중요
이 게시물의 일부 정보는 상용으로 출시되기 전에 실질적으로 수정될 수 있는 사전 릴리스된 제품과 관련이 있습니다. Microsoft는 여기에서 제공되는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 하지 않습니다.
사용자 지정 데이터 수집(미리 보기)을 사용하면 조직에서 특수 위협 헌팅 및 보안 모니터링 요구 사항을 지원하기 위해 기본 구성을 넘어 원격 분석 수집을 확장할 수 있습니다. 이 기능을 사용하면 보안 팀이 폴더 경로, 프로세스 이름 및 네트워크 연결과 같은 이벤트 속성에 대한 맞춤형 필터를 사용하여 특정 컬렉션 규칙을 정의할 수 있습니다.
사용자 지정 데이터 수집을 사용하는 이유는 무엇인가요?
엔드포인트용 Microsoft Defender 기본적으로 광범위한 원격 분석을 수집하지만 일부 보안 시나리오에는 특수화된 추가 데이터가 필요합니다. 모든 이벤트를 수집하는 비용과 노이즈 없이 위협 헌팅, 애플리케이션 모니터링, 규정 준수 증거 또는 인시던트 대응에 대한 대상 표시 유형이 필요한 경우 사용자 지정 데이터 수집을 사용합니다.
사용자 지정 데이터 수집을 사용하는 경우
| 시나리오 | 사용 시기 | 예제 | 보안 값 |
|---|---|---|---|
| 위협 헌팅 | 환경 전체에서 특정 공격 패턴을 검색해야 합니다. | 관리 워크스테이션에서 모든 PowerShell 스크립트 실행을 수집하여 악성 스크립트 검색 | 권한 있는 시스템에서 파일 없는 맬웨어, 악성 스크립트 또는 무단 자동화 검색 |
| 애플리케이션 모니터링 | 사용자 지정 애플리케이션에 대한 보안 관련 이벤트를 추적해야 합니다. | 독점 금융 애플리케이션에 대한 파일 액세스 패턴 모니터링 | 기간 업무 앱에 대한 무단 액세스, 데이터 반출 시도 또는 규정 준수 위반 식별 |
| 규정 준수 증거 | 규정에 필요한 자세한 감사 로그를 캡처해야 합니다. | 중요한 데이터 포함하는 폴더에서 모든 파일 수정 내용 수집 | 자세한 포렌식 감사 추적을 사용하여 규정 요구 사항(PCI-DSS, HIPAA, GDPR) 충족 |
| 사고 대응 | 활성 조사 중에 포렌식 데이터를 수집해야 합니다. | 잠재적으로 손상된 서버에서 모든 네트워크 연결을 일시적으로 수집 | 조사를 위한 자세한 증거 캡처, 횡적 이동 식별 및 수정 활동 지원 |
| 횡적 이동 감지 | 횡적 이동의 특정 지표를 모니터링해야 합니다. | 도메인 컨트롤러에서 원격 연결 및 인증 이벤트 추적 | 도난당한 자격 증명 또는 원격 액세스 도구를 사용하여 시스템 간에 이동하는 공격자 감지 |
사용자 지정 데이터 수집의 이점
| 혜택 | 설명 |
|---|---|
| 대상 표시 유형 | 필요한 이벤트만 수집하여 노이즈를 줄이고 데이터 수집 비용을 제어합니다Microsoft Sentinel |
| 유연한 헌팅 | 심층 위협 헌팅 및 조사를 위해 Microsoft Sentinel 특수 원격 분석에 대한 사용자 지정 쿼리 빌드 |
| 증거 수집 | 조사, 규정 준수 감사 및 인시던트 대응을 위한 자세한 포렌식 데이터 캡처 |
| 확장 가능한 모니터링 | 동적 태그를 사용하여 특정 디바이스 그룹에 컬렉션을 대상으로 지정하여 환경이 변경되면 컬렉션이 최신 상태로 유지되도록 합니다. |
| 비용 제어 | 특정 필터 및 디바이스 대상 지정을 사용하여 불필요한 데이터를 수집하지 않도록 방지 |
중요
사용자 지정 데이터 수집을 사용하려면 동적 태그를 사용하여 디바이스를 대상으로 지정해야 합니다. 사용자 지정 컬렉션 규칙을 만들기 전에 자산 규칙 관리에서 동적 태그를 구성해야 합니다. 디바이스 태그 및 대상 디바이스 만들기 및 관리를 참조하세요.
