중요
이제 사용자 지정 검색이 Microsoft Sentinel SIEM Microsoft Defender XDR 새 규칙을 만드는 가장 좋은 방법입니다. 사용자 지정 검색을 사용하면 수집 비용을 줄이고, 무제한 실시간 검색을 얻을 수 있으며, 자동 엔터티 매핑을 사용하여 Defender XDR 데이터, 함수 및 수정 작업과의 원활한 통합을 활용할 수 있습니다. 자세한 내용은 이 블로그를 참조하세요.
중요
검색 튜닝은 현재 미리 보기로 제공됩니다. 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법적 조건은 Microsoft Azure Preview에 대한 추가 사용 약관을 참조하세요.
SIEM에서 위협 탐지 규칙을 미세 조정하는 것은 위협 탐지 범위를 극대화하고 가양성 비율을 최소화하는 것 사이의 균형을 조정하는 어렵고 섬세하며 지속적인 프로세스가 될 수 있습니다. Microsoft Sentinel 기계 학습을 사용하여 시간 경과에 따른 인시던트에 대한 응답뿐만 아니라 데이터 원본의 수십억 개의 신호를 분석하고, 패턴을 추론하고, 튜닝 오버헤드를 크게 낮추고 실제 위협을 감지하고 대응하는 데 집중할 수 있는 실행 가능한 권장 사항 및 인사이트를 제공하여 이 프로세스를 간소화하고 간소화합니다.
튜닝 권장 사항 및 인사이트는 이제 분석 규칙에 기본 제공됩니다. 이 문서에서는 이러한 인사이트가 표시하는 내용과 권장 사항을 구현하는 방법을 설명합니다.
규칙 인사이트 및 튜닝 권장 사항 보기
Microsoft Sentinel 분석 규칙에 대한 조정 권장 사항이 있는지 확인하려면 Microsoft Sentinel 탐색 메뉴에서 분석을 선택합니다.
권장 사항이 있는 규칙은 다음과 같이 전구 아이콘을 표시합니다.
다른 인사이트와 함께 권장 사항을 보려면 규칙을 편집합니다. 분석 규칙 마법사의 규칙 논리 설정 탭에 결과 시뮬레이션 디스플레이 아래에 함께 표시됩니다.
인사이트 유형
튜닝 인사이트 디스플레이는 스크롤하거나 스 와이프할 수 있는 여러 창으로 구성되며, 각각 다른 것을 보여 줍니다. 인사이트가 표시되는 시간 프레임(14일)은 프레임 맨 위에 표시됩니다.
첫 번째 인사이트 창에는 인시던트당 평균 경고 수, 열린 인시던트 수 및 분류별로 그룹화된 닫힌 인시던트 수(true/false 긍정)와 같은 일부 통계 정보가 표시됩니다. 이 인사이트를 통해 이 규칙의 부하를 파악하고 그룹화 설정을 조정해야 하는 경우와 같이 튜닝이 필요한지 파악할 수 있습니다.
이 인사이트는 Log Analytics 쿼리의 결과입니다. 인시던트당 평균 경고를 선택하면 인사이트를 생성한 Log Analytics의 쿼리로 이동됩니다. 인시던트 열기를 선택하면 인시던트 블레이드로 이동합니다.
두 번째 인사이트 창에서는 제외할 엔터티 목록을 권장합니다. 이러한 엔터티는 닫은 인시던트와 상관 관계가 높으며 가양성으로 분류됩니다. 나열된 각 엔터티 옆에 있는 더하기 기호를 선택하여 이 규칙의 향후 실행에서 쿼리에서 제외합니다.
이 권장 사항은 Microsoft의 고급 데이터 과학 및 기계 학습 모델에 의해 생성됩니다. 이 창이 튜닝 인사이트 디스플레이에 포함되는 것은 표시할 권장 사항이 있는 것에 따라 달라집니다.
세 번째 인사이트 창에는 이 규칙에 의해 생성된 모든 경고에서 가장 자주 나타나는 네 개의 매핑된 엔터티가 표시됩니다. 결과를 생성하려면 이 인사이트에 대한 규칙에서 엔터티 매핑을 구성해야 합니다. 이 인사이트는 "스포트라이트를 받고" 다른 엔터티로부터 주의를 끄는 엔터티를 인식하는 데 도움이 될 수 있습니다. 다른 규칙에서 이러한 엔터티를 개별적으로 처리하거나 가양성 또는 기타 노이즈라고 결정하고 규칙에서 제외할 수 있습니다.
이 인사이트는 Log Analytics 쿼리의 결과입니다. 엔터티를 선택하면 인사이트를 생성한 Log Analytics의 쿼리로 연결됩니다.
다음 단계
자세한 내용은 다음을 참조하세요.