Microsoft Sentinel을 사용하여 헌팅하는 동안 데이터 추적

  • 아티클
  • 적용 대상:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel에서 헌팅 책갈피를 통해 관련성이 있다고 판단되는 쿼리 및 쿼리 결과를 유지할 수 있습니다. 컨텍스트에 따른 관찰 내용을 기록하고 메모와 태그를 추가하여 결과를 참조할 수도 있습니다. 책갈피가 설정된 데이터는 손쉬운 협업을 위해 본인과 팀 동료가 볼 수 있습니다. 자세한 내용은 책갈피를 참조하세요.

Important

Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼의 일부로 사용할 수 있습니다. 이제 Defender 포털의 Microsoft Sentinel이 프로덕션용으로 지원됩니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

책갈피 추가

책갈피를 만들어 쿼리, 결과, 관찰 내용 및 발견 사항을 보존합니다.

  1. Azure Portal의 Microsoft Sentinel에 대해서는 위협 관리에서 헌팅을 선택합니다.
    Defender 포털의 Microsoft Sentinel에 대해서는 Microsoft Sentinel>위협 관리>헌팅을 선택합니다.

  2. 헌팅 탭에서 헌팅을 선택합니다.

  3. 헌팅 쿼리 중 하나를 선택합니다.

  4. 헌팅 쿼리 세부 정보에서 쿼리 실행을 선택합니다.

  5. 쿼리 결과 보기를 선택합니다. 예시:

    Microsoft Sentinel 헌팅에서 쿼리 결과를 보는 스크린샷.

    이 작업은 쿼리 결과를 로그 창에서 엽니다.

  6. 로그 쿼리 결과 목록에서 확인란을 사용하여 관심 있는 정보를 포함하는 행을 하나 이상 선택합니다.

  7. 책갈피 추가를 선택합니다.

    쿼리에 헌팅 책갈피를 추가하는 스크린샷.

  8. 오른쪽에 있는 책갈피 추가 창에서 필요에 따라 책갈피 이름을 업데이트하고, 태그를 추가하고, 항목에 관해 흥미로운 것을 식별할 수 있는 메모를 추가합니다.

  9. 책갈피는 선택적으로 MITRE ATT&CK 기술 또는 하위 기술에 매핑할 수 있습니다. MITRE ATT&CK 매핑은 헌팅 쿼리의 매핑된 값에서 상속되지만 수동으로 만들 수도 있습니다. 책갈피 추가 창의 전술 및 기술 섹션에 있는 드롭다운 메뉴에서 원하는 기술과 관련된 MITRE ATT&CK 전술을 선택합니다. 메뉴가 확장되어 모든 MITRE ATT&CK 기술이 표시되며 이 메뉴에서 여러 기술과 하위 기술을 선택할 수 있습니다.

    Mitre 공격 전술 및 기술을 책갈피에 매핑하는 방법의 스크린샷.

  10. 이제 추가 조사를 위해 책갈피된 쿼리 결과에서 확장된 항목 집합을 추출할 수 있습니다. 엔터티 매핑 섹션에서 드롭다운을 사용하여 엔터티 형식 및 식별자를 선택합니다. 그런 다음 해당 식별자가 포함된 쿼리 결과의 열을 매핑합니다. 예시:

    책갈피 찾기를 위해 항목 형식을 매핑하는 스크린샷.

    조사 그래프에서 책갈피를 보려면 하나 이상의 엔터티를 매핑해야 합니다. 생성한 계정, 호스트, IP 및 URL 엔터티 형식에 대한 엔터티 매핑이 지원되므로 이전 버전과의 호환성이 유지됩니다.

  11. 저장을 선택하여 변경 내용을 커밋하고 책갈피를 추가합니다. 책갈피된 모든 데이터는 다른 분석가와 공유되며 공동 조사 환경을 위한 첫 번째 단계입니다.

로그 쿼리 결과는 Microsoft Sentinel에서 이 창이 열릴 때마다 책갈피를 지원합니다. 예를 들어, 탐색 모음에서 일반>로그를 선택하거나 조사 그래프에서 이벤트 링크를 선택하거나 인시던트의 전체 세부 정보에서 경고 ID를 선택합니다. 로그 창이 다른 위치에서 열리면(예: Azure Monitor에서 직접) 책갈피를 만들 수 없습니다.

책갈피 보기 및 업데이트

책갈피 탭에서 책갈피를 찾아 업데이트합니다.

  1. Azure Portal의 Microsoft Sentinel에 대해서는 위협 관리에서 헌팅을 선택합니다.
    Defender 포털의 Microsoft Sentinel에 대해서는 Microsoft Sentinel>위협 관리>헌팅을 선택합니다.

