자습서: 인시던트에서 자동으로 IP 주소 평판 정보 확인 및 기록

인시던트의 심각도를 쉽고 빠르게 평가하는 한 가지 방법은 인시던트의 IP 주소가 악의적인 활동의 출처로 알려져 있는지 확인하는 것입니다. 이 작업을 자동으로 수행하는 방법을 사용하면 많은 시간과 노력을 절약할 수 있습니다.

이 자습서에서는 Microsoft Sentinel 자동화 규칙 및 플레이북을 사용하여 위협 인텔리전스 원본에 대해 인시던트의 IP 주소를 자동으로 검사 관련 인시던트의 각 결과를 기록하는 방법을 알아봅니다.

이 자습서를 완료하면 다음을 수행할 수 있습니다.

필수 구성 요소

이 자습서를 완료하려면 다음이 설치되어 있어야 합니다.

• Azure 구독 아직 없는 경우 체험 계정을 만듭니다.

• Microsoft Sentinel 솔루션이 배포된 Log Analytics 작업 영역 및 수집 중인 데이터.

• 다음 리소스에 할당된 다음 역할이 있는 Azure 사용자:

  • Microsoft Sentinel 기여자(Microsoft Sentinel이 배포된 Log Analytics 작업 영역의).
  • 논리 앱 기여자 및 소유자 또는 동등한 사용자(이 자습서에서 만든 플레이북을 포함할 리소스 그룹의).

• 콘텐츠 허브에서 설치된 VirusTotal 솔루션

• (무료) VirusTotal 계정은 이 자습서에 충분합니다. 프로덕션 구현에는 VirusTotal Premium 계정이 필요합니다.

• 인시던트가 생성되어 Microsoft Sentinel로 전송되도록 사용자 환경에서 하나 이상의 컴퓨터에 설치된 Azure Monitor 에이전트입니다.

템플릿에서 플레이북 만들기

Microsoft Sentinel에는 많은 수의 기본 SecOps 목표 및 시나리오를 자동화하기 위해 사용자 지정하고 사용할 수 있는 즉시 제공되는 기본 플레이북 템플릿이 포함되어 있습니다. 인시던트에서 IP 주소 정보를 보강할 항목을 찾아 보겠습니다.

1. Microsoft Sentinel에서 구성>자동화를 선택합니다.

2. Automation 페이지에서 플레이북 템플릿(미리 보기) 탭을 선택합니다.

3. 엔터티, 인시던트 또는 경고 트리거에 대한 IP 확장 - 바이러스 토탈 보고서 템플릿 중 하나를 찾아 선택합니다. 필요한 경우 엔리치먼트 태그로 목록을 필터링하여 템플릿을 찾습니다.

4. 세부 정보 창에서 플레이북 만들기 를 선택합니다. 예를 들면 다음과 같습니다.

   

5. 플레이북 만들기 마법사가 열립니다. 기본 탭에서:

   1. 해당 드롭다운 목록에서 구독, 리소스 그룹 및 지역을 선택합니다.

   2. 제안된 이름 "Get-VirusTotalIPReport"의 끝에 추가하여 플레이북 이름을 편집합니다. 이렇게 하면 이 플레이북이 어떤 원래 서식 파일에서 왔는지 알 수 있지만 이 동일한 템플릿에서 다른 플레이북을 만들려는 경우에도 고유한 이름이 있는지 확인할 수 있습니다. "Get-VirusTotalIPReport-Tutorial-1"이라고 하겠습니다.

   3. Log Analytics 옵션에서 진단 로그 사용 옵션을 선택하지 않은 상태로 둡니다.

   4. 다음: 연결 >을 선택합니다.

6. 연결 탭에는 이 플레이북이 다른 서비스에 대해 수행해야 하는 모든 연결과 동일한 리소스 그룹의 기존 논리 앱 워크플로에서 연결이 이미 수행된 경우 사용할 인증 방법이 표시됩니다.

   1. Microsoft Sentinel 연결을 그대로 둡니다("관리 ID로 연결").

   2. 연결에 "새 연결이 구성됨"이라고 표시되면 자습서의 다음 단계에서 이 작업을 수행하라는 메시지가 표시됩니다. 또는 이러한 리소스에 이미 연결되어 있는 경우 연결 왼쪽의 확장기 화살표를 선택하고 확장된 목록에서 기존 연결을 선택합니다. 이 연습에서는 그대로 두겠습니다.

      

   3. 다음: 검토 및 만들기>를 선택합니다.

