Microsoft Sentinel 자동화 규칙을 만들고 사용하여 응답 관리
이 문서에서는 Microsoft Sentinel에서 자동화 규칙을 만들고 사용하여 SOC의 효율성과 효과를 극대화하기 위해 위협 응답을 관리하고 조정하는 방법을 설명합니다.
이 문서에서는 자동화 규칙이 실행되는 시기, 규칙이 수행할 수 있는 다양한 작업 및 나머지 기능 등을 결정하는 트리거 및 조건을 정의하는 방법을 알아봅니다.
Important
자동화 규칙의 주목할 만한 기능은 현재 미리 보기로 제공됩니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.
Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼의 공개 미리 보기의 일부로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.
자동화 규칙 디자인
자동화 규칙을 만들기 전에 규칙을 구성하는 트리거, 조건, 작업을 포함하여 규칙의 범위와 디자인을 결정하는 것이 좋습니다.
범위 확인
자동화 규칙을 디자인하고 정의하는 첫 번째 단계는 적용할 인시던트 또는 경고를 파악하는 것입니다. 이 결정은 규칙을 만드는 방법에 직접적인 영향을 미칩니다.
또한 사용 사례를 확인하려고 합니다. 이 자동화를 사용하여 무엇을 수행하려고 하나요? 다음 옵션을 살펴보세요.
- 분석가가 인시던트 심사, 조사 및 수정에 따라 수행할 작업을 만듭니다.
- 노이즈가 많은 인시던트를 억제합니다. (또는 다른 메서드를 사용하여 Microsoft Sentinel에서 가양성을 처리하세요.)
- 상태를 신규에서 활성으로 변경하고 소유자를 할당하여 새 인시던트를 심사합니다.
- 인시던트에 태그를 지정하여 분류합니다.
- 새 소유자를 할당하여 인시던트를 에스컬레이션합니다.
- 해결된 인시던트를 닫고 이유를 지정하고 설명을 추가합니다.
- 인시던트의 내용(경고, 엔터티 및 기타 속성)을 분석하고 플레이북을 호출하여 추가 작업을 수행합니다.
- 관련 인시던트 없이 경고를 처리하거나 이에 대응합니다.
트리거 확인
새 인시던트 또는 경고가 생성될 때 이 자동화를 활성화하시겠습니까? 또는 인시던트가 업데이트될 때마다 수행하시겠어요?
자동화 규칙은 인시던트가 만들어지거나 업데이트될 때 또는 경고가 만들어질 때 트리거됩니다. 인시던트에는 경고가 포함되며, 경고와 인시던트 모두 Microsoft Sentinel의 기본 제공 분석 규칙으로 위협 탐지에 설명된 여러 형식이 있는 분석 규칙에 따라 만들어진다는 점에 유의하세요.
다음 표에는 자동화 규칙이 실행되도록 하는 가능한 여러 시나리오가 나와 있습니다.
| 트리거 형식 | 규칙을 실행하게 하는 이벤트 |
|---|---|
| 인시던트가 생성될 때 | Microsoft Defender의 통합 보안 운영 플랫폼: 통합 플랫폼에 온보딩되지 않은 Microsoft Sentinel: |
| 인시던트가 업데이트될 때 | |
| 경고가 만들어질 때 |
자동화 규칙 만들기
다음 지침의 대부분은 자동화 규칙을 만드는 모든 사용 사례에 적용됩니다.
시끄러운 인시던트가 표시되지 않도록 하려면 가양성 처리를 시도해 보세요.
특정 분석 규칙에 적용할 자동화 규칙을 만들려면 자동화된 응답 설정 및 규칙 만들기를 참조하세요.
자동화 규칙 만들기:
Azure Portal의 Microsoft Sentinel의 경우 구성>자동화 페이지를 선택합니다. Defender 포털에서 Microsoft Sentinel의 경우 Microsoft Sentinel>구성>자동화를 선택합니다.
Microsoft Sentinel 탐색 메뉴의 자동화 페이지에서 상단 메뉴에서 만들기를 선택하고 자동화 규칙을 선택합니다.
새 자동화 규칙 만들기 패널이 열립니다. 자동화 규칙 이름 필드에 규칙의 이름을 입력합니다.
트리거 선택
트리거 드롭다운에서 자동화 규칙을 만드는 상황에 따라 적절한 트리거를 선택합니다(인시던트가 생성되는 경우, 인시던트가 업데이트되는 경우 또는 경고가 생성되는 경우).
조건 정의
조건 영역의 옵션을 사용하여 자동화 규칙에 대한 조건을 정의합니다.
