처음부터 위협 탐지
조직 전체에서 데이터를 수집하도록 Microsoft Sentinel을 설정한 후에는 환경에 대한 보안 위협을 감지하도록 모든 데이터를 파헤쳐야 합니다. 하지만 걱정하지 마세요. Microsoft Sentinel은 모든 작업이 자동으로 수행되도록 위협 탐지 규칙을 만드는 데 도움이 되는 템플릿을 제공합니다. 이러한 규칙을 분석 규칙이라고 합니다.
Microsoft의 보안 전문가와 분석가 팀은 알려진 위협, 일반적인 공격 벡터 및 의심스러운 활동 에스컬레이션 체인을 기반으로 이러한 분석 규칙 템플릿을 설계했습니다. 이러한 템플릿에서 생성된 규칙은 사용자 환경 전체에서 의심스러운 활동을 자동으로 검색합니다. 많은 템플릿을 사용자 지정하여 활동을 검색하거나, 필요하다면 필터를 지정할 수 있습니다. 이러한 규칙에서 생성하는 경고는 사용자 환경에서 할당하고 조사할 수 있는 인시던트를 만듭니다.
이 문서는 Microsoft Sentinel을 사용하여 위협을 감지하는 방법을 이해하는 데 도움이 됩니다.
감지 결과 보기
Microsoft Sentinel에 설치된 분석 규칙과 감지 결과를 보려면 분석>규칙 템플릿으로 이동합니다. 이 탭에는 다음 표에 표시된 형식에 따라 설치된 모든 규칙 템플릿이 포함되어 있습니다. 더 많은 규칙 템플릿을 찾으려면 Microsoft Sentinel의 콘텐츠 허브로 이동하여 관련 제품 솔루션이나 독립 실행형 콘텐츠를 설치합니다.
감지 결과에는 다음이 포함됩니다.
| 규칙 유형 | 설명 |
|---|---|
| Microsoft 보안 | Microsoft 보안 템플릿은 다른 Microsoft 보안 솔루션에서 생성된 경고에서 실시간으로 Microsoft Sentinel 인시던트를 자동으로 만듭니다. Microsoft 보안 규칙을 템플릿으로 사용하여 유사한 논리로 새 규칙을 만들 수 있습니다. 보안 규칙에 대한 자세한 내용은 Microsoft 보안 경고에서 인시던트 자동 생성을 참조하세요. |
| Fusion (미리 보기에서 일부 검색) |
Microsoft Sentinel은 확장 가능한 기계 학습 알고리즘과 함께 Fusion 상관 관계 분석 엔진을 사용하여 여러 제품에 걸친 많은 저충실도 경고 및 이벤트를 고충실도의 실행 가능한 인시던트와 연관시켜 지능형 다단계 공격을 검색합니다. Fusion은 기본적으로 사용하도록 설정됩니다. 논리는 숨겨져 있어서 사용자 지정할 수 없으므로 이 템플릿을 사용하여 규칙을 하나만 만들 수 있습니다. 또한 Fusion 엔진은 예약된 분석 규칙에서 생성된 경고를 다른 시스템의 경고와 상호 연관시키며 결과적으로는 충실도가 높은 인시던트를 생성할 수 있습니다. |
| ML(기계 학습) 동작 분석 | ML 동작 분석 템플릿은 독점적인 Microsoft 기계 학습 알고리즘을 기반으로 하므로 작동 방식과 실행 시기에 대한 내부 논리를 확인할 수 없습니다. 논리는 숨겨져 있어서 사용자 지정할 수 없으므로 이 형식의 각 템플릿을 사용하여 규칙을 하나만 만들 수 있습니다. |
| 위협 인텔리전스 | Microsoft에서 생성한 위협 인텔리전스를 활용하여 Microsoft 위협 인텔리전스 Analytics 규칙을 통해 충실도가 높은 경고 및 인시던트를 생성합니다. 이 고유한 규칙을 사용자 지정할 수 없지만 사용하도록 설정하면 이 규칙에서 CEF(Common Event Format) 로그, Syslog 데이터 또는 Windows DNS 이벤트를 Microsoft 위협 인텔리전스의 도메인, IP 및 URL 위협 지표와 자동으로 일치시킵니다. 특정 지표에는 MDTI(Microsoft Defender 위협 인텔리전스)를 통한 더 많은 컨텍스트 정보가 포함됩니다. 이 규칙을 사용하는 방법에 대한 자세한 내용은 일치 분석을 사용하여 위협 검색를 참조하세요. MDTI에 대한 자세한 내용은 Microsoft Defender 위협 인텔리전스란을 참조하세요. |
