자습서: Microsoft Sentinel에서 자동화 규칙과 함께 플레이북을 사용하여 위협에 대응

이 자습서에서는 자동화 규칙과 함께 플레이북을 사용하여 인시던트 응답을 자동화하고 Microsoft Sentinel이 탐지한 보안 위협을 해결하는 방법을 보여줍니다. 이 자습서를 완료하면 다음을 수행할 수 있습니다.

  • 자동화 규칙 만들기
  • 플레이북 만들기
  • 플레이북에 작업 추가
  • 자동화 규칙 또는 분석 규칙에 플레이북을 연결하여 위협 대응 자동화

참고 항목

이 자습서에서는 인시던트를 심사하는 자동화를 만드는 주요 고객 작업에 대한 기본 지침을 제공합니다. 자세한 내용은 Microsoft Sentinel에서 플레이북으로 위협 대응 자동화Microsoft Sentinel 플레이북에서 트리거 및 작업 사용과 같은 방법 섹션을 참조하세요.

자동화 규칙 및 플레이북이란?

자동화 규칙은 Microsoft Sentinel에서 인시던트를 심사하는 데 도움이 됩니다. 자동화 규칙을 사용하여 적절한 직원에게 인시던트를 자동으로 할당하고, 잡음이 있는 인시던트 또는 알려진 가양성을 종결하고, 심각도를 변경하고, 태그를 추가할 수 있습니다. 또한 인시던트 또는 경고에 대응하여 플레이북을 실행할 수 있는 메커니즘이기도 합니다.

플레이북은 전체 인시던트, 개별 경고 또는 특정 엔터티에 대한 응답으로 Microsoft Sentinel에서 실행할 수 있는 프로시저 컬렉션입니다. 플레이북은 응답을 자동화하고 오케스트레이션하는 데 도움이 될 수 있으며, 자동화 규칙에 연결하여 특정 경고가 생성되거나 인시던트가 생성되거나 업데이트될 때 자동으로 실행되도록 설정할 수 있습니다. 특정 인시던트, 경고 또는 엔터티에 대해 주문형으로 수동으로 실행할 수도 있습니다.

Microsoft Sentinel의 플레이북은 Azure Logic Apps에 내장된 워크플로를 기반으로 합니다. 즉, Logic Apps의 모든 성능, 사용자 지정 기능은 물론, 기본 제공되는 템플릿을 활용할 수 있습니다. 각 플레이북은 속한 특정 구독에 대해 만들어지지만 플레이북 표시에는 선택한 구독에서 사용할 수 있는 모든 플레이북이 표시됩니다.

참고 항목

플레이북은 Azure Logic Apps를 사용하기 때문에 추가 요금이 적용될 수 있습니다. 자세한 내용은 Azure Logic Apps 가격 책정 페이지를 참조하세요.

예를 들어 잠재적으로 손상된 사용자가 네트워크를 이동하고 정보를 도용하는 것을 막으려면 손상된 사용자를 감지하는 규칙에 의해 생성된 인시던트에 대한 자동화된 다각적인 응답을 만들 수 있습니다. 먼저 다음 작업을 수행하는 플레이북을 만듭니다.

  1. 플레이북이 인시던트를 전달하는 자동화 규칙에 의해 호출되면 플레이북은 ServiceNow 또는 다른 IT 티켓 시스템에서 티켓을 엽니다.

  2. 보안 분석가가 인시던트를 인식할 수 있도록 Microsoft Teams 또는 Slack의 보안 운영 채널에 메시지를 보냅니다.

  3. 또한 인시던트에 있는 모든 정보를 전자 메일 메시지로 고위 네트워크 관리자 및 보안 관리자에게 보냅니다. 전자 메일 메시지에는 사용자 차단무시 옵션 단추가 포함됩니다.

  4. 플레이북은 관리자로부터 응답을 받을 때까지 기다린 다음 다음 단계를 계속합니다.

  5. 관리자가 차단을 선택하면 사용자를 사용하지 않도록 설정하는 명령을 Microsoft Entra ID로 보내고, 하나는 방화벽에 보내 IP 주소를 차단합니다.

  6. 관리자가 무시를 선택하면 플레이북은 Microsoft Sentinel의 인시던트와 ServiceNow의 티켓을 닫습니다.

