 솔루션을 선호하는 경우 Microsoft Sentinel/Log Analytics 작업 영역에서 Azure Storage 및 Event Hubs로 내보내기 또는 Azure Logic Apps를 사용하여 장기 스토리지로 로그 이동을 참조하세요. Logic Apps 사용의 장점은 기록 데이터를 내보낼 수 있다는 것입니다.
마지막으로 테이블 수준 보관 설정을 사용하여 세분화된 보존 기간을 설정할 수 있습니다. 자세한 내용은 Azure Monitor Logs에서 데이터 보존 및 보관 정책 구성(미리 보기)을 참조하세요.
로그 보안
리소스 RBAC(역할 기반 액세스 제어) 또는 테이블 수준 RBAC를 사용하여 여러 팀이 단일 작업 영역을 사용할 수 있도록 합니다.
필요한 경우 작업 영역에서 고객 콘텐츠를 삭제합니다.
경고 통합 문서 및 쿼리를 사용하여 작업 영역 쿼리 및 Microsoft Sentinel 사용을 감사하는 방법을 알아봅니다.
프라이빗 링크를 사용하여 로그가 개인 네트워크를 벗어나지 않도록 합니다.
전용 클러스터
예상 데이터 수집이 500GB/일 이상이면 전용 작업 영역 클러스터를 사용합니다. 전용 클러스터를 사용하면 Microsoft Sentinel 데이터에 대한 리소스를 보호할 수 있으므로 대규모 데이터 집합에 대한 쿼리 성능이 향상됩니다.
모듈 6: 보강: 위협 인텔리전스, 관심 목록 등
SIEM의 중요한 함수 중 하나는 상황 정보를 이벤트 스팀에 적용하여 검색, 경고 우선 순위 지정 및 인시던트 조사를 가능하게 하는 것입니다. 상황 정보에는 위협 인텔리전스, IP 인텔리전스, 호스트 및 사용자 정보, 관심 목록이 포함됩니다.
Microsoft Sentinel은 위협 인텔리전스를 가져오고, 관리하고, 사용할 수 있는 포괄적인 도구를 제공합니다. 다른 형식의 상황 정보에 대해 Microsoft Sentinel은 관심 목록 및 기타 대체 솔루션을 제공합니다.
위협 인텔리전스
위협 인텔리전스는 SIEM의 중요한 구성 요소입니다. "Microsoft Sentinel에서 위협 인텔리전스의 힘 탐색" 웨비나를 보세요.
Microsoft Sentinel에서는 TAXII(Trusted Automated eXchange of Indicator Information) 서버의 기본 제공 커넥터를 사용하거나 Microsoft Graph 보안 API를 통해 위협 인텔리전스를 통합할 수 있습니다. 자세한 내용은 Microsoft Sentinel의 위협 인텔리전스 통합을 참조하세요. 위협 인텔리전스 가져오기에 대한 자세한 내용은 모듈 4: 데이터 수집 섹션을 참조하세요.
가져온 후에는 위협 인텔리전스가 Microsoft Sentinel 전체에서 광범위하게 사용됩니다. 다음 기능은 위협 인텔리전스 사용에 중점을 둡니다.
로그에서 가져온 위협 인텔리전스와 Microsoft Sentinel의 새로운 위협 인텔리전스 영역을 확인하고 관리합니다.
가져온 위협 인텔리전스를 사용하여 보안 경고 및 인시던트를 생성하려면 기본 제공된 위협 인텔리전스 분석 규칙 템플릿을 사용합니다.
위협 인텔리전스 통합 문서를 사용하여 Microsoft Sentinel에서 위협 인텔리전스에 대한 주요 정보를 시각화합니다.
"RiskIQ 위협 인텔리전스로 Microsoft Sentinel 심사 작업 자동화" 웨비나(YouTube, 프레젠테이션)를 봅니다.
짧은 시간? Ignite 세션(28분)을 봅니다.
더 자세한 정보를 원하나요? "위협 인텔리전스에 대한 심층 분석" 웨비나(YouTube, MP4 또는 프레젠테이션)를 봅니다.
관심 목록 및 기타 조회 메커니즘
모든 형식의 컨텍스트 정보를 가져오고 관리하기 위해 Microsoft Sentinel은 관심 목록을 제공합니다. 관심 목록을 사용하여 데이터 테이블을 CSV 형식으로 업로드하고 KQL 쿼리에 사용할 수 있습니다. 자세한 내용은 Microsoft Sentinel에서 관심 목록 사용을 참조하거나 "관심 목록을 사용하여 경고 관리, 경고 피로 감소, SOC 효율성 개선" 웨비나(YouTube 또는 프레젠테이션)를 참조하세요.