사용자 지정 데이터 수집 작동 방식
사용자 지정 데이터 수집은 규칙 기반 필터링을 사용하여 엔드포인트 디바이스에서 특정 이벤트를 캡처하고 분석 및 위협 헌팅을 위해 Microsoft Sentinel 작업 영역으로 라우팅합니다.
컬렉션 프로세스
- 규칙 정의: 특정 이벤트 필터를 사용하여 Microsoft Defender 포털에서 컬렉션 규칙 만들기
- 대상 디바이스: 동적 태그를 사용하여 데이터를 수집할 디바이스 지정
- 배포 규칙: 규칙은 대상 엔드포인트로 전송됩니다(일반적으로 20분에서 1시간 이내)
- 이벤트 수집: 엔드포인트는 기본 원격 분석과 함께 규칙 조건과 일치하는 이벤트를 수집합니다.
- 데이터 분석: Microsoft Sentinel 작업 영역에서 사용자 지정 이벤트 데이터 쿼리
참고
사용자 지정 데이터 수집 규칙은 엔드포인트용 기본 Defender 구성과 함께 작동합니다. 사용자 지정 컬렉션은 표준 원격 분석을 대체하거나 수정하지 않으며 추가됩니다.
지원되는 이벤트 테이블
사용자 지정 데이터 수집은 다음 이벤트 테이블을 지원합니다. 각 테이블은 다음과 같은 다양한 유형의 보안 관련 활동을 캡처합니다.
| 테이블 이름 | 이벤트 유형 | 용도 |
|---|---|---|
| DeviceCustomProcessEvents | 프로세스 만들기, 종료 및 기타 프로세스 작업 | 실행 파일 실행 모니터링, 프로세스 트리 추적, 악의적인 프로세스 검색 |
| DeviceCustomImageLoadEvents | DLL 및 이미지 로드 이벤트 | 악의적인 라이브러리 삽입 식별, 의심스러운 모듈 로드 추적 |
| DeviceCustomFileEvents | 파일 만들기, 수정, 삭제 및 액세스 | 중요한 데이터 액세스 모니터링, 랜섬웨어 지표 추적, 규정 준수 감사 |
| DeviceCustomNetworkEvents | IP, 포트 및 프로토콜을 사용하는 네트워크 연결 이벤트 | 횡적 이동 감지, C2 통신 모니터링, 무단 연결 추적 |
| DeviceCustomScriptEvents | 스크립트 실행(PowerShell, JavaScript 등) | 파일리스 맬웨어 검색, 관리 스크립트 모니터링, 스크립트 기반 공격 식별 |
자세한 스키마 정보는 고급 헌팅 스키마 테이블을 참조하세요.
필수 구성 요소 및 요구 사항
사용자 지정 데이터 수집을 사용하기 전에 다음 요구 사항을 충족하는지 확인합니다.
