Microsoft Sentinel의 자동화: SOAR(보안 오케스트레이션, 자동화 및 대응)
일반적으로 SIEM(보안 정보 및 이벤트 관리) 및 SOC(보안 운영 센터) 팀은 가용 직원을 압도할 만큼 아주 많은 양의 보안 경고 및 인시던트를 정기적으로 받습니다. 그 결과 수많은 경고를 무시하고 많은 인시던트를 미처 조사할 수 없게 되어 조직이 파악하지 못한 공격에 취약한 상태로 노출됩니다.
Microsoft Sentinel은 SIEM 시스템일 뿐만 아니라 SOAR(보안 오케스트레이션, 자동화 및 대응)을 위한 플랫폼이기도 합니다. 주요 목적 중 하나는 보안 운영 센터 및 직원(SOC/SecOps)이 수행해야 하는 모든 반복 및 예측 가능한 보강, 대응, 수정 작업을 자동화하여 고급 위협에 대한 심층 조사 및 헌팅을 위한 시간과 리소스를 확보하는 것입니다.
이 문서에서는 Microsoft Sentinel의 SOAR 기능을 설명하고 보안 위협에 대응하여 자동화 규칙 및 플레이북을 사용하여 SOC의 효율성을 높이고 시간과 리소스를 절약하는 방법을 보여 줍니다.
Important
Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.
자동화 규칙
Microsoft Sentinel은 자동화 규칙을 사용하여 사용자가 중앙 위치에서 인시던트 처리 자동화를 관리할 수 있도록 합니다. 자동화 규칙을 사용하여 다음을 수행합니다.
- 플레이북을 사용하여 인시던트 및 경고에 고급 자동화 할당
- 플레이북 없이 인시던트를 자동으로 태그 지정하거나, 할당하거나, 종료합니다.
- 한 번에 여러 분석 규칙에 대한 응답을 자동화합니다.
- 인시던트 심사, 조사, 수정 시 분석가가 수행할 작업 목록 만들기
- 실행되는 작업 순서 제어
자동화를 더욱 간소화하고 인시던트 오케스트레이션 프로세스의 복잡한 워크플로를 간소화하려면 인시던트가 만들어지거나 업데이트될 때 자동화 규칙을 적용하는 것이 좋습니다.
자세한 내용은 자동화 규칙을 사용하여 Microsoft Sentinel에서 위협 대응 자동화를 참조하세요.
플레이북
플레이북은 Microsoft Sentinel에서 루틴으로 실행할 수 있는 대응 및 수정 작업과 논리의 컬렉션입니다. 플레이북은 다음을 수행할 수 있습니다.
- 위협 대응을 자동화하고 조율하도록 지원
- 내부 및 외부의 많은 인접 시스템과 통합
- 특정 경고 또는 인시던트에 대한 대응으로 자동으로 실행되도록 구성하거나 새로운 경고에 대한 대응과 같이 요청 시 수동으로 실행되도록 구성합니다.
Microsoft Sentinel에서 플레이북은 엔터프라이즈 전체 시스템의 작업 및 워크플로를 예약, 자동화, 오케스트레이션하는 데 도움이 되는 클라우드 서비스인 Azure Logic Apps에서 빌드된 워크플로를 기반으로 합니다. 즉, 플레이북은 Logic Apps의 통합 및 오케스트레이션 기능과 사용하기 쉬운 디자인 도구, 계층 1 Azure 서비스의 스케일링 성능, 안정성, 서비스 수준을 모두 활용하고 사용자 지정할 수 있습니다.
자세한 내용은 Microsoft Sentinel의 플레이북을 사용하여 위협 대응 자동화를 참조하세요.
Microsoft Defender 포털의 자동화
Microsoft Sentinel 작업 영역을 Defender 포털에 온보딩한 후 작업 영역에서 자동화가 작동하는 방식에서 다음과 같은 차이점을 확인합니다.
