SOAR 플레이북 생성기는 AI 코딩 에이전트인 Cline과 대화형 환경을 통해 공동 작성되는 Python 기반 자동화 워크플로를 만듭니다. 자연어로 자동화 논리를 설명하고 시스템은 전체 설명서 및 시각적 흐름 다이어그램을 사용하여 유효성이 검사된 코드 기반 플레이북을 생성합니다. 이 환경은 Defender 포털 내의 포함된 VS Code 환경에서 지원되므로 포털을 벗어나지 않고도 플레이북을 작성하고 구체화할 수 있습니다. 생성된 플레이북은 경고 데이터를 입력으로 사용하고 대상 공급자에 대한 통합을 구성하는 한 필요한 API 호출을 동적으로 생성합니다.
이 문서에서는 AI를 사용하여 플레이북을 생성하고, 필요한 통합을 구성하고, 자동화 워크플로를 배포하는 방법을 설명합니다.
플레이북 생성은 다음과 같은 기능을 제공합니다.
- AI와 공동 작성: Defender 포털에 포함된 VS Code 환경에서 호스트되는 AI 코딩 에이전트인 Cline과 자연어 대화를 통해 플레이북을 빌드합니다.
- 테스트: 플레이북이 생성되면 실제 경고를 입력으로 제공하여 테스트할 수 있습니다.
- 자동 설명서: 포괄적인 플레이북 설명서 및 시각적 흐름 다이어그램을 자동으로 생성
- 타사 통합: 통합 프로필을 통해 외부 도구 및 API를 원활하게 연결
- 광범위한 경고 적용 범위: Microsoft Sentinel, Microsoft Defender 및 XDR 플랫폼의 경고에 자동화 적용
Microsoft Defender 포털 내의 포함된 VS Code 환경은 환경을 지원합니다. 포털을 벗어나지 않고도 플레이북을 작성하고 구체화할 수 있습니다.
필수 구성 요소
플레이북을 생성하기 위해 이전 코딩 환경은 필요하지 않지만 VS Code 및 Entra ID 앱 등록과 같은 도구를 숙지하는 데 도움이 됩니다.
또한 다음 요구 사항을 충족해야 합니다.
환경 요구 사항
Security Copilot: 테넌트는 사용 가능한 SCU를 사용하여 Security Copilot 사용하도록 설정해야 합니다. SCU에 대한 요금은 청구되지 않지만 가용성은 기술 요구 사항입니다.
Microsoft Sentinel 작업 영역: 테넌트는 Microsoft Defender 위해 온보딩된 Microsoft Sentinel 작업 영역이 있어야 합니다. 새 작업 영역을 만들려면 작업 영역 만들기를 참조하세요.
권장 데이터 공유 기본 설정: Security Copilot 첫 번째 슬라이더를 사용하도록 설정합니다. Microsoft가 고객 데이터 공유 기본 설정에서 사용자 검토를 사용하여 제품 성능의 유효성을 검사하기 위해 Security Copilot 데이터를 캡처하도록 허용합니다. 자세한 내용은 Microsoft Security Copilot 개인 정보 및 데이터 보안을 참조하세요.
필요한 역할 및 사용 권한 할당
플레이북 생성기를 사용하려면 다음 권한이 필요합니다.
자동화 규칙을 작성하려면 관련 작업 영역 또는 Azure 포함된 리소스 그룹에 대한 Microsoft Sentinel 기여자 역할이 필요합니다. 기본 제공 역할 Microsoft Entra 참조
플레이북 생성기를 사용하려면 Azure Microsoft Entra 검색 튜닝 역할이 필요합니다. 기본 제공 역할 Microsoft Entra 참조
참고
할당 후 사용 권한을 적용하는 데 최대 2시간이 걸릴 수 있습니다.
권장: 전용 Security Copilot 작업 영역 구성
미국 또는 유럽 지역에서 설정된 AI 생성 플레이북에 대한 전용 Security Copilot 작업 영역이 없거나 지역 간 평가를 허용하는 경우 만드는 것이 좋습니다.
새 작업 영역 만들기 대화 상자에서 다음을 수행합니다.
다음 개인 정보 플래그를 사용하도록 설정합니다.
- Microsoft가 데이터를 캡처하여 제품 성능의 유효성을 검사할 수 있도록 허용
- Microsoft가 데이터를 캡처하고 검토하여 Microsoft의 보안 AI 모델을 빌드하고 유효성을 검사할 수 있도록 허용
사용 약관에 동의합니다.
용량에서 새 용량 만들기를 선택합니다.
새 용량을 구성합니다.
보안 용량 만들기 대화 상자에서 다음을 수행합니다.
