Microsoft Sentinel의 SOAR(보안 오케스트레이션, 자동화, 대응)
이 문서에서는 Microsoft Sentinel의 SOAR(보안 오케스트레이션, 자동화, 대응) 기능에 대해 설명하고, 보안 위협에 대응하여 자동화 규칙과 플레이북을 사용하면 어떻게 SOC의 효율성이 증가하고 시간과 리소스가 절약되는지를 보여 줍니다.
Important
Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼의 공개 미리 보기의 일부로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.
SOAR 솔루션인 Microsoft Sentinel
문제
일반적으로 SIEM/SOC 팀은 가용 직원을 압도할 만큼 아주 많은 양의 보안 경고 및 인시던트를 정기적으로 받습니다. 그 결과 수많은 경고를 무시하고 많은 인시던트를 미처 조사할 수 없게 되어 조직이 파악하지 못한 공격에 취약한 상태로 노출됩니다.
솔루션
Microsoft Sentinel은 SIEM(보안 정보 및 이벤트 관리) 시스템일 뿐만 아니라 SOAR(보안 오케스트레이션, 자동화, 대응)용 플랫폼입니다. 주요 목적 중 하나는 보안 운영 센터 및 직원(SOC/SecOps)이 수행해야 하는 모든 반복 및 예측 가능한 보강, 대응, 수정 작업을 자동화하여 고급 위협에 대한 심층 조사 및 헌팅을 위한 시간과 리소스를 확보하는 것입니다. 자동화는 인시던트 처리 및 대응의 자동화를 중앙에서 관리하는 자동화 규칙부터 미리 결정된 작업(action) 시퀀스를 실행하여 위협 대응 작업(task)에 강력하고 유연한 고급 자동화를 제공하는 플레이북에 이르기까지 Microsoft Sentinel에서 몇 가지 형태로 나타납니다.
자동화 규칙
자동화 규칙을 통해 사용자는 인시던트 처리의 자동화를 중앙에서 관리할 수 있습니다. 자동화 규칙은 플레이북을 인시던트 및 경고에 할당하도록 해주는 것 이외에도 여러 분석 규칙을 위한 응답을 한 번에 자동화하고, 플레이북 없이 자동으로 인시던트에 대한 태그 지정, 할당 또는 종료를 수행하고, 분석가가 인시던트를 심사, 조사 및 수정할 때 수행할 작업 목록을 만들고, 실행되는 작업의 순서를 제어할 수 있도록 해줍니다. 또한 자동화 규칙을 사용하면 인시던트가 업데이트될 때 및 만들어질 때 자동화를 적용할 수 있습니다. 이 새로운 기능은 Microsoft Sentinel에서 자동화 사용을 더욱 단순화하고 인시던트 오케스트레이션 프로세스를 위한 복잡한 워크플로를 단순화할 수 있도록 합니다.
이러한 자동화 규칙에 대한 전체 설명을 통해 자세히 알아보세요.
플레이북
플레이북은 Microsoft Sentinel에서 루틴으로 실행할 수 있는 대응 및 수정 작업과 논리의 컬렉션입니다. 플레이북은 위협 대응을 자동화하고 오케스트레이션하는 데 도움이 될 수 있습니다. 다른 시스템 내부 및 외부와 모두 통합할 수 있고, 각각 분석 규칙 또는 자동화 규칙에 따라 트리거되는 경우 특정 경고나 인시던트에 대응하여 플레이북을 자동으로 실행하도록 설정할 수 있습니다. 인시던트 페이지에서 경고에 대응하여 요청 시 수동으로 실행할 수도 있습니다.
Microsoft Sentinel의 플레이북은 엔터프라이즈 전체 시스템의 작업 및 워크플로를 예약, 자동화, 오케스트레이션하는 데 도움이 되는 클라우드 서비스인 Azure Logic Apps에서 빌드된 워크플로를 기반으로 합니다. 즉, 플레이북은 Logic Apps의 통합 및 오케스트레이션 기능과 사용하기 쉬운 디자인 도구, 계층 1 Azure 서비스의 스케일링 성능, 안정성, 서비스 수준을 모두 활용하고 사용자 지정할 수 있습니다.
이러한 플레이북에 대한 전체 설명을 통해 자세히 알아보세요.
