모든 보안 프로그램에는 인시던트 응답을 위한 여러 워크플로가 포함되어 있습니다. 이러한 프로세스에는 관련 이해 관계자에게 알리고, 변경 관리 프로세스를 시작하고, 특정 수정 단계를 적용하는 것이 포함될 수 있습니다.
보안 전문가들은 가능한 한 많은 보안 절차를 자동화하는 것이 좋습니다. 자동화는 오버헤드를 줄입니다. 또한 프로세스 단계가 미리 정의된 요구 사항에 따라 신속하고 일관되게 수행되도록 하여 보안을 향상시킬 수 있습니다.
이 문서에서는 클라우드용 Microsoft Defender의 워크플로 자동화 기능을 설명합니다. 이 기능은 보안 경고, 권장 사항 및 규정 준수 변경에 대한 소비 논리 앱을 트리거할 수 있습니다. 예를 들어, 경고가 발생하는 경우 클라우드용 Defender에서 특정 사용자에게 메일을 보내도록 할 수 있습니다. Azure Logic Apps를 사용하여 논리 앱을 만드는 방법도 알아봅니다.
필수 조건
시작하기 전에:
리소스 그룹에 보안 관리자 역할 또는 소유자가 있어야 합니다.
대상 리소스에 대한 쓰기 권한이 있어야 합니다.
Azure Logic Apps 워크플로를 사용하려면 다음 Logic Apps 역할 또는 권한이 있어야 합니다.
- Logic 앱 운영자 권한이 필요하거나 Logic 앱 읽기 또는 트리거 액세스가 필요합니다. 이 역할을 가진 사용자는 논리 앱을 만들거나 편집할 수 없습니다. 기존 항목만 실행할 수 있습니다.
- 논리 앱 생성 및 수정에는 논리 앱 기여자 권한이 필요합니다.
Logic Apps 커넥터를 사용하려는 경우 해당 서비스(예: Outlook, Teams 또는 Slack 인스턴스)에 로그인하려면 다른 자격 증명이 필요할 수 있습니다.
논리 앱을 만들고 자동으로 실행되어야 하는 시기를 정의합니다.
아래 단계를 수행하세요.
Defender for Cloud 사이드바에서 워크플로 자동화를 선택합니다.
이 페이지에서 새 자동화 규칙을 만들거나 기존 규칙을 사용하거나 사용하지 않도록 설정하거나 삭제할 수 있습니다. 범위는 워크플로 자동화가 배포되는 구독을 나타냅니다.
새 워크플로를 정의하려면 워크플로 자동화 추가를 선택합니다. 새 자동화에 대한 옵션 창이 열립니다.
다음을 입력합니다.
- 자동화에 대한 이름 및 설명입니다.
- 이 자동 워크플로를 시작하는 트리거입니다. 예를 들어 SQL 구를 포함하는 보안 경고가 생성될 때 논리 앱을 실행하도록 할 수 있습니다.
트리거 조건이 충족될 때 실행할 소비 논리 앱을 지정합니다.
작업 섹션에서 Logic Apps 페이지를 방문하여 논리 앱을 만드는 프로세스를 시작합니다.
Azure Logic Apps로 이동됩니다.
추가(+)를 선택합니다.
필요한 모든 필드를 입력한 다음 검토 + 만들기를 선택합니다.
배포가 진행 중인 메시지가 나타납니다. 배포 완료 알림이 표시되기를 기다린 다음 리소스로 이동을 선택합니다.
입력한 정보를 검토한 다음 만들기를 선택합니다.
새 논리 앱에서 보안 범주에서 미리 정의된 기본 제공 템플릿 중에서 선택할 수 있습니다. 또는 이 프로세스가 트리거될 때 발생하는 이벤트의 사용자 지정 흐름을 정의할 수 있습니다.
팁 (조언)
경우에 따라 매개 변수는 자체 필드가 아닌 문자열의 일부로 커넥터의 논리 앱에 포함됩니다. 매개 변수를 추출하는 방법의 예제는 클라우드용 Microsoft Defender 워크플로 자동화를 빌드하는 동안 논리 앱 매개 변수 작업 14단계를 참조하세요.
지원되는 트리거
논리 앱 디자이너는 다음과 같은 클라우드용 Defender 트리거를 지원합니다.