Azure 구독, 리소스 그룹 및 용량 이름을 선택합니다.
프롬프트 평가 위치를미국 또는 유럽으로 설정합니다. 다른 위치를 선택하는 경우 상자를 검사: 이 위치에 트래픽이 너무 많은 경우 Copilot가 전 세계 어디에서나 프롬프트를 평가할 수 있도록 허용합니다.
컴퓨팅 단위를 조정하고 초과분 설정을 허용합니다. 플레이북 생성기는 SCU(보안 컴퓨팅 단위)를 사용하지 않지만 플레이북 생성을 위해 이러한 기술 요구 사항을 충족하도록 용량을 구성해야 합니다.
만들기를 선택합니다.
생성된 플레이북은 이 작업 영역을 자동으로 사용합니다.
주요 개념
통합 프로필
통합 프로필은 생성된 플레이북이 외부 API와 상호 작용할 수 있도록 하는 보안 구성입니다. 각 통합에는 다음이 포함됩니다.
- 기본 URL
- 인증 방법
- 필수 자격 증명
플레이북 생성기는 통합을 사용하여 API 호출을 실행합니다. 통합이 누락된 경우 플레이북 생성을 계속하기 전에 통합을 만들라는 메시지가 표시됩니다. Automation 탭 아래의 Defender 포털에서 통합 프로필을 중앙에서 관리합니다. 플레이북을 만들기 전에 필요한 모든 통합을 구성해야 합니다.
통합을 추가하려면 Automation 탭에서 통합 을 선택하거나 VS Code 페이지 맨 위에 있는 통합 추가 링크를 사용합니다. 기존 통합 링크의 URL은 편집할 수 없습니다. 필요한 경우 새 통합 링크를 만들고 이전 통합 링크를 삭제합니다.
향상된 경고 트리거
향상된 경고 트리거는 다음을 제공하여 표준 경고 트리거를 넘어 자동화 기능을 확장합니다.
- 광범위한 적용 범위: Microsoft Sentinel, Microsoft Defender 및 XDR 플랫폼에서 경고 대상 지정
- 테넌트 수준 애플리케이션: 여러 작업 영역에서 일관성 보장
- 고급 조건: 자동화를 트리거하기 위한 세분화된 조건 정의
이 트리거 메커니즘을 사용하면 보안 에코시스템에서 생성된 플레이북을 자동으로 실행할 수 있습니다.
새 플레이북 생성
1단계. Graph API 통합 프로필을 만들고 활용하려는 다른 필수 통합을 추가합니다.
Azure Portal Microsoft Entra ID>관리>앱 등록로 이동합니다.
새 등록을 선택합니다.
등록이 완료되면 앱 등록을 선택하고 개요로 이동합니다.
애플리케이션(클라이언트) ID 및 디렉터리(테넌트) ID를 복사합니다. 나중에 사용할 수 있는 값을 저장합니다.
인증서 관리>& 비밀>클라이언트 비밀로 이동합니다.
새 클라이언트 암호를 선택하고 이름 및 만료 날짜를 입력한 다음 추가를 선택합니다.
클라이언트 비밀 값을 즉시 복사하고 안전하게 저장합니다. 이 값을 다시 검색할 수 없습니다.
통합 프로필 만들기
Microsoft Defender 포털에서 Microsoft Sentinel>구성>자동화로 이동합니다.
통합 프로필 탭을 선택합니다.
만들기를 선택하고 다음 정보를 제공합니다.
필드 값 통합 이름 설명이 포함된 이름(예: "Graph 통합") 설명 간단한 설명(예: "Microsoft Graph API와 통합") 기본 API URL https://graph.microsoft.com인증 방법 OAuth2 클라이언트 ID 이전에 복사한 애플리케이션(클라이언트) ID를 붙여넣습니다. 클라이언트 암호 이전에 복사한 클라이언트 암호 값 붙여넣기 토큰 엔드포인트 https://login.microsoftonline.com/{TENANT_ID}/oauth2/v2.0/token
({TENANT_ID}을(를) 디렉터리(테넌트) ID로 바꾸기)범위 https://graph.microsoft.com/.default
Microsoft Graph/애플리케이션에서 SecurityAlert.Read.All이 나열되고 테넌트>에서 <상태가 부여되었는지 확인합니다.
추가 통합 프로필 만들기
플레이북에서 사용하는 다른 타사 서비스에 대한 통합 프로필을 구성합니다. 각 통합에는 다음이 필요합니다.
- 고유한 이름 및 설명
- 서비스의 기본 API URL
- 인증 방법(OAuth2 클라이언트 자격 증명, API 키, AWS 인증, 사용자 및 암호, 전달자/JWT 또는 Hawk)
- 선택한 인증 방법에 대한 적절한 자격 증명
참고
만든 후에는 API URL 및 인증 방법을 변경할 수 없습니다. 통합 이름 및 설명만 편집할 수 있습니다.
