함수 사용
Microsoft Sentinel 함수를 사용하려면 함수 탭으로 이동하여 원하는 함수를 찾을 때까지 스크롤합니다. 함수 이름을 두 번 클릭하여 쿼리 편집기에서 함수를 삽입합니다.
함수 오른쪽에 있는 세로 타원( 
)을 선택하고 쿼리할 삽입을 선택하여 쿼리 편집기의 쿼리에 함수를 삽입할 수도 있습니다.
다른 옵션은 다음과 같습니다.
- 세부 정보 보기 – 해당 세부 정보가 포함된 함수 쪽 창을 엽니다.
- 함수 코드 로드 – 함수 코드가 포함된 새 탭을 엽니다.
편집 가능한 함수의 경우 세로 타원을 선택할 때 더 많은 옵션을 사용할 수 있습니다.
- 세부 정보 편집 – 함수에 대한 세부 정보를 편집할 수 있도록 함수 쪽 창을 엽니다(Sentinel 함수의 폴더 이름 제외).
- 삭제 – 함수를 삭제합니다.
Azure Data Explorer 쿼리에 adx() 연산자 사용
연산자를 adx() 사용하여 Azure Data Explorer 저장된 테이블을 쿼리합니다. 자세한 내용은 Azure Data Explorer?을 참조하세요.
이 기능은 이전에 Microsoft Sentinel 로그 분석에서만 사용할 수 있었습니다. 이제 사용자는 Microsoft Sentinel 창을 수동으로 열지 않고도 통합 Microsoft Defender 포털의 고급 헌팅에서 연산자를 사용할 수 있습니다.
쿼리 편집기에서 다음 형식으로 쿼리를 입력합니다.
adx('<Cluster URI>/<Database Name>').<Table Name>
예를 들어 특정 URI에 저장된 테이블에서 처음 10개 행의 데이터를 StormEvents 얻으려면 다음을 수행합니다.
참고
연산자는 adx() 사용자 지정 검색에 대해 지원되지 않습니다.
Azure Resource Graph 쿼리에 arg() 연산자 사용
운영자는 arg() 구독, 가상 머신, CPU, 스토리지 등과 같은 배포된 Azure 리소스에서 쿼리하는 데 사용할 수 있습니다.
이 기능은 이전에 Microsoft Sentinel 로그 기능에서만 사용할 수 있었습니다. Microsoft Defender 포털 arg() 에서 운영자는 Azure Resource Graph(arg) 쿼리를 Microsoft Sentinel 테이블(즉, Defender XDR 테이블은 지원되지 않음)과 결합합니다. 이를 통해 사용자는 Microsoft Sentinel 창을 수동으로 열지 않고 고급 헌팅에서 서비스 간 쿼리를 만들 수 있습니다.
자세한 내용은 arg()를 사용하여 Azure Resource Graph 데이터 쿼리를 참조하세요.
쿼리 편집기에서 arg("")를 입력합니다. 다음에 Azure Resource Graph 테이블 이름이 잇습니다.
예시:
instance Azure Resource Graph 쿼리의 결과에 따라 Microsoft Sentinel 데이터를 검색하는 쿼리를 필터링할 수도 있습니다.
arg("").Resources
| where type=="microsoft.compute/virtualmachines" | extend name = tolower(name)
| join (
BehaviorAnalytics
| where isnotempty(SourceDevice) and InvestigationPriority > 2 | extend SourceDevice = tolower(SourceDevice)
) on $left.name == $right.SourceDevice
저장된 쿼리 사용
Microsoft Sentinel 저장된 쿼리를 사용하려면 쿼리 탭으로 이동하여 원하는 쿼리를 찾을 때까지 스크롤합니다. 쿼리 이름을 두 번 클릭하여 쿼리 편집기에서 쿼리를 로드합니다. 추가 옵션을 보려면 쿼리 오른쪽에 있는 세로 타원( )을 선택합니다. 여기에서 다음 작업을 수행할 수 있습니다.
