다음을 통해 공유


Microsoft Sentinel 플레이북에서 지원되는 트리거 및 작업

이 문서에서는 Logic Apps Microsoft Sentinel 커넥터에서 지원되는 트리거 및 작업에 대해 설명합니다. Microsoft Sentinel 플레이북에 나열된 트리거 및 작업을 사용하여 Microsoft Sentinel 데이터와 상호 작용합니다.

Important

주목할만한 기능은 현재 미리 보기 상태입니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

필수 조건

시작하기 전에 Microsoft Sentinel 커넥터 구성 요소를 사용하는 데 필요한 다음 Azure 권한이 있는지 확인합니다.

역할 트리거 사용 사용 가능한 작업 가져오기 인시던트 업데이트,
주석 추가
Microsoft Sentinel 읽기 권한자 -
Microsoft Sentinel 응답자/기여자

자세한 내용은 Microsoft Sentinel의 역할 및 권한Microsoft Sentinel 플레이북 작업을 위한 필수 조건을 참조하세요.

지원되는 Microsoft Sentinel 트리거

Microsoft Sentinel 커넥터와 Microsoft Sentinel 플레이북은 다음 트리거를 지원합니다.

  • Microsoft Sentinel 인시던트. 대부분의 인시던트 자동화 시나리오에 권장됩니다.

    플레이북은 엔터티와 경고를 모두 포함하는 인시던트 개체를 수신합니다. 이 트리거를 사용하면 Microsoft Sentinel에서 인시던트가 만들어지거나 업데이트될 때마다 트리거될 수 있는 자동화 규칙에 플레이북을 첨부하여 모든 자동화 규칙의 이점을 인시던트에 적용할 수 있습니다.

  • Microsoft Sentinel 경고(미리 보기). 경고에 대해 수동으로 실행해야 하는 플레이북이나 경고에 대한 인시던트를 생성하지 않는 예약된 분석 규칙에 대해 권장됩니다.

    • 이 트리거는 Microsoft 보안 분석 규칙에서 생성된 경고에 대한 응답을 자동화하는 데 사용할 수 없습니다.
    • 이 트리거를 사용하는 플레이북은 자동화 규칙으로 호출할 수 없습니다.
  • Microsoft Sentinel 엔터티. 조사 또는 위협 헌팅 컨텍스트에서 특정 엔터티에 대해 수동으로 실행해야 하는 플레이북에 대해 권장됩니다. 이 트리거를 사용하는 플레이북은 자동화 규칙으로 호출할 수 없습니다.

이러한 흐름에서 사용되는 스키마는 동일하지 않습니다. 대부분의 시나리오에서는 Microsoft Sentinel 인시던트 트리거 흐름을 사용하는 것이 좋습니다.

인시던트 동적 필드

Microsoft Sentinel 인시던트에서 받은 인시던트 개체에는 다음과 같은 동적 필드가 포함되어 있습니다.

필드 이름 설명
인시던트 속성 인시던트: <필드 이름>으로 표시됩니다.
경고 경고: <필드 이름>으로 표시되는 다음 경고 속성의 배열입니다.

각 인시던트에는 여러 개의 경고가 포함될 수 있으므로 경고 속성을 선택하면 인시던트의 모든 경고를 처리하는 for Each 루프가 자동으로 생성됩니다.
엔터티 모든 경고 항목의 배열
작업 영역 정보 필드 다음을 포함하여 인시던트가 만들어진 Microsoft Sentinel 작업 영역에 대한 세부 정보입니다.

- 구독 ID
- 작업 영역 이름
- 작업 영역 ID
- 리소스 그룹 이름

지원되는 Microsoft Sentinel 작업

Microsoft Sentinel 커넥터와 Microsoft Sentinel 플레이북은 다음 작업을 지원합니다.

작업 사용 시기
경고 - 인시던트 가져오기 경고 트리거로 시작하는 플레이북에서. 인시던트 속성을 가져오거나 인시던트 ARM ID를 검색하여 인시던트 업데이트 또는 인시던트에 주석 추가 작업에 사용하는 데 유용합니다.
인시던트 가져오기 외부 원본에서 또는 Sentinel이 아닌 트리거를 사용하여 플레이북을 트리거하는 경우. 인시던트 ARM ID로 식별합니다. 인시던트 속성 및 주석을 검색합니다.
인시던트 업데이트 인시던트의 상태를 변경하려면(예: 인시던트를 닫을 때) 소유자를 할당하거나, 태그를 추가 또는 제거하거나, 심각도, 제목 또는 설명을 변경합니다.
인시던트에 주석 추가 외부 원본에서 수집된 정보를 사용하여 인시던트를 보강하려는 경우, 엔터티에 대해 플레이북에서 수행하는 작업을 감사하려는 경우, 인시던트 조사에 유용한 추가 정보를 제공하려는 경우.
엔터티 - <엔터티 형식> 가져오기 플레이북 생성 시 알려진 특정 엔터티 형식(IP, Account, Host, **URL 또는 FileHash)에서 작동하는 플레이북에서 구문 분석을 수행하고 고유한 필드에서 작업할 수 있어야 합니다.

인시던트 업데이트인시던트에 주석 추가 작업에는 인시던트 ARM ID가 필요합니다.

미리 경고 - 인시던트 가져오기 작업을 사용하여 인시던트 ARM ID를 가져옵니다.

지원되는 엔터티 형식

엔터티 동적 필드는 각각 엔터티를 나타내는 JSON 개체의 배열입니다. 각 엔터티 형식에는 고유한 속성에 따라 고유한 스키마가 있습니다.

"엔터티 - <엔터티 형식>" 가져오기 작업을 통해 다음을 수행할 수 있습니다.

  • 요청된 형식별로 엔터티 배열을 필터링합니다.
  • 이 형식의 특정 필드를 구문 분석하여 추가 작업에서 동적 필드로 사용할 수 있습니다.

입력은 엔터티 동적 필드입니다.

응답은 엔터티의 배열로, 특수 속성이 구문 분석되고 For each 루프에서 직접 사용할 수 있습니다.

현재 지원되는 엔터티 형식은 다음과 같습니다.

다음 이미지는 엔터티에 사용 가능한 작업의 예를 보여 줍니다.

엔터티 작업 목록의 스크린샷.

다른 엔터티 형식의 경우 Logic Apps의 기본 제공 작업을 사용하여 비슷한 기능을 구현할 수 있습니다.

  • 배열 필터링을 사용하여 요청된 형식별로 엔터티 배열을 필터링합니다.

  • 이 형식의 특정 필드를 구문 분석하면 Parse JSON을 사용하여 추가 작업에서 동적 필드로 사용할 수 있습니다.

자세한 내용은 다음을 참조하세요.