모든 보안 프로그램에는 인시던트 응답을 위한 여러 워크플로가 포함되어 있습니다. 이러한 프로세스에는 관련 이해 관계자에게 알리고, 변경 관리 프로세스를 시작하고, 특정 수정 단계를 적용하는 것이 포함될 수 있습니다. 보안 전문가는 가능한 한 해당 절차의 여러 단계를 자동화할 것을 권장합니다. Azure 자동화를 통해 오버헤드를 줄입니다. 또한 자동화는 프로세스 단계가 미리 정의된 요구 사항에 따라 빠르고 일관되게 수행되도록 하여 보안을 향상할 수 있습니다.
이 문서에서는 클라우드용 Microsoft Defender의 워크플로 자동화 기능을 설명합니다. 이 기능은 보안 경고, 권장 사항 및 규정 준수에 대한 변경 내용에 대해 논리 앱 소비를 트리거할 수 있습니다. 예를 들어, 경고가 발생하는 경우 클라우드용 Defender에서 특정 사용자에게 메일을 보내도록 할 수 있습니다. Azure Logic Apps를 사용하여 논리 앱을 만드는 방법도 알아봅니다.
시작하기 전에:
리소스 그룹에 대한 보안 관리자 역할 또는 소유자가 필요합니다.
대상 리소스에 대한 쓰기 권한도 있어야 합니다.
Azure Logic Apps 워크플로를 사용하려면 다음 Logic Apps 역할/권한도 있어야 합니다.
Logic Apps 커넥터를 사용하려면 해당 서비스(예: Outlook/Teams/Slack 인스턴스)에 로그인하기 위해 다른 자격 증명이 필요할 수 있습니다.
다음 단계를 수행합니다.
클라우드용 Defender 사이드바에서 워크플로 자동화를 선택합니다.
이 페이지에서 새 자동화 규칙을 만들고 기존 규칙을 사용하도록 설정하거나, 사용하지 않도록 설정하거나, 삭제합니다. 범위는 워크플로 자동화가 배포되는 구독을 나타냅니다.
새로운 워크플로를 정의하려면 워크플로 자동화 추가를 선택합니다. 새 자동화에 대한 옵션 창이 열립니다.
다음을 입력합니다.
트리거 조건이 충족될 때 실행되는 소비 논리 앱을 지정합니다.
작업 섹션에서 Logic Apps 페이지 방문을 선택하여 논리 앱 만들기 프로세스를 시작합니다.
Azure Logic Apps로 이동합니다.
(+)추가를 선택합니다.
모든 필수 필드를 채우고 검토 + 만들기를 선택합니다.
배포 진행 중 메시지가 표시됩니다. 배포 완료 알림이 표시될 때까지 기다리고 알림에서 리소스로 이동을 선택합니다.
입력한 정보를 검토하고 만들기를 선택합니다.
새 논리 앱에서는 보안 범주 내의 기본 제공 및 미리 정의된 템플릿을 선택할 수 있습니다. 또는 해당 프로세스가 트리거될 때 발생하는 이벤트의 사용자 지정 흐름을 정의할 수 있습니다.
팁
경우에 따라 논리 앱에서 매개 변수는 자체 필드가 아닌 문자열의 일부로 커넥터에 포함됩니다. 매개 변수를 추출하는 방법의 예제는 클라우드용 Microsoft Defender 워크플로 자동화를 빌드하는 동안 논리 앱 매개 변수 작업의 14단계를 참조하세요.
논리 앱 디자이너는 다음 클라우드용 Defender 트리거를 지원합니다.
클라우드용 Microsoft Defender 권장 사항이 생성되거나 트리거되는 경우 - 논리 앱이 사용 중지되거나 대체되는 권장 사항을 사용하는 경우 자동화가 작동을 멈추며 트리거를 업데이트해야 합니다. 권장 사항의 변경 내용을 추적하려면 릴리스 정보를 사용합니다.