| 변칙 | 변칙 규칙 템플릿은 기계 학습을 사용하여 특정 형식의 변칙 동작을 검색합니다. 각 규칙에는 분석 중인 동작에 적합한 고유 매개 변수와 임계값이 있습니다. 기본 제공 규칙 구성을 변경하거나 미세 조정할 수 없지만 규칙을 복제한 다음, 복제본을 변경하고 미세 조정할 수 있습니다. 이 경우 플라이트 모드에서 복제본을 실행하고 프로덕션 모드에서 원본을 동시에 실행합니다. 그런 다음 결과를 비교하고 원하는 대로 미세 조정하면 복제본을 프로덕션으로 전환합니다. 자세한 내용은 사용자 지정 가능한 변칙 항목을 사용하여 Microsoft Sentinel에서 위협 검색 및 Microsoft Sentinel에서 변칙 검색 분석 규칙 사용을 참조하세요. |
| 예약됨 | 예약된 분석 규칙은 Microsoft 보안 전문가가 작성한 쿼리를 기반으로 합니다. 쿼리 논리를 보고 변경할 수 있습니다. 예약된 규칙 템플릿을 사용하고 쿼리 논리 및 일정 설정을 사용자 지정하여 새 규칙을 만들 수 있습니다. 몇 가지 새로운 예약된 분석 규칙 템플릿은 Fusion 엔진에서 다른 시스템의 경고와 상관 관계가 있는 경고를 생성하여 충실도가 높은 인시던트를 생성합니다. 자세한 내용은 고급 다단계 공격 탐지를 참조하세요. 팁: 규칙 예약 옵션에는 규칙을 사용하도록 설정할 때 시작되는 시계와 함께 지정된 분, 시간 또는 일 수마다 규칙을 실행하도록 구성하는 것이 포함됩니다. 규칙에서 제때에 새로운 인시던트 스택을 가져올 수 있도록 새 분석 규칙이나 편집된 분석 규칙을 사용하도록 설정하는 경우를 염두에 두는 것이 좋습니다. 예를 들어 SOC 분석가가 근무일을 시작할 때와 동기화하여 규칙을 실행하고 그때 규칙을 사용하도록 설정할 수 있습니다. |
| NRT(Near-real-time) | NRT 규칙은 가능한 한 최신 정보를 제공하기 위해 1분에 한 번 실행되도록 설계된 제한된 예약 규칙 집합입니다. 이들은 대부분 예약된 규칙처럼 작동하며 몇 가지 제한 사항을 제외하고 유사하게 구성됩니다. 자세한 내용은 Microsoft Sentinel의 NRT(거의 실시간) 분석 규칙을 사용하여 신속하게 위협 검색을 참조하세요. |
Important
현재 일부 Fusion 감지 템플릿은 미리 보기 상태입니다(이러한 템플릿을 확인하려면 Microsoft Sentinel의 고급 다단계 공격 검색 참조). 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.
분석 규칙 템플릿 사용
이 절차에서는 분석 규칙 템플릿을 사용하는 방법을 설명합니다.
분석 규칙 템플릿을 사용하려면 다음을 수행합니다.
Microsoft Sentinel >분석>규칙 템플릿 페이지에서 템플릿 이름을 선택하고, 세부 정보 창에서 규칙 만들기 단추를 선택하여 해당 템플릿을 기반으로 새 활성 규칙을 만듭니다.
각 템플릿에는 필요한 데이터 원본 목록이 있습니다. 템플릿을 열면 데이터 원본의 가용성이 자동으로 검사됩니다. 가용성 이슈가 있는 경우 규칙 만들기 단추를 사용하지 않도록 설정되거나 해당 효과에 대한 경고가 표시될 수 있습니다.
