다음을 통해 공유

템플릿에서 Microsoft Sentinel 플레이북 만들기 및 사용자 지정

  • 아티클
  • 적용 대상:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

플레이북 템플릿은 요구 사항에 맞게 사용자 지정할 수 있는 Microsoft Sentinel용으로 미리 빌드되고 테스트되었으며 즉시 사용 가능한 자동화 워크플로입니다. 템플릿은 플레이북을 처음부터 개발할 때 모범 사례에 대한 참조 역할을 하거나 새로운 자동화 시나리오에 대한 영감을 줄 수도 있습니다.

플레이북 템플릿 자체는 활성 플레이북이 아니므로 필요에 따라 편집 가능한 복사본을 만들어야 합니다.

전 세계 보안 운영 센터에서 사용하는 인기 있는 자동화 시나리오를 기반으로 하여 Microsoft Sentinel 커뮤니티, ISV(독립 소프트웨어 공급업체) 및 Microsoft 전문가가 다양한 플레이북 템플릿을 개발합니다.

Important

플레이북 템플릿은 현재 미리 보기로 제공됩니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

이제 Microsoft Sentinel이 Microsoft Defender 포털의 Microsoft 통합 보안 운영 플랫폼 내에서 일반 공급됩니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

필수 조건

플레이북을 만들고 관리하려면 다음 Azure 역할 중 하나를 사용하여 Microsoft Sentinel에 액세스해야 합니다.

  • 논리 앱을 편집하고 관리하기 위한 Logic Apps 기여자
  • 논리 앱 연산자: 논리 앱 읽기, 사용 및 사용 안 함

자세한 내용은 Microsoft Sentinel 플레이북 필수 조건을 참조하세요.

플레이북을 만들기 전에 Microsoft Sentinel 플레이북용 Azure Logic Apps를 읽어보는 것이 좋습니다.

플레이북 템플릿에 액세스

다음 원본에서 플레이북 템플릿에 액세스합니다.

위치 설명
Microsoft Sentinel 자동화 페이지 플레이북 템플릿 탭에는 설치된 모든 플레이북이 나열됩니다. 동일한 템플릿을 사용하여 하나 이상의 활성 플레이북을 만듭니다.

템플릿의 새 버전을 게시하면 해당 템플릿에서 만들어진 모든 활성 플레이북의 활성 플레이북 탭에 추가 레이블이 추가되어 업데이트를 사용할 수 있음을 나타냅니다.
Microsoft Sentinel 콘텐츠 허브 페이지 플레이북 템플릿은 제품 솔루션의 일부로 사용 가능하거나 콘텐츠 허브에서 설치된 독립형 콘텐츠로 사용할 수 있습니다.

자세한 내용은 다음을 참조하세요.
Microsoft Sentinel 콘텐츠 및 솔루션 정보
기본적으로 제공되는 Microsoft Sentinel 콘텐츠 발견 및 관리
GitHub Microsoft Sentinel GitHub 리포지토리에는 다른 많은 플레이북 템플릿이 포함되어 있습니다. Azure 구독에 템플릿을 배포하려면 Azure에 배포를 선택합니다.

기술적으로, 플레이북 템플릿은 관련된 각 연결에 대한 Azure Logic Apps 워크플로 및 API 연결과 같은 여러 리소스로 구성된 ARM(Azure Resource Manager) 템플릿입니다.

이 문서에서는 자동화 아래의 플레이북 템플릿 탭에서 플레이북 템플릿을 배포하는 방법에 중점을 둡니다.

플레이북 템플릿 살펴보기

Azure Portal의 Microsoft Sentinel에서 콘텐츠 관리>콘텐츠 허브 페이지를 선택합니다. Defender 포털의 Microsoft Sentinel에서는, Microsoft Sentinel>콘텐츠 관리>콘텐츠 허브를 선택합니다.

콘텐츠 허브 페이지에서 콘텐츠 형식을 선택하여 플레이북을 필터링합니다. 이 필터링된 보기에 플레이북 템플릿이 하나 이상 포함된 모든 솔루션과 독립 실행형 콘텐츠가 나열됩니다. 솔루션이나 독립 실행형 콘텐츠를 설치하여 템플릿을 가져옵니다.

