자습서: Microsoft Sentinel에서 자동화 규칙과 함께 플레이북을 사용하여 위협에 대응

  • 아티클
  • 적용 대상:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

이 자습서에서는 자동화 규칙과 함께 플레이북을 사용하여 인시던트 응답을 자동화하고 Microsoft Sentinel이 탐지한 보안 위협을 해결하는 방법을 보여줍니다. 이 자습서를 완료하고 나면 다음을 수행할 수 있습니다.

  • 자동화 규칙 만들기
  • 플레이북 만들기
  • 플레이북에 작업 추가
  • 자동화 규칙 또는 분석 규칙에 플레이북을 연결하여 위협 대응 자동화

참고 항목

이 자습서는 주요 고객 작업인 인시던트 분류를 위한 자동화 만들기에 대한 기본 지침을 제공합니다. 자세한 내용은 Microsoft Sentinel에서 플레이북으로 위협 대응 자동화Microsoft Sentinel 플레이북에서 트리거 및 작업 사용과 같은 방법 섹션을 참조하세요.

Important

Microsoft Sentinel은 Microsoft Defender 포털에서 통합 보안 운영 플랫폼의 공개 미리 보기의 일부로 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

자동화 규칙 및 플레이북이란?

자동화 규칙은 Microsoft Sentinel에서 인시던트를 심사하는 데 도움이 됩니다. 자동화 규칙을 사용하여 적절한 직원에게 인시던트를 자동으로 할당하고, 잡음이 있는 인시던트 또는 알려진 가양성을 종결하고, 심각도를 변경하고, 태그를 추가할 수 있습니다. 자동화 규칙은 인시던트 또는 경고에 대응하여 플레이북을 실행할 수 있는 메커니즘이기도 합니다.

플레이북은 전체 인시던트, 개별 경고 또는 특정 엔터티에 대한 응답으로 Microsoft Sentinel에서 실행할 수 있는 프로시저 컬렉션입니다. 플레이북은 응답을 자동화 및 오케스트레이션하는 데 도움이 되며, 자동화 규칙에 연결하여 특정 경고가 생성되었거나 인시던트가 생성 또는 업데이트될 때 자동 실행되게 설정할 수 있습니다. 또한 특정 인시던트, 경고 또는 엔터티에 대해 주문형으로 수동 실행할 수도 있습니다.

Microsoft Sentinel의 플레이북은 Azure Logic Apps에 내장된 워크플로를 기반으로 합니다. 즉, Logic Apps의 모든 성능, 사용자 지정 기능은 물론, 기본 제공되는 템플릿을 활용할 수 있습니다. 플레이북이 속한 구독마다 플레이북이 만들어지지만, 플레이북에는 선택한 구독에서 사용할 수 있는 모든 플레이북이 표시됩니다.

참고 항목

플레이북은 Azure Logic Apps를 사용하기 때문에 추가 요금이 부과될 수 있습니다. 자세한 내용은 Azure Logic Apps 가격 책정 페이지를 방문하세요.

예를 들어 손상 가능성이 있는 사용자가 네트워크를 돌아다니면서 정보를 훔치지 못하게 막으려면 손상된 사용자를 탐지하는 규칙에서 생성한 인시던트에 대해 자동으로 대응하는 자동화되고 다면적인 응답을 만들면 됩니다. 먼저 다음 작업을 수행하는 플레이북을 만듭니다.

  1. 인시던트를 전달하는 자동화 규칙에서 플레이북을 호출하면 플레이북은 ServiceNow 또는 다른 IT 티켓 시스템에서 티켓을 엽니다.

  2. 플레이북은 Microsoft Teams 또는 Slack의 보안 운영 채널로 메시지를 전송하여 보안 분석가에게 이 인시던트를 알립니다.

  3. 또한 이메일 메시지에 포함된 인시던트의 모든 정보를 선임 네트워크 관리자 및 보안 관리자에게 보냅니다. 이메일 메시지에는 차단무시 사용자 옵션 단추가 포함되어 있습니다.

  4. 플레이북은 관리자로부터 응답이 수신될 때까지 기다렸다가 다음 단계를 계속합니다.

  5. 관리자가 차단을 선택하면 플레이북은 사용자를 비활성화하는 명령을 Microsoft Entra ID에 보내고, IP 주소를 차단하는 명령을 방화벽에 보냅니다.

  6. 관리자가 무시를 선택하면 플레이북은 Microsoft Sentinel의 인시던트와 ServiceNow의 티켓을 닫습니다.