통합 보안 운영 플랫폼을 사용하는 자동화
Microsoft Sentinel 작업 영역을 통합 보안 운영 플랫폼에 온보딩한 후 작업 영역에서 자동화가 작동하는 방식에서 다음과 같은 차이점을 확인합니다.
| 기능 | 설명 |
|---|---|
| 경고 트리거가 있는 자동화 규칙 | 통합 보안 운영 플랫폼에서 경고 트리거가 있는 자동화 규칙은 Microsoft Sentinel 경고에서만 작동합니다. 자세한 내용은 트리거 만들기 경고를 참조하세요. |
| 인시던트 트리거를 사용하는 자동화 규칙 | Azure Portal과 통합 보안 운영 플랫폼 모두에서 모든 인시던트에는 인시던트 공급자(ProviderName 필드의 값)가 Microsoft Defender XDR이므로 인시던트 공급자 조건 속성이 제거됩니다. 이 때, 기존의 자동화 규칙은 인시던트 공급자 조건이 Microsoft Sentinel과 Microsoft 365 Defender 중 하나에만 설정된 규칙을 포함하여 모두 Microsoft Sentinel 인시던트와 Microsoft Defender XDR 인시던트 양쪽에서 실행됩니다. 단, 지정된 분석 규칙 이름을 지정하는 자동화 규칙은 지정된 분석 규칙을 통해 만들어진 인시던트에서만 실행됩니다. 이는 분석 규칙 이름 조건 속성을 Microsoft Sentinel에만 존재하는 분석 규칙으로 정의하여 Microsoft Sentinel에서만 규칙이 인시던트에서 실행되도록 제한할 수 있다는 의미입니다. 자세한 내용은 인시던트 트리거 조건을 참조하세요. |
| 기존 인시던트 이름 변경 | 통합 SOC 운영 플랫폼에서 Defender 포털은 고유한 엔진을 사용하여 인시던트와 경고의 상관 관계를 지정합니다. 통합 SOC 운영 플랫폼에 작업 영역을 온보딩할 때 상관 관계가 적용되면 기존 인시던트 이름이 변경될 수 있습니다. 따라서 자동화 규칙이 항상 올바르게 실행되도록 하려면 자동화 규칙에 인시던트 제목을 사용하지 말고 대신 태그 사용을 제안하는 것이 좋습니다. |
| 업데이트 기준 필드 | 자세한 내용은 인시던트 업데이트 트리거를 참조하세요. |
| 인시던트 작업을 추가하는 자동화 규칙 | 자동화 규칙이 인시던트 작업을 추가하는 경우 해당 작업은 Azure Portal에만 표시됩니다. |
| Microsoft 인시던트 만들기 규칙 | Microsoft 인시던트 생성 규칙은 통합 보안 운영 플랫폼에서 지원되지 않습니다. 자세한 내용은 Microsoft Defender XDR 인시던트와 Microsoft 인시던트 만들기 규칙을 참조합니다. |
| Defender 포털에서 자동화 규칙 실행 | 경고가 트리거되고 Defender 포털에서 인시던트가 만들어지거나 업데이트된 후 자동화 규칙이 실행될 때까지 최대 10분이 걸릴 수 있습니다. 이러한 시간 지연은 인시던트가 Defender 포털에서 만들어진 다음 자동화 규칙을 위해 Microsoft Sentinel로 전달되기 때문입니다. |
| 활성 플레이북 탭 | 통합 보안 운영 플랫폼에 온보딩한 다음에는 활성 플레이북 탭에 온보딩된 작업 영역의 구독이 있는 미리 정의된 필터가 기본적으로 표시됩니다. 구독 필터를 사용하여 다른 구독 관련 데이터를 추가합니다. 자세한 내용은 콘텐츠 템플릿에서 Microsoft Sentinel 플레이북 만들기 및 사용자 지정을 참조하세요. |
| 요청 시 수동으로 플레이북 실행 | 다음 절차는 현재 통합 보안 운영 플랫폼에서 지원되지 않습니다. |
| 인시던트에 대한 플레이북을 실행하려면 Microsoft Sentinel 동기화가 필요합니다. | 통합 보안 운영 플랫폼에서 인시던트에 대한 플레이북을 실행하려고 하면 이 작업과 관련된 데이터에 액세스할 수 없습니다. 몇 분 후에 화면을 새로 고칩니다." 메시지를 확인하세요. 이는 해당 인시던트가 아직 Microsoft Sentinel과 동기화되지 않았음을 의미합니다. 플레이북을 성공적으로 실행하려면 인시던트가 동기화된 후 인시던트 페이지를 새로 고칩니다. |
다음 단계
이 문서에서는 SOC가 보다 효과적이고 효율적으로 작동할 수 있도록 Microsoft Sentinel에서 자동화를 사용하는 방법을 알아보았습니다.
- 인시던트 처리 자동화에 대한 자세한 내용은 Microsoft Sentinel에서 인시던트 처리 자동화를 참조하세요.
- 고급 자동화 옵션에 대한 자세한 내용은 Microsoft Sentinel에서 플레이북을 사용하여 위협 대응 자동화를 참조하세요.
- 자동화 규칙 만들기를 시작하려면 Microsoft Sentinel 자동화 규칙 만들기 및 사용하여 인시던트 관리를 참조하세요.
- 플레이북으로 고급 자동화 구현에 대한 도움말은 자습서: 플레이북을 사용하여 Microsoft Sentinel에서 위협 대응 자동화를 참조하세요.