Microsoft Sentinel 자동 응답

Microsoft Sentinel은 SIEM(보안 정보 및 이벤트 관리) 및 SOAR(보안 오케스트레이션, 자동화 및 응답)를 위한 확장 가능한 클라우드 기반 솔루션입니다. 모든 규모의 조직에 지능형 보안 분석을 제공하고 다음과 같은 기능 등을 제공합니다.

• 비즈니스 공격 탐지
• 사전 헌팅
• 자동화된 인시던트 대응

Microsoft Sentinel의 위협 대응은 플레이북을 통해 관리됩니다. 경고 또는 인시던트에 의해 트리거되는 경우 플레이북은 위협에 대응하기 위해 일련의 자동화된 작업을 실행합니다. 이러한 플레이북은 Azure Logic Apps를 사용하여 만듭니다.

Microsoft Sentinel은 다음 시나리오에 대한 플레이북을 포함하여 수백 개의 즉시 사용할 수 있는 플레이북을 제공합니다.

• Microsoft Entra 사용자 차단
• 전자 메일을 통한 거부에 따라 Microsoft Entra 사용자 차단
• 인시던트 또는 경고에 대한 메시지를 Microsoft Teams 채널에 게시
• Slack에 메시지 게시
• 인시던트 또는 경고 세부 정보가 포함된 전자 메일 보내기
• 서식이 지정된 인시던트 보고서가 포함된 이메일 보내기
• Microsoft Entra 사용자가 위험에 노출되어 있는지 확인
• Microsoft Teams를 통해 적응형 카드를 전송하여 사용자가 손상되었는지 확인
• 엔드포인트용 Microsoft Defender 통해 엔드포인트 격리

이 문서에는 의심스러운 활동으로 인해 손상된 Microsoft Entra 사용자를 차단하여 위협에 대응하는 플레이북을 구현하는 예제가 포함되어 있습니다.

잠재적인 사용 사례

이 문서에서 설명하는 기술은 검색 가능한 조건에 대한 자동 응답을 구현해야 할 때마다 적용됩니다.

아키텍처

이 아키텍처의 Visio 파일을 다운로드합니다.

워크플로

이 워크플로는 플레이북을 배포하는 단계를 보여 줍니다. 시작하기 전에 필수 구성 요소가 충족되었는지 확인합니다. 예를 들어 Microsoft Entra 사용자를 선택해야 합니다.

1. Azure Monitor에 로그 보내기의 단계에 따라 Microsoft Sentinel과 함께 사용되는 Log Analytics 작업 영역으로 감사 로그를 보내도록 Microsoft Entra ID를 구성합니다.

   참고 항목

   이 솔루션은 감사 로그를 사용하지 않지만 감사 로그를 사용하여 사용자가 차단되었을 때 발생하는 상황을 조사할 수 있습니다.

2. Microsoft Entra ID 보호는 실행할 위협 대응 플레이북을 트리거하는 경고를 생성합니다. Microsoft Sentinel이 경고를 수집하도록 하려면 Microsoft Sentinel 인스턴스로 이동하여 데이터 커넥터를 선택합니다. Microsoft Entra ID 보호를 검색하고 경고 수집을 사용하도록 설정합니다. ID 보호에 대한 자세한 내용은 ID 보호란?을 참조하세요.

3. IT 보안을 위험에 빠뜨리지 않고 사용할 수 있는 컴퓨터 또는 VM(가상 머신)에 ToR 브라우저를 설치합니다.

4. Tor Browser를 사용하여 이 솔루션에 대해 선택한 사용자로 내 앱에 익명으로 로그인합니다. Tor 브라우저를 사용하여 익명 IP 주소를 시뮬레이션하는 방법에 대한 지침은 익명 IP 주소를 참조하세요.

5. Microsoft Entra가 사용자를 인증합니다.

6. Microsoft Entra ID Protection은 사용자가 ToR 브라우저를 사용하여 익명으로 로그인한 것을 감지합니다. 이 유형의 로그인은 사용자를 위험에 빠뜨리는 의심스러운 활동입니다. ID 보호는 Microsoft Sentinel에 경고를 보냅니다.

7. 경고에서 인시던트를 만들도록 Microsoft Sentinel을 구성합니다. 이에 대한 정보는 Microsoft 보안 경고에서 인시던트 자동 생성을 참조하세요. 사용할 Microsoft 보안 분석 규칙 템플릿은 Microsoft Entra ID 보호 경고를 기반으로 인시던트 생성입니다.