관심 목록을 사용하여 다음 시나리오를 지원합니다.
위협을 조사하고 인시던트에 신속하게 대응: CSV 파일에서 IP 주소, 파일 해시 및 기타 데이터를 신속하게 가져옵니다. 데이터를 가져온 후 경고 규칙, 위협 헌팅, 통합 문서, Notebook, 일반 쿼리의 조인 및 필터에 관심 목록 이름-값 쌍을 사용합니다.
관심 목록으로 비즈니스 데이터 가져오기: 예를 들어 시스템 액세스 권한이 있는 사용자 또는 해고된 직원의 목록을 가져옵니다. 그런 다음, 관심 목록으로 허용 목록 또는 차단 목록을 만들어 해당 사용자를 검색하거나 네트워크에 로그인할 수 없도록 방지합니다.
경고 피로 감소: 일반적으로 경고를 트리거하는 작업을 수행하는 승인된 IP 주소의 사용자와 같은 사용자 그룹의 경고를 억제하는 허용 목록을 만듭니다. 무해한 이벤트가 경고가 되지 않도록 방지합니다.
이벤트 데이터 보강: 관심 목록을 사용하여 외부 데이터 원본에서 파생된 이름-값 조합으로 이벤트 데이터를 보강합니다.
관심 목록 외에도 KQL 외부 데이터 연산자, 사용자 지정 로그 및 KQL 함수를 사용하여 컨텍스트 정보를 관리하고 쿼리할 수 있습니다. 네 가지 방법 각각에는 장단점이 있으며 블로그 게시물 "Microsoft Sentinel에서 조회 구현"에서 두 방법 간의 비교에 대한 자세한 내용을 읽을 수 있습니다. 각 방법은 다르지만 결과 정보를 사용하여 사용자의 쿼리는 유사하며 쿼리 간에 쉽게 전환할 수 있습니다.
분석 규칙 외부에서 관심 목록을 사용하는 방법에 대한 아이디어는 Microsoft Sentinel 조사 중 효율성을 높이기 위해 관심 목록 활용을 참조하세요.
"관심 목록을 사용하여 경고 관리, 경고 피로 감소, SOC 효율성 개선" 웨비나(YouTube 또는 프레젠테이션)를 봅니다.
모듈 7: 로그 변환
Microsoft Sentinel은 데이터 수집 및 변환을 위한 두 가지 새로운 기능을 지원합니다. Log Analytics에서 제공하는 이러한 기능은 작업 영역에 저장되기 전에 데이터에 대해 작동합니다. 기능은 다음과 같습니다.
로그 수집 API: 이를 사용하여 데이터 원본에서 Log Analytics 작업 영역으로 사용자 지정 형식 로그를 보내고 특정 표준 테이블 또는 사용자가 만든 사용자 지정 형식 테이블에 해당 로그를 저장할 수 있습니다. 직접 API 호출을 사용하여 이러한 로그의 실제 수집을 수행할 수 있습니다. Azure Monitor 데이터 수집 규칙을 사용하여 이러한 워크플로를 정의하고 구성할 수 있습니다.
표준 로그용 작업 영역 데이터 변환: 데이터 수집 규칙을 사용하여 관련 없는 데이터를 필터링하고, 데이터를 보강하거나, 태그를 지정하거나, 중요한 정보 또는 개인 정보를 숨깁니다. 다음 형식의 기본 제공 데이터 커넥터에 대해 수집 시 데이터 변환을 구성할 수 있습니다.
- AMA(Azure Monitor 에이전트) 기반 데이터 커넥터(Syslog 및 CEF | Windows DNS | 사용자 지정)
- 진단 설정을 사용하는 데이터 커넥터
- 서비스 대 서비스 데이터 커넥터
자세한 내용은 다음을 참조하세요.
모듈 8: 마이그레이션
대부분은 아니지만 많은 경우에 이미 SIEM이 있고 Microsoft Sentinel로 마이그레이션해야 합니다. SIEM 구현을 다시 시작하고 재고하기에 좋은 시기일 수 있지만 현재 구현에서 이미 빌드한 자산 중 일부를 활용하는 것이 좋습니다. "검색 규칙 변환 모범 사례"(Splunk, QRadar 및 ArcSight에서 Azure Microsoft Sentinel로) 웨비나(YouTube, MP4, 프레젠테이션 또는 블로그)를 봅니다.
다음 리소스에 관심이 있을 수도 있습니다.
