중요합니다
- 활동 사용자 지정은 미리 보기로 제공됩니다. 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법적 용어는 Microsoft Azure 미리 보기에 대한 추가 사용 약관 을 참조하세요.
- 2026년 7월부터 Azure Portal에서 Microsoft Sentinel을 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel을 사용합니다. 2025년 7월부터 많은 새 사용자가 Azure Portal에서 Defender 포털로 자동으로 온보딩 및 리디렉션됩니다. Azure Portal에서 Microsoft Sentinel을 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 에서 제공하는 통합 보안 작업 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다. 자세한 내용은 보안을 강화하기 위해 It's Time to Move: Retiring Microsoft Sentinel's Azure Portal을 참조하세요.
소개
기본적으로 Microsoft Sentinel이 타임라인에서 추적하고 표시한 작업 외에도 추적하고 싶은 다른 작업을 만들어 타임라인에 표시할 수도 있습니다. 연결된 데이터 원본에서 엔터티 데이터의 쿼리를 기반으로 사용자 지정된 활동을 만들 수 있습니다. 다음 예에서는 이 기능을 사용하는 방법을 보여 줍니다.
기존의 기본 제공 활동 템플릿을 수정하여 엔터티 타임라인에 새 활동을 추가합니다.
사용자 지정 로그 (예: 물리적 액세스 제어 로그)에서 새 활동을 추가합니다. 특정 제한 구역(예: 서버실)의 사용자 입출입 활동을 사용자의 타임라인에 추가할 수 있습니다.
시작
- Azure Portal에서 Microsoft Sentinel의 사용자는 아래 의 Azure Portal 탭을 선택합니다.
- Microsoft Defender 포털의 사용자는 Defender 포털 탭을 선택합니다.
Microsoft Sentinel 탐색 메뉴에서 엔터티 동작을 선택합니다.
엔터티 동작 페이지에서 화면 맨 위에 있는 엔터티 사용자 지정 페이지(미리 보기)를 선택합니다.
Sentinel 활동 사용자 지정 페이지의 내 활동 탭에 만든 모든 활동 목록이 표시됩니다. 활동 템플릿 탭에는 Microsoft 보안 연구원이 기본적으로 제공하는 활동 모음이 표시됩니다. 엔터티 페이지의 타임라인에서 이미 추적되고 표시되는 활동입니다.
사용자 정의 활동을 만들지 않은 한 엔터티 페이지에는 활동 템플릿 탭 아래에 나열된 모든 활동이 표시됩니다.
활동을 만들거나 사용자 지정하면 엔터티 페이지에는 해당 활동만 표시되며, 이것들은 내 활동 탭에서 볼 수 있습니다.
엔터티 페이지에서 즉시 가능한 활동을 계속 보려면 추적 및 표시할 각 템플릿에 대한 활동을 생성해야 합니다. 아래의 "템플릿에서 활동 만들기"의 지침을 따르세요.
템플릿에서 활동 만들기
활동 템플릿 탭을 선택하여 기본적으로 사용할 수 있는 다양한 활동을 확인합니다. 엔터티 형식 및 데이터 원본별로 목록을 필터링할 수 있습니다. 목록에서 활동을 선택하면 세부 정보 창에 다음 정보가 표시됩니다.
활동에 대한 설명입니다.
활동을 구성하는 이벤트를 제공하는 데이터 원본입니다.
원시 데이터의 엔터티를 식별하는 데 사용되는 식별자입니다.
이 활동을 검색하도록 하는 쿼리
세부 정보 창 아래쪽에서 활동 만들기 를 선택하여 활동 만들기 마법사를 시작합니다.
작업 마법사 - 템플릿에서 새 활동 만들기가 열리고 해당 필드가 템플릿에서 이미 채워집니다. 일반 및 활동 구성 탭에서 원하는 대로 변경하거나 모든 항목을 그대로 두면 기본 제공 활동을 계속 볼 수 있습니다.
만족하면 검토 및 만들기 탭을 선택합니다. 유효성 검사 전달 메시지가 표시되면 아래쪽의 만들기 단추를 클릭합니다.
처음부터 활동 만들기
활동 페이지의 위쪽에서 활동 추가 를 클릭하여 활동 만들기 마법사를 시작합니다.
