다음을 통해 공유

Microsoft Sentinel의 위협 인텔리전스 이해

  • 아티클
  • 적용 대상:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel은 다양한 원본에서 위협 인텔리전스를 신속하게 끌어올 수 있는 클라우드 네이티브 SIEM(보안 정보 및 이벤트 관리) 솔루션입니다.

Important

Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

위협 인텔리전스 소개

CTI(사이버 위협 인텔리전스)는 시스템 및 사용자에게 기존의 또는 잠재적인 위협을 설명하는 정보입니다. 이 인텔리전스는 특정 위협 행위자의 동기, 인프라 및 기술을 자세히 설명하는 서면 보고서와 같은 다양한 형태를 취합니다. 또한 알려진 사이버 위협과 관련된 IP 주소, 도메인, 파일 해시 및 기타 아티팩트에 대한 구체적인 관찰 내용일 수도 있습니다.

조직에서는 CTI를 사용하여 비정상적인 활동에 대한 필수 컨텍스트를 제공하므로 보안 담당자가 신속하게 조치를 취하여 사람, 정보 및 자산을 보호할 수 있습니다. 다음과 같은 여러 장소에서 CTI를 공급받을 수 있습니다.

  • 오픈 소스 데이터 피드.
  • 위협 인텔리전스 공유 커뮤니티.
  • 상업용 인텔리전스 피드.
  • 조직 내의 보안 조사 과정에서 수집된 로컬 인텔리전스.

Microsoft Sentinel과 같은 SIEM 솔루션의 경우 가장 일반적인 형태의 CTI는 IOC(손상 지표) 또는 공격 지표라고도 하는 위협 지표입니다. 위협 지표는 URL, 파일 해시, IP 주소 등의 관찰된 아티팩트를 피싱, 봇네트, 맬웨어 등의 알려진 위협 활동과 연결하는 데이터입니다. 이러한 형태의 위협 인텔리전스는 종종 전술적 위협 인텔리전스라고 불립니다. 조직에 잠재적인 위협을 탐지하고 이를 보호하기 위해 보안 제품 및 자동화에 대규모로 적용됩니다.

Microsoft Sentinel의 위협 지표를 사용하여 사용자 환경에서 관찰된 악의적인 활동을 감지하고 보안 조사자에게 대응 결정을 알리기 위해 컨텍스트를 제공합니다.

다음 작업을 통해 위협 인텔리전스를 Microsoft Sentinel에 통합할 수 있습니다.

  • 다양한 위협 인텔리전스 플랫폼피드데이터 커넥터를 사용하도록 설정하여 Microsoft Sentinel로 위협 인텔리전스를 가져옵니다.
  • Microsoft Sentinel의 로그위협 인텔리전스 창에서 가져온 위협 인텔리전스를 보고 관리합니다.
  • 가져온 위협 인텔리전스를 기반으로 기본 제공 Analytics 규칙 템플릿을 사용하여 위협을 감지하고 보안 경고 및 인시던트를 생성합니다.
  • 위협 인텔리전스 통합 문서를 사용하여 Azure Sentinel에서 가져온 위협 인텔리전스에 대한 중요 정보를 시각화합니다.

Microsoft는 다른 지표 정보와 함께 표시되는 GeoLocation 및 WhoIs 데이터를 사용하여 가져온 모든 위협 인텔리전스 지표를 보강합니다.

위협 인텔리전스는 헌팅 및 Notebook과 같은 다른 Microsoft Sentinel 환경 내에서도 유용한 컨텍스트를 제공합니다. 자세한 내용은 Microsoft Sentinel의 Jupyter Notebook자습서: Microsoft Sentinel에서 Jupyter Notebook 및 MSTICPy 시작하기를 참조하세요.

참고 항목

US Government 클라우드의 기능 가용성에 대한 자세한 내용은 US Government 고객을 위한 클라우드 기능 가용성의 Microsoft Sentinel 표를 참조하세요.

