이 문서에서는 SOC 분석가가 인시던트 작업을 사용하여 Azure Portal의 Microsoft Sentinel에서 인시던트 처리 워크플로 프로세스를 관리하는 방법을 설명합니다.
인시던트 작업은 일반적으로 선임 분석가 또는 SOC 관리자가 설정한 자동화 규칙이나 플레이북에 의해 자동으로 생성됩니다. 그러나 주니어 분석가는 인시던트 내에서 직접 수동으로 자신의 작업을 만들 수 있습니다.
인시던트 세부 정보 페이지에서 특정 인시던트에 대해 수행해야 하는 작업 목록을 보고 진행하면서 완료된 것으로 표시할 수 있습니다.
다양한 역할의 사용 사례
이 문서에서는 SOC 분석가에게 적용되는 다음 시나리오를 다룹니다.
다음 링크의 다른 문서에서는 SOC 관리자, 선임 분석가 및 자동화 엔지니어에게 더 많이 적용되는 시나리오를 다룹니다.
필수 조건
Microsoft Sentinel 응답기 역할은 자동화 규칙 생성과 인시던트 보기 및 편집을 위해 필요합니다. 이 역할은 작업을 추가하고, 보고, 편집하기 위한 필수 조건입니다.
인시던트 작업 보기 및 팔로우
인시던트 페이지의 목록에서 인시던트를 선택하고 세부 정보 패널의 작업에서 전체 세부 정보 보기를 선택하거나 세부 정보 패널 아래쪽에서 전체 세부 정보 보기를 선택합니다.
전체 세부 정보 페이지를 입력하도록 선택한 경우 위쪽 배너에서 작업을 선택합니다.
인시던트 작업 패널은 사용자가 있던 화면의 오른쪽(기본 인시던트 페이지 또는 인시던트 세부 정보 페이지)에서 열립니다. 이 인시던트에 대해 정의된 작업 목록과 함께 수동으로, 자동화 규칙에 의해, 또는 플레이북에 의해 누가 또는 어떤 방식으로 생성되었는지를 확인할 수 있습니다.
설명이 있는 작업은 확장 화살표로 표시됩니다. 작업을 확장하여 전체 설명을 확인합니다.
작업 이름 옆에 있는 원을 표시하여 작업을 완료하도록 표시합니다. 확인 표시가 원에 나타나고 작업의 텍스트가 회색으로 표시됩니다. 위의 스크린샷에서 "사용자 암호 재설정" 예제를 참조하세요.
인시던트에 임시 작업을 수동으로 추가
인시던트의 작업 목록에 즉석에서 직접 작업을 추가할 수도 있습니다. 이 작업은 열린 인시던트에만 적용됩니다. 이는 조사가 새로운 방향으로 나아가고 확인해야 할 새로운 것을 생각하는 경우에 도움이 됩니다. 이러한 작업을 작업으로 추가하면 작업을 수행하는 것을 잊지 않을 것이며, 다른 분석가와 관리자가 활용할 수 있는 작업에 대한 기록이 있을 것입니다.
인시던트 작업 패널의 맨 위에서 + 작업 추가를 선택합니다.
작업에 대한 제목 과 선택한 경우 설명을 입력합니다.
작업을 마쳤으면 저장 을 선택합니다.
작업 목록의 맨 아래에 있는 새 작업을 참조하세요. 수동으로 만든 작업에는 왼쪽 테두리에 다른 색 밴드가 있으며 사용자의 이름은 작업 제목 및 설명 아래에 만든 사람 :으로 표시됩니다.
