다음을 통해 공유

Azure Portal에서 Microsoft Sentinel 인시던트 심층 조사

  • 아티클
  • 적용 대상:
    Microsoft Sentinel in the Azure portal

Microsoft Sentinel 인시던트에서는 특정 조사에 대한 모든 관련 증거를 집계하는 파일입니다. 각 인시던트는 분석 규칙에서 생성되거나 자체 경고를 생성하는 타사 보안 제품에서 가져온 증거(경고)를 기반으로 하여 만들어지거나 추가됩니다. 인시던트는 경고에 포함된 엔터티와 경고 속성(예: 심각도, 상태, MITRE ATT&CK 전술 및 기술)을 상속합니다.

Microsoft Sentinel은 Azure Portal에서 보안 인시던트를 조사하기 위한 완전한 기능을 갖춘 사례 관리 플랫폼을 제공합니다. 인시던트 세부 정보 페이지는 조사를 실행하고 모든 관련 정보와 모든 적용 가능한 도구 및 작업을 한 화면에 수집하는 중앙 위치입니다.

이 문서에서는 인시던트를 심층적으로 조사하여 인시던트를 보다 빠르고 효과적으로 효율적으로 탐색 및 조사하고 MTTR(평균 해결 시간)을 줄이는 방법을 설명합니다.

개요 탭이 있는 인시던트 세부 정보 페이지의 스크린샷.

필수 조건

  • 인시던트를 조사하려면 Microsoft Sentinel 응답자 역할 할당이 필요합니다.

    Microsoft Sentinel의 역할에 대해 자세히 알아보세요.

  • 인시던트를 할당해야 하는 게스트 사용자가 있는 경우 해당 사용자에게 Microsoft Entra 테넌트의 디렉터리 읽기 권한자 역할을 할당해야 합니다. 일반(비구상) 사용자에게는 기본적으로 이 역할이 할당됩니다.

현재 인시던트 세부 정보 페이지의 레거시 환경을 보고 있는 경우 페이지 오른쪽 위에 있는 새 환경을 전환하여 새 환경에 대한 이 문서의 절차를 계속 진행합니다.

사전 준비

인시던트를 조사하기 위해 설정하는 동안 워크플로를 지시하는 데 필요한 항목을 조합합니다. 제목 바로 아래 인시던트 페이지 맨 위에 있는 단추 모음에서 다음 도구를 찾을 수 있습니다.

인시던트 세부 정보 페이지의 단추 모음 스크린샷

  • 작업을 선택하여 이 인시던트에 할당된 작업을 확인하거나 고유한 작업을 추가합니다. 작업은 SOC에서 프로세스 표준화를 향상시킬 수 있습니다. 자세한 내용은 작업을 사용하여 Microsoft Sentinel에서 인시던트 관리를 참조하세요.

  • 활동 로그를 선택하여 이 인시던트에 대해 자동화 규칙 등을 통해 이미 수행된 작업이 있는지와 작성된 주석이 있는지 확인합니다. 여기에 사용자 고유의 주석을 추가할 수도 있습니다. 자세한 내용은 인시던트 이벤트 감사 및 주석 추가를 참조 하세요.

  • 언제든지 로그를 선택하여 인시던트 페이지 에서 비어 있는 완전한 로그 분석 쿼리 창을 엽니다. 관련 여부에 관계없이 인시던트에서 벗어나지 않고 쿼리를 작성하고 실행합니다. 그래서, 당신이 생각을 쫓는 갈 갑작스런 영감에 맞을 때마다, 흐름을 중단에 대해 걱정하지 마십시오 - 로그는 당신을 위해있다. 자세한 내용은 로그의 데이터를 자세히 살펴보세요.

시던트 작업 단추는 개요엔터티 탭 맞은편에 있습니다. 여기서는 인시던트 그리드 페이지의 세부 정보 창에 있는 작업 단추에서 이전에 설명한 것과 동일한 작업을 사용할 수 있습니다. 유일하게 누락된 것은 조사입니다. 이 기능은 왼쪽 세부 정보 패널에서 대신 사용할 수 있습니다.

인시던트 세부 정보 페이지에서 사용할 수 있는 인시던트 작업 단추의 스크린샷

인시던트 작업 단추 아래에서 사용할 수 있는 작업은 다음과 같습니다.

