Microsoft Azure Sentinel
통합 버전: 44.0
이 통합은 오픈소스 구성요소를 하나 이상 사용합니다. Cloud Storage 버킷에서 이 통합의 전체 소스 코드의 압축된 사본을 다운로드할 수 있습니다.
사용 사례
- 온프레미스 호스트와 Microsoft 365, Microsoft 365 Cloud App Security와 같은 클라우드 기반 Microsoft 서비스에서 발생하는 이벤트를 기반으로 Sentinel에서 생성된 알림을 모니터링하고 검사합니다.
- 특정 침해 사고를 조사하는 동안 Sentinel에서 수집되고 상관관계가 지정된 데이터를 사용하여 보강합니다. 분석가는 Sentinel에 수집되고 저장된 데이터를 조사에 사용할 수 있습니다. 예를 들어 특정 정보로 '드릴다운'(예: 알림 데이터 검사, Syslog 로그 검사)하거나 특정 기간 또는 특정 호스트의 활동을 쿼리할 수 있습니다.
기본 요건
Microsoft Security Insights API에 대한 요청을 실행하려면 먼저 Microsoft Entra ID에서 권한을 부여해야 합니다. 다음과 같은 경우 권한을 구성해야 합니다.
- Microsoft Entra 앱을 만듭니다.
- 클라이언트 보안 비밀번호를 만듭니다.
- 등록된 Microsoft Entra 앱에 Microsoft Sentinel 작업 공간에 대한 액세스 권한을 부여합니다.
- Microsoft Entra 애플리케이션을 사용하여 액세스 토큰을 가져옵니다.
Microsoft Entra 앱 만들기
사용자 관리자 또는 비밀번호 관리자로 Azure 포털에 로그인합니다.
Microsoft Entra ID를 선택합니다.
앱 등록 > 새 등록으로 이동합니다.
앱 이름을 입력합니다.
해당하는 지원되는 계정 유형을 선택합니다.
등록을 클릭합니다.
통합 매개변수를 구성할 때 나중에 사용할 수 있도록 애플리케이션 (클라이언트) ID 및 디렉터리 (테넌트) ID 값을 저장합니다.
클라이언트 보안 비밀번호 만들기
인증서 및 보안 비밀 > 새 클라이언트 보안 비밀번호로 이동합니다.
클라이언트 보안 비밀번호에 대한 설명을 입력하고 만료 기한을 설정합니다.
추가를 클릭합니다.
통합을 구성할 때
Client Secret매개변수 값으로 사용할 수 있도록 클라이언트 보안 비밀번호 (보안 비밀번호 ID 아님) 값을 저장합니다. 클라이언트 보안 비밀번호 값은 한 번만 표시됩니다.
등록된 Microsoft Entra에 Microsoft Sentinel Workspace 액세스 권한 부여
Microsoft Sentinel 개요 페이지로 이동합니다.
설정을 클릭합니다.
액세스 제어 (IAM)를 클릭합니다.
역할 할당 추가 섹션에서 추가를 클릭합니다.
다음 매개변수를 구성합니다.
역할 =
Azure Sentinel Contributor액세스 권한을
default, Microsoft Entra ID user group, or service principal에 할당합니다.
선택 섹션에서 검색 조건을 제공하여 앱을 찾고 앱의 역할 할당을 추가합니다.
Microsoft Sentinel 작업공간 페이지로 이동합니다. 다음 매개변수를 찾아 구성합니다.
Azure Resource GroupAzure Sentinel Workspace Name
Microsoft Azure Sentinel과 Google SecOps SOAR 통합
Google Security Operations에서 통합을 구성하는 방법에 대한 자세한 내용은 통합 구성을 참고하세요.
통합 매개변수
다음 매개변수를 사용하여 통합을 구성합니다.
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 인스턴스 이름 | 문자열 | 해당 사항 없음 | No | 통합을 구성할 인스턴스의 이름입니다. |
| 설명 | 문자열 | 해당 사항 없음 | No | 인스턴스에 대한 설명입니다. |
| Azure 구독 ID | 문자열 | 해당 사항 없음 | 예 | Microsoft Azure 구독 ID입니다. Azure Portal > 구독 > <내 구독> 구독 ID에서 확인할 수 있습니다. |
| Azure Active Directory ID | 문자열 | 해당 사항 없음 | 예 | Microsoft Entra 테넌트 ID는 Microsoft Entra > 앱 등록 > <통합을 위해 구성한 애플리케이션> 디렉터리 (테넌트) ID에서 확인할 수 있습니다. |
| API 루트 | 문자열 | https://management.azure.com | 예 | 통합에 사용할 management.azure.com API 루트 URL입니다. |
| Azure 리소스 그룹 | 문자열 | 해당 사항 없음 | 예 | Microsoft Sentinel이 있는 Azure 리소스 그룹의 이름입니다. |
| Azure Sentinel 워크스페이스 이름 | 문자열 | 해당 사항 없음 | 예 | 작업할 Microsoft Sentinel 작업공간의 이름입니다. Azure 포털 > Microsoft Sentinel > Microsoft Sentinel 작업공간에서 확인할 수 있습니다. |
| 클라이언트 ID | 문자열 | 해당 사항 없음 | 예 | 이 통합을 위해 Microsoft Entra의 앱 등록에 추가된 클라이언트 (애플리케이션) ID입니다. |
| 클라이언트 보안 비밀번호 | 비밀번호 | 해당 사항 없음 | 예 | Azure Sentinel 앱 등록에 입력된 보안 비밀입니다. |
| 원격 실행 | 체크박스 | 선택 해제 | No | 구성된 통합을 원격으로 실행하려면 필드를 선택합니다. 선택하면 원격 사용자(에이전트)를 선택하는 옵션이 나타납니다. |
작업
핑
Google Security Operations Marketplace 탭의 통합 구성 페이지에서 제공된 매개변수를 사용하여 Microsoft Sentinel 워크스페이스에 대한 연결을 테스트합니다.
사용 사례
이 작업은 Google Security Operations Marketplace 탭의 통합 구성 페이지에서 연결을 테스트하는 데 사용되며 플레이북에 사용되지 않는 직접 조치로 실행될 수 있습니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 성공한 경우: '제공된 연결 매개변수를 사용하여 Microsoft Sentinel Workspace에 성공적으로 연결되었습니다.'를 출력합니다. 실패한 경우: 'Microsoft Sentinel 워크스페이스에 연결할 수 없습니다. 오류: {0}".format(exception.stacktrace). |
일반 |
인시던트 나열
제공된 검색 기준에 따라 Microsoft Sentinel 인시던트를 나열합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 기간 | 정수 | 3 | 아니요 | 인시던트를 가져올 기간을 시간 단위로 지정합니다. |
| 상태 | 문자열 | 신규, 활성, 종료 | 아니요 | 찾을 인시던트의 상태를 지정합니다. 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. |
| 심각도 | 문자열 | 정보, 낮음, 중간, 높음 | 아니요 | 찾을 이슈의 심각도를 지정합니다. 매개변수는 쉼표로 구분된 문자열로 여러 값을 허용합니다. |
| 가져올 문제 수 | 정수 | 200 | 아니요 | 가져올 문제 수입니다. 기본적으로 최신 200개의 인시던트가 반환됩니다. |
사용 사례
이 작업은 Google SecOps 플레이북에서 Microsoft Sentinel 인시던트를 나열하는 데 사용할 수 있습니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"value": [
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/323032be-5b0d-4661-944f-ff9557597e50",
"name": "323032be-5b0d-4661-944f-ff9557597e50",
"etag": "\"2100e65a-0000-0d00-0000-5de3b1bf0000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Suspicious process injection observed",
"description": "A process abnormally injected code into another process, As a result, unexpected code may be running in the target process memory. Injection is often used to hide malicious code execution within a trusted process. \nAs a result, the target process may exhibit abnormal behaviors such as opening a listening port or connecting to a command and control server.",
"severity": "Medium",
"status": "New",
"labels": ["add_tag"],
"endTimeUtc": "2019-11-29T03:42:05Z",
"startTimeUtc": "2019-11-29T03:42:05Z",
"owner": {
"objectId": null
},
"lastUpdatedTimeUtc": "2019-12-01T12:27:43Z",
"createdTimeUtc": "2019-11-29T07:13:32.0266519Z",
"relatedAlertIds": ["2462474c-b6d9-6937-17ee-c2a62671c2f8"],
"relatedAlertProductNames": ["Microsoft Defender Advanced Threat Protection"],
"caseNumber": 2276,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-29T07:13:31.961602Z",
"lastAlertTimeGenerated": "2019-11-29T07:13:31.961602Z"
}
},{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/c7939be8-32fb-415c-9f7c-c13325d6c48b",
"name": "c7939be8-32fb-415c-9f7c-c13325d6c48b",
"etag": "\"1900f5e2-0000-0d00-0000-5de0c5110000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Suspicious Power Shell command line",
"description": "A suspicious PowerShell activity was observed on the machine. \nThis behavior may indicate that PowerShell was used during installation, exploration, or in some cases in lateral movement activities which are used by attackers to invoke modules, download external payloads, or get more information about the system. Attackers usually use PowerShell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.\r\nOur algorithms found the behaviors of this process to be suspicious due to the following factors:\nSuspicious memory activity\nExecutes suspicious PowerShell commands",
"severity": "Medium",
"status": "New",
"labels": [],
"endTimeUtc": "2019-11-29T03:42:04.9552017Z",
"startTimeUtc": "2019-11-29T03:42:04.9552017Z",
"owner": {
"objectId": null
},
"lastUpdatedTimeUtc": "2019-11-29T07:13:21Z",
"createdTimeUtc": "2019-11-29T07:13:21.6858164Z",
"relatedAlertIds": [
"d053f17e-6153-d171-9f4d-82389442aa35"
],
"relatedAlertProductNames": [
"Microsoft Defender Advanced Threat Protection"
],
"caseNumber": 2275,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-29T07:13:21.5885314Z",
"lastAlertTimeGenerated": "2019-11-29T07:13:21.5885314Z"
}
}
],
