예약된 분석 규칙의 수집 지연 처리

중요

이제 사용자 지정 검색이 Microsoft Sentinel SIEM Microsoft Defender XDR 새 규칙을 만드는 가장 좋은 방법입니다. 사용자 지정 검색을 사용하면 수집 비용을 줄이고, 무제한 실시간 검색을 얻을 수 있으며, 자동 엔터티 매핑을 사용하여 Defender XDR 데이터, 함수 및 수정 작업과의 원활한 통합을 활용할 수 있습니다. 자세한 내용은 이 블로그를 참조하세요.

Microsoft Sentinel 다양한 원본에서 데이터를 수집할 수 있지만 각 데이터 원본에 대한 수집 시간은 다양한 상황에서 다를 수 있습니다.

이 문서에서는 수집 지연이 예약된 분석 규칙에 미치는 영향과 이러한 격차를 해소하기 위해 이를 해결하는 방법을 설명합니다.

지연이 중요한 이유

예를 들어 사용자 지정 검색 규칙을 작성하여 쿼리 실행 및마지막 필드의 조회 데이터를 5분마다 실행하도록 설정하고 마지막 5분에서 데이터를 조회할 수 있습니다.

분석 규칙 마법사 - 새 규칙 만들기 창을 보여 주는 스크린샷

마지막 필드의 조회 데이터는조회 기간이라는 설정을 정의합니다. 이상적으로 지연이 없으면 다음 다이어그램과 같이 이 검색에서 이벤트를 놓치지 않는 것이 좋습니다.

5분 조회 창을 보여 주는 다이어그램

이벤트가 생성되면 도착하며 조회 기간에 포함됩니다.

이제 데이터 원본에 약간의 지연이 있다고 가정합니다. 이 예제에서는 이벤트가 생성된 후 2분 후에 수집되었다고 가정해 보겠습니다. 지연 시간은 2분입니다.

지연이 2분인 5분 뒤로 창을 보여 주는 다이어그램

이벤트는 첫 번째 조회 기간 내에 생성되지만 첫 번째 실행의 Microsoft Sentinel 작업 영역에서 수집되지 않습니다. 다음에 예약된 쿼리가 실행될 때 이벤트를 수집하지만 시간 생성 필터는 5분 전에 발생했기 때문에 이벤트를 제거합니다. 이 경우 규칙은 경고를 발생시키지 않습니다.

지연을 처리하는 방법

참고

아래에 설명된 프로세스를 사용하여 문제를 해결하거나 Microsoft Sentinel NRT(근 실시간 검색) 규칙을 구현할 수 있습니다. 자세한 내용은 Microsoft Sentinel NRT(근 실시간) 분석 규칙을 사용하여 신속하게 위협 감지를 참조하세요.

이 문제를 해결하려면 데이터 형식의 지연을 알아야 합니다. 이 예제에서는 지연이 2분이라는 것을 이미 알고 있습니다.

사용자 고유의 데이터에 대해 Kusto ingestion_time() 함수를 사용하여 지연을 이해하고 TimeGenerated 와 수집 시간의 차이를 계산할 수 있습니다. 자세한 내용은 수집 지연 계산을 참조하세요.

지연을 결정한 후 다음과 같이 문제를 해결할 수 있습니다.

  • 조회 기간을 늘입니다. 기본 직관은 조회 기간 크기를 늘리는 것이 도움이 될 것이라고 말합니다. 조회 기간은 5분이고 지연 시간은 2분이므로 조회 기간을 7 분으로 설정하면 이 문제를 해결하는 데 도움이 됩니다. 예를 들어 규칙 설정에서 다음을 수행합니다.

    조회 창을 7분으로 설정하는 방법을 보여 주는 스크린샷

    다음 다이어그램은 이제 look-pack 기간에 누락된 이벤트가 포함된 방법을 보여 줍니다.

    지연이 2분인 7분 뒤로 창을 보여 주는 다이어그램.

  • 중복을 처리합니다. 이제 조회 창이 겹치기 때문에 조회 기간을 늘리면 중복이 발생할 수 있습니다. 예를 들어 다른 이벤트는 다음 다이어그램과 같이 표시할 수 있습니다.

    겹치는 조회 창이 중복되는 방식을 보여 주는 다이어그램

    TimeGenerated 이벤트 값은 두 번의 조회 기간에 모두 발견되므로 이벤트는 두 개의 경고를 발생합니다. 중복을 해결하는 방법을 찾아야 합니다.

  • 이벤트를 특정 조회 기간에 연결합니다. 첫 번째 예제에서는 예약된 쿼리가 실행될 때 데이터가 수집되지 않았기 때문에 이벤트를 놓쳤습니다. 이벤트를 포함하도록 조회를 확장했지만 이로 인해 중복이 발생했습니다. 이벤트를 포함하려면 확장한 창에 연결해야 합니다.

    원래 규칙 대신 를 설정 ingestion_time() > ago(5m)하여 이 작업을 수행합니다 look-back = 5m. 이 설정은 이벤트를 첫 번째 조회 창에 연결합니다. 예시:

    전 제한을 설정하여 중복을 방지하는 방법을 보여 주는 다이어그램

    수집 시간 제한은 이제 조회 기간에 추가한 추가 2분을 줄입니다. 그리고 첫 번째 예제의 경우 두 번째 실행 조회 기간은 이제 이벤트를 캡처합니다.

    전 제한 설정을 통해 이벤트를 캡처하는 방법을 보여 주는 다이어그램

다음 샘플 쿼리는 수집 지연 문제를 해결하기 위한 솔루션을 요약합니다.

let ingestion_delay = 2min;
let rule_look_back = 5min;
CommonSecurityLog
| where TimeGenerated >= ago(ingestion_delay + rule_look_back)
| where ingestion_time() > ago(rule_look_back)

앞의 예제에서 사용된 다음 항목에 대한 자세한 내용은 Kusto 설명서를 참조하세요.

수집 지연 계산

기본적으로 Microsoft Sentinel 예약된 경고 규칙은 5분 조회 기간을 갖도록 구성됩니다. 그러나 각 데이터 원본에는 고유한 개별 수집 지연이 있을 수 있습니다. 여러 데이터 형식을 조인할 때 조회 기간을 올바르게 구성하려면 각 데이터 형식에 대한 다양한 지연을 이해해야 합니다.

Microsoft Sentinel 기본 제공 작업 영역 사용 보고서에는 작업 영역으로 흐르는 다양한 데이터 형식에 대한 대기 시간 및 지연을 보여 주는 dashboard 포함되어 있습니다.

예시:

테이블별 종단 간 대기 시간을 보여 주는 작업 영역 사용량 보고서의 스크린샷

다음 단계

자세한 내용은 다음을 참조하세요.

  • Last updated on