다음을 통해 공유


Microsoft Sentinel의 위협 인텔리전스에 엔터티 추가

조사 중에 인시던트의 범위와 특성을 이해하는 데 중요한 부분으로 엔터티와 해당 컨텍스트를 조사합니다. 인시던트의 악성 도메인 이름, URL, 파일 또는 IP 주소로 엔터티를 검색할 때 위협 인텔리전스의 IoC(손상의 지표)로 레이블을 지정하고 추적해야 합니다.

예를 들어 네트워크의 많은 수의 노드에서 전송 및/또는 전송을 수신하여 네트워크 또는 명령 및 제어 노드로 포트 검색을 수행하는 IP 주소를 검색할 수 있습니다.

Microsoft Sentinel을 사용하면 인시던트 조사 내에서 이러한 유형의 엔터티에 플래그를 지정하고 위협 인텔리전스에 추가할 수 있습니다. 로그위협 인텔리전스에 추가된 표시기를 보고 Microsoft Sentinel 작업 영역에서 사용할 수 있습니다.

위협 인텔리전스에 엔터티 추가

인시던트 세부 정보 페이지 및 조사 그래프는 위협 인텔리전스에 엔터티를 추가하는 두 가지 방법을 제공합니다.

  1. Microsoft Sentinel 메뉴의 위협 관리 섹션에서 인시던트를 선택합니다.

  2. 조사할 인시던트를 선택합니다. 인시던트 세부 정보 창에서 전체 세부 정보 보기를 선택하여 인시던트 세부 정보 페이지를 엽니다.

  3. 엔터티 창에서 위협 지표로 추가할 엔터티를 찾습니다. (목록을 필터링하거나 찾는 데 도움이 되는 검색 문자열을 입력할 수 있습니다.)

    인시던트 세부 정보 페이지를 보여 주는 스크린샷.

  4. 항목 오른쪽에 있는 세 개의 점을 선택하고 팝업 메뉴에서 TI에 추가를 선택합니다.

    다음 유형의 엔터티만 위협 지표로 추가합니다.

    • 도메인 이름
    • IP 주소(IPv4 및 IPv6)
    • URL
    • 파일(해시)

    위협 인텔리전스에 엔터티 추가를 보여 주는 스크린샷.

선택한 두 인터페이스 중 어느 것을 선택하든 여기서 끝납니다.

  1. 새 표시기 측면 창이 열립니다. 다음 필드가 자동으로 채워집니다.

    • 유형

      • 추가하려는 엔터티가 나타내는 지표의 형식입니다.
        • 가능한 값이 있는 드롭다운 목록: ipv4-addr, ipv6-addr, URL, filedomain-name.
      • 필수입니다. 엔터티 형식에 따라 자동으로 채워집니다.
      • 이 필드의 이름은 선택한 지표 형식으로 동적으로 변경됩니다.
      • 해당 지표의 값입니다.
      • 필수입니다. 엔터티 값에 따라 자동으로 채워집니다.
    • 태그

      • 지표에서 추가할 수 있는 자유 텍스트 태그입니다.
      • 선택 사항. 인시던트 ID에 따라 자동으로 채워집니다. 다른 사용자를 추가할 수 있습니다.
    • 이름

      • 표시기의 이름입니다. 이 이름은 표시기 목록에 표시됩니다.
      • 선택 사항. 인시던트 이름에 따라 자동으로 채워집니다.
    • 만든 사람

      • 지표 작성자입니다.
      • 선택 사항. Microsoft Sentinel에 로그인한 사용자에 의해 자동으로 채워집니다.

    이에 따라 나머지 필드를 입력합니다.

    • 위협 형식

      • 지표가 나타내는 위협 유형입니다.
      • 선택 사항. 자유 텍스트입니다.
    • 설명

      • 지표에 대한 설명입니다.
      • 선택 사항. 자유 텍스트입니다.
    • 해지됨

      • 지표의 취소된 상태입니다. 확인란을 선택하여 표시기를 해지합니다. 확인란의 선택을 취소하여 활성화합니다.
      • 선택 사항. 부울입니다.
    • 신뢰

      • 데이터의 정확성에 대한 신뢰도를 백분율로 반영하는 점수입니다.
      • 선택 사항. 정수, 1-100.
    • 체인 종료

    • 유효 기간(시작)

      • 이 지표가 유효한 것으로 간주되는 시간입니다.
      • 필수입니다. 날짜/시간.
    • 유효 기간(끝)

      • 이 지표가 더 이상 유효한 것으로 간주되지 않아야 하는 시간입니다.
      • 선택 사항. 날짜/시간.

    새 위협 표시기 창에 정보를 입력하는 것을 보여 주는 스크린샷.

  2. 모든 필드가 만족도에 맞게 채워지면 적용을 선택합니다. 표시기가 만들어졌는지 확인해주는 메시지가 오른쪽 위 모서리에 나타납니다.

  3. 엔터티는 작업 영역에서 위협 지표로 추가됩니다. 위협 인텔리전스 페이지 표시기 목록에서 찾을 수 있습니다. 로그의 ThreatIntelligenceIndicators 테이블에서 찾을 수도 있습니다.

이 문서에서는 위협 지표 목록에 엔터티를 추가하는 방법을 알아보았습니다. 자세한 내용은 다음 문서를 참조하세요.