Microsoft Sentinel의 플레이북으로 위협 대응 자동화

  • 아티클
  • 적용 대상:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

이 문서에서는 Microsoft Sentinel 플레이북에 대해 설명하고, 플레이북을 사용하여 SOAR(보안 오케스트레이션, 자동화된 응답) 작업을 구현함으로써 시간과 리소스를 절약하는 동시에 더 나은 결과를 얻을 방법을 설명합니다.

Important

Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼의 공개 미리 보기의 일부로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

플레이북이란?

일반적으로 SOC 분석가는 가용 직원을 압도할 만큼 아주 많은 양의 보안 경고 및 인시던트를 정기적으로 받습니다. 그 결과 수많은 경고를 무시하고 많은 인시던트를 미처 조사할 수 없게 되어 조직이 파악하지 못한 공격에 취약한 상태로 노출됩니다.

대부분의 경우 경고 및 인시던트는 특정 및 정의된 수정 작업으로 해결할 수 있는 반복 패턴을 따릅니다. 분석가는 또한 처리할 수 있는 인시던트에 대한 기본적인 수정 및 조사를 담당합니다. 이러한 작업을 자동화할 수 있는 범위 내에서 SOC는 훨씬 더 생산적이고 효율적이어서 분석가가 조사 작업에 더 많은 시간과 에너지를 할애할 수 있습니다.

플레이북은 위협 대응을 자동화하고 오케스트레이션하는 데 도움이 되도록 Microsoft Sentinel에서 루틴으로 실행하는 수정 작업의 컬렉션입니다. 다음 두 가지 방법으로 실행할 수 있습니다.

  • 특정 엔터티 또는 경고에 대해 수동으로 요청 시
  • 자동화 규칙에 의해 트리거되는 경우 특정 경고 또는 인시던트에 대한 응답으로 자동으로 발생합니다.

예를 들어 계정과 머신이 손상된 경우 플레이북은 SOC 팀이 인시던트 알림을 받을 때까지 네트워크에서 머신을 격리하고 계정을 차단할 수 있습니다.

Automation 페이지의 활성 플레이북 탭에는 선택한 구독에서 사용할 수 있는 모든 활성 플레이북이 표시되지만, 플레이북의 리소스 그룹에 Microsoft Sentinel 권한을 특별히 부여하지 않는 한 기본적으로 플레이북은 해당 플레이북이 속한 구독 내에서만 사용할 수 있습니다.

통합 보안 운영 플랫폼에 온보딩한 다음에는 활성 플레이북 탭에 온보딩된 작업 영역의 구독이 있는 미리 정의된 필터가 표시됩니다. Azure Portal에서 Azure 구독 필터를 사용하여 다른 구독 데이터를 추가합니다.

플레이북 템플릿

플레이북 템플릿은 요구 사항에 맞게 사용자 지정할 수 있는 미리 빌드되고 테스트됐으며 즉시 사용할 수 있는 워크플로입니다. 템플릿은 플레이북을 처음부터 개발할 때 모범 사례에 대한 참조 역할을 하거나 새로운 자동화 시나리오에 대한 영감을 줄 수도 있습니다.

플레이북 템플릿은 플레이북 자체로 사용할 수 없습니다. 여기에서 플레이북(템플릿의 편집 가능한 복사본)을 만듭니다.

다음 원본에서 플레이북 템플릿을 얻을 수 있습니다.

  • Automation 페이지의 플레이북 템플릿 탭에는 설치된 플레이북 템플릿이 나열됩니다. 동일한 템플릿에서 여러 활성 플레이북을 만들 수 있습니다.

    새 버전의 템플릿이 게시되면 해당 템플릿에서 만든 활성 플레이북이 활성 플레이북 탭에 표시되어 업데이트를 사용할 수 있음을 나타내는 레이블이 표시됩니다.