기능 | 설명 |
---|---|
경고 트리거가 있는 자동화 규칙 | Defender 포털에서 경고 트리거가 있는 자동화 규칙은 Microsoft Sentinel 경고에서만 작동합니다. 자세한 내용은 트리거 만들기 경고를 참조하세요. |
인시던트 트리거를 사용하는 자동화 규칙 | 모든 인시던트에 인시던트 공급자(ProviderName 필드의 값)로 Microsoft Defender XDR이 있으므로 Azure Portal과 Defender 포털 모두에서 인시던트 공급자 조건 속성이 제거됩니다. 이 때, 기존의 자동화 규칙은 인시던트 공급자 조건이 Microsoft Sentinel과 Microsoft 365 Defender 중 하나에만 설정된 규칙을 포함하여 모두 Microsoft Sentinel 인시던트와 Microsoft Defender XDR 인시던트 양쪽에서 실행됩니다. 그러나 특정 분석 규칙 이름을 지정하는 자동화 규칙은 지정된 분석 규칙에서 만든 경고를 포함하는 인시던트에서만 실행됩니다. 이는 분석 규칙 이름 조건 속성을 Microsoft Sentinel에만 존재하는 분석 규칙으로 정의하여 Microsoft Sentinel에서만 규칙이 인시던트에서 실행되도록 제한할 수 있다는 의미입니다. 자세한 내용은 인시던트 트리거 조건을 참조하세요. |
기존 인시던트 이름 변경 | Defender 포털은 고유한 엔진을 사용하여 인시던트와 경고의 상관 관계를 지정합니다. Defender 포털에 작업 영역을 온보딩할 때 상관 관계가 적용되는 경우 기존 인시던트 이름이 변경될 수 있습니다. 따라서 자동화 규칙이 항상 올바르게 실행되도록 하려면 자동화 규칙에서 인시던트 제목을 조건 조건으로 사용하지 말고 대신 인시던트에 포함된 경고를 만든 분석 규칙의 이름과 더 구체적인 경우 태그를 사용하는 것이 좋습니다. |
업데이트 기준 필드 | 자세한 내용은 인시던트 업데이트 트리거를 참조하세요. |
인시던트 작업을 추가하는 자동화 규칙 | 자동화 규칙이 인시던트 작업을 추가하는 경우 해당 작업은 Azure Portal에만 표시됩니다. |
Microsoft 인시던트 만들기 규칙 | Microsoft 인시던트 생성 규칙은 Defender 포털에서 지원되지 않습니다. 자세한 내용은 Microsoft Defender XDR 인시던트와 Microsoft 인시던트 만들기 규칙을 참조합니다. |
Defender 포털에서 자동화 규칙 실행 | 경고가 트리거되고 Defender 포털에서 인시던트가 만들어지거나 업데이트된 후 자동화 규칙이 실행될 때까지 최대 10분이 걸릴 수 있습니다. 이러한 시간 지연은 인시던트가 Defender 포털에서 만들어진 다음 자동화 규칙을 위해 Microsoft Sentinel로 전달되기 때문입니다. |
활성 플레이북 탭 | Defender 포털에 온보딩한 후 기본적으로 활성 플레이북 탭에는 온보딩된 작업 영역의 구독이 있는 미리 정의된 필터가 표시됩니다. Azure Portal에서 구독 필터를 사용하여 다른 구독에 대한 데이터를 추가합니다. 자세한 내용은 콘텐츠 템플릿에서 Microsoft Sentinel 플레이북 만들기 및 사용자 지정을 참조하세요. |
요청 시 수동으로 플레이북 실행 | 다음 절차는 현재 Defender 포털에서 지원되지 않습니다. |
인시던트에 대한 플레이북을 실행하려면 Microsoft Sentinel 동기화가 필요합니다. | Defender 포털에서 인시던트에서 플레이북을 실행하려고 하면 "이 작업과 관련된 데이터에 액세스할 수 없습니다. 몇 분 후에 화면을 새로 고칩니다."라는 메시지가 표시됩니다. 메시지가 표시되면 인시던트가 Microsoft Sentinel에 아직 동기화되지 않았습니다. 플레이북을 성공적으로 실행하려면 인시던트가 동기화된 후 인시던트 페이지를 새로 고칩니다. |
인시던트: 인시던트에 경고 추가 / 인시던트에서 경고 제거 |
Defender 포털에 작업 영역을 온보딩한 후에는 경고를 추가하거나 인시던트에서 경고를 제거할 수 없으므로 이러한 작업은 플레이북 내에서도 지원되지 않습니다. 자세한 내용은 포털 간 기능 차이를 참조하세요. |