Microsoft Sentinel 플레이북용 Azure Logic Apps

• 적용 대상:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel 플레이북은 엔터프라이즈 전체 시스템의 작업 및 워크플로를 예약, 자동화, 오케스트레이션하는 데 도움이 되는 클라우드 서비스인 Azure Logic Apps에서 빌드된 워크플로를 기반으로 합니다. Microsoft Sentinel 플레이북은 Azure Logic Apps에 기본 제공되는 템플릿의 모든 기능을 활용할 수 있습니다.

Azure Logic Apps는 다양한 형식의 커넥터를 사용하여 다른 시스템 및 서비스와 통신합니다. Microsoft Sentinel 커넥터를 사용하면 Microsoft Sentinel과 상호 작용하는 플레이북을 만들 수 있습니다.

참고 항목

Azure Logic Apps는 별도의 리소스를 만들므로 추가 요금이 적용될 수 있습니다. 자세한 내용은 Azure Logic Apps 가격 책정 페이지를 참조하세요.

Microsoft Sentinel 커넥터 구성 요소

Microsoft Sentinel 커넥터 내에서 트리거, 작업 및 동적 필드를 사용하여 플레이북의 워크플로를 정의합니다.

구성 요소	설명
트리거	트리거는 워크플로(이 경우 플레이북)를 시작하는 커넥터 구성 요소입니다. Microsoft Sentinel 트리거는 플레이북이 트리거될 때 받을 것으로 예상하는 스키마를 정의합니다. Microsoft Sentinel 커넥터는 다음 형식의 트리거를 지원합니다. - 경고 트리거: 플레이북은 경고를 입력으로 받습니다. - 엔터티 트리거: 플레이북은 엔터티를 입력으로 받습니다. - 인시던트 트리거: 플레이북은 포함된 모든 경고 및 항목과 함께 인시던트를 입력으로 받습니다.
actions	작업은 트리거 후 발생하는 모든 단계입니다. 병렬 또는 복합 조건의 매트릭스에서 순차적으로 작업을 정렬할 수 있습니다.
동적 필드	동적 필드는 트리거를 따르는 작업에 사용할 수 있는 임시 필드입니다. 동적 필드는 트리거 및 작업의 출력 스키마에 따라 결정되며 실제 출력으로 채워집니다.

Azure Logic Apps는 API 호출을 래핑하는 관리 커넥터 또는 사용자 지정 커넥터와 같은 다른 형식의 커넥터도 지원합니다. 자세한 내용은 Azure Logic Apps 커넥터 및 해당 설명서 및 사용자 지정 Azure Logic Apps 커넥터 만들기를 참조하세요.

지원되는 논리 앱 형식

Microsoft Sentinel은 소비 및 표준 논리 앱을 모두 지원합니다.

• 소비: 다중 테넌트 Azure Logic Apps에서 실행되며 클래식 원래 Azure Logic Apps 엔진을 사용합니다.

• 표준: 단일 테넌트 Azure Logic Apps에서 실행되며, 최근에 디자인된 Azure Logic Apps 엔진을 사용합니다.

  표준 리소스는 더 높은 성능, 고정 가격 책정, 다중 워크플로 기능, 더 쉬운 API 연결 관리, 기본 제공 네트워크 기능 및 CI/CD 기능 등을 제공합니다. 그러나 Microsoft Sentinel의 표준 논리 앱에는 다음과 같은 플레이북 기능이 다릅니다.

  기능	설명
  플레이북 만들기	플레이북 템플릿은 현재 표준 워크플로에서 지원되지 않습니다. 즉, 템플릿을 사용하여 Microsoft Sentinel에서 직접 플레이북을 만들 수 없습니다. 대신 Azure Logic Apps에서 워크플로를 수동으로 만들어 Microsoft Sentinel에서 플레이북으로 사용합니다.
  프라이빗 엔드포인트	프라이빗 엔드포인트와 함께 표준 워크플로를 사용하는 경우 Microsoft Sentinel에서는 표준 워크플로를 기반으로 하는 모든 플레이북에서 해당 프라이빗 엔드포인트를 지원하기 위해 논리 앱에서 액세스 제한 정책을 정의해야 합니다. 액세스 제한 정책이 없으면 프라이빗 엔드포인트가 있는 워크플로는 계속 표시되고 Microsoft Sentinel에서 선택할 수 있지만 실행하지 못합니다.
  상태 비저장 워크플로	표준 워크플로는 Azure Logic Apps에서 상태 저장 및 상태 비저장을 모두 지원하지만 Microsoft Sentinel은 상태 비저장 워크플로를 지원하지 않습니다. 자세한 내용은 상태 저장 및 상태 비저장 워크플로를 참조하세요.

Microsoft Sentinel에 대한 플레이북 인증

Azure Logic Apps는 Microsoft Sentinel 자체를 포함하여 상호 작용하는 각 형식의 각 리소스에 별도로 연결하고 독립적으로 인증해야 합니다. Azure Logic Apps는 이 목적을 위해 특수 커넥터를 사용하며 각 리소스 유형에는 자체 커넥터가 있습니다.

자세한 내용은 Microsoft Sentinel에 플레이북 인증을 참조하세요.

관련 콘텐츠

• Azure Logic Apps 설명서의 리소스 종류 및 호스트 환경 차이점
• Azure Logic Apps 설명서의 Azure Logic Apps 용 Microsoft Sentinel 커넥터
• Microsoft Sentinel 플레이북 만들기 및 관리