동작 분석 이해

완료됨

손상된 엔터티든 악의적인 내부자든 조직 내부의 위협과 잠재적 영향을 식별하는 것은 시간이 많이 걸리고 노동 집약적인 프로세스입니다. 경고를 선별하고, 점을 연결하고, 적극적으로 헌팅하는 경우 엄청난 시간과 노력의 소모에도 불구하고 결과는 저조합니다. 정교한 위협이 발견을 회피할 가능성. 제로 데이, 목표 지향형 및 고급 지속성 위협과 같은 포착하기 어려운 위협은 조직에 가장 위험할 수 있으므로 이러한 위협의 탐지가 더욱 중요합니다.

Microsoft Sentinel의 엔터티 행동 기능은 분석가의 워크로드에서 지루한 작업을 없애고, 그들의 작업에서 불확실성을 제거합니다. 엔터티 동작 기능은 정확도가 높고 실행 가능한 인텔리전스를 제공하므로 조사 및 수정에 집중할 수 있습니다.

Microsoft Sentinel 연결된 모든 데이터 원본에서 로그 및 경고를 수집할 때 조직의 엔터티(사용자, 호스트, IP 주소, 애플리케이션 등)의 기준 동작 프로필을 분석하고 빌드합니다. 분석은 시간과 동료 집단 범위에 걸쳐 수행됩니다. Microsoft Sentinel 다양한 기술과 기계 학습 기능을 사용하고 비정상적인 활동을 식별하고 자산이 손상되었는지 확인하는 데 도움이 될 수 있습니다. 뿐만 아니라 특정 자산의 상대적 민감도를 파악하고, 자산의 피어 그룹을 식별하고, 지정된 손상된 자산("폭발 반경")의 잠재적 영향을 평가할 수도 있습니다. 해당 정보를 사용하여 조사 및 침해 인시던트 처리의 우선 순위를 효과적으로 지정할 수 있습니다.

아키텍처 개요

UEBA 아키텍처 개요 다이어그램

보안 기반 분석

Microsoft는 UEBA 솔루션에 대해 Gartner의 패러다임을 채택했으며, Microsoft Sentinel은 세 가지 참조 프레임을 기반으로 한 "외부에서 내부로" 접근 방식을 제공합니다.

사용 사례: Microsoft Sentinel은 MITRE ATT&CK 프레임워크의 전술, 기술 및 하위 기술에 맞춰진 보안 연구에 따라 관련 공격 벡터 및 시나리오에 우선순위를 지정합니다. 여러 엔터티를 피해자, 가해자, 또는 킬 체인의 피벗 지점으로 식별하여 우선 순위를 지정합니다. Microsoft Sentinel 각 데이터 원본이 제공할 수 있는 가장 중요한 로그에 중점을 둡니다.

데이터 원본: 먼저 Azure 데이터 원본을 지원하지만, Microsoft Sentinel 위협 시나리오와 일치하는 데이터를 제공하기 위해 타사 데이터 원본을 신중하게 선택합니다.

Analytics: Microsoft Sentinel ML(기계 학습) 알고리즘을 사용하고, 상황별 보강의 형태로 명확하고 간결하게 증거를 제시하는 비정상적인 활동을 식별합니다. 아래 예제를 참조하세요.

Microsoft Sentinel에서 보안 중심의 분석 강화 예제를 보여주는 다이어그램입니다.

Microsoft Sentinel 보안 분석가가 컨텍스트 및 사용자의 기준 프로필과 비교하여 비정상적인 활동을 명확하게 이해하는 데 도움이 되는 아티팩트를 제공합니다. 사용자(또는 호스트 또는 주소)가 수행하는 작업은 상황에 따라 평가됩니다. 여기서 "true" 결과는 식별된 변칙을 나타냅니다.

  • 지리적 위치, 디바이스 및 환경에 걸쳐 있습니다.

  • 시간 및 빈도 범위에서(사용자 고유의 기록과 비교)

  • 피어 동작과 비교를 통해 탐지

  • 조직의 행동과 비교할 때.

사용자 활동을 평가하는 데 사용되는 UEBA 컨텍스트 링을 보여 주는 다이어그램

점수 매기기

각 활동은 "조사 우선 순위 점수"로 점수가 매깁니다. 점수는 사용자 및 해당 피어의 동작 학습에 따라 특정 사용자가 특정 활동을 수행할 확률을 결정합니다. 가장 비정상으로 식별된 활동은 가장 높은 점수(0~10점)를 받습니다.