플레이북을 트리거하려면 이러한 인시던트가 생성될 때 실행되는 자동화 규칙을 만듭니다. 이 규칙은 다음 단계를 수행합니다.

  1. 규칙이 인시던트 상태를 활성으로 변경합니다.

  2. 이 유형의 인시던트를 관리하는 분석가에게 인시던트를 할당합니다.

  3. "손상된 사용자" 태그를 추가합니다.

  4. 마지막으로 방금 만든 플레이북을 호출합니다. (이 단계를 수행하려면 특별한 권한이 필요합니다.)

위의 예제처럼 플레이북을 작업으로 호출하는 자동화 규칙을 만들어서 인시던트에 대한 응답으로 플레이북을 자동으로 실행할 수 있습니다. 또한 경고가 생성될 때 하나 이상의 플레이북을 자동으로 실행하도록 분석 규칙에 지시하여 경고에 대한 응답으로 플레이북을 자동으로 실행할 수 있습니다.

선택한 경고에 대한 응답으로 요청 시 수동으로 플레이북을 실행하도록 선택할 수도 있습니다.

Microsoft Sentinel에서 자동화 규칙플레이북을 사용하여 위협 대응을 자동화하는 방법에 대한 완전하고 구체적인 방법을 확인하세요.

플레이북 만들기

다음 단계에 따라 Microsoft Sentinel에서 새 플레이북을 만듭니다.

  1. Azure Portal의 Microsoft Sentinel의 경우 구성>자동화 페이지를 선택합니다. Defender 포털에서 Microsoft Sentinel의 경우 Microsoft Sentinel>구성>자동화를 선택합니다.

  2. 위쪽 메뉴에서 만들기를 선택합니다.

  3. 만들기 아래에 표시되는 드롭다운 메뉴는 플레이북을 만들기 위한 네 가지 선택 항목을 제공합니다.

    1. 표준 플레이북(새로운 형식 - Logic Apps 형식 참조)을 만드는 경우 빈 플레이북을 선택한 다음 아래의 Logic Apps 표준 탭의 단계를 따릅니다.

    2. 사용량 플레이북(원래, 클래식 종류)을 만드는 경우 사용하려는 트리거에 따라 인시던트 트리거가 있는 플레이북, 경고 트리거가 있는 플레이북 또는 엔터티 트리거가 있는 플레이북을 선택합니다. 그런 다음, 아래 Logic Apps 사용량 탭의 단계를 계속 수행합니다.

      사용할 트리거에 대한 자세한 내용은 Microsoft Sentinel 플레이북에서 트리거 및 작업 사용을 참조하세요.

플레이북 및 논리 앱 준비

이전 단계에서 플레이북을 만들도록 선택한 트리거에 관계없이 플레이북 만들기 마법사가 나타납니다.

논리 앱 만들기

  1. 기본 사항 탭에서 다음을 수행합니다.

    1. 해당 드롭다운 목록에서 선택한 구독, 리소스 그룹지역을 선택합니다. 선택한 지역은 논리 앱 정보가 저장되는 위치입니다.

    2. 플레이북 이름 아래에 플레이북의 이름을 입력합니다.

    3. 진단 목적으로 이 플레이북의 작업을 모니터링하려는 경우 Log Analytics의 진단 로그 사용 확인란을 선택하고 드롭다운 목록에서 Log Analytics 작업 영역을 선택합니다.

    4. 플레이북이 Azure 가상 네트워크 내부에 있거나 연결되어 있는 보호된 리소스에 액세스해야 하는 경우 ISE(통합 서비스 환경)를 사용해야 할 수 있습니다. 그렇다면 통합 서비스 환경과 연결 확인란을 선택하고 드롭다운 목록에서 원하는 ISE를 선택합니다.

    5. 다음: 연결 >을 선택합니다.

  2. 연결 탭에서 다음을 수행합니다.

    관리 ID를 사용하여 Microsoft Sentinel에 연결하도록 Logic Apps를 구성하는 이 섹션을 있는 그대로 두는 것이 좋습니다. 이 방법 및 기타 인증 대안에 대해 알아봅니다.

    다음: 검토 및 만들기>를 선택합니다.

  3. 검토 및 만들기 탭에서 다음을 수행합니다.

    선택한 구성을 검토하고 만들기 및 디자이너로 계속 진행을 선택합니다.

