인시던트 관리

  • 5분

Microsoft Sentinel을 사용하여 인시던트가 생성되기 시작하면 여러분과 Contoso IT 팀이 생성된 인시던트를 조사할 수 있습니다. Microsoft Sentinel에는 정보를 수집하고 수정 단계를 확인하는 데 사용할 수 있는 고급 조사 및 분석 도구가 있습니다.

인시던트 검토

보안 문제를 파악하고 해결하려면 먼저 인시던트를 조사해야 합니다. Microsoft Sentinel 개요 페이지는 빠른 참조를 위해 최신 인시던트의 목록을 제공합니다. 인시던트에 대한 자세한 내용 및 전체 개요를 보려면 인시던트 페이지를 참조합니다. 이 페이지에는 현재 작업 영역에 있는 모든 인시던트 및 해당 인시던트에 대한 세부 정보가 표시됩니다.

인시던트 페이지는 Microsoft Sentinel의 전체 인시던트 목록을 제공합니다. 또한 기본 인시던트 정보도 제공됩니다. 이 정보에는 심각도, ID, 제목, 경고, 제품 이름, 만든 시간, 마지막 업데이트 시간, 소유자 및 상태가 포함됩니다. 인시던트 열을 기준으로 정렬하고 이름, 심각도, 상태, 제품 이름 또는 소유자별로 인시던트 목록을 필터링할 수 있습니다.

Microsoft Sentinel 인시던트 목록의 스크린샷.

이 페이지에서 다양한 단계를 수행하여 인시던트를 조사할 수 있습니다.

Important

인시던트를 조사하는 Microsoft Entra 사용자는 디렉터리 읽기 권한자 역할의 멤버여야 합니다.

인시던트 세부 정보 검토

인시던트 페이지에서 인시던트를 선택하여 오른쪽 창에 인시던트에 대한 자세한 정보를 표시합니다. 이 창에는 인시던트에 대한 설명이 제공되고 관련 증거, 엔터티 및 전술이 나열됩니다. 또한 관련된 통합 문서에 대한 링크와 인시던트를 생성한 분석 규칙이 포함되어 있습니다. 이 정보는 인시던트에 대한 특성, 컨텍스트 및 작업 과정을 명확하게 파악하는 데 도움이 됩니다.

인시던트 세부 정보 창의 스크린샷.

인시던트 세부 정보 창에서 전체 세부 정보 보기를 선택하여 인시던트 페이지를 열고 인시던트에 대한 자세한 내용을 확인합니다. 이러한 모든 세부 정보를 사용하여 인시던트의 컨텍스트를 더 잘 이해할 수 있습니다. 예를 들어 무차별 암호 대입 공격(brute force attack) 인시던트에서는 경고에 대한 Log Analytics 쿼리로 이동하여 공격 횟수를 확인할 수도 있습니다.

인시던트 소유권, 상태 및 심각도 관리

Microsoft Sentinel에서 만드는 각 인시던트에는 사용자가 보고 관리할 수 있는 연결된 메타데이터가 있습니다. 이 정보를 통해 다음을 수행할 수 있습니다.

  • 인시던트 소유권을 할당하고 추적합니다.
  • 생성부터 해결까지 인시던트 상태 설정 및 추적
  • 심각도 설정 및 검토

소유권, 상태 및 심각도를 할당할 수 있는 인시던트 페이지의 섹션을 표시하는 스크린샷

소유권

일반적인 환경에서는 각 인시던트에 보안 팀의 소유자가 할당되어야 합니다. 인시던트 소유자는 조사 및 상태 업데이트를 포함하여 전반적인 인시던트 관리를 담당합니다. 추가 조사 또는 에스컬레이션을 위해 언제든지 소유권을 변경하여 다른 보안 팀 멤버에게 인시던트를 할당할 수 있습니다.

상태

Microsoft Sentinel에서 생성되는 모든 새 인시던트에는 신규 상태가 할당됩니다. 인시던트를 검토하고 대응할 때 인시던트의 현재 상태를 반영하도록 상태를 수동으로 변경할 수 있습니다. 조사 중인 인시던트의 경우 상태를 활성으로 설정합니다. 인시던트가 완전히 해결된 경우 상태를 종료됨으로 설정합니다.

상태를 종결됨으로 설정하면 다음 해결 방법 중 하나를 선택하라는 메시지가 표시됩니다.

  • 진양성 - 의심스러운 활동
  • 무해한 양성 - 의심스럽지만 예상됨
  • 가양성 - 잘못된 경고 논리
  • 가양성 - 부정확한 데이터
  • 결정되지 않음

심각도

인시던트를 생성한 규칙 또는 Microsoft 보안 소스가 처음에 심각도를 설정합니다. 대부분의 경우 인시던트 심각도는 변경되지 않은 상태로 유지되지만, 인시던트가 처음 분류된 것보다 더 또는 덜 심각하다고 판단되는 경우에는 심각도를 변경할 수 있습니다. 심각도 옵션에는 정보 제공, 낮음, 중간, 높음이 있습니다.

조사 그래프 사용

인시던트 페이지에서 조사를 선택하여 인시던트를 추가로 조사할 수 있습니다. 이 작업을 수행하면 공격과 관련된 엔터티와 해당 엔터티 간의 관계를 파악하는 데 도움이 되는 시각적 도구인 조사 그래프가 열립니다. 시간이 지나면서 여러 경고가 인시던트에 포함되는 경우 경고 간의 상관 관계와 경고 타임라인을 검토할 수도 있습니다.

조사 그래프 페이지를 보여 주는 스크린샷

엔터티 세부 정보 검토하기

그래프에서 각 엔터티를 선택하여 엔터티에 대한 자세한 정보를 확인할 수 있습니다. 이 정보에는 다른 엔터티, 계정 사용 및 데이터 흐름 정보에 대한 관계가 포함됩니다. 각 정보 영역에 대해 Log Analytics의 관련 이벤트로 이동하여 관련 경고 데이터를 그래프에 추가할 수 있습니다.

인시던트 세부 정보 검토

그래프에서 인시던트 항목을 선택하여 인시던트의 보안 및 환경 컨텍스트와 관련된 인시던트 메타데이터를 확인할 수 있습니다.

지식 점검

1.

인시던트를 다음 계층 보안 팀으로 에스컬레이션하려면 어떤 인시던트 매개 변수를 변경해야 하나요?

2.

인시던트 리소스 간의 관계 및 타임라인을 볼 수 있는 Microsoft Sentinel 인터페이스는 무엇입니까?