헌팅 그래프는 위협 시나리오를 대화형 그래프로 렌더링하여 고급 헌팅에서 시각화 기능을 제공합니다. 이 기능을 사용하면 SOC(보안 운영 센터) 분석가, 위협 사냥꾼 및 보안 연구원이 위협 헌팅 및 인시던트 대응을 보다 쉽고 직관적으로 수행하여 효율성과 가능한 보안 문제를 평가하는 능력을 향상시킬 수 있습니다.
분석가는 종종 KQL(Kusto 쿼리 언어) 쿼리를 사용하여 엔터티 간의 관계를 파악합니다. 이 방법은 시간이 많이 걸리고 감독하기 쉽습니다. 헌팅 그래프를 사용하면 이러한 관계를 시각화하여 보안 데이터를 더 간단하고 빠르게 탐색할 수 있습니다. 경로 및 가능한 초크 지점뿐만 아니라 Surface 인사이트를 추적하고 테이블 형식 쿼리가 놓칠 수 있는 결과에 따라 다양한 작업을 수행할 수 있습니다.
액세스 권한 가져오기
헌팅 그래프, 고급 헌팅 또는 기타 Microsoft Defender XDR 기능을 사용하려면 Microsoft Entra ID 적절한 역할이 필요합니다. 고급 헌팅에 필요한 역할 및 권한에 대해 읽어보세요.
또한 다음과 같은 액세스 또는 권한이 있어야 합니다.
- 데이터 레이크 Microsoft Sentinel
- Microsoft 보안 노출 관리 읽기 전용 액세스 이상
헌팅 그래프를 찾을 수 있는 위치
Microsoft Defender 포털의 왼쪽 탐색 모음으로 이동하여 조사 & 응답>헌팅 고급 헌팅을 선택하여 헌팅>그래프 페이지를 찾을 수있습니다.
고급 헌팅 페이지에서 헌팅 그래프 아이콘 
을 선택합니다. 페이지 위쪽에서 새 만들기 아이콘 만들기 
을 선택하고 헌팅 그래프를 선택합니다.
새 헌팅 그래프 페이지는 고급 헌팅 페이지에서 새 사냥 이라는 레이블이 지정된 탭으로 나타납니다.
헌팅 그래프 기능
헌팅 그래프가 생성하는 대화형 그래프는 노드 와 에지를 사용하여 디바이스, 사용자 계정 또는 IP 주소와 같은 환경의 엔터티와 해당 관계 또는 연결 속성을 표시합니다. Microsoft Defender 그래프 및 시각화에 대해 자세히 알아봅니다.
그래프의 오른쪽 아래 모서리에는 확대 및 축소하고 그래프의 레이어를 볼 수 있는 컨트롤 단추가 있습니다.
헌팅 그래프 시작
헌팅 그래프에서 미리 정의된 시나리오 사용
헌팅 그래프를 사용하면 미리 정의된 시나리오를 사용하여 검색할 수 있습니다. 이러한 시나리오는 특정 사용 사례에 대한 특정하고 일반적인 질문에 답변하는 데 도움이 되는 미리 빌드된 고급 헌팅 쿼리입니다.
미리 정의된 시나리오로 헌팅을 시작하려면 새 헌팅 그래프 페이지에서 미리 정의된 시나리오를 사용하여 검색을 선택합니다. 다음 단계를 수행할 수 있는 측면 패널이 나타납니다.
1단계: 시나리오 선택 및 시나리오 입력 입력
다음 표에서는 헌팅 그래프의 미리 정의된 시나리오와 해당하는 경우 각각의 필수 시나리오 입력에 대해 설명합니다. 입력이 필요한 시나리오의 경우 제공된 검색 상자에서 입력하거나 검색하여 선택할 수 있습니다.
