자동화 규칙으로 Microsoft Sentinel의 위협 대응 자동화

• 적용 대상:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

이 문서에서는 Microsoft Sentinel 자동화 규칙에 대해 설명하고, 자동화 규칙을 사용하여 SOAR(보안 오케스트레이션, 자동화된 응답) 작업을 구현함으로써 시간과 리소스를 절약하는 동시에 SOC의 효율성을 높이는 방법을 설명합니다.

Important

Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼의 공개 미리 보기의 일부로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

자동화 규칙이란?

자동화 규칙은 다양한 시나리오에 적용할 수 있는 작은 규칙 집합을 정의하고 조정할 수 있도록 하여 Microsoft Sentinel에서 자동화를 중앙 관리하는 방법입니다.

자동화 규칙은 다음 사용 사례 범주에 적용됩니다.

• 플레이북을 사용하지 않고 인시던트를 처리하기 위한 기본 자동화 작업을 수행하는 경우. 예시:

  • 분석가가 따를 수 있도록 인시던트 작업을 추가합니다.
  • 노이즈가 많은 인시던트를 억제합니다.
  • 상태를 신규에서 활성으로 변경하고 소유자를 할당하여 새 인시던트를 심사합니다.
  • 인시던트에 태그를 지정하여 분류합니다.
  • 새 소유자를 할당하여 인시던트를 에스컬레이션합니다.
  • 해결된 인시던트를 닫고 이유를 지정하고 설명을 추가합니다.

• 한 번에 여러 분석 규칙에 대한 응답을 자동화합니다.

• 실행되는 작업의 순서를 제어합니다.

• 인시던트의 내용(경고, 엔터티 및 기타 속성)을 검사하고 플레이북을 호출하여 추가 작업을 수행하는 경우

• 자동화 규칙은 인시던트와 연결되지 않은경고에 대한 응답으로 플레이북을 실행하는 메커니즘일 수도 있습니다.

간단히 말해 자동화 규칙은 Microsoft Sentinel에서 자동화 사용을 간소화함으로써 복잡한 위협 대응 오케스트레이션 프로세스 워크플로를 간소화할 수 있게 해 줍니다.

구성 요소

자동화 규칙은 다음과 같은 여러 구성 요소로 구성됩니다.

• 규칙이 실행되도록 하는 인시던트 이벤트의 종류를 정의하는 트리거...
• 규칙이 실행되고 수행되는 정확한 상황을 결정하는 조건...
• 어떤 방식으로든 인시던트를 변경하거나 플레이북을 호출하는 작업.

트리거

자동화 규칙은 인시던트가 만들어지거나 업데이트될 때 또는 경고가 만들어질 때 트리거됩니다. 인시던트에는 경고가 포함되며, 경고와 인시던트 모두 Microsoft Sentinel의 기본 제공 분석 규칙으로 위협 탐지에 설명된 여러 형식이 있는 분석 규칙에 따라 만들어진다는 점에 유의하세요.

다음 표에는 자동화 규칙이 실행되도록 하는 가능한 여러 시나리오가 나와 있습니다.

트리거 형식	규칙을 실행하게 하는 이벤트
인시던트가 생성될 때	Microsoft Defender의 통합 보안 운영 플랫폼: 새 인시던트가 Microsoft Defender 포털에 만들어집니다. 통합 플랫폼에 온보딩되지 않은 Microsoft Sentinel: 분석 규칙에 의해 새로운 인시던트가 만들어집니다. Microsoft Defender XDR에서 인시던트가 수집됩니다. 새 인시던트가 수동으로 만들어집니다.
인시던트가 업데이트될 때	인시던트의 상태가 변경되었습니다(닫힘/다시 열림/심사됨). 인시던트의 소유자가 할당되거나 변경되었습니다. 인시던트의 심각도가 높아지거나 낮아집니다. 인시던트에 경고가 추가됩니다. 주석, 태그 또는 전술이 인시던트에 추가됩니다.
경고가 만들어질 때	Microsoft Sentinel 예약된 또는 NRT 분석 규칙에 의해 경고가 생성됩니다.

인시던트 기반 또는 경고 기반 자동화란?

이제 인시던트 자동화와 경고 자동화는 모두 자동화 규칙과 플레이북에 따라 중앙에서 처리되므로, 언제 사용해야 하는지 어떻게 선택해야 할까요?

