다음을 통해 공유

Microsoft Sentinel(레거시)을 사용하여 인시던트 조사

  • 적용 대상: Microsoft Sentinel in the Azure portal

이 문서는 Microsoft Sentinel의 레거시 인시던트 조사 환경을 사용하는 데 도움이 됩니다. 최신 버전의 인터페이스를 사용하는 경우 최신 지침 집합을 일치시켜 사용합니다. 자세한 내용은 Microsoft Sentinel에서 인시던트 탐색 및 조사를 참조하세요.

데이터 원본을 Microsoft Sentinel에 연결한 후 의심스러운 일이 발생할 때 알림을 받고 싶습니다. 이 작업을 수행할 수 있도록 Microsoft Sentinel을 사용하면 할당하고 조사할 수 있는 인시던트를 생성하는 고급 분석 규칙을 만들 수 있습니다.

인시던트에는 여러 경고가 포함될 수 있습니다. 특정 조사에 대한 모든 관련 증거를 집계한 것입니다. 인시던트는 분석 페이지에서 만든 분석 규칙을 기반으로 만들어집니다. 심각도 및 상태와 같은 경고와 관련된 속성은 인시던트 수준에서 설정됩니다. Microsoft Sentinel에 찾고 있는 위협의 종류와 찾는 방법을 알린 후 인시던트를 조사하여 검색된 위협을 모니터링할 수 있습니다.

중요합니다

언급된 기능은 현재 미리 보기로 제공됩니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

필수 조건

  • 분석 규칙을 설정할 때 엔터티 매핑 필드를 사용한 경우에만 인시던트를 조사할 수 있습니다. 조사 그래프에서 원본 인시던트에 엔터티를 포함해야 합니다.

  • 인시던트를 할당해야 하는 게스트 사용자가 있는 경우 사용자에게 Microsoft Entra 테넌트에서 디렉터리 읽기 권한자 역할이 할당되어야 합니다. 일반(비구상) 사용자에게는 기본적으로 이 역할이 할당됩니다.

인시던트를 조사하는 방법

  1. 인시던트를 선택합니다. 인시던트 페이지에서는 얼마나 많은 인시던트가 있는지, 그리고 인시던트가 새로운지, 활성 상태인지, 종결되었는지를 알 수 있습니다. 각 인시던트에 대해 인시던트가 발생한 시간과 인시던트의 상태를 볼 수 있습니다. 심각도를 확인하여 먼저 처리해야 할 인시던트를 결정합니다.

    인시던트 심각도 보기의 스크린샷

  2. 필요에 따라 인시던트를 필터링할 수 있습니다(예: 상태 또는 심각도별로). 자세한 내용은 인시던트 검색을 참조하세요.

  3. 조사를 시작하려면 특정 인시던트를 선택합니다. 오른쪽에서는 심각도, 관련된 엔터티 수 요약, 이 인시던트를 트리거한 원시 이벤트, 인시던트의 고유 ID, 매핑된 MITRE ATT&CK 전술 또는 기법 등 인시던트에 대한 자세한 정보를 볼 수 있습니다.

  4. 인시던트의 경고 및 엔터티에 대한 자세한 내용을 보려면 인시던트 페이지에서 전체 세부 정보 보기를 선택하고 인시던트 정보를 요약하는 관련 탭을 검토합니다.

    경고 세부 정보 보기 스크린샷.

    • 현재 새 환경을 사용 중인 경우 인시던트 세부 정보 페이지의 오른쪽 위에서 해제하여 레거시 환경을 대신 사용합니다.

    • 타임라인 탭에서 공격자 활동의 타임라인을 재구성하는 데 도움이 될 수 있는 인시던트의 경고 및 책갈피 타임라인을 검토합니다.

