Azure Portal에서 Microsoft Sentinel 인시던트 탐색, 심사 및 관리
이 문서에서는 Azure Portal에서 인시던트에 대한 기본 심사를 탐색하고 실행하는 방법을 설명합니다.
필수 조건
인시던트를 조사하려면 Microsoft Sentinel 응답자 역할 할당이 필요합니다.
Microsoft Sentinel의 역할에 대해 자세히 알아보세요.
인시던트를 할당해야 하는 게스트 사용자가 있는 경우 해당 사용자에게 Microsoft Entra 테넌트의 디렉터리 읽기 권한자 역할을 할당해야 합니다. 일반(비구상) 사용자에게는 기본적으로 이 역할이 할당됩니다.
인시던트 탐색 및 심사
Microsoft Sentinel 탐색 메뉴의 위협 관리 아래에서 인시던트를 선택합니다.
인시던트 페이지에서는 모든 미해결 인시던트에 대한 기본 정보를 제공합니다. 예시:
화면 위쪽에는 그리드 전체 또는 선택한 여러 인시던트에서 특정 인시던트 외부에서 수행할 수 있는 작업이 포함된 도구 모음이 있습니다. 또한 열린 인시던트의 수, 새 인시던트 또는 활성 여부, 심각도별 열린 인시던트 수도 있습니다.
중앙 창에는 목록 맨 위에 있는 필터링 컨트롤로 필터링된 인시던트 목록인 인시던트 그리드와 특정 인시던트를 찾기 위한 검색 창이 있습니다.
측면에는 중앙 목록에 강조 표시된 인시던트에 대한 중요한 정보와 해당 인시던트에 대한 특정 작업을 수행하는 단추가 표시된 세부 정보 창이 있습니다.
보안 운영 팀에는 새 인시던트에 대한 기본 심사를 수행하고 적절한 담당자에게 할당하는 자동화 규칙이 있을 수 있습니다.
이 경우 소유자별로 인시던트 목록을 필터링하여 목록을 사용자 또는 팀에 할당된 인시던트로 제한합니다. 필터링된 이 집합은 개인 워크로드를 나타냅니다.
그렇지 않으면 기본 심사를 직접 수행할 수 있습니다. 먼저 상태, 심각도 또는 제품 이름 등 사용 가능한 필터링 기준으로 인시던트 목록을 필터링합니다. 자세한 내용은 인시던트 검색을 참조하세요.
인시던트의 전체 세부 정보 페이지를 입력하지 않고도 인시던트 페이지의 세부 정보 창에서 바로 특정 인시던트를 심사하고 즉시 초기 작업을 수행합니다. 예시:
Microsoft Defender XDR에서 Microsoft Defender XDR 인시던트 조사: Microsoft Defender XDR에서 조사 링크를 따라 Defender 포털에서 유사한 인시던트로 피벗합니다. Microsoft Defender XDR에서 인시던트에 대한 변경 내용은 Microsoft Sentinel의 동일한 인시던트에 동기화됩니다.
할당된 작업 목록을 엽니다. 작업이 할당된 인시던트에는 완료된 총 작업 수와 전체 세부 정보 보기 링크가 표시됩니다. 링크를 따라 인시던트 작업 페이지를 열어 이 인시던트에 대한 작업 목록을 확인합니다.
소유자 드롭다운 목록에서 선택하여 인시던트의 소유권을 사용자 또는 그룹에 할당합니다.
최근에 선택한 사용자 및 그룹이 그림 드롭다운 목록의 맨 위에 표시됩니다.
상태 드롭다운 목록에서 선택하여 인시던트 상태를 업데이트합니다(예: 신규에서 활성 또는 종료됨으로). 인시던트를 닫을 때 이유를 지정해야 합니다. 자세한 내용은 인시던트 닫기를 참조하세요.
심각도 드롭다운 목록에서 선택하여 인시던트 심각도를 변경합니다.
태그를 추가하여 인시던트를 분류합니다. 태그를 추가할 위치를 확인하려면 세부 정보 창의 아래쪽으로 스크롤해야 할 수 있습니다.
주석을 추가하여 작업, 아이디어, 질문 등을 로그합니다. 메모를 추가할 위치를 확인하려면 세부 정보 창의 아래쪽으로 스크롤해야 할 수 있습니다.
세부 정보 창의 정보가 추가 수정 또는 완화 작업을 요청하는 데 충분한 경우 아래쪽의 작업 단추를 선택하여 다음 중 하나를 수행합니다.