동작 설명
플레이북 실행 이 인시던트에 대한 플레이북 을 실행하여 특정 보강, 공동 작업 또는 응답 작업을 수행합니다.
자동화 규칙 만들기 나중에 이와 같은 인시던트(동일한 분석 규칙에 의해 생성됨)에서만 실행되는 자동화 규칙을 만듭니다.
팀 만들기(미리 보기) Microsoft Teams에서 팀을 만들어 부서 전체의 다른 개인 또는 팀과 공동 작업하여 인시던트 처리에 대해 설명합니다. 이 인시던트에 대해 팀을 이미 만든 경우 이 메뉴 항목은 Open Teams표시됩니다.

인시던트 세부 정보 페이지에서 전체 그림 가져오기

인시던트 세부 정보 페이지의 왼쪽 패널에는 그리드 오른쪽의 인시던트 페이지에서 본 것과 동일한 인시던트 세부 정보가 포함됩니다. 이 패널은 페이지의 나머지 부분에 표시되는 탭에 관계없이 항상 표시됩니다. 여기서 인시던트의 기본 정보를 확인하고 다음과 같은 방법으로 드릴다운할 수 있습니다.

  • 증거에서 이벤트, 경고 또는 책갈피를 선택하여 인시던트 페이지 내에서 로그 패널을 엽니다. 로그 패널에는 선택한 세 가지 중 어느 쿼리가 있는지와 함께 표시되며, 인시던트에서 벗어나지 않고도 쿼리 결과를 심층 분석할 수 있습니다. 완료를 선택하여 창을 닫고 인시던트로 돌아갑니다. 자세한 내용은 로그의 데이터를 자세히 살펴보세요.

  • 엔터티 아래에 있는 항목을 선택하여 엔터티표시합니다. 인시던트에서 처음 네 개의 엔터티만 여기에 표시됩니다. 모두 보기를 선택하거나 개요 탭의 엔터티 위젯 또는 엔터티에서 나머지 항목을 확인합니다. 자세한 내용은 엔터티 탭을 참조하세요.

    인시던트 세부 정보 페이지의 세부 정보 패널 스크린샷

조사를 선택하여 인시던트 모든 요소 간의 관계를 다이어그램하는 그래픽 조사 도구에서 인시던트 열기

이 패널은 소유자 드롭다운 옆에서 왼쪽을 가리키는 작은 이중 화살표를 선택하여 화면의 왼쪽 여백으로 축소할 수도 있습니다. 그러나 이 최소화된 상태에서도 소유자, 상태 및 심각도를 변경할 수 있습니다.

인시던트 세부 정보 페이지의 축소된 측면 패널 스크린샷

인시던트 세부 정보 페이지의 나머지 부분은 개요엔터티라는 두 개의 탭으로 구분됩니다.

개요 탭에는 다음과 같은 위젯이 포함되어 있으며, 각 위젯은 조사의 필수 목표를 나타냅니다.

위젯 설명
인시던트 타임라인 인시던트 타임라인 위젯은 공격자 활동의 타임라인을 재구성하는 데 도움이 될 수 있는 경고의 타임라인과 인시던트의 책갈피를 표시합니다. 개별 항목을 선택하여 모든 세부 정보를 볼 수 있으므로 자세히 드릴다운할 수 있습니다. 자세한 내용은 공격 스토리의 타임라인 재구성을 참조 하세요.
유사한 인시던트 유사한 인시던트 위젯에는 현재 인시던트와 가장 유사한 최대 20개의 다른 인시던트 컬렉션이 표시됩니다. 이렇게 하면 인시던트를 더 큰 컨텍스트에서 볼 수 있고 조사를 지시하는 데 도움이 됩니다. 자세한 내용은 사용자 환경에서 유사한 인시던트 확인을 참조하세요.
엔터티 엔터티 위젯은 경고에서 식별된 모든 엔터티를 표시합니다. 이는 사용자, 디바이스, 주소, 파일 또는 기타 형식에 관계없이 인시던트에서 역할을 한 개체입니다. 엔터티 탭에 표시되는 전체 세부 정보를 보려면 엔터티를 선택합니다. 자세한 내용은 인시던트의 엔터티 탐색을 참조하세요.
주요 인사이트 Top Insights 위젯에는 원본 컬렉션의 데이터를 기반으로 인시던트의 모든 엔터티에 대한 중요하고 상황별 보안 정보를 제공하는 Microsoft 보안 연구원이 정의한 쿼리 결과 컬렉션이 표시됩니다. 자세한 내용은 인시던트에 대한 주요 인사이트 가져오기를 참조하세요.

