편집

Microsoft Sentinel의 사이버 위협 인텔리전스에 대한 위협 지표

Microsoft Entra ID
Azure Logic Apps
Azure Monitor
Microsoft Sentinel

이 문서에서는 Microsoft Sentinel과 같은 클라우드 기반 SIEM(보안 정보 및 이벤트 관리) 솔루션이 위협 지표를 사용하여 기존 또는 잠재적인 사이버 위협에 대한 대응을 감지, 제공 및 알리는 방법을 설명합니다.

아키텍처

Diagram that shows Microsoft Sentinel data flow.

이 아키텍처의 Visio 파일을 다운로드합니다.

워크플로

Microsoft Sentinel을 사용하여 다음을 수행할 수 있습니다.

  • STIX(구조적 위협 정보 식) 및 TAXII(신뢰할 수 있는 자동 인텔리전스 정보 교환) 서버 또는 TIP(위협 인텔리전스 플랫폼) 솔루션에서 위협 지표를 가져옵니다.
  • 위협 지표 데이터를 보고 쿼리합니다.
  • CTI(사이버 위협 인텔리전스) 데이터에서 보안 경고, 인시던트 및 자동화된 응답을 생성하는 분석 규칙을 만듭니다.
  • 통합 문서에서 주요 CTI 정보를 시각화합니다.

위협 지표 데이터 커넥터

Microsoft Sentinel은 데이터 커넥터를 사용하여 다른 모든 이벤트 데이터와 같은 위협 지표를 가져옵니다. 위협 지표에 대한 두 가지 Microsoft Sentinel 데이터 커넥터는 다음과 같습니다.

  • 위협 인텔리전스 – TAXII
  • 위협 인텔리전스 플랫폼

조직이 위협 지표 데이터를 가져오는 위치에 따라 데이터 커넥터 중 하나 또는 둘 다를 사용할 수 있습니다. 데이터를 수신하려는 각 작업 영역에서 데이터 커넥터를 사용하도록 설정합니다.

위협 인텔리전스 - TAXII 데이터 커넥터

CTI 전송에 가장 널리 채택된 업계 표준은 STIX 데이터 서식 및 TAXII 프로토콜입니다. 현재 STIX/TAXII 버전 2.x 솔루션에서 위협 지표를 가져오는 조직은 위협 인텔리전스 – TAXII 데이터 커넥터를 사용하여 위협 지표를 Microsoft Sentinel로 가져올 수 있습니다. 기본 제공 Microsoft Sentinel TAXII 클라이언트는 TAXII 2.x 서버에서 위협 인텔리전스를 가져옵니다.

STIX/TAXII 위협 지표 데이터를 Microsoft Sentinel로 가져오는 방법에 대한 자세한 내용은 TAXII 데이터 커넥터를 사용하여 위협 지표 가져오기를 참조하세요.

위협 인텔리전스 플랫폼 데이터 커넥터

많은 조직에서 MISP, Anomali ThreatStream, Threat커넥트 또는 Palo Alto Networks MineMeld와 같은 TIP 솔루션을 사용하여 다양한 원본의 위협 지표 피드를 집계합니다. 조직은 TIP를 사용하여 데이터를 큐레이팅합니다. 그런 다음 네트워크 디바이스, 고급 위협 방지 솔루션 또는 Microsoft Sentinel과 같은 SIEM과 같은 보안 솔루션에 적용할 위협 지표를 선택합니다. 위협 인텔리전스 플랫폼 데이터 커넥터를 사용하면 조직에서 Microsoft Sentinel과 통합된 TIP 솔루션을 사용할 수 있습니다.

위협 인텔리전스 플랫폼 데이터 커넥터는 Microsoft Graph 보안 tiIndicators API를 사용합니다. 사용자 지정 TIP이 있는 조직은 이 데이터 커넥터를 사용하여 API를 사용하고 tiIndicators Microsoft Sentinel 및 Defender ATP와 같은 기타 Microsoft 보안 솔루션에 지표를 보낼 수 있습니다.

