자동화 규칙 및 플레이북의 상태 모니터링

아티클
05/27/2024

Microsoft Sentinel 서비스에서 보안 오케스트레이션, 자동화 및 응답 작업의 적절한 작동과 성능을 보장하려면 실행 로그를 모니터링하여 자동화 규칙 및 플레이북의 상태를 추적합니다.

조치를 취할 수 있는 관련 이해 관계자에 대한 상태 이벤트 알림을 설정합니다. 예를 들어 이메일 또는 Microsoft Teams 메시지를 정의 및 전송하고 티켓팅 시스템에서 새 티켓을 생성하는 등의 작업을 수행합니다.

이 문서에서는 Microsoft Sentinel의 상태 모니터링 기능을 사용하여 Microsoft Sentinel 내에서 자동화 규칙 및 플레이북의 상태를 추적하는 방법을 설명합니다. 자세한 내용은 Microsoft Sentinel에 대한 감사 및 상태 모니터링을 참조하세요.

SentinelHealth 데이터 테이블 사용(공개 미리 보기)

SentinelHealth 데이터 테이블에서 자동화 상태 데이터를 가져오려면 먼저 작업 영역에 대해 Microsoft Sentinel 상태 기능을 켜야 합니다. 자세한 내용은 Microsoft Sentinel에 대한 상태 모니터링 켜기를 참조하세요.

상태 기능이 켜져 있으면 자동화 규칙 및 플레이북에 대해 만들어진 첫 번째 성공 또는 실패 이벤트에서 SentinelHealth 데이터 테이블이 만들어집니다.

SentinelHealth 테이블 이벤트 이해

다음 형식의 자동화 상태 이벤트가 SentinelHealth 테이블에 기록됩니다.

자동화 규칙 실행. 자동화 규칙의 조건이 충족될 때마다 기록되어 실행되도록 합니다. 기본 SentinelHealth 테이블의 필드 외에도 이러한 이벤트에는 규칙에 의해 호출되는 플레이북 목록을 포함하여 자동화 규칙 실행에 고유한 확장 속성이 포함됩니다. 다음 샘플 쿼리는 이러한 이벤트를 표시합니다.
```
SentinelHealth
| where OperationName == "Automation rule run"
```
플레이북이 트리거됨. 플레이북이 포털 또는 API를 통해 수동으로 인시던트에 트리거될 때마다 기록됩니다. 기본 SentinelHealth 테이블의 필드 외에도 이러한 이벤트에는 플레이북의 수동 트리거링에 고유한 확장 속성이 포함됩니다. 다음 샘플 쿼리는 이러한 이벤트를 표시합니다.
```
SentinelHealth
| where OperationName == "Playbook was triggered"
```

자세한 내용은 SentinelHealth 테이블 열 스키마를 참조하세요.

상태, 오류 및 제안된 단계

Automation 규칙 실행 상태의 경우 다음과 같은 상태가 표시될 수 있습니다.

성공: 규칙이 성공적으로 실행되어 모든 작업이 트리거됩니다.
부분 성공: 규칙이 실행되고 하나 이상의 작업을 트리거했지만 일부 작업이 실패했습니다.
실패: 자동화 규칙이 다음 이유 중 하나로 인해 아무 작업도 실행하지 않았습니다.
- 조건 평가에 실패했습니다.
- 조건이 충족되었지만 첫 번째 작업이 실패했습니다.

플레이북이 트리거된 상태의 경우 다음 상태가 표시될 수 있습니다.

성공: 플레이북이 성공적으로 트리거되었습니다.
실패: 플레이북을 트리거할 수 없습니다.

참고 항목

성공은 자동화 규칙이 플레이북을 성공적으로 트리거했음을 의미합니다. 플레이북이 시작되거나 종료된 시기, 플레이북의 작업 결과 또는 플레이북의 최종 결과는 안내되지 않습니다.

