다음을 통해 공유


Microsoft Sentinel 플레이북 만들기 및 관리

플레이북은 전체 인시던트, 개별 경고 또는 특정 엔터티에 대한 응답으로 Microsoft Sentinel에서 실행할 수 있는 프로시저 컬렉션입니다. 플레이북은 대응을 자동화하고 오케스트레이션하는 데 도움이 될 수 있으며 특정 경고가 만들어지거나 인시던트가 만들어지거나 업데이트될 때 자동으로 실행되도록 자동화 규칙에 연결할 수 있습니다. 특정 인시던트, 경고 또는 엔터티에 대해 필요에 따라 플레이북을 수동으로 실행할 수도 있습니다.

이 문서에서는 Microsoft Sentinel 플레이북을 만들고 관리하는 방법을 설명합니다. 나중에 이러한 플레이북을 분석 규칙 또는 자동화 규칙에 연결하거나 특정 인시던트, 경고 또는 엔터티에 대해 수동으로 실행할 수 있습니다.

참고 항목

Microsoft Sentinel의 플레이북은 Azure Logic Apps에서 빌드된 워크플로를 기반으로 하며, 이는 논리 앱의 모든 기능, 사용자 지정 가능성 및 기본 제공 템플릿을 얻을 수 있음을 의미합니다. 추가 요금이 적용될 수 있습니다. 가격 책정 정보는 Azure Logic Apps 가격 책정 페이지를 참조 하세요.

Important

이제 Microsoft Sentinel이 Microsoft Defender 포털의 Microsoft 통합 보안 운영 플랫폼 내에서 일반 공급됩니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

필수 조건

  • Azure 계정 및 구독 구독이 없는 경우 Azure 체험 계정에 등록합니다.

  • 플레이북을 만들고 관리하려면 다음 Azure 역할 중 하나를 사용하여 Microsoft Sentinel에 액세스해야 합니다.

    논리 앱 Azure 역할 설명
    소비 논리 앱 기여자 논리 앱을 편집하고 관리합니다.
    소비 논리 앱 운영자 논리 앱을 읽고, 사용하도록 설정하고, 사용하지 않도록 설정합니다.
    Standard Logic Apps 표준 연산자 워크플로를 사용하도록 설정하고, 다시 제출하고, 사용하지 않도록 설정합니다.
    Standard Logic Apps 표준 개발자 워크플로를 만들고 편집합니다.
    Standard Logic Apps 표준 기여자 워크플로의 모든 측면을 관리합니다.

    자세한 내용은 다음 설명서를 참조하세요.

  • 플레이북을 만들기 전에 Microsoft Sentinel용 Azure Logic Apps 플레이북을 읽 것이 좋습니다.

플레이북 만들기

다음 단계에 따라 Microsoft Sentinel에서 새 플레이북을 만듭니다.

  1. Azure Portal 또는 Defender 포털에서 Microsoft Sentinel 작업 영역으로 이동합니다. 작업 영역 메뉴의 구성에서 Automation을 선택합니다.

  2. 상단 메뉴에서 만들기를 선택한 후 다음 옵션 중 하나를 선택합니다.

    • 소비 플레이북을 만드는 경우 사용하려는 트리거에 따라 다음 옵션 중 하나를 선택한 다음 소비 논리 앱대한 단계를 따릅니다.

      • 인시던트 트리거가 포함된 플레이북
      • 경고 트리거가 포함된 플레이북
      • 엔터티 트리거가 포함된 플레이북

      이 가이드는 엔터티 트리거가 있는 플레이북을 계속 진행합니다.

    • 표준 플레이북을 만드는 경우 빈 플레이북을 선택한 다음 표준 논리 앱 형식에 대한 단계를 따릅니다.

    자세한 내용은 지원되는 논리 앱 형식Microsoft Sentinel 플레이북에서 지원되는 트리거 및 작업을 참조하세요.

플레이북의 논리 앱 준비

소비 또는 표준 논리 앱을 사용하는지 여부에 따라 플레이북에 대한 논리 앱을 만드는 방법에 대한 자세한 내용은 다음 탭 중 하나를 선택합니다. 자세한 내용은 지원되는 논리 앱 형식을 참조하세요.