대부분의 사용 사례에서는 인시던트 트리거 자동화가 바람직한 방법입니다. Microsoft Sentinel에서 인시던트는 특정 조사에 관련된 모든 증거의 집합체인 ‘사례 파일’이자 경고, 엔터티, 메모, 협업 및 기타 아티팩트를 위한 컨테이너입니다. 단일 증거인 경고와 달리 인시던트는 수정 가능하고, 최신 상태로 업데이트되며, 메모와 태그, 책갈피를 사용해 보강될 수 있습니다. 인시던트를 통해 새로운 경고가 추가되어 계속 진화하는 공격 스토리를 추적할 수 있습니다.

이러한 이유로 인시던트를 중심으로 자동화를 빌드하는 것이 더 합리적입니다. 따라서 플레이북을 만드는 가장 적절한 방법은 Azure Logic Apps의 Microsoft Sentinel 인시던트 트리거를 기반으로 하는 것입니다.

경고 트리거 자동화를 사용하는 주된 이유는 인시던트를 만들지 않는 분석 규칙(즉, 분석 규칙 마법사의 인시던트 설정 탭에서 인시던트 만들기를 사용할 수 없는 경우)에 따라 생성된 경고에 응답하기 위한 것입니다.

이 이유는 모든 인시던트 만들기가 Microsoft Defender XDR에서 발생하므로 Microsoft Sentinel 작업 영역이 통합 보안 운영 플랫폼에 온보딩된 경우 특히 관련이 있습니다. 따라서 Microsoft Sentinel의 인시던트 만들기 규칙은 사용하지 않도록 설정되어야 합니다.

통합 포털에 온보딩하지 않아도 경고로 트리거되는 자동화를 사용하기로 결정할 수 있습니다(다른 외부 논리를 사용하여 경고에서 인시던트가 만들어지는지 여부와 방법은 물론 경고가 인시던트로 그룹화되는지 여부와 방법을 결정하려는 경우). 예시:

• 플레이북이 관련된 인시던트가 없는 경고에 의해 트리거되고 다른 원본의 정보로 경고를 보강할 수 있으며, 일부 외부 논리에 따라 인시던트를 만들지 여부를 결정합니다.

• 플레이북이 경고에 의해 트리거될 수 있으며, 인시던트를 만드는 대신 경고를 추가할 적절한 기존 인시던트를 찾습니다. 인시던트 확장에 대해 자세히 알아보세요.

• 플레이북이 경고에 의해 트리거되고 SOC 담당자에게 경고를 알릴 수 있으므로, 팀에서 인시던트를 만들지 여부를 결정할 수 있습니다.

• 플레이북이 경고에 의해 트리거되며 인시던트를 만들고 관리하기 위한 외부 티켓 시스템에 경고를 보내 각 경고에 대해 새로운 티켓을 만들 수 있습니다.

참고 항목

• 경고로 트리거되는 자동화는 예약, NRT 및 Microsoft 보안 분석 규칙에 의해 만들어진 경고에만 사용할 수 있습니다.

• Microsoft Defender XDR에서 만들어진 경고에 대한 경고 트리거 자동화는 통합 보안 운영 플랫폼에서 사용할 수 없습니다. 자세한 내용은 통합 보안 운영 플랫폼으로 자동화를 참조하세요.

조건

복잡한 조건 집합을 정의하여 작업(아래 참조)이 실행될 시점을 제어할 수 있습니다. 이러한 조건에는 규칙을 트리거하는 이벤트(인시던트가 만들어지거나 업데이트됨 또는 경고가 만들어짐), 인시던트 속성과 엔터티 속성(인시던트 트리거만 해당)의 상태 또는 값, 그리고 인시던트나 경고를 생성한 규칙 또는 분석 규칙이 포함됩니다.

자동화 규칙이 트리거되면 규칙에 정의된 조건에 대해 트리거 인시던트나 경고를 확인합니다. 인시던트의 경우 속성 기반 조건은 평가가 발생한 순간 속성의 현재 상태 또는 속성의 상태 변경에 따라 평가됩니다(자세한 내용은 아래 참조). 단일 인시던트 만들기 또는 업데이트 이벤트가 여러 자동화 규칙을 트리거할 수 있으므로 실행되는 순서(아래 참조)는 조건 평가 결과를 결정하는 데 차이가 있습니다. 규칙에 정의된 작업은 모든 조건이 충족되는 경우에만 실행됩니다.

