다음을 통해 공유

Microsoft Sentinel 경고 트리거 플레이북을 자동화 규칙으로 마이그레이션

  • 아티클
  • 적용 대상:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

경고 트리거를 기반으로 빌드된 기존 플레이북을 마이그레이션하고 분석 규칙에 의한 호출에서 자동화 규칙에 의한 호출로 마이그레이션하는 것이 좋습니다. 이 문서에서는 이 작업을 권장하는 이유와 플레이북을 마이그레이션하는 방법을 설명합니다.

Important

Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

마이그레이션하는 이유

분석 규칙 대신 자동화 규칙에 의해 호출되는 플레이북에는 다음과 같은 이점이 있습니다.

  • 형식에 관계없이 단일 디스플레이에서 자동화 관리("단일 창").

  • 각 분석 규칙을 개별적으로 구성하는 대신 여러 분석 규칙에 대한 플레이북을 트리거하는 단일 자동화 규칙을 사용합니다.

  • 경고 플레이북이 실행되는 순서를 정의합니다.

  • 플레이북 실행을 위한 만료 날짜를 설정하는 시나리오를 지원합니다.

플레이북 트리거를 마이그레이션해도 플레이북은 전혀 변경되지 않으며, 변경 내용을 실행하기 위해 플레이북을 호출하는 메커니즘만 변경됩니다.

분석 규칙에서 플레이북을 호출하는 기능은 2026년 3월부터 더 이상 사용되지 않습니다. 그때까지는 이미 분석 규칙에서 정의된 플레이북이 계속 실행되지만 2023년 6월부터 분석 규칙에서 호출된 플레이북 목록에 더 이상 플레이북을 추가할 수 없습니다. 유일하게 남은 옵션은 자동화 규칙에서 호출하는 것입니다.

필수 조건

다음이 필요합니다.

  • 플레이북을 만들고 편집하는 Logic Apps 기여자 역할

  • 플레이북을 자동화 규칙에 연결하는 Microsoft Sentinel 기여자 역할

자세한 내용은 Microsoft Sentinel 플레이북 필수 조건을 참조하세요.

분석 규칙에서 자동화 규칙 만들기

하나의 분석 규칙에서만 사용되는 플레이북을 마이그레이션하는 경우 이 절차를 사용합니다. 그렇지 않은 경우에는 자동화 페이지에서 새 자동화 규칙 만들기를 사용합니다.

  1. Azure Portal의 Microsoft Sentinel의 경우 구성>분석 페이지를 선택합니다. Defender 포털에서 Microsoft Sentinel의 경우 Microsoft Sentinel>구성>분석을 선택합니다.

  2. 활성 규칙에서 플레이북을 실행하도록 이미 구성된 분석 규칙을 찾은 다음 편집을 선택합니다.

    분석 규칙을 찾고 선택하는 스크린샷

  3. 자동 응답 탭을 선택합니다. 이 분석 규칙에서 실행되도록 직접 구성된 플레이북은 경고 자동화(클래식)에서 찾을 수 있습니다. 사용 중단에 대한 경고를 확인합니다.

    자동화 규칙 및 플레이북 화면 스크린샷

  4. 화면 상단의 자동화 규칙에서 + 새로 추가를 선택하여 새 자동화 규칙을 만듭니다.

  5. 새 자동화 규칙 만들기 패널의 트리거에서 경고가 만들어질 때를 선택합니다.

    분석 규칙 화면에서 자동화 규칙 만들기 스크린샷

  6. 작업에서 사용할 수 있는 유일한 작업 형식인 플레이북 실행 작업이 자동으로 선택되고 회색으로 표시되는지 확인합니다. 아래 줄의 드롭다운 목록에서 사용 가능한 플레이북을 선택합니다.

    자동화 규칙 마법사에서 플레이북을 작업으로 선택하는 스크린샷

  7. 적용을 선택합니다. 새 규칙이 자동화 규칙 그리드에 표시됩니다.

  8. 경고 자동화(클래식) 섹션에서 플레이북을 제거합니다.

  9. 분석 규칙을 검토 및 업데이트하여 변경 내용을 저장합니다.

자동화 페이지에서 새 자동화 규칙 만들기

여러 분석 규칙에서 사용되는 플레이북을 마이그레이션하는 경우 이 절차를 사용합니다. 그렇지 않은 경우에는 분석 규칙에서 자동화 규칙 만들기 사용

  1. Azure Portal의 Microsoft Sentinel의 경우 구성>분석 페이지를 선택합니다. Defender 포털에서 Microsoft Sentinel의 경우 Microsoft Sentinel>구성>분석을 선택합니다.

  2. 상단 메뉴 모음에서 만들기 -> Automation 규칙을 선택합니다.

  3. 새 자동화 규칙 만들기 패널의 트리거 드롭다운에서 경고가 만들어질 때를 선택합니다.

  4. 조건에서 특정 플레이북 또는 플레이북 집합을 실행할 분석 규칙을 선택합니다.

  5. 작업에서 이 규칙이 호출할 각 플레이북에 대해 + 작업 추가를 선택합니다. 플레이북 실행 작업이 자동으로 선택되고 회색으로 표시됩니다.

  6. 아래 줄의 드롭다운 목록에 있는 사용 가능한 플레이북 목록에서 선택합니다. 각 작업 옆에 있는 위쪽/아래쪽 화살표를 선택하여 플레이북을 실행하려는 순서에 따라 작업 순서를 지정합니다.

  7. 적용을 선택하여 자동화 규칙을 저장합니다.

  8. 이러한 플레이북을 호출한 분석 규칙(조건에서 지정한 규칙)을 편집하여 자동화된 응답 탭의 경고 자동화(클래식) 섹션에서 플레이북을 제거합니다.

관련 콘텐츠

자세한 내용은 다음을 참조하세요.