작업을 사용하여 Microsoft Sentinel에서 인시던트 관리

보안 작업(SecOps)을 효과적이고 효율적으로 실행하는 데 가장 중요한 요소 중 하나는 프로세스의 표준화입니다. SecOps 분석가는 인시던트를 심사, 조사 또는 수정하는 과정에서 단계 또는 작업 목록을 수행해야 합니다. 작업 목록을 표준화하고 공식화하면 SOC를 원활하게 실행하여 모든 분석가에게 동일한 요구 사항이 적용되도록 할 수 있습니다. 이렇게 하면 교대 근무자에 관계없이 인시던트가 항상 동일한 처리 및 SLA를 적용받게 됩니다. 분석가는 무엇을 해야 할지 고민하거나 중요한 단계를 놓칠까 걱정할 필요가 없습니다. 이러한 단계는 SOC 관리자 또는 선임 분석가(계층 2/3)가 NIST와 같은 일반적인 보안 지식, 과거 인시던트 경험 또는 인시던트를 탐지한 보안 공급업체가 제공한 권장 사항을 기반으로 정의합니다.

사용 사례

• SOC 분석가는 하나의 중앙 검사 목록을 사용하여 중요한 단계를 놓칠 염려 없이 인시던트 심사, 조사 및 대응 프로세스를 처리할 수 있습니다.

• SOC 엔지니어 또는 선임 분석가는 분석가의 팀과 교대 근무에 걸쳐 인시던트 대응 표준을 문서화, 업데이트 및 정렬할 수 있습니다. 또한 새로운 유형의 인시던트를 접하는 신규 분석가나 분석가를 교육하기 위한 작업 검사 목록을 만들 수도 있습니다.

• SOC 관리자 또는 MSSP로서 관련 SLA/SOP에 따라 인시던트가 처리되는지 확인할 수 있습니다.

필수 조건

자동화 규칙을 만들고 인시던트를 보고 편집하려면 Microsoft Sentinel 응답자 역할이 필요하며, 이 두 가지 모두 작업을 추가하고 보고 편집하는 데 필요합니다.

플레이북을 만들고 편집하려면 Logic Apps 기여자 역할이 필요합니다.

시나리오

Analyst

인시던트를 처리할 때 작업 따르기

인시던트 및 전체 세부 정보 보기를 선택하면 인시던트 세부 정보 페이지에 수동 또는 자동화 규칙에 따라 해당 인시던트에 추가된 모든 작업이 오른쪽 패널에 표시됩니다.

작업을 확장하여 작업을 만든 사용자, 자동화 규칙 또는 플레이북을 비롯한 전체 설명을 확인합니다.

“확인란” 원을 선택하여 작업을 완료로 표시합니다.

현장에서 인시던트에 작업 추가

작업 중인 열린 인시던트에 작업을 추가하여 수행해야 하는 작업을 자신에게 미리 알리거나 작업 목록에 표시되지 않는 자체 이니셔티브에서 수행한 작업을 기록할 수 있습니다. 이러한 방식으로 추가된 작업은 열린 인시던트에만 적용됩니다.

워크플로 작성자

자동화 규칙을 사용하여 인시던트에 작업 추가

자동화 규칙에서 태스크 추가 작업을 사용하여 모든 인시던트에 분석가를 위한 작업 검사 목록을 자동으로 제공합니다. 자동화 규칙에서 분석 규칙 이름 조건을 설정하여 범위를 결정합니다.

• 모든 인시던트에 적용할 표준 작업 집합을 정의하기 위해 자동화 규칙을 모든 분석 규칙에 적용합니다.

• 제한된 분석 규칙 집합에 자동화 규칙을 적용하면 분석 규칙 또는 해당 인시던트가 생성된 규칙에 의해 감지된 위협에 따라 특정 작업을 특정 인시던트에 할당할 수 있습니다.