인시던트 만들기 트리거

인시던트가 만들어질 때 트리거를 사용하여 정의된 규칙의 경우 다음 연산자 중 하나 이상을 사용하여 지정된 인시던트 속성 목록 값의 현재 상태를 확인하는 조건을 정의할 수 있습니다.

인시던트 속성의 가치

• 조건에 정의된 값은 같음 또는 같지 않음입니다.
• 조건에 정의된 값은 포함 또는 포함하지 않음입니다.
• 조건에 정의된 값은 다음으로 시작 또는 다음으로 시작하지 않음입니다.
• 조건에 정의된 값은 다음으로 끝남 또는 다음으로 끝나지 않음입니다.

이 컨텍스트에서 현재 상태는 조건이 평가되는 순간, 즉 자동화 규칙이 실행되는 순간을 나타냅니다. 이 인시던트 만들기에 대한 응답으로 실행하도록 둘 이상의 자동화 규칙이 정의된 경우 이전에 실행된 자동화 규칙에 의해 인시던트에 적용된 변경 내용은 이후 실행 규칙의 현재 상태로 간주됩니다.

인시던트 업데이트 트리거

인시던트가 업데이트될 때 트리거를 사용하여 정의된 규칙에서 평가된 조건에는 인시던트 만들기 트리거에 대해 나열된 모든 조건이 포함됩니다. 그러나 업데이트 트리거에는 평가할 수 있는 더 많은 속성이 포함되어 있습니다.

이러한 속성 중 하나는 업데이트한 사람입니다. 이 속성을 사용하면 인시던트를 변경한 원본 형식을 추적할 수 있습니다. 통합 보안 운영 플랫폼에 작업 영역을 온보딩했는지 여부에 따라 다음 값 중 하나로 인시던트가 업데이트되었는지 여부를 평가하는 조건을 만들 수 있습니다.

온보딩된 작업 영역

• Azure 및 Defender 포털의 애플리케이션을 포함한 애플리케이션.
• Azure 및 Defender 포털에서 사용자가 변경한 내용을 포함한 사용자.
• AIR, Microsoft Defender for Office 365의 자동 조사 및 응답에 의한 업데이트용
• 분석 규칙과 기본 제공 Microsoft Defender XDR 상관 관계 논리에 의해 수행된 경고 그룹화를 포함하여 인시던트에 경고를 추가한 경고 그룹화
• 플레이북
• 자동화 규칙
• 기타(위의 값이 적용되지 않는 경우)

온보딩되지 않은 작업 영역

• 애플리케이션
• Microsoft Sentinel 사용자
• 분석 규칙에 의해 수행된 경고 그룹화(인시던트에 경고를 추가함)
• 플레이북
• 자동화 규칙
• Microsoft Defender XDR

예를 들어 이 조건을 사용하여 다른 자동화 규칙에 의해 이루어진 경우를 제외하고 인시던트에 대한 모든 변경 내용에 대해 이 자동화 규칙이 실행되도록 지시할 수 있습니다.

더 나아가 업데이트 트리거는 현재 상태는 물론 인시던트 속성 값의 상태 변경을 확인하는 다른 연산자도 사용합니다. 다음과 같은 경우 상태 변경 조건이 충족됩니다.

인시던트 속성 값은

• 변경됨(이전 또는 이후의 실제 값에 관계없이).
• 조건에 정의된 값은 다음에서 변경입니다.
• 조건에 정의된 값은 다음으로 변경입니다.
• 추가됨(값 목록이 있는 속성에 적용됨).

Tag 속성: 개별 대 컬렉션

인시던트 속성 Tag는 개별 항목의 컬렉션이며, 단일 인시던트는 컬렉션에 여러 태그를 적용할 수 있습니다. 컬렉션의 각 태그를 개별적으로 확인하는 조건과 태그의 컬렉션을 하나의 단위로 확인하는 조건을 정의할 수 있습니다.

