Microsoft Azure Sentinel 인시던트 필드 매핑

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 8분

    • 매핑된 데이터로 인시던트를 생성할 수 있도록 개별 Microsoft Azure Sentinel 인시던트 필드를 보안 인시던트의 SIR 필드에 매핑합니다.

    시작하기 전에

    중요사항:

    Microsoft는 Azure Portal에서 Azure Sentinel 환경의 사용 중단을 2026년 3월에서 2027년 3월로 연장했습니다.

    현재 SIR(보안 인시던트 응답)과 Azure Sentinel 통합을 사용하는 경우 가능한 한 빨리 새 Defender 포털 통합으로 마이그레이션하는 것이 좋습니다. Defender 통합에는 기존 Sentinel 프로파일을 Defender 프로파일로 자동 변환하는 동시에 전환 후 Sentinel을 통해 생성된 인시던트의 연속성을 보장하는 기본 제공 마이그레이션 유틸리티가 포함되어 있습니다. 자세한 내용은 Microsoft Sentinel에서 Defender로의 마이그레이션 가이드를 참조하세요.

    필요한 역할: sn_si.ingestion_profile_admin

    주:
    sn_si.admin 역할은 기본적으로 필수 권한을 상속하므로 sn_si.admin 역할을 가진 사용자는 프로필 관리자가 사용할 수 있는 모든 작업을 수행할 수 있습니다.

    프로시저

    1. 매핑 페이지의 Azure Sentinel 필드 매핑 섹션에서 샘플 수집 방법 중 하나를 선택합니다.
      표 1. 샘플 수집 방법
      필드 설명
      모든 기본 인시던트 및 엔터티 필드 이 수집 방법을 사용하여 모든 인시던트 및 엔터티 필드의 정적 목록을 봅니다. 이 메서드에는 값 없이 기본 필드 이름만 포함됩니다.

      이 정보를 사용하여 필드와 매핑할 수 있습니다 SIR .
      최근 Azure Sentinel 인시던트 검색 이 수집 방법을 사용하여 최근의 인시던트 및 엔터티 데이터를 임포트합니다.

      Azure Sentinel 인시던트에 엔터티 데이터가 포함되어 있으면 엔터티 데이터가 검색되며 Azure Sentinel 소스 필드 섹션에서 매핑할 수 있습니다. 경우에 따라 Azure Sentinel 인시던트에 엔터티 데이터가 포함되어 있지 않을 수 있으므로 이러한 시나리오에서 매핑에 엔터티 필드를 사용할 수 없습니다.

      Azure Sentinel 인시던트에 여러 경보가 포함되어 있으면 인시던트의 일부인 가장 빠른 경보가 매핑 섹션에 표시됩니다. 수집 중에도 가장 빠른 보안 경보 필드 값이 사용됩니다.

      기본적으로 5개의 샘플 인시던트를 수집할 수 있으며 최대 20개의 샘플 인시던트를 수집할 수 있습니다.

      프로파일이 샘플 인시던트를 수집할 때 샘플 인시던트 필드 값이 채워집니다. 이러한 인시던트를 SIR 인시던트 대상 필드에 매핑할 수 있습니다. 인시던트 필드와 값은 개별 탭으로 표시됩니다.
      샘플 데이터 임포트 샘플 데이터 임포트를 클릭하여 Azure Sentinel에서 샘플 인시던트를 임포트합니다.

      이 버튼은 최근 Azure Sentinel 인시던트 검색 수집 방법을 선택할 때 나타납니다.

      서버에서 샘플 인시던트를 Microsoft Azure Sentinel 검색하는 데 시간이 걸릴 수 있습니다.

