Microsoft Sentinel에서 위협 지표 작업

• 적용 대상:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

다음 작업을 통해 TI(위협 인텔리전스)를 Microsoft Sentinel로 통합합니다.

• 다양한 TI 플랫폼 및 피드에 대한 데이터 커넥터를 사용하도록 설정하여 Microsoft Sentinel로 위협 인텔리전스를 가져옵니다.

• 가져온 위협 인텔리전스를 로그 및 Microsoft Sentinel 위협 인텔리전스 페이지에서 보고 관리합니다.

• 가져온 위협 인텔리전스를 기반으로 기본 제공 분석 규칙 템플릿을 사용하여 위협을 탐지하고 보안 경고 및 인시던트를 생성합니다.

• 위협 인텔리전스 통합 문서를 사용하여 Azure Sentinel에서 가져온 위협 인텔리전스에 대한 중요 정보를 시각화합니다.

Important

Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼의 공개 미리 보기의 일부로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

Microsoft Sentinel에서 위협 지표 보기

위협 인텔리전스 페이지에서 지표 찾기 및 보기

이 절차에서는 기본 Microsoft Sentinel 메뉴에서 액세스할 수 있는 위협 인텔리전스 페이지에서 지표를 보고 관리하는 방법을 설명합니다. 위협 인텔리전스 페이지를 사용하여 Log Analytics 쿼리를 작성하지 않고 가져온 위협 지표를 정렬, 필터링 및 검색합니다.

위협 인텔리전스 페이지에서 위협 인텔리전스 지표를 보려면

1. Azure Portal의 Microsoft Sentinel에 대해서는 위협 관리에서 위협 인텔리전스를 선택합니다.
   Defender 포털의 Microsoft Sentinel에 대해서는 Microsoft Sentinel>위협 관리>위협 인텔리전스를 선택합니다.

2. 그리드에서 자세한 내용을 보려는 지표를 선택합니다. 지표의 세부 정보가 오른쪽에 표시되며, 신뢰도 수준, 태그, 위협 유형 등의 정보를 보여 줍니다.

3. Microsoft Sentinel은 이 보기에 현재 버전의 표시기만 표시합니다. 표시기 업데이트 방법에 대한 자세한 내용은 위협 인텔리전스 이해를 참조하세요.

4. IP 및 도메인 이름 표시기는 추가 GeoLocation 및 WhoIs 데이터로 보강되어 선택한 표시기가 발견된 조사에 대한 더 많은 컨텍스트를 제공합니다.

예시:

Azure Portal

Defender 포털

Important

GeoLocation 및 WhoIs 보강은 현재 미리 보기에 있습니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

로그에서 지표 찾기 및 보기

이 절차에서는 사용된 원본 피드 또는 커넥터에 관계없이 Microsoft Sentinel 로그 영역에서 가져온 위협 지표를 다른 Microsoft Sentinel 이벤트 데이터와 함께 보는 방법을 설명합니다.

가져온 위협 지표는 Microsoft Sentinel > ThreatIntelligenceIndicator 테이블에 나열되며, 이는 분석 또는 통합 문서와 같이 Microsoft Sentinel의 다른 곳에서 실행되는 위협 인텔리전스 쿼리의 기초입니다.

로그에서 위협 인텔리전스 지표를 보려면

1. Azure Portal의 Microsoft Sentinel의 경우 일반 아래에서 로그를 선택합니다.
   Defender 포털의 Microsoft Sentinel에서 조사 및 응답>헌팅>고급 헌팅을 선택합니다.

2. ThreatIntelligenceIndicator 테이블은 Microsoft Sentinel 그룹 아래에 있습니다.

3. 테이블 이름 옆에 있는 데이터 미리 보기 아이콘(눈 모양)을 선택하고, 쿼리 편집기에서 확인 단추를 선택하여 이 테이블의 레코드를 표시하는 쿼리를 실행합니다.

   결과는 이 스크린샷에 표시된 샘플 위협 지표와 비슷합니다.

   

표시기 만들기 및 태그 지정

또한 위협 인텔리전스 페이지를 사용하면 Microsoft Sentinel 인터페이스 내에서 직접 위협 지표를 만들고, 가장 일반적인 두 가지 위협 인텔리전스 관리 작업인 지표 태그 지정 및 보안 조사와 관련된 새 지표 만들기를 수행할 수 있습니다.

새 지표 생성하기

1. Azure Portal의 Microsoft Sentinel에 대해서는 위협 관리에서 위협 인텔리전스를 선택합니다.
   Defender 포털의 Microsoft Sentinel에 대해서는 Microsoft Sentinel>위협 관리>위협 인텔리전스를 선택합니다.

2. 페이지 위쪽에 있는 메뉴에서 추가 단추를 선택합니다.

   

3. 지표 유형을 선택한 다음, 신규 지표 패널에서 양식을 작성합니다. 필수 필드에는 빨간색 별표(*)가 표시됩니다.

4. 적용을 선택합니다. 지표가 지표 목록에 추가되고 로그의 ThreatIntelligenceIndicator 테이블에도 보내집니다.

