자습서: 인시던트에서 자동으로 IP 주소 평판 정보 확인 및 기록

• 적용 대상:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

인시던트의 심각도를 쉽고 빠르게 평가하는 한 가지 방법은 인시던트의 IP 주소가 악의적인 활동의 출처로 알려져 있는지 확인하는 것입니다. 이 작업을 자동으로 수행하는 방법을 사용하면 많은 시간과 노력을 절약할 수 있습니다.

이 자습서에서는 Microsoft Sentinel 자동화 규칙 및 플레이북을 사용하여 위협 인텔리전스 원본에 대해 인시던트의 IP 주소를 자동으로 검사 관련 인시던트의 각 결과를 기록하는 방법을 알아봅니다.

이 자습서를 완료하면 다음을 수행할 수 있습니다.

• 템플릿에서 플레이북 만들기
• 플레이북의 다른 리소스 연결 구성 및 권한 부여
• 플레이북을 호출하는 자동화 규칙 만들기
• 자동화된 프로세스의 결과 보기

Important

Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

필수 조건

이 자습서를 완료하려면 다음이 설치되어 있어야 합니다.

• Azure 구독 아직 무료 계정이 없는 경우 새로 만듭니다.

• Microsoft Sentinel 솔루션이 배포된 Log Analytics 작업 영역 및 수집 중인 데이터.

• 다음 리소스에 할당된 다음 역할이 있는 Azure 사용자:

  • Microsoft Sentinel이 배포된 Log Analytics 작업 영역의 Microsoft Sentinel 기여자.
  • 이 자습서에서 만든 플레이북을 포함할 리소스 그룹에 대한 논리 앱 기여자 및 소유자 또는 동등한 사용자.

• 콘텐츠 허브에서 VirusTotal Solution 설치

• (무료) VirusTotal 계정이 있으면 이 자습서에 충분합니다. 프로덕션 구현에는 VirusTotal Premium 계정이 필요합니다.

• 인시던트가 생성되어 Microsoft Sentinel로 전송되도록 사용자 환경에서 하나 이상의 컴퓨터에 설치된 Azure Monitor 에이전트입니다.

템플릿에서 플레이북 만들기

Microsoft Sentinel에는 많은 수의 기본 SecOps 목표 및 시나리오를 자동화하기 위해 사용자 지정하고 사용할 수 있는 즉시 제공되는 기본 플레이북 템플릿이 포함되어 있습니다. 인시던트에서 IP 주소 정보를 보강할 항목을 찾아 보겠습니다.

1. Microsoft Sentinel에서 구성>자동화를 선택합니다.

2. 자동화 페이지에서 플레이북 템플릿(미리 보기) 탭을 선택합니다.

3. 엔터티, 인 시던트 또는 경고 트리거에 대한 IP 보강 - 바이러스 총 보고서 템플릿 중 하나를 찾아 선택합니다. 필요한 경우 목록을 보강 태그로 필터링하여 템플릿을 찾습니다.

4. 세부 정보 창에서 플레이북 만들기를 선택합니다. 예시:

   

5. 플레이북 만들기 마법사가 열립니다. 기본 사항 탭에서 다음을 수행합니다.

   1. 해당 드롭다운에서 구독, 리소스 그룹 및 지역을 선택합니다.

   2. 제안된 이름의 끝에 "Get-VirusTotalIPReport"를 추가하여 플레이북 이름을 편집합니다. 이렇게 하면 동일한 템플릿에서 다른 플레이북을 만들려는 경우에도 이 플레이북에 고유한 이름이 있는지 확인하면서 이 플레이북의 원본 템플릿을 알 수 있습니다. "Get-VirusTotalIPReport-Tutorial-1"이라고 하겠습니다.

   3. Log Analytics 옵션에서 진단 로그 사용 옵션을 선택하지 않은 상태로 둡니다.

   4. 다음: 연결 >을 선택합니다.

6. 연결 탭에는 이 플레이북이 다른 서비스에 대해 수행해야 하는 모든 연결과 동일한 리소스 그룹의 기존 논리 앱 워크플로에서 연결이 이미 수행된 경우 사용할 인증 방법이 표시됩니다.

   1. Microsoft Sentinel 연결을 그대로 둡니다("관리 ID로 연결"이라고 표시되어야 함).

   2. 연결에 "새 연결이 구성됨"이라고 표시되면 자습서의 다음 단계에서 이 작업을 수행하라는 메시지가 표시됩니다. 또는 이러한 리소스에 이미 연결되어 있는 경우 연결 왼쪽의 확장기 화살표를 선택하고 확장된 목록에서 기존 연결을 선택합니다. 이 연습에서는 그대로 두겠습니다.