인시던트에 작업이 순서는 작업의 생성 시간에 따라 결정됩니다. 모든 인시던트에 필요한 작업을 추가하는 규칙이 제일 먼저 실행되고, 그렇게 한 이후에만 특정 분석 규칙에서 생성된 인시던트에 필요한 작업을 추가하는 규칙이 실행되도록 자동화 규칙의 순서를 설정할 수 있습니다. 단일 규칙 내에서 작업이 정의된 순서는 인시던트에 표시되는 순서를 제어합니다.

새 자동화 규칙을 만들기 전에 기존 자동화 규칙 및 태스크에서 어떤 인시던트를 다루는지 확인합니다.
자동화 규칙 목록의 작업 필터를 사용하여 인시던트에 태스크를 추가하는 규칙만 확인하고, 해당 자동화 규칙이 어떤 분석 규칙에 적용되는지 확인하여 해당 태스크가 어떤 인시던트에 추가될지 이해합니다.

플레이북을 사용하여 인시던트에 작업 추가

플레이북에서 태스크 추가 작업(Microsoft Sentinel 커넥터에서)을 사용하여 플레이북을 트리거한 인시던트에 태스크를 자동으로 추가합니다.

그런 다음, 각각의 Logic Apps 커넥터에서 다른 플레이북 작업을 사용하여 태스크의 내용을 완료합니다.

마지막으로 태스크를 완료로 표시 작업(다시 한번 Microsoft Sentinel 커넥터에서)을 사용하여 태스크를 자동으로 완료로 표시합니다.

예를 들어 다음 시나리오를 고려할 수 있습니다.

• 플레이북에서 작업을 추가하고 완료하도록 합니다. 인시던트가 만들어지면 다음을 수행하는 플레이북이 트리거됩니다.

  1. 인시던트에 작업을 추가하여 사용자의 암호를 재설정합니다.
  2. 사용자 프로비전 시스템에 대한 API 호출을 실행하여 사용자의 암호를 재설정하여 작업을 수행합니다.
  3. 다시 재설정의 성공 또는 실패에 대한 시스템의 응답을 기다립니다.
     • 암호 재설정에 성공하면 플레이북은 인시던트에서 방금 만든 작업을 완료로 표시합니다.
     • 암호 재설정에 실패한 경우 플레이북은 작업을 완료로 표시하지 않고 수행을 분석가에게 남깁니다.

• 플레이북에서 조건부 작업을 추가해야 하는지 평가하도록 합니다. 인시던트가 만들어지면 외부 위협 인텔리전스 원본에서 IP 주소 보고서를 요청하는 플레이북을 트리거합니다.

  • IP 주소가 악의적인 경우 플레이북은 특정 작업(예: “이 IP 주소 차단”)을 추가합니다.
  • 그렇지 않으면 플레이북은 더 이상 작업을 수행하지 않습니다.

자동화 규칙 또는 플레이북을 사용하여 작업을 추가하시겠습니까?

이러한 방법 중 인시던트 작업을 만드는 데 사용해야 하는 고려 사항은 무엇입니까?

• 자동화 규칙: 가능하면 언제든지 사용합니다. 상호 작용이 필요하지 않은 일반 정적 작업에 사용합니다.
• 플레이북: 고급 사용 사례에 사용—조건에 따라 또는 통합된 자동화된 작업이 있는 태스크 만들기.

다음 단계

• 분석가가 작업을 사용하여 Microsoft Sentinel에서 인시던트 워크플로를 처리하는 방법을 알아봅니다.
• Microsoft Sentinel에서 인시던트 조사에 대해 자세히 알아보세요.
• 자동화 규칙 또는 플레이북을 사용하여 인시던트 그룹에 작업을 자동으로 추가하는 방법을 알아봅니다.
• 자동화 규칙에 대한 자세한 내용 및 만드는 방법을 알아봅니다.
• 플레이북에 대한 자세한 내용 및 만드는 방법을 알아봅니다.