다음을 통해 공유

Microsoft Sentinel 데이터를 포함하는 고급 헌팅 결과 작업

  • 아티클
  • 적용 대상:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

결과 살펴보기

Microsoft Defender 포털에서 결과 행을 확장하는 옵션이 있는 고급 헌팅 결과 스크린샷

다음 기능을 사용하여 결과를 인라인으로 탐색할 수도 있습니다.

  • 각 결과의 왼쪽에 있는 드롭다운 화살표를 선택하여 결과를 확장합니다.
  • 해당하는 경우 추가 가독성을 위해 해당 결과 행의 왼쪽에 있는 드롭다운 화살표를 선택하여 JSON 또는 배열 형식의 결과에 대한 세부 정보를 확장합니다.
  • 측면 창을 열어 레코드의 세부 정보(확장된 행과 동시에)를 확인합니다.

행의 결과 값을 마우스 오른쪽 단추로 클릭하여 다음 작업을 수행할 수도 있습니다.

  • 기존 쿼리에 더 많은 필터 추가
  • 추가 조사에서 사용할 값 복사
  • 쿼리를 업데이트하여 JSON 필드를 새 열로 확장

Microsoft Defender XDR 데이터의 경우 각 결과 행의 왼쪽에 있는 확인란을 선택하여 추가 작업을 수행할 수 있습니다. 인 시던트에 연결을 선택하여 선택한 결과를 인시던트에 연결하거나(인시던트에 쿼리 결과 연결 읽기) 작업을 수행 하여 작업 수행 마법사를 엽니다( 고급 헌팅 쿼리 결과에 대한 작업 수행 읽기).

인시던트 기능에 대한 링크를 사용하여 조사 중인 새 인시던트 또는 기존 인시던트에 고급 헌팅 쿼리 결과를 추가할 수 있습니다. 이 기능을 사용하면 고급 헌팅 활동에서 레코드를 쉽게 캡처할 수 있으므로 인시던트에 대한 보다 풍부한 타임라인 또는 이벤트의 컨텍스트를 만들 수 있습니다.

  1. 고급 헌팅 쿼리 창에서 제공된 쿼리 필드에 쿼리를 입력한 다음 쿼리 실행을 선택하여 결과를 가져옵니다. Microsoft Defender 포털의 고급 헌팅 페이지 스크린샷

  2. 결과 페이지에서 작업 중인 새 조사 또는 현재 조사와 관련된 이벤트 또는 레코드를 선택한 다음 인시 던트에 연결을 선택합니다. Microsoft Defender 포털의 고급 헌팅에서 인시던트 기능에 대한 링크 스크린샷

  3. 인시던트에 연결 창의 경고 세부 정보 섹션에서 새 인시 던트 만들기를 선택하여 이벤트를 경고로 변환하고 새 인시던트로 그룹화합니다.

    기존 인시던트에 연결을 선택하여 선택한 레코드를 기존 인시던트에 추가할 수도 있습니다. 기존 인시던트 드롭다운 목록에서 관련 인시던트 를 선택합니다. 인시던트 이름 또는 ID의 처음 몇 문자를 입력하여 원하는 인시던트도 찾을 수 있습니다.
    Microsoft Defender 포털의 저장된 쿼리에서 사용할 수 있는 옵션의 스크린샷

  4. 두 선택 항목 중 하나에 대해 다음 세부 정보를 입력한 다음 , 다음을 선택합니다.

    • 경고 제목 – 인시던트 응답자가 이해할 수 있는 결과에 대한 설명 제목입니다. 이 설명이 포함된 타이틀은 경고 제목이 됩니다.
    • 심각도 – 경고 그룹에 적용할 수 있는 심각도 선택
    • 범주 – 경고에 적합한 위협 범주 선택
    • 설명 – 그룹화된 경고에 대한 유용한 설명 제공
    • 권장 작업 – 인시던트 조사 중인 보안 분석가에 대한 권장 수정 작업 나열

  5. 엔터티 섹션에서 의심스러운 이벤트에 관련된 엔터티를 선택합니다. 이러한 엔터티는 다른 경고를 연결된 인시던트와 상호 연결하는 데 사용되며 인시던트 페이지에서 볼 수 있습니다.

