Microsoft Sentinel의 관심 목록은 보안 분석가가 이벤트 데이터를 효율적으로 상호 연결하고 보강하는 데 도움이 됩니다. 이를 통해 고부가가치 자산 또는 해고된 직원 목록과 같은 참조 데이터를 유연하게 관리할 수 있습니다. 감시 목록을 검색 규칙, 위협 헌팅 및 응답 워크플로에 통합하여 경고 피로를 줄이고 위협에 더 빠르게 대응합니다. 이 문서에서는 Microsoft Sentinel에서 관심 목록을 사용하는 방법을 설명하고, 주요 시나리오 및 제한 사항을 간략하게 설명하고, 보안 작업을 향상시키기 위해 관심 목록을 만들고 쿼리하는 방법에 대한 지침을 제공합니다.
검색, 검색 규칙, 위협 헌팅, 대응 플레이북에서 관심 목록을 사용합니다. 관심 목록은 Microsoft Sentinel 작업 영역의 Watchlist 테이블에 이름-값 쌍으로 저장됩니다. 최적의 쿼리 성능과 짧은 대기 시간을 위해 캐시됩니다.
중요합니다
관심 목록 템플릿의 기능 및 Azure Storage의 파일에서 관심 목록을 만드는 기능은 현재 미리 보기로 제공됩니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법적 조건이 포함됩니다.
관심 목록을 사용해야 하는 경우
다음 시나리오에서 관심 목록을 사용합니다.
CSV 파일에서 IP 주소, 파일 해시 및 기타 데이터를 가져와 위협을 조사하고 인시던트에 신속하게 대응합니다. 데이터를 가져온 후 관심 목록의 이름-값 쌍을 경고 규칙, 위협 헌팅, 작업 시트, 노트북 및 쿼리에서 조인 및 필터로 사용합니다.
비즈니스 데이터를 관심 목록으로 가져옵니다. 예를 들어 권한 있는 시스템 액세스 권한이 있는 사용자 목록 또는 종료된 직원 목록을 가져옵니다. 그런 다음 관심 목록을 사용하여 허용 목록 및 차단 목록을 만들어 해당 사용자가 네트워크에 로그인하지 못하도록 검색하거나 차단합니다.
알림 피로를 줄입니다. 허용 목록(allowlist)을 생성하여 일반적으로 경고를 유발하는 작업을 수행하는 권한 있는 IP 주소의 사용자 그룹으로부터의 경고 발생을 억제합니다. 무해한 이벤트가 경고가 되지 않도록 방지합니다.
이벤트 데이터를 보강합니다. 관심 목록을 사용하여 외부 데이터 원본의 이름-값 조합을 이벤트 데이터에 추가합니다.
감시 목록 제한사항
관심 목록을 만들기 전에 다음 제한 사항을 검토하는 것이 좋습니다.
| 제한 사항 | 세부 정보 |
|---|---|
| 관심 목록 이름 및 별칭 길이 | 관심 목록 이름과 별칭은 3자에서 64자 사이여야 합니다. 첫 문자와 마지막 문자는 영숫자여야 합니다. 공백, 하이픈 및 밑줄 사이에 허용됩니다. |
| 의도한 사용 | 참조 데이터에 대해서만 관심 목록을 사용합니다. 관심 목록은 대용량 데이터 볼륨용으로 설계되지 않았습니다. |
| 최대 활성 관심 목록 항목 | 작업 영역의 모든 관심 목록에 대해 최대 1,000만 개의 활성 관심 목록 항목을 가질 수 있습니다. 삭제된 항목은 계산되지 않습니다. 더 큰 볼륨의 경우 사용자 지정 로그를 사용합니다. |
| 데이터 보존 | Log Analytics 관심 목록 테이블의 데이터는 28일 동안 보존됩니다. |
| 새로 고침 간격 | 관심 목록은 12일마다 새로 고쳐지며 TimeGenerated 필드를 업데이트합니다. |
| 작업 영역 간 관리 | Azure Lighthouse를 사용하여 작업 영역에서 관심 목록을 관리하는 것은 지원되지 않습니다. |
| 로컬 파일 업로드 크기 | 로컬 파일 업로드는 최대 3.8MB의 파일로 제한됩니다. |
| Azure Storage 파일 업로드 크기(미리 보기) | Azure Storage 업로드는 최대 500MB의 파일로 제한됩니다. |
| 열 및 테이블 제한 | 관심 목록은 열 및 이름에 대한 KQL 엔터티 명명 제한을 따라야 합니다. |
Microsoft Sentinel 관심 목록 만들기 방법
다음 방법 중 하나를 사용하여 Microsoft Sentinel에서 관심 목록을 만듭니다.