데이터 커넥터를 사용하여 위협 인텔리전스 가져오기

위협 지표는 Microsoft Sentinel의 다른 모든 이벤트 데이터와 마찬가지로 데이터 커넥터를 사용하여 가져옵니다. 위협 지표를 위해 특별히 제공되는 Microsoft Sentinel의 데이터 커넥터는 다음과 같습니다.

  • Microsoft Defender 위협 인텔리전스 데이터 커넥터: Microsoft 위협 지표를 수집하는 데 사용됩니다.
  • Premium Defender 위협 인텔리전스 데이터 커넥터: Defender 위협 인텔리전스 프리미엄 인텔리전스 피드를 수집하는 데 사용됩니다.
  • 위협 인텔리전스 - TAXII: 업계 표준 STIX/TAXII 피드에 사용됩니다.
  • 위협 인텔리전스 업로드 지표 API: 연결에 REST API를 사용하여 통합 및 큐레이팅된 위협 인텔리전스 피드에 사용됩니다.
  • TIP(위협 인텔리전스 플랫폼) 데이터 커넥터: REST API를 사용하여 위협 인텔리전스 피드를 연결하는 데 사용되지만 사용 중단 경로에 있습니다.

조직에서 위협 지표를 제공하는 위치에 따라 이러한 데이터 커넥터를 조합하여 함께 사용합니다. 이러한 세 커넥터는 모두 위협 인텔리전스 솔루션의 일부로 콘텐츠 허브에서 사용할 수 있습니다. 이 솔루션에 대한 자세한 내용은 Azure Marketplace 항목 위협 인텔리전스를 참조하세요.

또한 Microsoft Sentinel과 함께 제공되는 위협 인텔리전스 통합의 이 카탈로그를 참조하세요.

Defender 위협 인텔리전스 데이터 커넥터를 사용하여 Microsoft Sentinel에 위협 지표 추가

Defender 위협 인텔리전스에서 생성된 공개, 오픈 소스 및 충실도 높은 IOC를 Defender 위협 인텔리전스 데이터 커넥터를 사용하여 Microsoft Sentinel 작업 영역으로 가져옵니다. 간단한 한 번의 클릭으로 설정하여 표준 및 프리미엄 Defender 위협 인텔리전스 데이터 커넥터의 위협 인텔리전스를 사용하여 모니터링, 경고 및 헌팅하세요.

자유롭게 사용할 수 있는 Defender 위협 인텔리전스 위협 분석 규칙은 프리미엄 Defender 위협 인텔리전스 데이터 커넥터가 제공하는 서비스의 샘플을 제공합니다. 그러나 일치하는 분석을 사용하면 규칙과 일치하는 지표만 사용자 환경에 수집됩니다. 프리미엄 Defender 위협 인텔리전스 데이터 커넥터는 프리미엄 위협 인텔리전스를 제공하며, 더 큰 유연성과 위협 인텔리전스에 대한 이해를 통해 더 많은 데이터 원본에 대한 분석을 가능하게 합니다. 프리미엄 Defender 위협 인텔리전스 데이터 커넥터 라이선스를 허여하고 사용하도록 설정할 때 예상되는 사항을 보여 주는 표는 다음과 같습니다.

Free 프리미엄
공용 IOC
OSINT(오픈 소스 인텔리전스)
Microsoft IOC
Microsoft 보강 OSINT

자세한 내용은 다음 문서를 참조하세요.

위협 인텔리전스 업로드 지표 API 데이터 커넥터를 사용하여 Microsoft Sentinel에 위협 지표 추가

많은 조직에서 TIP(위협 인텔리전스 플랫폼) 솔루션을 사용하여 다양한 원본에서 위협 지표 피드를 집계합니다. 집계된 피드에서 데이터는 네트워크 디바이스, EDR/XDR 솔루션 또는 SIEM(예: Microsoft Sentinel)과 같은 보안 솔루션에 적용하도록 큐레이팅됩니다. 위협 인텔리전스 업로드 표시기 API 데이터 커넥터를 사용하면 이러한 솔루션을 사용하여 위협 지표를 Microsoft Sentinel로 가져올 수 있습니다.

