Microsoft Sentinel의 위협 인텔리전스 이해
Microsoft Sentinel은 다양한 원본에서 위협 인텔리전스를 신속하게 끌어올 수 있는 클라우드 네이티브 SIEM(보안 정보 및 이벤트 관리) 솔루션입니다.
Important
Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼의 공개 미리 보기의 일부로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.
위협 인텔리전스 소개
CTI(사이버 위협 인텔리전스)는 시스템 및 사용자에게 기존의 또는 잠재적인 위협을 설명하는 정보입니다. 이 인텔리전스는 특정 위협 행위자의 동기, 인프라, 기술을 상세히 기술한 보고서부터 알려진 사이버 위협과 관련된 IP 주소, 도메인, 파일 해시 및 기타 아티팩트에 대한 특정 관찰까지 다양한 형태를 취합니다. 조직은 CTI를 사용하여 비정상적인 활동에 대한 중요한 컨텍스트를 제공하여 보안 담당자가 사람, 정보 및 자산을 신속하게 보호할 수 있도록 합니다. CTI는 오픈 소스 데이터 피드, 위협 인텔리전스 공유 커뮤니티, 상용 인텔리전스 피드, 조직 내 보안 조사 과정에서 수집된 로컬 인텔리전스 등의 여러 위치에서 원본으로 사용할 수 있습니다.
Microsoft Sentinel과 같은 SIEM 솔루션의 경우 가장 일반적인 형태의 CTI는 IoC(손상 지표) 또는 IoA(공격 지표)라고도 하는 위협 지표입니다. 위협 지표는 URL, 파일 해시, IP 주소 등의 관찰된 아티팩트를 피싱, 봇네트, 맬웨어 등의 알려진 위협 활동과 연결하는 데이터입니다. 이 형태의 위협 인텔리전스는 조직에 대한 잠재적 위협을 탐지하고 방어하기 위해 보안 제품 및 자동화에 대규모로 적용할 수 있기 때문에 보통 전략적 위협 인텔리전스라고 합니다. Microsoft Sentinel에서는 위협 지표를 사용하여 환경에서 관찰된 악의적인 활동을 탐지하고 보안 분석가에게 컨텍스트를 제공하여 대응 결정을 전파할 수 있습니다.
다음 작업을 통해 TI(위협 인텔리전스)를 Microsoft Sentinel로 통합합니다.
다양한 TI 플랫폼 및 피드에 대한 데이터 커넥터를 사용하도록 설정하여 Microsoft Sentinel로 위협 인텔리전스를 가져옵니다.
가져온 위협 인텔리전스를 로그 및 Microsoft Sentinel의 위협 인텔리전스 블레이드에서 보고 관리합니다.
가져온 위협 인텔리전스를 기반으로 기본 제공 분석 규칙 템플릿을 사용하여 위협을 탐지하고 보안 경고 및 인시던트를 생성합니다.
위협 인텔리전스 통합 문서를 사용하여 Azure Sentinel에서 가져온 위협 인텔리전스에 대한 중요 정보를 시각화합니다.
Microsoft는 가져온 모든 위협 인텔리전스 지표를 다른 지표 세부 정보와 함께 표시되는 지리적 위치 및 WhoIs 데이터로 보강합니다.
위협 인텔리전스는 또한 헌팅 및 Notebooks와 같은 다른 Microsoft Sentinel 환경 내에서 유용한 컨텍스트를 제공합니다. 자세한 내용은 Microsoft Sentinel의 Jupyter Notebooks 및 자습서: Microsoft Sentinel의 Jupyter Notebooks 및 MSTICPy 시작을 참조하세요.
참고 항목
US Government 클라우드의 기능 가용성에 대한 자세한 내용은 US Government 고객을 위한 클라우드 기능 가용성의 Microsoft Sentinel 표를 참조하세요.
데이터 커넥터를 사용하여 위협 인텔리전스 가져오기
Microsoft Sentinel의 다른 모든 이벤트 데이터와 마찬가지로 위협 지표는 데이터 커넥터를 사용하여 가져옵니다. Microsoft Sentinel에는 위협 지표용으로 특별히 제공되는 세 가지 데이터 커넥터가 있습니다.
- Microsoft의 위협 지표를 수집하기 위한 Microsoft Defender 위협 인텔리전스 데이터 커넥터
- 업계 표준 STIX/TAXII 피드용 위협 인텔리전스 - TAXII 및
- 연결에 REST API를 사용하여 통합 및 큐레이팅된 TI 피드에 대한 위협 인텔리전스 업로드 지표 API
- 위협 인텔리전스 플랫폼 데이터 커넥터는 REST API를 사용하여 TI 피드를 연결하지만 사용 중단되는 중입니다.
