3단계 Microsoft Sentinel에서 데이터 원본 수집 및 인시던트 검색 구성
Microsoft Sentinel 작업 영역 디자인 및 구현을 완료한 후에는 데이터 원본을 수집하고 인시던트 검색을 구성할 수 있습니다.
데이터 커넥터는 작업 영역으로 데이터 수집을 사용하도록 구성됩니다. 키 데이터 요소를 Sentinel에 수집할 수 있도록 설정한 후에는 UEBA(사용자 및 엔터티 동작 분석) 및 분석 규칙도 비정상 및 악의적인 활동을 캡처할 수 있도록 설정해야 합니다. 분석 규칙은 Sentinel 인스턴스에서 경고 및 인시던트가 생성되는 방식을 지정합니다. 엔터티 매핑을 통해 환경 및 조직의 요구에 맞게 분석 규칙을 조정하면 충실도가 높은 인시던트를 생성하고 경고 피로를 줄일 수 있습니다.
시작하기 전에
설치 방법, 필요한 역할 및 데이터 커넥터를 켜는 데 필요한 라이선스를 확인합니다. 자세한 내용은 Microsoft Sentinel 데이터 커넥터 찾기를 참조하세요.
다음 표는 주요 Azure 및 데이터 커넥터를 수집하는 데 필요한 필수 구성 요소에 대한 요약입니다.
1단계: 데이터 커넥터 켜기
데이터 커넥터 구성을 시작하려면 다음 권장 사항을 사용합니다.
수집할 무료 데이터 원본을 설정하는 데 집중합니다.
Azure 활동 로그: Azure 활동 로그 수집은 Sentinel이 환경 전체에서 단일 창의 유리 보기를 제공할 수 있도록 하는 데 중요 합니다.
Office 365 감사 로그(모든 SharePoint 활동, Exchange 관리자 활동 및 Teams 포함)
클라우드용 Microsoft Defender, Microsoft Defender XDR, Office 365용 Microsoft Defender, Microsoft Defender for Identity 및 엔드포인트용 Microsoft Defender 경고를 포함한 보안 경고:
보안 경고를 Sentinel에 수집하면 환경 전체에서 "인시던트 관리의 중앙 창"이 될 수 있습니다.
인시던트 조사는 Sentinel에서 시작되며 심층 분석이 필요한 경우 Microsoft Defender 포털 또는 클라우드용 Defender 계속 진행해야 합니다.
참고 항목
Microsoft Defender XDR 커넥터를 사용하도록 설정한 경우 365 Defender 인시던트와 Sentinel 간의 양방향 동기화가 자동으로 설정됩니다. 동일한 경고에 대해 중복 인시던트가 생성되지 않도록 하려면 고객이 Microsoft Defender XDR 통합 제품(엔드포인트용 Defender, Id용 Defender, Office 365용 Defender, 클라우드용 Defender 앱 및 Microsoft Entra ID Protection)에 대한 모든 Microsoft 인시던트 생성 규칙을 해제하는 것이 좋습니다. 자세한 내용은 Microsoft Defender XDR 인시던트와 Microsoft 인시던트 만들기 규칙을 참조합니다.
클라우드용 Microsoft Defender 앱 경고
자세한 내용은 무료 데이터 원본을 참조하세요.
다음 표에서는 Microsoft Sentinel에서 사용하도록 설정할 수 있는 무료 데이터 원본을 나열합니다.
팁
최신 Sentinel 가격 책정에 대한 자세한 내용은 Microsoft Sentinel 가격 책정을 참조 하세요.
Microsoft Sentinel 데이터 커넥터 무료 데이터 형식 Azure 활동 로그 AzureActivity Microsoft Entra ID 보호 SecurityAlert(IPC) Office 365 OfficeActivity(SharePoint)
OfficeActivity(Exchange)
OfficeActivity(Teams)Microsoft Defender for Cloud SecurityAlert(클라우드용 Defender) Microsoft Defender for IoT SecurityAlert(IoT용 Defender) Microsoft Defender XDR SecurityIncident
SecurityAlert엔드포인트에 대한 Microsoft Defender SecurityAlert(Microsoft Defender MDATP(Advanced Threat Protection)) Microsoft Defender for Identity SecurityAlert(Azure AATP(Advanced Threat Protection)) Microsoft Defender for Cloud 앱 SecurityAlert(클라우드용 Defender 앱) 더 광범위한 모니터링 및 경고 범위를 제공하려면 다음 데이터 커넥터에 집중합니다.