8. Microsoft Sentinel이 인시던트를 트리거하면 플레이북은 사용자를 차단하는 작업으로 응답합니다.

구성 요소

• Microsoft Sentinel은 클라우드 네이티브 SIEM 및 SOAR 솔루션입니다. 고급 AI 및 보안 분석을 사용하여 엔터프라이즈 기업 전체에서 위협을 탐지하고 이에 대응합니다. 응답을 자동화하고 시스템을 보호하는 데 사용할 수 있는 Microsoft Sentinel에는 많은 플레이북이 있습니다.
• Microsoft Entra ID 는 핵심 디렉터리 서비스, 애플리케이션 액세스 관리 및 ID 보호를 단일 솔루션으로 결합하는 클라우드 기반 디렉터리 및 ID 관리 서비스입니다. 온-프레미스 디렉터리와 동기화할 수 있습니다. ID 서비스는 사이버 보안 공격을 막기 위해 Single Sign-On, 다단계 인증 및 조건부 액세스를 제공합니다. 이 문서에 표시된 솔루션은 Microsoft Entra ID 보호를 사용하여 사용자의 의심스러운 활동을 감지합니다.
• Logic Apps는 앱, 데이터, 서비스 및 시스템을 통합하는 자동화 워크플로를 만들고 실행할 수 있는 서버리스 클라우드 서비스입니다. 개발자는 시각적 디자이너를 사용하여 일반적인 작업 워크플로를 예약하고 오케스트레이션할 수 있습니다. Logic Apps에는 가장 많은 사용되는 클라우드 서비스, 온-프레미스 제품 및 기타 SaaS 애플리케이션에 사용되는 커넥터가 있습니다. 이 솔루션에서 Logic Apps는 위협 대응 플레이북을 실행합니다.

고려 사항

• Azure Well-Architected Framework는 워크로드의 품질을 개선하는 데 사용할 수 있는 가이드 원칙 세트입니다. 자세한 내용은 Microsoft Azure Well-Architected Framework를 참조하세요.
• Microsoft Sentinel은 사용할 준비가 된 50개가 넘는 플레이북을 제공합니다. 작업 영역에 대한 Microsoft Sentinel|자동화 페이지의 플레이북 템플릿 탭에서 찾을 수 있습니다.
• GitHub에는 커뮤니티에서 빌드한 다양한 Microsoft Sentinel 플레이북이 있습니다.

시나리오 배포

필수 구성 요소가 충족되었는지 확인한 후 워크플로의 단계에 따라 이 시나리오를 배포할 수 있습니다.

사전 요구 사항

• 소프트웨어 준비 및 테스트 사용자 선택
• 플레이북 배포

소프트웨어 준비 및 테스트 사용자 선택

플레이북을 구현하고 테스트하려면 다음과 함께 Azure 및 Microsoft Sentinel이 필요합니다.

• Microsoft Entra ID Protection 라이선스(프리미엄 P2, E3 또는 E5).
• Microsoft Entra 사용자. 기존 사용자를 사용하거나 새 사용자를 만들 수 있습니다. 새 사용자를 만드는 경우 사용이 끝나면 삭제할 수 있습니다.
• ToR 브라우저를 실행할 수 있는 컴퓨터 또는 VM입니다. 브라우저를 사용하여 microsoft Entra 사용자로 내 앱 포털에 로그인합니다.

플레이북 배포

Microsoft Sentinel 플레이북을 배포하려면 다음을 수행합니다.

