자동화 규칙을 사용하여 Microsoft Sentinel 인시던트 작업 만들기

  • 적용 대상: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

이 문서에서는 자동화 규칙을 사용하여 Microsoft Sentinel 분석가 워크플로 프로세스를 표준화하기 위해 인시던트 작업 목록을 만드는 방법을 설명합니다.

인시던트 작업은 자동화 규칙뿐만 아니라 플레이북 및 인시던트 내에서 수동으로 임시로 자동으로 만들 수 있습니다.

다른 역할에 대한 사용 사례

이 문서에서는 SOC 관리자, 선임 분석가 및 자동화 엔지니어에게 적용되는 다음 시나리오를 다룹니다.

이러한 또 다른 시나리오는 다음 도우미 문서에서 다룹니다.

다음 링크의 또 다른 문서에서는 SOC 분석가에게 더 많이 적용되는 시나리오를 다룹니다.

중요

2027년 3월 31일 이후에는 Microsoft Sentinel 더 이상 Azure Portal 지원되지 않으며 Microsoft Defender 포털에서만 사용할 수 있습니다. Azure Portal Microsoft Sentinel 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel 사용합니다.

Azure Portal Microsoft Sentinel 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 제공하는 통합 보안 운영 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다.

필수 구성 요소

자동화 규칙을 만들고 작업을 추가, 보기 및 편집하는 데 필요한 인시던트 보기 및 편집에는 Microsoft Sentinel 응답자 역할이 필요합니다.

인시던트 작업으로 자동화 규칙 보기

자동화 페이지에서 자동화 규칙 보기를 필터링하여 작업 추가 작업이 정의된 규칙만 볼 수 있습니다.

자동화 규칙 그리드를 필터링하는 방법을 보여 주는 스크린샷

  1. 작업 필터를 선택합니다.

  2. 모두 선택 확인란의 표시를 해제합니다.

  3. 아래로 스크롤하여 작업 추가 확인란을 표시합니다.

  4. 확인을 선택하고 결과를 확인합니다.

    자동화 규칙 그리드의 필터 결과를 보여 주는 스크린샷

    인시던트에 작업을 추가하는 자동화 규칙입니다. 분석 규칙 이름 열은 이러한 자동화 규칙이 조건부로 지정된 분석 규칙을 알려주므로 영향을 받는 인시던트에 대한 일반적인 아이디어를 갖게 됩니다.

    참고

    자동화 규칙이 특정 인시던트에 적용되는지 여부를 정확하게 파악하려면 규칙을 열어 분석 규칙 조건 외에 추가 조건이 정의되었는지 확인해야 합니다. 다른 조건이 정의되면 영향을 받는 인시던트 scope 그에 따라 좁혀집니다.

자동화 규칙을 사용하여 인시던트에 작업 추가

  1. Automation 페이지에서 + 만들기를 선택하고 Automation 규칙을 선택합니다.

  2. 새 자동화 규칙 만들기 패널이 오른쪽에 열립니다.
    자동화 규칙에 수행하는 작업을 설명하는 이름을 지정합니다.

  3. 인시던트가 트리거로 생성되는 경우를 선택합니다(인시던트가 업데이트되는 경우를 사용할 수도 있음).

  4. 조건을 추가하여 새 작업을 추가할 인시던트에 결정합니다.

    예를 들어 분석 규칙 이름으로 필터링합니다.

    • 분석 규칙 또는 특정 워크플로에 따라 처리해야 하는 분석 규칙 그룹에서 검색한 위협 유형에 따라 인시던트에 작업을 추가할 수 있습니다. 드롭다운 목록에서 관련 분석 규칙을 검색하고 선택합니다.

    • 또는 모든 유형의 위협에서 인시던트 관련 작업을 추가할 수 있습니다(이 경우 기본 선택 항목인 All 은 그대로 유지).

    두 경우 모두 더 많은 조건을 추가하여 자동화 규칙이 적용되는 인시던트 scope 범위를 좁힐 수 있습니다. 자동화 규칙에 고급 조건을 추가하는 방법에 대해 자세히 알아봅니다.

    고려해야 할 한 가지는 작업이 인시던트에 표시되는 순서는 작업의 생성 시간에 따라 결정된다는 것입니다. 자동화 규칙의 순서를 설정하여 모든 인시던트에 필요한 작업을 추가하는 규칙이 먼저 실행되고 이후에 특정 분석 규칙에 의해 생성된 인시던트에 필요한 작업을 추가하는 규칙만 실행되도록 할 수 있습니다.

    자동화 규칙 마법사의 첫 번째 부분 스크린샷

  5. 작업에서 작업 추가를 선택합니다.

    자동화 규칙에서 작업 추가 작업을 선택하는 스크린샷

  6. 각 작업에 대해 작업 제목 필드에 제목을 입력한 다음(선택 사항) + 설명 추가 를 선택하여 설명 필드를 엽니다.
    인시던트의 작업 목록 패널에는 기본적으로 작업 제목만 표시됩니다. 태스크의 설명은 작업 항목이 확장된 경우에만 표시됩니다.

    작업에 제목 및 설명을 추가하는 방법을 보여 주는 스크린샷

  7. 설명 필드에서 이미지, 링크 및 서식 있는 텍스트 서식을 포함하여 작업에 대한 자유 형식 설명을 추가할 수 있습니다(아래 예제에서는 하이퍼링크, 번호 매기기 목록 및 코드 블록 형식 텍스트 참조).

    작업에 설명을 추가하는 방법을 보여 주는 스크린샷

  8. + 작업 추가를 선택하고 마지막 세 단계를 반복하여 동일한 인시던트 그룹에 더 많은 작업을 추가합니다.

    자동화 규칙에서 작업 작업 추가 순서에 따라 작업이 만들어지고 인시던트에 추가됩니다.

    자동화 규칙에 더 많은 작업을 추가하는 방법을 보여 주는 스크린샷

  9. 나머지 단계인 규칙 만료순서를 완료하고 마지막에 적용 을 선택하여 자동화 규칙 만들기를 완료합니다. 자세한 내용은 Microsoft Sentinel 자동화 규칙 만들기 및 사용을 참조하여 응답을 관리합니다.

    주문 설정과 관련하여: 인시던트에 태스크가 표시되는 순서는 다음 두 가지에 따라 달라집니다.

    1. 주문 설정의 수에 따라 결정되는 자동화 규칙의 실행 순서 및...
    2. 각 자동화 규칙에 정의된 작업 추가 작업의 순서입니다.

다음 단계

  • Last updated on