템플릿에서 예약된 분석 규칙 만들기

  • 적용 대상: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

지금까지 가장 일반적인 유형의 분석 규칙인 예약된 규칙은 정기적으로 실행되고 정의된 "lookback" 기간의 원시 데이터를 검사하도록 구성된 Kusto 쿼리 를 기반으로 합니다. 이러한 쿼리는 대상 데이터에 대해 복잡한 통계 작업을 수행하여 이벤트 그룹에서 기준선 및 이상값을 공개할 수 있습니다. 쿼리에서 캡처한 결과 수가 규칙에 구성된 임계값을 초과하면 규칙이 경고를 생성합니다.

Microsoft는 콘텐츠 허브에서 제공하는 다양한 솔루션을 통해 다양한 분석 규칙 템플릿을 사용할 수 있도록 하며, 이를 사용하여 규칙을 만드는 것이 좋습니다. 예약된 규칙 템플릿의 쿼리는 Microsoft 또는 템플릿을 제공하는 솔루션 공급업체의 보안 및 데이터 과학 전문가가 작성합니다.

이 문서에서는 템플릿을 사용하여 예약된 분석 규칙을 만드는 방법을 보여 줍니다.

중요

2027년 3월 31일 이후에는 Microsoft Sentinel 더 이상 Azure Portal 지원되지 않으며 Microsoft Defender 포털에서만 사용할 수 있습니다. Azure Portal Microsoft Sentinel 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel 사용합니다.

Azure Portal Microsoft Sentinel 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 제공하는 통합 보안 운영 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다.

기존 분석 규칙 보기

Microsoft Sentinel 설치된 분석 규칙을 보려면 분석 페이지로 이동합니다. 규칙 템플릿 탭에는 설치된 모든 규칙 템플릿이 표시됩니다. 더 많은 규칙 템플릿을 찾으려면 Microsoft Sentinel 콘텐츠 허브로 이동하여 관련 제품 솔루션 또는 독립 실행형 콘텐츠를 설치합니다.

  1. Microsoft Defender 탐색 메뉴에서 Microsoft Sentinel 확장한 다음 구성을 확장합니다. 분석을 선택합니다.

  2. 분석 화면에서 규칙 템플릿 탭을 선택합니다.

  3. 예약된 템플릿 목록을 필터링하려는 경우:

    1. 필터 추가를 선택하고 필터 목록에서 규칙 유형을 선택합니다.

    2. 결과 목록에서 예약됨을 선택합니다. 그런 다음 , 적용을 선택합니다.

    Microsoft Defender Portal의 예약된 분석 규칙 템플릿 스크린샷

템플릿에서 규칙 만들기

이 절차에서는 템플릿에서 분석 규칙을 만드는 방법을 설명합니다.

Microsoft Defender 탐색 메뉴에서 Microsoft Sentinel 확장한 다음 구성을 확장합니다. 분석을 선택합니다.

  1. 분석 화면에서 규칙 템플릿 탭을 선택합니다.

  2. 템플릿 이름을 선택한 다음 세부 정보 창에서 규칙 만들기 단추를 선택하여 해당 템플릿을 기반으로 새 활성 규칙을 만듭니다.

    각 템플릿에는 필요한 데이터 원본 목록이 있습니다. 템플릿을 열면 데이터 원본이 자동으로 가용성을 확인합니다. 데이터 원본을 사용하도록 설정하지 않은 경우 규칙 만들기 단추를 사용하지 않도록 설정하거나 해당 효과에 대한 메시지가 표시될 수 있습니다.

    분석 규칙 미리 보기 패널의 스크린샷

  3. 규칙 만들기 마법사가 열립니다. 모든 세부 정보가 자동으로 채워집니다.

  4. 마법사의 탭을 순환하여 가능한 경우 논리 및 기타 규칙 설정을 사용자 지정하여 특정 요구 사항에 더 잘 맞습니다. 자세한 내용은 다음 항목을 참조하세요.

    규칙 만들기 마법사가 끝나면 Microsoft Sentinel 규칙을 만듭니다. 새 규칙이 활성 규칙 탭에 나타납니다.

    프로세스를 반복하여 더 많은 규칙을 만듭니다. 규칙 만들기 마법사에서 규칙을 사용자 지정하는 방법에 대한 자세한 내용은 처음부터 사용자 지정 분석 규칙 만들기를 참조하세요.

  • 사용자 환경에 대한 전체 보안 범위를 보장하기 위해 연결된 데이터 원본과 연결된 모든 규칙을 사용하도록 설정 해야 합니다. 분석 규칙을 사용하도록 설정하는 가장 효율적인 방법은 모든 관련 규칙을 나열하는 데이터 커넥터 페이지에서 직접 사용하는 것입니다. 자세한 내용은 데이터 원본 연결을 참조하세요.

  • APIPowerShell을 통해 Microsoft Sentinel 규칙을 푸시할 수도 있지만 추가 작업이 필요합니다.

    API 또는 PowerShell을 사용하는 경우 규칙을 사용하도록 설정하기 전에 먼저 규칙을 JSON으로 내보내야 합니다. API 또는 PowerShell은 각 instance 동일한 설정으로 Microsoft Sentinel 여러 인스턴스에서 규칙을 사용하도록 설정할 때 유용할 수 있습니다.

다음 단계

이 문서에서는 Microsoft Sentinel 템플릿에서 예약된 분석 규칙을 만드는 방법을 알아보았습니다.

  • Last updated on