연습 - 보안 이벤트에 대한 플레이북 구성
워크플로 자동화는 클라우드용 Defender 포털에서 직접 만들어집니다.
Important
이 특정 지침 집합을 사용하려면 Microsoft 365 전자 메일 계정이 필요합니다. 없는 경우 아래 지침을 변경하여 다른 템플릿을 사용하거나 빈 논리 앱을 만듭니다.
Azure 샌드박스를 활성화할 때 사용한 계정으로 Azure Portal에 로그인합니다.
검색 상자를 사용하여 클라우드용 Microsoft Defender 검색하고 선택합니다. 클라우드용 Defender에 대한 개요 창이 표시됩니다.
왼쪽 메뉴 창의 관리에서 워크플로 자동화를 선택합니다.
위쪽 메뉴 모음에서 + 워크플로 자동화 추가를 선택하여 새 자동화를 만듭니다. 워크플로 자동화 추가 창이 표시됩니다.
각 설정에 다음 값을 입력합니다.
설정 값 일반 이름 RespondToMalwareAlert 구독 컨시어지 구독 리소스 그룹 [리소스 그룹 알아보기] 트리거 조건 클라우드용 Defender 데이터 형식 선택 보안 경고 경고 이름에 다음 포함 맬웨어 경고 심각도 모든 심각도 선택됨 작업에서 기존 Azure Logic App을 선택하거나 새 Azure Logic App을 만들 수 있습니다. 아직 논리 앱이 없으므로 Logic Apps 페이지 링크를 선택하여 새 논리 앱을 빌드합니다.
Logic Apps 창이 표시됩니다. 계속하기 전에 아직 Microsoft Learn 샌드박스 디렉터리에 있는지 확인합니다.
맨 위의 메뉴 모음에서 + 추가를 선택합니다. 논리 앱 만들기 창이 표시됩니다.
기본 탭에서 각 설정에 다음 값을 입력합니다.
설정 값 프로젝트 세부 정보 구독 컨시어지 구독 리소스 그룹 [리소스 그룹 알아보기] 인스턴스 세부 정보 논리 앱 이름. RespondToMalwareAlert 플랜 유형 Consumption 참고
논리 앱에 고유한 이름이 필요합니다. 제안된 이름을 사용할 수 없는 경우 수정하거나 다른 이름을 선택합니다.
나머지 필드에 대해서는 기본값을 적용합니다.
검토 + 생성를 선택한 다음, 생성를 선택합니다. 앱을 만드는 데 1~2분이 걸립니다. 알림 아이콘을 통해 생성을 모니터링하거나 새로 고침을 선택하여 화면을 새로 고칠 수 있습니다.
논리 앱을 만들었으면 리소스로 이동을 선택합니다.
왼쪽 메뉴의 개발 도구에서 논리 앱 디자이너를 선택합니다.
템플릿 섹션까지 아래로 스크롤하고 범주 드롭다운 목록에서 보안을선택합니다.
클라우드용 Defender 위협을 감지할 때 알림 전자 메일 가져오기를 선택한 다음, 이 템플릿 사용을 선택합니다. 경고에 대한 응답으로 실행할 사용자 지정 논리를 만들거나 Microsoft 365 기반 전자 메일 계정이 없는 경우 빈 논리 앱을 선택할 수도 있습니다.
Office 365 Outlook 상자에서 로그인 링크를 선택합니다. 메일 계정을 연결하려면 Office 365 Outlook에 대한 자격 증명을 제공합니다. 유효성이 확인되면 소유하는 메일이 Office 365 Outlook 커넥터에 표시됩니다.
커넥트 상자에서 새로 추가를 선택합니다. 논리 앱을 클라우드용 Microsoft Defender 연결합니다.
참고 항목
창이 새로 고쳐지지 않고 다음 단계를 표시하지 않으면 코드 보기를 선택한 다음 디자이너를 선택합니다.
계속을 선택하여 세부 정보 페이지로 이동합니다.
알림을 보낼 대상 메일 주소를 지정합니다.
