Splunk SOAR 자동화를 Microsoft Sentinel로 마이그레이션
Microsoft Sentinel은 자동화 규칙 및 플레이북을 사용하여 SOAR(보안 오케스트레이션, 자동화 및 응답) 기능을 제공합니다. 자동화 규칙은 간단한 인시던트 처리 및 대응을 용이하게 하는 반면 플레이북은 위협에 대응하고 수정하기 위해 보다 복잡한 일련의 작업을 실행합니다. 이 문서에서는 SOAR 사용 사례를 식별하는 방법과 Splunk SOAR 자동화를 Microsoft Sentinel 자동화 규칙 및 플레이북으로 마이그레이션하는 방법을 설명합니다.
자동화 규칙과 플레이북 간의 차이점에 대한 자세한 내용은 다음 문서를 참조하세요.
SOAR 사용 사례 식별
Splunk에서 SOAR 사용 사례를 마이그레이션할 때 고려해야 할 내용은 다음과 같습니다.
- 사용 사례 품질. 최소한의 변형과 낮은 가양성 비율로 명확하게 정의된 프로시저에 따라 자동화 사용 사례를 선택합니다.
- 수동 작업. 자동화된 응답은 광범위한 영향을 미칠 수 있습니다. 높은 임팩트 자동화는 작업을 수행하기 전에 높은 임팩트 작업을 확인하기 위해 사용자 입력이 있어야 합니다.
- 이진 조건. 응답 성공을 늘리기 위해 자동화된 워크플로 내의 의사 결정 요소는 이진 조건을 사용하여 최대한 제한되어야 합니다. 자동화된 의사 결정에 변수가 두 개뿐이면 사람의 개입 필요성이 줄어들고 결과 예측 가능성이 향상됩니다.
- 정확한 경고 또는 데이터. 응답 작업은 경고와 같은 신호의 정확도에 따라 달라집니다. 경고 및 보강 원본은 신뢰할 수 있어야 합니다. 신뢰 등급이 높은 관심 목록 및 위협 인텔리전스와 같은 Microsoft Sentinel 리소스는 안정성을 향상시킵니다.
- 분석가 역할. 자동화는 훌륭하지만 분석가에게 가장 복잡한 작업을 예약합니다. 유효성 검사가 필요한 워크플로에 입력할 수 있는 기회를 제공합니다. 즉, 응답 자동화는 분석가 기능을 보강하고 확장해야 합니다.
SOAR 워크플로 마이그레이션
이 섹션에서는 주요 Splunk SOAR 개념이 Microsoft Sentinel 구성 요소로 변환되는 방식을 보여 주고 SOAR 워크플로의 각 단계 또는 구성 요소를 마이그레이션하는 방법에 대한 일반적인 지침을 제공합니다.
| 단계(다이어그램) | Splunk | Microsoft Sentinel |
|---|---|---|
| 1 | 이벤트를 주 인덱스로 수집합니다. | Log Analytics 작업 영역에 이벤트를 수집합니다. |
| 2 | 컨테이너를 만듭니다. | 사용자 지정 세부 정보 기능을 사용하여 인시던트에 태그를 지정합니다. |
| 3 | 사례를 만듭니다. | Microsoft Sentinel은 공유 엔터티 또는 심각도와 같은 사용자 정의 기준에 따라 인시던트를 자동으로 그룹화할 수 있습니다. 그러면 이러한 경고가 인시던트를 생성합니다. |
| 4 | 플레이북을 만듭니다. | Azure Logic Apps는 여러 커넥터를 사용하여 Microsoft Sentinel, Azure, 타사 및 하이브리드 클라우드 환경 전반에서 작업을 오케스트레이션합니다. |
| 4 | 통합 문서를 만듭니다. | Microsoft Sentinel은 격리 또는 정렬된 자동화 규칙의 일부로 플레이북을 실행합니다. 미리 정의된 SOC(보안 운영 센터) 절차에 따라 경고 또는 인시던트에 대해 플레이북을 수동으로 실행할 수도 있습니다. |
SOAR 구성 요소 매핑
주요 Splunk SOAR 구성 요소에 매핑되는 Microsoft Sentinel 또는 Azure Logic Apps 기능을 검토합니다.