2단계. 생성된 플레이북 만들기
플레이북 탭을 선택합니다.
플레이북 생성기만들기>를 선택합니다.
플레이북의 이름을 입력하고 계속을 선택합니다.
Cline을 사용하여 포함된 Visual Studio Code 환경이 열립니다.
계획 모드에서 작업
편집기가 열리면 환경이 계획 모드에서 시작됩니다. 이 모드에서는 자동화 요구 사항을 설명하고 플레이북 생성기는 검토 계획을 생성합니다.
채팅 인터페이스에서 플레이북 요구 사항을 자세히 설명합니다. 다음을 명시적으로 지정합니다.
- 처리할 데이터
- 수행할 작업
- 평가할 조건
- 예상 결과
예: "피싱 경고를 트리거하는 플레이북을 만듭니다. 보낸 사람 전자 메일 주소를 추출합니다. 사용자가 디렉터리에 있는지 확인하고, 이 경우 일시적으로 계정을 사용하지 않도록 설정하고 보안 팀에 알립니다." 프롬프트의 다른 예제는 예제 사용 사례 섹션을 참조하세요.
플레이북 생성기가 문서 URL을 가져오기 위해 승인을 요청하는 경우 요청을 승인합니다. 이 승인을 통해 플레이북 생성기는 관련 API 설명서에 액세스하여 정확한 코드를 생성할 수 있습니다.
플레이북 생성기는 요청을 분석하고 다음을 수행할 수 있습니다.
- 명확한 질문하기
- 웹 검색을 통해 액세스할 수 없는 경우 API 설명서 요청
- 누락된 통합 프로필 알림
- 예비 계획 및 흐름 다이어그램 생성
플레이북 생성기에서 누락된 통합 프로필을 식별하는 경우:
VS Code 환경 저장 및 종료를 선택합니다.
통합 프로필 탭에서 누락된 통합 프로필을 만듭니다 .
다시 돌아가서 플레이북을 편집하여 계속합니다.
계획 검토 및 승인
생성된 계획 및 흐름 다이어그램을 신중하게 검토합니다.
변경이 필요한 경우 채팅의 수정 사항을 설명합니다. 플레이북 생성기는 그에 따라 계획을 수정합니다.
계획에 만족하면 지침에 따라 작업 모드로 전환합니다.
Act 모드에서 플레이북 생성
Act 모드로 전환하면 플레이북 생성기가 다음을 제공합니다.
- Python의 전체 플레이북 코드
- 코드 유효성 검사
- 시각적 흐름 다이어그램 및 자연어 플레이북에 대한 설명을 포함한 포괄적인 설명서
플레이북 생성기는 사용자에게 경고 ID에 플레이북 테스트를 실행하도록 요청합니다. 테스트를 실행하기 전에 플레이북 생성기는 환경에 적용될 변경 내용을 간략하게 설명하고 사용자의 승인을 요청하여 진행합니다.
도구는 코드 생성에 대한 승인을 요청할 수 있습니다. 승인 프롬프트 없이 자동 생성을 사용하도록 설정하려면 자동 승인에서 편집 확인란을 선택합니다.
팁
채팅에서 저장 을 선택하면 현재 단계가 저장되고 승인이 확인됩니다. 전체 플레이북을 저장하지는 않습니다.
플레이북 유효성 검사 및 저장
정확성을 보장하려면 생성된 코드 및 설명서를 수동으로 검토합니다.
설명서를 Markdown 형식으로 미리 보려면 다음을 수행합니다.
- Windows/Linux: CtrlShift + V 누르기 +
- macOS: CmdShiftV 누르기 + +
편집기의 왼쪽 아래에서 저장 을 선택합니다.
플레이북은 비활성화된 상태로 만들어집니다.
완료되면 편집기를 닫습니다.
플레이북 사용 및 배포
생성된 플레이북을 만든 후에는 응답 자동화를 시작하려면 활성화 및 경고 트리거가 필요합니다.
플레이북 사용
Automation 페이지에서 활성 플레이북 탭을 선택합니다.
새로 만든 플레이북을 찾습니다.
플레이북 상태 활성화로 전환합니다.
향상된 경고 트리거 만들기
자동화 규칙 탭으로 이동합니다.
만들기를 선택하여 향상된 트리거를 사용하여 새 규칙을 정의합니다.
트리거 조건을 설정합니다.