업로드 표시기 API 가져오기 경로를 보여 주는 다이어그램입니다.

이 데이터 커넥터는 새 API를 사용하며 다음과 같은 개선 사항을 제공합니다.

  • 위협 지표 필드는 STIX 표준화 형식을 기반으로 합니다.
  • Microsoft Entra 애플리케이션에는 Microsoft Sentinel 기여자 역할만 필요합니다.
  • API 요청 엔드포인트는 작업 영역 수준에서 범위가 지정됩니다. 필요한 Microsoft Entra 애플리케이션 사용 권한은 작업 영역 수준에서 세분화된 할당을 허용합니다.

자세한 내용은 업로드 표시기 API를 사용하여 위협 인텔리전스 플랫폼 연결을 참조하세요.

위협 인텔리전스 플랫폼 데이터 커넥터를 사용하여 Microsoft Sentinel에 위협 지표 추가

기존 업로드 표시기 API 데이터 커넥터와 마찬가지로 위협 인텔리전스 플랫폼 데이터 커넥터는 TIP 또는 사용자 지정 솔루션이 Microsoft Sentinel로 지표를 보낼 수 있도록 하는 API를 사용합니다. 그러나 이 데이터 커넥터는 이제 사용 중단 경로에 있습니다. 업로드 표시기 API에서 제공하는 최적화를 활용하는 것이 좋습니다.

TIP 데이터 커넥터는 Microsoft Graph Security tiIndicators API에서 작동합니다. 또한 tiIndicators API와 통신하는 사용자 지정 TIP와 함께 사용하여 Microsoft Sentinel(및 Defender XDR과 같은 다른 Microsoft 보안 솔루션)에 지표를 보낼 수도 있습니다.

위협 인텔리전스 가져오기 경로를 보여 주는 스크린샷입니다.

Microsoft Sentinel과 통합된 TIP 솔루션에 대한 자세한 내용은 통합 위협 인텔리전스 플랫폼 제품을 참조하세요. 자세한 내용은 Microsoft Sentinel에 위협 인텔리전스 플랫폼 연결을 참조하세요.

위협 인텔리전스 - TAXII 데이터 커넥터를 사용하여 Microsoft Sentinel에 위협 지표 추가

위협 인텔리전스 전송을 위한 가장 널리 채택된 업계 표준은 STIX 데이터 형식과 TAXII 프로토콜의 조합입니다. 조직이 현재 STIX/TAXII 버전(2.0 또는 2.1)을 지원하는 솔루션에서 위협 지표를 가져오는 경우 위협 인텔리전스 - TAXII 데이터 커넥터를 사용하여 Microsoft Sentinel로 위협 지표를 가져옵니다. 위협 인텔리전스 - TAXII 데이터 커넥터를 사용하면 Microsoft Sentinel에서 기본 제공 TAXII 클라이언트를 사용하여 TAXII 2.x 서버로부터 위협 인텔리전스를 가져올 수 있습니다.

TAXII 가져오기 경로를 보여 주는 스크린샷

TAXII 서버에서 Microsoft Sentinel로 STIX 형식의 위협 지표를 가져오려면:

  1. TAXII 서버 API 루트 및 컬렉션 ID를 가져옵니다.
  2. Microsoft Sentinel에서 위협 인텔리전스 - TAXII 데이터 커넥터를 사용하도록 설정합니다.

자세한 내용은 Microsoft Sentinel을 STIX/TAXII 위협 인텔리전스 피드에 연결을 참조하세요.

위협 지표 확인 및 관리

위협 인텔리전스 페이지에서 지표를 보고 관리합니다. Log Analytics 쿼리를 작성하지 않고도 가져온 위협 지표를 정렬, 필터링 및 검색합니다.

원본 및 패턴 조건이 선택된 고급 검색 인터페이스를 보여 주는 스크린샷입니다.

