Microsoft Sentinel에서 사용자 지정 헌팅 쿼리 만들기

사용자 지정 헌팅 쿼리를 사용하여 조직의 데이터 원본에서 보안 위협을 헌팅합니다. Microsoft Sentinel은 네트워크에 있는 데이터에서 문제를 찾는 데 도움이 되는 기본 제공 헌팅 쿼리를 제공합니다. 하지만 사용자 고유의 사용자 지정 쿼리를 만들 수 있습니다. 헌팅 쿼리에 대한 자세한 내용은 Microsoft Sentinel의 위협 헌팅을 참조하세요.

새 쿼리 만들기

Microsoft Sentinel의 헌팅>쿼리 탭에서 사용자 지정 헌팅 쿼리를 만듭니다.

1. Azure Portal의 Microsoft Sentinel에 대해서는 위협 관리에서 헌팅을 선택합니다.
   Defender 포털의 Microsoft Sentinel에 대해서는 Microsoft Sentinel>위협 관리>헌팅을 선택합니다.

2. 쿼리 탭을 선택합니다.

3. 명령 모음에서 새 쿼리를 선택합니다.

   • Azure Portal
   • Defender 포털

   

4. 빈 필드를 모두 입력합니다.

   1. 항목 형식, 식별자, 열을 선택하여 항목 매핑을 만듭니다.

      

   2. 전략, 기술, 하위 기술을 선택하여 MITRE ATT&CK 기술을 헌팅 쿼리에 매핑합니다(해당되는 경우).

      

5. 쿼리 정의가 완료되면 만들기를 선택합니다.

기존 쿼리 복제

사용자 지정 또는 기본 제공 쿼리를 복제하고 필요에 따라 편집합니다.

1. 헌팅>쿼리 탭에서 복제하려는 헌팅 쿼리를 선택합니다.

2. 수정하려는 쿼리 줄에서 줄임표(...)를 선택하고 복제를 선택합니다.

   • Azure Portal
   • Defender 포털

   

3. 쿼리 및 기타 필드를 적절하게 편집합니다.

4. 만들기를 실행합니다.

기존 사용자 지정 쿼리 편집

사용자 지정 컨텐츠 원본의 쿼리만 편집할 수 있습니다. 다른 콘텐츠 원본은 해당 원본에서 편집해야 합니다.

1. 헌팅>쿼리 탭에서 변경하려는 헌팅 쿼리를 선택합니다.

2. 변경하려는 쿼리 줄에서 줄임표(...)를 선택하고 편집을 선택합니다.

3. 쿼리 필드를 업데이트된 쿼리로 업데이트합니다. 엔터티 매핑 및 기술을 변경할 수도 있습니다.

4. 마쳤으면 저장을 선택합니다.

관련 콘텐츠

• KQL 빠른 참조
• ASIM(고급 보안 정보 모델) 파서
• Microsoft Sentinel의 위협 헌팅
• Microsoft Sentinel에서 엔드투엔드 자동 위협 헌팅 수행