활동 마법사 - 새 활동 만들기 창이 열리고 필드가 비어 있습니다.
일반 탭
활동의 이름을 입력합니다(예: "그룹에 추가된 사용자").
활동에 대한 설명을 입력합니다(예: "Windows 이벤트 ID 4728에 따른 사용자 그룹 구성원 변경").
이 쿼리에서 추적할 엔터티 유형(사용자 또는 호스트)을 선택합니다.
쿼리를 구체화하고 성능을 최적화하는 데 도움이 되는 추가 매개 변수를 기준으로 필터링할 수 있습니다. 예를 들어 IsDomainJoined 매개 변수를 선택하고 값을 True로 설정하여 Active Directory 사용자를 필터링할 수 있습니다.
사용또는 사용 안 함으로 활동의 초기 상태를 선택할 수 있습니다.
다음: 활동 구성을 선택하여 다음 탭으로 이동합니다.
활동 구성 탭
활동 쿼리 작성
여기서는 선택한 엔터티에 대한 활동을 검색하는 데 사용되는 KQL 쿼리를 작성하거나 붙여넣고 타임라인에서 표시되는 방법을 결정합니다.
중요합니다
쿼리는 기본 제공 테이블이 아닌 ASIM(Advanced Security Information Model) 파서를 사용하는 것이 좋습니다. 이렇게 하면 쿼리가 단일 데이터 원본이 아닌 현재 또는 향후의 관련 데이터 원본을 지원할 수 있습니다.
이벤트의 상관 관계를 지정하고 사용자 지정 활동을 검색하기 위해 KQL은 엔터티 유형에 따라 여러 매개 변수를 입력해야 합니다. 매개 변수는 해당 엔터티의 다양한 식별자입니다.
쿼리 결과와 엔터티 간에 일대일 매핑을 만들려면 강력한 식별자를 선택하는 것이 더 좋습니다. 약한 식별자를 선택하면 부정확한 결과가 생성될 수 있습니다. 엔터티 및 강력한 식별자와 약한 식별자에 대해 자세히 알아봅니다.
다음 표에서는 엔터티의 식별자에 대한 정보를 제공합니다.
계정 및 호스트 엔터티에 대한 강력한 식별자
쿼리에는 하나 이상의 식별자가 필요합니다.
| 개체 | ID | 설명 |
|---|---|---|
| 계좌 | Account_Sid | Active Directory에 있는 계정의 온-프레미스 SID |
| Account_AadUserId | Microsoft Entra ID에 있는 사용자의 Microsoft Entra 개체 ID | |
| 계정_이름 + 계정_NT도메인 | SamAccountName과 유사(예: Contoso\Joe) | |
| Account_Name + Account_UPNSuffix | UserPrincipalName과 유사(예: Joe@Contoso.com) | |
| 호스트 | Host_HostName + Host_NTDomain | FQDN(정규화된 도메인 이름)과 유사 |
| Host_HostName + Host_DnsDomain | FQDN(정규화된 도메인 이름)과 유사 | |
| Host_NetBiosName + Host_NTDomain | FQDN(정규화된 도메인 이름)과 유사 | |
| Host_NetBiosName + Host_DnsDomain | FQDN(정규화된 도메인 이름)과 유사 | |
| Host_AzureID | Microsoft Entra ID에서 호스트의 Microsoft Entra 개체 ID(Microsoft Entra 도메인에 가입된 경우) | |
| Host_OMSAgentID | 특정 호스트에 설치된 에이전트의 OMS 에이전트 ID(호스트별) |
선택한 엔터티에 따라 사용 가능한 식별자가 표시됩니다. 관련 식별자를 클릭하여 커서의 위치에 있는 쿼리에 식별자를 붙여넣습니다.
참고
쿼리에는 최대 10개의 필드가 포함될 수 있으므로 원하는 필드를 프로젝스해야 합니다.
감지된 활동을 엔터티의 타임라인에 배치하려면 프로젝터된 필드에 TimeGenerated 필드가 포함되어야 합니다.