    • 유사한 인시던트(미리 보기) 탭에는 현재 인시던트와 가장 유사한 최대 20개의 다른 인시던트 컬렉션이 표시됩니다. 이렇게 하면 인시던트를 더 큰 컨텍스트에서 볼 수 있고 조사를 지시하는 데 도움이 됩니다. 아래에서 유사한 사건에 대해 자세히 알아보세요.

    • 경고 탭에서 이 인시던트에 포함된 경고를 검토합니다. 경고에 대한 모든 관련 정보(경고를 생성한 분석 규칙, 경고당 반환된 결과 수, 경고에 대해 플레이북을 실행하는 기능)를 볼 수 있습니다. 인시던트를 더 자세히 드릴다운하려면 이벤트 수를 선택합니다. 그러면 결과를 생성한 쿼리와 Log Analytics에서 경고를 트리거한 이벤트가 열립니다.

    • 책갈피 탭에서 사용자 또는 다른 조사자가 이 인시던트에 연결한 책갈피를 볼 수 있습니다. 북마크에 대해 자세히 알아보세요.

    • Entities(엔터티) 탭에서는 경고 규칙 정의의 일부로 매핑한 모든 엔터티를 볼 수 있습니다. 이러한 개체는 사용자, 디바이스, 주소, 파일 또는 기타 형식 등 인시던트에서 역할을 한 개체입니다.

    • 마지막으로 [의견] 탭에서 조사에 대한 의견을 추가하고 다른 분석가 및 조사관이 작성한 의견을 볼 수 있습니다. 댓글에 대해 자세히 알아보세요.

  5. 인시던트를 적극적으로 조사하는 경우 인시던트를 닫을 때까지 인시던트의 상태를 활성 으로 설정하는 것이 좋습니다.

  6. 인시던트는 특정 사용자 또는 그룹에 할당할 수 있습니다. 각 인시던트에 대해 소유자 필드를 설정하여 소유자를 할당할 수 있습니다. 모든 인시던트는 할당되지 않은 상태로 시작됩니다. 또한 다른 분석가가 조사한 내용과 인시던트에 대한 우려 사항을 이해할 수 있도록 설명을 추가할 수도 있습니다.

    사용자에게 인시던트 할당 스크린샷

    최근에 선택한 사용자 및 그룹이 그림 드롭다운 목록의 맨 위에 표시됩니다.

  7. 조사를 선택하여 조사 맵을 봅니다.

조사 그래프를 사용하여 심층 분석

조사 그래프를 통해 분석가는 각 조사에 대해 적절한 질문을 할 수 있습니다. 조사 그래프는 관련 데이터를 관련 엔터티와 상호 연관시켜 잠재적인 보안 위협의 범위를 이해하고 근본 원인을 식별하는 데 도움이 됩니다. 더 깊이 파고들어 그래프에 표시된 엔터티를 선택하고 다양한 확장 옵션 중에서 선택하여 조사할 수 있습니다.

조사 그래프는 다음을 제공합니다.

  • 원시 데이터의 시각적 컨텍스트: 실시간 시각적 그래프는 원시 데이터에서 자동으로 추출된 엔터티 관계를 표시합니다. 이를 통해 다양한 데이터 원본 간의 연결을 쉽게 확인할 수 있습니다.

  • 전체 조사 범위 검색: 기본 제공 탐색 쿼리를 사용하여 조사 범위를 확장하여 위반의 전체 범위를 표시합니다.

  • 기본 제공 조사 단계: 미리 정의된 탐색 옵션을 사용하여 위협에 직면했을 때 올바른 질문을 하고 있는지 확인합니다.

조사 그래프를 사용하려면:

  1. 인시던트를 선택한 다음 조사를 선택하십시오. 그러면 조사 그래프로 이동합니다. 그래프는 경고에 직접 연결된 엔터티 및 추가로 연결된 각 리소스의 설명 맵을 제공합니다.

    지도를 봅니다.

    중요합니다

    • 분석 규칙을 설정할 때 엔터티 매핑 필드를 사용한 경우에만 인시던트를 조사할 수 있습니다. 조사 그래프에서 원본 인시던트에 엔터티를 포함해야 합니다.

