플레이북을 사용하여 Microsoft Sentinel에서 인시던트 작업 만들기 및 수행

  • 아티클
  • 적용 대상:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

이 문서에서는 Microsoft Sentinel에서 복잡한 분석가 워크플로 프로세스를 관리하기 위해 플레이북을 사용하여 인시던트 작업을 만들고 선택적으로 수행하는 방법을 설명합니다.

인시던트 작업은 인시던트 안에서 플레이북과 자동화 규칙을 통해 자동으로, 수동으로, 임시로 생성될 수 있습니다.

다양한 역할의 사용 사례

이 문서에서는 SOC 관리자, 선임 분석가 및 자동화 엔지니어에게 적용되는 다음 시나리오를 다룹니다.

이 대상 그룹에 대한 다른 시나리오는 다음 도우미 문서에서 설명됩니다.

다음 링크의 또 다른 문서에서는 SOC 분석가에게 더 많이 적용되는 시나리오를 다룹니다.

필수 조건

Microsoft Sentinel 응답자 역할은 작업을 추가, 보기 및 편집하는 데 필요한 인시던트를 보고 편집하는 데 필요합니다.

플레이북을 만들고 편집하려면 Logic Apps 기여자 역할이 필요합니다.

플레이북을 사용하여 인시던트에 작업 추가

플레이북에서 태스크 추가 작업(Microsoft Sentinel 커넥터에서)을 사용하여 플레이북을 트리거한 인시던트에 태스크를 자동으로 추가합니다.

다음 지침을 수행하여인시던트 트리거에 따라 플레이북을 만듭니다. 표준 워크플로 또는 사용량 워크플로를 사용할 수 있습니다.

플레이북을 사용하여 작업을 생성하는 방법에는 두 가지가 있습니다.

플레이북을 사용하여 작업 추가 및 수행

이 예제에서는 손상된 사용자 암호를 초기화하기 위해 작업을 인시던트에 추가하는 플레이북 작업을 추가하고 실제로 암호를 초기화하기 위해 AADIP(Microsoft Entra ID 보호)에 신호를 보내는 또 다른 플레이북 작업을 추가합니다. 그런 다음, 최종 플레이북 작업을 추가하여 인시던트의 작업을 완료로 표시합니다.

이러한 작업을 추가하고 구성하려면 다음 단계를 수행합니다.

  1. Microsoft Sentinel 커넥터에서 인시던트에 작업 추가 작업을 추가합니다.
    인시던트 ARM ID 필드에 인시던트 ARM ID 동적 콘텐츠 항목을 선택합니다. 사용자 암호 재설정제목으로 입력합니다. 원하는 경우 설명을 추가합니다.

    사용자의 암호를 재설정하는 태스크를 추가하는 플레이북 작업을 보여 주는 스크린샷

  2. 엔터티 - 계정 가져오기(미리 보기) 작업을 추가합니다.
    엔터티 목록 필드에 엔터티 동적 콘텐츠 항목(Microsoft Sentinel 인시던트 스키마)을 추가합니다.

    인시던트에서 계정 엔터티를 가져오는 플레이북 작업을 보여 주는 스크린샷

  3. 컨트롤 작업 라이브러리에서 For each 루프를 추가합니다.
    엔터티 - 계정 가져오기 출력의 계정 동적 콘텐츠 항목을 이전 단계에서 출력 선택 필드에 추가합니다.

    검색된 각 계정에서 작업을 수행하기 위해 플레이북에 for-each 루프 작업을 추가하는 방법을 보여 주는 스크린샷

  4. For each 루프 내에서 작업 추가를 선택합니다.
    Microsoft Entra ID 보호 커넥터를 검색하여 선택하고 위험한 사용자를 손상된 것으로 확인(미리 보기) 작업을 선택합니다.
    계정 Microsoft Entra 사용자 ID 동적 콘텐츠 항목을 userIds 항목 - 1 필드에 추가합니다.

    참고 항목

    이 필드(계정 Microsoft Entra 사용자 ID)는 AADIP에서 사용자를 식별하는 한 가지 방법입니다. 모든 시나리오에서 반드시 가장 좋은 방법은 아니지만 여기에서는 예로 제공됩니다. 도움이 필요하면 손상된 사용자를 처리하는 다른 플레이북이나 Microsoft Entra ID 보호 문서를 참조하세요.

