Microsoft Sentinel에서 위협을 조사하거나 헌팅하는 동안 위협 행위자에 대응
이 문서에서는 인시던트 조사 또는 위협 헌팅 중에 조사 또는 헌팅에서 피벗하거나 컨텍스트를 전환하지 않고 현장에서 위협 행위자에 대해 대응 조치를 취하는 방법을 보여줍니다. 새 엔터티 트리거를 기반으로 하는 플레이북을 사용하여 이를 수행합니다.
엔터티 트리거는 현재 다음 엔터티 형식을 지원합니다.
Important
엔터티 트리거는 현재 미리 보기로 제공됩니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.
엔터티 트리거를 사용하여 플레이북 실행
인시던트를 조사하고 특정 엔터티(사용자 계정, 호스트, IP 주소, 파일 등)가 위협을 나타내는 것으로 판단되면 주문형 플레이북을 실행하여 해당 위협에 대한 즉각적인 수정 작업을 수행할 수 있습니다. 인시던트 컨텍스트 외부에서 사전에 위협을 헌팅하는 동안 의심스러운 엔터티가 발생하는 경우에도 마찬가지로 작업할 수 있습니다.
어떤 컨텍스트에서든 해당 엔터티를 선택하고 다음과 같이 플레이북을 실행할 적절한 수단을 선택합니다.
새 인시던트 세부 정보 페이지(현재 미리 보기)에 있는 인시던트의 개요 탭에 있는 엔터티 위젯이나 해당 엔터티 탭에서 목록에서 엔터티를 선택하고 엔터티 옆에 있는 세 개의 점을 선택한 다음, 팝업 항목 메뉴에서 플레이북 실행(미리 보기)을 선택합니다.
인시던트의 엔터티 탭에서 목록의 엔터티를 선택하고 목록의 해당 줄 끝에 있는 플레이북 실행(미리 보기) 링크를 선택합니다.
조사 그래프에서 항목을 선택하고 항목 가로 패널에서 플레이북 실행(미리 보기) 단추를 선택합니다.
엔터티 동작 페이지에서 엔터티를 선택합니다. 결과 엔터티 페이지의 왼쪽 패널에서 플레이북 실행(미리 보기) 단추를 선택합니다.
그러면 모두 <엔터티 형식> 패널에서 플레이북 실행이 열립니다.
이러한 패널에는 플레이북 및 실행이라는 두 개의 탭이 있습니다.
플레이북 탭에는 액세스 권한이 있고 해당 엔터티 형식(이 경우 사용자 계정)에 대해 Microsoft Sentinel 엔터티 트리거를 사용하는 모든 플레이북 목록이 표시됩니다. 즉시 실행하려는 플레이북의 실행 단추를 선택합니다.
참고 항목
실행하려는 플레이북이 목록에 없으면 Microsoft Sentinel에 해당 리소스 그룹의 플레이북을 실행할 권한이 없다는 의미입니다(자세히 알아보기). 이러한 권한을 부여하려면 기본 메뉴에서 설정을 선택하고 설정 탭을 선택하고 플레이북 권한 확장기를 확장한 다음 권한 구성을 선택합니다. 열리는 권한 관리 패널에서, 실행하려는 플레이북이 포함된 리소스 그룹의 확인란을 선택하고 적용을 선택합니다.
실행 탭에서 엔터티 트리거 플레이북의 활동을 감사할 수 있습니다. 선택한 엔터티에서 플레이북이 실행된 모든 횟수 목록이 표시됩니다. 완료된 모든 실행이 이 목록에 표시되는 데 몇 초 정도 걸릴 수 있습니다. 특정 실행을 선택하면 Azure Logic Apps에서 전체 실행 로그가 열립니다.
다음 단계
이 문서에서는 인시던트를 조사하거나 위협을 헌팅하는 중에 엔터티의 위협을 해결하기 위해 플레이북을 수동으로 실행하는 방법을 배웠습니다.
- Microsoft Sentinel에서 인시던트 조사에 대해 자세히 알아보세요.
- Microsoft Sentinel을 사용하여 사전에 위협을 탐지하는 방법을 알아보세요.
- Microsoft Sentinel의 엔터티에 대해 자세히 알아봅니다.
- Microsoft Sentinel의 플레이북에 대해 자세히 알아보세요.