이 문서에서는 Microsoft Sentinel의 인시던트에 경보를 연결하는 방법을 보여 줍니다. 이 기능을 사용하면 조사 프로세스의 일부로 Azure Portal의 기존 인시던트에 경고를 수동으로 또는 자동으로 추가하거나 제거하여 조사가 전개됨에 따라 인시던트 범위를 구체화할 수 있습니다.
중요합니다
인시던트 확장은 현재 미리보기 기능으로 제공됩니다. Azure Preview 추가 약관에는 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법적 조건이 포함됩니다.
인시던트 범위와 영향력 확장
이 기능을 통해 수행할 수 있는 한 가지 방법은 한 데이터 원본의 경고를 다른 데이터 원본에서 생성된 인시던트에 포함하는 것입니다. 예를 들어 Microsoft Defender for Cloud 또는 다양한 타사 데이터 원본의 경고를 Microsoft Defender XDR에서 Microsoft Sentinel로 가져온 인시던트에 추가할 수 있습니다.
이 기능은 Microsoft Sentinel API의 최신 버전에 기본 제공됩니다. 즉, Microsoft Sentinel용 Logic Apps 커넥터에서 사용할 수 있습니다. 따라서 플레이북을 사용하여 특정 조건이 충족되는 경우 인시던트에 경고를 자동으로 추가할 수 있습니다.
이 자동화를 사용하여 수동으로 만든 인시던트에 경고를 추가하거나, 사용자 지정 상관 관계를 만들거나, 경고를 만들 때 인시던트에 그룹화하기 위한 사용자 지정 기준을 정의할 수도 있습니다.
제한점
Microsoft Sentinel을 Defender 포털에 온보딩한 후에는 Defender 포털에서만 인시던트에 대한 Microsoft Sentinel 경고를 추가하거나 제거할 수 있습니다. Defender 포털의 인시던트에서 경고를 제거하려면 경고를 다른 인시던트에 추가해야 합니다. 자세한 내용은 Defender 포털에서 경고의 상관 관계 및 인시던트가 병합되는 방법 이해를 참조하세요.
Azure Portal에서 작업할 때 Defender 포털에 온보딩되지 않은 작업 영역에서 Microsoft Sentinel은 Microsoft Defender XDR에서 경고와 인시던트를 모두 가져옵니다. 대부분의 경우 이러한 경고 및 인시던트를 일반 Microsoft Sentinel 경고 및 인시던트와 같이 처리할 수 있습니다.
예를 들어 Defender가 아닌 인시던트에 대한 Microsoft Defender XDR 경고를 추가하거나 제거하고, Defender가 아닌 경고를 Azure Portal의 Microsoft Sentinel에서 직접 Defender 인시던트에 추가하거나 제거할 수 있습니다.
그러나 Defender 포털에서는 Defender 인시던트와 함께 있는 Defender 알림만 관리할 수 있습니다. Azure 포털에서 인시던트의 링크를 사용하여 Defender 포털의 해당 인시던트로 이동합니다. Defender 포털에서 변경한 내용은 Azure Portal에 동기화 되므로 두 포털에 모두 변경 내용이 반영됩니다.
인시던트에는 최대 150개의 경고가 포함될 수 있습니다. 150개의 경고가 포함된 인시던트에 경고를 추가하려고 하면 오류 메시지가 표시됩니다.
엔터티 타임라인을 사용하여 경고 추가(미리 보기)
새 인시던트 환경 (현재 미리 보기)에 소개된 엔터티 타임라인은 특정 인시던트 조사의 모든 엔터티를 제공합니다. 목록의 엔터티를 선택하면 보조 엔터티 페이지가 측면 패널에 표시됩니다.
Microsoft Sentinel 탐색 메뉴에서 인시던트(Incidents)를 선택합니다.
조사할 인시던트를 선택합니다. 인시던트 세부 정보 패널에서 전체 세부 정보 보기를 선택합니다.
인시던트 페이지에서 Entities 탭을 선택합니다.
목록에서 엔터티를 선택합니다.
엔터티 페이지 쪽 패널에서 타임라인 카드를 선택합니다.
열린 인시던트 외부의 경고를 선택합니다. 이는 회색으로 표시된 방패 아이콘과 심각도를 나타내는 점선 색 밴드로 표시됩니다. 해당 경고의 오른쪽 끝에 있는 더하기 기호 아이콘을 선택합니다.
