Microsoft Sentinel 위협 인텔리전스와 함께 작업

위협 인텔리전스의 간소화된 만들기 및 관리를 통해 위협 감지 및 수정을 가속화합니다. 이 문서에서는 Defender 포털 또는 Azure Portal의 Microsoft Sentinel에서 액세스하든 관리 인터페이스에서 위협 인텔리전스 통합을 최대한 활용하는 방법을 보여 줍니다.

• 구조화된 위협 정보 식(STIX)을 사용하여 위협 인텔리전스 개체를 만듭니다.
• 보기, 큐레이팅, 시각화를 통해 위협 인텔리전스를 관리합니다.

필수 조건

• 위협 인텔리전스를 관리하려면 사용자 계정에 할당된 Microsoft Sentinel 기여자 이상의 권한이 필요합니다.
• 위협 인텔리전스를 가져오고 내보내려면 Microsoft Sentinel에 위협 인텔리전스 솔루션을 설치하고 STIX/TAXII를 사용하여 Microsoft Sentinel에서 위협 인텔리전스를 가져오고 내보내는 데 설명된 대로 관련 커넥터를 사용하도록 설정해야 합니다.

관리 인터페이스에 액세스

위협 인텔리전스를 어디에서 사용할지에 따라 다음 탭 중 하나를 참조하세요. 사용하는 포털에 따라 관리 인터페이스에 액세스하는 방식이 다르지만, 해당 포털에 액세스하면 만들기 및 관리 작업 단계는 동일합니다.

위협 인텔리전스 만들기

관리 인터페이스를 사용하여 STIX 개체를 만들고 표시기 태그 지정 및 개체 간 연결 설정과 같은 기타 일반적인 위협 인텔리전스 작업을 수행합니다.

• 새로운 STIX 개체를 만들 때 관계를 정의합니다.
• 복제 기능을 사용하여 새 TI 개체나 기존 TI 개체의 메타데이터를 복사하여 빠르게 여러 개체를 만듭니다.

지원되는 STIX 개체에 대한 자세한 내용은 Microsoft Sentinel의 위협 인텔리전스를 참조하세요.

새로운 STIX 개체 만들기

1. 새>TI 개체 추가를 선택합니다.

   

2. 개체 유형을 선택한 다음 새 TI 개체 페이지에서 양식을 작성합니다. 필수 필드는 빨간색 별표(*)로 표시됩니다.

3. TI 개체에 민감도 값 또는 TLP(신호등 프로토콜) 등급을 지정하는 것이 좋습니다. 값이 나타내는 내용에 대한 자세한 내용은 위협 인텔리전스 큐레이션을 참조하세요.

4. 이 개체가 다른 위협 인텔리전스 개체와 어떻게 관련되어 있는지 알고 있다면 관계 형식 및 대상 참조를 통해 해당 연결을 표시합니다.

5. 개별 개체에 대해 추가를 선택하거나 동일한 메타데이터로 더 많은 항목을 만들려면 추가 및 복제를 선택합니다. 다음 이미지는 복제된 각 STIX 개체의 메타데이터의 공통 섹션을 보여 줍니다.

위협 인텔리전스 관리

수집 규칙을 사용하여 원본에서 TI를 최적화합니다. 관계 작성기를 사용하여 기존 TI를 큐레이션합니다. 관리 인터페이스를 사용하여 위협 인텔리전스를 검색, 필터링, 정렬한 다음 태그를 추가합니다.

수집 규칙을 사용하여 위협 인텔리전스 피드 최적화

TI 피드의 노이즈를 줄이고, 높은 값 표시기의 유효성을 연장하고, 수신 개체에 의미 있는 태그를 추가합니다. 이는 수집 규칙의 몇 가지 사용 사례일 뿐입니다. 높은 값 표시기의 유효 기간을 연장하는 단계는 다음과 같습니다.

1. 수집 규칙을 선택하면 기존 규칙을 보고 새로운 규칙 논리를 구성할 수 있는 완전히 새로운 페이지가 열립니다.

   

2. 규칙을 설명하는 이름을 입력합니다. 수집 규칙 페이지에는 이름에 대한 충분한 규칙이 있지만, 규칙을 편집하지 않고도 규칙을 구별하는 데 사용할 수 있는 유일한 텍스트 설명입니다.

