다음을 통해 공유

플레이북을 사용하여 Microsoft Sentinel에서 인시던트 작업 만들기 및 수행

  • 아티클
  • 적용 대상:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

이 문서에서는 Microsoft Sentinel에서 복잡한 분석가 워크플로 프로세스를 관리하기 위해 플레이북을 사용하여 인시던트 작업을 만들고 선택적으로 수행하는 방법을 설명합니다.

Microsoft Sentinel 커넥터의 플레이북에서 작업 추가 작업을 사용하면 플레이북을 트리거한 인시던트에 작업을 자동으로 추가할 수 있습니다. 표준 워크플로와 소비 워크플로가 모두 지원됩니다.

인시던트 작업은 인시던트 안에서 플레이북과 자동화 규칙을 통해 자동으로, 수동으로, 임시로 생성될 수 있습니다.

자세한 내용은 작업을 사용하여 Microsoft Sentinel에서 인시던트 관리를 참조하세요.

필수 조건

  • Microsoft Sentinel 응답자 역할은 작업을 추가, 보기 및 편집하는 데 필요한 인시던트를 보고 편집하는 데 필요합니다.

  • 플레이북을 만들고 편집하려면 Logic Apps 기여자 역할이 필요합니다.

자세한 내용은 Microsoft Sentinel 플레이북 필수 조건을 참조하세요.

플레이북을 사용하여 작업 추가 및 수행

이 섹션에서는 다음을 수행하는 플레이북 작업을 추가하기 위한 샘플 절차를 제공합니다.

  • 침해된 사용자의 암호를 다시 설정하는 작업을 인시던트에 추가
  • 실제로 암호를 다시 설정하기 위해 AADIP(Microsoft Entra ID 보호)에 신호를 보내는 또 다른 플레이북 작업 추가
  • 인시던트의 작업을 완료로 표시하는 최종 플레이북 작업 추가

이러한 작업을 추가하고 구성하려면 다음 단계를 수행합니다.

  1. Microsoft Sentinel 커넥터에서 인시던트에 작업 추가 작업을 추가한 후 다음을 수행합니다.

    1. 인시던트 ARM ID 필드에 인시던트 ARM ID 동적 콘텐츠 항목을 선택합니다.

    2. 사용자 암호 재설정제목으로 입력합니다.

    3. 선택적인 설명을 추가합니다.

    예시:

    사용자의 암호를 재설정하는 태스크를 추가하는 플레이북 작업을 보여 주는 스크린샷

  2. 엔터티 - 계정 가져오기(미리 보기) 작업을 추가합니다. 엔터티 목록 필드에 엔터티 동적 콘텐츠 항목(Microsoft Sentinel 인시던트 스키마)을 추가합니다. 예시:

    인시던트에서 계정 엔터티를 가져오는 플레이북 작업을 보여 주는 스크린샷

  3. 컨트롤 작업 라이브러리에서 For each 루프를 추가합니다. 엔터티 - 계정 가져오기 출력의 계정 동적 콘텐츠 항목을 이전 단계에서 출력 선택 필드에 추가합니다. 예시:

    검색된 각 계정에서 작업을 수행하기 위해 플레이북에 for-each 루프 작업을 추가하는 방법을 보여 주는 스크린샷

  4. For each 루프 내에서 작업 추가를 선택합니다. 다음 작업:

    1. Microsoft Entra ID 보호 커넥터를 검색하고 선택합니다.
    2. 위험 사용자의 보안 침해 여부 확인(미리 보기) 작업을 선택합니다.
    3. 계정 Microsoft Entra 사용자 ID 동적 콘텐츠 항목을 userIds 항목 - 1 필드에 추가합니다.

    이 작업은 Microsoft Entra ID 보호 내부의 동작 프로세스를 설정하여 사용자 암호를 다시 설정합니다.

    손상 확인을 위해 엔터티를 AADIP로 보내는 모습을 보여 주는 스크린샷

    참고 항목

    계정 Microsoft Entra 사용자 ID 필드는 AADIP에서 사용자를 식별하는 한 가지 방법입니다. 모든 시나리오에서 반드시 가장 좋은 방법은 아니지만 여기에서는 예로 제공됩니다.

    도움이 필요하면 손상된 사용자를 처리하는 다른 플레이북이나 Microsoft Entra ID 보호 문서를 참조하세요.