      검색된 이러한 인시던트를 SIR 인시던트 대상 필드에 매핑합니다. 인시던트 필드와 값은 개별 탭으로 표시됩니다.
      Azure Sentinel 인시던트의 필드 매핑
    2. 보안 인시던트에 표시되는 기본 필드에 필드를 추가하려면 다음 작업을 수행합니다.
      1. SIR 인시던트 대상 필드 섹션에서 다른 필드 매핑 버튼을 클릭합니다. 다른 필드 매핑 버튼.
        새 필드를 표시할 필드를 선택할 수 있는 필드 목록 SIR 이 표시됩니다.
      2. 보안 인시던트 열에서 표시되는 목록을 확장한 다음 필드를 선택합니다.
        주:
        동일한 보안 인시던트에 여러 옵저버블을 표시할 수 있습니다. 예를 들어 옵저버블 필드는 서로 다른 값으로 여러 번 매핑될 수 있습니다. 마찬가지로 구성 항목작업 메모 필드 는 여러 값을 지원합니다. 여러 값을 지원할 수 없는 필드에 두 값을 매핑하려고 하면 이 필드가 여러 값을 지원하지 않는다는 오류 메시지가 표시됩니다. 마찬가지로 보안 인시던트의 필드에 여러 옵션을 선택할 수 있는 목록이 있고 목록에 표시되지 않은 해당 필드에 옵션을 매핑하려고 하면 필드가 보안 인시던트에 채워지지 않습니다.
      3. Azure Sentinel 소스 필드 섹션에서 필드를 끌어서 놓아 새 필드에 매핑합니다.
      4. 필드에 해당하는 확인란을 선택하면 Azure Sentinel에서 새로 변경되거나 업데이트된 변경 내용에 따라 해당 SIR 인시던트 데이터가 새 인시던트 데이터로 자동 업데이트됩니다.
        주:
        기본 시스템에서 시스템 속성 sn_sec_sentinel.incident_updates는 기본적으로 True로 설정되어 SIR에 연결된 새 경보와 관련된 업데이트를 수신 Microsoft Azure Sentinel 합니다.
        • 기본적으로 영향을 받는 사용자, 구성 항목 및 옵저버블 필드가 선택되어 있습니다. 즉, 새로운 옵저버블이나 관련 구성 항목이 있거나 영향을 받는 사용자가 인시던트에 추가될 때마다 해당 폴링 간격 동안 해당 정보가 자동으로 추출되어 보안 인시던트 응답(SIR)의 관련 목록에 채워집니다.
        • 다른 필드의 경우 Azure Sentinel 내의 Azure Sentinel 인시던트 기록에서 새로 변경되거나 업데이트된 변경 내용의 필드에 해당하는 확인란을 선택해야 합니다. 이렇게 하면 해당 SIR 인시던트 데이터가 새 인시던트 데이터로 자동 업데이트됩니다.
        중요사항:
        기존 데이터를 재정의하면 분석가가 작업할 데이터가 불안정해질 수 있으며 보안 인시던트의 필드 값으로 설정된 다른 자동화도 영향을 받을 수 있으므로 이 기능을 선택하기 전에 실사를 수행해야 합니다. 따라서 재정의 기능을 선택하기 전에 실사를 수행하는 것이 매우 중요합니다.
    3. 필드를 제거하려면 SIR 인시던트 대상 필드 섹션의 입력 식 필드 옆에 있는 제거 버튼 항목 제거 버튼을 사용합니다.
    4. Azure Sentinel 소스 필드 섹션의 필드 값을 SIR 인시던트 대상 필드 섹션의 필드에 매핑하려면 다음 작업 중 하나를 사용합니다.
      1. 필드 이름(예: ID)을 끌어서 SIR 인시던트 대상 필드 열의 필드 이름 옆에 놓습니다.

        Azure Sentinel 소스 필드 섹션의 값을 SIR 인시던트 대상 필드 섹션의 필드와 일치시킬 수 있습니다. 매핑 프로세스에서 인시던트 필드를 간과하거나 중복하지 않도록 필드가 색상으로 구분되어 있습니다. 연한 파란색 필드는 인시던트 필드가 아직 선택되지 않았으며 보안 인시던트에 매핑되지 않았음을 나타냅니다. 수신 인시던트 필드를 보안 인시던트의 두 개 이상의 필드와 연결하는 것이 선호될 수 있습니다. 회색 필드는 필드가 선택되었고 보안 인시던트의 필드에 매핑되었음을 나타냅니다. 이렇게 하면 보안 인시던트에 추가된 필드 값과 나머지 중요한 인시던트 정보가 매핑되지 않은 상태로 남아 있는지 여부를 시각화할 수 있습니다.

