지금까지 가장 일반적인 유형의 분석 규칙인 예약된 규칙은 일정한 간격으로 실행되고 정의된 "조회" 기간의 원시 데이터를 검사하도록 구성된 Kusto 쿼리 를 기반으로 합니다. 쿼리는 대상 데이터에 대해 복잡한 통계 작업을 수행하여 이벤트 그룹의 기준과 이상값을 드러낼 수 있습니다. 쿼리로 캡처한 결과 수가 규칙에 구성된 임계값을 초과하면 규칙이 경고를 생성합니다.
이 문서는 예약된 분석 규칙이 빌드되는 방식을 이해하는 데 도움이 되며 모든 구성 옵션 및 해당 의미를 소개합니다. 이 문서의 정보는 다음과 같은 두 가지 시나리오에서 유용합니다.
템플릿에서 분석 규칙을 만듭니다. 템플릿에 정의된 대로 쿼리 논리와 예약 및 조회 설정을 사용하거나 사용자 지정하여 새 규칙을 만듭니다.
처음부터 분석 규칙을 만듭니다 . 처음부터 고유한 쿼리 및 규칙을 빌드합니다. 이를 효과적으로 수행하려면 데이터 과학 및 Kusto 쿼리 언어에 대한 철저한 기초 지식이 있어야 합니다.
중요합니다
Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스가 없는 고객을 포함하여 Microsoft Defender 포털에서 일반적으로 사용할 수 있습니다.
2026년 7월부터 Azure Portal에서 Microsoft Sentinel을 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel을 사용합니다. 2025년 7월부터 많은 신규 고객이 자동으로 온보딩되고 Defender 포털로 리디렉션됩니다.
Azure Portal에서 Microsoft Sentinel을 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 에서 제공하는 통합 보안 작업 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다. 자세한 내용은 보안을 강화하기 위해 It's Time to Move: Retiring Microsoft Sentinel's Azure Portal을 참조하세요.
분석 규칙 템플릿
예약된 규칙 템플릿의 쿼리는 Microsoft 또는 템플릿을 제공하는 솔루션 공급업체의 보안 및 데이터 과학 전문가에 의해 작성되었습니다.
템플릿 목록에서 템플릿 이름을 선택하고 이를 기반으로 규칙을 만들어 분석 규칙 템플릿을 사용합니다.
각 템플릿에는 필요한 데이터 원본 목록이 있습니다. 템플릿을 열면 데이터 원본의 가용성이 자동으로 검사됩니다. 가용성은 데이터 원본이 연결되고 데이터가 정기적으로 수집되고 있음을 의미합니다. 필요한 데이터 원본을 사용할 수 없는 경우 규칙을 만들 수 없으며 해당 효과에 대한 오류 메시지가 표시될 수도 있습니다.
템플릿으로 규칙을 만들면 선택한 템플릿에 따라 규칙 만들기 마법사가 열립니다. 모든 세부 정보가 자동으로 채워지며, 논리 및 기타 규칙 설정을 사용자 지정하여 특정 요구에 더 적합하게 만들 수 있습니다. 이 프로세스를 반복하여 템플릿을 기반으로 하는 규칙을 더 많이 만들 수 있습니다. 규칙 만들기 마법사의 끝에 도달하면 사용자 지정 내용의 유효성이 검사되고 규칙이 만들어집니다. 새 규칙은 분석 페이지의 활성 규칙 탭에 표시됩니다. 마찬가지로 규칙 템플릿 탭에서 규칙을 만든 템플릿이 이제 태그와 함께 In use 표시됩니다.
분석 규칙 템플릿은 버그를 수정하거나 쿼리를 구체화하기 위해 작성자가 지속적으로 유지 관리합니다. 템플릿이 업데이트를 받으면 해당 템플릿을 기반으로 하는 모든 규칙이 Update 태그와 함께 표시되며 템플릿의 변경 내용을 포함하도록 해당 규칙을 수정할 수 있습니다. 규칙에서 변경한 내용을 원래 템플릿 기반 버전으로 되돌릴 수도 있습니다. 자세한 내용은 Microsoft Sentinel에서 예약된 분석 규칙에 대한 템플릿 버전 관리를 참조하세요.
이 문서의 구성 옵션에 익숙해지면 템플릿에서 예약된 분석 규칙 만들기를 참조하세요.
