조직 전체에서 데이터를 수집하도록 Microsoft Sentinel을 설정한 후에는 환경에 대한 보안 위협을 감지하기 위해 모든 데이터를 지속적으로 분석해야 합니다. 이 작업을 수행하기 위해 Microsoft Sentinel은 정기적으로 실행되어 수집된 데이터를 쿼리하고 분석하여 위협을 쿼리하는 위협 감지 규칙을 제공합니다. 이러한 규칙은 몇 가지 다른 버전으로 제공되며 전체적으로 분석 규칙이라고 합니다.
이러한 규칙은 원하는 항목을 찾을 때 경고를 생성합니다. 경고에는 관련된 엔터티 (사용자, 디바이스, 주소 및 기타 항목)와 같이 검색된 이벤트에 대한 정보가 포함됩니다. 경고는 검색된 위협의 전체 범위를 알아보고 그에 따라 대응할 수 있도록 할당하고 조사할 수 있는 인시던트 파일(사례 파일)에 집계되고 상관 관계가 지정됩니다. 또한 규칙의 자체 구성에 미리 정해진 자동화된 응답을 구축할 수도 있습니다.
기본 제공 분석 규칙 마법사를 사용하여 이러한 규칙을 처음부터 만들 수 있습니다. 그러나 Microsoft는 콘텐츠 허브에서 제공하는 Microsoft Sentinel에 대한 다양한 솔루션을 통해 다양한 분석 규칙 템플릿을 사용할 수 있도록 하는 것이 좋습니다. 이러한 템플릿은 알려진 위협, 일반적인 공격 벡터 및 의심스러운 작업 에스컬레이션 체인에 대한 지식을 기반으로 보안 전문가 및 분석가 팀이 설계한 미리 빌드된 규칙 프로토타입입니다. 이러한 템플릿에서 규칙을 활성화하면 환경 전체에서 의심스러워 보이는 작업을 자동으로 검색할 수 있습니다. 필요에 따라 특정 형식의 이벤트를 검색하거나 필터링하도록 많은 템플릿을 사용자 지정할 수 있습니다.
이 문서는 Microsoft Sentinel이 위협을 검색하는 방법과 다음에 발생하는 작업을 이해하는 데 도움이 됩니다.
중요합니다
Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스가 없는 고객을 포함하여 Microsoft Defender 포털에서 일반적으로 사용할 수 있습니다.
2026년 7월부터 Azure Portal에서 Microsoft Sentinel을 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel을 사용합니다. 2025년 7월부터 많은 신규 고객이 자동으로 온보딩되고 Defender 포털로 리디렉션됩니다.
Azure Portal에서 Microsoft Sentinel을 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 에서 제공하는 통합 보안 작업 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다. 자세한 내용은 보안을 강화하기 위해 It's Time to Move: Retiring Microsoft Sentinel's Azure Portal을 참조하세요.
분석 규칙 유형
Microsoft Sentinel의 구성 메뉴에 있는 분석 페이지에서 사용할 수 있는 분석 규칙 및 템플릿을 볼 수 있습니다. 현재 활성 규칙은 한 탭에 표시되고 다른 탭에서 새 규칙을 만드는 템플릿 이 표시됩니다. 세 번째 탭에는 이 문서의 뒷부분에 설명된 특수 규칙 유형인 Anomalies가 표시됩니다.
현재 표시되는 것보다 더 많은 규칙 템플릿을 찾으려면 Microsoft Sentinel의 콘텐츠 허브 로 이동하여 관련 제품 솔루션 또는 독립 실행형 콘텐츠를 설치합니다. Analytics 규칙 템플릿은 콘텐츠 허브의 거의 모든 제품 솔루션에서 사용할 수 있습니다.
Microsoft Sentinel에서는 다음 형식의 분석 규칙 및 규칙 템플릿을 사용할 수 있습니다.
앞의 규칙 유형 외에도 제한된 구성 옵션을 사용하여 각각 하나의 규칙 인스턴스를 만들 수 있는 몇 가지 다른 특수 템플릿 형식이 있습니다.
예약된 규칙
지금까지 가장 일반적인 유형의 분석 규칙인 예약된 규칙은 일정한 간격으로 실행되고 정의된 "조회" 기간의 원시 데이터를 검사하도록 구성된 Kusto 쿼리 를 기반으로 합니다. 쿼리로 캡처한 결과 수가 규칙에 구성된 임계값을 초과하면 규칙이 경고를 생성합니다.
예약된 규칙 템플릿의 쿼리는 Microsoft 또는 템플릿을 제공하는 솔루션 공급업체의 보안 및 데이터 과학 전문가에 의해 작성되었습니다. 쿼리는 대상 데이터에 대해 복잡한 통계 작업을 수행하여 이벤트 그룹의 기준과 이상값을 드러낼 수 있습니다.
