Microsoft Entra 모니터링 및 상태 배포 종속성

Microsoft Entra 보고 및 모니터링 솔루션은 법률, 보안, 운영 요구 사항 및 환경 프로세스에 따라 달라집니다. 다음 섹션을 사용하여 디자인 옵션 및 배포 전략에 대해 알아봅니다.

Microsoft Entra 보고 및 모니터링의 이점

Microsoft Entra ID 보고에는 사용자 환경의 Microsoft Entra 작업(로그인 및 감사 이벤트, 디렉터리 변경 내용)에 대한 보기 및 로그가 있습니다.

데이터 출력을 사용하여 다음을 수행합니다.

• 앱과 서비스의 사용 방법을 결정합니다.
• 환경의 상태에 영향을 줄 수 있는 위험을 탐지합니다.
• 사용자의 작업 진행에 장애가 되는 문제를 해결합니다.
• Microsoft Entra 디렉터리 변경에 대한 감사 이벤트를 확인하여 인사이트를 얻으세요.

Microsoft Entra 모니터링을 사용하면 Microsoft Entra ID 보고에서 생성된 로그를 다른 대상 시스템으로 라우팅할 수 있습니다. 그런 다음, 활동 로그를 장기간 사용할 수 있도록 보존할 수도 있고, 타사 SIEM(보안 정보 및 이벤트 관리) 도구와 통합하여 환경에 대한 인사이트를 얻을 수도 있습니다.

Microsoft Entra 모니터링을 사용하면 로그를 다음으로 라우팅할 수 있습니다.

• 보관용 Azure Storage 계정
• Azure Monitor 로그: 데이터를 분석하고, 대시보드를 만들며, 특정 이벤트에 대해 경고할 수 있습니다.
• Azure 이벤트 허브. Splunk, Sumologic 또는 QRadar와 같은 기존 SIEM 도구와 통합할 수 있습니다.

필수 조건

Microsoft Entra 로그인 로그에 액세스하려면 Microsoft Entra ID P1 또는 P2 라이선스가 필요합니다.

자세한 기능 및 라이선스 정보는 Microsoft Entra 가격 책정 가이드를 참조하세요.

Microsoft Entra 모니터링 및 상태를 배포하려면 Microsoft Entra 테넌트의 보안 관리 주체인 사용자가 필요합니다.

• Azure Monitor 데이터 플랫폼
• Azure Monitor 이름 지정 및 용어 변경
• Microsoft Entra ID는 보고 데이터를 얼마나 오래 저장하나요?
• ListKeys 권한이 있는 Azure Storage 계정. Blob Storage 계정이 아닌 일반 스토리지 계정을 사용하는 것이 좋습니다. 스토리지 가격 책정 정보는 Azure Storage 가격 계산기를 참조하세요.
• 타사 SIEM 솔루션과 통합할 Azure Event Hubs 네임스페이스.
• Azure Monitor 로그에 로그를 보내는 Azure Log Analytics 작업 영역

Microsoft Entra 모니터링 및 상태 배포 프로젝트 계획 및 배포

보고 및 모니터링은 비즈니스 요구 사항을 충족하고, 사용 패턴에 대한 인사이트를 얻고, 조직의 보안 태세를 강화하는 데 사용됩니다. 이 프로젝트에서는 보고서를 소비하고 모니터링할 대상 그룹을 정의하고 Microsoft Entra 모니터링 아키텍처를 정의합니다.

관련자, 커뮤니케이션 및 설명서

기술 프로젝트가 실패하는 이유는 일반적으로 영향, 결과 및 책임에 대한 기대 수준이 일치하지 않기 때문입니다. 이러한 문제를 방지하려면 올바른 관련자가 참여해야 합니다. 또한 관련자와 해당 프로젝트 입력 및 책임을 문서화하여 프로젝트의 관련자 역할을 숙지해야 합니다.

관련자는 운영 인사이트를 얻기 위해 Microsoft Entra 로그에 액세스해야 합니다. 보안 팀원, 내부 또는 외부 감사자, ID, 액세스 관리 운영 팀이 사용자에 포함될 수 있습니다.

