학습 경로 7 - 랩 1 - 연습 8 - 인시던트 조사
랩 시나리오
당신은 Microsoft Sentinel을 구현한 회사에서 근무하는 보안 운영 분석가입니다. 예약됨 및 Microsoft 보안 분석 규칙을 이미 만들었습니다. 퓨전 및 변칙 분석 규칙도 환경에서 사용할 수 있습니다. 이제 규칙에 따라 만들어진 인시던트를 조사하겠습니다.
인시던트는 여러 경고를 포함할 수 있습니다. 이는 특정 조사에 대한 모든 관련 증거를 집계한 것입니다. 심각도 및 상태와 같은 경고와 관련된 속성은 인시던트 수준에서 설정됩니다. Microsoft Sentinel이 사용자가 찾고 있는 위협의 종류와 찾는 방법을 파악하면 사용자는 인시던트를 조사하여 탐지된 위협을 모니터링할 수 있습니다.
참고: 대화형 랩 시뮬레이션 을 사용하여 이 랩을 원하는 속도로 클릭할 수 있습니다. 대화형 시뮬레이션과 호스트된 랩 간에 약간의 차이가 있을 수 있지만 보여주는 핵심 개념과 아이디어는 동일합니다.
작업 1: 인시던트 조사
이 작업에서는 인시던트를 조사합니다.
-
WIN1 가상 머신에 Admin으로 로그인합니다. 암호로는 Pa55w.rd를 사용하여 로그인합니다.
-
Edge 브라우저에서 Azure Portal(https://portal.azure.com )로 이동합니다.
-
랩 호스팅 공급자가 제공한 테넌트 전자 메일 계정을 복사하여 로그인 대화 상자에 붙여넣은 후 다음을 선택합니다.
-
랩 호스팅 공급자가 제공한 테넌트 암호를 복사하여 암호 입력 대화 상자에 붙여넣은 후 로그인을 선택합니다.
-
Azure Portal의 검색 창에 Sentinel을 입력하고 Microsoft Sentinel을 선택합니다.
-
앞에서 만든 Microsoft Sentinel 작업 영역을 선택합니다.
-
인시던트 페이지를 선택합니다.
-
인시던트 목록을 검토합니다.
참고: 분석 규칙은 동일한 특정 로그 항목에 관한 경고와 인시던트를 생성합니다. 이 작업은 랩에서 사용할 더 많은 경고와 인시던트를 생성하기 위해 쿼리 예약 구성에서 수행되었습니다.**
-
Startup RegKey 인시던트 중 하나를 선택합니다.
-
열린 오른쪽 블레이드에서 인시던트 세부 정보를 검토합니다. 아래로 스크롤하여 전체 세부 정보 보기 단추를 선택합니다.
-
“새 인시던트 환경” 팝업이 나타나면 다음 단추를 선택하여 정보를 읽고 안내에 따릅니다.
-
인시던트 왼쪽 블레이드에서 상태를 활성으로 변경한 다음, 적용을 선택합니다.
-
태그 영역까지 아래로 스크롤하여 + 를 선택하고, RegKey를 입력하고, 확인을 선택합니다.**
-
아래로 스크롤하여 댓글 쓰기… 상자에 다음을 입력합니다. 이 내용을 조사할 예정입니다. > 아이콘을 선택하여 새 댓글을 제출할 예정입니다.
-
소유자 옆에 있는 « 아이콘을 선택하여 왼쪽 블레이드를 숨깁니다.
-
인시던트 타임라인 창을 검토합니다. 오른쪽 상단에 있는 인시던트 작업 단추를 선택한 다음 플레이북 실행을 선택합니다. PostMessageTeams-OnIncident 플레이북이 표시됩니다. 이 옵션을 사용하면 플레이북을 수동으로 실행할 수 있습니다.
-
오른쪽 상단에 있는 x 아이콘을 선택하여 인시던트 시 플레이북 실행 블레이드를 닫습니다.
-
엔터티 창을 검토합니다. 이전 연습에서 KQL 쿼리 내에 매핑한 최소한 호스트 엔터티가 나타나야 합니다. 힌트: 엔터티가 표시되지 않으면 페이지를 새로 고칩니다.
-
명령 모음에서 새로운 작업 단추를 선택합니다.
-
+ 작업 추가를 선택하고 제목 상자에 컴퓨터 소유자 검토를 입력한 다음 저장을 선택합니다.
-
오른쪽 상단에 있는 x 아이콘을 선택하여 인시던트 작업 블레이드를 닫습니다.
-
명령 모음에서 새로운 활동 로그 단추를 선택합니다.
-
이 연습 중에 취한 작업을 검토합니다.
-
오른쪽 상단에 있는 x 아이콘을 선택하여 인시던트 활동 로그 블레이드를 닫습니다.
-
거의 숨겨진 왼쪽 블레이드에서 할당되지 않음이라는 사용자 아이콘을 선택합니다. 새로운 인시던트 환경을 통해 여기에서 빠른 변경이 가능합니다.
-
나에게 할당을 선택한 다음 아래로 스크롤하여 적용을 선택하여 변경 내용을 저장합니다.
-
» 아이콘을 선택하여 왼쪽 블레이드를 확장합니다. 그런 다음 조사 단추를 선택합니다.
힌트: 화면에 아이콘이 너무 작으면 (+) 를 선택하여 확대합니다.
-
WINServer 엔터티 아이콘에 마우스를 올려 새 탐색 쿼리가 표시될 때까지 기다립니다. 관련 경고에 더 많은 데이터가 있는 것 같습니다.** 탐색 쿼리 관련 경고의 이름을 선택하여 조사 그래프로 가져오거나 이벤트 > 를 선택하여 KQL 쿼리를 사용하여 조사합니다.
-
오른쪽 상단의 X 아이콘을 선택하여 쿼리 창을 닫고 조사 페이지로 돌아갑니다.
-
이제 WINServer 엔터티를 선택하면 오른쪽에 더 자세한 정보를 볼 수 있는 창이 열립니다. 정보 페이지를 검토합니다.
-
타임라인 단추를 선택합니다. 인시던트에 마우스를 올려 그래프에서 어느 시점에 어떤 일이 발생했는지 확인해보세요.
-
엔터티 단추를 선택하고 WINServer와 관련된 엔터티 및 경고를 검토합니다.
-
페이지 오른쪽 상단에 있는 X 아이콘을 선택하여 조사 그래프를 닫습니다.
-
인시던트 페이지로 돌아가서 왼쪽 창에서 활성 상태를 선택하고 종료됨을 선택합니다.
-
분류 선택 드롭다운에서 다양한 옵션을 검토합니다. 그런 다음, 진양성 - 의심스러운 활동을 선택한 다음, 적용을 선택합니다.