| Splunk | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| 플레이북 편집기 | 논리 앱 디자이너 |
| 트리거 | 트리거 |
| • 커넥터 • 앱 • Automation broker |
• 커넥터 • Hybrid Runbook Worker |
| 작업 블록 | 작업 |
| 연결 broker | Hybrid Runbook Worker |
| 커뮤니티 | • 자동화 > 템플릿 탭 • 콘텐츠 허브 카탈로그 • GitHub |
| 의사 결정 | 조건부 제어 |
| 코드 | Azure Function 커넥터 |
| 프롬프트 | 승인 전자 메일 보내기 |
| 형식 | 데이터 작업 |
| 입력 플레이북 | 이전에 실행된 단계 또는 명시적으로 선언된 변수의 결과에서 변수 입력 가져오기 |
| 유틸리티 블록 API 유틸리티를 사용하여 매개 변수 설정 | API를 사용하여 인시던트 관리 |
Microsoft Sentinel에서 플레이북 및 자동화 규칙 운영
Microsoft Sentinel에서 사용하는 대부분의 플레이북은 자동화 > 템플릿 탭, 콘텐츠 허브 카탈로그 또는 GitHub에서 사용할 수 있습니다. 그러나 경우에 따라 처음부터 또는 기존 템플릿에서 플레이북을 만들어야 할 수 있습니다.
일반적으로 Azure Logic App Designer 기능을 사용하여 사용자 지정 논리 앱을 빌드합니다. 논리 앱 코드는 여러 환경에서 Azure Logic Apps의 개발, 배포, 이식을 용이하게 하는 ARM(Azure Resource Manager) 템플릿을 기반으로 합니다. 사용자 지정 플레이북을 이식 가능한 ARM 템플릿으로 변환하는 데는 ARM 템플릿 생성기를 사용할 수 있습니다.
처음부터 또는 기존 템플릿에서 고유한 플레이북을 빌드해야 하는 경우 이러한 리소스를 사용합니다.
- Microsoft Sentinel에서 인시던트 처리 자동화
- Microsoft Sentinel의 플레이북으로 위협 대응 자동화
- 자습서: Microsoft Sentinel에서 자동화 규칙으로 플레이북 사용
- 인시던트 대응, 오케스트레이션 및 자동화에 Microsoft Sentinel을 사용하는 방법
- Microsoft Sentinel에서 인시던트 대응을 개선하기 위한 적응형 카드
SOAR 마이그레이션 후 모범 사례
SOAR 마이그레이션 후에 고려해야 하는 모범 사례는 다음과 같습니다.
- 플레이북을 마이그레이션한 후 플레이북을 광범위하게 테스트하여 마이그레이션된 작업이 예상대로 작동하는지 확인합니다.
- 주기적으로 자동화를 검토하여 SOAR을 더욱 단순화하거나 개선하는 방법을 살펴봅니다. Microsoft Sentinel은 현재 응답 구현의 효율성을 더욱 단순화하거나 높이는 데 도움이 될 수 있는 새로운 커넥터와 작업을 지속적으로 추가합니다.
- 플레이북 상태 모니터링 통합 문서를 사용하여 플레이북의 성능을 모니터링합니다.
- 관리 ID 및 서비스 주체 사용: Logic Apps 내의 다양한 Azure 서비스에 대해 인증하고, Azure Key Vault에 비밀을 저장하고, 흐름 실행 출력을 모호하게 합니다. 또한 이러한 서비스 주체의 활동을 모니터링하는 것이 좋습니다.
다음 단계
이 문서에서는 Splunk에서 Microsoft Sentinel로 SOAR 자동화를 매핑하는 방법을 알아보았습니다.