보안 작업(SecOps)을 효과적이고 효율적으로 실행하는 가장 중요한 요소 중 하나는 프로세스의 표준화입니다. SecOps 분석가는 인시던트를 심사, 조사 또는 수정하는 과정에서 단계 또는 작업 목록을 수행해야 합니다. 작업 목록을 표준화하고 공식화하면 SOC를 원활하게 실행하여 모든 분석가에게 동일한 요구 사항이 적용되도록 할 수 있습니다. 이러한 방식으로, 교대 근무 중인 사용자에 관계없이 인시던트가 항상 동일한 치료 및 SLA를 받습니다. 분석가는 무엇을 해야 할지 생각하거나 중요한 단계 누락에 대해 걱정할 필요가 없습니다. 이러한 단계는 SOC 관리자 또는 선임 분석가(계층 2/3)가 NIST와 같은 일반적인 보안 지식, 과거 인시던트에 대한 경험 또는 인시던트를 감지한 보안 공급업체에서 제공한 권장 사항을 기반으로 정의됩니다.
사용 사례
SOC 분석가는 단일 중앙 검사 목록을 사용하여 중요한 단계를 누락하지 않고도 인시던트 심사, 조사 및 대응 프로세스를 처리할 수 있습니다.
SOC 엔지니어 또는 선임 분석가는 분석가의 팀과 교대 근무에 걸쳐 인시던트 대응 표준을 문서화, 업데이트 및 정렬할 수 있습니다. 또한 새로운 유형의 인시던트가 발생하는 새 분석가 또는 분석가를 학습시키는 작업의 검사 목록을 만들 수도 있습니다.
SOC 관리자 또는 MSSP로서 관련 SLA/SOP에 따라 인시던트가 처리되는지 확인할 수 있습니다.
필수 조건
Microsoft Sentinel 응답기 역할은 자동화 규칙 생성과 인시던트 보기 및 편집을 위해 필요합니다. 이 역할은 작업을 추가하고, 보고, 편집하기 위한 필수 조건입니다.
플레이북을 만들고 편집하려면 Logic Apps 기여자 역할이 필요합니다.
시나리오
분석가
인시던트를 처리할 때 작업 따르기
인시던트를 선택하고 전체 세부 정보를 보는 경우 인시던트 세부 정보 페이지에서 수동 또는 자동화 규칙에 따라 해당 인시던트에 추가된 모든 작업이 오른쪽 패널에 표시됩니다.
작업을 확장하여 작업을 만든 사용자, 자동화 규칙 또는 플레이북을 비롯한 전체 설명을 확인합니다.
“확인란” 원을 선택하여 작업을 완료로 표시합니다.
현장에서 인시던트에 작업 추가
작업 중인 열린 인시던트에 작업을 추가하여 수행해야 하는 작업을 자신에게 미리 알리거나 작업 목록에 표시되지 않는 자체 이니셔티브에서 수행한 작업을 기록할 수 있습니다. 이러한 방식으로 추가된 작업은 열린 인시던트에만 적용됩니다.
워크플로 작성자
자동화 규칙을 사용하여 인시던트에 작업 추가
자동화 규칙에서 작업 추가 작업을 사용하여 분석가를 위한 작업 검사 목록과 함께 모든 인시던트를 자동으로 제공합니다. 자동화 규칙에서 분석 규칙 이름 조건을 설정하여 범위를 결정합니다.
모든 인시던트에 적용할 표준 작업 집합을 정의하기 위해 모든 분석 규칙에 자동화 규칙을 적용합니다.
제한된 분석 규칙 집합에 자동화 규칙을 적용하면 분석 규칙 또는 해당 인시던트를 생성한 규칙에서 감지한 위협에 따라 특정 작업을 특정 인시던트에 할당할 수 있습니다.
인시던트에 작업이 순서는 작업의 생성 시간에 따라 결정됩니다. 모든 인시던트에 필요한 작업을 추가하는 규칙이 제일 먼저 실행되고, 그렇게 한 이후에만 특정 분석 규칙에서 생성된 인시던트에 필요한 작업을 추가하는 규칙이 실행되도록 자동화 규칙의 순서를 설정할 수 있습니다. 단일 규칙 내에서 작업이 정의된 순서는 인시던트에 표시되는 순서를 제어합니다.
새 자동화 규칙을 만들기 전에 기존 자동화 규칙 및 태스크에서 어떤 인시던트를 다루는지 확인합니다.
Automation 규칙 목록에서 작업 필터를 사용하여 인시던트에 작업을 추가하는 규칙만을 확인하세요. 또한, 자동화 규칙이 적용되는 분석 규칙을 봄으로써, 어떤 인시던트에 해당 작업이 추가될지 이해할 수 있습니다.
플레이북을 사용하여 인시던트에 작업 추가
플레이북에서 작업 추가 작업(Microsoft Sentinel 커넥터)을 사용하여 플레이북을 트리거한 인시던트에 작업을 자동으로 추가합니다.
그런 다음, 해당 Logic Apps 커넥터에서 다른 플레이북 작업을 사용하여 작업의 내용을 완료합니다.
마지막으로, 작업을 완료된 작업으로 표시 (Microsoft Sentinel 커넥터에서 다시)로 사용하여 작업을 자동으로 완료로 표시합니다.
예를 들어 다음 시나리오를 고려할 수 있습니다.
플레이북에서 작업을 추가하고 완료할 수 있습니다. 인시던트가 만들어지면 다음을 수행하는 플레이북이 트리거됩니다.
- 인시던트에 작업을 추가하여 사용자의 암호를 재설정합니다.
- 사용자 프로비전 시스템에 대한 API 호출을 실행하여 사용자의 암호를 재설정하여 작업을 수행합니다.
- 다시 재설정의 성공 또는 실패에 대한 시스템의 응답을 기다립니다.
- 암호 재설정에 성공하면 플레이북은 인시던트에서 방금 만든 작업을 완료로 표시합니다.
- 암호 재설정에 실패한 경우 플레이북은 작업을 완료로 표시하지 않고 수행을 분석가에게 남깁니다.
플레이북에서 조건부 작업을 추가해야 하는지 평가합니다 . 인시던트가 만들어지면 외부 위협 인텔리전스 원본에서 IP 주소 보고서를 요청하는 플레이북을 트리거합니다.
- IP 주소가 악의적인 경우 플레이북은 특정 작업(예: “이 IP 주소 차단”)을 추가합니다.
- 그렇지 않으면 플레이북은 더 이상 작업을 수행하지 않습니다.
자동화 규칙 또는 플레이북을 사용하여 작업을 추가하시겠습니까?
이러한 방법 중 인시던트 작업을 만드는 데 사용해야 하는 고려 사항은 무엇입니까?
- 자동화 규칙: 가능하면 언제든지 사용합니다. 상호 작용이 필요하지 않은 일반 정적 작업에 사용합니다.
- 플레이북: 고급 사용 사례(조건에 따라 작업 만들기 또는 통합 자동화된 작업이 있는 작업)에 사용합니다.
다음 단계
- 분석가가 작업을 사용하여 Microsoft Sentinel에서 인시던트 워크플로를 처리하는 방법을 알아봅니다.
- Microsoft Sentinel에서 인시던트 조사에 대해 자세히 알아봅니다.
- 자동화 규칙 또는 플레이북을 사용하여 인시던트 그룹에 작업을 자동으로 추가하는 방법을 알아봅니다.
- 자동화 규칙 및 이를 만드는 방법에 대해 자세히 알아봅니다.
- 플레이북에 대해 더 알아보고 생성하는 방법을 알아보세요.