랩 10: Microsoft Sentinel

학생용 랩 매뉴얼

랩 시나리오

참고: Azure Sentinel의 이름이 Microsoft Sentinel로 변경됨

Microsoft Sentinel 기반 위협 탐지 및 응답의 개념 증명을 만들라는 메시지가 표시됩니다. 특히 다음을 수행해야 합니다.

  • Azure Activity 및 클라우드용 Microsoft Defender에서 데이터 수집을 시작합니다.
  • 기본 제공 및 사용자 지정 경고 추가
  • 플레이북을 사용하여 인시던트에 대한 응답을 자동화하는 방법을 검토합니다.

이 랩의 모든 리소스에 대해 미국 동부 지역을 사용하고 있습니다. 이 지역을 수업에 사용할 것인지 강사에게 확인합니다.

랩 목표

이 랩에서는 다음과 같은 연습을 완료합니다.

  • 연습 1: Microsoft Sentinel 구현

Microsoft Sentinel 다이어그램

이미지

Instructions

랩 파일:

  • \Allfiles\Labs\15\changeincidentseverity.json

연습 1: Microsoft Sentinel 구현

예상 소요 시간: 30분

이 연습에서는 다음 작업을 완료합니다.

  • 작업 1: Microsoft Sentinel 온보딩
  • 작업 2: Azure 활동을 Sentinel에 연결
  • 작업 3: Azure 활동 데이터 커넥터를 사용하는 규칙을 만듭니다.
  • 작업 4: 플레이북 만들기
  • 작업 5: 사용자 지정 경고를 만들고 플레이북을 자동 응답으로 구성합니다.
  • 작업 6: 인시던트를 호출하고 연결된 작업을 검토합니다.

작업 1: Azure Sentinel 온보딩

이 작업에서는 Microsoft Sentinel을 온보딩하고 Log Analytics 작업 영역을 연결합니다.

  1. Azure portal https://portal.azure.com/ 에 로그인합니다.

    참고: 이 랩에 사용 중인 Azure 구독에 Owner 또는 Contributor 역할이 있는 계정을 사용하여 Azure Portal에 로그인합니다.

  2. Azure Portal에서 페이지 상단에 있는 리소스, 서비스 및 문서 검색 텍스트 상자에 Microsoft Sentinel을 입력하고 Enter 키를 누릅니다.

    참고: Azure 대시보드에서 Microsoft Sentinel 작업을 처음 시도하는 경우 다음 단계를 완료하세요. Azure Portal에서 페이지 상단에 있는 리소스, 서비스 및 문서 검색 텍스트 상자에 ** 을 입력하고 **Enter 키를 누릅니다. 서비스 보기에서 Microsoft Sentinel을 선택합니다.

  3. Microsoft Sentinel 블레이드에서 + 만들기를 클릭합니다.

  4. 작업 영역에 Microsoft Sentinel 추가 블레이드에서, Azure Monitor 랩에서 만든 Log Analytics 작업 영역을 선택하고 추가를 클릭합니다.

    참고: Azure Sentinel에는 작업 영역에 대한 매우 구체적인 요구 사항이 있습니다. 예를 들어 클라우드용 Microsoft Defender에서 만든 작업 영역을 사용할 수 없습니다. 빠른 시작: Azure Sentinel 온보딩에서 알아보기

작업 2: Azure Sentinel을 구성하여 Azure Activity 데이터 커넥터를 사용합니다.

이 작업에서는 Sentinel을 구성하여 Azure 활동 데이터 커넥터를 사용합니다.

  1. Azure Portal의 Microsoft Sentinel | 개요 블레이드에 있는 콘텐츠 관리 섹션에서 콘텐츠 허브를 클릭합니다.

  2. Microsoft Sentinel | 콘텐츠 허브 블레이드에서 사용 가능한 콘텐츠 목록을 검토합니다.

  3. 검색 창에 Azure를 입력하고 Azure Activity를 나타내는 항목을 선택합니다. 맨 오른쪽에 있는 설명을 검토한 후 설치를 클릭합니다.

  4. 설치 성공 알림을 기다립니다. 왼쪽 탐색 패널의 구성 섹션에서 데이터 커넥터를 클릭합니다.

