다음을 통해 공유


Microsoft의 통합 SecOps 플랫폼에서 헌팅

보안 위협에 대한 헌팅은 위협 헌팅의 모든 단계에서 수행할 때 가장 효과적인 고도로 사용자 지정 가능한 활동입니다. 사전 대응, 사후 인시던트. Microsoft의 SecOps(통합 보안 운영) 플랫폼은 위협 헌팅의 모든 단계에 효과적인 헌팅 도구를 제공합니다. 이러한 도구는 경력에서 막 시작한 분석가나 고급 헌팅 방법을 사용하여 숙련된 위협 사냥꾼에게 적합합니다. 모든 수준의 위협 사냥꾼은 기술, 쿼리 및 결과를 팀과 공유할 수 있는 헌팅 도구 기능을 활용합니다.

헌팅 도구

Defender 포털에서 헌팅 쿼리의 기반은 Kusto 쿼리 언어(KQL)에 있습니다. KQL은 클라우드 환경에서 빅 데이터 저장소를 검색하는 데 최적화된 강력하고 유연한 언어입니다. 그러나 복잡한 쿼리를 만드는 것만이 위협을 헌팅하는 유일한 방법은 아닙니다. 다음은 Defender 포털 내에서 헌팅을 도달하도록 설계된 몇 가지 더 많은 헌팅 도구 및 리소스입니다.

Defender 포털에서 다음 헌팅 도구를 사용하여 팀의 헌팅 기량을 최대화합니다.

헌팅 도구 설명
고급 헌팅 Microsoft의 통합 SecOps 플랫폼 내에서 사용할 수 있는 데이터 원본을 보고 쿼리하고 팀과 쿼리를 공유합니다. 쿼리 및 함수를 포함하여 모든 기존 Microsoft Sentinel 작업 영역 콘텐츠를 사용합니다.
Microsoft Sentinel 헌팅 데이터 원본에서 보안 위협을 헌팅합니다. 헌팅, 책갈피라이브 스트림과 같은 특수 검색 및 쿼리 도구를 사용합니다.
탐색 인시던트 내에서 발견된 엔터티에 대한 조사를 신속하게 피벗합니다.
사냥 공동 작업 기능을 사용하는 엔드 투 엔드, 자동 관리 위협 헌팅 프로세스입니다.
책갈피 쿼리 및 해당 결과를 유지하여 메모 및 상황별 관찰을 추가합니다.
라이브 스트림 대화형 헌팅 세션을 시작하고 Log Analytics 쿼리를 사용합니다.
요약 규칙을 사용하여 헌팅 요약 규칙을 사용하여 자세한 로그에서 위협에 대한 비용 헌팅을 절감합니다.
MITRE ATT&CK 맵 새 헌팅 쿼리를 만들 때 적용할 특정 전술 및 기술을 선택합니다.
기록 데이터 복원 고성능 쿼리에 사용하도록 보관된 로그에서 데이터를 복원합니다.
대용량 데이터 집합 검색 KQL을 사용하여 최대 7년 전 로그에서 특정 이벤트를 검색합니다.
인프라 연결 위협 행위자 간의 새로운 연결을 찾고, 유사한 공격 활동을 그룹화하고, 가정을 입증합니다.
위협 탐색기 전자 메일과 관련된 특수 위협을 헌팅합니다.

헌팅 단계

다음 표에서는 위협 헌팅의 모든 단계에서 Defender 포털의 헌팅 도구를 최대한 활용하는 방법을 설명합니다.

헌팅 스테이지 헌팅 도구
사전 대응 - 위협 행위자가 하기 전에 사용자 환경에서 취약한 영역을 찾습니다. 의심스러운 활동을 조기에 검색합니다. - 정기적으로 엔드투엔드 헌팅 을 수행하여 감지되지 않은 위협 및 악의적인 행동을 사전에 검색하고, 가설의 유효성을 검사하고, 새로운 탐지, 인시던트 또는 위협 인텔리전스를 만들어 조사 결과에 대해 조치를 수행합니다.

- MITRE ATT&CK 맵 을 사용하여 검색 격차를 식별한 다음 강조 표시된 기술에 대해 미리 정의된 헌팅 쿼리를 실행합니다.

- 검증된 쿼리에 새 위협 인텔리전스를 삽입하여 검색을 조정하고 손상이 진행 중인지 확인합니다.

- 새 원본 또는 업데이트된 원본의 데이터에 대해 쿼리를 빌드하고 테스트하기 위한 사전 조치를 취합니다.

- 고급 헌팅 을 사용하여 경고가 없는 초기 단계 공격 또는 위협을 찾습니다.
반응성 - 활성 조사 중에 헌팅 도구를 사용합니다. - 라이브 스트림 을 사용하여 일관된 간격으로 특정 쿼리를 실행하여 이벤트를 적극적으로 모니터링합니다.

- 조사 중에 발견된 의심스러운 엔터티를 광범위하게 검색하기 위해 이동 사냥 단추를 사용하여 인시던트를 신속하게 피벗합니다.

- 위협 인텔리전스를 헌팅하여 인프라 체인을 수행합니다.

- 고급 헌팅에서 Security Copilot 사용하여 머신 속도 및 규모로 쿼리를 생성합니다.
인시던트 후 - 유사한 인시던트가 되풀이되지 않도록 검사 및 인사이트를 개선합니다. - 성공적인 헌팅 쿼리를 새 분석 및 검색 규칙으로 전환하거나 기존 쿼리를 구체화합니다.

- 기록 데이터를 복원 하고 전체 인시던트 조사의 일환으로 특수한 헌팅을 위해 큰 데이터 세트를 검색 합니다.