플레이북을 트리거하려면 이러한 인시던트가 생성될 때 실행되는 자동화 규칙을 만듭니다. 이 규칙은 다음 단계를 수행합니다.

  1. 규칙은 인시던트 상태 활성으로 변경합니다.

  2. 이 유형의 인시던트를 관리하는 분석가에게 인시던트를 할당합니다.

  3. "손상된 사용자" 태그를 추가합니다.

  4. 마지막으로 방금 만든 플레이북을 호출합니다. (이 단계를 수행하려면 특별한 권한이 필요합니다.)

플레이북은 위의 예제와 같이 플레이북을 작업으로 호출하는 자동화 규칙을 만들어 인시던트에 대응하여 자동으로 실행할 수 있습니다. 경고가 생성될 때 하나 이상의 플레이북을 자동으로 실행하도록 분석 규칙에 지시하여 경고에 대한 응답으로 자동으로 실행할 수도 있습니다.

선택한 경고에 대한 응답으로 주문형으로 플레이북을 수동으로 실행하도록 선택할 수도 있습니다.

Microsoft Sentinel에서 자동화 규칙플레이북을 사용하여 위협 대응을 자동화하는 방법에 대한 완전하고 구체적인 방법을 확인하세요.

플레이북 만들기

다음 단계에 따라 Microsoft Sentinel에서 새 플레이북을 만듭니다.

Screenshot of the menu selection for adding a new playbook in the Automation screen.

  1. Microsoft Sentinel 탐색 메뉴에서 자동화를 선택합니다.

  2. 위쪽 메뉴에서 만들기를 선택합니다.

  3. 만들기 아래에 표시되는 드롭다운 메뉴는 플레이북을 만들기 위한 4가지 선택 항목을 제공합니다.

    1. 표준 플레이북(새로운 형식 - Logic Apps 형식 참조)을 만드는 경우 빈 플레이북을 선택한 다음 아래의 Logic Apps 표준 탭의 단계를 따릅니다.

    2. 사용량 플레이북(원래의 클래식 종류)을 만드는 경우 사용하려는 트리거에 따라 인시던트 트리거가 있는 플레이북, 경고 트리거가 있는 플레이북 또는 엔터티 트리거가 있는 플레이북을 선택합니다. 그런 다음, 아래 Logic Apps 사용량 탭의 단계를 계속 수행합니다.

      사용할 트리거에 대한 자세한 내용은 Microsoft Sentinel 플레이북에서 트리거 및 작업 사용을 참조 하세요.

플레이북 및 논리 앱 준비

이전 단계에서 플레이북을 만들도록 선택한 트리거에 관계없이 플레이북 만들기 마법사가 나타납니다.

Create a logic app

  1. 기본 사항 탭에서 다음을 수행합니다.

    1. 해당 드롭다운 목록에서 선택한 구독, 리소스 그룹지역을 선택합니다. 선택한 지역은 논리 앱 정보가 저장되는 위치입니다.

    2. 플레이북 이름 아래에 플레이북의 이름을 입력합니다.

    3. 진단 목적으로 이 플레이북의 작업을 모니터링하려는 경우 Log Analytics의 진단 로그 사용 확인란을 선택하고 드롭다운 목록에서 Log Analytics 작업 영역을 선택합니다.

    4. 플레이북이 Azure 가상 네트워크 내부에 있거나 연결된 보호된 리소스에 액세스해야 하는 경우 ISE(통합 서비스 환경)를 사용해야 할 수 있습니다. 그렇다면 통합 서비스 환경과 연결 확인란을 선택하고 드롭다운 목록에서 원하는 ISE를 선택합니다.

    5. 다음: 연결 >을 선택합니다.

  2. 연결 탭에서 다음을 수행합니다.

    관리 ID를 사용하여 Microsoft Sentinel에 연결하도록 Logic Apps를 구성하는 이 섹션을 있는 그대로 두는 것이 좋습니다. 이 방법 및 기타 인증 대안에 대해 알아봅니다.

    다음: 검토 및 만들기>를 선택합니다.

  3. 검토 및 만들기 탭에서 다음을 수행합니다.

    선택한 구성을 검토하고 만들기 및 디자이너로 계속 진행을 선택합니다.