  5. Microsoft Sentinel | 데이터 커넥터 블레이드에서 새로 고침을 클릭하고 사용 가능한 커넥터 목록을 검토합니다. Azure Activity 커넥터를 나타내는 항목을 선택하고(필요한 경우 <<를 사용하여 왼쪽 메뉴 모음을 숨김), 맨 오른쪽에서 해당 설명과 상태를 검토한 다음 커넥터 페이지 열기를 클릭합니다.

  6. Azure 활동 블레이드의 지침 탭을 선택해야 하고 필수 구성 요소를 기록한 다음 구성으로 스크롤합니다. 커넥터 업데이트를 설명하는 정보를 살펴봅니다. Azure Pass 구독은 레거시 연결 방법을 사용하지 않기 때문에 1단계를 건너뛰고(모든 연결 끊기 단추가 회색으로 표시됨) 2단계로 진행할 수 있습니다.

  7. 2단계인 진단 설정 새 파이프라인을 통해 구독 연결에서 “Azure Policy 할당 마법사를 시작하고 지침을 따름” 지침을 검토한 다음 Azure Policy 할당 마법사 시작> 을 클릭합니다.

  8. 지정된 Log Analytics 작업 영역으로 스트림하도록 Azure 활동 로그 구성(정책 할당 페이지)의 기본 사항 탭에서 범위 줄임표(…) 단추를 클릭합니다. 범위 페이지의 드롭다운 구독 목록에서 Azure Pass 구독을 선택하고 페이지 아래쪽의 선택 단추를 클릭합니다.

    참고: 리소스 그룹은 선택하지 마세요.

  9. 기본 사항 탭 하단에 있는 다음 단추를 두 번 클릭하여 매개 변수 탭으로 이동합니다. 매개 변수 탭에서 기본 Log Analytics 작업 영역 줄임표(…) 단추를 클릭합니다. 기본 Log Analytics 작업 영역 페이지에서 Azure pass 구독이 선택됐는지 확인하고 작업 영역 드롭다운을 사용하여 Sentinel에 사용할 Log Analytics 작업 영역을 선택합니다. 완료되면 페이지 아래쪽에 있는 선택 단추를 클릭합니다.

  10. 매개 변수 탭 아래쪽에 있는 다음 단추를 클릭하고 수정 탭으로 진행합니다. 수정 탭에서 수정 작업 만들기 체크박스를 선택합니다. 그러면 수정할 정책 드롭다운에서 “지정된 Log Analytics 작업 영역으로 스트림하도록 Azure 활동 로그 구성”을 사용할 수 있습니다. 시스템 할당 ID 위치 드롭다운에서 이전에 Log Analytics 작업 영역으로 선택한 지역(예: 미국 동부)을 선택합니다.

  11. 수정 탭 아래쪽에 있는 다음 단추를 클릭하고 비준수 메시지 탭으로 진행합니다. 원할 경우 비준수 메시지를 입력하고 비준수 메시지 탭 아래쪽에 있는 검토 + 만들기 단추를 클릭합니다.

  12. 만들기 단추를 클릭합니다. 다음 3가지 성공 상태 메시지를 볼 수 있을 것입니다. 정책 할당 만들기 성공, 역할 할당 만들기 성공 및 수정 작업 만들기 성공

    참고: 알림, 종 아이콘을 통해 3가지 성공 작업을 확인할 수 있습니다.

  13. Azure 활동 창에 데이터 수신됨 그래프가 표시되는지 확인합니다. 브라우저 창을 새로 고쳐야 할 수도 있습니다.

    참고: 상태에 “연결됨”이 표시되고 데이터 수신됨 그래프가 표시되기까지 15분 이상 걸릴 수 있습니다.

작업 3: Azure 활동 데이터 커넥터를 사용하는 규칙을 만듭니다.

이 작업에서는 Azure 활동 데이터 커넥터를 사용하는 규칙을 검토하고 만듭니다.

  1. Microsoft Sentinel | 구성 블레이드에서 Analytics을 클릭합니다.

  2. Microsoft Sentinel | Analytics 블레이드에서 규칙 템플릿 탭을 클릭합니다.

    참고: 만들 수 있는 규칙 유형을 검토합니다. 각 규칙은 특정 데이터 원본과 연결됩니다.

  3. 규칙 템플릿 목록에서 검색 창 양식에 의심스러움을 입력한 후 Azure 활동 데이터 원본과 연결된 Change-Incident-Severity 항목을 클릭합니다. 그런 다음 규칙 템플릿 속성이 표시된 창에서 필요하면 페이지 오른쪽으로 스크롤하여 규칙 만들기를 클릭합니다.

