인시던트 증거 및 엔터티
Microsoft Sentinel은 보안 정보의 다양한 소스를 사용하여 인시던트를 만듭니다. 여러분은 Microsoft Sentinel의 인시던트 관리를 최대한 활용하려면 이러한 원본을 이해해야 합니다.
인시던트 증거
인시던트 증거는 Microsoft Sentinel 환경에서 위협을 파악하는 보안 이벤트 정보 및 관련 Microsoft Sentinel 자산으로 구성됩니다. 증거는 Microsoft Sentinel이 위협을 식별한 방법을 보여주고 인시던트 세부 정보에 대한 인식을 높일 수 있는 특정 리소스로 다시 연결됩니다.
이벤트
이벤트는 Microsoft Sentinel과 연결된 Log Analytics 작업 영역에 있는 하나 이상의 특정 이벤트에 다시 연결합니다. 일반적으로 이러한 작업 영역에는 너무 많아서 수동으로 구문 분석할 수 없는 수천 개의 이벤트가 자체적으로 포함되어 있습니다.
Microsoft Sentinel 분석 규칙에 연결된 쿼리가 이벤트를 반환하는 경우 이벤트는 가능한 추가 검토를 위해 생성된 인시던트에 연결됩니다. 추가로 조사하기 전에 이러한 이벤트를 사용하여 인시던트의 범위와 빈도를 이해할 수 있습니다.
경고
대부분의 인시던트는 분석 규칙 경고로 인해 생성됩니다. 경고의 예는 다음과 같습니다.
- 의심스러운 파일 탐지.
- 의심스러운 사용자 활동 탐지.
- 권한 상승 시도.
분석 규칙은 KQL(Kusto 쿼리 언어) 쿼리를 기반으로 경고를 생성하거나 클라우드용 Microsoft Defender 또는 Microsoft Defender XDR과 같은 Microsoft Security 솔루션에 대한 직접 연결을 기반으로 경고를 생성합니다. 경고 그룹화를 사용하도록 설정하면 인시던트에 대한 관련 경고 증거가 Microsoft Sentinel에 포함됩니다.
책갈피
인시던트를 조사하는 동안 추적하거나 나중에 조사하도록 표시하려는 이벤트를 파악할 수 있습니다. 하나 이상의 이벤트를 선택하고 책갈피로 지정하여 Log Analytics에서 실행된 쿼리를 보존할 수 있습니다. 향후 위협 헌팅 프로세스를 더 잘 알리기 위해 메모 및 태그를 기록할 수도 있습니다. 책갈피는 여러분과 팀 동료가 사용할 수 있습니다.
인시던트 엔터티
인시던트 엔터티는 이벤트와 관련된 네트워크 또는 사용자 리소스를 가리킵니다. 엔터티를 진입점으로 사용하여 해당 엔터티와 연결된 모든 경고 및 상관 관계를 살펴볼 수 있습니다.
엔터티 관계는 인시던트를 조사할 때 유용합니다. ID 경고, 네트워크 경고 및 데이터 액세스 경고를 개별적으로 분석하는 대신 엔터티를 사용하여 환경에서 특정 사용자, 호스트 또는 주소와 연결된 경고를 관찰할 수 있습니다.
엔터티 형식에는 다음이 포함됩니다.
- 계정
- 호스트
- IP
- URL
- FileHash
예를 들어 엔터티는 Contoso, 사용자의 호스트 머신 및 사용자가 연결된 다른 호스트의 특정 사용자와 연결된 모든 경고를 파악하는 데 도움이 됩니다. 해당 사용자와 연결된 IP 주소를 확인하여 동일한 공격의 일부일 수 있는 이벤트와 경고를 파악할 수 있습니다.