  4. 플레이북을 만들고 배포하는 데 몇 분 정도 걸리며, 그 후에는 "배포가 완료되었습니다"라는 메시지가 표시되고 새 플레이북의 논리 앱 디자이너로 이동됩니다. 처음에 선택한 트리거가 자동으로 첫 번째 단계로 추가되며, 여기에서 워크플로를 계속 디자인할 수 있습니다.

    Screenshot of logic app designer screen with opening trigger.

    Microsoft Sentinel 엔터티(미리 보기) 트리거를 선택한 경우 이 플레이북을 입력으로 받을 엔터티 유형을 선택합니다.

    Screenshot of drop-down list of entity types to choose from to set playbook schema.

작업 추가

이제 플레이북을 호출할 때 발생하는 작업을 정의할 수 있습니다. 새 단계를 선택하여 작업, 논리 조건, 루프 또는 전환 사례 조건을 추가할 수 있습니다. 새 단계를 선택하면 디자이너에서 새 프레임이 열리는데, 여기서 상호 작용할 시스템 또는 애플리케이션을 선택하거나 설정할 조건을 선택할 수 있습니다. 프레임 맨 위에 있는 검색 창에 시스템 또는 애플리케이션의 이름을 입력한 다음 사용 가능한 결과 중에서 선택합니다.

이러한 모든 단계에서 필드를 클릭하면 동적 콘텐츠이라는 두 개의 메뉴가 있는 패널이 표시됩니다. 동적 콘텐츠 메뉴에서 경고 또는 사건에 포함된 모든 매핑된 항목사용자 지정 세부 정보의 값과 속성을 포함하여 플레이북에 전달된 경고 또는 사건의 속성에 대한 참조를 추가할 수 있습니다. 메뉴에서 함수의 큰 라이브러리 중에서 선택하여 단계에 논리를 추가할 수 있습니다.

이 스크린샷은 이 문서의 시작 부분에 나오는 예제에서 설명한 플레이북을 만들 때 추가할 작업과 조건을 보여줍니다. 플레이북에 작업을 추가하는 방법에 대해 자세히 알아봅니다.

Screenshot showing the Logic App designer with an incident trigger workflow.

다양한 용도로 플레이북에 추가할 수 있는 작업에 대한 자세한 내용은 Microsoft Sentinel 플레이북의 트리거 및 작업 사용을 참조하세요.

특히 인시던트가 아닌 컨텍스트의 엔터티 트리거를 기반으로 하는 플레이북에 대한 중요한 정보를 확인합니다.

위협 대응 자동화

플레이북을 만들고 트리거를 정의하고, 조건을 설정하고, 수행할 작업과 생성할 출력을 규정했습니다. 이제 플레이북이 실행되는 조건을 결정하고 해당 조건이 충족될 때 실행할 자동화 메커니즘을 설정해야 합니다.

인시던트 및 경고에 대응

플레이북을 사용하여 전체 인던트 또는 개별 경고자동으로 응답하려면 인시던트가 생성되거나 업데이트되거나 경고가 생성될 때 실행되는 자동화 규칙을 만듭니다. 이 자동화 규칙에는 사용하려는 플레이북을 호출하는 단계가 포함됩니다.

자동화 규칙을 만들려면 다음을 수행합니다.

  1. Microsoft Sentinel 탐색 메뉴의 Automation 블레이드에서 위쪽 메뉴에서 만들기를 선택한 다음 Automation 규칙을 선택합니다.

    Screenshot showing how to add a new automation rule.

  2. 새 자동화 규칙 만들기 패널이 열립니다. 규칙의 이름을 입력합니다.

    Screenshot showing the automation rule creation wizard.

  3. 트리거: 자동화 규칙을 만드는 상황에 따라 적절한 트리거를 선택합니다. 인시던트가 생성되는 경우, 인시던트가 업데이트되는 경우 또는 경고가 생성되는 경우.

  4. 조건:

    1. 인시던트에는 두 가지 가능한 원본이 있을 수 있습니다. 즉, Microsoft Sentinel 내에서 만들 수 있으며 Microsoft Defender XDR에서 가져오고 동기화할 수도 있습니다.

