Microsoft Azure Sentinel 인시던트 필드 매핑

  • 릴리스 버전: Yokohama
  • 업데이트 날짜 2025년 01월 30일
  • 읽기7분

    • 매핑된 데이터로 인시던트를 생성할 수 있도록 개별 Microsoft Azure Sentinel 인시던트 필드를 보안 인시던트의 SIR 필드에 매핑합니다.

    시작하기 전에

    필요한 역할: sn_si.admin

    프로시저

    1. 매핑 페이지의 Azure Sentinel 필드 매핑 섹션에서 샘플 수집 방법 중 하나를 선택합니다.
      표 1. 샘플 수집 방법
      필드 설명
      모든 기본 인시던트 및 엔터티 필드 이 수집 방법을 사용하여 모든 인시던트 및 엔터티 필드의 정적 목록을 봅니다. 이 메서드에는 값 없이 기본 필드 이름만 포함됩니다.

      이 정보를 사용하여 필드와 매핑할 수 있습니다 SIR .
      최근 Azure Sentinel 인시던트 검색 이 수집 방법을 사용하여 가장 최근의 인시던트 및 엔터티 데이터를 임포트합니다.

      Azure Sentinel 인시던트에 엔터티 데이터가 포함되어 있으면 엔터티 데이터가 검색되고 Azure Sentinel 소스 필드 섹션에서 매핑할 수 있습니다. 경우에 따라 Azure Sentinel 인시던트에 엔터티 데이터가 포함되어 있지 않을 수 있으므로 이러한 시나리오에서 엔터티 필드를 매핑할 수 없습니다.

      Azure Sentinel 인시던트에 여러 경고가 포함된 경우 인시던트의 일부인 가장 빠른 경고가 매핑 섹션에 표시됩니다. 수집 중에도 가장 빠른 보안 경보 필드 값이 사용됩니다.

      기본적으로 5개의 샘플 인시던트를 수집할 수 있으며 최대 20개의 샘플 인시던트를 수집할 수 있습니다.

      샘플 인시던트 필드 값은 프로파일이 샘플 인시던트를 수집할 때 채워집니다. 이러한 인시던트를 SIR 인시던트 대상 필드에 매핑할 수 있습니다. 인시던트 필드와 값이 개별 탭으로 표시됩니다.
      샘플 데이터 임포트 샘플 데이터 임포트를 클릭하여 Azure Sentinel에서 샘플 인시던트를 임포트합니다.

      이 버튼은 최근 Azure Sentinel 인시던트 수집 검색 방법을 선택할 때 나타납니다.

      서버에서 샘플 인시던트 Microsoft Azure Sentinel 를 검색하는 데 시간이 걸릴 수 있습니다.

