Microsoft Azure Sentinel 규칙을 SIEM 인스턴스에 생성하기
목차:
SOC Prime 위협 탐지 마켓플레이스 은 Microsoft Azure Sentinel 탐지 6,000개 이상에 대한 액세스를 제공하며, 여기에는 쿼리, 규칙, 기능 및 MITRE ATT&CK에 직접 매핑된 Incident Response Playbooks가 포함됩니다® 조직별 요구 사항에 맞춥니다. 적용하여 가장 관련성 높은 탐지를 매끄럽게 찾을 수 있습니다 Microsoft 정렬 옵션을 사용하여 몇 번의 클릭만으로 Azure Sentinel 인스턴스에 콘텐츠를 배포할 수 있습니다.
기존 콘텐츠를 환경에 배포하고 자신만의 규칙을 생성하는 데 도움을 주기 위해 무료로 제공되는 다양한 SIEM, EDR 및 NTDR 솔루션의 온라인 교육 자료를 지속적으로 업데이트하고 있습니다. 사이버 라이브러리에서. 이 기사에서는 환경 내에서 위협을 감지하기 위한 Azure Sentinel 규칙 생성 프로세스를 설명합니다. 따르세요 이 링크 그리고 선택 규칙 탭을 선택하여 사이버 라이브러리 자격증명을 사용하여 Azure Sentinel 규칙 생성에 대한 보다 자세한 가이드를 확인하십시오.
Azure Sentinel 규칙은 두 가지 유형으로 생성할 수 있습니다:
- Microsoft 사건 규칙
- 예약된 쿼리 규칙
여기에서는 두 번째 유형의 Azure Sentinel 상관관계 규칙, 즉 예약된 쿼리 규칙에 중점을 둘 것입니다.
Azure Sentinel 규칙 생성: 시작하기
- 선택 분석 Azure Sentinel 인스턴스의 왼쪽 메뉴에서.
1. 선택 생성 > 예약된 쿼리 규칙, 그리고 Azure Sentinel 규칙 마법사가 열립니다.
Azure Sentinel 규칙을 생성하기 위한 분석 규칙 마법사는 다음 단계로 구성됩니다:
일반 설정
에서
규칙 논리 설정
- 일반 탭으로 이동하여 규칙 이름과 설명을 입력합니다. 목록에서 정의된 규칙 심각도를 선택합니다.
- 선택적으로, 규칙을 특정 MITRE ATT&CK
- 전술에 매핑할 수 있습니다. 여러 전술을 한 번에 선택할 수 있습니다.® 규칙 상태를 지정하세요. 기본적으로
- 활성화되어 있습니다. 5. 클릭
다음 으로 이동하여 규칙 논리 설정으로 이동합니다. 규칙 논리 설정
탭에서 규칙 논리를 정의하고 설정할 수 있습니다, 다음과 같은 규칙 설정을 구성합니다.
The 사건 설정 규칙 쿼리
경고 보강
이상 행동을 발견하거나 위협을 탐지하기 위해 실행될 쿼리입니다. 위 스크린샷에 표시된 쿼리는 Windows 내장 라이브러리 을 사용하여 호스트에서 프로세스를 덤프하려는 시도가 있을 때 경고를 트리거합니다. 을 사용하여 호스트에서 프로세스를 덤프하려는 시도가 있을 때 경고를 트리거합니다..
쿼리 예약
이 규칙 생성 설정은 다음 구성으로 구성됩니다:
- 엔터티 매핑
- 사용자 정의 상세
The 엔터티 매핑 섹션에서는 쿼리 결과에서 사용할 수 있는 필드에서 Azure Sentinel에 의해 인식되는 엔터티(예: 계정, 파일, 호스트, IP 등)를 최대 다섯 개까지 매핑할 수 있습니다. 이를 통해 Azure Sentinel은 이러한 필드의 데이터를 인식하고 분류하여 추가 분석할 수 있습니다.
The 사용자 정의 상세 섹션 에서는 해당 이벤트에서 생성된 알림에서 이벤트 데이터를 표시할 수 있습니다. 설정이 완료되면 이러한 설정을 통해 신속하고 효율적으로 사건을 조사, 조사 및 대응할 수 있습니다.
경고 임계값
신규 생성된 분석 규칙을 실행하기 위한 일정을 설정할 수 있습니다.
이벤트 그룹화
알림 임계값을 설정하면 생성된 규칙의 민감도 수준을 정의할 수 있습니다. 쿼리 결과가 일정 수의 결과를 반환하는 경우에만 알림을 생성할 수 있습니다.
