중요
이 게시물의 일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공되는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 하지 않습니다.
이 문서에서는 Microsoft Defender 포털에서 사용자 지정 데이터 수집 규칙을 만들고 관리하는 방법을 보여 줍니다.
팁
사용자 지정 컬렉션 규칙을 만들기 전에 사용자 지정 데이터 수집 을 검토하여 이 기능을 사용하는 시기와 이유를 이해합니다.
필수 구성 요소
다음이 있는지 확인합니다.
| 요구 사항 | 세부 정보 |
|---|---|
| License | 엔드포인트용 Microsoft Defender 플랜 2 |
| Microsoft Sentinel 작업 영역 | 연결된 Microsoft Sentinel 작업 영역(사용자 지정 데이터 스토리지에 필요) |
| 동적 태그 | 자산 규칙 관리에서 구성되고 한 번 이상 실행 |
| 지원되는 운영 체제 | • Windows 10 및 11(최소 클라이언트 버전 10.8805; Windows 10 ESU 등록 필요) • Windows Server 2019 이상 |
중요
연결된 Microsoft Sentinel 작업 영역이 있는 경우에도 사용자 지정 데이터 수집 규칙을 만들 때 작업 영역을 선택해야 합니다.
성능 및 제한
- 각 규칙은 24시간 롤링 기간당 디바이스당 최대 25,000개의 이벤트를 캡처할 수 있습니다.
- 디바이스가 임계값에 도달하면 창이 다시 설정될 때까지 해당 규칙에 대한 원격 분석이 중지됩니다.
- 규칙 배포에는 일반적으로 20분에서 1시간이 걸립니다.
- 사용자 지정 컬렉션은 간섭 없이 기본 구성과 함께 작동합니다.
보안 고려 사항
규칙을 만들기 전에 이러한 보안 영향을 고려합니다.
| 고려 사항 | 세부 정보 | 권장 사항 |
|---|---|---|
| 규칙 scope 영향 | 지나치게 광범위한 규칙은 대량의 데이터 볼륨을 생성하여 비용을 증가시키고 분석을 어렵게 만듭니다. | 초기 결과에 따라 규칙을 반복하고 구체화하여 적용 범위와 특이성 균형 조정 |
| 너무 좁은 규칙 | 중요한 보안 이벤트를 놓칠 수 있음 | 파일럿 그룹을 사용하여 테스트하고 적용 범위의 간격을 모니터링합니다. |
| 성능 고려 사항 | 각 디바이스에는 일일 규칙당 25,000개의 이벤트가 있습니다. | 지나치게 광범위한 규칙이 아닌 여러 집중 규칙을 사용합니다. 모니터링이 필수적인 디바이스에 대한 대상 규칙 |
| 테스트 전략 | 테스트 없이 규칙을 배포하면 예기치 않은 비용이 발생하거나 이벤트를 놓칠 수 있습니다. | 1. 소규모 파일럿 그룹으로 시작(5-10개 장치) 2. 24-48시간 동안 데이터 볼륨 및 이벤트 품질 모니터링 3. 결과에 따라 조건 구체화 4. 점점 더 큰 디바이스 그룹으로 확장 5. 비용 및 성능 메트릭을 정기적으로 검토합니다. |
데이터 비용
- 사용자 지정 데이터 수집은 엔드포인트용 Microsoft Defender P2에 포함됩니다.
- Microsoft Sentinel 데이터 수집은 Sentinel 청구에 따라 요금이 발생합니다.
- 비용을 제어하기 위해 특정 디바이스 그룹에 대한 수집 대상 지정
규칙 만들기
Microsoft Defender 포털에서 설정>엔드포인트>규칙>사용자 지정 데이터 수집으로 이동합니다.
Microsoft Sentinel 작업 영역을 온보딩하려면 오른쪽 위에서 Microsoft Sentinel 작업 영역 이름을 선택합니다.
작업 영역 scope 페이지에서 작업 영역을 선택합니다.
참고
이미 연결된 Microsoft Sentinel 작업 영역이 있는 경우에도 이 단계에서 작업 영역을 선택해야 합니다.
규칙 만들기를 선택합니다. 일반 정보 섹션에서 규칙 이름 및 설명을 입력하고 다음을 선택합니다.
규칙 만들기 섹션에서 다음을 수행합니다.
- 데이터를 수집할 테이블을 선택합니다. 자세한 내용은 지원되는 이벤트 테이블을 참조하세요.
- 데이터를 수집할 작업을 선택합니다.
- 규칙 조건을 추가하여 데이터를 더욱 필터링합니다. 여러 조건을 추가하여 데이터 수집을 구체화할 수 있습니다. 규칙 조건은 선택한 테이블을 기반으로 합니다. 자세한 내용은 지원되는 이벤트 테이블 아래의 해당 테이블 링크를 참조하세요.
다음을 선택합니다.
규칙 scope 정의 섹션에서 적용 가능한 모든 클라이언트 디바이스 또는 동적 태그를 포함하는 특정 디바이스에서 데이터를 수집할지 여부를 선택합니다. 자세한 내용은 자산 규칙 관리에서 디바이스에 대한 동적 규칙 만들기를 참조하세요.
참고
사용자 지정 데이터 수집은 동적 태그만 지원합니다.
검토 및 완료 섹션에서 규칙 설정을 검토하고 제출을 선택합니다.
규칙이 대상 디바이스에 배포되는 데 최대 1시간이 걸릴 수 있습니다.