경고를 만들 때 만드는 규칙은 조건의 If Analytic 규칙 이름 속성만 지원합니다. 규칙을 포함할지(포함) 또는 배타적(포함 안 됨)을 선택할지 선택한 다음, 드롭다운 목록에서 분석 규칙 이름을 선택합니다.
분석 규칙 이름 값에는 분석 규칙만 포함되며 위협 인텔리전스 또는 변칙 규칙과 같은 다른 형식의 규칙은 포함되지 않습니다.
인시던트를 만들거나 업데이트할 때 만드는 규칙은 환경에 따라 다양한 조건을 지원합니다. 작업 영역이 통합 보안 운영 플랫폼에 온보딩되어 있는지 여부부터 시작합니다.
작업 영역이 통합 보안 운영 플랫폼에 온보딩된 경우 먼저 Azure 또는 Defender 포털에서 다음 연산자 중 하나를 선택합니다.
AND: 그룹으로 평가될 개별 조건입니다. 이 형식의 모든 조건이 충족되면 규칙이 실행됩니다.
AND 연산자로 작업하려면 + 추가 확장자를 선택하고 드롭다운 목록에서 조건(And)을 선택합니다. 조건 목록은 인시던트 속성 및 엔터티 속성 필드로 채워집니다.
OR(또는 조건 그룹): 조건 그룹은 각각 독립적으로 평가됩니다. 하나 이상의 조건 그룹이 true이면 규칙이 실행됩니다. 이러한 복잡한 형식의 조건으로 작업하는 방법을 알아보려면 자동화 규칙에 고급 조건 추가를 참조하세요.
예시:
인시던트를 트리거로 업데이트한 경우 먼저 조건을 정의한 다음 필요에 따라 추가 연산자와 값을 추가합니다.
조건을 정의하려면 다음을 수행합니다.
왼쪽의 첫 번째 드롭다운 상자에서 속성을 선택합니다. 검색 상자에 속성 이름의 일부를 입력하여 목록을 동적으로 필터링할 수 있으므로 원하는 항목을 빠르게 찾을 수 있습니다.
오른쪽의 다음 드롭다운 상자에서 연산자를 선택합니다.
선택할 수 있는 연산자 목록은 선택한 트리거 및 속성에 따라 달라집니다.
만들기 트리거에서 사용할 수 있는 조건
속성 연산자 집합 - 제목
- 설명
- 나열된 모든 엔터티 속성- 같음/같지 않음
- 포함/포함 안 함
- 다음으로 시작/다음으로 시작하지 않음
- 다음으로 끝남/다음으로 끝나지 않음- 태그(개별 대 컬렉션참조) 개별 태그:
- 같음/같지 않음
- 포함/포함 안 함
- 다음으로 시작/다음으로 시작하지 않음
- 다음으로 끝남/다음으로 끝나지 않음
모든 태그의 컬렉션:
- 포함/포함 안 함- 심각도
- 상태
- 사용자 지정 세부 정보 키- 같음/같지 않음 - 전술
- 제품 이름 경고
- 사용자 지정 세부 정보 값
- 분석 규칙 이름- 포함/포함 안 함 업데이트 트리거에서 사용할 수 있는 조건
속성 연산자 집합 - 제목
- 설명
- 나열된 모든 엔터티 속성- 같음/같지 않음
- 포함/포함 안 함
- 다음으로 시작/다음으로 시작하지 않음
- 다음으로 끝남/다음으로 끝나지 않음- 태그(개별 대 컬렉션참조) 개별 태그:
- 같음/같지 않음
- 포함/포함 안 함
- 다음으로 시작/다음으로 시작하지 않음
- 다음으로 끝남/다음으로 끝나지 않음
모든 태그의 컬렉션:
- 포함/포함 안 함- 태그(위에 추가)
- 경고
- 설명- 추가됨 - 심각도
- 상태- 같음/같지 않음
- 변경됨
- 다음에서 변경
- 다음으로 변경- 담당자 - 변경됨 - 업데이트한 사람
- 사용자 지정 세부 정보 키- 같음/같지 않음 - 전술 - 포함/포함 안 함
- 추가됨- 제품 이름 경고
- 사용자 지정 세부 정보 값
- 분석 규칙 이름- 포함/포함 안 함 업데이트 트리거로 사용할 수 있는 조건
경고 만들기 트리거를 기반으로 규칙에 의해 평가될 수 있는 유일한 조건은 경고를 만든 Microsoft Sentinel 분석 규칙입니다.
따라서 경고 트리거를 기반으로 하는 자동화 규칙은 Microsoft Sentinel에서 만든 경고에서만 실행됩니다.
오른쪽 필드에 값을 입력합니다. 선택한 속성에 따라 닫힌 값 목록에서 선택하는 텍스트 상자 또는 드롭다운일 수 있습니다. 텍스트 상자 오른쪽에 있는 주사위 아이콘을 선택하여 여러 값을 추가할 수도 있습니다.