      

   3. 다음: 검토 및 만들기>를 선택합니다.

7. 검토 및 만들기 탭에서 여기에 표시된 대로 입력한 모든 정보를 검토하고 플레이북 만들기를 선택합니다.

   

   플레이북이 배포되면 진행률에 대한 빠른 일련의 알림이 표시됩니다. 그런 다음 플레이북이 표시된 상태에서 논리 앱 디자이너가 열립니다. 플레이북을 실행할 수 있도록 상호 작용하는 리소스에 대한 논리 앱의 연결에 권한을 부여해야 합니다. 그런 다음 플레이북의 각 작업을 검토하여 환경에 적합한지 확인하고 필요한 경우 변경합니다.

   

논리 앱 연결 권한 부여

템플릿에서 플레이북을 만들 때 Azure Log Analytics 데이터 수집기 및 바이러스 총 연결이 나중에 구성될 것이라는 말을 들었습니다.

여기에서 그렇게 할 것입니다.

Virus Total 연결 권한 부여

1. For 각 작업을 선택하여 확장하고 각 IP 주소에 대해 수행할 작업을 포함하는 해당 콘텐츠를 검토합니다. 예시:

   

2. 표시되는 첫 번째 작업 항목은 연결이라는 레이블이 지정되고 주황색 경고 삼각형이 있습니다.

   대신 첫 번째 작업에 IP 보고서 가져오기(미리 보기)라는 레이블이 지정되면 이미 바이러스 합계에 대한 기존 연결이 있으며 다음 단계로 넘어갈 수 있습니다.

   1. 연결 작업을 선택하여 엽니다.

   2. 표시된 연결의 유효하지 않음 열에서 아이콘을 선택합니다.

      

      연결 정보를 묻는 메시지가 표시됩니다.

      

   3. 연결 이름으로 "Virus Total"을 입력합니다.

   4. x-api_key의 경우 Virus Total 계정에서 API 키를 복사하여 붙여넣습니다.

   5. 업데이트를 선택합니다.

   6. 이제 IP 보고서 가져오기(미리 보기) 작업이 제대로 표시됩니다. (Virus Total 계정이 이미 있는 경우 이 단계에 이미 있을 것입니다.)

      

Log Analytics 연결 권한 부여

다음 작업은 IP 주소 보고서의 결과에 따라 각 루프의 나머지 작업을 결정하는 조건입니다. 보고서의 IP 주소에 지정된 평판 점수를 분석합니다. 0보다 높은 점수는 주소가 무해하다는 것을 나타냅니다. 0보다 낮은 점수는 악의적인 주소임을 나타냅니다.

조건이 true이든 거짓이든 관계없이 쿼리 및 분석할 수 있도록 보고서의 데이터를 Log Analytics의 테이블로 보내고 인시던트에 주석을 추가하려고 합니다.

그러나 보듯이 권한을 부여해야 하는 더 잘못된 연결이 있습니다.

1. True 프레임에서 연결 작업을 선택합니다.

2. 표시된 연결의 유효하지 않음 열에서 아이콘을 선택합니다.

   

   연결 정보를 묻는 메시지가 표시됩니다.

   

3. 연결 이름으로 "Log Analytics"를 입력합니다.

4. 작업 영역 ID의 경우 Log Analytics 작업 영역 설정의 개요 페이지에서 ID를 복사하여 붙여넣습니다.

5. 업데이트를 선택합니다.

6. 이제 데이터 보내기 작업이 제대로 표시됩니다. (Logic Apps에서 Log Analytics 연결이 이미 있는 경우 이미 이 단계에 있을 것입니다.)

   

7. 이제 False 프레임에서 연결 작업을 선택합니다. 이 작업은 True 프레임의 연결과 동일한 연결을 사용합니다.

8. Log Analytics라는 연결이 표시되어 있는지 확인하고 취소를 선택합니다. 이렇게 하면 이제 작업이 플레이북에 제대로 표시됩니다.

   

   이제 제대로 구성된 전체 플레이북이 표시됩니다.

9. 매우 중요합니다! 논리 앱 디자이너 창의 맨 위에서 저장을 선택해야 합니다. 플레이북이 성공적으로 저장되었다는 알림 메시지가 표시되면 자동화 페이지의 활성 플레이북* 탭에 플레이북이 나열됩니다.

자동화 규칙 만들기

이제 이 플레이북을 실제로 실행하려면 인시던트를 만들고 플레이북을 호출할 때 실행되는 자동화 규칙을 만들어야 합니다.

