고급 헌팅에 대한 전문가 교육 받기
참고
Microsoft 365 Defender를 경험해 보고 싶으신가요? Microsoft 365 Defender 평가하고 파일럿하는 방법에 대해 자세히 알아보세요.
적용 대상:
- Microsoft 365 Defender
- 끝점용 Microsoft Defender
새로운 보안 분석가 및 양념된 위협 사냥꾼을 위한 웹캐스트 시리즈인 악의적 인 추적을 사용하여 고급 헌팅에 대한 지식을 빠르게 향상시킵니다. 이 시리즈는 고유한 정교한 쿼리를 만드는 모든 방법을 기본 사항으로 안내합니다. 기본 사항에 대한 첫 번째 비디오로 시작하거나 경험 수준에 맞는 고급 비디오로 이동합니다.
| 제목 | 설명 | 시청 | 쿼리 |
|---|---|---|---|
| 에피소드 1: KQL 기본 사항 | 이 에피소드에서는 Microsoft 365 Defender 고급 헌팅의 기본 사항을 다룹니다. 사용 가능한 고급 헌팅 데이터와 기본 KQL 구문 및 연산자를 알아봅니다. | 유튜브 (54:14) | 텍스트 파일 |
| 에피소드 2: 조인 | 고급 헌팅의 데이터와 테이블을 함께 조인하는 방법에 대해 계속 알아봅니다. , outer, 및 조인에 대해 inner알아보고 semi 기본 Kusto innerunique 조인의 뉘앙스를 이해unique합니다. |
유튜브 (53:33) | 텍스트 파일 |
| 에피소드 3: 데이터 요약, 피벗 및 시각화 | 이제 데이터를 필터링, 조작 및 조인하는 방법을 배웠으므로 이제 요약, 수량화, 피벗 및 시각화할 차례입니다. 이 에피소드에서는 스키마에 summarize 추가 테이블을 소개하는 동안 연산자와 다양한 계산에 대해 설명합니다. 또한 데이터 세트를 인사이트를 추출하는 데 도움이 되는 차트로 전환하는 방법도 알아봅니다. |
유튜브 (48:52) | 텍스트 파일 |
| 에피소드 4: 사냥하자! 인시던트 추적에 KQL 적용 | 이 에피소드에서는 일부 공격자 활동을 추적하는 방법을 알아봅니다. Kusto 및 고급 헌팅에 대한 향상된 이해를 사용하여 공격을 추적합니다. 사이버 보안의 ABC를 포함하여 현장에서 사용되는 실제 트릭과 인시던트 대응에 적용하는 방법을 알아봅니다. | 유튜브 (59:36) | 텍스트 파일 |
L33TSP3AK: Microsoft 365 Defender 고급 헌팅 을 사용하여 보안 조사를 수행하는 데 기술 지식과 실용적인 기술을 확장하려는 분석가를 위한 웹캐스트 시리즈인 Microsoft 365 Defender 고급 헌팅을 통해 더 많은 전문가 교육을 받으세요.
| 제목 | 설명 | 시청 | 쿼리 |
|---|---|---|---|
| 에피소드 1 | 이 에피소드에서는 고급 헌팅 쿼리 실행에서 다양한 모범 사례를 알아봅니다. 다루는 항목 중에는 쿼리를 최적화하고, 랜섬웨어에 고급 헌팅을 사용하고, JSON을 동적 형식으로 처리하고, 외부 데이터 연산자와 작업하는 방법이 있습니다. | 유튜브 (56:34) | 텍스트 파일 |
| 에피소드 2 | 이 에피소드에서는 받은 편지함 전달 규칙을 통해 의심스럽거나 비정상적인 로그온 위치 및 데이터 반출을 조사하고 대응하는 방법을 알아봅니다. Cloud Security CxE의 선임 프로그램 관리자인 Sebastien Molendijk는 고급 헌팅을 사용하여 Microsoft Defender for Cloud Apps 데이터로 다단계 인시던트 조사를 하는 방법을 공유합니다. | 유튜브 (57:07) | 텍스트 파일 |
| 에피소드 3 | 이 에피소드에서는 고급 헌팅의 최신 개선 사항, 외부 데이터 원본을 쿼리로 가져오는 방법 및 분할을 사용하여 큰 쿼리 결과를 더 작은 결과 집합으로 분할하여 API 제한에 도달하는 것을 방지하는 방법을 설명합니다. | 유튜브 (40:59) | 텍스트 파일 |
CSL 파일을 사용하는 방법
에피소드를 시작하기 전에 GitHub에서 해당 텍스트 파일에 액세스하고 해당 내용을 고급 헌팅 쿼리 편집기로 복사합니다. 에피소드를 시청할 때 복사된 콘텐츠를 사용하여 스피커를 따라 쿼리를 실행할 수 있습니다.
쿼리가 포함된 텍스트 파일에서 발췌한 다음 내용은 주석으로 표시된 포괄적인 지침 집합을 보여 줍니다 //.
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
동일한 텍스트 파일에는 아래와 같이 주석 전후에 쿼리가 포함됩니다. 편집기에서 여러 쿼리를 사용하여 특정 쿼리를 실행하려면 커서를 해당 쿼리로 이동하고 쿼리 실행을 선택합니다.
DeviceLogonEvents
| count
// DeviceLogonEvents
// A table containing a row for each logon a device enrolled in Microsoft Defender for Endpoint
// Contains
// - Account information associated with the logon
// - The device which the account logged onto
// - The process which performed the logon
// - Network information (for network logons)
// - Timestamp
CloudAppEvents
| take 100
| sort by Timestamp desc
다른 리소스
| 제목 | 설명 | 시청 |
|---|---|---|
| KQL에서 테이블 조인 | 의미 있는 결과를 만들 때 테이블을 조인하는 기능을 알아봅니다. | 유튜브 (4:17) |
| KQL에서 테이블 최적화 | 쿼리를 최적화하여 복잡한 쿼리를 실행할 때 시간 제한을 방지하는 방법을 알아봅니다. | 유튜브 (5:38) |