Microsoft Sentinel 자동화 규칙 및 플레이북을 사용하여 SOAR(보안 오케스트레이션, 자동화 및 응답) 기능을 제공합니다. 자동화 규칙은 인시던트 처리 및 응답을 자동화하고 플레이북은 미리 정해진 일련의 작업을 실행하여 위협에 대응하고 수정합니다. 이 문서에서는 SOAR 사용 사례를 식별하는 방법과 ArcSight SOAR 자동화를 Microsoft Sentinel 마이그레이션하는 방법을 설명합니다.
자동화 규칙은 인시던트 오케스트레이션 프로세스에 대한 복잡한 워크플로를 간소화하고 인시던트 처리 자동화를 중앙에서 관리할 수 있도록 합니다.
자동화 규칙을 사용하면 다음을 수행할 수 있습니다.
- 반드시 플레이북을 사용하지 않고 간단한 자동화 작업을 수행합니다. 예를 들어 인시던트 할당, 태그 지정, 상태 변경 및 인시던트 닫기를 수행할 수 있습니다.
- 여러 분석 규칙에 대한 응답을 한 번에 자동화합니다.
- 실행되는 작업의 순서를 제어합니다.
- 더 복잡한 자동화 작업이 필요한 경우 플레이북을 실행합니다.
SOAR 사용 사례 식별
ArcSight에서 SOAR 사용 사례를 마이그레이션할 때 고려해야 할 내용은 다음과 같습니다.
- 사용 사례 품질. 자동화에 적합한 사용 사례를 선택합니다. 사용 사례는 최소한의 변형과 낮은 가양성 비율로 명확하게 정의된 프로시저를 기반으로 해야 합니다. 자동화는 효율적인 사용 사례와 함께 작동해야 합니다.
- 수동 개입. 자동화된 응답은 광범위한 효과를 가질 수 있으며, 높은 영향의 자동화는 작업을 수행하기 전에 높은 영향을 미치는 작업을 확인하기 위해 사용자 입력이 있어야 합니다.
- 이진 조건입니다. 응답 성공을 높이기 위해 자동화된 워크플로 내의 의사 결정 지점은 이진 조건을 사용하여 가능한 한 제한되어야 합니다. 이진 기준은 인적 개입의 필요성을 줄이고 결과 예측 가능성을 향상시킵니다.
- 정확한 경고 또는 데이터. 응답 작업은 경고와 같은 신호의 정확도에 따라 달라집니다. 경고 및 보강 원본은 신뢰할 수 있어야 합니다. 관심 목록 및 신뢰할 수 있는 위협 인텔리전스와 같은 Microsoft Sentinel 리소스는 안정성을 향상시킬 수 있습니다.
- 분석가 역할. 가능한 경우 자동화는 훌륭하지만 분석가에게 더 복잡한 작업을 예약하고 유효성 검사가 필요한 워크플로에 입력할 수 있는 기회를 제공합니다. 즉, 응답 자동화는 분석가 기능을 보강하고 확장해야 합니다.
SOAR 워크플로 마이그레이션
이 섹션에서는 ArcSight의 주요 SOAR 개념이 Microsoft Sentinel 구성 요소로 변환되는 방법을 보여 줍니다. SOAR 워크플로에서 각 단계 또는 구성 요소를 마이그레이션하는 방법에 대한 일반적인 지침을 제공합니다.
