SIEM(보안 정보 및 이벤트 관리) 및 SOC(보안 운영 센터) 팀은 일반적으로 보안 경고 및 인시던트가 정기적으로 넘쳐나고, 규모가 너무 커서 사용 가능한 직원이 압도됩니다. 이렇게 하면 많은 경고가 무시되고 많은 인시던트가 조사되지 않는 상황에서 너무 자주 발생하므로 organization 눈에 띄지 않는 공격에 취약합니다.
Microsoft Sentinel SIEM 시스템 외에도 SOAR(보안 오케스트레이션, 자동화 및 응답)를 위한 플랫폼이기도 합니다. 주요 목적 중 하나는 보안 운영 센터 및 직원(SOC/SecOps)의 책임인 반복적이고 예측 가능한 보강, 대응 및 수정 작업을 자동화하여 고급 위협에 대한 보다 심층적인 조사 및 헌팅을 위해 시간과 리소스를 확보하는 것입니다.
이 문서에서는 Microsoft Sentinel SOAR 기능에 대해 설명하고, 보안 위협에 대응하여 자동화 규칙 및 플레이북을 사용하면 SOC의 효율성을 높이고 시간과 리소스를 절약하는 방법을 보여 줍니다.
중요
2027년 3월 31일 이후에는 Microsoft Sentinel 더 이상 Azure Portal 지원되지 않으며 Microsoft Defender 포털에서만 사용할 수 있습니다. Azure Portal Microsoft Sentinel 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel 사용합니다.
Azure Portal Microsoft Sentinel 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 제공하는 통합 보안 운영 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다.
자동화 규칙
Microsoft Sentinel 자동화 규칙을 사용하여 사용자가 중앙 위치에서 인시던트 처리 자동화를 관리할 수 있도록 합니다. 자동화 규칙을 사용하여 다음을 수행합니다.
- 플레이북을 사용하여 인시던트 및 경고에 고급 자동화 할당
- 플레이북 없이 인시던트 자동으로 태그 지정, 할당 또는 닫기
- 한 번에 여러 분석 규칙에 대한 응답 자동화
- 인시던트 심사, 조사 및 수정 시 분석가가 수행할 작업 목록 만들기
- 실행되는 작업 순서 제어
인시던트가 만들어지거나 업데이트되면 자동화 규칙을 적용하여 자동화를 더욱 간소화하고 인시던트 오케스트레이션 프로세스에 대한 복잡한 워크플로를 간소화하는 것이 좋습니다.
자세한 내용은 자동화 규칙을 사용하여 Microsoft Sentinel 위협 대응 자동화를 참조하세요.
플레이북
플레이북은 Microsoft Sentinel 루틴으로 실행할 수 있는 응답 및 수정 작업 및 논리의 컬렉션입니다. 플레이북은 다음을 수행할 수 있습니다.
- 위협 대응 자동화 및 오케스트레이션 지원
- 내부 및 외부의 다른 시스템과 통합
- 특정 경고 또는 인시던트에 대한 응답으로 자동으로 실행되도록 구성하거나 새 경고에 대한 응답으로 주문형으로 수동으로 실행하도록 구성
Microsoft Sentinel 플레이북은 엔터프라이즈 전체의 시스템에서 작업 및 워크플로를 예약, 자동화 및 오케스트레이션하는 데 도움이 되는 클라우드 서비스인 Azure Logic Apps에 기본 제공되는 워크플로를 기반으로 합니다. 즉, 플레이북은 Logic Apps의 통합 및 오케스트레이션 기능과 사용하기 쉬운 디자인 도구, 계층 1 Azure 서비스의 확장성, 안정성 및 서비스 수준을 모두 활용할 수 있습니다.
자세한 내용은 Microsoft Sentinel 플레이북을 사용하여 위협 대응 자동화를 참조하세요.
Microsoft Defender 포털의 자동화
Defender 포털의 Microsoft Sentinel 자동화가 작동하는 방식에 대한 다음 세부 정보를 확인합니다. Azure Portal Defender 포털로 전환하는 기존 고객인 경우 Defender 포털에 온보딩한 후 작업 영역에서 자동화가 작동하는 방식의 차이를 확인할 수 있습니다.