    참고: 이 규칙은 중간 심각도를 가지고 있습니다.

  4. 분석 규칙 마법사 - 새 예약 규칙 만들기 블레이드의 일반 탭에서 기본 설정을 수락하고 다음: 규칙 논리 설정> 을 선택합니다.

  5. 분석 규칙 마법사 - 새 예약된 규칙 만들기 블레이드의 규칙 논리 설정 탭에서 기본 설정을 수락하고 다음: 인시던트 설정(미리 보기) > 를 클릭합니다.

  6. 분석 규칙 마법사 - 새 예약된 규칙 만들기 블레이드의 인시던트 설정 탭에서 기본 설정을 수락하고 **다음: 자동 응답 **을 클릭합니다.

    참고: 여기서 논리 앱으로 구현된 플레이북을 규칙에 추가하여 문제를 자동으로 수정할 수 있습니다.

  7. 분석 규칙 마법사 - 새 예약 규칙 만들기 블레이드의 자동 응답 탭에서 기본 설정을 수락하고 다음: 검토 및 만들기> 를 클릭합니다.

  8. 분석 규칙 마법사 - 새 예약 규칙 만들기 블레이드의 검토 및 만들기 탭에서 저장을 클릭합니다.

    참고: 이제 활성 규칙이 만들어졌습니다.

작업 4: 플레이북 만들기

이 작업에서는 플레이북을 만듭니다. 보안 플레이북은 Microsoft Sentinel에서 경고에 대한 대응으로 호출할 수 있는 작업 모음입니다.

  1. Azure Portal에서 Azure Portal 페이지 위쪽의 리소스, 서비스 및 문서 검색 텍스트 상자에 사용자 지정 템플릿 배포를 입력하고 Enter 키를 누릅니다.

  2. 사용자 지정 배포 블레이드에서 편집기에서 사용자 고유의 탬플릿 빌드 옵션을 클릭합니다.

  3. 템플릿 편집 블레이드에서 로드 파일을 클릭하고 \Allfiles\Labs\15\changeincidentseverity.json 파일을 찾아 열기를 클릭합니다.

    참고: https://github.com/Azure/Azure-Sentinel/tree/master/Playbooks에서 샘플 플레이북을 확인할 수 있습니다.

  4. 템플릿 편집 블레이드에서 저장을 클릭합니다.

  5. 사용자 지정 배포 블레이드에서 다음 설정이 구성되었는지 확인합니다 (다른 설정은 기본값으로 유지).

    설정
    구독 이 랩에서 사용 중인 Azure 구독의 이름
    리소스 그룹 AZ500LAB131415
    위치 (미국) 미국 동부
    플레이북 이름 Change-Incident-Severity
    사용자 이름 메일 주소

  6. 검토 + 만들기를 클릭한 다음, 만들기를 클릭합니다.

    참고: 배포가 완료될 때까지 기다리세요.

  7. Azure Portal에서 Azure Portal 페이지 위쪽의 리소스, 서비스 및 문서 검색 텍스트 상자에 리소스 그룹을 입력하고 Enter 키를 누릅니다.

  8. 리소스 그룹 블레이드의 리소스 그룹 목록에서 AZ500LAB131415 항목을 클릭합니다.

  9. AZ500LAB131415 리소스 그룹 블레이드의 리소스 목록에서 새로 만들어진 Change-Incident-Severity 논리 앱을 나타내는 항목을 클릭합니다.

  10. Change-Incident-Severity 블레이드에서 편집을 클릭합니다.

    참고: Logic Apps Designer 블레이드에서 4개의 s 각각에 경고가 표시됩니다. 즉, 각각의 연결을 검토하고 구성해야 합니다.

  11. Logic Apps Designer 블레이드에서 첫 번째 s 단계를 클릭합니다.

  12. 새로 추가를 클릭하고 테넌트 드롭다운 목록의 항목에 사용자의 Azure AD 테넌트 이름이 포함되어 있는지 확인하고 로그인을 클릭합니다.

  13. 메시지가 표시되면 이 랩에서 사용하고 있는 Azure 구독에 대한 Owner 또는 Contributor 역할이 포함된 사용자 계정을 사용하여 로그인합니다.

  14. 두 번째 s 단계를 클릭하고 목록에서 이전 단계에서 만든 것을 나타내는 두 번째 항목을 선택합니다.

