Microsoft Sentinel에서 자동화 구성

  • 7분

자동화 규칙 및 플레이북이란?

자동화 규칙은 Microsoft Sentinel에서 인시던트를 분류하는 데 도움을 줍니다. 이를 사용하여 적절한 직원에게 인시던트를 자동으로 할당하고, 불필요한 인시던트 또는 알려진 가양성을닫고, 심각도를 변경하며, 태그를 추가할 수 있습니다. 또한 인시던트 또는 경고에 대응하여 플레이북을 실행할 수 있는 메커니즘이기도 합니다.

플레이북은 전체 인시던트, 개별 경고 또는 특정 엔터티에 대한 응답으로 Microsoft Sentinel에서 실행할 수 있는 프로시저 컬렉션입니다. 플레이북은 응답을 자동화하고 오케스트레이션하는 데 도움이 될 수 있으며, 자동화 규칙에 연결하여 특정 경고가 생성되거나 인시던트가 생성되거나 업데이트될 때 자동으로 실행되도록 설정할 수 있습니다. 특정 인시던트, 경고 또는 엔터티에 대해 주문형으로 수동으로 실행할 수도 있습니다.

Microsoft Sentinel의 플레이북은 Azure Logic Apps 기본 제공 워크플로를 기반으로 합니다. 즉, Logic Apps의 모든 기능, 사용자 지정 가능성 및 기본 제공 템플릿을 얻을 수 있습니다. 각 플레이북은 속한 특정 구독에 대해 만들어지지만 플레이북 표시에는 선택한 구독에서 사용할 수 있는 모든 플레이북이 표시됩니다.

예를 들어 잠재적으로 손상된 사용자가 네트워크를 이동하고 정보를 도용하는 것을 막으려면 손상된 사용자를 감지하는 규칙에 의해 생성된 인시던트에 대한 자동화된 다각적인 응답을 만들 수 있습니다. 먼저 다음 작업을 수행하는 플레이북을 만듭니다.

  1. 플레이북이 인시던트를 전달하는 자동화 규칙에 의해 호출되면 플레이북은 ServiceNow 또는 다른 IT 티켓 시스템에서 티켓을 엽니다.

  2. 보안 분석가가 인시던트를 인식할 수 있도록 Microsoft Teams 또는 Slack 보안 운영 채널에 메시지를 보냅니다.

  3. 또한 인시던트에 있는 모든 정보를 전자 메일 메시지로 고위 네트워크 관리자 및 보안 관리자에게 보냅니다. 전자 메일 메시지에는 차단 사용자 옵션 단추 무시가 포함됩니다.

  4. 플레이북은 관리자로부터 응답을 받을 때까지 기다린 다음 다음 단계를 계속합니다.

  5. 관리자가 차단을 선택하면 Microsoft Entra ID로 명령을 보내 사용자를 사용하지 않도록 설정하고, 방화벽으로 명령을 보내 IP 주소를 차단합니다.

  6. 관리자가 무시을 선택하면, 플레이북은 Microsoft Sentinel의 인시던트와 ServiceNow의 티켓을 닫습니다.

플레이북을 트리거하기 위해 이러한 인시던트가 생성될 때 실행되는 자동화 규칙을 만듭니다. 이 규칙은 다음 단계를 수행합니다.

  1. 규칙은 인시던트 상태를 활성변경합니다.

  2. 이러한 유형의 인시던트 관리를 담당하는 분석가에게 인시던트가 할당됩니다.

  3. "손상된 사용자" 태그를 추가합니다.

  4. 마지막으로 방금 만든 플레이북을 호출합니다. (이 단계특수 권한이 필요합니다.)

플레이북은 위의 예제와 같이 플레이북을 작업으로 호출하는 자동화 규칙을 만들어 인시던트에 대응하여 자동으로 실행할 수 있습니다. 경고가 생성될 때 하나 이상의 플레이북을 자동으로 실행하도록 분석 규칙에 지시하여 경고에 대한 응답으로 자동으로 실행할 수도 있습니다.

선택한 경고에 대한 응답으로 주문형으로 플레이북을 수동으로 실행하도록 선택할 수도 있습니다.

Microsoft Sentinel에서 자동화 규칙플레이북를 사용하여 위협 대응 자동화에 대한 보다 더 완전하고 상세한 소개를 받으세요.

플레이북 만들기

다음 단계에 따라 Microsoft Sentinel에서 새 플레이북을 만듭니다.

