학습 경로 7 - 랩 1 - 연습 1 - Microsoft Sentinel 환경 구성
랩 시나리오
당신은 Microsoft Sentinel을 구현한 회사에서 근무하는 보안 운영 분석가입니다. 비용을 최소화하고 규정 준수 규정을 충족하며 보안 팀이 일상적인 업무 책임을 수행할 수 있도록 가장 관리 가능한 환경을 제공하기 위해 회사의 요구 사항을 충족하는 Microsoft Sentinel 환경을 설정할 책임이 있습니다.
중요: 학습 경로 #7에 대한 랩 연습은 독립 실행형 환경에 있습니다. 완료하기 전에 랩을 종료하면 구성을 다시 실행해야 합니다.
이 랩의 예상 완료 시간은 30분입니다.
작업 1: Log Analytics 작업 영역 만들기
지역 옵션을 포함하는 Log Analytics 작업 영역을 만듭니다. Microsoft Sentinel 온보딩에 대해 자세히 알아봅니다.
-
WIN1 가상 머신에 Admin으로 로그인합니다. 암호로는 Pa55w.rd를 사용하여 로그인합니다.
-
Microsoft Edge 브라우저에서 https://portal.azure.com의 Azure Portal로 이동합니다.
-
랩 호스팅 공급자가 제공한 관리자 사용자 이름용 테넌트 전자 메일 계정을 복사하여 로그인 대화 상자에 붙여 넣은 후 다음을 선택합니다.
-
랩 호스팅 공급자가 제공한 관리자의 테넌트 암호를 복사하여 암호 입력 대화 상자에 붙여 넣은 후 로그인을 선택합니다.
-
Azure Portal의 검색 창에 “Microsoft Sentinel”을 입력하고 다음을 선택합니다.
-
+ 만들기를 선택합니다.
-
새 작업 영역 만들기를 선택합니다.
-
리소스 그룹의 새로 만들기를 선택합니다.
-
RG-Defender를 입력하고 확인을 선택합니다.
-
이름에 defenderWorkspace를 입력합니다.
-
작업 영역에 대한 기본 지역을 그대로 둘 수 있습니다.
-
검토 + 만들기를 선택하여 새 작업 영역의 유효성을 검사합니다.
-
만들기를 선택하여 작업 영역을 배포합니다.
작업 2 - 작업 영역에 Microsoft Sentinel 배포
작업 영역에 Microsoft Sentinel을 배포합니다.
-
작업 영역 배포가 완료되면 Microsoft Azure “이동 경로” 메뉴에서 홈을 선택합니다.
-
포털의 Azure 서비스 섹션에 Microsoft Sentinel 타일이 표시되어야 합니다. 이 폴더를 선택합니다.
-
메뉴 항목에서 + 만들기를 선택합니다.
-
작업 1에서 만든 defenderWorkspace를 선택하세요.
-
추가를 선택합니다.
작업 3 - 데이터 보존 구성
-
Microsoft Azure “이동 경로” 메뉴에서 홈을 선택합니다.
-
Azure Portal의 검색 창에 “Log Analytics”를 입력하고 서비스 섹션에서 Log Analytics 작업 영역을 선택하세요.
-
작업 1에서 만든 defenderWorkspace를 선택하세요.
-
탐색 메뉴에서 설정 섹션을 확장하고 사용량 및 예상 비용을 선택합니다.
-
메뉴 항목에서 데이터 보존을 선택합니다.
-
데이터 보존 기간을 180일로 변경합니다.
-
확인을 선택합니다.
작업 4: 관심 목록 만들기
이 작업에서는 Microsoft Sentinel에서 관심 목록을 만듭니다.
-
Windows 10 화면 아래쪽의 검색 상자에 메모장를 입력합니다. 결과에서 메모장을 선택합니다.
-
Hostname을 입력하고 Enter 키를 눌러 새 줄을 시작합니다.
-
메모장의 행 2에서 다음 호스트 이름을 각각 다른 줄에 복사합니다.
Host1 Host2 Host3 Host4 Host5 -
메뉴에서 파일 - 다른 이름으로 저장을 선택하고, 파일 이름을 HighValue.csv로 지정하고, 파일 형식을 모든 파일(.) 로 변경하고, 저장을 선택합니다. 힌트: 파일은 Documents 폴더에 저장할 수 있습니다.
-
메모장을 닫습니다.
-
Microsoft Azure “이동 경로” 메뉴에서 홈을 선택합니다.
-
포털의 Azure 서비스 섹션에 Microsoft Sentinel 타일이 표시되어야 합니다. 이 폴더를 선택합니다.
