Microsoft Sentinel에 플레이북 인증
Microsoft Sentinel 플레이북은 엔터프라이즈 전체 시스템의 작업 및 워크플로를 예약, 자동화, 오케스트레이션하는 데 도움이 되는 클라우드 서비스인 Azure Logic Apps에서 빌드된 워크플로를 기반으로 합니다.
Azure Logic Apps는 Microsoft Sentinel 자체를 포함하여 상호 작용하는 각 형식의 각 리소스에 별도로 연결하고 독립적으로 인증해야 합니다. Logic Apps는 이 용도로 특수 커넥터를 사용하며, 각 리소스 종류에는 고유한 커넥터가 있습니다.
이 문서에서는 Logic Apps Microsoft Sentinel 커넥터에 지원되는 연결 및 인증 형식에 대해 설명합니다. 플레이북은 지원되는 인증 방법을 사용하여 Microsoft Sentinel과 상호 작용하고 Microsoft Sentinel 데이터에 액세스할 수 있습니다.
필수 조건
이 문서를 읽기 전에 다음 문서를 읽어 보는 것이 좋습니다.
- Microsoft Sentinel 플레이북으로 위협 대응 자동화
- Microsoft Sentinel 플레이북 만들기 및 관리
- Microsoft Sentinel용 Azure Logic Apps 플레이북
- Microsoft Sentinel 플레이북에서 지원되는 트리거 및 작업
Microsoft Sentinel 작업 영역 등의 다른 리소스에 대한 액세스 권한을 관리 ID에 부여하려면 로그인한 사용자에게 역할 할당을 작성할 수 있는 권한이 있는 역할(예: Microsoft Sentinel 작업 영역의 소유자 또는 사용자 액세스 관리자)이 있어야 합니다.
인증
Logic Apps의 Microsoft Sentinel 커넥터와 해당 구성 요소 트리거 및 작업은 관련 작업 영역에서 필요한 권한(읽기 및/또는 쓰기)이 있는 ID를 대신하여 작동할 수 있습니다. 커넥터는 다양한 ID 유형을 지원합니다.
- 관리 ID(미리 보기). 예를 들어, 이 방법을 사용하면 관리해야 하는 ID 수를 줄일 수 있습니다.
- 서비스 주체(Microsoft Entra 애플리케이션). 등록된 애플리케이션은 권한을 제어하고, 자격 증명을 관리하고, 커넥터 사용에 대한 특정 제한 사항을 사용하도록 설정하는 향상된 기능을 제공합니다.
- Microsoft Entra 사용자
필수 사용 권한
인증 방법에 관계없이 Microsoft Sentinel 커넥터의 다양한 구성 요소를 사용하려면 인증된 ID에 다음 권한이 필요합니다. "쓰기" 작업에는 인시던트 업데이트, 주석 추가 등의 작업이 포함됩니다.
Roles | 트리거 사용 | "읽기" 작업 사용 | "쓰기" 작업 사용 |
---|---|---|---|
Microsoft Sentinel 읽기 권한자 | ✓ | ✓ | - |
Microsoft Sentinel 응답자/기여자 | ✓ | ✓ | ✓ |
자세한 내용은 Microsoft Sentinel의 역할 및 권한 및 Microsoft Sentinel 플레이북 필수 조건을 참조하세요.
관리 ID로 인증
관리 ID로 인증하면 논리 앱 워크플로 리소스인 플레이북에 직접 권한을 부여할 수 있습니다. 플레이북에서 수행한 Microsoft Sentinel 커넥터 작업은 마치 Microsoft Sentinel에 대한 자체 권한을 가진 독립 개체인 것처럼 플레이북을 대신하여 작동합니다.
관리 ID를 사용하여 인증하려면:
Logic Apps 워크플로 리소스에서 관리 ID를 사용합니다. 자세한 내용은 Azure Portal에서 시스템 할당 ID 사용을 참조하세요.
이제 논리 앱에서 시스템이 할당한 ID를 사용할 수 있으며, Microsoft Entra ID에 등록되고 개체 ID로 표시됩니다.
Microsoft Sentinel 작업 영역에 대한 액세스 권한을 해당 ID에 부여하려면 다음 단계를 따릅니다.
Microsoft Sentinel 메뉴에서 설정을 선택합니다.
작업 영역 설정 탭을 선택합니다. 작업 영역 메뉴에서 액세스 제어(IAM)를 선택합니다.
상단의 단추 모음에서 추가를 선택하고 역할 할당 추가를 선택합니다. 역할 할당 추가 옵션이 사용되지 않도록 설정되면 역할을 할당할 수 있는 권한이 없는 것입니다.
표시되는 새 패널에서 적절한 역할을 할당합니다.
- Microsoft Sentinel 응답자: 플레이북에는 인시던트 또는 관심 목록을 업데이트하는 단계가 있습니다.
- Microsoft Sentinel 읽기 권한자: 플레이북은 인시던트만 수신합니다.
액세스 할당에서 논리 앱을 선택합니다.
플레이북이 속한 구독을 선택한 다음 플레이북 이름을 선택합니다.
저장을 선택합니다.
자세한 내용은 리소스에 ID 액세스 권한 부여를 참조하세요.
Microsoft Sentinel Logic Apps 커넥터에서 관리 ID 인증 방법을 사용하도록 설정합니다.