  1. Azure PortalMicrosoft Sentinel의 경우 구성>Automation 페이지를 선택합니다. Microsoft Sentinel을 위해 Defender 포털에서 Microsoft Sentinel>Configuration>Automation을 선택합니다.
  2. 위쪽 메뉴에서 생성선택합니다.
  3. 만들기 아래에 표시되는 드롭다운 메뉴에서는 플레이북을 만들기 위한 4가지 선택 항목을 제공합니다.
    • 표준 플레이북(새 종류 - 논리 앱 유형참조)을 만드는 경우 빈 플레이북 선택하고 아래 Logic Apps 표준 탭의 단계를 따릅니다.

    • 소비 플레이북(원래의 클래식 종류)을 만드는 경우 사용하려는 트리거에 따라 인시던트 트리거 있는플레이북, 경고 트리거 있는플레이북 또는 엔터티 트리거 플레이북을 선택합니다. 그런 다음, 아래 Logic Apps 사용량 탭의 단계를 계속 수행합니다.

사용할 트리거에 대한 자세한 내용은 Microsoft Sentinel 플레이북에서 트리거 및 작업 사용을 참조하세요. 사용할 트리거에 대한 자세한 내용은 Microsoft Sentinel 플레이북트리거 및 작업 사용을 참조하세요.

기본 탭에서 다음을 수행합니다.

  1. 해당 드롭다운 목록에서 선택한 구독, 리소스 그룹지역 선택합니다. 선택한 지역은 논리 앱 정보가 저장되는 위치입니다.

  2. 플레이북 이름 플레이북의 이름을 입력합니다.

  3. 진단 목적으로 이 플레이북의 활동을 모니터링하려면 Log Analytics 진단 로그 사용 확인란을 표시하고 드롭다운 목록에서 Log Analytics 작업 영역 선택합니다.

  4. 플레이북이 Azure 가상 네트워크 내부에 있거나 연결된 보호된 리소스에 액세스해야 하는 경우 ISE(통합 서비스 환경)사용해야 할 수 있습니다. 그렇다면 통합 서비스 환경 연결 확인란을 표시하고 드롭다운 목록에서 원하는 ISE를 선택합니다.

  5. 다음: 연결>선택합니다.

연결 탭에서 다음을 수행합니다.

관리 ID를 사용하여 Microsoft Sentinel에 연결하도록 Logic Apps를 구성하는 경우 이 섹션을 그대로 두는 것이 좋습니다. 이 및 기타 인증 대안에 대해 알아봅니다.

다음을 선택합니다. 검토하고>만듭니다.

검토 및 만들기 탭에서 다음을 수행합니다.

선택한 구성을 검토한 후, 만들기를 선택하고 디자이너으로 계속 진행합니다.

플레이북을 만들고 배포하는 데 몇 분 정도 걸리며, 그 후에 "배포가 완료되었습니다"라는 메시지가 표시되고, 새 플레이북의 Logic App Designer로 이동합니다. 처음에 선택한 트리거가 자동으로 첫 번째 단계로 추가되며, 여기에서 워크플로를 계속 디자인할 수 있습니다.

Microsoft Sentinel 엔터티(미리 보기) 트리거를 선택한 경우, 이 플레이북이 입력으로 받을 엔터티의 유형을 선택합니다.

플레이북이 입력으로 받을 엔터티 유형을 선택하는 방법의 예시를 보여주는 스크린샷입니다.

작업 추가

이제 플레이북을 호출할 때 발생하는 작업을 정의할 수 있습니다. 새 단계를 선택하여 작업, 논리 조건, 루프 또는 대/소문자 전환 조건을 추가할 수 있습니다. 이 선택 영역은 디자이너에서 새 프레임을 열어 상호 작용할 시스템 또는 애플리케이션 또는 설정할 조건을 선택할 수 있습니다. 프레임 맨 위에 있는 검색 창에 시스템 또는 애플리케이션의 이름을 입력한 다음 사용 가능한 결과 중에서 선택합니다.

이러한 모든 단계에서 필드를 클릭하면 두 개의 메뉴, 즉 동적 콘텐츠 및 식이 있는 패널이 표시됩니다. 동적 콘텐츠 메뉴에서 모든 매핑된 엔터티의 값과 특성을 포함하여 플레이북에 전달된 경고 또는 인시던트 특성에 대한 참조를 추가하고 경고 또는 인시던트에 포함된 사용자 지정 세부 정보를 수 있습니다. 식 표현 메뉴에서 방대한 함수 라이브러리 중에서 선택하여 체계에 추가 논리를 적용할 수 있습니다.

이 스크린샷은 이 문서의 시작 부분에 있는 예제에 설명된 플레이북을 만들 때 추가할 작업 및 조건을 보여 줍니다. 플레이북에 작업을 추가하는 방법에 대해 더 알아보세요.

