Azure Portal에서 Microsoft Sentinel 인시던트 조사

Microsoft Sentinel은 보안 인시던트를 조사하고 관리하기 위한 완전한 기능을 갖춘 사례 관리 플랫폼을 제공합니다. 인시던트는 개별 증거(경고), 용의자 및 관심 당사자(엔터티), 보안 전문가 및 AI/기계 학습 모델에 의해 수집 및 큐레이팅된 인사이트, 조사 과정에서 수행된 모든 작업의 의견 및 로그 등 보안 위협의 완전하고 지속적으로 업데이트된 연대기를 포함하는 파일에 대한 Microsoft Sentinel의 이름입니다.

Microsoft Sentinel의 인시던트 조사 환경은 한 곳에서 조사에 필요한 모든 것을 제공하도록 설계된 인시던트 페이지로 시작됩니다. 이 환경의 주요 목표는 SOC의 효율성과 효율성을 높여 MTTR(평균 해결 시간)을 줄이는 것입니다.

이 문서에서는 Azure Portal에서 Microsoft Sentinel의 인시던트 조사 및 사례 관리 기능 및 기능을 설명하며, 일반적인 인시던트 조사 단계를 안내하면서 도움이 되는 모든 디스플레이와 도구를 제공합니다.

필수 조건

• 인시던트를 조사하려면 Microsoft Sentinel 응답자 역할 할당이 필요합니다.

  Microsoft Sentinel의 역할에 대해 자세히 알아보세요.

• 인시던트를 할당해야 하는 게스트 사용자가 있는 경우 해당 사용자에게 Microsoft Entra 테넌트의 디렉터리 읽기 권한자 역할을 할당해야 합니다. 일반(비구상) 사용자에게는 기본적으로 이 역할이 할당됩니다.

SOC의 완성도 증가

Microsoft Sentinel 인시던트에서는 프로세스를 표준화하고 인시던트 관리를 감사하여 SecOps(보안 운영) 완성도를 높이는 데 도움이 되는 도구를 제공합니다.

프로세스 표준화

인시던트 작업은 분석가가 일관된 관리 표준을 보장하고 중요한 단계가 누락되지 않도록 하기 위해 따라야 하는 작업의 워크플로 목록입니다.

• SOC 관리자와 엔지니어 는 이러한 작업 목록을 개발하고 적절한 인시던트 그룹 또는 전반적으로 다른 인시던트 그룹에 자동으로 적용하도록 할 수 있습니다.

• 그런 다음 SOC 분석가는 각 인시던트 내에서 할당된 작업에 액세스하여 완료될 때 이를 표시할 수 있습니다.

  또한 분석가는 자체 미리 알림으로 또는 인시던트에 공동 작업할 수 있는 다른 분석가를 위해(예: 교대 또는 상사에게 보고) 진행 중인 인시던트에 작업을 수동으로 추가할 수 있습니다.

자세한 내용은 작업을 사용하여 Azure Portal의 Microsoft Sentinel에서 인시던트 관리를 참조하세요.

인시던트 관리 감사

인시던트 활동 로그는 사람이 시작했든 자동화된 프로세스가 시작했든 인시던트에서 수행한 작업을 추적하여 인시던트에 대한 모든 메모와 함께 표시합니다.

여기에 직접 의견을 추가할 수도 있습니다. 자세한 내용은 Azure Portal에서 Microsoft Sentinel 인시던트 조사를 참조하세요.

효과적이고 효율적으로 조사

우선 가장 중요한 일부터 합니다. 분석가로서 가장 기본적인 질문은 왜 이 사건이 분석가의 주의를 끌고 있는가 하는 것입니다. 인시던트의 세부 정보 페이지를 입력하면 해당 질문에 대한 답이 있습니다. 화면 중앙에 인시던트 타임라인 위젯이 표시됩니다.

Microsoft Sentinel 인시던트를 사용하여 인시던트 타임라인을 사용하여 보안 인시던트를 효과적이고 효율적으로 조사하고, 유사한 인시던트에서 학습하고, 최고 인사이트를 검토하고, 엔터티를 보고, 로그를 탐색합니다.

인시던트 타임라인

인시던트 타임라인은 조사와 관련된 모든 기록된 이벤트를 발생한 순서대로 나타내는 모든 경고 의 일기입니다. 또한 타임라인에는 책갈피, 헌팅 중 수집하여 인시던트에 추가된 스냅샷이 표시됩니다.

경고 및 책갈피 목록을 검색하거나 심각도, 전술 또는 콘텐츠 유형(경고 또는 책갈피)으로 목록을 필터링하여 원하는 항목을 찾는 데 도움이 됩니다. 타임라인이 처음 표시되면 경고 또는 책갈피 여부에 관계없이 다음과 같은 각 항목에 대한 몇 가지 중요한 사항을 즉시 알려줍니다.

