학습 경로 7 - 랩 1 - 연습 2 - 플레이북 만들기

랩 시나리오

랩 개요입니다.

당신은 Microsoft Sentinel을 구현한 회사에서 근무하는 보안 운영 분석가입니다. Microsoft Sentinel을 사용하여 위협을 검색하고 완화하는 방법을 파악해야 합니다. 이제 Microsoft Sentinel에서 루틴으로 실행할 수 있는 작업에 응답하고 이를 수정하려고 합니다.

플레이북을 사용하면 위협 대응을 자동화 및 오케스트레이션하고, 내부 및 외부의 다른 시스템과 통합할 수 있으며, 분석 규칙 또는 자동화 규칙에 의해 트리거될 때 특정 경고 또는 인시던트에 대응하여 자동으로 실행되도록 설정할 수 있습니다.

참고: 대화형 랩 시뮬레이션 을 사용하여 이 랩을 원하는 속도로 클릭할 수 있습니다. 대화형 시뮬레이션과 호스트된 랩 간에 약간의 차이가 있을 수 있지만 보여주는 핵심 개념과 아이디어는 동일합니다.

작업 1: Microsoft Teams에서 보안 운영 센터 팀 만들기

이 작업에서는 랩에 사용할 Microsoft Teams 팀을 만듭니다.

  1. WIN1 가상 머신에 Admin으로 로그인합니다. 암호로는 Pa55w.rd를 사용하여 로그인합니다.

  2. Microsoft Edge 브라우저에서 새 탭을 열고(https://teams.microsoft.com).)의 Microsoft Teams 포털로 이동합니다.

  3. 랩 호스팅 공급자가 제공한 테넌트 전자 메일 계정을 복사하여 로그인 대화 상자에 붙여넣은 후 다음을 선택합니다.

  4. 랩 호스팅 공급자가 제공한 테넌트 암호를 복사하여 암호 입력 대화 상자에 붙여넣은 후 로그인을 선택합니다.

  5. Teams 팝업이 표시되면 닫습니다.

    참고: 새 Teams를 사용하라는 메시지가 표시되면 수락하고 연습을 진행합니다.

  6. 아직 선택하지 않은 경우 왼쪽 메뉴에서 Teams을 선택한 다음 상단에서 더하기 기호 아이콘 아이콘을 선택합니다.

  7. 팀 만들기 옵션을 선택합니다.

  8. 처음부터 단추를 선택합니다.

  9. 프라이빗 단추를 선택합니다.

  10. 팀 이름을 지정합니다. SOC를 입력하고 만들기 단추를 선택합니다.

  11. SOC 화면에 구성원을 추가하고 건너뛰기 단추를 선택합니다.

  12. Teams 블레이드를 아래로 스크롤하여 새로 만든 SOC 팀을 찾고, 이름 오른쪽에서 줄임표 (…) 를 선택하고, 채널 추가를 선택합니다.

  13. 채널 이름을 New Alerts로 입력하고 추가 단추를 선택합니다.

작업 2: Microsoft Sentinel 플레이북 만들기

이 작업에서는 Microsoft Sentinel에서 플레이북으로 사용되는 논리 앱을 만듭니다.

  1. Microsoft Edge 브라우저에서 GitHub의 Microsoft Sentinel로 이동합니다.

  1. 아래로 스크롤하여 Solutions 폴더를 선택합니다.

  2. 이제 SentinelSOARessentials 폴더를 선택하고, Playbooks 폴더를 선택합니다.

  3. Post-Message-Teams 폴더를 선택합니다.

  4. readme.md 상자에서 빠른 배포 섹션인 인시던트 트리거를 사용하여 배포(권장) 까지 아래로 스크롤하고 Azure에 배포 단추를 선택합니다.

  5. Azure 구독이 선택되어 있는지 확인합니다.

  6. 리소스 그룹에서 새로 만들기를 선택하고, RG-Playbooks를 입력한 후, 확인을 선택합니다.

  7. 지역 기본값으로 미국 동부를 그대로 둡니다.**

  8. 플레이북 이름의 이름을 “PostMessageTeams-OnIncident”로 바꾸고 검토 + 만들기를 선택합니다.

  9. 이제 만들기를 선택합니다.

    참고: 다음 작업으로 진행하기 전에 배포가 완료될 때까지 기다립니다.

작업 3: Microsoft Sentinel에서 플레이북 업데이트

이 작업에서는 적절한 연결 정보로 만든 새 플레이북을 업데이트합니다.

  1. Azure Portal의 검색 창에 Sentinel을 입력하고 Microsoft Sentinel을 선택합니다.

  2. Microsoft Sentinel 작업 영역을 선택합니다.

  3. 구성 영역에서 자동화를 선택하고 활성 플레이북 탭을 선택합니다.

  4. 플레이북이 표시되지 않는 경우 명령 모음에서 새로 고침을 선택합니다. 이전 단계에서 만들어진 플레이북이 표시됩니다.

  5. PostMessageTeams 플레이북 이름을 선택합니다.

  6. PostMessageTeams 논리 앱 페이지의 명령 메뉴에서 편집을 선택합니다.

    참고: 브라우저를 새로 고쳐야 할 수도 있습니다.

  7. 첫 번째 블록인 Microsoft Sentinel 인시던트를 선택합니다.

  8. 연결 변경 링크를 선택합니다.

  9. 새로 추가를 선택하고 로그인을 선택합니다. 새 창에서 메시지가 표시되면 Azure 구독 관리자 자격 증명을 선택합니다. 이제 블록의 마지막 줄에 “관리자-사용자-이름에 연결됨”이 표시되어야 합니다.

  10. 이제 두 번째 블록인 메시지 게시(V3) 를 선택합니다.

  11. Prameters 탭에서 아래로 스크롤하여 연결 변경 링크를 선택한 다음 새로 추가로그인을 선택합니다. 메시지가 표시되면 Azure 관리자 자격 증명을 선택합니다. 이제 Prameters 탭에 “관리자 사용자 이름에 연결됨”이 표시됩니다.

  12. 필드 끝에서 X를 선택하여 콘텐츠를 지웁니다. 필드가 Microsoft Teams에서 사용 가능한 Teams 목록이 포함된 드롭다운으로 변경됩니다. SOC를 선택합니다.

  13. 채널 필드에 대해 동일한 작업을 수행합니다. 필드 끝에 있는 X를 선택하여 콘텐츠를 지웁니다.** 필드가 SOC Teams의 채널 목록이 포함된 드롭다운으로 변경됩니다. 새 경고를 선택합니다.

  14. 명령 모음에서 저장을 선택합니다. 이후의 랩에서 이 논리 앱을 사용할 예정입니다.

연습 3 계속 진행