연습 - Microsoft Sentinel 플레이북 만들기
Contoso의 보안 운영 분석가인 여러분은 최근 누군가 가상 머신을 삭제하면 다량의 경고가 발생한다는 사실을 발견했습니다. 여러분은 추후 이러한 상황을 분석하여 가양성 사례에 대해 생성되는 경고를 줄이려고 합니다.
연습: Microsoft Sentinel 플레이북을 사용하는 위협 응답
여러분은 Microsoft Sentinel 플레이북을 구현하여 인시던트에 대한 대응을 자동화하려고 합니다.
이 연습에서는 다음 작업을 수행하여 Microsoft Sentinel 플레이북에 대해 알아봅니다.
Microsoft Sentinel 플레이북 권한을 구성합니다.
인시던트에 대응하는 동작을 자동화하는 플레이북 만들기.
인시던트를 호출하여 플레이북을 테스트합니다.
참고
이 연습을 완료하려면 연습 설치 단원을 완료해야 합니다. 아직 완료하지 않았다면 지금 완료한 다음 연습 단계를 계속하세요.
작업 1: Microsoft Sentinel 플레이북 권한을 구성합니다.
Azure Portal에서 Microsoft Sentinel을 검색하여 선택한 다음, 이전에 만든 Microsoft Sentinel 작업 영역을 선택합니다.
Microsoft Sentinel 페이지의 메뉴 모음에 있는 구성 섹션에서 설정을 선택합니다.
설정 페이지에서 설정 탭을 선택하고 아래로 스크롤하여 플레이북 권한을 확장합니다.
플레이북 권한에서 권한 구성 단추를 선택합니다.
권한 관리 페이지의 찾아보기 탭에서 Microsoft Sentinel 작업 영역이 속한 리소스 그룹을 선택합니다. 적용을 선택합니다.
권한 추가를 마침 메시지가 표시됩니다.
작업 2: Microsoft Sentinel 플레이북 작업
Azure Portal에서 Microsoft Sentinel을 검색하여 선택한 다음, 이전에 만든 Microsoft Sentinel 작업 영역을 선택합니다.
Microsoft Sentinel 페이지의 메뉴 모음에 있는 구성 섹션에서 자동화를 선택합니다.
상단 메뉴에서 만들기 및 인시던트 트리거가 있는 플레이북을 선택합니다.
플레이북 만들기 페이지의 기본 탭에서 다음 설정을 지정합니다.
설정 값 Subscription Azure 구독을 선택합니다. Resource group Microsoft Sentinel 서비스의 리소스 그룹을 선택합니다. 플레이북 이름 ClosingIncident(이름은 원하는 대로 지정 가능) 지역 Microsoft Sentinel과 동일한 위치를 선택합니다. Log Analytics 작업 영역 진단 로그를 사용하지 않음 다음:연결을 선택한 다음, 다음: 검토 및 만들기를>> 선택합니다.
디자이너를 만들고 계속하기 선택
참고
배포가 완료될 때가지 기다립니다. 배포에 걸리는 시간은 1분 미만입니다. 계속 실행하면 페이지를 새로 고쳐야 할 수 있습니다.
Logic Apps Designer 창에 Microsoft Sentinel 인시던트(미리 보기)가 표시됩니다.
Microsoft Sentinel 인시던트(미리 보기) 페이지에서 연결 변경 링크를 선택합니다.
연결 페이지에서 새로 추가를 선택합니다.
Microsoft Sentinel 페이지에서 로그인을 선택합니다.
계정에 로그인 페이지에서 Azure 구독에 대한 자격 증명을 제공합니다.
Microsoft Sentinel 인시던트(미리 보기) 페이지로 돌아가서 계정에 연결되어 있는 것을 확인할 수 있습니다. + 새 단계를 선택합니다.
작업 선택 창의 검색 필드에서 Microsoft Sentinel을 입력합니다.
Microsoft Sentinel 아이콘을 선택합니다.
작업 탭에서 경고-인시던트 가져오기(미리 보기)를 찾아 선택합니다.
인시던트 가져오기(미리 보기) 창에서 인시던트 ARM ID 필드를 선택합니다. 동적 콘텐츠 추가 창이 열립니다.
팁
필드를 선택하면 동적 콘텐츠로 필드를 채울 수 있도록 새 창이 열립니다.
동적 콘텐츠 탭의 검색 상자에 인시던트 ARM을 입력하기 시작하면 다음 스크린샷에 표시되는 대로 목록에서 항목을 선택할 수 있습니다.
+ 새 단계를 선택합니다.
작업 선택 창의 검색 필드에서 Microsoft Sentinel을 입력합니다.