  5. Microsoft Sentinel 커넥터에서 작업을 완료된 것으로 표시 작업을 추가하고 인시던트 작업 ID 동적 콘텐츠 항목을 작업 ARM ID 필드에 추가합니다. 예시:

    플레이북 작업을 추가하여 인시던트 작업을 완료로 표시하는 방법을 보여 주는 스크린샷

플레이북을 사용하여 조건부로 작업 추가

이 섹션에서는 인시던트에 나타나는 IP 주소를 조사하는 플레이북 작업을 추가하기 위한 샘플 절차를 제공합니다.

  • 이 연구 결과에서 IP 주소가 악성인 것으로 확인되는 경우 플레이북은 분석가가 해당 IP 주소를 사용하여 사용자를 비활성화하는 작업을 만듭니다.
  • IP 주소가 알려진 악성 주소가 아닌 경우 플레이북은 분석가가 사용자에게 연락하여 작업을 확인하도록 하는 다른 작업을 만듭니다.

이러한 작업을 추가하고 구성하려면 다음 단계를 수행합니다.

  1. Microsoft Sentinel 커넥터에서 엔터티 - IP 가져오기 작업을 추가합니다. 엔터티 목록 필드에 엔터티 동적 콘텐츠 항목(Microsoft Sentinel 인시던트 스키마)을 추가합니다. 예시:

    인시던트에서 IP 주소 엔터티를 가져오는 플레이북 작업을 보여 주는 스크린샷

  2. 컨트롤 작업 라이브러리에서 For each 루프를 추가합니다. 엔터티 - IP 가져오기 출력의 IP 동적 콘텐츠 항목을 이전 단계에서 출력 선택 필드에 추가합니다. 예시:

    검색된 각 IP 주소에서 작업을 수행하기 위해 for-each 루프 작업을 플레이북에 추가하는 방법을 보여 주는 스크린샷

  3. For each 루프 내에서 작업 추가를 선택한 후 다음을 수행합니다.

    1. Virus Total 커넥터를 검색하여 선택합니다.
    2. IP 보고서 가져오기(미리 보기) 작업을 선택합니다.
    3. 엔터티 - IP 가져오기 출력의 IP 주소 동적 콘텐츠 항목을 IP 주소 필드에 추가합니다.

    예시:

    IP 주소 보고서에 대한 Virus Total로 요청을 보내는 모습을 보여 주는 스크린샷

  4. For each 루프 내에서 작업 추가를 선택한 후 다음을 수행합니다.

    1. 컨트롤 작업 라이브러리에서 조건을 추가합니다.
    2. IP 보고서 가져오기 출력에서 마지막 분석 통계 악성 동적 콘텐츠 항목을 추가합니다. 찾으려면 자세히 보기를 선택해야 할 수도 있습니다.
    3. 보다 큼 연산자를 선택하고 값으로 0을 입력합니다.

    이 조건에서 "바이러스 합계 IP 보고서에 결과가 있었습니까?"라고 질문합니다. 예를 들면 다음과 같습니다.

    플레이북에서 true-false 조건을 설정하는 방법을 보여 주는 스크린샷

  5. True 옵션 내에서 작업 추가를 선택한 후 다음을 수행합니다.

    1. Microsoft Sentinel 커넥터에서 인시던트에 작업 추가 작업을 선택합니다.
    2. 인시던트 ARM ID 필드에 인시던트 ARM ID 동적 콘텐츠 항목을 선택합니다.
    3. 사용자를 손상됨으로 표시제목으로 입력합니다.
    4. 선택적인 설명을 추가합니다.

    예시:

    사용자를 손상됨으로 표시하는 태스크를 추가하는 플레이북 작업을 보여 주는 스크린샷

  6. False 옵션 내에서 작업 추가를 선택한 후 다음을 수행합니다.

    1. Microsoft Sentinel 커넥터에서 인시던트에 작업 추가 작업을 선택합니다.
    2. 인시던트 ARM ID 필드에 인시던트 ARM ID 동적 콘텐츠 항목을 선택합니다.
    3. 사용자에게 연락하여 작업 확인제목으로 입력합니다.
    4. 선택적인 설명을 추가합니다.

    예시:

    사용자가 활동을 확인하도록 하는 태스크를 추가하는 플레이북 작업을 보여 주는 스크린샷

관련 콘텐츠

자세한 내용은 다음을 참조하세요.