모듈 9: 고급 SIEM 정보 모델 및 정규화
다양한 데이터 형식과 테이블을 함께 사용하는 것은 어려울 수 있습니다. 고유한 분석 규칙, 통합 문서 및 헌팅 쿼리 집합을 작성하고 사용할 때 이러한 데이터 형식 및 스키마에 익숙해져야 합니다. 조사 및 헌팅에 필요한 데이터 형식 간의 상관 관계도 까다로울 수 있습니다.
ASIM(고급 SIEM 정보 모델)은 균일하고 정규화된 보기에서 다양한 원본을 처리하기 위한 원활한 환경을 제공합니다. ASIM은 OSSEM(Open-Source Security Events Metadata) 일반 정보 모델과 일치하여 공급업체에 구애받지 않는 업계 전반의 정규화를 촉진합니다. "ASIM(고급 SIEM 정보 모델): 이제 Microsoft Sentinel에 기본 제공됨" 웨비나(YouTube 또는 프레젠테이션)를 봅니다.
현재 구현은 KQL 함수를 사용하는 쿼리 시간 정규화를 기반으로 합니다.
- 정규화된 스키마는 작업하기 쉽고 통합 기능을 빌드할 수 있는 예측 가능한 이벤트 유형의 표준 집합을 다룹니다. 스키마는 이벤트, 정규화된 열 명명 규칙 및 필드 값의 표준 형식을 나타내야 하는 필드를 정의합니다.
파서는 기존 데이터를 정규화된 스키마에 매핑합니다. KQL 함수를 사용하여 파서를 구현합니다. "ASIM 확장 및 관리: 파서 개발, 테스트 및 배포" 웨비나(YouTube 또는 프레젠테이션)를 봅니다.
정규화된 각 스키마의 콘텐츠에는 분석 규칙, 통합 문서 및 헌팅 쿼리가 포함됩니다. 이 콘텐츠는 원본별 콘텐츠를 만들 필요 없이 모든 정규화된 데이터에서 작동합니다.
ASIM을 사용하면 다음과 같은 이점이 있습니다.
교차 원본 검색: 정규화된 분석 규칙은 온-프레미스 및 클라우드의 원본 전반에서 작동합니다. 규칙은 무차별 암호 대입 또는 Okta, AWS 및 Azure를 포함한 시스템 간 불가능한 이동과 같은 공격을 검색합니다.
원본에 구애받지 않는 콘텐츠 허용: ASIM을 사용하여 기본 제공 및 사용자 지정 콘텐츠를 처리하면 콘텐츠가 만들어진 후에 원본이 추가된 경우에도 ASIM을 지원하는 모든 원본으로 자동으로 확장됩니다. 예를 들어, 프로세스 이벤트 분석은 엔드포인트용 Microsoft Defender, Windows 이벤트, Sysmon 등을 포함하여 고객이 데이터를 가져오는 데 사용할 수 있는 모든 원본을 지원합니다. 릴리스되면 Linux용 Sysmon 및 WEF를 추가할 준비가 되었습니다.
기본 제공 분석에서 사용자 지정 원본에 대한 지원
사용 용이성: ASIM을 배우는 분석가는 필드 이름이 항상 동일하기 때문에 쿼리를 작성하는 것이 훨씬 더 간단하다고 생각합니다.
ASIM에 대해 자세히 알아보세요.
다음 리소스를 활용합니다.
"Microsoft Sentinel 정규화 파서 및 정규화된 콘텐츠 심층 분석" 웨비나(YouTube, MP3 또는 프레젠테이션)를 봅니다.
"Turbocharge ASIM: 정규화가 성능에 영향을 미치지 않고 성능에 도움이 되는지 확인" 웨비나(YouTube, MP4, 프레젠테이션)를 봅니다.
ASIM 설명서를 참조하세요.
ASIM 배포
GitHub의 parsers 폴더에서 "ASIM*"으로 시작하는 폴더에서 파서를 배포합니다.
ASIM을 사용하는 분석 규칙을 활성화합니다. 템플릿 갤러리에서 일반을 검색하여 일부를 찾습니다. 전체 목록을 보려면 이 GitHub 검색을 사용합니다.
ASIM 사용
GitHub의 ASIM 헌팅 쿼리를 사용합니다.
로그 화면에서 KQL을 사용할 때 ASIM 쿼리를 사용합니다.
ASIM을 사용하여 고유한 분석 규칙을 작성하거나 기존 규칙을 변환합니다.
사용자 지정 원본에 대한 파서를 작성하여 ASIM과 호환되도록 하고 기본 제공 분석에 참여합니다.
3부: 콘텐츠 만들기
Microsoft Sentinel 콘텐츠란 무엇인가요?