      2. 텍스트와 필드의 조합을 추가할 수 있습니다.
        예를 들어 인시던트 이름이 ${name}$입니다. ${name}$가 Azure Sentinel 소스 필드 섹션에서 매핑되는 동안 인시던트 이름을 수동으로 입력할 수 있습니다.
      3. 소스 인시던트 또는 엔터티 필드를 직접 수동으로 입력하고 대상 필드에 매핑할 수 있습니다.
        • 소스 인시던트 필드를 수동으로 매핑하려면 ${field name}$ 형식을 사용합니다. 예를 들어 인시던트 필드 심각도를 매핑하려면 형식은 ${properties(severity)}$입니다.
        • 소스 엔터티 필드를 수동으로 추가하려면 ${엔터티 이름: 엔터티 필드}$ 형식을 사용합니다. 예를 들어, 엔터티 필드 엔터티 보안 경보에 대한 설명을 매핑하려면 형식은 ${SecurityAlert: properties(description)}$입니다.
      이 통합은 특정 옵저버블 하위 유형을 분류합니다. Azure Sentinel 필드를 SIR 옵저버블 필드와 매핑하면 옵저버블이 ServiceNow AI Platform 자동으로 분류됩니다. 들어오는 Azure Sentinel 옵저버블을 의 옵저버블 유형 SIR에 일반적으로 매핑하려면 Azure Sentinel 필드를 옵저버블 필드에 끌어서 놓습니다. 그러나 에서 들어오는 Azure Sentinel 옵저버블 SIR에 대한 옵저버블 유형을 알고 있는 경우 옵저버블 유형 필드에 SIR 구체적으로 매핑합니다. 에서 SIR 특정 옵저버블 유형의 예로는 Observable(도메인 이름), Observable(이메일 주소), Observable(IP 주소(V4)) 및 Observable(호스트 이름)이 있습니다.

      수신 Azure Sentinel 필드에 정보가 포함되어 MITRE-ATT&CK 있으면 기술 필드에 MITRE-ATT&CK 매핑합니다. 수신 Azure Sentinel 필드에 기술 ID 또는 기술 이름이 포함되어 MITRE-ATT&CK 있는지 확인합니다.

      의 인시던트 필드 값이 Microsoft Azure Sentinel SIR 보안 인시던트의 필드로 직접 변환되지 않는 경우가 있습니다. 이러한 값의 경우 스크립트 편집기를 사용하여 매핑 단계 중에 보안 인시던트의 필드 값에 대한 형식을 지정할 수 있습니다. 비슷하지만 동일하지는 않은 값의 형식을 지정하려면 스크립트 편집기를 사용하십시오.

    5. Azure Sentinel 인시던트의 새 필드에 대한 필드 변환의 형식이 보안 인시던트의 필드 값과 일치하도록 하려면 SIR 인시던트 대상 필드 헤더에서 여기 클릭 링크를 클릭합니다.
    6. 필드 번역을 지원하는 필드를 수정하려면 필드 형식 단추 스크립트 형식 필드 번역 아이콘을 클릭하십시오.
      필드 변환을 지원하는 필드는 범주, 구성 항목우선순위입니다. 예를 들어 범주 옆에 있는 필드 형식 버튼 아이콘을 클릭합니다. Azure Sentinel 필드 변환 스크립트 편집기가 열립니다.
    7. 스크립트에 대한 변경 내용을 입력하고 업데이트를 클릭하여 변경 내용을 저장하고 매핑 페이지로 돌아갑니다.
      예를 들어 범주의 경우 스크립트 편집기에서 다음을 정의합니다.
      "<Incoming Sentinel Incident Field Value>" : "<Category to assign to the Security Incident>".
      이렇게 매핑하면 프로파일에서 구성된 범주만 사용할 수 있습니다.
    8. 필드 값을 추가하거나 제거하여 매핑을 계속합니다.
      인시던트 생성 조건 작성기에서 동일한 필드 값을 사용하여 수신 인시던트가 보안 인시던트를 만들기 위해 충족해야 하는 추가 기준을 정의할 수 있습니다.
    9. 필터링 및 집계 섹션으로 이동하려면 계속을 클릭합니다.

    다음에 수행할 작업

    보안 인시던트를 생성해야 하는 인시던트를 지정할 수 있도록 필터 조건을 정의하고 설정합니다. 필터링 및 집계 섹션에 있는 인시던트 생성 조건 작성기에서 동일한 필드 값(매핑 섹션에 정의됨)을 사용하여 수신 인시던트가 보안 인시던트를 만들기 위해 충족해야 하는 추가 기준을 정의할 수 있습니다.