"nextLink": "https://management.azure.com:443/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases?api-version=2019-01-01-preview&$skipToken=H4sIAAAAAAAEAE1VTVMiSxD8MR45LIstukbsIbvnqxmGcRgR2xsiFqA44soiHt5vf1nzfOwaQUg31fWRlVnVGfvo8p-Jf5jhavBejW1_jQvon5OfP0_G15ffT67H7rLX7fIQXQ4P64vB583efZqXUSo7zGaRvS4-inWzK9Z-V3ze3RSfxfko8ufFdfy7jIpu8Snd8vkXTnx9c9k78XF52T87O-2fJFdXlxCZfMUDItN-zflJ2m9o-EmRx13Efi52cvw9Fnf2LBmvkW0-aBJwK8kUSYPp0R88pm_m9s-5gg2uKx9y9PMMu1yuOqgNaklrOGPfBDtMAu4FfawNZpJ2EDXWChZYGCwl2iBt7EpQovKARD1k3pb6u_Vqt4ELdqy_nw7mhSQ7pN5e6RnGbQQ9PDUYSNpHEnAjaQzUtiM2x71HLoMNoXCVoMZMz4wHg6FkueaXCrZYBHiJWYG3tEuRVke8Dog69ccs9uJ2wNxaJJ55OsASmmDvBB3F7VaQoarQ0XzjyiKOe4gDluo0laO_HN752wa_5a6-Ow3x_R88BYU_yOt7b1B6PPyN-_Ps6fHv8_ez7vLv876R1fFs2fftaLqsFjgPUV9GNevPzqRc4D1EvyXvYGPYN2yHfv9_XnYBt7A77ddgh-fgSin6tM_mEh3sqcFaHrb4HqI7sStrGvcm-RafjTMy7GHl7d262WDR2B-Sl9g27pcMD3gI2TfGsYx_LqMF3kJUSdnjO2QyP-DdR5EMd1gaPB3zT0E_5Uz9PjXsc1TiNtieDDroBdr73AafXMg0tXUTL-Wxr_cdGfUYN5qITzEPvXu51fjOyjDFKkSPks6Ytw1S9e0oJE4ea4xDZsgje9bikdqdd-eS7zA49p_0Sxb-1KdP4nd4CW4pfoVNg0TmM-JD-0GNZXAHGXbw4l0jWY1n40T9rIx7krRXLrwbiZ_ixdAuW9A-Wio-pyZKJT_gYNyH5n0d0ldJOuxnJFLMGMd2xYWjvgbChG5XSWPcWP3Q316GW5SGOEe5fQxJLVXqbkzcl3pnfcjexP3R5w9KvfkgPw3GcLHyc6p-Jh5d1ZElXwUrXDX4IW6hI8SL7ek82JIHuDKq4xWyVrf6X_WZwXueaVc2eBe3Jf8hjufU41yiVOPYPa9UD3oeNvgU6sex7-JKeMN41OWQI-br_lTiKUaN6qqGb_W9UOndq95co_lu4APIx43ml4lVnmMjrsbIMB5lmhvOA94XBhOxrBfVs7gp-45X9RMFjj47o36t0zmVCGXrVVH4T5AxgmAILdDZVOfUTmTl8yM_CNLryj4aFzSfNGgczolf0FkQZ4orpcU4HIZWtVqJc_qSw3elcWDhUATOI-LP_DPBTOvjHDogC4j2joOWqei7rFGdMNv2HVxpiBftaB8RX1bIy2SF2qOnOHLOpWKd4hjEliyWzxolAeMRp0x5gIHmfa15JgbcC6nyICiuxOmpzXdOXPh-oPOSc5D2Y62F9U2UF8OAR84FjRfpPGU_K-0reVBVbqV822nfuU_4Tir2s5R4q3lM27447gX6rwxG4gqlJhQh8uWXuI32nfypHPMrxXW03y-ijPb8nXhfeRjtq9V-sq_s00RxoX2u8xzKD3fQep-Ur2xFrf1ivE_pLLJXk1SSpyga9bsD56KNW9nJN9UBeeR4pa2qFNdE9wd5ETOBmPyhXu7b-i-YpDYV1VL3j2_76cA7r3WQ13eKD_F0MXk58Lj6wtdXxD1S3nP_MQ-397E2vmr3o2e-xIlbhfEP2s_f4mbah1jrJL573a_EdSRc2eTDWnXoW35wL7X17rT-i5YXc8ut1Oqzrzrm3nRfOA0Vp6TlH3kvvrUbNHhWnCOv_c25l6lL8iXlnod6t1i1um9QtHwMzIP99OrHFvTrFBTV1rnyKt4zb8VJ9cX6klYPFR2pJJzydy12q3ik6geqa-ojbeeItbTnHnfUVfXzX2qVoX91CQAA"
}
케이스 월
| 결과 유형 | 값/ 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 성공하고 데이터를 가져온 경우 'Microsoft Sentinel 인시던트를 성공적으로 반환했습니다'를 출력합니다. 찾은 항목이 없는 경우 '작업에서 인시던트를 찾을 수 없습니다'를 출력합니다. 오류가 발생하면 'Microsoft Sentinel 인시던트를 나열할 수 없습니다. 오류: {0}".format(exception.stacktrace). |
일반 |
| 표 | 표 제목: 발견된 Microsoft Sentinel 인시던트: 열: incident_number, incident_id, title, description, severity, status, labels, assigned to, alert product names, created time, last updated time |
일반 |
| 첨부파일 | List_Incidents.json - 작업 기술 JSON 데이터에서 반환된 값을 포함합니다. | 일반 |
JSON 뷰어 |
쿼리 결과의 JSON 뷰어를 표시합니다. | 일반 |
사고 세부정보 업데이트
Microsoft Sentinel 인시던트를 업데이트합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| Incident Case Number(인시던트 케이스 번호) | 정수 | 해당 사항 없음 | 예 | 업데이트할 Azure Sentinel 인시던트 번호를 지정합니다. |
| 제목 | 문자열 | 해당 사항 없음 | 아니요 | Azure Sentinel 인시던트의 새 제목을 지정합니다. |
| 심각도 | DDL | Not Updated(업데이트되지 않음)(가능한 값: Not Updated(업데이트되지 않음), Informational(정보), Low(낮음), Medium(중간), High(높음)) |
아니요 | Azure Sentinel 인시던트의 새 심각도를 지정합니다. |
| 설명 | 문자열 | 해당 사항 없음 | 아니요 | Azure Sentinel 인시던트의 새 설명을 지정합니다. |
| 할당 대상 | 문자열 | 해당 사항 없음 | 아니요 | 인시던트를 할당할 사용자를 지정합니다. |
| 상태 | DDL | 업데이트되지 않음 (가능한 값: 업데이트되지 않음, 신규, 활성, 종료) | 아니요 | Azure Sentinel 인시던트의 새 상태를 지정합니다. |
| 종료 이유 | DDL | 업데이트되지 않음 (가능한 값: |
아니요 | 인시던트 상태가 Closed로 설정된 경우 인시던트의 Closed Reason을 제공합니다. |
| 의견 닫기 | 문자열 | 해당 사항 없음 | 아니요 | 종료된 Azure Sentinel 인시던트에 제공할 선택적 종료 의견입니다. |
| 재시도 횟수 | 정수 | 1 | 예 | 인시던트 업데이트가 실패한 경우 작업에서 시도해야 하는 재시도 횟수를 지정합니다. |
| 다시 시도 간격 | 정수 | 20 | 예 | 인시던트 업데이트 재시도 간에 작업이 대기할 기간을 지정합니다. |
사용 사례
이 작업은 Google SecOps 플레이북에서 Microsoft Sentinel 인시던트를 업데이트하는 데 사용할 수 있습니다. Microsoft Sentinel 인시던트 분석과 관련된 워크플로의 결과 작업으로 사용할 수 있습니다. Google SecOps에서 인시던트가 처리되면 인시던트 분석 진행 상황을 나타내도록 인시던트를 업데이트할 수 있습니다 (예: assignedTo 설정, Status를 inProgress로 설정 등).
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
요청 2에 대해 JSON 결과가 반환되며, 여기에는 다음과 같이 업데이트된 인시던트 세부정보가 포함됩니다.
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"name": "9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"etag": "\"12002b5c-0000-0d00-0000-5dde83730000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Activity from a Tor IP address",
"description": "A failed sign in was detected from a Tor IP addressThe Tor IP address 203.0.113.200 was used by Example User - Test User Spec (user@example.com).",
"severity": "Informational",
"status": "InProgress",
"assignedTo": "test@example.com",
"labels": [],
"closeReason": "Resolved",
"endTimeUtc": "2019-11-27T01:56:03.4651258Z",
"startTimeUtc": "2019-11-27T01:56:03.4651258Z",
"owner": {
"objectId": null,
"email": "test@example.com"
},
"lastUpdatedTimeUtc": "2019-11-27T14:08:51Z",
"createdTimeUtc": "2019-11-27T05:01:11.1139394Z",
"relatedAlertIds": [
"2a96343c-e551-4529-96f1-18d6f734470d"
],
"relatedAlertProductNames": [
"Azure Sentinel"
],
"caseNumber": 2274,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z",
"lastAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z"
}
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 성공한 경우: 'Microsoft Sentinel 인시던트 {0}을 업데이트했습니다.'.format(IncidentID)를 출력합니다. 제공된 인시던트 케이스 번호로 인시던트를 찾을 수 없는 경우: '케이스 번호가 {0}인 Microsoft Sentinel 인시던트를 찾을 수 없습니다.'.format(incident_case_number)를 출력합니다. 오류가 있는 경우: 'Microsoft Sentinel 인시던트를 업데이트하지 못했습니다. 오류: {0}".format(exception.stacktrace). |
일반 |
인시던트 라벨 업데이트
특정 Microsoft Sentinel 인시던트의 라벨을 업데이트합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| Incident Case Number(인시던트 케이스 번호) | 정수 | 2273 | 예 | 새 라벨로 업데이트할 Azure Sentinel 인시던트 번호를 지정합니다. |
| 라벨 | 문자열 | 멀웨어 | 예 | 인시던트에 추가해야 하는 새 라벨을 지정합니다. 매개변수는 쉼표로 구분된 문자열로 여러 값을 허용합니다. |
| 재시도 횟수 | 정수 | 1 | 예 | 인시던트 업데이트가 실패한 경우 작업에서 시도해야 하는 재시도 횟수를 지정합니다. |
| 다시 시도 간격 | 정수 | 20 | 예 | 이슈 업데이트 재시도 사이에 작업이 대기해야 하는 기간을 지정합니다. |
사용 사례
이 작업은 Google SecOps 플레이북에서 Microsoft Sentinel 인시던트 라벨을 업데이트하는 데 사용할 수 있습니다. 사용자는 필요한 경우 이 작업을 사용하여 특정 인시던트에 특정 태그 (라벨)를 할당할 수 있습니다. 예를 들어 특정 호스트가 이 인시던트에 포함된 경우 특정 라벨이 있어야 합니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
요청 2에 대해 JSON 결과가 반환되며 업데이트된 인시던트 세부정보가 포함됩니다.
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Cases/9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"name": "9e5c0afc-b7a6-4eac-8164-9242ad710a66",
"etag": "\"12002b5c-0000-0d00-0000-5dde83730000\"",
"type": "Microsoft.SecurityInsights/Cases",
"properties": {
"title": "Activity from a Tor IP address",
"severity": "Informational",
"status": "InProgress",
"labels": [
"malware",
"trojan"
],
"endTimeUtc": "2019-11-27T01:56:03.4651258Z",
"startTimeUtc": "2019-11-27T01:56:03.4651258Z",
"owner": {
"objectId": null,
},
"lastUpdatedTimeUtc": "2019-11-27T14:08:51Z",
"createdTimeUtc": "2019-11-27T05:01:11.1139394Z",
"relatedAlertIds": [
"2a96343c-e551-4529-96f1-18d6f734470d"
],
"relatedAlertProductNames": [
"Azure Sentinel"
],
"caseNumber": 2274,
"totalComments": 0,
"metrics": {
"SecurityAlert": 1
},
"firstAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z",
"lastAlertTimeGenerated": "2019-11-27T05:01:10.2574659Z"
}
}
케이스 월
| 결과 유형 | 값/ 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 성공한 경우: 'Microsoft Sentinel 인시던트 {0}이(가) 다음 라벨로 업데이트되었습니다: {1}'.format(IncidentID, [labels_list]).
