학습 경로 7 - 랩 1 - 연습 9 - ASIM 파서 배포
랩 시나리오
당신은 Microsoft Sentinel을 구현한 회사에서 근무하는 보안 운영 분석가입니다. 특정 Windows 레지스트리 이벤트에 대한 ASIM 파서를 모델링해야 합니다. 이러한 파서는 나중에 ASIM(고급 보안 정보 모델) 레지스트리 이벤트 정규화 스키마 참조에 따라 완성될 예정입니다.
참고: 대화형 랩 시뮬레이션 을 사용하여 이 랩을 원하는 속도로 클릭할 수 있습니다. 대화형 시뮬레이션과 호스트된 랩 간에 약간의 차이가 있을 수 있지만 보여주는 핵심 개념과 아이디어는 동일합니다.
작업 1: 레지스트리 스키마 ASIM 파서 배포
이 작업에서는 Microsoft Sentinel 배포에 포함된 레지스트리 스키마 파서를 검토합니다.
-
WIN1 가상 머신에 Admin으로 로그인합니다. 암호로는 Pa55w.rd를 사용하여 로그인합니다.
-
Microsoft Edge 브라우저에서 https://portal.azure.com의 Azure Portal로 이동합니다.
-
랩 호스팅 공급자가 제공한 테넌트 전자 메일 계정을 복사하여 로그인 대화 상자에 붙여 넣은 후 다음을 선택합니다.
-
랩 호스팅 공급자가 제공한 테넌트 암호를 복사하여 암호 입력 대화 상자에 붙여 넣은 후 로그인을 선택합니다.
-
Azure Portal의 검색 창에 Sentinel을 입력하고 Microsoft Sentinel을 선택합니다.
-
앞에서 만든 Microsoft Sentinel 작업 영역을 선택합니다.
-
일반 왼쪽 메뉴에서 로그를 선택합니다.
-
필요한 경우 » 를 선택하여 스키마 및 필터 블레이드를 엽니다.
-
함수 탭(테이블 및 쿼리 탭 옆)을 선택합니다. 힌트: 탭을 선택하려면 줄임표 아이콘 (…) 을 선택해야 할 수도 있습니다.
-
검색 표시줄에서 레지스트리를 입력하고 Microsoft Sentinel 제목 아래에 Microsoft Windows에 대한 다음 _Im_RegistryEvent_MicrosoftWindowsEventxxx가 보일 때까지 ASIM 파서 함수를 아래로 스크롤합니다.
참고: 버전 변경을 설명하기 위해 ASIM 파서 함수 이름에 xxx를 사용합니다. 이 랩이 업데이트되었을 때 함수는 _Im_RegistryEvent_MicrosoftWindowsEventV02였습니다.
-
_Im_RegistryEvent_MicrosoftWindowsEventxxx ASIM 함수 위에 커서를 올린 다음 팝업 창에서 함수 코드 로드를 선택합니다.
-
Microsoft Sentinel 작업 영역에서 데이터 분석을 간소화하기 위해 이벤트 ID 4657을 구문 분석하는 KQL을 검토합니다.
힌트: 코드 창에서 ctrl+f를 입력하면 찾기가 표시되어 EventID: 4657을 찾기가 훨씬 쉬워집니다.
-
로그에서 새 쿼리 탭을 엽니다.
-
스키마 및 필터 블레이드로 돌아가서 이제 _Im_RegistryEvent_MicrosoftWindowsEventxxx Microsoft Windows 이벤트 및 보안 이벤트에 대한 레지스트리 이벤트 ASIM 필터링 파서에 커서를 올린 다음 편집기에서 사용을 선택합니다.
-
ASIM 함수 쿼리를 실행합니다. 이전 랩 연습을 완료한 경우 결과 및 NoError 메시지가 표시됩니다.