IBM Security QRadar SOAR 자동화를 Microsoft Azure Sentinel로 마이그레이션
Microsoft Sentinel은 자동화 규칙 및 플레이북을 사용하여 SOAR(보안 오케스트레이션, 자동화 및 응답) 기능을 제공합니다. 자동화 규칙은 인시던트 처리 및 응답을 자동화하며, 플레이북은 위협에 대응하고 위협을 수정하기 위해 미리 정해진 일련의 작업을 실행합니다. 이 문서에서는 SOAR 사용 사례를 식별하는 방법과 IBM Security QRadar SOAR 자동화를 Microsoft Azure Sentinel로 마이그레이션하는 방법을 설명합니다.
자동화 규칙은 인시던트 오케스트레이션 프로세스의 복잡한 워크플로를 간소화하고 인시던트 처리 자동화를 중앙에서 관리할 수 있도록 합니다.
자동화 규칙을 사용하면 다음을 수행할 수 있습니다.
- 플레이북을 사용하지 않고도 간단한 자동화 작업을 수행합니다. 예를 들어, 할당, 인시던트 태그 지정, 상태 변경 및 인시던트 닫기를 수행할 수 있습니다.
- 한 번에 여러 분석 규칙에 대한 응답을 자동화합니다.
- 실행되는 작업의 순서를 제어합니다.
- 더 복잡한 자동화 작업이 필요한 사례에 대해 플레이북을 실행합니다.
SOAR 사용 사례 식별
IBM Security QRadar SOAR에서 SOAR 사용 사례를 마이그레이션할 때 고려해야 할 내용은 다음과 같습니다.
- 사용 사례 품질. 자동화에 적합한 사용 사례를 선택합니다. 사용 사례는 최소한의 변형과 낮은 가양성 비율로 명확하게 정의된 절차를 기반으로 해야 합니다. 자동화는 효율적인 사용 사례에서 작동해야 합니다.
- 수동 작업. 자동화된 응답은 광범위한 효과가 있을 수 있으며, 영향을 크게 미치는 자동화는 작업을 수행하기 전에 큰 영향을 미치는 작업을 확인하기 위해 사용자 입력이 필요합니다.
- 이진 조건. 응답 성공을 늘리기 위해 자동화된 워크플로 내의 의사 결정 요소는 이진 조건을 사용하여 최대한 제한되어야 합니다. 이진 조건은 사용자 작업 필요성을 줄이고 결과 예측 가능성을 개선합니다.
- 정확한 경고 또는 데이터. 응답 작업은 경고와 같은 신호의 정확도에 따라 달라집니다. 경고 및 보강 원본은 신뢰할 수 있어야 합니다. 관심 목록, 신뢰할 수 있는 위협 인텔리전스 등의 Microsoft Sentinel 리소스는 신뢰성을 개선할 수 있습니다.
- 분석가 역할. 가능한 경우 자동화는 훌륭한 기능이지만 분석가를 위해 더 복잡한 작업을 예약하고 유효성 검사가 필요한 워크플로에 입력할 수 있는 기회를 제공합니다. 즉, 응답 자동화는 분석가 기능을 보강하고 확장해야 합니다.
SOAR 워크플로 마이그레이션
이 섹션에서는 IBM Security QRadar SOAR의 주요 SOAR 개념이 Microsoft Sentinel 구성 요소로 변환되는 방법을 보여 줍니다. 또한 이 섹션에서는 SOAR 워크플로에서 각 단계 또는 구성 요소를 마이그레이션하는 방법에 대한 일반적인 지침을 제공합니다.