3. 개체 유형을 선택합니다. 이 사용 사례는 Valid from 개체 형식에만 사용할 수 있는 Indicator 속성 확장에 기초합니다.

4. Source에 대한 Equals를 수행하고 높은 값 Source를 선택합니다.

5. Confidence에 대한 Greater than or equal를 입력하고 Confidence 점수를 입력합니다.

6. 작업을 선택합니다. 이 표시기를 수정하고 싶으므로 Edit를 선택합니다.

7. , Valid until에 대한 Extend by를 선택하고 일 단위의 기간을 선택합니다.

8. Extended와 같이 이러한 표시기에 높은 값을 부여한다는 것을 나타내는 태그를 추가하는 것이 좋습니다. 수정된 날짜는 수집 규칙에 의해 업데이트되지 않습니다.

9. 규칙을 실행할 주문을 선택합니다. 규칙은 가장 낮은 순서 번호부터 가장 높은 순서 번호까지 적용됩니다. 각 규칙은 수집된 모든 개체를 평가합니다.

10. 규칙을 사용하도록 설정할 준비가 되었다면 상태를 켜짐으로 전환합니다.

11. 추가를 선택하여 수집 규칙을 만듭니다.

자세한 내용은 위협 인텔리전스 수집 규칙을 참조하세요.

관계 작성기를 사용하여 위협 인텔리전스를 큐레이션합니다.

위협 인텔리전스 개체를 관계 작성기와 연결합니다. 작성기에는 한 번에 최대 20개의 관계가 있지만, 여러 번 반복하고 새 개체에 대한 관계 대상 참조를 추가하면 더 많은 연결을 만들 수 있습니다.

1. 새로 추가>TI 관계를 선택합니다.

2. 위협 작업자 또는 공격 패턴과 같은 기존 TI 개체로 시작합니다. 여기서 단일 개체는 표시기와 같은 하나 이상의 기존 개체에 연결됩니다.

3. 다음 표와 STIX 2.1 참조 관계 요약 표에 설명된 모범 사례에 따라 관계 형식을 추가합니다.

   관계 유형	설명
   관련 항목에서 파생된 항목의 중복	모든 SDO(STIX 도메인 개체)에 대해 정의된 공통 관계 자세한 내용은 일반 관계에 대한 STIX 2.1 참조를 참조하세요.
   대상	Attack pattern 또는 Threat actor 대상 Identity
   사용	Threat actor사용Attack pattern
   특성 사용	Threat actor 특성 사용 Identity
   표시	Indicator 표시 또는 Attack pattern 또는 Threat actor
   가장	Threat actor 가장 Identity

4. 관계 작성기를 사용하는 방법의 예로 다음 이미지를 사용합니다. 이 예제에서는 Defender 포털에서 관계 작성기를 사용하여 위협 행위자와 공격 패턴, 표시기 및 ID 간에 연결하는 방법을 보여 줍니다.

   

5. 공통 속성을 구성하여 관계를 완료합니다.

관리 인터페이스에서 위협 인텔리전스 확인

Log Analytics 쿼리를 작성하지 않고도 수집된 모든 원본에서 위협 인텔리전스를 정렬, 필터링, 검색할 수 있는 관리 인터페이스를 사용합니다.

1. 관리 인터페이스에서 무엇을 검색하려고 하나요? 메뉴를 확장합니다.

2. STIX 개체 유형을 선택하거나 기본값인 모든 개체 유형을 그대로 둡니다.

3. 논리 연산자를 사용하여 조건을 선택합니다.

4. 자세한 정보를 보고 싶은 개체를 선택합니다.

다음 이미지에서는 여러 원본을 OR 그룹으로 묶어 검색에 사용했고, 여러 조건을 AND 연산자로 그룹화했습니다.

Microsoft Sentinel은 이 보기에서 위협 인텔리전스의 현재 버전만 표시합니다. 개체를 업데이트하는 방법에 대한 자세한 내용은 위협 인텔리전스 수명 주기를 참조하세요.

IP 및 도메인 이름 표시기는 추가 GeoLocation 및 WhoIs 데이터로 보강되어 표시기가 발견된 모든 조사에 대한 더 많은 컨텍스트를 제공할 수 있습니다.

예를 들면 다음과 같습니다.