가장 일반적인 위협 인텔리전스 작업 중 두 가지는 지표 태그 지정과 보안 조사와 관련된 새로운 지표를 만드는 것입니다. 몇 가지만 빠르게 관리해야 하는 경우 위협 인텔리전스 페이지에서 직접 위협 지표를 만들거나 편집합니다.

위협 지표에 태그를 지정하면 지표를 함께 그룹화하여 손쉽게 찾을 수 있습니다. 일반적으로 특정 인시던트 관련 지표에 태그를 적용하거나 지표가 알려진 특정 행위자 또는 잘 알려진 공격 캠페인의 위협을 나타내는 경우 태그를 적용할 수 있습니다. 작업하려는 표시기를 검색한 후 개별적으로 태그를 지정할 수 있습니다. 표시기를 다중 선택하고 태그를 하나 이상 사용하여 한 번에 모두 태그를 지정합니다. 태그 지정은 자유 형식이므로 위협 지표 태그에 대한 표준 명명 규칙을 만드는 것이 좋습니다.

지표의 유효성을 검사하고 Microsoft Sentinel 사용 Log Analytics 작업 영역에서 성공적으로 가져온 위협 지표를 확인합니다. Microsoft Sentinel스키마 아래의 ThreatIntelligenceIndicator 테이블은 모든 Microsoft Sentinel 위협 지표가 저장되는 위치입니다. 이 테이블은 분석 및 통합 문서와 같은 다른 Microsoft Sentinel 기능에서 수행하는 위협 인텔리전스 쿼리의 기초입니다.

다음은 위협 지표에 대한 기본 쿼리의 예제 보기입니다.

ThreatIntelligenceIndicator 테이블의 샘플 쿼리가 있는 로그 페이지를 보여 주는 스크린샷입니다.

위협 인텔리전스 지표는 Log Analytics 작업 영역의 ThreatIntelligenceIndicator 테이블에 읽기 전용으로 수집됩니다. 지표가 업데이트될 때마다 ThreatIntelligenceIndicator 테이블에 새 항목이 만들어집니다. 위협 인텔리전스 페이지에는 최신 표시기만 표시됩니다. Microsoft Sentinel은 IndicatorIdSourceSystem 속성을 기반으로 지표의 중복을 제거하고 최신 TimeGenerated[UTC]을(를) 사용하여 지표를 선택합니다.

IndicatorId 속성은 STIX 표시기 ID를 사용하여 생성됩니다. 비 STIX 원본에서 표시기를 가져오거나 만들 때 IndicatorId이(가) 지표의 원본 및 패턴에 의해 생성됩니다.

위협 지표를 보고 관리하는 방법에 대한 자세한 내용은 Microsoft Sentinel에서 위협 지표로 작업을 참조하세요.

GeoLocation 및 WhoIs 데이터 보강 보기(공개 미리 보기)

Microsoft는 추가 GeoLocationWhoIs 데이터를 사용하여 IP 및 도메인 지표를 보강하여 선택한 IOC가 발견된 조사를 위한 더 많은 컨텍스트를 제공합니다.

Microsoft Sentinel로 가져온 이러한 유형의 위협 지표에 대한 위협 인텔리전스 창에서 GeoLocationWhoIs 데이터를 봅니다.

예를 들어 데이터를 사용하여 GeoLocation IP 지표에 대한 조직 또는 국가/지역과 같은 정보를 찾습니다. 도메인 지표에서 등록 기관, 레코드 생성 데이터와 같은 데이터를 찾으려면 WhoIs 데이터를 사용하세요.

위협 지표 분석을 사용하여 위협 탐지

Microsoft Sentinel과 같은 SIEM 솔루션에서 위협 지표의 가장 중요한 사용 사례는 위협 검색을 위한 분석 규칙을 강화하는 것입니다. 이러한 지표 기반 규칙은 데이터 원본의 원시 이벤트를 위협 지표와 비교하여 조직에서 보안 위협을 탐지합니다. Microsoft Sentinel 분석에서 일정에 따라 실행되고 보안 경고를 만드는 분석 규칙을 만듭니다. 규칙은 쿼리에 의해 작동됩니다. 구성과 함께 규칙이 실행되는 빈도, 보안 경고 및 인시던트를 생성해야 하는 쿼리 결과 종류, 필요에 따라 자동화된 응답을 트리거할 시점을 결정합니다.