참고 항목
섹션에 나열된 원본에서 데이터를 수집하는 데 요금이 부과됩니다.
Microsoft Entra ID
Microsoft Defender XDR 커넥터
다음 중 필요한 경우 Microsoft Defender XDR 로그를 Sentinel에 보냅니다.
Sentinel을 사용하여 Fusion 경고를 활용합니다.
- Fusion은 여러 제품의 데이터 원본을 상호 연결하여 환경 전체에서 다단계 공격을 감지합니다.
Microsoft Defender XDR에서 제공하는 것보다 보존 기간이 더 깁니다.
자동화는 엔드포인트용 Microsoft Defender 제공하는 기본 제공 수정에서 다루지 않습니다. 자세한 내용은 Microsoft Defender XDR의 수정 작업을 참조하세요.
Azure에 배포된 경우 다음 커넥터를 사용하여 이러한 리소스의 진단 로그를 Sentinel로 보냅니다.
- Azure Firewall
- Azure Application Gateway
- Keyvault
- Azure Kubernetes Service
- Azure SQL
- 네트워크 보안 그룹
- Azure-Arc 서버
권장되는 방법은 해당 로그를 기본 Log Analytics 작업 영역으로 전달하도록 Azure Policy를 설정하는 것입니다. 자세한 내용은 Azure Policy를 사용하여 대규모 진단 설정 만들기를 참조하세요.
온-프레미스 또는 로그를 수집해야 하는 다른 클라우드에서 호스트되는 가상 머신의 경우 다음을 사용합니다.
- AMA를 사용하여 이벤트 Windows 보안
- 레거시 에이전트를 사용하는 보안 이벤트
- 엔드포인트용 Defender를 통한 이벤트(서버용)
- Syslog 커넥터
네트워크 가상 어플라이언스 또는 CEF(Common Event Format) 또는 SYSLOG 로그를 생성하는 다른 온-프레미스 원본의 경우 다음 커넥터를 사용합니다.
- AMA를 통한 CEF(Common Event Format)
- 레거시 에이전트를 통한 CEF(Common Event Format)
자세한 내용은 Microsoft Sentinel에 Syslog 및 CEF 로그를 수집하기 위한 로그 전달자 배포를 참조하세요.
레거시 에이전트에서 새 통합 Azure Monitor 에이전트 지침으로 마이그레이션하는 것이 좋습니다. 자세한 내용은 레거시 에이전트에서 Azure Monitor 에이전트로 MIgrat를 참조하세요.
콘텐츠 허브에서 다른 디바이스, 로그를 Sentinel로 보내야 하는 SaaS(Software as a Service) 앱을 검색합니다. 자세한 내용은 Microsoft Sentinel 기본 제공 콘텐츠 검색 및 관리를 참조하세요.
2단계: 사용자 엔터티 동작 분석 사용
Sentinel에서 데이터 커넥터를 설정한 후 사용자 엔터티 동작 분석을 사용하여 피싱 악용 및 결국 랜섬웨어와 같은 공격으로 이어질 수 있는 의심스러운 동작을 식별할 수 있도록 해야 합니다. 종종 UEBA를 통한 변칙 검색은 제로 데이 익스플로잇을 조기에 검색하는 가장 좋은 방법입니다.
데이터 원본 필요:
- Active Directory 로그(Microsoft Defender for Identity)
- Microsoft Entra ID
- 감사 로그
- Azure 활동
- 보안 이벤트
- 로그인 로그
UEBA를 사용하면 Microsoft Sentinel이 시간 및 피어 그룹에 걸쳐 조직의 엔터티의 동작 프로필을 작성하여 비정상적인 활동을 식별할 수 있습니다. 이렇게 하면 자산이 손상되었는지 여부를 결정하는 데 도움이 되는 유틸리티가 추가되었습니다. 피어 그룹 연결을 식별하기 때문에 이것은 또한 말했다 손상의 폭발 반경을 결정하는 데 도움이 될 수 있습니다.