억제
이 섹션에서는 규칙 쿼리 결과가 경고로 그룹화되는 방식을 설정할 수 있습니다.
규칙 쿼리는
경고가 생성된 후 특정 시간 동안 쿼리 실행을 중지할 수 있습니다. 즉, 규칙 쿼리는 ON을 켜면 규칙이 지정한 기간 동안(최대 24시간 동안) 일시적으로 비활성화됩니다.
클릭 으로 이동하여 규칙 논리 설정으로 이동합니다. 이동하여 자동화 응답 탭으로 이동합니다.
결과 시뮬레이션
The 결과 시뮬레이션 섹션은 Azure Sentinel 사용자가 개발 단계에서 규칙을 테스트할 수 있도록 도와줍니다.
자동화 응답
이 탭에서는 Azure Sentinel이 경고를 처리하는 방식을 정의할 수 있습니다. 탭에는 다음 구성이 포함됩니다.
- 자동화 응답
- 알림 그룹화
경고로부터 사건 생성을 비활성화하거나 경고 그룹으로부터 단일 사건을 생성할 수 있습니다.
자동화 응답
이 설정은 기본적으로 활성화되어 있습니다. 활성화되면 이 규칙에 의해 트리거된 각 Azure Sentinel 경고로부터 별도의 사건이 생성됩니다. 필요할 경우 비활성화됨 으로 전환할 수 있습니다.
알림 그룹화
활성화되면 정의된 기준에 따라 Azure Sentinel 알림 그룹으로부터 단일 사건이 생성됩니다. 기본적으로 이 설정은 비활성화되어 있습니다.
이 외에도 이하 설정이 있습니다:
- 선택된 시간 내에 생성된 경고로 그룹 제한
- 이 분석 규칙으로 트리거된 경고를 하나의 사건으로 그룹화
- 일치하는 닫힌 사건 다시 열기
클릭 으로 이동하여 규칙 논리 설정으로 이동합니다. 이동하여 검토 및 생성 탭으로 이동합니다.
검토 및 생성
여기에서는 Azure Sentinel 분석 규칙에서 생성된 알림이 있을 때 자동으로 실행되는 플레이북을 선택할 수 있습니다. 선택한 구독 및 권한이 있는 플레이북만 표시됩니다.
클릭 으로 이동하여 규칙 논리 설정으로 이동합니다. 다음으로 이동합니다 이러한 각 단계는 Azure Sentinel 규칙 마법사의 별도 탭입니다. 탭으로 이동합니다.
이러한 각 단계는 Azure Sentinel 규칙 마법사의 별도 탭입니다.
이 Azure Sentinel 규칙 생성 프로세스의 마지막 단계입니다. 이러한 각 단계는 Azure Sentinel 규칙 마법사의 별도 탭입니다. 탭에서는 신규 생성된 분석 규칙 요약을 보여줍니다. 또한 이 단계에서는 신규 생성된 규칙이 유효성을 검사합니다. 탭 상단에 유효성 검사 통과 메시지가 표시되면 규칙이 제대로 생성되었으며 배포 가능한 상태임을 의미합니다.
선택하십시오 생성 버튼을 눌러 구성 설정을 완료하고 새 분석 규칙을 추가합니다.
새로 추가된 규칙을 활성 규칙 탭 아래의 테이블에서 볼 수 있습니다. 나중에 이 규칙을 편집, 비활성화, 삭제 또는 복제하려면 분석 스크린에서 위로 이동합니다. 추가 ( … ) 버튼을 눌러 편집할 수 있습니다.
이제 Azure Sentinel 규칙을 만들어 위협이나 의심스러운 활동을 탐지할 준비가 되었습니다.
탐색하기 위협 탐지 마켓플레이스 에서 Microsoft Azure Sentinel 환경에 맞춤화된 SOC 콘텐츠들의 광범위한 컬렉션을 찾을 수 있으며, 여기에는 6,000개 이상의 SIEM 네이티브 규칙과 쿼리가 포함되어 있습니다. of SOC content tailored to your Microsoft Azure Sentinel environment, including 6,000+ SIEM-native Rules and Queries. 위협 탐색 전문성을 향상시킬 준비가 되었습니까? 다음에 가입하십시오 사이버 라이브러리 여기서 SIEM 기술을 연마하고, 위협 탐색에 대한 안내서를 탐구하며, 심층적인 사이버 보안 웹 세미나를 시청할 수 있습니다.
