Microsoft Sentinel 플레이북이란?
Contoso는 보안 구성의 문제를 평가하고 해결하는 것 외에도 새로운 문제와 위협을 모니터링하여 적절히 대응해야 합니다.
SIEM 및 SOAR 솔루션으로서의 Microsoft Sentinel
Microsoft Sentinel은 하이브리드 환경을 위해 설계된 SIEM(보안 정보 및 이벤트 관리) 솔루션이자 SOAR(보안 오케스트레이션, 자동화 및 대응) 솔루션입니다.
참고
SIEM은 로그, 이벤트 및 다른 시스템에서 생성된 경고의 스토리지와 분석을 제공합니다. 이러한 솔루션이 자체 경고를 발생시키도록 구성할 수도 있습니다. SOAR 솔루션은 취약성의 수정 및 보안 프로세스의 전반적인 자동화를 지원합니다.
Microsoft Sentinel은 기본 제공 검색 및 사용자 지정 검색을 사용하여 인프라 외부에서 이루어진 Contoso 리소스에 대한 액세스 시도, Contoso의 데이터가 알려진 악성 IP 주소로 전송된 경우와 같은 잠재적인 보안 위협에 대해 경고를 제공합니다. 이러한 경고를 바탕으로 인시던트를 만들 수도 있습니다.
Microsoft Sentinel 플레이북
Microsoft Sentinel에서 경고에 대응하는 보안 플레이북을 만들 수 있습니다. 보안 플레이북은 경고에 대응하여 실행되는 Azure Logic Apps 기반 절차 컬렉션입니다. 보안 플레이북은 인시던트에 대한 조사의 결과로 수동으로 실행할 수도 있고 경고 발생 시 자동으로 플레이북이 실행되도록 구성할 수도 있습니다.
인시던트에 자동으로 대응하는 기능을 활용하여 보안 운영의 일부를 자동화하고 SOC(보안 운영 센터)의 생산성을 높일 수 있습니다.
예를 들어, Contoso의 문제를 해결하려면 의심스러운 사용자 이름이 안전하지 않은 IP 주소에서 리소스에 액세스하지 못하도록 차단하는 정의된 단계로 이루어진 워크플로를 개발할 수 있습니다. 아니면 SecOps 팀에 높음 수준 보안 경고를 제공하는 것과 같은 작업을 수행하도록 플레이북을 구성할 수 있습니다.
Azure Logic Apps
Azure Logic Apps는 비즈니스 프로세스의 운영을 자동화하는 클라우드 서비스입니다. ‘Logic Apps 디자이너’라는 그래픽 디자인 도구를 사용하여 미리 만들어진 구성 요소를 필요한 시퀀스로 정렬합니다. 코드 보기를 사용하여 JSON 파일에 자동화 프로세스를 작성할 수도 있습니다.
Logic Apps 커넥터
논리 앱은 커넥터를 사용하여 수백 가지의 서비스에 연결합니다. ‘커넥터’는 외부 서비스에 인터페이스를 제공하는 구성 요소입니다.
참고
Microsoft Sentinel 데이터 커넥터와 Logic Apps 커넥터는 서로 다른 커넥터입니다. Microsoft Sentinel 데이터 커넥터는 Microsoft Sentinel을 Microsoft 보안 제품과 Microsoft 이외의 솔루션의 경우 보안 에코시스템에 연결해 줍니다. Logic Apps 커넥터는 외부 서비스에 대한 API 연결을 제공하는 구성 요소로, 다른 앱, 서비스, 시스템, 프로토콜 및 플랫폼에서 이벤트, 데이터 및 동작을 통합할 수 있도록 지원합니다.
트리거와 동작이란?
Azure Logic Apps는 트리거와 동작을 사용합니다. 트리거와 동작은 다음과 같이 정의됩니다.
‘트리거’는 특정 조건 집합이 충족될 때 발생하는 이벤트입니다. 트리거는 조건이 충족되면 자동으로 활성화됩니다. 예를 들어, Microsoft Sentinel에서 발생한 보안 인시던트는 자동화된 동작을 위한 트리거가 됩니다.
‘동작’은 Logic Apps 워크플로의 태스크를 수행하는 작업입니다. 동작은 트리거가 활성화되거나 다른 동작이 완료되거나 특정 조건이 충족되었을 때 실행됩니다.
Microsoft Sentinel Logic Apps 커넥터
Microsoft Sentinel 플레이북은 Microsoft Sentinel Logic Apps 커넥터를 사용합니다. Azure Sentinel 플레이북은 플레이북을 시작하고 정의된 동작을 수행할 수 있는 트리거와 동작을 제공합니다.
현재 Microsoft Sentinel Logic Apps 커넥터에는 두 가지 트리거가 있습니다.
Microsoft Sentinel 경고에 대한 대응이 트리거된 경우
Microsoft Sentinel 인시던트 만들기 규칙이 트리거된 경우
참고
Microsoft Sentinel Logic App 커넥터는 현재 미리 보기 상태이 있으므로 이 모듈에서 설명하는 기능은 추후 변경될 수 있습니다.
다음 표에는 Microsoft Sentinel 커넥터의 모든 현재 동작이 나와 있습니다.
| 이름 | 설명 |
|---|---|
| 인시던트에 설명 추가 | 선택한 인시던트에 설명을 추가합니다. |
| 인시던트에 레이블 추가 | 선택한 인시던트에 레이블을 추가합니다. |
| 경고 - 인시던트 가져오기 | 선택한 경고와 관련된 인시던트를 반환합니다. |
| 인시던트 설명 변경 | 선택한 인시던트의 설명을 변경합니다. |
| 인시던트 심각도 변경 | 선택한 인시던트의 심각도를 변경합니다. |
| 인시던트 상태 변경 | 선택한 인시던트의 상태를 변경합니다. |
| 인시던트 제목 변경(V2) | 선택한 인시던트의 제목을 변경합니다. |
| 엔터티 - 계정 가져오기 | 경고와 관련된 계정 목록을 반환합니다. |
| 엔터티 - FileHashes 가져오기 | 경고와 관련된 파일 해시 목록을 반환합니다. |
| 엔터티 - 호스트 가져오기 | 경고와 관련된 호스트 목록을 반환합니다. |
| 엔터티 - IP 가져오기 | 경고와 관련된 IP 목록을 반환합니다. |
| 엔터티 - URL 가져오기 | 경고와 관련된 URL 목록을 반환합니다. |
| 인시던트의 레이블 제거 | 선택한 인시던트의 레이블을 제거합니다. |
참고
(V2) 또는 그 이상의 번호가 지정된 동작은 해당 동작의 새로운 버전을 제공하며, 동작의 기존 기능과 다를 수 있습니다.
일부 동작의 경우 다른 커넥터의 동작과의 통합이 필요합니다. 예를 들어, Contoso가 정의된 엔터티에서 경고로 반환된 모든 의심스러운 계정을 식별하려면 엔터티 - 계정 가져오기 동작과 For Each 동작을 결합해야 합니다. 마찬가지로, 인시던트에서 의심스러운 호스트를 탐지한 모든 개별 호스트를 가져오려면 엔터티 - 호스트 가져오기 동작과 For Each 동작을 결합해야 합니다.