    이 작업은 사용자 암호를 초기화하는 Microsoft Entra ID 보호 내의 동작 프로세스를 설정합니다.

    손상 확인을 위해 엔터티를 AADIP로 보내는 모습을 보여 주는 스크린샷

  5. Microsoft Sentinel 커넥터에서 작업을 완료로 표시 작업을 추가합니다.
    인시던트 작업 ID 동적 콘텐츠 항목을 작업 ARM ID 필드에 추가합니다.

    플레이북 작업을 추가하여 인시던트 작업을 완료로 표시하는 방법을 보여 주는 스크린샷

플레이북을 사용하여 조건부로 작업 추가

이 예제에서는 인시던트에 표시되는 IP 주소를 조사하는 플레이북 작업을 추가합니다. 이 연구 결과에서 IP 주소가 악의적인 경우 플레이북은 분석가가 해당 IP 주소를 사용하여 사용자를 사용하지 않도록 설정하는 작업을 만듭니다. IP 주소가 알려진 악성 주소가 아닌 경우 플레이북은 분석가가 사용자에게 연락하여 활동을 확인하는 다른 작업을 만듭니다.

  1. Microsoft Sentinel 커넥터에서 엔터티 - IP 가져오기 작업을 추가합니다.
    엔터티 목록 필드에 엔터티 동적 콘텐츠 항목(Microsoft Sentinel 인시던트 스키마)을 추가합니다.

    인시던트에서 IP 주소 엔터티를 가져오는 플레이북 작업을 보여 주는 스크린샷

  2. 컨트롤 작업 라이브러리에서 For each 루프를 추가합니다.
    엔터티 - IP 가져오기 출력의 IP 동적 콘텐츠 항목을 이전 단계에서 출력 선택 필드에 추가합니다.

    검색된 각 IP 주소에서 작업을 수행하기 위해 for-each 루프 작업을 플레이북에 추가하는 방법을 보여 주는 스크린샷

  3. For each 루프 내에서 작업 추가를 선택합니다.
    바이러스 합계 커넥터를 검색하여 선택하고 IP 보고서 가져오기(미리 보기) 작업을 선택합니다.
    엔터티 - IP 가져오기 출력의 IP 주소 동적 콘텐츠 항목을 IP 주소 필드에 추가합니다.

    IP 주소 보고서에 대한 Virus Total로 요청을 보내는 모습을 보여 주는 스크린샷

  4. For each 루프 내에서 작업 추가를 선택합니다.
    컨트롤 작업 라이브러리에서 조건을 추가합니다.
    IP 보고서 가져오기 출력의 마지막 분석 통계 악성 동적 콘텐츠 항목을 추가하고(이를 찾으려면 ‘자세히 보기’를 선택해야 할 수도 있음) 보다 큼 연산자를 선택하고 값으로 0을(를) 입력합니다. 이 조건에서 "바이러스 합계 IP 보고서에 결과가 있었습니까?"라고 질문합니다.

    플레이북에서 true-false 조건을 설정하는 방법을 보여 주는 스크린샷

  5. True 옵션 내에서 작업 추가를 선택합니다.
    Microsoft Sentinel 커넥터에서 인시던트에 작업 추가 작업을 선택합니다.
    인시던트 ARM ID 필드에 인시던트 ARM ID 동적 콘텐츠 항목을 선택합니다.
    사용자를 손상됨으로 표시제목으로 입력합니다. 원하는 경우 설명을 추가합니다.

    사용자를 손상됨으로 표시하는 태스크를 추가하는 플레이북 작업을 보여 주는 스크린샷

  6. False 옵션 내에서 작업 추가를 선택합니다.
    Microsoft Sentinel 커넥터에서 인시던트에 작업 추가 작업을 선택합니다.
    인시던트 ARM ID 필드에 인시던트 ARM ID 동적 콘텐츠 항목을 선택합니다.
    사용자에게 연락하여 작업 확인제목으로 입력합니다. 원하는 경우 설명을 추가합니다.

    사용자가 활동을 확인하도록 하는 태스크를 추가하는 플레이북 작업을 보여 주는 스크린샷

다음 단계