다시 말하지만, 다른 필드에서 복합 Or 조건을 설정하려면 자동화 규칙에 고급 조건 추가를 참조하세요.
태그 기반 조건
태그를 기반으로 다음 두 종류의 조건을 만들 수 있습니다.
- 개별 태그 연산자가 있는 조건은 컬렉션의 모든 태그에 대해 지정된 값을 평가합니다. 하나 이상의 태그가 조건을 충족할 경우 평가는 true입니다.
- 모든 태그 연산자의 컬렉션이 있는 조건은 태그 컬렉션에 대해 지정된 값을 단일 단위로 평가합니다. 컬렉션 전체 조건이 충족되는 경우에만 평가는 true입니다.
인시던트의 태그에 따라 이러한 조건 중 하나를 추가하려면 다음 단계를 수행합니다.
위에서 설명한 대로 새 자동화 규칙을 만듭니다.
조건 또는 조건 그룹을 추가합니다.
속성 드롭다운 목록에서 태그를 선택합니다.
연산자 드롭다운 목록을 선택하여 선택할 수 있는 연산자를 표시합니다.
앞에서 설명한 대로 연산자를 두 범주로 나누는 방법을 알아보세요. 태그를 평가하는 방법에 따라 연산자를 신중하게 선택합니다.
자세한 내용은 태그 속성: 개별 대 컬렉션을 참조하세요.
사용자 지정 세부 정보를 기반으로 하는 조건
인시던트에 표시되는 사용자 지정 세부 정보 값을 자동화 규칙의 조건으로 설정할 수 있습니다. 사용자 지정 세부 정보는 경고 및 해당 레코드에서 생성된 인시던트에 표시될 수 있는 원시 이벤트 로그 레코드의 데이터 요소입니다. 사용자 지정 세부 정보를 통해 쿼리 결과를 심층 분석하지 않고도 경고의 실제 관련 콘텐츠를 확인할 수 있습니다.
사용자 지정 세부 정보를 기반으로 조건을 추가하려면:
이전에 설명한 대로 새 자동화 규칙을 만듭니다.
조건 또는 조건 그룹을 추가합니다.
속성 드롭다운 목록에서 사용자 지정 세부 정보 키를 선택합니다. 연산자 드롭다운 목록에서 같음 또는 같지 않음을 선택합니다.
사용자 지정 세부 정보 조건의 경우 마지막 드롭다운 목록의 값은 첫 번째 조건에 나와 있는 모든 분석 규칙에 표시된 사용자 지정 세부 정보에서 가져옵니다. 조건으로 사용할 사용자 지정 세부 정보를 선택합니다.
이 조건에 대해 평가할 필드를 선택했습니다. 이제 이 조건이 true로 평가되도록 해당 필드에 표시되는 값을 지정해야 합니다.
+ 항목 조건 추가를 선택합니다.
값 조건 줄은 다음과 같습니다.
연산자 드롭다운 목록에서 포함 또는 포함하지 않음을 선택합니다. 오른쪽 텍스트 상자에 조건을 true로 평가할 값을 입력합니다.
이 예제에서 인시던트에 사용자 지정 세부 정보 DestinationEmail이 있고 해당 세부 정보의 값이 pwned@bad-botnet.com이면 자동화 규칙에 정의된 작업이 실행됩니다.
작업 추가
이 자동화 규칙을 적용할 작업을 선택합니다. 사용 가능한 작업으로는 소유자 할당, 상태 변경, 심각도 변경, 태그 추가 및 플레이북 실행이 있습니다. 원하는 만큼 작업을 추가할 수 있습니다.
참고 항목
경고 트리거를 사용하는 자동화 규칙에서는 플레이북 실행 작업만 사용할 수 있습니다.
어떤 작업을 선택하든 원하는 작업에 따라 해당 작업에 대해 표시되는 필드를 입력합니다.
플레이북 실행 작업을 추가하는 경우 사용 가능한 플레이북 드롭다운 목록에서 선택하라는 메시지가 표시됩니다.
인시던트 트리거로 시작하는 플레이북만 인시던트 트리거 중 하나를 사용하여 자동화 규칙에서 실행할 수 있으므로 해당 항목만 목록에 표시됩니다. 마찬가지로 경고 트리거로 시작하는 플레이북만 경고 트리거를 사용하는 자동화 규칙에서 사용할 수 있습니다.
플레이북을 실행하려면 Microsoft Sentinel에 명시적 권한이 부여되어야 합니다. 드롭다운 목록에서 플레이북이 "회색으로 표시"되면 해당 플레이북의 리소스 그룹에 대한 권한이 Sentinel에 없다는 뜻입니다. 권한을 할당하려면 플레이북 권한 관리 링크를 선택합니다.