엔터티 탭에는 개요 페이지의 엔터티 위젯에도 표시되는 인시던트의 전체 엔터티 목록이 표시됩니다. 위젯에서 엔터티를 선택하면 전체 엔터티 페이지에서 볼 수 있지만 인시던트에 적합한 시간 프레임으로 제한되는 것처럼 엔터티의 전체 서류(식별 정보, 활동 타임라인(인시던트 내부 및 외부)와 엔터티에 대한 전체 인사이트 집합을 확인하도록 안내합니다.

공격 스토리의 타임라인 재구성

인시던트 타임라인 위젯은 공격자 활동의 타임라인을 재구성하는 데 도움이 될 수 있는 경고의 타임라인과 인시던트의 책갈피를 표시합니다.

마우스로 아이콘 또는 불완전한 텍스트 요소 위를 가리키면 해당 아이콘 또는 텍스트 요소의 전체 텍스트가 포함된 도구 설명이 표시됩니다. 이러한 도구 설명은 위젯의 제한된 너비로 인해 표시된 텍스트가 잘릴 때 유용합니다. 다음 스크린샷의 예를 참조하세요.

인시던트 타임라인 표시 세부 정보의 스크린샷

개별 경고 또는 책갈피를 선택하여 전체 세부 정보를 확인합니다.

  • 경고 세부 정보에는 경고의 심각도 및 상태, 해당 경고를 생성한 분석 규칙, 경고를 생성한 제품, 경고에 언급된 엔터티, 관련 MITRE ATT&CK 전술 및 기술, 내부 시스템 경고 ID가 포함됩니다.

    시스템 경고 ID 링크를 선택하여 경고를 더 자세히 드릴다운하고, 로그 패널을 열고, 결과를 생성한 쿼리와 경고를 트리거한 이벤트를 표시합니다.

  • 책갈피 세부 정보는 경고 세부 정보와 정확히 동일하지 않습니다. 엔터티, MITRE ATT&CK 전술 및 기술 및 책갈피 ID도 포함하지만 원시 결과와 책갈피 작성자 정보도 포함됩니다.

    책갈피 로그 보기 링크를 선택하여 로그 패널을 열고, 책갈피로 저장된 결과를 생성한 쿼리를 표시합니다.

    인시던트 세부 정보 페이지에 표시되는 경고의 세부 정보 스크린샷

인시던트 타임라인 위젯에서 경고 및 책갈피에 대해 다음 작업을 수행할 수도 있습니다.

사용자 환경에서 유사한 인시던트 확인

보안 운영 분석가로서 인시던트를 조사할 때 더 큰 컨텍스트에 주의해야 합니다.

인시던트 타임라인 위젯과 마찬가지로 열 너비로 인해 불완전하게 표시되는 텍스트 위를 마우스로 가리켜서 텍스트를 표시할 수 있습니다.

유사한 인시던트 목록에 인시던트가 나타나는 이유는 유사성 이유 열에 표시됩니다. 정보 아이콘 위로 마우스를 가져가면 공통 항목(엔티티, 규칙 이름 또는 세부 정보)이 표시됩니다.

유사한 인시던트 세부 정보의 팝업을 보여 주는 스크린샷

인시던트에 대한 주요 인사이트 얻기

Microsoft Sentinel의 보안 전문가에는 인시던트의 엔터티에 대한 중요한 질문을 자동으로 요청하는 기본 제공 쿼리가 있습니다. 인시던트 세부 정보 페이지의 오른쪽에 표시되는 주요 인사이트 위젯에서 주요 답변을 확인할 수 있습니다. 이 위젯은 기계 학습 분석과 보안 전문가로 구성된 최고 팀의 큐레이션을 기반으로 하는 인사이트 컬렉션을 표시합니다.