그런 다음, 구성>자동화>플레이북 템플릿 탭을 선택하여 설치된 템플릿을 봅니다. 예시:

플레이북 템플릿 갤러리의 스크린샷.

요구 사항에 맞는 플레이북 템플릿을 찾으려면 다음 기준에 따라 목록을 필터링합니다.

필터 설명
트리거 인시던트, 경고 또는 엔터티를 포함하여 플레이북이 트리거되는 방식을 기준으로 필터링합니다. 자세한 내용은 지원되는 Microsoft Sentinel 트리거를 참조하세요.
Logic Apps 커넥터 플레이북이 상호 작용하는 외부 서비스를 기준으로 필터링합니다. 배포 프로세스 중에 각 커넥터에서 외부 서비스에 인증할 ID를 가정해야 합니다.
엔터티 플레이북이 인시던트에서 찾을 것으로 예상하는 엔터티 형식을 기준으로 필터링합니다.

예를 들어, 방화벽에 IP 주소를 차단하라고 지시하는 플레이북은 인시던트에서 IP 주소를 찾을 것으로 예상합니다. 이러한 인시던트는 무차별 공격 분석 규칙에 의해 만들어질 수 있습니다.
태그 플레이북에 적용된 레이블을 기준으로 필터링하고, 플레이북을 특정 시나리오에 연결하거나, 특수한 특성을 나타냅니다. 예:

- 보강 - 인시던트에 컨텍스트를 추가하기 위해 다른 서비스에서 정보를 가져오는 플레이북. 이 정보는 일반적으로 인시던트에 대한 설명으로 추가되거나 SOC로 전송됩니다.
- 수정 - 잠재적인 위협을 제거하기 위해 영향을 받은 항목에 조치를 취하는 플레이북.
- 동기화 - 인시던트 관리 서비스와 같은 외부 서비스를 인시던트 속성으로 업데이트하는 데 도움이 되는 플레이북.
- 알림 - 이메일이나 메시지를 보내는 플레이북.
- Teams의 대응 - 분석가가 대화형 카드를 사용하여 Teams에서 직접 조치를 취할 수 있는 플레이북.

예시:

플레이북 템플릿 목록을 필터링하는 방법의 스크린샷.

템플릿에서 플레이북 사용자 지정

이 절차는 플레이북 템플릿을 배포하는 방법을 설명하며, 동일한 템플릿에서 여러 플레이북을 만들기 위해 반복할 수 있습니다.

대부분의 플레이북 템플릿은 그대로 사용할 수 있지만 필요에 따라 SOC 요구 사항에 맞게 플레이북을 조정하는 것이 좋습니다.

  1. 플레이북 템플릿 탭에서 시작할 플레이북을 선택합니다.

  2. 플레이북에 필수 조건이 있는 경우 지침을 따라야 합니다. 예시:

    • 일부 플레이북은 다른 플레이북을 작업으로 호출합니다. 두 번째 플레이북을 중첩된 플레이북이라고 합니다. 이 경우 사전 요구 사항 중 하나는 먼저 중첩된 플레이북을 배포하는 것입니다.

    • 일부 플레이북을 사용하려면 사용자 지정 Logic Apps 커넥터나 Azure Function을 배포해야 합니다. 이 경우 일반 ARM 템플릿 배포 프로세스로 이동하는 Azure에 배포 링크가 있습니다.

  3. 플레이북 만들기를 선택하여 선택한 템플릿에 따른 플레이북 만들기 마법사를 엽니다. 마법사에는 다음 네 개의 탭이 있습니다.

    • 기본 사항: Logic Apps 리소스인 새 플레이북을 찾아 이름을 지정합니다. 기본값을 사용할 수 있습니다. 예시:

      플레이북 만들기 마법사, 기본 탭의 스크린샷.