Microsoft Entra 역할을 사용하면 역할에 따라 Microsoft Entra 보고서를 구성하고 보는 기능을 위임할 수 있습니다. 조직에서 Microsoft Entra 보고서 읽기 권한이 필요한 사용자와 해당 사용자에게 적합한 역할을 파악합니다.

다음 역할은 Microsoft Entra 보고서를 읽을 수 있습니다.

• 보안 관리자
• 보안 읽기 권한자
• 보고서 읽기 권한자

Microsoft Entra 관리 역할에 대해 자세히 알아봅니다. 계정 손상의 위험을 줄이려면 항상 최소 권한 개념을 적용합니다. Privileged Identity Management를 구현하여 조직의 보안을 강화하는 것이 좋습니다.

관련자 참여 유도

기대, 결과 및 책임에 적절해야 프로젝트가 성공적인 것입니다. Microsoft Entra 배포 계획을 참조하세요. 입력 및 책임이 요구되는 관련자 역할을 문서화하고 전달합니다.

통신 계획

사용자에게 환경이 언제, 어떻게 변경될지 알려줍니다. 지원을 위해 연락처 정보를 제공합니다.

• 사용 중인 SIEM 도구(있는 경우).
• 기존 스토리지 계정 및 사용 중인 모니터링을 포함한 Azure 인프라.
• 필요한 규정 준수 프레임워크를 포함한 조직의 로그 보존 정책.

비즈니스 사용 사례

사용 사례 및 솔루션의 우선 순위를 더 잘 지정하려면 "솔루션이 비즈니스 요구 사항을 충족하려면 필수적임", "비즈니스 요구 사항 충족을 위해 권장" 및 "해당 없음"으로 옵션을 구성합니다.

고려 사항

• 보관 - 로그 보관: Microsoft Entra의 감사 로그 및 로그인 로그를 30일 이상 저장합니다.
• 분석 - 분석 도구를 사용하여 로그를 검색할 수 있습니다.
• 운영 및 보안 인사이트 - 애플리케이션 사용량, 로그인 오류, 셀프 서비스 사용량, 추세 등에 액세스할 수 있습니다.
• SIEM 통합 - Microsoft Entra 로그인 로그 및 감사 로그를 SIEM 시스템에 통합하고 스트리밍합니다.

모니터링 솔루션 아키텍처

Microsoft Entra 모니터링을 사용하면 Microsoft Entra 활동 로그를 라우팅하고 장기적인 보고 및 분석을 위해 이를 보존하여 환경 인사이트를 얻고 이를 SIEM 도구와 통합할 수 있습니다. 다음 의사 결정 흐름 차트를 사용하여 아키텍처를 선택할 수 있습니다.

스토리지 계정에 로그 보관

Azure 스토리지 계정으로 로그를 라우팅하면 기본 보존 기간보다 더 오래 보존할 수 있습니다.

Important

SIEM 시스템과 로그를 통합할 필요가 없거나 지속적인 쿼리 및 분석이 필요하지 않은 경우 이 보관 방법을 사용합니다. 주문형 검색을 사용할 수 있습니다.

자세히 보기:

• Microsoft Entra ID는 보고 데이터를 얼마나 오래 저장하나요?
• 자습서: Azure Storage 계정에 Microsoft Entra 로그 보관

스토리지 및 SIEM 도구로 로그 스트리밍

• Microsoft Entra 로그를 Azure Monitor 로그와 통합합니다.
• Azure Monitor 로그를 사용하여 Microsoft Entra 활동 로그를 분석합니다.
• 로그를 이벤트 허브로 스트리밍하는 방법을 알아보세요.
• Microsoft Entra 로그를 Azure Storage 계정에 보관하는 방법을 알아봅니다.
• Microsoft Entra 로그를 이벤트 허브로 라우팅

다음 단계

• Privileged Identity Management 구현 고려 사항
• Azure 역할 기반 액세스 제어 구현 고려 사항
• 보고서 보존 정책에 대해 자세히 알아보세요.
• Azure Monitor 로그를 사용하여 Microsoft Entra 활동 로그 분석