설정 설명 조건 경고 제목, 심각도, 공급자 또는 기타 특성과 같은 조건 정의 작업 영역 이 규칙이 적용되는 하나 이상의 작업 영역을 선택합니다. 추가 권한이 필요한 작업 영역이 회색으로 표시됩니다. 작업 플레이북 실행을 선택하고 사용하도록 설정된 플레이북을 선택합니다. 저장을 선택합니다.
이제 지정된 조건과 일치하는 경고가 생성되면 생성된 플레이북이 자동으로 실행됩니다.
팁
향상된 경고 트리거는 테넌트 수준에서 작동합니다. 포괄적인 적용을 위해 여러 작업 영역 및 경고 원본에 자동화를 적용할 수 있습니다.
플레이북 실행 모니터링
생성된 플레이북에 대한 실행 세부 정보를 보려면 다음을 수행합니다.
관련 경고가 포함된 인시던트 페이지로 이동합니다.
작업 탭 을 선택합니다.
실행 플레이북 레이블이 지정된 행을 찾아 실행 상태 및 세부 정보를 확인합니다.
참고
인시던트 작업 탭에서 자동화 규칙 실행 결과를 볼 수 있지만 Microsoft Sentinel 상태 테이블에서는 볼 수 없습니다.
예제 사용 사례
다음은 일반적인 시나리오에 대한 플레이북을 생성하는 데 사용할 수 있는 프롬프트의 예입니다.
- VirusTotal 데이터를 사용하여 경고 URL 엔터티를 보강하고 결과를 관련 인시던트에 주석으로 추가하는 플레이북을 만듭니다.
- AWS IAM 사용자를 차단하고, John에게 경고를 할당하고, 심각도가 높은 경고에 IAM 사용자 엔터티가 포함된 경우 수정 주석을 추가하는 플레이북을 만듭니다.
제한 사항
생성된 플레이북으로 작업할 때 다음과 같은 제한 사항에 유의하세요.
플레이북 제한 사항
- 언어 지원: 플레이북 작성에는 Python만 지원됩니다.
- 입력 제약 조건: 플레이북은 현재 경고를 유일한 입력 유형으로 허용합니다.
- 동시 편집: 한 명의 사용자가 한 번에 하나의 플레이북만 편집할 수 있습니다. 그러나 여러 사용자가 다른 플레이북을 동시에 편집할 수 있습니다.
- 라이브러리 지원: 외부 라이브러리는 현재 지원되지 않습니다.
- 코드 유효성 검사: 자동 코드 유효성 검사가 제공되지 않습니다. 사용자는 수동으로 정확성을 확인해야 합니다.
- 플레이북 수: 테넌트당 최대 100개의 플레이북을 만들 수 있습니다.
- 플레이북 크기: 각 플레이북에는 최대 5,000줄이 있을 수 있습니다.
- 런타임: 플레이북 실행당 최대 런타임은 10분입니다.
- 통합: 테넌트당 최대 통합 수는 500개입니다.
- AI 상호 작용: 테넌트당 하루 최대 8M 토큰
통합 프로필 제한 사항
- 통합 제한 사항: Microsoft Graph 및 Azure Resource Manager 통합은 기본적으로 사용하도록 설정되지 않으며 수동으로 만들어야 합니다.
- 인증 방법: 사용 가능한 방법에는 OAuth2 클라이언트 자격 증명, API 키, AWS 인증, 사용자 및 암호, 전달자/JWT 인증 및 Hawk가 포함됩니다.
- 통합 구성: 생성 후 API URL 및 인증 방법을 변경할 수 없습니다.
자동화 규칙 경고 트리거 제한 사항
- 트리거 제한 사항: 향상된 경고 트리거 규칙은 우선 순위 순서 지정 또는 만료 날짜를 지원하지 않습니다.
- 사용 가능한 작업: 현재 사용 가능한 작업만 생성된 플레이북을 트리거하고 작업 경고를 업데이트하는 것입니다.
- 작업 영역 권한 – 권한이 있는 작업 영역을 명시적으로 지정해야 합니다. 트리거는 액세스할 수 없는 작업 영역에 적용되지 않습니다.
- 별도의 규칙 테이블 – 향상된 경고 트리거 규칙은 별도의 Automation 규칙 테이블에서 Standard 경고 트리거 규칙과 함께 제공됩니다. 현재 Standard 경고 트리거 규칙의 자동 마이그레이션은 없습니다.
- 결과 표시 유형 실행 – Automation 규칙 실행 결과는 Sentinel 상태 테이블에 기록되지 않습니다. 그러나 대상 경고가 포함된 인시던트 활동 탭 에서 실행 및 결과를 볼 수 있습니다.
- 만들 수 있는 활성 자동화 규칙의 최대 수는 테넌트당 500개입니다.
- 규칙당 하나의 작업을 실행할 수 있습니다.