TIP 데이터를 Microsoft Sentinel로 가져오는 방법에 대한 자세한 내용은 Platforms 데이터 커넥터를 사용하여 위협 지표 가져오기를 참조하세요.

위협 지표 로그

위협 인텔리전스 – TAXII 또는 위협 인텔리전스 플랫폼 데이터 커넥터를 사용하여 Microsoft Sentinel로 위협 지표를 가져온 후에는 모든 Microsoft Sentinel 이벤트 데이터가 저장되는 로그의 ThreatIntelligenceIndicator 테이블에서 가져온 데이터를 볼 수 있습니다. Analytics 및 Workbooks와 같은 Microsoft Sentinel 기능도 이 테이블을 사용합니다.

위협 지표 로그를 사용하는 방법에 대한 자세한 내용은 Microsoft Sentinel의 위협 지표 작업(Work with Threat Indicator)을 참조하세요.

Microsoft Sentinel Analytics

SIEM 솔루션에서 위협 지표에 가장 중요한 용도는 이벤트를 위협 지표와 일치시키는 분석을 통해 보안 경고, 인시던트 및 자동화된 응답을 생성하는 것입니다. Microsoft Sentinel Analytics는 일정에 따라 트리거하여 경고를 생성하는 분석 규칙을 만듭니다. 규칙 매개 변수를 쿼리로 표현합니다. 그런 다음 규칙 실행 빈도, 보안 경고 및 인시던트가 생성되는 쿼리 결과 및 경고에 대한 자동화된 응답을 구성합니다.

새 분석 규칙을 처음부터 만들거나 필요에 맞게 사용하거나 수정할 수 있는 기본 제공 Microsoft Sentinel 규칙 템플릿 집합을 만들 수 있습니다. 위협 지표와 이벤트 데이터를 일치시키는 분석 규칙 템플릿의 제목은 모두 TI 맵부터 시작합니다. 그들은 모두 비슷하게 작동합니다.

템플릿 차이점은 do기본, 이메일, 파일 해시, IP 주소 또는 URL과 같이 사용할 위협 지표 유형과 일치시킬 이벤트 유형입니다. 각 템플릿에는 규칙이 작동하는 데 필요한 데이터 원본이 나열되므로 Microsoft Sentinel에서 이미 가져온 필수 이벤트가 있는지 확인할 수 있습니다.

템플릿에서 분석 규칙을 만드는 방법에 대한 자세한 내용은 템플릿에서 분석 규칙 만들기를 참조하세요.

Microsoft Sentinel에서 사용하도록 설정된 분석 규칙은 Analytics 섹션의 활성 규칙 탭에 있습니다. 활성 규칙을 편집, 사용하도록 설정, 사용하지 않도록 설정, 복제 또는 삭제할 수 있습니다.

생성된 보안 경고는 Microsoft Sentinel의 로그 섹션에 있는 SecurityAlert 테이블에 있습니다. 또한 보안 경고는 인시던트 섹션에서 보안 인시던트 도 생성합니다 . 보안 운영 팀은 인시던트를 심사하고 조사하여 적절한 대응을 결정할 수 있습니다. 자세한 내용은 자습서: Microsoft Sentinel을 사용하여 인시던트 조사를 참조하세요.

규칙이 보안 경고를 생성할 때 트리거할 자동화를 지정할 수도 있습니다. Microsoft Sentinel의 Automation은 Azure Logic Apps에서 제공하는 플레이북을 사용합니다. 자세한 내용은 자습서: Microsoft Sentinel에서 자동화된 위협 대응 설정을 참조하세요.