  • 플레이북 템플릿은 Microsoft Sentinel의 콘텐츠 허브 페이지에서 설치하는 제품 솔루션 또는 독립 실행형 콘텐츠의 일부로 사용할 수 있습니다. 자세한 내용은 Microsoft Sentinel 콘텐츠 및 솔루션Microsoft Sentinel 기본 제공 콘텐츠 검색 및 관리를 참조하세요.

  • Microsoft Sentinel GitHub 리포지토리에는 많은 플레이북 템플릿이 포함되어 있습니다. Azure에 배포 단추를 선택하여 Azure 구독에 배포할 수 있습니다.

기술적으로 플레이북 템플릿은 관련된 각 연결에 대한 Azure Logic Apps 워크플로 및 API 연결과 같은 여러 리소스로 구성된 ARM 템플릿입니다.

Important

플레이북 템플릿은 현재 미리 보기로 제공됩니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

Azure Logic Apps 기본 개념

Microsoft Sentinel의 플레이북은 엔터프라이즈 전체 시스템의 작업 및 워크플로를 예약, 자동화, 오케스트레이션하는 데 도움이 되는 클라우드 서비스인 Azure Logic Apps에서 빌드된 워크플로를 기반으로 합니다. 즉, 플레이북은 Azure Logic Apps의 기본 제공 템플릿의 모든 기능을 활용할 수 있습니다.

참고 항목

Azure Logic Apps는 별도의 리소스를 만들므로 추가 요금이 적용될 수 있습니다. 자세한 내용은 Azure Logic Apps 가격 책정 페이지를 참조하세요.

Azure Logic Apps는 커넥터를 사용하여 다른 시스템 및 서비스와 통신합니다. 커넥터에 대한 간략한 설명 및 커넥터의 몇 가지 중요한 특성은 다음과 같습니다.

  • 관리형 커넥터: 특정 제품 또는 서비스에 대한 API 호출을 래핑하는 작업 및 트리거 세트입니다. Azure Logic Apps는 Microsoft 및 타사 서비스와 통신할 수 있는 수백 개의 커넥터를 제공합니다. 자세한 내용은 Azure Logic Apps 커넥터 및 관련 설명서를 참조하세요.

  • 사용자 지정 커넥터: 미리 빌드된 커넥터로 사용할 수 없는 서비스와 통신하는 것이 좋습니다. 사용자 지정 커넥터는 커넥터를 만들고 공유하고 자체 트리거와 작업을 정의할 수 있도록 하여 이러한 요구를 해결합니다. 자세한 내용은 사용자 지정 Azure Logic Apps 커넥터 만들기를 참조하세요.

  • Microsoft Sentinel 커넥터: Microsoft Sentinel과 상호 작용하는 플레이북을 만들려면 Microsoft Sentinel 커넥터를 사용합니다. 자세한 내용은 Microsoft Sentinel 커넥터 설명서를 참조하세요.

  • 트리거: 워크플로(이 경우 플레이북)를 시작하는 커넥터 구성 요소입니다. Microsoft Sentinel 트리거는 플레이북이 트리거될 때 받을 것으로 예상하는 스키마를 정의합니다. Microsoft Sentinel 커넥터에는 현재 세 가지 트리거가 있습니다.

  • 작업: 트리거 후 발생하는 모든 단계가 작업입니다. 병렬 또는 복합 조건의 매트릭스에서 순차적으로 정렬할 수 있습니다.

  • 동적 필드: 다음 작업에 사용할 수 있는 트리거 및 작업의 출력 스키마에 의해 결정되고 실제 출력으로 채워진 임시 필드입니다.

논리 앱 형식

Microsoft Sentinel은 이제 다음과 같은 논리 앱 리소스 종류를 지원합니다.

  • 사용량 - 다중 테넌트 Azure Logic Apps에서 실행되고 기존의 원래 Azure Logic Apps 엔진을 사용합니다.
  • 표준 - 단일 테넌트 Azure Logic Apps에서 실행되며 재설계된 Azure Logic Apps 엔진을 사용합니다.

