Microsoft Sentinel에서 헌팅 책갈피를 통해 관련성이 있다고 판단되는 쿼리 및 쿼리 결과를 유지할 수 있습니다. 메모와 태그를 추가하여 상황별 관찰을 기록하고 결과를 참조할 수도 있습니다. 책갈피가 설정된 데이터는 손쉬운 협업을 위해 본인과 팀 동료가 볼 수 있습니다. 자세한 내용은 책갈피를 참조하세요.
비고
책갈피는 Azure Portal에서만 만들 수 있습니다. Microsoft Defender 포털에서는 책갈피를 추가할 수 없지만 이미 만든 책갈피를 볼 수 있습니다.
중요합니다
Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스가 없는 고객을 포함하여 Microsoft Defender 포털에서 일반적으로 사용할 수 있습니다.
2026년 7월부터 Azure Portal에서 Microsoft Sentinel을 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel을 사용합니다. 2025년 7월부터 많은 신규 고객이 자동으로 온보딩되고 Defender 포털로 리디렉션됩니다.
Azure Portal에서 Microsoft Sentinel을 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 에서 제공하는 통합 보안 작업 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다. 자세한 내용은 보안을 강화하기 위해 It's Time to Move: Retiring Microsoft Sentinel's Azure Portal을 참조하세요.
책갈피 추가(Azure Portal에만 해당)
책갈피를 만들어 쿼리, 결과, 관찰 내용 및 발견 사항을 보존합니다.
위협 관리에서 헌팅을 선택합니다.
쿼리 탭에서 하나 이상의 헌팅 쿼리를 선택합니다.
위쪽 명령 모음에서 선택한 쿼리 실행을 선택합니다.
쿼리 결과 보기를 선택합니다. 예를 들면 다음과 같습니다.
이 작업은 로그 창에서 쿼리 결과를 엽니다.
로그 쿼리 결과 목록에서 확인란을 사용하여 관심 있는 정보를 포함하는 행을 하나 이상 선택합니다.
Azure Portal에서 책갈피 추가를 선택합니다.
오른쪽의 책갈피 추가 창에서 필요에 따라 책갈피 이름을 업데이트하고 태그 및 메모를 추가하여 항목에 대한 흥미로운 항목을 식별하는 데 도움이 됩니다.
책갈피는 선택적으로 MITRE ATT&CK 기술 또는 하위 기술에 매핑할 수 있습니다. MITRE ATT&CK 매핑은 헌팅 쿼리의 매핑된 값에서 상속되지만 수동으로 만들 수도 있습니다. 책갈피 추가 창의 전술 및 기술 섹션에 있는 드롭다운 메뉴에서 원하는 기술과 연결된 MITRE ATT&CK 전술을 선택합니다. 메뉴가 확장되어 모든 MITRE ATT&CK 기술이 표시되며 이 메뉴에서 여러 기술과 하위 기술을 선택할 수 있습니다.
이제 추가 조사를 위해 책갈피된 쿼리 결과에서 확장된 항목 집합을 추출할 수 있습니다. 엔터티 매핑 섹션에서 드롭다운을 사용하여 엔터티 형식 및 식별자를 선택합니다. 그런 다음 해당 식별자가 포함된 쿼리 결과의 열을 매핑합니다. 예를 들면 다음과 같습니다.
조사 그래프에서 책갈피를 보려면 하나 이상의 엔터티를 매핑해야 합니다. 생성한 계정, 호스트, IP 및 URL 엔터티 형식에 대한 엔터티 매핑이 지원되므로 이전 버전과의 호환성이 유지됩니다.
만들기를 선택하여 변경 내용을 커밋하고 책갈피를 추가합니다. 책갈피된 모든 데이터는 다른 분석가와 공유되며 공동 조사 환경을 위한 첫 번째 단계입니다.
로그 쿼리 결과는 Microsoft Sentinel에서 이 창이 열릴 때마다 책갈피를 지원합니다. 예를 들어 탐색 모음에서 일반>로그를 선택하거나 조사 그래프에서 이벤트 링크를 선택하거나 인시던트에 대한 전체 세부 정보에서 경고 ID를 선택합니다. 다른 위치에서, 예를 들어 Azure Monitor에서 직접 로그 창을 열 때는 책갈피를 만들 수 없습니다.
책갈피 보기 및 업데이트
책갈피 탭에서 책갈피를 찾아 업데이트합니다.
Azure Portal의 Microsoft Sentinel의 경우 위협 관리에서 헌팅을 선택합니다.