작업 설명 조사 그래픽 조사 도구를 사용하여 이 인시던트 내 및 다른 인시던트 모두에서 경고, 엔터티 및 활동 간의 관계를 검색합니다. 플레이북 실행 이 인시던트에 대한 플레이북 을 실행하여 SOC 엔지니어와 같은 특정 보강, 공동 작업 또는 대응 작업을 수행할 수 있습니다. 자동화 규칙 만들기 향후 워크로드를 줄이거나 일시적인 요구 사항 변경(예: 침투 테스트)을 고려하기 위해 나중에 이와 같은 인시던트(동일한 분석 규칙에 의해 생성됨)에서만 실행되는 자동화 규칙을 만듭니다. 팀 만들기(미리 보기) Microsoft Teams에서 팀을 만들어 부서 전체의 다른 개인 또는 팀과 공동 작업하여 인시던트 처리에 대해 설명합니다. 예시:
인시던트에 대한 추가 정보가 필요한 경우 세부 정보 창에서 전체 세부 정보 보기를 선택하여 인시던트의 경고 및 엔터티, 유사한 인시던트 목록 및 선택한 주요 인사이트를 포함하여 인시던트의 전체 세부 정보를 열고 확인합니다.
인시던트 검색
특정 인시던트를 신속하게 찾으려면 인시던트 그리드 위의 검색 상자에 검색 문자열을 입력하고 Enter 키를 눌러 적절하게 표시되는 인시던트 목록을 수정합니다. 인시던트가 결과에 포함되지 않은 경우 고급 검색 옵션을 사용하여 검색 범위를 좁힐 수 있습니다.
검색 매개 변수를 수정하려면 검색 단추를 선택한 다음, 검색을 실행하려는 매개 변수를 선택합니다.
예시:
기본적으로 인시던트 검색은 인시던트 ID, 제목, 태그, 소유자 및 제품 이름 값에서만 실행됩니다. 검색 창에서 목록을 아래로 스크롤하여 검색할 다른 매개 변수를 하나 이상 선택하고 적용을 선택하여 검색 매개 변수를 업데이트합니다. 기본값으로 설정을 선택하면 선택된 매개 변수를 기본 옵션으로 다시 설정합니다.
참고 항목
소유자 필드 검색은 이름 및 이메일 주소를 모두 지원합니다.
고급 검색 옵션을 사용하면 검색 동작이 다음과 같이 변경됩니다.
| 검색 동작 | 설명 |
|---|---|
| 검색 단추 색 | 검색 단추의 색은 현재 검색에 사용되는 매개 변수의 형식에 따라 변경됩니다.
|
| 자동 새로 고침 | 고급 검색 매개 변수를 사용하면 결과를 자동으로 새로 고치도록 선택할 수 없게 됩니다. |
| 엔터티 매개 변수 | 모든 엔터티 매개 변수는 고급 검색에 대해 지원됩니다. 엔터티 매개 변수에서 검색할 때 검색은 모든 엔터티 매개 변수에서 실행됩니다. |
| 검색 문자열 | 단어 문자열을 검색하면 검색 쿼리에 모든 단어가 포함됩니다. 검색 문자열은 대/소문자를 구분합니다. |
| 작업 영역 간 지원 | 고급 검색은 작업 영역 간 보기에 대해 지원되지 않습니다. |
| 표시된 검색 결과 수 | 고급 검색 매개 변수를 사용하는 경우 한 번에 50개의 결과만 표시됩니다. |
팁
찾고 있는 인시던트를 찾을 수 없는 경우 검색 매개 변수를 제거하여 검색을 확장합니다. 검색 결과 항목이 너무 많으면 필터를 더 추가하여 결과의 범위를 좁힐 수 있습니다.
인시던트 닫기
특정 인시던트를 해결하면(예: 조사가 종료될 때) 인시던트의 상태를 Closed로 설정합니다. 이렇게 하면 인시던트 종료 이유를 지정하여 인시던트 분류를 요청합니다. 이 단계는 필수입니다.
분류 선택을 선택하고 드롭다운 목록에서 다음 중 하나를 선택합니다.
- True Positive – 의심스러운 활동
- 양성 긍정 – 의심스럽지만 예상됨
- 가양성 – 잘못된 경고 논리
- 가양성 – 잘못된 데이터
- 결정되지 않음
가양성 및 무해한 양성에 대한 자세한 내용은 Microsoft Sentinel에서 가양성 처리를 참조하세요.
적절한 분류를 선택한 후 설명 필드에 설명 텍스트를 추가합니다. 이 기능은 이 인시던트에 다시 참조해야 하는 경우에 유용합니다. 완료되면 적용을 선택하고 인시던트가 닫힙니다.
다음 단계
자세한 내용은 Azure Portal에서 Microsoft Sentinel 인시던트 심층 조사를 참조 하세요.