Microsoft Sentinel 플레이북을 사용하여 잠재적으로 손상된 사용자 차단
이 문서에서는 플레이북과 자동화 규칙을 사용하여 인시던트 대응을 자동화하고 보안 위협을 수정하는 방법에 대한 샘플 시나리오를 설명합니다. 자동화 규칙은 Microsoft Sentinel에서 인시던트를 심사하는 데 도움이 되며, 인시던트 또는 경고에 대응하여 플레이북을 실행하는 데에도 사용됩니다. 자세한 내용은 Microsoft Sentinel의 자동화: SOAR(보안 오케스트레이션, 자동화 및 대응)을 참조하세요.
이 문서에 설명된 샘플 시나리오에서는 인시던트가 만들어질 때 자동화 규칙과 플레이북을 사용하여 잠재적으로 손상된 사용자를 중지하는 방법을 설명합니다.
참고 항목
플레이북은 Azure Logic Apps를 사용하기 때문에 추가 요금이 부과될 수 있습니다. 자세한 내용은 Azure Logic Apps 가격 책정 페이지를 방문하세요.
Important
Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.
필수 조건
Azure Logic Apps를 사용하여 Microsoft Sentinel에서 플레이북을 만들고 실행하려면 다음 역할이 필요합니다.
역할 | 설명 |
---|---|
담당자 | 리소스 그룹의 플레이북에 대한 액세스 권한을 부여할 수 있습니다. |
Microsoft Sentinel 기여자 | 분석 또는 자동화 규칙에 플레이북을 연결할 수 있습니다. |
Microsoft Sentinel 응답자 | 플레이북을 수동으로 실행하기 위해 인시던트에 액세스할 수 있지만 플레이북을 실행할 수는 없습니다. |
Microsoft Sentinel 플레이북 운영자 | 플레이북을 수동으로 실행할 수 있습니다. |
Microsoft Sentinel 자동화 기여자 | 자동화 규칙이 플레이북을 실행하도록 허용합니다. 이 역할은 다른 목적으로 사용되지 않습니다. |
다음 표에서는 플레이북을 만들 소비 또는 표준 논리 앱을 선택하는지 여부에 따라 필요한 역할을 설명합니다.
논리 앱 | Azure 역할 | 설명 |
---|---|---|
소비 | 논리 앱 기여자 | 논리 앱을 편집하고 관리합니다. 플레이북을 실행합니다. 플레이북에 대한 액세스 권한을 부여할 수 없습니다. |
소비 | 논리 앱 운영자 | 논리 앱을 읽고, 사용하도록 설정하고, 사용하지 않도록 설정합니다. 논리 앱을 편집하거나 업데이트할 수 없습니다. |
Standard | Logic Apps 표준 연산자 | 논리 앱에서 워크플로를 사용하도록 설정하고, 다시 제출하고, 사용하지 않도록 설정합니다. |
Standard | Logic Apps 표준 개발자 | 논리 앱을 만들고 편집합니다. |
Standard | Logic Apps 표준 기여자 | 논리 앱의 모든 측면을 관리합니다. |
자동화 페이지의 활성 플레이북 탭에는 선택한 구독에서 사용할 수 있는 모든 활성 플레이북이 표시됩니다. 기본적으로 플레이북의 리소스 그룹에 Microsoft Sentinel 권한을 특별히 부여하지 않는 한, 플레이북은 자신이 속한 구독 내에서만 사용할 수 있습니다.
인시던트에 대한 플레이북을 실행하려면 추가 권한 필요
Microsoft Sentinel은 서비스 계정을 사용하여 인시던트에 대한 플레이북을 실행하고 보안을 추가하며 자동화 규칙 API를 사용하도록 설정하여 CI/CD 사용 사례를 지원합니다. 이 서비스 계정은 인시던트로 인해 트리거된 플레이북에 사용되거나 특정 인시던트에 대해 수동으로 플레이북을 실행할 때 사용됩니다.
사용자 고유의 역할 및 권한 외에도 이 Microsoft Sentinel 서비스 계정에는 플레이북이 있는 리소스 그룹에 대한 자체 권한 집합(Microsoft Sentinel 자동화 기여자 역할)가 있어야 합니다. Microsoft Sentinel이 이 역할을 갖게 되면 수동으로 또는 자동화 규칙을 통해 관련 리소스 그룹의 모든 플레이북을 실행할 수 있습니다.
Microsoft Sentinel에 필요한 권한을 부여하려면 소유자 또는 사용자 액세스 관리자 역할이 있어야 합니다. 플레이북을 실행하려면 실행하려는 플레이북이 포함된 리소스 그룹에 대한 Logic Apps 기여자 역할도 필요합니다.
잠재적으로 손상된 사용자 중지
SOC 팀은 잠재적으로 피해를 입은 사용자가 네트워크를 돌아다니면서 정보를 훔칠 수 없도록 하려고 합니다. 이러한 시나리오를 처리하기 위해 손상된 사용자를 검색하는 규칙에 의해 만들어진 인시던트에 대해 자동화되고 다각적인 대응을 만드는 것이 좋습니다.
다음 흐름을 사용하도록 자동화 규칙과 플레이북을 구성합니다.
잠재적으로 손상된 사용자에 대해 인시던트가 만들어지고 자동화 규칙이 트리거되어 플레이북을 호출합니다.
플레이북은 ServiceNow와 같은 IT 티켓팅 시스템에서 티켓을 엽니다.
또한 플레이북은 보안 분석가가 인시던트를 인지할 수 있도록 Microsoft Teams 또는 Slack의 보안 운영 채널에 메시지를 보냅니다.
또한 플레이북은 이메일 메시지에 포함된 인시던트의 모든 정보를 선임 네트워크 관리자 및 보안 관리자에게 보냅니다. 이메일 메시지에는 차단 및 무시 사용자 옵션 단추가 포함되어 있습니다.
플레이북은 관리자로부터 응답이 수신될 때까지 기다렸다가 다음 단계를 계속합니다.
관리자가 차단을 선택하면 플레이북은 사용자를 사용하지 않도록 설정하는 명령을 Microsoft Entra ID로 보내고, IP 주소를 차단하는 명령을 방화벽으로 보냅니다.
관리자가 무시를 선택하면 플레이북은 Microsoft Sentinel의 인시던트와 ServiceNow의 티켓을 닫습니다.
다음 스크린샷은 이 샘플 플레이북을 만들 때 추가할 작업과 조건을 보여 줍니다.