이 문서의 나머지 부분에는 규칙의 구성을 사용자 지정할 수 있는 모든 가능성이 설명되어 있습니다.
분석 규칙 구성
이 섹션에서는 규칙 구성을 시작하기 전에 고려해야 할 주요 고려 사항에 대해 설명합니다.
분석 규칙 이름 및 세부 정보
분석 규칙 마법사의 첫 페이지에는 규칙의 기본 정보가 포함되어 있습니다.
이름: 규칙 목록 및 규칙 기반 필터에 표시되는 규칙의 이름입니다. 이름은 작업 영역에 대해 고유해야 합니다.
묘사: 규칙의 목적에 대한 자유 텍스트 설명입니다.
아이디: API 요청 및 응답에 사용되는 Azure 리소스로 규칙에 할당된 GUID이며, 다른 용도로도 사용됩니다. 이 GUID는 규칙을 만들 때만 할당되므로 기존 규칙을 편집할 때만 표시됩니다. 읽기 전용 필드이기 때문에 회색으로 표시되며 변경할 수 없습니다. 템플릿으로 또는 처음부터 새 규칙을 만들 때는 아직 존재하지 않습니다.
심각도: 이 규칙에서 생성된 경고를 제공하는 등급입니다. 활동의 심각도는 활동 발생의 잠재적인 부정적인 영향을 계산하는 것입니다.
| 심각도 | 설명 |
|---|---|
| 정보 제공 | 시스템에는 영향을 미치지 않지만 해당 정보는 위협 행위자가 계획한 향후 단계를 나타낼 수 있습니다. |
| 낮다 | 즉각적인 영향은 최소화될 것입니다. 위협 행위자가 환경에 영향을 미치려면 여러 단계를 수행해야 할 수 있습니다. |
| 보통 | 위협 행위자는 해당 활동을 통해 환경에 어느 정도 영향을 미칠 수 있지만 범위가 제한되거나 추가 활동이 필요합니다. |
| 높음 | 식별된 활동은 위협 행위자에게 환경에 대한 광범위한 액세스 권한을 제공하거나 환경에 미치는 영향에 의해 트리거됩니다. |
심각도 수준 기본값은 현재 또는 환경 영향 수준을 보장하지 않습니다. 경고 세부 정보를 사용자 지정 하여 지정된 경고 인스턴스의 심각도, 전술 및 기타 속성을 쿼리 출력의 관련 필드 값으로 사용자 지정합니다.
Microsoft Sentinel 분석 규칙 템플릿의 심각도 정의는 분석 규칙에 의해 만들어진 경고에만 해당합니다. 다른 서비스에서 수집된 경고의 경우 심각도는 소스 보안 서비스에 의해 정의됩니다.
MITRE ATT&CK: 이 규칙에서 캡처한 활동으로 표현되는 공격 전술 및 기술의 사양입니다. 이는 MITRE ATT&CK® 프레임워크의 전술과 기술을 기반으로 합니다.
이 규칙에 정의된 MITRE ATT&CK 전술 및 기술은 규칙에 의해 생성된 모든 경고에 적용됩니다. 또한 이러한 경고에서 생성된 인시던트에도 적용됩니다.
MITRE ATT&CK 위협 환경의 적용 범위를 극대화하는 방법에 대한 자세한 내용은 MITRE ATT&CK® 프레임워크의 보안 범위 이해를 참조하세요.
상태: 규칙을 만들 때 해당 상태는 기본적으로 사용하도록 설정 됩니다. 즉, 만들기를 완료한 직후 실행됩니다. 즉시 실행하지 않으려는 경우 다음과 같은 두 가지 옵션을 사용할 수 있습니다.
- 사용 안 함으로 선택하면 실행하지 않고 규칙이 만들어집니다. 규칙을 실행하려면 활성 규칙 탭에서 찾은 다음 여기에서 사용하도록 설정합니다.
- 특정 날짜 및 시간에 먼저 실행되도록 규칙을 예약합니다. 이 메서드는 현재 미리 보기 상태입니다. 이 문서의 뒷부분에서 쿼리 예약 을 참조하세요.
