권장 플레이북 사용 사례, 템플릿 및 예제
이 문서에서는 Microsoft Sentinel 플레이북에 대한 샘플 사용 사례와 샘플 플레이북 및 권장 플레이북 템플릿을 나열합니다.
권장 플레이북 사용 사례
다음 SOC 시나리오에 대한 Microsoft Sentinel 플레이북부터 시작하는 것이 좋습니다. 여기서는 즉시 사용할 수 있는 플레이북 템플릿을 제공합니다.
보강: 데이터를 수집하여 인시던트에 연결하여 보다 현명한 의사 결정
IP 주소 엔터티를 생성하는 경고 및 분석 규칙에서 Microsoft Sentinel 인시던트를 만든 경우 플레이북을 실행하고 자세한 정보를 수집하도록 자동화 규칙을 트리거하도록 인시던트를 구성합니다.
다음 단계를 사용하여 플레이북을 구성합니다.
인시던트가 생성되면 플레이북을 시작합니다. 인시던트에 표시되는 엔터티는 인시던트 트리거의 동적 필드에 저장됩니다.
각 IP 주소에 대해 바이러스 합계와 같은 외부 위협 인텔리전스 공급자를 쿼리하여 더 많은 데이터를 검색하도록 플레이북을 구성합니다.
반환된 데이터와 인사이트를 인시던트 주석으로 추가하여 조사를 강화합니다.
다른 발권 시스템과 Microsoft Sentinel 인시던트에 대한 양방향 동기화
Microsoft Sentinel 인시던트 데이터를 ServiceNow와 같은 티켓 시스템과 동기화하려면 다음을 수행합니다.
모든 인시던트 만들기에 대한 자동화 규칙을 만듭니다.
새 인시던트를 만들 때 트리거되는 플레이북을 연결합니다.
ServiceNow 커넥터를 사용하여 ServiceNow에서 새 티켓을 만들도록 플레이북을 구성합니다.
ServiceNow 티켓에 인시던트 이름, 중요한 필드 및 Microsoft Sentinel 인시던트에 대한 URL을 포함하도록 플레이북을 구성하여 팀이 ServiceNow 티켓에서 Microsoft Sentinel 인시던트로 쉽게 이동할 수 있는지 확인합니다.
오케스트레이션: SOC 채팅 플랫폼에서 인시던트 큐 제어
사용자 이름 및 IP 주소 엔터티를 생성하는 경고 및 분석 규칙에서 Microsoft Sentinel 인시던트를 만든 경우 플레이북을 실행하고 표준 통신 채널을 통해 팀에 문의하도록 자동화 규칙을 트리거하도록 인시던트를 구성합니다.
다음 단계를 사용하여 플레이북을 구성합니다.
인시던트가 생성되면 플레이북을 시작합니다. 인시던트에 표시되는 엔터티는 인시던트 트리거의 동적 필드에 저장됩니다.
보안 분석가가 인시던트를 인식할 수 있도록 Microsoft Teams 또는 Slack과 같은 보안 운영 통신 채널에 메시지를 보내도록 플레이북을 구성합니다.
선임 네트워크 관리자 및 보안 관리자에게 이메일로 경고의 모든 정보를 보내도록 플레이북을 구성합니다. 전자 메일 메시지에는 사용자 차단 및 무시 옵션 단추가 포함됩니다.
관리자로부터 응답을 받을 때까지 기다리도록 플레이북을 구성한 다음 계속 실행합니다.
관리자가 차단을 선택하는 경우 경고의 IP 주소를 차단하도록 방화벽에 명령을 보내도록 플레이북을 구성하고, 다른 한 명은 Microsoft Entra ID에 명령을 보내 사용자를 사용하지 않도록 설정합니다.
최소한의 인적 종속성을 사용하여 위협에 즉시 대응
이 섹션에서는 손상된 사용자와 손상된 컴퓨터의 위협에 대응하는 두 가지 예를 제공합니다.