7. 검토 및 만들기 탭에서 여기에 표시된 대로 입력한 모든 정보를 검토하고 플레이북 만들기를 선택합니다.

   

   플레이북이 배포되면 진행률에 대한 빠른 일련의 알림이 표시됩니다. 그런 다음 논리 앱 디자이너가 열리며, 플레이북이 표시됩니다. 플레이북을 실행할 수 있도록 상호 작용하는 리소스에 대한 논리 앱의 연결에 권한을 부여해야 합니다. 그런 다음 플레이북의 각 작업을 검토하여 환경에 적합한지 확인하고 필요한 경우 변경합니다.

   

논리 앱 연결 권한 부여

템플릿에서 플레이북을 만들 때 Azure Log Analytics 데이터 수집기 및 바이러스 총 연결이 나중에 구성될 것이라는 말을 들었습니다.

여기에서 그렇게 할 것입니다.

Virus Total 연결 권한 부여

1. 각 항목에 대한 작업을 선택하여 확장하고, 각 IP 주소에 대해 수행할 작업을 포함하는 내용을 검토합니다. 예를 들면 다음과 같습니다.

   

2. 표시되는 첫 번째 작업 항목은 연결 에 레이블이 지정되고 주황색 경고 삼각형이 있습니다.

   대신 첫 번째 작업에 IP 보고서 가져오기(미리 보기)라는 레이블이 지정되면 이미 바이러스 합계에 대한 기존 연결이 있으며 다음 단계로 넘어갈 수 있습니다.

   1. 연결 작업을 선택하여 엽니다.

   2. 표시된 연결의 잘못된 열에서 아이콘을 선택합니다.

      

      연결 정보를 묻는 메시지가 표시됩니다.

      

   3. 연결 이름으로 "바이러스 합계"를 입력합니다.

   4. x-api_key에 대해, VirusTotal 계정에서 API 키를 복사하여 붙여넣으십시오.

   5. 업데이트를 선택합니다.

   6. 이제 IP 보고서 가져오기(미리 보기) 작업이 제대로 표시됩니다. (Virus Total 계정이 이미 있는 경우 이 단계에 이미 있을 것입니다.)

      

Log Analytics 연결 권한 부여

다음 작업은 IP 주소 보고서의 결과에 따라 각 루프의 나머지 작업을 결정하는 조건 입니다. 보고서의 IP 주소에 지정된 평판 점수를 분석합니다. 0보다 높은 점수는 주소가 무해하다는 것을 나타냅니다. 점수가 0보다 낮으면 악의적임을 나타냅니다.

조건이 true이든 거짓이든 관계없이 쿼리 및 분석할 수 있도록 보고서의 데이터를 Log Analytics의 테이블로 보내고 인시던트에 주석을 추가하려고 합니다.

그러나 보듯이 권한을 부여해야 하는 더 잘못된 연결이 있습니다.

1. True 프레임에서 연결 작업을 선택합니다.

2. 표시된 연결의 잘못된 열에서 아이콘을 선택합니다.

   

   연결 정보를 묻는 메시지가 표시됩니다.

   

3. 연결 이름으로 "Log Analytics"를 입력합니다.

4. 작업 영역 ID의 경우 Log Analytics 작업 영역 설정의 개요 페이지에서 ID를 복사하여 붙여넣습니다.

5. 업데이트를 선택합니다.

6. 이제 데이터 보내기 작업이 제대로 표시됩니다. (Logic Apps에서 Log Analytics 연결이 이미 있는 경우 이미 이 단계에 있을 것입니다.)

   

7. 이제 False 프레임에서 연결 작업을 선택합니다. 이 작업은 True 프레임의 연결과 동일한 연결을 사용합니다.

8. Log Analytics라는 연결이 표시되어 있는지 확인하고 취소를 선택합니다. 이렇게 하면 이제 작업이 플레이북에 제대로 표시됩니다.

   

   이제 제대로 구성된 전체 플레이북이 표시됩니다.

9. 매우 중요합니다! 논리 앱 디자이너 창의 맨 위에 있는 저장을 선택해야 합니다. 플레이북이 성공적으로 저장되었다는 알림 메시지가 표시되면 Automation 페이지의 활성 플레이북* 탭에 플레이북이 나열됩니다.

자동화 규칙 만들기

이제 이 플레이북을 실제로 실행하려면 인시던트를 만들고 플레이북을 호출할 때 실행되는 자동화 규칙을 만들어야 합니다.