표준 논리 앱 형식은 더 높은 성능, 고정 가격 책정, 다양한 워크플로 기능, 더 쉬운 API 연결 관리, 가상 네트워크 및 프라이빗 엔드포인트(아래 참고 참조) 지원과 같은 네이티브 네트워크 기능, 기본 제공 CI/ CD 기능, 향상된 Visual Studio Code 통합, 업데이트된 워크플로 디자이너 등을 제공합니다.

이 논리 앱 버전을 사용하려면 Microsoft Sentinel에서 새 표준 플레이북을 만듭니다(아래 참고 참조). 사용량 플레이북을 사용하는 것과 동일한 방식으로 이러한 플레이북을 사용할 수 있습니다.

  • 자동화 규칙 및/또는 분석 규칙에 연결합니다.
  • 인시던트와 경고 모두에서 요청 시 실행합니다.
  • 활성 플레이북 탭에서 관리합니다.

참고 항목

  • 표준 워크플로는 현재 플레이북 템플릿을 지원하지 않으므로 Microsoft Sentinel에서 직접 표준 워크플로 기반 플레이북을 만들 수 없습니다. 대신 Azure Logic Apps에서 워크플로를 만들어야 합니다. 워크플로를 만든 후에는 Microsoft Sentinel에서 플레이북으로 나타납니다.

  • 논리 앱의 표준 워크플로는 위에서 언급한 프라이빗 엔드포인트를 지원하지만 Microsoft Sentinel은 표준 기반 플레이북에서 프라이빗 엔드포인트 사용을 지원하기 위해 논리 앱에서 액세스 제한 정책을 정의해야 합니다.

    액세스 제한 정책이 정의되지 않은 경우 프라이빗 엔드포인트가 있는 워크플로는 Microsoft Sentinel의 목록에서 플레이북을 선택할 때(수동으로 실행하거나, 자동화 규칙에 추가하거나, 플레이북 갤러리에서) 여전히 표시되고 선택 가능할 수도 있으나 선택 시 실행에 실패할 것입니다.

  • 표시기는 표준 워크플로를 상태 저장 또는 상태 비저장으로 식별합니다. Microsoft Sentinel은 현재 상태 비저장 워크플로를 지원하지 않습니다. 상태 저장 및 상태 비저장 워크플로 간의 차이점에 대해 알아봅니다.

이러한 두 리소스 종류 간에는 많은 차이점이 있으며, 그 중 일부는 Microsoft Sentinel의 플레이북에서 사용할 수 있는 몇 가지 방법에 영향을 줍니다. 이러한 경우 설명서에서 알아야 할 사항을 설명합니다. 자세한 내용은 Azure Logic Apps 설명서에서 리소스 종류 및 호스트 환경 차이점을 참조하세요.

필수 사용 권한

SecOps 팀이 Azure Logic Apps를 사용하여 Microsoft Sentinel에서 플레이북을 만들고 실행할 수 있도록 하려면 보안 운영 팀이나 팀의 특정 사용자에게 Azure 역할을 할당합니다. 다음은 사용 가능한 여러 역할과 해당 역할에 할당해야 하는 작업에 대한 설명입니다.

Azure Logic Apps에 대한 Azure 역할

  • 논리 앱 기여자 역할을 사용하면 논리 앱을 관리하고 플레이북을 실행할 수 있지만, 액세스 권한을 변경할 수 없습니다(변경하려면 소유자 역할이 필요함).
  • 논리 앱 운영자 역할을 사용하면 논리 앱을 읽고 사용하거나 사용하지 않도록 설정할 수 있지만, 편집하거나 업데이트할 수 없습니다.

Microsoft Sentinel에 대한 Azure 역할

  • Microsoft Sentinel 기여자 역할을 통해 플레이북을 분석 또는 자동화 규칙에 연결할 수 있습니다.

  • Microsoft Sentinel 응답자 역할을 사용하면 플레이북을 수동으로 실행하기 위해 인시던트에 액세스할 수 있습니다. 하지만 플레이북을 실제로 실행하려면 다음도 필요합니다.