이러한 인사이트는 엔터티 페이지에 표시되는 것과 동일한 인사이트 중 일부이며, 빠르게 심사하고 위협의 범위를 이해하는 데 도움이 되도록 특별히 선택되었습니다. 동일한 이유로, 인시던트의 모든 엔터티에 대한 인사이트를 함께 제공하여 현재 진행 상황을 더 완벽하게 파악할 수 있습니다.

주요 인사이트는 변경될 수 있으며 다음을 포함할 수 있습니다.

  • 계정 작업
  • 계정에 대한 작업
  • UEBA 인사이트
  • 사용자와 관련된 위협 지표
  • 관심 목록 인사이트(미리 보기)
  • 비정상적으로 많은 수의 보안 이벤트
  • Windows 로그인 활동
  • IP 주소 원격 연결
  • TI 일치를 사용하는 IP 주소 원격 연결

이러한 각 인사이트(현재 관심 목록과 관련된 인사이트 제외)에는 인시던트 페이지에서 열리는 로그 패널에서 기본 쿼리를 열도록 선택할 수 있는 링크가 있습니다. 그러면 쿼리 결과를 드릴다운할 수 있습니다.

주요 인사이트 위젯의 시간 프레임은 인시던트의 가장 빠른 경고 24시간 전부터 최신 경고 시간까지입니다.

인시던트의 엔터티 살펴보기

엔터티 위젯은 인시던트의 경고에서 식별된 모든 엔터티를 표시합니다. 이는 사용자, 디바이스, 주소, 파일 또는 기타 형식에 관계없이 인시던트에서 역할을 한 개체입니다.

엔터티 위젯에서 엔터티 목록을 검색하거나 엔터티 형식별로 목록을 필터링하여 엔터티를 찾는 데 도움을 받을 수 있습니다.

개요 탭에서 엔터티에 대해 수행할 수 있는 작업의 스크린샷.

특정 엔터티가 알려진 손상 지표임을 이미 알고 있는 경우 엔터티 행에서 3점을 선택하고 TI에 추가를 선택하여 해당 엔터티를 위협 인텔리전스에 추가합니다. (이 옵션은 지원되는 엔터티 형식에 사용할 수 있습니다.)

특정 엔터티에 대한 자동 응답 시퀀스를 트리거하려면 3점을 선택하고 플레이북 실행(미리 보기)을 선택합니다. (이 옵션은 지원되는 엔터티 형식에 사용할 수 있습니다.)

엔터티를 선택하여 전체 세부 정보를 확인합니다. 엔터티를 선택하면 개요 탭에서 인시던트 세부 정보 페이지의 다른 부분인 엔터티 탭으로 이동합니다.

엔터티 탭

엔터티 탭은 인시던트의 모든 엔터티 목록을 표시합니다.

인시던트 세부 정보 페이지의 엔터티 탭 스크린샷

엔터티 위젯과 마찬가지로 이 목록도 엔터티 형식별로 검색하고 필터링할 수 있습니다. 한 목록에 적용된 검색 및 필터는 다른 목록에 적용되지 않습니다.

오른쪽 측면 패널에 표시할 해당 엔터티 정보의 목록에서 행을 선택합니다.

엔터티 이름이 링크로 표시되면 엔터티 이름을 선택하면 인시던트 조사 페이지 외부의 전체 엔터티 페이지로 리디렉션됩니다. 인시던트에서 벗어나지 않고 측면 패널만 표시하려면 목록에서 엔터티가 표시되는 행을 선택하지만 이름은 선택하지 않습니다.

여기서는 개요 페이지의 위젯에서 수행할 수 있는 것과 동일한 작업을 수행할 수 있습니다. 엔터티 행에서 3점을 선택하여 플레이북을 실행하거나 엔터티를 위협 인텔리전스에 추가합니다.

이러한 작업은 측면 패널 아래쪽의 전체 세부 정보 보기 옆에 있는 단추를 선택하여 수행할 수도 있습니다. 단추는 TI에 추가, 플레이북 실행(미리 보기) 또는 엔터티 작업 중 하나를 읽습니다. 이 경우 메뉴가 다른 두 가지 선택 항목과 함께 표시됩니다.

