ArcSight SOAR 자동화를 Microsoft Sentinel로 마이그레이션
Microsoft Sentinel은 자동화 규칙 및 플레이북을 사용하여 SOAR(보안 오케스트레이션, 자동화 및 응답) 기능을 제공합니다. 자동화 규칙은 인시던트 처리 및 응답을 자동화하며, 플레이북은 위협에 대응하고 위협을 수정하기 위해 미리 정해진 일련의 작업을 실행합니다. 이 문서에서는 SOAR 사용 사례를 식별하는 방법과 ArcSight SOAR 자동화를 Microsoft Sentinel로 마이그레이션하는 방법을 설명합니다.
자동화 규칙은 인시던트 오케스트레이션 프로세스의 복잡한 워크플로를 간소화하고 인시던트 처리 자동화를 중앙에서 관리할 수 있도록 합니다.
자동화 규칙을 사용하면 다음을 수행할 수 있습니다.
- 플레이북을 사용하지 않고도 간단한 자동화 작업을 수행합니다. 예를 들어, 할당, 인시던트 태그 지정, 상태 변경 및 인시던트 닫기를 수행할 수 있습니다.
- 한 번에 여러 분석 규칙에 대한 응답을 자동화합니다.
- 실행되는 작업의 순서를 제어합니다.
- 더 복잡한 자동화 작업이 필요한 사례에 대해 플레이북을 실행합니다.
SOAR 사용 사례 식별
ArcSight에서 SOAR 사용 사례를 마이그레이션할 때 고려해야 할 내용은 다음과 같습니다.
- 사용 사례 품질. 자동화에 적합한 사용 사례를 선택합니다. 사용 사례는 최소한의 변형과 낮은 가양성 비율로 명확하게 정의된 절차를 기반으로 해야 합니다. 자동화는 효율적인 사용 사례에서 작동해야 합니다.
- 수동 작업. 자동화된 응답은 광범위한 효과가 있을 수 있으며, 영향을 크게 미치는 자동화는 작업을 수행하기 전에 큰 영향을 미치는 작업을 확인하기 위해 사용자 입력이 필요합니다.
- 이진 조건. 응답 성공을 늘리기 위해 자동화된 워크플로 내의 의사 결정 요소는 이진 조건을 사용하여 최대한 제한되어야 합니다. 이진 조건은 사용자 작업 필요성을 줄이고 결과 예측 가능성을 개선합니다.
- 정확한 경고 또는 데이터. 응답 작업은 경고와 같은 신호의 정확도에 따라 달라집니다. 경고 및 보강 원본은 신뢰할 수 있어야 합니다. 관심 목록, 신뢰할 수 있는 위협 인텔리전스 등의 Microsoft Sentinel 리소스는 신뢰성을 개선할 수 있습니다.
- 분석가 역할. 가능한 경우 자동화는 훌륭한 기능이지만 분석가를 위해 더 복잡한 작업을 예약하고 유효성 검사가 필요한 워크플로에 입력할 수 있는 기회를 제공합니다. 즉, 응답 자동화는 분석가 기능을 보강하고 확장해야 합니다.
SOAR 워크플로 마이그레이션
이 섹션에서는 ArcSight의 주요 SOAR 개념이 Microsoft Sentinel 구성 요소로 변환되는 방식을 보여 주고 SOAR 워크플로의 각 단계 또는 구성 요소를 마이그레이션하는 방법에 대한 일반적인 지침을 제공합니다.
