연습 - 인시던트 조사

  • 20분

Contoso 보안 엔지니어로서 여러분은 Contoso Azure 구독에서 VM(가상 머신) 삭제를 분석하고 나중에 유사한 작업이 발생할 때 경고를 받아야 합니다. 기존 VM이 삭제될 때 인시던트를 만드는 분석 규칙을 구현하기로 합니다. 그런 다음, 인시던트를 조사하여 해당 세부 정보를 확인하고 완료되면 인시던트를 종료합니다.

이 연습에서는 VM이 삭제되는 시점을 감지하는 Microsoft Sentinel 분석 규칙을 만듭니다. 그런 다음, 이 모듈의 시작 부분에서 만든 VM을 삭제하고 규칙이 만든 인시던트를 조사하고 해결합니다.

이 연습을 완료하려면 모듈의 시작 부분에서 설정 연습을 완료했고 이제 Azure 활동 커넥터에 연결됨 상태가 표시되는지 확인합니다.

마법사에서 분석 규칙 만들기

Contoso Azure 구독에서 VM이 삭제될 때 인시던트를 만드는 분석 규칙을 만듭니다.

  1. Azure Portal에서 Microsoft Sentinel을 검색하여 선택한 다음, 앞서 만든 Microsoft Sentinel 작업 영역을 선택합니다.
  2. Microsoft Sentinel 페이지의 왼쪽 메뉴에 있는 구성 아래에서 분석을 선택합니다.
  3. 분석 페이지에서 만들기>예약된 쿼리 규칙을 선택합니다.

일반 탭

  1. 마법사의 일반 탭에서 다음 정보를 제공합니다.

    • 이름: Deleted VMs를 입력합니다.
    • 설명: 다른 사람들이 규칙의 용도를 쉽게 이해할 수 있는 설명을 입력합니다.
    • 전술 및 기술: 초기 액세스를 선택합니다.
    • 심각도: 중간을 선택합니다.
    • 상태: 사용을 선택합니다.

    Screenshot of the page for creating a new rule in the Analytics Rule wizard.

  2. 다음: 규칙 논리 설정을 선택합니다.

규칙 논리 설정 탭

  1. 규칙 논리 설정 탭의 규칙 쿼리 섹션에서 다음 쿼리를 입력합니다.

    AzureActivity
| where OperationNameValue == "MICROSOFT.COMPUTE/VIRTUALMACHINES/DELETE"
| where ActivityStatusValue == 'Success'
| extend AccountCustomEntity = Caller
| extend IPCustomEntity = CallerIpAddress

  2. 아래로 스크롤하여 다음 구성 옵션을 보거나 설정합니다.

    • 엔터티 매핑 섹션을 확장하여 쿼리 규칙의 일부로 반환되는 엔터티를 정의합니다. 이 엔터티를 심층 분석에 사용할 수 있습니다. 이 연습에서는 기본값을 그대로 사용합니다.
    • 쿼리 예약 섹션에서 쿼리 실행 빈도와 관찰할 이전 기록 범위를 구성합니다. 쿼리 실행 간격5분으로 설정합니다.
    • 경고 임계값 섹션에서 경고가 생성되기 전에 규칙에 대해 반환될 수 있는 양성 결과의 수를 지정할 수 있습니다. 기본값인 0보다 큼을 사용합니다.
    • 이벤트 그룹화 섹션에서 기본 선택 항목인 모든 이벤트를 단일 경고로 그룹화를 사용합니다.
    • 표시 안 함 섹션에서 경고가 생성된 후 쿼리 실행 중지에 기본값인 끄기를 그대로 둡니다.
    • 결과 시뮬레이션 섹션에서 현재 데이터로 테스트를 선택하고 결과를 확인합니다.

  3. 다음: 인시던트 설정을 선택합니다.

인시던트 설정 탭

  1. 인시던트 설정 탭에서, 이 분석 규칙에 따라 트리거된 경고에서 인시던트 만들기사용으로 설정되어 있는지 확인합니다.
  2. 경고 그룹화 섹션에서 사용을 선택하여 관련 경고를 인시던트로 그룹화합니다. 모든 엔터티가 일치하는 경우 경고를 단일 인시던트로 그룹화(권장)가 선택되어 있는지 확인합니다.
  3. 종결된 일치 인시던트 다시 열기사용 안 함인지 확인합니다.
  4. 다음: 자동화된 응답을 선택합니다.

