Microsoft Sentinel 플레이북에서 트리거 및 작업 사용
이 문서에서는 플레이북이 Microsoft Sentinel 및 작업 영역 테이블의 정보와 상호 작용하는 데 사용할 수 있는 Logic Apps Microsoft Sentinel 커넥터의 트리거 및 작업 유형에 대해 설명합니다. 필요할 수 있는 특정 유형의 Microsoft Sentinel 정보를 가져오는 방법을 추가로 보여 줍니다.
이 문서와 Microsoft Sentinel에 플레이북 인증 가이드는 다른 플레이북 설명서(자습서: Microsoft Sentinel의 자동화 규칙에서 플레이북 사용)와 함께 제공됩니다. 이 세 문서는 서로를 참조합니다.
플레이북 소개는 Microsoft Sentinel에서 플레이북으로 위협 대응 자동화를 참조하세요.
Microsoft Sentinel 커넥터의 전체 사양은 Logic Apps 커넥터 설명서를 참조하세요.
Important
Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼의 공개 미리 보기의 일부로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.
필수 사용 권한
| 역할 \ 커넥터 구성 요소 | 트리거 | “Get” 작업 | 인시던트 업데이트, 주석 추가 |
|---|---|---|---|
| Microsoft Sentinel 읽기 권한자 | ✓ | ✓ | ✗ |
| Microsoft Sentinel 응답자/기여자 | ✓ | ✓ | ✓ |
Microsoft Sentinel의 권한에 대해 자세히 알아봅니다.
Microsoft Sentinel 트리거 요약
Microsoft Sentinel 커넥터를 다양한 방식으로 사용할 수 있지만 커넥터 구성 요소는 각각 서로 다른 Microsoft Sentinel 발생으로 트리거되는 세 개의 흐름으로 나뉠 수 있습니다.
| 트리거(Logic Apps 디자이너의 전체 이름) | 사용 시기 | 알려진 제한 사항 |
|---|---|---|
| Microsoft Sentinel 인시던트(미리 보기) | 대부분의 인시던트 자동화 시나리오에 권장됩니다. 플레이북은 엔터티 및 경고를 비롯한 인시던트 개체를 수신합니다. 이 트리거를 사용하면 플레이북을 자동화 규칙에 연결할 수 있으므로 Microsoft Sentinel에서 인시던트가 생성(지금도 업데이트됨)될 때 플레이북을 트리거할 수 있으며 자동화 규칙의 이점을 인시던트에 모두 적용할 수 있습니다. |
이 트리거가 포함된 플레이북은 경고 그룹화를 지원하지 않습니다. 즉, 각 인시던트에 의해 전송된 첫 번째 경고만 받게 됩니다. 업데이트: 2023년 2월부터 이 트리거에 대해 경고 그룹화가 지원됩니다. |
| Microsoft Sentinel 경고(미리 보기) | Microsoft Sentinel 포털에서 수동으로 경고를 실행해야 하는 플레이북 또는 해당 경고에 대한 인시던트를 생성하지 않는 예약된 분석 규칙에 권장됩니다. | 이 트리거는 Microsoft 보안 분석 규칙에서 생성된 경고에 대한 응답을 자동화하는 데 사용할 수 없습니다. 이 트리거를 사용하는 플레이북은 자동화 규칙으로 호출할 수 없습니다. |
| Microsoft Sentinel 엔터티(미리 보기) | 조사 또는 위협 헌팅 컨텍스트에서 특정 엔터티에서 수동으로 실행해야 하는 플레이북에 사용됩니다. | 이 트리거를 사용하는 플레이북은 자동화 규칙으로 호출할 수 없습니다. |
이러한 흐름에서 사용하는 스키마는 동일하지 않습니다. 대부분의 시나리오에 적용 가능한 Microsoft Sentinel 인시던트 트리거 흐름을 사용하는 것이 좋습니다.
인시던트 동적 필드
Microsoft Sentinel 인시던트에서 받은 인시던트 개체에는 다음과 같은 동적 필드가 포함되어 있습니다.
인시던트 속성(“인시던트: 필드 이름”으로 표시됨)
경고(배열)
경고 속성(“경고: 필드 이름”으로 표시됨)
경고: <속성 이름>과 같은 경고 속성을 선택할 경우, 인시던트에 여러 경고가 포함될 수 있으므로 for each 루프가 자동으로 생성됩니다.