• 개별 태그 연산자는 컬렉션의 모든 태그에 대해 조건을 확인합니다. 하나 이상의 태그가 조건을 충족할 경우 평가는 true입니다.
• 모든 태그의 컬렉션 연산자는 태그 컬렉션에 대해 단일 단위로 조건을 확인합니다. 컬렉션 전체가 조건을 충족하는 경우에만 평가는 true입니다.

이 구분은 조건이 음수(포함하지 않음)이고 컬렉션의 일부 태그가 조건을 충족하고 다른 태그는 조건을 충족하지 않을 때 중요합니다.

조건이 태그에 "2024"를 포함하지 않음이고, 각각 두 개의 태그가 포함된 두 개의 인시던트가 있는 예제를 살펴보겠습니다.

\ 인시던트 ▶ 조건 ▼ \	인시던트 1 태그 1: 2024 태그 2: 2023	인시던트 2 태그 1: 2023 태그 2: 2022
개별 태그 "2024"를 포함하지 않음	TRUE	TRUE
모든 태그의 컬렉션 "2024"를 포함하지 않음	FALSE	TRUE

이 예에서는 인시던트 1에서:

• 조건이 각 태그를 개별적으로 확인하면 조건("2024"를 포함하지 않음)을 충족하는 태그가 하나 이상 있으므로, 전체 조건은 true입니다.
• 조건이 인시던트의 모든 태그를 단일 단위로 확인하면 조건("2024"를 포함함)을 충족하지 않는 태그가 하나 이상 있으므로, 전체 조건은 false입니다.

인시던트 2에서는 정의된 조건 유형에 관계없이 결과가 동일합니다.

경고 만들기 트리거

현재 경고 만들기 트리거에 구성할 수 있는 유일한 조건은 자동화 규칙이 실행되는 분석 규칙의 집합입니다.

actions

작업은 조건(위 참조)이 충족될 때 실행되도록 정의할 수 있습니다. 규칙에서 많은 작업을 정의하고 작업이 실행되는 순서를 선택할 수 있습니다(아래 참조). 다음 작업은 플레이북의 고급 기능이 없어도 자동화 규칙을 사용하여 정의할 수 있습니다.

• 인시던트에 작업 추가 - 중요한 단계가 누락되지 않도록 인시던트 심사, 조사 및 수정 프로세스 전반에서 분석가가 따라야 할 작업 검사 목록을 만들 수 있습니다.

• 인시던트 상태를 변경하여 워크플로를 최신 상태로 유지합니다.

  • "종료됨"으로 변경할 때 종료 이유를 지정하고 주석을 추가합니다. 이렇게 하면 성능 및 효율성을 추적하고 미세 조정하여 가양성을 줄일 수 있습니다.

• 인시던트의 심각도 변경 – 인시던트에 포함된 엔터티의 존재, 부재, 값 또는 특성에 따라 다시 평가하고 우선 순위를 다시 지정할 수 있습니다.

• 소유자에게 인시던트 할당 - 인시던트를 처리하는 데 가장 적합한 직원 또는 가장 지원이 가능한 직원에게 인시던트 유형을 지시할 수 있습니다.

• 인시던트에 태그 추가 – 주체, 공격자 또는 기타 공통 분모로 인시던트를 분류하는 데 유용합니다.

또한 외부 시스템과 관련된 작업을 포함하여 더욱 복잡한 대응 조치를 수행하기 위해 플레이북을 실행하는 작업을 정의할 수 있습니다. 자동화 규칙에서 사용할 수 있는 플레이북은 플레이북 및 자동화 규칙의 기반이 되는 트리거에 따라 달라집니다. 인시던트 트리거 플레북은 인시던트 트리거 자동화 규칙에서만 실행될 수 있으며, 경고 트리거 플레이북은 경고 트리거 자동화 규칙에서만 실행될 수 있습니다. 플레이북을 호출하는 여러 작업 또는 플레이북과 기타 작업의 조합을 정의할 수 있습니다. 작업은 규칙에 나열된 순서대로 실행됩니다.

Azure Logic Apps(표준 또는 사용량) 버전을 사용하는 플레이북은 자동화 규칙에서 실행할 수 있습니다.

만료 날짜

자동화 규칙의 만료 날짜를 정의할 수 있습니다. 해당 날짜 이후에는 규칙이 사용하지 않도록 설정됩니다. 침투 테스트와 같이 계획된 시간 제한 활동으로 인해 발생하는 "노이즈" 인시던트를 처리(즉, 종료)하는 데 유용합니다.