Microsoft Sentinel 보안의 가치는 기본 제공 기능과 사용자 지정 기능을 만들고 기본 제공 기능을 사용자 지정하는 기능의 조합입니다. 기본 제공 기능 중에는 UEBA((사용자 및 엔터티 동작 분석), 기계 학습 또는 기본 제공 분석 규칙이 있습니다. 사용자 지정 기능은 종종 "콘텐츠"라고 하며 분석 규칙, 검색 쿼리, 통합 문서, 플레이북 등이 포함됩니다.
이 섹션에서는 이러한 콘텐츠를 만들거나 필요에 따라 기본 제공 콘텐츠를 수정하는 방법을 배우는 데 도움이 되는 모듈을 그룹화했습니다. Azure Microsoft Sentinel의 공용어인 KQL부터 시작합니다. 다음 모듈에서는 규칙, 플레이북 및 통합 문서와 같은 콘텐츠 구성 요소 중 하나에 대해 설명합니다. 위협 감지, 헌팅 또는 거버넌스와 같은 특정 보안 목표를 해결하기 위해 다양한 형식의 요소를 포함하는 사용 사례를 논의하는 것으로 마무리합니다.
모듈 10: Kusto 쿼리 언어
대부분의 Microsoft Sentinel 기능은 KQL(Kusto 쿼리 언어)을 사용합니다. 로그에서 검색하거나 규칙을 작성하거나 헌팅 쿼리를 만들거나 통합 문서를 설계할 때 KQL을 사용합니다.
규칙 작성에 대한 다음 섹션에서는 SIEM 규칙의 특정 컨텍스트에서 KQL을 사용하는 방법을 설명합니다.
Microsoft Sentinel KQL 학습을 위한 권장 과정
Pluralsight KQL 과정: 기본 사항 제공
Must Learn KQL: 첫 번째 분석 규칙 만들기의 기본 사항을 안내하는 20부로 구성된 KQL 시리즈(평가 및 인증서 포함)
Microsoft Sentinel KQL 랩: Microsoft Sentinel에 필요한 사항에 중점을 두고 KQL을 가르치는 대화형 랩:
- 학습 모듈(SC-200 4부)
- 프레젠테이션 또는 랩 URL
- Notebooks 내에서 쿼리를 테스트할 수 있는 Jupyter Notebooks 버전
- 학습 웨비나: YouTube 또는 MP4
- 랩 솔루션 검토 웨비나: YouTube 또는 MP4
"Azure Microsoft Sentinel KQL 쿼리 성능 최적화" 웨비나: YouTube, MP4 또는 프레젠테이션
"Microsoft Sentinel을 위한 KQL 프레임워크: KQL에 정통할 수 있도록 지원" 웨비나: YouTube 또는 프레젠테이션
KQL을 배울 때 다음 참조 자료가 유용할 수도 있습니다.
모듈 11: 분석
예약된 분석 규칙 작성
Microsoft Sentinel을 사용하면 기본 제공 규칙 템플릿을 사용하거나 환경에 맞게 템플릿을 사용자 지정하거나 사용자 지정 규칙을 만들 수 있습니다. 규칙의 핵심은 KQL 쿼리입니다. 그러나 규칙에서 구성해야 하는 것보다 훨씬 더 많은 것이 있습니다.
규칙을 만드는 프로시저를 알아보려면 위협을 검색하는 사용자 지정 분석 규칙 만들기를 참조하세요. 규칙을 작성하는 방법(즉, 규칙에 대한 KQL에 중점을 둔 규칙에 포함되어야 하는 사항)을 알아보려면 웨비나(YouTube, MP4 또는 프레젠테이션을 봅니다.
SIEM 분석 규칙에는 특정 패턴이 있습니다. 규칙을 구현하고 해당 패턴에 대한 KQL을 작성하는 방법을 알아봅니다.
상관 관계 규칙: 목록 및 "in" 연산자 사용 또는 "join" 연산자 사용 참조
집계: 목록 및 "in" 연산자 사용 또는 슬라이딩 윈도우 처리 고급 패턴 참조
조회: 일반 또는 대략적인 부분 및 결합 조회
가양성 처리
지연된 이벤트: 모든 SIEM의 현실이며 해결하기 어렵습니다. Microsoft Sentinel은 규칙의 지연을 완화하는 데 도움이 될 수 있습니다.
KQL 함수를 구성 요소로 사용: 매개 변수가 있는 함수로 Windows 보안 이벤트를 보강합니다.
블로그 게시물 "Blob 및 File Storage 조사"에서는 유용한 분석 규칙을 작성하는 단계별 예를 제공합니다.