쿼리 논리는 규칙 구성에 표시됩니다. 템플릿에 정의된 대로 쿼리 논리와 일정 및 전환 확인 설정을 사용하거나 이를 사용자 지정하여 새 규칙을 만들 수 있습니다. 또는 완전히 새로운 규칙을 처음부터 만들 수 있습니다.
Microsoft Sentinel의 예약된 분석 규칙에 대해 자세히 알아봅니다.
NRT(거의 실시간) 규칙
NRT 규칙은 예약된 규칙의 제한된 하위 집합입니다. 가능한 한 최신 정보를 제공하기 위해 1분마다 한 번씩 실행되도록 설계되었습니다.
이들은 대부분 예약된 규칙처럼 작동하며 몇 가지 제한 사항을 제외하고 유사하게 구성됩니다.
Microsoft Sentinel에서 NRT(근 실시간) 분석 규칙을 사용하여 빠른 위협 탐지에 대해 자세히 알아봅니다.
변칙 규칙
변칙 규칙은 기계 학습을 사용하여 일정 기간 동안 특정 형식의 동작을 관찰하여 기준을 결정합니다. 각 규칙에는 분석 중인 동작에 적합한 고유 매개 변수와 임계값이 있습니다. 관찰 기간이 완료되면 기준이 설정됩니다. 규칙이 기준에 설정된 경계를 초과하는 동작을 관찰하면 해당 발생을 비정상적인 것으로 표시합니다.
기본 제공 규칙 구성을 변경하거나 미세 조정할 수 없지만 규칙을 복제한 다음, 복제본을 변경하고 미세 조정할 수 있습니다. 이러한 경우 플라이팅 모드에서 중복을 실행하고 프로덕션 모드에서 원본을 동시에 실행합니다. 그런 다음 결과를 비교하고 원하는 대로 미세 조정하면 복제본을 프로덕션으로 전환합니다.
변칙이 반드시 그 자체로 악의적이거나 의심스러운 동작을 나타내는 것은 아닙니다. 따라서 변칙 규칙은 자체 경고를 생성하지 않습니다. 대신 Anomalies 테이블에 분석 결과(검색된 변칙)를 기록합니다. 이 테이블을 쿼리하여 검색, 조사 및 위협 헌팅을 개선하는 컨텍스트를 제공할 수 있습니다.
자세한 내용은 Microsoft Sentinel에서 사용자 지정 가능한 이상 현상을 사용하여 위협을 감지하고 Microsoft Sentinel의 이상 현상 탐지 분석 규칙을 사용하여 작업하세요.
Microsoft 보안 규칙
예약된 규칙과 NRT 규칙은 만들어진 경고에 대한 인시던트를 자동으로 만들지만 외부 서비스에서 만들어지고 Microsoft Sentinel에 수집된 경고는 자체 인시던트를 만들지 않습니다. Microsoft 보안 규칙은 다른 Microsoft 보안 솔루션에서 생성된 경고에서 실시간으로 Microsoft Sentinel 인시던트를 자동으로 만듭니다. Microsoft 보안 템플릿을 사용하여 유사한 논리로 새 규칙을 만들 수 있습니다.
중요합니다
다음이 있는 경우 Microsoft 보안 규칙을 사용할 수 없습니다 .
- Microsoft Defender XDR 인시던트 통합이 사용하도록 설정된 경우 또는
- Defender 포털에 Microsoft Sentinel을 온보딩했습니다.
이러한 시나리오에서는 Microsoft Defender XDR이 인시던트를 대신 만듭니다.
사전에 정의한 규칙은 자동으로 사용하지 않도록 설정됩니다.
Microsoft 보안 인시던트 생성 규칙에 대한 자세한 내용은 Microsoft 보안 경고에서 자동으로 인시던트 만들기를 참조하세요.
위협 인텔리전스
Microsoft에서 생성한 위협 인텔리전스를 활용하여 Microsoft 위협 인텔리전스 분석 규칙을 사용하여 고화질 경고 및 인시던트 생성 이 고유한 규칙을 사용자 지정할 수 없지만 사용하도록 설정하면 이 규칙에서 CEF(Common Event Format) 로그, Syslog 데이터 또는 Windows DNS 이벤트를 Microsoft 위협 인텔리전스의 도메인, IP 및 URL 위협 지표와 자동으로 일치시킵니다. 특정 지표는 MDTI(Microsoft Defender 위협 인텔리전스)를 통해 더 많은 컨텍스트 정보를 포함합니다.