제공된 인시던트 케이스 번호로 인시던트를 찾을 수 없는 경우: '케이스 번호가 {0}인 Microsoft Sentinel 인시던트를 찾을 수 없습니다.'.format(incident_case_number) 사용자가 인시던트에 이미 있는 라벨을 제공한 경우 (isSuccess=False): '다음 라벨은 이미 존재하므로 인시던트 {0}의 Microsoft Sentinel 라벨에 추가되지 않았습니다. {1}'.format(IncidentID, [labels_list]) 오류가 있는 경우: 'Microsoft Sentinel 인시던트 라벨을 업데이트하지 못했습니다. 오류: {0}".format(exception.stacktrace). |
일반 |
인시던트 통계 가져오기
Azure Sentinel 인시던트 통계를 가져옵니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 기간 | 정수 | 3 | 아니요 | 통계를 표시할 기간을 지정합니다. |
사용 사례
이 작업은 Microsoft Sentinel 이벤트에 대한 Google SecOps 플레이북 보고서를 표시하는 데 사용할 수 있습니다. 이 작업은 사용자가 경고가 처리되고 삭제될 때 생성된 Microsoft Sentinel의 알람과 상호작용하는 플레이북의 일부를 구성합니다. 이 작업은 '교훈' 페이지에서 Microsoft Sentinel 인시던트의 결과를 확인하기 위해 구현할 수 있습니다.
반대로 Windows Sentinel 앱을 사용하는 대신 Google SecOps에 남아 있는 사용자의 인터페이스 방법일 수도 있습니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Aggregations/Cases",
"name": "Cases",
"type": "Microsoft.SecurityInsights/Aggregations",
"kind": "CasesAggregation",
"properties": {
"aggregationBySeverity": {
"totalCriticalSeverity": 1,
"totalHighSeverity": 2,
"totalMediumSeverity": 554,
"totalLowSeverity": 1714,
"totalInformationalSeverity": 1
},
"aggregationByStatus": {
"totalNewStatus": 2268,
"totalInProgressStatus": 4,
"totalResolvedStatus": 1,
"totalDismissedStatus": 0,
"totalTruePositiveStatus": 2,
"totalFalsePositiveStatus": 1
}
}
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 성공하고 데이터를 가져온 경우: 'Microsoft Sentinel 인시던트 통계를 성공적으로 반환했습니다'를 출력합니다. 오류인 경우: 'Microsoft Sentinel 인시던트 통계를 가져오지 못했습니다. 오류는 {0}".format(exception.stacktrace)입니다. |
일반 |
| 표 1 | 표 제목: 심각도별 Microsoft Sentinel 인시던트 통계: 열: Critical (totalCriticalSeverity에 매핑됨), High (totalHighSeverity에 매핑됨), Medium (totalMediumSeverity에 매핑됨), Low(totalLowSeverity에 매핑됨) , Informational(totalInformationalSeverity에 매핑됨) |
일반 |
| 표 2 | 표 제목: 상태별 Microsoft Sentinel 인시던트 통계: 열: New(totalNewStatus에 매핑됨), InProgress(totalInProgressStatus에 매핑됨), Resolved(totalResolvedStatus에 매핑됨), Dismissed(totalDismissedStatus에 매핑됨), TruePositive(totalTruePositiveStatus에 매핑됨) FalsePositive(totaFalsePositiveStatus에 매핑됨) |
일반 |
JSON 뷰어 |
쿼리 결과의 JSON 뷰어를 표시합니다. | 일반 |
알림 규칙 나열
Azure Sentinel 예약 규칙 목록을 가져옵니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 알림 규칙 심각도 | 문자열 | 정보, 낮음, 중간, 높음, 매우 높음 | 아니요 | 찾을 알림 규칙의 심각도를 지정합니다. 매개변수는 쉼표로 구분된 문자열로 여러 값을 허용합니다. |
| 특정 알림 규칙 유형 가져오기 | 문자열 | 해당 사항 없음 | 아니요 | 작업에서 반환해야 하는 알림 유형을 지정합니다. 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. 값을 제공하지 않으면 가능한 모든 알림 유형을 반환합니다. |
| 특정 알림 규칙 전략 가져오기 | 문자열 | 해당 사항 없음 | 아니요 | 알림 규칙 전술 작업에서 반환해야 하는 항목을 지정합니다. 매개변수는 쉼표로 구분된 문자열로 여러 값을 허용합니다. 값을 제공하지 않으면 가능한 모든 알림 유형을 반환합니다. |
| 사용 설정된 알림 규칙만 가져오시겠어요? | 체크박스 | 선택 해제 | 아니요 | 작업에서 사용 설정된 알림 규칙만 반환해야 하는지 지정합니다. |
| 반환할 최대 규칙 수 | 정수 | 해당 사항 없음 | 아니요 | 작업이 반환할 예약된 알림 규칙 수입니다(예: 50). |
사용 사례
이 작업은 Google SecOps 플레이북에서 Microsoft Sentinel 알림 규칙을 나열하는 데 사용할 수 있습니다. 알림 규칙을 나열하여 환경에서 의심스러운 각 유형의 위협 및 비정상에 대한 알림 규칙을 준비했는지 확인할 수 있습니다. 일부 상황이 제대로 처리되지 않는 경우 기존 알림 규칙을 즉시 업데이트하거나 새 규칙을 만들 수 있습니다. Microsoft Sentinel 알림 규칙을 사용하면 즉시 알림을 받아 위협을 분류, 조사, 해결할 수 있습니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"value": [
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/4bdce24d-7837-4f02-9f7a-10824f376517",
"name": "4bdce24d-7837-4f02-9f7a-10824f376517",
"etag": "\"00002f05-0000-0d00-0000-5d9db9970000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"productFilter": "Azure Active Directory Identity Protection",
"severitiesFilter": null,
"displayNamesFilter": null,
"displayName": "Create incidents based on Azure Active Directory Identity Protection alerts",
"enabled": true,
"description": "Create incidents based on all alerts generated in Azure Active Directory Identity Protection",
"tactics": null,
"alertRuleTemplateName": "532c1811-79ee-4d9f-8d4d-6304c840daa1",
"lastModifiedUtc": "2019-10-09T10:42:31.5264376Z"
}
},
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/540f68c9-9397-49c7-8953-8efce08d6e62",
"name": "540f68c9-9397-49c7-8953-8efce08d6e62",
"etag": "\"00003105-0000-0d00-0000-5d9db9ad0000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "MicrosoftSecurityIncidentCreation",
"properties": {
"productFilter": "Azure Security Center",
"severitiesFilter": null,
"displayNamesFilter": null,
"displayName": "Create incidents based on Azure Security Center alerts",
"enabled": true,
"description": "Create incidents based on all alerts generated in Azure Security Center",
"tactics": null,
"alertRuleTemplateName": "90586451-7ba8-4c1e-9904-7d1b7c3cc4d6",
"lastModifiedUtc": "2019-10-09T10:42:53.9014288Z"
}
}
]
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 성공한 경우: '구성된 Microsoft Sentinel 알림 규칙을 나열했습니다.'를 출력합니다. 오류인 경우: 'Microsoft Sentinel 알림 규칙을 나열하지 못했습니다. 오류는 {0}".format(exception.stacktrace)입니다. |
일반 |
| 표 | 표 제목: 발견된 Microsoft Sentinel 알림 규칙: 열: AlertID (이름에 매핑됨), Name (displayName에 매핑됨), Enabled, Description, Tactics, Last Modification Time (lastModificationUtc에 매핑됨) |
일반 |
| 첨부파일 | List_AlertRules.json - 작업 기술 JSON 데이터에서 반환된 값을 포함합니다. | 일반 |
JSON 뷰어 |
쿼리 결과의 JSON 뷰어를 표시합니다. | 일반 |
알림 규칙 세부정보 가져오기
Azure Sentinel 예약 알림 규칙의 세부정보를 가져옵니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| AlertRuleID | 문자열 | 해당 사항 없음 | 예 | 알림 규칙의 ID를 지정합니다. |
사용 사례
이 작업을 사용하면 Google SecOps 플레이북에서 Microsoft Sentinel 알림 규칙에 관한 세부정보를 가져올 수 있습니다. 예를 들어 일부 알림이 더 자주 표시되고 대부분이 거짓양성인 경우 또는 하나의 알림 규칙이 너무 많은 상황을 처리하여 위협을 더 쉽게 식별할 수 있도록 분리하려는 경우 이 작업을 사용하여 알림 규칙의 구성을 올바르게 이해할 수 있습니다. 알림 규칙의 결과를 바탕으로 규칙을 업데이트하거나 삭제할지 아니면 변경하지 않고 그대로 둘지 결정할 수 있습니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/alertRules/8dce4dbd-0ba6-4c93-943a-8da49f7d0aa4",
"name": "8dce4dbd-0ba6-4c93-943a-8da49f7d0aa4",
"etag": "\"0200c767-0000-0d00-0000-5ddf3b160000\"",
"type": "Microsoft.SecurityInsights/alertRules",
"kind": "Scheduled",
"properties": {
"severity": "High",
"query": "SecurityEvent\r\n| where Activity startswith \"4625\"\r\n| summarize count() by IpAddress, Computer\r\n| where count_ >3\r\n| extend HostCustomEntity = Computer\r\n| extend IPCustomEntity = IpAddress",
"queryFrequency": "PT1H",
"queryPeriod": "P5D",
"triggerOperator": "GreaterThan",
"triggerThreshold": 0,
"suppressionDuration": "PT5H",
"suppressionEnabled": false,
"displayName": "Multiple failed login attempts from the same IP",
"enabled": false,
"description": "",
"tactics": [
"InitialAccess"
],
"alertRuleTemplateName": null,
"lastModifiedUtc": "2019-11-28T03:12:21.9276927Z"
}
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 성공하고 데이터를 가져온 경우: 'Microsoft Sentinel 알림 규칙 {0} 세부정보를 반환했습니다.'.format(AlertRuleID)를 출력합니다. 제공된 AlertID로 알림 규칙을 찾을 수 없는 경우: 'ID가 {0}인 Microsoft Sentinel 알림 규칙을 찾을 수 없습니다.'.format(AlertRuleID)을 출력합니다.