  4. 플레이북을 만들고 배포하는 데 몇 분 정도 걸리며, 그 후에는 "배포가 완료되었습니다"라는 메시지가 표시되고 새 플레이북의 논리 앱 디자이너로 이동됩니다. 처음에 선택한 트리거가 자동으로 첫 번째 단계로 추가되며, 여기에서 워크플로를 계속 디자인할 수 있습니다.

    시작 트리거가 있는 논리 앱 디자이너 화면의 스크린샷.

    Microsoft Sentinel 엔터티(미리 보기) 트리거를 선택한 경우 이 플레이북을 입력으로 받을 엔터티 유형을 선택합니다.

    플레이북 스키마를 설정하기 위해 선택할 엔터티 형식의 드롭다운 목록의 스크린샷

작업 추가

이제 플레이북을 호출할 때 발생하는 상황을 정의할 수 있습니다. 새 단계를 선택하여 작업, 논리 조건, 루프 또는 전환 사례 조건을 추가할 수 있습니다. 새 단계를 선택하면 디자이너에서 새 프레임이 열리는데, 여기서 상호 작용할 시스템 또는 애플리케이션을 선택하거나 설정할 조건을 선택할 수 있습니다. 프레임 맨 위에 있는 검색 창에 시스템 또는 애플리케이션 이름을 입력한 다음, 제공되는 결과 중에서 선택합니다.

이 모든 단계에서 아무 필드를 클릭하면 동적 콘텐츠이라는 두 가지 메뉴가 있는 패널이 표시됩니다. 동적 콘텐츠 메뉴에서 경고 또는 사건에 포함된 모든 매핑된 항목사용자 지정 세부 정보의 값과 속성을 포함하여 플레이북에 전달된 경고 또는 사건의 속성에 대한 참조를 추가할 수 있습니다. 메뉴에서는 함수 라이브러리에서 선택하여 단계에 논리를 더 추가할 수 있습니다.

이 스크린샷은 이 문서의 시작 부분에 나오는 예제에서 설명한 플레이북을 만들 때 추가할 작업과 조건을 보여줍니다. 플레이북에 작업을 추가하는 방법에 대해 자세히 알아보세요.

인시던트 트리거 워크플로가 있는 논리 앱 디자이너를 보여 주는 스크린샷

다양한 용도로 플레이북에 추가할 수 있는 작업에 대한 자세한 내용은 Microsoft Sentinel 플레이북에서 트리거 및 작업 사용을 참조하세요.

특히 인시던트가 아닌 컨텍스트의 엔터티 트리거를 기반으로 하는 플레이북에 대한 이 중요한 정보를 확인하세요.

위협 응답 자동화

플레이북을 만들고, 트리거를 정의하고, 조건을 설정하고, 플레이북이 수행할 작업과 생성할 출력을 규정했습니다. 이제 플레이북이 실행되는 조건을 결정하고 해당 조건이 충족될 때 실행할 자동화 메커니즘을 설정해야 합니다.

인시던트 및 경고에 대응

플레이북을 사용하여 전체 인시던트 또는 개별 경고에 자동으로 응답하려면 인시던트가 생성되거나 업데이트될 때 또는 경고가 생성될 때 실행되는 자동화 규칙을 만듭니다. 이 자동화 규칙에는 사용하려는 플레이북을 호출하는 단계가 포함됩니다.

자동화 규칙을 만들려면 다음을 수행합니다.

  1. Microsoft Sentinel 탐색 메뉴의 자동화 페이지 위쪽 메뉴에서 만들기를 선택한 다음 자동화 규칙을 선택합니다.

    새 자동화 규칙을 추가하는 방법을 보여 주는 스크린샷

  2. 새 자동화 규칙 만들기 패널이 열립니다. 규칙 이름을 입력합니다.

    옵션은 작업 영역이 통합 보안 운영 플랫폼에 온보딩되어 있는지 여부에 따라 다릅니다. 예시:

  3. 트리거: 자동화 규칙을 만드는 상황에 따라 적절한 트리거를 선택합니다(인시던트가 생성되는 경우, 인시던트가 업데이트되는 경우 또는 경고가 생성되는 경우).

  4. 조건:

    1. 작업 영역이 아직 통합 보안 운영 플랫폼에 온보딩되어 있지 않은 경우 인시던트는 두 가지 원인으로 발생할 수 있습니다.

      인시던트 트리거 중 하나를 선택했고 Microsoft Sentinel 또는 Microsoft Defender XDR이 원본인 인시던트에만 자동화 규칙을 적용하려면 인시던트 공급자가 같음 조건에서 원본을 지정합니다.