| 요구 사항 범주 | 세부 정보 |
|---|---|
| 라이선스 | • 플랜 2 라이선스 엔드포인트용 Microsoft Defender |
| Microsoft Sentinel 작업 영역 | • 사용자 지정 데이터 스토리지 및 쿼리를 위한 연결된 Microsoft Sentinel 작업 영역 • 사용자 지정 데이터 수집 규칙을 만들 때 작업 영역을 선택해야 합니다. • 현재 사용자 지정 데이터 수집을 위해 테넌트당 하나의 Sentinel 작업 영역으로 제한됨 |
| 디바이스 대상 지정 | • 자산 규칙 관리에 구성된 동적 태그 • 사용자 지정 컬렉션 규칙에서 사용하기 전에 동적 태그를 한 번 이상 실행해야 합니다. • 사용자 지정 데이터 수집에는 수동(정적) 태그가 지원되지 않습니다. |
| 운영 체제 | • Windows 10 및 11(최소 클라이언트 버전 10.8805) - Windows 10 ESU(확장 보안 업데이트) 프로그램에 등록해야 합니다. • Windows Server 2019 이상 |
| 비용 고려 사항 | • 사용자 지정 데이터 수집이 엔드포인트용 Microsoft Defender P2 라이선스에 포함됨 • Microsoft Sentinel 데이터 수집은 Sentinel 청구 계약에 따라 요금이 발생합니다. • 데이터 볼륨 및 비용을 제어하기 위해 특정 디바이스 그룹에 신중하게 수집 대상 지정 |
| 성능 제한 | • 각 규칙은 24시간 롤링 기간당 디바이스당 최대 25,000개의 이벤트를 캡처할 수 있습니다. • 디바이스가 임계값에 도달하면 창이 다시 설정될 때까지 특정 규칙에 대한 원격 분석이 중지됩니다. • 여러 규칙이 동시에 활성화될 수 있으며 각 규칙은 자체 제한으로 활성화될 수 있습니다. • 규칙 배포는 일반적으로 20분에서 1시간이 걸립니다. |
전체 필수 구성 요소 및 설정 지침은 사용자 지정 데이터 수집 규칙 만들기 를 참조하세요.
질문과 대답
| 질문 | 대답 |
|---|---|
| 사용자 지정 데이터 수집이 엔드포인트용 기본 Defender 구성에 영향을 주나요? | 아니요, 사용자 지정 데이터 수집 규칙은 간섭 없이 엔드포인트용 Defender 기본 구성과 함께 작동합니다. 사용자 지정 컬렉션은 표준 원격 분석을 대체하거나 수정하지 않으며 추가됩니다. |
| Microsoft Sentinel 작업 영역이 필요한가요? | 예, 사용자 지정 데이터 수집 규칙을 만들고 사용하려면 연결된 Microsoft Sentinel 작업 영역이 필요합니다. 또한 규칙을 만들 때 작업 영역을 선택해야 합니다. |
| 동적 태그가 필요한 이유는 무엇인가요? | 동적 태그를 사용하면 환경이 변경됨에 따라 디바이스 대상 지정이 최신 상태로 유지됩니다. 수동 태그는 자동으로 업데이트되지 않으므로 컬렉션 대상 지정이 오래되었습니다. 동적 태그는 자산 규칙 관리와의 통합에도 필요합니다. |
| 디바이스에서 규칙이 활성 상태인지 어떻게 알 수 있나요? | 디바이스에 대한 관련 사용자 지정 이벤트 테이블을 쿼리하여 수집된 이벤트를 확인합니다. 예시:search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents) "your_device_id"\| where DeviceId == "your_device_id"\| summarize count() by RuleName, RuleLastModificationTime, $table |
| 디바이스가 25,000개의 이벤트 제한에 도달하면 어떻게 되나요? | 특정 규칙에 대한 원격 분석 컬렉션은 24시간 롤링 창이 다시 설정될 때까지 중지됩니다. 디바이스의 다른 규칙은 이벤트를 계속 수집합니다. 규칙 조건을 구체화하여 규칙 조건을 보다 구체적으로 만들고 이벤트 볼륨을 줄입니다. |
| 사용자 지정 데이터 수집에 수동 태그를 사용할 수 있나요? | 아니요, 동적 태그만 지원됩니다. 동적 태그는 디바이스 속성이 변경되면 자동으로 업데이트되어 컬렉션 대상 지정이 정확하게 유지됩니다. |
| 규칙이 디바이스에 배포되는 데 얼마나 걸리나요? | 규칙 배포에는 일반적으로 20분에서 1시간이 걸립니다. 대상 디바이스의 데이터에 대한 사용자 지정 이벤트 테이블을 쿼리하여 배포를 확인합니다. |
다음 단계
- 사용자 지정 데이터 수집 규칙 만들기: 규칙을 만들고 관리하기 위한 단계별 지침
- 디바이스 태그 및 대상 디바이스 만들기 및 관리: 디바이스 대상 지정을 위한 동적 태그 구성