규칙 쿼리
이 규칙에 의해 생성되는 경고에 어떤 정보가 포함될지, 정보가 어떻게 구성될지 결정하는 것이 바로 이 규칙의 핵심입니다. 이 구성은 인시던트 결과의 모양과 조사, 수정 및 해결이 얼마나 쉬운지 또는 어려운지에 따라 후속 영향을 미칩니다. 경고를 최대한 풍부한 정보로 만들고 해당 정보에 쉽게 액세스할 수 있도록 하는 것이 중요합니다.
원시 로그 데이터를 분석하는 Kusto 쿼리를 보거나 입력합니다. 처음부터 규칙을 만드는 경우 이 마법사를 열기 전에 쿼리를 계획하고 디자인하는 것이 좋습니다. 로그 페이지에서 쿼리를 빌드하고 테스트할 수 있습니다 .
규칙 쿼리 창에 입력하는 모든 항목의 유효성이 즉시 검사되므로 실수를 하면 바로 확인할 수 있습니다.
네이티브 테이블을 사용하는 대신 ASIM(Advanced Security Information Model) 파서를 쿼리 원본으로 사용하는 것이 좋습니다. 이렇게 하면 쿼리가 단일 데이터 원본에 의존하는 대신 현재 또는 미래의 관련 데이터 원본이나 데이터 원본 계열을 지원하게 됩니다.
쿼리 길이는 1~10,000자 사이여야 하며 "" 또는 "
search *union *"를 포함할 수 없습니다. 단일 함수가 수십 줄의 코드를 대체할 수 있으므로 사용자 정의 함수를 사용하여 쿼리 길이 제한을 극복할 수 있습니다.ADX 함수를 사용하여 Log Analytics 쿼리 창 내에서 Azure Data Explorer 쿼리를 만드는 것은 지원되지 않습니다.
쿼리에서 함수를
bag_unpack사용하는 경우 ""를 사용하여 열을 필드로project field1하고 열이 없으면 쿼리가 실패합니다. 이러한 일이 발생하지 않도록 하려면 다음과 같이 열을 프로젝트 해야 합니다.project field1 = column_ifexists("field1","")
자세한 내용은 다음을 참조하세요.
경고 향상
경고가 인시던트에서 즉시 표시되고 적절하게 추적 및 조사될 수 있도록 결과를 표시하려면 경고 향상 구성을 사용하여 경고의 모든 중요한 정보를 표시합니다.
이 경고 향상은 쉽게 표시되고 액세스할 수 있는 방식으로 결과를 제시하는 추가적인 이점을 제공합니다.
구성할 수 있는 세 가지 유형의 경고 향상 기능이 있습니다.
- 엔터티 매핑
- 사용자 지정 세부 정보
- 경고 세부 정보(동적 콘텐츠라고도 함)
엔터티 매핑
엔터티는 공격 스토리의 양쪽에 있는 플레이어입니다. 경고의 모든 엔터티를 식별하는 것은 위협을 감지하고 조사하는 데 필수적입니다. Microsoft Sentinel이 원시 데이터의 엔터티를 식별하도록 하려면 Microsoft Sentinel에서 인식하는 엔터티 형식을 쿼리 결과의 필드에 매핑해야 합니다. 이 매핑은 식별된 엔터티를 경고 스키마의 엔터티 필드에 통합합니다.
엔터티 매핑에 대해 자세히 알아보고 전체 지침을 얻으려면 Microsoft Sentinel의 엔터티에 데이터 필드 매핑을 참조하세요.
사용자 지정 세부 정보
기본적으로 쿼리 결과의 원시 이벤트를 드릴다운하지 않고 인시던트에 경고 엔터티와 메타데이터만 표시됩니다. 쿼리 결과의 다른 필드를 경고 및 인시던트에 즉시 표시하려면 사용자 지정 세부 정보로 정의합니다. Microsoft Sentinel은 이러한 사용자 지정 세부 정보를 경고의 ExtendedProperties 필드에 통합하여 경고 및 해당 경고에서 생성된 모든 인시던트에 경고 앞에 표시됩니다.
사용자 지정 세부 정보를 표시하고 전체 지침을 가져오는 방법에 대한 자세한 내용은 Microsoft Sentinel의 경고에서 Surface 사용자 지정 이벤트 세부 정보를 참조하세요.
