학습 경로 7 - 랩 1 - 연습 8 - 인시던트 조사

랩 시나리오

랩 개요입니다.

당신은 Microsoft Sentinel을 구현한 회사에서 근무하는 보안 운영 분석가입니다. 예약됨 및 Microsoft 보안 분석 규칙을 이미 만들었습니다. 퓨전 및 변칙 분석 규칙도 환경에서 사용할 수 있습니다. 이제 규칙에 따라 만들어진 인시던트를 조사하겠습니다.

인시던트는 여러 경고를 포함할 수 있습니다. 이는 특정 조사에 대한 모든 관련 증거를 집계한 것입니다. 심각도 및 상태와 같은 경고와 관련된 속성은 인시던트 수준에서 설정됩니다. Microsoft Sentinel이 사용자가 찾고 있는 위협의 종류와 찾는 방법을 파악하면 사용자는 인시던트를 조사하여 탐지된 위협을 모니터링할 수 있습니다.

참고: 대화형 랩 시뮬레이션 을 사용하여 이 랩을 원하는 속도로 클릭할 수 있습니다. 대화형 시뮬레이션과 호스트된 랩 간에 약간의 차이가 있을 수 있지만 보여주는 핵심 개념과 아이디어는 동일합니다.

작업 1: 인시던트 조사

이 작업에서는 인시던트를 조사합니다.

  1. WIN1 가상 머신에 Admin으로 로그인합니다. 암호로는 Pa55w.rd를 사용하여 로그인합니다.

  2. Edge 브라우저에서 Azure Portal(https://portal.azure.com )로 이동합니다.

  3. 랩 호스팅 공급자가 제공한 테넌트 전자 메일 계정을 복사하여 로그인 대화 상자에 붙여넣은 후 다음을 선택합니다.

  4. 랩 호스팅 공급자가 제공한 테넌트 암호를 복사하여 암호 입력 대화 상자에 붙여넣은 후 로그인을 선택합니다.

  5. Azure Portal의 검색 창에 Sentinel을 입력하고 Microsoft Sentinel을 선택합니다.

  6. 앞에서 만든 Microsoft Sentinel 작업 영역을 선택합니다.

  7. 인시던트 페이지를 선택합니다.

  8. 인시던트 목록을 검토합니다.

    참고: 분석 규칙은 동일한 특정 로그 항목에 관한 경고와 인시던트를 생성합니다. 이 작업은 랩에서 사용할 더 많은 경고와 인시던트를 생성하기 위해 쿼리 예약 구성에서 수행되었습니다.**

  9. Startup RegKey 인시던트 중 하나를 선택합니다.

  10. 열린 오른쪽 블레이드에서 인시던트 세부 정보를 검토합니다. 아래로 스크롤하여 전체 세부 정보 보기 단추를 선택합니다.

  11. “새 인시던트 환경” 팝업이 나타나면 다음 단추를 선택하여 정보를 읽고 안내에 따릅니다.

  12. 인시던트 왼쪽 블레이드에서 상태를 활성으로 변경한 다음, 적용을 선택합니다.

  13. 태그 영역까지 아래로 스크롤하여 + 를 선택하고, RegKey를 입력하고, 확인을 선택합니다.**

  14. 아래로 스크롤하여 댓글 쓰기… 상자에 다음을 입력합니다. 이 내용을 조사할 예정입니다. > 아이콘을 선택하여 새 댓글을 제출할 예정입니다.

  15. 소유자 옆에 있는 « 아이콘을 선택하여 왼쪽 블레이드를 숨깁니다.

  16. 인시던트 타임라인 창을 검토합니다. 오른쪽 상단에 있는 인시던트 작업 단추를 선택한 다음 플레이북 실행을 선택합니다. PostMessageTeams-OnIncident 플레이북이 표시됩니다. 이 옵션을 사용하면 플레이북을 수동으로 실행할 수 있습니다.

  17. 오른쪽 상단에 있는 x 아이콘을 선택하여 인시던트 시 플레이북 실행 블레이드를 닫습니다.

  18. 엔터티 창을 검토합니다. 이전 연습에서 KQL 쿼리 내에 매핑한 최소한 호스트 엔터티가 나타나야 합니다. 힌트: 엔터티가 표시되지 않으면 페이지를 새로 고칩니다.

  19. 명령 모음에서 새로운 작업 단추를 선택합니다.

  20. + 작업 추가를 선택하고 제목 상자에 컴퓨터 소유자 검토를 입력한 다음 저장을 선택합니다.

  21. 오른쪽 상단에 있는 x 아이콘을 선택하여 인시던트 작업 블레이드를 닫습니다.

  22. 명령 모음에서 새로운 활동 로그 단추를 선택합니다.

  23. 이 연습 중에 취한 작업을 검토합니다.

  24. 오른쪽 상단에 있는 x 아이콘을 선택하여 인시던트 활동 로그 블레이드를 닫습니다.

  25. 거의 숨겨진 왼쪽 블레이드에서 할당되지 않음이라는 사용자 아이콘을 선택합니다. 새로운 인시던트 환경을 통해 여기에서 빠른 변경이 가능합니다.

  26. 나에게 할당을 선택한 다음 아래로 스크롤하여 적용을 선택하여 변경 내용을 저장합니다.

  27. » 아이콘을 선택하여 왼쪽 블레이드를 확장합니다. 그런 다음 조사 단추를 선택합니다.

    힌트: 화면에 아이콘이 너무 작으면 (+) 를 선택하여 확대합니다.

  28. WINServer 엔터티 아이콘에 마우스를 올려탐색 쿼리가 표시될 때까지 기다립니다. 관련 경고에 더 많은 데이터가 있는 것 같습니다.** 탐색 쿼리 관련 경고의 이름을 선택하여 조사 그래프로 가져오거나 이벤트 > 를 선택하여 KQL 쿼리를 사용하여 조사합니다.

  29. 오른쪽 상단의 X 아이콘을 선택하여 쿼리 창을 닫고 조사 페이지로 돌아갑니다.

  30. 이제 WINServer 엔터티를 선택하면 오른쪽에 더 자세한 정보를 볼 수 있는 창이 열립니다. 정보 페이지를 검토합니다.

  31. 타임라인 단추를 선택합니다. 인시던트에 마우스를 올려 그래프에서 어느 시점에 어떤 일이 발생했는지 확인해보세요.

  32. 엔터티 단추를 선택하고 WINServer와 관련된 엔터티경고를 검토합니다.

  33. 페이지 오른쪽 상단에 있는 X 아이콘을 선택하여 조사 그래프를 닫습니다.

  34. 인시던트 페이지로 돌아가서 왼쪽 창에서 활성 상태를 선택하고 종료됨을 선택합니다.

  35. 분류 선택 드롭다운에서 다양한 옵션을 검토합니다. 그런 다음, 진양성 - 의심스러운 활동을 선택한 다음, 적용을 선택합니다.

연습 9 계속 진행