학습 경로 9 - 랩 1 - 연습 3 - 템플릿에서 예약된 쿼리 만들기
랩 시나리오
당신은 Microsoft Sentinel을 구현한 회사에서 근무하는 보안 운영 분석가입니다. Microsoft Sentinel을 사용하여 위협을 검색하고 완화하는 방법을 파악해야 합니다. 데이터 원본을 Microsoft Sentinel에 연결한 후, 사용자 환경에서 위협 및 비정상적인 동작을 검색하는 데 도움이 되는 사용자 지정 분석 규칙을 만듭니다.
분석 규칙은 사용자 환경에서 특정 이벤트 또는 이벤트 세트를 검색하고, 특정 이벤트 임계값 또는 조건에 도달하면 경고를 생성하고, SOC에서 심사 및 조사를 위해 인시던트를 생성하고, 자동화된 추적 및 수정 프로세스를 통해 위협에 대응합니다.
중요: 학습 경로 #9에 대한 랩 연습은 독립 실행형 환경에 있습니다. 완료하기 전에 랩을 종료하면 구성을 다시 실행해야 합니다.
이 랩의 예상 완료 시간은 45분입니다.
참고: Microsoft Sentinel이 Azure 구독에 defenderWorkspace라는 이름으로 사전 배포되었으며 필요한 콘텐츠 허브 솔루션이 설치되어 있습니다.
이 작업을 정상적으로 완료하려면 다음 필수 구성 요소 작업을 완료해야 합니다.
필수 구성 요소 작업: Azure 활동 데이터 커넥터 연결
이 작업에서는 Azure Activity 데이터 커넥터를 연결합니다.
-
Microsoft Sentinel 탐색 메뉴에서 콘텐츠 관리 섹션까지 아래로 스크롤하여 콘텐츠 허브를 선택합니다.
-
콘텐츠 허브에서 Azure Activity 솔루션을 검색하고 목록에서 선택합니다.
-
Azure 활동 솔루션 세부 정보 페이지에서 관리를 선택합니다.
-
Azure Activity 데이터 커넥터를 선택하고 커넥터 페이지 열기를 선택합니다.
-
지침 탭 아래의 구성 영역에서 “2. 구독 연결…“까지 아래로 스크롤하고 Azure Policy 할당 마법사 시작> 을 선택합니다.
-
기본 사항 탭의 범위 아래에서 줄임표 단추(…)를 선택하고, 드롭다운 목록에서 MOC 구독-XXXXXXXXXXX 구독을 선택하고, 선택을 클릭합니다.
참고: 선택적 리소스 그룹을 선택하지 마세요.
-
매개 변수 탭을 선택하고 기본 Log Analytics 작업 영역 드롭다운 목록에서 uniquenameDefender 작업 영역을 선택합니다. 이 작업은 구독 구성을 적용하여 Log Analytics 작업 영역에 정보를 보냅니다.
-
수정 탭에서 수정 작업 만들기 확인란을 선택합니다. 이 작업은 기존 Azure 리소스에 정책을 적용합니다.
-
검토 + 만들기 단추를 선택하여 구성을 검토합니다.
-
만들기를 선택하여 완료합니다.
-
계속하기 전에 Azure 활동 데이터 커넥터가 연결된 상태를 표시할 때까지 기다려주세요.
작업 1: 예약된 쿼리 규칙 만들기
이 작업에서는 Microsoft Sentinel 분석 예약 쿼리 규칙을 만듭니다.
참고: 다음 작업은 현재 Azure Preview 포털에서 가장 잘 작동합니다 - https://preview.portal.azure.com/.
-
WIN1 가상 머신에 Admin으로 로그인합니다. 암호로는 Pa55w.rd를 사용하여 로그인합니다.
-
랩 호스팅 공급자가 제공한 테넌트 전자 메일 계정을 복사하여 로그인 대화 상자에 붙여넣은 후 다음을 선택합니다.
-
랩 호스팅 공급자가 제공한 테넌트 암호를 복사하여 암호 입력 대화 상자에 붙여넣은 후 로그인을 선택합니다.
-
Azure Portal의 검색 창에 Sentinel을 입력하고 Microsoft Sentinel을 선택합니다.
-
Microsoft Sentinel defenderWorkspace을 선택합니다.
-
구성 영역에서 분석을 선택합니다.
-
명령 모음의 규칙 템플릿 탭에 있는지 확인하고 새 CloudShell 사용자 규칙을 검색합니다.
-
규칙 요약 블레이드에서 데이터 원본: Azure 활동 아래의 녹색 아이콘을 검토하여 데이터를 수신하고 있는지 확인합니다.
참고: 연결된 상태로 표시되지 않고 위의 필수 구성 요소 작업을 실행한 경우 프로세스가 완료되기까지 더 오래 기다려야 할 수 있습니다.
-
계속하려면 규칙 만들기를 선택합니다.
-
Analytics 규칙 마법사의 일반 탭에서 심각도를 보통으로 변경합니다.