스크린샷: 엔터티 타임라인에서의 외부 경고의 모습
확인을 선택하여 인시던트에 경고 추가를 확인 합니다. 인시던트에 경고 추가를 확인하거나 추가되지 않은 이유를 설명하는 알림을 받게 됩니다.
개요 탭의 열린 인시던트 타임라인 위젯에 추가된 경고가 이제 표시되며, 전체 색상 방패 아이콘과 인시던트의 다른 경고처럼 실선 색 밴드가 포함되어 있는 것을 확인할 수 있습니다.
추가된 경고는 이제 인시던트의 전체 부분이며, 추가된 경고의 모든 엔터티(아직 인시던트에 속하지 않음)도 인시던트의 일부가 되었습니다. 이제 인시던트에 추가될 수 있는 다른 경고에 대한 해당 엔터티의 타임라인을 탐색할 수 있습니다.
인시던트에서 경고 제거
수동으로 또는 자동으로 인시던트에 추가된 경고도 인시던트에서 제거할 수 있습니다.
Microsoft Sentinel 탐색 메뉴에서 인시던트(Incidents)를 선택합니다.
조사할 인시던트를 선택합니다. 인시던트 세부 정보 패널에서 전체 세부 정보 보기를 선택합니다.
개요 탭의 인시던트 타임라인 위젯에서 인시던트에서 제거하려는 경고 옆에 있는 세 개의 점을 선택합니다. 팝업 메뉴에서 경고 제거를 선택합니다.
조사 그래프를 사용하여 경고 추가
조사 그래프는 연결 및 패턴을 제시하고 분석가가 올바른 질문을 하고 리드를 따를 수 있도록 하는 시각적이고 직관적인 도구입니다. 이 기능을 사용하여 인시던트에서 경고를 추가하고 제거하여 조사 범위를 넓히거나 좁힐 수 있습니다.
Microsoft Sentinel 탐색 메뉴에서 인시던트(Incidents)를 선택합니다.
조사할 인시던트를 선택합니다. 인시던트 세부 정보 패널의 [작업] 단추를 선택하고 팝업 메뉴에서 [조사 ]를 선택합니다. 그러면 조사 그래프가 열립니다.
엔터티 위에 마우스를 올리면 옆에 탐색 쿼리 목록이 표시됩니다. 관련 경고를 선택합니다.
관련 경고는 점선으로 엔터티에 연결된 것으로 표시됩니다.
메뉴가 옆으로 나올 때까지 관련 경고 중 하나를 마우스로 가리킵니다. 인시던트에 경고 추가(미리 보기)를 선택합니다.
경고는 인시던트에 추가되며, 모든 상황에서 모든 개체 및 세부 정보와 함께 인시던트의 일부가 됩니다. 다음과 같은 두 가지 시각적 표현이 표시됩니다.
특수 상황
상황에 따라 인시던트에 경고를 추가할 때 요청을 확인하거나 다른 옵션 중에서 선택하라는 메시지가 표시될 수 있습니다. 다음은 이러한 상황의 몇 가지 예, 선택해야 할 선택 사항 및 그 의미입니다.
추가하려는 경고가 이미 다른 인시던트에 속합니다.
이 경우 경고가 다른 인시던트 또는 인시던트의 일부임을 알리고 계속할지 묻는 메시지가 표시됩니다. 확인을 선택하여 경고를 추가하거나 취소를 선택하여 그대로 둡니다.
이 인시던트에 경고를 추가해도 다른 인시던트에서 제거되지는 않습니다 . 경고는 둘 이상의 인시던트에 관련될 수 있습니다. 원하는 경우 위의 메시지 프롬프트에서 링크를 따라 다른 인시던트에서 경고를 수동으로 제거할 수 있습니다.
추가하려는 경고는 다른 인시던트에 속하며 다른 인시던트에서 유일한 경고입니다.
이는 위의 경우와 다릅니다. 경고가 다른 인시던트에 혼자 있는 경우, 이 인시던트 내에서 추적하면 다른 인시던트가 무관해질 수 있기 때문입니다. 따라서 이 경우 다음 대화 상자가 표시됩니다.
다른 인시던트 유지 는 다른 인시던트도 그대로 유지하면서 이 인시던트에 경고를 추가합니다.
다른 인시던트 닫기 에서는 이 인시던트에 경고가 추가되고 다른 인시던트가 닫힙니다. "결정되지 않은" 종료 이유와 열린 인시던트의 번호와 함께 "경고가 다른 인시던트에 추가되었습니다"라는 주석이 추가됩니다.