    • Microsoft Sentinel은 현재 최대 30일이 지난 인시던트 조사를 지원합니다.

  2. 엔터티를 선택하여 엔터티 창을 열어 해당 엔터티 에 대한 정보를 검토할 수 있습니다.

    맵에서 엔터티 보기

  3. 각 엔터티 위로 마우스를 가져가면 엔터티 유형별로 보안 전문가와 분석가가 설계한 질문 목록이 표시되어 조사를 심화하여 조사를 확장할 수 있습니다. 이러한 옵션 탐색 쿼리를 호출합니다.

    자세한 정보 살펴보기

    예를 들어 관련 경고를 요청할 수 있습니다. 탐색 쿼리를 선택하면 결과 엔터티가 그래프에 다시 추가됩니다. 이 예제에서 관련 경고를 선택하면 다음 경고가 그래프로 반환되었습니다.

    스크린샷: 관련 경고 보기

    관련 경고가 점선으로 엔터티에 연결된 것으로 나타나는지 확인합니다.

  4. 각 탐색 쿼리에 대해 이벤트를 선택하여 원시 이벤트 결과 및 Log Analytics에 사용되는 쿼리를 여는 옵션을 선택할 수 있습니다>.

  5. 인시던트를 이해하기 위해 그래프는 병렬 타임라인을 제공합니다.

    스크린샷: 맵에서 타임라인 보기

  6. 타임라인을 가리켜 그래프에서 어떤 시점에 어떤 항목이 발생했는지 확인합니다.

    스크린샷: 맵에서 타임라인을 사용하여 경고를 조사합니다.'

조사에 집중

인시던트에 경고를 추가하거나 인시던트에서 경고를 제거하여 조사 범위를 넓히거나 좁힐 수 있는 방법을 알아봅니다.

유사한 인시던트(미리 보기)

보안 운영 분석가로서 인시던트를 조사할 때 더 큰 컨텍스트에 주의해야 합니다. 예를 들어 이와 같은 다른 사건이 이전에 발생했거나 지금 발생하고 있는지 확인하고 싶을 것입니다.

  • 동일한 대규모 공격 전략의 일부일 수 있는 동시 인시던트를 식별할 수 있습니다.

  • 과거에 유사한 인시던트를 식별하여 현재 조사를 위한 참조 지점으로 사용할 수 있습니다.

  • 과거 유사한 인시던트의 소유자를 식별하고 SOC에서 더 많은 컨텍스트를 제공하거나 조사를 에스컬레이션할 수 있는 사용자를 찾을 수 있습니다.

현재 미리 보기 상태인 인시던트 세부 정보 페이지의 유사한 인시던트 탭에는 현재 인시던트와 가장 유사한 최대 20개의 다른 인시던트가 표시됩니다. 유사성은 내부 Microsoft Sentinel 알고리즘에 의해 계산되며, 인시던트는 유사성의 내림차순으로 정렬되어 표시됩니다.

유사한 인시던트 표시의 스크린샷

유사도 계산

유사성을 결정하는 세 가지 기준이 있습니다.

  • 유사한 엔터티: 인시던트는 둘 다 동일한 엔터티를 포함하는 경우 다른 인시던트와 유사한 것으로 간주됩니다. 두 인시던트의 공통점이 많을수록 더 유사한 것으로 간주됩니다.

  • 비슷한 규칙 : 인시던트는 둘 다 동일한 분석 규칙에 의해 생성된 경우 다른 인시던트와 유사한 것으로 간주됩니다.

  • 유사한 경고 세부 정보: 인시던트는 동일한 제목, 제품 이름 및/또는 사용자 지정 세부 정보를 공유하는 경우 다른 인시던트와 유사한 것으로 간주됩니다.

