Microsoft Sentinel로 위협 탐지(규칙 및 경고 생성)

2024년 3월 1일

이 기술 및 교육 문서는 보안 분석가, IT 관리자 및 시스템 엔지니어가 Microsoft Sentinel, Microsoft 클라우드 기반 SIEM(보안 정보 및 이벤트 관리) 및 SOAR(보안 오케스트레이션, 자동화 및 대응)을 사용하여 위협을 사전에 감지하도록 안내하는 것을 목표로 합니다. Microsoft Sentinel은 여러 소스에서 데이터를 수집하고, 위협을 탐지하고, 사고를 조사하고, 자동화된 방식으로 대응함으로써 기업 전체에 통합된 보안 보기를 제공합니다[1].

소개

점점 더 복잡해지고 방대해지는 사이버 위협 환경에서 조직에는 보안 데이터를 수집할 뿐만 아니라 이를 지능적으로 분석하여 악의적인 활동을 식별하는 도구가 필요합니다. Microsoft Sentinel은 보안 팀이 실시간으로 위협을 모니터링, 감지 및 대응할 수 있도록 하여 이러한 격차를 해소합니다. 분석 규칙 및 경고 생성은 Sentinel 탐지 기능의 핵심으로, 방대한 양의 로그를 실행 가능한 통찰력으로 변환합니다[2].

이 실무 가이드에서는 데이터 수집부터 사용자 지정 경고 생성 및 효율성 검증까지 Azure Sentinel에서 분석 규칙을 구성하는 방법을 다룹니다. 독자가 자신의 환경에서 위협 탐지를 구현 및 최적화하여 보안 태세를 강화하고 사고 대응 속도를 높일 수 있도록 단계별 지침, KQL(Kusto 쿼리 언어) 쿼리 예제 및 설명이 제공됩니다.

위협 탐지를 위해 Azure Sentinel을 사용하는 이유는 무엇인가요?

• 클라우드 확장성: Azure를 기반으로 로그 수집 및 저장을 위한 무제한 확장성을 제공합니다.
• 통합 위협 인텔리전스: Microsoft와 파트너의 위협 인텔리전스를 활용하여 탐지 기능을 강화합니다.
• 행동 분석(UEBA): 사용자 및 엔터티의 이상 및 의심스러운 행동을 식별합니다.
• 자동화(SOAR): 플레이북을 통해 사고에 대한 대응을 자동화할 수 있습니다.
• 포괄적인 가시성: Microsoft 365, Azure, AWS, Google Cloud 및 타사 보안 솔루션을 포함한 여러 데이터 소스에 연결됩니다.

전제조건

Azure Sentinel을 사용하여 위협 감지를 구성하려면 다음 항목이 필요합니다.

1. Azure 구독: 활성 Microsoft Azure 구독입니다.
2. 관리 액세스: Azure Portal(portal.azure.com)에서 Sentinel 기여자 또는 Log Analytics 관리자 권한이 있는 계정입니다.
3. Log Analytics 작업 영역: Sentinel의 데이터 저장소 역할을 하는 구성된 Log Analytics 작업 영역입니다.
4. Microsoft Sentinel Active: Log Analytics 작업 영역에서 Microsoft Sentinel을 활성화해야 합니다.
5. 구성된 데이터 커넥터: 보안 데이터(로그)는 Azure AD, Microsoft 365, 엔드포인트용 Microsoft Defender, 방화벽 등과 같은 소스에서 Log Analytics 작업 영역으로 수집되어야 합니다.[3]

단계별: 분석 규칙 및 경고 생성

일반적인 위협 시나리오(무차별 대입 시도를 나타내는 짧은 시간 내에 여러 번의 로그인 실패)를 탐지하기 위해 예약된 분석 규칙을 만들어 보겠습니다.

1. 데이터 커넥터 확인

규칙을 만들기 전에 관련 데이터가 수집되고 있는지 확인하세요. 로그인 실패 감지를 위해서는 Azure Active Directory(Microsoft Entra ID)의 로그가 필요합니다.

1. Azure 포털 https://portal.azure.com으로 이동합니다.
2. Microsoft Sentinel로 이동합니다.
3. 왼쪽 탐색 창에서 데이터 커넥터를 선택합니다.
4. Azure Active Directory를 검색하고 상태가 연결됨인지 확인합니다.

2. 예약 분석 규칙 만들기

10분 이내에 동일한 IP에서 5회 이상의 로그인 실패를 감지하는 규칙을 만들어 보겠습니다.