| 시나리오 | 설명 | 입력 |
|---|---|---|
| 두 엔터티 간의 경로 | 두 엔터티(노드)를 제공하여 두 엔터티 간의 경로를 확인합니다. 한 엔터티에서 다른 엔터티로 이어지는 경로가 있는지 검색하려면 이 시나리오를 사용합니다. |
|
| 키 자격 증명 모음에 액세스할 수 있는 엔터티 | 직접 또는 간접 액세스 권한이 있는 다양한 엔터티(디바이스, 가상 머신, 컨테이너, 서버 등)의 경로를 볼 수 있는 특정 키 자격 증명 모음을 제공합니다. 키 자격 증명 모음과 같은 중요한 자산에 액세스할 수 있는 엔터티의 영향을 위반, 유지 관리 작업 또는 평가하는 경우 이 시나리오를 사용합니다. |
대상 키 자격 증명 모음 |
| 중요한 데이터에 액세스할 수 있는 사용자 | 관심 있는 중요한 데이터 스토리지를 제공하여 액세스 권한이 있는 사용자를 봅니다. 중요한 데이터에 액세스할 수 있는 엔터티를 알고 싶은 경우, 특히 인시던트가 기밀 파일에 대한 비정상적인 액세스를 나타내는 경우 이 시나리오를 사용합니다. |
대상 스토리지 계정 |
| 중요한 데이터가 포함된 스토리지 계정에 액세스할 수 있는 중요한 사용자 | 이 시나리오는 중요한 데이터가 포함된 스토리지 리소스에 액세스할 수 있는 중요한 사용자를 식별합니다. 권한 있는 사용자를 기반으로 무단 액세스, 노출 위험 및 위반 영향을 방지, 평가 및 모니터링하려면 이 시나리오를 사용합니다. |
(없음) |
| 디바이스에 의한 데이터 반출 | 액세스 권한이 있는 스토리지 계정의 경로를 볼 수 있는 디바이스 ID를 제공합니다. instance 특정 디바이스가 BYOD(Bring Your Own Device) 환경에서 액세스할 수 있는 스토리지 계정을 검사. 회사 디바이스 및 외부 원본에서 의심스럽거나 권한이 없는 데이터 전송을 조사할 때 이 시나리오를 사용합니다. |
원본 디바이스 |
| 매우 중요한 Kubernetes 클러스터에 대한 경로 | Kubernetes 클러스터에 대한 액세스 권한이 있는 사용자, 가상 머신 및 컨테이너를 볼 수 있는 높은 중요도를 제공합니다. 이 시나리오를 사용하여 매우 중요한 Kubernetes 클러스터로 이어지는 공격 경로 처리를 평가, 분석 및 우선 순위를 지정합니다. |
대상 Kubernetes 클러스터 |
| Azure DevOps 리포지토리에 액세스할 수 있는 ID | ADO(Azure DevOps) 리포지토리 이름을 제공하여 해당 리포지토리에 대한 읽기 및/또는 쓰기 권한이 있는 사용자를 봅니다. 이 시나리오를 사용하여 ADO 리포지토리에 액세스할 수 있는 엔터티를 식별합니다. 이 엔터티에는 중요한 자산과 위협 행위자의 중요한 대상이 포함된 경우가 많습니다. 이 시나리오에서는 가시성을 제공하고 위반 시 대응을 계획할 수 있습니다. |
대상 ADO 리포지토리 |
| SQL 데이터 저장소에 대한 가장 많은 수의 경로에서 노드 식별 | 이 시나리오는 SQL 데이터 저장소로 이어지는 가장 많은 수의 경로에 표시되는 노드를 식별합니다. 이 시나리오는 사용자가 SQL 데이터 저장소에 액세스할 수 있는 역할 또는 권한이 있는 그래프의 경로를 검색합니다. 이 시나리오를 사용하여 중요한 정보를 포함할 수 있는 저장소에 대한 가시성을 확보하고, 위반 시 영향을 평가하고, 완화 및 대응을 준비합니다. |
(없음) |
| 중요한 자산에 대한 공격 경로 | 대상을 향해 이어지는 다양한 노드를 통해 잠재적 경로를 봅니다. 이 시나리오를 사용하여 네트워크를 통해 중요한 자산에 도달할 수 있는 잠재적인 횡적 이동을 검토합니다. |
중요 자산 대상 지정 |
| 엔터티 연결 | 지정된 엔터티의 직접 연결을 찾고 해당 관계를 분석합니다. | 원본 엔터티 메모: 모든 엔터티를 그래프의 시드 노드로 사용할 수 있습니다. 그래프는 들어오는 연결과 나가는 연결을 나타냅니다. |
2단계: 필터 적용
관련 필터를 추가하여 선택한 시나리오의 지도 보기를 보다 정확하게 만들 수 있습니다. 예를 들어 가장 짧은 경로만 표시하려면 이 옵션을 선택합니다.
고급 필터
기본적으로 미리 정의된 시나리오는 측면 패널의 고급 필터 섹션에서 볼 수 있는 특정 필터를 자동으로 적용합니다. 이러한 필터를 제거하거나 새 필터를 추가하여 생성하려는 그래프를 더 구체화할 수 있습니다.
필터를 제거하려면 필터 제거 아이콘 
을 선택합니다. 각 필터 옆에 있거나 모두 지우 기를 선택하여 한 번에 모두 제거합니다.
필터를 추가하려면 필터 추가 를 선택한 다음 지원되는 노드 또는 에지 필터를 선택합니다. 다음 표에서는 이러한 지원되는 연산자와 필터를 나열합니다. 선택한 시나리오에 따라 이러한 필터 중 일부를 옵션으로 사용할 수 없을 수 있습니다.
| 필터 형식 | 연산자 | 필터 |
|---|---|---|
| 원본 노드 | 같음 |
|
| 대상 노드 | 같음 |
|
| 에지 유형 | 같음 |
|
| 가장자리 방향 | 같음 |
|
3단계: 그래프 렌더링
시나리오를 선택하고 필요한 필터를 적용한 후 실행을 선택하여 그래프를 렌더링합니다. 그래프가 렌더링되면 노드 및 가장자리를 선택하여 엔터티 및 관계에 대한 자세한 정보를 보거나 특정 엔터티를 확장하거나 집중하여 그래프를 추가로 탐색할 수 있습니다.