학습 경로 7 - 랩 1 - 연습 1 - Microsoft Sentinel 환경 구성

랩 시나리오

당신은 Microsoft Sentinel을 구현한 회사에서 근무하는 보안 운영 분석가입니다. 비용을 최소화하고, 규정 준수 규정을 충족하며, 보안 팀이 일상적인 업무 책임을 수행하도록 가장 관리 가능한 환경을 제공하기 위해 회사의 요구 사항을 충족하는 Microsoft Sentinel 환경을 설정할 책임이 있습니다.

중요: 학습 경로 #7에 대한 랩 연습은 독립 실행형 환경에 있습니다. 완료하기 전에 랩을 종료하면 구성을 다시 실행해야 합니다.

이 랩의 예상 완료 시간은 30분입니다.

작업 1: Log Analytics 작업 영역 만들기

지역 옵션을 포함하는 Log Analytics 작업 영역을 만듭니다. Microsoft Sentinel 온보딩에 대해 자세히 알아봅니다.

  1. WIN1 가상 머신에 Admin으로 로그인합니다. 암호로는 Pa55w.rd를 사용하여 로그인합니다.

  2. Microsoft Edge 브라우저에서 https://portal.azure.com의 Azure Portal로 이동합니다.

  3. 랩 호스팅 공급자가 제공한 관리자 사용자 이름용 테넌트 전자 메일 계정을 복사하여 로그인 대화 상자에 붙여 넣은 후 다음을 선택합니다.

  4. 랩 호스팅 공급자가 제공한 관리자의 테넌트 암호를 복사하여 암호 입력 대화 상자에 붙여 넣은 후 로그인을 선택합니다.

  5. Azure Portal의 검색 창에 Microsoft Sentinel을 입력하고 다음을 선택합니다.

  6. + 만들기를 선택합니다.

  7. 새 작업 영역 만들기를 선택합니다.

  8. 리소스 그룹의 새로 만들기를 선택합니다.

  9. RG-Defender를 입력하고 확인을 선택합니다.

  10. 이름에 defenderWorkspace를 입력합니다.

  11. 작업 영역에 대한 기본 지역을 그대로 둘 수 있습니다.

  12. 검토 + 만들기를 선택하여 새 작업 영역의 유효성을 검사합니다.

  13. 만들기를 선택하여 작업 영역을 배포합니다.

작업 2 - 작업 영역에 Microsoft Sentinel 배포

작업 영역에 Microsoft Sentinel을 배포합니다.

  1. 작업 영역 배포가 완료되면 Microsoft Azure “이동 경로” 메뉴에서 을 선택합니다.

  2. 포털의 Azure 서비스 섹션에 Microsoft Sentinel이 표시되어야 합니다. 이 폴더를 선택합니다.

  3. 메뉴 항목에서 + 만들기를 선택합니다.

  4. Sentinel을 추가할 작업 영역을 선택합니다(작업 1에서 생성됨).

  5. 추가를 선택합니다.

작업 3 - 데이터 보존 구성

  1. Microsoft Azure “이동 경로” 메뉴에서 을 선택합니다.

  2. Azure Portal의 검색 창에 Log Analytics을 입력하고 작업 1에서 만든 작업 영역을 선택합니다.

  3. 탐색 메뉴에서 설정 섹션을 확장하고 사용량 및 예상 비용을 선택합니다.

  4. 메뉴 항목에서 데이터 보존을 선택합니다.

  5. 데이터 보존 기간을 180일로 변경합니다.

  6. 확인을 선택합니다.

작업 4: 관심 목록 만들기

이 작업에서는 Microsoft Sentinel에서 관심 목록을 만듭니다.

  1. Windows 10 화면 아래쪽의 검색 상자에 메모장를 입력합니다. 결과에서 메모장을 선택합니다.

  2. Hostname을 입력하고 Enter 키를 눌러 새 줄을 시작합니다.

  3. 메모장의 행 2에서 다음 호스트 이름을 각각 다른 줄에 복사합니다.

     Host1
     Host2
     Host3
     Host4
     Host5
    
  4. 메뉴에서 파일 - 다른 이름으로 저장을 선택하고, 파일 이름을 HighValue.csv로 지정하고, 파일 형식을 모든 파일(.) 로 변경하고, 저장을 선택합니다. 힌트: 파일은 Documents 폴더에 저장할 수 있습니다.

  5. 메모장을 닫습니다.

  6. Microsoft Azure “이동 경로” 메뉴에서 을 선택합니다.

  7. 포털의 Azure 서비스 섹션에 Microsoft Sentinel이 표시되어야 합니다. 이 폴더를 선택합니다.