1. Azure Sentinel의 왼쪽 탐색 창에서 분석을 선택합니다.
2. + 만들기 > 예약된 쿼리 규칙을 클릭합니다.

1단계: 일반

1. 이름: 'Azure AD 무차별 대입 시도'
2. 설명: '단기간 내에 동일한 IP 주소에서 여러 Azure AD 로그인 실패를 감지하여 무차별 대입 공격 가능성을 나타냅니다.'
3. 전술: '자격 증명 액세스'를 선택합니다.
4. 심각도: '보통'.
5. 상태: '활성화됨'.
6. 다음: Defi를 클릭하세요.규칙 논리를 정의합니다.

2단계: 규칙 논리 정의

1. 규칙 쿼리: KQL 쿼리를 입력합니다.

``쿠스토 로그인 로그 | where ResultType == "50126" // 자격 증명 확인 실패 | FailedLogins = count() by IPAddress, UserPrincipalName, bin(TimeGenerated, 10m) 요약 | 여기서 FailedLogins >= 5 | AccountCustomEntity = UserPrincipalName, IPCustomEntity = IPAddress 확장 ````

1. 엔티티 매핑: 엔터티를 매핑하여 경고를 강화합니다. 엔티티 매핑 아래에 다음을 추가합니다.

   • 계정: AccountCustomEntity
   • IP 주소: IPCustomEntity

2. 약속 예약:

   • 쿼리 실행 간격: 10분
   • 최신 검색 데이터: 10분

3. 알림 제한: '쿼리 결과 개수가 0보다 큰 경우 알림 생성' 기본값을 그대로 둡니다.

3단계: 사고 설정

1. 이 분석 규칙에 의해 트리거된 경고에서 인시던트 생성: 활성화되었습니다.
2. 경보 그룹화: '모든 경보가 동일한 엔터티에서 생성된 경우 경보를 단일 사건으로 그룹화합니다.'

4단계: 자동 응답

선택적으로 플레이북(Logic Apps 기반)을 연결하여 방화벽에서 IP 주소를 차단하거나 사용자 계정을 비활성화하는 등의 작업을 자동화할 수 있습니다.

5단계: 검토 및 생성

모든 설정을 검토하고 만들기를 클릭합니다.

경고 및 사고 조사

규칙이 의심스러운 활동을 감지하면 인시던트가 생성됩니다.

1. Azure Sentinel에서 사건으로 이동합니다.
2. 규칙에 의해 생성된 사건을 클릭합니다.
3. 사건 세부정보 페이지에 다음이 표시됩니다.
   • 타임라인: 알림의 연대순입니다.
   • 엔터티: 추가 조사가 가능한 매핑된 엔터티(사용자 및 IP)입니다.
   • 조사 그래프: 엔터티 간 연결을 그래픽으로 시각화한 것입니다.

이러한 도구를 사용하여 공격 범위를 이해하고 필요한 대응 조치를 취하십시오.

Analytics 규칙 템플릿 사용

Microsoft Sentinel에는 Microsoft 및 해당 보안 커뮤니티에서 미리 작성된 수백 개의 규칙 템플릿이 함께 제공됩니다. 이를 사용하는 것은 탐지 능력을 높이는 빠른 방법입니다.

1. 분석에서 규칙 템플릿 탭으로 이동합니다.
2. 데이터 소스, MITRE ATT&CK® 전술 등으로 필터링합니다.
3. 관련 템플릿(예: 비정상적인 로그인 위치)을 선택합니다.
4. 세부정보 창에서 규칙 만들기를 클릭합니다. 마법사는 활성 규칙을 만들기 전에 사용자 정의할 수 있는 템플릿 논리 및 설정으로 채워집니다.

결론

Azure Sentinel에서 사용자 지정 분석 규칙을 만드는 것은 모든 보안 팀에게 필수적인 기능입니다. 원시 데이터를 실행 가능한 탐지로 변환함으로써 조직은 무차별 대입 공격, 측면 이동, 데이터 유출과 같은 위협을 사전에 식별할 수 있습니다. 대응 자동화 및 기존 규칙 템플릿과 결합된 Sentinel은 분석가가 가장 중요한 것, 즉 조직 보호에 집중할 수 있도록 지원합니다.

참고자료

[1] 마이크로소프트. (2023). Microsoft Sentinel이란 무엇입니까? [2] 마이크로소프트. (2023). Microsoft Sentinel에서 사건을 보고 조사합니다. [3] 마이크로소프트. (2023). Microsoft Sentinel 데이터 커넥터와 함께 작동.