분석 규칙에서 위협 지표 사용

• 적용 대상:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

통합한 위협 인텔리전스를 기반으로 경고를 자동으로 생성하도록 위협 지표를 사용하여 분석 규칙을 강화합니다.

필수 조건

• 위협 지표 위협 인텔리전스 피드, 위협 인텔리전스 플랫폼, 플랫 파일에서 대량 가져오기 또는 수동 입력에서 가져올 수 있습니다.

• 데이터 원본. 데이터 커넥터의 이벤트가 Sentinel 작업 영역으로 전달되어야 합니다.

• "TI 맵..." 형식의 분석 규칙은 수집한 이벤트와 함께 있는 위협 지표를 매핑할 수 있습니다.

보안 경고를 생성하는 규칙 구성

다음 예시는 Microsoft Sentinel로 가져온 위협 지표를 사용하여 보안 경고를 생성하는 규칙을 사용하도록 설정하고 구성하는 방법입니다. 이 예제에서는 TI map IP entity to AzureActivity라는 규칙 템플릿을 사용합니다. 이 규칙은 모든 IP 주소 유형 위협 지표를 모든 Azure 활동 이벤트와 일치시킵니다. 일치 항목이 발견되면 보안 운영 팀에서 조사하기 위한 해당 인시던트와 함께 경고가 생성됩니다. 이 특정 분석 규칙에는 Azure 활동 데이터 커넥터(Azure 구독 수준 이벤트를 가져오기 위해)와 위협 인텔리전스 데이터 커넥터(위협 지표를 가져오기 위해) 중 하나 또는 둘 다 필요합니다. 이 규칙은 가져온 표시기 또는 수동으로 만든 표시기에서도 트리거됩니다.

1. Azure Portal에서 Microsoft Sentinel 서비스로 이동합니다.

2. 위협 인텔리전스 데이터 커넥터를 위협 지표를 가져오고 Azure 활동 데이터 커넥터를 사용하여 Azure 활동 데이터를 가져온 작업 영역을 선택합니다.

3. Microsoft Sentinel 메뉴의 구성 섹션에서 분석을 선택합니다.

4. 규칙 템플릿 탭을 선택하여 사용 가능한 분석 규칙 템플릿의 목록을 확인합니다.

5. TI map IP entity to AzureActivity라는 규칙을 찾아 아래와 같이 필요한 데이터 원본을 모두 연결했는지 확인합니다.

   

6. TI map IP entity to AzureActivity 규칙을 선택한 다음, 규칙 만들기를 선택하여 규칙 구성 마법사를 엽니다. 마법사에서 설정을 구성한 다음, 다음: 규칙 논리 설정 >을 선택합니다.

   

7. 마법사의 규칙 논리 부분은 다음 항목으로 미리 채워져 있습니다.

   • 규칙에서 사용할 쿼리

   • 엔터티 매핑 - 인시던트 및 조사에서 이 규칙으로 생성된 모든 보안 경고의 데이터를 사용하는 방법을 이해할 수 있도록 Microsoft Sentinel에 계정, IP 주소 및 URL과 같은 엔터티를 인식하는 방법을 알려줍니다.

   • 이 규칙을 실행할 일정

   • 보안 경고가 생성되기 전에 필요한 쿼리 결과의 수

   템플릿의 기본 설정은 다음과 같습니다.

   • 한 시간에 한 번 실행합니다.

   • ThreatIntelligenceIndicator 테이블의 모든 IP 주소 위협 지표를 AzureActivity 테이블의 마지막 1시간 동안 이벤트에서 검색된 IP 주소와 일치시킵니다.

   • 쿼리 결과가 0보다 큰 경우(즉, 일치 항목이 있는 경우) 보안 경고를 생성합니다.

   • 규칙은 활성화되어 있습니다.

   기본 설정을 그대로 두거나 요구 사항에 맞게 변경할 수 있고, 인시던트 설정 탭에서 인시던트 생성 설정을 정의할 수 있습니다. 자세한 내용은 위협 탐지를 위한 사용자 지정 분석 규칙 만들기를 참조하세요. 완료되면 자동화된 응답 탭을 선택합니다.

8. 이 분석 규칙에서 보안 경고가 생성될 때 트리거하는 모든 자동화를 구성합니다. Microsoft Sentinel의 자동화는 Azure Logic Apps에서 제공하는 자동화 규칙 및 플레이북을 사용하여 수행됩니다. 자세한 내용은 자습서: Microsoft Sentinel에서 자동화 규칙으로 플레이북 사용을 참조하세요. 완료되면 다음: 검토 > 단추를 선택하여 계속합니다.

9. 규칙 유효성 검사를 통과했다는 메시지가 표시되면 생성하기 단추를 선택하면 완료됩니다.

규칙 검토

Microsoft Sentinel의 분석 섹션에 있는 활성 규칙 탭에서 사용하도록 설정된 규칙을 찾습니다. 여기에서 활성 규칙을 편집, 활성화, 비활성화, 복제 또는 삭제합니다. 새 규칙은 활성화되는 즉시 실행되며, 그 다음에는 정의된 일정에 따라 실행됩니다.

규칙이 기본 설정의 일정에 따라 실행될 때마다 검색된 결과가 있으면 보안 경고가 생성됩니다. Microsoft Sentinel의 보안 경고는 Microsoft Sentinel 그룹 아래의 SecurityAlert 표에 있는 Microsoft Sentinel의 로그 섹션에서 볼 수 있습니다.

Microsoft Sentinel의 분석 규칙에서 생성된 경고는 Microsoft Sentinel 메뉴의 위협 관리 아래에 있는 인시던트에서 찾을 수 있는 보안 인시던트도 생성합니다. 인시던트는 보안 운영 팀이 적절한 대응 조치를 결정하기 위해 선별 및 조사하는 것입니다. 이 자습서: Microsoft Sentinel로 인시던트 조사에서 자세한 정보를 찾을 수 있습니다.

참고 항목

분석 규칙은 14일 이상 조회를 제한하므로 Microsoft Sentinel은 12일마다 지표를 새로 고쳐 분석 규칙을 통해 일치 용도로 사용할 수 있는지 확인합니다.

관련 콘텐츠

이 문서에서는 위협 인텔리전스 지표를 사용하여 위협을 탐지하는 방법을 알아보았습니다. Microsoft Sentinel의 위협 인텔리전스에 대한 자세한 내용은 다음 문서를 참조하세요.

• Microsoft Sentinel에서 위협 지표 작업
• Microsoft Sentinel을 STIX/TAXII 위협 인텔리전스 피드에 연결합니다.
• 위협 인텔리전스 플랫폼을 Microsoft Sentinel에 연결합니다.
• Microsoft Sentinel과 쉽게 통합할 수 있는 TIP 플랫폼, TAXII 피드 및 보강 기능을 확인합니다.