Microsoft Sentinel에서 수동으로 사용자 고유의 인시던트 만들기

Important

포털 또는 Logic Apps를 사용하는 수동 인시던트 만들기는 현재 미리 보기에 있습니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

수동 인시던트 만들기는 일반적으로 API를 통해 사용할 수 있습니다.

Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼의 공개 미리 보기의 일부로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

Microsoft Sentinel을 SIEM(보안 정보 및 이벤트 관리) 솔루션으로 사용하면 보안 운영의 위협 감지 및 응답 작업이 조사하고 수정하는 인시던트를 중심으로 이루어집니다. 이러한 인시던트에는 다음 두 가지 주요 원본이 있습니다.

• Microsoft Sentinel이 연결된 데이터 원본에서 수집하는 로그 및 경고에 대해 검색 메커니즘이 작동할 때 자동으로 생성됩니다.

• 이를 만든 다른 연결된 Microsoft 보안 서비스(예: Microsoft Defender XDR)로부터 직접 수집됩니다.

그러나 위협 데이터는 Microsoft Sentinel에 수집되지 않은 다른 원본이나 로그에 기록되지 않은 이벤트에서 나올 수도 있지만 조사 개시를 정당화할 수 있습니다. 예를 들어, 직원은 조직의 정보 자산과 관련된 의심스러운 작업에 연루된 인식할 수 없는 사람을 발견할 수 있습니다. 이 직원은 작업을 보고하기 위해 SOC(보안 운영 센터)에 전화하거나 이메일을 보낼 수 있습니다.

Microsoft Sentinel을 사용하면 보안 분석가가 원본 또는 데이터에 관계없이 모든 형식의 이벤트에 대한 인시던트를 수동으로 만들 수 있으므로 이러한 특이한 형식의 위협을 조사하는 기회를 놓치지 않을 수 있습니다.

일반 사용 예

보고된 이벤트에 대한 인시던트 만들기

이는 위의 소개에서 설명한 시나리오입니다.

외부 시스템의 이벤트에서 인시던트 만들기

로그가 Microsoft Sentinel에 수집되지 않는 시스템의 이벤트를 기반으로 하여 인시던트를 만듭니다. 예를 들어 SMS 기반 피싱 캠페인은 조직의 회사 브랜딩 및 테마를 사용하여 직원의 개인 모바일 디바이스를 대상으로 할 수 있습니다. 이러한 공격을 조사하고 Microsoft Sentinel에서 인시던트를 만들어 조사를 관리하고, 증거를 수집 및 기록하고, 응답 및 완화 작업을 기록할 수 있는 플랫폼을 확보할 수 있습니다.

헌팅 결과에 따라 인시던트 만들기

헌팅 작업의 관찰된 결과를 기반으로 하여 인시던트를 만듭니다. 예를 들어, 특정 조사의 컨텍스트에서(또는 직접) 위협을 헌팅하는 동안 별도의 조사가 필요한 전혀 관련이 없는 위협의 증거를 헌팅할 수 있습니다.

수동으로 인시던트 만들기

인시던트를 수동으로 만드는 세 가지 방법이 있습니다.

• Azure Portal을 사용하여 인시던트를 만듭니다.
• Microsoft Sentinel 인시던트 트리거를 사용하여 Azure Logic Apps에서 인시던트를 만듭니다.
• 인시던트 작업 그룹을 통해 Microsoft Sentinel API에서 인시던트를 만듭니다. 인시던트를 가져오고, 만들고, 업데이트하고, 삭제할 수 있습니다.

Microsoft Defender 포털의 통합 보안 운영 플랫폼에 Microsoft Sentinel을 온보딩한 후 수동으로 만들어진 인시던트는 통합 플랫폼과 동기화되지 않지만 Azure Portal의 Microsoft Sentinel과 Logic Apps 및 API를 통해 계속 보고 관리할 수 있습니다.

Azure Portal을 사용하여 인시던트 만들기

1. Microsoft Sentinel을 선택하고, 작업 영역을 선택합니다.

2. Microsoft Sentinel 탐색 메뉴에서 인시던트를 선택합니다.

3. 인시던트 페이지의 단추 모음에서 + 인시던트 만들기(미리 보기)를 선택합니다.

   

   화면 오른쪽에서 인시던트 만들기(미리 보기) 패널이 열립니다.

   

4. 이에 따라 패널의 필드를 적절히 채웁니다.

   • 타이틀

     • 인시던트에 대해 선택한 제목을 입력합니다. 인시던트가 이 제목이 있는 큐에 표시됩니다.
     • 필수입니다. 무제한 길이의 자유 텍스트입니다. 공백이 잘립니다.

   • 설명

     • 인시던트에 대한 설명 정보를 입력합니다. 여기에는 인시던트의 원본, 관련된 모든 엔터티, 다른 이벤트와 관련된, 정보를 받은 사람 등과 같은 세부 정보가 포함됩니다.
     • 선택 사항. 최대 5,000자의 자유 텍스트입니다.

   • 심각도

     • 드롭다운 목록에서 심각도를 선택합니다. 모든 Microsoft Sentinel 지원 심각도를 사용할 수 있습니다.
     • 필수입니다. 기본값은 "보통"입니다.