플레이북이 Azure 가상 네트워크 내부에 있거나 연결된 보호된 리소스에 액세스해야 하는 경우 표준 논리 앱 워크플로를 만듭니다.

표준 워크플로는 단일 테넌트 Azure Logic Apps에서 실행되며, 워크플로가 가상 네트워크와 비공개 및 안전하게 통신할 수 있도록 인바운드 트래픽에 프라이빗 엔드포인트 사용을 지원합니다. 표준 워크플로는 아웃바운드 트래픽에 대한 가상 네트워크 통합도 지원합니다. 자세한 내용은 프라이빗 엔드포인트를 사용하여 가상 네트워크와 단일 테넌트 Azure Logic Apps 간의 트래픽 보호를 참조하세요.

인시던트, 경고 또는 엔터티 트리거를 포함하는 트리거 를 선택하면 플레이북 만들기 마법사가 나타납니다. 예를 들면 다음과 같습니다.

스크린샷은 플레이북 만들기 마법사 및 소비 워크플로 기반 플레이북에 대한 기본 사항 탭을 보여줍니다.

다음 단계에 따라 플레이북을 만듭니다.

  1. 기본 탭에서 다음 정보를 제공합니다.

    1. 구독리소스 그룹의 경우 해당 목록에서 원하는 값을 선택합니다.

      지역 값은 연결된 Log Analytics 작업 영역과 동일한 지역으로 설정됩니다.

    2. 플레이북 이름의 경우 플레이북의 이름을 입력합니다.

    3. 진단 목적으로 이 플레이북의 활동을 모니터링하려면 Log Analytics에서 진단 로그 사용을 선택한 다음, 작업 영역을 선택하지 않은 경우 Log Analytics 작업 영역을 선택합니다.

  2. 다음: 연결 >을 선택합니다.

  3. 연결 탭에서는 관리 ID를 사용하여 Microsoft Sentinel에 연결하도록 논리 앱을 구성하는 기본값을 그대로 두는 것이 좋습니다.

    자세한 내용은 Microsoft Sentinel에 플레이북 인증을 참조하세요.

  4. 계속하려면 다음: 검토 및 만들기>를 선택합니다.

  5. 검토 및 만들기 탭에서 구성 선택 항목을 검토하고 플레이북 만들기를 선택합니다.

    Azure는 플레이북을 만들고 배포하는 데 몇 분 정도 걸립니다. 배포가 완료되면 Azure Logic Apps의 소비 워크플로 디자이너에서 플레이북이 열립니다. 이전에 선택한 트리거가 워크플로의 첫 번째 단계로 자동으로 표시되므로 이제 여기에서 워크플로를 계속 빌드할 수 있습니다.

    스크린샷은 선택한 트리거가 있는 소비 워크플로 디자이너를 보여줍니다.

  6. 디자이너에서 아직 선택하지 않은 경우 Microsoft Sentinel 트리거를 선택합니다.

  7. 연결 만들기 창에서 다음 단계에 따라 Microsoft Sentinel에 연결하는 데 필요한 정보를 제공합니다.

    1. 인증의 경우 후속 연결 매개 변수에 영향을 미치는 다음 방법 중에서 선택합니다.

      메서드 설명
      OAuth OAuth(Open Authorization)는 암호와 같은 개인 정보를 노출하지 않고 앱 또는 서비스에서 다른 사용자에게 로그인할 수 있는 권한을 부여할 수 있는 기술 표준입니다. OAuth 2.0은 권한 부여를 위한 업계 프로토콜이며 보호된 리소스에 대한 제한된 액세스 권한을 부여합니다. 자세한 내용은 다음 리소스를 참조하세요.

      - OAuth란?
      - Microsoft Entra ID를 사용한 OAuth 2.0 권한 부여
      서비스 주체 서비스 주체는 Microsoft Entra 테넌트에 의해 보호되는 리소스에 액세스해야 하는 엔터티를 나타냅니다. 자세한 내용은 서비스 주체 개체를 참조 하세요.
      관리 ID Microsoft Entra ID에서 자동으로 관리되는 ID입니다. 앱은 이 ID를 사용하여 Microsoft Entra 인증을 지원하는 리소스에 액세스하고 자격 증명을 관리할 필요 없이 Microsoft Entra 토큰을 가져올 수 있습니다.

