Microsoft Sentinel에서 NRT(거의 실시간) 검색 분석 규칙 작업
Microsoft Sentinel의 실시간에 가까운 분석 규칙은 기본 제공 최신 위협 탐지 기능을 제공합니다. 이 형식의 규칙은 1분 간격으로 쿼리를 실행하여 응답성이 매우 높도록 설계되었습니다.
당분간 이러한 템플릿은 아래와 같이 제한적으로 사용되지만 기술이 빠르게 발전하고 성장하고 있습니다.
Important
Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼의 일부로 사용할 수 있습니다. 이제 Defender 포털의 Microsoft Sentinel이 프로덕션용으로 지원됩니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.
NRT(거의 실시간) 규칙 보기
Microsoft Sentinel 탐색 메뉴의 구성 섹션에서 분석을 선택합니다.
분석 화면에서 활성 규칙 탭을 선택한 상태로 NRT 템플릿 목록을 필터링합니다.
필터 추가를 선택하고 필터 목록에서 규칙 유형을 선택합니다.
결과 목록에서 NRT을 선택합니다. 그런 다음 적용을 선택합니다.
NRT 규칙 만들기
일반 예약 쿼리 분석 규칙을 만드는 것과 동일한 방식으로 NRT 규칙을 만듭니다.
Microsoft Sentinel 탐색 메뉴의 구성 섹션에서 분석을 선택합니다.
상단 작업 모음에서 + 만들기를 선택한 다음, NRT 쿼리 규칙을 선택합니다. Analytics 규칙 마법사가 열립니다.
분석 규칙 마법사의 지침을 따릅니다.
NRT 규칙의 구성은 대부분의 경우 예약된 분석 규칙의 구성과 동일합니다.
쿼리 논리에서 여러 테이블 및 관심 목록을 참조할 수 있습니다.
항목 매핑, 사용자 지정 세부 정보, 경고 세부 정보 등 모든 경고 보강 방법을 사용할 수 있습니다.
경고를 인시던트로 그룹화하고 특정 결과가 생성되었을 때 쿼리를 억제하는 방법을 선택할 수 있습니다.
경고 및 인시던트 모두에 대한 응답을 자동화할 수 있습니다.
그러나 NRT 규칙의 특성 및 제한 사항으로 인해 예약된 분석 규칙의 다음 기능은 마법사에서 사용할 수 없습니다.
- 1분의 전환 확인 기간으로 1분에 한 번 쿼리가 자동으로 실행되도록 예약되므로 쿼리 예약은 구성할 수 없습니다.
- 경고는 항상 생성되므로 경고 임계값은 관련이 없습니다.
- 이제 이벤트 그룹화 구성을 제한된 수준까지 사용할 수 있습니다. NRT 규칙이 최대 30개의 이벤트에 대해 각 이벤트에 대한 경고를 생성하도록 선택할 수 있습니다. 이 옵션을 선택하면 규칙이 30개가 넘는 이벤트를 발생시키는 경우 처음 29개 이벤트에 대해 단일 이벤트 경고가 생성되고 30번째 경고는 결과 집합의 모든 이벤트를 요약합니다.
또한 쿼리 자체에는 다음 요구 사항이 있습니다.
작업 영역에서 쿼리를 실행할 수 없습니다.
경고의 크기 제한으로 인해 쿼리는
project문을 사용하여 테이블에서 필요한 필드만 포함해야 합니다. 그렇지 않으면 표시하려는 정보가 잘릴 수 있습니다.
다음 단계
이 문서에서는 Microsoft Sentinel에서 NRT(거의 실시간) 분석 규칙을 만드는 방법을 배웠습니다.
- Microsoft Sentinel의 NRT(거의 실시간) 분석 규칙에 대해 자세히 알아봅니다.
- 다른 분석 규칙 유형을 탐색합니다.