오류인 경우: 'Microsoft Sentinel 알림 규칙에 관한 세부정보를 가져오지 못했습니다. 오류: {0}".format(exception.stacktrace). |
일반 |
| 표 | 표 제목: Microsoft Sentinel 알림 규칙 세부정보: 열: AlertID (이름에 매핑됨), Name (displayName에 매핑됨), Enabled, Description, Query, Frequency(queryFrequency에 매핑됨), Period of Lookup data(queryPeriod에 매핑됨), Trigger (triggerOperator 및 triggerThreshold의 조합으로 매핑됨), Tactics, Enable Suppression('suppressionEnabled'로 매핑됨), Suppression Duration(suppressionDuration으로 매핑됨), Last Modification Time (lastModificationUtc에 매핑됨) |
일반 |
JSON 뷰어 |
쿼리 결과의 JSON 뷰어를 표시합니다. | 일반 |
알림 규칙 만들기
Azure Sentinel 예약 알림 규칙을 만듭니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 알림 규칙 사용 설정 | DDL | 해당 사항 없음 | 예 | 이 알림 규칙을 사용 중지할지 또는 사용 설정할지 지정합니다. |
| 이름 | 문자열 | 해당 사항 없음 | 예 | 알림 규칙의 표시 이름을 지정합니다. |
| 심각도 | DDL | 해당 사항 없음 | 예 | 이 알림 규칙의 심각도를 지정합니다. |
| 쿼리 | 문자열 | 해당 사항 없음 | 예 | 이 알림 규칙의 쿼리를 지정합니다. |
| 빈도 | 문자열 | 해당 사항 없음 | 예 | 쿼리를 실행할 빈도를 지정합니다. 형식은 PT + 숫자 + (M, H, D)입니다. 여기서 M은 분, H는 시간, D는 일을 나타냅니다. 최솟값은 5분, 최댓값은 14일입니다. |
| 조회 데이터 기간 | 문자열 | 해당 사항 없음 | 예 | 마지막 조회 데이터의 시간을 지정합니다. 다음 형식을 사용하세요. P + 숫자 + (M, H, D) 여기서 M은 분, H는 시간, D는 일을 나타냅니다. 최솟값은 5분, 최댓값은 14일입니다. |
| 트리거 연산자 | DDL | 해당 사항 없음 | 예 | 이 알림 규칙의 트리거 연산자를 지정합니다. |
| 트리거 기준 | 정수 | 해당 사항 없음 | 예 | 이 알림 규칙의 트리거 기준을 지정합니다. |
| 억제 사용 설정 | DDL | 해당 사항 없음 | 예 | 알림이 생성된 후 쿼리 실행을 중지할지 여부를 지정합니다. |
| 억제 기간 | 문자열 | 해당 사항 없음 | 예 | 알림이 생성된 후 쿼리 실행을 중지할 기간을 지정합니다. 형식은 PT + 숫자 + (M, H, D)입니다. 여기서 M은 분, H는 시간, D는 일을 나타냅니다. 예: P1M - 1분 P10H - 10시간 P2D - 2일 최솟값은 5분, 최댓값은 14일입니다. |
| 설명 | 문자열 | 해당 사항 없음 | 아니요 | 이 알림 규칙의 설명을 지정합니다. |
| 전술 | 문자열 | 해당 사항 없음 | 아니요 | 이 알림 규칙의 전술을 지정합니다. 매개변수는 쉼표로 구분된 여러 값을 사용할 수 있습니다. |
사용 사례
이 작업을 사용하여 Google SecOps 플레이북에서 Microsoft Sentinel 알림 규칙을 만들 수 있습니다. 맞춤 알림 규칙을 만들어 환경에서 의심스러운 위협 및 비정상 유형을 검색할 수 있습니다. Microsoft Sentinel 알림 규칙을 사용하면 위협을 분류, 조사, 해결할 수 있도록 즉시 알림을 받을 수 있습니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 성공한 경우: 'Microsoft Sentinel 알림 규칙을 만들었습니다.'를 출력합니다. 오류인 경우: 'Microsoft Sentinel 알림 규칙을 만들 수 없습니다. 오류: {0}".format(exception.stacktrace). |
일반 |
알림 규칙 업데이트
Azure Sentinel 예약 알림 규칙을 업데이트합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| AlertRuleID | 문자열 | 해당 사항 없음 | 예 | 알림 규칙의 AlertRuleID를 지정합니다. |
| 이름 | 문자열 | 해당 사항 없음 | 아니요 | 알림 규칙의 표시 이름을 지정합니다. |
| 알림 규칙 사용 설정 | DDL | 해당 사항 없음 | 아니요 | 이 알림 규칙을 사용 중지할지 또는 사용 설정할지 지정합니다. |
| 심각도 | DDL | 해당 사항 없음 | 아니요 | 이 알림 규칙의 심각도를 지정합니다. |
| 쿼리 | 문자열 | 해당 사항 없음 | 아니요 | 이 알림 규칙의 쿼리를 지정합니다. |
| 빈도 | 문자열 | 해당 사항 없음 | 아니요 | 쿼리를 실행할 빈도를 지정합니다. 형식은 PT + 숫자 + (M, H, D)입니다. 여기서 M은 분, H는 시간, D는 일을 나타냅니다. 예: PT1M - 매분 쿼리 실행 PT10H - 10시간마다 쿼리 실행 PT2D - 2일마다 쿼리를 실행합니다. 최솟값은 5분, 최댓값은 14일입니다. |
| 조회 데이터 기간 | 문자열 | 해당 사항 없음 | 아니요 | 마지막 조회 데이터의 시간을 지정합니다. 다음 형식을 사용하세요. P + 숫자 + (M, H, D) 여기서 M은 분, H는 시간, D는 일을 나타냅니다. . 예: P1M - 1분 P10H - 10시간 P2D - 2일 최솟값은 5분, 최댓값은 14일입니다. |
| 트리거 연산자 | DDL | 해당 사항 없음 | 아니요 | 이 알림 규칙의 트리거 연산자를 지정합니다. |
| 트리거 기준 | 정수 | 해당 사항 없음 | 아니요 | 이 알림 규칙의 트리거 기준을 지정합니다. |
| 억제 사용 설정 | DDL | 해당 사항 없음 | 아니요 | 알림이 생성된 후 쿼리 실행을 중지할지 여부를 지정합니다. |
| 억제 기간 | 문자열 | 해당 사항 없음 | 아니요 | 알림이 생성된 후 쿼리 실행을 중지할 기간을 지정합니다. 형식은 PT + 숫자 + (M, H, D)입니다. 여기서 M은 분, H는 시간, D는 일을 나타냅니다. 예: P1M - 1분 P10H - 10시간 P2D - 2일 최솟값은 5분, 최댓값은 14일입니다. |
| 설명 | 문자열 | 해당 사항 없음 | 아니요 | 이 알림 규칙의 설명을 지정합니다. |
| 전술 | 문자열 | 없음 | 아니요 | 이 알림 규칙의 전술을 지정합니다. 매개변수는 쉼표로 구분된 여러 값을 허용합니다. |
사용 사례
이 작업을 사용하여 Google SecOps 플레이북에서 Microsoft Sentinel 알림 규칙을 업데이트할 수 있습니다. 예를 들어 일부 알림이 더 자주 표시되고 대부분이 거짓양성인 경우 이 작업을 사용하여 필요와 요구사항에 맞게 알림 규칙의 구성을 업데이트할 수 있습니다. Microsoft Sentinel 알림 규칙을 사용하면 위협을 분류, 조사, 해결할 수 있도록 즉시 알림을 받을 수 있습니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 성공한 경우: 'ID가 {0}인 Microsoft Sentinel 알림 규칙을 업데이트했습니다.'를 출력합니다. 제공된 AlertID로 알림 규칙을 찾을 수 없는 경우: 'ID가 '{0}'인 Microsoft Sentinel 알림 규칙을 찾을 수 없습니다.'.format(AlertRuleID)를 출력합니다. 오류가 있는 경우: 'Microsoft Sentinel 알림 규칙을 업데이트하지 못했습니다. 오류: {0}".format(exception.stacktrace). |
일반 |
알림 규칙 삭제
Azure Sentinel 예약 알림 규칙을 삭제합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| AlertRuleID | 문자열 | 해당 사항 없음 | 예 | 삭제할 알림 규칙의 ID를 지정합니다. |
사용 사례
이 작업은 Google SecOps에서 Microsoft Sentinel 알림 규칙을 삭제하는 데 사용할 수 있습니다. 알림 규칙이 매우 오래되어 목적을 달성하지 못하거나 규칙으로 인해 거짓양성만 발생하는 경우 이 작업을 통해 삭제할 수 있습니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 성공한 경우: 'Microsoft Sentinel 알림 규칙 {0}이(가) 삭제되었습니다.'를 출력합니다. 제공된 AlertID로 알림 규칙을 찾을 수 없는 경우: 'ID가 '{0}'인 Microsoft Sentinel 알림 규칙을 찾을 수 없습니다.'.format(AlertRuleID)을 출력합니다. 오류가 있는 경우: 'Microsoft Sentinel 알림 규칙을 삭제할 수 없습니다. 오류: {0}".format(exception.stacktrace). |
일반 |
맞춤 헌팅 규칙 나열
Azure Sentinel 맞춤 헌팅 규칙 목록을 가져옵니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 반환할 헌팅 규칙 이름 | 문자열 | 해당 사항 없음 | 아니요 | 추적 규칙 작업에서 반환해야 하는 이름을 지정합니다. 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. 값을 제공하지 않으면 가능한 모든 알림 유형을 반환합니다. |
| 특정 헌팅 규칙 전술 가져오기 | 문자열 | 해당 사항 없음 | 아니요 | 어떤 헌팅 규칙 전술 작업을 반환해야 하는지 지정합니다. 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. 값을 제공하지 않으면 가능한 모든 알림 유형을 반환합니다. |
| 반환할 최대 규칙 수 | 정수 | 해당 사항 없음 | 아니요 | 작업이 반환할 예약된 알림 규칙 수입니다(예: 50). |
사용 사례
이 작업은 Microsoft Sentinel용 Google SecOps 플레이북의 맞춤 및 즐겨찾기 탐지 규칙을 나열하는 데 사용할 수 있습니다. 네트워크에서 작동하는 가장 드물지만 매우 중요한 프로세스에 관한 데이터에 대한 모든 헌팅 규칙을 설정했는지 확인하려면 맞춤 헌팅 규칙과 선호하는 헌팅 규칙을 언급해야 합니다. 일부 상황이 올바르게 처리되지 않는 경우 기존 헌팅 규칙을 즉시 업데이트하고 만들 수 있습니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"__metadata": {},
"value": [
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/0c5bd7e1-0e13-4e7d-9e32-88baf9589192",
"etag": "W/\"datetime'2019-12-02T10%3A14%3A10.5299491Z'\"",
"properties": {
"Category": "Hunting Queries",
"DisplayName": "Hunting Query 1",
"Query": "\r\nlet timeframe = 7d;\r\nAWSCloudTrail\r\n| where TimeGenerated >= ago(timeframe)\r\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\r\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\r\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\r\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \r\nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\r\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\r\n",
"Tags": [
{
"Name": "description",
"Value": "1234"
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
},
"name": "0c5bd7e1-0e13-4e7d-9e32-88baf9589192"
},
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/30a94796-a573-4e6e-9385-fb96d0aa5ea2",
"etag": "W/\"datetime'2019-12-02T10%3A10%3A18.4761379Z'\"",
"properties": {
"Category": "Hunting Queries",
"DisplayName": "Hunting Query 1",
"Query": "\r\nlet timeframe = 7d;\r\nAWSCloudTrail\r\n| where TimeGenerated >= ago(timeframe)\r\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\r\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\r\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\r\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \r\nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\r\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\r\n",
"Tags": [
{
"Name": "description",
"Value": "1234"
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
},
"name": "30a94796-a573-4e6e-9385-fb96d0aa5ea2"
}
]
}
케이스 월
| 결과 유형 | 값/설명 | 유형 |
|---|---|---|
| 출력 메시지* | 성공한 경우: 'Microsoft Sentinel 헌팅 규칙이 반환되었습니다'를 출력합니다. 오류인 경우: 'Microsoft Sentinel 헌팅 규칙을 나열하지 못했습니다. 오류: {0}".format(exception.stacktrace). |
일반 |
| 표 | 표 제목: 발견된 Microsoft Sentinel 헌팅 규칙: 열: HuntingRuleID(이름에 매핑됨), title (displayName에 매핑됨), category, description (태그 사전의 description 매개변수에 매핑됨), tactics(태그 사전의 tactics 매개변수에 매핑됨), query, creation time(태그 사전의 CreatedTimeUtc 매개변수에 매핑됨) |
일반 |
| 첨부파일 | List_HuntingRules.json - 작업 기술 JSON 데이터에서 반환된 값을 포함합니다. | 일반 |
JSON 뷰어 |
쿼리 결과의 JSON 뷰어를 표시합니다. | 일반 |
맞춤 헌팅 규칙 세부정보 가져오기
Azure Sentinel 맞춤 헌팅 규칙의 세부정보를 가져옵니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| HuntingRuleID | 문자열 | 해당 사항 없음 | 예 | 헌팅 규칙의 ID를 지정합니다. |
사용 사례
Microsoft Sentinel 표준 또는 기본 헌팅 규칙에 관한 정보는 Google SecOps 플레이북을 사용하여 액세스할 수 있습니다. 예를 들어 분석에 적합하지 않은 추적 규칙에서 받은 세부정보가 표시되거나 추적 규칙이 올바르게 구성되었는지 확인하려는 경우 이 도구를 사용하세요. 결과에 따라 수정, 삭제 또는 변경하지 않은 상태로 둘지 평가합니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"id": "subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/savedSearches/30a94796-a573-4e6e-9385-fb96d0aa5ea2",
"etag": "W/\"datetime'2019-12-02T10%3A14%3A10.5299491Z'\"",
"properties": {
"Category": "Log Management",
"DisplayName": "Multiple Password Reset by user",
"Query": "\nlet timeframe = 7d;\nAWSCloudTrail\n| where TimeGenerated >= ago(timeframe)\n| where EventName in~ (\"AttachGroupPolicy\", \"AttachRolePolicy\", \"AttachUserPolicy\", \"CreatePolicy\",\n\"DeleteGroupPolicy\", \"DeletePolicy\", \"DeleteRolePolicy\", \"DeleteUserPolicy\", \"DetachGroupPolicy\",\n\"PutUserPolicy\", \"PutGroupPolicy\", \"CreatePolicyVersion\", \"DeletePolicyVersion\", \"DetachRolePolicy\", \"CreatePolicy\")\n| project TimeGenerated, EventName, EventTypeName, UserIdentityAccountId, UserIdentityPrincipalid, UserAgent, \nUserIdentityUserName, SessionMfaAuthenticated, SourceIpAddress, AWSRegion, EventSource, AdditionalEventData, ResponseElements\n| extend timestamp = TimeGenerated, IPCustomEntity = SourceIpAddress, AccountCustomEntity = UserIdentityAccountId\n",
"Tags": [
{
"Name": "description",
"Value": "Identity and Access Management (IAM) securely manages access to AWS services and resources."
