Microsoft Sentinel 예약된 분석 규칙의 템플릿 버전 관리

중요

이제 사용자 지정 검색이 Microsoft Sentinel SIEM Microsoft Defender XDR 새 규칙을 만드는 가장 좋은 방법입니다. 사용자 지정 검색을 사용하면 수집 비용을 줄이고, 무제한 실시간 검색을 얻을 수 있으며, 자동 엔터티 매핑을 사용하여 Defender XDR 데이터, 함수 및 수정 작업과의 원활한 통합을 활용할 수 있습니다. 자세한 내용은 이 블로그를 참조하세요.

중요

이 기능은 미리 보기로 제공됩니다. 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법적 조건은 Microsoft Azure Preview에 대한 추가 사용 약관을 참조하세요.

소개

Microsoft Sentinel 실제로 복사본을 만들어 활성 규칙으로 전환하는 분석 규칙 템플릿이 포함되어 있습니다. 이 템플릿은 템플릿에서 규칙을 만들 때 발생합니다. 그러나 이 시점에서 활성 규칙은 더 이상 템플릿에 연결되지 않습니다. Microsoft 엔지니어 또는 다른 사람이 규칙 템플릿을 변경한 경우 해당 템플릿에서 미리 만든 규칙은 새 템플릿과 일치하도록 동적으로 업데이트 되지 않습니다 .

그러나 템플릿에서 만든 규칙은 템플릿이 어떤 템플릿에서 왔는지 기억하므로 다음 두 가지 이점이 있습니다.

  • 템플릿에서 규칙을 만들 때 또는 나중에 언제든지 규칙을 변경한 경우 언제든지 규칙을 원래 버전으로 다시 되돌리기 수 있습니다.

  • 템플릿이 업데이트되면 알림이 표시됩니다. 규칙을 새 버전의 템플릿으로 업데이트하거나 그대로 둘 수 있습니다.

이 문서에서는 이러한 작업을 관리하는 방법과 유의해야 할 사항을 보여 줍니다. 문서에서 설명하는 절차는 템플릿에서 만든 예약된 분석 규칙에 적용됩니다.

규칙의 템플릿 버전 번호 검색

템플릿 버전 제어를 구현하면 규칙 템플릿의 버전과 해당 템플릿에서 만든 규칙을 보고 추적할 수 있습니다. 업데이트된 템플릿이 있는 규칙은 규칙 이름 옆에 "업데이트" 배지를 표시합니다.

  1. 분석 페이지에서 활성 규칙 탭을 선택합니다.

  2. Scheduled 유형의 규칙을 선택합니다.

    • 규칙에 "업데이트" 배지가 표시되면 세부 정보 창에 편집 단추 옆에 검토 및 업데이트 단추가 있습니다(다음 단계에서 이미지 1 참조).

    • 규칙이 템플릿에서 만들어졌지만 "업데이트" 배지가 없는 경우 세부 정보 창에는 편집 단추 옆에 템플릿과 비교 단추가 있습니다(다음 단계에서 이미지 2 및 3 참조).

    • 편집 단추만 있는 경우 규칙은 템플릿이 아니라 처음부터 만들어졌습니다.

      템플릿 업데이트를 사용할 수 있음을 나타내는 배지가 있는 활성 규칙 목록의 스크린샷.

  3. 세부 정보 창 아래쪽으로 스크롤하면 두 가지 버전 번호, 즉 규칙이 만들어진 템플릿의 버전과 사용 가능한 최신 버전의 템플릿이 표시됩니다.

    세부 정보 창의 스크린샷 아래로 스크롤하여 템플릿 버전 번호를 확인합니다.

    숫자는 주 버전, 부 버전 및 빌드의 "1.0.0" 형식입니다.

    • 주 버전 번호의 차이는 템플릿에 필수적인 항목이 변경되었음을 나타내며, 이는 규칙이 위협을 감지하는 방법 또는 완전히 작동하는 기능에 영향을 줄 수 있습니다. 이 변경 내용을 규칙에 포함하려고 합니다.

    • 부 버전 번호의 차이는 템플릿의 사소한 개선(화장품 변경 또는 이와 유사한 것)을 나타냅니다. 이는 "좋은 기능"이지만 규칙의 기능, 효능 또는 성능을 유지하는 데는 중요하지 않습니다. 이 변경을 쉽게 수행하거나 그대로 둘 수 있습니다.

    참고

    이미지 2와 3은 템플릿이 업데이트되지 않은 템플릿에서 만든 규칙의 두 가지 예를 보여 줍니다.

    • 이미지 2는 현재 템플릿에 대한 버전 번호가 있는 규칙을 보여줍니다. 이는 2021년 10월 Microsoft Sentinel 템플릿 버전 제어를 처음 구현한 후 규칙이 생성되었음을 알리는 신호입니다.
    • 이미지 3은 현재 템플릿 버전이 없는 규칙을 보여줍니다. 이는 규칙이 2021년 10월 이전에 생성되었음을 보여줍니다. 사용 가능한 최신 템플릿 버전이 있는 경우 규칙을 만드는 데 사용된 템플릿보다 최신 버전의 템플릿일 수 있습니다.

활성 규칙과 해당 템플릿 비교

수행하려는 작업에 따라 다음 탭 중 하나를 선택하여 해당 작업에 대한 지침을 확인합니다.

규칙을 선택하고 업데이트를 고려한다고 결정한 후 세부 정보 창에서 검토 및 업데이트를 선택합니다(이전 참조). 이제 분석 규칙 마법사최신 버전과 비교 탭이 표시됩니다.

이 탭에는 기존 규칙의 YAML 표현과 최신 버전의 템플릿이 나란히 표시됩니다.

분석 규칙 마법사의 '최신 버전과 비교' 탭의 스크린샷

참고

이 규칙을 업데이트하면 기존 규칙을 최신 버전의 템플릿으로 덮어씁 수 있습니다.

참조된 이름이 변경된 경우 기존 규칙을 참조하는 모든 자동화 단계 또는 논리를 확인해야 합니다. 또한 원래 규칙을 만들 때 수행한 모든 사용자 지정(쿼리, 예약, 그룹화 또는 기타 설정 변경)을 덮어쓸 수 있습니다.

새 템플릿 버전으로 규칙 업데이트

  • 새 버전의 템플릿을 변경할 수 있고 원래 규칙의 다른 내용이 영향을 받지 않는 경우 검토 및 업데이트를 선택하여 변경 내용의 유효성을 검사하고 적용합니다.

  • 규칙을 추가로 사용자 지정하거나 덮어쓸 수 있는 변경 내용을 다시 적용하려면 다음: 사용자 지정 변경 내용을 선택합니다. 분석 규칙 마법사의 나머지 탭을 순환하여 변경한 다음 검토 및 업데이트 탭에서 변경 내용의 유효성을 검사하고 적용합니다.

  • 기존 규칙을 변경하지 않고 기존 템플릿 버전을 유지하려면 오른쪽 위 모서리에서 X를 선택하여 마법사를 종료하기만 하면 됩니다.

다음 단계

이 문서에서는 Microsoft Sentinel 분석 규칙 템플릿의 버전을 추적하고 활성 규칙을 기존 템플릿 버전으로 되돌리기 새 템플릿 버전으로 업데이트하는 방법을 알아보았습니다. Microsoft Sentinel 대한 자세한 내용은 다음 문서를 참조하세요.

  • Last updated on