Defender 포털의 Microsoft Sentinel에 대해서는 Microsoft Sentinel>위협 관리>헌팅을 선택합니다.책갈피 탭을 선택하여 책갈피 목록을 봅니다.
검색하거나 필터링하여 특정 책갈피 한 개나 여러 개를 찾습니다.
개별 책갈피를 선택하여 오른쪽 창에서 책갈피 세부 정보를 봅니다.
필요에 따라 변경을 수행합니다. 변경 내용은 자동으로 저장됩니다.
비고
책갈피 탭에서 최대 1,000개의 책갈피만 볼 수 있습니다. 로그에서 책갈피가 지정된 데이터의 나머지 부분을 볼 수 있습니다. 자세히 알아보기
조사 그래프에서 책갈피 검색
대화형 엔터티-그래프 다이어그램과 타임라인을 사용하여 결과를 보고, 조사하고, 시각적으로 전달할 수 있는 조사 환경을 시작함으로써 책갈피가 지정된 데이터를 시각화합니다.
책갈피 탭에서, 조사하려는 책갈피 한 개나 여러 개를 선택합니다.
책갈피 세부 정보에서 하나 이상의 엔터티가 매핑되었는지 확인합니다.
조사 그래프에서 책갈피를 보려면 조사를 선택합니다.
조사 그래프를 사용하는 지침은 조사 그래프를 사용하여 심층 분석을 참조하세요.
새 인시던트 또는 기존 인시던트에 북마크 추가 (Azure 포털에만 해당)
헌팅 페이지의 책갈피 탭에서 인시던트에 책갈피를 추가합니다.
책갈피 탭에서, 인시던트에 추가하려는 책갈피 한 개나 여러 개를 선택합니다.
명령 모음에서 인시던트 작업을 선택합니다.
새 사건 만들기 또는 기존 사건에 추가하기를 적절하게 선택합니다. 그렇다면
- 새 인시던트: 필요에 따라 인시던트에 대한 세부 정보를 업데이트한 다음 만들기를 선택합니다.
- 기존 인시던트에 책갈피를 추가하려면 인시던트 하나를 선택한 다음 추가를 선택합니다.
인시던트 내에서 책갈피를 보려면,
- Microsoft Sentinel>위협 관리>인시던트로 이동합니다.
- 책갈피를 사용하여 인시던트 선택 및 전체 세부 정보 보기
- 인시던트 페이지의 왼쪽 창에서 책갈피를 선택합니다.
로그에서 책갈피가 지정된 데이터 보기
책갈피가 지정된 쿼리, 결과 또는 해당 기록을 봅니다.
헌팅>책갈피 탭에서 책갈피를 선택합니다.
세부 정보 창에서 다음 링크를 선택합니다.
원본 쿼리 보기를 통해 로그 창에서 원본 쿼리를 봅니다.
책갈피 로그를 확인 하여 업데이트한 사용자, 업데이트된 값 및 업데이트가 발생한 시간을 포함하는 모든 책갈피 메타데이터를 확인합니다.
헌팅>책갈피 탭의 명령 모음에서 책갈피 로그를 선택하여 모든 책갈피에 대한 원시 책갈피 데이터를 봅니다.
이 보기에는 연결된 메타데이터가 있는 모든 책갈피가 표시됩니다. KQL(Kusto Query Language) 쿼리를 사용하여 원하는 특정 책갈피의 최신 버전으로 필터링할 수 있습니다.
책갈피를 만드는 시간과 책갈피 탭에 표시되는 시간 사이에 상당한 지연(분 단위로 측정)이 있을 수 있습니다 .
책갈피 삭제
책갈피를 삭제하면 책갈피 탭의 목록에서 책갈피 가 제거됩니다. Log Analytics 작업 영역에 대한 HuntingBookmark 테이블에는 이전 책갈피 항목이 계속 포함되어 있지만 최신 항목은 SoftDelete 값을 true로 변경하여 이전 책갈피를 쉽게 필터링할 수 있도록 합니다. 책갈피를 삭제해도 다른 책갈피 또는 경고와 연결된 조사 환경의 엔터티는 제거되지 않습니다.
책갈피를 삭제하려면 다음 단계를 완료합니다.
헌팅>책갈피 탭에서, 삭제하려는 책갈피 한 개나 여러 개를 선택합니다.
마우스 오른쪽 단추를 클릭하고, 선택한 책갈피를 삭제하는 옵션을 선택합니다.
관련 콘텐츠
이 문서에서는 Microsoft Sentinel에서 책갈피를 사용하여 헌팅 조사를 실행하는 방법을 배웠습니다. Microsoft Sentinel에 대한 자세한 내용은 다음 문서를 참조하세요.