자습서: 네이티브가 아닌 작업을 사용하여 인시던트 엔터티 추출

• 적용 대상:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

엔터티 매핑은 다음 조사 프로세스 및 수정 작업에 필수적인 정보를 사용하여 경고 및 인시던트 보강합니다.

Microsoft Sentinel 플레이북에는 엔터티 정보를 추출하는 다음과 같은 네이티브 작업이 포함됩니다.

• Accounts
• DNS
• 파일 해시
• 호스트
• IP
• URL

이러한 작업 외에도 분석 규칙 엔터티 매핑에는 맬웨어, 프로세스, 레지스트리 키, 사서함 등과 같은 네이티브 작업이 아닌 엔터티 형식이 포함되어 있습니다. 이 자습서에서는 다양한 기본 제공 작업을 사용하여 네이티브가 아닌 작업을 사용하여 관련 값을 추출하는 방법을 알아봅니다.

이 자습서에서는 다음을 하는 방법을 알아볼 수 있습니다.

• 인시던트 트리거를 사용하여 플레이북을 만들고 인시던트에서 수동으로 실행합니다.
• 배열 변수 초기화.
• 다른 엔터티 형식에서 필요한 엔터티 형식을 필터링합니다.
• JSON 파일에서 결과를 구문 분석합니다.
• 나중에 사용할 동적 콘텐츠로 값을 만듭니다.

Important

Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

필수 조건

이 자습서를 완료하려면 다음이 설치되어 있어야 합니다.

• Azure 구독 아직 무료 계정이 없는 경우 새로 만듭니다.

• 다음 리소스에 할당된 다음 역할이 있는 Azure 사용자:

  • Microsoft Sentinel이 배포된 Log Analytics 작업 영역의 Microsoft Sentinel 기여자.
  • 이 자습서에서 만든 플레이북을 포함할 리소스 그룹에 대한 논리 앱 기여자 및 소유자 또는 동등한 사용자.

• (무료) VirusTotal 계정이 있으면 이 자습서에 충분합니다. 프로덕션 구현에는 VirusTotal Premium 계정이 필요합니다.

인시던트 트리거를 사용하여 플레이북 만들기

1. Azure Portal의 Microsoft Sentinel의 경우 구성>자동화 페이지를 선택합니다. Defender 포털에서 Microsoft Sentinel의 경우 Microsoft Sentinel>구성>자동화를 선택합니다.

2. 자동화 페이지에서 만들기>인시던트 트리거가 포함된 플레이북을 선택합니다.

3. 플레이북 만들기 마법사의 기본 사항에서 구독 및 리소스 그룹을 선택하고 플레이북에 이름을 지정합니다.

4. 다음: 연결 >을 선택합니다.

   연결에서 Microsoft Sentinel - 관리 ID 연결을 사용하여 연결이 표시됩니다. 예시:

   

5. 다음: 검토 및 만들기>를 선택합니다.

6. 검토 및 만들기에서 만들고 디자이너로 계속을 선택합니다.

   논리 앱 디자이너는 플레이북의 이름으로 논리 앱을 엽니다.

   

배열 변수 초기화

1. 논리 앱 디자이너에서 변수를 추가하려는 단계 아래에서 새 단계를 선택합니다.

2. 작업 선택 아래에서 검색 상자에 variables를 필터로 입력합니다. 작업 목록에서 변수 초기화를 선택합니다.

3. 변수에 대한 다음 정보를 입력합니다.

   • 변수 이름의 경우 엔터티를 사용합니다.

   • 형식에 대해 배열을 선택합니다.

   • 값의 경우 엔터티 입력을 시작하고 동적 콘텐츠 아래에서 엔터티를 선택합니다.

     

기존 인시던트를 선택합니다.

1. Microsoft Sentinel에서 인시던트로 이동하여 플레이북을 실행할 인시던트를 선택합니다.

2. 오른쪽의 인시던트 페이지에서 작업 > 플레이북 실행(미리 보기)을 선택합니다.

3. 플레이북에서 만든 플레이북 옆에 있는 실행을 선택합니다.

   플레이북이 트리거되면 플레이북이 트리거되고 오른쪽 위에 메시지가 표시됩니다.

4. 실행을 선택하고 플레이북 옆에 있는 실행 보기를 선택합니다.

   논리 앱 실행 페이지가 표시됩니다.

5. 변수 초기화에서 샘플 페이로드는 값 아래에 표시됩니다. 나중에 사용할 수 있는 샘플 페이로드를 확인합니다.

   

다른 엔터티 형식에서 필요한 엔터티 형식 필터링

1. 자동화 페이지로 다시 이동하여 플레이북을 선택합니다.

2. 변수를 추가하려는 단계에서 새 단계를 선택합니다.

3. 작업 선택 아래의 검색 상자에 filter array를 필터로 입력합니다. 작업 목록에서 데이터 작업을 선택합니다.

   

4. 필터 배열에 대한 다음 정보를 제공합니다.

   1. 원본>동적 콘텐츠에서 엔터티 이전에 초기화한 변수를 선택합니다.

   2. 첫 번째 값 선택 필드(왼쪽)를 선택하고 식을 선택합니다.

   3. 값 item()?['kind']를 붙여넣고 확인을 선택합니다.

      

   4. 같음 값을 그대로 둡니다(수정하지 마세요).

   5. 두 번째 값 선택 필드(오른쪽)에 Process를 입력합니다. 이는 시스템의 값과 정확히 일치해야 합니다.

      참고 항목

      이 쿼리는 대/소문자를 구분합니다. kind 값이 샘플 페이로드의 값과 일치하는지 확인합니다. 플레이북을 만들 때의 샘플 페이로드를 참조하세요.

      

결과를 JSON 파일로 구문 분석

1. 논리 앱에서 변수를 추가하려는 단계 아래에서 새 단계를 선택합니다.

2. 데이터 작업>JSON 구문 분석을 선택합니다.

   

3. 작업에 대한 다음 정보를 제공합니다.

   1. 콘텐츠를 선택하고 동적 콘텐츠>필터 배열에서 본문을 선택합니다.

      

   2. 배열에서 값을 추출할 수 있도록 스키마 아래에 JSON 스키마를 붙여넣습니다. 플레이북을 만들 때 생성한 샘플 페이로드를 복사합니다.

      

   3. 플레이북으로 돌아가서 샘플 페이로드를 사용하여 스키마 생성을 선택합니다.

      

   4. 페이로드를 붙여넣습니다. 스키마의 시작 부분에 여는 대괄호([)를 추가하고 스키마 ] 끝에서 닫습니다.

      

      

   5. 완료를 선택합니다.

나중에 사용할 동적 콘텐츠로 새 값 사용

이제 추가 작업을 위해 만든 값을 동적 콘텐츠로 사용할 수 있습니다. 예를 들어 프로세스 데이터가 포함된 이메일을 보내려는 경우 작업 이름을 변경하지 않은 경우 동적 콘텐츠에서 JSON 구문 분석 작업을 찾을 수 있습니다.

플레이북이 저장되었는지 확인합니다.

플레이북이 저장되었는지 확인하고 이제 SOC 작업에 플레이북을 사용할 수 있습니다.

다음 단계

다음 문서로 이동하여 플레이북을 사용하여 Microsoft Sentinel에서 인시던트 작업을 만들고 수행하는 방법을 알아봅니다.

플레이북을 사용하여 Microsoft Sentinel에서 인시던트 작업 만들기 및 수행