취소 는 현재 상태를 유지합니다. 열려 있는 인시던트 또는 기타 참조된 인시던트가 변경되지 않습니다.
이러한 옵션 중에서 선택하는 옵션은 특정 요구 사항에 따라 달라집니다. 한 가지 선택은 다른 선택보다 권장하지 않습니다.
플레이북을 사용하여 경고 추가/제거
인시던트에 경고 추가 및 제거는 Microsoft Sentinel 커넥터에서 Logic Apps 작업으로 사용할 수 있으므로 Microsoft Sentinel 플레이북에서도 사용할 수 있습니다. 인시던트 ARM ID와 시스템 경고 ID를 매개 변수로 제공해야 하며 경고 및 인시던트 트리거 모두에 대한 플레이북 스키마에서 둘 다 찾을 수 있습니다.
Microsoft Sentinel은 이 기능을 사용하는 방법을 보여 주는 샘플 플레이북 템플릿을 템플릿 갤러리에 제공합니다.
이 플레이북에서는 인시던트에 알림 추가(미리 보기) 작업이 이렇게 사용되며, 이를 다른 곳에서 어떻게 활용할 수 있는지에 대한 예제로 보여줍니다.
API를 사용하여 경고 추가/제거
이 기능을 사용하기 위해 포털에 국한되지 않습니다. 또한 인시던트 관계 작업 그룹을 통해 Microsoft Sentinel API를 통해 액세스할 수 있습니다. 이를 통해 경고와 인시던트 간의 관계를 가져오기, 만들기, 업데이트 및 삭제할 수 있습니다.
관계 만들기
인시던트에 경고를 추가하려면 두 항목 간에 관계를 만듭니다. 다음 엔드포인트를 사용하여 기존 인시던트에 경고를 추가합니다. 이 요청이 수행되면 경고가 인시던트에 조인하고 포털의 인시던트에 있는 경고 목록에 표시됩니다.
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview
요청 본문은 다음과 같습니다.
{
"properties": {
"relatedResourceId": "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/entities/{systemAlertId}"
}
}
관계 삭제
인시던트 간의 관계를 삭제하여 인시던트에서 경고를 제거합니다. 다음 엔드포인트를 사용하여 기존 인시던트에서 경고를 제거합니다. 이 요청이 수행되면 경고가 더 이상 인시던트에 연결되거나 표시되지 않습니다.
DELETE https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations/{relationName}?api-version=2022-07-01-preview
경고 관계 나열
이 엔드포인트 및 요청을 사용하여 특정 인시던트와 관련된 모든 경고를 나열할 수도 있습니다.
GET https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}/relations?api-version=2022-07-01-preview
특정 오류 코드
일반 API 설명서에는 위에서 언급한 만들기, 삭제 및 나열 작업에 대한 예상 응답 코드가 나열되어 있습니다. 오류 코드는 일반 범주로만 언급됩니다. 다음은 "기타 상태 코드" 범주 아래에 나열된 가능한 특정 오류 코드 및 메시지입니다.
코드 | 메시지 |
---|---|
400 잘못된 요청 | 관계를 만들지 못했습니다. {relationName}라는 이름의 다른 관계 유형이 이미 인시던트 {incidentIdentifier}에 있습니다. |
400 잘못된 요청 | 관계를 만들지 못했습니다. 알림 {systemAlertId}이(가) 인시던트 {incidentIdentifier}에 이미 있습니다. |
400 잘못된 요청 | 관계를 만들지 못했습니다. 관련 리소스 및 인시던트가 동일한 작업 영역에 속해야 합니다. |
400 잘못된 요청 | 관계를 만들지 못했습니다. Microsoft Defender XDR 경고는 Microsoft Defender XDR 인시던트에 추가할 수 없습니다. |
400 잘못된 요청 | 관계를 삭제하지 못했습니다. Microsoft Defender XDR 인시던트에서 Microsoft Defender XDR 경고를 제거할 수 없습니다. |
404 찾을 수 없음 | 리소스 '{systemAlertId}'가 없습니다. |
404 찾을 수 없음 | 인시던트가 없습니다. |
409 충돌 | 관계를 만들지 못했습니다. {relationName} 이름의 관계는 이미 인시던트 {incidentIdentifier}에서 다른 알림 {systemAlertId}과 존재합니다. |
다음 단계
이 문서에서는 Microsoft Sentinel 포털 및 API를 사용하여 인시던트에 경고를 추가하고 제거하는 방법을 알아보았습니다. 자세한 내용은 다음을 참조하세요.