전체 세부 정보 보기 단추 자체는 엔터티의 전체 엔터티 페이지로 리디렉션됩니다.

엔터티 탭 쪽 창

엔터티 탭에서 엔터티를 선택하여 다음 카드와 함께 측면 창을 표시합니다 .

  • 정보에는 엔터티에 대한 식별 정보가 포함됩니다. 예를 들어 사용자 계정 엔터티의 경우 사용자 이름, 도메인 이름, SID(보안 식별자), 조직 정보, 보안 정보 등이 포함될 수 있으며, IP 주소의 경우 지리적 위치와 같은 항목이 포함될 수 있습니다.

  • 타임라인에는 이 엔터티를 특징으로 하는 경고, 책갈피변칙의 목록이 포함되며, 엔터티가 나타나는 로그에서 수집한 대로 엔터티에서 수행한 활동도 포함됩니다. 이 엔터티가 포함된 모든 경고는 경고가 이 인시던트에 속하는지 여부에 관계없이 이 목록에 있습니다.

    인시던트의 일부가 아닌 경고는 다르게 표시됩니다. 방패 아이콘이 회색으로 표시되고 심각도 색 밴드가 실선 대신 점선으로 표시되며 경고 행의 오른쪽에 더하기 기호가 있는 단추가 있습니다.

    엔터티 탭의 엔터티 타임라인 스크린샷

    더하기 기호를 선택하여 경고를 이 인시던트에 추가합니다. 경고가 인시던트에 추가되면 경고(아직 인시던트에 속하지 않은)의 다른 엔터티도 모두 추가됩니다. 이제 관련 경고에 대한 이러한 엔터티의 타임라인을 확인하여 조사를 더 확장할 수 있습니다.

    이 타임라인은 이전 7일 동안의 경고 및 활동으로 제한됩니다. 더 뒤로 이동하려면 시간 프레임을 사용자 지정할 수 있는 전체 엔터티 페이지의 타임라인으로 피벗합니다.

  • 인사이트에는 원본 컬렉션의 데이터를 기반으로 하여 엔터티에 대한 중요하고 상황에 맞는 보안 정보를 제공하는 Microsoft 보안 연구원이 정의한 쿼리 결과가 포함되어 있습니다. 이러한 인사이트에는 Top Insights 위젯 및 더 많은 정보가 포함됩니다. 전체 엔터티 페이지에 표시되는 것과 동일하지만 제한된 시간 프레임(인시던트의 가장 빠른 경고 24시간 전부터 시작하여 최신 경고 시간으로 종료됨)입니다.

    대부분의 인사이트에는 선택 시 결과와 함께 인사이트를 생성한 쿼리를 표시하는 로그 패널을 열 수 있는 링크가 포함되어 있습니다.

로그 데이터 자세히 살펴보기

조사 환경의 거의 모든 위치에서 조사 컨텍스트에서 로그 패널에서 기본 쿼리를 여는 링크를 선택할 수 있습니다. 이러한 링크 중 하나에서 로그 패널에 액세스하면 해당 쿼리가 쿼리 창에 나타나고 쿼리가 자동으로 실행되어 탐색할 적절한 결과를 생성합니다.

조사 중 시도하려는 쿼리가 컨텍스트에 남아 있는 경우 언제든지 인시던트 세부 정보 페이지 내에서 빈 로그 패널을 호출할 수도 있습니다. 이렇게 하려면 페이지 위쪽에서 로그를 선택합니다.

그러나 로그 패널에서 결과를 저장할 쿼리를 실행한 경우 다음 절차를 사용합니다.

  1. 결과 중에서 저장하려는 행 옆의 확인란을 선택합니다. 모든 결과를 저장하려면 열 위쪽의 확인란을 선택합니다.

  2. 표시된 결과를 책갈피로 저장합니다. 이를 수행하는 옵션은 다음과 같이 두 가지가 있습니다.

    • 현재 인시던트에 책갈피 추가를 선택하여 책갈피를 만들고 미해결 인시던트에 추가합니다. 책갈피 지침에 따라 프로세스를 완료합니다. 완료되면 책갈피가 인시던트 타임라인에 표시됩니다.