경고 세부 정보
이 설정을 사용하면 각 개별 경고의 다양한 필드 내용에 따라 표준 경고 속성을 사용자 지정할 수 있습니다. 이러한 사용자 지정은 경고의 ExtendedProperties 필드에 통합됩니다. 예를 들어 경고에 표시되는 사용자 이름이나 IP 주소를 포함하도록 경고 이름이나 설명을 사용자 지정할 수 있습니다.
경고 세부 정보를 사용자 지정하고 전체 지침을 가져오는 방법에 대한 자세한 내용은 Microsoft Sentinel에서 경고 세부 정보 사용자 지정을 참조하세요.
참고
Microsoft Defender 포털에서 Defender XDR 상관 관계 엔진은 인시던트 이름 지정만 담당하므로 사용자 지정한 경고 이름은 이러한 경고에서 인시던트가 생성될 때 재정의될 수 있습니다.
쿼리 예약
다음 매개 변수는 예약된 규칙이 실행되는 빈도와 실행될 때마다 검사하는 기간을 결정합니다.
| 설정 | 동작 |
|---|---|
| 모든 쿼리 실행 | 쿼리 간격( 쿼리 실행 빈도)을 제어합니다. |
| 마지막 데이터 조회 | 조회 기간( 쿼리에서 다루는 기간)을 결정합니다. |
이러한 두 매개 변수에 허용되는 범위는 5분 에서 14일입니다.
쿼리 간격은 되돌아보기 기간보다 짧거나 같아야 합니다. 더 짧은 경우 쿼리 기간이 겹치면 결과가 일부 중복될 수 있습니다. 규칙 유효성 검사는 더 긴 간격을 설정하지 못하도록 하며, 이는 조회 기간보다 길 경우 보장 범위에 빈틈이 발생할 수 있기 때문입니다.
이제 미리 보기에서 실행 시작 설정을 사용하면 상태가 활성화된 규칙을 만들 수 있지만 미리 결정된 날짜 및 시간까지 첫 번째 실행을 지연할 수 있습니다. 이 설정은 원본에서 데이터가 수집될 것으로 예상되는 시간 또는 SOC 분석가의 업무 시작 시간에 따라 규칙 실행 시간을 정하려는 경우에 유용합니다.
| 설정 | 동작 |
|---|---|
| 자동 | 규칙은 생성되자마자 처음으로 실행되며, 그 이후에 쿼리 실행 간격 설정에 설정된 간격으로 실행됩니다. |
| 특정 시간 (미리 보기) | 규칙이 처음 실행되도록 날짜 및 시간을 설정한 다음, 실행 쿼리의 모든 설정에 설정된 간격으로 실행됩니다. |
시작 실행 시간은 규칙 생성(또는 사용) 시간 이후 10분에서 30일 사이여야 합니다.
실행 시작 설정 아래의 텍스트 줄(왼쪽에 정보 아이콘 포함)에는 현재 쿼리 예약 및 조회 설정이 요약되어 있습니다.
참고
수집 지연
원본에서 이벤트 생성과 Microsoft Sentinel로 수집 사이에 발생할 수 있는 대기 시간을 고려하고 데이터 중복 없이 완전한 적용을 보장하기 위해 Microsoft Sentinel은 예약된 시간으로부터 5분 지연 된 시간에 예약된 분석 규칙을 실행합니다.
자세한 내용은 예약된 분석 규칙의 수집 지연 처리를 참조하세요.
경고 임계값
많은 유형의 보안 이벤트는 소량일 때는 정상적이거나 예상되는 것이지만, 그 수가 많을 때는 위협의 신호일 수 있습니다. 많은 수의 규모에 따라 위협의 종류도 달라질 수 있습니다. 예를 들어 1분 간격으로 두세 번의 로그인 시도가 실패한 것은 암호를 기억하지 못하는 사용자의 표시이지만, 1분 안에 50번은 인간 공격의 징후일 수 있으며, 1,000개는 자동화된 공격일 수 있습니다.
규칙이 검색하려는 활동의 종류에 따라 경고를 트리거하는 데 필요한 최소 이벤트 수(쿼리 결과)를 설정할 수 있습니다. 임계값은 규칙이 실행될 때마다 개별적으로 적용되며 일괄적으로는 적용되지 않습니다.