1. 자동화 페이지의 위쪽 배너에서 + 만들기를 선택합니다. 드롭다운 메뉴에서 자동화 규칙을 선택합니다.

   

2. 새 자동화 규칙 만들기 패널에서 규칙의 이름을 "자습서: IP 정보 보강"으로 지정합니다.

   

3. 조건에서 + 추가 및 조건(And)을 선택합니다.

   

4. 왼쪽의 속성 드롭다운에서 IP 주소를 선택합니다. 연산자 드롭다운에서 포함을 선택하고 값 필드를 비워 둡니다. 이는 실제로 규칙이 모든 항목이 포함된 IP 주소 필드가 있는 인시던트에 적용된다는 것을 의미합니다.

   이 자동화에서 분석 규칙이 적용되는 것을 중지하고 싶지는 않지만 자동화가 불필요하게 트리거되도록 하고 싶지 않으므로 IP 주소 엔터티가 포함된 인시던트로 범위를 제한하려고 합니다.

   

5. 작업 아래의 드롭다운에서 플레이북 실행을 선택합니다.

6. 표시되는 새 드롭다운을 선택합니다.

   

   구독의 모든 플레이북 목록이 표시됩니다. 회색으로 표시된 항목은 액세스할 수 없는 항목입니다. 플레이북 검색 텍스트 상자에서 위에서 만든 플레이북의 이름 또는 이름 일부를 입력하기 시작합니다. 플레이북 목록은 입력한 각 문자로 동적으로 필터링됩니다.

   

   목록에 플레이북이 표시되면 선택합니다.

   

   플레이북이 회색으로 표시되면 플레이북 권한 관리 링크를 선택합니다(플레이북을 선택한 아래의 미세 인쇄 단락에서 위의 스크린샷 참조). 열리는 패널에서 사용 가능한 리소스 그룹 목록에서 플레이북이 포함된 리소스 그룹을 선택한 다음 적용을 선택합니다.

7. + 작업 추가를 다시 선택합니다. 이제 표시되는 새 작업 드롭다운에서 태그 추가를 선택합니다.

8. + 태그 추가를 선택합니다. "자습서-보강 IP 주소"를 태그 텍스트로 입력하고 확인을 선택합니다.

   

9. 나머지 설정은 그대로 두고 적용을 선택합니다.

성공적인 자동화 확인

1. 인시던트 페이지에서 검색 창에 자습서-보강 IP 주소라는 태그 텍스트를 입력하고 Enter 키를 눌러 해당 태그가 적용된 인시던트 목록을 필터링합니다. 자동화 규칙이 실행된 인시던트입니다.

2. 이러한 인시던트 중 하나 이상을 열고 IP 주소에 대한 의견이 있는지 확인합니다. 이러한 주석이 있으면 플레이북이 인시던트에서 실행되었음을 나타냅니다.

리소스 정리

이 자동화 시나리오를 계속 사용할 계획이 아니라면 다음 단계를 따라만든 플레이북 및 자동화 규칙을 삭제합니다.

1. 자동화 페이지에서 활성 플레이북 탭을 선택합니다.

2. 검색 창에서 만든 플레이북의 이름(또는 이름의 일부)을 입력합니다.
   (표시되지 않으면 필터가 모두 선택으로 설정되어 있는지 확인합니다.)

3. 목록에서 플레이북 옆에 있는 검사 상자를 표시하고 위쪽 배너에서 삭제를 선택합니다.
   (삭제하지 않으려면 대신 사용 안 함을 선택할 수 있습니다.)

4. 자동화 규칙 탭을 선택합니다.

5. 검색 창에서 만든 자동화 규칙의 이름(또는 이름의 일부)을 입력합니다.
   (표시되지 않으면 필터가 모두 선택으로 설정되어 있는지 확인합니다.)

6. 목록에서 자동화 규칙 옆에 있는 확인란을 선택하고 위쪽 배너에서 삭제를 선택합니다.
   (삭제하지 않으려면 대신 사용 안 함을 선택할 수 있습니다.)

관련 콘텐츠

이제 기본 인시던트 보강 시나리오를 자동화하는 방법을 알아보았으므로 자동화 및 사용할 수 있는 기타 시나리오에 대해 자세히 알아봅니다.

• 자동화 규칙과 함께 플레이북을 사용하는 더 많은 예제를 참조하세요.
• 플레이북에 작업 추가에 대해 자세히 알아보세요.
• 플레이북이 필요하지 않은 몇 가지 기본 자동화 시나리오를 살펴보세요.