기본 제공 분석 사용
자체 규칙 빌드를 시작하기 전에 기본 제공 분석 기능을 활용하는 것이 좋습니다. 이 기능을 반드시 사용해야 하는 것은 아니지만 학습하면 매우 도움이 됩니다.
기본 제공된 예약 규칙 템플릿을 사용합니다. 예약된 규칙을 편집하는 것과 동일한 방식으로 템플릿을 편집하여 해당 템플릿을 조정할 수 있습니다. 데이터 커넥터 다음 단계 탭에 나열된 연결하는 데이터 커넥터에 대한 템플릿을 배포해야 합니다.
Microsoft Sentinel 기계 학습 기능(YouTube, MP4 또는 프레젠테이션)에 대해 자세히 알아봅니다.
기본적으로 사용하도록 설정되어 있는 Microsoft Sentinel 고급 다단계 공격 검색(Fusion) 목록을 가져옵니다.
"예약된 분석 규칙을 사용한 Fusion 기계 학습 검색" 웨비나(YouTube, MP4 또는 프레젠테이션)를 봅니다.
Microsoft Sentinel 기본 제공 SOC 기계 학습 변칙에 대해 자세히 알아봅니다.
"사용자 지정 SOC 기계 학습 변칙 현상 및 사용 방법" 웨비나(YouTube, MP4 또는 프레젠테이션)를 봅니다.
"신종 위협 및 구성 UI에 대한 Fusion 기계 학습 검색" 웨비나(YouTube 또는 프레젠테이션)를 봅니다.
모듈 12: SOAR 구현
Microsoft Sentinel과 같은 최신 SIEM에서 SOAR은 인시던트가 트리거되는 순간부터 해결될 때까지 전체 프로세스를 구성합니다. 이 프로세스는 인시던트 조사로 시작하여 자동 응답으로 계속됩니다. 블로그 게시물 "인시던트 대응, 오케스트레이션 및 Automation을 위해 Microsoft Sentinel을 사용하는 방법"은 SOAR의 일반적인 사용 사례에 대한 개요를 제공합니다.
자동화 규칙은 Microsoft Sentinel Automation의 시작점입니다. 억제, 가양성 처리 및 자동 할당을 포함하여 인시던트를 중앙에서 자동으로 처리하기 위한 간단한 방법을 제공합니다.
강력한 워크플로 기반 자동화 기능을 제공하기 위해 자동화 규칙은 논리 앱 플레이북을 사용합니다. 자세히 알아보려면 다음을 수행합니다.
"자동화 Jedi 트릭을 활용하고 Logic Apps 플레이북 만들기" 웨비나(YouTube, MP4 또는 프레젠테이션)를 봅니다.
Microsoft Sentinel 플레이북을 구동하는 핵심 기술인 Logic Apps를 읽어보세요.
Logic Apps와 Microsoft Sentinel 간의 링크인 Microsoft Sentinel Logic Apps 커넥터를 참조하세요.
Microsoft Sentinel GitHub의 플레이북 폴더에서 수십 개의 유용한 플레이북을 찾거나 플레이북 둘러보기의 경우 구독 소유자에게 경고를 알리기 위해 관심 목록 사용 플레이북을 읽습니다.
모듈 13: 통합 문서, 보고 및 시각화
통합 문서
SOC의 중추인 Microsoft Sentinel은 수집 및 생성하는 정보를 시각화하는 데 필요합니다. 통합 문서를 사용하여 Microsoft Sentinel에서 데이터를 시각화합니다.
통합 설명서를 만드는 방법을 알아보려면 Azure 통합 설명서를 읽거나 Billy York의 통합 설명서 학습(및 동반된 텍스트)을 시청합니다.
언급된 리소스는 Microsoft Sentinel과 관련이 없습니다. 일반적으로 통합 문서에 적용됩니다. Microsoft Sentinel의 통합 문서에 대해 자세히 알아보려면 웨비나(YouTube, MP4 또는 프레젠테이션)를 참조하세요. 다음 설명서를 참조하세요.
통합 문서는 대화형일 수 있으며 단순한 차트 작성 이상의 것을 가능하게 합니다. 통합 문서를 사용하면 Microsoft Sentinel용 앱 또는 확장 모듈을 만들어 기본 제공 기능을 보완할 수 있습니다. 통합 문서를 사용하여 Microsoft Sentinel의 기능을 확장할 수도 있습니다. 다음은 이러한 앱의 몇 가지 예입니다.
Investigation Insights 통합 문서는 인시던트 조사를 위한 대체 방법을 제공합니다.
외부 Teams 협업의 그래프 시각화를 통해 위험한 Teams 사용을 헌팅할 수 있습니다.
