플레이북 템플릿은 요구 사항에 맞게 사용자 지정할 수 있는 Microsoft Sentinel용으로 미리 빌드되고 테스트되었으며 즉시 사용 가능한 자동화 워크플로입니다. 템플릿은 플레이북을 처음부터 개발할 때 모범 사례에 대한 참조 역할을 하거나 새로운 자동화 시나리오에 대한 영감을 줄 수도 있습니다.
플레이북 템플릿 자체는 활성 플레이북이 아니므로 필요에 따라 편집 가능한 복사본을 만들어야 합니다.
전 세계 보안 운영 센터에서 사용하는 인기 있는 자동화 시나리오를 기반으로 하여 Microsoft Sentinel 커뮤니티, ISV(독립 소프트웨어 공급업체) 및 Microsoft 전문가가 다양한 플레이북 템플릿을 개발합니다.
중요합니다
플레이북 템플릿은 현재 미리 보기로 제공됩니다. 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법적 용어는 Microsoft Azure 미리 보기에 대한 추가 사용 약관 을 참조하세요.
Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스가 없는 고객을 포함하여 Microsoft Defender 포털에서 일반적으로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털에서 Microsoft Sentinel을 참조하세요.
필수 조건
플레이북을 만들고 관리하려면 다음 Azure 역할 중 하나를 사용하여 Microsoft Sentinel에 액세스해야 합니다.
- 논리 앱 기여자, 논리 앱 편집 및 관리
- Logic App 운영자, 논리 앱 읽기, 사용 설정 및 사용 중지
자세한 내용은 Microsoft Sentinel 플레이북 필수 구성 요소를 참조하세요.
플레이북을 만들기 전에 Microsoft Sentinel용 Azure Logic Apps 플레이북을 읽는 것이 좋습니다.
플레이북 템플릿에 액세스
다음 원본에서 플레이북 템플릿에 액세스합니다.
| 위치 | 설명 |
|---|---|
| Microsoft Sentinel Automation 페이지 |
플레이북 템플릿 탭에는 설치된 모든 플레이북이 나열됩니다. 동일한 템플릿을 사용하여 하나 이상의 활성 플레이북을 만듭니다. 새 버전의 템플릿을 게시할 때 해당 템플릿에서 만든 모든 활성 플레이북에는 업데이트를 사용할 수 있음을 나타내는 추가 레이블이 활성 플레이북 탭에 추가됩니다. |
| Microsoft Sentinel 콘텐츠 허브 페이지 | 플레이북 템플릿은 콘텐츠 허브에서 설치된 제품 솔루션 또는 독립 실행형 콘텐츠의 일부로 사용할 수 있습니다. 자세한 내용은 다음을 참조하세요. Microsoft Sentinel 콘텐츠 및 솔루션 정보 Microsoft Sentinel 기본 제공 콘텐츠 검색 및 관리 |
| 깃허브 | Microsoft Sentinel GitHub 리포지토리에는 다른 많은 플레이북 템플릿이 포함되어 있습니다. Azure에 배포를 선택하여 Azure 구독에 템플릿을 배포합니다. |
기술적으로 플레이북 템플릿은 ARM(Azure Resource Manager) 템플릿으로, 관련된 각 연결에 대한 Azure Logic Apps 워크플로 및 API 연결과 같은 여러 리소스로 구성됩니다.
이 문서에서는 Automation 아래의 플레이북 템플릿 탭에서 플레이북 템플릿을 배포하는 방법에 중점을 둡니다.
플레이북 템플릿 살펴보기
Azure Portal의 Microsoft Sentinel에 대해 콘텐츠 관리>콘텐츠 허브 페이지를 선택합니다. Defender 포털의 Microsoft Sentinel에 대해 Microsoft Sentinel>>를 선택합니다.
콘텐츠 허브 페이지에서 콘텐츠 유형을 선택하여 플레이북을 필터링합니다. 이 필터링된 보기에 플레이북 템플릿이 하나 이상 포함된 모든 솔루션과 독립 실행형 콘텐츠가 나열됩니다. 솔루션이나 독립 실행형 콘텐츠를 설치하여 템플릿을 가져옵니다.
그런 다음 Configuration>Automation>플레이북 템플릿 탭을 선택하여 설치된 템플릿을 봅니다. 예시:
요구 사항에 맞는 플레이북 템플릿을 찾으려면 다음 기준에 따라 목록을 필터링합니다.
| 필터 | 설명 |
|---|---|
| 트리거 | 인시던트, 경고 또는 엔터티를 포함하여 플레이북이 트리거되는 방식을 기준으로 필터링합니다. 자세한 내용은 지원되는 Microsoft Sentinel 트리거를 참조하세요. |
| Logic Apps 연결기 | 플레이북이 상호 작용하는 외부 서비스를 기준으로 필터링합니다. 배포 프로세스 중에 각 커넥터에서 외부 서비스에 인증할 ID를 가정해야 합니다. |
| 엔터티 | 플레이북이 인시던트에서 찾을 것으로 예상하는 엔터티 형식을 기준으로 필터링합니다. 예를 들어, 방화벽에 IP 주소를 차단하라고 지시하는 플레이북은 인시던트에서 IP 주소를 찾을 것으로 예상합니다. 이러한 인시던트는 무차별 공격 분석 규칙에 의해 만들어질 수 있습니다. |
| 태그 | 플레이북에 적용된 레이블을 기준으로 필터링하고, 플레이북을 특정 시나리오에 연결하거나, 특수한 특성을 나타냅니다. 예: - 보강 - 인시던트에 컨텍스트를 추가하기 위해 다른 서비스에서 정보를 가져오는 플레이북입니다. 이 정보는 일반적으로 인시던트에 대한 설명으로 추가되거나 SOC로 전송됩니다. - 수정 - 잠재적인 위협을 제거하기 위해 영향을 받는 엔터티에 대한 작업을 수행하는 플레이북입니다. - 동기화 - 인시던트 관리 서비스와 같은 외부 서비스를 인시던트의 속성으로 업데이트하는 데 도움이 되는 플레이북입니다. - 알림 - 전자 메일 또는 메시지를 보내는 플레이북입니다. - Teams의 응답 - 분석가가 대화형 카드를 사용하여 Teams에서 수동 작업을 수행할 수 있도록 하는 플레이북입니다. |
예시:
템플릿에서 플레이북 사용자 지정
이 절차에서는 플레이북 템플릿을 배포하는 방법을 설명하고 동일한 템플릿에서 여러 플레이북을 만들기 위해 반복할 수 있습니다.