},
{
"Name": "tactics",
"Value": "DefenseEvasion"
},
{
"Name": "createdTimeUtc",
"Value": "12/02/2019 09:21:18"
}
],
"Version": 2
}
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 성공한 경우: 'Microsoft Sentinel 헌팅 규칙 {0} 세부정보를 반환했습니다'.format(HuntingRuleID)를 출력합니다. 제공된 AlertID로 알림 규칙을 찾을 수 없는 경우: 'ID가 '{0}'인 Microsoft Sentinel 헌팅 규칙을 찾을 수 없습니다.'.format(HuntingRuleID)을 출력합니다. 오류인 경우: 'Microsoft Sentinel 헌팅 규칙에 관한 세부정보를 가져오지 못했습니다. 오류: {0}".format(exception.stacktrace). |
일반 |
| 표 | 표 제목: Microsoft Sentinel 헌팅 규칙 세부정보: 열: HuntingRuleID (이름에 매핑됨), Name (displayName에 매핑됨), Description, Query, Tactic,Creation Time |
일반 |
| 첨부파일 | List_HuntingRules.json - 작업 기술 JSON 데이터에서 반환된 값을 포함합니다. | 일반 |
JSON 뷰어 |
쿼리 결과의 JSON 뷰어를 표시합니다. | 일반 |
맞춤 헌팅 규칙 만들기
Azure Sentinel 맞춤 헌팅 규칙을 만듭니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 쿼리 | 문자열 | 해당 사항 없음 | 예 | 이 헌팅 규칙에서 실행할 쿼리를 지정합니다. |
| 표시 이름 | 문자열 | 해당 사항 없음 | 예 | 헌팅 규칙의 표시 이름을 지정합니다. |
| 설명 | 문자열 | 해당 사항 없음 | 아니요 | 헌팅 규칙의 설명을 지정합니다. |
| 전술 | 문자열 | 해당 사항 없음 | 아니요 | 이 헌팅 규칙의 전술을 지정합니다. 이 매개변수는 쉼표로 구분된 여러 값을 허용합니다. |
사용 사례
이 작업을 사용하여 Google SecOps 플레이북에서 새 Microsoft Sentinel 탐색 규칙을 만들 수 있습니다. 예를 들어 헌팅 규칙에는 인프라에서 실행되는 가장 일반적이지 않은 프로세스에 관한 데이터를 제공할 수 있는 쿼리가 포함되어 있습니다. 이러한 프로세스가 실행될 때마다 알림을 받지 않으려고 할 수 있습니다. 완전히 무해할 수 있지만 가끔 쿼리를 살펴보고 비정상적인 것이 있는지 확인하고 싶을 수 있습니다. 즉, 네트워크 환경에서 더 많은 정보를 수집하는 데 사용할 수 있습니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 성공한 경우: 'Microsoft Sentinel 헌팅 규칙을 만들었습니다'를 출력합니다. 오류인 경우: 'Microsoft Sentinel 헌팅 규칙을 만들 수 없습니다. 오류: {0}".format(exception.stacktrace). |
일반 |
맞춤 헌팅 규칙 업데이트
Azure Sentinel 맞춤 헌팅 규칙을 업데이트합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| HuntingRuleID | 문자열 | 해당 사항 없음 | 예 | 헌팅 규칙의 ID를 지정합니다. |
| 표시 이름 | 문자열 | 해당 사항 없음 | 아니요 | 헌팅 규칙의 표시 이름을 지정합니다. |
| 쿼리 | 문자열 | 해당 사항 없음 | 아니요 | 이 헌팅 규칙에서 실행할 쿼리를 지정합니다. |
| 설명 | 문자열 | 해당 사항 없음 | 아니요 | 설명을 지정합니다. |
| 전술 | 문자열 | 해당 사항 없음 | 아니요 | 이 헌팅 규칙의 전술을 지정합니다. 매개변수는 쉼표로 구분된 여러 값을 사용할 수 있습니다. |
사용 사례
이 작업을 사용하여 Google SecOps 플레이북에서 맞춤 Microsoft Sentinel 헌팅 규칙을 업데이트할 수 있습니다. 예를 들어 헌팅 규칙이 매우 오래되어 쿼리나 설명과 같은 여러 매개변수를 업데이트하려는 경우 이 작업을 사용합니다. 이슈를 조사할 때는 정보가 중요하므로 모든 헌팅 규칙을 업데이트하여 관련 정보를 표시해야 합니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 성공한 경우: 'ID가 {0}인 Microsoft Sentinel 검색 규칙을 업데이트했습니다.'를 출력합니다. 제공된 HuntingRuleID로 실행 규칙을 찾을 수 없는 경우: 'ID가 '{0}'인 Microsoft Sentinel 실행 규칙을 찾을 수 없습니다.'.format(HuntingRuleID)를 출력합니다. 오류가 발생한 경우: 'Microsoft Sentinel 검색 규칙을 업데이트하지 못했습니다. 오류: {0}".format(exception.stacktrace). |
일반 |
맞춤 헌팅 규칙 삭제
Azure Sentinel 맞춤 헌팅 규칙을 삭제합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| HuntingRuleID | 문자열 | 해당 사항 없음 | 예 | 삭제할 헌팅 규칙의 ID를 지정합니다. |
사용 사례
이 작업은 Google SecOps에서 맞춤 Microsoft Sentinel 헌팅 규칙을 삭제하는 데 사용할 수 있습니다. 예를 들어 헌팅 규칙이 매우 오래되었고 조사 프로세스에 필요하지 않다고 생각되면 삭제하는 것이 좋습니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 성공한 경우: 'ID가 {0}인 Microsoft Sentinel 검색 규칙을 삭제했습니다.'를 출력합니다. 제공된 HuntingRuleID로 실행 규칙을 찾을 수 없는 경우: 'ID가 '{0}'인 Microsoft Sentinel 실행 규칙을 찾을 수 없습니다.'.format(HuntingRuleID)를 출력합니다. 오류인 경우: 'Microsoft Sentinel 검색 규칙을 삭제하지 못했습니다. 오류: {0}".format(exception.stacktrace). |
일반 |
맞춤 헌팅 규칙 실행
맞춤 또는 즐겨찾기 Microsoft Sentinel 헌팅 규칙을 실행합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| HuntingRuleID | 문자열 | 해당 사항 없음 | 예 | 헌팅 규칙의 ID를 지정합니다. |
| 제한 시간 | 정수 | 해당 사항 없음 | 아니요 | Azure Sentinel 헌팅 규칙 API 호출의 제한 시간 값을 지정하는 데 사용되는 매개변수입니다. |
사용 사례
이 작업을 사용하여 Google SecOps 플레이북에서 Microsoft Sentinel 탐색 규칙을 실행할 수 있습니다. 헌팅 규칙 쿼리를 실행하면 인프라에서 실행되는 가장 드문 프로세스에 관한 데이터가 제공됩니다. 이러한 프로세스가 실행될 때마다 알림을 받지 않는 것이 좋습니다. 완전히 무해할 수 있지만 가끔 쿼리를 살펴보고 비정상적인 것이 있는지 확인하는 것이 좋습니다. 즉, 네트워크 환경에서 더 많은 정보를 수집하는 데 사용할 수 있으며, 이를 통해 조사자는 인시던트에 관한 모든 미묘한 차이를 파악하고 추가 결정을 내릴 수 있습니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"tables": [
{
"name": "PrimaryResult",
"columns": [
{
"name": "timerange",
"type": "datetime"
},
{
"name": "AppDisplayName",
"type": "string"
},
{
"name": "UserPrincipalName",
"type": "string"
},
{
"name": "threeDayWindowLocationCount",
"type": "long"
},
{
"name": "locationList",
"type": "dynamic"
},
{
"name": "timestamp",
"type": "datetime"
},
{
"name": "AccountCustomEntity",
"type": "string"
}
],
"rows": [
[
"2019-11-29T00:00:00Z",
"WindowsDefenderATP Portal",
"user@example.com",
2,
"[\"US/Florida/Miami;\",\"AM/Kotayk'/Abovyan;\"]",
"2019-11-29T00:00:00Z",
"user@example.com"
],
[
"2019-12-02T00:00:00Z",
"WindowsDefenderATP Portal",
"user@example.com",
1,
"[\"US/Florida/Miami;\"]",
"2019-12-02T00:00:00Z",
"user@example.com"
],
[
"2019-11-29T00:00:00Z",
"Azure Portal",
"example@example.com",
1,
"[\"UA/Kyiv Misto/Kyiv;\"]",
"2019-11-29T00:00:00Z",
"example@example.com"
],
[
"2019-12-02T00:00:00Z",
"Azure Portal",
"example@example.com",
2,
"[\"UA/Kyiv Misto/Kyiv;\",\"UA/Kyivs'ka Oblast'/Boryspil';\"]",
"2019-12-02T00:00:00Z",
"example@example.com"
],
[
"2019-11-29T00:00:00Z",
"Azure Portal",
"user@example.com",
1,
"[\"RU/Sverdlovskaya Oblast'/Yekaterinburg;\"]",
"2019-11-29T00:00:00Z",
"user@example.com"
],
[
"2019-12-02T00:00:00Z",
"Azure Portal",
"user@example.com",
1,
"[\"RU/Sverdlovskaya Oblast'/Yekaterinburg;\"]",
"2019-12-02T00:00:00Z",
"user@example.com"
]
]
}
]
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 성공한 경우: '헌팅 규칙이 성공적으로 실행됨'을 출력합니다. 제공된 HuntingRuleID로 헌팅 규칙을 찾을 수 없는 경우 'ID가 '{0}'인 Microsoft Sentinel 헌팅 규칙을 찾을 수 없습니다.'를 출력합니다.format(HuntingRuleID) 발견된 항목이 없는 경우: '헌팅 규칙이 성공적으로 실행되었지만 결과가 반환되지 않았습니다.'를 출력합니다.