클라우드용 Defender 경고가 생성되거나 트리거되는 경우 - 관심 있는 심각도 수준의 경고만 관련되도록 트리거를 사용자 지정할 수 있습니다.
클라우드용 Defender 규정 준수 평가가 생성되거나 트리거되는 경우 - 규정 준수 평가에 대한 업데이트를 기반으로 자동화를 트리거합니다.
참고 항목
레거시 트리거 클라우드용 Microsoft Defender 경고에 대한 응답이 트리거되는 경우를 사용하면 논리 앱이 워크플로 자동화 기능을 통해 시작되지 않습니다. 대신 위에서 언급한 트리거 중 하나를 사용하세요.
논리 앱을 정의한 후 워크플로 자동화 정의 창(‘워크플로 자동화 추가’)으로 돌아갑니다.
새로 고침을 선택하여 새 논리 앱을 선택할 수 있는지 확인합니다.
논리 앱을 선택하여 자동화를 저장합니다. 논리 앱 드롭다운에는 위에서 언급한 클라우드용 Defender 커넥터를 지원하는 앱만 표시됩니다.
보안 경고나 권장 사항을 볼 때 논리 앱을 수동으로 실행할 수도 있습니다.
논리 앱을 수동으로 실행하려면, 경고 또는 권장 사항을 연 다음, 논리 앱 트리거를 선택합니다.
조직의 모니터링 및 인시던트 대응 프로세스를 자동화하면 보안 인시던트를 조사하고 완화하는 데 걸리는 시간을 크게 향상시킬 수 있습니다.
조직 전체에 자동화 구성을 배포하려면 아래에 설명된 대로 제공된 Azure Policy 'DeployIfNotExist' 정책을 사용하여 워크플로 자동화 절차를 만들고 구성합니다.
워크플로 자동화 템플릿을 시작합니다.
이러한 정책을 구현하려면:
아래의 표에서 적용하려는 정책을 선택합니다.
| 목표 | 정책 | Policy ID |
|---|---|---|
| 보안 경고에 대한 워크플로 자동화 | Microsoft Defender for Cloud 경고에 대한 워크플로 자동화 배포 | f1525828-9a90-4fcf-be48-268cdd02361e |
| 보안 추천 사항에 대한 워크플로 자동화 | Microsoft Defender for Cloud 권장 사항에 대한 워크플로 자동화 배포 | 73d6ab6c-2475-4850-afd6-43795f3492ef |
| 규정 준수 변경에 대한 워크플로 자동화 | 클라우드용 Microsoft Defender 규정 준수에 대한 워크플로 자동화 배포 | 509122b9-ddd9-47ba-a5f1-d0dac20be63c |
또한 Azure Policy를 검색하여 찾을 수 있습니다. Azure Policy에서 정의를 선택하고 이름으로 검색합니다.
관련 Azure Policy 페이지에서 할당을 선택합니다.
기본 탭에서 정책 범위를 설정합니다. 중앙 집중식 관리를 사용하려면 워크플로 자동화 구성을 사용할 구독이 포함된 관리 그룹에 정책을 할당합니다.
매개 변수 탭에서 필요한 정보를 입력합니다.
필요에 따라 수정 탭에서 이 할당을 기존 구독에 적용하고 수정 작업을 만드는 옵션을 선택합니다.
요약 페이지를 검토하고 만들기를 선택합니다.
논리 앱에 전달된 보안 경고 또는 권장 사항 이벤트의 원시 이벤트 스키마를 보려면 워크플로 자동화 데이터 형식 스키마를 참조하세요. 이는 위에서 언급한 클라우드용 Defender의 기본 제공 Logic Apps 커넥터를 사용하지 않고 대신 일반 HTTP 커넥터를 사용하는 경우 유용할 수 있습니다. 이벤트 JSON 스키마를 사용하여 적절하게 수동으로 구문 분석할 수 있습니다.