플레이북을 만들 때 추가할 작업 및 조건을 보여 주는 스크린샷

다양한 용도로 플레이북에 추가할 수 있는 작업에 대한 자세한 내용은 Microsoft Sentinel 플레이북 트리거 및 작업 사용을 참조하세요.

특히 사고가 아닌 상황 에서 엔터티 트리거를 바탕으로 한플레이북에 대한 중요한 정보에 주의하십시오.

위협 대응 자동화

플레이북을 만들고 트리거를 정의하고, 조건을 설정하고, 수행할 작업과 생성할 출력을 규정했습니다. 이제 실행할 조건을 결정하고 해당 조건이 충족될 때 실행할 자동화 메커니즘을 설정해야 합니다.

인시던트 및 경고에 대응

플레이북을 사용하여 전체 인시던트 또는 개별 경고에 자동으로 응답하려면, 인시던트가 생성되거나 업데이트되거나 경고가 생성될 때 실행되는 자동화 규칙 을 만듭니다. 이 자동화 규칙에는 사용하려는 플레이북을 호출하는 단계가 포함됩니다.

자동화 규칙을 만들려면 다음을 수행합니다.

  1. Microsoft Sentinel 탐색 메뉴의 Automation 페이지에서, 상단 메뉴의 만들기를 선택한 다음 Automation 규칙를 선택합니다.
  2. 새 자동화 규칙 만들기 패널이 열립니다. 규칙의 이름을 입력합니다. 작업 영역이 통합 보안 운영 플랫폼에 온보딩되는지 여부에 따라 옵션이 달라집니다. 예를 들어:
  3. 트리거: 자동화 규칙을 만드는 상황에 따라 적절한 트리거를 선택합니다.인시던트가생성되는 경우, 인시던트가업데이트되는 경우 또는 경고가 생성되는 경우.
  4. 조건:
    • 작업 영역이 통합 보안 운영 플랫폼에 아직 온보딩되지 않은 경우 인시던트에는 다음 두 가지 가능한 원본이 있을 수 있습니다.
    • 인시던트 트리거 중 하나를 선택한 경우 자동화 규칙이 Microsoft Sentinel에서 발생한 인시던트 또는 Microsoft Defender XDR에서 발생한 인시던트에만 적용되도록 하려면 인시던트 공급자가 조건과 같은 경우 원본을 지정합니다.
    • 이 조건은 인시던트 트리거를 선택하고 작업 영역이 통합 보안 운영 플랫폼에 온보딩되지 않은 경우에만 표시됩니다.
    • 모든 트리거 형식에 대해 자동화 규칙이 특정 분석 규칙에만 적용되도록 하려면 분석 규칙 이름에 조건이 포함된 경우 수정하여 지정합니다.
    • 이 자동화 규칙이 실행될지 여부를 확인하려는 다른 조건을 추가합니다. +을 추가하고 드롭다운 목록에서 조건 또는 조건 그룹을 선택합니다. 조건 목록은 경고 세부 정보 및 엔터티 식별자 필드로 채워집니다.
  5. 작업:
    • 이 자동화 규칙을 사용하여 플레이북을 실행하므로 드롭다운 목록에서 플레이북 실행 작업을 선택합니다. 그런 다음 사용 가능한 플레이북을 보여 주는 두 번째 드롭다운 목록에서 선택하라는 메시지가 표시됩니다. 자동화 규칙은 규칙에 정의된 트리거와 동일한 트리거(인시던트 또는 경고)로 시작하는 플레이북만 실행할 수 있으므로 해당 플레이북만 목록에 표시됩니다.

중요하다

수동으로 또는 자동화 규칙에서 플레이북을 실행하려면 Microsoft Sentinel에 명시적 권한이 부여되어야 합니다. 플레이북이 드롭다운 목록에 "회색으로 표시됨"으로 표시되면 Sentinel에 해당 플레이북의 리소스 그룹에 대한 권한이 없음을 의미합니다. 플레이북 권한 관리 링크를 클릭하여 권한을 할당합니다.

열리는 권한 관리 패널에서 실행하려는 플레이북이 포함된 리소스 그룹의 확인란을 표시하고 적용을 클릭합니다.

  • Microsoft Sentinel 권한을 부여하려는 리소스 그룹에 대한 소유자 권한이 있어야 하며 실행하려는 플레이북이 포함된 리소스 그룹에 논리 앱 기여자 역할이 있어야 합니다.
  • 다중 테넌트 배포에서 실행하려는 플레이북이 다른 테넌트에 있는 경우 플레이북의 테넌트에서 플레이북을 실행할 수 있는 Microsoft Sentinel 권한을 부여해야 합니다.
  • 플레이북 테넌트의 Microsoft Sentinel 탐색 메뉴에서 설정를 선택합니다.
  • 설정 블레이드에서 설정 탭을 선택한 다음 플레이북 사용 권한을 확장기를 선택합니다.
  • 사용 권한 구성 단추를 클릭하여 위에서 설명한 권한 관리 패널을 열고 설명된 대로 계속합니다.