위협 표시기 태그 및 편집

위협 지표에 태그를 지정하면 지표를 함께 그룹화하여 손쉽게 찾을 수 있습니다. 일반적으로 특정 인시던트와 관련된 지표 또는 알려진 행위자나 잘 알려진 공격 캠페인의 위협을 나타내는 지표에 태그를 적용합니다. 위협 지표에 각각 태그를 지정할 수도 있고 여러 개를 선택하여 한 번에 모두 태그를 지정할 수도 있습니다. 인시던트 ID를 사용하여 여러 지표에 태그를 지정하는 예제는 다음과 같습니다. 태그 지정은 특정한 형식이 없기 때문에, 위협 지표 태그에 대한 표준 명명 규칙을 만드는 것이 좋습니다. 지표를 사용하면 여러 태그를 적용할 수 있습니다.

또한 Microsoft Sentinel을 사용하면 지표가 Microsoft Sentinel에서 직접 만들어졌는지 또는 TIP 및 TAXII 서버와 같은 파트너 원본에서 제공되었는지 여부에 관계없이 지표를 편집할 수 있습니다. Microsoft Sentinel에서 만든 지표의 경우 모든 필드를 편집할 수 있습니다. 파트너 원본에서 제공되는 지표의 경우 태그, 만료 날짜, 신뢰도 및 해지됨을 포함한 특정 필드만 편집할 수 있습니다. 어느 쪽이든 위협 인텔리전스 페이지 뷰에는 최신 버전의 표시기만 표시된다는 점에 유의해야 합니다. 표시기 업데이트 방법에 대한 자세한 내용은 위협 인텔리전스 이해를 참조하세요.

통합 문서는 위협 인텔리전스에 대한 정보를 제공합니다.

특별히 빌드된 Microsoft Sentinel 통합 문서를 사용하여 Microsoft Sentinel의 위협 인텔리전스에 대한 주요 정보를 시각화하고 비즈니스 요구 사항에 따라 통합 문서를 사용자 지정합니다.

Microsoft Sentinel에서 제공하는 위협 인텔리전스 통합 문서를 찾는 방법과 통합 문서를 편집하여 사용자 지정하는 방법의 예제는 다음과 같습니다.

1. Azure Portal에서 Microsoft Sentinel 서비스로 이동합니다.

2. 위협 인텔리전스 데이터 커넥터를 사용하여 위협 지표를 가져온 작업 영역을 선택합니다.

3. Microsoft Sentinel 메뉴의 위협 관리 섹션에서 통합 문서를 선택합니다.

4. Threat Intelligence라는 통합 문서로 이동하여 아래와 같이 ThreatIntelligenceIndicator 테이블에 데이터가 있는지 확인합니다.

   

5. 저장 단추를 선택하고 통합 문서를 저장할 Azure 위치를 선택합니다. 이 단계는 어떤 방식으로든 통합 문서를 수정하고 변경 내용을 저장하려는 경우에 필요합니다.

6. 이제 저장된 통합 문서 보기 단추를 선택하여 보기 및 편집을 위해 통합 문서를 엽니다.

7. 이제 템플릿에서 제공하는 기본 차트가 표시됩니다. 차트를 수정하려면 페이지 맨 위에 있는 편집 단추를 선택하여 통합 문서 편집 모드로 전환합니다.

8. 위협 유형별 위협 지표라는 새 차트를 추가합니다. 페이지의 아래쪽으로 스크롤하여 쿼리 추가를 선택합니다.

9. Log Analytics 작업 영역 로그 쿼리 텍스트 상자에 다음 텍스트를 추가합니다.

   ThreatIntelligenceIndicator
   | summarize count() by ThreatType
   

10. 시각화 드롭다운에서 막대형 차트를 선택합니다.

11. 편집 완료 단추를 선택합니다. 통합 문서에 대한 새 차트를 만들었습니다.

    

통합 문서는 Microsoft Sentinel의 모든 측면에 대한 정보를 제공하는 강력한 대화형 대시보드를 제공합니다. 통합 문서를 사용하면 많은 작업을 수행할 수 있으며, 제공된 템플릿이 좋은 출발점이지만, 이러한 템플릿을 사용자 지정하거나, 다양한 데이터 원본을 결합하는 새로운 대시보드를 만들어 데이터를 고유한 방식으로 시각화할 수 있습니다. Microsoft Sentinel 통합 문서는 Azure Monitor 통합 문서를 기반으로 하므로 이미 광범위한 설명서를 사용할 수 있으며 더 많은 템플릿이 있습니다. Azure Monitor 통합 문서를 사용하여 대화형 보고서를 만드는 방법에 대한 이 문서에서 시작하는 것이 좋습니다.

또한 더 많은 템플릿을 다운로드하고 고유의 템플릿을 제공할 수 있는 풍부한 GitHub의 Azure Monitor 통합 문서 커뮤니티도 있습니다.

관련 콘텐츠

이 문서에서는 Microsoft Sentinel 전체에서 위협 인텔리전스 표시기를 사용하여 작업하는 모든 방법을 알아보았습니다. Microsoft Sentinel의 위협 인텔리전스에 대한 자세한 내용은 다음 문서를 참조하세요.

• Microsoft Sentinel의 위협 인텔리전스를 이해합니다.
• Microsoft Sentinel을 STIX/TAXII 위협 인텔리전스 피드에 연결합니다.
• Microsoft Sentinel과 쉽게 통합할 수 있는 TIP, TAXII 피드 및 보강을 확인합니다.