3단계: 분석 규칙 사용
Sentinel의 두뇌는 분석 규칙에서 비롯됩니다. 이러한 규칙은 중요하다고 생각되는 조건 집합이 있는 이벤트에 대해 경고하도록 Sentinel에 지시하도록 설정하는 규칙입니다. Sentinel이 내리는 기본 결정은 UEBA(사용자 엔터티 동작 분석) 및 여러 데이터 원본의 데이터 상관 관계를 기반으로 합니다.
참고 항목
Microsoft Defender XDR 커넥터를 사용하도록 설정한 경우 365 Defender 인시던트와 Sentinel 간의 양방향 동기화가 자동으로 설정됩니다. 동일한 경고에 대해 중복 인시던트가 생성되지 않도록 하려면 고객이 Microsoft Defender XDR 통합 제품(엔드포인트용 Defender, Id용 Defender, Office 365용 Defender, 클라우드용 Defender 앱 및 Microsoft Entra ID Protection)에 대한 모든 Microsoft 인시던트 생성 규칙을 해제하는 것이 좋습니다. 자세한 내용은 Microsoft Defender XDR 인시던트와 Microsoft 인시던트 만들기 규칙을 참조합니다.
Microsoft Sentinel을 사용하면 Fusion Advanced 다단계 공격 검색 분석 규칙이 기본적으로 다단계 공격을 자동으로 식별할 수 있습니다. 사이버 킬 체인에서 관찰된 비정상적인 동작 및 의심스러운 활동 이벤트를 활용하여 Microsoft Sentinel은 신뢰도가 높은 두 개 이상의 경고 활동으로 손상 인시던트를 볼 수 있는 인시던트를 생성합니다.
Fusion 경고 기술은 광범위한 데이터 신호 지점과 ML(확장 기계 학습) 분석의 상관 관계를 지정하여 알려진 위협, 알려지지 않은 위협 및 새로운 위협을 확인하는 데 도움이 됩니다. 예를 들어 Fusion 검색은 랜섬웨어 시나리오에 대해 생성된 변칙 규칙 템플릿 및 예약된 쿼리를 가져와서 Microsoft Security Suite 제품의 경고와 페어링할 수 있습니다.
- Microsoft Entra ID 보호
- Microsoft Defender for Cloud
- Microsoft Defender for IoT
- Microsoft Defender XDR
- Microsoft Defender for Cloud 앱
- 엔드포인트에 대한 Microsoft Defender
- Microsoft Defender for Identity
- Office 365용 Microsoft Defender
기본적으로 사용하도록 설정된 다른 기본 규칙 집합은 Sentinel의 변칙 규칙입니다. 이는 사용자, 호스트 및 기타 사용자 간에 비정상적인 동작에 플래그를 지정하도록 작업 영역의 데이터를 학습시키는 Machine Learning 모델 및 UEBA를 기반으로 합니다. 종종 피싱 공격은 로컬 또는 클라우드 계정 조작/제어 또는 악의적인 스크립트 실행과 같은 실행 단계로 이어집니다. 변칙 규칙은 다음과 같은 유형의 활동을 정확하게 찾습니다.
- 비정상적인 계정 액세스 권한 제거
- 비정상적인 계정 만들기
- 비정상적인 계정 삭제
- 비정상적인 계정 조작
- 비정상적인 코드 실행(UEBA)
- 비정상적인 데이터 파기
- 비정상적인 방어 메커니즘 수정
- 비정상적인 로그인 실패
- 비정상적인 암호 재설정
- 비정상적인 권한 부여
- 비정상적인 로그인
각각에 대한 변칙 규칙 및 변칙 점수 임계값을 검토합니다. 예를 들어 거짓 긍정을 관찰하는 경우 변칙 튜닝 규칙에 설명된 단계에 따라 규칙을 복제하고 임계값을 수정하는 것이 좋습니다.
