다음을 통해 공유

Microsoft Defender XDR 상관 관계에서 분석 규칙 제외(미리 보기)

  • 적용 대상: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

이 문서에서는 Microsoft Defender XDR 상관 관계 엔진에서 특정 분석 규칙을 제외하는 방법을 설명합니다. 이 기능은 Microsoft Sentinel 마이그레이션하는 조직이 예측 가능한 인시던트 동작을 유지하고 기존 자동화 워크플로와의 호환성을 보장하는 데 도움이 됩니다.

개요

Microsoft Defender XDR 여러 경고 및 인시던트가 통합된 공격 스토리로 그룹화됩니다. 이 기능은 강력한 보안 인사이트를 제공하지만, 인시던트가 정적이고 분석 규칙 구성에 의해서만 결정되는 Microsoft Sentinel 마이그레이션하는 조직에서 예기치 않은 동작으로 이어질 수 있습니다.

특정 분석 규칙을 상관 관계에서 제외하면 해당 규칙에서 생성된 경고가 분석 규칙의 그룹화 구성에 따라 Microsoft Sentinel 때와 똑같이 상관 관계 엔진 및 그룹을 인시던트로 무시하도록 할 수 있습니다.

Microsoft Defender XDR 상관 관계가 작동하는 방식에 대한 자세한 내용은 Microsoft Defender 포털에서 경고 상관 관계 및 인시던트 병합을 참조하세요.

필수 구성 요소

상관 관계에서 분석 규칙을 제외하려면 다음 권한이 필요합니다.

Microsoft Sentinel 이 Azure 역할을 가진기여자 사용자는 경고 및 검색을 포함하여 Microsoft Sentinel SIEM 작업 영역 데이터를 관리할 수 있습니다.

제외 작동 방식

상관 관계에서 분석 규칙을 제외하는 경우:

  • 해당 규칙에 의해 생성된 모든 경고는 상관 관계 엔진을 우회합니다.
  • 경고는 분석 규칙의 그룹화 구성에 따라 인시던트로 그룹화됩니다.
  • 이 동작은 Microsoft Sentinel 인시던트가 생성된 방식과 일치합니다.
  • 규칙은 일반적으로 공격 스토리를 만드는 상관 관계 논리와 독립적으로 작동합니다.

이 제외는 규칙 설명의 시작 부분에 태그를 추가하여 #DONT_CORR# 제어됩니다.

UI를 사용하여 상관 관계에서 규칙 제외

분석 규칙 마법사에서 토글을 사용하여 상관 관계에서 분석 규칙을 제외할 수 있습니다.

  1. Microsoft Defender 포털로 이동하여 로그인합니다.

  2. 분석 규칙 마법사로 이동합니다.

  3. 규칙 마법사의 일반 탭에서 및 이름 및 설명을 입력합니다.

  4. 규칙 논리 설정 탭에서 필요에 따라 규칙 논리를 구성합니다.

  5. 인시던트 설정 탭에서 상관 관계 사용 토글이 사용 안 함으로 설정되어 있는지 확인합니다.

    상관 관계 사용 토글이 사용 안 함으로 설정된 인시던트 설정 UI의 스크린샷

  6. 토글을 기로 설정하여 상관 관계에서 규칙을 제외합니다.

UI 토글을 #DONT_CORR# 사용하여 규칙을 제외하면 태그가 규칙 설명의 시작 부분에 자동으로 추가됩니다. 이제 분석 규칙 보기에는 상관 관계 상태에 대한 열이 포함되어 있으므로 제외되는 규칙을 쉽게 확인하고 목록을 필터링하여 특정 상태의 규칙을 볼 수 있습니다.

상관 관계 상태 열이 있는 분석 규칙 보기의 스크린샷

수동으로 상관 관계에서 규칙 제외

태그를 #DONT_CORR# 수동으로 추가하거나 제거하여 분석 규칙의 상관 관계 상태를 제어할 수 있습니다.

수동으로 태그 추가

  1. 편집 모드에서 분석 규칙을 엽니다.

  2. 규칙의 설명 필드에서 텍스트의 시작 부분에 를 추가 #DONT_CORR# 합니다.

  3. 규칙을 저장합니다.

API를 통한 상관 관계 제외 제어

분석 API를 통해 태그를 추가하거나 제거하여 #DONT_CORR# 분석 규칙의 제외 상태를 프로그래밍 방식으로 제어할 수 있습니다.

규칙의 상관 관계 상태를 수정하려면 다음을 수행합니다.

  1. Microsoft Defender XDR API를 사용하여 규칙의 현재 구성을 검색합니다.

  2. 규칙 설명 #DONT_CORR# 필드의 시작 부분에 태그를 추가하거나 제거합니다.

  3. API를 사용하여 규칙을 업데이트합니다.

Microsoft Defender XDR API 사용에 대한 자세한 내용은 Microsoft Defender XDR API 개요를 참조하세요.

중요한 고려 사항

상관 관계 제외를 사용할 때 다음 사항에 유의하세요.

  • 상관 관계 상태는 항상 태그와 일치합니다. UI 토글을 사용하여 규칙을 제외한 다음 설명에서 태그를 #DONT_CORR# 수동으로 제거하면 규칙의 상관 관계 상태가 상관 관계 사용으로 되돌아갑니다.

  • 명시적으로 제외되지 않는 한 모든 분석 규칙은 기본적으로 상관 관계를 사용하도록 설정됩니다.

  • 규칙이 상관 관계에서 제외되는 경우에도 분석 규칙이 동적 제목으로 정의된 경우 Defender 포털의 인시던트 제목은 Microsoft Sentinel 제목과 다를 수 있습니다. Microsoft Sentinel 타이틀은 첫 번째 경고의 제목이며 Defender에서는 모든 경고의 일반적인 MITRE 전술로 돌아갑니다.

  • 규칙의 상관 관계 상태를 변경해도 변경 전에 생성된 경고에는 영향을 주지 않습니다. 경고는 생성될 때 상관 관계 상태를 수신하며 이 상태는 정적 상태로 유지됩니다.

  • 상관 관계 엔진은 완전한 공격 스토리를 빌드하도록 설계되었으며 SOC 분석가가 공격을 이해하고 효율적으로 대응하는 데 크게 도움이 됩니다. 특정 비즈니스 또는 운영 요구 사항에 필요한 경우에만 상관 관계에서 규칙을 제외합니다.

  • 태그 서식 규칙

    • 대/소문자를 구분하지 않음 - 대문자와 소문자(예#dont_corr#: 또는 #DONT_CORR#)의 조합을 사용할 수 있습니다.
    • 간격은 유연 합니다. 태그와 설명의 나머지 부분 사이에 공백 수를 추가하거나 공백을 전혀 추가할 수 없습니다.
    • 시작 부분에 있어야 합니다 . 설명 필드의 시작 부분에 태그가 나타나야 합니다.

예를 들어 다음은 모두 유효한 설명입니다.

  • #DONT_CORR# 이 규칙은 의심스러운 로그인 시도를 검색합니다.
  • #dont_corr# 이 규칙은 파일 수정을 모니터링합니다.
  • #DONT_CORR#This 규칙에 태그 뒤의 공백이 없습니다.

다음 단계

더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.

  • Last updated on