Microsoft Sentinel 관심 목록을 사용하여 쿼리 또는 검색 규칙 빌드

  • 적용 대상: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

관심 목록 데이터를 및 와 같은 joinlookupKusto 테이블 형식 연산자와 Microsoft Sentinel 데이터와 상호 연결합니다. 관심 목록을 만들 때 SearchKey를 정의합니다. 검색 키는 관심 목록에 있는 열의 이름으로, 다른 데이터와의 조인 또는 검색의 빈번한 개체로 사용할 것으로 예상합니다.

최적의 쿼리 성능을 위해 쿼리의 조인 키로 SearchKey 를 사용합니다.

중요

2027년 3월 31일 이후에는 Microsoft Sentinel 더 이상 Azure Portal 지원되지 않으며 Microsoft Defender 포털에서만 사용할 수 있습니다. Azure Portal Microsoft Sentinel 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel 사용합니다.

Azure Portal Microsoft Sentinel 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 제공하는 통합 보안 운영 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다.

관심 목록을 사용하여 쿼리 빌드

검색 쿼리에서 관심 목록을 사용하려면 _GetWatchlist('watchlist-name') 함수를 사용하고 SearchKey 를 조인의 키로 사용하는 Kusto 쿼리를 작성합니다.

  1. Defender 포털에서 Microsoft Sentinel Microsoft Sentinel구성>관심 목록을선택합니다>. Azure Portal Microsoft Sentinel구성에서 관심 목록을 선택합니다.

  2. 사용하려는 관심 목록을 선택합니다.

  3. 로그에서 보기를 선택합니다.

    쿼리에서 관심 목록을 사용하는 방법을 보여 주는 스크린샷

  4. 결과 탭을 검토합니다. 관심 목록의 항목은 쿼리에 대해 자동으로 추출됩니다.

    아래 예제에서는 이름IP 주소 필드의 추출 결과를 보여줍니다. SearchKey는 자체 열로 표시됩니다.

    관심 목록 필드가 있는 쿼리를 보여 주는 스크린샷

    쿼리의 타임스탬프는 쿼리 UI와 예약된 경고 모두에서 무시됩니다.

  5. _GetWatchlist('watchlist-name') 함수를 사용하고 SearchKey 를 조인의 키로 사용하는 쿼리를 작성합니다.

    예를 들어 다음 예제 쿼리는 테이블의 RemoteIPCountry 열을 Heartbeat 라는 관심 목록에 mywatchlist대해 정의된 검색 키와 조인합니다.

    Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist') 
 on $left.RemoteIPCountry == $right.SearchKey

    다음 이미지는 Log Analytics에서 이 예제 쿼리의 결과를 보여 줍니다.

    조회로 관심 목록에 대한 쿼리의 스크린샷.

관심 목록을 사용하여 분석 규칙 만들기

분석 규칙에서 관심 목록을 사용하려면 쿼리에서 _GetWatchlist('watchlist-name') 함수를 사용하여 규칙을 만듭니다.

  1. 구성에서 분석을 선택합니다.

  2. 만들기 및 만들려는 규칙 유형을 선택합니다.

  3. 일반 탭에서 적절한 정보를 입력합니다.

  4. 규칙 논리 설정 탭의 규칙 쿼리에서 쿼리에서 _GetWatchlist('<watchlist>') 함수를 사용합니다.

    예를 들어 CSV 파일에서 만든 관심 ipwatchlist 목록이 다음 값으로 있다고 가정해 보겠습니다.

    IPAddress,Location
    10.0.100.11,Home
    172.16.107.23,Work
    10.0.150.39,Home
    172.20.32.117,Work

    CSV 파일은 다음 이미지와 같습니다. 관심 목록에 사용되는 CSV 파일의 4개 항목 스크린샷

    이 예제에 함수를 _GetWatchlist 사용하려면 쿼리가 입니다 _GetWatchlist('ipwatchlist').

    관심 목록에서 4개의 항목을 반환하는 쿼리를 보여 주는 스크린샷

    이 예제에서는 관심 목록에 IP 주소의 이벤트만 포함합니다.

    //Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)

    다음 예제 쿼리는 관심 목록을 쿼리와 함께 인라인으로 사용하고 관심 목록에 대해 정의된 검색 키를 사용합니다.

    //Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in ( 
    (_GetWatchlist('ipwatchlist')
    | project SearchKey)
)

    다음 이미지는 규칙 쿼리에 사용된 마지막 쿼리를 보여줍니다.

    분석 규칙에서 관심 목록을 사용하는 방법을 보여 주는 스크린샷

  5. 분석 규칙 마법사에서 나머지 탭을 완료합니다.

관심 목록은 12일마다 작업 영역에서 새로 고쳐지고 필드를 업데이트합니다 TimeGenerated . 자세한 내용은 위협을 감지하는 사용자 지정 분석 규칙 만들기를 참조하세요.

관심 목록 별칭 목록 보기

쿼리 또는 분석 규칙에서 사용할 관심 목록을 식별하려면 관심 목록 별칭 목록을 확인해야 할 수 있습니다.

  1. Azure Portal Microsoft Sentinel일반에서 로그를 선택합니다.
    Defender 포털에서 조사 & 응답>헌팅고급 헌팅>을 선택합니다.

  2. 새 쿼리 페이지에서 다음 쿼리_GetWatchlistAlias를 실행합니다.

  3. 결과 탭에서 별칭 목록을 검토합니다.

    관심 목록 목록을 보여 주는 스크린샷

이전 예제에서 사용된 다음 항목에 대한 자세한 내용은 Kusto 설명서를 참조하세요.

KQL에 대한 자세한 내용은 Kusto 쿼리 언어(KQL) 개요를 참조하세요.

기타 리소스:

관련 콘텐츠

이 문서에서는 Microsoft Sentinel 관심 목록을 사용하여 데이터를 보강하고 조사를 개선하는 방법을 알아보았습니다. Microsoft Sentinel 대한 자세한 내용은 다음 문서를 참조하세요.

  • Last updated on