      최적의 보안을 위해 가능한 경우 인증에 관리 ID를 사용하는 것이 좋습니다. 이 옵션은 뛰어난 보안을 제공하고 이 중요한 정보를 관리할 필요가 없도록 인증 정보를 안전하게 유지하는 데 도움이 됩니다. 자세한 내용은 다음 리소스를 참조하세요.

      - Azure 리소스에 대한 관리 ID란?
      - Azure Logic Apps에서 관리 ID를 사용하여 Azure 리소스에 대한 액세스 및 연결을 인증합니다.

      자세한 내용은 인증 프롬프트를 참조 하세요.

    2. 선택한 인증 옵션에 따라 해당 옵션에 필요한 매개 변수 값을 제공합니다.

      이러한 매개 변수 에 대한 자세한 내용은 Microsoft Sentinel 커넥터 참조를 참조하세요.

    3. 테넌트 ID의 경우 Microsoft Entra 테넌트 ID를 선택합니다.

    4. 완료되면 로그인을 선택합니다.

  8. 이전에 엔터티 트리거가 있는 Playbook을 선택한 경우 이 플레이북을 입력으로 받을 엔터티 유형을 선택합니다.

    스크린샷은 엔터티 트리거가 있는 소비 워크플로 플레이북과 플레이북 스키마를 설정하기 위해 선택할 수 있는 엔터티 형식을 보여줍니다.

인증 프롬프트

인증이 필요한 트리거 또는 후속 작업을 추가하면 해당 리소스 공급자가 지원하는 사용 가능한 인증 유형 중에서 선택하라는 메시지가 표시될 수 있습니다. 이 예제에서 Microsoft Sentinel 트리거는 워크플로에 추가하는 첫 번째 작업입니다. 따라서 리소스 공급자는 여러 인증 옵션을 지원하는 Microsoft Sentinel입니다. 자세한 내용은 다음 설명서를 참조하세요.

플레이북에 작업 추가

이제 플레이북에 대한 워크플로가 있으므로 플레이북을 호출할 때 발생하는 작업을 정의합니다. 디자이너에서 더하기 기호(+)를 선택하여 작업, 논리 조건, 루프 또는 대/소문자 전환 조건을 추가합니다. 자세한 내용은 트리거 또는 작업을 사용하여 워크플로 만들기를 참조하세요.

이 옵션을 선택하면 서비스, 애플리케이션, 시스템, 제어 흐름 작업 등을 찾아보거나 검색할 수 있는 작업 추가 창이 열립니다. 검색어를 입력하거나 원하는 리소스를 선택하면 결과 목록에 사용 가능한 작업이 표시됩니다.

각 작업에서 필드 내에서 선택하면 다음 옵션이 제공됩니다.

자세한 내용은 Microsoft Sentinel 플레이북에서 지원되는 트리거 및 작업을 참조하세요.

동적 콘텐츠: 인시던트 ID가 없는 엔터티 플레이북

Microsoft Sentinel 엔터티 트리거를 사용하여 만든 플레이북은 종종 인시던트 ARM ID 필드를 사용하여 엔터티에 대한 작업을 수행한 후 인시던트를 업데이트합니다. 위협 헌팅과 같이 인시던트에 연결되지 않은 시나리오에서 이러한 플레이북이 트리거되는 경우 이 필드를 채울 인시던트 ID가 없습니다. 대신 필드가 null 값으로 채워집니다. 결과적으로 플레이북이 완료될 때까지 실행되지 않을 수 있습니다.

이 오류를 방지하려면 워크플로가 다른 작업을 수행하기 전에 인시던트 ID 필드에서 값을 확인하는 조건을 만드는 것이 좋습니다. 인시던트에서 플레이북이 실행되지 않기 때문에 필드에 null 값이 있는 경우 수행할 다른 작업 집합을 규정할 수 있습니다.

  1. 워크플로에서 인시던트 ARM ID 필드를 참조하는 첫 번째 작업 앞에 다음 일반 단계에 따라 조건 작업을 추가합니다.

  2. 조건 창의 조건 행에서 왼쪽 선택 필드를 선택한 다음 동적 콘텐츠 옵션(번개 아이콘)을 선택합니다.