      검색된 이 인시던트를 SIR 인시던트 대상 필드에 매핑합니다. 인시던트 필드와 값이 개별 탭으로 표시됩니다.
      Azure Sentinel 인시던트의 필드 매핑
    2. 보안 인시던트에 표시되는 기본 필드에 필드를 추가하려면 다음 작업을 수행합니다.
      1. SIR 인시던트 대상 필드 섹션에서 다른 필드 매핑 버튼을 클릭합니다. 다른 필드 매핑 버튼.
        표시할 새 필드에 대한 필드를 선택할 수 있는 필드 목록이 SIR 표시됩니다.
      2. 보안 인시던트 열에서 표시되는 목록을 확장한 다음 필드를 선택합니다.
        주:
        동일한 보안 인시던트에 여러 옵저버블을 표시할 수 있습니다. 예를 들어 옵저버블 필드는 서로 다른 값으로 여러 번 매핑될 수 있습니다. 마찬가지로 구성 항목작업 메모 필드는 여러 값을 지원합니다. 여러 값을 지원할 수 없는 필드에 두 값을 매핑하려고 하면 이 필드가 여러 값을 지원하지 않는다는 오류 메시지가 표시됩니다. 마찬가지로 보안 인시던트의 필드에 여러 옵션을 선택할 수 있는 목록이 있고 목록에 표시되지 않은 해당 필드에 옵션을 매핑하려고 하면 필드가 보안 인시던트에 채워지지 않습니다.
      3. Azure Sentinel 소스 필드 섹션에서 필드를 끌어서 놓아 새 필드에 매핑합니다.
      4. 필드에 해당하는 확인란을 선택하면 Azure Sentinel에서 새로 변경하거나 업데이트된 변경 내용이 있으면 해당 SIR 인시던트 데이터가 새 인시던트 데이터로 자동으로 업데이트됩니다.
        주:
        기본 시스템에서 SIR에 연결된 새 경보와 관련된 업데이트를 받으려면 Microsoft Azure Sentinel 시스템 속성 sn_sec_sentinel.incident_updates가 기본적으로 True로 설정됩니다.
        • 기본적으로 영향을 받는 사용자, 구성 항목 및 옵저버블 필드가 선택되어 있습니다. 즉, 새로운 옵저버블이나 관련 구성 항목이 있거나 영향을 받는 사용자가 인시던트에 추가될 때마다 해당 폴링 간격 동안 해당 정보가 자동으로 추출되어 보안 인시던트 응답(SIR)의 관련 목록에 채워집니다.
        • 다른 필드의 경우 Azure Sentinel 내의 Azure Sentinel 인시던트 기록에서 수행된 새 변경 내용 또는 업데이트된 변경 내용에 대한 필드에 해당하는 확인란을 선택해야 합니다. 이렇게 하면 해당 SIR 인시던트 데이터가 새 인시던트 데이터로 자동 업데이트됩니다.
        중요사항:
        기존 데이터를 재정의하면 분석가가 작업할 데이터가 불안정해질 수 있으며 보안 인시던트의 필드 값으로 설정된 다른 자동화도 영향을 받을 수 있으므로 이 기능을 선택하기 전에 실사를 수행해야 합니다. 따라서 재정의 기능을 선택하기 전에 실사를 수행하는 것이 매우 중요합니다.
    3. 필드를 제거하려면 SIR 인시던트 대상 필드 섹션의 입력 식 필드 옆에 있는 제거 버튼 항목 제거 버튼을 사용합니다.
    4. Azure Sentinel 소스 필드 섹션의 필드 값을 SIR 인시던트 대상 필드 섹션의 필드에 매핑하려면 다음 작업 중 하나를 사용합니다.
      1. 필드 이름(예: id)을 끌어서 SIR 인시던트 대상 필드 열의 필드 이름 옆에 놓습니다.

        Azure Sentinel 소스 필드 섹션의 모든 값을 SIR 인시던트 대상 필드 섹션의 필드와 일치시킬 수 있습니다. 필드는 색상으로 구분되므로 매핑 프로세스에서 인시던트 필드를 간과하거나 중복하는 일이 없습니다. 연한 파란색 필드는 인시던트 필드가 아직 선택되지 않았으며 보안 인시던트에 매핑되지 않았음을 나타냅니다. 수신 인시던트 필드를 보안 인시던트의 둘 이상의 필드와 연결하는 것을 선호할 수 있습니다. 회색 필드는 필드가 선택되었고 보안 인시던트의 필드에 매핑되었음을 나타냅니다. 이렇게 하면 보안 인시던트에 추가된 필드 값과 나머지 중요한 인시던트 정보가 매핑되지 않은 상태로 남아 있는지 시각화할 수 있습니다.