임계값은 최대 결과 수 또는 정확한 숫자로 설정할 수도 있습니다.
이벤트 그룹화
이벤트를 경고로 그룹화할 수 있는 두 가지 방법이 있습니다.
모든 이벤트를 단일 경고로 그룹화합니다 . 기본값입니다. 쿼리가 이전 섹션에서 설명한 지정된 경고 임계값보다 더 많은 결과를 반환하는 한 규칙은 실행될 때마다 단일 경고를 생성합니다. 이 단일 경고에는 쿼리 결과에서 반환된 모든 이벤트가 요약되어 있습니다.
각 이벤트에 대한 경고를 트리거 합니다. 규칙은 쿼리에서 반환된 각 이벤트(결과)에 대해 고유한 경고를 생성합니다. 이 모드는 이벤트를 개별적으로 표시하거나 특정 매개 변수(사용자, 호스트 이름 또는 기타 항목)별로 그룹화하려는 경우에 유용합니다. 쿼리에서 이러한 매개 변수를 정의할 수 있습니다.
분석 규칙은 최대 150개의 경고를 생성할 수 있습니다. 이벤트 그룹화가 각 이벤트에 대한 경고를 트리거하도록 설정되어 있고 규칙의 쿼리가 150개 이상의 이벤트를 반환하는 경우 처음 149개 이벤트는 각각 고유한 경고(149개 경고)를 생성하고 150번째 경고는 반환된 이벤트 집합 전체를 요약합니다. 즉, 이벤트 그룹화 가 모든 이벤트를 단일 경고로 그룹화하도록 설정된 경우 150번째 경고가 생성되었을 것입니다.
경고의 쿼리 섹션은 이러한 두 모드마다 다릅니다. 모든 이벤트를 단일 경고 모드로 그룹화하면 경고를 트리거한 모든 이벤트를 볼 수 있는 쿼리가 반환됩니다. 쿼리 결과를 드릴다운하여 개별 이벤트를 볼 수 있습니다. 각 이벤트 모드에 대한 경고 트리거에서 경고는 쿼리 영역에서 base64로 인코딩된 결과를 반환합니다. Log Analytics에서 이 출력을 복사하여 실행하여 base64를 디코딩하고 원래 이벤트를 표시합니다.
각 이벤트 설정에 대한 경고 트리거로 인해 쿼리 결과가 누락되거나 예상과 다른 문제가 발생할 수 있습니다. 이 시나리오에 대한 자세한 내용은 Microsoft Sentinel의 분석 규칙 문제 해결 | 문제: 쿼리 결과에 이벤트가 표시되지 않습니다.
제거
이 규칙이 경고를 생성한 후 일정 기간 동안 작동을 중지하도록 하려면 경고가 생성된 후 쿼리 실행 중지 설정을 켜기로 설정합니다. 그런 다음 쿼리 실행을 중지 해야 하는 시간(최대 24시간)으로 쿼리 실행 중지를 설정해야 합니다.
결과 시뮬레이션
분석 규칙 마법사를 사용하면 현재 데이터 집합에서 실행하여 그 효능을 테스트할 수 있습니다. 테스트를 실행할 때 결과 시뮬레이션 창에는 현재 정의된 일정에 따라 쿼리가 지난 50번 동안 생성한 결과의 그래프가 표시됩니다. 쿼리를 수정하는 경우 테스트를 다시 실행하여 그래프를 업데이트할 수 있습니다. 그래프는 정의한 쿼리 일정에 따라 결정되는 정의된 기간 동안의 결과 수를 보여 줍니다.
이전 스크린샷의 쿼리에 대한 결과 시뮬레이션의 모양은 다음과 같습니다. 왼쪽은 기본 보기이며 오른쪽은 그래프의 특정 시점을 마우스로 가리킬 때 표시되는 내용입니다.
쿼리에서 너무 많거나 너무 자주 발생하는 경고를 트리거하는 경우 예약 및 임계값 설정을 실험하고 시뮬레이션을 다시 실행할 수 있습니다.
인시던트 설정
Microsoft Sentinel이 경고를 실행 가능한 인시던트로 전환할지 여부를 선택합니다.
인시던트 만들기 기능은 기본적으로 사용됩니다. Microsoft Sentinel은 규칙에 의해 생성된 각 경고와 별도의 단일 인시던트를 만듭니다.
