플레이북을 사용하여 Microsoft Sentinel 인시던트 작업 만들기 및 수행

  • 적용 대상: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

이 문서에서는 플레이북을 사용하여 인시던트 작업을 만들고 필요에 따라 수행하여 Microsoft Sentinel 복잡한 분석가 워크플로 프로세스를 관리하는 방법을 설명합니다.

플레이북의 Microsoft Sentinel 커넥터에서 작업 추가 작업을 사용하여 플레이북을 트리거한 인시던트에 작업을 자동으로 추가합니다. Standard 및 소비 워크플로가 모두 지원됩니다.

인시던트 작업은 플레이북뿐만 아니라 자동화 규칙과 인시던트 내에서 수동으로도 자동으로 만들 수 있습니다.

자세한 내용은 작업을 사용하여 Microsoft Sentinel 인시던트 관리를 참조하세요.

필수 구성 요소

  • 작업을 추가, 보기 및 편집하는 데 필요한 인시던트 보기 및 편집에는 Microsoft Sentinel 응답자 역할이 필요합니다.

  • 플레이북을 만들고 편집하려면 Logic Apps 기여자 역할이 필요합니다.

자세한 내용은 Microsoft Sentinel 플레이북 필수 구성 요소를 참조하세요.

플레이북을 사용하여 작업 추가 및 수행

이 섹션에서는 다음을 수행하는 플레이북 작업을 추가하기 위한 샘플 절차를 제공합니다.

  • 인시던트에 작업을 추가하여 손상된 사용자의 암호를 다시 설정합니다.
  • AADIP(Microsoft Entra ID Protection)에 신호를 보내 암호를 실제로 재설정하는 또 다른 플레이북 작업을 추가합니다.
  • 인시던트 완료의 작업을 표시하는 최종 플레이북 작업을 추가합니다.

이러한 작업을 추가하고 구성하려면 다음 단계를 수행합니다.

  1. Microsoft Sentinel 커넥터에서 인시던트에 작업 추가 작업을 추가한 다음, 다음을 수행합니다.

    1. 인시던트 ARM ID 필드에 대한 인시던트 ARM ID 동적 콘텐츠 항목을 선택합니다.

    2. 사용자 암호 재설정을 타이틀로 입력합니다.

    3. 선택적 설명을 추가합니다.

    예시:

    스크린샷은 사용자의 암호를 재설정하는 작업을 추가하는 플레이북 작업을 보여줍니다.

  2. 엔터티 - 계정 가져오기(미리 보기) 작업을 추가합니다. 엔터티 동적 콘텐츠 항목(Microsoft Sentinel 인시던트 스키마)을 엔터티 목록 필드에 추가합니다. 예시:

    스크린샷은 인시던트에서 계정 엔터티를 가져오는 플레이북 작업을 보여줍니다.

  3. 컨트롤 작업 라이브러리에서 For each 루프를 추가합니다. 엔터티 - 계정 가져오기 출력의 계정 동적 콘텐츠 항목을 이전 단계에서 출력 선택 필드에 추가합니다. 예시:

    스크린샷은 검색된 각 계정에 대해 작업을 수행하기 위해 플레이북에 for-each 루프 작업을 추가하는 방법을 보여줍니다.

  4. For each 루프 내에서 작업 추가를 선택합니다. 그런 다음 다음을 수행합니다.

    1. Microsoft Entra ID Protection 커넥터 검색 및 선택
    2. 위험한 사용자를 손상된 것으로 확인(미리 보기) 작업을 선택합니다.
    3. accounts Microsoft Entra 사용자 ID 동적 콘텐츠 항목을 userIds 항목 - 1 필드에 추가합니다.

    이 작업은 Microsoft Entra ID 보호 내의 동작 프로세스를 설정하여 사용자의 암호를 재설정합니다.

    손상 확인을 위해 엔터티를 AADIP로 보내는 방법을 보여 주는 스크린샷

    참고

    계정 Microsoft Entra 사용자 ID 필드는 AADIP에서 사용자를 식별하는 한 가지 방법입니다. 모든 시나리오에서 반드시 가장 좋은 방법은 아니지만 예를 들어 여기에 제공됩니다.

    도움이 필요하면 손상된 사용자를 처리하는 다른 플레이북 또는 Microsoft Entra ID Protection 설명서를 참조하세요.