MSSP 시나리오에서는 서비스 공급자 테넌트에 로그인하는 동안 만든 자동화 규칙에서 고객 테넌트에서 플레이북을 실행하려면 두 테넌트가 플레이북을 실행할 수 있는 권한을 Microsoft Sentinel에 부여해야 합니다. 고객 테넌트에서 위의 항목 다중 테넌트 배포에 대한 지침을 따르세요. 서비스 공급자 테넌트에서 Azure Lighthouse 온보딩 템플릿에 Azure Security Insights 앱을 추가해야 합니다.

  1. Azure 포털에서 Microsoft Entra ID로 이동합니다.

  2. 엔터프라이즈 애플리케이션을(를) 클릭합니다.

  3. 애플리케이션 유형을 선택하고 Microsoft 애플리케이션으로 필터링합니다.

  4. 검색 상자에 Azure Security Insights를 입력합니다.

  5. 개체 ID 필드를 복사합니다. 기존 Azure Lighthouse 위임에 이 추가 권한 부여를 추가해야 합니다.

Microsoft Sentinel Automation 기여자 역할에는 f4c81013-99ee-4d62-a7ee-b3f1f648599a고정 GUID가 있습니다.

  1. 이 규칙에 대해 원하는 다른 작업을 추가합니다. 작업의 오른쪽에 있는 위쪽 또는 아래쪽 화살표를 선택하여 작업 실행 순서를 변경할 수 있습니다.

  2. 자동화 규칙에 만료 날짜를 설정하려면 설정해 주세요.

  3. Order 아래에 숫자를 입력하여 자동화 규칙 시퀀스에서 이 규칙이 실행되는 위치를 결정합니다.

  4. 선택적용합니다. 완료되었습니다!

경고에 응답 - 레거시 방법

경고에 대한 응답으로 플레이북을 자동으로 실행하는 또 다른 방법은 분석 규칙에서 호출하는 것입니다. 규칙이 경고를 생성하면 플레이북이 실행됩니다.

이 메서드는 2026년 3월부터 더 이상 사용되지 않습니다.

2023년 6월부터는 더 이상 이러한 방식으로 분석 규칙에 플레이북을 추가할 수 없습니다. 그러나 분석 규칙에서 호출된 기존 플레이북을 계속 볼 수 있으며, 이러한 플레이북은 2026년 3월까지 계속 실행됩니다. 당신은 그 전에 이러한 플레이북을 호출하는 자동화 규칙을 만드는 것이 대신 강력히 권장됩니다.

주문형 플레이북 실행

경고, 인시던트(프리뷰) 또는 엔터티(프리뷰)에 대한 응답으로 요청 시 플레이북을 직접 실행할 수도 있습니다. 이는 오케스트레이션 및 응답 프로세스에 대한 사용자 입력 및 제어를 원하는 경우에 유용할 수 있습니다.

경고에 수동으로 플레이북을 실행하기

메모

이 절차는 통합 보안 운영 플랫폼에서 지원되지 않습니다.

Azure Portal환경에 필요한 다음 탭 중 하나를 선택합니다.

  1. 인시던트 페이지에서 인시던트를 선택합니다. Azure Portal에서 인시던트 세부 정보 창 아래쪽에 전체 세부 정보 보기 선택하여 인시던트 세부 정보 페이지를 엽니다.

  2. 인시던트 세부 정보 페이지의 인시던트 타임라인 위젯에서 플레이북을 실행하려는 경고를 선택합니다. 경고 줄의 끝에 있는 세 개의 점을 선택하고 팝업 메뉴에서 플레이북 실행을 선택합니다.

Microsoft Sentinel의 인시던트 타임라인 세부 정보 페이지의 예를 보여 주는 스크린샷

  1. 경고 플레이북 창이 열립니다. 당신이 액세스할 수 있는 Microsoft Sentinel Alert Logic Apps 트리거로 구성된 모든 플레이북 목록이 표시됩니다.

  2. 특정 플레이북 줄에서 실행 명령을 선택하여 즉시 실행합니다.

경고 플레이북 창의 실행 탭을 선택하여 경고에서 플레이북의 실행 기록을 볼 수 있습니다. 방금 완료된 실행이 목록에 표시되는 데 몇 초 정도 걸릴 수 있습니다. 특정 실행을 선택하면 Logic Apps에서 전체 실행 로그가 열립니다.