중요
포털 또는 Logic Apps를 사용하여 수동 인시던트 만들기는 현재 미리 보기로 제공됩니다. 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법적 조건은 Microsoft Azure Preview에 대한 추가 사용 약관을 참조하세요.
수동 인시던트 만들기는 일반적으로 API를 사용하여 사용할 수 있습니다.
2027년 3월 31일 이후에는 Microsoft Sentinel 더 이상 Azure Portal 지원되지 않으며 Microsoft Defender 포털에서만 사용할 수 있습니다. Azure Portal Microsoft Sentinel 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel 사용합니다. 2025년 7월부터 많은 신규 고객이 자동으로 온보딩되고 Defender 포털로 리디렉션됩니다.
Azure Portal Microsoft Sentinel 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 제공하는 통합 보안 운영 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다. 자세한 내용은 It's Time to Move: Retiring Microsoft Sentinel s Azure Portal for greater security를 참조하세요.
SIEM(보안 정보 및 이벤트 관리) 솔루션으로 Microsoft Sentinel 보안 운영의 위협 탐지 및 대응 활동은 조사 및 수정하는 인시던트를 중심으로 합니다. 이러한 인시던트에는 두 가지 주요 원본이 있습니다.
검색 메커니즘이 연결된 데이터 원본에서 수집을 Microsoft Sentinel 로그 및 경고에서 작동할 때 자동으로 생성됩니다.
연결된 다른 Microsoft 보안 서비스(예: Microsoft Defender XDR)에서 직접 수집됩니다.
그러나 위협 데이터는 Microsoft Sentinel 수집되지 않은 다른 원본이나 로그에 기록되지 않은 이벤트에서도 제공될 수 있으며 조사 열기를 정당화할 수 있습니다. 예를 들어 직원은 organization 정보 자산과 관련된 의심스러운 활동에 관여하는 인식할 수 없는 사람을 발견할 수 있습니다. 이 직원은 SOC(보안 운영 센터)에 전화하거나 이메일을 보내 활동을 보고할 수 있습니다.
Azure Portal Microsoft Sentinel 보안 분석가가 원본 또는 데이터에 관계없이 모든 유형의 이벤트에 대한 인시던트만 수동으로 만들 수 있으므로 이러한 비정상적인 유형의 위협을 조사하는 것을 놓치지 마세요.
일반적인 사용 사례
보고된 이벤트에 대한 인시던트 만들기
위의 소개에 설명된 시나리오입니다.
외부 시스템에서 이벤트에서 인시던트 만들기
로그가 Microsoft Sentinel 수집되지 않는 시스템의 이벤트를 기반으로 인시던트 만들기 예를 들어 SMS 기반 피싱 캠페인은 organization 회사 브랜딩 및 테마를 사용하여 직원의 개인 모바일 디바이스를 대상으로 할 수 있습니다. 이러한 공격을 조사할 수 있으며, Microsoft Sentinel 인시던트를 만들어 조사를 관리하고, 증거를 수집하고 기록하며, 대응 및 완화 작업을 기록할 수 있는 플랫폼을 만들 수 있습니다.
헌팅 결과에 따라 인시던트 만들기
헌팅 활동의 관찰된 결과에 따라 인시던트 만들기 예를 들어 특정 조사(또는 직접)의 맥락에서 위협 헌팅을 하는 동안 자체적으로 별도의 조사를 보증하는 완전히 관련이 없는 위협의 증거를 볼 수 있습니다.
수동으로 인시던트 만들기
인시던트를 수동으로 만드는 세 가지 방법이 있습니다.
- Azure Portal 사용하여 인시던트 만들기
- Microsoft Sentinel 인시던트 트리거를 사용하여 Azure Logic Apps를 사용하여 인시던트를 만듭니다.
- 인시던트 작업 그룹을 통해 Microsoft Sentinel API를 사용하여인시던트를 만듭니다. 인시던트 가져오기, 만들기, 업데이트 및 삭제를 수행할 수 있습니다.
Microsoft Defender 포털에 Microsoft Sentinel 온보딩한 후에도 수동으로 만든 인시던트가 Defender 포털과 동기화되지 않지만 Azure Portal 및 Logic Apps 및 API를 통해 Microsoft Sentinel 보고 관리할 수 있습니다.
권한
인시던트를 수동으로 만들려면 다음 역할 및 권한이 필요합니다.
| 메서드 | 필수 역할 |
|---|---|
| Azure Portal 및 API | 다음 중 하나가 필요합니다. |
| Azure Logic Apps | 위 중 하나, 더하기: |
Microsoft Sentinel 역할에 대해 자세히 알아보세요.
Azure Portal 사용하여 인시던트 만들기
Microsoft Sentinel 선택하고 작업 영역을 선택합니다.
Microsoft Sentinel 탐색 메뉴에서 인시던트 를 선택합니다.
인시던트 페이지의 단추 모음에서 + 인시던트 만들기(미리 보기)를 선택합니다.
인시던트 만들기(미리 보기) 패널이 화면 오른쪽에 열립니다.
그에 따라 패널의 필드를 채웁니다.
Title
- 인시던트에 대해 선택한 제목을 입력합니다. 인시던트가 이 제목이 있는 큐에 표시됩니다.
- 필수 특성입니다. 길이가 무제한인 무료 텍스트입니다. 공백이 잘립니다.
설명
- 인시던트에 대한 설명 정보를 입력합니다. 여기에는 인시던트 원본, 관련된 엔터티, 다른 이벤트와 관련된 정보, 정보를 받은 사람 등과 같은 세부 정보가 포함됩니다.
- 선택 사항. 최대 5,000자까지 무료 텍스트입니다.
