SOC(보안 운영 센터)는 사람, 프로세스 및 기술을 통합하는 organization 내의 중앙 집중식 함수입니다. SOC는 organization 전체 사이버 보안 프레임워크를 구현합니다. SOC는 사이버 보안 인시던트 모니터링, 경고, 방지, 탐지, 분석 및 대응을 위해 조직의 노력을 협력합니다. SOC 관리자가 이끄는 SOC 팀에는 인시던트 대응자, 수준 1, 2 및 3의 SOC 분석가, 위협 사냥꾼 및 인시던트 대응 관리자가 포함될 수 있습니다.
SOC 팀은 네트워크, 디바이스, 애플리케이션, 동작, 어플라이언스 및 정보 저장소를 포함하여 organization IT 인프라 전반에서 원격 분석을 사용합니다. 그런 다음 팀은 데이터를 공동으로 연결하고 분석하여 데이터를 관리하는 방법과 수행할 작업을 결정합니다.
Microsoft Sentinel 성공적으로 마이그레이션하려면 SOC에서 사용하는 기술뿐만 아니라 SOC 작업 및 프로세스도 업데이트해야 합니다. 이 문서에서는 Microsoft Sentinel 마이그레이션의 일부로 SOC 및 분석가 프로세스를 업데이트하는 방법을 설명합니다.
분석가 워크플로 업데이트
Microsoft Sentinel 인시던트 할당에서 종료에 이르기까지 일반적인 분석가 워크플로에 매핑되는 다양한 도구를 제공합니다. 분석가는 사용 가능한 도구의 일부 또는 전부를 유연하게 사용하여 인시던트 심사 및 조사할 수 있습니다. organization Microsoft Sentinel 마이그레이션할 때 분석가는 이러한 새로운 도구 집합, 기능 및 워크플로에 적응해야 합니다.
Microsoft Sentinel 인시던트
Microsoft Sentinel 인시던트 는 Microsoft Sentinel 인시던트를 트리거하기에 충분한 충실도가 있다고 판단하는 경고 모음입니다. 따라서 Microsoft Sentinel 통해 분석가는 인시던트 페이지에서 인시던트 먼저 심사한 다음 심층 분석이 필요한 경우 경고를 분석합니다. SIEM의 인시던트 용어 및 관리 영역을 Microsoft Sentinel 비교합니다.
분석가 워크플로 단계
이 표에서는 분석가 워크플로의 주요 단계를 설명하고 워크플로의 각 활동과 관련된 특정 도구를 강조 표시합니다.
| 할당 | 심사 | 조사 | 응답 |
|---|---|---|---|
|
인시던트 할당: • 인 시던트 페이지에서 수동으로 • 플레이북 또는 자동화 규칙을 사용하여 자동으로 |
다음을 사용하여 인시던트 심사: • 인시던트 페이지의 인시던트 세부 정보 • 엔터티 탭 아래의 인시던트 페이지의 엔터티 정보 • Jupyter Notebooks |
다음을 사용하여 인시던트 조사: • 조사 그래프 • 통합 문서 Microsoft Sentinel • Log Analytics 쿼리 창 |
다음을 사용하여 인시던트에 대응합니다. • 플레이북 및 자동화 규칙 • Microsoft Teams War Room |
다음 섹션에서는 용어 및 분석가 워크플로를 특정 Microsoft Sentinel 기능에 매핑합니다.
할당
Microsoft Sentinel 인시던트 페이지를 사용하여 인시던트 할당 인시던트 페이지에는 인시던트 미리 보기와 단일 인시던트에 대한 자세한 보기가 포함되어 있습니다.
인시던트를 할당하려면 다음을 수행합니다.
- 수동으로. 소유자 필드를 관련 사용자 이름으로 설정합니다.
- 자동으로. Microsoft Teams 및 Logic Apps 또는 자동화 규칙을 기반으로 하는 사용자 지정 솔루션을 사용합니다.
심사
Microsoft Sentinel 심사 연습을 수행하려면 전문 지식 수준 및 조사 중인 인시던트 특성에 따라 다양한 Microsoft Sentinel 기능으로 시작할 수 있습니다. 일반적인 시작점으로 인시던트 페이지에서 전체 세부 정보 보기를 선택합니다. 이제 인시던트로 구성된 경고를 검사하거나, 책갈피를 검토하고, 엔터티를 선택하여 특정 엔터티로 드릴다운하거나, 주석을 추가할 수 있습니다.
인시던트 검토를 계속하기 위한 권장 작업은 다음과 같습니다.
- 인시던트와 관련 엔터티 간의 관계를 시각적으로 표현하려면 조사를 선택합니다.
- Jupyter Notebook을 사용하여 특정 엔터티에 대한 심층 심사 연습을 수행합니다. 이 연습에서는 인시던트 심사 Notebook을 사용할 수 있습니다.
신속한 심사
다음 기능과 기능을 사용하여 심사를 신속하게 수행합니다.
- 빠른 필터링의 경우 인시던트 페이지에서 특정 엔터티 에 연결된 인시 던트 검색 인시던트 페이지의 엔터티별 필터링은 레거시 SIEM 인시던트 큐의 엔터티 열을 기준으로 필터링하는 것보다 빠릅니다.