Microsoft Entra ID Protection에서 검색한 것과 같이 손상된 사용자의 경우:
새 Microsoft Sentinel 인시던트가 생성되면 플레이북을 시작합니다.
손상된 것으로 의심되는 인시던트의 각 사용자 엔터티에 대해 플레이북을 다음으로 구성합니다.
사용자에게 의심스러운 조치를 취했는지 확인을 요청하는 Teams 메시지를 보냅니다.
Microsoft Entra ID 보호에서 사용자의 상태가 손상된 것으로 확인되는지 파악합니다. Microsoft Entra ID Protection은 사용자에게 위험한 레이블을 지정하고 이미 구성된 적용 정책을 적용합니다(예: 다음에 로그인할 때 사용자가 MFA를 사용하도록 요구).
참고 항목
이 특정 Microsoft Entra 작업은 사용자에 대한 적용 작업을 시작하지 않으며 적용 정책 구성을 시작하지도 않습니다. 이미 정의된 정책을 적절하게 적용하도록 Microsoft Entra ID 보호에만 지시합니다. 적용 사항은 전적으로 Microsoft Entra ID 보호에 정의되는 정책에 따라 달라집니다.
손상된 컴퓨터의 경우(예: 엔드포인트용 Microsoft Defender 의해 검색됨)
새 Microsoft Sentinel 인시던트가 생성되면 플레이북을 시작합니다.
엔터티를 사용하여 플레이북 구성 - 호스트 가져오기 작업을 수행하여 인시던트 엔터티에 포함된 의심스러운 컴퓨터를 구문 분석합니다.
경고에서 컴퓨터를 격리하도록 엔드포인트용 Microsoft Defender 명령을 실행하도록 플레이북을 구성합니다.
조사 중 또는 컨텍스트를 벗어나지 않고 헌팅하는 동안 수동으로 응답
엔터티 트리거를 사용하여 조사 중에 발견한 개별 위협 행위자(조사 내에서 한 번에 하나씩)에 대해 즉각적인 조치를 취합니다. 이 옵션은 특정 인시던트와 연결되지 않은 위협 찾기 컨텍스트에서도 사용할 수 있습니다.
컨텍스트에서 엔터티를 선택하고 바로 그곳에서 작업을 수행하여 시간을 절약하고 복잡성을 줄입니다.
엔터티 트리거가 있는 플레이북은 다음과 같은 작업을 지원합니다.
- 손상된 사용자를 차단합니다.
- 방화벽에서 악성 IP 주소의 트래픽을 차단합니다.
- 네트워크에서 손상된 호스트를 격리합니다.
- 안전/안전하지 않은 주소 관심 목록 또는 외부 CMDB(구성 관리 데이터베이스)에 IP 주소를 추가합니다.
- 외부 위협 인텔리전스 원본에서 파일 해시 보고서를 가져와 인시던트에 주석으로 추가합니다.
권장 플레이북 템플릿
이 섹션에는 권장 플레이북이 나열되어 있으며, 콘텐츠 허브 또는 Microsoft Sentinel GitHub 리포지토리에서 사용할 수 있는 다른 유사한 플레이북이 나와 있습니다.
알림 플레이북 템플릿
알림 플레이북은 경고나 인시던트가 생성될 때 트리거되고 구성된 대상으로 알림을 보냅니다.
| 플레이 북 | 폴더 GitHub 리포지토리 |
콘텐츠 허브의 솔루션/ Azure Marketplace |
|---|---|---|
| Microsoft Teams 채널에 메시지 게시 | Post-Message-Teams | Sentinel SOAR Essentials 솔루션 |
| Outlook 메일 알림 보내기 | Send-basic-email | Sentinel SOAR Essentials 솔루션 |
| Slack 채널에 메시지 게시 | Post-Message-Slack | Sentinel SOAR Essentials 솔루션 |
| 인시던트 생성 시 Microsoft Teams 적응형 카드 보내기 | Send-Teams-adaptive-card-on-incident-creation | Sentinel SOAR Essentials 솔루션 |
플레이북 템플릿 차단
차단 플레이북은 경고나 인시던트가 생성될 때 트리거되고 계정, IP 주소, 호스트와 같은 엔터티 정보를 수집하며 추가 작업에서 차단합니다.
