클라우드용 Microsoft Defender 데이터를 지속적으로 내보내기

클라우드용 Microsoft Defender는 자세한 보안 경고 및 권장 사항을 생성합니다. 이러한 경고 및 권장 사항의 정보를 분석하기 위해 Azure Log Analytics, Event Hubs 또는 다른 SIEM, SOAR 또는 IT Service Management 솔루션으로 내보낼 수 있습니다. 경고 및 권장 사항이 생성될 때 스트리밍하거나 모든 새 데이터의 주기적 스냅샷을 보내는 일정을 정의할 수 있습니다.

연속 내보내기와 함께 내보낼 대상과 이동할 위치를 완전히 사용자 지정할 수 있습니다. 예를 들면 다음과 같이 구성할 수 있습니다.

  • 높은 심각도 경고를 모두 Azure Event Hub로 보내도록 구성
  • SQL 서버의 취약성 평가 검사에서 발견된 중간 이상의 심각도 결과를 모두 특정 Log Analytics 작업 영역으로 보내도록 구성
  • 특정 권장 사항이 생성될 때마다 Event Hub 또는 Log Analytics 작업 영역으로 전달되도록 구성
  • 제어 점수가 0.01 이상으로 변경될 때마다 구독의 보안 점수를 Log Analytics 작업 영역으로 보내도록 구성

이 문서에서는 Log Analytics 작업 영역 또는 Azure Event Hubs로 연속 내보내기를 구성하는 방법을 설명합니다.

클라우드용 Defender에서는 CSV로 한 번 수동으로 내보내기를 수행하는 옵션도 제공합니다. 경고 및 권장 사항을 수동으로 한 번 내보내기에서 자세히 알아보세요.

가용성

양상 세부 정보
릴리스 상태: GA(일반 공급)
가격 책정: Free
필요한 역할 및 권한:
  • 리소스 그룹의 보안 관리자 또는 소유자
  • 대상 리소스에 대한 쓰기 권한
  • 아래에 설명된 Azure Policy 'DeployIfNotExist' 정책을 사용하는 경우 정책을 할당하기 위한 권한도 필요합니다.
  • Event Hubs로 데이터를 내보내려면 Event Hubs 정책에 대한 쓰기 권한이 필요합니다.
  • Log Analytics 작업 영역으로 내보내려면 다음을 수행합니다.
    • SecurityCenterFree 솔루션이 있는 경우 최소한 작업 영역 솔루션에 대한 읽기 권한이 필요합니다.Microsoft.OperationsManagement/solutions/read
    • SecurityCenterFree 솔루션이 없는 경우 작업 영역 솔루션에 대한 쓰기 권한이 필요합니다.Microsoft.OperationsManagement/solutions/action
    • Azure Monitor 및 Log Analytics 작업 영역 솔루션에 대해 자세히 알아보세요.
클라우드: 상용 클라우드
국가(Azure Government, Azure 중국 21Vianet)

내보낼 수 있는 데이터 형식

연속 내보내기에서는 다음의 데이터 형식이 변경될 때마다 이를 내보낼 수 있습니다.

연속 내보내기 설정

Azure Portal의 클라우드용 Microsoft Defender 페이지에서 또는 REST API를 통해 또는 제공된 Azure Policy 템플릿을 사용하여 대규모로 연속 내보내기를 구성할 수 있습니다. 각각에 대한 자세한 내용을 보려면 아래에서 해당하는 탭을 선택하세요.

Azure Portal의 클라우드용 Defender 페이지에서 연속 내보내기 구성

Log Analytics 또는 Azure Event Hubs로 연속 내보내기를 설정하는지 여부에 상관없이 아래의 단계가 필요합니다.

  1. Defender for Cloud 메뉴에서 환경 설정을 엽니다.

  2. 데이터 내보내기를 구성할 특정 구독을 선택합니다.

  3. 해당 구독에 대한 설정 페이지의 사이드바에서 연속 내보내기를 선택합니다.

    클라우드용 Microsoft Defender의 내보내기 옵션.

