중요
이제 사용자 지정 검색이 Microsoft Sentinel SIEM Microsoft Defender XDR 새 규칙을 만드는 가장 좋은 방법입니다. 사용자 지정 검색을 사용하면 수집 비용을 줄이고, 무제한 실시간 검색을 얻을 수 있으며, 자동 엔터티 매핑을 사용하여 Defender XDR 데이터, 함수 및 수정 작업과의 원활한 통합을 활용할 수 있습니다. 자세한 내용은 이 블로그를 참조하세요.
Microsoft Sentinel 확장 가능한 기계 학습 알고리즘을 기반으로 하는 상관 관계 엔진인 Fusion을 사용하여 킬 체인의 다양한 단계에서 관찰되는 비정상적인 동작과 의심스러운 활동의 조합을 식별하여 다단계 공격(고급 영구 위협 또는 APT라고도 함)을 자동으로 검색합니다. 이러한 검색에 따라 Microsoft Sentinel catch하기 어려운 인시던트가 생성됩니다. 이러한 인시던트가 두 개 이상의 경고 또는 활동으로 구성됩니다. 기본적으로 이러한 인시던트 는 볼륨이 낮고 충실도가 높으며 심각도가 높습니다.
사용자 환경에 맞게 사용자 지정된 이 검색 기술은 가양성 비율을 줄일 뿐만 아니라 제한적이거나 누락된 정보로 공격을 검색할 수도 있습니다.
Fusion은 다양한 제품의 여러 신호를 연결하여 고급 다단계 공격을 감지하므로 성공적인 Fusion 검색은 경고가 아닌 Microsoft Sentinel 인시던트 페이지에서 Fusion 인시던트로 표시되고 SecurityAlert 테이블이 아닌 로그의 SecurityIncident 테이블에 저장됩니다.
Fusion 구성
Fusion은 Microsoft Sentinel 기본적으로 고급 다단계 공격 검색이라는 분석 규칙으로 사용하도록 설정됩니다. 규칙의 상태 보고 변경하거나, Fusion ML 모델에 포함되도록 원본 신호를 구성하거나, Fusion 검색에서 환경에 적용되지 않을 수 있는 특정 검색 패턴을 제외할 수 있습니다. Fusion 규칙을 구성하는 방법을 알아봅니다.
참고
Microsoft Sentinel 현재 30일간의 기록 데이터를 사용하여 Fusion 엔진의 기계 학습 알고리즘을 학습시킵니다. 이 데이터는 기계 학습 파이프라인을 통과할 때 항상 Microsoft의 키를 사용하여 암호화됩니다. 그러나 Microsoft Sentinel 작업 영역에서 CMK를 사용하도록 설정한 경우 CMK(고객 관리형 키)를 사용하여 학습 데이터가 암호화되지 않습니다. Fusion을 옵트아웃하려면 Microsoft Sentinel>구성>분석 > 활성 규칙으로 이동하고 고급 다단계 공격 탐지 규칙을 마우스 오른쪽 단추로 클릭하고 사용 안 함을 선택합니다.
Microsoft Defender 포털에 온보딩된 Microsoft Sentinel 작업 영역의 경우 Fusion을 사용할 수 없습니다. 해당 기능은 Microsoft Defender XDR 상관 관계 엔진으로 대체됩니다.
새로운 위협에 대한 Fusion
중요
표시된 Fusion 검색은 현재 미리 보기로 제공됩니다. 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법적 조건은 Microsoft Azure Preview에 대한 추가 사용 약관을 참조하세요.
2027년 3월 31일 이후에는 Microsoft Sentinel 더 이상 Azure Portal 지원되지 않으며 Microsoft Defender 포털에서만 사용할 수 있습니다. Azure Portal Microsoft Sentinel 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel 사용합니다. 2025년 7월부터 많은 신규 고객이 자동으로 온보딩되고 Defender 포털로 리디렉션됩니다.
Azure Portal Microsoft Sentinel 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 제공하는 통합 보안 운영 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다. 자세한 내용은 It's Time to Move: Retiring Microsoft Sentinel s Azure Portal for greater security를 참조하세요.
참고
미국 정부 클라우드의 기능 가용성에 대한 자세한 내용은 미국 정부 고객을 위한 클라우드 기능 가용성의 Microsoft Sentinel 테이블을 참조하세요.
Fusion 구성
Fusion은 Microsoft Sentinel 기본적으로 고급 다단계 공격 검색이라는 분석 규칙으로 사용하도록 설정됩니다. 규칙의 상태 보고 변경하거나, Fusion ML 모델에 포함되도록 원본 신호를 구성하거나, Fusion 검색에서 환경에 적용되지 않을 수 있는 특정 검색 패턴을 제외할 수 있습니다. Fusion 규칙을 구성하는 방법을 알아봅니다.
작업 영역에서 CMK(고객 관리형 키) 를 사용하도록 설정한 경우 Fusion을 옵트아웃할 수 있습니다. Microsoft Sentinel 현재 30일간의 기록 데이터를 사용하여 Fusion 엔진의 기계 학습 알고리즘을 학습시키고, 이 데이터는 기계 학습 파이프라인을 통과할 때 항상 Microsoft의 키를 사용하여 암호화됩니다. 그러나 학습 데이터는 CMK를 사용하여 암호화되지 않습니다. Fusion을 옵트아웃하려면 Microsoft Sentinel 고급 다단계 공격 탐지 분석 규칙을 사용하지 않도록 설정합니다. 자세한 내용은 Fusion 규칙 구성을 참조하세요.