    • 책갈피 추가를 선택하여 책갈피를 인시던트에 추가하지 않고 책갈피를 만듭니다. 책갈피 지침에 따라 프로세스를 완료합니다. 이 책갈피는 헌팅 페이지의 책갈피 탭에서 만든 다른 책갈피와 함께 찾을 수 있습니다. 여기에서 이 인시던트 또는 다른 인시던트에 추가할 수 있습니다.

  3. 책갈피가 만들어지면(또는 만들지 않도록 선택한 경우) 완료를 선택하여 로그 패널을 닫습니다.

예시:

인시던트 세부 정보 페이지에서 열린 로그 패널의 스크린샷

조사 확장 또는 집중

인시던트에 경고를 추가하여 조사 범위를 확장하거나 확대합니다. 또는 인시던트에서 경고를 제거하여 조사 범위를 좁히거나 집중합니다.

자세한 내용은 Azure Portal의 Microsoft Sentinel에서 인시던트에 대한 경고 관련을 참조 하세요.

조사 그래프를 활용하여 시각적으로 인시던트 조사

조사에서 경고, 엔터티 및 경고 간의 연결을 시각적으로 그래픽으로 표현하려는 경우 클래식 조사 그래프를 사용하여 앞에서 설명한 많은 작업을 수행할 수 있습니다. 그래프의 단점은 컨텍스트를 훨씬 더 많이 전환해야 한다는 것입니다.

조사 그래프는 다음을 제공합니다.

조사 콘텐츠 설명
원시 데이터의 시각적 컨텍스트 라이브 시각적 그래프는 원시 데이터에서 자동으로 추출된 엔터티 관계를 표시합니다. 이를 통해 다양한 데이터 원본 간의 연결을 쉽게 확인할 수 있습니다.
전체 조사 범위 검색 기본 제공 탐색 쿼리를 사용하여 조사 범위를 확장하여 위반의 전체 범위를 표시합니다.
기본 제공 조사 단계 미리 정의된 탐색 옵션을 사용하여 위협에 직면하여 올바른 질문을 하고 있는지 확인합니다.

조사 그래프를 사용하려면:

  1. 인시던트를 선택하고 조사를 선택합니다. 그러면 조사 그래프로 이동합니다. 그래프는 경고에 직접 연결된 엔터티 및 추가로 연결된 각 리소스의 설명 맵을 제공합니다.

    지도를 봅니다.

    Important

    • 엔터티 매핑이 인시던트를 생성한 분석 규칙 또는 책갈피에 포함된 경우에만 해당 인시던트를 조사할 수 있습니다. 조사 그래프에서 원본 인시던트에 엔터티를 포함해야 합니다.

    • 조사 그래프는 현재 최대 30일 이전의 인시던트에 대한 조사를 지원합니다.

  2. 엔터티를 선택하면 해당 엔터티에 대한 정보를 검토할 수 있는 엔터티 창이 열립니다.

    맵에서 엔터티 보기

  3. 각 엔터티를 가리켜 조사를 확장하여 조사를 심화하기 위해 엔터티 유형별 보안 전문가 및 분석가가 설계한 질문 목록을 표시합니다. 이러한 옵션을 탐색 쿼리라고 합니다.

    자세한 정보 살펴보기

    예를 들어 관련 경고를 요청할 수 있습니다. 탐색 쿼리를 선택하면 결과 엔터티가 그래프에 다시 추가됩니다. 이 예에서는 관련 경고를 선택하여 그래프에 다음 경고를 반환했습니다.

    스크린샷: 관련 경고 보기

    관련 경고가 점선으로 엔터티에 연결된 것으로 나타나는지 확인합니다.

  4. 각 탐색 쿼리에 대해 이벤트>를 선택하여 원시 이벤트 결과 및 Log Analytics에서 사용되는 쿼리를 여는 옵션을 선택할 수 있습니다.

  5. 인시던트를 이해하기 위해 그래프는 병렬 타임라인을 제공합니다.

    스크린샷: 맵에서 타임라인 보기

  6. 타임라인을 가리켜 그래프에서 어떤 시점에 어떤 항목이 발생했는지 확인합니다.

