Microsoft Sentinel 플레이북 자동화 및 실행

• 적용 대상:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

플레이북은 전체 인시던트, 개별 경고 또는 특정 엔터티에 대한 응답으로 Microsoft Sentinel에서 실행할 수 있는 프로시저 컬렉션입니다. 플레이북은 응답을 자동화 및 오케스트레이션하는 데 도움이 되며, 자동화 규칙에 연결하여 특정 경고가 생성되었거나 인시던트가 생성 또는 업데이트될 때 자동 실행되게 설정할 수 있습니다. 또한 특정 인시던트, 경고 또는 엔터티에 대해 주문형으로 수동 실행할 수도 있습니다.

이 문서에서는 분석 규칙 또는 자동화 규칙에 플레이북을 연결하거나 특정 인시던트, 경고 또는 엔터티에 대해 플레이북을 수동으로 실행하는 방법을 설명합니다.

참고 항목

Microsoft Sentinel의 플레이북은 Azure Logic Apps에 내장된 워크플로를 기반으로 합니다. 즉, Logic Apps의 모든 성능, 사용자 지정 기능은 물론, 기본 제공되는 템플릿을 활용할 수 있습니다. 추가 요금이 적용될 수 있습니다. 자세한 내용은 Azure Logic Apps 가격 책정 페이지를 방문하세요.

Important

이제 Microsoft Sentinel이 Microsoft Defender 포털의 Microsoft 통합 보안 운영 플랫폼 내에서 일반 공급됩니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

필수 조건

시작하기 전에 트리거, 조건 및 작업이 정의되어 자동화하거나 실행할 수 있는 플레이북이 있는지 확인합니다. 자세한 내용은 Microsoft Sentinel 플레이북 만들기 및 관리를 참조하세요.

플레이북을 실행하는 데 필요한 Azure 역할

플레이북을 실행하려면 다음과 같은 Azure 역할이 필요합니다.

역할	설명
담당자	리소스 그룹의 플레이북에 대한 액세스 권한을 부여할 수 있습니다.
Microsoft Sentinel 기여자	분석 규칙 또는 자동화 규칙에 플레이북 연결
Microsoft Sentinel 응답자	플레이북을 수동으로 실행하려면 인시던트에 액세스합니다. 플레이북을 실제로 실행하려면 다음 역할도 필요합니다. - Microsoft Sentinel 플레이북 운영자, 플레이북을 수동으로 실행 - Microsoft Sentinel 자동화 기여자 역할은 자동화 규칙을 사용하여 플레이북을 실행할 수 있습니다.

자세한 내용은 플레이북 필수 조건을 참조하세요.

인시던트에 대한 플레이북을 실행하려면 추가 권한 필요

Microsoft Sentinel은 서비스 계정을 사용하여 인시던트에 대한 플레이북을 실행하고 보안을 추가하며 자동화 규칙 API를 사용하도록 설정하여 CI/CD 사용 사례를 지원합니다. 이 서비스 계정은 인시던트로 인해 트리거된 플레이북에 사용되거나 특정 인시던트에 대해 수동으로 플레이북을 실행할 때 사용됩니다.

사용자 고유의 역할 및 권한 외에도 이 Microsoft Sentinel 서비스 계정에는 플레이북이 있는 리소스 그룹에 대한 자체 권한 집합(Microsoft Sentinel 자동화 기여자 역할)가 있어야 합니다. Microsoft Sentinel이 이 역할을 갖게 되면 수동으로 또는 자동화 규칙을 통해 관련 리소스 그룹의 모든 플레이북을 실행할 수 있습니다.

Microsoft Sentinel에 필요한 권한을 부여하려면 소유자 또는 사용자 액세스 관리자 역할이 있어야 합니다. 플레이북을 실행하려면 실행하려는 플레이북이 포함된 리소스 그룹에 대한 Logic Apps 기여자 역할도 필요합니다.

다중 테넌트 배포에서 인시던트에 대한 플레이북 권한 구성

다중 테넌트 배포에서 실행하려는 플레이북이 다른 테넌트에 있는 경우 플레이북의 테넌트에서 플레이북을 실행할 수 있는 권한을 Microsoft Sentinel 서비스 계정에 부여해야 합니다.

1. 플레이북 테넌트의 Microsoft Sentinel 탐색 메뉴에서 설정을 선택합니다.

2. 설정 페이지에서 설정 탭을 선택한 다음 플레이북 권한 확장을 선택합니다.