쿼리 실행 – 쿼리 편집기에서 쿼리를 로드하고 자동으로 실행합니다.
쿼리 편집기에서 열기 – 쿼리 편집기에서 쿼리를 로드합니다.
세부 정보 보기 – 쿼리를 검사하거나 쿼리를 실행하거나 편집기에서 쿼리를 열 수 있는 쿼리 세부 정보 쪽 창을 엽니다.
편집 가능한 쿼리의 경우 더 많은 옵션을 사용할 수 있습니다.
- 세부 정보 편집 – 설명(해당하는 경우) 및 쿼리 자체와 같은 세부 정보를 편집하는 옵션이 있는 쿼리 세부 정보 쪽 창을 엽니다. Microsoft Sentinel 쿼리의 폴더 이름(위치)만 편집할 수 없습니다.
- 삭제 – 쿼리를 삭제합니다.
- 이름 바꾸기 – 쿼리 이름을 수정할 수 있습니다.
사용자 지정 분석 및 검색 규칙 만들기
사용자 환경에서 위협 및 비정상적인 동작을 검색하는 데 도움이 되도록 사용자 지정된 검색 규칙을 만들 수 있습니다. 다음 두 가지 종류가 있습니다.
- 분석 규칙 - Microsoft Sentinel 통해 수집되는 데이터를 쿼리하는 규칙에서 검색을 생성합니다.
- 사용자 지정 검색 규칙 - Defender XDR 또는 Microsoft Sentinel 및 Defender XDR 데이터를 쿼리하는 규칙에서 검색을 생성합니다.
분석 규칙
연결된 Microsoft Sentinel 작업 영역을 통해 수집된 데이터에 적용되는 분석 규칙의 경우 규칙 관리 분석 규칙 > 만들기를 선택합니다.
분석 규칙 마법사가 나타납니다. 분석 규칙 마법사- 일반 탭에 설명된 대로 필요한 세부 정보를 입력합니다.
사용자 지정 검색 규칙
Microsoft Sentinel 테이블과 Defender XDR 테이블 모두에서 데이터를 쿼리하는 사용자 지정 검색 규칙을 만들 수 있습니다. 규칙 > 관리 사용자 지정 검색 만들기를 선택합니다. 자세한 내용은 사용자 지정 검색 규칙 만들기 를 참조하세요.
사용자 지정 검색 및 분석 규칙 만들기 모두에서 분석 로그로 수집된 데이터만 쿼리할 수 있습니다(즉, 기본 로그 또는 보조 로그가 아님). 다른 계층을 검사 로그 관리 계획을 참조하세요. 그렇지 않으면 규칙 만들기가 진행되지 않습니다.
Defender XDR 데이터가 Microsoft Sentinel 수집되는 경우 사용자 지정 검색 만들기와 분석 규칙 만들기 중에서 선택할 수 있습니다.
참고
Defender XDR 테이블이 Microsoft Sentinel 로그 분석으로 스트리밍하도록 설정되지 않았지만 Microsoft Sentinel 표준 테이블로 인식되는 경우 분석 규칙을 성공적으로 만들 수 있지만 Microsoft Sentinel 실제로 사용할 수 있는 데이터가 없기 때문에 규칙이 올바르게 실행되지 않습니다. 이러한 경우 사용자 지정 검색 규칙 마법사를 대신 사용합니다.
사용자 지정 분석 및 검색 규칙 관리
검색 규칙 페이지에서 모든 사용자 정의 규칙(사용자 지정 검색 규칙 및 분석 규칙 모두)을 볼 수 있습니다. 자세한 내용은 사용자 지정 검색 관리를 참조하세요.
Microsoft Defender 위해 여러 작업 영역을 온보딩한 다중 작업 영역 조직의 경우 이제 작업 영역 ID 열을 보고 작업 영역별로 필터링할 수 있습니다.