열리는 권한 관리 패널에서, 실행하려는 플레이북이 포함된 리소스 그룹의 확인란을 선택하고 적용을 선택합니다.
Microsoft Sentinel에 권한을 부여하려는 리소스 그룹에 대한 소유자 권한을 본인이 갖고 있어야 하며, 실행하려는 플레이북이 포함된 리소스 그룹에 대한 Microsoft Sentinel Automation 기여자 역할을 본인이 갖고 있어야 합니다.
염두에 둔 작업을 수행할 플레이북이 아직 없는 경우 새 플레이북을 만듭니다. 자동화 규칙 만들기 프로세스를 종료하고 플레이북을 만든 후 다시 시작해야 합니다.
작업 이동
규칙을 추가한 후에도 규칙의 작업 순서를 변경할 수 있습니다. 각 작업 옆에 있는 파란색 위쪽 또는 아래쪽 화살표를 선택하여 한 단계 위나 아래로 이동합니다.
규칙 만들기 완료
규칙 만료에서 자동화 규칙을 만료시키면 만료 날짜(필요에 따라 시간)를 설정합니다. 그 밖의 경우에는 무기한으로 둡니다.
순서 필드는 규칙의 트리거 유형에 사용 가능한 다음 번호로 미리 채워져 있습니다. 이 숫자는 자동화 규칙 시퀀스(동일한 트리거 형식)에서 이 규칙이 실행되는 위치를 결정합니다. 이 규칙을 기존 규칙보다 먼저 실행하려면 번호를 변경할 수 있습니다.
자세한 내용은 실행 순서 및 우선 순위에 대한 참고 사항을 참조하세요.
적용을 선택합니다. 작업을 완료했습니다.
자동화 규칙 작업 감사
지정된 인시던트에 대해 어떤 자동화 규칙이 수행되었는지 알아봅니다. Azure Portal의 로그 페이지의 SecurityIncident 테이블 또는 Defender 포털의 고급 헌팅 페이지에서 사용할 수 있는 인시던트 기록의 전체 레코드가 있습니다. 다음 쿼리를 사용하여 모든 자동화 규칙 작업을 볼 수 있습니다.
SecurityIncident
| where ModifiedBy contains "Automation"
자동화 규칙 실행
자동화 규칙은 사용자가 결정한 순서에 따라 순차적으로 실행됩니다. 각 자동화 규칙은 이전 실행이 완료된 후 실행됩니다. 자동화 규칙 내에서 모든 작업은 정의된 순서대로 순차적으로 실행됩니다. 자세한 내용은 실행 순서 및 우선 순위에 대한 참고 사항을 참조하세요.
자동화 규칙 내의 플레이북 작업은 다음 기준에 따라 일부 상황에서 다르게 처리될 수 있습니다.
| 플레이북 런타임 | 자동화 규칙이 다음 작업으로 진행됩니다... |
|---|---|
| 1초 미만 | 플레이북이 완료된 직후 |
| 2분 미만 | 플레이북 실행이 시작된 후 최대 2분 하지만 플레이북이 완료된 후 10초 이내 |
| 2분 초과 | 플레이북 실행이 시작된 후 2분 완료 여부와 관계없이 |
다음 단계
이 문서에서는 자동화 규칙을 사용하여 Microsoft Sentinel 인시던트 및 경고에 대한 응답 자동화를 중앙에서 관리하는 방법을 알아보았습니다.
- 자동화 규칙에
OR연산자를 사용하여 고급 조건을 추가하는 방법을 알아보려면 Microsoft Sentinel 자동화 규칙에 고급 조건 추가를 참조하세요. - 자동화 규칙에 대한 자세한 내용은 자동화 규칙을 사용하여 Microsoft Sentinel에서 인시던트 처리 자동화를 참조하세요.
- 고급 자동화 옵션에 대한 자세한 내용은 Microsoft Sentinel에서 플레이북을 사용하여 위협 대응 자동화를 참조하세요.
- 자동화 규칙을 사용하여 인시던트에 작업을 추가하는 방법을 알아보려면 자동화 규칙을 사용하여 Microsoft Sentinel에서 인시던트 작업 만들기를 참조하세요.
- 자동화 규칙에 의해 호출되도록 경고 트리거 플레이북을 마이그레이션하려면 Microsoft Sentinel 경고 트리거 플레이북을 자동화 규칙으로 마이그레이션을 참조하세요.
- 자동화 규칙과 플레이북을 구현하는 방법에 대한 도움말은 자습서: 플레이북을 사용하여 Microsoft Sentinel에서 위협 대응 자동화를 참조하세요.