      2. 텍스트와 필드의 조합을 추가할 수 있습니다.
        예를 들어 인시던트 이름은 ${name}$입니다. 여기서 인시던트 이름은 Azure Sentinel 소스 필드 섹션에서 ${name}$ 이 매핑되는 동안 수동으로 입력할 수 있습니다.
      3. 소스 인시던트 또는 엔터티 필드를 직접 수동으로 입력하고 대상 필드에 매핑할 수 있습니다.
        • 소스 인시던트 필드를 수동으로 매핑하려면 ${field name}$ 형식을 사용합니다. 예를 들어 인시던트 필드 심각도를 매핑하려면 형식은 ${properties(severity)}$입니다.
        • 원본 엔터티 필드를 수동으로 추가하려면 ${entity name: entity field}$ 형식을 사용합니다. 예를 들어 엔터티 필드 Description of entity Security Alert를 매핑하려면 형식은 ${SecurityAlert: properties(description)}$입니다.
      이 통합은 특정 옵저버블 하위 유형을 분류합니다. Azure Sentinel 필드를 SIR 옵저버블 필드와 매핑하면 옵저버블이 Now Platform 자동 분류됩니다. 들어오는 Azure Sentinel 옵저버블을 의 옵저버블 유형에 SIR일반적으로 매핑하려면 옵저버블 필드에 Azure Sentinel 필드를 끌어서 놓습니다. 그러나 에서 들어오는 Azure Sentinel 옵저버 SIR블에 대한 옵저버블 유형을 알고 있는 경우 옵저버블 유형 필드에 구체적으로 매핑합니다 SIR . 에서 SIR 특정 옵저버블 유형의 예로는 Observable(도메인 이름), Observable(이메일 주소), Observable(IP 주소(V4)) 및 Observable(호스트 이름)이 있습니다.

      들어오는 Azure Sentinel 필드에 정보가 포함되어 MITRE-ATT&CK 있으면 기술 필드에 매핑합니다 MITRE-ATT&CK . 들어오는 Azure Sentinel 필드에 기술 ID 또는 기술 이름이 포함되어 MITRE-ATT&CK 있는지 확인합니다.

      의 인시던트 필드 값이 Microsoft Azure Sentinel SIR 보안 인시던트의 필드로 직접 변환되지 않을 수도 있습니다. 이러한 값의 경우 스크립트 편집기를 사용하여 매핑 단계 중에 보안 인시던트의 필드 값에 대한 형식을 지정할 수 있습니다. 비슷하지만 동일하지는 않은 값의 형식을 지정하려면 스크립트 편집기를 사용하십시오.

    5. Azure Sentinel 인시던트의 새 필드에 대한 필드 번역의 형식을 보안 인시던트의 필드 값과 일치하도록 지정하려면 SIR 인시던트 대상 필드 헤더에서 여기를 클릭 링크를 클릭하십시오.
    6. 필드 번역을 지원하는 필드를 수정하려면 필드 형식 단추 스크립트 형식 필드 번역 아이콘을 클릭하십시오.
      필드 번역을 지원하는 필드는 범주, 구성 항목우선순위입니다. 예를 들어 범주 옆에 있는 필드 형식 버튼 아이콘을 클릭합니다. Azure Sentinel 필드 변환 스크립트 편집기가 열립니다.
    7. 스크립트에 대한 변경 내용을 입력하고 업데이트를 클릭하여 변경 내용을 저장하고 매핑 페이지로 돌아갑니다.
      예를 들어 범주의 경우 스크립트 편집기에서 다음을 정의합니다.
      "<Incoming Sentinel Incident Field Value>" : "<Category to assign to the Security Incident>".
      이 매핑을 통해 프로파일은 구성된 범주만 사용합니다.
    8. 필드 값을 추가하거나 제거하여 매핑을 계속합니다.
      인시던트 생성 조건 작성기에서 동일한 필드 값을 사용하여 수신 인시던트가 보안 인시던트를 만들기 위해 충족해야 하는 추가 기준을 정의할 수 있습니다.
    9. 필터링 및 집계 섹션으로 이동하려면 계속을 클릭합니다.

    다음에 수행할 작업

    보안 인시던트를 생성할 인시던트를 지정할 수 있도록 필터 조건을 정의하고 설정합니다. 인시던트 생성 조건 작성기(필터링 및 집계 섹션)에서 동일한 필드 값(매핑 섹션에 정의됨)을 사용하여 수신 인시던트가 보안 인시던트를 만들기 위해 충족해야 하는 추가 기준을 정의할 수 있습니다.