다음을 통해 공유


Microsoft Sentinel의 플레이북으로 위협 대응 자동화

SOC 분석가는 수많은 보안 경고 및 인시던트를 처리하며 엄청난 양으로 인해 팀이 감당하기 어려울 수 있으며 이로 인해 경고가 무시되고 조사되지 않은 인시던트가 발생할 수 있습니다. 많은 경고와 인시던트는 동일한 미리 정의된 수정 작업 집합으로 처리될 수 있으며, 이를 자동화하여 SOC를 보다 효율적으로 만들고 분석가가 더 심층적인 조사에 집중할 수 있도록 할 수 있습니다.

Microsoft Sentinel 플레이북을 사용하여 미리 구성된 수정 작업 집합을 실행하면 위협 대응을 자동화하고 오케스트레이션할 수 있습니다. 구성된 자동화 규칙을 트리거하는 특정 경고 및 인시던트에 대응하여 플레이북을 자동으로 실행하거나, 특정 엔터티 또는 경고에 대해 수동으로 주문형으로 실행합니다.

예를 들어 계정과 머신이 손상된 경우 플레이북은 SOC 팀이 인시던트 알림을 받을 때까지 네트워크에서 머신을 자동으로 격리하고 계정을 차단할 수 있습니다.

참고 항목

플레이북은 Azure Logic Apps를 사용하기 때문에 추가 요금이 부과될 수 있습니다. 자세한 내용은 Azure Logic Apps 가격 책정 페이지를 방문하세요.

Important

Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼의 일부로 사용할 수 있습니다. 이제 Defender 포털의 Microsoft Sentinel이 프로덕션용으로 지원됩니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

다음 표에는 Microsoft Sentinel 플레이북을 사용하여 위협 대응을 자동화하는 것이 권장되는 대략적인 사용 사례가 나열되어 있습니다.

사용 사례 설명
보강 팀에서 더 현명한 결정을 내릴 수 있도록 데이터를 수집하고 인시던트에 첨부합니다.
양방향 동기화 Microsoft Sentinel 인시던트를 다른 티켓팅 시스템과 동기화합니다. 예를 들어, 모든 인시던트 만들기에 대한 자동화 규칙을 만들고 ServiceNow에서 티켓을 여는 플레이북을 첨부합니다.
오케스트레이션 SOC 팀의 채팅 플랫폼을 사용하여 인시던트 큐를 더 효과적으로 제어합니다. 예를 들어, Microsoft Teams 또는 Slack의 보안 운영 채널로 메시지를 전송하여 보안 분석가가 이 인시던트를 알게 합니다.
Response 손상된 사용자 또는 컴퓨터가 표시되는 경우와 같이 인간의 의존성을 최소화하면서 위협에 즉시 대응합니다. 또는 조사 또는 헌팅 중에 일련의 자동화된 단계를 수동으로 트리거할 수도 있습니다.

자세한 내용은 권장 플레이북 사용 사례, 템플릿 및 예를 참조하세요.

필수 조건

Azure Logic Apps를 사용하여 Microsoft Sentinel에서 플레이북을 만들고 실행하려면 다음 역할이 필요합니다.

역할 설명
담당자 리소스 그룹의 플레이북에 대한 액세스 권한을 부여할 수 있습니다.
논리 앱 기여자 논리 앱을 관리하고 플레이북을 실행할 수 있습니다. 플레이북에 대한 액세스 권한을 부여할 수 없습니다.
논리 앱 운영자 논리 앱을 읽고, 설정하고, 해제할 수 있습니다. 논리 앱을 편집하거나 업데이트할 수 없습니다.
Microsoft Sentinel 기여자 분석 또는 자동화 규칙에 플레이북을 연결할 수 있습니다.
Microsoft Sentinel 응답자 플레이북을 수동으로 실행하기 위해 인시던트에 액세스할 수 있지만 플레이북을 실행할 수는 없습니다.
Microsoft Sentinel 플레이북 운영자 플레이북을 수동으로 실행할 수 있습니다.
Microsoft Sentinel 자동화 기여자 자동화 규칙이 플레이북을 실행하도록 허용합니다. 이 역할은 다른 목적으로 사용되지 않습니다.

자동화 페이지의 활성 플레이북 탭에는 선택한 구독에서 사용할 수 있는 모든 활성 플레이북이 표시됩니다. 기본적으로 플레이북의 리소스 그룹에 Microsoft Sentinel 권한을 특별히 부여하지 않는 한, 플레이북은 자신이 속한 구독 내에서만 사용할 수 있습니다.

