중요합니다
사용자 지정 탐지는 이제 Microsoft Sentinel SIEM Microsoft Defender XDR에서 새 규칙을 만드는 가장 좋은 방법입니다. 사용자 지정 탐지를 사용하면 수집 비용을 줄이고, 무제한의 실시간 탐지 기능을 활용하며, 자동 엔터티 매핑을 통해 Defender XDR의 데이터, 기능, 수정 작업과 원활하게 통합하여 이점을 얻을 수 있습니다. 자세한 내용은 이 블로그를 참고하세요.
중요합니다
현재 감지 튜닝은 시험판 상태입니다. 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법적 용어는 Microsoft Azure 미리 보기에 대한 추가 사용 약관 을 참조하세요.
SIEM에서 위협 탐지 규칙을 미세 조정하는 것은 위협 탐지 범위를 최대화하고 가양성 비율을 최소화하는 것 사이에서 균형을 조정하는 어렵고 섬세하며 지속적인 프로세스가 될 수 있습니다. Microsoft Sentinel은 기계 학습을 사용하여 시간 경과에 따른 인시던트에 대한 응답뿐만 아니라 데이터 원본의 수십억 개의 신호를 분석하고, 패턴을 추론하고, 튜닝 오버헤드를 크게 낮추고 실제 위협을 감지하고 대응하는 데 집중할 수 있는 실행 가능한 권장 사항 및 인사이트를 제공하여 이 프로세스를 간소화하고 간소화합니다.
이제 튜닝 권장 사항 및 인사이트가 분석 규칙에 기본 제공됩니다. 이 문서에서는 이러한 인사이트가 보여주는 내용과 권장 사항을 구현하는 방법을 설명합니다.
규칙 인사이트 및 튜닝 권장 사항 보기
Microsoft Sentinel에 분석 규칙에 대한 튜닝 권장 사항이 있는지 확인하려면 Microsoft Sentinel 탐색 메뉴에서 분석을 선택합니다.
권장 사항이 있는 규칙은 다음과 같이 전구 아이콘을 표시합니다.
다른 인사이트와 함께 권장 사항을 보려면 규칙을 편집합니다. 분석 규칙 마법사의 규칙 논리 설정 탭에 결과 시뮬레이션 표시 아래에 함께 표시됩니다.
인사이트 유형
튜닝 인사이트 표시는 스크롤하거나 살짝 밀 수 있는 여러 창으로 구성되며 각각 다른 것을 표시합니다. 인사이트가 표시되는 시간 프레임(14일)은 프레임의 맨 위에 표시됩니다.
첫 번째 인사이트 창에는 인시던트당 평균 경고 수, 열린 인시던트 수 및 분류별로 그룹화된 닫힌 인시던트 수(true/가양성)와 같은 일부 통계 정보가 표시됩니다. 이 인사이트를 통해 이 규칙의 부하를 파악하고 튜닝이 필요한지(예: 그룹화 설정을 조정해야 하는 경우)를 파악할 수 있습니다.
이 인사이트는 Log Analytics 쿼리의 결과입니다. 인시던트당 평균 경고를 선택하면 인사이트를 생성한 Log Analytics의 쿼리로 이동됩니다. 열린 인시던트를 선택하면 인시던트 블레이드 화면으로 연결됩니다.
두 번째 인사이트 창에서는 제외할 엔터티 목록을 권장합니다. 이러한 엔터티는 닫고 가양성으로 분류한 인시던트와 상관 관계가 높습니다. 나열된 각 엔터티 옆에 있는 더하기 기호를 선택하여 나중에 이 규칙을 실행할 때 쿼리에서 제외합니다.
이 권장 사항은 Microsoft의 고급 데이터 과학 및 기계 학습 모델에서 생성됩니다. 이 창이 튜닝 인사이트 디스플레이에 포함되는 것은 표시할 권장 사항이 있는 것에 따라 달라집니다.
세 번째 인사이트 창에는 이 규칙에 의해 생성된 모든 경고에서 가장 자주 나타나는 네 개의 매핑된 엔터티가 표시됩니다. 결과를 생성하려면 이 인사이트에 대한 규칙에서 엔터티 매핑을 구성해야 합니다. 이 인사이트는 "스포트라이트를 받고 있는" 엔터티를 인식하고 다른 엔터티로부터 관심을 끄는 데 도움이 될 수 있습니다. 다른 규칙에서 이러한 엔터티를 별도로 처리하거나, 오탐 또는 기타 잡음으로 판단하여 규칙에서 제외할 수 있습니다.
이 인사이트는 Log Analytics 쿼리의 결과입니다. 엔터티를 선택하면 인사이트를 생성한 Log Analytics의 쿼리로 연결됩니다.
다음 단계
자세한 내용은 다음을 참조하세요.