사용자의 여행 맵 통합 문서를 사용하면 지리적 위치 경고를 조사할 수 있습니다.
Microsoft Sentinel 비보안 프로토콜 통합 문서 구현 가이드, 최신 개선 사항 및 개요 동영상)은 네트워크에서 비보안 프로토콜 사용을 식별하는 데 도움이 됩니다.
마지막으로 통합 문서에서 API 호출을 사용하여 모든 원본의 정보를 통합하는 방법을 알아봅니다.
Microsoft Sentinel GitHub의 통합 문서 폴더에서 수십 개의 통합 문서를 찾을 수 있습니다. 그중 일부는 Microsoft Sentinel 통합 문서 갤러리에서도 사용할 수 있습니다.
보고 및 기타 시각화 옵션
통합 문서는 보고용으로 사용할 수 있습니다. 보고서 일정 및 배포 또는 피벗 테이블과 같은 고급 보고 기능의 경우 다음을 사용할 수 있습니다.
Power BI, 기본적으로 Azure Monitor 로그 및 Microsoft Sentinel과 통합합니다.
Excel, Azure Monitor 로그 및 Microsoft Sentinel을 데이터 원본으로 사용할 수 있고 "Azure Monitor와 Azure Monitor 로그 및 Excel 통합" 동영상을 봅니다.
헌팅 모듈의 뒷부분에서 다룰 항목인 Jupyter Notebooks도 훌륭한 시각화 도구입니다.
모듈 14: Notebooks
Jupyter Notebooks는 Microsoft Sentinel과 완전히 통합됩니다. 헌터의 도구 상자에서 중요한 도구로 간주되고 헌팅 섹션에서 웨비나에 대해 논의했지만 그 가치는 훨씬 더 광범위합니다. Notebooks는 고급 시각화, 조사 가이드 및 정교한 자동화에 사용할 수 있습니다.
Notebooks를 더 잘 이해하려면 Notebooks 소개 동영상을 참조하세요. Notebooks 웨비나(YouTube, MP4 또는 프레젠테이션)를 시작하거나 설명서를 참조하세요. Microsoft Sentinel Notebooks Ninja 시리즈는 Notebooks 기술을 향상시키기 위한 지속적인 학습 시리즈입니다.
통합의 중요한 부분은 Jupyter Notebooks와 함께 사용하기 위해 Google 연구팀이 개발한 Python 라이브러리인 MSTICPy로 구현됩니다. Microsoft Sentinel 인터페이스와 정교한 보안 기능을 Notebooks에 추가합니다.
모듈 15: 사용 사례 및 솔루션
커넥터, 규칙, 플레이북 및 통합 문서를 사용하여 위협을 검색하고 대응하기 위한 콘텐츠 팩의 SIEM 용어인 사용 사례를 구현할 수 있습니다. 각 커넥터를 연결할 때 제안된 규칙을 활성화하여 Microsoft Sentinel 기본 제공 사용 사례를 배포할 수 있습니다. 솔루션은 특정 위협 도메인을 다루는 사용 사례 그룹입니다.
"ID 해결" 웨비나(YouTube, MP4 또는 프레젠테이션)는 사용 사례가 무엇인지, 디자인에 접근하는 방법, ID 위협을 집합적으로 해결하는 몇 가지 사용 사례를 제시합니다.
또 다른 관련 솔루션 영역은 원격 작업 보호입니다. 원격 작업 보호에 대한 Ignite 세션을 보고 다음과 같은 특정 사용 사례에 대해 자세히 알아봅니다.
Microsoft Sentinel로 확대/축소 모니터링: 사용자 지정 커넥터, 분석 규칙 및 검색 쿼리.
Microsoft Sentinel로 Azure Virtual Desktop 모니터링: Windows 보안 이벤트, Microsoft Entra 로그인 로그, 엔드포인트용 Microsoft Defender XDR 및 Azure Virtual Desktop 진단 로그를 사용하여 Azure Virtual Desktop 위협을 검색하고 헌팅합니다.
쿼리 및 통합 문서를 사용하여 Microsoft Intune을 모니터링합니다.
마지막으로 최근 공격에 초점을 맞춰 Microsoft Sentinel을 사용하여 소프트웨어 공급망을 모니터링하는 방법을 알아봅니다.
Microsoft Sentinel 솔루션은 Microsoft Sentinel에서 제품 내 검색 가능성, 단일 단계 배포와 엔드투엔드 제품, 도메인 및/또는 수직 시나리오의 사용 여부를 제공합니다. 자세한 내용은 Microsoft Sentinel 콘텐츠 및 솔루션 정보와 "자신만의 Microsoft Sentinel 솔루션 만들기" 웨비나(YouTube 또는 프레젠테이션)를 참조하세요.
