Microsoft Sentinel에서 변칙 검색 분석 규칙 작업

Microsoft Sentinel의 사용자 지정 변칙 기능은 기본 제공 기본 제공 변칙 템플릿을 제공합니다. 이러한 변칙 템플릿은 수천 개의 데이터 원본과 수백만 개의 이벤트를 사용해 강력하게 개발되었지만, 이 기능을 이용하면 사용자 인터페이스 내에서 변칙 임계값과 매개 변수를 쉽게 변경할 수 있습니다. 변칙 규칙은 기본적으로 사용하도록 설정되거나 활성화되므로 기본값으로 변칙이 생성됩니다. 로그 섹션의 Anomalies 테이블에서 이러한 변칙을 찾아 쿼리할 수 있습니다 .

사용자 지정 가능한 변칙 규칙 템플릿 보기

이제 Analytics 페이지의 Anomalies 탭에서 그리드에 표시되는 변칙 규칙을 찾을 수 있습니다.

1. Azure Portal의 Microsoft Sentinel 사용자는 Microsoft Sentinel 탐색 메뉴에서 분석을 선택합니다.

   Microsoft Defender 포털의 통합 보안 운영 플랫폼 사용자는 Microsoft Defender 탐색 메뉴에서 Microsoft Sentinel > 구성 > 분석을 선택합니다.

2. Analytics 페이지에서 Anomalies 탭을 선택합니다.

3. 다음 조건 중 하나 이상을 기준으로 목록을 필터링하려면 필터 추가를 선택하고 그에 따라 선택합니다.

   • 상태 - 규칙의 활성화 여부.

   • 전술 - 변칙에서 다루는 MITRE ATT&CK 프레임워크 전술.

   • 기술 - 변칙에서 다루는 MITRE ATT&CK 프레임워크 기술.

   • 데이터 원본 - 정의할 변칙에 대해 수집 및 분석해야 하는 로그 유형.

4. 규칙을 선택하고 세부 정보 창에서 다음 정보를 확인합니다.

   • 설명은 변칙의 작동 방식과 필요한 데이터를 설명합니다.

   • 전술 및 기술은 MITRE ATT&CK 프레임워크 전술 및 기술이 변칙에서 다루어집니다.

   • 매개 변수는 변칙에 구성 가능한 특성입니다.

   • 임계값은 변칙을 만들기 전에 이벤트가 비정상이어야 하는 정도를 나타내는 구성 가능한 값입니다.

   • 규칙 빈도는 변칙을 찾는 로그 처리 작업 간의 시간입니다.

   • 규칙 상태는 규칙을 사용할 때 프로덕션 또는 플라이팅(스테이징) 모드에서 실행되는지 여부를 알려줍니다.

   • 변칙 버전은 규칙에서 사용하는 템플릿의 버전을 보여 줍니다. 이미 활성화된 규칙에서 사용하는 버전을 변경하려면 규칙을 다시 만들어야 합니다.

Microsoft Sentinel과 함께 제공되는 규칙은 편집하거나 삭제할 수 없습니다. 규칙을 사용자 지정하려면 먼저 규칙의 복제본을 만든 다음, 복제본을 사용자 지정해야 합니다. 전체 지침을 참조하세요.

변칙 품질 평가

최근 24시간 동안 규칙에 따라 만들어진 변칙 샘플을 검토하여 변칙 규칙이 얼마나 잘 수행되는지 확인할 수 있습니다.

1. Azure Portal의 Microsoft Sentinel 사용자는 Microsoft Sentinel 탐색 메뉴에서 분석을 선택합니다.

   Microsoft Defender 포털의 통합 보안 운영 플랫폼 사용자는 Microsoft Defender 탐색 메뉴에서 Microsoft Sentinel > 구성 > 분석을 선택합니다.

2. Analytics 페이지에서 Anomalies 탭을 선택합니다.

3. 평가할 규칙을 선택하고 세부 정보 창 맨 위의 ID를 오른쪽으로 복사합니다.

4. Microsoft Sentinel 탐색 메뉴에서 로그를 선택합니다.

5. 맨 위에 쿼리 갤러리가 표시되면 닫습니다.

6. 로그 페이지의 왼쪽 창에서 테이블 탭을 선택합니다.

7. 시간 범위 필터를 지난 24시간으로 설정합니다.

8. 아래의 Kusto 쿼리를 복사하여 쿼리 창("여기에 쿼리를 입력하거나..."라고 표시됨)에 붙여넣습니다.

   Anomalies 
   | where RuleId contains "<RuleId>"
   

   따옴표 사이에 <RuleId> 대신 위에서 복사한 규칙 ID를 붙여넣습니다.

9. 실행을 선택합니다.

결과가 몇 가지 있으면 변칙의 품질 평가를 시작할 수 있습니다. 결과가 없으면 시간 범위를 늘려 보세요.