    • Microsoft Sentinel 플레이북 운영자 역할을 통해 플레이북을 수동으로 실행할 수 있습니다.
    • Microsoft Sentinel Automation 기여자를 사용하면 자동화 규칙을 사용하여 플레이북을 실행할 수 있습니다. 다른 용도로는 사용되지 않습니다.

자세한 정보

플레이북을 만드는 단계

플레이북 사용 사례

Azure Logic Apps 플랫폼은 수백 개의 작업과 트리거를 제공하므로 거의 모든 자동화 시나리오를 만들 수 있습니다. Microsoft Sentinel은 미리 만들어진 플레이북 템플릿을 즉시 사용할 수 있는 다음 SOC 시나리오로 시작하는 것이 좋습니다.

보강

더 나은 결정을 내릴 수 있도록 데이터를 수집하고 인시던트에 연결합니다.

예시:

Microsoft Sentinel 인시던트는 IP 주소 엔터티를 만드는 분석 규칙에 의한 경고에서 만들어졌습니다.

인시던트는 다음 단계에 따라 플레이북을 실행하는 자동화 규칙을 트리거합니다.

  • 새로운 Microsoft Sentinel 인시던트가 생성되면 시작됩니다. 인시던트에 표시되는 엔터티는 인시던트 트리거의 동적 필드에 저장됩니다.

  • 각 IP 주소에 대해 바이러스 합계와 같은 외부 위협 인텔리전스 공급자를 쿼리하여 더 많은 데이터를 검색합니다.

  • 반환된 데이터 및 인사이트를 인시던트의 주석으로 추가합니다.

양방향 동기화

플레이북을 사용하여 Microsoft Sentinel 인시던트를 다른 티켓팅 시스템과 동기화할 수 있습니다.

예시:

모든 인시던트 생성에 대한 자동화 규칙을 만들고 ServiceNow에서 티켓을 여는 플레이북을 연결합니다.

오케스트레이션

SOC 채팅 플랫폼을 사용하여 인시던트 큐를 보다 효과적으로 제어할 수 있습니다.

예시:

사용자 이름 및 IP 주소 엔터티를 생성하는 분석 규칙에 따라 경고에서 Microsoft Sentinel 인시던트가 생성되었습니다.

인시던트는 다음 단계에 따라 플레이북을 실행하는 자동화 규칙을 트리거합니다.

  • 새로운 Microsoft Sentinel 인시던트가 생성되면 시작됩니다.

  • Microsoft Teams 또는 Slack의 보안 운영 채널로 메시지를 전송하여 보안 분석가가 이 인시던트를 알게 합니다.

  • 경고의 모든 정보를 이메일로 선임 네트워크 관리자 및 보안 관리자에게 보냅니다. 이메일 메시지에는 차단무시 사용자 옵션 단추가 포함되어 있습니다.

  • 관리자로부터 응답을 받을 때까지 기다렸다가 계속 실행합니다.

  • 관리자가 차단을 선택한 경우 방화벽에 명령을 보내 경고에 나와 있는 IP 주소를 차단하고, 다른 사용자를 사용하지 않도록 설정하려면 Microsoft Entra ID에 다른 명령을 보냅니다.

응답

최소한의 사용자 종속성으로 위협에 즉시 대응합니다.

두 가지 예:

예제 1:Microsoft Entra ID 보호에서 검색한 손상된 사용자를 나타내는 분석 규칙에 응답합니다.

  • 새로운 Microsoft Sentinel 인시던트가 생성되면 시작됩니다.

  • 손상된 것으로 의심되는 인시던트의 각 사용자 엔터티에 대해 다음을 수행합니다.

    • 사용자에게 의심스러운 조치를 취했는지 확인을 요청하는 Teams 메시지를 보냅니다.

    • Microsoft Entra ID 보호에서 사용자의 상태가 손상된 것으로 확인되는지 파악합니다. Microsoft Entra ID 보호는 사용자에게 위험 레이블을 지정하고 이미 구성된 적용 정책을 적용합니다. 예를 들어 다음에 로그인할 때 사용자에게 MFA를 사용하도록 요구합니다.