Microsoft Sentinel 위협 인텔리전스 통합 문서

통합 문서는 Microsoft Sentinel의 모든 측면에 대한 정보를 제공하는 강력한 대화형 대시보드를 제공합니다. Microsoft Sentinel 통합 문서를 사용하여 주요 CTI 정보를 시각화할 수 있습니다. 템플릿은 시작점을 제공하며 비즈니스 요구에 맞게 쉽게 사용자 지정할 수 있습니다. 다양한 데이터 원본을 결합하고 고유한 방식으로 데이터를 시각화하는 새 대시보드를 만들 수 있습니다. Microsoft Sentinel 통합 문서는 Azure Monitor 통합 문서를 기반으로 하므로 광범위한 설명서와 템플릿을 사용할 수 있습니다.

Microsoft Sentinel 위협 인텔리전스 통합 문서를 보고 편집하는 방법에 대한 자세한 내용은 위협 인텔리전스 통합 문서 보기 및 편집을 참조 하세요.

대안

  • 위협 지표는 헌팅 및 Notebook과 같은 다른 Microsoft Sentinel 환경에서 유용한 컨텍스트를 제공합니다. Notebook에서 CTI를 사용하는 방법에 대한 자세한 내용은 Sentinel의 Jupyter Notebook을 참조하세요.
  • 사용자 지정 TIP가 있는 모든 조직은 Microsoft Graph 보안 tiIndicators API를 사용하여 Defender ATP와 같은 다른 Microsoft 보안 솔루션에 위협 지표를 보낼 수 있습니다.
  • Microsoft Sentinel은 Microsoft Threat Protection, Microsoft 365 원본 및 클라우드용 Microsoft Defender 앱과 같은 솔루션에 다른 많은 기본 제공 데이터 커넥터를 제공합니다. 타사 솔루션에 대한 광범위한 보안 에코시스템에 기본 제공 커넥터도 제공됩니다. 일반적인 이벤트 형식, Syslog 또는 REST API를 사용하여 Microsoft Sentinel에 데이터 원본을 연결할 수도 있습니다. 자세한 내용은 데이터 원본 연결을 참조하세요.

시나리오 정보

사이버 위협 인텔리전스 는 오픈 소스 데이터 피드, 위협 인텔리전스 공유 커뮤니티, 유료 인텔리전스 피드 및 조직 내 보안 조사와 같은 많은 원본에서 제공됩니다.

CTI는 위협 행위자의 동기, 인프라 및 기술에 대한 서면 보고서부터 IP 주소, 할 일기본 및 파일 해시의 특정 관찰에 이르기까지 다양합니다. CTI는 비정상적인 활동에 대해 필수적인 컨텍스트를 제공하므로 보안 담당자는 사람 및 자산을 보호하기 위해 빠르게 조치를 취할 수 있습니다.

Microsoft Sentinel과 같은 SIEM 솔루션에서 가장 많이 활용되는 CTI는 IoC(침해지표)라고도 하는 위협 지표 데이터입니다. 위협 지표는 URL, 파일 해시, IP 주소 및 기타 데이터를 피싱, 봇넷 또는 맬웨어와 같은 알려진 위협 활동과 연결합니다.

이러한 형태의 위협 인텔리전스는 종종 전술 위협 인텔리전스라고 하는데, 이는 보안 제품 및 자동화가 이를 대규모로 사용하여 잠재적 위협을 보호하고 탐지할 수 있기 때문입니다. Microsoft Sentinel은 악의적인 사이버 활동에 대한 CTI 컨텍스트를 탐지, 대응, 제공할 수 있습니다.

잠재적인 사용 사례

  • 공용 서버의 오픈 소스 위협 지표 데이터에 연결하여 위협 작업을 식별, 분석 및 대응합니다.
  • Microsoft Graph tiIndicators API와 함께 기존 위협 인텔리전스 플랫폼 또는 사용자 지정 솔루션을 사용하여 위협 지표 데이터에 대한 액세스를 연결하고 제어합니다.
  • 보안 조사자 및 관련자를 위한 CTI 컨텍스트 및 보고를 제공합니다.