      이 조건은 인시던트 트리거가 선택되어 있고 작업 영역이 통합 보안 운영 플랫폼에 온보딩되어 있지 않은 경우에만 표시됩니다.

    2. 모든 트리거 형식의 경우 자동화 규칙이 특정 분석 규칙에만 적용되도록 하려면 Analytics 규칙 이름에 포함 조건을 수정하여 지정합니다.

    3. 이 자동화 규칙이 실행될지 여부를 결정하려는 다른 조건을 추가합니다. + 추가를 선택하고 드롭다운 목록에서 조건 또는 조건 그룹을 선택합니다. 조건 목록은 경고 세부 정보 및 엔터티 식별자 필드로 채워집니다.

  5. 작업:

    1. 이 자동화 규칙을 사용하여 플레이북을 실행하므로 드롭다운 목록에서 플레이북 실행 작업을 선택합니다. 그러면 사용 가능한 플레이북을 보여 주는 두 번째 드롭다운 목록에서 선택하라는 메시지가 표시됩니다. 자동화 규칙은 규칙에 정의된 트리거와 동일한 트리거(인시던트 또는 경고)로 시작하는 플레이북만 실행할 수 있으므로 해당 플레이북만 목록에 표시됩니다.

      Important

      플레이북을 실행하려면 수동으로 또는 자동화 규칙에서 명시적 권한을 Microsoft Sentinel에 부여해야 합니다. 드롭다운 목록에서 플레이북이 "회색으로 표시"되면 해당 플레이북의 리소스 그룹에 대한 권한이 Sentinel에 없다는 뜻입니다. 권한을 할당하려면 플레이북 권한 관리 링크를 클릭합니다.

      열리는 권한 관리 패널에서, 실행하려는 플레이북이 포함된 리소스 그룹의 확인란을 선택하고 적용을 클릭합니다.

      플레이북 실행이 선택된 상태의 작업 섹션을 보여 주는 스크린샷

      • 권한을 Microsoft Sentinel에 부여하려는 리소스 그룹에 대한 소유자 권한을 본인이 갖고 있어야 하며, 실행하려는 플레이북이 포함된 리소스 그룹에 대한 논리 앱 기여자 역할을 본인이 갖고 있어야 합니다.

      • 다중 테넌트 배포에서 실행하려는 플레이북이 다른 테넌트에 있는 경우 플레이북의 테넌트에서 플레이북을 실행할 수 있는 권한을 Microsoft Sentinel에 부여해야 합니다.

        1. 플레이북 테넌트의 Microsoft Sentinel 탐색 메뉴에서 설정을 선택합니다.
        2. 설정 블레이드에서 설정 탭을 선택한 다음, 플레이북 권한 확장기를 선택합니다.
        3. 권한 구성 단추를 클릭하여 위에서 언급한 권한 관리 패널을 열고, 패널의 설명에 따라 계속합니다.

      • MSSP 시나리오에서 서비스 공급자 테넌트에 로그인하는 동안 생성된 자동화 규칙에서 고객 테넌트에서 플레이북을 실행하려면 두 테넌트 모두에서 플레이북을 실행할 수 있는 Microsoft Sentinel 권한을 부여해야 합니다. 고객 테넌트에서 이전 글머리 기호 지점의 다중 테넌트 배포에 대한 지침을 따릅니다. 서비스 공급자 테넌트에서 Azure Lighthouse 온보딩 템플릿에 Azure Security Insights 앱을 추가해야 합니다.

        1. Azure Portal에서 Microsoft Entra ID로 이동합니다.
        2. 엔터프라이즈 애플리케이션을 클릭합니다.
        3. 애플리케이션 유형을 선택하고 Microsoft 애플리케이션에서 필터링합니다.
        4. 검색 상자에 Azure Security Insights를 입력합니다.
        5. 개체 ID 필드를 복사합니다. 기존 Azure Lighthouse 위임에 이 추가 권한 부여를 추가해야 합니다.

        Microsoft Sentinel Automation 기여자 역할에는 고정 GUID(f4c81013-99ee-4d62-a7ee-b3f1f648599a)가 있습니다. 샘플 Azure Lighthouse 권한 부여는 매개 변수 템플릿에서 다음과 같습니다.

        {
     "principalId": "<Enter the Azure Security Insights app Object ID>", 
     "roleDefinitionId": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
     "principalIdDisplayName": "Microsoft Sentinel Automation Contributors" 
}

    2. 이 규칙에 대해 원하는 다른 작업을 추가합니다. 모든 작업의 오른쪽에 있는 위쪽 또는 아래쪽 화살표를 선택하여 작업 실행 순서를 변경할 수 있습니다.

