다음을 통해 공유

Microsoft Sentinel 함수, 저장된 쿼리 및 사용자 지정 규칙 사용

  • 아티클
  • 적용 대상:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

함수 사용

Microsoft Sentinel 함수를 사용하려면 함수 탭으로 이동하여 원하는 함수를 찾을 때까지 스크롤합니다. 함수 이름을 두 번 클릭하여 쿼리 편집기에서 함수를 삽입합니다.

함수 오른쪽에 있는 세로 타원( kebab 아이콘 )을 선택하고 쿼리할 삽입을 선택하여 쿼리 편집기의 쿼리에 함수를 삽입할 수도 있습니다.

다른 옵션은 다음과 같습니다.

  • 세부 정보 보기 – 해당 세부 정보가 포함된 함수 쪽 창이 열립니다.
  • 함수 코드 로드 – 함수 코드가 포함된 새 탭을 엽니다.

편집 가능한 함수의 경우 세로 타원을 선택할 때 더 많은 옵션을 사용할 수 있습니다.

  • 세부 정보 편집 – 함수에 대한 세부 정보를 편집할 수 있도록 함수 쪽 창을 엽니다(Sentinel 함수의 폴더 이름 제외).
  • Delete – 함수를 삭제합니다.

Azure Data Explorer 쿼리에 adx() 연산자 사용(미리 보기)

연산자를 adx() 사용하여 Azure Data Explorer 저장된 테이블을 쿼리합니다. 자세한 내용은 Azure Data Explorer?을 참조하세요.

이 기능은 이전에 Microsoft Sentinel 로그 분석에서만 사용할 수 있었습니다. 이제 사용자는 Microsoft Sentinel 창을 수동으로 열지 않고도 통합 Microsoft Defender 포털의 고급 헌팅에서 연산자를 사용할 수 있습니다.

쿼리 편집기에서 다음 형식으로 쿼리를 입력합니다.

adx('<Cluster URI>/<Database Name>').<Table Name>

예를 들어 특정 URI에 저장된 테이블에서 처음 10개 행의 데이터를 StormEvents 얻으려면 다음을 수행합니다.

고급 헌팅의 adx 연산자의 스크린샷

Azure Resource Graph 쿼리에 arg() 연산자 사용

운영자는 arg() 구독, 가상 머신, CPU, 스토리지 등과 같은 배포된 Azure 리소스에서 쿼리하는 데 사용할 수 있습니다.

이 기능은 이전에 Microsoft Sentinel 로그 분석에서만 사용할 수 있었습니다. Microsoft Defender 포털에서 연산자는 arg() Microsoft Sentinel 데이터(즉, Defender XDR 테이블이 지원되지 않음)를 통해 작동합니다. 이를 통해 사용자는 Microsoft Sentinel 창을 수동으로 열지 않고도 고급 헌팅에서 연산자를 사용할 수 있습니다.

연산자를 사용하는 쿼리는 arg() 처음 1,000개의 레코드만 반환합니다. 자세한 내용은 arg()를 사용하여 Azure Resource Graph 데이터 쿼리를 참조하세요.

쿼리 편집기에서 arg("")를 입력합니다. 다음에 Azure Resource Graph 테이블 이름이 잇습니다.

예시:

고급 헌팅의 인수 연산자의 스크린샷

instance Azure Resource Graph 쿼리의 결과에 따라 Microsoft Sentinel 데이터를 검색하는 쿼리를 필터링할 수도 있습니다.

arg("").Resources 
| where type == "microsoft.compute/virtualmachines" and properties.hardwareProfile.vmSize startswith "Standard_D"
| join (
    Heartbeat
    | where TimeGenerated > ago(1d)
    | distinct Computer
    )
    on $left.name == $right.Computer

저장된 쿼리 사용

Microsoft Sentinel 저장된 쿼리를 사용하려면 쿼리 탭으로 이동하여 원하는 쿼리를 찾을 때까지 스크롤합니다. 쿼리 이름을 두 번 클릭하여 쿼리 편집기에서 쿼리를 로드합니다. 추가 옵션을 보려면 쿼리 오른쪽에 있는 세로 타원( kebab 아이콘 )을 선택합니다. 여기에서 다음 작업을 수행할 수 있습니다.

  • 쿼리 실행 – 쿼리 편집기에서 쿼리를 로드하고 자동으로 실행합니다.

  • 쿼리 편집기에서 열기 – 쿼리 편집기에서 쿼리를 로드합니다.

  • 세부 정보 보기 – 쿼리를 검사하거나 쿼리를 실행하거나 편집기에서 쿼리를 열 수 있는 쿼리 세부 정보 쪽 창을 엽니다.

    Microsoft Defender 포털의 저장된 쿼리에서 사용할 수 있는 옵션의 스크린샷

편집 가능한 쿼리의 경우 더 많은 옵션을 사용할 수 있습니다.

  • 세부 정보 편집 – 설명(해당하는 경우) 및 쿼리 자체와 같은 세부 정보를 편집하는 옵션이 있는 쿼리 세부 정보 쪽 창을 엽니다. Microsoft Sentinel 쿼리의 폴더 이름(위치)만 편집할 수 없습니다.
  • Delete – 쿼리를 삭제합니다.
  • 이름 바꾸기 – 쿼리 이름을 수정할 수 있습니다.

사용자 지정 분석 및 검색 규칙 만들기

사용자 환경에서 위협 및 비정상적인 동작을 검색하는 데 도움이 되도록 사용자 지정 검색 정책을 만들 수 있습니다.

연결된 Microsoft Sentinel 작업 영역을 통해 수집된 데이터에 적용되는 분석 규칙의 경우 규칙 관리 분석 규칙 > 만들기를 선택합니다.

Microsoft Defender 포털에서 사용자 지정 분석 또는 검색을 만드는 옵션의 스크린샷

분석 규칙 마법사가 나타납니다. 분석 규칙 마법사- 일반 탭에 설명된 대로 필요한 세부 정보를 입력합니다.

Microsoft Sentinel 테이블과 Defender XDR 테이블 모두에서 데이터를 쿼리하는 사용자 지정 검색 규칙을 만들 수도 있습니다. 규칙 > 관리 사용자 지정 검색 만들기를 선택합니다. 자세한 내용은 사용자 지정 검색 규칙 만들기 및 관리를 참조하세요.

Defender XDR 데이터가 Microsoft Sentinel 수집되는 경우 사용자 지정 검색 만들기분석 규칙 만들기 중에서 선택할 수 있습니다.