3. 권한 구성 단추를 선택하여 권한 관리 패널을 엽니다.

4. 실행하려는 플레이북이 포함된 리소스 그룹의 확인란을 선택하고 적용을 선택합니다. 예시:

   

Microsoft Sentinel에 권한을 부여하려는 리소스 그룹에 대한 소유자 권한을 본인이 갖고 있어야 하며, 실행하려는 플레이북이 포함된 리소스 그룹에 대한 Microsoft Sentinel Automation 플레이북 운영자 역할을 본인이 갖고 있어야 합니다.

MSSP 시나리오에서 서비스 공급자 테넌트에 로그인하는 동안 생성된 자동화 규칙에서 고객 테넌트에서 플레이북을 실행하려면 두 테넌트 모두에서 플레이북을 실행할 수 있는 Microsoft Sentinel 권한을 부여해야 합니다.

• 고객 테넌트에서 다중 테넌트 배포에 대한 표준 지침을 따릅니다.

• 서비스 공급자 테넌트에서 다음과 같이 Azure Lighthouse 온보딩 템플릿에 Azure Security Insights 앱을 추가합니다.

  1. Azure Portal에서 Microsoft Entra ID로 이동하여 엔터프라이즈 애플리케이션을 선택합니다.
  2. 애플리케이션 유형을 선택하고 Microsoft 애플리케이션에서 필터링합니다.
  3. 검색 상자에 Azure Security Insights를 입력합니다.
  4. 개체 ID 필드를 복사합니다. 기존 Azure Lighthouse 위임에 이 추가 권한을 추가해야 합니다.

Microsoft Sentinel 자동화 기여자 역할의 고정 GUID는 f4c81013-99ee-4d62-a7ee-b3f1f648599a입니다. 샘플 Azure Lighthouse 권한 부여는 매개 변수 템플릿에서 다음과 같습니다.

{
"principalId": "<Enter the Azure Security Insights app Object ID>", 
"roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
}

인시던트 및 경고에 대한 대응 자동화

플레이북을 사용하여 전체 인시던트 또는 개별 경고에 자동으로 대응하려면 인시던트가 만들어지거나 업데이트될 때 실행되는 자동화 규칙 또는 경고가 만들어질 때 실행되는 자동화 규칙을 만듭니다. 이 자동화 규칙에는 사용하려는 플레이북을 호출하는 단계가 포함되어 있습니다.

자동화 규칙을 만들려면:

1. Microsoft Sentinel 탐색 메뉴의 자동화 페이지 위쪽 메뉴에서 만들기를 선택한 다음 자동화 규칙을 선택합니다. 예시:

   

2. 새 자동화 규칙 만들기 패널이 열립니다. 규칙 이름을 입력합니다. 옵션은 작업 영역이 통합 보안 운영 플랫폼에 온보딩되어 있는지 여부에 따라 다릅니다. 예시:

   온보딩된 작업 영역

   

   온보딩되지 않은 작업 영역

   

3. 트리거: 자동화 규칙을 만드는 상황에 따라 적절한 트리거를 선택합니다(인시던트가 생성되는 경우, 인시던트가 업데이트되는 경우 또는 경고가 생성되는 경우).

4. 조건:

   1. 작업 영역이 아직 통합 보안 운영 플랫폼에 온보딩되어 있지 않은 경우 인시던트는 두 가지 원인으로 발생할 수 있습니다.

      • Microsoft Sentinel 내에서 인시던트를 만들 수 있음
      • 인시던트는 Microsoft Defender XDR에서 가져오고 동기화할 수 있습니다.

      인시던트 트리거 중 하나를 선택했고 Microsoft Sentinel 또는 Microsoft Defender XDR이 원본인 인시던트에만 자동화 규칙을 적용하려면 인시던트 공급자가 같음 조건에서 원본을 지정합니다.

      이 조건은 인시던트 트리거가 선택되어 있고 작업 영역이 통합 보안 운영 플랫폼에 온보딩되어 있지 않은 경우에만 표시됩니다.

   2. 모든 트리거 형식의 경우 자동화 규칙이 특정 분석 규칙에만 적용되도록 하려면 Analytics 규칙 이름에 포함 조건을 수정하여 지정합니다.

   3. 이 자동화 규칙이 실행될지 여부를 결정하려는 다른 조건을 추가합니다. + 추가를 선택하고 드롭다운 목록에서 조건 또는 조건 그룹을 선택합니다. 조건 목록은 경고 세부 정보 및 엔터티 식별자 필드로 채워집니다.