-
defenderWorkspace Microsoft Sentinel 작업 영역을 선택합니다.
-
Microsoft Sentinel의 구성 영역에서 관심 목록 옵션을 선택합니다.
-
명령 모음에서 + 새로 만들기를 선택합니다.
-
관심 목록 마법사에 다음 정보를 입력합니다.
일반 설정 값 속성 HighValueHosts 설명 중요 호스트 관심 목록 별칭 HighValueHosts -
다음: 원본 > 을 선택합니다.
-
파일 업로드에서 파일 찾아보기를 선택하고 만든 HighValue.csv 파일을 찾 습니다.
-
SearchKey 필드에서 호스트 이름을 선택합니다.
-
다음: 검토 및 만들기 > 를 선택합니다.
-
입력한 설정을 검토하고 만들기를 선택합니다.
-
화면에 관심 목록 페이지가 다시 표시됩니다.
-
메뉴에서 새로 고침을 선택하면 새 관심 목록을 볼 수 있습니다.
-
HighValueHosts 관심 목록을 선택하고 오른쪽 창에서 로그에서 보기를 선택합니다.
중요: 관심 목록이 표시되는 데 최대 10분이 걸릴 수 있습니다. 다음 작업을 계속 진행하고 다음 랩에서 이 명령을 실행하세요.
참고: 이제 KQL 문에서 _GetWatchlist(‘HighValueHosts’)를 사용하여 목록에 액세스할 수 있습니다. 참조할 열은 호스트 이름입니다.
-
오른쪽 위에 있는 ‘x’를 선택하여 로그 창을 닫고 확인을 선택하여 저장되지 않은 편집 내용을 삭제합니다.**
작업 5: 위협 지표 만들기
이 작업에서는 Microsoft Sentinel에서 표시기를 만듭니다.
-
Microsoft Sentinel의 위협 관리 영역에서 위협 인텔리전스 옵션을 선택합니다.
-
명령 모음에서 + 새로 추가를 선택합니다.
-
TI 개체를 선택합니다.
-
개체 유형 드롭다운에서 표시기를 선택합니다.
-
+ 새 관찰 항목 드롭다운을 선택하고 도메인 이름을 선택합니다.
-
도메인에 도메인 이름을 입력합니다(예: contoso.com).
-
이름 필드에 도메인에 사용한 것과 동일한 값을 입력합니다.
-
표시기 유형에서 malicious-activity를 선택합니다.
-
유효 기간(시작) 필드의 값을 오늘 날짜로 설정합니다.
-
설명까지 아래로 스크롤하여 This domain is known to be malicious를 입력합니다.
-
추가를 선택합니다.
-
Sentinel 탐색 메뉴의 일반 영역에서 로그 옵션을 선택합니다. “항상 쿼리 표시” 옵션을 사용하지 않도록 설정하고 쿼리 창을 닫아 KQL 문을 실행할 수 있습니다.**
참고: 기본 새 쿼리 1 탭에서 _GetWatchList(‘HighValueHosts’) 쿼리는 그대로 남아 있어야 하며, 실행하면 이제 결과가 생성됩니다.
-
+ 기호를 선택하여 새 쿼리 탭을 만듭니다.
-
다음 KQL 문을 실행합니다.
ThreatIntelligenceIndicator참고: 표시기가 표시되려면 최대 5분이 소요될 수 있습니다.
-
결과를 오른쪽으로 스크롤하여 DomainName 열을 확인합니다. 다음 KQL 문을 실행하여 DomainName 열만 표시할 수도 있습니다.
ThreatIntelligenceIndicator | project DomainName
작업 6: 로그 보존 구성
이 작업에서는 SecurityEvent 테이블의 보존 기간을 변경합니다.
-
Microsoft Sentinel의 구성 영역에서 설정 옵션을 선택합니다.
-
작업 영역 설정을 선택합니다.
-
Log Analytics 작업 영역의 설정 영역에서 테이블 옵션을 선택합니다.
-
SecurityEvent 테이블을 검색하여 선택한 다음 줄임표 링크(…)를 선택합니다.
참고: 줄임표 링크를 보려면 오른쪽으로 스크롤해야 할 수 있습니다.
-
테이블 관리를 선택합니다.
-
대화형 보존 기간을 90일로 변경합니다.
-
총 보존 기간을 180일로 재설정합니다(필요한 경우). 보관 기간은 이제 90일로 설정되어 있는데, 이는 Azure Monitor가 총 보존 기간의 나머지 90일을 자동으로 저비용 장기 보존으로 처리하기 때문입니다.
-
변경 내용을 적용하려면 저장을 선택합니다.