필터 및 집계 기준 정의

  • 릴리스 버전: Xanadu
  • 업데이트 날짜 2024년 08월 01일
  • 소요 시간: 3분

    • 보안 인시던트를 생성해야 하는 수신 Microsoft Azure Sentinel 인시던트를 지정할 수 있도록 필터 조건을 정의하고 설정할 수 있습니다. 인시던트를 생성하는 대신 수신 인시던트를 미해결 보안 인시던트에 추가할 수 있는 추가 인시던트 필드 기준을 정의할 수도 있습니다.

    보안 인시던트에 대한 필터링 조건 설정

    필터링 조건이 일치할 때만 보안 인시던트가 생성되도록 필터링 조건을 설정합니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    이 태스크 정보

    이 유형의 필터링은 보안 인시던트를 격리하고 사용자가 만드는 보안 인시던트 수를 제한하는 데 도움이 됩니다. 추가 필터링 기준을 설정하면 쿼리 또는 트리거된 인시던트 구성을 변경할 필요 없이 필요한 인시던트만 수집됩니다.

    프로시저

    1. 들어오는 Microsoft Azure Sentinel 인시던트가 보안 인시던트를 만들기 위해 충족해야 하는 기준을 정의하려면 조건에 따라 필터링을 선택합니다.

      필터 조건의 첫 번째 필드에 있는 옵션은 수집한 인시던트에 대한 Azure Sentinel 샘플 인시던트 수집 섹션에 표시되는 필드와 일치합니다. 이러한 필드는 동적이며 수집하는 인시던트에 따라 변경됩니다. 입력하는 기준은 대/소문자를 구분합니다. 정의한 기준이 인시던트 값과 일치하는지 확인합니다.

      여러 값이 있는 다음 필드에 대해 필터 조건 포함 을 사용하십시오.
      • properties(labels)
      • properties(additionalData(alertProductNames))
      • properties(relatedAnalyticRuleIds)
      • properties(additionalData(tactics))

      필터 조건은 문자열만 검색할 수 있으므로 위 필드에 대해 포함 필터 조건을 사용하여 데이터가 올바르게 필터링되도록 해야 합니다.

      그림 1. 보안 인시던트 생성 조건
      필터 조건 작성기.
    2. 조건 작성기의 목록과 필드를 사용하여 첫 번째 행에 대한 필터를 설정합니다.
    3. 조건을 더 추가하려면 AND 또는 OR를 클릭합니다.
      • AND를 선택하면 모든 조건이 일치해야 합니다.
      • OR을 선택하면 두 조건 중 하나를 일치시킬 수 있습니다.
    4. 두 번째 필터 조건을 설정하려면 새 기준을 클릭합니다.

    집계 조건 정의

    유사하고 중복될 수 있는 인시던트를 생성하는 대신 수신 인시던트를 기존 SIR 보안 인시던트로 집계하는 추가 인시던트 집계 기준을 정의합니다. 각 프로파일에 대해 필드 일치 값 기준을 사용하는 경우 이 추가 집계는 모든 관련 인시던트 데이터를 단일 보안 인시던트에 배치하여 중복되는 활성 보안 인시던트 수를 줄일 수 있습니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    이 태스크 정보

    새 인시던트가 매핑 단계의 집계 필드 조건에서 선택한 모든 값과 일치하는 경우 인시던트는 동일한 필드 값을 사용하여 가장 최근에 열린 보안 인시던트에 자동으로 추가됩니다. 보안 인시던트를 처리하는 sn_si.analyst 역할의 사용자는 보안 인시던트의 관련 목록에서 추가된 모든 집계 인시던트를 볼 수 있습니다.

    보안 인시던트에 대해 집계된 모든 인시던트는 Azure Sentinel 집계 인시던트 관련 목록에 표시됩니다. 이 목록은 연결된 타임스탬프 및 집계된 필드 값에 대해 자세히 설명합니다. 이 정보는 인시던트가 기존 보안 인시던트에 추가되는 이유를 이해하는 데 도움이 됩니다.

    프로시저

    1. 새 인시던트를 만드는 대신 들어오는 Microsoft Azure Sentinel 인시던트를 미해결 보안 인시던트에 추가할 수 있는 추가 인시던트 필드 기준을 정의하려면 다음 그림과 같이 집계 조건 옵션을 선택합니다.
      그림 2. 집계 조건
      추가 인시던트 필터링 기준을 정의하기 위한 집계입니다.
    2. 일치하는 값이 있는 인시던트 필드 필드에 인스턴스의 기존 보안 인시던트 Now Platform 와 일치시킬 필드 값을 입력합니다.
      다중 선택 입력 필드에서 선택한 모든 필드 값이 일치해야 집계 기준이 충족되고 이 수신 인시던트를 기존 보안 인시던트에 추가할 수 있습니다. 이 선택은 옵저버블 및 여러 필드 값을 가질 수 있는 구성 항목과 같은 필드가 매핑되는 AND 조건임을 의미합니다. 값의 하위 집합만 일치하면 Azure Sentinel 인시던트 집계 조건이 충족되지 않고 새 보안 인시던트가 생성됩니다.
    3. 여러 필드 일치 조건을 추가하려면 새 기준 추가를 클릭합니다.
      정의한 다중 선택 필드 조건 중 하나가 충족되면 집계가 발생합니다. 이 선택은 OR 조건을 의미합니다.
    4. 새 인시던트가 보안 인시던트에 추가될 때 해당 인시던트의 작업 메모를 업데이트하려면 새 인시던트에 대한 작업 메모 기록을 선택합니다.

      작업 메모는 새 인시던트가 추가되었음을 기록하고 인시던트 세부 정보에 대한 링크를 포함합니다. 또한 로그 작업 메모는 매핑 섹션의 작업 메모 필드에 추가하는 추가 상세 정보를 업데이트합니다.

    5. 일정을 구성하려면 계속을 클릭합니다.

    다음에 수행할 작업

    프로파일의 기준과 일치하는 인시던트 데이터와 수집된 인시던트를 검색하도록 일정을 설정합니다.