      참고 항목

      이 특정 Microsoft Entra 작업은 사용자에 대한 적용 작업을 시작하지 않으며 적용 정책 구성을 시작하지도 않습니다. 이미 정의된 정책을 적절하게 적용하도록 Microsoft Entra ID 보호에만 지시합니다. 적용 사항은 전적으로 Microsoft Entra ID 보호에 정의되는 정책에 따라 달라집니다.

예 2:엔드포인트용 Microsoft Defender에서 검색한 손상된 머신을 나타내는 분석 규칙에 응답합니다.

  • 새로운 Microsoft Sentinel 인시던트가 생성되면 시작됩니다.

  • Microsoft Sentinel의 엔터티 - 호스트 가져오기 작업을 사용하여 인시던트 엔터티에 포함된 의심스러운 컴퓨터를 구문 분석합니다.

  • 엔드포인트용 Microsoft Defender에 대해 명령을 실행하여 경고의 머신을 격리합니다.

조사 중 또는 헌팅 중 수동 응답

상황을 벗어나지 않고 적극적인 조사 작업 과정에서 위협에 대응합니다.

새로운 개체 트리거(현재 미리 보기) 덕분에 조사 중에 발견한 개별 위협 작업자에 대해 조사 내에서 한 번에 하나씩 즉각적인 작업을 취할 수 있습니다. 이 옵션은 특정 인시던트와 연결되지 않은 위협 찾기 컨텍스트에서도 사용할 수 있습니다. 컨텍스트에서 엔터티를 선택하고 바로 거기에서 작업을 수행하여 시간을 절약하고 복잡성을 줄일 수 있습니다.

이 플레이북 형식을 사용하여 엔터티에 대해 수행할 수 있는 작업은 다음과 같습니다.

  • 손상된 사용자를 차단합니다.
  • 방화벽에서 악성 IP 주소의 트래픽을 차단합니다.
  • 네트워크에서 손상된 호스트를 격리합니다.
  • 안전한/안전하지 않은 주소 관심 목록 또는 외부 CMDB에 IP 주소를 추가합니다.
  • 외부 위협 인텔리전스 원본에서 파일 해시 보고서를 가져와 인시던트에 주석으로 추가합니다.

플레이북을 실행하는 방법

플레이북은 수동 또는 자동으로 실행할 수 있습니다.

자동으로 실행되도록 설계되었으며 정상적인 작업 과정에서 실행해야 하는 것이 이상적입니다. 분석 규칙의 자동 응답(경고의 경우) 또는 자동화 규칙의 작업으로 정의(인시던트의 경우)하여 플레이북을 자동으로 실행합니다.

하지만 플레이북을 수동으로 실행해야 하는 상황이 있습니다. 예시:

  • 새 플레이북을 만들 때 프로덕션에 배치하기 전에 테스트하고 싶을 것입니다.

  • 특정 플레이북이 실행되는 시기와 여부에 대한 더 많은 제어 및 사용자 입력을 원하는 경우가 있을 수 있습니다.

    인시던트, 경고 또는 항목을 열고 여기에 표시되는 관련 플레이북을 선택하고 실행하여 플레이북을 수동으로 실행합니다. 현재 이 기능은 일반적으로 경고에 사용할 수 있으며 인시던트 및 엔터티에 대한 미리 보기로 제공됩니다.

자동화된 응답 설정

보안 운영 팀은 반복되는 인시던트 및 경고 유형에 대한 일상적인 응답을 완벽하게 자동화하여 워크로드를 대폭 줄일 수 있으므로 고유한 인시던트 및 경고, 패턴 분석, 위협 요소 파악 등에 집중할 수 있습니다.

자동화된 응답을 설정하면 경고를 생성하는 것 외에도 분석 규칙이 트리거될 때마다 규칙은 플레이북을 실행하여 규칙에 따라 생성된 경고를 입력으로 받게 됩니다.

경고가 인시던트를 만드는 경우 인시던트는 경고를 통해 생성된 인시던트를 입력으로 받게 되는 플레이북을 실행할 수 있는 자동화 규칙을 트리거합니다.