고려 사항

  • Microsoft Sentinel 위협 인텔리전스 데이터 커넥터는 현재 공개 미리 보기로 제공됩니다. 특정 기능이 지원되지 않거나 기능이 제한될 수 있습니다.
  • Microsoft Sentinel은 Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 사용자, 그룹 및 Azure 서비스에 기본 제공 역할 기여자, 읽기 권한자 및 응답기를 할당합니다. 이러한 역할은 Azure 역할(소유자, 기여자, 읽기 권한자) 및 Log Analytics 역할(Log Analytics 판독기, Log Analytics 기여자)과 상호 작용할 수 있습니다. 사용자 지정 역할을 만들고 Microsoft Sentinel에 저장하는 데이터에 고급 Azure RBAC를 사용할 수 있습니다. 자세한 내용은 Microsoft Sentinel의 권한을 참조하세요.
  • Microsoft Sentinel은 모든 Azure Monitor Log Analytics 작업 영역에서 처음 31일 동안 무료입니다. 그런 다음, 수집 및 저장하는 데이터에 종량제 또는 용량 예약 모델을 사용할 수 있습니다. 자세한 내용은 Microsoft Sentinel 가격 책정을 참조하세요.

시나리오 배포

다음 섹션에서는 다음 방법에 대한 단계를 제공합니다.

TAXII 데이터 커넥터를 사용하여 위협 지표 가져오기

경고

다음 지침에서는 Anomali의 무료 STIX/TAXII 피드인 리무진을 사용합니다. 이 피드가 수명 종료에 도달했으며 더 이상 업데이트되지 않습니다. 다음 지침은 작성된 대로 완료할 수 없습니다. 이 피드를 액세스할 수 있는 다른 API 호환 피드로 대체할 수 있습니다.

TAXII 2.x 서버는 위협 인텔리전스 컬렉션을 호스트하는 URL인 API 루트를 보급합니다. 사용하려는 TAXII 서버 API 루트컬렉션 ID 를 이미 알고 있는 경우 미리 건너뛰고 Microsoft Sentinel에서 TAXII 커넥터를 사용하도록 설정할 수 있습니다.

API 루트가 없는 경우 일반적으로 위협 인텔리전스 공급자의 설명서 페이지에서 가져올 수 있지만 경우에 따라 사용 가능한 유일한 정보는 검색 엔드포인트 URL입니다. 검색 엔드포인트를 사용하여 API 루트를 찾을 수 있습니다. 다음 예에서는 Anomali Limo ThreatStream TAXII 2.0 서버의 검색 엔드포인트를 사용합니다.

  1. 브라우저에서 ThreatStream TAXII 2.0 서버 검색 엔드포인트 https://limo.anomali.com/taxii로 이동합니다. 사용자 이름 게스트 및 암호 게스트를 사용하여 로그인합니다. 로그인하면 다음 정보가 표시됩니다.

    {
   "api_roots":
   [
       "https://limo.anomali.com/api/v1/taxii2/feeds/",
       "https://limo.anomali.com/api/v1/taxii2/trusted_circles/",
       "https://limo.anomali.com/api/v1/taxii2/search_filters/"
   ],
   "contact": "info@anomali.com",
   "default": "https://limo.anomali.com/api/v1/taxii2/feeds/",
   "description": "TAXII 2.0 Server (guest)",
   "title": "ThreatStream Taxii 2.0 Server"
}

  2. 컬렉션을 찾아보려면 이전 단계에서 가져온 API 루트를 브라우저 https://limo.anomali.com/api/v1/taxii2/feeds/collections/에 입력합니다. 다음과 같은 정보가 표시됩니다.

    {
 "collections":
 [
     {
         "can_read": true,
         "can_write": false,
         "description": "",
         "id": "107",
         "title": "Phish Tank"
     },
         ...
     {
         "can_read": true,
         "can_write": false,
         "description": "",
         "id": "41",
         "title": "CyberCrime"
     }
 ]
}

이제 Anomali Limo에서 제공하는 하나 이상의 TAXII 서버 컬렉션에 Microsoft Sentinel을 연결하는 데 필요한 정보가 있습니다. 예를 들면 다음과 같습니다.