조직에서 위협 지표를 제공하는 위치에 따라 이러한 데이터 커넥터를 조합하여 함께 사용합니다. 이 세 가지 모두 위협 인텔리전스 솔루션의 일부로 콘텐츠 허브에서 사용할 수 있습니다. 이 솔루션에 대한 자세한 내용은 Azure Marketplace 항목 위협 인텔리전스를 참조하세요.
또한 Microsoft Sentinel과 함께 사용할 수 있는 위협 인텔리전스 통합 카탈로그를 참조하세요.
Microsoft Defender 위협 인텔리전스 데이터 커넥터를 사용하여 Microsoft Sentinel에 위협 표시기 추가
MDTI(Microsoft Defender 위협 인텔리전스)에서 생성된 충실도 높은 IOC(침해 지표)를 Microsoft Sentinel 작업 영역으로 가져옵니다. MDTI 데이터 커넥터는 간단한 원클릭 설정으로 이러한 IOC를 수집합니다. 그런 다음 다른 피드를 활용하는 것과 같은 방식으로 위협 인텔리전스를 기반으로 모니터링, 경고 및 추적합니다.
MDTI 데이터 커넥터에 대한 자세한 내용은 MDTI 데이터 커넥터 사용을 참조하세요.
위협 인텔리전스 업로드 지표 API 데이터 커넥터를 사용하여 Microsoft Sentinel에 위협 지표 추가
많은 조직에서 TIP(위협 인텔리전스 플랫폼) 솔루션을 사용하여 다양한 원본에서 위협 지표 피드를 집계합니다. 집계된 피드에서 데이터는 네트워크 디바이스, EDR/XDR 솔루션 또는 SIEM(예: Microsoft Sentinel)과 같은 보안 솔루션에 적용하도록 큐레이팅됩니다. 위협 인텔리전스 업로드 지표 API 데이터 커넥터가 있으면 이러한 솔루션을 사용하여 위협 지표를 Microsoft Sentinel로 가져올 수 있습니다.
이 데이터 커넥터는 새 API를 활용하며 다음과 같은 향상된 기능을 제공합니다.
- 위협 지표 필드는 STIX 표준화 형식을 기반으로 합니다.
- Microsoft Entra 애플리케이션에는 Microsoft Sentinel 기여자 역할만 필요합니다.
- API 요청 엔드포인트는 작업 영역 수준으로 범위가 지정되며 필요한 Microsoft Entra 애플리케이션 권한은 작업 영역 수준에서 세분화된 할당을 허용합니다.
자세한 내용은 업로드 지표 API를 사용하여 위협 인텔리전스 플랫폼 연결을 참조하세요.
위협 인텔리전스 플랫폼 데이터 커넥터를 사용하여 Microsoft Sentinel에 위협 표시기 추가
기존 업로드 지표 API 데이터 커넥터와 마찬가지로 위협 인텔리전스 플랫폼 데이터 커넥터는 TIP 또는 사용자 지정 솔루션이 Microsoft Sentinel로 표시기를 보낼 수 있게 API를 사용합니다. 그러나 이 데이터 커넥터는 이제 사용 중단 경로에 있습니다. 업로드 지표 API에서 제공하는 최적화를 활용하려면 새 솔루션을 사용하는 것이 좋습니다.
TIP 데이터 커넥터는 Microsoft Graph Security tiIndicators API에서 작동합니다. tiIndicators API와 통신하는 사용자 지정 위협 인텔리전스 플랫폼에서도 이 커넥터를 사용하여 Microsoft Sentinel(및 Microsoft Defender XDR 같은 다른 Microsoft 보안 솔루션)로 지표를 보낼 수 있습니다.
Microsoft Sentinel과 통합된 TIP 솔루션에 대한 자세한 내용은 통합 위협 인텔리전스 플랫폼 제품을 참조하세요. 자세한 내용은 Microsoft Sentinel에 위협 인텔리전스 플랫폼 연결을 참조하세요.
위협 인텔리전스 - TAXII 데이터 커넥터를 사용하여 Microsoft Sentinel에 위협 지표 추가
위협 인텔리전스 전송을 위한 가장 널리 채택된 업계 표준은 STIX 데이터 형식과 TAXII 프로토콜의 조합입니다. 조직이 현재 STIX/TAXII 버전(2.0 또는 2.1)을 지원하는 솔루션에서 위협 지표를 가져오는 경우 위협 인텔리전스 - TAXII 데이터 커넥터를 사용하여 Microsoft Sentinel로 위협 지표를 가져옵니다. 위협 인텔리전스 - TAXII 데이터 커넥터를 사용하면 Microsoft Sentinel에서 기본 제공 TAXII 클라이언트를 사용하여 TAXII 2.x 서버로부터 위협 인텔리전스를 가져올 수 있습니다.