경고 만들기 자동화된 응답

경고 만들기로 트리거되고 경고를 입력으로 받는 플레이북의 경우(첫 번째 단계는 “Microsoft Sentinel 경고”) 플레이북을 분석 규칙에 연결합니다.

  1. 자동화된 응답을 정의하려는 경고를 생성하는 분석 규칙을 편집합니다.

  2. 자동화된 응답 탭의 경고 자동화에서 경고가 만들어질 때 이 분석 규칙에서 트리거할 플레이북을 선택합니다.

인시던트 만들기 자동화된 응답

인시던트 만들기로 트리거되고 인시던트를 입력으로 받는 플레이북의 경우(첫 번째 단계는 "Microsoft Sentinel 인시던트") 자동화 규칙을 만들고 이 규칙에 플레이북 실행 작업을 정의합니다. 이 작업은 두 가지 방법으로 수행할 수 있습니다.

  • 자동화된 응답을 정의하려는 인시던트를 생성하는 분석 규칙을 편집합니다. 자동화된 응답 탭의 인시던트 자동화에서 자동화 규칙을 만듭니다. 그러면 이 분석 규칙에 대한 자동화된 응답만 생성됩니다.

  • 자동화 페이지의 자동화 규칙 탭에서 새 자동화 규칙을 만들고 적절한 조건 및 원하는 작업을 지정합니다. 이 자동화 규칙은 지정된 조건을 충족하는 모든 분석 규칙에 적용됩니다.

    참고 항목

    Microsoft Sentinel은 인시던트 트리거 플레이북을 실행할 수 있는 권한이 필요합니다.

    수동으로든 자동화 규칙에서든 인시던트 트리거를 기반으로 플레이북을 실행하기 위해 Microsoft Sentinel은 특별히 권한이 부여된 서비스 계정을 사용합니다. 사용자 계정과 달리 이 계정을 사용하면 서비스의 보안 수준을 높이고 자동화 규칙 API를 사용하여 CI/CD 사용 사례를 지원할 수 있습니다.

    이 계정에는 플레이북이 있는 리소스 그룹에 대한 명시적 권한(Microsoft Sentinel Automation 기여자 역할 형식 사용)이 부여되어야 합니다. 이 시점에서 수동으로 또는 자동화 규칙에서 해당 리소스 그룹의 모든 플레이북을 실행할 수 있습니다.

    플레이북 실행 작업을 자동화 규칙에 추가하면 선택한 플레이북의 드롭다운 목록이 표시됩니다. Microsoft Sentinel에 권한이 없는 플레이북은 사용할 수 없는 것으로 표시됩니다("회색으로 표시됨"). 플레이북 권한 관리 링크를 선택하여 즉시 Microsoft Sentinel에 권한을 부여할 수 있습니다.

    다중 테넌트(Lighthouse) 시나리오에서 플레이북을 호출하는 자동화 규칙이 다른 테넌트에 있는 경우에도 플레이북이 있는 테넌트에 대한 권한을 정의해야 합니다. 권한을 정의하려면 플레이북의 리소스 그룹에 대한 소유자 권한이 있어야 합니다.

    MSSP(관리형 보안 서비스 공급자)가 있는 고유한 시나리오가 있습니다. 여기서 서비스 공급자는 자체 테넌트에 로그인한 상태에서 Azure Lighthouse를 사용하여 고객의 작업 영역에 자동화 규칙을 만듭니다. 그러면 이 자동화 규칙이 고객의 테넌트에 속한 플레이북을 호출합니다. 이 경우 Microsoft Sentinel은 두 테넌트에 대한 권한을 부여받아야 합니다. 고객 테넌트에서는 일반 다중 테넌트 시나리오와 마찬가지로 플레이북 권한 관리 패널에서 권한을 부여합니다. 서비스 공급자 테넌트에서 관련 권한을 부여하려면 플레이북이 있는 리소스 그룹에서 Microsoft Sentinel Automation 기여자 역할을 사용하여 Azure Security Insights 앱에 대한 액세스 권한을 부여하는 추가 Azure Lighthouse 위임을 추가해야 합니다. 이 위임을 추가하는 방법을 알아봅니다.