순서

자동화 규칙이 실행되는 순서를 정의할 수 있습니다. 이후 자동화 규칙은 이전 자동화 규칙에 따라 처리된 후의 상태에 따라 인시던트의 조건을 평가합니다.

예를 들어 "첫 번째 자동화 규칙"이 인시던트의 심각도를 중간에서 낮음으로 변경하고 "두 번째 자동화 규칙"이 중간 이상의 심각도가 있는 인시던트에 대해서만 실행되도록 정의된 경우 해당 인시던트에 대해 실행되지 않습니다.

인시던트 작업을 추가하는 자동화 규칙의 순서에 따라 해당 인시던트에 작업이 표시되는 순서가 결정됩니다.

업데이트 트리거를 기준으로 하는 규칙에는 별도의 순서 큐가 있습니다. 이러한 규칙이 방금 만든 인시던트에서 실행되도록 트리거되는 경우(다른 자동화 규칙의 변경으로 인해) 만들기 트리거를 기준으로 하는 모든 적용 가능한 규칙이 실행된 후에만 실행됩니다.

실행 순서 및 우선 순위에 대한 참고 사항

• 자동화 규칙에서 순서 번호를 설정하면 실행 순서가 결정됩니다.
• 각 트리거 유형은 자체 큐를 유지 관리합니다.
• Azure Portal에서 만든 규칙의 경우 순서 필드는 동일한 트리거 유형의 기존 규칙에서 사용하는 가장 높은 수 다음에 오는 숫자가 자동으로 채워집니다.
• 그러나 다른 방법(명령줄, API 등)으로 만든 규칙의 경우 순서 번호를 수동으로 할당해야 합니다.
• 동일한 트리거 유형 내에서도 여러 규칙이 동일한 순서 번호를 갖는 것을 방지하는 유효성 검사 메커니즘은 없습니다.
• 실행되는 순서에 상관하지 않는 경우 동일한 트리거 유형의 두 개 이상의 규칙이 동일한 순서 번호를 갖도록 허용할 수 있습니다.
• 동일한 순서 번호를 가진 동일한 트리거 유형의 규칙의 경우 실행 엔진은 어떤 규칙이 어떤 순서로 실행될지 임의로 선택합니다.
• 다양한 인시던트 트리거 유형의 규칙의 경우, 인시던트 생성 트리거 유형이 있는 모든 적용 가능한 규칙이 먼저 실행되며(순서 번호에 따름) 그 다음에 인시던트 업데이트 트리거 유형(해당 순서 번호에 따름)의 규칙만 실행됩니다.
• 규칙은 항상 순차적으로 실행되며 동시에 실행되지 않습니다.

참고 항목

통합 보안 운영 플랫폼으로 온보딩한 후, 5~10분 사이에 동일한 인시던트에 여러 번의 변경 내용이 적용되면 가장 최근 변경 내용만 포함된 하나의 업데이트만 Microsoft Sentinel에 전송됩니다.

일반적인 사용 사례 및 시나리오

인시던트 작업

Automation 규칙을 사용하면 자동화 규칙에서 설정한 조건 및 기본 분석 규칙의 위협 탐지 논리에 따라 단일 인시던트, 인시던트 그룹 또는 모든 인시던트에 적용할 수 있는 작업을 만들어 인시던트 심사, 조사 및 수정에 필요한 단계를 표준화하고 공식화할 수 있습니다. 인시던트에 적용된 작업은 인시던트 페이지에 표시되므로 분석가는 취해야 할 전체 작업 목록을 바로 앞에 두고 중요한 단계를 놓치지 않습니다.

인시던트 트리거 및 경고 트리거 자동화

Automation 규칙은 인시던트 만들기 또는 업데이트와 경고 만들기에 의해 트리거될 수 있습니다. 이러한 발생은 모두 플레이북을 포함할 수 있는 자동화된 응답 체인을 트리거할 수 있습니다(특별한 권한이 필요함).