| 기능 | 설명 |
|---|---|
| 경고 트리거가 있는 자동화 규칙 | Defender 포털에서 경고 트리거가 있는 자동화 규칙은 Microsoft Sentinel 경고에만 작동합니다. 자세한 내용은 경고 만들기 트리거를 참조하세요. |
| 인시던트 트리거가 있는 자동화 규칙 | 모든 인시던트에는 인시던트 공급자(ProviderName 필드의 값)로 Microsoft XDR이 있으므로 Azure Portal 및 Defender 포털 모두에서 인시던트 공급자 조건 속성이 제거됩니다. 이 시점에서 인시던트 공급자 조건이 Microsoft Sentinel 또는 Microsoft 365 Defender로만 설정된 경우를 포함하여 모든 기존 자동화 규칙은 Microsoft Sentinel 및 Microsoft Defender XDR 인시던트 모두에서 실행됩니다. 그러나 특정 분석 규칙 이름을 지정하는 자동화 규칙은 지정된 분석 규칙에 의해 생성된 경고를 포함하는 인시던트에서만 실행됩니다. 즉, 분석 규칙 이름 조건 속성을 Microsoft Sentinel 있는 분석 규칙에 정의하여 Microsoft Sentinel 인시던트에서만 규칙을 실행하도록 제한할 수 있습니다. 또한 Defender 포털에 온보딩한 후 SecurityIncident 테이블에는 더 이상 설명 필드가 포함되어 있지 않습니다. 따라서: - 인시던트 생성 트리거가 있는 자동화 규칙의 조건으로 이 설명 필드를 사용하는 경우 해당 자동화 규칙은 Defender 포털에 온보딩한 후 작동하지 않습니다. 이러한 경우 구성을 적절하게 업데이트해야 합니다. 자세한 내용은 인시던트 트리거 조건을 참조하세요. - ServiceNow 같은 외부 발권 시스템과 통합이 구성된 경우 인시던트 설명이 누락됩니다. |
| 플레이북 트리거의 대기 시간 | Microsoft Sentinel Microsoft Defender 인시던트가 표시되는 데 최대 5분이 걸릴 수 있습니다. 이 지연이 있는 경우 플레이북 트리거도 지연됩니다. |
| 기존 인시던트 이름 변경 | Defender 포털은 고유한 엔진을 사용하여 인시던트와 경고의 상관 관계를 지정합니다. Defender 포털에 작업 영역을 온보딩할 때 상관 관계가 적용되는 경우 기존 인시던트 이름이 변경될 수 있습니다. 따라서 자동화 규칙이 항상 올바르게 실행되도록 하려면 자동화 규칙에서 인시던트 제목을 조건 조건으로 사용하지 말고 인시던트에 포함된 경고를 만든 분석 규칙의 이름과 더 구체적인 특성이 필요한 경우 태그를 사용하도록 제안하는 것이 좋습니다. |
| 필드별로 업데이트됨 | 자세한 내용은 인시던트 업데이트 트리거를 참조하세요. |
| 인시던트에서 직접 자동화 규칙 만들기 | 인시던트에서 직접 자동화 규칙을 만드는 것은 Azure Portal 지원됩니다. Defender 포털에서 작업하는 경우 Automation 페이지에서 자동화 규칙을 처음부터 만듭니다. |
| Microsoft 인시던트 생성 규칙 | Microsoft 인시던트 생성 규칙은 Defender 포털에서 지원되지 않습니다. 자세한 내용은 인시던트 Microsoft Defender XDR 및 Microsoft 인시던트 생성 규칙을 참조하세요. |
| Defender 포털에서 자동화 규칙 실행 | 경고가 트리거되고 Defender 포털에서 인시던트가 생성되거나 업데이트되는 시간부터 자동화 규칙이 실행되는 시점까지 최대 10분이 걸릴 수 있습니다. 이 시간 지연은 인시던트가 Defender 포털에서 생성된 다음 자동화 규칙에 대한 Microsoft Sentinel 전달되기 때문입니다. |
| 활성 플레이북 탭 | Defender 포털에 온보딩한 후 기본적으로 활성 플레이북 탭에는 온보딩된 작업 영역의 구독이 있는 미리 정의된 필터가 표시됩니다. Azure Portal 구독 필터를 사용하여 다른 구독에 대한 데이터를 추가합니다. 자세한 내용은 템플릿에서 Microsoft Sentinel 플레이북 만들기 및 사용자 지정을 참조하세요. |
| 주문형으로 플레이북을 수동으로 실행 | 다음 절차는 현재 Defender 포털에서 지원되지 않습니다. |
| 인시던트에서 플레이북을 실행하려면 Microsoft Sentinel 동기화가 필요합니다. | Defender 포털에서 인시던트에서 플레이북을 실행하려고 하면 "이 작업과 관련된 데이터에 액세스할 수 없습니다. 몇 분 안에 화면을 새로 고칩니다." 메시지가 표시되면 인시던트가 아직 Microsoft Sentinel 동기화되지 않았습니다. 인시던트가 동기화된 후 인시던트 페이지를 새로 고쳐 플레이북을 성공적으로 실행합니다. |
|
인시던트: 인시던트에 경고 추가/ 인시던트에서 경고 제거 |
Defender 포털에 작업 영역을 온보딩한 후에는 경고를 추가하거나 인시던트에서 경고를 제거하는 것이 지원되지 않으므로 이러한 작업은 플레이북 내에서도 지원되지 않습니다. 자세한 내용은 Defender 포털에서 경고와 인시던트가 병합되는 방식 이해를 참조하세요. |
| 여러 작업 영역에서 통합 Microsoft Defender XDR | 단일 테넌트에서 둘 이상의 작업 영역과 XDR 데이터를 통합한 경우 이제 데이터는 Defender 포털의 기본 작업 영역에만 수집됩니다. 자동화 규칙을 관련 작업 영역으로 전송하여 계속 실행합니다. |
| 자동화 및 상관 관계 엔진 | 상관 관계 엔진은 여러 신호의 경고를 단일 인시던트에 결합할 수 있으므로 자동화에서 예상하지 못한 데이터를 수신할 수 있습니다. 자동화 규칙을 검토하여 예상 결과가 표시되는지 확인하는 것이 좋습니다. |