자동화 규칙을 사용하여 Microsoft Sentinel에서 인시던트 작업 만들기

• 적용 대상:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

이 문서에서는 Microsoft Sentinel에서 분석가 워크플로 프로세스를 표준화하기 위해 자동화 규칙을 사용하여 인시던트 작업 목록을 만드는 방법을 설명합니다.

인시던트 작업은 인시던트 안에서 자동화 규칙을 통해, 플레이북을 통해, 수동으로 또는 임시로 만들 수 있습니다.

다양한 역할의 사용 사례

이 문서에서는 SOC 관리자, 선임 분석가 및 자동화 엔지니어에게 적용되는 다음 시나리오를 다룹니다.

• 인시던트 작업 조치가 포함된 자동화 규칙 보기
• 자동화 규칙을 사용하여 인시던트에 작업 추가

또 다른 시나리오는 이어지는 다음 문서에서 다룹니다.

• 플레이북을 사용하여 인시던트에 작업 추가

다음 링크의 또 다른 문서에서는 SOC 분석가에게 더 많이 적용되는 시나리오를 다룹니다.

• 인시던트 작업 보기 및 팔로우
• 인시던트에 임시 작업을 수동으로 추가

Important

Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼의 공개 미리 보기의 일부로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

필수 조건

자동화 규칙을 만들고 인시던트를 보고 편집하려면 Microsoft Sentinel 응답자 역할이 필요하며, 이 두 가지 모두 작업을 추가하고 보고 편집하는 데 필요합니다.

인시던트 작업 조치가 포함된 자동화 규칙 보기

자동화 페이지에서 자동화 규칙 보기를 필터링하여 작업 추가 작업이 정의된 규칙만 볼 수 있습니다.

1. 작업 필터를 선택합니다.

2. 모두 선택 확인란의 표시를 취소합니다.

3. 아래로 스크롤하여 작업 추가 확인란을 표시합니다.

4. 확인을 선택하고 결과를 확인합니다.

   

   인시던트에 작업을 추가하는 자동화 규칙입니다. 분석 규칙 이름 열은 이러한 자동화 규칙이 조건부로 지정된 분석 규칙을 알려주므로 영향을 받는 인시던트에 대한 일반적인 아이디어를 갖게 됩니다.

   참고 항목

   자동화 규칙이 특정 인시던트에 적용되는지 여부를 정확하게 파악하려면 규칙을 열어 분석 규칙 조건 외에 추가 조건이 정의되었는지 확인해야 합니다. 다른 조건이 정의되면 영향을 받는 인시던트의 범위가 그에 따라 좁혀집니다.

자동화 규칙을 사용하여 인시던트에 작업 추가

1. 자동화 페이지에서 + 만들기를 선택하고 자동화 규칙을 선택합니다.

2. 새 자동화 규칙 만들기 패널이 오른쪽에 열립니다.
   자동화 규칙에, 수행하는 작업을 설명하는 이름을 지정합니다.

3. 인시던트가 만들어지는 경우를 트리거로 선택합니다(인시던트가 업데이트되는 경우를 사용할 수도 있음).

4. 새 작업을 추가할 인시던트에 대한 조건을 추가합니다.

   예를 들어 분석 규칙 이름으로 필터링합니다.

   • 특정 워크플로에 따라 처리해야 하는, 분석 규칙 또는 분석 규칙 그룹에서 검색한 위협 유형에 따라 인시던트에 작업을 추가할 수 있습니다. 드롭다운 목록에서 관련 분석 규칙을 검색하고 선택합니다.

   • 또는 모든 유형의 위협에서 인시던트에 관련된 작업을 추가할 수 있습니다(이 경우 기본 선택 항목인 모두를 그대로 유지).

   어느 경우에나 모두 더 많은 조건을 추가하여 자동화 규칙이 적용되는 인시던트 범위를 좁힐 수 있습니다. 자동화 규칙에 고급 조건을 추가하는 방법에 대해 자세히 알아봅니다.

   인시던트에 작업의 순서는 작업의 생성 시간에 따라 결정되는 점을 고려해야 합니다. 모든 인시던트에 필요한 작업을 추가하는 규칙이 제일 먼저 실행되고, 그렇게 한 이후에만 특정 분석 규칙에서 생성된 인시던트에 필요한 작업을 추가하는 규칙이 실행되도록 자동화 규칙의 순서를 설정할 수 있습니다.

   

5. 작업 아래에서 작업 추가를 선택합니다.

   

6. 각 작업에 대해 작업 제목 필드에 제목을 입력한 다음(선택 사항), + 설명 추가를 선택하여 설명 필드를 엽니다.
   인시던트의 작업 목록 패널에는 기본적으로 작업 제목만 표시됩니다. 작업의 설명은 작업 항목이 확장된 경우에만 표시됩니다.

   

7. 설명 필드에서 이미지, 링크 및 서식 있는 텍스트 서식 적용을 포함하여, 작업에 대해 자유롭게 형식 설명을 추가할 수 있습니다(아래 예제에서 하이퍼링크, 번호 매기기 목록 및 코드 블록 형식 텍스트 참조).

   

8. + 작업 추가를 선택하고 마지막 세 단계를 반복하여 동일한 인시던트 그룹에 작업을 더 추가합니다.

   자동화 규칙에서의 작업 추가 동작 순서에 따라 인시던트에 작업이 생성되어 추가됩니다.

   

9. 나머지 단계인 규칙 만료 및 순서를 완료하고 마지막에 적용을 선택하여 자동화 규칙 만들기를 완료합니다. 전체 세부 정보는 Microsoft Sentinel 자동화 규칙을 만들고, 사용하여 응답 관리를 참조하세요.

   순서 설정 관련: 인시던트에 작업이 표시되는 순서는 다음 두 가지에 따라 달라집니다.

   1. 순서 설정의 숫자에 따라 결정되는 자동화 규칙의 실행 순서
   2. 각 자동화 규칙 내에 정의된 작업 추가 동작의 순서.

다음 단계

• 인시던트 작업에 대해 자세히 알아봅니다.
• 인시던트 조사 방법을 알아봅니다.
• 플레이북을 사용하여 인시던트 그룹에 작업을 자동으로 추가하는 방법을 알아봅니다.
• 작업을 사용하여 Microsoft Sentinel에서 인시던트 워크플로를 처리하는 방법을 알아봅니다.
• 자동화 규칙에 대한 자세한 내용 및 만드는 방법을 알아봅니다.