엔터티(모든 경고 엔터티의 배열)
작업 영역 정보 필드(인시던트가 만들어진 Sentinel 작업 영역에 적용됨)
- 구독 ID
- 작업 영역 이름
- 작업 영역 ID
- 리소스 그룹 이름
Microsoft Sentinel 작업 요약
| 구성 요소 | 사용 시기 |
|---|---|
| 경고 - 인시던트 가져오기 | 경고 트리거로 시작하는 플레이북에서. 인시던트 속성을 가져오거나 인시던트 ARM ID를 검색하여 인시던트 업데이트 또는 인시던트에 주석 추가 작업에 사용하는 데 유용합니다. |
| 인시던트 가져오기 | 외부 원본에서 또는 Sentinel이 아닌 트리거를 사용하여 플레이북을 트리거하는 경우. 인시던트 ARM ID로 식별합니다. 인시던트 속성 및 주석을 검색합니다. |
| 인시던트 업데이트 | 인시던트의 상태를 변경하려면(예: 인시던트를 닫을 때) 소유자를 할당하거나, 태그를 추가 또는 제거하거나, 심각도, 제목 또는 설명을 변경합니다. |
| 인시던트에 주석 추가 | 외부 원본에서 수집된 정보를 사용하여 인시던트를 보강하려는 경우, 엔터티에 대해 플레이북에서 수행하는 작업을 감사하려는 경우, 인시던트 조사에 유용한 추가 정보를 제공하려는 경우. |
| 엔터티 - <엔터티 형식> 가져오기 | 플레이북 생성 시 알려진 특정 엔터티 유형(IP, Account, Host, URL 또는 FileHash)에서 작동하는 플레이북에서 구문 분석을 수행하고 고유한 필드에서 작업할 수 있어야 합니다. |
인시던트 작업 - 사용 예제
팁
인시던트 업데이트 및 인시던트에 주석 추가 작업에는 인시던트 ARM ID가 필요합니다.
미리 경고 - 인시던트 가져오기 작업을 사용하여 인시던트 ARM ID를 가져옵니다.
인시던트 업데이트
플레이북이 Microsoft Sentinel 인시던트로 트리거됩니다.
플레이북이 Microsoft Sentinel 경고로 트리거됩니다.
인시던트 정보 사용
이메일로 인시던트 세부 정보를 보내는 기본 플레이북:
플레이북이 Microsoft Sentinel 인시던트로 트리거됩니다.
플레이북이 Microsoft Sentinel 경고로 트리거됩니다.
인시던트에 주석 추가
플레이북이 Microsoft Sentinel 인시던트로 트리거됩니다.
플레이북이 Microsoft Sentinel 경고로 트리거됩니다.
사용자 비활성화
플레이북이 Microsoft Sentinel 엔터티로 트리거됩니다.
인시던트 ID가 없는 엔터티 플레이북
엔터티 트리거를 사용하여 만든 플레이북은 종종 인시던트 ARM ID 필드를 사용합니다(예: 엔터티에 대한 작업을 수행한 후 인시던트를 업데이트하기 위해).
이러한 플레이북이 인시던트에 연결되지 않은 컨텍스트(예: 위협 헌팅)에서 트리거되는 경우 ID가 이 필드를 채울 수 있는 인시던트가 없습니다. 이 경우 필드는 null 값으로 채워집니다.
따라서 플레이북이 완료될 때 실행되지 않을 수 있습니다. 이 오류를 방지하려면 인시던트 ID 필드에 대한 작업을 수행하기 전에 인시던트 ID 필드의 값에 대해 검사 조건을 만들고 필드에 null 값이 있는 경우, 즉 플레이북이 인시던트에서 실행되지 않는 경우 다른 작업 집합을 규정하는 것이 좋습니다.
인시던트 ARM ID 필드를 참조하는 첫 번째 작업 앞에 조건 형식의 단계를 추가합니다.
값 선택 필드를 선택하고동적 콘텐츠 추가 대화 상자를 입력합니다.
식 탭과 length(collection) 함수를 선택합니다.
동적 콘텐츠 탭과 인시던트 ARM ID 필드를 선택합니다.
결과 식이
length(triggerBody()?['IncidentArmID'])인지 확인하고 확인을 선택합니다.
조건의 연산자 및 값을 "보다 큼" 및 "0"으로 설정합니다.