    스크린샷: 맵의 타임라인을 사용하여 경고 조사

인시던트 이벤트 감사 및 메모 추가

인시던트를 조사할 때 관리에 대한 정확한 보고를 보장하고 동료 간의 원활한 협력과 협업을 가능하게 하기 위해 수행하는 단계를 철저히 문서화하려고 합니다. 또한 자동화된 프로세스를 포함하여 다른 사용자가 인시던트에 대해 수행한 모든 작업의 기록을 명확하게 확인하려고 합니다. Microsoft Sentinel은 이러한 작업을 수행하는 데 도움이 되는 풍부한 감사 및 주석 처리 환경인 활동 로그를 제공합니다.

주석을 사용하여 인시던트를 자동으로 보강할 수도 있습니다. 예를 들어 외부 원본에서 관련 정보를 가져오는 인시던트에 대한 플레이북(예: VirusTotal에서 파일에 맬웨어가 있는지 확인)을 실행하는 경우 플레이북에서 외부 원본의 응답을 사용자가 정의한 다른 정보와 함께 인시던트 주석에 배치하도록 할 수 있습니다.

활동 로그는 열려 있는 동안에도 자동으로 새로 고침되므로 언제든지 실시간으로 변경 내용을 볼 수 있습니다. 활동 로그가 열려 있는 동안 변경된 내용도 알림을 받습니다.

필수 구성 요소

  • 편집: 주석 작성자만 편집할 수 있습니다.

  • 삭제: Microsoft Sentinel 기여자 역할이 있는 사용자만 주석을 삭제할 수 있는 권한이 있습니다. 주석 작성자라도 삭제하려면 이 역할이 있어야 합니다.

활동 및 메모의 로그를 보거나 사용자 고유의 메모를 추가하려면 다음을 수행합니다.

  1. 인시던트 세부 정보 페이지의 위쪽에서 활동 로그를 선택합니다.
  2. 로그를 필터링하여 활동만 표시하거나 주석만 표시하려면 로그 위쪽에 있는 필터 컨트롤을 선택합니다.
  3. 주석을 추가하려면 인시던트 활동 로그 패널의 아래쪽에 있는 서식 있는 텍스트 편집기에서 주석을 입력합니다.
  4. 주석을 선택하여 주석을 제출합니다. 메모가 로그 맨 위에 추가됩니다.

설명 보기 및 입력 스크린샷

주석에 지원되는 입력

다음 표에서는 주석에서 지원되는 입력에 대한 제한을 나열합니다.

Type 설명
Text Microsoft Sentinel의 주석은 일반 텍스트, 기본 HTML 및 Markdown의 텍스트 입력을 지원합니다. 복사한 텍스트, HTML 및 Markdown을 주석 창에 붙여넣을 수도 있습니다.
연결 링크는 HTML 앵커 태그 형식이어야 하며 매개 변수 target="_blank"가 있어야 합니다. 예를 들어::

html<br><a href="https://www.url.com" target="_blank">link text</a><br>

인시던트에 메모를 만드는 플레이북이 있는 경우 해당 메모의 링크도 이 템플릿을 준수해야 합니다.
이미지 이미지는 주석에 직접 업로드할 수 없습니다. 대신 주석에 이미지에 대한 링크를 삽입하여 이미지를 인라인으로 표시합니다. 연결된 이미지는 Dropbox, OneDrive, Google Drive 등과 같이 공개적으로 액세스할 수 있는 위치에 이미 호스트되어야 합니다.
크기 제한 주석당: 단일 주석에는 최대 30,000자가 포함될 수 있습니다.

인시던트당: 단일 인시던트에는 최대 주석 100개가 포함될 수 있습니다.

Log Analytics의 SecurityIncident 테이블에 있는 단일 인시던트 레코드의 크기 제한은 64KB입니다. 이 제한을 초과하면 메모(가장 빠른 것부터 시작)가 잘리며 고급 검색 결과에 표시되는 메모에 영향을 줄 수 있습니다. 인시던트 데이터베이스의 실제 인시던트 레코드는 영향을 받지 않습니다.

다음 단계

UEBA 데이터를 사용하여 인시던트 조사

관련 콘텐츠

이 문서에서는 Microsoft Sentinel을 사용하여 인시던트 조사를 시작하는 방법을 배웠습니다. 자세한 내용은 다음을 참조하세요.