이 정보를 찾으려면 Logic Apps 진단 로그를 쿼리합니다. 자세한 내용은 전체 자동화 그림 가져오기를 참조하세요.

오류 설명 및 제안된 작업

오류 설명	제안 작업
<TaskName> 작업을 추가할 수 없습니다. 인시던트/경고를 찾을 수 없습니다.	인시던트/경고가 있는지 확인하고 다시 시도합니다.
<PropertyName> 속성을 수정할 수 없습니다. 인시던트/경고를 찾을 수 없습니다.	인시던트/경고가 있는지 확인하고 다시 시도합니다.
<PropertyName> 속성을 수정할 수 없습니다. 요청이 너무 많고 제한 한도를 초과합니다.
<PlaybookName> 플레이북을 트리거할 수 없습니다. 인시던트/경고를 찾을 수 없습니다.	요청 시 플레이북을 트리거하려고 할 때 오류가 발생한 경우 인시던트/경고가 있는지 확인하고 다시 시도합니다.
<PlaybookName> 플레이북을 트리거할 수 없습니다. 플레이북을 찾을 수 없거나 Microsoft Sentinel에 사용 권한이 없습니다.	자동화 규칙을 편집하고, 새 위치에서 플레이북을 찾아 선택하고, 저장합니다. Microsoft Sentinel에 이 플레이북을 실행할 수 있는 권한이 있는지 확인합니다.
<PlaybookName> 플레이북을 트리거할 수 없습니다. 지원되지 않는 트리거 유형을 포함합니다.	플레이북이 올바른 Logic Apps 트리거(Microsoft Sentinel Incident 또는 Microsoft Sentinel Alert)로 시작하는지 확인합니다.
<PlaybookName> 플레이북을 트리거할 수 없습니다. 구독이 비활성화되어 읽기 전용으로 표시됩니다. 이 구독의 플레이북은 구독을 다시 사용하도록 설정할 때까지 실행할 수 없습니다.	플레이북이 있는 Azure 구독을 다시 사용하도록 설정합니다.
<PlaybookName> 플레이북을 트리거할 수 없습니다. 플레이북이 비활성화되었습니다.	Automation 아래의 활성 플레이북 탭 또는 Logic Apps 리소스 페이지에서 Microsoft Sentinel에서 플레이북을 사용하도록 설정합니다.
<PlaybookName> 플레이북을 트리거할 수 없습니다. 유효하지 않은 템플릿 정의입니다.	플레이북 정의에 오류가 있습니다. Logic Apps 디자이너로 이동하여 문제를 해결하고 플레이북을 저장합니다.
<PlaybookName> 플레이북을 트리거할 수 없습니다. 액세스 제어 구성은 Microsoft Sentinel을 제한합니다.	Logic Apps 구성을 사용하면 액세스를 제한하여 플레이북을 트리거할 수 있습니다. 이 제한은 이 플레이북에 적용됩니다. Microsoft Sentinel이 차단되지 않도록 이 제한을 제거합니다. 자세한 정보
<PlaybookName> 플레이북을 트리거할 수 없습니다. Microsoft Sentinel에 실행하기 위한 사용 권한이 없습니다.	Microsoft Sentinel을 사용하려면 플레이북을 실행할 수 있는 권한이 필요합니다.
<PlaybookName> 플레이북을 트리거할 수 없습니다. 플레이북이 새 사용 권한 모델로 마이그레이션되지 않았습니다. Microsoft Sentinel에 이 플레이북을 실행할 수 있는 권한을 부여하고 규칙을 다시 저장합니다.	Microsoft Sentinel에 이 플레이북을 실행할 수 있는 권한을 부여하고 규칙을 다시 저장합니다.
<PlaybookName> 플레이북을 트리거할 수 없습니다. 요청이 너무 많고 워크플로 제한 한도를 초과합니다.	대기 워크플로 실행 수가 허용되는 최대 제한을 초과했습니다. 트리거 동시성 구성에서 `'maximumWaitingRuns'`의 값을 늘려 보세요.
<PlaybookName> 플레이북을 트리거할 수 없습니다. 요청이 너무 많고 제한 한도를 초과합니다.	구독 및 테넌트 제한에 대해 자세히 알아봅니다.
<PlaybookName> 플레이북을 트리거할 수 없습니다. 액세스가 금지되었습니다. 관리 ID에 구성이 없거나 Logic Apps 네트워크 제한이 설정되었습니다.	플레이북이 관리 ID를 사용하는 경우 관리 ID에 권한이 할당되었는지 확인합니다. 플레이북에는 Microsoft Sentinel 서비스를 차단할 때 트리거되지 않도록 하는 네트워크 제한 규칙이 있을 수 있습니다.
<PlaybookName> 플레이북을 트리거할 수 없습니다. 구독 또는 리소스 그룹이 잠겼습니다.	잠금을 제거하여 잠긴 범위에서 Microsoft Sentinel 트리거 플레이북을 허용합니다. 잠긴 리소스에 대해 자세히 알아보세요.
<PlaybookName> 플레이북을 트리거할 수 없습니다. 호출자에 플레이북에 필요한 플레이북 트리거 권한이 없거나 Microsoft Sentinel에 사용 권한이 없습니다.	요청 시 플레이북을 트리거할 사용자에게 플레이북에 대한 Logic Apps 참가자 역할이 없거나 플레이북을 트리거할 수 없습니다. 자세한 정보
<PlaybookName> 플레이북을 트리거할 수 없습니다. 연결에 유효하지 않은 자격 증명이 있습니다.	Azure 포털의 API 연결 서비스에서 연결이 사용 중인 자격 증명을 확인하세요.
<PlaybookName> 플레이북을 트리거할 수 없습니다. 플레이북 ARM ID가 유효하지 않습니다.