  3. 동적 콘텐츠 목록의 Microsoft Sentinel 인시던트 아래에서 검색 상자를 사용하여 인시던트 ARM ID를 찾아 선택합니다.

    출력이 목록에 표시되지 않으면 트리거 이름 옆에 있는 자세히 보기를 선택합니다.

  4. 가운데 필드의 연산자 목록에서 선택 항목이 같지 않습니다.

  5. 오른쪽 선택 필드에서 식 편집기 옵션(함수 아이콘)을 선택합니다.

  6. 편집기에서 null을 입력하고 추가를 선택합니다.

완료되면 조건은 다음 예제와 유사합니다.

스크린샷은 인시던트 ARM ID 필드 앞에 추가할 추가 조건을 보여줍니다.

동적 콘텐츠: 사용자 지정 세부 정보 작업

Microsoft Sentinel 인시던트 트리거에서 경고 사용자 지정 세부 정보 출력은 각각 경고의 사용자 지정 세부 정보를 나타내는 JSON 개체의 배열입니다. 사용자 지정 세부 정보는 인시던트 일부로 표시, 추적 및 분석할 수 있도록 경고의 이벤트에서 정보를 표시할 수 있는 키-값 쌍입니다.

경고의 이 필드는 사용자 지정할 수 있으므로 해당 스키마는 표시되는 이벤트 유형에 따라 달라집니다. 사용자 지정 세부 정보 출력을 구문 분석하는 방법을 결정하는 스키마를 생성하려면 이 이벤트의 인스턴스에서 데이터를 제공합니다.

  1. Microsoft Sentinel 작업 영역 메뉴의 구성에서 분석을 선택합니다.

  2. 단계에 따라 기존 예약된 쿼리 규칙 또는 NRT 쿼리 규칙을 만들거나 엽니다.

  3. 규칙 논리 설정 탭에서 사용자 지정 세부 정보 섹션확장합니다. 예를 들면 다음과 같습니다.

    스크린샷은 분석 규칙에 정의된 사용자 지정 세부 정보를 보여줍니다.

    다음 표에서는 이러한 키-값 쌍에 대한 자세한 정보를 제공합니다.

    Item 위치 설명
    Key 왼쪽 열 만드는 사용자 지정 필드를 나타냅니다.
    오른쪽 열 사용자 지정 필드를 채우는 이벤트 데이터의 필드를 나타냅니다.
  4. 스키마를 생성하려면 다음 예제 JSON 코드를 제공합니다.

    { "FirstCustomField": [ "1", "2" ], "SecondCustomField": [ "a", "b" ] }
    

    코드는 키 이름을 배열로 표시하고 값을 배열의 항목으로 표시합니다. 값은 해당 값이 포함된 열이 아닌 실제 값으로 표시됩니다.

인시던트 트리거에 사용자 지정 필드를 사용하려면 워크플로에 대해 다음 단계를 수행합니다.

  1. 워크플로 디자이너의 Microsoft Sentinel 인시던트 트리거 아래에 Parse JSON이라는 기본 제공 작업을 추가합니다.

  2. 작업의 콘텐츠 매개 변수 내에서 선택하고 동적 콘텐츠 목록 옵션(번개 아이콘)을 선택합니다.

  3. 목록의 인시던트 트리거 섹션에서 경고 사용자 지정 세부 정보를 찾아 선택합니다. 예를 들면 다음과 같습니다.

    스크린샷은 동적 콘텐츠 목록에서 선택한 경고 사용자 지정 세부 정보를 보여줍니다.

    인시던트에 경고 배열이 포함되어 있으므로 이 선택 항목은 JSON 구문 분석 주위에 For 각 루프를 자동으로 추가합니다.

  4. JSON 정보 구문 분석 창에서 샘플 페이로드 사용을 선택하여 스키마를 생성합니다. 예를 들면 다음과 같습니다.

    스크린샷은 샘플 페이로드를 사용하여 스키마 링크를 생성하기 위한 선택을 보여줍니다.

  5. 샘플 JSON 페이로드 입력 또는 붙여넣기 상자에서 샘플 페이로드를 제공하고 완료를 선택합니다.