  6. 원한다면 자동화 규칙의 만료 날짜를 설정합니다.

  7. 자동화 규칙 시퀀스에서 이 규칙이 실행될 위치를 결정하는 숫자를 순서에 입력합니다.

  8. 적용을 선택합니다. 작업을 완료했습니다.

자동화 규칙을 만드는 다른 방법을 알아보세요.

경고에 응답 - 레거시 방법

경고에 대한 응답으로 플레이북을 자동으로 실행하는 또 다른 방법은 분석 규칙에서 호출하는 것입니다. 규칙이 경고를 생성하면 플레이북이 실행됩니다.

이 방법은 2026년 3월 이후로는 사용되지 않습니다.

2023년 6월부터 더 이상 이러한 방식으로 분석 규칙에 플레이북을 추가할 수 없습니다. 그러나 분석 규칙에서 호출된 기존 플레이북은 계속 볼 수 있고, 이러한 플레이북은 2026년 3월까지 계속 실행됩니다. 그 전에 이러한 플레이북을 호출하는 자동화 규칙을 만드는 것이 좋습니다.

온디맨드로 플레이북 실행

경고, 인시던트(미리 보기) 또는 엔터티(미리 보기)에 대한 응답으로 필요에 따라 플레이북을 수동으로 실행할 수도 있습니다. 이는 오케스트레이션 및 응답 프로세스에 대한 더 많은 인력 투입과 제어를 원하는 상황에서 유용할 수 있습니다.

경고에서 수동으로 플레이북 실행

이 절차는 통합 보안 운영 플랫폼에서는 지원되지 않습니다.

Azure Portal에서 사용자 환경에 맞게 다음 탭 중 하나를 선택합니다.

  1. 인시던트 페이지에서 인시던트를 선택합니다.

    Azure Portal의 인시던트 세부 정보 창 아래쪽에 있는 전체 세부 정보 보기를 선택하여 인시던트 세부 정보 페이지를 엽니다.

  2. 인시던트 세부 정보 페이지의 인시던트 타임라인 위젯에서 플레이북을 실행하려는 경고를 선택합니다. 경고 줄 끝에 있는 세 개의 점을 선택하고 팝업 메뉴에서 플레이북 실행을 선택합니다.

    주문형 경고에 플레이북을 실행하는 스크린샷

  3. 경고 플레이북 창이 열립니다. 액세스 권한이 있는 Microsoft Sentinel 경고 Logic Apps 트리거로 구성된 모든 플레이북 목록이 표시됩니다.

  4. 특정 플레이북의 줄에서 실행을 선택하여 즉시 실행합니다.

경고 플레이북 창에서 실행 탭을 선택하면 경고에서 플레이북의 실행 기록을 볼 수 있습니다. 완료된 모든 실행이 이 목록에 표시되는 데 몇 초 정도 걸릴 수 있습니다. 특정 실행을 선택하면 Logic Apps에서 전체 실행 로그가 열립니다.

인시던트에서 수동으로 플레이북 실행(미리 보기)

이 절차는 Microsoft Sentinel에서 작업하는지 아니면 통합 보안 운영 플랫폼에서 작업하는지에 따라 다릅니다. 환경에 맞는 탭을 선택합니다.

  1. 인시던트 페이지에서 인시던트를 선택합니다.

  2. 오른쪽에 표시되는 인시던트 세부 정보 창에서 작업 > 플레이북 실행(미리 보기)을 선택합니다.
    (그리드에서 인시던트 줄 끝에 있는 세 개의 점을 선택하거나 인시던트를 마우스 오른쪽 단추로 클릭하면 작업 단추와 동일한 목록이 표시됩니다.)

  3. 인시던트 발생 시 플레이북 실행 패널이 오른쪽에 열립니다. 액세스 권한이 있는 Microsoft Sentinel 인시던트 Logic Apps 트리거로 구성된 모든 플레이북 목록이 표시됩니다.

    실행하려는 플레이북이 목록에 없으면 Microsoft Sentinel에 해당 리소스 그룹의 플레이북을 실행할 권한이 없다는 의미입니다(위의 참고 사항 참조).

    이러한 권한을 부여하려면 설정>설정>플레이북 권한>권한 구성을 선택합니다. 열리는 권한 관리 패널에서, 실행하려는 플레이북이 포함된 리소스 그룹의 확인란을 선택하고 적용을 선택합니다.