오류가 있는 경우: '오류로 인해 헌팅 규칙이 완료되지 않았습니다.
{0}'.format(exception.stacktrace)를 출력합니다. 제한 시간 초과인 경우: '헌팅 규칙이 제한 시간 초과로 인해 완료되지 않았습니다: {0}'.format(exception.stacktrace)를 출력합니다.
쿼리 결과가 잘린 경우: 'Hunting rule results exceeded limits and were truncated, please rewrite your query!'를 출력합니다. |
일반 |
| 표 | 표 제목: Microsoft Sentinel 헌팅 규칙 결과 열: 쿼리 결과에 따라 열을 동적으로 생성 |
일반 |
| 첨부파일 | Run_Hunting_rule_{HuntingRuleID}_response.json - 작업 기술 JSON 데이터에서 반환된 값을 포함합니다. | 일반 |
JSON 뷰어 |
쿼리 결과의 JSON 뷰어를 표시합니다. | 일반 |
KQL 쿼리 실행
제공된 작업 입력 매개변수를 기반으로 Azure Sentinel KQL 쿼리를 실행합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| KQL 쿼리 | 문자열 | 해당 사항 없음 | 예 | Azure Sentinel에서 실행할 KQL 쿼리입니다. 예를 들어 Sentinel에서 사용할 수 있는 보안 알림을 가져오려면 쿼리는 'SecurityAlert'가 됩니다. 다른 작업 입력 매개변수 (기간, 한도)를 사용하여 쿼리 결과를 필터링합니다. KQL 쿼리의 예는 Sentinel '로그' 웹페이지를 참고하세요. |
| 시간 범위 | 문자열 | 해당 사항 없음 | 아니요 | 찾을 시간 범위를 지정합니다. 시간 값은 ISO 8601을 준수해야 하며, 예를 들어 지난 10시간을 검색하거나 검색할 시간 간격을 지정하는 데 사용할 수 있습니다. PT + 숫자 + (M, H, D) 형식을 사용합니다. 여기서 M은 분, H는 시간, D는 일을 나타냅니다. |
| 쿼리 제한 시간 | 정수 | 180 | 아니요 | Azure Sentinel 헌팅 규칙 API 호출의 제한 시간 값입니다. Python 프로세스 제한 시간으로 인해 지정된 값보다 일찍 작업이 제한 시간이 초과되지 않도록 이 매개변수에 따라 Google SecOps 작업 Python 프로세스 제한 시간을 조정해야 합니다. |
| 레코드 한도 | 정수 | 100 | 아니요 | 가져올 레코드 수입니다. 선택적 매개변수입니다. 설정된 경우 kql 쿼리에 '| limit x'를 추가합니다. 여기서 x는 레코드 한도에 설정된 값입니다. kql 쿼리에 이미 'limit'이 설정되어 있거나 필요하지 않은 경우 삭제할 수 있습니다. |
사용 사례
케이스 조사 중에 고급 쿼리를 실행합니다.
실행
이 작업은 모든 항목에서 실행됩니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"tables": [
{
"name": "PrimaryResult",
"columns": [
{
"name": "Reason",
"type": "string"
},
{
"name": "StartTimeUtc",
"type": "datetime"
},
{
"name": "EndTimeUtc",
"type": "datetime"
},
{
"name": "count_",
"type": "long"
},
{
"name": "timestamp",
"type": "datetime"
}
],
"rows": [
[
"Incorrect password",
"2019-10-22T06:38:30.837Z",
"2019-10-22T11:57:00.003Z",
28,
"2019-10-22T06:38:30.837Z"
],
[
"Account name does not exist",
"2019-10-21T15:19:33.727Z",
"2019-10-22T06:40:13.51Z",
3,
"2019-10-21T15:19:33.727Z"
]
]
}
]
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 성공한 경우: '쿼리가 성공적으로 실행되었습니다'를 출력합니다. 찾은 항목이 없는 경우: '쿼리가 성공적으로 실행되었지만 결과가 반환되지 않았습니다.'를 출력합니다. 오류가 있는 경우: '쿼리가 오류: {0}".format(exception.stacktrace)로 인해 완료되지 않습니다'를 출력합니다. 시간 초과인 경우: '쿼리가 시간 초과로 인해 완료되지 않았습니다.
{0}'.format(exception.stacktrace)를 출력합니다. 쿼리 결과가 잘린 경우: '쿼리 결과가 한도를 초과하여 잘렸습니다. 쿼리를 다시 작성하세요.'를 출력합니다. |
|
| 표 | 표 제목: KQL 쿼리 결과 열: 쿼리 결과에 따라 열을 동적으로 생성 |
일반 |
| 첨부파일 | Run_KQL_query_response.json - 작업 기술 JSON 데이터에서 반환된 값을 포함합니다. | 일반 |
JSON 뷰어 |
쿼리 결과의 JSON 뷰어를 표시합니다. | 일반 |
인시던트에 댓글 추가
Azure Sentinel 인시던트에 댓글을 추가합니다.
매개변수
| 매개변수 표시 이름 | 유형 | 기본값 | 필수 항목 | 설명 |
|---|---|---|---|---|
| 문제 번호 | 정수 | 해당 사항 없음 | 예 | 주석을 추가할 인시던트 번호를 지정합니다. |
| 추가할 댓글 | 문자열 | 해당 사항 없음 | 예 | 인시던트에 추가할 댓글을 지정합니다. |
실행
이 작업은 항목에서 실행되지 않습니다.
작업 결과
스크립트 결과
| 스크립트 결과 이름 | 값 옵션 | 예 |
|---|---|---|
| is_success | True/False | is_success:False |
JSON 결과
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Incidents/00cfebdc-c677-463f-8355-cb7f23472c06/Comments/f0f31d1a-d32b-4774-a21d-3279240c7c33",
"name": "f0f31d1a-d32b-4774-a21d-3279240c7c33",
"etag": "\"7e000812-0000-0c00-0000-606fc83f0000\"",
"type": "Microsoft.SecurityInsights/Incidents/Comments",
"properties": {
"message": "Some message",
"createdTimeUtc": "2021-04-09T03:21:35.0894288Z",
"lastModifiedTimeUtc": "2021-04-09T03:21:35.0894288Z",
"author": {
"objectId": "f6ce2f43-6f77-4b30-9a4a-de1a069b2560",
"email": null,
"name": "Comment created from external application - log_analytics_rest_api_for_sentinel",
"userPrincipalName": null
}
}
}
케이스 월
| 결과 유형 | 값 / 설명 | 유형 |
|---|---|---|
| 출력 메시지* | 작업이 실패하거나 플레이북 실행을 중지하지 않습니다.
작업이 실패하고 플레이북 실행을 중지해야 합니다.
|
일반 |
커넥터
Google SecOps에서 커넥터를 구성하는 방법에 대한 자세한 내용은 커넥터 구성을 참고하세요.
Microsoft Azure Sentinel Incidents Connector(Microsoft Azure Sentinel 인시던트 커넥터) - 지원 중단됨
Google SecOps SOAR에서 Microsoft Azure Sentinel Incidents Connector는 Azure Security Insights API를 사용하여 특정 Microsoft Sentinel 작업공간의 인시던트를 알림으로 수집합니다.
커넥터는 List Incidents 및 Get Incident Details 작업과 유사한 기능을 사용하고 Azure Security Insights 엔드포인트에 연결하여 지정된 기간 동안 생성된 인시던트 목록을 가져옵니다.
커넥터 사용 사례
커넥터를 사용하여 Microsoft Sentinel 작업공간에서 새 인시던트를 모니터링하고 Google SecOps SOAR 서버로 수집합니다.
특정 이벤트 유형의 흐름을 보장하려면 Microsoft Sentinel에 데이터 커넥터를 추가하세요. 예를 들어 Windows 호스트의 보안 이벤트를 데이터 커넥터 중 하나로 추가하려면 Windows 호스트에 Microsoft Sentinel 에이전트를 설치하고 수집할 이벤트 유형(보안 이벤트, 방화벽 이벤트, DNS 이벤트 등)을 구성합니다.
특정 조건을 기반으로 알림을 생성하려면 규칙 쿼리를 사용하여 알림 규칙을 정의하세요. 알림 규칙에서 경고를 생성하면 Microsoft Sentinel이 이벤트를 생성하고, 데이터 사고를 저장하고, 포털의 인시던트 페이지에 인시던트를 표시하도록 트리거됩니다.
프로그래매틱 방식으로 인시던트 데이터를 읽고 쓰려면 Security Insights REST API를 사용하세요.
커넥터 매개변수
커넥터를 구성하려면 다음 매개변수를 사용하세요.
| 매개변수 | |
|---|---|
Product Field Name |
필수
제품 이름이 저장된 필드의 이름입니다. 기본값은 |
Event Field Name |
필수
이벤트 이름이 저장된 필드의 이름입니다. 기본값은 |
Environment Field Name |
선택사항
환경 이름이 저장된 필드의 이름입니다. 환경 필드를 찾을 수 없으면 기본 환경이 사용됩니다. 기본값은 |
Environment Regex Pattern |
선택사항
기본값 이 매개변수를 사용하면 정규 표현식 로직을 사용하여 환경 필드를 조작할 수 있습니다. 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
Azure Subscription ID |
필수 Azure 구독 ID입니다. |
Azure Active Directory ID |
필수 Microsoft Entra 테넌트 ID입니다. |
Api Root |
필수 통합에 사용할 management.azure.com API 루트 URL입니다. 기본값은 |
Azure Resource Group |
필수 Microsoft Sentinel이 있는 Azure 리소스 그룹의 이름입니다. |
Azure Sentinel Workspace Name |
필수 작업할 Microsoft Sentinel 작업공간의 이름입니다. |
Client ID |
필수 이 통합에 사용되는 Microsoft Entra 애플리케이션 (클라이언트) ID입니다. |
Client Secret |
필수 Microsoft Entra 클라이언트 보안 비밀번호 값입니다. |
Script Timeout (Seconds) |
필수 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다. 기본값은 180초입니다. |
Offset Time In Hours |
필수
현재로부터 몇 시간 전의 문제를 가져올지 나타냅니다. 기본값은 24시간입니다. |
Incident Statuses to Fetch |
필수
가져올 인시던트의 상태입니다. 이 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. 기본값은 |
Incident Severities to Fetch |
필수
가져올 인시던트의 심각도입니다. 이 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. 기본값은 |
Max Incidents per Cycle |
필수
커넥터 실행 한 번에 처리할 인시던트 수입니다. 이 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. 기본값은 10입니다. |
Proxy Server Address |
선택사항
사용할 프록시 서버의 주소입니다. |
Proxy Server Username |
선택사항
인증할 프록시 사용자 이름입니다. |
Proxy Server Password |
선택사항
인증할 프록시 비밀번호입니다. |
커넥터 규칙
커넥터는 차단 목록과 동적 목록을 지원하지 않습니다.
