인시던트 검색 예약 Microsoft Azure Sentinel

  • 릴리스 버전: Washingtondc
  • 업데이트 날짜 2024년 02월 01일
  • 읽기2분

    • 인시던트 데이터를 검색하고 프로파일의 기준과 일치하는 인시던트를 수집 Microsoft Azure Sentinel 하도록 일정을 설정합니다.

    시작하기 전에

    필요한 역할: sn_sni.admin

    이 태스크 정보

    인시던트 프로파일 구성과 일치하는 향후 Microsoft Azure Sentinel 인시던트를 폴링하는 빈도를 계획할 수 있습니다.

    자동화된 인시던트 수집을 사용하려면 프로필을 활성화하기 전에 일정 및 인시던트 검색을 구성해야 합니다. 초기 수집에 대한 특정 날짜 및 시간을 정의하려면 인시던트 수집 시간 설정을 사용하도록 설정합니다. 후속 수집은 폴링 간격 기간을 기반으로 합니다.

    폴링 간격은 각 프로파일에 대해 개별적으로 구성됩니다. 다양한 폴링 간격은 인시던트 통합의 성능에 Microsoft Azure Sentinel 영향을 줄 수 있습니다. 일정을 세울 때 인시던트의 긴급도에 대해 시스템 부하의 균형을 맞추도록 계획합니다. 모든 프로필에 대해 1분 기본값이 설정됩니다. 인시던트의 긴급도와 시스템의 예상 로드에 따라 이 설정을 수정할 수 있습니다.

    특정 폴링 간격 내에 인시던트에 추가되는 모든 경보는 프로세스가 실행된 다음 Azure Sentinel 경보 관련 목록에 추가되고 작업 메모도 게시됩니다.

    프로시저

    1. 일정 양식의 필드에 내용을 입력합니다.

      테넌트에서 Microsoft Azure 인시던트를 끌어오는 방법과 시기를 정의하도록 일정을 구성합니다.

      표 1. 일정 양식
      필드 설명
      지속적 이벤트 수집 새 인시던트를 위해 인스턴스가 Now Platform 테넌트에서 Microsoft Azure 끌어오는 지속적 인시던트 수집입니다. 보안 인시던트는 트리거된 인시던트가 발견되고 인시던트 생성 필터링 기준이 일치하는 경우에 생성됩니다.
      폴링 증분(분) 분 단위로 정의된 폴링 빈도입니다.
      시던트 수집 시간 설정 구성된 날짜 및 시간을 기반으로 하는 인시던트 수집입니다.

      이 옵션을 사용하여 초기 수집에 대한 특정 날짜와 시간을 정의할 수 있습니다. 후속 수집은 폴링 간격 기간을 기반으로 합니다.
      입력 인시던트 수집 시간

      인시던트 수집을 위해 지정한 날짜 및 시간입니다.
      일회성 검색 기록 Azure Sentinel 인시던트의 일회성 검색을 허용한 다음 데이터 조정을 수행하려면 이 확인란을 선택합니다. 이 체크 ox를 선택하면 애플리케이션은 최대 약 6개월 동안 열려 있고 닫힌 모든 Azure Sentinel 인시던트를 끌어옵니다.

      데이터를 처리할 때 진행 중인 인시던트와 기록 데이터를 모두 끌어오지만, 진행 중인 인시던트의 처리가 기록 끌어오기보다 우선하기 때문에 수집 중인 인시던트 수와 기간에 따라 기록 끌어오기에 시간이 걸릴 수 있습니다.

      주:
      검색된 기록 Azure Sentinel 인시던트는 보안 인시던트 응답 애플리케이션 내에서 중복을 방지하기 위해 중복 제거 검사를 거칩니다.
      날짜 이후 Azure Sentinel에서 기록 인시던트를 수집한 이후의 날짜입니다.
      주:
      인시던트 데이터를 대략적으로 지난 6개월 동안에서 가져옵니다.

      예약 페이지에서는 테넌트에서 인시던트를 가져오는 방법과 시기를 정의할 수 있습니다 Microsoft Azure .

    2. Additional Options(추가 옵션) 페이지로 이동하려면 Continue(계속)를 클릭합니다.