      인시던트 트리거 중 하나를 선택한 경우 자동화 규칙이 Microsoft Sentinel에서 발생한 인시던트 또는 Microsoft Defender XDR에서 발생한 인시던트에만 적용되도록 하려면 인시던트 공급자가 조건과 같은 경우 원본 을 지정합니다 . 인시던트 트리거를 선택한 경우에만 이 조건이 표시됩니다.

    2. 모든 트리거 형식에 대해 자동화 규칙이 특정 분석 규칙에만 적용되도록 하려면 조건이 포함된 If Analytics 규칙 이름을 수정하여 지정합니다 .

    3. 이 자동화 규칙이 실행될지 여부를 확인하려는 다른 조건을 추가합니다. 드롭다운 목록에서 + 추가를 선택하고 조건 또는 조건 그룹을 선택합니다. 조건 목록은 경고 세부 정보 및 엔터티 식별자 필드로 채워집니다.

  5. 작업:

    1. 이 자동화 규칙을 사용하여 플레이북을 실행하므로 드롭다운 목록에서 플레이북 실행 작업을 선택합니다. 그런 다음 사용 가능한 플레이북을 보여 주는 두 번째 드롭다운 목록에서 선택하라는 메시지가 표시됩니다. 자동화 규칙은 규칙에 정의된 트리거와 동일한 트리거(인시던트 또는 경고)로 시작하는 플레이북만 실행할 수 있으므로 해당 플레이북만 목록에 표시됩니다.

      Important

      수동으로 또는 자동화 규칙에서 플레이북을 실행하려면 Microsoft Sentinel에 명시적 권한이 부여되어야 합니다. 플레이북이 드롭다운 목록에 "회색으로 표시됨"으로 표시되면 Sentinel에 해당 플레이북의 리소스 그룹에 대한 권한이 없음을 의미합니다. 권한을 할당하려면 플레이북 권한 관리 링크를 클릭합니다.

      열리는 권한 관리 패널에서 실행하려는 플레이북이 포함된 리소스 그룹의 검사 상자를 표시하고 적용을 클릭합니다.

      Screenshot that shows the actions section with run playbook selected.

      • 권한을 Microsoft Sentinel에 부여하려는 리소스 그룹에 대한 소유자 권한을 본인이 갖고 있어야 하며, 실행하려는 플레이북이 포함된 리소스 그룹에 대한 논리 앱 기여자 역할을 본인이 갖고 있어야 합니다.

      • 다중 테넌트 배포에서 실행하려는 플레이북이 다른 테넌트에 있는 경우 플레이북의 테넌트에서 플레이북을 실행할 수 있는 권한을 Microsoft Sentinel에 부여해야 합니다.

        1. 플레이북 테넌트의 Microsoft Sentinel 탐색 메뉴에서 설정을 선택합니다.
        2. 설정 블레이드에서 설정 탭을 선택한 다음 플레이북 사용 권한 확장기를 선택합니다.
        3. 권한 구성 단추를 클릭하여 위에 멘션 권한 관리 패널을 열고 설명된 대로 계속합니다.
      • MSSP 시나리오에서 서비스 공급자 테넌트에 로그인하는 동안 생성된 자동화 규칙에서 고객 테넌트에서 플레이북을 실행하려면 두 테넌트 모두에서 플레이북을 실행할 수 있는 Microsoft Sentinel 권한을 부여해야 합니다. 고객 테넌트에서 이전 글머리 기호 지점의 다중 테넌트 배포에 대한 지침을 따릅니다. 서비스 공급자 테넌트에서 Azure Lighthouse 온보딩 템플릿에 Azure Security Insights 앱을 추가해야 합니다.

        1. Azure Portal에서 Microsoft Entra ID이동합니다.
        2. 엔터프라이즈 애플리케이션을 클릭합니다.
        3. 애플리케이션 유형을 선택하고 Microsoft 애플리케이션에서 필터링합니다.
        4. 검색 상자에 Azure Security Insights를 입력합니다.
        5. 개체 ID 필드를 복사합니다. 기존 Azure Lighthouse 위임에 이 추가 권한 부여를 추가해야 합니다.