모니터링 및 문제 해결
사용자 지정 데이터 수집 규칙을 배포한 후 성능을 모니터링하고 문제를 해결합니다.
규칙 배포 확인
규칙이 특정 디바이스에서 데이터를 수집하는지 검사 고급 헌팅에서 사용자 지정 이벤트 테이블을 쿼리합니다.
search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents, DeviceCustomProcessEvents, DeviceCustomImageLoadEvents) "your_device_id"
| where DeviceId == "your_device_id"
| summarize EventCount = count() by RuleName, RuleLastModificationTime, $table
| order by RuleLastModificationTime desc
일반적인 문제 및 해결 방법
| 문제 | 가능한 원인 | 해결 방법 |
|---|---|---|
| 수집된 이벤트 없음 | 아직 배포되지 않은 규칙 | 배포를 위해 최대 1시간 동안 기다립니다. 포털에서 규칙 상태 검사 |
| 수집된 이벤트 없음 | 디바이스가 올바르게 대상으로 지정되지 않음 | 동적 태그가 디바이스에 적용되고 태그 규칙이 자산 규칙 관리에서 실행되었는지 확인 |
| 이벤트 수집이 중지됨 | 25,000개 이벤트 제한에 도달했습니다. | 규칙 조건을 검토하여 보다 구체적으로 만듭니다. 24시간 창이 다시 설정되기를 기다립니다. |
| 데이터를 수집하는 예기치 않은 디바이스 | 광범위하게 적용된 동적 태그 | 자산 규칙 관리에서 태그 규칙을 검토합니다. 대상 지정 조건 구체화 |
| 디바이스에 규칙이 표시되지 않음 | 디바이스가 OS 요구 사항을 충족하지 않음 | 클라이언트 버전 및 OS 버전이 최소 요구 사항을 충족하는지 확인합니다(Windows 10/11 버전 10.8805 이상, Windows Server 2019 이상) |
| 사용자 지정 컬렉션이 초기화되지 않음 | EDR 제외는 수집을 방지할 수 있습니다. | 대상 경로 또는 프로세스에서 EDR 제외를 확인합니다. 사용자 지정 컬렉션이 초기화되지 않는 경우 디바이스 다시 부팅이 필요할 수 있습니다. |
| 태그가 업데이트되지 않음 | 동적 태그가 최근에 실행되지 않음 | 동적 태그는 약 1시간마다 업데이트됩니다. 검사 자산 규칙 관리의 마지막 런타임 |
규칙 성능 모니터링
- 이벤트 볼륨 확인: 사용자 지정 이벤트 테이블을 쿼리하여 각 규칙이 수집하는 이벤트 수를 확인합니다.
- 컬렉션 상태 검토: 디바이스가 일일 규칙당 25,000개 이벤트에 근접하는지 모니터링
- 대상 지정 유효성 검사: 동적 태그에 따라 규칙이 올바른 디바이스에 배포되는지 확인
테스트를 위한 모든 이벤트 수집
특정 테이블에서 모든 이벤트를 수집하려면(테스트 또는 포괄적인 모니터링용):
- 원하는 테이블을 사용하여 규칙 만들기
- 사용 가능한 모든 작업 선택
- 다음과 같이 항상 참인 조건을 추가합니다.
- 네트워크 이벤트의 경우:
RemotePort not equals 0 - 파일 이벤트의 경우:
FileName not equals "" - 프로세스 이벤트의 경우:
ProcessCommandLine not equals ""
- 네트워크 이벤트의 경우:
- 높은 데이터 볼륨으로 인해 먼저 소규모 파일럿 그룹을 대상으로 지정합니다.
경고
모든 이벤트를 수집하면 매우 큰 데이터 볼륨이 생성되며 디바이스 제한당 25,000개의 이벤트에 빠르게 도달할 수 있습니다. 소수의 디바이스에서 테스트 또는 특정 조사 목적으로만 포괄적인 컬렉션을 사용합니다.
규칙 관리
규칙 편집
- 설정>엔드포인트>규칙>사용자 지정 데이터 수집으로 이동합니다.
- 편집할 규칙 선택
- 편집 선택
- 필요에 따라 규칙 설정 수정(이름, 설명, 테이블, 작업, 조건 또는 디바이스 대상 지정)
- 제출 선택
변경 내용은 20분에서 1시간 이내에 대상 디바이스에 적용됩니다.
규칙 사용 또는 사용 안 함
- 사용자 지정 데이터 컬렉션에서 규칙을 선택합니다.
- 규칙 설명에서 사용 확인란을 선택하거나 선택 취소합니다.
규칙을 사용하지 않도록 설정하면 다음 에이전트 검사 내의 모든 대상 디바이스에서 데이터 수집이 중지됩니다(일반적으로 몇 분에서 1시간 이내).
규칙 삭제
- 사용자 지정 데이터 컬렉션에서 규칙을 선택합니다.
- 삭제 선택
- 삭제 확인
중요
규칙을 삭제하는 것은 영구적이며 실행 취소할 수 없습니다. Microsoft Sentinel 기록 데이터는 계속 사용할 수 있지만 새 컬렉션은 즉시 중지됩니다.
다음 단계
- 사용자 지정 데이터 수집 개요: 기능 및 사용자 지정 컬렉션 사용 시기 검토
- 디바이스 태그 및 대상 디바이스 만들기 및 관리: 태그를 사용하여 대규모로 디바이스 대상 지정을 사용하도록 설정하는 방법 알아보기
- 고급 헌팅: Microsoft Sentinel 사용자 지정 이벤트 테이블 쿼리