1. Automation 페이지에서 위쪽 배너에서 + 만들기를 선택합니다. 드롭다운 메뉴에서 Automation 규칙을 선택합니다.

   

2. 새 자동화 규칙 만들기 패널에서 규칙 이름을 "자습서: IP 정보 보강"으로 지정합니다.

   

3. 조건에서 + 추가 및 조건 (And)을 선택합니다.

   

4. 왼쪽의 속성 드롭다운에서 IP 주소를 선택합니다. 연산자 드롭다운에서 [포함 ]을 선택하고 값 필드를 비워 둡니다. 이는 실제로 규칙이 모든 항목이 포함된 IP 주소 필드가 있는 인시던트에 적용된다는 것을 의미합니다.

   이 자동화에서 분석 규칙이 적용되는 것을 중지하고 싶지는 않지만 자동화가 불필요하게 트리거되도록 하고 싶지 않으므로 IP 주소 엔터티가 포함된 인시던트로 범위를 제한하려고 합니다.

   

5. 작업 아래의 드롭다운에서 플레이북 실행을 선택합니다.

6. 표시되는 새 드롭다운을 선택합니다.

   

   구독의 모든 플레이북 목록이 표시됩니다. 회색으로 표시된 항목은 액세스할 수 없는 항목입니다. 플레이북 검색 텍스트 상자에서 위에서 만든 플레이북의 이름 또는 이름의 일부를 입력하기 시작합니다. 플레이북 목록은 입력한 각 문자로 동적으로 필터링됩니다.

   

   목록에 플레이북이 표시되면 선택합니다.

   

   플레이북이 회색으로 표시된 경우 플레이북 관리 권한 링크를 선택합니다(플레이북을 선택한 아래의 세밀한 단락에서 위의 스크린샷 참조). 열리는 패널에서 사용 가능한 리소스 그룹 목록에서 플레이북이 포함된 리소스 그룹을 선택한 다음 적용을 선택합니다.

7. +작업 추가를 다시 선택합니다. 이제 표시되는 새 작업 드롭다운에서 태그 추가를 선택합니다.

8. +태그 추가를 선택합니다. "Tutorial-Enriched IP 주소"를 태그 텍스트로 입력하고 확인을 선택합니다.

   

9. 나머지 설정은 그대로 두고 적용을 선택합니다.

성공적인 자동화 확인

1. 인시던트 페이지에서 검색 창에 IP 주소Tutorial-Enriched 태그 텍스트를 입력하고 Enter 키를 눌러 해당 태그가 적용된 인시던트 목록을 필터링합니다. 자동화 규칙이 실행된 인시던트입니다.

2. 이러한 인시던트 중 하나 이상을 열고 IP 주소에 대한 의견이 있는지 확인합니다. 이러한 주석이 있으면 플레이북이 인시던트에서 실행되었음을 나타냅니다.

리소스 정리

이 자동화 시나리오를 계속 사용할 계획이 아니라면 다음 단계를 따라만든 플레이북 및 자동화 규칙을 삭제합니다.

1. Automation 페이지에서 활성 플레이북 탭을 선택합니다.

2. 검색 창에서 만든 플레이북의 이름(또는 이름의 일부)을 입력합니다.
   (표시되지 않는 경우 필터가 모두 선택으로 설정되어 있는지 확인합니다.)

3. 목록에서 플레이북 옆에 있는 확인란을 표시하고 위쪽 배너에서 삭제 를 선택합니다.
   삭제하지 않으려면 대신 사용 안 함을 선택할 수 있습니다.

4. 자동화 규칙 탭을 선택합니다.

5. 검색 창에서 만든 자동화 규칙의 이름(또는 이름의 일부)을 입력합니다.
   (표시되지 않는 경우 필터가 모두 선택으로 설정되어 있는지 확인합니다.)

6. 목록에서 자동화 규칙 옆에 있는 확인란을 표시하고 위쪽 배너에서 삭제 를 선택합니다.
   삭제하지 않으려면 대신 사용 안 함을 선택할 수 있습니다.

관련 콘텐츠

이제 기본 인시던트 보강 시나리오를 자동화하는 방법을 알아보았으므로 자동화 및 사용할 수 있는 기타 시나리오에 대해 자세히 알아봅니다.

• 자동화 규칙과 함께 플레이북을 사용하는 방법에 대한 더 많은 예제를 참조하세요.
• 플레이북에 작업을 추가하는 방법에 대해 자세히 알아본다.
• 플레이북이 필요하지 않은 몇 가지 기본 자동화 시나리오 를 살펴봅니다.