대부분의 플레이북 템플릿은 그대로 사용할 수 있지만 필요에 따라 SOC 요구 사항에 맞게 플레이북을 조정하는 것이 좋습니다.
플레이북 템플릿 탭에서 시작할 플레이북을 선택합니다.
플레이북에 필수 조건이 있는 경우 지침을 따라야 합니다. 예시:
일부 플레이북은 다른 플레이북을 작업으로 호출합니다. 이 두 번째 플레이북을 중첩된 플레이북이라고 합니다. 이 경우 사전 요구 사항 중 하나는 먼저 중첩된 플레이북을 배포하는 것입니다.
일부 플레이북을 사용하려면 사용자 지정 Logic Apps 커넥터나 Azure Function을 배포해야 합니다. 이러한 경우 일반 ARM 템플릿 배포 프로세스로 연결되는 Azure에 배포 링크가 있습니다.
플레이북 만들기를 선택하여 선택한 템플릿에 따라 플레이북 만들기 마법사를 엽니다. 마법사에는 다음 네 개의 탭이 있습니다.
기본: Logic Apps 리소스인 새 플레이북을 찾아 이름을 지정합니다. 기본값을 사용할 수 있습니다. 예시:
매개 변수: 플레이북에서 사용하는 고객별 값을 입력합니다. 예를 들어, 플레이북이 SOC에 이메일을 보내는 경우 수신자 주소를 정의합니다. 플레이북에 사용 중인 사용자 지정 커넥터가 있는 경우 동일한 리소스 그룹에 배포해야 하며 매개 변수 탭에 이름을 입력하라는 메시지가 표시됩니다.
매개 변수 탭은 플레이북에 매개 변수가 있는 경우에만 표시됩니다. 예시:
연결: 각 작업을 확장하여 이전 플레이북에 대해 만든 기존 연결을 확인합니다. 기존 연결을 사용하거나 새 연결을 만들도록 선택할 수 있습니다. 예시:
새 연결을 만들려면 배포 후 새 연결 만들기를 선택합니다. 이 옵션을 사용하면 배포 프로세스가 완료된 후에 Logic Apps 디자이너로 이동합니다.
사용자 지정 커넥터는 매개 변수 탭에 입력된 사용자 지정 커넥터 이름으로 나열됩니다.
Microsoft Sentinel과 같은 관리 ID와의 연결을 지원하는 커넥터의 경우 관리 ID가 기본 연결 방법입니다.
자세한 내용은 Microsoft Sentinel에 대한 플레이북 인증을 참조하세요.
검토 및 만들기: 플레이북을 만들기 전에 프로세스의 요약을 보고 입력의 유효성 검사를 기다립니다.
플레이북 만들기 마법사의 단계를 끝까지 수행하면 Logic Apps 디자이너의 새 플레이북 워크플로 디자인으로 이동됩니다. 예시:
각 커넥터에 대해 배포 후 새 연결을 만들도록 선택했습니다.
탐색 메뉴에서 API 연결을 선택한 다음 연결 이름을 선택합니다. 예시:
탐색 메뉴에서 API 연결 편집 을 선택합니다.
필요한 매개 변수를 입력하고 저장을 선택합니다. 예시:
또는 Logic Apps 디자이너의 관련 단계 내에서 새 연결을 만듭니다.
오류 기호와 함께 표시되는 각 단계에 대해 해당 단계를 선택하여 확장한 다음 새로 추가를 선택합니다.
관련 지침에 따라 인증합니다. 자세한 내용은 Microsoft Sentinel에 대한 플레이북 인증을 참조하세요.
동일한 커넥터를 사용하는 다른 단계가 있는 경우 해당 상자를 펼칩니다. 표시되는 연결 목록에서 방금 만든 연결을 선택합니다.
Microsoft Sentinel(또는 지원되는 다른 연결)에 관리 ID 연결을 사용하도록 선택한 경우 Microsoft Sentinel 작업 영역(또는 다른 커넥터의 관련 대상 리소스)에 대한 권한을 새 플레이북에 부여해야 합니다.
플레이북을 저장합니다. 플레이북이 활성 플레이북 탭에 나타납니다.
플레이북을 실행하려면 자동 응답을 설정하거나 수동으로 실행합니다. 자세한 내용은 Microsoft Sentinel 플레이북을 사용하여 위협에 대응하세요.
플레이북 템플릿의 문제 보고
버그를 보고하거나 플레이북에 대한 개선 사항을 요청하려면 플레이북의 세부 정보 창에서 지원되는 링크를 선택합니다. 커뮤니티에서 지원하는 플레이북인 경우 링크를 통해 GitHub 이슈를 열 수 있습니다. 그렇지 않은 경우 피드백을 보내는 방법에 대한 정보가 포함된 후원자 페이지로 이동됩니다.