Microsoft의 통합 SecOps 플랫폼에서 헌팅
보안 위협에 대한 헌팅은 위협 헌팅의 모든 단계에서 수행할 때 가장 효과적인 고도로 사용자 지정 가능한 활동입니다. 사전 대응, 사후 인시던트. Microsoft의 SecOps(통합 보안 운영) 플랫폼은 위협 헌팅의 모든 단계에 효과적인 헌팅 도구를 제공합니다. 이러한 도구는 경력에서 막 시작한 분석가나 고급 헌팅 방법을 사용하여 숙련된 위협 사냥꾼에게 적합합니다. 모든 수준의 위협 사냥꾼은 기술, 쿼리 및 결과를 팀과 공유할 수 있는 헌팅 도구 기능을 활용합니다.
헌팅 도구
Defender 포털에서 헌팅 쿼리의 기반은 Kusto 쿼리 언어(KQL)에 있습니다. KQL은 클라우드 환경에서 빅 데이터 저장소를 검색하는 데 최적화된 강력하고 유연한 언어입니다. 그러나 복잡한 쿼리를 만드는 것만이 위협을 헌팅하는 유일한 방법은 아닙니다. 다음은 Defender 포털 내에서 헌팅을 도달하도록 설계된 몇 가지 더 많은 헌팅 도구 및 리소스입니다.
- 고급 헌팅의 Security Copilot 자연어 프롬프트에서 KQL을 생성합니다.
- 단계별 헌팅 은 쿼리 작성기를 사용하여 KQL 또는 데이터 스키마를 모르고 의미 있는 헌팅 쿼리를 만듭니다.
- 자동 제안, 스키마 트리 및 샘플 쿼리와 같은 기능을 사용하여 쿼리를 작성할 때 도움을 받으세요.
- 콘텐츠 허브는 Microsoft Sentinel 기본 제공 솔루션과 일치하는 전문가 쿼리를 제공합니다.
- 헌팅용 Microsoft Defender 전문가 도움을 원하는 최고의 위협 사냥꾼조차도 칭찬합니다.
Defender 포털에서 다음 헌팅 도구를 사용하여 팀의 헌팅 기량을 최대화합니다.
| 헌팅 도구 | 설명 |
|---|---|
| 고급 헌팅 | Microsoft의 통합 SecOps 플랫폼 내에서 사용할 수 있는 데이터 원본을 보고 쿼리하고 팀과 쿼리를 공유합니다. 쿼리 및 함수를 포함하여 모든 기존 Microsoft Sentinel 작업 영역 콘텐츠를 사용합니다. |
| Microsoft Sentinel 헌팅 | 데이터 원본에서 보안 위협을 헌팅합니다. 헌팅, 책갈피 및 라이브 스트림과 같은 특수 검색 및 쿼리 도구를 사용합니다. |
| 탐색 | 인시던트 내에서 발견된 엔터티에 대한 조사를 신속하게 피벗합니다. |
| 사냥 | 공동 작업 기능을 사용하는 엔드 투 엔드, 자동 관리 위협 헌팅 프로세스입니다. |
| 책갈피 | 쿼리 및 해당 결과를 유지하여 메모 및 상황별 관찰을 추가합니다. |
| 라이브 스트림 | 대화형 헌팅 세션을 시작하고 Log Analytics 쿼리를 사용합니다. |
| 요약 규칙을 사용하여 헌팅 | 요약 규칙을 사용하여 자세한 로그에서 위협에 대한 비용 헌팅을 절감합니다. |
| MITRE ATT&CK 맵 | 새 헌팅 쿼리를 만들 때 적용할 특정 전술 및 기술을 선택합니다. |
| 기록 데이터 복원 | 고성능 쿼리에 사용하도록 보관된 로그에서 데이터를 복원합니다. |
| 대용량 데이터 집합 검색 | KQL을 사용하여 최대 7년 전 로그에서 특정 이벤트를 검색합니다. |
| 인프라 연결 | 위협 행위자 간의 새로운 연결을 찾고, 유사한 공격 활동을 그룹화하고, 가정을 입증합니다. |
| 위협 탐색기 | 전자 메일과 관련된 특수 위협을 헌팅합니다. |
헌팅 단계
다음 표에서는 위협 헌팅의 모든 단계에서 Defender 포털의 헌팅 도구를 최대한 활용하는 방법을 설명합니다.
| 헌팅 스테이지 | 헌팅 도구 |
|---|---|
| 사전 대응 - 위협 행위자가 하기 전에 사용자 환경에서 취약한 영역을 찾습니다. 의심스러운 활동을 조기에 검색합니다. | - 정기적으로 엔드투엔드 헌팅 을 수행하여 감지되지 않은 위협 및 악의적인 행동을 사전에 검색하고, 가설의 유효성을 검사하고, 새로운 탐지, 인시던트 또는 위협 인텔리전스를 만들어 조사 결과에 대해 조치를 수행합니다. - MITRE ATT&CK 맵 을 사용하여 검색 격차를 식별한 다음 강조 표시된 기술에 대해 미리 정의된 헌팅 쿼리를 실행합니다. - 검증된 쿼리에 새 위협 인텔리전스를 삽입하여 검색을 조정하고 손상이 진행 중인지 확인합니다. - 새 원본 또는 업데이트된 원본의 데이터에 대해 쿼리를 빌드하고 테스트하기 위한 사전 조치를 취합니다. - 고급 헌팅 을 사용하여 경고가 없는 초기 단계 공격 또는 위협을 찾습니다. |
| 반응성 - 활성 조사 중에 헌팅 도구를 사용합니다. | - 라이브 스트림 을 사용하여 일관된 간격으로 특정 쿼리를 실행하여 이벤트를 적극적으로 모니터링합니다. - 조사 중에 발견된 의심스러운 엔터티를 광범위하게 검색하기 위해 이동 사냥 단추를 사용하여 인시던트를 신속하게 피벗합니다. - 위협 인텔리전스를 헌팅하여 인프라 체인을 수행합니다. - 고급 헌팅에서 Security Copilot 사용하여 머신 속도 및 규모로 쿼리를 생성합니다. |
| 인시던트 후 - 유사한 인시던트가 되풀이되지 않도록 검사 및 인사이트를 개선합니다. | - 성공적인 헌팅 쿼리를 새 분석 및 검색 규칙으로 전환하거나 기존 쿼리를 구체화합니다. - 기록 데이터를 복원 하고 전체 인시던트 조사의 일환으로 특수한 헌팅을 위해 큰 데이터 세트를 검색 합니다. |