유사한 인시던트 목록에 인시던트가 표시되는 이유는 유사성 이유 열에 표시됩니다. 정보 아이콘 위로 마우스를 가져가면 공통 항목(엔티티, 규칙 이름 또는 세부 정보)이 표시됩니다.

유사한 인시던트 세부 정보의 팝업 표시 스크린샷

유사성 기간

인시던트 유사성은 인시던트의 가장 최근 경고의 종료 시간인 인시던트의 마지막 작업 이전 14일의 데이터를 기반으로 계산됩니다.

인시던트 유사성은 인시던트 세부 정보 페이지에 들어갈 때마다 다시 계산되므로 새 인시던트가 생성되거나 업데이트된 경우 세션마다 결과가 달라질 수 있습니다.

인시던트에 대한 댓글 달기

보안 운영 분석가는 인시던트를 조사할 때 경영진에 대한 정확한 보고를 보장하고 동료 간의 원활한 협력 및 협업을 가능하게 하기 위해 수행하는 단계를 철저히 문서화해야 합니다. Microsoft Sentinel은 이 작업을 수행하는 데 도움이 되는 풍부한 주석 환경을 제공합니다.

댓글로 할 수 있는 또 다른 중요한 일은 인시던트를 자동으로 강화하는 것입니다. 외부 원본에서 관련 정보를 가져오는 인시던트에 대한 플레이북을 실행하는 경우(예: VirusTotal에서 파일에 맬웨어가 있는지 확인) 플레이북이 인시던트의 주석에 정의한 다른 정보와 함께 외부 소스의 응답을 배치하도록 할 수 있습니다.

주석은 사용하기 쉽습니다. 인시던트 세부 정보 페이지의 Comments(댓글 ) 탭을 통해 액세스할 수 있습니다.

메모를 보고 입력하는 스크린샷.

인시던트 댓글에 대해 자주 묻는 질문

인시던트 주석을 사용할 때 고려해야 할 몇 가지 고려 사항이 있습니다. 다음 질문 목록은 이러한 고려 사항을 나타냅니다.

어떤 종류의 입력이 지원되나요?

  • 문자 메시지: Microsoft Sentinel의 주석은 일반 텍스트, 기본 HTML 및 Markdown의 텍스트 입력을 지원합니다. 복사한 텍스트, HTML 및 Markdown을 주석 창에 붙여넣을 수도 있습니다.

  • 이미지: 댓글에 이미지에 대한 링크를 삽입할 수 있으며 이미지는 인라인으로 표시되지만 이미지는 Dropbox, OneDrive, Google Drive 등과 같이 공개적으로 액세스할 수 있는 위치에 이미 호스팅되어 있어야 합니다. 이미지는 주석에 직접 업로드할 수 없습니다.

댓글에 크기 제한이 있나요?

  • 주석당: 단일 주석은 최대 30,000자를 포함할 수 있습니다.

  • 인시던트당: 단일 인시던트에는 최대 100개의 댓글이 포함될 수 있습니다.

    비고

    Log Analytics의 SecurityIncident 테이블에 있는 단일 인시던트 레코드의 크기 제한은 64KB입니다. 이 제한을 초과하면 주석(가장 빠른 것부터 시작)이 잘리므로 고급 검색 결과에 표시되는 주석에 영향을 줄 수 있습니다.

    인시던트 데이터베이스의 실제 인시던트 레코드는 영향을 받지 않습니다.

댓글을 편집하거나 삭제할 수 있는 사람은 누구인가요?

  • 편집: 주석 작성자만 편집할 수 있는 권한이 있습니다.

  • 삭제:Microsoft Sentinel 기여자 역할이 있는 사용자만 메모를 삭제할 수 있는 권한이 있습니다. 주석 작성자라도 삭제하려면 이 역할이 있어야 합니다.

인시던트 닫기

특정 인시던트를 해결하면(예: 조사가 결론에 도달한 경우) 인시던트의 상태를 종결됨으로 설정해야 합니다. 이렇게 하면 인시던트를 종료하는 이유를 지정하여 인시던트를 분류하라는 메시지가 표시됩니다. 이 단계는 필수입니다. 분류 선택을 선택하고 드롭다운 목록에서 다음 중 하나를 선택합니다.