이 규칙을 사용하도록 설정하는 방법에 대한 자세한 내용은 일치 분석을 사용하여 위협을 감지하는 방법을 참조하세요.
MDTI에 대한 자세한 내용은 Microsoft Defender 위협 인텔리전스란?을 참조하세요.
고급 다단계 공격 탐지(Fusion)
Microsoft Sentinel은 확장 가능한 기계 학습 알고리즘과 함께 Fusion 상관 관계 엔진을 사용하여 여러 제품에 걸쳐 많은 낮은 충실도 경고 및 이벤트를 고화질 및 실행 가능한 인시던트와 상호 연결하여 고급 다단계 공격을 감지합니다. 고급 다단계 공격 검색 규칙은 기본적으로 사용하도록 설정됩니다. 논리가 숨겨져 있어 사용자 지정할 수 없으므로 이 템플릿에는 규칙이 하나만 있을 수 있습니다.
또한 Fusion 엔진은 예약된 분석 규칙에서 생성된 경고를 다른 시스템의 경고와 상호 연관시키며 결과적으로는 충실도가 높은 인시던트를 생성할 수 있습니다.
중요합니다
다음과 같은 경우 고급 다단계 공격 검색 규칙 유형을 사용할 수 없습니다 .
- Microsoft Defender XDR 인시던트 통합이 사용하도록 설정된 경우 또는
- Defender 포털에 Microsoft Sentinel을 온보딩했습니다.
이러한 시나리오에서는 Microsoft Defender XDR이 인시던트를 대신 만듭니다.
또한 Fusion 검색 템플릿 중 일부는 현재 미리 보기 로 제공됩니다( Microsoft Sentinel의 고급 다단계 공격 검색 을 참조하여 확인). 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법적 용어는 Microsoft Azure 미리 보기에 대한 추가 사용 약관 을 참조하세요.
ML(기계 학습) 동작 분석
Microsoft의 독점적인 기계 학습 알고리즘을 활용하여 ML 동작 분석 규칙을 사용하여 고화질 경고 및 인시던트를 생성합니다. 이러한 고유 규칙(현재 미리 보기)은 사용자 지정할 수 없지만 사용하도록 설정된 경우 IP 및 지리적 위치 및 사용자 기록 정보를 기반으로 특정 비정상적인 SSH 및 RDP 로그인 동작을 검색합니다.
분석 규칙에 대한 액세스 권한
분석 규칙을 만들면 액세스 권한 토큰이 규칙에 적용되고 함께 저장됩니다. 이 토큰은 규칙이 규칙에서 쿼리한 데이터를 포함하는 작업 영역에 액세스할 수 있도록 하고, 규칙 작성자가 해당 작업 영역에 대한 액세스 권한을 잃더라도 이 액세스가 유지되도록 합니다.
그러나 이 액세스에는 한 가지 예외가 있습니다. MSSP의 경우와 같이 다른 구독 또는 테넌트에서 작업 영역에 액세스하기 위한 규칙이 만들어지면 Microsoft Sentinel은 고객 데이터에 대한 무단 액세스를 방지하기 위해 추가 보안 조치를 취합니다. 이러한 종류의 규칙의 경우 규칙을 만든 사용자의 자격 증명이 독립적인 액세스 토큰 대신 규칙에 적용되므로 사용자가 더 이상 다른 구독이나 테넌트에 액세스할 수 없으면 규칙이 작동하지 않습니다.
구독 간 또는 테넌트 간 시나리오에서 Microsoft Sentinel을 운영하는 경우 분석가나 엔지니어 중 한 명이 특정 작업 영역에 대한 액세스 권한을 상실하게 되면 해당 사용자가 만든 모든 규칙이 작동하지 않습니다. 이 경우 "리소스에 대한 액세스 불충분"에 대한 상태 모니터링 메시지가 표시되고 특정 횟수에 실패한 후 규칙이 자동으로 비활성화 됩니다.
ARM 템플릿으로 규칙 내보내기
규칙을 관리하고 코드로 배포하려는 경우 ARM(Azure Resource Manager) 템플릿 으로 규칙을 쉽게 내보낼 수 있습니다. 사용자 인터페이스에서 규칙을 보고 편집하기 위해 템플릿 파일에서 규칙을 가져올 수도 있습니다.
다음 단계
Microsoft Sentinel의 예약된 분석 규칙과 Microsoft Sentinel에서 근 실시간(NRT) 분석 규칙을 사용한 빠른 위협 탐지에 대해 자세히 알아봅니다.
더 많은 규칙 템플릿을 찾으려면 Microsoft Sentinel 기본 제공 콘텐츠 검색 및 관리를 참조하세요.