- 더 빠른 심사를 위해 경고 세부 정보 화면을 사용하여 관련 사용자 이름, IP 주소 또는 호스트와 같은 인시던트 이름 및 설명에 주요 인시던트 정보를 포함합니다. 예를 들어 인시던트 이름을 로 동적으로 바꿀
Ransomware activity detected in DC01수 있습니다. 여기서DC01는 중요한 자산이며 사용자 지정 가능한 경고 속성을 통해 동적으로 식별됩니다. - 심층 분석을 위해 인시던트 페이지에서 인시던트를 선택하고 증거에서 이벤트를 선택하여 인시던트를 트리거한 특정 이벤트를 확인합니다. 이벤트 데이터는 원시 이벤트가 아닌 분석 규칙과 연결된 쿼리의 출력으로 표시됩니다. 규칙 마이그레이션 엔지니어는 이 출력을 사용하여 분석가가 올바른 데이터를 가져오도록 할 수 있습니다.
- 자세한 엔터티 정보는 인시던트 페이지에서 인시던트를 선택하고 엔터티 아래에서 엔터티 이름을 선택하여 엔터티의 디렉터리 정보, 타임라인 및 인사이트를 확인합니다. 엔터티를 매핑하는 방법을 알아봅니다.
- 관련 통합 문서에 연결하려면 인시던트 미리 보기를 선택합니다. 통합 문서를 사용자 지정하여 인시던트 또는 관련 엔터티 및 사용자 지정 필드에 대한 추가 정보를 표시할 수 있습니다.
조사
조사 그래프를 사용하여 인시던트 심층 조사 인시던트 페이지에서 인시던트를 선택하고 조사를 선택하여 조사 그래프를 봅니다.
조사 그래프를 사용하면 다음을 수행할 수 있습니다.
- 관련 데이터를 관련 엔터티와 상호 연결하여 scope 이해하고 잠재적 보안 위협의 근본 원인을 식별합니다.
- 엔터티에 대해 자세히 알아보고 다양한 확장 옵션 중에서 선택합니다.
- 원시 데이터에서 자동으로 추출된 관계를 확인하여 여러 데이터 원본의 연결을 쉽게 볼 수 있습니다.
- 기본 제공 탐색 쿼리를 사용하여 조사 scope 확장하여 위협의 전체 scope 표시합니다.
- 미리 정의된 탐색 옵션을 사용하여 위협을 조사하는 동안 올바른 질문을 할 수 있습니다.
조사 그래프에서 통합 문서를 열어 조사 작업을 추가로 지원할 수도 있습니다. Microsoft Sentinel 특정 사용 사례에 맞게 사용자 지정할 수 있는 여러 통합 문서 템플릿이 포함되어 있습니다.
응답
Microsoft Sentinel 자동화된 대응 기능을 사용하여 복잡한 위협에 대응하고 경고 피로를 줄입니다. Microsoft Sentinel Logic Apps 플레이북 및 자동화 규칙을 사용하여 자동화된 응답을 제공합니다.
다음 옵션 중 하나를 사용하여 플레이북에 액세스합니다.
- Automation > 플레이북 템플릿 탭
- Microsoft Sentinel 콘텐츠 허브
- Microsoft Sentinel GitHub 리포지토리
이러한 원본에는 다양한 복잡성의 사용 사례의 상당 부분을 다루는 광범위한 보안 지향 플레이북이 포함됩니다. 플레이북 작업을 간소화하려면 Automation > 플레이북 템플릿 아래의 템플릿을 사용합니다. 템플릿을 사용하면 플레이북을 Microsoft Sentinel instance 쉽게 배포한 다음 organization 요구에 맞게 플레이북을 수정할 수 있습니다.
SOC 프로세스 프레임워크를 참조하여 SOC 프로세스를 Microsoft Sentinel 기능에 매핑합니다.
SIEM 개념 비교
이 표를 사용하여 레거시 SIEM의 주요 개념을 Microsoft Sentinel 개념을 비교합니다.
| ArcSight | QRadar | 스플렁크 주 | Microsoft Sentinel |
|---|---|---|---|
| 이벤트 | 이벤트 | 이벤트 | 이벤트 |
| 상관 관계 이벤트 | 상관 관계 이벤트 | 주목할 만한 이벤트 | 경고 |
| 인시던트 | 공격 | 주목할 만한 이벤트 | 인시던트 |
| 범죄 목록 | 태그 | 인시던트 페이지 | |
| 레이블 | SOAR의 사용자 지정 필드 | 태그 | 태그 |
| Jupyter Notebook | Jupyter Notebook | 전자 필기장 Microsoft Sentinel | |
| 대시보드 | 대시보드 | 대시보드 | 통합 문서 |
| 상관 관계 규칙 | 문서 블록 | 상관 관계 규칙 | 분석 규칙 |
| 인시던트 큐 | 범죄 탭 | 인시던트 검토 | 인시던트 페이지 |
다음 단계
마이그레이션 후 Microsoft의 Microsoft Sentinel 리소스를 탐색하여 기술을 확장하고 Microsoft Sentinel 최대한 활용합니다.
또한 통합 위협 방지를 위해 클라우드용 Microsoft Defender XDR 및 Microsoft Defender 함께 Microsoft Sentinel 사용하여 위협 방지를 늘리는 것이 좋습니다. 자세한 위협 분석에 대해 자세히 알아보면서 Microsoft Sentinel 제공하는 다양한 가시성을 활용할 수 있습니다.
자세한 내용은 다음 항목을 참조하세요.