Microsoft 공급자에 대해 플레이북 트리거

자동화 규칙은 경고를 통해 생성된 인시던트에 규칙을 적용하여 Microsoft 보안 경고 처리를 자동화하는 방법을 제공합니다. 자동화 규칙은 플레이북(특수 권한이 필요함)을 호출하고 경고 및 엔터티를 비롯한 모든 세부 정보와 함께 인시던트를 전달합니다. 일반적으로 Microsoft Sentinel 모범 사례는 보안 작업의 핵심 요소로 인시던트 큐를 사용합니다.

Microsoft 보안 경고에 다음이 포함됩니다.

• Microsoft Entra ID 보호
• Microsoft Defender for Cloud
• Microsoft Defender for Cloud 앱
• Office 365용 Microsoft Defender
• 엔드포인트에 대한 Microsoft Defender
• Microsoft Defender for Identity
• Microsoft Defender for IoT

단일 규칙의 여러 개 순차적 플레이북/작업

이제 단일 자동화 규칙에서 작업 및 플레이북의 실행 순서를 거의 완전히 제어할 수 있습니다. 또한 자동화 규칙 자체의 실행 순서를 제어합니다. 이 경우 플레이북을 크게 간소화하여 단일 작업 또는 작고 간단한 일련의 작업으로 축소하고, 여러 조합으로 된 작은 플레이북을 다른 자동화 규칙에 결합할 수 있습니다.

한 번에 하나의 플레이북을 여러 분석 규칙에 할당

모든 분석 규칙에 자동화하려는 작업(예: 외부 티켓 시스템에서 지원 티켓 생성)이 있는 경우 모든 향후 규칙을 포함하여 임의 또는 모든 분석 규칙에 단일 플레이북을 한 번에 적용할 수 있습니다. 이렇게 하면 간단하지만 반복적인 유지 관리 및 정리 작업을 훨씬 쉽게 할 수 있습니다.

인시던트 자동 할당

인시던트를 올바른 소유자에게 자동으로 할당할 수 있습니다. SOC에 특정 플랫폼을 전문으로 하는 분석가가 있는 경우 해당 플랫폼과 관련된 모든 인시던트를 해당 분석가에게 자동으로 할당할 수 있습니다.

인시던트 제거

규칙을 사용하면 플레이북을 사용하지 않고 가양성/무해한 양성이라고 하는 인시던트를 자동으로 해결할 수 있습니다. 예를 들어 침투 테스트를 실행하거나 예약된 유지 관리 또는 업그레이드를 수행하거나 자동화 절차를 테스트할 때 SOC에서 무시하려는 다수의 가양성 인시던트가 만들어질 수 있습니다. 시간이 제한된 자동화 규칙은 생성될 때 생성 원인의 설명자로 태그를 지정하면서 인시던트를 자동으로 종료할 수 있습니다.

시간이 제한된 자동화

자동화 규칙의 만료 날짜를 추가할 수 있습니다. 인시던트 제거 사례 이외에 시간이 제한된 자동화를 보증하는 사례가 있을 수 있습니다. 특정 시간 프레임에서 특정 사용자(예: 인턴 또는 컨설턴트)에게 특정 유형의 인시던트를 할당하는 것이 좋습니다. 시간 프레임을 미리 알고 있는 경우에는 연관성이 종료될 때 규칙을 사용하지 않도록 효과적으로 설정할 수 있으므로 이러한 작업을 기억할 필요가 없습니다.

인시던트에 자동으로 태그 지정

선택한 조건에 따라 그룹화하거나 분류할 인시던트에 자유 텍스트 태그를 자동으로 추가할 수 있습니다.

업데이트 트리거로 추가된 사용 사례

이제 인시던트에 대한 변경 내용이 자동화 규칙을 트리거할 수 있으므로 자동화에 더 많은 시나리오가 열려 있습니다.

인시던트를 개선하는 과정에서 자동화 확장

조사가 진행되고 분석가가 경고, 주석 및 태그를 추가할 때 업데이트 트리거를 사용하여 위의 많은 사용 사례를 인시던트에 적용할 수 있습니다. 인시던트의 경고 그룹화를 제어합니다.

오케스트레이션 및 알림 업데이트

인시던트가 변경되면 다양한 팀과 다른 직원에게 알려 중요 업데이트를 놓치지 않도록 합니다. 인시던트를 새 소유자에게 할당하고 새 소유자에게 할당을 알려 인시던트를 에스컬레이션합니다. 인시던트가 다시 열리는 시기와 방법을 제어합니다.

