Microsoft Sentinel의 항목
경고가 Microsoft Sentinel로 보내지거나 생성될 때 Sentinel이 인식하고 범주를 엔터티로 분류할 수 있는 데이터 요소가 포함됩니다. Microsoft Sentinel은 특정 데이터 요소에 표시되는 엔터티의 종류를 이해할 때 이에 대해 질문할 올바른 질문을 알고 있으며, 이를 통해 전체 데이터 원본 범위에서 해당 항목에 대한 정보를 비교하여 쉽게 추적하고 전체 Sentinel 환경(분석, 조사, 수정, 구하기 등)에서 이를 참조할 수 있습니다. 엔터티의 몇 가지 일반적인 예로는 사용자 계정, 호스트, 사서함, IP 주소, 파일, 클라우드 애플리케이션, 프로세스 및 URL이 있습니다.
Important
Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.
Microsoft Defender 포털에서 엔터티는 일반적으로 다음 두 가지 주요 범주로 분류됩니다.
엔터티 범주 | 특징 | 주요 예제 |
---|---|---|
자산 | ||
기타 엔터티 (증명 정보) |
엔터티 식별자
Microsoft Sentinel은 다양한 엔터티 형식을 지원합니다. 각 형식에는 엔터티 스키마의 필드로 표현되고 식별자라고 지칭되는 고유한 특성이 있습니다. 아래 지원되는 엔터티의 전체 목록과 Microsoft Sentinel 엔터티 형식 참조의 엔터티 스키마 및 식별자 전체 집합을 참조하세요.
강력한 식별자와 약한 식별자
엔터티의 각 형식에 대해 해당 엔터티의 특정 인스턴스를 식별할 수 있는 필드 또는 필드 집합이 있습니다. 이러한 필드 또는 필드 집합은 모호성 없이 항목을 고유하게 식별할 수 있는 경우 강력한 식별자라고 하고 특정 상황에서는 항목을 식별할 수 있지만 모든 경우에 엔터티를 고유하게 식별할 수 없는 경우 약한 식별자라고 합니다. 그러나 대부분의 경우 약한 식별자를 결합하여 강력한 식별자를 생성할 수 있습니다.
예를 들어 사용자 계정은 Microsoft Entra 계정의 숫자 식별자(GUID 필드) 또는 UPN(사용자 계정 이름) 값과 같은 단일 강력한 식별자를 사용하거나 이름 및 NTDomain 필드와 같은 약한 식별자의 조합을 사용하여 둘 이상의 방법으로 계정 엔터티로 식별할 수 있습니다. 서로 다른 데이터 원본으로 동일한 사용자를 식별할 수 있습니다. Microsoft Sentinel은 식별자를 기반으로 동일한 엔터티로 인식할 수 있는 두 엔터티를 발견할 때마다 두 엔터티를 단일 엔터티로 병합하여 적절하고 일관되게 처리될 수 있도록 합니다.
그러나 리소스 제공자 중 하나가 엔터티가 충분히 식별되지 않음을 나타내는 경고를 만드는 경우(예: 도메인 이름 컨텍스트 없이 사용자 이름과 같은 단일 약한 식별자를 사용하는 경우) 사용자 엔터티는 동일한 사용자 계정의 다른 인스턴스와 병합될 수 없습니다. 이러한 다른 인스턴스는 별도의 엔터티로 식별되며 해당 두 엔터티는 통합되지 않고 별개로 유지됩니다.
해당 상황이 발생하는 위험을 최소화하기 위해 모든 경고 공급자가 생성하는 경고에서 엔터티를 제대로 식별하는지 확인해야 합니다. 또한 사용자 계정 엔터티를 Microsoft Entra ID와 동기화하면 통합 디렉터리가 생성되어 사용자 계정 엔터티를 병합할 수 있습니다.
지원되는 엔터티
다음 유형의 엔터티는 현재 Microsoft Sentinel에서 식별됩니다.
- 계정
- 호스트
- IP 주소
- URL
- Azure 리소스
- 클라우드 애플리케이션
- DNS 확인
- 파일
- 파일 해시
- 맬웨어
- 처리
- 레지스트리 키
- 레지스트리 값
- 보안 그룹
- 사서함
- 메일 클러스터
- 메일 메시지
- 제출 메일
이러한 엔터티의 식별자 및 기타 관련 정보는 엔터티 참조에서 볼 수 있습니다.
엔터티 매핑
Microsoft Sentinel은 경고의 일부 데이터를 어떻게 엔터티의 식별자로 인식하나요?
Microsoft Sentinel에서 데이터 처리를 수행하는 방법을 살펴보겠습니다. 데이터는 서비스 간, 에이전트 기반 또는 API 기반인 커넥터를 통해 다양한 원본에서 수집됩니다. 데이터는 Log Analytics 작업 영역의 테이블에 저장됩니다. 이러한 테이블은 정의하고 사용하도록 설정한 예약된 또는 근실시간 분석 규칙에 따라 정기적으로 쿼리되거나 위협을 검색할 때 헌팅 쿼리의 일부로 요청에 따라 쿼리됩니다. 이러한 분석 규칙 및 헌팅 쿼리 정의의 일부는 테이블의 데이터 필드를 Microsoft Sentinel에서 인식하는 엔터티 형식에 매핑하는 것입니다. 정의하는 매핑에 따라 Microsoft Sentinel은 쿼리에서 반환된 결과의 필드를 가져와 각 엔터티 형식에 대해 지정한 식별자로 인식하고 해당 식별자에 의해 식별되는 엔터티 형식을 적용합니다.
이 모든 것의 요점은 무엇일까요?
Microsoft Sentinel에서 다양한 유형의 데이터 원본에 있는 경고의 엔터티를 식별할 수 있는 경우, 특히 각 데이터 원본 또는 또 다른 스키마에 공통적인 강력한 식별자를 사용하여 이 작업을 수행할 수 있는 경우 이러한 모든 경고와 데이터 원본 간의 상관 관계를 쉽게 지정할 수 있습니다. 이러한 상관 관계는 엔터티에 대한 풍부한 정보 및 인사이트를 구축하는 데 도움이 되고, 보안 위협을 조사하고 대응하기 위한 견고한 기반과 컨텍스트를 제공합니다.
데이터 필드를 엔터티에 매핑하는 방법에 대해 알아봅니다.
엔터티를 강력하게 식별하는 식별자에 대해 알아봅니다.
엔터티 페이지
엔터티 페이지에 대한 정보를 이제 Microsoft Sentinel의 엔터티 페이지를 사용하여 확인할 수 있습니다.
다음 단계
이 문서에서는 Microsoft Sentinel에서 엔터티를 사용하는 방법을 알아보았습니다. 구현에 대한 유용한 지침을 알아보고 얻은 인사이트를 사용하려면 다음 문서를 참조하세요.
- Microsoft Sentinel에서 항목 동작 분석을 사용하도록 설정합니다.
- 보안 위협에 대한 헌팅