  4. 특정 플레이북의 줄에서 실행을 선택하여 즉시 실행합니다.

    실행하려는 플레이북이 포함된 리소스 그룹에 대한 Microsoft Sentinel 플레이북 운영자 역할이 있어야 합니다. 권한 누락으로 인해 플레이북을 실행할 수 없는 경우 관리자에게 문의하여 관련 권한을 부여받는 것이 좋습니다. 자세한 내용은 플레이북 작업에 필요한 권한을 참조하세요.

인시던트에서 플레이북 실행 패널에서 실행 탭을 선택하여 인시던트에서 플레이북의 실행 기록을 봅니다. 완료된 모든 실행이 이 목록에 표시되는 데 몇 초 정도 걸릴 수 있습니다. 특정 실행을 선택하면 Logic Apps에서 전체 실행 로그가 열립니다.

엔터티에서 수동으로 플레이북 실행(미리 보기)

이 절차는 통합 보안 운영 플랫폼에서는 지원되지 않습니다.

  1. 원래 컨텍스트에 따라 다음 방법 중 하나로 엔터티를 선택합니다.

    인시던트의 세부 정보 페이지(새 버전)에 있는 경우:

    1. 개요 탭의 엔터티 위젯에서 목록에서 엔터티를 찾습니다(선택하지 않음).
    2. 목록에서 숫자 엔터티 오른쪽에 있는 세 개의 점(...)를 선택합니다.
    3. 팝업 메뉴에서 플레이북 실행(미리 보기)을 선택하고 아래의 2단계를 계속 진행합니다.
      엔터티를 선택하고 인시던트 세부 정보 페이지의 엔터티 탭 을 입력한 경우 아래 줄로 계속 진행합니다.
    4. 목록에서 엔터티를 찾습니다(선택하지 않음).
    5. 목록에서 숫자 엔터티 오른쪽에 있는 세 개의 점(...)를 선택합니다.
    6. 팝업 메뉴에서 플레이북 실행(미리 보기)을 선택합니다.
      엔터티를 선택하고 엔터티 페이지를 입력한 경우 왼쪽 패널에서 플레이북 실행(미리 보기) 단추를 선택합니다.

    인시던트의 세부 정보 페이지(레거시 버전)에 있는 경우:

    1. 인시던트의 엔터티 탭을 선택합니다.
    2. 목록에서 엔터티를 찾습니다(선택하지 않음).
    3. 목록의 줄 끝에 있는 플레이북 실행(미리 보기) 링크를 선택합니다.
      엔터티를 선택하고 엔터티 페이지를 입력한 경우 왼쪽 패널에서 플레이북 실행(미리 보기) 단추를 선택합니다.

    조사 그래프에 있는 경우:

    1. 그래프에서 엔터티를 선택합니다.
    2. 엔터티 쪽 패널에서 플레이북 실행(미리 보기) 단추를 선택합니다.
      일부 엔터티 형식의 경우 엔터티 작업 버튼을 선택하고 표시되는 메뉴에서 플레이북 실행(미리 보기)을 선택해야 할 수도 있습니다.

    위협을 사전에 헌팅하는 경우:

    1. 엔터티 동작 화면에서 페이지의 목록에서 엔터티를 선택하거나 다른 엔터티를 검색하여 선택합니다.
    2. 엔터티 페이지의 왼쪽 패널에서 플레이북 실행(미리 보기) 단추를 선택합니다.

  2. 컨텍스트에 관계없이 위의 지침은 모두 엔터티 형식<에서 플레이북 실행> 패널을 엽니다. 선택한 엔터티 형식에 대해 Microsoft Sentinel Entity Logic Apps 트리거를 사용하여 구성된 액세스 권한이 있는 모든 플레이북 목록이 표시됩니다.

  3. 특정 플레이북의 줄에서 실행을 선택하여 즉시 실행합니다.

엔티티 타입<패널의 플레이북 실행>에서 실행 탭을 선택하면 인시던트에 대한 플레이북의 실행 기록을 볼 수 있습니다. 완료된 모든 실행이 이 목록에 표시되는 데 몇 초 정도 걸릴 수 있습니다. 특정 실행을 선택하면 Logic Apps에서 전체 실행 로그가 열립니다.

다음 단계

이 자습서에서는 Microsoft Sentinel에서 플레이북과 자동화 규칙을 사용하여 위협에 대응하는 방법을 알아보았습니다.