  5. Microsoft Sentinel 커넥터에서 완료된 작업으로 작업 표시를 추가하고 작업 ARM ID 필드에 인시던트 태스크 ID 동적 콘텐츠 항목을 추가합니다. 예시:

    스크린샷은 플레이북 작업을 추가하여 인시던트 작업을 완료로 표시하는 방법을 보여 줍니다.

플레이북을 사용하여 조건부로 작업 추가

이 섹션에서는 인시던트에 나타나는 IP 주소를 조사하는 플레이북 작업을 추가하기 위한 샘플 절차를 제공합니다.

  • 이 연구의 결과가 IP 주소가 악의적인 경우 플레이북은 분석가가 해당 IP 주소를 사용하여 사용자를 사용하지 않도록 설정하는 작업을 만듭니다.
  • IP 주소가 알려진 악성 주소가 아닌 경우 플레이북은 분석가가 사용자에게 연락하여 활동을 확인하는 다른 작업을 만듭니다.

이러한 작업을 추가하고 구성하려면 다음 단계를 수행합니다.

  1. Microsoft Sentinel 커넥터에서 엔터티 - IP 가져오기 작업을 추가합니다. 엔터티 동적 콘텐츠 항목(Microsoft Sentinel 인시던트 스키마)을 엔터티 목록 필드에 추가합니다. 예시:

    스크린샷은 인시던트에서 IP 주소 엔터티를 가져오는 플레이북 작업을 보여줍니다.

  2. 컨트롤 작업 라이브러리에서 For each 루프를 추가합니다. 엔터티 - IP 출력 가져오기에서 IP 동적 콘텐츠 항목을 이전 단계에서 출력 선택 필드에 추가합니다. 예시:

    스크린샷은 검색된 각 IP 주소에서 작업을 수행하기 위해 플레이북에 for-each 루프 작업을 추가하는 방법을 보여줍니다.

  3. For each 루프 내에서 작업 추가를 선택한 다음, 다음을 선택합니다.

    1. 바이러스 합계 커넥터를 검색하여 선택합니다.
    2. IP 보고서 가져오기(미리 보기) 작업을 선택합니다.
    3. 엔터티 - IP 주소 필드에 IP 출력 가져오기에서 IP 주소 동적 콘텐츠 항목을 추가합니다.

    예시:

    스크린샷은 IP 주소 보고서에 대한 바이러스 합계에 요청을 보내는 것을 보여줍니다.

  4. For each 루프 내에서 작업 추가를 선택한 다음, 다음을 선택합니다.

    1. 컨트롤 작업 라이브러리에서 조건을 추가합니다.
    2. IP 보고서 가져오기 출력에서 마지막 분석 통계 악성 동적 콘텐츠 항목을 추가합니다. 자세히 보기를 선택하여 찾아야 할 수 있습니다.
    3. 가 연산자 보다 큼 을 선택하고 를 값으로 입력 0 합니다.

    이 조건은 "바이러스 총 IP 보고서에 결과가 있었나요?"라는 질문을 합니다. 예를 들어:

    스크린샷은 플레이북에서 true-false 조건을 설정하는 방법을 보여줍니다.

  5. True 옵션 내에서 작업 추가를 선택한 다음, 다음을 선택합니다.

    1. Microsoft Sentinel 커넥터에서 인시던트에 작업 추가 작업을 선택합니다.
    2. 인시던트 ARM ID 필드에 대한 인시던트 ARM ID 동적 콘텐츠 항목을 선택합니다.
    3. 사용자를 타이틀로 손상됨으로 표시를 입력합니다.
    4. 선택적 설명을 추가합니다.

    예시:

    스크린샷은 사용자를 손상된 것으로 표시하는 작업을 추가하는 플레이북 작업을 보여줍니다.

  6. False 옵션 내에서 작업 추가를 선택한 다음, 다음을 선택합니다.

    1. Microsoft Sentinel 커넥터에서 인시던트에 작업 추가 작업을 선택합니다.
    2. 인시던트 ARM ID 필드에 대한 인시던트 ARM ID 동적 콘텐츠 항목을 선택합니다.
    3. 사용자에게 연락 을 입력하여 활동을타이틀로 확인합니다.
    4. 선택적 설명을 추가합니다.

    예시:

    스크린샷은 사용자가 작업을 확인하는 작업을 추가하는 플레이북 작업을 보여줍니다.

관련 콘텐츠

자세한 내용은 다음 항목을 참조하세요.

  • Last updated on