API 루트 컬렉션 ID
Phish Tank 107
CyberCrime 41

Microsoft Sentinel에서 위협 인텔리전스 - TAXII 데이터 커넥터를 사용하도록 설정하려면:

  1. Azure Portal에서 Microsoft Sentinel을 검색하여 선택합니다.

  2. TAXII 서버에서 위협 지표를 가져올 작업 영역을 선택합니다.

  3. 맨 왼쪽 창에서 데이터 커넥터를 선택합니다. 위협 인텔리전스 – TAXII(미리 보기)를 검색하여 선택하고 커넥터 열기 페이지를 선택합니다.

  4. 구성 페이지에서 컬렉션 제목과 같은 친숙한 이름(서버용) 값을 입력합니다. 가져올 API 루트 URL컬렉션 ID를 입력합니다. 필요한 경우 사용자 이름과 암호를 입력하고 추가를 선택합니다.

    Screenshot that shows the TAXII configuration page.

구성된 TAXII 2.0 서버 목록 아래에 연결이 표시됩니다. 동일하거나 다른 TAXII 서버에서 연결하려는 각 컬렉션에 대해 구성을 반복합니다.

플랫폼 데이터 커넥터를 사용하여 위협 지표 가져오기

tiIndicators 위협 지표를 Microsoft Sentinel에 연결하고 보내려면 API에 TIP 또는 사용자 지정 솔루션의 애플리케이션(클라이언트) ID, 디렉터리(테넌트) ID 및 클라이언트 암호가 필요합니다. 이 정보를 가져오려면 MICROSOFT Entra ID에 TIP 또는 솔루션 앱을 등록하고 필요한 권한을 부여합니다.

자세한 내용은 Microsoft Sentinel에 위협 인텔리전스 플랫폼 연결을 참조하세요.

템플릿에서 Analytics 규칙 만들기

이 예에서는 모든 IP 주소 유형 위협 지표를 모든 Azure 작업 IP 주소 이벤트와 비교하는 TI map IP entity to AzureActivity라는 규칙 템플릿을 사용합니다. 모든 일치 항목은 보안 운영 팀에서 조사할 보안 경고 및 해당 인시던트를 생성합니다.

이 예제에서는 위협 지표를 가져오기 위해 위협 인텔리전스 데이터 커넥터를 하나 또는 둘 다 사용했으며 Azure 활동 데이터 커넥터를 사용하여 Azure 구독 수준 이벤트를 가져온 것으로 가정합니다. 이 분석 규칙을 성공적으로 사용하려면 두 데이터 형식이 모두 필요합니다.

  1. Azure Portal에서 Microsoft Sentinel을 검색하여 선택합니다.

  2. 위협 인텔리전스 데이터 커넥터를 사용하여 위협 지표를 가져온 작업 영역을 선택합니다.

  3. 맨 왼쪽 창에서 분석을 선택합니다.

  4. 규칙 템플릿 탭에서 규칙(미리 보기) TI 매핑 IP 엔터티를 검색하여 AzureActivity에 선택합니다. 규칙 만들기를 선택합니다.

  5. 첫 번째 분석 규칙 마법사 - 템플릿 페이지에서 새 규칙 만들기에서 규칙 상태가 사용으로 설정되어 있는지 확인합니다. 원하는 경우 규칙 이름 또는 설명을 변경합니다. 다음: 규칙 논리 설정을 선택합니다.

    Screenshot that shows creating an Analytic rule.