4부: 운영
모듈 16: 인시던트 처리
SOC를 빌드한 후에는 사용을 시작해야 합니다. "SOC 분석이 생활의 날" 웨비나(YouTube, MP4, 프레젠테이션)는 SOC에서 Microsoft Sentinel을 사용하여 인시던트를 심사, 조사 및 대응을 안내합니다.
팀이 조직 전체 및 외부 관련자와 원활하게 협업할 수 있도록 하려면 Microsoft Sentinel에서 직접 Microsoft Teams와 통합을 참조하세요. "Microsoft Sentinel과 Microsoft Teams를 통합하여 SOC의 MTTR(평균 응답 시간) 줄이기" 웨비나를 봅니다.
인시던트 조사에 대한 설명서 문서도 읽어볼 수 있습니다. 조사의 일환으로 엔터티 페이지를 사용하여 인시던트와 관련되거나 조사의 일부로 식별된 엔터티에 대한 자세한 정보를 얻을 수도 있습니다.
Microsoft Sentinel의 인시던트 조사는 핵심 인시던트 조사 기능 이상으로 확장됩니다. 통합 문서와 Notebooks를 사용하면 더 많은 조사 도구를 빌드할 수 있습니다. Notebooks에 대해서는 다음 섹션인 모듈 17: 헌팅에서 설명합니다. 더 많은 조사 도구를 빌드하거나 특정 요구 사항에 맞게 기존 도구를 수정할 수도 있습니다. 예를 들면 다음과 같습니다.
Investigation Insights 통합 문서는 인시던트 조사를 위한 대체 방법을 제공합니다.
Notebooks는 조사 환경을 향상시킵니다. 보안 조사에 Jupyter를 사용하는 이유를 읽고 Microsoft Sentinel 및 Jupyter Notebooks를 사용하여 조사하는 방법을 알아봅니다.
모듈 17: 헌팅
지금까지는 대부분의 논의가 검색 및 인시던트 관리에 중점을 두었지만 헌팅은 Microsoft Sentinel의 또 다른 중요한 사용 사례입니다. 헌팅은 경고에 대한 사후 대응이 아니라 위협을 사전에 검색하는 것입니다.
헌팅 대시보드는 지속적으로 업데이트됩니다. 여기에는 Microsoft의 보안 분석이 팀이 작성한 모든 쿼리와 사용자가 만들거나 수정한 추가 쿼리가 표시됩니다. 각 쿼리는 쿼리 대상과 실행되는 데이터의 종류에 대한 설명을 제공합니다. 이러한 템플릿은 다양한 전술에 따라 그룹화됩니다. 오른쪽에 있는 아이콘은 초기 액세스, 지속성 및 유출과 같은 위협 형식을 분류합니다. 자세한 내용은 Microsoft Sentinel로 위협 찾기를 참조하세요.
헌팅이 무엇이며 Microsoft Sentinel이 헌팅을 지원하는 방법에 대해 자세히 알아보려면 소개 "위협 헌팅" 웨비나(YouTube, MP4 또는 프레젠테이션)를 보세요. 웨비나는 새로운 기능에 대한 업데이트로 시작됩니다. 헌팅에 대해 알아보려면 슬라이드 12부터 시작합니다. YouTube 동영상은 이미 시작하도록 설정되어 있습니다.
소개 웨비나는 도구에 중점을 두지만 헌팅은 보안에 관한 것입니다. 보안 연구 팀 웨비나(YouTube, MP4 또는 프레젠테이션)는 실제로 헌팅하는 방법에 중점을 둡니다.
후속 웨비나 "Microsoft Sentinel을 사용한 AWS 위협 추적"(YouTube, MP4 또는 프레젠테이션)은 가치가 높은 대상 환경에서 엔드 투 엔드 헌팅 시나리오를 보여줌으로써 요점을 주도합니다.
마지막으로, 온-프레미스 Microsoft Exchange 서버의 최근 취약성을 계기로 Microsoft Sentinel을 사용한 SolarWinds 손상 후 헌팅 및 WebShell 헌팅을 수행하는 방법을 알아볼 수 있습니다.
모듈 18: UEBA(사용자 및 개체 동작 분석)
새로 도입된 Microsoft Sentinel UEBA(사용자 및 개체 동작 분석) 모듈을 사용하면 침해된 엔터티 또는 악의적인 내부자로부터 온 조직 내부의 위협과 잠재적 영향을 식별하고 조사할 수 있습니다.
