Microsoft Sentinel의 인시던트에 대한 경고 연결

  • 아티클

이 문서에서는 Microsoft Sentinel에서 경고를 인시던트와 연결하는 방법을 보여 줍니다. 이 기능을 사용하면 조사 프로세스의 일부로 기존 인시던트에 경고를 수동 또는 자동으로 추가하거나 제거하여 조사가 진행됨에 따라 인시던트 범위를 구체화할 수 있습니다.

Important

인시던트 확장은 현재 PREVIEW 상태입니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법률 용어가 포함되어 있습니다.

인시던트 범위 및 기능 확장

이 기능을 통해 다른 데이터 원본에서 생성된 인시던트에 한 데이터 원본의 경고를 포함할 수밖에 없습니다. 예를 들어 클라우드용 Microsoft Defender 또는 다양한 타사 데이터 원본의 경고를 Microsoft Defender XDR에서 Microsoft Sentinel로 가져온 인시던트에 추가할 수 있습니다.

이 기능은 최신 버전의 Microsoft Sentinel API에 기본 제공되어 있습니다. 즉, Microsoft Sentinel용 Logic Apps 커넥터에서 사용할 수 있습니다. 따라서 특정 조건이 충족되면 플레이북을 사용하여 인시던트에 대한 경고를 자동으로 추가할 수 있습니다.

또한 이 자동화를 사용하여 경고를 수동으로 만든 인시던트에 추가하고, 사용자 지정 상관 관계를 만들거나 만들어질 때 경고를 인시던트로 그룹화하기 위한 사용자 지정 기준을 정의할 수 있습니다.

제한 사항

  • Microsoft Sentinel은 Microsoft Defender XDR에서 경고와 인시던트를 모두 가져옵니다. 대부분의 경우 이러한 경고 및 인시던트는 일반 Microsoft Sentinel 경고 및 인시던트처럼 처리할 수 있습니다.

    그러나 Sentinel 포털이 아닌 Defender 포털에서만 Defender 인시던트에 Defender 경고를 추가(또는 제거)할 수 있습니다. Microsoft Sentinel에서 이 작업을 시도하면 오류 메시지가 표시됩니다. Microsoft Sentinel 인시던트의 링크를 사용하여 Microsoft Defender 포털의 인시던트를 피벗할 수 있습니다. 하지만 걱정하지 마세요. Microsoft Defender 포털에서 인시던트에 대한 모든 변경 내용은 Microsoft Sentinel의 병렬 인시던트와 동기화되므로 Sentinel 포털의 인시던트에 추가된 경고가 계속 표시됩니다.

    Microsoft Sentinel 포털에서 Microsoft Defender XDR 경고를 비 Defender 인시던트에 추가하고 Defender가 아닌 경고를 Defender 인시던트에 추가할 수 있습니다.

  • Microsoft Sentinel을 통합 보안 운영 포털에 온보딩한 경우 더 이상 Microsoft Sentinel 경고를 인시던트에 추가하거나 Microsoft Sentinel(Azure Portal)에서 인시던트에서 Microsoft Sentinel 경고를 제거할 수 없습니다. 이 작업은 Microsoft Defender 포털에서만 수행할 수 있습니다. 자세한 내용은 포털 간 기능 차이를 참조하세요.

  • 인시던트에는 최대 150개의 경고가 포함될 수 있습니다. 150개의 경고가 포함된 인시던트에 경고를 추가하려고 하면 오류 메시지가 표시됩니다.

엔터티 타임라인 사용하여 경고 추가(미리 보기)

인시던트 환경(현재 미리 보기)에 있는 엔터티 타임라인 특정 인시던트 조사의 모든 엔터티를 제공합니다. 목록의 엔터티를 선택하면 측면 패널에 미니어처 엔터티 페이지가 표시됩니다.

  1. Microsoft Sentinel 탐색 메뉴에서 인시던트를 선택합니다.

    그리드에 표시된 새 인시던트 큐의 스크린샷.

  2. 조사할 인시던트를 선택합니다. 인시던트 세부 정보 패널에서 전체 세부 정보 보기를 선택합니다.

  3. 인시던트 페이지에서 엔터티 탭을 선택합니다.

    인시던트 페이지의 엔터티 탭 스크린샷.

  4. 목록에서 엔터티를 선택합니다.

  5. 엔터티 페이지 쪽 패널에서 타임라인 카드를 선택합니다.

    인시던트 페이지의 엔터티 탭에 있는 엔터티 타임라인 카드 스크린샷.

  6. 열린 인시던트 외부의 경고를 선택합니다. 이는 회색으로 표시된 방패 아이콘과 심각도를 나타내는 점선 색 밴드로 표시됩니다. 해당 경고의 오른쪽 끝에 있는 더하기 기호 아이콘을 선택합니다.

    엔터티 타임라인 외부 경고의 모양 스크린샷.

