일반적으로 SIEM(보안 정보 및 이벤트 관리) 및 SOC(보안 운영 센터) 팀은 가용 직원을 압도할 만큼 아주 많은 양의 보안 경고 및 인시던트를 정기적으로 받습니다. 그 결과 수많은 경고를 무시하고 많은 인시던트를 미처 조사할 수 없게 되어 조직이 파악하지 못한 공격에 취약한 상태로 노출됩니다.
Microsoft Sentinel은 SIEM 시스템일 뿐만 아니라 SOAR(보안 오케스트레이션, 자동화 및 대응)을 위한 플랫폼이기도 합니다. 주요 목적 중 하나는 보안 운영 센터 및 직원(SOC/SecOps)이 수행해야 하는 모든 반복 및 예측 가능한 보강, 대응, 수정 작업을 자동화하여 고급 위협에 대한 심층 조사 및 헌팅을 위한 시간과 리소스를 확보하는 것입니다.
이 문서에서는 Microsoft Sentinel의 SOAR 기능을 설명하고 보안 위협에 대응하여 자동화 규칙 및 플레이북을 사용하여 SOC의 효율성을 높이고 시간과 리소스를 절약하는 방법을 보여 줍니다.
중요합니다
Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스가 없는 고객을 포함하여 Microsoft Defender 포털에서 일반적으로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털에서 Microsoft Sentinel을 참조하세요.
자동화 규칙
Microsoft Sentinel은 자동화 규칙을 사용하여 사용자가 중앙 위치에서 인시던트 처리 자동화를 관리할 수 있도록 합니다. 자동화 규칙을 사용하여 다음을 수행합니다.
- 플레이북을 사용하여 인시던트 및 경고에 고급 자동화 할당
- 플레이북 없이 인시던트를 자동으로 태그 지정하거나, 할당하거나, 종료합니다.
- 한 번에 여러 분석 규칙에 대한 응답 자동화
- 인시던트 심사, 조사, 수정 시 분석가가 수행할 작업 목록 만들기
- 실행되는 작업 순서 제어
자동화를 더욱 간소화하고 인시던트 오케스트레이션 프로세스의 복잡한 워크플로를 간소화하려면 인시던트가 만들어지거나 업데이트될 때 자동화 규칙을 적용하는 것이 좋습니다.
자세한 내용은 자동화 규칙을 사용하여 Microsoft Sentinel에서 위협 대응 자동화를 참조하세요.
플레이북
플레이북은 Microsoft Sentinel에서 루틴으로 실행할 수 있는 대응 및 수정 작업과 논리의 컬렉션입니다. 플레이북은 다음을 수행할 수 있습니다.
- 위협 대응을 자동화하고 조율하도록 지원
- 내부 및 외부의 많은 인접 시스템과 통합
- 특정 경고 또는 인시던트에 대한 대응으로 자동으로 실행되도록 구성하거나 새로운 경고에 대한 대응과 같이 요청 시 수동으로 실행되도록 구성합니다.
Microsoft Sentinel에서 플레이북은 엔터프라이즈 전체의 시스템에서 작업 및 워크플로를 예약, 자동화 및 오케스트레이션하는 데 도움이 되는 클라우드 서비스인 Azure Logic Apps에서 빌드된 워크플로를 기반으로 합니다. 즉, 플레이북은 Logic Apps의 통합 및 오케스트레이션 기능과 사용하기 쉬운 디자인 도구, 계층 1 Azure 서비스의 스케일링 성능, 안정성, 서비스 수준을 모두 활용하고 사용자 지정할 수 있습니다.
자세한 내용은 Microsoft Sentinel의 플레이북을 사용하여 위협 대응 자동화를 참조하세요.
Microsoft Defender 포털의 자동화
Microsoft Sentinel 작업 영역을 Defender 포털에 온보딩한 후 작업 영역에서 자동화가 작동하는 방식에서 다음과 같은 차이점을 확인합니다.
