학습 경로 7 - 랩 1 - 연습 2 - 플레이북 만들기
랩 시나리오
당신은 Microsoft Sentinel을 구현한 회사에서 근무하는 보안 운영 분석가입니다. Microsoft Sentinel을 사용하여 위협을 검색하고 완화하는 방법을 파악해야 합니다. 이제 Microsoft Sentinel에서 루틴으로 실행할 수 있는 작업에 응답하고 이를 수정하려고 합니다.
플레이북을 사용하면 위협 대응을 자동화 및 오케스트레이션하고, 내부 및 외부의 다른 시스템과 통합할 수 있으며, 분석 규칙 또는 자동화 규칙에 의해 트리거될 때 특정 경고 또는 인시던트에 대응하여 자동으로 실행되도록 설정할 수 있습니다.
참고: 대화형 랩 시뮬레이션 을 사용하여 이 랩을 원하는 속도로 클릭할 수 있습니다. 대화형 시뮬레이션과 호스트된 랩 간에 약간의 차이가 있을 수 있지만 보여주는 핵심 개념과 아이디어는 동일합니다.
작업 1: Microsoft Teams에서 보안 운영 센터 팀 만들기
이 작업에서는 랩에 사용할 Microsoft Teams 팀을 만듭니다.
-
WIN1 가상 머신에 Admin으로 로그인합니다. 암호로는 Pa55w.rd를 사용하여 로그인합니다.
-
Microsoft Edge 브라우저에서 새 탭을 열고(https://teams.microsoft.com).)의 Microsoft Teams 포털로 이동합니다.
-
랩 호스팅 공급자가 제공한 테넌트 전자 메일 계정을 복사하여 로그인 대화 상자에 붙여넣은 후 다음을 선택합니다.
-
랩 호스팅 공급자가 제공한 테넌트 암호를 복사하여 암호 입력 대화 상자에 붙여넣은 후 로그인을 선택합니다.
-
Teams 팝업이 표시되면 닫습니다.
참고: 새 Teams를 사용하라는 메시지가 표시되면 수락하고 연습을 진행합니다.
-
아직 선택하지 않은 경우 왼쪽 메뉴에서 Teams을 선택한 다음 상단에서 아이콘을 선택합니다.
-
팀 만들기 옵션을 선택합니다.
-
처음부터 단추를 선택합니다.
-
프라이빗 단추를 선택합니다.
-
팀 이름을 지정합니다. SOC를 입력하고 만들기 단추를 선택합니다.
-
SOC 화면에 구성원을 추가하고 건너뛰기 단추를 선택합니다.
-
Teams 블레이드를 아래로 스크롤하여 새로 만든 SOC 팀을 찾고, 이름 오른쪽에서 줄임표 (…) 를 선택하고, 채널 추가를 선택합니다.
-
채널 이름을 New Alerts로 입력하고 추가 단추를 선택합니다.
작업 2: Microsoft Sentinel 플레이북 만들기
이 작업에서는 Microsoft Sentinel에서 플레이북으로 사용되는 논리 앱을 만듭니다.
- Microsoft Edge 브라우저에서 GitHub의 Microsoft Sentinel로 이동합니다.
-
아래로 스크롤하여 Solutions 폴더를 선택합니다.
-
이제 SentinelSOARessentials 폴더를 선택하고, Playbooks 폴더를 선택합니다.
-
Post-Message-Teams 폴더를 선택합니다.
-
readme.md 상자에서 빠른 배포 섹션인 인시던트 트리거를 사용하여 배포(권장) 까지 아래로 스크롤하고 Azure에 배포 단추를 선택합니다.
-
Azure 구독이 선택되어 있는지 확인합니다.
-
리소스 그룹에서 새로 만들기를 선택하고, RG-Playbooks를 입력한 후, 확인을 선택합니다.
-
지역 기본값으로 미국 동부를 그대로 둡니다.**
-
플레이북 이름의 이름을 “PostMessageTeams-OnIncident”로 바꾸고 검토 + 만들기를 선택합니다.
-
이제 만들기를 선택합니다.
참고: 다음 작업으로 진행하기 전에 배포가 완료될 때까지 기다립니다.
작업 3: Microsoft Sentinel에서 플레이북 업데이트
이 작업에서는 적절한 연결 정보로 만든 새 플레이북을 업데이트합니다.
-
Azure Portal의 검색 창에 Sentinel을 입력하고 Microsoft Sentinel을 선택합니다.
-
Microsoft Sentinel 작업 영역을 선택합니다.
-
구성 영역에서 자동화를 선택하고 활성 플레이북 탭을 선택합니다.
-
플레이북이 표시되지 않는 경우 명령 모음에서 새로 고침을 선택합니다. 이전 단계에서 만들어진 플레이북이 표시됩니다.
-
PostMessageTeams 플레이북 이름을 선택합니다.
-
PostMessageTeams 논리 앱 페이지의 명령 메뉴에서 편집을 선택합니다.
참고: 브라우저를 새로 고쳐야 할 수도 있습니다.
-
첫 번째 블록인 Microsoft Sentinel 인시던트를 선택합니다.
-
연결 변경 링크를 선택합니다.
-
새로 추가를 선택하고 로그인을 선택합니다. 새 창에서 메시지가 표시되면 Azure 구독 관리자 자격 증명을 선택합니다. 이제 블록의 마지막 줄에 “관리자-사용자-이름에 연결됨”이 표시되어야 합니다.
-
이제 두 번째 블록인 메시지 게시(V3) 를 선택합니다.
-
Prameters 탭에서 아래로 스크롤하여 연결 변경 링크를 선택한 다음 새로 추가 및 로그인을 선택합니다. 메시지가 표시되면 Azure 관리자 자격 증명을 선택합니다. 이제 Prameters 탭에 “관리자 사용자 이름에 연결됨”이 표시됩니다.
-
팀 필드 끝에서 X를 선택하여 콘텐츠를 지웁니다. 필드가 Microsoft Teams에서 사용 가능한 Teams 목록이 포함된 드롭다운으로 변경됩니다. SOC를 선택합니다.
-
채널 필드에 대해 동일한 작업을 수행합니다. 필드 끝에 있는 X를 선택하여 콘텐츠를 지웁니다.** 필드가 SOC Teams의 채널 목록이 포함된 드롭다운으로 변경됩니다. 새 경고를 선택합니다.
-
명령 모음에서 저장을 선택합니다. 이후의 랩에서 이 논리 앱을 사용할 예정입니다.