  7. 확인을 선택하여 인시던트에 경고 추가를 확인합니다. 인시던트에 경고 추가를 확인하거나 추가되지 않은 이유를 설명하는 알림을 받게 됩니다. 조사 그래프에서 경고를 인시던트에 추가하는 스크린샷.

이제 개요 탭의 열린 인시던트 타임라인 위젯에 추가된 경고가 표시되며, 인시던트의 다른 경고와 마찬가지로 전체 색 방패 아이콘과 단색 색 밴드가 표시됩니다.

추가된 경고는 이제 인시던트의 전체 부분이며, 추가된 경고의 모든 엔터티(아직 인시던트에 포함되지 않은)도 인시던트의 일부가 되었습니다. 이제 인시던트에 추가할 수 있는 다른 경고에 대한 해당 엔터티의 타임라인을 탐색할 수 있습니다.

인시던트에서 경고 제거

수동으로 또는 자동으로 인시던트에 추가된 경고도 인시던트에서 제거할 수 있습니다.

  1. Microsoft Sentinel 탐색 메뉴에서 인시던트를 선택합니다.

  2. 조사할 인시던트를 선택합니다. 인시던트 세부 정보 패널에서 전체 세부 정보 보기를 선택합니다.

  3. 개요 탭의 인시던트 타임라인 위젯에서 인시던트에서 제거하려는 경고 옆에 있는 세 개의 점을 선택합니다. 팝업 메뉴에서 경고 제거를 선택합니다.

    인시던트 타임라인 인시던트에서 경고를 제거하는 방법을 보여 주는 스크린샷.

조사 그래프를 사용하여 경고 추가

조사 그래프는 연결 및 패턴을 제시하고 분석가가 올바른 질문을 하고 리드를 따를 수 있도록 하는 시각적이고 직관적인 도구입니다. 이를 사용하여 인시던트에 경고를 추가하거나 인시던트에서 제거하여 조사 범위를 넓히거나 좁힐 수 있습니다.

  1. Microsoft Sentinel 탐색 메뉴에서 인시던트를 선택합니다.

    그리드에 표시된 인시던트 큐의 스크린샷

  2. 조사할 인시던트를 선택합니다. 인시던트 세부 정보 패널에서 작업 단추를 선택하고 팝업 메뉴에서 조사를 선택합니다. 그러면 조사 그래프가 열립니다.

    조사 그래프의 경고가 있는 인시던트의 스크린샷

  3. 항목 위로 마우스를 가져가면 옆에 탐색 쿼리 목록이 표시됩니다. 관련 경고를 선택합니다.

    조사 그래프에서 경고 탐색 쿼리의 스크린샷

    관련 경고는 점선으로 엔터티에 연결된 것으로 나타납니다.

    조사 그래프에 표시되는 관련 경고의 스크린샷

  4. 메뉴가 옆에 나타날 때까지 관련 경고 중 하나 위로 마우스를 가져갑니다. 인시던트에 경고 추가(미리 보기)를 선택합니다.

    조사 그래프에서 경고를 인시던트에 추가하는 스크린샷

  5. 경고는 인시던트에 추가되며 사실상 모든 엔터티 및 세부 정보와 함께 인시던트의 일부가 됩니다. 이에 대한 두 가지 시각적 표현이 표시됩니다.

    • 조사 그래프의 엔터티에 연결하는 선이 점선에서 실선으로 변경되었으며 추가된 경고의 엔터티에 대한 연결이 그래프에 추가되었습니다.

      인시던트에 추가된 경고를 보여 주는 스크린샷

    • 이제 경고가 이미 있었던 경고와 함께 이 인시던트의 타임라인에 나타납니다.

      인시던트의 타임라인에 추가된 경고를 보여 주는 스크린샷

특별한 상황

인시던트에 경고를 추가할 때 상황에 따라 요청을 확인하거나 다른 옵션 중에서 선택하라는 메시지가 표시될 수 있습니다. 다음은 이러한 상황의 몇 가지 예, 선택해야 하는 사항 및 그 의미입니다.

  • 추가하려는 경고는 이미 다른 인시던트에 속해 있습니다.

    이 경우 경고가 다른 인시던트의 일부라는 메시지가 표시되고 계속 진행할 것인지 묻는 메시지가 표시됩니다. 확인을 선택하여 경고를 추가하거나 취소를 선택하여 그대로 둡니다.

    이 인시던트에 경고를 추가해도 다른 인시던트에서는 경고가 제거되지 않습니다. 경고는 둘 이상의 인시던트와 관련될 수 있습니다. 원하는 경우 위의 메시지 프롬프트에 있는 링크를 따라 다른 인시던트에서 경고를 수동으로 제거할 수 있습니다.

  • 추가하려는 경고는 다른 인시던트에 속하며 다른 인시던트의 유일한 경고입니다.

    경고가 다른 인시던트에 단독으로 있는 경우 이 인시던트에서 경고를 추적하면 다른 인시던트와 관련이 없도록 만들 수 있기 때문에 위의 경우와 다릅니다. 따라서 이 경우 다음 대화 상자가 표시됩니다.