항상 처음부터 새 분석 규칙을 만들 수 있지만 Microsoft Sentinel은 위협 지표를 활용하기 위해 Microsoft 보안 엔지니어가 만든 기본 제공 규칙 템플릿 세트를 제공합니다. 이러한 템플릿은 일치시키려는 위협 지표 유형(도메인, 이메일, 파일 해시, IP 주소 또는 URL) 및 데이터 원본 이벤트를 기반으로 합니다. 각 템플릿은 규칙이 작동하는 데 필요한 원본을 나열합니다. 이 정보를 사용하면 Microsoft Sentinel에서 필요한 이벤트를 이미 가져왔는지 쉽게 확인할 수 있습니다.

기본적으로 이러한 기본 제공 규칙이 트리거되면 경고가 생성됩니다. Microsoft Sentinel에서 분석 규칙에서 생성된 경고는 보안 인시던트도 생성합니다. Microsoft Sentinel 메뉴의 위협 관리에서 인시던트를 선택합니다. 인시던트는 보안 운영 팀이 적절한 대응 조치를 결정하기 위해 심사 및 조사하는 것입니다. 자세한 내용은 자습서: Microsoft Sentinel을 사용하여 인시던트 조사를 참조하세요.

분석 규칙에서 위협 지표를 사용하는 방법에 대한 자세한 내용은 위협 인텔리전스를 사용하여 위협 탐지를 참조하세요.

Microsoft는 Defender 위협 인텔리전스 분석 규칙을 통해 위협 인텔리전스에 대한 액세스를 제공합니다. 높은 충실도의 경고 및 인시던트를 생성하는 이 규칙을 이용하는 방법에 대한 자세한 내용은 일치 분석을 사용하여 위협 감지를 참조하세요.

Defender 위협 인텔리전스의 더 많은 컨텍스트 정보와 분석을 일치시켜 생성된 높은 충실도의 인시던트를 보여주는 스크린샷입니다.

통합 문서는 위협 인텔리전스에 대한 정보를 제공합니다.

Workbooks는 Microsoft Sentinel의 모든 측면에 대한 정보를 제공하는 강력한 대화형 대시보드를 제공하며, 위협 인텔리전스도 예외가 아닙니다. 기본 제공 위협 인텔리전스 통합 문서를 사용하여 위협 인텔리전스에 대한 주요 정보를 시각화합니다. 비즈니스 요구 사항에 따라 통합 문서를 쉽게 사용자 지정할 수 있습니다. 고유한 방식으로 데이터를 시각화하는 데 도움이 되는 많은 데이터 원본을 결합하여 새 대시보드를 만듭니다.

Microsoft Sentinel 통합 문서는 Azure Monitor 통합 문서를 기반으로 하므로 광범위한 설명서와 더 많은 템플릿을 이미 사용할 수 있습니다. 자세한 내용은 Azure Monitor 통합 문서를 사용하여 대화형 보고서 만들기를 참조하세요.

GitHub에는 Azure Monitor 통합 문서를 위한 풍부한 리소스도 있으며 여기서 더 많은 템플릿을 다운로드하고 고유의 템플릿을 기여할 수 있습니다.

위협 인텔리전스 통합 문서를 사용하고 사용자 지정하는 방법에 대한 자세한 내용은 Microsoft Sentinel에서 위협 지표로 작업을 참조하세요.

관련 콘텐츠

이 문서에서는 위협 인텔리전스 창을 포함하여 Microsoft Sentinel의 위협 인텔리전스 기능에 대해 알아보았습니다. Microsoft Sentinel 위협 인텔리전스 기능 사용에 대한 실질적인 지침은 다음 문서를 참조하세요.