| 단계(다이어그램) | ArcSight | Microsoft Sentinel |
|---|---|---|
| 1 | 이벤트를 ESM(Enterprise Security Manager)에 수집하고 상관 관계 이벤트를 트리거합니다. | Log Analytics 작업 영역에 이벤트를 수집합니다. |
| 2 | 사례 만들기에 대한 경고를 자동으로 필터링합니다. | 분석 규칙을 사용하여 경고를 트리거합니다. 동적 인시던트 이름을 만드는 데 사용자 지정 세부 정보 기능을 사용하여 경고를 보강합니다. |
| 3 | 사례를 분류합니다. | 자동화 규칙을 사용합니다. 자동화 규칙을 사용하면 Microsoft Sentinel은 인시던트를 트리거한 분석 규칙 및 정의된 조건과 일치하는 인시던트 속성에 따라 인시던트를 처리합니다. |
| 4 | 사례를 통합합니다. | 경고 그룹화 기능을 사용하여 일치 엔터티, 경고 세부 정보 또는 생성 기간 등의 속성에 따라 여러 경고를 단일 인시던트에 통합할 수 있습니다. |
| 5 | 사례를 디스패치합니다. | Microsoft Teams, Azure Logic Apps 및 Microsoft Sentinel 자동화 규칙 간에 통합을 사용하여 특정 분석가에게 인시던트를 할당합니다. |
SOAR 구성 요소 매핑
주요 ArcSight SOAR 구성 요소에 매핑되는 Microsoft Sentinel 또는 Azure Logic Apps 기능을 검토합니다.
| ArcSight | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| 트리거 | 트리거 |
| 자동화 비트 | Azure Function 커넥터 |
| 작업 | 작업 |
| 예약된 플레이북 | 되풀이 트리거에 의해 시작된 플레이북 |
| 워크플로 플레이북 | Microsoft Sentinel 경고 또는 인시던트 트리거에 의해 자동으로 시작된 플레이북 |
| 마켓플레이스 | • 자동화 > 템플릿 탭 • 콘텐츠 허브 카탈로그 • GitHub |
Microsoft Sentinel에서 플레이북 및 자동화 규칙 운영
Microsoft Sentinel에서 사용하는 대부분의 플레이북은 자동화 > 템플릿 탭, 콘텐츠 허브 카탈로그 또는 GitHub에서 사용할 수 있습니다. 그러나 경우에 따라 처음부터 또는 기존 템플릿에서 플레이북을 만들어야 할 수 있습니다.
일반적으로 Azure Logic App Designer 기능을 사용하여 사용자 지정 논리 앱을 빌드합니다. 논리 앱 코드는 여러 환경에서 Azure Logic Apps의 개발, 배포, 이식을 용이하게 하는 ARM(Azure Resource Manager) 템플릿을 기반으로 합니다. 사용자 지정 플레이북을 이식 가능한 ARM 템플릿으로 변환하는 데는 ARM 템플릿 생성기를 사용할 수 있습니다.
처음부터 또는 기존 템플릿에서 고유한 플레이북을 빌드해야 하는 경우 이러한 리소스를 사용합니다.
- Microsoft Sentinel에서 인시던트 처리 자동화
- Microsoft Sentinel의 플레이북으로 위협 대응 자동화
- 자습서: Microsoft Sentinel에서 자동화 규칙으로 플레이북 사용
- 인시던트 대응, 오케스트레이션 및 자동화에 Microsoft Sentinel을 사용하는 방법
- Microsoft Sentinel에서 인시던트 대응을 개선하기 위한 적응형 카드
SOAR 마이그레이션 후 모범 사례
SOAR 마이그레이션 후에 고려해야 하는 모범 사례는 다음과 같습니다.
- 플레이북을 마이그레이션한 후 플레이북을 광범위하게 테스트하여 마이그레이션된 작업이 예상대로 작동하는지 확인합니다.
- 주기적으로 자동화를 검토하여 SOAR을 더욱 단순화하거나 개선하는 방법을 살펴봅니다. Microsoft Sentinel은 현재 응답 구현의 효율성을 더욱 단순화하거나 높이는 데 도움이 될 수 있는 새로운 커넥터와 작업을 지속적으로 추가합니다.
- 플레이북 상태 모니터링 통합 문서를 사용하여 플레이북의 성능을 모니터링합니다.
- 관리 ID 및 서비스 주체 사용: Logic Apps 내의 다양한 Azure 서비스에 대해 인증하고, Azure Key Vault에 비밀을 저장하고, 흐름 실행의 출력을 가립니다. 또한 이러한 서비스 주체의 활동을 모니터링하는 것이 좋습니다.
다음 단계
이 문서에서는 ArcSight에서 Microsoft Sentinel로 SOAR 자동화를 매핑하는 방법을 알아보았습니다.