    • 매개 변수: 플레이북에서 사용할 고객별 값을 입력합니다. 예를 들어, 플레이북이 SOC에 이메일을 보내는 경우 수신자 주소를 정의합니다. 플레이북에 사용 중인 사용자 지정 커넥터가 있는 경우 동일한 리소스 그룹에 배포해야 하며 매개 변수 탭에 해당 이름을 입력하라는 메시지가 표시됩니다.

      매개 변수 탭은 플레이북에 매개 변수가 있는 경우에만 표시됩니다. 예시:

      플레이북 만들기 마법사, 매개 변수 탭의 스크린샷.

    • 연결: 각 작업을 펼쳐 이전 플레이북에 대해 만든 기존 연결을 확인합니다. 기존 연결을 사용하거나 새 연결을 만들도록 선택할 수 있습니다. 예시:

      플레이북 만들기 마법사, 연결 탭의 스크린샷.

      • 새 연결을 만들려면 배포 후 새 연결 만들기를 선택합니다. 이 옵션을 사용하면 배포 프로세스가 완료된 후에 Logic Apps 디자이너로 이동합니다.

      • 사용자 지정 커넥터는 매개 변수 탭에 입력한 사용자 지정 커넥터 이름별로 나열됩니다.

      • Microsoft Sentinel과 같은 관리 ID와의 연결을 지원하는 커넥터의 경우 관리 ID가 기본 연결 방법입니다.

      자세한 내용은 Microsoft Sentinel에 플레이북 인증을 참조하세요.

    • 검토 및 만들기: 플레이북을 만들기 전에 프로세스 요약을 살펴보고 입력의 유효성 검사를 기다립니다.

  4. 플레이북 만들기 마법사의 단계를 끝까지 수행하면 Logic Apps 디자이너의 새 플레이북 워크플로 디자인으로 이동됩니다. 예시:

    Logic Apps 디자이너의 플레이북 스크린샷.

  5. 각 커넥터에 대해 배포 후 새 연결을 만들도록 선택했습니다.

    1. 탐색 메뉴에서 API 연결을 선택한 다음 연결 이름을 선택합니다. 예시:

      API 연결을 보는 방법을 보여 주는 스크린샷

    2. 탐색 메뉴에서 API 연결 편집을 선택합니다.

    3. 필수 매개 변수를 입력하고 저장을 선택합니다. 예시:

      API 연결을 편집하는 방법을 보여 주는 스크린샷

    또는 Logic Apps 디자이너의 관련 단계 내에서 새 연결을 만듭니다.

    1. 오류 기호와 함께 나타나는 각 단계를 선택하여 확장한 다음 새로 추가를 선택합니다.

    2. 관련 지침에 따라 인증합니다. 자세한 내용은 Microsoft Sentinel에 플레이북 인증을 참조하세요.

    3. 동일한 커넥터를 사용하는 다른 단계가 있는 경우 해당 상자를 펼칩니다. 표시되는 연결 목록에서 방금 만든 연결을 선택합니다.

  6. Microsoft Sentinel(또는 지원되는 다른 연결)에 관리 ID 연결을 사용하도록 선택한 경우 Microsoft Sentinel 작업 영역(또는 다른 커넥터의 관련 대상 리소스)에 대한 권한을 새 플레이북에 부여해야 합니다.

  7. 플레이북을 저장합니다. 플레이북은 활성 플레이북 탭에 표시됩니다.

플레이북을 실행하려면 자동 응답을 설정하거나 수동으로 실행합니다. 자세한 내용은 Microsoft Sentinel 플레이북을 사용하여 위협에 대응을 참조하세요.

플레이북 템플릿의 문제 보고

버그를 보고하거나 플레이북에 대한 개선 사항을 요청하려면 플레이북의 세부 정보 창에서 지원 링크를 선택합니다. 커뮤니티에서 지원하는 플레이북인 경우 링크를 통해 GitHub 이슈를 열 수 있습니다. 그렇지 않은 경우 피드백을 보내는 방법에 대한 정보가 포함된 후원자 페이지로 이동됩니다.

관련 콘텐츠