플레이북을 사용하여 Microsoft Sentinel에서 인시던트 작업 만들기 및 수행

이 문서에서는 플레이북을 사용하여 인시던트 작업을 만들고 필요에 따라 수행하여 Microsoft Sentinel에서 복잡한 분석가 워크플로 프로세스를 관리하는 방법을 설명합니다.

Microsoft Sentinel 커넥터의 플레이북에서 작업 추가 작업을 사용하여 플레이북을 트리거한 인시던트에 작업을 자동으로 추가합니다. 표준 및 소비 워크플로가 모두 지원됩니다.

자세한 내용은 작업을 사용하여 Microsoft Sentinel에서 인시던트 관리를 참조하세요.

필수 조건

• Microsoft Sentinel 응답자 역할은 작업을 추가, 보기 및 편집하는 데 필요한 인시던트를 보고 편집하는 데 필요합니다.

• 플레이북을 만들고 편집하려면 Logic Apps 기여자 역할이 필요합니다.

자세한 내용은 Microsoft Sentinel 플레이북 필수 구성 요소를 참조하세요.

플레이북을 사용하여 작업 추가 및 수행

이 섹션에서는 다음을 수행하는 플레이북 작업을 추가하기 위한 샘플 절차를 제공합니다.

• 인시던트에 작업을 추가하여 손상된 사용자의 비밀번호를 재설정합니다.
• AADIP(Microsoft Entra ID Protection)에 신호를 보내 실제로 암호를 재설정하는 다른 플레이북 작업을 추가합니다.
• 인시던트의 작업을 완료로 표시하는 최종 플레이북 작업을 추가합니다.

이러한 작업을 추가하고 구성하려면 다음 단계를 수행합니다.

1. Microsoft Sentinel 커넥터에서 인시던트에 작업 추가 작업을 추가한 다음, 다음을 수행합니다.

   1. 인시던트 ARM ID 필드에 대해 인시던트 ARM ID 동적 콘텐츠 항목을 선택합니다.

   2. 제목으로 사용자 비밀번호 재설정을 입력합니다.

   3. 선택적 설명을 추가합니다.

   다음은 그 예입니다.

   

2. Entities - Get Accounts (Preview) 작업을 추가합니다. 엔터티 동적 콘텐츠 항목(Microsoft Sentinel 인시던트 스키마)을 엔터티 목록 필드에 추가합니다. 다음은 그 예입니다.

   

3. 컨트롤 작업 라이브러리에서 For each 루프를 추가합니다. Entities - Get Accounts 출력의 Accounts 동적 콘텐츠 항목을 Select an output from previous steps 필드에 추가합니다. 다음은 그 예입니다.

   

4. For each 루프 내에서 작업 추가를 선택합니다. 그러면:

   1. Microsoft Entra ID Protection 커넥터를 검색하여 선택합니다.
   2. 위험한 사용자를 손상된 사용자로 확인(미리 보기) 작업을 선택합니다.
   3. 계정 Microsoft Entra 사용자 ID 동적 콘텐츠 항목을 userIds 항목 - 1 필드에 추가합니다.

   이 작업은 사용자의 암호를 재설정하기 위해 Microsoft Entra ID Protection 내에서 프로세스를 설정합니다.

   

   비고

   계정 Microsoft Entra 사용자 ID 필드는 AADIP에서 사용자를 식별하는 한 가지 방법입니다. 모든 시나리오에서 반드시 가장 좋은 방법은 아닐 수 있지만 여기에 예시로 제공됩니다.

   도움이 필요하면 손상된 사용자를 처리하는 다른 플레이북 또는 Microsoft Entra ID 보호 설명서를 참조하세요.

5. Microsoft Sentinel 커넥터에서 작업을 완료된 것으로 표시 작업을 추가하고 인시던트 작업 ID 동적 콘텐츠 항목을 작업 ARM ID 필드에 추가합니다. 다음은 그 예입니다.

   

플레이북을 사용하여 조건부로 작업 추가

이 섹션에서는 인시던트에 나타나는 IP 주소를 조사하는 플레이북 작업을 추가하기 위한 샘플 절차를 제공합니다.

• 이 연구의 결과에서 IP 주소가 악성인 것으로 판명된 경우 플레이북은 분석가가 해당 IP 주소를 사용하는 사용자를 비활성화하는 작업을 만듭니다.
• IP 주소가 알려진 악성 주소가 아닌 경우 플레이북은 분석가가 사용자에게 연락하여 활동을 확인할 수 있도록 다른 작업을 만듭니다.

이러한 작업을 추가하고 구성하려면 다음 단계를 수행합니다.

1. Microsoft Sentinel 커넥터에서 엔터티 - IP 가져오기 작업을 추가합니다. 엔터티 동적 콘텐츠 항목(Microsoft Sentinel 인시던트 스키마)을 엔터티 목록 필드에 추가합니다. 다음은 그 예입니다.

   

2. 컨트롤 작업 라이브러리에서 For each 루프를 추가합니다. 엔터티 - IP 가져오기 출력의 IP 동적 콘텐츠 항목을 이전 단계의 출력 선택 필드에 추가합니다. 다음은 그 예입니다.

   

3. For each 루프 내에서 Add an action(작업 추가)을 선택한 다음, 다음을 수행합니다.

   1. Virus Total 커넥터를 검색하여 선택합니다.
   2. IP 보고서 가져오기(미리 보기) 작업을 선택합니다.
   3. 엔터티 - IP 가져오기 출력의 IP 주소 동적 콘텐츠 항목을 IP 주소 필드에 추가합니다.

   다음은 그 예입니다.

   

4. For each 루프 내에서 Add an action(작업 추가)을 선택한 다음, 다음을 수행합니다.

   1. Control actions 라이브러리에서 Condition을 추가합니다.
   2. IP 보고서 가져오기 출력에서 마지막 분석 통계 악성 동적 콘텐츠 항목을 추가합니다. 찾으려면 자세히 보기를 선택해야 할 수도 있습니다.
   3. 보다 큼 연산자를 선택하고 값으로 입력합니다0.

   이 조건은 "바이러스 총 IP 보고서에 결과가 있습니까?" 질문을 묻습니다. 예를 들어:

   

5. True 옵션 내에서 Add an action(작업 추가)을 선택한 다음, 다음을 수행합니다.

   1. Microsoft Sentinel 커넥터에서 인시던트에 작업 추가 작업을 선택합니다.
   2. 인시던트 ARM ID 필드에 대해 인시던트 ARM ID 동적 콘텐츠 항목을 선택합니다.
   3. 사용자를 손상된 것으로 표시를제목으로 입력합니다.
   4. 선택적 설명을 추가합니다.

   다음은 그 예입니다.

   

6. False 옵션 내에서 Add an action(작업 추가)을 선택한 다음, 다음을 수행합니다.

   1. Microsoft Sentinel 커넥터에서 인시던트에 작업 추가 작업을 선택합니다.
   2. 인시던트 ARM ID 필드에 대해 인시던트 ARM ID 동적 콘텐츠 항목을 선택합니다.
   3. 사용자에게 연락하여 활동을 확인하는 방법을 제목으로 입력합니다.
   4. 선택적 설명을 추가합니다.

   다음은 그 예입니다.

   

관련 콘텐츠

자세한 내용은 다음을 참조하세요.

• Microsoft Sentinel로 사건 조사하기
• 자동화 규칙을 사용하여 Microsoft Sentinel에서 인시던트 작업 만들기
• Microsoft Sentinel에서 인시던트 작업 작업