| 플레이 북 | 폴더 GitHub 리포지토리 |
콘텐츠 허브의 솔루션/ Azure Marketplace |
|---|---|---|
| Azure Firewall에서 IP 주소 차단 | AzureFirewall-BlockIP-addNewRule | Sentinel용 Azure Firewall 솔루션 |
| Microsoft Entra 사용자 차단 | Block-AADUser | Microsoft Entra 솔루션 |
| Microsoft Entra 사용자 암호 재설정 | Reset-AADUserPassword | Microsoft Entra 솔루션 |
| 다음을 사용하여 디바이스 격리 또는 분리 엔드포인트용 Microsoft Defender를 자세히 알아봅니다. |
Isolate-MDEMachine Unisolate-MDEMachine |
엔드포인트용 Microsoft Defender 솔루션 |
플레이북 템플릿 만들기, 업데이트 또는 닫기
만들기, 업데이트 또는 닫기 플레이북은 Microsoft Sentinel, Microsoft 365 보안 서비스 또는 기타 티켓팅 시스템에서 인시던트를 만들거나 업데이트하거나 닫을 수 있습니다.:
| 플레이 북 | 폴더 GitHub 리포지토리 |
콘텐츠 허브의 솔루션/ Azure Marketplace |
|---|---|---|
| Microsoft Forms를 사용하여 인시던트 만들기 | CreateIncident-MicrosoftForms | Sentinel SOAR Essentials 솔루션 |
| 인시던트에 대한 경고 연결 | relateAlertsToIncident-basedOnIP | Sentinel SOAR Essentials 솔루션 |
| Service Now 인시던트 만들기 | Create-SNOW-record | ServiceNow 솔루션 |
일반적으로 사용되는 플레이북 구성
이 섹션에서는 인시던트 업데이트, 인시던트 세부 정보 사용, 인시던트에 주석 추가 또는 사용자 사용 안 을 포함하여 일반적으로 사용되는 플레이북 구성에 대한 샘플 스크린샷을 제공합니다.
인시던트 업데이트
이 섹션에서는 플레이북을 사용하여 새 인시던트 또는 경고에 따라 인시던트를 업데이트하는 방법에 대한 샘플 스크린샷을 제공합니다.
새 인시던트(인시던트 트리거)를 기반으로 인시 던트를 업데이트합니다.
새 경고(경고 트리거)를 기반으로 인시던트를 업데이트합니다.
흐름에서 인시던트 세부 정보 사용
이 섹션에서는 플레이북을 사용하여 흐름의 다른 곳에서 인시던트 세부 정보를 사용하는 방법에 대한 샘플 스크린샷을 제공합니다.
새 인시던트에 의해 트리거된 플레이북을 사용하여 메일로 인시던트 세부 정보를 보냅니다.
새 경고에 의해 트리거되는 플레이북을 사용하여 메일로 인시던트 세부 정보를 보냅니다.
인시던트에 메모 추가
이 섹션에서는 플레이북을 사용하여 인시던트에 주석을 추가하는 방법에 대한 샘플 스크린샷을 제공합니다.
새 인시던트에 의해 트리거되는 플레이북을 사용하여 인시던트에 주석을 추가합니다.
새 경고에 의해 트리거되는 플레이북을 사용하여 인시던트에 주석을 추가합니다.
사용자 비활성화
다음 스크린샷은 Microsoft Sentinel 엔터티 트리거를 기반으로 플레이북을 사용하여 사용자 계정을 사용하지 않도록 설정하는 방법의 예를 보여 줍니다.