| 단계(다이어그램) | IBM Security QRadar SOAR | Microsoft Sentinel |
|---|---|---|
| 1 | 규칙 및 조건을 정의합니다. | 자동화 규칙을 정의합니다. |
| 2 | 정렬된 작업을 실행합니다. | 여러 플레이북을 포함하는 자동화 규칙을 실행합니다. |
| 3 | 선택한 워크플로를 실행합니다. | 이전에 실행된 플레이북에서 적용한 태그에 따라 다른 플레이북을 실행합니다. |
| 4 | 메시지 대상에 데이터를 게시합니다. | Logic Apps에서 인라인 작업을 사용하여 코드 조각을 실행합니다. |
SOAR 구성 요소 매핑
주요 QRadar SOAR 구성 요소에 매핑되는 Microsoft Sentinel 또는 Azure Logic Apps 기능을 검토합니다.
| QRadar | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| 규칙 | 플레이북 또는 자동화 규칙에 연결된 분석 규칙 |
| 게이트웨이 | 조건 제어 |
| 스크립트 | 인라인 코드 |
| 사용자 지정 작업 프로세서 | Azure Logic Apps 또는 타사 커넥터의 사용자 지정 API 호출 |
| 함수 | Azure Function 커넥터 |
| 메시지 대상 | Azure Service Bus를 사용하는 Azure Logic Apps |
| IBM X-Force Exchange | • 자동화 > 템플릿 탭 • 콘텐츠 허브 카탈로그 • GitHub |
Microsoft Sentinel에서 플레이북 및 자동화 규칙 운영
Microsoft Sentinel에서 사용하는 대부분의 플레이북은 자동화 > 템플릿 탭, 콘텐츠 허브 카탈로그 또는 GitHub에서 사용할 수 있습니다. 그러나 경우에 따라 처음부터 또는 기존 템플릿에서 플레이북을 만들어야 할 수 있습니다.
일반적으로 Azure Logic App Designer 기능을 사용하여 사용자 지정 논리 앱을 빌드합니다. 논리 앱 코드는 여러 환경에서 Azure Logic Apps의 개발, 배포, 이식을 용이하게 하는 ARM(Azure Resource Manager) 템플릿을 기반으로 합니다. 사용자 지정 플레이북을 이식 가능한 ARM 템플릿으로 변환하는 데는 ARM 템플릿 생성기를 사용할 수 있습니다.
처음부터 또는 기존 템플릿에서 고유한 플레이북을 빌드해야 하는 경우 이러한 리소스를 사용합니다.
- Microsoft Sentinel에서 인시던트 처리 자동화
- Microsoft Sentinel의 플레이북으로 위협 대응 자동화
- 자습서: Microsoft Sentinel에서 자동화 규칙으로 플레이북 사용
- 인시던트 대응, 오케스트레이션 및 자동화에 Microsoft Sentinel을 사용하는 방법
- Microsoft Sentinel에서 인시던트 대응을 개선하기 위한 적응형 카드
SOAR 마이그레이션 후 모범 사례
SOAR 마이그레이션 후에 고려해야 하는 모범 사례는 다음과 같습니다.
- 플레이북을 마이그레이션한 후 플레이북을 광범위하게 테스트하여 마이그레이션된 작업이 예상대로 작동하는지 확인합니다.
- 주기적으로 자동화를 검토하여 SOAR을 더욱 단순화하거나 개선하는 방법을 살펴봅니다. Microsoft Sentinel은 현재 응답 구현의 효율성을 더욱 단순화하거나 높이는 데 도움이 될 수 있는 새로운 커넥터와 작업을 지속적으로 추가합니다.
- 플레이북 상태 모니터링 통합 문서를 사용하여 플레이북의 성능을 모니터링합니다.
- 관리 ID 및 서비스 주체 사용: Logic Apps 내의 다양한 Azure 서비스에 대해 인증하고, Azure Key Vault에 비밀을 저장하고, 흐름 실행의 출력을 가립니다. 또한 이러한 서비스 주체의 활동을 모니터링하는 것이 좋습니다.
다음 단계
이 문서에서는 IBM Security QRadar SOAR에서 Microsoft Sentinel로 SOAR 자동화를 매핑하는 방법을 알아보았습니다.