위협 인텔리전스 태그 지정 및 편집

위협 인텔리전스에 태그를 지정하면 개체를 그룹화하여 찾기 쉽게 만들 수 있는 빠른 방법입니다. 일반적으로 특정 인시던트와 관련된 태그를 적용할 수 있습니다. 하지만 개체가 특정 알려진 작업자나 잘 알려진 공격 캠페인의 위협을 나타내는 경우 태그 대신 관계를 만드는 것이 좋습니다.

1. 관리 인터페이스를 사용하여 위협 인텔리전스를 정렬, 필터링하고 검색합니다.
2. 작업하려는 개체를 찾은 후 동일한 형식의 개체를 하나 이상 선택하여 다중 선택합니다.
3. 태그 추가를 선택하고 하나 이상의 태그로 모든 태그를 한 번에 지정합니다.
4. 태그 지정은 자유 형식이므로 조직의 태그에 대한 표준 명명 규칙을 만드는 것이 좋습니다.

Microsoft Sentinel에서 직접 만들었든, TIP 및 TAXII 서버와 같은 파트너 원본에서 만들었든, 한 번에 하나의 개체씩 위협 인텔리전스를 편집합니다. 관리 인터페이스에서 만들어진 위협 인텔리전스의 경우 모든 필드를 편집할 수 있습니다. 파트너 원본에서 수집한 위협 인텔리전스의 경우 태그, 만료 날짜, 신뢰도, 철회됨을 포함한 특정 필드만 편집할 수 있습니다. 어느 쪽이든 해당 개체의 최신 버전만 관리 인터페이스에 나타납니다.

위협 인텔리전스가 업데이트되는 방법에 대한 자세한 내용은 위협 인텔리전스 보기를 참조하세요.

쿼리를 사용하여 위협 인텔리전스를 찾아 확인

이 절차에서는 원본 피드나 수집 방법에 관계없이 쿼리를 사용하여 위협 인텔리전스를 보는 방법을 설명합니다.

위협 표시기는 Microsoft Sentinel ThreatIntelligenceIndicator ​​테이블에 저장됩니다. 이 테이블은 분석, 헌팅, 통합 문서와 같은 다른 Microsoft Sentinel 기능에서 수행되는 위협 인텔리전스 쿼리의 기초입니다.

자세한 내용은 위협 인텔리전스 보기를 참조하세요.

통합 문서를 사용하여 위협 인텔리전스 시각화

특별히 빌드된 Microsoft Sentinel 통합 문서를 사용하여 Microsoft Sentinel의 위협 인텔리전스에 대한 주요 정보를 시각화하고 비즈니스 요구 사항에 따라 통합 문서를 사용자 지정합니다.

Microsoft Sentinel에서 제공하는 위협 인텔리전스 통합 문서를 찾는 방법과 통합 문서를 편집하여 사용자 지정하는 방법의 예제는 다음과 같습니다.

1. Azure Portal에서 Microsoft Sentinel로 이동합니다.

2. 위협 인텔리전스 데이터 커넥터를 사용하여 위협 지표를 가져온 작업 영역을 선택합니다.

3. Microsoft Sentinel 메뉴의 위협 관리 섹션에서 통합 문서를 선택합니다.

4. 위협 인텔리전스라는 통합 문서를 찾습니다. ThreatIntelligenceIndicator 테이블에 데이터가 있는지 확인합니다.

   

5. 저장을 선택하고 통합 문서를 저장할 Azure 위치를 선택합니다. 어떤 방식으로든 통합 문서를 수정하고 변경 내용을 저장하려는 경우 이 단계가 필요합니다.

6. 이제 저장된 통합 문서 보기를 선택하여 보기 및 편집을 위해 통합 문서를 엽니다.

7. 이제 템플릿에서 제공하는 기본 차트가 표시됩니다. 차트를 수정하려면 페이지 맨 위에서 편집을 선택하여 통합 문서의 편집 모드를 시작합니다.

8. 위협 유형별 위협 지표라는 새 차트를 추가합니다. 페이지의 아래쪽으로 스크롤하여 쿼리 추가를 선택합니다.

9. Log Analytics 작업 영역 로그 쿼리 텍스트 상자에 다음 텍스트를 추가합니다.

   ThreatIntelligenceIndicator
   | summarize count() by ThreatType
   

   이전 예에서 사용된 다음 항목에 대한 자세한 내용은 Kusto 설명서를 참조하세요.

