SOC(보안 운영 센터)는 지속적인 보안 경고 및 인시던트 스트림에 직면합니다. 이러한 사항을 효율적으로 관리하는 것은 조직의 보안을 강력하게 유지하는 데 중요합니다. Microsoft Sentinel 플레이북은 위협에 빠르고 일관되게 대응하는 데 도움이 되는 자동화된 워크플로입니다. 이 문서에서는 Microsoft Sentinel의 플레이북을 사용하여 위협 대응을 자동화하고 수동 작업을 줄이며 팀이 심층 조사에 집중할 수 있도록 하는 방법을 보여 줍니다.
Microsoft Sentinel 플레이북을 사용하여 미리 구성된 수정 작업 집합을 실행하고 위협 대응을 자동화하고 오케스트레이션합니다. 구성된 자동화 규칙을 트리거하는 특정 경고 및 인시던트에 대한 응답으로 플레이북을 자동으로 실행하거나 특정 엔터티 또는 경고에 대해 수동으로 실행합니다.
예를 들어 계정과 컴퓨터가 손상된 경우 플레이북은 SOC 팀이 인시던트에 대한 알림을 받기 전에 네트워크에서 컴퓨터를 자동으로 격리하고 계정을 차단할 수 있습니다.
참고 항목
플레이북은 Azure Logic Apps를 사용하기 때문에 추가 요금이 적용될 수 있습니다. 자세한 내용은 Azure Logic Apps 가격 책정 페이지로 이동합니다.
중요합니다
Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스가 없는 고객을 포함하여 Microsoft Defender 포털에서 일반적으로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털에서 Microsoft Sentinel을 참조하세요.
권장 사용 사례
다음 표에서는 Microsoft Sentinel 플레이북이 위협 대응을 자동화하는 데 도움이 되는 일반적인 사용 사례를 나열합니다.
| 사용 사례 | 설명 |
|---|---|
| 농축 | 데이터를 수집하고 인시던트에 연결하여 팀이 더 나은 결정을 내릴 수 있도록 합니다. |
| 양방향 동기화 | Microsoft Sentinel 인시던트를 다른 티켓팅 시스템과 동기화합니다. 예를 들어 모든 새 인시던트에 대한 자동화 규칙을 만들고 ServiceNow에서 티켓을 여는 플레이북을 첨부합니다. |
| 오케스트레이션 | SOC 팀의 채팅 플랫폼을 사용하여 인시던트 큐를 관리합니다. 예를 들어 보안 분석가가 인시던트에 대해 알 수 있도록 Microsoft Teams 또는 Slack의 보안 운영 채널에 메시지를 보냅니다. |
| 응답 | 손상된 사용자 또는 컴퓨터가 감지되는 경우와 같이 최소한의 사용자 개입으로 위협에 즉시 대응합니다. 또는 조사 중 또는 헌팅하는 동안 자동화된 단계를 수동으로 트리거합니다. |
자세한 내용은 권장 플레이북 사용 사례, 템플릿 및 예제를 참조하세요.
필수 조건
Azure Logic Apps를 사용하여 Microsoft Sentinel에서 플레이북을 만들고 실행하려면 다음 역할이 필요합니다.
| 역할 | 설명 |
|---|---|
| 소유자 | 리소스 그룹의 플레이북에 대한 액세스 권한을 부여할 수 있습니다. |
| Microsoft Sentinel 기여자 | 분석 또는 자동화 규칙에 플레이북을 연결할 수 있습니다. |
| Microsoft Sentinel 대응자 | 플레이북을 수동으로 실행하기 위해 인시던트에 액세스할 수 있지만 플레이북을 실행할 수는 없습니다. |
| Microsoft Sentinel 플레이북 운영자 | 플레이북을 수동으로 실행할 수 있습니다. |
| Microsoft Sentinel Automation 기여자 | 자동화 규칙이 플레이북을 실행하도록 허용합니다. 이 역할은 다른 목적으로 사용되지 않습니다. |
다음 표에서는 플레이북을 만들 소비 또는 표준 논리 앱을 선택하는지 여부에 따라 필요한 역할을 설명합니다.
| 논리 앱 | Azure 역할 | 설명 |
|---|---|---|
| 소비 | 논리 앱 기여자 | 논리 앱을 편집하고 관리합니다. 플레이북을 실행합니다. 플레이북에 대한 액세스 권한을 부여할 수 없습니다. |
| 소비 | Logic App 연산자 | 논리 앱을 읽고, 사용하도록 설정하고, 사용하지 않도록 설정합니다. 논리 앱을 편집하거나 업데이트할 수 없습니다. |
| 스탠다드 | Logic Apps 표준 연산자 | 논리 앱에서 워크플로를 사용하도록 설정하고, 다시 제출하고, 사용하지 않도록 설정합니다. |
| 스탠다드 | Logic Apps 표준 개발자 | 논리 앱을 만들고 편집합니다. |
| 스탠다드 | Logic Apps 표준 기여자 | 논리 앱의 모든 측면을 관리합니다. |
Automation 페이지의 활성 플레이북 탭에는 선택한 구독에서 사용할 수 있는 모든 활성 플레이북이 표시됩니다. 기본적으로 플레이북의 리소스 그룹에 Microsoft Sentinel 권한을 특별히 부여하지 않는 한, 플레이북은 자신이 속한 구독 내에서만 사용할 수 있습니다.