• 경고 또는 책갈피를 만든 날짜 및 시간
• 마우스로 아이콘 위를 가리키면 아이콘과 도구 설명으로 표시되는 항목, 경고 또는 책갈피의 유형
• 항목의 첫 번째 줄에 굵게 표시된 경고 또는 책갈피의 이름
• 왼쪽 가장자리를 따라 색 밴드로 표시되고 경고의 세 부분으로 구성된 "부제목"의 시작 부분에 단어 형식으로 표시되는 경고의 심각도
• 부제목의 두 번째 부분에 있는 경고 공급자. 책갈피의 경우 책갈피의 작성자입니다.
• 부제목의 세 번째 부분에 아이콘과 도구 설명으로 표시되는 경고와 관련된 MITRE ATT&CK 전술

자세한 내용은 공격 스토리의 타임라인 재구성을 참조 하세요.

유사한 인시던트 목록

지금까지 인시던트에서 본 것이 익숙해 보인다면 그럴 만한 이유가 있습니다. Microsoft Sentinel은 열린 인시던트보다 가장 유사한 인시던트 수를 표시하여 한 단계 앞서 있습니다.

유사한 인시던트 위젯은 최근 업데이트된 날짜 및 시간, 마지막 소유자, 마지막 상태(닫힌 경우, 폐쇄된 이유 포함), 유사성 이유를 포함하여 유사한 것으로 간주되는 인시던트에 대한 가장 관련성이 큰 정보를 보여 줍니다.

이렇게 하면 여러 가지 면에서 조사에 도움이 될 수 있습니다.

• 더 큰 공격 전략의 일부일 수 있는 동시 인시던트를 파악합니다.
• 현재 조사를 위한 참조 지점으로 유사한 인시던트가 어떻게 처리되었는지 확인합니다.
• 과거 유사한 인시던트 소유자를 식별하여 지식을 활용합니다.

예를 들어 이와 같은 다른 인시던트가 이전에 발생했거나 지금 발생하는지 확인하려고 합니다.

• 동일한 대규모 공격 전략의 일부일 수 있는 동시 인시던트를 식별할 수 있습니다.
• 과거에 유사한 인시던트를 식별하여 현재 조사를 위한 참조 지점으로 사용할 수 있습니다.
• 과거 유사한 인시던트의 소유자를 식별하고 SOC에서 더 많은 컨텍스트를 제공하거나 조사를 에스컬레이션할 수 있는 사용자를 찾을 수 있습니다.

위젯은 가장 유사한 20개의 인시던트를 보여 줍니다. Microsoft Sentinel은 엔터티, 원본 분석 규칙, 경고 세부 정보를 비롯한 일반적인 요소에 따라 유사한 인시던트를 결정합니다. 이 위젯에서 현재 인시던트에 대한 연결을 그대로 유지하면서 이러한 인시던트의 전체 세부 정보 페이지로 직접 이동할 수 있습니다.

유사성은 다음 조건에 따라 결정됩니다.

인시던트 유사성은 인시던트의 가장 최근 경고의 종료 시간인 인시던트의 마지막 작업 이전 14일의 데이터를 기반으로 계산됩니다. 인시던트 세부 정보 페이지를 입력할 때마다 인시던트 유사성도 다시 계산되므로 새 인시던트가 생성되거나 업데이트된 경우 세션 간에 결과가 달라질 수 있습니다.

자세한 내용은 사용자 환경에서 유사한 인시던트 확인을 참조하세요.

주요 인시던트 인사이트

다음으로 무슨 일이 일어났는지(또는 아직 일어나고 있는) 광범위한 개요를 가지고 있으며, 컨텍스트를 더 잘 이해하면 Microsoft Sentinel이 이미 알아낸 흥미로운 정보가 무엇인지 궁금할 것입니다.

Microsoft Sentinel은 인시던트의 엔터티에 대한 큰 질문을 자동으로 요청하고 인시던트 세부 정보 페이지의 오른쪽에 표시되는 Top Insights 위젯의 상위 답변을 표시합니다. 이 위젯은 기계 학습 분석과 최고 보안 전문가 팀의 큐레이션을 기반으로 하는 인사이트 컬렉션을 보여 줍니다.

엔터티 페이지에 표시되는 인사이트 중 특별히 선택된 하위 집합이지만, 이 컨텍스트에서는 인시던트의 모든 엔터티에 대한 인사이트가 함께 제공되어 무슨 일이 일어나고 있는지 보다 완벽하게 파악할 수 있습니다. 엔터티 탭에 각 엔터티에 대한 전체 인사이트 집합이 개별적으로 표시됩니다. 아래를 참조하세요.

상위 인사이트 위젯은 피어 및 자체 기록, 관심 목록, 위협 인텔리전스에서의 존재 또는 이와 관련된 다른 종류의 비정상적인 발생에 대해 해당 동작과 관련된 엔터티에 대한 질문에 답변합니다.

이러한 인사이트의 대부분은 자세한 정보로 연결되는 링크를 포함합니다. 이러한 링크를 열면 상황에 맞는 로그 패널을 열어 해당 인사이트에 대한 원본 쿼리와 결과와 함께 볼 수 있습니다.