이 화면에서 메일 제목 및 포함할 모든 세부 정보를 변경할 수 있습니다.
+새 단계 단추를 사용하여 흐름에 추가 논리 단계를 만들 수 있습니다. 이 경우 다른 단계가 필요하지 않습니다. 위쪽 메뉴 모음에서 저장을 선택합니다.
클라우드용 Defender 창이나 탭으로 다시 전환하고 새로 고침을 선택하여 새로 만든 논리 앱을 선택합니다.
Logic Apps 목록에서 RespondToMalwareAlert(또는 논리 앱의 이름을 지정한 항목)를 선택합니다.
만들기를 선택하여 워크플로 자동화를 만듭니다.
클라우드용 Microsoft Defender에서 워크플로 자동화 실행
일반적으로 기존 경고를 사용하여 워크로드 보호 대시보드에서 플레이북을 실행합니다.
클라우드용 Defender 왼쪽 메뉴 창에서 보안 경고를 선택합니다.
여기서는 경고를 선택하고, 전체 세부 정보 보기를 선택하고, 작업 수행을 선택하고, 자동화된 응답 트리거 드롭다운을 선택한 다음, 트리거 논리 앱을 선택합니다.
이 경우 Azure 샌드박스에서 경고가 없을 수 있으므로 플레이북을 이런 식으로 실행할 수 없습니다. 그러나 Logic Apps 패널을 통해 테스트할 수 있습니다.
Logic Apps에서 워크플로 자동화 테스트
왼쪽 구석의 사이드바에서 홈을 선택합니다. 논리 앱이 최근에 생성된 리소스로 표시됩니다. 그렇지 않은 경우 위쪽 검색 창에서 검색해 봅니다. 이름은 RespondToMalwareAlert입니다.
개요 창의 위쪽 메뉴 모음에서 실행 드롭다운을 선택한 다음 실행을 선택합니다.
개요 창의 실행 기록 탭에 새 항목이 표시됩니다. 화면 맨 위에 있는 새로 고침 단추를 선택해야 할 수도 있습니다. 해당 항목을 선택하여 세부 정보를 자세히 살펴볼 수 있습니다. 예를 들어 실행의 입/출력을 자세히 살펴볼 수 있습니다.
입력
{
"method": "post",
"path": "/Mail",
"host": {
"connection": {
"name": "/subscriptions/abcd/resourceGroups/abcd/providers/Microsoft.Web/connections/office365"
}
},
"body": {
"Body": "Microsoft Defender for Cloud has discovered a potential security threat in your environment. Details below:\n\nAlert name: \n\nDescription: \n\nDetection time: \n\nAttacked resource: \n\nDetected by: \n\nAlert ID: ",
"Importance": "High",
"Subject": "Microsoft Defender for Cloud has discovered a potential security threat in your environment",
"To": "john@doe.com"
}
}
출력
{
"statusCode": 200,
"headers": {
"Pragma": "no-cache",
"x-ms-request-id": "615f4430-7433-4fd3-aa2d-000e8a1a0db9",
"Strict-Transport-Security": "max-age=31536000; includeSubDomains",
"X-Content-Type-Options": "nosniff",
"X-Frame-Options": "DENY",
"Timing-Allow-Origin": "*",
"x-ms-apihub-cached-response": "true",
"Cache-Control": "no-store, no-cache",
"Date": "Fri, 10 Oct 2019 09:17:32 GMT",
"Set-Cookie": "ARRAffinity=9c9c847b5bd6c73a56d4f1afae4aecaa7f5b746d703be6c728afc87b6c50d7e3;Path=/;HttpOnly;Domain=office365-wus.azconn-wus.p.azurewebsites.net",
"Content-Length": "0",
"Expires": "-1"
}
}
또한 클라우드용 Microsoft Defender 사용자 환경에서 잠재적인 보안 위협을 발견했다는 내용의 전자 메일 주소를 수신해야 합니다.
축하합니다! 워크플로 자동화를 구성했습니다.