5. 작업:

   1. 이 자동화 규칙을 사용하여 플레이북을 실행하므로 드롭다운 목록에서 플레이북 실행 작업을 선택합니다. 그런 다음 사용 가능한 플레이북을 표시하는 두 번째 드롭다운 목록에서 선택하라는 메시지가 표시됩니다. 자동화 규칙은 규칙에 정의된 트리거와 동일한 트리거(인시던트 또는 경고)로 시작하는 플레이북만 실행할 수 있으므로 해당 플레이북만 목록에 표시됩니다.

      드롭다운 목록에서 플레이북이 회색으로 표시되면 Microsoft Sentinel에 해당 플레이북의 리소스 그룹에 대한 권한이 없다는 의미입니다. 권한을 할당하려면 플레이북 권한 관리 링크를 선택합니다.

      열리는 권한 관리 패널에서, 실행하려는 플레이북이 포함된 리소스 그룹의 확인란을 선택하고 적용을 선택합니다. 예시:

      

      Microsoft Sentinel에 권한을 부여하려는 리소스 그룹에 대한 소유자 권한을 본인이 갖고 있어야 하며, 실행하려는 플레이북이 포함된 리소스 그룹에 대한 Microsoft Sentinel Automation 플레이북 운영자 역할을 본인이 갖고 있어야 합니다.

      자세한 내용은 인시던트에 대한 플레이북을 실행하는 데 필요한 추가 권한을 참조하세요.

   2. 이 규칙에 대해 원하는 다른 작업을 추가합니다. 모든 작업의 오른쪽에 있는 위쪽 또는 아래쪽 화살표를 선택하여 작업 실행 순서를 변경할 수 있습니다.

6. 원한다면 자동화 규칙의 만료 날짜를 설정합니다.

7. 자동화 규칙 시퀀스에서 이 규칙이 실행될 위치를 결정하는 숫자를 순서에 입력합니다.

8. 자동화를 완료하려면 적용을 선택합니다.

자세한 내용은 Microsoft Sentinel 플레이북 만들기 및 관리를 참조하세요.

경고에 응답 - 레거시 방법

경고에 대한 응답으로 플레이북을 자동으로 실행하는 또 다른 방법은 분석 규칙에서 호출하는 것입니다. 규칙이 경고를 생성하면 플레이북이 실행됩니다.

이 방법은 2026년 3월 이후로는 사용되지 않습니다.

2023년 6월부터 더 이상 이러한 방식으로 분석 규칙에 플레이북을 추가할 수 없습니다. 그러나 분석 규칙에서 호출된 기존 플레이북은 계속 볼 수 있고, 이러한 플레이북은 2026년 3월까지 계속 실행됩니다. 그 전에는 대신 이러한 플레이북을 호출하는 자동화 규칙을 만드는 것이 좋습니다.

요청 시 수동으로 플레이북 실행

또한 경고, 인시던트 또는 엔터티에 대한 응답으로 요청 시 플레이북을 수동으로 실행할 수도 있습니다. 이는 오케스트레이션 및 응답 프로세스에 대한 더 많은 인력 투입과 제어를 원하는 상황에서 유용할 수 있습니다.

경고에서 수동으로 플레이북 실행

이 절차는 통합 보안 운영 플랫폼에서 지원되지 않습니다.

Azure Portal에서 환경에 따라 필요에 따라 다음 탭 중 하나를 선택합니다.

인시던트 세부 정보

1. 인시던트 페이지에서 인시던트를 선택한 다음 전체 세부 정보 보기를 선택하여 인시던트 세부 정보 페이지를 엽니다.

2. 인시던트 세부 정보 페이지의 인시던트 타임라인 위젯에서 플레이북을 실행할 경고를 선택합니다. 경고 줄 끝에 있는 점 3개를 선택하고 팝업 메뉴에서 플레이북 실행을 선택합니다.

   

3. 경고 플레이북 창이 열립니다. 액세스 권한이 있는 Microsoft Sentinel 경고 Logic Apps 트리거로 구성된 모든 플레이북 목록이 표시됩니다.

4. 특정 플레이북의 줄에서 실행을 선택하여 즉시 실행합니다.

조사 그래프

1. 인시던트 페이지에서 인시던트를 선택한 다음 전체 세부 정보 보기를 선택하여 인시던트 세부 정보 페이지를 엽니다.