  • 참 긍정 - 의심스러운 활동
  • 양성 긍정 - 의심스럽지만 예상됨
  • 거짓 긍정 - 잘못된 경고 논리
  • 거짓 긍정 - 잘못된 데이터
  • 결정되지 않음

분류 선택 목록에서 사용할 수 있는 분류를 강조 표시하는 스크린샷

가양성 및 양성 오진에 대한 자세한 내용은 Microsoft Sentinel에서 거짓 양성 처리를 참조하세요.

적절한 분류를 선택한 후 메모 필드에 설명 텍스트를 추가합니다. 이 기능은 이 인시던트에 다시 참조해야 하는 경우에 유용합니다. 완료되면 적용 을 선택하고 인시던트가 닫힙니다.

인시던트를 닫는 스크린샷

인시던트 검색

특정 인시던트를 빠르게 찾으려면 인시던트 표 위의 검색 상자에 검색 문자열을 입력하고 Enter 키를 눌러 그에 따라 표시되는 인시던트 목록을 수정합니다. 인시던트가 결과에 포함되지 않은 경우 고급 검색 옵션을 사용하여 검색 범위를 좁힐 수 있습니다.

검색 매개 변수를 수정하려면 검색 단추를 선택한 다음 검색을 실행할 매개 변수를 선택합니다.

다음은 그 예입니다.

기본 및/또는 고급 검색 옵션을 선택하는 인시던트 검색 상자 및 단추의 스크린샷

기본적으로 인시던트 검색은 인시던트 ID, 제목, 태그, 소유자제품 이름 값에서만 실행됩니다. 검색 창에서 목록을 아래로 스크롤하여 검색할 다른 매개 변수를 하나 이상 선택하고 적용 을 선택하여 검색 매개 변수를 업데이트합니다. 기본값으로 설정을 선택하여 선택한 매개 변수를 기본값으로 재설정합니다.

비고

소유자 필드의 검색은 이름과 전자 메일 주소를 모두 지원합니다.

고급 검색 옵션을 사용하면 검색 동작이 다음과 같이 변경됩니다.

검색 동작 설명
검색 단추 색 검색 단추의 색은 현재 검색에 사용되는 매개 변수의 형식에 따라 변경됩니다.
  • 기본 매개 변수만 선택하면 단추가 회색으로 표시됩니다.
  • 고급 검색 매개 변수와 같은 다른 매개 변수를 선택하는 즉시 단추가 파란색으로 바뀝니다.
자동 새로 고침 고급 검색 매개 변수를 사용하면 결과를 자동으로 새로 고치도록 선택할 수 없게 됩니다.
엔터티 매개 변수 모든 엔터티 매개 변수는 고급 검색에 대해 지원됩니다. 엔터티 매개 변수에서 검색할 때 검색은 모든 엔터티 매개 변수에서 실행됩니다.
문자열 검색 단어 문자열을 검색하면 검색 쿼리에 모든 단어가 포함됩니다. 검색 문자열은 대/소문자를 구분합니다.
작업 영역 간 지원 고급 검색은 작업 영역 간 보기에 대해 지원되지 않습니다.
표시된 검색 결과 수 고급 검색 매개 변수를 사용하는 경우 한 번에 50개의 결과만 표시됩니다.

팁 (조언)

찾고 있는 인시던트를 찾을 수 없는 경우 검색 매개 변수를 제거하여 검색을 확장합니다. 검색 결과 항목이 너무 많으면 필터를 더 추가하여 결과의 범위를 좁힐 수 있습니다.

관련 콘텐츠

이 문서에서는 Microsoft Sentinel을 사용하여 인시던트 조사를 시작하는 방법을 배웠습니다. 자세한 내용은 다음을 참조하세요.