다음을 통해 공유


자습서: 네이티브가 아닌 작업을 사용하여 인시던트 엔터티 추출

엔터티 매핑은 다음 조사 프로세스 및 수정 작업에 필수적인 정보를 사용하여 경고 및 인시던트 보강합니다.

Microsoft Sentinel 플레이북에는 엔터티 정보를 추출하는 다음과 같은 네이티브 작업이 포함됩니다.

  • Accounts
  • DNS
  • 파일 해시
  • 호스트
  • IP
  • URL

이러한 작업 외에도 분석 규칙 엔터티 매핑에는 맬웨어, 프로세스, 레지스트리 키, 사서함 등과 같은 네이티브 작업이 아닌 엔터티 형식이 포함되어 있습니다. 이 자습서에서는 다양한 기본 제공 작업을 사용하여 네이티브가 아닌 작업을 사용하여 관련 값을 추출하는 방법을 알아봅니다.

이 자습서에서는 다음을 하는 방법을 알아볼 수 있습니다.

  • 인시던트 트리거를 사용하여 플레이북을 만들고 인시던트에서 수동으로 실행합니다.
  • 배열 변수 초기화.
  • 다른 엔터티 형식에서 필요한 엔터티 형식을 필터링합니다.
  • JSON 파일에서 결과를 구문 분석합니다.
  • 나중에 사용할 동적 콘텐츠로 값을 만듭니다.

Important

Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

필수 조건

이 자습서를 완료하려면 다음이 설치되어 있어야 합니다.

인시던트 트리거를 사용하여 플레이북 만들기

  1. Azure Portal의 Microsoft Sentinel의 경우 구성>자동화 페이지를 선택합니다. Defender 포털에서 Microsoft Sentinel의 경우 Microsoft Sentinel>구성>자동화를 선택합니다.

  2. 자동화 페이지에서 만들기>인시던트 트리거가 포함된 플레이북을 선택합니다.

  3. 플레이북 만들기 마법사의 기본 사항에서 구독 및 리소스 그룹을 선택하고 플레이북에 이름을 지정합니다.

  4. 다음: 연결 >을 선택합니다.

    연결에서 Microsoft Sentinel - 관리 ID 연결을 사용하여 연결이 표시됩니다. 예시:

    인시던트 트리거를 사용하여 새 플레이북을 만드는 스크린샷

  5. 다음: 검토 및 만들기>를 선택합니다.

  6. 검토 및 만들기에서 만들고 디자이너로 계속을 선택합니다.

    논리 앱 디자이너는 플레이북의 이름으로 논리 앱을 엽니다.

    논리 앱 디자이너에서 플레이북을 보는 스크린샷

배열 변수 초기화

  1. 논리 앱 디자이너에서 변수를 추가하려는 단계 아래에서 새 단계를 선택합니다.

  2. 작업 선택 아래에서 검색 상자에 variables를 필터로 입력합니다. 작업 목록에서 변수 초기화를 선택합니다.

  3. 변수에 대한 다음 정보를 입력합니다.

    • 변수 이름의 경우 엔터티를 사용합니다.

    • 형식에 대해 배열을 선택합니다.

    • 값의 경우 엔터티 입력을 시작하고 동적 콘텐츠 아래에서 엔터티를 선택합니다.

      배열 변수를 초기화하는 스크린샷

기존 인시던트를 선택합니다.

  1. Microsoft Sentinel에서 인시던트로 이동하여 플레이북을 실행할 인시던트를 선택합니다.

  2. 오른쪽의 인시던트 페이지에서 작업 > 플레이북 실행(미리 보기)을 선택합니다.

  3. 플레이북에서 만든 플레이북 옆에 있는 실행을 선택합니다.

    플레이북이 트리거되면 플레이북이 트리거되고 오른쪽 위에 메시지가 표시됩니다.

  4. 실행을 선택하고 플레이북 옆에 있는 실행 보기를 선택합니다.