커넥터가 프록시를 지원합니다.
Microsoft Azure Sentinel 인시던트 커넥터 v2
Microsoft Azure Sentinel Incidents Connector v2는 Microsoft Sentinel을 사용할 때 사용하는 것이 권장되는 커넥터입니다. 주요 변경사항으로는 Microsoft Sentinel API의 새 인시던트 엔드포인트로 이동하고 커넥터 엔티티 처리 및 파싱 로직이 도입된 것이 있습니다. 특정 Microsoft Sentinel 인시던트를 필터링하고 인시던트 이름을 기반으로 가져오려면 동적 목록을 사용하세요.
Microsoft Sentinel UI에 인시던트 항목이 표시되지만 API에서 반환하지 않을 수 있습니다 (항목 목록이 비어 있음). 따라서 커넥터가 이러한 인시던트를 수집하고 다음 커넥터 실행을 위해 백로그에서 쿼리하는 데 더 많은 시간이 필요합니다. API 응답에서 엔티티 정보를 사용할 수 있게 되면 커넥터가 인시던트를 수집합니다.
예약된 Sentinel 알림 및 예약되지 않은 Sentinel 알림 처리
Microsoft Azure Sentinel 인시던트 커넥터에서 Azure Sentinel 예약 알림 이외의 모든 알림에 대해 엔티티가 잘못 표시되는 문제를 해결하기 위해 Microsoft Azure Sentinel 인시던트 커넥터 v2에서는 모든 엔티티에 대해 추가 이벤트를 추가합니다.
즉, 커넥터가 Google SecOps 이벤트에서 IP, 계정 또는 호스트 이름 항목을 수신하면 발견된 모든 항목에 대해 추가 Google SecOps 이벤트를 추가합니다. 새로 생성된 이벤트를 사용하여 Google SecOps SOAR에서 항목을 만들고 항목 속성을 매핑할 수 있습니다. 초기 이벤트는 그대로 유지됩니다. 새 이벤트는 Google SecOps 알림에만 추가됩니다. 다른 항목 유형은 이 로직의 영향을 받지 않으며, 항목 유형에 대해 추가 이벤트가 생성되지 않고 초기 이벤트에 그대로 남아 있습니다.
추가 이벤트를 만들 수 있도록 커넥터는 entity Sentinel API 엔드포인트를 사용하여 데이터를 가져옵니다. 예약된 알림과 NRT 알림은 모두 기본적으로 로그 분석 KQL 쿼리를 사용하여 알림 및 이벤트 데이터를 가져옵니다. 선택하면 커넥터 구성의 모든 알림 유형에 이벤트 생성과 동일한 접근 방식을 사용하시겠어요? 매개변수가 예약된 알림과 예약되지 않은 알림을 포함한 모든 알림에 동일한 엔티티 기반 접근 방식을 사용합니다. 이 옵션은 주의해서 사용하는 것이 좋습니다.
커넥터 매개변수
커넥터를 구성하려면 다음 매개변수를 사용하세요.
| 매개변수 | |
|---|---|
Product Field Name |
필수
제품 이름이 저장된 필드의 이름입니다. 기본값은 |
Event Field Name |
필수
이벤트 이름이 저장된 필드의 이름입니다. 기본값은 |
Environment Field Name |
선택사항
환경 이름이 저장된 필드의 이름입니다. 환경 필드를 찾을 수 없으면 기본 환경이 사용됩니다. 기본값은 |
Environment Regex Pattern |
선택사항
기본값 이 매개변수를 사용하면 정규 표현식 로직을 사용하여 환경 필드를 조작할 수 있습니다. 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
Azure Subscription ID |
필수 Azure 구독 ID입니다. |
Azure Active Directory ID |
필수 Microsoft Entra 테넌트 ID입니다. |
Api Root |
필수 통합에 사용할 API 루트 URL입니다. 기본값은 |
OAUTH2 Login Endpoint Url |
필수 OAuth 2.0 인증에 사용할 엔드포인트 URL입니다. |
Azure Resource Group |
필수 Microsoft Sentinel이 있는 Azure 리소스 그룹의 이름입니다. |
Azure Sentinel Workspace Name |
필수 작업할 Microsoft Sentinel 작업공간의 이름입니다. |
Client ID |
필수 이 통합에 사용되는 Microsoft Entra 애플리케이션 (클라이언트) ID입니다. |
Client Secret |
필수 Microsoft Entra 클라이언트 보안 비밀번호 값입니다. |
Script Timeout (Seconds) |
필수 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다. 기본값은 180초입니다. |
Offset Time In Hours |
필수
현재로부터 몇 시간 전의 문제를 가져올지 나타냅니다. 기본값은 24시간입니다. |
Incident Statuses to Fetch |
필수
가져올 인시던트의 상태입니다. 이 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. 기본값은 |
Incident Severities to Fetch |
필수
가져올 인시던트의 심각도입니다. 이 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. 기본값은 |
Use the same approach with event creation for all alert types?
|
선택사항 선택하면 커넥터가 모든 알림 유형에 동일한 접근 방식을 사용합니다. 선택하지 않으면 커넥터가 Azure Sentinel 예약 알림 유형에 다른 접근 방식을 사용하고 알림 세부정보에 지정된 쿼리를 실행하여 알림을 발생시킨 이벤트를 가져오려고 시도합니다. 기본적으로 선택 취소되어 있습니다. |
Use whitelist as a blacklist |
필수
선택하면 동적 목록이 차단 목록으로 사용됩니다. 기본적으로 선택 취소되어 있습니다. |
Alerts padding period |
필수
커넥터가 인시던트의 알림을 가져오는 시간(분)입니다. 기본값은 60분입니다. |
Proxy Server Address |
선택사항
사용할 프록시 서버의 주소입니다. |
Proxy Server Username |
선택사항
인증할 프록시 사용자 이름입니다. |
Proxy Server Password |
선택사항
인증할 프록시 비밀번호입니다. |
Max Backlog Incidents per Cycle |
필수
커넥터 실행 한 번에 백로그에서 가져올 인시던트 수입니다. 기본값은 10입니다. |
StartTimeFallback |
필수
대체 필드가 없으면 커넥터는 기본값은 |
EndTimeFallback |
필수
대체 필드가 없으면 커넥터는 기본값은 |
Enable Fallback Logic Debug? |
선택사항
선택하면 커넥터가 대체에 사용된 값을 포함하는 디버그 필드를 생성된 이벤트에 추가합니다. 기본적으로 선택 취소되어 있습니다. |
VendorFieldFallback |
필수
기본값은 |
ProductFieldFallback |
필수
기본값은 |
EventFieldFallback |
필수
기본값은 |
Max New Incidents per cycle |
필수
하나의 커넥터 실행에서 처리할 인시던트 수입니다. 기본값은 10입니다. |
Wait For Scheduled/NRT Alert Object |
선택사항
사용 설정된 경우 커넥터는 Scheduled/NRT 알림 객체가 제공될 때까지 기다립니다. |
Scheduled Alerts Events Limit to Ingest |
선택사항
단일 Azure Sentinel 예약 알림 또는 NRT 알림에 대해 수집할 최대 이벤트 수입니다. 기본값은 100입니다. |
Incidents Padding Period (minutes) |
선택사항
커넥터가 인시던트를 가져와 반환하는 시간(분)입니다. 이러한 사건은 시간순으로 나열되어 있지 않습니다. |
Create Siemplify Alerts for Sentinel incidents that do not have
entities? |
선택사항
선택하면 커넥터가 엔티티가 없는 Microsoft Sentinel 인시던트에서 Google SecOps 알림을 생성합니다. 그렇지 않으면 커넥터는 예약된 알림과 NRT 알림에 대해서만 Google SecOps 알림을 생성하고 다른 모든 Microsoft Sentinel 인시던트 유형을 건너뜁니다. 기본적으로 선택 취소되어 있습니다. |
Incident's Alerts Limit to Ingest |
선택사항
Microsoft Sentinel 인시던트마다 수집할 최대 알림 수입니다. |
Alert Name Template |
선택사항
지정된 경우 커넥터는 Microsoft Sentinel API 응답에서 반환된 인시던트 데이터의 이 값을 사용하여
필드의 최대 길이는 256자입니다. 값이 제공되지 않거나 잘못된 템플릿을 제공하면 커넥터는 기본 알림 이름을 사용합니다. |
Rule Generator Template |
선택사항
지정된 경우 커넥터는 Microsoft Sentinel API 응답에서 반환된 인시던트 데이터의 이 값을 사용하여
필드의 최대 길이는 256자입니다. 값을 제공하지 않거나 잘못된 템플릿을 제공하면 커넥터는 기본 규칙 생성기 값을 사용합니다. |
알림 이름 및 규칙 생성기 필드 맞춤설정
커넥터를 사용하면 Alert Name Template 및 Rule Generator Template 매개변수를 사용하여 Siemplify Alert Name 및 Rule Generator 필드 값을 맞춤설정할 수 있습니다. 템플릿의 경우 커넥터는 API에서 반환된 Microsoft Sentinel 인시던트 데이터에서 정보를 가져옵니다.
다음 예에서는 API에서 반환된 인시던트 데이터를 표시하여 알림에서 사용할 수 있고 템플릿에 사용할 수 있는 필드를 참조합니다.
{
"id": "/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/providers/Microsoft.SecurityInsights/Incidents/d4f632be-0689-93f7-57a6-f27bfabbbad1",
"name": "d4f632be-0689-93f7-57a6-f27bfabbbad1",
"etag": "\"79004534-0000-0d00-0000-63590d610000\"",
"type": "Microsoft.SecurityInsights/Incidents",
"properties": {
"title": "Incident title",
"description": "",
"severity": "Low",
"status": "New",
"owner": {
"objectId": null,
"email": null,
"assignedTo": null,
"userPrincipalName": null
},
"labels": [],
"firstActivityTimeUtc": "2022-10-26T07:00:09.3857965Z",
"lastActivityTimeUtc": "2022-10-26T09:07:02.1083312Z",
"lastModifiedTimeUtc": "2022-10-26T10:35:13.0254798Z",
"createdTimeUtc": "2022-10-26T10:34:55.7454638Z",
"incidentNumber": 380925,
"additionalData": {
"alertsCount": 102,
"bookmarksCount": 0,
"commentsCount": 0,
"alertProductNames": [
"Azure Sentinel"
],
"tactics": [
"InitialAccess",
"Persistence"
]
},
"relatedAnalyticRuleIds": [
"/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/Microsoft.SecurityInsights/alertRules/8a3ca5c5-7875-466e-accd-3bcb2881cdb0"
],
"incidentUrl": "https://portal.azure.com/#asset/Microsoft_Azure_Security_Insights/Incident/subscriptions/SUBSCRIPTION_ID/resourceGroups/RESOURCE_GROUP/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE/Microsoft.SecurityInsights/Incidents/d4f632be-0689-93f7-57a6-f27bfabbbad1",
"providerName": "Azure Sentinel",
"providerIncidentId": "380925"
}
}
커넥터 규칙
커넥터는 차단 목록과 동적 목록을 지원합니다.
커넥터가 프록시를 지원합니다.