        Microsoft Sentinel Automation 기여자 역할에는 고정 GUID(f4c81013-99ee-4d62-a7ee-b3f1f648599a)가 있습니다. 샘플 Azure Lighthouse 권한 부여는 매개 변수 템플릿에서 다음과 같습니다.

        {
             "principalId": "<Enter the Azure Security Insights app Object ID>", 
             "roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
             "principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
        }
        
    2. 이 규칙에 대해 원하는 다른 작업을 추가합니다. 작업의 오른쪽에 있는 위쪽 또는 아래쪽 화살표를 선택하여 작업 실행 순서를 변경할 수 있습니다.

  6. 원한다면 자동화 규칙의 만료 날짜를 설정합니다.

  7. 자동화 규칙 시퀀스에서 이 규칙이 실행될 위치를 결정하는 숫자를 순서에 입력합니다.

  8. 적용을 클릭합니다. 작업을 완료했습니다.

자동화 규칙을 만드는 다른 방법을 검색합니다.

경고에 응답 - 레거시 방법

경고에 대한 응답으로 플레이북을 자동으로 실행하는 또 다른 방법은 분석 규칙에서 호출하는 것입니다. 규칙이 경고를 생성하면 플레이북이 실행됩니다.

이 메서드는 2026년 3월부터 더 이상 사용되지 않습니다.

2023년 6월부터는 더 이상 이러한 방식으로 분석 규칙에 플레이북을 추가할 수 없습니다. 그러나 분석 규칙에서 호출된 기존 플레이북을 계속 볼 수 있으며, 이러한 플레이북은 2026년 3월까지 계속 실행됩니다. 그 전에 이러한 플레이북을 호출하는 자동화 규칙을 만드는 것이 좋습니다.

온디맨드로 플레이북 실행

경고, 인시던트(미리 보기) 또는 엔터티(미리 보기)에 대한 응답으로 필요에 따라 플레이북을 수동으로 실행할 수도 있습니다. 이는 오케스트레이션 및 응답 프로세스에 대한 더 많은 인력 투입과 제어를 원하는 상황에서 유용할 수 있습니다.

경고에서 수동으로 플레이북 실행

  1. 인시던트 페이지에서 인시던트를 선택합니다.

  2. 인시던트 세부 정보 창 하단에서 전체 세부 정보 보기를 선택합니다.

  3. 인시던트 세부 정보 페이지의 인시던트 타임라인 위젯에서 플레이북을 실행하려는 경고를 선택합니다. 경고 줄 끝에 있는 세 개의 점을 선택하고 팝업 메뉴에서 플레이북 실행을 선택합니다.

    Screenshot of running a playbook on an alert on-demand.

  4. 경고 플레이북 창이 열립니다. 액세스 권한이 있는 Microsoft Sentinel 경고 Logic Apps 트리거로 구성된 모든 플레이북 목록이 표시됩니다.

  5. 특정 플레이북의 줄에서 실행을 선택하여 즉시 실행합니다.

경고 플레이북 창에서 실행 탭을 선택하면 경고에서 플레이북의 실행 기록을 볼 수 있습니다. 완료된 모든 실행이 이 목록에 표시되는 데 몇 초 정도 걸릴 수 있습니다. 특정 실행을 선택하면 Logic Apps에서 전체 실행 로그가 열립니다.

인시던트에서 플레이북을 수동으로 실행(미리 보기)

  1. 인시던트 페이지에서 인시던트를 선택합니다.

  2. 오른쪽에 표시되는 인시던트 세부 정보 창에서 작업 > 플레이북 실행(미리 보기)을 선택합니다.
    (그리드에서 인시던트 줄 끝에 있는 세 개의 점을 선택하거나 인시던트를 마우스 오른쪽 단추로 클릭하면 작업 단추와 동일한 목록이 표시됩니다.)

  3. 인시던트 발생 시 플레이북 실행 패널이 오른쪽에 열립니다. 액세스 권한이 있는 Microsoft Sentinel 인시던트 Logic Apps 트리거로 구성된 모든 플레이북 목록이 표시됩니다.