2. 인시던트 세부 정보 페이지에서 경고 탭을 선택하고 플레이북을 실행할 경고를 선택한 다음 해당 경고 줄 끝에 있는 플레이북 보기 링크를 선택합니다.

3. 경고 플레이북 창이 열립니다. 액세스 권한이 있는 Microsoft Sentinel 경고 Logic Apps 트리거로 구성된 모든 플레이북 목록이 표시됩니다.

4. 특정 플레이북의 줄에서 실행을 선택하여 즉시 실행합니다.

경고 플레이북 창에서 실행 탭을 선택하면 경고에서 플레이북의 실행 기록을 볼 수 있습니다. 완료된 모든 실행이 이 목록에 표시되는 데 몇 초 정도 걸릴 수 있습니다. 특정 실행을 선택하면 Logic Apps에서 전체 실행 로그가 열립니다.

인시던트에서 수동으로 플레이북 실행

이 절차는 Microsoft Sentinel에서 작업하는지 아니면 통합 보안 운영 플랫폼에서 작업하는지에 따라 다릅니다. 환경에 맞는 탭을 선택합니다.

Azure Portal

1. 인시던트 페이지에서 인시던트를 선택합니다.

2. 측면에 나타나는 인시던트 세부 정보 창에서 작업 > 플레이북 실행을 선택합니다.

   (그리드에서 인시던트 줄 끝에 있는 세 개의 점을 선택하거나 인시던트를 마우스 오른쪽 단추로 클릭하면 작업 단추와 동일한 목록이 표시됩니다.)

3. 인시던트 발생 시 플레이북 실행 패널이 측면에 열립니다. 액세스 권한이 있는 Microsoft Sentinel 인시던트 Logic Apps 트리거로 구성된 모든 플레이북 목록이 표시됩니다.

   실행하려는 플레이북이 목록에 없으면 Microsoft Sentinel에 해당 리소스 그룹의 플레이북을 실행할 권한이 없다는 의미입니다.

   이러한 권한을 부여하려면 설정>설정>플레이북 권한>권한 구성을 선택합니다. 열리는 권한 관리 패널에서, 실행하려는 플레이북이 포함된 리소스 그룹의 확인란을 선택하고 적용을 선택합니다.

   자세한 내용은 인시던트에 대한 플레이북을 실행하는 데 필요한 추가 권한을 참조하세요.

4. 특정 플레이북의 줄에서 실행을 선택하여 즉시 실행합니다.

   실행하려는 플레이북이 포함된 리소스 그룹에 대한 Microsoft Sentinel 플레이북 운영자 역할이 있어야 합니다. 권한 누락으로 인해 플레이북을 실행할 수 없는 경우 관리자에게 문의하여 관련 권한을 부여받는 것이 좋습니다. 자세한 내용은 Microsoft Sentinel 플레이북 필수 조건을 참조하세요.

Microsoft Defender 포털

1. 인시던트 페이지에서 인시던트를 선택합니다.

2. 측면에 나타나는 인시던트 세부 정보 창에서 플레이북 실행을 선택합니다.

3. 선택한 인시던트와 관련된 모든 플레이북이 포함된 인시던트에서 플레이북 실행 패널이 측면에 열립니다. 작업 열에서 즉시 실행하려는 플레이북에 대해 플레이북 실행을 선택합니다.

작업 열에는 다음 상태 중 하나가 표시될 수도 있습니다.

상태	설명 및 필요한 작업
권한 없음	실행하려는 플레이북이 포함된 리소스 그룹에 대한 Microsoft Sentinel 플레이북 운영자 역할이 있어야 합니다. 권한이 없는 경우 관리자에게 문의하여 관련 권한을 부여받는 것이 좋습니다. 자세한 내용은 Microsoft Sentinel 플레이북 필수 조건을 참조하세요.
권한 부여	Microsoft Sentinel에 인시던트에 대한 플레이북을 실행하는 데 필요한 Microsoft Sentinel 자동화 기여자 역할이 없습니다. 이러한 경우에는 권한 부여를 선택하여 권한 관리 창을 엽니다. 권한 관리 창은 기본적으로 선택한 플레이북의 리소스 그룹으로 필터링됩니다. 리소스 그룹을 선택한 다음 적용을 선택하여 필요한 권한을 부여합니다. Microsoft Sentinel 권한을 부여하려는 리소스 그룹의 소유자 또는 사용자 액세스 관리자여야 합니다. 권한이 누락된 경우 리소스 그룹이 회색으로 표시되어 선택할 수 없습니다. 이러한 경우 관리자에게 문의하여 관련 권한을 부여받는 것이 좋습니다. 자세한 내용은 인시던트에 대한 플레이북을 실행하는 데 필요한 추가 권한을 참조하세요.