   • summarize 연산자
   • count() 집계 함수

10. 시각화 드롭다운 메뉴에서 막대형 차트를 선택합니다.

11. 편집 완료를 선택하고 통합 문서의 새 차트를 봅니다.

    

통합 문서는 Microsoft Sentinel의 모든 측면에 대한 정보를 제공하는 강력한 대화형 대시보드를 제공합니다. 통합 문서를 사용하여 많은 작업을 수행할 수 있으며 제공된 템플릿은 좋은 시작점입니다. 고유한 방식으로 데이터를 시각화할 수 있도록 여러 데이터 원본을 결합하여 템플릿을 사용자 지정하거나 새 대시보드를 만듭니다.

Microsoft Sentinel 통합 문서는 Azure Monitor 통합 문서를 기반으로 하므로 광범위한 설명서와 더 많은 템플릿을 사용할 수 있습니다. 자세한 내용은 Azure Monitor 통합 문서를 사용하여 대화형 보고서 만들기를 참조하세요.

GitHub에는 Azure Monitor 통합 문서를 위한 풍부한 리소스도 있으며 여기서 더 많은 템플릿을 다운로드하고 고유의 템플릿을 기여할 수 있습니다.

위협 인텔리전스 내보내기

Microsoft Sentinel을 사용하면 위협 인텔리전스를 다른 대상으로 내보낼 수 있습니다. 예를 들어 위협 인텔리전스 - TAXII 데이터 커넥터를 사용하여 위협 인텔리전스를 수집한 경우 양방향 인텔리전스 공유를 위해 위협 인텔리전스를 원본 플랫폼으로 다시 내보낼 수 있습니다. 내보내기 기능을 사용하면 위협 인텔리전스를 배포하기 위한 수동 프로세스 또는 사용자 지정 플레이북의 필요성이 줄어듭니다.

위협 인텔리전스를 내보내려면 다음을 수행합니다.

1. Defender 포털의 Microsoft Sentinel의 경우 위협 인텔리전스 >인텔 관리를 선택합니다. Azure Portal의 Microsoft Sentinel에 대해 위협 관리 > 위협 인텔리전스를 선택합니다.

2. 하나 이상의 STIX 개체를 선택한 다음 페이지 맨 위에 있는 도구 모음에서 내보내 기를 선택합니다. 다음은 그 예입니다.

   • Defender 포털
   • Azure Portal

   

3. 내보내기 창의 TI 내보내기 드롭다운에서 위협 인텔리전스를 내보낼 서버를 선택합니다.

   나열된 서버가 없는 경우 위협 인텔리전스 사용 - TAXII 내보내기 데이터 커넥터에 설명된 대로 내보내기 서버를 먼저 구성해야 합니다. Microsoft Sentinel은 현재 TAXII 2.1 기반 플랫폼으로만 내보내기를 지원합니다.

4. 내보내기를 선택합니다.

   중요

   위협 인텔리전스 개체를 내보낼 때 시스템은 대량 작업을 수행합니다. 이 대량 작업이 때때로 실패하는 알려진 문제가 있습니다. 이 경우 내보내기 쪽 패널을 열 때 대량 작업 기록 보기에서 실패한 작업을 제거하라는 경고가 표시됩니다. 실패한 작업을 제거할 때까지 시스템에서 후속 작업을 일시 중지합니다.

내보내기 기록에 액세스하려면 다음을 수행합니다.

1. Intel 관리(Defender 포털) 또는 위협 인텔리전스 페이지(Azure Portal)에서 내보낸 항목으로 이동합니다.
2. 내보내기 열에서 내보내기 기록 보기를 선택하여 해당 항목의 내보내기 기록을 표시합니다.

관련 콘텐츠

자세한 내용은 다음 문서를 참조하세요.

• Microsoft Sentinel의 위협 인텔리전스.
• Microsoft Sentinel을 STIX/TAXII 위협 인텔리전스 피드에 연결합니다.
• Microsoft Sentinel과 쉽게 통합할 수 있는 TIP, TAXII 피드 및 보강을 확인합니다.

KQL에 대한 자세한 내용은 KQL(Kusto 쿼리 언어) 개요를 참조하세요.

기타 리소스:

• KQL 빠른 참조
• Kusto 쿼리 언어 학습 리소스