Fusion 및 Anomaly 규칙을 검토하고 수정한 후 기본 Microsoft 위협 인텔리전스 분석 규칙을 사용하도록 설정합니다. 이 규칙이 Microsoft에서 생성된 위협 인텔리전스와 로그 데이터와 일치하는지 확인합니다. Microsoft에는 방대한 위협 인텔리전스 데이터 리포지토리가 있으며, 이 분석 규칙은 해당 데이터의 하위 집합을 사용하여 SOC(보안 운영 센터) 팀이 심사할 수 있도록 높은 충실도 경고 및 인시던트를 생성합니다.
Fusion, Anomaly 및 위협 인텔리전스 분석 규칙을 사용하도록 설정하면 MITRE Att&ck 횡단보도를 수행하여 완성도 높은 XDR(확장 검색 및 응답) 프로세스 구현을 시작하고 완료할 분석 규칙을 다시 기본 결정하는 데 도움이 됩니다. 이렇게 하면 공격의 수명 주기 내내 감지하고 대응할 수 있습니다.
MITRE Att&ck 연구 부서는 MITRE 메서드를 만들었으며 구현을 용이하게 하기 위해 Microsoft Sentinel의 일부로 제공됩니다. 공격 벡터 접근 방식의 길이와 폭을 늘리는 분석 규칙이 있는지 확인해야 합니다. 먼저 기존 '활성' 분석 규칙에서 다루는 MITRE 기술을 검토한 다음 시뮬레이션된 드롭다운에서 '분석 규칙 템플릿' 및 '변칙 규칙'을 선택합니다. 이제 악의적인 전술 및/또는 기술을 다루는 위치와 범위를 개선하기 위해 사용할 수 있는 분석 규칙이 있는 위치를 보여 줍니다. 예를 들어 잠재적인 피싱 공격을 감지하려면 피싱 기술에 대한 분석 규칙 템플릿을 검토하고 Sentinel에 온보딩한 데이터 원본을 구체적으로 쿼리하는 규칙의 우선 순위를 지정합니다.
일반적으로 사람이 운영하는 랜섬웨어 공격에는 5단계가 있으며, 피싱은 아래 스크린샷에서 볼 수 있듯이 초기 액세스에 속합니다. 다시 기본 단계를 계속 진행하여 적절한 분석 규칙으로 전체 킬 체인을 처리합니다.
- 초기 액세스
- 자격 증명 도용
- 수평 이동
- 지속성
- 방어 회피
- 반출(랜섬웨어 자체가 감지되는 위치)
요약하자면, Sentinel에 대한 분석 규칙을 설정하는 경우 연결된 데이터 원본, 조직 위험 및 MITRE 전술에 따라 활성화를 우선 순위를 지정합니다.
권장 교육
데이터 커넥터를 사용하여 Microsoft Sentinel에 데이터 연결
| 학습 | 데이터 커넥터를 사용하여 Microsoft Sentinel에 데이터 커넥트 |
|---|---|
|
로그 데이터를 연결하는 기본 접근 방법은 Microsoft Sentinel에서 제공하는 데이터 커넥터를 사용하는 것입니다. 이 모듈에서는 사용 가능한 데이터 커넥터에 대해 간략하게 설명합니다. |
Microsoft Sentinel에 로그 연결
| 학습 | Microsoft Sentinel에 로그 연결 |
|---|---|
|
온-프레미스와 여러 클라우드에서 둘 다 모든 사용자, 디바이스, 애플리케이션, 인프라에 걸쳐 클라우드 규모의 데이터를 Microsoft Sentinel에 연결합니다. |
동작 분석을 통한 위협 식별
| 학습 | 동작 분석을 사용하여 위협 식별 |
|---|---|
|
로그 데이터를 연결하는 기본 접근 방법은 Microsoft Sentinel에서 제공하는 데이터 커넥터를 사용하는 것입니다. 이 모듈에서는 사용 가능한 데이터 커넥터에 대해 간략하게 설명합니다. |
다음 단계
4단계를 계속 진행하여 인시던트에 대응합니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기