각 변칙 결과를 확장한 다음 AnomalyReasons 필드를 확장합니다. 이렇게 하면 변칙이 발생한 이유를 알 수 있습니다.

변칙의 "타당성" 또는 "유용성"은 사용자 환경의 조건에 따라 달라질 수 있지만, 변칙 규칙이 변칙을 너무 많이 생성하는 일반적인 이유는 임계값이 너무 낮을 수 있기 때문입니다.

변칙 규칙 조정

변칙 규칙은 기본적으로 효율성을 극대화하도록 설계되었지만, 모든 상황은 고유하며 경우에 따라서는 변칙 규칙을 조정해야 합니다.

원래 활성 규칙을 편집할 수 없기 때문에 먼저 활성 변칙 규칙을 복제한 후 복사본을 사용자 지정해야 합니다.

원래 변칙 규칙은 사용하지 않도록 설정하거나 삭제할 때까지 계속 실행됩니다.

이는 원래 구성과 새 구성에서 생성된 결과를 비교할 수 있는 기회를 제공하기 위해 의도된 것입니다. 기본적으로 중복된 규칙은 사용하지 않도록 설정됩니다. 지정된 변칙 규칙의 사용자 지정 복사본은 하나만 만들 수 있습니다. 두 번째 복사본을 만들려는 시도는 실패합니다.

1. 변칙 규칙의 구성을 변경하려면 Anomalies 탭의 목록에서 규칙을 선택합니다.

2. 규칙 행의 아무 곳이나 마우스 오른쪽 단추로 클릭하거나 행 끝에 있는 줄임표(...)를 마우스 왼쪽 단추로 클릭한 다음, 바로 가기 메뉴에서 복제를 선택합니다.

   다음과 같은 특성을 가진 새 규칙이 목록에 나타납니다.

   • 규칙 이름은 원래 이름과 같으며 끝에 "- 사용자 지정됨"이 추가됩니다.
   • 규칙의 상태는 사용 안 함입니다.
   • FLGT 배지는 규칙이 플라이팅 모드임을 나타내기 위해 행의 시작 부분에 표시됩니다.

3. 이 규칙을 사용자 지정하려면 규칙을 선택하고 세부 정보 창 또는 규칙의 바로 가기 메뉴에서 편집을 선택합니다.

4. 규칙이 분석 규칙 마법사에서 열립니다. 여기에서 규칙의 매개 변수와 해당 임계값을 변경할 수 있습니다. 변경할 수 있는 매개 변수는 각 변칙 유형과 알고리즘에 따라 달라집니다.

   결과 미리 보기 창에서 변경 내용의 결과를 미리 볼 수 있습니다. 결과 미리 보기에서 변칙 ID를 선택하여 ML 모델이 해당 변칙을 식별하는 이유를 확인합니다.

5. 사용자 지정된 규칙을 사용하여 결과를 생성합니다. 일부 내용을 변경하려면 규칙을 다시 실행해야 할 수 있으므로, 완료될 때까지 기다렸다가 다시 돌아와 로그 페이지에서 결과를 확인해야 합니다. 사용자 지정된 변칙 규칙은 기본적으로 플라이팅(테스트) 모드에서 실행됩니다. 원래 규칙은 기본적으로 프로덕션 모드에서 계속 실행됩니다.

6. 결과를 비교하려면 로그의 변칙 테이블로 되돌아가 이전과 같이 새 규칙을 평가합니다. 대신 다음 쿼리만 사용하여 원래 규칙과 중복 규칙에 의해 생성된 변칙을 찾습니다.

   Anomalies 
   | where AnomalyTemplateId contains "<RuleId>"
   

   따옴표 사이에 <RuleId> 대신 원래 규칙에서 복사한 규칙 ID를 붙여넣습니다. 원본 규칙과 중복 규칙의 AnomalyTemplateId 값은 원래 규칙의 RuleId 값과 동일합니다.

사용자 지정 규칙의 결과가 만족스러우면 Anomalies 탭으로 되돌아가 사용자 지정 규칙을 선택하고, 편집 단추를 선택하고, 일반 탭에 있는 플라이팅에서 프로덕션으로 전환할 수 있습니다. 동일한 규칙의 두 가지 버전을 동시에 프로덕션에서 사용할 수 없으므로 원래 규칙이 플라이팅으로 자동 변경됩니다.

다음 단계

이 문서에서는 Microsoft Sentinel에서 사용자 지정 가능한 변칙 검색 분석 규칙을 사용하는 방법을 배웠습니다.

• 사용자 지정 변칙 현상에 대한 몇 가지 백그라운드 정보를 가져옵니다.
• Microsoft Sentinel에서 사용 가능한 변칙 유형을 봅니다.
• 다른 분석 규칙 유형을 탐색합니다.