Microsoft Sentinel 위협 탐지가 사용자 환경에서 완전한 적용 범위를 제공하도록 하려면 실행 관리 도구를 활용합니다. 이러한 도구는 Microsoft Sentinel 상태 및 감사 데이터를 기반으로 예약된 분석 규칙의 실행에 대한 인사이트와 테스트 및/또는 문제 해결을 위해 특정 기간 동안 규칙의 이전 실행을 수동으로 다시 실행하는 기능으로 구성됩니다.
중요
Microsoft Sentinel 분석 규칙 인사이트 및 수동 다시 실행은 현재 미리 보기로 제공됩니다. 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법적 조건은 Microsoft Azure Preview에 대한 추가 사용 약관을 참조하세요.
요약
예약된 분석 규칙에 대한 실행 관리 도구에는 기본 제공 예약된 규칙 인사이트 및 주문형으로 예약된 규칙을 다시 실행하는 기능이라는 두 가지 실행 관리 도구가 있습니다.
분석 페이지에서 정보 패널이 정보 탭과 함께 세부 정보 창에 다른 탭으로 표시됩니다. Insights 패널은 규칙의 활동 및 결과에 대한 정보를 제공합니다. 예를 들어 실패한 실행, 주요 상태 문제, 시간 경과에 따른 경고 수 및 규칙에 의해 생성된 인시던트 분류를 닫습니다. 이러한 인사이트를 통해 보안 분석가는 분석 규칙을 사용하여 잠재적인 문제 또는 잘못된 구성을 식별하고 규칙 오류를 검색 및 수정하고 규칙 구성을 최적화하여 성능과 정확도를 높일 수 있습니다.
또한 분석 페이지에서 요청 시 분석 규칙을 다시 실행할 수 있습니다. 이 기능은 규칙의 유효성을 검사할 때 유연성과 제어를 제공합니다. 규칙 구체화, 테스트, 유효성 검사 등의 시나리오에서 유용할 수 있습니다. 수동 다시 실행을 유연하게 시작하면 효율적인 보안 작업을 지원하고, 효과적인 인시던트 대응을 사용하도록 설정하고, 시스템의 전반적인 검색 및 대응 기능을 향상시킬 수 있습니다.
규칙 다시 실행의 사용 사례 및 이점
분석 규칙의 특정 실행을 재생하면 도움이 될 수 있는 몇 가지 시나리오는 다음과 같습니다.
규칙 구체화 및 튜닝: 분석 규칙에는 진화하는 위협 환경과 변화하는 조직 요구 사항에 따라 주기적인 조정과 미세 조정이 필요할 수 있습니다. 분석가는 수동으로 규칙을 다시 실행하여 규칙 수정의 영향을 평가하고 프로덕션 환경에 배포하기 전에 규칙 수정의 유효성을 검사할 수 있습니다.
테스트 및 유효성 검사: 새로운 분석 규칙을 도입하거나, 기존 분석 규칙을 크게 변경하거나, 새 인시던트 플레이북을 개발할 때는 성능과 정확도를 철저히 테스트해야 합니다. 수동 다시 실행을 사용하면 엔드투엔드 자동화된 인시던트 흐름을 비롯한 다양한 시나리오를 시뮬레이션하고 일관된 데이터 입력 집합에 대해 규칙의 유효성을 검사할 수 있습니다. 이 프로세스는 규칙이 과도한 가양성을 생성하지 않고 예상 경고를 생성하도록 합니다.
인시던트 조사: 보안 인시던트 또는 의심스러운 활동이 발생하는 경우 분석가는 이미 생성된 경고에 추가 세부 정보를 표시할 수 있습니다. 규칙을 업데이트하고 특정 실행 간격(최대 7일)에 다시 실행하여 추가 정보를 수집하고 관련 이벤트를 식별하여 이 작업을 수행할 수 있습니다. 수동 다시 실행을 사용하면 분석가가 심층 조사를 수행하고 포괄적인 적용 범위를 보장할 수 있습니다.
규정 준수 및 감사: 일부 규정 요구 사항 또는 내부 정책은 지속적인 모니터링 및 규정 준수를 입증하기 위해 주기적으로 또는 요청 시 분석 규칙을 다시 실행해야 할 수 있습니다. 수동 다시 실행은 규칙이 일관되게 적용되고 적절한 경고를 생성하도록 하여 이러한 의무를 충족하는 기능을 제공합니다.
필수 구성 요소
실행 관리 도구를 사용하려면 Microsoft Sentinel 상태 및 감사 기능, 특히 분석 규칙 상태 모니터링을 사용하도록 설정해야 합니다. 상태 및 감사를 사용하도록 설정하는 방법을 알아봅니다.
분석 규칙 인사이트 보기
이러한 도구를 활용하려면 먼저 지정된 규칙에 대한 인사이트를 검사합니다.