Microsoft Sentinel Defender 포털에 온보딩되면 Fusion을 사용할 수 없습니다. 대신 Defender 포털에서 작업할 때 Fusion에서 제공하는 기능이 Microsoft Defender XDR 상관 관계 엔진으로 대체됩니다.
새로운 위협에 대한 Fusion(미리 보기)
보안 이벤트의 양이 계속 증가하고 있으며 공격의 scope 정교함이 계속 증가하고 있습니다. 알려진 공격 시나리오를 정의할 수 있지만 사용자 환경에서 새로운 위협과 알려지지 않은 위협은 어떻습니까?
Microsoft Sentinel ML 기반 Fusion 엔진은 확장된 ML 분석을 적용하고 경고 피로도를 낮게 유지하면서 비정상 신호의 광범위한 scope 상관 관계를 지정하여 환경에서 새로운 및 알 수 없는 위협을 찾는 데 도움이 될 수 있습니다.
Fusion 엔진의 ML 알고리즘은 기존 공격으로부터 지속적으로 학습하고 보안 분석가의 생각에 따라 분석을 적용합니다. 따라서 환경 전체의 킬 체인에서 수백만 개의 비정상적인 동작에서 이전에 검색되지 않은 위협을 발견할 수 있으므로 공격자보다 한 발 앞서 나갈 수 있습니다.
새로운 위협에 대한 Fusion 은 다음 원본의 데이터 수집 및 분석을 지원합니다.
Microsoft 서비스의 경고:
- Microsoft Entra ID Protection
- Microsoft Defender for Cloud
- IoT용 Microsoft Defender
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- 엔드포인트용 Microsoft Defender
- ID용 Microsoft Defender
- Office 365용 Microsoft Defender
예약된 분석 규칙의 경고입니다. 분석 규칙은 Fusion에서 사용하려면 킬 체인(전술) 및 엔터티 매핑 정보를 포함해야 합니다.
새로운 위협에 대한 Fusion이 작동하도록 하기 위해 위에 나열된 모든 데이터 원본을 연결할 필요는 없습니다. 그러나 연결한 데이터 원본이 많을수록 범위가 넓어지고 Fusion이 더 많은 위협을 찾을 수 있습니다.
Fusion 엔진의 상관 관계로 인해 새로운 위협이 감지되면 Microsoft Sentinel Fusion에서 검색할 수 있는 다단계 공격 활동이라는 제목의 심각도가 높은 인시던트를 생성합니다.
랜섬웨어용 Fusion
Microsoft Sentinel Fusion 엔진은 다음 데이터 원본에서 다양한 유형의 여러 경고를 감지하고 랜섬웨어 활동과 관련이 있을 수 있음을 확인하면 인시던트를 생성합니다.
- Microsoft Defender for Cloud
- 엔드포인트용 Microsoft Defender
- Microsoft Defender for Identity 커넥터
- Microsoft Defender for Cloud Apps
- 예약된 분석 규칙을 Microsoft Sentinel. Fusion은 전술 정보와 매핑된 엔터티를 사용하여 예약된 분석 규칙만 고려합니다.
이러한 Fusion 인시던트 이름은 랜섬웨어 활동과 관련된 여러 경고로, 특정 기간 동안 관련 경고가 검색되고 공격의 실행 및 방어 회피 단계와 연결될 때 생성됩니다.
예를 들어 Microsoft Sentinel 특정 기간 내에 동일한 호스트에서 다음 경고가 트리거되는 경우 가능한 랜섬웨어 활동에 대한 인시던트를 생성합니다.
| 경고 | 원본 | 심각도 |
|---|---|---|
| Windows 오류 및 경고 이벤트 | 예약된 분석 규칙 Microsoft Sentinel | 정보 |
| 'GandCrab' 랜섬웨어가 방지되었습니다. | Microsoft Defender for Cloud | 매체 |
| 'Emotet' 맬웨어가 검색됨 | 엔드포인트용 Microsoft Defender | 정보 |
| 'Tofsee' 백도어 검색됨 | Microsoft Defender for Cloud | 낮은 |
| 'Parite' 맬웨어가 검색됨 | 엔드포인트용 Microsoft Defender | 정보 |
시나리오 기반 Fusion 검색
다음 섹션에서는 Fusion 상관 관계 엔진을 사용하여 검색할 Microsoft Sentinel 있는 위협 분류별로 그룹화된 시나리오 기반 다단계 공격 유형을 나열합니다.
이러한 Fusion 기반 공격 검색 시나리오를 사용하도록 설정하려면 연결된 데이터 원본을 Log Analytics 작업 영역에 수집해야 합니다. 아래 표의 링크를 선택하여 각 시나리오 및 관련 데이터 원본에 대해 알아봅니다.
| 위협 분류 | 시나리오 |
|---|---|
| 리소스 남용 컴퓨팅 | |
| 자격 증명 액세스 | |
| 자격 증명 수확 | |
| 암호화 마이닝 | |
| 데이터 폐기 | |
| 데이터 유출 |
|
| 서비스 거부 | |
| 측면 이동 | |
| 악의적인 관리 활동 | |
|
악의적인 실행 합법적인 프로세스로 |
|
| 맬웨어 C2 또는 다운로드 | |
| 지속성 |
|
| 랜섬웨어 | |
| 원격 악용 | |
| 리소스 하이재킹 |
관련 콘텐츠
자세한 내용은 다음 항목을 참조하세요.