학습 경로 7 - 랩 1 - 연습 4 - 엔터티 동작 분석 살펴보기
랩 시나리오
당신은 Microsoft Sentinel을 구현한 회사에서 근무하는 보안 운영 분석가입니다. 예약됨 및 Microsoft 보안 분석 규칙을 이미 만들었습니다.
엔터티 동작 분석을 수행하여 변칙을 검색하고 엔터티 분석 페이지를 제공하도록 Microsoft Sentinel을 구성해야 합니다.
참고: 대화형 랩 시뮬레이션 을 사용하여 이 랩을 원하는 속도로 클릭할 수 있습니다. 대화형 시뮬레이션과 호스트된 랩 간에 약간의 차이가 있을 수 있지만 보여주는 핵심 개념과 아이디어는 동일합니다.
작업 1: 엔터티 동작 살펴보기
이 작업에서는 Microsoft Sentinel의 엔터티 동작 분석을 살펴보겠습니다.
-
WIN1 가상 머신에 Admin으로 로그인합니다. 암호로는 Pa55w.rd를 사용하여 로그인합니다.
-
Edge 브라우저에서 Azure Portal(https://portal.azure.com )로 이동합니다.
-
랩 호스팅 공급자가 제공한 테넌트 전자 메일 계정을 복사하여 로그인 대화 상자에 붙여넣은 후 다음을 선택합니다.
-
랩 호스팅 공급자가 제공한 테넌트 암호를 복사하여 암호 입력 대화 상자에 붙여넣은 후 로그인을 선택합니다.
-
Azure Portal의 검색 창에 Sentinel을 입력하고 Microsoft Sentinel을 선택합니다.
-
앞에서 만든 Microsoft Sentinel 작업 영역을 선택합니다.
-
엔터티 동작 페이지를 선택합니다.
-
엔터티 동작 설정의 팝업에서 UEBA 설정을 선택합니다.**
-
엔터티 동작 분석 아래의 설정 탭에서 UEBA 설정을 선택합니다.
-
엔터티 동작 분석을 사용하도록 설정하려면 세 가지 사전 요구 사항 단계를 검토합니다.
-
페이지 오른쪽 상단의 ‘x’를 선택하여 엔터티 동작 구성 페이지를 닫습니다.
-
설정 탭을 아래로 스크롤하여 변칙 섹션의 단락을 참조하세요.
-
변칙을 구성하려면 다른 분석으로 이동을 선택합니다.
작업 2: 변칙 규칙 확인 및 검토
이 작업에서는 변칙 분석 규칙이 사용하도록 설정되어 있는지 확인합니다.
-
이제 분석 페이지의 변칙 탭이 표시됩니다.
-
규칙의 상태 열이 사용인지 확인합니다.**
-
규칙을 선택한 다음 규칙 블레이드에서 편집을 선택합니다.
-
일반 탭 정보를 검토합니다.** 모드가 프로덕션인 것을 확인하고 다음: 구성을 선택합니다.
-
구성 탭 정보를 검토합니다.** 변칙 점수 기준점은 변경할 수 없습니다.
-
그런 다음, 오른쪽 위 모서리에서 X를 선택하여 분석 규칙 마법사를 종료합니다.
-
줄임표 (…) 아이콘이 보일 때까지 선택한 분석 규칙까지 오른쪽으로 스크롤합니다.
-
복제를 선택하고 왼쪽으로 스크롤하여 이름 시작 부분에 있는 FLGT 탭을 사용하여 새 규칙을 검토합니다.
-
FLGT 규칙을 선택한 다음 규칙 블레이드에서 편집을 선택합니다.
-
일반 탭 정보를 검토합니다.** 모드가 플라이팅인 것을 확인하고 다음: 구성을 선택합니다.
-
구성 탭 정보를 검토합니다.** 이제 변칙 점수 임계값을 변경할 수 있습니다.
-
값을 1로 설정하고 다음: 사용자 의견 보내기를 선택합니다.
-
다음: 검토 및 만들기를 선택한 다음 저장으로 규칙을 업데이트합니다.
참고: 이 규칙의 설정을 변경하여 플라이팅 규칙을 프로덕션으로 업그레이드하고 변경 내용을 저장할 수 있습니다. 이후에는 프로덕션 규칙이 플라이팅 규칙이 됩니다.