필터 및 집계 기준 정의

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 4분

    • 보안 인시던트를 생성해야 하는 수신 Microsoft Azure Sentinel 인시던트를 지정할 수 있도록 필터 조건을 정의하고 설정할 수 있습니다. 또한 인시던트를 생성하는 대신 수신 인시던트를 미해결 보안 인시던트에 추가할 수 있는 추가 인시던트 필드 기준을 정의할 수도 있습니다.

    중요사항:

    Microsoft는 Azure Portal에서 Azure Sentinel 환경의 사용 중단을 2026년 3월에서 2027년 3월로 연장했습니다.

    현재 SIR(보안 인시던트 응답)과 Azure Sentinel 통합을 사용하는 경우 가능한 한 빨리 새 Defender 포털 통합으로 마이그레이션하는 것이 좋습니다. Defender 통합에는 기존 Sentinel 프로파일을 Defender 프로파일로 자동 변환하는 동시에 전환 후 Sentinel을 통해 생성된 인시던트의 연속성을 보장하는 기본 제공 마이그레이션 유틸리티가 포함되어 있습니다. 자세한 내용은 Microsoft Sentinel에서 Defender로의 마이그레이션 가이드를 참조하세요.

    보안 인시던트에 대한 필터링 조건 설정

    필터링 조건이 일치하는 경우에만 보안 인시던트가 생성되도록 필터링 조건을 설정합니다.

    시작하기 전에

    필요한 역할: sn_si.ingestion_profile_admin

    주:
    sn_si.admin 역할은 기본적으로 필수 권한을 상속하므로 sn_si.admin 역할을 가진 사용자는 프로필 관리자가 사용할 수 있는 모든 작업을 수행할 수 있습니다.

    이 태스크 정보

    이러한 유형의 필터링은 보안 인시던트를 격리하고 생성하는 보안 인시던트 수를 제한하는 데 도움이 됩니다. 추가 필터링 기준을 설정하면 쿼리 또는 트리거된 인시던트 구성을 변경하지 않고도 필요한 인시던트만 수집됩니다.

    프로시저

    1. 보안 인시던트를 만들기 위해 수신 Microsoft Azure Sentinel 인시던트가 충족해야 하는 기준을 정의하려면 조건에 따라 필터링을 선택합니다.

      필터 조건의 첫 번째 필드에 있는 옵션은 수집한 인시던트에 대한 Azure Sentinel 샘플 인시던트 수집 섹션에 표시되는 필드와 일치합니다. 이러한 필드는 동적이며 수집하는 인시던트에 따라 변경됩니다. 입력하는 기준은 대/소문자를 구분합니다. 정의한 기준이 인시던트 값과 일치하는지 확인합니다.

      값이 여러 개인 다음 필드에 대해 필터 조건 포함을 사용합니다 .
      • properties(labels)
      • properties(additionalData(alertProductNames))
      • properties(relatedAnalyticRuleIds)
      • properties(additionalData(tactics))

      필터 조건은 문자열만 검색할 수 있으므로 데이터가 올바르게 필터링되도록 위의 필드에 대해 포함 필터 조건을 사용해야 합니다.

      그림 1. 보안 인시던트 생성 조건
      필터 조건 작성기입니다.
    2. 조건 작성기의 목록과 필드를 사용하여 첫 번째 행의 필터를 설정합니다.
    3. 조건을 더 추가하려면 AND 또는 OR를 클릭합니다.
      • AND를 선택하면 모든 조건이 일치해야 합니다.
      • OR을 선택하면 조건을 일치시킬 수 있습니다.
    4. 두 번째 필터 조건을 설정하려면 새 기준을 클릭합니다.

    집계 조건 정의

    유사하거나 중복 가능성이 있는 인시던트를 생성하는 대신 수신 인시던트를 기존 SIR 보안 인시던트로 집계하는 추가 인시던트 집계 기준을 정의합니다. 각 프로파일에 대해 필드 일치 값 기준을 사용하는 경우 이러한 추가 집계를 통해 모든 관련 인시던트 데이터를 단일 보안 인시던트에 배치하여 활성 상태의 중복 보안 인시던트 수를 줄일 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.ingestion_profile_admin

    주:
    sn_si.admin 역할은 기본적으로 필수 권한을 상속하므로 sn_si.admin 역할을 가진 사용자는 프로필 관리자가 사용할 수 있는 모든 작업을 수행할 수 있습니다.

    이 태스크 정보

    새 인시던트가 매핑 단계의 집계 필드 조건에서 선택한 모든 값과 일치하는 경우, 인시던트는 동일한 필드 값을 사용하여 가장 최근에 열린 보안 인시던트에 자동으로 추가됩니다. 보안 인시던트를 다루는 sn_si.analyst 역할을 가진 사용자는 보안 인시던트의 관련 목록에서 추가된 모든 집계 인시던트를 볼 수 있습니다.

    보안 인시던트에 대해 집계된 모든 인시던트가 Azure Sentinel 집계 인시던트 관련 목록에 표시됩니다. 이 목록은 관련 타임스탬프 및 집계된 필드 값에 대해 자세히 설명합니다. 이 정보는 기존 보안 인시던트에 인시던트가 추가되는 이유를 이해하는 데 도움이 됩니다.

    프로시저

    1. 새 인시던트를 생성하는 대신 수신 Microsoft Azure Sentinel 인시던트를 미해결 보안 인시던트에 추가할 수 있는 추가 인시던트 필드 기준을 정의하려면 다음 그림과 같이 집계 조건 옵션을 선택합니다.
      그림 2. 집계 조건
      추가 인시던트 필터링 기준을 정의하는 집계입니다.
    2. 일치하는 값이 있는 인시던트 필드 필드에 인스턴스의 기존 보안 인시던트 ServiceNow AI Platform 와 일치시키려는 필드 값을 입력합니다.
      집계 기준이 충족되고 이 수신 인시던트를 기존 보안 인시던트에 추가할 수 있도록 다중 선택 입력 필드에서 선택한 모든 필드 값이 일치해야 합니다. 이 선택은 여러 필드 값을 가질 수 있는 옵저버블 및 구성 항목과 같은 필드가 매핑되는 AND 조건을 의미합니다. 값의 하위 집합만 일치하면 Azure Sentinel 인시던트 집계 조건이 충족되지 않고 새 보안 인시던트가 생성됩니다.
    3. 여러 필드 일치 조건을 추가하려면 새 기준 추가를 클릭합니다.
      정의하는 다중 선택 필드 조건 중 하나라도 충족하면 집계가 발생합니다. 이 선택은 OR 조건을 의미합니다.
    4. 새 인시던트가 보안 인시던트에 추가될 때 새 인시던트에 대한 작업 메모를 업데이트하려면 새 인시던트에 대한 작업 메모 기록을 선택합니다.

      작업 메모는 새 인시던트가 추가되었음을 기록하고 인시던트 상세 정보에 대한 링크를 포함합니다. 로그 작업 메모는 매핑 섹션의 작업 메모 필드에 추가하는 자세한 정보도 업데이트합니다.

    5. 일정을 구성하려면 계속을 클릭합니다.

    다음에 수행할 작업

    프로파일의 기준과 일치하는 인시던트 데이터와 수집된 인시던트를 검색하도록 일정을 설정합니다.