팁
사용자 탭에서 최근 선택 항목에 Microsoft Sentinel 아이콘이 표시되어야 합니다.
Microsoft Sentinel 아이콘을 선택합니다.
작업 탭에서 인시던트 업데이트(미리 보기)를 찾아 선택합니다.
인시던트 업데이트(미리 보기) 창에 다음 입력을 제공합니다.
설정 값 인시던트 ARM ID 지정 인시던트 ARM ID 소유자 개체 ID/UPN 지정 인시던트 소유자 개체 ID 소유자 할당/할당 취소 지정 드롭다운 메뉴에서 할당 취소를 선택합니다. 심각도 기본 인시던트 심각도를 그대로 유지할 수 있습니다. 상태 지정 드롭다운 메뉴에서 닫힘을 선택합니다. 분류 이유 지정 드롭다운 메뉴에서 Undetermined와 같은 항목을 선택하거나 사용자 지정 값 입력을 선택하고 IncidentClassification 동적 콘텐츠를 선택합니다. 닫기 이유 텍스트 설명 텍스트를 작성합니다. 
인시던트 ARM ID 필드를 선택합니다. 동적 콘텐츠 추가 창이 열리고 검색 상자에 인시던트 ARM을 입력할 수 있습니다. 인시던트 ARM ID를 선택한 다음, 소유자 개체 ID/UPN 필드를 선택합니다.
동적 콘텐츠 추가 창이 열리고 검색 상자에 인시던트 소유자를 입력할 수 있습니다. 인시던트 소유자 개체 ID를 선택한 다음, 테이블 항목을 사용하여 나머지 필드를 채웁니다.
완료되면 Logic Apps Designer 메뉴 모음에서 저장을 선택한 다음, Logic Apps Designer를 닫습니다.
작업 3: 인시던트 호출 및 연결된 작업 검토
Azure Portal의 리소스, 서비스 및 문서 검색 텍스트 상자에 가상 머신을 입력한 다음 Enter를 선택합니다.
가상 머신 페이지에서 simple-vm 가상 머신을 찾아 선택한 다음 머리글 표시줄에서 삭제를 선택합니다.
simple-vm 삭제 페이지에서 OS 디스크와 네트워크 인터페이스 모두에 대해 VM으로 삭제를 선택합니다.
이 가상 머신과 선택한 리소스가 삭제된다는 것을 읽고 이해했습니다 확인란을 선택한 다음, 삭제를 선택하여 가상 머신을 삭제합니다.
참고
이 작업은 연습 설정 단원에서 만든 분석 규칙을 기반으로 인시던트를 만듭니다. 인시던트를 만드는 데 최대 15분이 걸릴 수 있습니다. 완료될 때까지 기다린 후에 다음 단계로 넘어가세요.
작업 4: 기존 인시던트에 플레이북 할당
Azure Portal에서 Microsoft Sentinel을 검색하여 선택한 다음, 이전에 만든 Microsoft Sentinel 작업 영역을 선택합니다.
Microsoft Sentinel | 개요 페이지의 메뉴 모음에 있는 위협 관리 섹션에서 인시던트를 선택합니다.
참고
이전 참고 사항에서 설명한 것처럼 인시던트 생성에는 최대 15분이 걸릴 수 있습니다. 인시던트 페이지에 인시던트가 나타날 때까지 페이지를 새로 고칩니다.
Microsoft Sentinel | 인시던트 페이지에서 가상 머신의 삭제로 인해 만들어진 인시던트를 선택합니다.
세부 정보 창에서 작업 및 플레이북 실행(미리 보기)을 선택합니다.
인시던트에서 플레이북 실행 페이지의 플레이북 탭에 ClosingIncident 플레이북이 표시되고 실행을 선택합니다.
플레이북이 트리거됨 메시지가 표시되는지 확인합니다.
인시던트 페이지에서 플레이북 실행을 닫고 Microsoft Sentinel | 인시던트 페이지로 돌아갑니다.
Microsoft Sentinel | 인시던트 페이지의 머리글 표시줄에서 새로 고침을 선택합니다. 창에서 인시던트가 사라집니다. 상태 메뉴에서 닫힘을 선택하고 확인을 선택합니다.
참고
경고가 닫힘으로 표시되기까지 최대 5분이 걸릴 수 있습니다.
인시던트가 다시 표시되는지 확인하고, 상태 열이 닫힘인지 확인합니다.
리소스 정리
Azure Portal에서 리소스 그룹을 검색합니다.
azure-sentinel-rg를 선택합니다.
머리글 표시줄에서 리소스 그룹 삭제를 선택합니다.
리소스 그룹 이름 입력: 필드에 리소스 그룹의 이름 azure-sentinel-rg를 입력하고 삭제를 선택합니다.