경고가 Microsoft Sentinel 전송되거나 생성되는 경우 Sentinel 인식하고 범주로 엔터티로 분류할 수 있는 데이터 요소가 포함됩니다. Microsoft Sentinel 특정 데이터 요소가 나타내는 엔터티의 종류를 이해하면 해당 요소에 대해 질문할 올바른 질문을 알고 있으며, 데이터 원본의 전체 범위에서 해당 항목에 대한 인사이트를 비교하고 분석, 조사, 수정, 헌팅 등 전체 Sentinel 환경에서 쉽게 추적하고 참조할 수 있습니다. 엔터티의 몇 가지 일반적인 예로는 사용자 계정, 호스트, 사서함, IP 주소, 파일, 클라우드 애플리케이션, 프로세스 및 URL이 있습니다.
중요
2027년 3월 31일 이후에는 Microsoft Sentinel 더 이상 Azure Portal 지원되지 않으며 Microsoft Defender 포털에서만 사용할 수 있습니다. Azure Portal Microsoft Sentinel 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel 사용합니다.
Azure Portal Microsoft Sentinel 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 제공하는 통합 보안 운영 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다.
Microsoft Defender 포털에서 엔터티는 일반적으로 두 가지 주요 범주로 분류됩니다.
| 엔터티 범주 | 특성화 | 주요 예제 |
|---|---|---|
| 자산 | ||
| 기타 엔터티 (증거) |
엔터티 식별자
Microsoft Sentinel 다양한 엔터티 형식을 지원합니다. 각 형식에는 엔터티 스키마의 필드로 표현되고 식별자라고 하는 고유한 특성이 있습니다. 아래 지원되는 엔터티의 전체 목록과 Microsoft Sentinel 엔터티 형식 참조의 전체 엔터티 스키마 및 식별자 집합을 참조하세요.
강력하고 약한 식별자
엔터티의 각 형식에는 해당 엔터티의 특정 인스턴스를 식별할 수 있는 필드 또는 필드 집합이 있습니다. 이러한 필드 또는 필드 집합은 모호성 없이 엔터티를 고유하게 식별할 수 있는 경우 강력한 식별자 또는 경우에 따라 엔터티를 식별할 수 있지만 모든 경우에 엔터티를 고유하게 식별하도록 보장되지 않는 경우 약한 식별자로 참조할 수 있습니다. 하지만 대부분의 경우 약한 식별자를 결합하여 강력한 식별자를 생성할 수 있습니다.
예를 들어 사용자 계정은 두 가지 이상의 방법으로 계정 엔터티로 식별할 수 있습니다. 즉, Microsoft Entra 계정의 숫자 식별자(GUID 필드) 또는 UPN(사용자 계정 이름) 값과 같은 강력한 단일 식별자를 사용하거나 이름 및 NTDomain 필드와 같은 약한 식별자의 조합을 사용합니다. 다른 데이터 원본은 다른 방법으로 동일한 사용자를 식별할 수 있습니다. Microsoft Sentinel 식별자를 기반으로 동일한 엔터티로 인식할 수 있는 두 엔터티가 발견될 때마다 두 엔터티를 단일 엔터티로 병합하여 적절하고 일관되게 처리할 수 있습니다.
그러나 리소스 공급자 중 하나가 엔터티가 충분히 식별되지 않는 경고를 만드는 경우(예: 도메인 이름 컨텍스트가 없는 사용자 이름과 같은 단일 약한 식별자 만 사용) 사용자 엔터티를 동일한 사용자 계정의 다른 인스턴스와 병합할 수 없습니다. 이러한 다른 인스턴스는 별도의 엔터티로 식별되며, 이러한 두 엔터티는 통합되지 않고 별도로 유지됩니다.
이러한 일이 발생할 위험을 최소화하려면 모든 경고 공급자가 생성하는 경고의 엔터티를 올바르게 식별하는지 확인해야 합니다. 또한 사용자 계정 엔터티를 Microsoft Entra ID 동기화하면 사용자 계정 엔터티를 병합할 수 있는 통합 디렉터리가 만들어질 수 있습니다.
지원되는 엔터티
현재 Microsoft Sentinel 식별되는 엔터티 유형은 다음과 같습니다.
- Account
- Host(호스트)
- IP 주소
- URL
- 리소스 Azure
- 클라우드 애플리케이션
- DNS 확인
- 파일
- 파일 해시
- 맬웨어
- 프로세스
- 레지스트리 키
- 레지스트리 값
- 보안 그룹
- 메일함
- 메일 클러스터
- 메일 메시지
- 제출 메일
엔터티 참조에서 이러한 엔터티의 식별자 및 기타 관련 정보를 볼 수 있습니다.
엔터티 매핑
Microsoft Sentinel 경고의 데이터 조각을 엔터티를 식별하는 것으로 인식하려면 어떻게 할까요?
Microsoft Sentinel 데이터 처리가 수행되는 방식을 살펴보겠습니다. 데이터는 서비스-서비스, 에이전트 기반 또는 API 기반 등 커넥터를 통해 다양한 원본에서 수집됩니다. 데이터는 Log Analytics 작업 영역의 테이블에 저장됩니다. 이러한 테이블은 정의하고 사용하도록 설정한 예약되거나 거의 실시간에 가까운 분석 규칙에 따라 정기적으로 쿼리되거나 위협을 헌팅할 때 헌팅 쿼리의 일부로 주문형으로 쿼리됩니다. 이러한 분석 규칙 및 헌팅 쿼리 정의의 일부는 테이블의 데이터 필드를 Microsoft Sentinel 인식되는 엔터티 형식에 매핑하는 것입니다. 정의하는 매핑에 따라 Microsoft Sentinel 쿼리에서 반환된 결과에서 필드를 가져와서 각 엔터티 형식에 대해 지정한 식별자에 의해 인식하고 해당 식별자가 식별한 엔터티 형식을 적용합니다.
이 모든 것의 요점은 무엇입니까?
Microsoft Sentinel 다양한 유형의 데이터 원본에서 경고의 엔터티를 식별할 수 있으며, 특히 각 데이터 원본 또는 다른 스키마에 공통된 강력한 식별자를 사용하여 엔터티를 식별할 수 있는 경우 이러한 모든 경고와 데이터 원본 간에 쉽게 상관 관계를 지정할 수 있습니다. 이러한 상관 관계는 엔터티에 대한 풍부한 정보 및 인사이트 저장소를 구축하여 보안 위협을 조사하고 대응할 수 있는 견고한 기반과 컨텍스트를 제공하는 데 도움이 됩니다.
데이터 필드를 엔터티에 매핑하는 방법을 알아봅니다.
엔터티를 강력하게 식별하는 식별자를 알아봅니다.
엔터티 페이지
엔터티 페이지에 대한 정보는 이제 Microsoft Sentinel 엔터티 페이지에서 찾을 수 있습니다.
다음 단계
이 문서에서는 Microsoft Sentinel 엔터티 작업에 대해 알아보았습니다. 구현에 대한 실질적인 지침과 얻은 인사이트를 사용하려면 다음 문서를 참조하세요.
- Microsoft Sentinel 엔터티 동작 분석을 사용하도록 설정합니다.
- 보안 위협을 헌팅합니다.