| 단계(다이어그램) | ArcSight | Microsoft Sentinel |
|---|---|---|
| 1 | ESM(Enterprise Security Manager)에 이벤트를 수집하고 상관 관계 이벤트를 트리거합니다. | Log Analytics 작업 영역에 이벤트를 수집합니다. |
| 2 | 사례 만들기에 대한 경고를 자동으로 필터링합니다. | 분석 규칙을 사용하여 경고를 트리거합니다. 사용자 지정 세부 정보 기능을 사용하여 경고를 보강하여 동적 인시던트 이름을 만듭니다. |
| 3 | 사례를 분류합니다. | 자동화 규칙을 사용합니다. 자동화 규칙을 사용하면 Microsoft Sentinel 인시던트가 트리거된 분석 규칙 및 정의된 조건과 일치하는 인시던트 속성에 따라 인시던트 처리합니다. |
| 4 | 사례를 통합합니다. | 경고 그룹화 기능을 사용하여 일치하는 엔터티, 경고 세부 정보 또는 생성 기간과 같은 속성에 따라 여러 경고를 단일 인시던트에 통합할 수 있습니다. |
| 5 | 디스패치 사례. | Microsoft Teams, Azure Logic Apps 및 Microsoft Sentinel 자동화 규칙 간의 통합을 사용하여 특정 분석가에게 인시던트를 할당합니다. |
SOAR 구성 요소 매핑
기본 ArcSight SOAR 구성 요소에 매핑되는 Microsoft Sentinel 또는 Azure Logic Apps 기능을 검토합니다.
| ArcSight | Microsoft Sentinel/Azure Logic Apps |
|---|---|
| 트리거 | 트리거 |
| Automation 비트 | Azure 함수 커넥터 |
| 작업 | 작업 |
| 예약된 플레이북 | 되풀이 트리거에 의해 시작된 플레이북 |
| 워크플로 플레이북 | Microsoft Sentinel 경고 또는 인시던트 트리거에 의해 자동으로 시작되는 플레이북 |
| 시장 | • 자동화 > 템플릿 탭 • 콘텐츠 허브 카탈로그 • GitHub |
Microsoft Sentinel 플레이북 및 자동화 규칙 운영
Microsoft Sentinel 사용하는 대부분의 플레이북은 Automation > 템플릿 탭, 콘텐츠 허브 카탈로그 또는 GitHub에서 사용할 수 있습니다. 그러나 경우에 따라 플레이북을 처음부터 만들거나 기존 템플릿에서 만들어야 할 수도 있습니다.
일반적으로 Azure Logic App Designer 기능을 사용하여 사용자 지정 논리 앱을 빌드합니다. 논리 앱 코드는 여러 환경에서 Azure Logic Apps의 개발, 배포 및 이식성을 용이하게 하는 ARM(Azure Resource Manager) 템플릿을 기반으로 합니다. 사용자 지정 플레이북을 이식 가능한 ARM 템플릿으로 변환하려면 ARM 템플릿 생성기를 사용할 수 있습니다.
처음부터 또는 기존 템플릿에서 고유한 플레이북을 빌드해야 하는 경우 이러한 리소스를 사용합니다.
- Microsoft Sentinel 인시던트 처리 자동화
- Microsoft Sentinel 플레이북을 사용하여 위협 대응 자동화
- 자습서: Microsoft Sentinel 자동화 규칙과 함께 플레이북 사용
- 인시던트 대응, 오케스트레이션 및 자동화에 Microsoft Sentinel 사용하는 방법
- Microsoft Sentinel 인시던트 대응을 향상시키기 위한 적응형 카드
SOAR 마이그레이션 후 모범 사례
SOAR 마이그레이션 후에 고려해야 하는 모범 사례는 다음과 같습니다.
- 플레이북을 마이그레이션한 후 플레이북을 광범위하게 테스트하여 마이그레이션된 작업이 예상대로 작동하는지 확인합니다.
- 주기적으로 자동화를 검토하여 SOAR를 더욱 단순화하거나 개선하는 방법을 살펴봅니다. Microsoft Sentinel 현재 응답 구현의 효율성을 더욱 단순화하거나 높이는 데 도움이 되는 새로운 커넥터와 작업을 지속적으로 추가합니다.
- 플레이북 상태 모니터링 통합 문서를 사용하여 플레이북의 성능을 모니터링합니다.
- 관리 ID 및 서비스 주체 사용: Logic Apps 내의 다양한 Azure 서비스에 대해 인증하고, 비밀을 Azure Key Vault 저장하고, 흐름 실행의 출력을 모호하게 합니다. 또한 이러한 서비스 주체의 활동을 모니터링하는 것이 좋습니다.
다음 단계
이 문서에서는 ArcSight에서 Microsoft Sentinel SOAR 자동화를 매핑하는 방법을 알아보았습니다.