외부 시스템과의 동기화 유지

인시던트가 만들어질 때 플레이북을 사용하여 외부 시스템에서 티켓을 만든 경우 업데이트 트리거 자동화 규칙을 사용하여 해당 티켓을 업데이트할 플레이북을 호출할 수 있습니다.

자동화 규칙 실행

자동화 규칙은 사용자가 결정한 순서에 따라 순차적으로 실행됩니다. 각 자동화 규칙은 이전 실행이 완료된 후 실행됩니다. 자동화 규칙 내에서 모든 작업은 정의된 순서대로 순차적으로 실행됩니다.

자동화 규칙 내의 플레이북 작업은 다음 기준에 따라 일부 상황에서 다르게 처리될 수 있습니다.

플레이북 런타임	자동화 규칙이 다음 작업으로 진행됩니다...
1초 미만	플레이북이 완료된 직후
2분 미만	플레이북 실행이 시작된 후 최대 2분 하지만 플레이북이 완료된 후 10초 이내
2분 초과	플레이북 실행이 시작된 후 2분 완료 여부와 관계없이

플레이북을 실행할 자동화 규칙에 대한 권한

Microsoft Sentinel 자동화 규칙이 플레이북을 실행하는 경우 이 작업에 대해 특별히 권한이 부여된 특수한 Microsoft Sentinel 서비스 계정을 사용합니다. 사용자 계정이 아닌 이 계정을 사용하면 서비스의 보안 수준이 향상됩니다.

자동화 규칙에서 플레이북을 실행하려면 플레이북이 있는 리소스 그룹에 대한 명시적 권한을 이 계정에 부여해야 합니다. 이때 모든 자동화 규칙은 해당 리소스 그룹에서 모든 플레이북을 실행할 수 있습니다.

자동화 규칙을 구성하고 플레이북 실행 작업을 추가하는 경우 플레이북 드롭다운 목록이 표시됩니다. Microsoft Sentinel에 권한이 없는 플레이북은 사용할 수 없는 것으로 표시됩니다("회색으로 표시됨"). 플레이북 권한 관리 링크를 선택하면 플레이북의 리소스 그룹에 Microsoft Sentinel 권한을 즉시 부여할 수 있습니다. 이러한 권한을 부여하려면 해당 리소스 그룹에 대한 소유자 권한이 필요합니다. 전체 권한 요구 사항을 참조하세요.

다중 테넌트 아키텍처의 사용 권한

자동화 규칙은 작업 영역 간 배포 및 다중 테넌트 배포를 완벽하게 지원합니다(다중 테넌트의 경우 Azure Lighthouse 사용).

따라서 Microsoft Sentinel 배포에서 다중 테넌트 아키텍처를 사용하는 경우, 한 테넌트의 자동화 규칙이 다른 테넌트에 있는 플레이북을 실행할 수 있지만 Sentinel에서 플레이북을 실행하는 권한은 자동화 규칙이 정의된 테넌트가 아닌 플레이북이 있는 테넌트에서 정의해야 합니다.

서비스 공급자 테넌트가 고객 테넌트의 Microsoft Sentinel 작업 영역을 관리하는 MSSP(관리형 보안 서비스 공급자)의 특정 경우에는 주의를 기울여야 하는 두 가지 특정 시나리오가 있습니다.

• 고객 테넌트에서 만들어진 자동화 규칙은 서비스 공급자 테넌트에 있는 플레이북을 실행하도록 구성됩니다.

  이 접근 방식은 일반적으로 플레이북의 지적 재산권을 보호하는 데 사용됩니다. 이 시나리오가 작동하는 데 특별한 사항은 없습니다. 자동화 규칙에서 플레이북 작업을 정의하고 플레이북이 있는 관련 리소스 그룹에 대해 Microsoft Sentinel 권한을 부여하는 단계에 도달하면(플레이북 권한 관리 패널 사용) 선택할 수 있는 그룹 중에서 서비스 공급자 테넌트에 속하는 리소스 그룹을 확인합니다. 여기에 설명된 전체 프로세스를 참조하세요.

• 고객 작업 영역에서 만들어진 자동화 규칙(서비스 공급자 테넌트에 로그인한 동안)은 고객 테넌트에 있는 플레이북을 실행하도록 구성됩니다.