자동화 규칙을 만드는 방법에 대한 전체 지침을 참조하세요.

수동으로 플레이북 실행

완전 자동화는 편안하게 자동화할 수 있는 만큼 많은 인시던트 처리, 조사 및 완화 작업을 위한 최상의 솔루션입니다. 그렇긴 하지만 일종의 하이브리드 자동화에 대한 타당한 이유가 있을 수 있습니다. 플레이북을 사용하여 다양한 시스템에 대한 일련의 작업을 단일 명령으로 통합하지만 플레이북은 결정한 시간과 장소에서만 실행합니다. 예시:

  • SOC 분석가가 일부 상황에 대해 더 많은 인간의 입력과 제어를 받는 것을 선호할 수 있습니다.

  • 또한 조사 또는 위협 추적 과정에서 다른 화면으로 전환하지 않고도 필요에 따라 특정 위협 작업자(엔터티)에 대해 작업을 취할 수 있기를 원할 수 있습니다. (이 기능은 현재 미리 보기 상태입니다.)

  • SOC 엔지니어가 특정 엔터티에 대해 작동하고(현재 미리 보기로 제공) 수동으로만 실행할 수 있는 플레이북을 작성하기를 원할 수 있습니다.

  • 엔지니어가 작성한 플레이북을 자동화 규칙에 완전히 배포하기 전에 테스트할 수 있기를 원할 것입니다.

이러한 이유와 기타 이유로 인해 Microsoft Sentinel을 사용하면 엔터티 및 인시던트(현재 미리 보기 상태임)와 경고에 대해 주문형으로 플레이북을 수동으로 실행할 수 있습니다.

  • 특정 인시던트에 대한 플레이북을 실행하려면인시던트 페이지의 그리드에서 인시던트를 선택합니다. Azure Portal에서 인시던트 세부 정보 창의 작업을 선택하고 바로 가기 메뉴의 플레이북 실행(미리 보기)를 선택합니다. Defender 포털에서 인시던트 세부 정보 페이지의 플레이북 실행(미리 보기)를 직접 선택합니다.

    그러면 인시던트 발생 시 플레이북 실행 패널이 열립니다.

  • 경고에 대한 플레이북을 실행하려면 인시던트를 선택하고 인시던트 세부 정보를 입력한 다음 경고 탭에서 경고를 선택하고 플레이북 보기를 선택합니다.

    그러면 경고 플레이북 패널이 열립니다.

  • 항목에서 플레이북을 실행하려면 다음 방법 중 하나로 항목을 선택합니다.

    • 인시던트의 엔터티 탭에서 목록의 항목을 선택하고 목록의 행 끝에 있는 플레이북 실행(미리 보기) 링크를 선택합니다.
    • 조사 그래프에서 항목을 선택하고 항목 가로 패널에서 플레이북 실행(미리 보기) 단추를 선택합니다.
    • 항목 동작에서 항목을 선택하고 항목 페이지에서 왼쪽 패널에 있는 플레이북 실행(미리 보기) 단추를 선택합니다.

    그러면 모두 <엔터티 형식> 패널에서 플레이북 실행이 열립니다.

이러한 패널에는 플레이북실행이라는 두 개의 탭이 있습니다.

  • 플레이북 탭에는 Microsoft Sentinel 인시던트, Microsoft Sentinel 경고 또는 Microsoft Sentinel 엔터티인지 여부에 관계없이 액세스 권한이 있고 적절한 트리거를 사용하는 모든 플레이북 목록이 표시됩니다. 목록의 각 플레이북에는 플레이북을 즉시 실행하도록 선택하는 실행 단추가 있습니다.
    목록에 없는 인시던트 트리거 플레이북을 실행하려면 위의 Microsoft Sentinel 권한에 대한 참고 사항을 참조하세요.