-
다음: 규칙 논리 설정 > 단추를 선택합니다.
-
규칙 쿼리의 경우 쿼리 결과 보기를 선택합니다. 어떤 결과나 오류도 수신되어서는 안 됩니다.
-
오른쪽 위 X를 선택하여 로그 창을 닫고 확인을 선택하여 취소하고 변경 내용을 저장하여 마법사로 돌아갑니다.**
-
아래로 스크롤하여 쿼리 예약에서 다음을 설정합니다.**
설정 값 쿼리 실행 간격 5분 마지막부터 데이터 조회 1일 참고: 같은 데이터에 대해 의도적으로 여러 인시던트를 생성합니다. 그러면 랩에서 해당 경고를 사용할 수 있기 때문입니다.
-
경고 임계값 영역에서 경고가 모든 이벤트를 등록하도록 하므로 값을 변경하지 않고 그대로 둡니다.**
-
쿼리가 위에 지정된 경고 임계값보다 더 많은 결과를 반환하는 한 이벤트 그룹화 영역에서는 실행될 때마다 단일 경고를 생성하려고 하므로 모든 이벤트를 단일 경고로 그룹화합니다.**
-
하단에서 다음: 인시던트 설정 > 단추를 선택합니다.
-
인시던트 설정 탭에서 기본 옵션을 검토합니다.**
-
하단에서 다음: 자동화된 응답 > 단추를 선택합니다.
-
하단에서 다음: 검토 및 만들기 > 단추를 선택합니다.
-
저장을 선택합니다.
작업 2: 새 규칙 편집
-
Azure Portal의 검색 창에 Sentinel을 입력하고 Microsoft Sentinel을 선택합니다.
-
Microsoft Sentinel 작업 영역을 선택합니다.
-
구성 영역에서 분석을 선택합니다.
-
명령 모음의 활성 규칙 탭에 있는지 확인하고 새 CloudShell 사용자 규칙을 선택합니다.
-
규칙을 마우스 오른쪽 단추로 클릭하고 팝업 메뉴에서 편집을 선택합니다.
-
다음: 규칙 논리 설정 > 단추를 선택합니다.
-
하단에서 다음: 인시던트 설정 > 단추를 선택합니다.
-
하단에서 다음: 자동화된 응답 > 단추를 선택합니다.
-
자동화 규칙 아래의 자동 응답 탭에서 + 새로 추가를 선택합니다.
-
자동화 규칙 이름에 계층 2를 입력합니다.**
-
작업에서 소유자 할당을 선택합니다.**
-
그런 다음, 나에게 할당을 선택합니다.
-
적용을 선택합니다.
-
하단에서 다음: 검토 및 만들기 > 단추를 선택합니다.
-
저장을 선택합니다.
작업 3: 새 규칙 테스트
이 작업에서는 새로운 예약된 쿼리 규칙을 테스트합니다.
-
Azure Portal의 상단 표시줄에서 Cloud Shell에 해당하는 아이콘 >_ 을 선택합니다. 디스플레이 해상도가 너무 낮은 경우 줄임표 아이콘 (…) 을 먼저 선택해야 할 수도 있습니다.
-
Azure Cloud Shell 시작 창에서 Powershell을 선택합니다.
-
시작 페이지에서 스토리지 계정 탑재를 선택한 다음, 스토리지 계정 구독 드롭다운 메뉴 항목에서 MOC 구독-XXXXXXXXXXX을 선택하고 적용 단추를 선택합니다.
중요: 스토리지 계정이 필요하지 않음 라디오 단추 옵션을 선택하지 마세요. 이로 인해 인시던트 만들기가 실패하게 됩니다.
-
스토리지 계정 탑재 페이지에서 스토리지 계정을 만듭니다를 선택한 후 다음을 선택합니다.
-
Cloud Shell이 프로비전될 때까지 기다린 후 Azure Cloud Shell 창을 닫습니다.
-
Azure Portal의 검색 창에 작업을 입력한 다음 활동 로그를 선택합니다.
-
다음 작업 이름 항목이 나타나는지 확인합니다. 스토리지 계정 키 나열 및 스토리지 계정 만들기 업데이트. 이는 앞서 검토한 KQL 쿼리가 경고를 생성하기 위해 일치하는 작업입니다. 힌트: 목록을 업데이트하려면 새로 고침을 선택해야 할 수도 있습니다.
-
Azure Portal의 검색 창에 Sentinel을 입력하고 Microsoft Sentinel을 선택합니다.
-
Microsoft Sentinel 작업 영역을 선택합니다.
-
위협 관리에서 인시던트 메뉴 옵션을 선택합니다.**
-
자동 새로 고침 인시던트 토글을 선택합니다.
-
새로 만든 인시던트가 표시됩니다.
참고: 인시던트를 트리거하는 이벤트를 처리하는 데 5분 이상 걸릴 수 있습니다. 다음 연습을 계속합니다. 나중에 이 보기로 다시 돌아옵니다.
-
인시던트를 선택하고 오른쪽 블레이드의 정보를 검토합니다.