  8. Microsoft Sentinel의 구성 영역에서 관심 목록 옵션을 선택합니다.

  9. 명령 모음에서 + 새로 만들기를 선택합니다.

  10. 관심 목록 마법사에 다음 정보를 입력합니다.

    일반 설정
    속성 HighValueHosts
    설명 중요 호스트
    관심 목록 별칭 HighValueHosts
  11. 다음: 원본 > 을 선택합니다.

  12. 파일 업로드에서 파일 찾아보기를 선택하고 방금 만든 HighValue.csv 파일을 찾습니다.**

  13. SearchKey 필드에서 Hostname을 선택합니다.**

  14. 다음: 검토 및 만들기 > 를 선택합니다.

  15. 입력한 설정을 검토하고 만들기를 선택합니다.

  16. 화면에 관심 목록 페이지가 다시 표시됩니다.

  17. 메뉴에서 새로 고침을 선택하면 새 관심 목록을 볼 수 있습니다.

  18. HighValueHosts 관심 목록을 선택하고 오른쪽 창에서 로그에서 보기를 선택합니다.

    중요: 관심 목록이 표시되는 데 최대 10분이 걸릴 수 있습니다. 다음 작업을 계속 진행하고 다음 랩에서 이 명령을 실행하세요.

    참고: 이제 KQL 문에서 _GetWatchlist(‘HighValueHosts’)를 사용하여 목록에 액세스할 수 있습니다. 참조할 열은 호스트 이름입니다.

  19. 오른쪽 위에 있는 ‘x’를 선택하여 로그 창을 닫고 확인을 선택하여 저장되지 않은 편집 내용을 삭제합니다.**

작업 5: 위협 지표 만들기

이 작업에서는 Microsoft Sentinel에서 표시기를 만듭니다.

  1. Microsoft Sentinel의 위협 관리 영역에서 위협 인텔리전스 옵션을 선택합니다.

  2. 명령 모음에서 + 새로 추가를 선택합니다.

  3. TI 개체를 선택합니다.

  4. 개체 유형 드롭다운에서 표시기를 선택합니다.

  5. + 새 관찰 항목 드롭다운을 선택하고 도메인 이름을 선택합니다.

  6. 도메인에 도메인 이름을 입력합니다(예: contoso.com).

  7. 이름 필드에 도메인에 사용한 것과 동일한 값을 입력합니다.

  8. 표시기 유형에서 malicious-activity를 선택합니다.

  9. 유효 기간(시작) 필드의 값을 오늘 날짜로 설정합니다.

  10. 설명까지 아래로 스크롤하여 This domain is known to be malicious를 입력합니다.

  11. 추가를 선택합니다.

  12. Sentinel 탐색 메뉴의 일반 영역에서 로그 옵션을 선택합니다. “항상 쿼리 표시” 옵션을 사용하지 않도록 설정하고 쿼리 창을 닫아 KQL 문을 실행할 수 있습니다.**

    참고: 기본 새 쿼리 1 탭에서 _GetWatchList(‘HighValueHosts’) 쿼리는 그대로 남아 있어야 하며, 실행하면 이제 결과가 생성됩니다.

  13. + 기호를 선택하여 새 쿼리 탭을 만듭니다.

  14. 다음 KQL 문을 실행합니다.

     ThreatIntelligenceIndicator
    

    참고: 표시기가 표시되려면 최대 5분이 소요될 수 있습니다.

  15. 결과를 오른쪽으로 스크롤하여 DomainName 열을 확인합니다. 다음 KQL 문을 실행하여 DomainName 열만 표시할 수도 있습니다.

     ThreatIntelligenceIndicator 
     | project DomainName
    

작업 6: 로그 보존 구성

이 작업에서는 SecurityEvent 테이블의 보존 기간을 변경합니다.

  1. Microsoft Sentinel의 구성 영역에서 설정 옵션을 선택합니다.

  2. 작업 영역 설정을 선택합니다.

  3. Log Analytics 작업 영역의 설정 영역에서 테이블 옵션을 선택합니다.

  4. SecurityEvent 테이블을 검색하여 선택한 다음 줄임표 링크(…)를 선택합니다.

    참고: 줄임표 링크를 보려면 오른쪽으로 스크롤해야 할 수 있습니다.

  5. 테이블 관리를 선택합니다.

  6. 대화형 보존 기간90일로 변경합니다.

  7. 총 보존 기간180일로 재설정합니다(필요한 경우). 보관 기간은 이제 90일로 설정되어 있는데, 이는 Azure Monitor가 총 보존 기간의 나머지 90일을 자동으로 저비용 장기 보존으로 처리하기 때문입니다.

  8. 변경 내용을 적용하려면 저장을 선택합니다.

이 랩을 완료했습니다.