학습 경로 9 - 랩 1 - 연습 4 - 엔터티 동작 분석 살펴보기
랩 시나리오
당신은 Microsoft Sentinel을 구현한 회사에서 근무하는 보안 운영 분석가입니다. 예약됨 및 Microsoft 보안 분석 규칙을 이미 만들었습니다.
엔터티 동작 분석을 수행하여 변칙을 검색하고 엔터티 분석 페이지를 제공하도록 Microsoft Sentinel을 구성해야 합니다.
중요: 학습 경로 #9에 대한 랩 연습은 독립 실행형 환경에 있습니다. 완료하기 전에 랩을 종료하면 구성을 다시 실행해야 합니다.
이 랩의 예상 완료 시간은 15분입니다.
작업 1: 엔터티 동작 살펴보기
이 작업에서는 Microsoft Sentinel의 엔터티 동작 분석을 살펴보겠습니다.
참고: Microsoft Sentinel이 Azure 구독에 defenderWorkspace라는 이름으로 사전 배포되었으며 필요한 콘텐츠 허브 솔루션이 설치되어 있습니다.
-
WIN1 가상 머신에 Admin으로 로그인합니다. 암호로는 Pa55w.rd를 사용하여 로그인합니다.
-
Edge 브라우저에서 Azure Portal(https://portal.azure.com )로 이동합니다.
-
랩 호스팅 공급자가 제공한 테넌트 전자 메일 계정을 복사하여 로그인 대화 상자에 붙여넣은 후 다음을 선택합니다.
-
랩 호스팅 공급자가 제공한 테넌트 암호를 복사하여 암호 입력 대화 상자에 붙여넣은 후 로그인을 선택합니다.
-
Azure Portal의 검색 창에 Sentinel을 입력하고 Microsoft Sentinel을 선택합니다.
-
Microsoft Sentinel defenderWorkspace을 선택합니다.
-
엔터티 동작 페이지를 선택합니다.
-
엔터티 동작 설정의 팝업에서 UEBA 설정을 선택합니다.**
-
엔터티 동작 분석의 설정 탭에서 변칙 섹션을 아래로 스크롤하여 단락을 다 읽었는지 확인하고 스위치가 켜기인지 확인합니다.
-
변칙을 구성하려면 분석으로 이동 링크를 선택합니다.
작업 2: 변칙 규칙 확인 및 검토
이 작업에서는 변칙 분석 규칙이 사용하도록 설정되어 있는지 확인합니다.
-
이제 분석 페이지의 변칙 탭이 표시됩니다.
-
규칙의 상태 열이 사용인지 확인합니다.**
-
규칙을 선택한 다음 규칙 블레이드에서 편집을 선택합니다.
-
일반 탭 정보를 검토합니다.** 모드가 프로덕션인 것을 확인하고 다음: 구성을 선택합니다.
-
구성 탭 정보를 검토합니다.** 변칙 점수 기준점은 변경할 수 없습니다.
-
그런 다음, 오른쪽 위 모서리에서 X를 선택하여 분석 규칙 마법사를 종료합니다.
-
줄임표 (…) 아이콘이 보일 때까지 선택한 분석 규칙까지 오른쪽으로 스크롤합니다.
-
복제를 선택하고 왼쪽으로 스크롤하여 이름 시작 부분에 있는 FLGT 탭을 사용하여 새 규칙을 검토합니다.
-
FLGT 규칙을 선택한 다음 규칙 블레이드에서 편집을 선택합니다.
-
일반 탭 정보를 검토합니다.** 모드가 플라이팅인 것을 확인하고 다음: 구성을 선택합니다.
-
구성 탭 정보를 검토합니다.** 이제 변칙 점수 임계값을 변경할 수 있습니다.
-
값을 1로 설정하고 다음: 사용자 의견 보내기를 선택합니다.
-
다음: 검토 및 만들기를 선택한 다음 저장으로 규칙을 업데이트합니다.
참고: 이 규칙의 설정을 변경하여 플라이팅 규칙을 프로덕션으로 업그레이드하고 변경 내용을 저장할 수 있습니다. 이후에는 프로덕션 규칙이 플라이팅 규칙이 됩니다.