검토 후 만들기

  1. 완료되면 다음: 검토를 클릭합니다.
  2. 검토 및 만들기 탭에서 유효성 검사가 성공하면 만들기를 선택합니다.

VM 삭제

규칙 검색 및 인시던트 만들기를 테스트하기 위해 설정 중에 만든 VM을 삭제합니다.

  1. Azure Portal에서 가상 머신을 검색하여 선택합니다.
  2. 가상 머신 페이지에서 simple-vm 옆의 확인란을 선택하고 도구 모음에서 삭제를 선택합니다.
  3. 리소스 삭제 창의 “delete”를 입력하여 삭제를 확인 필드에 delete를 입력한 다음 삭제를 선택합니다.
  4. Delete를 다시 선택합니다.

다음 단계로 진행하기 전에 작업이 완료될 때까지 몇 분 정도 기다리세요.

인시던트 조사

이 단계에서는 VM을 삭제할 때 생성된 Microsoft Sentinel 인시던트에 대해 조사합니다. 인시던트가 Microsoft Sentinel에 표시되는 데 최대 30분이 걸릴 수 있습니다.

  1. Azure Portal에서 Microsoft Sentinel을 검색하여 선택한 다음, 앞서 만든 Microsoft Sentinel 작업 영역을 선택합니다.
  2. Microsoft Sentinel 페이지의 왼쪽 탐색 영역에서 위협 관리 아래의 인시던트를 선택합니다.
  3. 인시던트 페이지에서 삭제된 VM이라는 제목이 있는 인시던트를 선택합니다.
  4. 오른쪽의 삭제된 VM 세부 정보 창에서 소유자, 상태, 심각도 등 인시던트의 세부 정보를 확인합니다. 다음 업데이트를 적용합니다.
    • 소유자>내게 할당>적용을 선택합니다.
    • 상태>활성>적용을 선택합니다.
  5. 전체 세부 정보 보기를 선택합니다.
  6. 인시던트 페이지 왼쪽 창의 증거 섹션에서 이벤트, 경고책갈피의 총계를 확인합니다.
  7. 창 아래쪽에서 조사를 선택합니다.
  8. 조사 페이지의 조사 그래프에서 다음 항목을 선택합니다.
    • 인시던트의 세부 정보를 보여주는 페이지의 중앙에 있는 삭제된 VM 인시던트의 항목.
    • VM을 삭제한 사용자 계정을 나타내는 사용자 엔터티.
  9. 조사 페이지 위쪽에서 상태>종결됨을 선택합니다.
  10. 분류 선택 드롭다운 메뉴에서 무해한 양성 - 의심스럽지만 예상됨을 선택합니다.
  11. 설명 필드에 테스트 인시던트 만들기 및 해결 단계를 입력한 다음, 적용을 선택합니다.
  12. 닫기 아이콘을 선택하여 조사인시던트 페이지를 닫습니다.
  13. 인시던트 페이지에서, 인시던트 열기를 선택하면 이제 활성 인시던트의 값이 0으로 표시됩니다.

성공적으로 Microsoft Sentinel 분석 규칙을 만들고, VM을 삭제하여 인시던트를 만들고, 규칙이 만든 인시던트를 조사하고 종결했습니다.

리소스 정리

리소스 사용을 마친 후에는 비용이 발생하지 않도록 이 모듈에서 만든 Azure 리소스를 삭제하세요. 리소스를 삭제하려면 다음 단계를 완료합니다.

  1. Azure Portal에서 리소스 그룹을 검색합니다.
  2. 리소스 그룹 페이지에서 azure-sentinel-rg를 선택합니다.
  3. azure-sentinel-rg 페이지의 위쪽 메뉴 모음에서 리소스 그룹 삭제를 선택합니다.
  4. 리소스 그룹 삭제 페이지의 리소스 그룹 이름을 입력하여 삭제 확인 아래에 azure-sentinel-rg를 입력합니다.
  5. 삭제를 선택하고 다시 삭제를 선택합니다.