Microsoft Sentinel이 플레이북을 실행하려면 추가 권한 필요
Microsoft Sentinel은 서비스 계정을 사용하여 인시던트에 대한 플레이북을 실행하고 보안을 추가하며 자동화 규칙 API를 사용하도록 설정하여 CI/CD 사용 사례를 지원합니다. 이 서비스 계정은 인시던트로 인해 트리거된 플레이북에 사용되거나 특정 인시던트에 대해 수동으로 플레이북을 실행할 때 사용됩니다.
사용자 고유의 역할 및 권한 외에도 이 Microsoft Sentinel 서비스 계정에는 플레이북이 있는 리소스 그룹에 대한 자체 권한 집합이 Microsoft Sentinel Automation 기여자 역할 형식이어야 합니다. Microsoft Sentinel이 이 역할을 갖게 되면 수동으로 또는 자동화 규칙을 통해 관련 리소스 그룹의 모든 플레이북을 실행할 수 있습니다.
필요한 권한으로 Microsoft Sentinel에 권한을 부여하려면 소유자 또는 사용자 액세스 관리자 역할이 있어야 합니다. 플레이북을 실행하려면 실행하려는 플레이북이 포함된 리소스 그룹에 대한 논리 앱 기여자 역할도 필요합니다.
플레이북 템플릿(미리 보기)
중요합니다
플레이북 템플릿은 현재 미리 보기로 제공됩니다. 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법적 용어는 Microsoft Azure 미리 보기에 대한 추가 사용 약관 을 참조하세요.
플레이북 템플릿은 플레이북 자체로 사용할 수 없지만 요구 사항에 맞게 사용자 지정할 준비가 된 미리 빌드되고 테스트되고 즉시 사용할 수 있는 워크플로입니다. 또한 처음부터 플레이북을 개발할 때 플레이북 템플릿을 모범 사례에 대한 참조로 사용하거나 새로운 자동화 시나리오에 대한 영감을 위해 사용하는 것이 좋습니다.
다음 원본에서 플레이북 템플릿을 가져옵니다.
| 위치 | 설명 |
|---|---|
| Microsoft Sentinel Automation 페이지 |
플레이북 템플릿 탭에는 설치된 모든 플레이북이 표시됩니다. 동일한 템플릿을 사용하여 하나 이상의 활성 플레이북을 만듭니다. 새 버전의 템플릿이 게시되면 해당 템플릿에서 만든 모든 활성 플레이북은 활성 플레이북 탭에 추가 레이블을 가져와 업데이트를 사용할 수 있음을 표시합니다. |
| Microsoft Sentinel 콘텐츠 허브 페이지 | 플레이북 템플릿은 콘텐츠 허브에서 설치하는 제품 솔루션 또는 독립 실행형 콘텐츠의 일부입니다. 자세한 내용은 다음을 참조하세요. Microsoft Sentinel 콘텐츠 및 솔루션 정보 Microsoft Sentinel 기본 제공 콘텐츠 검색 및 관리 |
| 깃허브 | Microsoft Sentinel GitHub 리포지토리에는 다른 많은 플레이북 템플릿이 있습니다. Azure에 배포를 선택하여 Azure 구독에 템플릿을 배포합니다. |
플레이북 템플릿은 관련된 각 연결에 대한 Azure Logic Apps 워크플로 및 API 연결과 같은 여러 리소스를 포함하는 ARM(Azure Resource Manager) 템플릿 입니다.
자세한 내용은 다음을 참조하세요.
- 콘텐츠 템플릿에서 Microsoft Sentinel 플레이북 만들기 및 사용자 지정
- 권장 플레이북 템플릿
- Microsoft Sentinel용 Azure Logic Apps 플레이북
플레이북 만들기 및 사용 워크플로
다음 단계에 따라 Microsoft Sentinel 플레이북을 만들고 실행합니다.
자동화 시나리오를 정의합니다. 시작하려면 권장 플레이북 사용 사례 및 플레이북 템플릿을 검토합니다.
템플릿을 사용하지 않는 경우 플레이북을 만들고 논리 앱을 빌드합니다. 자세한 내용은 Microsoft Sentinel 플레이북 만들기 및 관리를 참조하세요.
논리 앱을 수동으로 실행하여 테스트합니다. 자세한 내용은 요구 시 플레이북을 수동으로 실행하기를 참조하세요.
새 경고 또는 인시던트가 생성될 때 자동으로 실행되도록 플레이북을 설정하거나 프로세스에 필요한 경우 수동으로 실행합니다. 자세한 내용은 Microsoft Sentinel 플레이북을 사용하여 위협에 대응하세요.