전체 자동화 그림 가져오기

Microsoft Sentinel의 상태 모니터링 테이블을 사용하면 플레이북 트리거 시점을 추적할 수 있지만 플레이북 내부에서 발생하는 상황과 실행 시 결과를 모니터링하려면 Azure Logic Apps에서 진단도 설정하여 다음 이벤트를 AzureDiagnostics 테이블로 수집해야 합니다.

{작업 이름}이(가) 시작됨
{작업 이름}이(가) 종료됨
워크플로(플레이북)가 시작됨
워크플로(플레이북)가 종료됨

이러한 추가 이벤트는 플레이북에서 수행되는 작업에 대한 추가적인 인사이트를 제공합니다.

Azure Logic Apps 진단 설정 켜기

모니터링에 관심이 있는 각 플레이북의 경우 논리 앱에 대해 Log Analytics를 사용하도록 설정합니다. 로그 대상으로 Log Analytics 작업 영역으로 보내기를 선택하고 Microsoft Sentinel 작업 영역을 선택해야 합니다.

Microsoft Sentinel 및 Azure Logic Apps 로그 상관 관계

작업 영역에 자동화 규칙과 플레이북 및 개별 Logic Apps 워크플로에 대한 로그가 있으므로 이러한 항목을 연관시켜 전체 그림을 얻을 수 있습니다. 다음 예제 쿼리를 살펴 보십시오.

SentinelHealth 
| where SentinelResourceType == "Automation rule"
| mv-expand TriggeredPlaybooks = ExtendedProperties.TriggeredPlaybooks
| extend runId = tostring(TriggeredPlaybooks.RunId)
| join (AzureDiagnostics 
    | where OperationName == "Microsoft.Logic/workflows/workflowRunCompleted"
    | project
        resource_runId_s,
        playbookName = resource_workflowName_s,
        playbookRunStatus = status_s)
    on $left.runId == $right.resource_runId_s
| project
    RecordId,
    TimeGenerated,
    AutomationRuleName= SentinelResourceName,
    AutomationRuleStatus = Status,
    Description,
    workflowRunId = runId,
    playbookName,
    playbookRunStatus