심각도
- 드롭다운 목록에서 심각도를 선택합니다. 지원되는 모든 Microsoft Sentinel 심각도를 사용할 수 있습니다.
- 필수 특성입니다. 기본값은 "보통"입니다.
상태
- 드롭다운 목록에서 상태 선택합니다. 지원되는 모든 Microsoft Sentinel 상태를 사용할 수 있습니다.
- 필수 특성입니다. 기본값은 "새로 만들기"입니다.
- "닫힌" 상태 사용하여 인시던트를 만든 다음, 나중에 수동으로 열어 변경하고 다른 상태 선택할 수 있습니다. 드롭다운에서 "닫힘"을 선택하면 분류 이유 필드를 활성화하여 인시던트 종료 이유를 선택하고 주석을 추가합니다.
소유자
- 테넌트에서 사용 가능한 사용자 또는 그룹 중에서 선택합니다. 이름 입력을 시작하여 사용자 및 그룹을 검색합니다. 필드(클릭 또는 탭)를 선택하여 제안 목록을 표시합니다. 목록 맨 위에 있는 "나에게 할당"을 선택하여 인시던트 할당을 자신에게 할당합니다.
- 선택 사항.
태그
- 태그를 사용하여 인시던트 분류를 수행하고 큐에서 필터링하고 찾습니다.
- 더하기 기호 아이콘을 선택하고, 대화 상자에 텍스트를 입력하고, 확인을 선택하여 태그를 만듭니다. 자동 완성은 이전 2주 동안 작업 영역 내에서 사용된 태그를 제안합니다.
- 선택 사항. 무료 텍스트입니다.
패널 아래쪽에서 만들기 를 선택합니다. 몇 초 후에 인시던트가 만들어지고 인시던트 큐에 표시됩니다.
인시던트를 "닫힘"의 상태 할당하는 경우 상태 필터를 변경하여 닫힌 인시던트도 표시할 때까지 큐에 표시되지 않습니다. 필터는 기본적으로 "새로 만들기" 또는 "활성"의 상태 있는 인시던트만 표시하도록 설정됩니다.
큐에서 인시던트 를 선택하여 전체 세부 정보를 확인하고, 책갈피를 추가하고, 소유자 및 상태 변경하는 등의 작업을 수행합니다.
어떤 이유로 인시던트 만들기에 대한 사실 이후에 마음이 바뀌면 큐 그리드 또는 인시던트 자체 내에서 삭제 할 수 있습니다. 인시던트를 삭제하려면 Microsoft Sentinel 기여자 역할이 있어야 합니다.
Azure Logic Apps를 사용하여 인시던트 만들기
인시던트 만들기는 Microsoft Sentinel 커넥터에서 Logic Apps 작업으로 사용할 수 있으므로 Microsoft Sentinel 플레이북에서도 사용할 수 있습니다.
인시던트 트리거에 대한 플레이북 스키마에서 인시던트 만들기(미리 보기) 작업을 찾을 수 있습니다.
아래에 설명된 대로 매개 변수를 제공해야 합니다.
해당 드롭다운에서 구독, 리소스 그룹 및 작업 영역 이름을 선택합니다.
나머지 필드는 위의 설명(Azure Portal 사용하여 인시던트 만들기 아래)을 참조하세요.
Microsoft Sentinel 이 기능을 사용하는 방법을 보여 주는 몇 가지 샘플 플레이북 템플릿을 제공합니다.
- Microsoft Form을 사용하여 인시던트 만들기
- 공유 전자 메일 받은 편지함에서 인시던트 만들기
Microsoft Sentinel Automation 페이지의 플레이북 템플릿 갤러리에서 찾을 수 있습니다.
Microsoft Sentinel API를 사용하여 인시던트 만들기
인시던트 작업 그룹을 사용하면 인시던트뿐만 아니라 인시던트 업데이트(편집), 가져오기(검색), 나열 및 삭제도 수행할 수 있습니다.
다음 엔드포인트 를 사용하여 인시던트를 만듭니 다. 이 요청이 수행되면 인시던트가 포털의 인시던트 큐에 표시됩니다.
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview
요청 본문의 예는 다음과 같습니다.
{
"etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
"properties": {
"lastActivityTimeUtc": "2019-01-01T13:05:30Z",
"firstActivityTimeUtc": "2019-01-01T13:00:30Z",
"description": "This is a demo incident",
"title": "My incident",
"owner": {
"objectId": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb"
},
"severity": "High",
"classification": "FalsePositive",
"classificationComment": "Not a malicious activity",
"classificationReason": "IncorrectAlertLogic",
"status": "Closed"
}
}
참고 사항
수동으로 만든 인시던트에는 엔터티 또는 경고가 포함되지 않습니다. 따라서 인시던 트 페이지의 경고 탭은 기존 경고를 인시던 트에 연결할 때까지 비어 있습니다.
수동으로 만든 인시던트에 직접 엔터티를 추가하는 것은 현재 지원되지 않으므로 엔터티 탭도 비어 있습니다. (이 인시던트에 경고를 연결하면 경고의 엔터티가 인시던트에 표시됩니다.)
수동으로 만든 인시던트도 큐에 제품 이름을 표시하지 않습니다.
인시던트 큐는 기본적으로 "새로 만들기" 또는 "활성"의 상태 인시던트만 표시하도록 필터링됩니다. "닫힘"의 상태 사용하여 인시던트를 만드는 경우 닫힌 인시던트를 표시하도록 상태 필터를 변경할 때까지 큐에 표시되지 않습니다.
다음 단계
자세한 내용은 다음을 참조하세요.