  15. 나머지 두 s 단계에 대해 이전 단계를 반복합니다.

    참고: 모든 단계에 경고가 표시되지 않는지 확인합니다.

  16. Logic Apps 디자이너 블레이드에서 저장을 클릭하여 변경 사항을 저장합니다.

작업 5: 사용자 지정 경고 만들기 및 플레이북 자동 응답으로 구성

  1. Azure Portal에서 Microsoft Sentinel | 개요 블레이드로 다시 이동합니다.

  2. | 개요 블레이드의 구성 섹션에서 ** 을 클릭합니다.

  3. Microsoft Sentinel | Analytics 블레이드에서 + 만들기를 클릭하고 드롭다운 메뉴에서 예약된 쿼리 규칙을 클릭합니다.

  4. 분석 규칙 마법사 - 새 예약 규칙 만들기 블레이드의 일반 탭에서 다음 설정을 지정합니다(다른 설정은 기본값으로 유지).

    설정
    Name 플레이북 데모
    전술 Initial Access

  5. 다음: 규칙 논리 설정> 을 선택합니다.

  6. 분석 규칙 마법사 - 새 예약 규칙 만들기 블레이드의 규칙 논리 설정 탭에 있는 규칙 쿼리 텍스트 상자에 다음 규칙 쿼리를 붙여넣습니다.

     AzureActivity
  | where ResourceProviderValue =~ "Microsoft.Security" 
  | where OperationNameValue =~ "Microsoft.Security/locations/jitNetworkAccessPolicies/delete"

    참고: 이 규칙은 Just-In-Time VM 액세스 정책의 제거를 식별합니다.

    참고 구문 분석 오류가 표시된 경우 IntelliSense가 쿼리에 값을 추가했을 수 있습니다. 쿼리가 일치하는지 확인하고 그렇지 않으면 쿼리를 메모장에 붙여넣은 다음 메모장에서 규칙 쿼리로 붙여넣습니다.

  7. 분석 규칙 마법사 - 예약된 새 규칙 만들기 블레이드의 규칙 논리 설정 탭에 있는 쿼리 예약 섹션에서 쿼리 실행 간격5분으로 설정합니다.

  8. 분석 규칙 마법사 - 새 예약된 규칙 만들기 블레이드의 규칙 논리 설정 탭에서 나머지 설정의 기본값을 수락하고 다음: 인시던트 설정 > 을 클릭합니다.

  9. 분석 규칙 마법사 - 새 예약된 규칙 만들기 블레이드의 인시던트 설정 탭에서 기본 설정을 수락하고 **다음: 자동 응답 **을 클릭합니다.

  10. 분석 규칙 마법사 - 새 예약된 규칙 만들기 블레이드의 자동 응답 탭에 있는 자동화 규칙에서 + 새로 추가를 클릭합니다.

  11. 새 자동화 규칙 만들기 창에서 자동화 규칙 이름변경 심각도 플레이북 실행을 입력합니다. 트리거 필드에서 드롭다운 메뉴를 클릭하고 경고가 만들어진 경우를 선택합니다.

  12. 새 자동화 규칙 만들기 창의 작업 아래에서 메모를 읽은 다음 플레이북 권한 관리를 클릭합니다. 권한 관리 창에서 이전에 만들어진 리소스 그룹 AZ500LAB1314151 옆의 확인란을 선택한 다음 적용을 클릭합니다.

  13. 새 자동화 규칙 만들기 창의 작업에서 두 번째 드롭다운 메뉴를 클릭하고 Change-Incident-Severity 논리 앱을 선택합니다. 새 자동화 규칙 만들기 창에서 적용을 클릭합니다.

  14. 분석 규칙 마법사 - 새 예약 규칙 만들기 블레이드의 자동 응답 탭에서 다음: 검토 및 만들기 > 를 클릭하고 저장을 클릭합니다.

    참고: 이제 플레이북 데모라는 새로운 활성 규칙이 만들어졌습니다. 규칙 논리로 식별된 이벤트가 발생하면 중간 심각도 경고가 발생하여 해당 인시던트를 생성합니다.

작업 6: 인시던트를 호출하고 연결된 작업을 검토합니다.

  1. Azure Portal에서 클라우드용 Microsoft Defender| 개요 블레이드로 이동합니다.

    참고: 보안 점수를 확인합니다. 지금쯤이면 업데이트되어 있어야 합니다.