True 프레임에서 플레이북이 인시던트 컨텍스트에서 실행되는 경우 수행할 작업을 추가합니다.
False 프레임에서 플레이북이 비인시던트 컨텍스트에서 실행되는 경우 수행할 작업을 추가합니다.
특정 엔터티 형식 작업
엔터티 동적 필드는 각각 엔터티를 나타내는 JSON 개체의 배열입니다. 각 엔터티 형식에는 고유한 속성에 따라 고유한 스키마가 있습니다.
“엔터티 - <엔터티 형식> 가져오기” 작업을 사용하면 다음을 수행할 수 있습니다.
- 요청된 형식별로 엔터티 배열을 필터링합니다.
- 이 형식의 특정 필드를 구문 분석하여 추가 작업에서 동적 필드로 사용할 수 있습니다.
입력은 엔터티 동적 필드입니다.
응답은 엔터티의 배열로, 특수 속성이 구문 분석되고 For each 루프에서 직접 사용할 수 있습니다.
현재 지원되는 엔터티 형식은 다음과 같습니다.
다른 엔터티 형식의 경우 Logic Apps의 기본 제공 작업을 사용하여 비슷한 기능을 구현할 수 있습니다.
배열 필터링을 사용하여 요청된 형식별로 엔터티 배열을 필터링합니다.
이 형식의 특정 필드를 구문 분석하면 Parse JSON을 사용하여 추가 작업에서 동적 필드로 사용할 수 있습니다.
사용자 지정 세부 정보 작업
인시던트 트리거에서 사용할 수 있는 경고 사용자 지정 세부 정보 동적 필드는 JSON 개체 배열로, 각 개체는 경고의 사용자 지정 세부 정보를 나타냅니다. 사용자 지정 세부 정보는 경고에서 이벤트의 정보를 노출하여 인시던트의 일부로 표시, 추적 및 분석할 수 있도록 하는 키-값 쌍입니다.
경고의 이 필드는 사용자 지정이 가능하므로 해당 스키마는 표시되는 이벤트의 유형에 따라 달라집니다. 이 이벤트의 인스턴스에서 데이터를 제공하여 사용자 지정 세부 정보 필드가 구문 분석되는 방법을 결정하는 스키마를 생성해야 합니다.
다음 예제를 참조하십시오.
이러한 키-값 쌍에서 키(왼쪽 열)는 사용자가 만든 사용자 지정 필드를 나타내고, 값(오른쪽 열)은 사용자 지정 필드를 채우는 이벤트 데이터의 필드를 나타냅니다.
다음 JSON 코드를 제공하여 스키마를 생성할 수 있습니다. 코드에서는 키 이름을 배열로 표시하고 값(값을 포함하는 열이 아닌 실제 값으로 표시됨)을 배열의 항목으로 표시합니다.
{ "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }
Parse JSON 기본 제공 작업을 사용하여 새 단계를 추가합니다. 검색 필드에 ‘parse json’을 입력하여 찾을 수 있습니다.
인시던트 트리거 아래의 동적 콘텐츠 목록에서 경고 사용자 지정 세부 정보를 찾아 선택합니다.
인시던트에 경고 배열이 포함되어 있으므로 For each 루프가 생성됩니다.
샘플 페이로드를 사용하여 스키마 생성 링크를 선택합니다.
샘플 페이로드를 제공합니다. Log Analytics에서 이 경고의 다른 인스턴스를 찾아보고 사용자 지정 세부 정보 개체(Extended Properties 아래)를 복사하면 샘플 페이로드를 찾을 수 있습니다. Azure Portal의 로그 페이지 또는 Defender 포털의 고급 헌팅 페이지에서 Log Analytics 데이터에 액세스합니다. 아래 스크린샷에서는 위에 표시된 JSON 코드를 사용했습니다.
사용자 지정 필드는 Array 형식의 동적 필드를 사용할 준비가 되었습니다. 위에서 설명한 대로 스키마와 동적 콘텐츠 아래에 표시되는 목록에서 배열 및 해당 항목을 볼 수 있습니다.
다음 단계
이 문서에서는 Microsoft Sentinel 플레이북의 트리거와 작업을 사용하여 위협에 대응하는 방법을 자세히 알아보았습니다.
- Microsoft Sentinel을 사용하여 사전에 위협을 탐지하는 방법을 알아보세요.