    논리 앱 실행 페이지가 표시됩니다.

  5. 변수 초기화에서 샘플 페이로드는 아래에 표시됩니다. 나중에 사용할 수 있는 샘플 페이로드를 확인합니다.

    값 필드에서 샘플 페이로드를 보는 스크린샷

다른 엔터티 형식에서 필요한 엔터티 형식 필터링

  1. 자동화 페이지로 다시 이동하여 플레이북을 선택합니다.

  2. 변수를 추가하려는 단계에서 새 단계를 선택합니다.

  3. 작업 선택 아래의 검색 상자에 filter array를 필터로 입력합니다. 작업 목록에서 데이터 작업을 선택합니다.

    배열 필터링 및 데이터 작업 선택 스크린샷

  4. 필터 배열에 대한 다음 정보를 제공합니다.

    1. 원본>동적 콘텐츠에서 엔터티 이전에 초기화한 변수를 선택합니다.

    2. 첫 번째 값 선택 필드(왼쪽)를 선택하고 을 선택합니다.

    3. item()?['kind']를 붙여넣고 확인을 선택합니다.

      필터 배열 식을 채우는 스크린샷

    4. 같음 값을 그대로 둡니다(수정하지 마세요).

    5. 두 번째 값 선택 필드(오른쪽)에 Process를 입력합니다. 이는 시스템의 값과 정확히 일치해야 합니다.

      참고 항목

      이 쿼리는 대/소문자를 구분합니다. kind 값이 샘플 페이로드의 값과 일치하는지 확인합니다. 플레이북을 만들 때의 샘플 페이로드를 참조하세요.

      필터 배열 정보를 입력하는 스크린샷

결과를 JSON 파일로 구문 분석

  1. 논리 앱에서 변수를 추가하려는 단계 아래에서 새 단계를 선택합니다.

  2. 데이터 작업>JSON 구문 분석을 선택합니다.

    데이터 작업에서 JSON 구문 분석 옵션을 선택하는 스크린샷

  3. 작업에 대한 다음 정보를 제공합니다.

    1. 콘텐츠를 선택하고 동적 콘텐츠>필터 배열에서 본문을 선택합니다.

      콘텐츠에서 동적 콘텐츠를 선택하는 스크린샷

    2. 배열에서 값을 추출할 수 있도록 스키마 아래에 JSON 스키마를 붙여넣습니다. 플레이북을 만들 때 생성한 샘플 페이로드를 복사합니다.

      샘플 페이로드를 복사하는 스크린샷

    3. 플레이북으로 돌아가서 샘플 페이로드를 사용하여 스키마 생성을 선택합니다.

      샘플 페이로드를 사용하여 스키마 생성을 선택하는 스크린샷

    4. 페이로드를 붙여넣습니다. 스키마의 시작 부분에 여는 대괄호([)를 추가하고 스키마 ] 끝에서 닫습니다.

      샘플 페이로드를 붙여넣는 스크린샷

      붙여넣은 샘플 페이로드의 두 번째 부분에 대한 스크린샷

    5. 완료를 선택합니다.

나중에 사용할 동적 콘텐츠로 새 값 사용

이제 추가 작업을 위해 만든 값을 동적 콘텐츠로 사용할 수 있습니다. 예를 들어 프로세스 데이터가 포함된 이메일을 보내려는 경우 작업 이름을 변경하지 않은 경우 동적 콘텐츠에서 JSON 구문 분석 작업을 찾을 수 있습니다.

프로세스 데이터가 포함된 메일을 보내는 스크린샷

플레이북이 저장되었는지 확인합니다.

플레이북이 저장되었는지 확인하고 이제 SOC 작업에 플레이북을 사용할 수 있습니다.

다음 단계

다음 문서로 이동하여 플레이북을 사용하여 Microsoft Sentinel에서 인시던트 작업을 만들고 수행하는 방법을 알아봅니다.