  이 구성은 지적 재산권을 보호할 필요가 없을 때 사용됩니다. 이 시나리오가 작동하려면 두 테넌트의 Microsoft Sentinel에 플레이북을 실행할 수 있는 권한을 부여해야 합니다. 고객 테넌트의 경우 위 시나리오와 같이 플레이북 권한 관리 패널에서 권한을 부여합니다. 서비스 공급자 테넌트에서 관련 권한을 부여하려면 플레이북이 있는 리소스 그룹에서 Microsoft Sentinel Automation 기여자 역할을 사용하여 Azure Security Insights 앱에 대한 액세스 권한을 부여하는 추가 Azure Lighthouse 위임을 추가해야 합니다.

  시나리오는 다음과 같습니다.

  

  이를 설정하는 방법은 지침을 참조하세요.

자동화 규칙 만들기 및 관리

특정 요구 사항 및 사용 사례에 따라, Microsoft Sentinel 또는 통합 보안 운영 플랫폼에서 다른 영역의 자동화 규칙을 만들고 관리할 수 있습니다.

• 자동화 페이지

  자동화 규칙은 자동화 페이지의 자동화 규칙 탭에서 중앙에서 관리할 수 있습니다. 여기에서 새 자동화 규칙을 만들고 기존 규칙을 편집할 수 있습니다. 자동화 규칙을 끌어 실행 순서를 변경하고 사용하거나 사용하지 않도록 설정할 수도 있습니다.

  자동화 페이지에서 작업 영역에 정의된 모든 규칙과 함께 상태(사용/사용 안 함) 및 적용되는 분석 규칙을 볼 수 있습니다.

  Microsoft Defender XDR 또는 Microsoft Sentinel의 여러 분석 규칙에서 인시던트에 적용할 자동화 규칙이 필요한 경우 자동화 페이지에서 직접 만듭니다.

• 분석 규칙 마법사

  Microsoft Sentinel 분석 규칙 마법사의 자동 응답 탭에 있는 자동화 규칙 아래의 마법사에서 만들어지거나 편집되는 특정 분석 규칙에 적용되는 자동화 규칙을 보고, 편집하고, 만들 수 있습니다.

  여기에서 자동화 규칙을 만드는 경우 새 자동화 규칙 만들기 패널에 분석 규칙 조건이 사용할 수 없음으로 표시됩니다. 이 규칙이 이미 마법사에서 편집 중인 분석 규칙에만 적용되도록 설정되어 있기 때문입니다. 다른 모든 구성 옵션은 계속 사용할 수 있습니다.

• 인시던트 페이지

  단일 되풀이 인시던트에 응답하기 위해 인시던트 페이지에서 자동화 규칙을 만들 수도 있습니다. 이 규칙은 "노이즈" 인시던트를 자동으로 종료하기 위해 제거 규칙을 만들 때 유용합니다.

  여기에서 자동화 규칙을 만들면 새 자동화 규칙 만들기 패널의 모든 필드가 인시던트의 값으로 채워진 것을 확인할 수 있습니다. 규칙 이름을 인시던트의 이름과 동일하게 지정하고, 인시던트를 생성한 분석 규칙에 적용한 다음 인시던트에서 사용 가능한 모든 엔터티를 규칙 조건으로 사용합니다. 또한 제거(종료) 작업을 기본적으로 제안하고 규칙의 만료 날짜를 제안합니다. 조건 및 작업을 추가하거나 제거하고 만료 날짜를 원하는 대로 변경할 수 있습니다.

다음 단계

이 문서에서는 자동화 규칙이 Microsoft Sentinel 인시던트 및 경고에 대한 응답 자동화를 중앙에서 관리하는 데 어떻게 도움을 줄 수 있는지 알아보았습니다.

• Microsoft Sentinel 자동화 규칙을 만들고 사용하여 인시던트를 관리합니다.
• 자동화 규칙을 사용하여 분석가를 위한 작업 목록을 만듭니다.
• 고급 자동화 옵션에 대한 자세한 내용은 Microsoft Sentinel에서 플레이북을 사용하여 위협 대응 자동화를 참조하세요.
• 플레이북 구현에 대한 도움말은 자습서: 플레이북을 사용하여 Microsoft Sentinel에서 위협 대응 자동화를 참조하세요.