| 기능 | 설명 |
|---|---|
| 경고 트리거가 있는 자동화 규칙 | Defender 포털에서 경고 트리거가 있는 자동화 규칙은 Microsoft Sentinel 경고에서만 작동합니다. 자세한 내용은 경고 만들기 트리거를 참조하세요. |
| 인시던트 트리거를 사용하는 자동화 규칙 | 모든 인시던트에 인시던트 공급자(ProviderName 필드의 값)로 Microsoft XDR이 있으므로 Azure Portal과 Defender 포털 모두에서 인시던트 공급자 조건 속성이 제거됩니다. 이 시점에서 인시던트 공급자 조건이 Microsoft Sentinel 또는 Microsoft 365 Defender로만 설정된 경우를 포함하여 기존 자동화 규칙은 Microsoft Sentinel 및 Microsoft Defender XDR 인시던트 모두에서 실행됩니다. 그러나 특정 분석 규칙 이름을 지정하는 자동화 규칙은 지정된 분석 규칙에서 만든 경고를 포함하는 인시던트에서만 실행됩니다. 즉, Microsoft Sentinel에만 존재하는 분석 규칙에 대한 분석 규칙 이름 조건 속성을 정의하여 Microsoft Sentinel에서만 인시던트에서만 규칙을 실행하도록 제한할 수 있습니다. 자세한 내용은 인시던트 트리거 조건을 참조하세요. |
| 플레이북 트리거의 대기 시간 | Microsoft Defender 인시던트가 Microsoft Sentinel에 표시되는 데 최대 5분이 걸릴 수 있습니다. 이 지연이 있는 경우 플레이북 트리거도 지연됩니다. |
| 기존 인시던트 이름 변경 | Defender 포털은 고유한 엔진을 사용하여 인시던트와 경고의 상관 관계를 지정합니다. Defender 포털에 작업 영역을 온보딩할 때 상관 관계가 적용되는 경우 기존 인시던트 이름이 변경될 수 있습니다. 따라서 자동화 규칙이 항상 올바르게 실행되도록 하려면 자동화 규칙에서 인시던트 제목을 조건 조건으로 사용하지 말고 대신 인시던트에 포함된 경고를 만든 분석 규칙의 이름과 더 구체적인 경우 태그를 사용하는 것이 좋습니다. |
| 필드별로 업데이트됨 | 자세한 내용은 인시던트 업데이트 트리거를 참조하세요. |
| 인시던트 작업을 추가하는 자동화 규칙 | 자동화 규칙이 인시던트 작업을 추가하는 경우 해당 작업은 Azure Portal에만 표시됩니다. |
| 인시던트에서 직접 자동화 규칙 만들기 | 인시던트에서 직접 자동화 규칙을 만드는 것은 Azure Portal에서만 지원됩니다. Defender 포털에서 작업하는 경우 Automation 페이지에서 처음부터 자동화 규칙을 만듭니다. |
| Microsoft 인시던트 생성 규칙 | Microsoft 인시던트 생성 규칙은 Defender 포털에서 지원되지 않습니다. 자세한 내용은 Microsoft Defender XDR 인시던트 및 Microsoft 인시던트 생성 규칙을 참조하세요. |
| Defender 포털에서 자동화 규칙 실행 | 경고가 트리거되고 Defender 포털에서 인시던트가 만들어지거나 업데이트된 후 자동화 규칙이 실행될 때까지 최대 10분이 걸릴 수 있습니다. 이러한 시간 지연은 인시던트가 Defender 포털에서 만들어진 다음 자동화 규칙을 위해 Microsoft Sentinel로 전달되기 때문입니다. |
| 활성 플레이북 탭 | Defender 포털에 온보딩한 후 기본적으로 활성 플레이북 탭에는 온보딩된 작업 영역의 구독이 있는 미리 정의된 필터가 표시됩니다. Azure Portal에서 구독 필터를 사용하여 다른 구독에 대한 데이터를 추가합니다. 자세한 내용은 템플릿에서 Microsoft Sentinel 플레이북 만들기 및 사용자 지정을 참조하세요. |
| 요청 시 수동으로 플레이북 실행 | 다음 절차는 현재 Defender 포털에서 지원되지 않습니다. |
| 인시던트에서 플레이북을 실행하려면 Microsoft Sentinel 동기화가 필요합니다. | Defender 포털에서 인시던트에서 플레이북을 실행하려고 하면 "이 작업과 관련된 데이터에 액세스할 수 없습니다. 몇 분 안에 화면을 새로 고칩니다." 메시지가 표시되면 인시던트가 Microsoft Sentinel에 아직 동기화되지 않은 것입니다. 플레이북을 성공적으로 실행하려면 인시던트가 동기화된 후 인시던트 페이지를 새로 고칩니다. |
|
인시던트: 인시던트에 경고 추가 / 인시던트에서 경고 제거 |
Defender 포털에 작업 영역을 온보딩한 후에는 경고를 추가하거나 인시던트에서 경고를 제거할 수 없으므로 이러한 작업은 플레이북 내에서도 지원되지 않습니다. 자세한 내용은 Defender 포털에서 경고의 상관 관계 및 인시던트가 병합되는 방법 이해를 참조하세요. |
| 여러 작업 영역에서 Microsoft Defender XDR 통합 | 단일 테넌트에서 둘 이상의 작업 영역과 XDR 데이터를 통합한 경우 이제 데이터는 Defender 포털의 기본 작업 영역에만 수집됩니다. 자동화 규칙을 관련 작업 영역으로 전송하여 계속 실행합니다. |
| 자동화 및 상관 관계 엔진 | 상관 관계 엔진은 여러 신호의 경고를 단일 인시던트에 결합할 수 있으므로 자동화에서 예상하지 못한 데이터를 수신할 수 있습니다. 자동화 규칙을 검토하여 예상 결과가 표시되는지 확인하는 것이 좋습니다. |