    규칙 논리 페이지에는 규칙에 대한 쿼리, 매핑할 엔터티, 규칙 일정 및 보안 경고를 생성하는 쿼리 결과 수가 포함됩니다. 템플릿 설정은 한 시간에 한 번 실행됩니다. Azure 이벤트의 IP 주소와 일치하는 IP 주소 IoC를 식별합니다. 또한 모든 일치 항목에 대한 보안 경고를 생성합니다. 이러한 설정을 유지하거나 필요에 맞게 설정을 변경할 수 있습니다. 완료되면 다음: 인시던트 설정(미리 보기)을 선택합니다.

  6. 인시던트 설정(미리 보기)에서 이 분석 규칙에 의해 트리거된 경고에서 인시던트 만들기가 사용으로 설정되어 있는지 확인합니다. 다음: 자동화된 응답을 선택합니다.

    이 단계에서는 규칙이 보안 경고를 생성할 때 트리거되도록 자동화를 구성할 수 있습니다. Microsoft Sentinel의 Automation은 Azure Logic Apps에서 제공하는 플레이북을 사용합니다. 자세한 내용은 자습서: Microsoft Sentinel에서 자동화된 위협 대응 설정을 참조하세요. 이 예제에서는 다음: 검토를 선택합니다. 설정을 검토한 후 만들기를 선택합니다.

규칙이 만들어지면 즉시 활성화된 다음 일반 일정에 따라 트리거됩니다.

위협 인텔리전스 통합 문서 보기 및 편집

  1. Azure Portal에서 Microsoft Sentinel을 검색하여 선택합니다.

  2. 위협 인텔리전스 데이터 커넥터 중 하나를 사용하여 위협 지표를 가져온 작업 영역을 선택합니다.

  3. 맨 왼쪽 창에서 통합 문서를 선택합니다.

  4. 위협 인텔리전스라는 통합 문서를 검색하여 선택합니다.

  5. 표시된 대로 필요한 데이터와 연결이 있는지 확인합니다. 저장을 선택합니다.

    Screenshot that shows a Threat Intelligence Workbook.

    팝업 창에서 위치를 선택한 다음 확인을 선택합니다. 이 단계에서는 통합 문서를 수정하고 변경 내용을 저장할 수 있도록 통합 문서를 저장합니다.

  6. 저장된 통합 문서 보기를 선택하여 통합 문서를 열고 템플릿에서 제공하는 기본 차트를 확인합니다.

통합 문서를 편집하려면 편집을 선택합니다. 차트 옆에 있는 편집을 선택하여 해당 차트에 대한 쿼리와 설정을 편집할 수 있습니다.

위협 형식별로 위협 지표를 표시하는 새 차트를 추가하려면:

  1. 편집을 선택합니다. 페이지 아래쪽으로 스크롤하여 쿼리 추가를>선택합니다.

  2. Log Analytics 작업 영역 로그 쿼리에서 다음 쿼리를 입력합니다.

    
ThreatIntelligenceIndicator
| summarize count() by ThreatType

  3. 시각화 드롭다운에서 가로 막대형 차트선택하고 편집 완료를 선택합니다.

  4. 페이지 맨 위에서 편집 완료를 선택합니다. 저장 아이콘을 선택하여 새 차트와 통합 문서를 저장합니다.

    Screenshot that shows a new workbook chart.

다음 단계

GitHub의 Microsoft Sentinel 리포지토리로 이동하여 커뮤니티와 Microsoft의 기여 확인합니다. 여기에서 Microsoft Sentinel의 모든 기능 영역에 대한 새로운 아이디어, 템플릿 및 대화를 찾을 수 있습니다.

Microsoft Sentinel 통합 문서는 Azure Monitor 통합 문서를 기반으로 하므로 광범위한 설명서와 템플릿을 사용할 수 있습니다. Azure Monitor 통합 문서를 사용하여 대화형 보고서 만들기부터 시작하는 것이 좋습니다. GitHub에는 다운로드할 커뮤니티 기반 Azure Monitor 통합 문서 템플릿 컬렉션이 있습니다.

주요 기술에 대한 자세한 내용은 다음을 참조하세요.