  • 실행 탭에는 선택한 인시던트 또는 경고에 대해 플레이북이 실행된 모든 시간의 목록이 표시됩니다. 완료된 모든 실행이 이 목록에 표시되는 데 몇 초 정도 걸릴 수 있습니다. 특정 실행을 선택하면 Azure Logic Apps에서 전체 실행 로그가 열립니다.

플레이북 관리

활성 플레이북 탭에는 사용자가 액세스할 수 있는 모든 플레이북 목록이 표시되고, 현재 Azure에 표시되는 구독으로 필터링됩니다. 구독 필터는 전역 페이지 헤더의 디렉터리 + 구독 메뉴에서 사용할 수 있습니다.

플레이북 이름을 클릭하면 Azure Logic Apps의 플레이북 기본 페이지로 이동합니다. 상태 열에 사용 여부가 표시됩니다.

계획 열은 플레이북이 Azure Logic Apps의 표준 또는 사용량 리소스 종류를 사용하는지 여부를 나타냅니다. 계획 유형별로 목록을 필터링하여 한 가지 유형의 플레이북만 볼 수 있습니다. 표준 형식의 플레이북에는 LogicApp/Workflow 명명 규칙이 사용된다는 것을 알 수 있습니다. 이 규칙은 표준 플레이북이 단일 논리 앱의 다른 워크플로와 함께 존재하는 워크플로를 나타낸다는 사실을 반영합니다.

트리거 종류는 이 플레이북을 시작하는 Azure Logic Apps 트리거를 나타냅니다.

트리거 종류 플레이북의 구성 요소 유형을 나타냅니다.
Microsoft Sentinel 인시던트/경고/엔터티 플레이북은 Sentinel 트리거(인시던트, 경고, 엔터티) 중 하나로 시작됩니다.
Microsoft Sentinel 작업 사용 플레이북은 Sentinel이 아닌 트리거로 시작되지만 Microsoft Sentinel 작업을 사용합니다.
기타 플레이북에는 Sentinel 구성 요소가 포함되어 있지 않습니다.
초기화 안 됨 플레이북이 만들어졌지만, 구성 요소(트리거 또는 작업)가 포함되어 있지 않습니다.

플레이북의 Azure Logic Apps 페이지에서 실행된 모든 시간에 대한 로그 및 결과(성공 또는 실패 및 기타 세부 정보)를 포함하여 플레이북에 대한 자세한 정보를 볼 수 있습니다. 적절한 권한이 있는 경우 Azure Logic Apps에서 워크플로 디자이너를 열고 플레이북을 직접 편집할 수도 있습니다.

API 연결

API 연결은 Azure Logic Apps를 다른 서비스에 연결하는 데 사용됩니다. Azure Logic Apps에서 커넥터에 대한 새 인증이 만들어질 때마다 API 연결 형식의 새 리소스가 만들어지고 이는 서비스에 대한 액세스를 구성할 때 제공된 정보를 포함합니다.

모든 API 연결을 보려면 Azure Portal의 헤더 검색 상자에 API 연결을 입력합니다. 관심 있는 열을 기록해 둡니다.

  • 표시 이름 - 연결할 때마다 연결에 제공하는 "친숙한" 이름입니다.
  • 상태 - 연결 상태(오류, 연결됨)를 나타냅니다.
  • 리소스 그룹 - API 연결은 플레이북(Azure Logic Apps) 리소스의 리소스 그룹에 만들어집니다.

API 연결을 보는 또 다른 방법은 모든 리소스 페이지로 이동하여 API 연결 형식으로 필터링하는 것입니다. 이러한 방식으로 여러 연결을 한 번에 선택하고, 태그를 지정하고, 삭제할 수 있습니다.

기존 연결에 대한 권한 부여를 변경하려면 연결 리소스를 입력하고 API 연결 편집을 선택합니다.

다음 권장 플레이북 및 기타 유사한 플레이북은 콘텐츠 허브 또는 Microsoft Sentinel GitHub 리포지토리에서 사용할 수 있습니다.

다음 단계