Logic Apps 디자이너에서 Microsoft Sentinel Logic Apps 커넥터 단계를 추가합니다. 기존 연결에 대한 커넥터를 이미 사용하도록 설정한 경우 연결 변경 링크를 선택합니다. 예시:
결과 연결 목록에서 새로 추가를 선택합니다.
관리 ID를 사용하여 연결(미리 보기)을 선택해 새 연결을 만듭니다. 예시:
이 연결의 이름을 입력하고 시스템 할당 관리 ID를 선택한 다음 만들기를 선택합니다.
만들기를 선택하여 연결 만들기를 완료합니다.
서비스 주체로 인증(Microsoft Entra 애플리케이션)
Microsoft Entra 애플리케이션을 등록하여 서비스 주체를 만듭니다. 사용자 계정 대신 등록된 애플리케이션을 커넥터의 ID로 사용하는 것이 좋습니다.
Microsoft Sentinel 커넥터와 함께 자체 애플리케이션을 사용하려면:
Microsoft Entra ID를 사용하여 애플리케이션을 등록하고 서비스 주체를 만듭니다. 자세한 내용은 리소스에 액세스할 수 있는 Microsoft Entra 애플리케이션 및 서비스 주체 만들기를 참조하세요.
향후 인증용 자격 증명을 가져옵니다. 등록된 애플리케이션 페이지에서 로그인용 애플리케이션 자격 증명을 가져옵니다.
- 개요 아래 클라이언트 ID
- 인증서 및 비밀 아래 클라이언트 암호
Microsoft Sentinel 작업 영역을 사용할 수 있는 권한을 앱에 부여합니다.
Microsoft Sentinel 작업 영역에서 설정>작업 영역 설정>액세스 제어(IAM)로 이동합니다.
역할 할당 추가를 선택한 다음 애플리케이션에 할당하려는 역할을 선택합니다.
예를 들어 애플리케이션이 Microsoft Sentinel 작업 영역을 변경하는 작업(예: 인시던트 업데이트)을 수행할 수 있도록 하려면 Microsoft Sentinel 기여자 역할을 선택합니다. 데이터를 읽기만 하는 작업의 경우 Microsoft Sentinel 읽기 권한자 역할로 충분합니다.
필요한 애플리케이션을 찾아 변경 내용을 저장합니다.
기본적으로 Microsoft Entra 애플리케이션은 사용 가능한 옵션에 표시되지 않습니다. 애플리케이션을 찾으려면 이름을 검색하여 선택합니다.
앱 자격 증명을 사용하여 Logic Apps의 Microsoft Sentinel 커넥터에 인증합니다.
Logic Apps 디자이너에서 Microsoft Sentinel Logic Apps 커넥터 단계를 추가합니다.
기존 연결에 대한 커넥터를 이미 사용하도록 설정한 경우 연결 변경 링크를 선택합니다. 예시:
결과 연결 목록에서 새로 추가를 선택한 다음 서비스 주체와 연결을 선택합니다. 예시:
등록된 애플리케이션의 세부 정보 페이지에서 사용할 수 있는 필수 매개 변수 값을 입력합니다.
- 테넌트: 개요 아래
- 클라이언트 ID: 개요 아래
- 클라이언트 암호: 인증서 및 비밀 아래
예시:
만들기를 선택하여 연결 만들기를 완료합니다.
Microsoft Entra 사용자로 인증
Microsoft Entra 사용자로 연결하려면:
Logic Apps 디자이너에서 Microsoft Sentinel Logic Apps 커넥터 단계를 추가합니다. 기존 연결에 대한 커넥터를 이미 사용하도록 설정한 경우 연결 변경 링크를 선택합니다. 예시:
결과 연결 목록에서 새로 추가를 선택한 다음 로그인을 선택합니다.
메시지가 표시되면 자격 증명을 입력한 다음 화면의 나머지 지침에 따라 연결을 만듭니다.
플레이북 API 연결 보기 및 편집
API 연결은 Azure Logic Apps를 Microsoft Sentinel을 포함한 다른 서비스에 연결하는 데 사용됩니다. Azure Logic Apps의 커넥터에 대해 새 인증이 이루어질 때마다 서비스에 대한 액세스를 구성할 때 제공되는 세부 정보가 포함된 새 API 연결 리소스가 만들어집니다. 동일한 리소스 그룹의 모든 Microsoft Sentinel 작업과 트리거에서 동일한 API 연결을 사용할 수 있습니다.
API 연결을 보려면 다음 중 하나를 수행합니다.
Azure Portal에서 API 연결을 검색합니다. 다음 데이터를 사용하여 플레이북에 대한 API 연결을 찾습니다.
- 표시 이름: 연결할 때마다 연결에 제공하는 식별 이름입니다.
- 상태: API 연결 상태입니다.
- 리소스 그룹: Microsoft 플레이북에 대한 API 연결은 플레이북(Azure Logic Apps) 리소스의 리소스 그룹에서 만들어집니다.
Azure Portal에서 모든 리소스를 보고 형식 = API 커넥터별로 보기를 필터링합니다. 이 방법을 사용하면 여러 연결을 한 번에 선택, 태그 지정 및 삭제할 수 있습니다.
기존 연결에 대한 권한 부여를 변경하려면 연결 리소스를 입력하고 API 연결 편집을 선택합니다.
관련 콘텐츠
자세한 내용은 다음을 참조하세요.