로컬 폴더 또는 Azure Storage 계정에서 파일을 업로드합니다.
Microsoft Sentinel에서 관심 목록 템플릿을 다운로드하고, 데이터를 추가한 다음, 관심 목록을 만들 때 파일을 업로드합니다.
큰 파일(최대 500MB)에서 관심 목록을 만들려면 Azure Storage 계정에 파일을 업로드합니다. Microsoft Sentinel에서 관심 목록 데이터를 검색할 수 있도록 SAS(공유 액세스 서명) URL을 만듭니다. SAS URL에는 스토리지 계정의 CSV 파일과 같이 리소스에 대한 리소스 URI 및 SAS 토큰이 모두 포함됩니다. Microsoft Sentinel의 작업 영역에 관심 목록을 추가합니다.
자세한 내용은 다음을 참조하세요.
검색 및 검색 규칙에 대한 쿼리의 관심 목록
관심 목록 데이터를 다른 Microsoft Sentinel 데이터와 상호 연결하려면 테이블과 joinlookup 같은 Watchlist Kusto 테이블 형식 연산자를 사용합니다. Microsoft Sentinel은 관심 목록을 참조하고 쿼리하는 데 도움이 되는 다음 함수를 작업 영역에 만듭니다.
-
_GetWatchlistAlias- 모든 관심 목록의 별칭을 반환합니다. -
_GetWatchlist- 지정된 관심 목록의 이름-값 쌍을 쿼리합니다.
관심 목록을 만들 때 SearchKey를 정의합니다. 검색 키는 다른 데이터와 조인 또는 자주 사용되는 검색 개체로 사용할 관심 목록의 열 이름입니다. 예를 들어 국가/지역 이름과 해당 두 글자 국가 코드를 포함하는 서버 관심 목록이 있다고 가정해 보겠습니다. 검색 또는 조인에 국가 코드를 자주 사용할 것으로 예상합니다. 따라서 국가 코드 열을 검색 키로 사용합니다.
Heartbeat
| lookup kind=leftouter _GetWatchlist('mywatchlist')
on $left.RemoteIPCountry == $right.SearchKey
다른 예제 쿼리를 살펴보겠습니다.
분석 규칙에서 관심 목록을 사용하려 한다고 가정합니다. 당신은 ipwatchlist 및 IPAddress 열을 위한 칸들이 있는 Location라는 관심 목록을 만듭니다.
IPAddress로 설정합니다.
IPAddress,Location |
|---|
10.0.100.11,Home |
172.16.107.23,Work |
10.0.150.39,Home |
172.20.32.117,Work |
관심 목록에 IP 주소의 이벤트만 포함하려면 변수 또는 인라인으로 사용되는 쿼리 watchlist 를 사용할 수 있습니다.
이 예제 쿼리는 관심 목록을 변수로 사용합니다.
//Watchlist as a variable
let watchlist = (_GetWatchlist('ipwatchlist') | project IPAddress);
Heartbeat
| where ComputerIP in (watchlist)
이 예제 쿼리는 관심 목록에 대해 정의된 쿼리 및 검색 키와 함께 관심 목록을 인라인으로 사용합니다.
//Watchlist inline with the query
//Use SearchKey for the best performance
Heartbeat
| where ComputerIP in (
(_GetWatchlist('ipwatchlist')
| project SearchKey)
)
자세한 내용은 Microsoft Sentinel에서 관심 목록을 사용한 쿼리 및 검색 규칙 빌드와 Kusto 설명서의 다음 문서를 참조하세요.
KQL에 대한 자세한 내용은 KQL(Kusto Query Language) 개요를 참조하세요.
기타 리소스:
관련 콘텐츠
자세한 내용은 다음을 참조하세요.