    다른 인시던트를 유지하거나 닫을지 여부를 묻는 스크린샷

    • 다른 인시던트 유지는 다른 인시던트를 있는 그대로 유지하면서 이 인시던트에도 경고를 추가합니다.

    • 다른 인시던트 닫기는 이 인시던트에 경고를 추가하고 다른 인시던트를 닫으면서 종료 이유 "미확인"과 "경고가 다른 인시던트에 추가됨" 주석을 진행 중인 인시던트 번호와 함께 추가합니다.

    • 취소는 현재 상태를 그대로 유지합니다. 미해결 인시던트 또는 기타 참조된 인시던트를 변경하지 않습니다.

    선택하는 옵션은 특정 요구 사항에 따라 다릅니다. Microsoft는 한 가지 선택을 다른 것보다 권장하지 않습니다.

플레이북을 사용하여 경고 추가/제거

인시던트에 대한 경고 추가 및 제거는 Microsoft Sentinel 커넥터 및 Microsoft Sentinel 플레이북에서 Logic Apps 작업으로도 사용할 수 있습니다. 인시던트 ARM ID시스템 경고 ID를 매개 변수로 제공해야 하며 경고 및 인시던트 트리거 모두에 대한 플레이북 스키마에서 둘 다 찾을 수 있습니다.

Microsoft Sentinel은 템플릿 갤러리에서 이 기능을 사용하는 방법을 보여 주는 샘플 플레이북 템플릿을 제공합니다.

인시던트에 대한 관련 경고의 플레이북 템플릿의 스크린샷

다음은 이 플레이북에서 인시던트에 경고 추가(미리 보기) 작업을 사용하는 방법을 보여 줍니다. 예를 들어 다른 곳에서 이를 사용할 수 있습니다.

플레이북 작업을 사용하는 인시던트에 경고를 추가하는 스크린샷

API를 사용하여 경고 추가/제거

이 기능을 사용하려면 포털에만 국한되지 않습니다. 또한 인시던트 관계 작업 그룹을 통해 Microsoft Sentinel API를 통해 액세스할 수 있습니다. 경고와 인시던트 간의 관계를 가져오고, 만들고, 업데이트하고, 삭제할 수 있습니다.

관계 만들기

인시던트 간의 관계를 만들어 인시던트에 경고를 추가합니다. 다음 엔드포인트를 사용하여 기존 인시던트에 경고를 추가합니다. 이 요청이 이루어지면 경고가 인시던트에 합류하고 포털의 인시던트에 있는 경고 목록에 표시됩니다.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

요청 본문은 다음과 같습니다.

{ 
    "properties": { 
        "relatedResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/entities/{systemAlertId}" 
    } 
}

관계 삭제

인시던트 간의 관계를 삭제하여 인시던트에서 경고를 제거합니다. 다음 엔드포인트를 사용하여 기존 인시던트에서 경고를 제거합니다. 이 요청이 이루어진 후에는 경고가 더 이상 인시던트에 연결되거나 인시던트에 표시되지 않습니다.

DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview

경고 관계 나열

이 엔드포인트 및 요청을 사용하여 특정 인시던트와 관련된 모든 경고를 나열할 수도 있습니다.

GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations?api-version=2022-07-01-preview

특정 오류 코드

일반 API 설명서에는 위에서 언급한 만들기, 삭제목록 작업에 대한 예상 응답 코드가 나와 있습니다. 오류 코드는 일반 범주로만 언급됩니다. 다음은 "기타 상태 코드" 범주에 나열된 가능한 특정 오류 코드 및 메시지입니다.

코드 메시지
400 잘못된 요청 관계를 만들지 못했습니다. {incidentIdentifier} 인시던트에 이름이 {relationName}인 다른 관계 형식이 이미 있습니다.
400 잘못된 요청 관계를 만들지 못했습니다. {systemAlertId} 경고는 {incidentIdentifier} 인시던트에 이미 존재합니다.
400 잘못된 요청 관계를 만들지 못했습니다. 관련 리소스 및 인시던트는 동일한 작업 영역에 속해야 합니다.
400 잘못된 요청 관계를 만들지 못했습니다. Microsoft Defender XDR 경고는 Microsoft Defender XDR 인시던트에 추가할 수 없습니다.
400 잘못된 요청 관계를 삭제하지 못했습니다. Microsoft Defender XDR 경고는 Microsoft Defender XDR 인시던트에서 제거할 수 없습니다.
404 찾을 수 없음 '{systemAlertId}' 리소스가 존재하지 않습니다.
404 찾을 수 없음 인시던트가 존재하지 않습니다.
409 충돌 관계를 만들지 못했습니다. 다른 경고 {systemAlertId}에 대한 {incidentIdentifier} 인시던트에 이름이 {relationName}인 관계가 이미 있습니다.

다음 단계

이 문서에서는 Microsoft Sentinel 포털 및 API를 사용하여 인시던트에 경고를 추가하고 제거하는 방법을 배웠습니다. 자세한 내용은 다음을 참조하세요.