Microsoft Sentinel 인시던트 추적 커넥터
Microsoft Sentinel 인시던트 추적 커넥터를 사용하여 Microsoft Sentinel 인시던트를 처리하고 Sentinel 인시던트 업데이트를 새 Google SecOps 알림으로 가져옵니다. 동적 목록을 사용하여 가져올 인시던트 이름을 지정할 수 있습니다. 이 커넥터의 경우 SourceGroupIdentifier 매개변수를 기반으로 Google SecOps 알림 그룹화를 구성하는 것이 좋습니다.
커넥터 입력
커넥터를 구성하려면 다음 매개변수를 사용하세요.
| 매개변수 | |
|---|---|
Product Field Name |
필수
제품 이름이 저장된 필드의 이름입니다. 기본값은 |
Event Field Name |
필수
이벤트 이름이 저장된 필드의 이름입니다. 기본값은 |
Environment Field Name |
선택사항
환경 이름이 저장된 필드의 이름입니다. 환경 필드를 찾을 수 없으면 기본 환경이 사용됩니다. 기본값은 |
Environment Regex Pattern |
선택사항
기본값 이 매개변수를 사용하면 정규 표현식 로직을 사용하여 환경 필드를 조작할 수 있습니다. 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다. |
Azure Subscription ID |
필수 Azure 구독 ID입니다. |
Entra ID Directory ID |
필수 Microsoft Entra 테넌트 ID입니다. |
Api Root |
필수 통합에 사용할 API 루트 URL입니다. 기본값은 |
OAUTH2 Login Endpoint Url |
필수 OAuth 2.0 인증에 사용할 엔드포인트 URL입니다. |
Azure Resource Group |
필수 Microsoft Sentinel이 있는 Azure 리소스 그룹의 이름입니다. |
Azure Sentinel Workspace Name |
필수 작업할 Microsoft Sentinel 작업공간의 이름입니다. |
Client ID |
필수 이 통합에 사용되는 Microsoft Entra 애플리케이션 (클라이언트) ID입니다. |
Client Secret |
필수 Microsoft Entra 클라이언트 보안 비밀번호 값입니다. |
Script Timeout (Seconds) |
필수 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도입니다. 기본값은 480초입니다. |
Verify SSL |
선택사항 선택하면 통합에서 Microsoft 서버에 대한 연결의 SSL 인증서가 유효한지 확인합니다. 기본적으로 선택되어 있습니다. |
Max Hours Backwards |
필수
첫 번째 커넥터 반복 전에 인시던트를 가져올 시간(단위: 시간)입니다. 이 파라미터는 커넥터를 처음 사용 설정한 후 초기 커넥터 반복에 한 번만 적용됩니다. 기본값은 24시간입니다. |
Incident Statuses to Fetch |
필수
가져올 인시던트의 상태입니다. 이 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. 기본값은 |
Incident Severities to Fetch |
필수
가져올 인시던트의 심각도입니다. 이 매개변수는 여러 값을 쉼표로 구분된 문자열로 허용합니다. 기본값은 |
Max Incidents per Cycle |
필수
하나의 커넥터 실행 중에 백로그에서 가져올 인시던트 수입니다. 기본값은 10입니다. |
Use the same approach with event creation for all alert types?
|
선택사항 선택하면 커넥터가 모든 알림 유형에 동일한 접근 방식을 사용합니다. 선택하지 않으면 커넥터가 Microsoft Sentinel 예약 알림 유형에 다른 접근 방식을 사용하고 알림 세부정보에 지정된 쿼리를 실행하여 알림을 발생시킨 이벤트를 가져오려고 시도합니다. 기본적으로 선택되지 않습니다. |
Incidents Tags To Ingest |
선택사항
수집할 인시던트 태그의 쉼표로 구분된 목록입니다. 커넥터는 이 목록의 태그가 없는 인시던트를 무시합니다. |
Use whitelist as a blacklist |
필수
선택하면 동적 목록이 차단 목록으로 사용됩니다. 기본적으로 선택되지 않습니다. |
Backlog Expiration Timer |
필수
커넥터가 백로그에 인시던트를 유지하는 기간(분)입니다. 기본값은 60분입니다. |
StartTimeFallback |
필수
대체 필드가 없으면 커넥터는 기본값은 |
EndTimeFallback |
필수
대체 필드가 없으면 커넥터는 기본값은 |
Enable Fallback Logic Debug? |
선택사항
선택하면 커넥터가 대체에 사용된 값을 포함하는 디버그 필드를 생성된 이벤트에 추가합니다. 기본적으로 선택되지 않습니다. |
VendorFieldFallback |
필수
내림차순으로 기본값은 |
ProductFieldFallback |
필수
기본값은 |
EventFieldFallback |
필수
기본값은 |
Max Backlog Incidents per cycle |
필수
하나의 커넥터 실행에서 백로그에서 가져올 인시던트 수입니다. 기본값은 10입니다. |
Disable Overflow |
선택사항 선택하면 커넥터가 이벤트 오버플로를 사용 중지합니다. 기본적으로 선택되지 않습니다. |
Total Number of Scheduled Alerts Events Limit to Ingest |
선택사항
단일 Microsoft Sentinel 예약 알림 또는 NRT 알림에 대해 수집할 최대 이벤트 수입니다. 기본값은 100입니다. |
Create Chronicle SOAR Alerts for Sentinel incidents that do not
have entities? |
선택사항
선택하면 커넥터가 엔티티가 없는 Microsoft Sentinel 인시던트에서 Google SecOps 알림을 만듭니다. 그렇지 않으면 커넥터는 예약된 알림과 NRT 알림에 대해서만 Google SecOps 알림을 생성하고 다른 모든 Microsoft Sentinel 인시던트 유형을 건너뜁니다. 기본적으로 선택되지 않습니다. |
Incident's Alerts Limit to Ingest |
선택사항
Microsoft Sentinel 인시던트마다 수집할 최대 알림 수입니다. |
Incidents Padding Period (minutes) |
선택사항
커넥터가 인시던트를 가져와 반환할 현재 시간 이전의 기간(분)입니다. 커넥터가 시간순으로 인시던트를 반환하지 않습니다. |
Alert Name Template |
선택사항
지정된 경우 커넥터는 Microsoft Sentinel API 응답에서 반환된 인시던트 데이터의 이 값을 사용하여 Google SecOps SOAR 알림 이름을 지정합니다.
필드의 최대 길이는 256자입니다. 값이 제공되지 않거나 잘못된 템플릿을 제공하면 커넥터는 기본 알림 이름을 사용합니다. |
Rule Generator Template |
선택사항
지정된 경우 커넥터는 Google SecOps SOAR 규칙 생성기를 위해 Microsoft Sentinel API 응답에서 반환된 인시던트 데이터의 이 값을 사용합니다.
필드의 최대 길이는 256자입니다. 값을 제공하지 않거나 잘못된 템플릿을 제공하면 커넥터는 기본 규칙 생성기 값을 사용합니다. |
How many hours to track ingested incident for updates |
필수
커넥터가 이미 수집된 Sentinel 인시던트를 추적하여 새 이벤트 또는 항목 추가, 인시던트 세부정보와 같은 업데이트를 확인하는 기간입니다. 기본값은 24시간입니다. |
Wait For Scheduled/NRT Alert Object |
선택사항
사용 설정된 경우 커넥터는 Scheduled/NRT 알림 객체가 제공될 때까지 기다립니다. |
Proxy Server Address |
선택사항
사용할 프록시 서버의 주소입니다. |
Proxy Server Username |
선택사항
인증할 프록시 사용자 이름입니다. |
Proxy Server Password |
선택사항
인증할 프록시 비밀번호입니다. |
커넥터 규칙
Microsoft Sentinel 인시던트 추적 커넥터는 차단 목록과 동적 목록을 지원합니다.
작업
Microsoft Sentinel 통합은 Microsoft Sentinel - Sync Incidents 작업을 지원합니다.
Microsoft Sentinel - Sync Incidents(Microsoft Sentinel - 동기화 인시던트)
Microsoft Sentinel - Sync Incidents 작업을 사용하여 Google SecOps 알림을 Microsoft Sentinel 인시던트와 동기화합니다. 두 시스템 간에 댓글, 상태, 태그가 동기화되도록 합니다.
작업에서 올바른 정보를 식별하려면 Google SecOps 케이스에 Microsoft Sentinel Incident 태그가 있어야 합니다. Microsoft Azure Sentinel Incident Connector v2에서 알림이 시작되지 않은 경우 작업에서 올바른 정보를 찾을 수 있도록 케이스에 Incident_ID 컨텍스트 값을 추가해야 합니다.
작업 동작
이 작업은 두 가지 주요 부분으로 구성됩니다. 1. 이 작업은 Microsoft Sentinel의 알림 상태, 댓글, 태그를 Google SecOps와 동기화합니다. 1. 이 작업은 Google SecOps의 업데이트를 Microsoft Sentinel로 다시 동기화합니다.
작업은 안정적인 성능을 보장하기 위해 반복당 최대 사례 수를 처리합니다. 케이스의 마지막 수정 시간을 사용하여 업데이트가 누락되지 않도록 합니다.
한 시스템에서 알림이 닫히면 작업에서 닫힘을 동기화합니다. 상태 매핑은 다음과 같습니다.
Malicious은True Positive이유와 함께 Microsoft Sentinel 상태Closed에 매핑됩니다.Not Malicious은False Positive이유와 함께 Microsoft Sentinel 상태Closed에 매핑됩니다.- 다른 종료 값은
Unknown이유가 있는 Microsoft Sentinel 상태Closed에 매핑됩니다.
댓글은 양방향으로 동기화됩니다. 동기화 루프를 방지하기 위해 작업은 각 댓글에 접두사를 적용합니다.
태그도 출처를 구분하기 위해 동일한 접두사와 동기화됩니다.
API 비율 제한에 관한 중요 참고사항
이 작업은 Microsoft Graph API를 활용하여 인시던트를 관리하며, 이 API의 비율 제한은 분당 요청 20개입니다. 이 한도에 도달하여 통합의 다른 구성요소에 영향을 미칠 위험을 줄이려면 이 작업 전용으로 별도의 Microsoft Entra ID 앱을 설정하는 것이 좋습니다.
필요한 유일한 권한은 SecurityIncident.ReadWrite.All입니다.
작업 매개변수
Microsoft Sentinel - Sync Incidents 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Environment Name |
필수 항목입니다. 인시던트를 동기화할 환경의 이름입니다. 기본값은 |
Azure Active Directory ID |
필수 항목입니다. Azure의 고유 디렉터리 ID입니다. 테넌트 ID라고도 합니다. |
OAUTH2 Login Endpoint Url |
필수 항목입니다. 작업에서 인증 토큰을 요청하는 OAuth 2.0 엔드포인트의 URL입니다. 기본값은 |
API Root |
필수 항목입니다. Graph API의 기본 URL입니다. 작업은 이 루트 URL에 특정 API 호출을 추가하여 데이터를 가져옵니다. 기본값은 |
Client ID |
필수 항목입니다. Azure Active Directory에 등록된 애플리케이션의 고유 ID입니다. 이 ID는 애플리케이션을 인증하고 Microsoft Sentinel에 대한 액세스 권한을 부여하는 데 사용됩니다. |
Client Secret |
필수 항목입니다.
|
Max Hours Backwards |
필수 항목입니다. 문제를 동기화할 과거 시간입니다. 기본값은 |
Verify SSL |
필수/선택사항입니다. 선택하면 Microsoft Sentinel 서버에 연결할 때 통합에서 SSL 인증서를 검증합니다. 기본적으로 사용 설정됩니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.