  2. 책갈피 탭을 선택하여 책갈피 목록을 봅니다.

  3. 검색하거나 필터링하여 특정 책갈피 한 개나 여러 개를 찾습니다.

  4. 개별 책갈피를 선택하여 오른쪽 창에서 책갈피 세부 정보를 봅니다.

  5. 필요에 따라 변경을 수행합니다. 변경 내용은 자동으로 저장됩니다.

조사 그래프에서 책갈피 검색

대화형 엔터티-그래프 다이어그램과 타임라인을 사용하여 결과를 보고, 조사하고, 시각적으로 전달할 수 있는 조사 환경을 시작함으로써 책갈피가 지정된 데이터를 시각화합니다.

  1. 책갈피 탭에서, 조사하려는 책갈피 한 개나 여러 개를 선택합니다.

  2. 책갈피 세부 정보에서 하나 이상의 엔터티가 매핑되었는지 확인합니다.

  3. 조사 그래프에서 책갈피를 보려면 조사를 선택합니다.

조사 그래프를 사용하기 위한 지침은 조사 그래프를 사용하여 심층 분석을 참조하세요.

새 인시던트 또는 기존 인시던트에 책갈피 추가

헌팅 페이지의 책갈피 탭에서 책갈피를 인시던트에 추가합니다.

  1. 책갈피 탭에서, 인시던트에 추가하려는 책갈피 한 개나 여러 개를 선택합니다.

  2. 명령 모음에서 인시던트 작업을 선택합니다.

    인시던트에 책갈피를 추가하는 스크린샷.

  3. 새 인시던트 만들기 또는 기존 인시던트에 추가를 적절하게 선택합니다. 다음 작업:

    • 새 인시던트의 경우: 필요에 따라 인시던트의 세부 정보를 업데이트한 후 만들기를 선택합니다.
    • 기존 인시던트에 책갈피를 추가하려면: 하나의 인시던트를 선택한 후 추가를 선택합니다.

  4. 인시던트 내에서 책갈피를 보려면,

    1. Microsoft Sentinel >위협 관리>인시던트로 이동합니다.
    2. 책갈피를 사용하여 인시던트를 선택하고 전체 세부 정보를 봅니다.
    3. 인시던트 페이지의 왼쪽 창에서 책갈피를 선택합니다.

로그에서 책갈피가 지정된 데이터 보기

책갈피가 지정된 쿼리, 결과 또는 해당 기록을 봅니다.

  1. 헌팅>책갈피 탭에서 책갈피를 선택합니다.

  2. 세부 정보 창에서 다음 링크를 선택합니다.

    • 원본 쿼리 보기 - 로그 창에서 원본 쿼리를 봅니다.

    • 책갈피 로그 보기 - 업데이트한 사람, 업데이트된 값, 업데이트가 발생한 시간을 포함하는 모든 책갈피 메타데이터를 확인합니다.

  3. 헌팅>책갈피 탭의 명령 모음에서 책갈피 로그를 선택하여 모든 책갈피에 대한 원시 책갈피 데이터를 봅니다.

    책갈피 로그 명령 스크린샷.

이 보기에는 연결된 메타데이터가 있는 모든 책갈피가 표시됩니다. KQL(Keyword Query Language) 쿼리를 사용하여, 찾으려는 특정 책갈피의 최신 버전으로 필터링할 수 있습니다.

책갈피를 만든 시점과 책갈피가 책갈피 탭에 표시되는 시점 사이에 상당한 지연(분 단위로 측정됨)이 있을 수 있습니다.

책갈피 삭제

책갈피를 삭제하면 책갈피 탭의 목록에서 책갈피가 제거됩니다. Log Analytics 작업 영역의 HuntingBookmark 테이블은 이전 책갈피 항목을 계속 포함하지만 최신 항목은 SoftDelete 값을 true로 변경하여 이전 책갈피를 쉽게 필터링할 수 있습니다. 책갈피를 삭제해도 다른 책갈피 또는 경고와 연결된 조사 환경의 엔터티는 제거되지 않습니다.

책갈피를 삭제하려면 다음 단계를 완료합니다.

  1. 헌팅>책갈피 탭에서, 삭제하려는 책갈피 한 개나 여러 개를 선택합니다.

  2. 마우스 오른쪽 단추를 클릭하고, 선택한 책갈피를 삭제하는 옵션을 선택합니다.

관련 콘텐츠

이 문서에서는 Microsoft Sentinel에서 책갈피를 사용하여 헌팅 조사를 실행하는 방법을 배웠습니다. Microsoft Sentinel에 대해 자세히 알아보려면 다음 문서를 참조하세요.