이 규칙으로 인해 인시던트가 생성되지 않도록 하려면(예: 이 규칙이 후속 분석을 위해 정보를 수집하는 것일 경우) 이를 사용 안 함으로 설정합니다.
중요합니다
Microsoft Sentinel을 Defender 포털에 온보딩한 경우 Microsoft Defender는 인시던트 생성을 담당합니다. 그럼에도 불구하고 Defender XDR에서 이 경고에 대한 인시던트 만들기를 원하는 경우 이 설정을 사용하도록 설정해야 합니다. Defender XDR은 여기에 정의된 명령을 따릅니다.
이는 Microsoft Defender 서비스에서 생성된 경고에 대한 인시던트가 생성되는 Microsoft 보안 유형의 분석 규칙 과 혼동해서는 안 됩니다. Microsoft Sentinel을 Defender 포털에 온보딩하면 해당 규칙은 자동으로 사용하지 않도록 설정됩니다.
모든 단일 경고에 대해 하나의 인시던트 대신 경고 그룹에서 단일 인시던트를 만들려면 다음 섹션을 참조하세요.
경고 그룹화
인시던트에서 경고를 그룹화할 방법을 선택합니다. 기본적으로 Microsoft Sentinel은 생성된 모든 경고에 대해 인시던트를 만듭니다. 대신 여러 경고를 단일 인시던트로 그룹화할 수 있습니다.
모든 경고가 생성된 후에만 인시던트가 만들어집니다. 모든 경고는 만들어지는 즉시 인시던트에 추가됩니다.
최대 150개의 경고를 단일 인시던트로 그룹화할 수 있습니다. 단일 인시던트로 그룹화하는 규칙에 의해 150개가 넘는 경고가 생성되는 경우 원본과 동일한 인시던트 세부 정보를 사용하여 새 인시던트가 생성되고 초과 경고는 새 인시던트로 그룹화됩니다.
경고를 함께 그룹화하려면 경고 그룹화 설정을 사용으로 설정합니다.
경고를 그룹화할 때 고려해야 할 몇 가지 옵션은 다음과 같습니다.
시간 프레임: 기본적으로 인시던트에서 첫 번째 경고가 발생한 후 최대 5시간 후에 생성된 경고가 동일한 인시던트에 추가됩니다. 5시간이 지나면 새 인시던트가 만들어집니다. 이 기간을 5분에서 7일 사이로 변경할 수 있습니다.
그룹화 조건: 그룹에 포함되는 경고를 확인하는 방법을 선택합니다. 다음 표에는 선택 가능한 항목이 나와 있습니다.
옵션 설명 모든 엔터티가 일치하는 경우 경고를 단일 인시던트로 그룹화 경고는 이전에 정의된 각 매핑된 엔터티 에 대해 동일한 값을 공유하는 경우 함께 그룹화됩니다. 권장 설정입니다. 이 규칙에 의해 트리거된 모든 경고를 단일 인시던트로 그룹화 이 규칙에 의해 생성된 모든 경고가 동일한 값을 공유하지 않더라도 함께 그룹화됩니다. 선택한 엔터티 및 세부 정보가 일치하는 경우 경고를 단일 인시던트로 그룹화 경고는 매핑된 모든 엔터티, 경고 세부 정보 및 이 설정에 대해 선택한 사용자 지정 세부 정보에 대해 동일한 값을 공유하는 경우 함께 그룹화됩니다. 이 옵션을 선택할 때 표시되는 드롭다운 목록에서 엔터티 및 세부 정보를 선택합니다.
예를 들어, 원본 또는 대상 IP 주소를 기준으로 별도의 인시던트를 만들거나 특정 엔터티 및 심각도와 일치하는 경고를 그룹화하려는 경우 이 설정을 사용할 수 있습니다.
참고: 이 옵션을 선택하면 규칙에 대해 하나 이상의 엔터티 또는 세부 정보가 선택되어 있어야 합니다. 그렇지 않으면 규칙 유효성 검사가 실패하고 규칙이 만들어지지 않습니다.인시던트 다시 열기: 인시던트가 해결되고 닫혔으며 나중에 해당 인시던트에 속해야 하는 다른 경고가 생성된 경우 닫힌 인시던트를 다시 열려면 이 설정을 Enabled 로 설정하고 새 경고가 새 인시던트를 만들도록 하려면 사용 안 함으로 둡니다.