  2. 클라우드용 Microsoft Defender | 개요 블레이드에서 왼쪽 탐색 메뉴의 클라우드 보안 아래에 있는 워크로드 보호를 클릭합니다.

  3. 클라우드용 Microsoft Defender | 워크로드 보호 블레이드에서 아래로 스크롤하여 고급 보호 아래의 Just-In-Time VM 액세스 타일을 클릭합니다.

  4. Just-in-time VM access 블레이드에서 myVM 가상 머신을 참조하는 행의 오른쪽에서 줄임표(…) 단추를 클릭하고 제거를 클릭한 다음 를 클릭합니다.

    참고: VM이 Just-In-Time VM에 나열되지 않은 경우 Virutal Machine 블레이드로 이동하여 구성을 클릭하고 Just-In-Time VM 액세스에서 Just-In-Time VM 사용 옵션을 클릭합니다. 위의 단계를 반복하여 클라우드용 Microsoft Defender로 다시 이동하고 페이지를 새로 고치면 VM이 표시됩니다.

  5. Azure Portal에서 페이지 상단에 있는 리소르, 서비스 및 문서 검색 텍스트 상자에서 활동 로그를 입력하고 Enter 키를 누릅니다.

  6. 활동 로그 블레이드로 이동하고 JIT 네트워크 액세스 정책 삭제 항목을 메모합니다.

    참고: 표시되는 데 몇 분 정도 걸릴 수 있습니다. 페이지가 표시되지 않으면 페이지를 새로 고침합니다.

  7. Azure Portal에서 Microsoft Sentinel | 개요 블레이드로 다시 이동합니다.

  8. Microsoft Sentinel | 개요 블레이드에서 대시보드를 검토하고 Just-In-Time VM 액세스 정책 삭제에 해당하는 인시던트가 표시되는지 확인합니다.

    참고: Microsoft Sentinel | 개요 블레이드에 경고가 표시되려면 최대 5분이 소요될 수 있습니다. 해당 시점에 경고가 표시되지 않으면 이전 작업에서 참조한 쿼리 규칙을 실행하여 Just-In-Time 액세스 정책 삭제 작업이 Microsoft Sentinel 인스턴스와 연결된 Log Analytics 작업 영역에 전파되었는지 확인합니다. 그렇지 않은 경우 Just-In-Time VM 액세스 정책을 다시 만들고 다시 삭제합니다.

  9. Microsoft Sentinel | 개요 블레이드의 위협 관리 섹션에서 인시던트를 클릭합니다.

  10. 블레이드에 중간 또는 높은 심각도 수준의 인시던트가 표시되었는지 확인합니다.

    참고: Microsoft Sentinel | 인시던트 블레이드에 인시던트가 표시되려면 최대 5분이 소요될 수 있습니다.

    참고: Microsoft Sentinel | 플레이북 블레이드를 검토합니다. 그곳에서 성공한 실행과 실패한 실행의 횟수를 확인할 수 있습니다.

    참고: 인시던트에 다른 심각도 수준 및 상태를 할당할 수 있는 옵션이 있습니다.

결과: Microsoft Sentinel 작업 영역을 만들고, 이를 Azure 활동 로그에 연결하고, Just-In-Time VM 액세스 정책 제거에 대한 응답으로 트리거되는 플레이북 및 사용자 지정 경고를 만들고, 구성이 유효한지 확인했습니다.

리소스 정리

더 이상 사용하지 않는 새로 만든 Azure 리소스는 모두 제거하세요. 사용하지 않는 리소스를 제거하면 예상하지 못한 비용이 발생하지 않습니다.

  1. Azure Portal 오른쪽 위의 첫 번째 아이콘을 클릭하여 Cloud Shell을 엽니다. 메시지가 표시되면 PowerShell, 그리고 스토리지 만들기를 클릭합니다.

  2. Cloud Shell 창의 왼쪽 위 모서리에 있는 드롭다운 메뉴에서 PowerShell이 선택되었는지 확인합니다.

  3. Cloud Shell 창 내의 PowerShell 세션에서 다음을 실행하여 이 랩에서 만든 리소스 그룹을 제거합니다.

     Remove-AzResourceGroup -Name "AZ500LAB131415" -Force -AsJob

  4. Cloud Shell 창을 닫습니다.