Microsoft Sentinel이 플레이북을 실행하려면 추가 권한 필요

Microsoft Sentinel은 서비스 계정을 사용하여 인시던트에 대한 플레이북을 실행하고 보안을 추가하며 자동화 규칙 API를 사용하도록 설정하여 CI/CD 사용 사례를 지원합니다. 이 서비스 계정은 인시던트로 인해 트리거된 플레이북에 사용되거나 특정 인시던트에 대해 수동으로 플레이북을 실행할 때 사용됩니다.

사용자 고유의 역할 및 권한 외에도 이 Microsoft Sentinel 서비스 계정에는 플레이북이 있는 리소스 그룹에 대한 자체 권한 집합(Microsoft Sentinel 자동화 기여자 역할)가 있어야 합니다. Microsoft Sentinel이 이 역할을 갖게 되면 수동으로 또는 자동화 규칙을 통해 관련 리소스 그룹의 모든 플레이북을 실행할 수 있습니다.

Microsoft Sentinel에 필요한 권한을 부여하려면 소유자 또는 사용자 액세스 관리자 역할이 있어야 합니다. 플레이북을 실행하려면 실행하려는 플레이북이 포함된 리소스 그룹에 대한 Logic Apps 기여자 역할도 필요합니다.

플레이북 템플릿(미리 보기)

Important

플레이북 템플릿은 현재 미리 보기로 제공됩니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

플레이북 템플릿은 플레이북 자체로는 사용할 수 없지만 요구 사항에 맞게 사용자 지정할 수 있도록 미리 빌드되고 테스트되어 즉시 사용 가능한 워크플로입니다. 또한 처음부터 플레이북을 개발할 때 플레이북 템플릿을 모범 사례에 대한 참조로 사용하거나 새로운 자동화 시나리오에 대한 영감을 위해 사용하는 것이 좋습니다.

다음 원본에서 플레이북 템플릿에 액세스합니다.

위치 설명
Microsoft Sentinel 자동화 페이지 플레이북 템플릿 탭에는 설치된 모든 플레이북이 나열됩니다. 동일한 템플릿을 사용하여 하나 이상의 활성 플레이북을 만듭니다.

템플릿의 새 버전을 게시하면 해당 템플릿에서 만들어진 모든 활성 플레이북의 활성 플레이북 탭에 추가 레이블이 추가되어 업데이트를 사용할 수 있음을 나타냅니다.
Microsoft Sentinel 콘텐츠 허브 페이지 플레이북 템플릿은 제품 솔루션의 일부로 사용 가능하거나 콘텐츠 허브에서 설치된 독립형 콘텐츠로 사용할 수 있습니다.

자세한 내용은 다음을 참조하세요.
Microsoft Sentinel 콘텐츠 및 솔루션 정보
기본적으로 제공되는 Microsoft Sentinel 콘텐츠 발견 및 관리
GitHub Microsoft Sentinel GitHub 리포지토리에는 다른 많은 플레이북 템플릿이 포함되어 있습니다. Azure 구독에 템플릿을 배포하려면 Azure에 배포를 선택합니다.

기술적으로, 플레이북 템플릿은 관련된 각 연결에 대한 Azure Logic Apps 워크플로 및 API 연결과 같은 여러 리소스로 구성된 ARM(Azure Resource Manager) 템플릿입니다.

자세한 내용은 다음을 참조하세요.

플레이북 만들기 및 사용 워크플로

Microsoft Sentinel 플레이북을 만들고 실행하려면 다음 워크플로를 사용합니다.

  1. 자동화 시나리오를 정의합니다. 시작하려면 권장 플레이북 사용 사례플레이북 템플릿을 검토하는 것이 좋습니다.

  2. 템플릿을 사용하지 않는 경우 플레이북을 만들고 논리 앱을 빌드합니다. 자세한 내용은 Microsoft Sentinel 플레이북 만들기 및 관리를 참조하세요.

    논리 앱을 수동으로 실행하여 테스트합니다. 자세한 내용은 요청 시 수동으로 플레이북 실행을 참조하세요.

  3. 새 경고 또는 인시던트 만들 때 자동으로 실행되도록 플레이북을 구성하거나 프로세스에 필요한 경우 수동으로 실행합니다. 자세한 내용은 Microsoft Sentinel 플레이북을 사용하여 위협에 대응을 참조하세요.