Microsoft Sentinel은 연결된 모든 데이터 원본에서 로그 및 경고를 수집하고 해당 로그 및 경고를 분석하여 조직의 엔터티(예: 사용자, 호스트, IP 주소 및 애플리케이션)의 기준 동작 프로필을 시간 및 피어 그룹을 기준선으로 하여 빌드합니다. 다양한 기술과 기계 학습 기능을 통해 Microsoft Sentinel은 비정상적인 작업을 식별하고 자산이 손상되었는지 여부를 판단하는 데 도움을 줄 수 있습니다. 그뿐만 아니라 특정 자산의 상대적인 민감도를 파악하고 자산의 피어 그룹을 식별하며 손상된 특정 자산의 잠재적 영향(‘blast radius’)을 평가할 수도 있습니다. 해당 정보를 사용하여 조사 및 침해 인시던트 처리의 우선 순위를 효과적으로 지정할 수 있습니다.
웨비나(YouTube, MP4 또는 프레젠테이션)를 보고 UEBA에 대해 자세히 알아보고 SOC 조사를 위한 UEBA를 사용하는 방법을 알아보세요.
최신 업데이트에 대해 알아보려면 "Microsoft Sentinel의 사용자 엔터티 동작 분석의 향후" 웨비나를 참조하세요.
모듈 19: Microsoft Sentinel의 상태 모니터링
SIEM 운영의 일부는 원활하게 작동하고 Azure Microsoft Sentinel에서 진화하는 영역인지 확인하는 것입니다. 다음을 사용하여 Microsoft Sentinel의 상태를 모니터링합니다.
Microsoft Sentinel Health 데이터 테이블은 경고 및 기타 자동화된 작업을 만드는 데 사용할 수 있는 커넥터당 최신 오류 이벤트 또는 성공에서 실패 상태로 변경되는 커넥터와 같은 상태 드리프트에 대한 인사이트를 제공합니다. 자세한 내용은 데이터 커넥터의 상태 모니터링을 참조하세요. "데이터 커넥터 상태 모니터링 통합 문서" 동영상을 봅니다. 그리고 변칙에 대한 알림을 받습니다.
에이전트의 상태 솔루션(Windows만 해당) 및 하트비트 테이블(Linux 및 Windows)을 사용하여 에이전트를 모니터링합니다.
쿼리 실행 및 수집 상태를 포함하여 Log Analytics 작업 영역(YouTube, MP4 또는 프레젠테이션)을 모니터링합니다.
비용 관리는 SOC에서 중요한 운영 절차이기도 합니다. 수집 비용 경고 플레이북을 사용하여 비용 증가를 항상 인지하고 있는지 확인합니다.
5부: 고급
모듈 20: Microsoft Sentinel API를 사용하여 확장 및 통합
클라우드 네이티브 SIEM인 Microsoft Sentinel은 API 우선 시스템입니다. API를 통해 모든 기능을 구성하고 사용할 수 있으므로 다른 시스템과 쉽게 통합할 수 있고 고유의 코드로 Microsoft Sentinel을 확장할 수 있습니다. API 사용이 어렵다고 생각되더라도 걱정하지 마세요. API를 사용하여 사용할 수 있는 모든 것은 PowerShell을 사용하여 사용할 수도 있습니다.
Microsoft Sentinel API에 대해 자세히 알아보려면 짧은 소개 동영상과 블로그 게시물을 참조하세요. 더 자세히 알아보려면 "Sentinel(API) 확장 및 통합" 웨비나(YouTube, MP4 또는 프레젠테이션)를 보고 블로그 게시물 Microsoft Sentinel 확장: API, 통합 및 관리 자동화를 읽어보세요.
모듈 21: 자체 기계 학습 빌드
Microsoft Sentinel은 고유한 기계 학습 알고리즘을 구현하기 위한 훌륭한 플랫폼을 제공합니다. Microsoft는 이를 사용자 고유 기계 학습 모델 또는 BYO ML이라고 부릅니다. BYO ML은 고급 사용자를 위한 것입니다. 기본 제공된 동작 분석을 찾고 있다면 기계 학습 분석 규칙 또는 UEBA 모듈을 사용하거나 고유한 동작 분석 KQL 기반 분석 규칙을 빌드합니다.
사용자 고유 기계 학습을 Microsoft Sentinel로 가져오는 것부터 시작하려면 "사용자 고유 기계 학습 모델 빌드" 동영상을 보고 AI 몰입형 Azure Sentinel SIEM에서 사용자 고유의 기계 학습 모델 검색 빌드 블로그 게시물을 읽어보세요. BYO ML 설명서를 참조할 수도 있습니다.