Microsoft Sentinel 탐색 메뉴에서 분석을 선택합니다.
인사이트를 보려는 규칙(예약됨 또는 NRT)을 찾아 선택합니다.
세부 정보 창에서 인사이트 탭을 선택합니다.
인사이트 탭을 선택하면 시간 프레임 선택기가 표시됩니다. 시간 프레임을 선택하거나 지난 24시간의 기본값으로 그대로 둡니다.
Insights 패널에는 현재 4가지 종류의 인사이트가 표시됩니다. 각 인사이트 뒤에 로그 페이지로 이동하고 전체 원시 결과와 함께 인사이트를 생성한 쿼리를 표시하는 모두 보기 링크가 표시됩니다. 인사이트는 다음과 같습니다.
실패한 실행은 지정된 시간 프레임에서 이 규칙의 실패한 실행 목록을 표시합니다. 이 인사이트 뒤에 규칙 실행 패널에 대한 링크가 옵니다. 여기서 규칙이 실행된 모든 시간의 목록을 볼 수 있으며 규칙의 특정 실행을 재생할 수 있습니다.
주요 상태 문제는 지정된 시간 프레임 동안 이 규칙에 대한 가장 일반적인 상태 문제 목록을 표시합니다. 또한 이 인사이트 다음에는 로그 페이지로 이동되는 실행 보기 링크가 있습니다. 그러면 이 규칙이 실행된 모든 시간에 대한 쿼리가 표시됩니다.
경고 그래프 는 지정된 시간 프레임에서 이 규칙에 의해 생성된 경고 수의 차트를 보여 줍니다.
인시던트 분류 는 지정된 시간 프레임 동안 이 규칙에 의해 생성된 닫힌 인시던트 분류의 요약을 보여 줍니다.
분석 규칙 다시 실행
규칙을 다시 실행하도록 유도할 수 있는 몇 가지 시나리오가 있습니다.
정상으로 되돌아간 임시 조건이나 잘못된 구성으로 인해 규칙을 실행하지 못했습니다. 잘못된 구성을 수정하거나 조건을 복구한 후 실패한 실행과 동일한 기간(즉, 동일한 데이터)에서 규칙을 다시 실행하여 적용 범위의 격차를 완화하려고 합니다.
규칙 실행에 성공했지만 생성된 경고에 충분한 정보를 제공하지 못했습니다. 이 경우 쿼리 또는 보강 설정을 변경하여 자세한 정보를 제공하기 위해 규칙을 편집할 수 있습니다. 그런 다음, 더 많은 정보를 원하는 실행과 동일한 시간 창(즉, 동일한 데이터)에서 규칙을 다시 실행하려고 합니다.
규칙을 작성하거나 편집하는 실험을 하고 다양한 설정이 규칙이 생성하는 경고에 어떤 영향을 미치는지 확인하려고 할 수 있습니다. 유효한 비교를 위해 동일한 시간 창에서 규칙을 다시 실행하려고 합니다.
규칙을 다시 실행 하는 방법은 다음과 같습니다.
분석 페이지의 위쪽 도구 모음에서 규칙 실행(미리 보기)을 선택합니다. 규칙 실행 패널이 열립니다.
또한 Insights 탭의 실패한 실행 표시에서 규칙 다시 실행을 선택하여 규칙 실행 패널에 연결할 수도 있습니다(위 참조).
실행 시간 열에 표시된 대로 원래 실행된 시간 창에 따라 재생하려는 규칙 실행을 선택합니다. 둘 이상의 규칙 실행을 선택할 수 있습니다.
실행 재생을 선택합니다. 요청의 진행률을 표시하고 규칙이 실행 대기 중임을 나타내는 알림이 표시됩니다.
새로 고침을 선택하여 규칙 실행의 업데이트된 상태 확인합니다. 요청이 진행 중(결국 성공으로 표시됨)의 상태 시스템 트리거가 아닌 사용자 트리거 형식으로 표시되는 것을 볼 수 있습니다.
또한 요청된 다시 실행의 실행 시간은 다시 실행의 실행 시간이 아니라 원래 시스템 트리거 실행의 실행과 동일 하다 는 것을 알 수 있습니다. 다시 실행에서 참조하는 기간을 보여 드리기 위한 것입니다.
사용자가 트리거한 규칙 실행이 아니라 시스템 트리거 규칙 실행만 재생할 수 있습니다.
규칙 실행 줄의 끝에서 전체 세부 정보 보기를 선택하여 로그 화면에서 전체 원시 세부 정보를 봅니 다 .
다음 단계
- 상태를 모니터링하고 분석 규칙의 무결성을 감사합니다.
- Microsoft Sentinel 감사 및 상태 모니터링에 대해 알아봅니다.
- Microsoft Sentinel 감사 및 상태 모니터링을 켭니다.
- SentinelHealth 및 SentinelAudit 테이블 스키마에 대한 자세한 내용을 참조하세요.