일치 분석을 사용하여 위협 감지

• 적용 대상:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft에서 생성한 위협 인텔리전스를 활용하여 Microsoft Defender 위협 인텔리전스 Analytics 규칙을 통해 충실도가 높은 경고 및 인시던트를 생성합니다. Microsoft Sentinel의 이 기본 제공 규칙은 CEF(Common Event Format) 로그, 도메인 및 IPv4 위협 지표가 있는 Windows DNS 이벤트, syslog 데이터 등을 사용하는 지표와 일치합니다.

Important

일치 분석은 현재 미리 보기에 있습니다. 베타, 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 자세한 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

필수 조건

고화질 경고 및 인시던트 생성을 위해 지원되는 데이터 커넥터를 하나 이상 설치해야 합니다. 프리미엄 Microsoft Defender 위협 인텔리전스 라이선스는 필요하지 않습니다. 콘텐츠 허브에서 적절한 솔루션을 설치하여 이러한 데이터 원본을 연결합니다.

• Common Event Format
• DNS(미리 보기)
• syslog
• Office 활동 로그
• Azure 활동 로그
• ASIM DNS 로그
• ASIM 네트워크 세션

예를 들어 데이터 원본에 따라 다음 솔루션 및 데이터 커넥터를 사용할 수 있습니다.

솔루션	데이터 커넥터
Sentinel용 Common Event Format 솔루션	Microsoft Sentinel용 Common Event Format 커넥터
Windows Server DNS	Microsoft Sentinel용 DNS 커넥터
Sentinel용 Syslog 솔루션	Microsoft Sentinel용 Syslog 커넥터
Sentinel용 Microsoft 365 솔루션	Microsoft Sentinel용 Office 365 커넥터
Sentinel용 Azure 활동 솔루션	Microsoft Sentinel용 Azure 활동 커넥터

일치 분석 규칙 구성

일치 분석은 Microsoft Defender 위협 인텔리전스 Analytics 규칙을 사용하도록 설정할 때 구성됩니다.

1. 구성 섹션에서 분석 메뉴를 선택합니다.

2. 규칙 템플릿 탭을 선택합니다.

3. 검색 창에 위협 인텔리전스를 입력합니다.

4. Microsoft Defender 위협 인텔리전스 Analytics 규칙 템플릿을 선택합니다.

5. 규칙 만들기를 선택합니다. 규칙 세부 정보는 읽기 전용이며 규칙의 기본 상태는 사용으로 설정됩니다.

6. 검토>만들기를 선택합니다.

데이터 원본 및 지표

Microsoft Defender 위협 인텔리전스 Analytics는 다음과 같은 방식으로 도메인, IP 및 URL 표시기와 로그를 일치합니다.

• Log Analytics CommonSecurityLog 테이블에 수집된 CEF 로그는 RequestURL 필드에 채워진 경우 URL 및 도메인 표시기 및 DestinationIP 필드의 IPv4 표시기와 일치합니다.
• DnsEvents 테이블에 수집된 SubType == "LookupQuery"가 Name 필드에 채워진 도메인 표시기와 IPAddresses 필드의 IPv4 표시기와 일치하는 Windows DNS 로그입니다.
• Syslog 테이블에 Facility == "cron"이(가) 수집된 Syslog 이벤트는 SyslogMessage 필드의 직접 도메인 및 IPv4 지표와 일치합니다.
• OfficeActivity 테이블에 수집된 Office 활동 로그는 ClientIP 필드의 직접 IPv4 지표와 일치합니다.
• AzureActivity 테이블에 수집된 Azure 활동 로그는 CallerIpAddress 필드의 직접 IPv4 지표와 일치합니다.
• 테이블에 수집된 ASimDnsActivityLogs ASIM DNS 로그는 필드에 채워진 경우 도메인 표시기와 필드의 DnsQuery IPv4 표시기와 일치합니다DnsResponseName.
• 테이블에 수집된 ASIM 네트워크 세션은 다음 필드 SrcIpAddrDvcIpAddrDstIpAddrSrcNatIpAddrDstNatIpAddr중 하나 이상에 채워진 경우 IPv4 지표와 일치합니다.ASimNetworkSessionLogs

일치 분석으로 생성된 인시던트 심사

일치가 발견되면 생성된 모든 경고가 인시던트로 그룹화됩니다.

다음 단계를 사용하여 Microsoft Defender 위협 인텔리전스 Analytics 규칙에서 생성된 인시던트 심사를 수행합니다.

1. Microsoft Defender 위협 인텔리전스 Analytics 규칙을 사용하도록 설정한 Microsoft Sentinel 작업 영역에서 인시던트를 선택하고 Microsoft Defender 위협 인텔리전스 Analytics을 검색합니다.

   발견된 모든 인시던트가 표에 표시됩니다.

2. 엔터티 및 인시던트 관련 기타 세부 정보(예: 특정 경고)를 보려면 전체 세부 정보 보기를 선택합니다.

   예를 들어 다음과 같습니다.

   

3. 경고 및 인시던트에 할당된 심각도를 관찰합니다. 표시기가 일치하는 방법에 따라 Informational부터 High까지 경고에 적절한 심각도가 할당됩니다. 예를 들어 표시기가 트래픽을 허용한 방화벽 로그와 일치하는 경우 높은 심각도 경고가 생성됩니다. 동일한 표시기가 트래픽을 차단하는 방화벽 로그와 일치하는 경우 생성된 경고는 낮거나 중간입니다.

   그런 다음 경고는 표시기의 관찰 가능한 기준으로 그룹화됩니다. 예를 들어, contoso.com 도메인과 일치하는 24시간 동안 생성된 모든 경고는 단일 인시던트로 그룹화됩니다.

4. 표시기 정보를 관찰합니다. 일치 항목이 발견되면 표시기가 Log Analytics ThreatIntelligenceIndicators 테이블에 게시되고 위협 인텔리전스 페이지에 표시됩니다. 이 규칙에서 게시된 모든 지표의 경우, 원본은 Microsoft Defender 위협 인텔리전스 Analytics로 정의됩니다.

ThreatIntelligenceIndicators 테이블의 예는 다음과 같습니다.

다음은 위협 인텔리전스 페이지의 예입니다.

Microsoft Defender 위협 인텔리전스 추가 컨텍스트 가져오기

고화질 경고 및 인시던트와 함께 일부 Microsoft Defender 위협 인텔리전스 지표에는 Microsoft Defender 위협 인텔리전스 커뮤니티 포털의 참조 문서에 대한 링크가 포함되어 있습니다.

자세한 내용은 Microsoft Defender 위협 인텔리전스란을 참조하세요.

관련 콘텐츠

이 문서에서는 Microsoft에서 생성한 위협 인텔리전스를 연결하여 경고 및 인시던트 생성 방법을 알아보았습니다. Microsoft Sentinel의 위협 인텔리전스에 대한 자세한 내용은 다음 문서를 참조하세요.

• Microsoft Sentinel에서 위협 지표 작업
• Microsoft Sentinel을 STIX/TAXII 위협 인텔리전스 피드에 연결합니다.
• 위협 인텔리전스 플랫폼을 Microsoft Sentinel에 연결합니다.
• Microsoft Sentinel과 쉽게 통합할 수 있는 TIP 플랫폼, TAXII 피드 및 보강 기능을 확인합니다.