인시던트 검색 예약 Microsoft Azure Sentinel

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 2분

    • 인시던트 데이터를 검색하고 프로파일의 기준과 일치하는 인시던트를 수집 Microsoft Azure Sentinel 하도록 일정을 설정합니다.

    시작하기 전에

    필요한 역할: sn_sni.admin

    이 태스크 정보

    인시던트 프로파일 구성과 일치하는 향후 Microsoft Azure Sentinel 인시던트를 폴링할 빈도를 계획할 수 있습니다.

    자동화된 인시던트 수집을 사용하려면 프로파일을 활성화하기 전에 일정 및 인시던트 검색을 구성해야 합니다. 초기 수집에 대한 특정 날짜와 시간을 정의하려면 인시던트 수집 시간 설정을 사용하도록 설정합니다. 후속 수집은 폴링 간격 기간을 기반으로 합니다.

    폴링 간격은 각 프로파일에 대해 개별적으로 구성됩니다. 다양한 폴링 간격은 인시던트 통합의 성능에 Microsoft Azure Sentinel 영향을 줄 수 있습니다. 일정을 세울 때 인시던트의 긴급도에 맞춰 시스템 부하의 균형을 맞추도록 계획합니다. 모든 프로필에 대해 1분 기본값이 설정됩니다. 인시던트의 긴급도와 시스템의 예상 로드에 따라 이 설정을 수정할 수 있습니다.

    특정 폴링 간격에서 인시던트에 추가되는 모든 경보는 프로세스가 실행된 다음 Azure Sentinel 경보 관련 목록 및 작업 메모에 추가됩니다.

    프로시저

    1. 일정 양식의 필드에 내용을 입력합니다.

      테넌트에서 인시던트를 Microsoft Azure 끌어오는 방법과 시기를 정의하도록 일정을 구성합니다.

      표 1. 일정 양식
      필드 설명
      지속적 이벤트 수집 새 인시던트를 위해 인스턴스가 Now Platform 테넌트에서 Microsoft Azure 끌어오는 지속적 인시던트 수집입니다. 트리거된 인시던트가 발견되고 인시던트 생성 필터링 기준이 일치하는 경우 보안 인시던트가 생성됩니다.
      폴링 증분(분) 분 단위로 정의된 폴링 빈도입니다.
      시던트 수집 시간 설정 구성된 날짜 및 시간을 기반으로 하는 인시던트 수집입니다.

      이 옵션을 사용하여 초기 수집에 대한 특정 날짜와 시간을 정의할 수 있습니다. 후속 수집은 폴링 간격 기간을 기반으로 합니다.
      입력 인시던트 수집 시간

      인시던트 수집을 위해 지정한 날짜 및 시간입니다.
      일회성 검색 기록 Azure Sentinel 인시던트의 일회성 검색을 허용한 다음 데이터를 조정하려면 이 확인란을 선택합니다. 이 체크 ox를 선택하면 애플리케이션은 최대 약 6개월 동안 열려 있거나 종결된 모든 Azure Sentinel 인시던트를 끌어옵니다.

      데이터를 처리할 때 진행 중인 인시던트와 기록 데이터를 모두 끌어오지만, 진행 중인 인시던트의 처리가 기록 끌어오기보다 우선하며, 그렇지 않으면 기간과 수집 중인 인시던트 수에 따라 기록 끌어오기에 시간이 걸릴 수 있습니다.

      주:
      검색된 기록 Azure Sentinel 인시던트는 보안 인시던트 응답 애플리케이션 내에서 중복을 방지하기 위해 중복 제거 검사를 거칩니다.
      날짜 이후 Azure Sentinel에서 인시던트 기록을 수집한 이후의 날짜입니다.
      주:
      인시던트 데이터는 대략적으로 지난 6개월에서 가져온 것입니다.

      예약 페이지를 사용하면 테넌트에서 인시던트를 끌어오는 방법과 시기를 정의할 수 있습니다 Microsoft Azure .

    2. Additional Options(추가 옵션) 페이지로 이동하려면 Continue(계속)를 클릭합니다.