   • 상태

     • 드롭다운 목록에서 상태를 선택합니다. 모든 Microsoft Sentinel 지원 상태를 사용할 수 있습니다.
     • 필수입니다. 기본값은 "신규"입니다.
     • "종료됨" 상태의 인시던트를 만든 다음, 나중에 수동으로 열어 변경하고 다른 상태를 선택할 수 있습니다. 드롭다운에서 "종료됨"을 선택하면 분류 이유 필드가 활성화되어 인시던트를 종료하는 이유를 선택하고 댓글을 추가할 수 있습니다.

   • 담당자

     • 테넌트에서 사용 가능한 사용자 또는 그룹 중에서 선택합니다. 이름을 입력하여 사용자 및 그룹 검색을 시작합니다. 필드를 선택(클릭 또는 탭)하여 제안 목록을 표시합니다. 목록 위쪽에서 "나에게 할당"을 선택하여 해당 인시던트를 자신에게 할당합니다.
     • 선택 사항.

   • 태그

     • 태그를 사용하여 인시던트를 분류하고 큐에서 인시던트를 필터링하고 찾습니다.
     • 더하기 기호 아이콘을 선택하고, 대화 상자에서 텍스트를 입력한 다음, 확인을 선택하여 태그를 만듭니다. 자동 완성 기능은 지난 2주 동안 작업 영역 내에서 사용된 태그를 제안합니다.
     • 선택 사항. 자유 텍스트입니다.

5. 패널 아래쪽에서 만들기를 선택합니다. 몇 초 후에 인시던트가 만들어지고 인시던트 큐에 표시됩니다.

   인시던트 상태를 "종료됨"으로 할당하는 경우 종료된 인시던트도 표시하도록 상태 필터를 변경할 때까지 큐에 표시되지 않습니다. 필터는 기본적으로 "신규" 또는 "활성" 상태의 인시던트만 표시하도록 설정됩니다.

큐에서 인시던트를 선택하여 전체 세부 정보를 확인하고, 책갈피를 추가하고, 소유자 및 상태를 변경하는 등의 작업을 수행합니다.

실제로 인시던트를 만든 이후 어떤 이유로 이를 번복하는 경우 큐 그리드에서 또는 인시던트 자체 내에서 해당 인시던트를 삭제할 수 있습니다.

Azure Logic Apps를 사용하여 인시던트 만들기

인시던트 만들기는 Microsoft Sentinel 커넥터 및 Microsoft Sentinel 플레이북에서 Logic Apps 작업으로도 사용할 수 있습니다.

인시던트 만들기(미리 보기) 작업은 인시던트 트리거에 대한 플레이북 스키마에서 찾을 수 있습니다.

아래에서 설명한 대로 매개 변수를 제공해야 합니다.

• 해당 드롭다운에서 구독, 리소스 그룹 및 작업 영역 이름을 선택합니다.

• 나머지 필드는 위의 설명(Azure Portal을 사용하여 인시던트 만들기 아래에 있음)을 참조하세요.

  

Microsoft Sentinel은 이 기능을 사용하는 방법을 보여 주는 몇 가지 플레이북 템플릿 샘플을 제공합니다.

• Microsoft Form을 사용하여 인시던트 만들기
• 공유 이메일 받은 편지함에서 인시던트 만들기

이러한 샘플은 Microsoft Sentinel 자동화 페이지의 플레이북 템플릿 갤러리에서 찾을 수 있습니다.

Microsoft Sentinel API를 사용하여 인시던트 만들기

인시던트 작업 그룹을 사용하면 인시던트 만들기뿐만 아니라 인시던트 업데이트(편집), 가져오기(검색), 나열 및 삭제 작업도 수행할 수 있습니다.

다음 엔드포인트를 사용하여 인시던트를 만듭니다. 이 요청이 수행되면 포털의 인시던트 큐에 인시던트가 표시됩니다.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

요청 본문의 예제는 다음과 같습니다.

{
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "properties": {
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "IncorrectAlertLogic",
    "status": "Closed"
  }
}

주의

• 수동으로 만든 인시던트에는 엔터티 또는 경고가 포함되지 않습니다. 따라서 인시던트 페이지의 경고 탭은 기존 경고를 인시던트에 연결할 때까지 비어 있습니다.

  수동으로 만든 인시던트에 직접 엔터티를 추가하는 것은 현재 지원되지 않으므로 엔터티 탭도 비어 있습니다. (경고를 이 인시던트와 연결하면 경고의 엔터티가 인시던트에 표시됩니다.)

• 수동으로 만든 인시던트는 큐에 제품 이름도 표시하지 않습니다.

• 인시던트 큐는 기본적으로 "신규" 또는 "활성" 상태의 인시던트만 표시하도록 필터링됩니다. "종료됨" 상태의 인시던트를 만들면 종료된 인시던트도 표시하도록 상태 필터를 변경할 때까지 큐에 표시되지 않습니다.

다음 단계

자세한 내용은 다음을 참조하세요.

• Microsoft Sentinel 인시던트에 대한 경고 관련
• Microsoft Sentinel에서 인시던트 삭제
• Microsoft Sentinel로 인시던트 조사
• 위협 탐지를 위한 사용자 지정 분석 규칙 만들기