    참고 항목

    실행하려는 플레이북이 목록에 없으면 Microsoft Sentinel에 해당 리소스 그룹의 플레이북을 실행할 권한이 없다는 의미입니다(위의 참고 사항 참조). 이러한 권한을 부여하려면 기본 메뉴에서 설정을 선택하고 설정 탭을 선택하고 플레이북 권한 확장기를 확장한 다음 권한 구성을 선택합니다. 열리는 권한 관리 패널에서, 실행하려는 플레이북이 포함된 리소스 그룹의 확인란을 선택하고 적용을 선택합니다.

  4. 특정 플레이북의 줄에서 실행을 선택하여 즉시 실행합니다.

인시던트에 대한 플레이북 실행 패널에서 실행 탭을 선택하면 인시던트에 대한 플레이북의 실행 기록을 볼 수 있습니다. 완료된 모든 실행이 이 목록에 표시되는 데 몇 초 정도 걸릴 수 있습니다. 특정 실행을 선택하면 Logic Apps에서 전체 실행 로그가 열립니다.

엔터티에서 수동으로 플레이북 실행(미리 보기)

  1. 원래 컨텍스트에 따라 다음 방법 중 하나로 엔터티를 선택합니다.

    인시던트의 세부 정보 페이지(새 버전)에 있는 경우:

    1. 개요 탭의 엔터티 위젯에서 목록에서 엔터티를 찾습니다(선택하지 않음 ).
    2. 엔터티 오른쪽에 있는 세 개의 점을 선택합니다.
    3. 팝업 메뉴에서 플레이북 실행(미리 보기)을 선택하고 아래의 2단계를 계속 진행합니다.
      엔터티를 선택하고 인시던트 세부 정보 페이지의 엔터티 탭을 입력한 경우 아래 줄로 계속 진행합니다.
    4. 목록에서 엔터티를 찾습니다(선택하지 않음).
    5. 엔터티 오른쪽에 있는 세 개의 점을 선택합니다.
    6. 팝업 메뉴에서 플레이북 실행(미리 보기)을 선택합니다.
      엔터티를 선택하고 엔터티 페이지를 입력한 경우 왼쪽 패널에서 플레이북 실행(미리 보기) 단추를 선택합니다.

    인시던트의 세부 정보 페이지(레거시 버전)에 있는 경우:

    1. 인시던트의 엔터티 탭을 선택합니다.
    2. 목록에서 엔터티를 찾습니다(선택하지 않음).
    3. 목록의 줄 끝에 있는 실행 플레이북(미리 보기) 링크를 선택합니다.
      엔터티를 선택하고 엔터티 페이지를 입력한 경우 왼쪽 패널에서 플레이북 실행(미리 보기) 단추를 선택합니다.

    조사 그래프에 있는 경우:

    1. 그래프에서 엔터티를 선택합니다.
    2. 엔터티 쪽 패널에서 플레이북 실행(미리 보기) 단추를 선택합니다.
      일부 엔터티 형식의 경우 엔터티 작업 단추를 선택하고 결과 메뉴에서 플레이북 실행(미리 보기)을 선택해야 할 수 있습니다.

    위협을 사전에 헌팅하는 경우:

    1. 엔터티 동작 화면에서 페이지의 목록에서 엔터티를 선택하거나 다른 엔터티를 검색하여 선택합니다.
    2. 엔터티 페이지의 왼쪽 패널에서 플레이북 실행(미리 보기) 단추를 선택합니다.
  2. 컨텍스트에 관계없이 위의 지침은 모두 엔터티 형식> 패널에서 <실행 플레이북을 엽니다. 선택한 엔터티 유형에 대한 Microsoft Sentinel Entity Logic Apps 트리거를 사용하여 구성된 액세스 권한이 있는 모든 플레이북 목록이 표시됩니다.

  3. 특정 플레이북의 줄에서 실행을 선택하여 즉시 실행합니다.

엔터티 유형> 패널의 실행 플레이북에서 실행 탭을 선택하여 지정된 엔터티에서 플레이북의 <실행 기록을 볼 수 있습니다. 완료된 모든 실행이 이 목록에 표시되는 데 몇 초 정도 걸릴 수 있습니다. 특정 실행을 선택하면 Logic Apps에서 전체 실행 로그가 열립니다.

다음 단계

이 자습서에서는 Microsoft Sentinel에서 플레이북과 자동화 규칙을 사용하여 위협에 대응하는 방법을 알아보았습니다.