SecurityEvent
| where EventID == "4728"
| where (SubjectUserSid == '{{Account_Sid}}' ) or (SubjectUserName == '{{Account_Name}}' and SubjectDomainName == '{{Account_NTDomain}}' )
| project TimeGenerated, SubjectUserName, MemberName, MemberSid, GroupName=TargetUserName
타임라인에 활동 표시
편의를 위해 활동 출력에 동적 매개 변수를 추가하여 활동이 타임라인에 표시되는 방식을 결정할 수 있습니다.
Microsoft Sentinel은 사용할 기본 제공 매개 변수를 제공하며 쿼리에서 예상한 필드를 기반으로 다른 매개 변수를 사용할 수도 있습니다.
{{ParameterName}} 매개 변수에 다음 형식을 사용합니다.
활동 쿼리가 유효성 검사를 통과하고 쿼리 창 아래에 쿼리 결과 보기 링크를 표시하면 사용 가능한 값 섹션을 확장하여 동적 활동 제목을 만들 때 사용할 수 있는 매개 변수를 볼 수 있습니다.
특정 매개 변수 옆에 있는 복사 아이콘을 선택하여 위의 활동 제목 필드에 붙여넣을 수 있도록 해당 매개 변수를 클립보드에 복사합니다.
쿼리에 다음 매개 변수를 추가합니다.
쿼리에서 예상한 모든 필드
쿼리에 언급된 엔터티의 엔터티 식별자
StartTimeUTC, 활동 시작 시간(UTC 시간)을 추가합니다.EndTimeUTC, 활동 종료 시간(UTC 시간)을 추가합니다.Count, 여러 KQL 쿼리 출력을 단일 출력으로 요약합니다.count매개 변수는 편집기에 완전히 표시되지 않더라도 백그라운드에서 쿼리에 다음 명령을 추가합니다.Summarize count() by <each parameter you’ve projected in the activity>그런 다음 엔터티 페이지에서 버킷 크기 필터를 사용하는 경우 백그라운드에서 실행되는 쿼리에도 다음 명령이 추가됩니다.
Summarize count() by <each parameter you’ve projected in the activity>, bin (TimeGenerated, Bucket in Hours)
예를 들면 다음과 같습니다.
쿼리 및 활동 제목에 만족하면 다음: 검토를 선택합니다.
앞의 예제에서 사용된 다음 항목에 대한 자세한 내용은 Kusto 설명서를 참조하세요.
KQL에 대한 자세한 내용은 KQL(Kusto Query Language) 개요를 참조하세요.
기타 리소스:
검토 및 만들기 탭
사용자 지정 활동의 모든 구성 정보를 확인합니다.
유효성 검사를 통과한 메시지가 나타나면 만들기를 클릭하여 작업을 만듭니다. 나중에 내 활동 탭에서 편집하거나 변경할 수 있습니다.
활동 관리
내 활동 탭에서 사용자 지정 활동을 관리합니다. 작업 행의 끝에 있는 줄임표(...)를 클릭하여 다음을 수행합니다.
- 활동을 편집합니다.
- 활동을 복제하여 약간 다른 새 활동을 만듭니다.
- 활동을 삭제합니다.
- 활동을 삭제하지 않고 사용하지 않도록 설정합니다.
엔터티 페이지에서 활동 보기
엔터티 페이지를 입력할 때마다 해당 엔터티에 대해 사용하는 모든 활동 쿼리가 실행되어 엔터티 타임라인에 최신 정보가 제공됩니다. 타임라인에 경고 및 책갈피와 함께 활동이 표시됩니다.
타임라인 콘텐츠 필터를 사용하여 활동(또는 활동, 경고 및 책갈피의 조합)만 표시할 수 있습니다.
활동 필터를 사용하여 특정 활동을 표시하거나 숨길 수도 있습니다.
다음 단계
이 문서에서는 엔터티 페이지 타임라인에 대한 사용자 지정 활동을 만드는 방법을 알아보았습니다. Microsoft Sentinel에 대한 자세한 내용은 다음 문서를 참조하세요.
- 엔터티 페이지에서 전체 그림을 가져옵니다.
- UEBA(사용자 및 엔터티 동작 분석)에 대해 알아봅니다.
- 엔터티 및 식별자의 전체 목록을 참조하세요.