Microsoft Sentinel 경고 트리거 플레이북을 자동화 규칙으로 마이그레이션

• 적용 대상:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

이 문서에서는 경고 트리거를 기반으로 빌드된 기존 플레이북을 분석 규칙에 의해 호출되는 것에서 자동화 규칙에 의해 호출되는 것으로 마이그레이션하는 방법과 이유를 설명합니다.

Important

Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼의 공개 미리 보기의 일부로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

마이그레이션하는 이유

경고(인시던트가 아닌)에 대응하기 위해 이미 플레이북을 만들기 및 빌드하고 분석 규칙에 첨부한 경우 이러한 플레이북을 자동화 규칙으로 이동하는 것이 좋습니다. 이렇게 하면 다음과 같은 이점이 있습니다.

• 형식에 관계없이 단일 디스플레이에서 모든 자동화 관리
  (“단일 창”).

• 각 분석 규칙을 개별적으로 구성하는 대신 여러 분석 규칙에 대한 플레이북을 트리거할 수 있는 단일 자동화 규칙을 정의합니다.

• 경고 플레이북이 실행되는 순서를 정의합니다.

• 플레이북 실행을 위한 만료 날짜를 설정하는 시나리오를 지원합니다.

플레이북 자체는 전혀 변경되지 않는다는 점을 이해하는 것이 중요합니다. 실행을 호출하는 메커니즘만 변경됩니다.

마지막으로, 분석 규칙에서 플레이북을 호출하는 기능은 2026년 3월부터 더 이상 사용되지 않습니다. 그때까지는 분석 규칙에서 호출되도록 이미 정의된 플레이북은 계속 실행되지만, 2023년 6월부터는 더 이상 분석 규칙에서 호출되는 플레이북 목록에 플레이북을 추가할 수 없습니다. 유일하게 남은 옵션은 자동화 규칙에서 호출하는 것입니다.

마이그레이션 방법

• 하나의 분석 규칙에서만 사용하는 플레이북을 마이그레이션하는 경우 분석 규칙에서 자동화 규칙 만들기의 지침을 따릅니다.

• 둘 이상의 분석 규칙에서 사용하는 플레이북을 마이그레이션하는 경우 Automation 포털에서 새 자동화 규칙 만들기의 지침을 따릅니다.

분석 규칙에서 자동화 규칙 만들기

1. Azure Portal의 Microsoft Sentinel의 경우 구성>분석 페이지를 선택합니다. Defender 포털에서 Microsoft Sentinel의 경우 Microsoft Sentinel>구성>분석을 선택합니다.

2. 활성 규칙에서 플레이북을 실행하도록 이미 구성된 분석 규칙을 찾습니다.

3. 편집을 선택합니다.

   

4. 자동 응답 탭을 선택합니다.

5. 이 분석 규칙에서 실행되도록 직접 구성된 플레이북은 경고 자동화(클래식)에서 찾을 수 있습니다. 사용 중단에 대한 경고를 확인합니다.

   

6. 자동화 규칙(화면 상단)에서 + 새로 추가를 선택하여 새 자동화 규칙을 만듭니다.

7. 새 자동화 규칙 만들기 패널의 트리거에서 경고가 만들어질 때를 선택합니다.

   

8. 작업에서 사용할 수 있는 유일한 작업 형식인 플레이북 실행 작업이 자동으로 선택되고 회색으로 표시되는지 확인합니다. 아래 줄의 드롭다운 목록에서 사용 가능한 플레이북을 선택합니다.

   

9. 적용을 선택합니다. 이제 자동화 규칙 그리드에 새 규칙이 표시됩니다.

10. 경고 자동화(클래식) 섹션에서 플레이북을 제거합니다.

11. 분석 규칙을 검토 및 업데이트하여 변경 내용을 저장합니다.

Automation 포털에서 새 자동화 규칙 만들기

1. Azure Portal의 Microsoft Sentinel의 경우 구성>분석 페이지를 선택합니다. Defender 포털에서 Microsoft Sentinel의 경우 Microsoft Sentinel>구성>분석을 선택합니다.

2. 상단 메뉴 모음에서 만들기 -> Automation 규칙을 선택합니다.

3. 새 자동화 규칙 만들기 패널의 트리거 드롭다운에서 경고가 만들어질 때를 선택합니다.

4. 조건에서 특정 플레이북 또는 플레이북 집합을 실행할 분석 규칙을 선택합니다.

5. 작업에서 이 규칙이 호출할 각 플레이북에 대해 + 작업 추가를 선택합니다. 플레이북 실행 작업이 자동으로 선택되고 회색으로 표시됩니다. 아래 줄의 드롭다운 목록에서 사용 가능한 플레이북 목록에서 선택합니다. 플레이북을 실행할 순서에 따라 작업을 정렬합니다. 각 작업 옆에 있는 위쪽/아래쪽 화살표를 선택하여 작업 순서를 변경할 수 있습니다.

6. 적용을 선택하여 자동화 규칙을 저장합니다.

7. 이러한 플레이북을 호출한 분석 규칙(조건에서 지정한 규칙)을 편집하여 자동화된 응답 탭의 경고 자동화(클래식) 섹션에서 플레이북을 제거합니다.

다음 단계

이 문서에서는 경고 트리거를 기반으로 분석 규칙에서 자동화 규칙으로 플레이북을 마이그레이션하는 방법을 알아보았습니다.

• 자동화 규칙에 대한 자세한 내용은 자동화 규칙을 사용하여 Microsoft Sentinel에서 위협 응답 자동화를 참조하세요.
• 자동화 규칙을 만들려면 Microsoft Sentinel 자동화 규칙 만들기 및 사용하여 응답 관리를 참조하세요.
• 고급 자동화 옵션에 대한 자세한 내용은 Microsoft Sentinel에서 플레이북을 사용하여 위협 대응 자동화를 참조하세요.
• 자동화 규칙과 플레이북을 구현하는 방법에 대한 도움말은 자습서: 플레이북을 사용하여 Microsoft Sentinel에서 위협 대응 자동화를 참조하세요.