Defender 포털에 Microsoft Sentinel을 온보딩한 경우 닫힌 인시던트 다시 열기 옵션을 사용할 수 없습니다 .
자동화된 응답
Microsoft Sentinel을 사용하면 다음과 같은 경우 자동화된 응답이 발생하도록 설정할 수 있습니다.
- 이 분석 규칙에 의해 경고가 생성되는 경우.
- 이 분석 규칙에 의해 생성된 경고에서 인시던트가 만들어지는 경우.
- 이 분석 규칙에 의해 생성된 경고로 인시던트가 업데이트되는 경우.
만들고 자동화할 수 있는 다양한 종류의 응답에 대해 자세히 알아보려면 자동화 규칙을 사용하여 Microsoft Sentinel에서 위협 대응 자동화를 참조하세요.
자동화 규칙 제목 아래에 마법사는 이 분석 규칙에 조건이 적용되는 전체 작업 영역에 이미 정의된 자동화 규칙 목록을 표시합니다. 이러한 기존 규칙을 편집하거나 이 분석 규칙에만 적용되는 새 자동화 규칙을 만들 수 있습니다.
자동화 규칙을 사용하여 인시던트의 기본 심사, 할당, 워크플로우 및 종료를 수행합니다.
보다 복잡한 작업을 자동화하고 원격 시스템에서 응답을 호출하여 이러한 자동화 규칙에서 플레이북을 호출하여 위협을 수정합니다. 인시던트뿐만 아니라 개별 경고에 대해서도 플레이북을 호출할 수 있습니다.
플레이북 및 자동화 규칙을 만드는 방법에 대한 자세한 내용과 지침은 위협 대응 자동화를 참조하세요.
인시던트 생성 트리거, 인시던트 업데이트된 트리거 또는 경고가 생성된 트리거를 사용하는 시기에 대한 자세한 내용은 Microsoft Sentinel 플레이북에서 트리거 및 작업 사용을 참조하세요.
경고 자동화(클래식) 제목 아래에는 2026년 3월에 사용되지 않을 예정인 이전 메서드를 사용하여 자동으로 실행되도록 구성된 플레이북 목록이 표시될 수 있습니다. 이 목록에는 아무것도 추가할 수 없습니다. 여기에 나열된 모든 플레이북에는 플레이북을 호출하기 위해 생성된 경고 트리거에 따라 자동화 규칙이 생성되어야 합니다. 이렇게 하면 여기에 나열된 플레이북의 줄 끝에 있는 줄임표를 선택하고 제거를 선택합니다. 전체 지침은 Microsoft Sentinel 경고 트리거 플레이북을 자동화 규칙으로 마이그레이션을 참조하세요.
다음 단계
Microsoft Sentinel 분석 규칙을 사용하여 환경에서 위협을 탐지하는 경우 사용자 환경에 대한 전체 보안 범위를 보장하기 위해 연결된 데이터 원본과 연결된 모든 규칙을 사용하도록 설정해야 합니다.
규칙 사용 기능을 자동화하려면 API 및 PowerShell을 통해 Microsoft Sentinel에 규칙을 푸시합니다. 이렇게 하려면 더 많은 노력이 필요합니다. API 또는 PowerShell을 사용하는 경우 규칙을 사용하도록 설정하기 전에 먼저 규칙을 JSON으로 내보내야 합니다. API 또는 PowerShell은 각 인스턴스에서 동일한 설정으로 Microsoft Sentinel의 여러 인스턴스에서 규칙을 사용하도록 설정할 때 도움이 될 수 있습니다.
자세한 내용은 다음을 참조하세요.
- ARM 템플릿에서 분석 규칙 내보내기 및 가져오기
- Microsoft Sentinel의 분석 규칙 문제 해결
- Microsoft Sentinel에서 인시던트 탐색 및 조사
- Microsoft Sentinel의 항목
- 자습서: Microsoft Sentinel에서 자동화 규칙과 함께 플레이북 사용
또한 사용자 지정 커넥터를 사용하여 확대/축소를 모니터링할 때 사용자 지정 분석 규칙을 사용하는 예제를 알아봅니다.