클라우드용 Microsoft Defender 권장 사항이 생성되거나 트리거되는 경우: 논리 앱이 더 이상 사용되지 않거나 대체되는 권장 사항을 사용하는 경우 자동화가 중지되고 트리거를 업데이트해야 합니다. 권장 사항의 변경 내용을 추적하려면 릴리스 정보를 사용합니다.
클라우드용 Defender 경고가 생성되거나 트리거되는 경우: 관심 있는 심각도 수준이 있는 경고와만 관련되도록 트리거를 사용자 지정할 수 있습니다.
Defender for Cloud 규정 준수 평가가 생성되거나 트리거되는 경우: 규정 준수 평가에 대한 업데이트를 기반으로 자동화를 트리거하려고 합니다.
비고
레거시 트리거를 사용하는 경우 클라우드용 Microsoft Defender 경고에 대한 응답이 트리거되면 워크플로 자동화 기능이 논리 앱을 열지 않습니다. 대신 이전에 언급한 트리거 중 하나를 사용합니다.
논리 앱을 정의한 후 워크플로 자동화 추가 창으로 돌아갑니다.
새로 고침을 선택하여 새 논리 앱을 선택할 수 있는지 확인합니다.
논리 앱을 선택한 다음 자동화를 저장합니다. 드롭다운 메뉴에는 Defender for Cloud 커넥터를 지원하는 논리 앱만 표시됩니다.
논리 앱을 수동으로 트리거하기
보안 경고 또는 권장 사항을 볼 때 논리 앱을 수동으로 실행할 수도 있습니다.
논리 앱을 수동으로 실행하려면 경고 또는 권장 사항을 연 다음 트리거 논리 앱을 선택합니다.
대규모 워크플로 자동화 구성
조직의 모니터링 및 인시던트 대응 프로세스를 자동화하면 보안 인시던트 조사 및 완화에 걸리는 시간이 크게 향상될 수 있습니다.
조직 전체에 자동화 구성을 배포하려면 제공된 Azure Policy DeployIfNotExist 정책(나중에 설명)을 사용하여 워크플로 자동화 절차를 만들고 구성합니다.
워크플로 자동화 템플릿을 시작합니다.
이러한 정책을 구현하려면 다음을 수행합니다.
다음 표에서 적용할 정책을 선택합니다.
목표 Policy 정책 ID 보안 경고에 대한 워크플로 자동화 Microsoft Defender for Cloud 경고에 대한 워크플로 자동화 배포 f1525828-9a90-4fcf-be48-268cdd02361e 보안 추천 사항에 대한 워크플로 자동화 Microsoft Defender for Cloud 권장 사항에 대한 워크플로 자동화 배포 73d6ab6c-2475-4850-afd6-43795f3492ef 규정 준수 변경에 대한 워크플로 자동화 클라우드용 Microsoft Defender 규정 준수에 대한 워크플로 자동화 배포 509122b9-ddd9-47ba-a5f1-d0dac20be63c Azure Policy를 검색하여 정책을 찾을 수도 있습니다. Azure Policy에서 정의를 선택한 다음 이름으로 검색합니다.
관련 Azure Policy 페이지에서 할당을 선택합니다.
기본 사항 탭에서 정책의 범위를 설정합니다. 중앙 집중식 관리를 사용하려면 워크플로 자동화 구성을 사용하는 구독이 포함된 관리 그룹에 정책을 할당합니다.
매개 변수 탭에서 필요한 정보를 입력합니다.
(선택 사항) 수정 탭의 기존 구독에 이 할당을 적용한 다음 수정 작업을 만드는 옵션을 선택합니다.
요약 페이지를 검토한 다음 만들기를 선택합니다.
데이터 형식 스키마
논리 앱에 전달되는 보안 경고 또는 권장 사항 이벤트의 원시 이벤트 스키마를 보려면 워크플로 자동화를 위한 데이터 형식 스키마로 이동합니다. 이 프로세스는 이전에 언급한 클라우드용 Defender 기본 제공 Logic Apps 커넥터를 사용하지 않고 대신 일반 HTTP 커넥터를 사용하는 경우에 유용할 수 있습니다. 이벤트 JSON 스키마를 사용하여 본인이 원하는 대로 수동으로 구문 분석할 수 있습니다.