TAXII 서버에서 Microsoft Sentinel로 STIX 형식의 위협 지표를 가져오려면:
TAXII 서버 API 루트 및 컬렉션 ID 가져오기
Microsoft Sentinel에서 위협 인텔리전스 - TAXII 데이터 커넥터 사용
자세한 내용은 Microsoft Sentinel을 STIX/TAXII 위협 인텔리전스 피드에 연결을 참조하세요.
위협 지표 확인 및 관리
위협 인텔리전스 페이지에서 지표를 보고 관리합니다. Log Analytics 쿼리를 작성하지 않고도 가져온 위협 지표를 정렬, 필터링 및 검색합니다. 또한 이 기능을 통해 Microsoft Sentinel 인터페이스 내에서 직접 위협 지표를 만들고, 가장 일반적인 두 가지 위협 인텔리전스 관리 작업인 지표 태그 지정 및 보안 조사와 관련된 신규 지표 작성을 수행할 수 있습니다.
위협 지표에 태그를 지정하면 지표를 함께 그룹화하여 손쉽게 찾을 수 있습니다. 일반적으로 특정 인시던트와 관련된 지표 또는 알려진 행위자나 잘 알려진 공격 캠페인의 위협을 나타내는 지표에 태그를 적용합니다. 위협 지표에 각각 태그를 지정할 수도 있고 여러 개를 선택하여 한 번에 모두 태그를 지정할 수도 있습니다. 인시던트 ID를 사용하여 여러 지표에 태그를 지정하는 예제 스크린샷은 다음과 같습니다. 태그 지정은 특정한 형식이 없기 때문에, 위협 지표 태그에 대한 표준 명명 규칙을 만드는 것이 좋습니다. 지표를 사용하면 여러 태그를 적용할 수 있습니다.
Microsoft Sentinel 사용 로그 분석 작업 영역에서 지표의 유효성을 검사하고 성공적으로 가져온 위협 지표를 확인합니다. Microsoft Sentinel 스키마의 ThreatIntelligenceIndicator 테이블은 모든 Microsoft Sentinel 위협 지표가 저장되는 위치입니다. 이 테이블은 Analytics 및 Workbooks 등의 다른 Microsoft Sentinel 기능에서 수행하는 위협 인텔리전스 쿼리의 기초가 됩니다.
다음은 위협 지표에 대한 기본 쿼리의 예제 보기입니다.
TI 지표는 로그 분석 작업 영역의 ThreatIntelligenceIndicator 테이블에 읽기 전용으로 수집됩니다. 지표가 업데이트되면 ThreatIntelligenceIndicator 테이블에 새 항목이 만들어집니다. 그러나 위협 인텔리전스 페이지에는 최신 지표만 표시됩니다. Microsoft Sentinel은 IndicatorId 및 SourceSystem 속성을 기반으로 지표에서 중복을 제거하고 최신 TimeGenerated[UTC]를 사용하여 지표를 선택합니다.
IndicatorId 속성은 STIX 지표 ID를 사용하여 생성됩니다. 비 STIX 원본에서 지표를 가져오거나 만들면 지표의 원본 및 패턴에 따라 IndicatorId가 생성됩니다.
위협 지표 보기 및 관리에 대한 자세한 내용은 Microsoft Sentinel에서 위협 지표로 작업을 참조하세요.
지리적 위치 및 WhoIs 데이터 보강 보기(공개 미리 보기)
Microsoft는 추가 GeoLocation 및 WhoIs 데이터로 IP 및 도메인 지표를 보강하여 선택한 IOC(침해 지표)가 발견된 조사에 더 많은 컨텍스트를 제공합니다.
Microsoft Sentinel로 가져온 각 유형의 위협 지표에 대한 위협 인텔리전스 창에서 GeoLocation 및 WhoIs 데이터를 볼 수 있습니다.
예를 들어 GeoLocation 데이터를 사용하여 IP 지표에 대한 조직 또는 국가와 같은 세부 정보를 찾고 WhoIs 데이터를 사용하여 도메인 지표에서 등록기관 및 기록 만들기 데이터와 같은 데이터를 찾습니다.