• 이 연습에 사용할 Log Analytics 작업 영역이 없는 경우 다음과 같이 새로 만듭니다.
  • Microsoft Sentinel 기본 페이지로 이동하고 + 만들기를 선택하여 작업 영역에 Microsoft Sentinel 추가 페이지로 이동합니다.
  • 새 작업 영역 만들기를 선택합니다. 지침에 따라 새 작업 영역을 만듭니다. 잠시 후 작업 영역이 만들어집니다.
• 이 시점에서 방금 만든 작업 영역이 있습니다. 다음 단계를 사용하여 Microsoft Sentinel이 추가되었는지 여부를 확인하고 추가되지 않은 경우 추가합니다.
  • Microsoft Sentinel 기본 페이지로 이동합니다.
  • Microsoft Sentinel이 작업 영역에 이미 추가된 경우 작업 영역이 표시된 목록에 나타납니다. 아직 추가되지 않은 경우 다음과 같이 추가합니다.
    • + 만들기를 선택하여 작업 영역에 Microsoft Sentinel 추가 페이지로 이동합니다.
    • 표시된 목록에서 작업 영역을 선택한 다음, 페이지 아래쪽에서 추가를 선택합니다. 잠시 후 Microsoft Sentinel이 작업 영역에 추가됩니다.
• 다음과 같이 플레이북을 만듭니다.
  • Microsoft Sentinel 기본 페이지로 이동합니다. 작업 영역을 선택합니다. 왼쪽 메뉴에서 자동화를 선택하여 자동화 페이지로 이동합니다. 이 페이지에는 세 개의 탭이 있습니다.
  • 플레이북 템플릿(미리 보기) 탭을 선택합니다.
  • 검색 필드에 Microsoft Entra 사용자 차단 - 인시던트를 입력합니다.
  • 플레이북 목록에서 Microsoft Entra 사용자 차단 - 인시던트를 선택한 다음, 오른쪽 아래 모서리에서 플레이북 만들기를 선택하여 재생 만들기 페이지로 이동합니다.
  • 플레이북 만들기 페이지에서 다음을 수행합니다.
    • 목록에서 구독, 리소스 그룹 및 지역에 대한 값을 선택합니다.
    • 표시되는 기본 이름을 사용하지 않으려면 플레이북 이름에 값을 입력합니다.
    • 원하는 경우 Log Analytics에서 진단 로그 사용을 선택하여 로그를 사용하도록 설정합니다.
    • 통합 서비스 환경과 연결 확인란을 선택하지 않은 상태로 둡니다.
    • 통합 서비스 환경을 비워 둡니다.
  • 다음: 연결 >을 선택하여 플레이북 만들기의 연결 탭으로 이동합니다.
  • 플레이북의 구성 요소 내에서 인증하는 방법을 선택합니다. 다음에 대한 인증이 필요합니다.
    • Microsoft Entra ID
    • Microsoft Sentinel
    • Office 365 Outlook

    참고

    나중에 사용하도록 설정하려는 경우 논리 앱 리소스에서 플레이북 사용자 지정 중에 리소스를 인증할 수 있습니다. 이 시점에서 위의 리소스를 인증하려면 Microsoft Entra ID에서 사용자를 업데이트할 수 있는 권한이 필요하며 사용자는 이메일 사서함에 액세스할 수 있어야 하며 이메일을 보낼 수 있어야 합니다.

  • 다음: 검토 및 만들기 >를 선택하여 플레이북 만들기의 검토 및 만들기 탭으로 이동합니다.
  • 만들기 및 디자이너로 계속 진행을 선택하여 플레이북을 만들고 논리 앱 디자이너 페이지에 액세스합니다.

논리 앱 빌드에 대한 자세한 내용은 Azure Logic Apps란? 및 빠른 시작: 논리 앱 워크플로 정의 만들기 및 관리를 참조하세요.

참가자

Microsoft에서 이 문서를 유지 관리합니다. 원래 다음 기여자가 작성했습니다.

보안 주체 작성자:

• Rudnei Oliveira | 선임 Azure 보안 엔지니어

기타 기여자:

• Andrew Nathan | 선임 고객 엔지니어링 관리자
• Lavanya Kasturi | 기술 작가

다음 단계

• Azure Cloud Services 개요?
• Microsoft Sentinel이란?
• Microsoft Sentinel의 SOAR(보안 오케스트레이션, 자동화 및 응답).
• Microsoft Sentinel의 플레이북으로 위협 대응 자동화
• Microsoft Entra ID란?
• Identity Protection이란?
• ID 보호에서 위험 검색 시뮬레이션
• Azure Logic Apps란?
• 자습서: Azure Logic Apps를 사용하여 자동화된 승인 기반 워크플로 만들기
• Microsoft Sentinel 소개

관련 참고 자료

• Microsoft Sentinel의 사이버 위협 인텔리전스에 대한 위협 지표
• 클라우드용 Microsoft Defender 및 Microsoft Sentinel을 사용하여 하이브리드 보안 모니터링
• 보안 아키텍처 디자인