엔터티 매핑은 다음 조사 프로세스 및 수정 작업에 필수적인 정보를 사용하여 경고 및 인시던트 보강합니다.
Microsoft Sentinel 플레이북에는 엔터티 정보를 추출하기 위한 다음과 같은 네이티브 작업이 포함됩니다.
- 계정
- DNS
- 파일 해시
- 호스트
- Ips
- URL
이러한 작업 외에도 분석 규칙 엔터티 매핑에는 맬웨어, 프로세스, 레지스트리 키, 사서함 등과 같은 네이티브 작업이 아닌 엔터티 형식이 포함됩니다. 이 자습서에서는 다양한 기본 제공 작업을 사용하여 비 네이티브 작업을 사용하여 관련 값을 추출하는 방법을 알아봅니다.
이 자습서에서는 다음을 수행하는 방법을 배웁니다.
- 인시던트 트리거를 사용하여 플레이북을 만들고 인시던트에 대해 수동으로 실행합니다.
- 배열 변수를 초기화합니다.
- 다른 엔터티 형식에서 필요한 엔터티 형식을 필터링합니다.
- JSON 파일에서 결과를 구문 분석합니다.
- 나중에 사용할 수 있는 동적 콘텐츠로 값을 만듭니다.
중요
2027년 3월 31일 이후에는 Microsoft Sentinel 더 이상 Azure Portal 지원되지 않으며 Microsoft Defender 포털에서만 사용할 수 있습니다. Azure Portal Microsoft Sentinel 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel 사용합니다.
Azure Portal Microsoft Sentinel 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 제공하는 통합 보안 운영 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다.
필수 구성 요소
이 자습서를 완료하려면 다음이 있는지 확인합니다.
Azure 구독. 무료 계정이 아직 없는 경우 계정을 만듭니다.
다음 리소스에 할당된 다음 역할이 있는 Azure 사용자입니다.
(무료) VirusTotal 계정은 이 자습서에 충분합니다. 프로덕션 구현에는 VirusTotal Premium 계정이 필요합니다.
인시던트 트리거를 사용하여 플레이북 만들기
Defender 포털의 Microsoft Sentinel Microsoft Sentinel구성 자동화를>선택합니다>. Azure Portal Microsoft Sentinel 구성>자동화 페이지를 선택합니다.
Automation 페이지에서인시던트 트리거를 사용하여 플레이북만들기>를 선택합니다.
플레이북 만들기 마법사의 기본 사항에서 구독 및 리소스 그룹을 선택하고 플레이북에 이름을 지정합니다.
다음: 연결을 >선택합니다.
연결에서 Microsoft Sentinel - 관리 ID 연결을 사용하여 연결이 표시되어야 합니다. 예시:
다음: 검토 및 만들기>를 선택합니다.
검토 및 만들기에서 만들기를 선택하고 디자이너로 계속 진행합니다.
논리 앱 디자이너는 플레이북의 이름으로 논리 앱을 엽니다.
배열 변수 초기화
논리 앱 디자이너의 변수를 추가하려는 단계에서 새 단계를 선택합니다.
작업 선택 아래의 검색 상자에 변수를 필터로 입력합니다. 작업 목록에서 변수 초기화를 선택합니다.
변수에 대한 다음 정보를 제공합니다.
변수 이름에 엔터티를 사용합니다.
형식에 대해 배열을 선택합니다.
값의 경우 값 필드를 마우스로 가리키고 왼쪽의 파란색 아이콘 그룹에서 fx 를 선택합니다.
열리는 대화 상자에서 동적 콘텐츠 탭을 선택하고 검색 상자에 엔터티를 입력합니다.
목록에서 엔터티 를 선택하고 추가를 선택합니다.
기존 인시던트 선택
Microsoft Sentinel 인시던트로 이동하여 플레이북을 실행할 인시던트를 선택합니다.
오른쪽의 인시던트 페이지에서 작업 > 플레이북 실행(미리 보기)을 선택합니다.
플레이북에서 만든 플레이북 옆에 있는 실행을 선택합니다.
플레이북이 트리거되면 플레이북이 트리거되어 오른쪽 위에 메시지가 표시됩니다.
실행을 선택하고 플레이북 옆에 있는 실행 보기를 선택합니다.
논리 앱 실행 페이지가 표시됩니다.
변수 초기화에서 샘플 페이로드는 Value 아래에 표시됩니다. 나중에 사용할 수 있는 샘플 페이로드를 확인합니다.
다른 엔터티 형식에서 필요한 엔터티 형식 필터링
Automation 페이지로 돌아가서 플레이북을 선택합니다.
변수를 추가하려는 단계에서 새 단계를 선택합니다.
작업 선택 아래의 검색 상자에 필터 배열을 필터로 입력합니다. 작업 목록에서 데이터 작업을 선택합니다.
필터 배열에 대한 다음 정보를 제공합니다.
동적 콘텐츠에서>이전에 초기화한 Entities 변수를 선택합니다.
첫 번째 값 선택 필드(왼쪽)를 선택하고 식을 선택합니다.
값 항목()?['을 붙여넣습니다. kind']를 선택하고 확인을 선택합니다.
은 값 과 같게 둡니다(수정하지 마세요).
두 번째 값 선택 필드(오른쪽)에 Process를 입력 합니다. 시스템의 값과 정확히 일치해야 합니다.
참고
이 쿼리는 대/소문자를 구분합니다. 값이
kind샘플 페이로드의 값과 일치하는지 확인합니다. 플레이북을 만들 때의 샘플 페이로드를 참조하세요.
결과를 JSON 파일로 구문 분석
논리 앱의 변수를 추가할 단계 아래에서 새 단계를 선택합니다.
데이터 작업>JSON 구문 분석을 선택합니다.
작업에 대한 다음 정보를 제공합니다.
콘텐츠를 선택하고 동적 콘텐츠>필터 배열에서 본문을 선택합니다.
스키마 아래에 배열에서 값을 추출할 수 있도록 JSON 스키마를 붙여넣습니다. 플레이북을 만들 때 생성한 샘플 페이로드를 복사합니다.
플레이북으로 돌아가 서 샘플 페이로드를 사용하여 스키마 생성을 선택합니다.
페이로드를 붙여넣습니다. 스키마의 시작 부분에 여는 대괄호(
[)를 추가하고 스키마]끝에 닫습니다.
완료를 선택합니다.
나중에 사용할 동적 콘텐츠로 새 값 사용
이제 만든 값을 동적 콘텐츠로 사용하여 추가 작업을 수행할 수 있습니다. 예를 들어 프로세스 데이터가 포함된 전자 메일을 보내려는 경우 작업 이름을 변경하지 않은 경우 동적 콘텐츠에서 JSON 구문 분석 작업을 찾을 수 있습니다.
플레이북이 저장되었는지 확인합니다.
플레이북이 저장되었는지 확인하고 이제 SOC 작업에 플레이북을 사용할 수 있습니다.
다음 단계
다음 문서로 이동하여 플레이북을 사용하여 Microsoft Sentinel 인시던트 작업을 만들고 수행하는 방법을 알아봅니다.