    Microsoft Defender XDR 데이터의 경우 엔터티가 자동으로 선택됩니다. 데이터가 Microsoft Sentinel 경우 엔터티를 수동으로 선택해야 합니다.

    엔터티를 선택할 수 있는 두 섹션이 있습니다.

    a. 영향을 받은 자산 – 선택한 이벤트에 표시되는 영향을 받은 자산은 여기에 추가해야 합니다. 다음 유형의 자산을 추가할 수 있습니다.

    • Account
    • 디바이스
    • 메일함
    • 클라우드 애플리케이션
    • Azure 리소스
    • Amazon Web Services 리소스
    • Google Cloud Platform 리소스

    b. 관련 증거 – 선택한 이벤트에 표시되는 비자산을 이 섹션에서 추가할 수 있습니다. 지원되는 엔터티 형식은 다음과 같습니다.

    • 프로세스
    • File
    • 레지스트리 값
    • IP
    • OAuth 애플리케이션
    • DNS
    • 보안 그룹
    • URL
    • 메일 클러스터
    • 메일 메시지

참고

XDR 데이터만 포함하는 쿼리의 경우 XDR 테이블에서 사용할 수 있는 엔터티 형식만 표시됩니다.

  1. 엔터티 형식을 선택한 후 이 엔터티를 식별하는 데 사용할 수 있도록 선택한 레코드에 있는 식별자 형식을 선택합니다. 각 엔터티 형식에는 관련 드롭다운에서 볼 수 있듯이 지원되는 식별자 목록이 있습니다. 각 식별자를 마우스로 가리키면 표시되는 설명을 읽어 더 잘 이해할 수 있습니다.

  2. 식별자를 선택한 후 선택한 식별자를 포함하는 쿼리 결과에서 열을 선택합니다. 쿼리 및 결과 탐색을 선택하여 고급 헌팅 컨텍스트 패널을 열 수 있습니다. 이렇게 하면 쿼리 및 결과를 탐색하여 선택한 식별자에 적합한 열을 선택했는지 확인할 수 있습니다.
    Microsoft Defender 포털의 인시던트 마법사 엔터티 분기에 대한 링크 스크린샷
    이 예제에서는 쿼리를 사용하여 가능한 전자 메일 반출 인시던트와 관련된 이벤트를 찾았으므로 받는 사람의 사서함과 받는 사람의 계정이 영향을 받는 엔터티이며 보낸 사람의 IP와 전자 메일 메시지는 관련 증거입니다.

    Microsoft Defender 포털의 인시던트 마법사 전체 엔터티 분기에 대한 링크 스크린샷

    영향을 받은 엔터티의 고유한 조합을 사용하여 각 레코드에 대해 다른 경고가 생성됩니다. 이 예제에서 받는 사람 사서함과 받는 사람 개체 ID 조합이 세 개 있는 경우 instance 대해 3개의 경고가 생성되고 선택한 인시던트에 연결됩니다.

  3. 다음을 선택합니다.

  4. 요약 섹션에서 제공한 세부 정보를 검토합니다.

  5. 완료를 선택합니다.

인시던트에서 연결된 레코드 보기

마법사의 요약 단계에서 생성된 링크를 선택하거나 인시던트 큐에서 인시던트 이름을 선택하여 이벤트가 연결된 인시던트 보기를 수행할 수 있습니다.

Microsoft Defender 포털의 인시던트 연결 마법사에 있는 요약 단계의 스크린샷

이 예제에서는 선택한 세 개의 이벤트를 나타내는 세 가지 경고가 새 인시던트에 성공적으로 연결되었습니다. 각 경고 페이지에서 이벤트 또는 이벤트에 대한 전체 정보는 타임라인 보기(사용 가능한 경우) 및 쿼리 결과 보기에서 찾을 수 있습니다.

타임라인 보기 또는 쿼리 결과 보기에서 이벤트를 선택하여 레코드 검사 창을 열 수도 있습니다.

Microsoft Defender 포털의 인시던트 페이지 스크린샷

고급 헌팅을 사용하여 추가된 이벤트에 대한 필터

수동 검색 원본을 통해 인시던트 및 경고를 필터링하여 고급 헌팅에서 생성된 경고를 볼 수 있습니다.

Microsoft Defender 포털의 고급 헌팅에서 필터 드롭다운 스크린샷