위협 지표 분석을 사용하여 위협 탐지
Microsoft Sentinel과 같은 SIEM 솔루션에서 위협 지표의 가장 중요한 사용 사례는 위협 검색을 위한 분석 규칙을 강화하는 것입니다. 이러한 지표 기반 규칙은 데이터 원본의 원시 이벤트를 위협 지표와 비교하여 조직에서 보안 위협을 탐지합니다. Microsoft Sentinel 분석에서 일정에 따라 실행되고 보안 경고를 만드는 분석 규칙을 만듭니다. 이 규칙은 규칙 실행 빈도, 보안 경고 및 인시던트를 생성하는 쿼리 결과의 종류, 선택적으로 자동 응답을 트리거할 수 있는 구성과 함께 쿼리를 통해 작동합니다.
언제든지 새 분석 규칙을 처음부터 만들 수 있지만 Microsoft Sentinel은 Microsoft 보안 엔지니어가 만든 기본 제공 규칙 템플릿 세트를 제공하여 위협 지표를 활용합니다. 이러한 기본 제공 규칙 템플릿은 일치하려는 위협 지표 유형(도메인, 이메일, 파일 해시, IP 주소 또는 URL) 및 데이터 원본 이벤트를 기반으로 합니다. 각 템플릿에는 규칙이 작동하는 데 필요한 원본이 나열됩니다. 이렇게 하면 Microsoft Sentinel에서 필요한 이벤트를 이미 가져왔는지 쉽게 확인할 수 있습니다.
기본적으로 이러한 기본 제공 규칙이 트리거되면 경고가 생성됩니다. Microsoft Sentinel에서 분석 규칙에서 생성된 경고는 Microsoft Sentinel 메뉴의 위협 관리 아래에 있는 인시던트에서 찾을 수 있는 보안 인시던트도 생성합니다. 인시던트는 보안 운영 팀이 적절한 대응 조치를 결정하기 위해 선별 및 조사하는 것입니다. 이 자습서: Microsoft Sentinel로 인시던트 조사에서 자세한 정보를 찾아봅니다.
분석 규칙에서 위협 지표를 사용하는 방법에 대한 자세한 내용은 위협 인텔리전스를 사용하여 위협 탐지를 참조하세요.
Microsoft는 Microsoft Defender 위협 인텔리전스 분석 규칙을 통해 위협 인텔리전스에 대한 액세스를 제공합니다. 충실도가 높은 경고 및 인시던트를 생성하는 규칙을 활용하는 방법에 대한 자세한 내용은 일치 분석을 사용하여 위협 탐지를 참조하세요.
통합 문서는 위협 인텔리전스에 대한 정보를 제공합니다.
Workbooks는 Microsoft Sentinel의 모든 측면에 대한 정보를 제공하는 강력한 대화형 대시보드를 제공하며, 위협 인텔리전스도 예외가 아닙니다. 기본 제공 위협 인텔리전스 통합 문서를 사용하여 위협 인텔리전스에 대한 주요 정보를 시각화할 수 있으며, 통합 문서를 비즈니스 요구 사항에 따라 쉽게 사용자 지정합니다. 다양한 데이터 원본을 결합하여 새 대시보드를 만들 수도 있으므로 고유한 방식으로 데이터를 시각화합니다. Microsoft Sentinel 통합 문서는 Azure Monitor 통합 문서를 기반으로 하므로 이미 광범위한 설명서를 사용할 수 있으며 더 많은 템플릿이 있습니다. Azure Monitor 통합 문서를 사용하여 대화형 보고서를 만드는 방법에 대한 이 문서에서 시작하는 것이 좋습니다.
또한 더 많은 템플릿을 다운로드하고 고유의 템플릿을 제공할 수 있는 풍부한 GitHub의 Azure Monitor 통합 문서 커뮤니티도 있습니다.
위협 인텔리전스 통합 문서 사용 및 사용자 지정에 대한 자세한 내용은 Microsoft Sentinel에서 위협 지표 사용을 참조하세요.
다음 단계
이 문서에서는 위협 인텔리전스 블레이드를 포함하여 Microsoft Sentinel의 위협 인텔리전스 기능에 대해 배웠습니다. Microsoft Sentinel의 위협 인텔리전스 기능 사용에 대한 실용적인 지침은 다음 문서를 참조하세요.
- Microsoft Sentinel을 STIX/TAXII 위협 인텔리전스 피드에 연결합니다.
- 위협 인텔리전스 플랫폼을 Microsoft Sentinel에 연결합니다.
- Microsoft Sentinel과 쉽게 통합할 수 있는 TIP 플랫폼, TAXII 피드 및 보강 기능을 확인합니다.
- Microsoft Sentinel 환경 전반에 걸쳐 위협 지표로 작업합니다.
- Microsoft Sentinel의 기본 제공 또는 사용자 지정 분석 규칙으로 위협 검색
- Microsoft Sentinel에서 인시던트를 조사합니다.