인시던트에서 플레이북 실행 패널에서 실행 탭을 선택하여 인시던트에서 플레이북의 실행 기록을 봅니다. 완료된 모든 실행이 이 목록에 표시되는 데 몇 초 정도 걸릴 수 있습니다. 특정 실행을 선택하면 Logic Apps에서 전체 실행 로그가 열립니다.

엔터티에서 수동으로 플레이북 실행

이 절차는 통합 보안 운영 플랫폼에서 지원되지 않습니다.

원래 컨텍스트에 따라 다음 방법 중 하나로 엔터티를 선택합니다.

인시던트 세부 정보 페이지(신규)

인시던트의 세부 정보 페이지(새 버전)에 있는 경우:

개요 탭의 엔터티 위젯에서 엔터티를 찾고 다음 중 하나를 수행합니다.

• 엔터티를 선택하지 마세요. 대신 엔터티 오른쪽에 있는 점 3개를 선택한 다음 플레이북 실행을 선택합니다. 실행하려는 플레이북을 찾고 해당 플레이북 행에서 실행을 선택합니다.

• 인시던트 세부 정보 페이지의 엔터티 탭을 열려면 엔터티를 선택합니다. 목록에서 엔터티를 찾고 오른쪽에 있는 세 개의 점을 선택합니다. 실행하려는 플레이북을 찾고 해당 플레이북 행에서 실행을 선택합니다.

• 엔터티를 선택하고 엔터티 세부 정보 페이지로 드릴다운합니다. 그런 다음 왼쪽 패널에서 플레이북 실행 단추를 선택합니다. 실행하려는 플레이북을 찾고 해당 플레이북 행에서 실행을 선택합니다.

인시던트 세부 정보 페이지(레거시)

인시던트의 세부 정보 페이지(레거시 버전)에 있는 경우:

1. 인시던트의 엔터티 탭을 선택하고 목록에서 해당 엔터티를 찾습니다.

2. 다음 중 하나를 수행합니다.

   • 목록의 엔터티 줄 끝에 있는 플레이북 실행 링크를 선택합니다.
   • 엔터티 세부 정보 페이지로 드릴다운할 엔터티를 선택하고 왼쪽 패널에서 플레이북 실행 단추를 선택합니다.

3. 실행하려는 플레이북을 찾고 해당 플레이북 행에서 실행을 선택합니다.

조사 그래프

조사 그래프에 있는 경우:

1. 그래프에서 엔터티를 선택한 다음 엔터티 측면 패널에서 플레이북 실행 단추를 선택합니다.

   일부 엔터티 형식의 경우 엔터티 작업 버튼을 선택하고 표시되는 메뉴에서 플레이북 실행을 선택해야 할 수도 있습니다.

2. 실행하려는 플레이북을 찾고 해당 플레이북 행에서 실행을 선택합니다.

사전 헌팅

위협을 사전에 헌팅하는 경우:

1. 엔터티 동작 화면에서 페이지의 목록에서 엔터티를 선택하거나 다른 엔터티를 검색하여 선택합니다.
2. 엔터티 페이지의 왼쪽 패널에서 플레이북 실행 단추를 선택합니다.
3. 실행하려는 플레이북을 찾고 해당 플레이북 행에서 실행을 선택합니다.

어떤 상황에서 발생했는지에 관계없이 이 절차의 마지막 단계는 <엔터티 형식> 패널에서 플레이북 실행입니다. 선택한 엔터티 형식에 대해 Microsoft Sentinel Entity Logic Apps 트리거를 사용하여 구성된 액세스 권한이 있는 모든 플레이북 목록이 이 패널에 표시됩니다.

*<엔터티 형식>에서 플레이북 실행 창에서 실행 탭을 선택하여 특정 엔터티에 대한 플레이북 실행 기록을 확인합니다. 완료된 모든 실행이 이 목록에 표시되는 데 몇 초 정도 걸릴 수 있습니다. 특정 실행을 선택하면 Logic Apps에서 전체 실행 로그가 열립니다.

관련 콘텐츠

자세한 내용은 다음을 참조하세요.

• Microsoft Sentinel 플레이북 만들기 및 관리
• 자동화 규칙으로 Microsoft Sentinel의 위협 대응 자동화