관련 엔터티 목록

이제 몇 가지 컨텍스트와 몇 가지 기본적인 질문에 대한 답변이 있으므로 이 스토리에 있는 주요 플레이어에 대해 좀 더 깊이 있게 설명하려고 합니다.

사용자 이름, 호스트 이름, IP 주소, 파일 이름, 기타 유형의 엔터티는 모두 조사에서 “요주의 인물”일 수 있습니다. Microsoft Sentinel은 사용자를 위해 모든 항목을 찾아서 타임라인과 함께 엔터티 위젯의 앞과 가운데에 표시합니다.

이 위젯에서 엔터티를 선택하여 인시던트의 모든 엔터티 목록을 포함하는 동일한 인시던트 페이지의 엔터티 탭에 있는 해당 엔터티 목록으로 피벗합니다.

목록에서 엔터티를 선택하여 다음 세부 정보를 포함하여 엔터티 페이지를 기반으로 하는 정보가 포함된 사이드 패널을 엽니다.

• 정보에는 엔터티에 대한 기본 정보가 포함되어 있습니다. 사용자 계정 엔터티의 경우 사용자 이름, 도메인 이름, SID(보안 식별자), 조직 정보, 보안 정보 등과 같은 항목일 수 있습니다.

• 타임라인에는 엔터티가 표시되는 로그에서 수집된 것처럼 이 엔터티와 엔터티가 수행한 활동을 특징으로 하는 경고 목록이 포함됩니다.

• 인사이트에는 피어 및 자체 기록과 비교하여 해당 동작과 관련된 엔터티에 대한 질문, 관심 목록 또는 위협 인텔리전스에서의 존재, 이와 관련된 다른 종류의 비정상적인 발생에 대한 답변이 포함되어 있습니다.

  이러한 답변은 원본 컬렉션의 데이터를 기반으로 엔터티에 대한 중요하고 상황별 보안 정보를 제공하는 Microsoft 보안 연구원이 정의한 쿼리의 결과입니다.

엔터티 형식에 따라 다음을 포함하여 이 사이드 패널에서 여러 가지 추가 작업을 수행할 수 있습니다.

• 엔터티의 전체 엔터티 페이지 로 피벗하여 더 긴 시간 동안 더 많은 세부 정보를 얻거나 해당 엔터티를 중심으로 그래픽 조사 도구를 시작합니다.

• 플레이북을 실행하여 엔터티에 대한 특정 응답 또는 수정 작업을 수행합니다(미리 보기).

• 엔터티를 IOC(손상 지표)로 분류하고 위협 인텔리전스 목록에 추가합니다.

이러한 각 작업은 현재 특정 엔터티 형식에 대해 지원되며 다른 엔터티 형식에는 지원되지 않습니다. 다음 표에서는 각 엔터티 형식에 대해 지원되는 작업을 보여 줍니다.

* TI에 추가 또는 플레이북 실행 작업을 사용할 수 있는 엔터티의 경우 개요 탭의 엔터티 위젯에서 바로 이러한 작업을 수행할 수 있으며 인시던트 페이지를 벗어나지 않을 수 있습니다.

인시던트 로그

인시던트 로그를 탐색하여 세부 정보를 파악하여 정확히 무슨 일이 일어났는지 알아보세요 .

인시던트에 있는 거의 모든 영역에서 개별 경고, 엔터티, 인사이트 및 인시던트에 포함된 기타 항목으로 드릴다운하여 원래 쿼리 및 결과를 볼 수 있습니다.

이러한 결과는 인시던트 세부 정보 페이지의 패널 확장으로 여기에 표시되는 로그(로그 분석) 화면에 표시되므로 조사 컨텍스트를 벗어나지 않습니다.

인시던트가 있는 구성된 레코드

투명성, 책임성 및 연속성을 위해 자동화된 프로세스 또는 사람에 의해 인시던트에 대해 수행된 모든 작업에 대한 기록을 원할 것입니다. 인시던트 활동 로그에는 이러한 모든 활동이 표시됩니다. 또한 작성된 모든 의견을 보고 직접 추가할 수도 있습니다.

활동 로그는 열려 있는 동안에도 지속적으로 자동 새로 고침되므로 변경 내용을 실시간으로 볼 수 있습니다.

관련 콘텐츠

이 문서에서는 Azure Portal의 Microsoft Sentinel 인시던트 조사 환경을 통해 단일 컨텍스트에서 조사를 수행하는 방법을 알아보았습니다. 인시던트 관리 및 조사에 대한 자세한 내용은 다음 문서를 참조하세요.

• Microsoft Sentinel 엔터티 페이지로 엔터티 조사.
• 작업을 사용하여 Microsoft Sentinel에서 인시던트 관리
• 자동화 규칙을 사용하여 Microsoft Sentinel에서 인시던트 처리 자동화
• Microsoft Sentinel의 UEBA(사용자 및 엔터티 동작 분석)로 지능형 위협 식별
• 보안 위협에 대한 헌팅

다음 단계

Azure Portal에서 Microsoft Sentinel 인시던트 탐색, 심사 및 관리