    예를 들어 Log Analytics에서 이 경고의 다른 인스턴스를 찾은 다음 확장 속성에서 찾을 수 있는 사용자 지정 세부 정보 개체를 복사하여 샘플 페이로드를 찾을 수 있습니다. Log Analytics 데이터에 액세스하려면 Azure Portal의 로그 페이지 또는 Defender 포털의 고급 헌팅 페이지로 이동합니다.

    다음 예제에서는 이전 샘플 JSON 코드를 보여줍니다.

    스크린샷은 샘플 JSON 페이로드를 보여줍니다.

    완료되면 스키마 상자에 제공된 샘플에 따라 생성된 스키마가 포함됩니다. JSON 구문 분석 작업은 이제 워크플로의 후속 작업에서 배열 형식의 동적 필드로 사용할 수 있는 사용자 지정 필드를 만듭니다.

    다음 예제에서는 Compose라는 후속 작업에 대한 스키마 및 동적 콘텐츠 목록 모두에서 배열 및 해당 항목을 보여 줍니다.

    스크린샷은 스키마에서 동적 필드를 사용할 준비가 된 것을 보여줍니다.

플레이북 관리

자동화 > 활성 플레이북 탭을 선택하면 구독 보기로 필터링되어 액세스할 수 있는 모든 플레이북을 볼 수 있습니다.

통합 보안 운영 플랫폼에 온보딩한 후에는 기본적으로 활성 플레이북 탭에 온보딩된 작업 영역의 구독이 있는 미리 정의된 필터가 표시됩니다. Azure Portal에서 전역 Azure 페이지 머리글의 디렉터리 + 구독 메뉴에 표시되는 구독을 편집합니다.

활성 플레이북 탭에는 선택한 구독에서 사용할 수 있는 모든 활성 플레이북이 표시되지만, 플레이북의 리소스 그룹에 Microsoft Sentinel 권한을 특별히 부여하지 않는 한 기본적으로 플레이북은 해당 플레이북이 속한 구독 내에서만 사용할 수 있습니다.

활성 플레이북 탭에는 다음 세부 정보가 포함된 플레이북이 표시됩니다.

열 이름 설명
상태 플레이북의 사용 또는 사용 안 함을 나타냅니다.
계획 플레이북이 표준 또는 사용량 Azure Logic Apps 리소스 종류를 사용하는지 여부를 나타냅니다.

표준 형식의 플레이북은 표준 플레이북이 단일 논리 앱의 다른 워크플로와 함께 존재하는 워크플로를 나타내는 방법을 반영하는 명명 규칙을 사용합니다LogicApp/Workflow.

자세한 내용은 Microsoft Sentinel 플레이북용 Azure Logic Apps를 참조하세요.
트리거 종류 이 플레이북을 시작하는 Azure Logic Apps의 트리거를 나타냅니다.

- Microsoft Sentinel 인시던트/경고/엔터티: 플레이북은 인시던트, 경고 또는 엔터티를 포함한 Sentinel 트리거 중 하나로 시작됩니다.
- Microsoft Sentinel 작업 사용: 플레이북은 Microsoft Sentinel이 아닌 트리거로 시작되지만 Microsoft Sentinel 작업을 사용합니다.
- 기타: 플레이북에는 Microsoft Sentinel 구성 요소가 포함되어 있지 않습니다.
- 초기화되지 않음: 플레이북이 만들어졌지만 구성 요소가 포함되어 있지 않으며 작업도 트리거되지 않습니다.

플레이북을 선택하여 플레이북에 대한 자세한 내용을 보여 주는 Azure Logic Apps 페이지를 엽니다. Azure Logic Apps 페이지에서 다음을 수행합니다.

  • 플레이북이 실행된 모든 시간의 로그 보기
  • 성공, 실패 및 기타 세부 정보를 포함한 실행 결과 보기
  • 관련 권한이 있는 경우 Azure Logic Apps에서 워크플로 디자이너를 열어 플레이북을 직접 편집합니다.

플레이북을 만든 후 사용자 환경의 이벤트에 의해 트리거되는 규칙에 연결하거나 특정 인시던트, 경고 또는 엔터티에 대해 플레이북을 수동으로 실행합니다.

자세한 내용은 다음을 참조하세요.