규칙 생성하기를 선택하면 선택한 템플릿에 따라 규칙 생성하기 마법사가 열립니다. 모든 세부 정보가 자동으로 채워지며, 예약 또는 Microsoft 보안 템플릿을 사용하여 논리 및 기타 규칙 설정을 사용자 지정하여 특정 요구에 더 적합하게 만들 수 있습니다. 이 프로세스를 반복하여 템플릿을 기반으로 하는 규칙을 더 많이 만들 수 있습니다. 규칙 만들기 마법사의 단계를 끝까지 수행하면 템플릿을 기반으로 하는 규칙 만들기가 완료됩니다. 활성 규칙 탭에 새 규칙이 표시됩니다.
규칙 생성하기 마법사에서 규칙을 사용자 지정하는 방법에 대한 자세한 내용은 위협 탐지를 위한 사용자 지정 분석 규칙 생성하기를 참조하세요.
팁
환경을 완전한 보안하려면 연결된 데이터 원본과 연결된 모든 규칙 사용을 설정해야 합니다. 분석 규칙을 사용하도록 설정하는 가장 효율적인 방법은 모든 관련 규칙을 나열하는 데이터 커넥터 페이지에서 직접 사용하는 것입니다. 자세한 내용은 데이터 원본 연결을 참조하세요.
추가 활동이 필요하지만 API 및 PowerShell을 통해 Microsoft Sentinel에 규칙을 푸시할 수도 있습니다.
API 또는 PowerShell을 사용하는 경우 규칙을 사용하도록 설정하기 전에 먼저 규칙을 JSON으로 내보내야 합니다. API 또는 PowerShell은 각 인스턴스에서 동일한 설정으로 Microsoft Sentinel의 여러 인스턴스에서 규칙을 사용하도록 설정할 때 유용할 수 있습니다.
분석 규칙에 대한 액세스 권한
분석 규칙을 만들면 액세스 권한 토큰이 규칙에 적용되고 함께 저장됩니다. 이 토큰은 규칙이 규칙에서 쿼리한 데이터를 포함하는 작업 영역에 액세스할 수 있도록 하고, 규칙 작성자가 해당 작업 영역에 대한 액세스 권한을 잃더라도 이 액세스가 유지되도록 합니다.
그러나 이에 대한 한 가지 예외 상황이 있습니다. MSSP의 경우와 같이 다른 구독 또는 테넌트에서 작업 영역에 액세스하기 위한 규칙이 만들어지면 Microsoft Sentinel은 고객 데이터에 대한 무단 액세스를 방지하기 위해 추가 보안 조치를 취합니다. 이러한 종류의 규칙의 경우 규칙을 만든 사용자의 자격 증명이 독립적인 액세스 토큰 대신 규칙에 적용되므로 사용자가 더 이상 다른 구독이나 테넌트에 액세스할 수 없으면 규칙이 작동하지 않습니다.
구독 간 또는 테넌트 간 시나리오에서 Microsoft Sentinel을 운영하는 경우 분석가나 엔지니어 중 한 명이 특정 작업 영역에 대한 액세스 권한을 상실하게 되면 해당 사용자가 만든 모든 규칙이 작동하지 않습니다. "리소스에 대한 액세스 권한 부족"과 관련된 상태 모니터링 메시지가 표시되고 특정 횟수만큼 실패한 후에 규칙은 자동으로 사용되지 않도록 설정됩니다.
ARM 템플릿으로 규칙 내보내기
규칙을 관리하고 코드로 배포하려는 경우 ARM(Azure Resource Manager) 템플릿으로 규칙을 쉽게 내보낼 수 있습니다. 사용자 인터페이스에서 규칙을 보고 편집하기 위해 템플릿 파일에서 규칙을 가져올 수도 있습니다.
다음 단계
사용자 지정 규칙을 생성하려면 기존 규칙을 템플릿 또는 참조로 사용합니다. 기존 규칙을 기준으로 사용하면 필요한 내용을 변경하기 전에 대부분의 논리를 작성하는 데 도움이 됩니다. 자세한 내용은 위협 탐지를 위한 사용자 지정 분석 규칙 생성하기를 참조하세요.
위협에 대한 대응을 자동화하는 방법을 알아보려면 Microsoft Sentinel에서 자동화된 위협 대응을 설정합니다.
더 많은 규칙 템플릿을 찾는 방법은 Microsoft Sentinel 기본 제공 콘텐츠 검색 및 관리를 참조하세요.