    여기에 내보내기 옵션이 표시됩니다. 사용 가능한 각 내보내기 대상(이벤트 허브 또는 Log Analytics 작업 영역)에 대한 탭이 있습니다.

  4. 내보내려는 데이터 형식을 선택하고, 각 형식의 필터에서 선택합니다(예: 높은 심각도 경고만 내보내기).

  5. 내보내기 빈도를 선택합니다.

    • 스트리밍 – 리소스의 성능 상태가 업데이트되면 평가를 보냅니다(업데이트되지 않으면 데이터를 보내지 않음).
    • 스냅샷 – 선택된 데이터 형식의 현재 상태 스냅샷은 구독당 일주일에 한 번 전송됩니다. 스냅샷 데이터를 식별하려면 필드 IsSnapshot을 찾습니다.

    선택 항목에 이러한 권장 사항 중 하나가 포함되어 있으면 취약성 평가 결과를 함께 포함할 수 있습니다.

    이러한 권장 사항과 함께 결과를 포함하려면 보안 결과 포함 옵션을 사용합니다.

    연속 내보내기 구성의 보안 결과 포함 설정/해제

  6. ‘대상 내보내기’ 영역에서 데이터를 저장할 위치를 선택합니다. 데이터는 다른 구독(예: 중앙 Event Hub 인스턴스 또는 중앙 Log Analytics 작업 영역)의 대상에 저장할 수 있습니다.

    데이터를 다른 테넌트의 이벤트 허브 또는 Log Analytics 작업 영역으로 보낼 수도 있습니다.

  7. 저장을 선택합니다.

참고

로그 분석은 최대 32KB 크기의 레코드만 지원합니다. 데이터 제한에 도달하면 Data limit has been exceeded라는 경고가 표시됩니다.

Log Analytics 작업 영역으로 내보내기

Log Analytics 작업 영역 내의 클라우드용 Microsoft Defender 데이터를 분석하거나 Azure 경고를 클라우드용 Defender 알림과 함께 사용하려면, Log Analytics 작업 영역으로 연속 내보내기를 설정합니다.

Log Analytics 테이블 및 스키마

보안 경고 및 권장 사항은 SecurityAlertSecurityRecommendation 테이블에 각각 저장됩니다.

이러한 테이블을 포함하는 Log Analytics 솔루션의 이름은 강화된 보안 기능인 보안(‘보안 및 감사’) 또는 SecurityCenterFree를 사용하도록 설정했는지 여부에 따라 달라집니다.

대상 작업 영역에서 데이터를 보려면 이러한 솔루션, 즉 보안 및 감사 또는 SecurityCenterFree 중 하나를 사용해야 합니다.

Log Analytics의 *SecurityAlert* 테이블

내보낸 데이터 형식의 이벤트 스키마를 보려면 Log Analytics 테이블 스키마를 참조하세요.

다른 테넌트의 Azure Event Hubs 또는 Log Analytics 작업 영역으로 데이터 내보내기

Azure Event Hubs 또는 다른 테넌트의 Log Analytics 작업 영역으로 데이터를 내보낼 수 있습니다. 이렇게 하면 중앙 분석을 위해 데이터를 수집하는 데 도움이 될 수 있습니다.

다른 테넌트의 Azure Event Hubs 또는 Log Analytics 작업 영역으로 데이터를 내보내려면 다음을 수행합니다.

  1. Azure Event Hubs 또는 Log Analytics 작업 영역이 있는 테넌트에서 연속 내보내기 구성을 호스트하는 테넌트의 사용자를 초대합니다.
  2. Log Analytics 작업 영역의 경우: 사용자가 테넌트 조인 초대를 수락한 후 작업 영역 테넌트의 사용자에게 소유자, 기여자, Log Analytics 기여자, Sentinel 기여자, 모니터링 기여자 역할 중 하나를 할당합니다.
  3. 연속 내보내기 구성을 설정하고 데이터를 보낼 이벤트 허브 또는 Analytics 작업 영역을 선택합니다.

Azure Monitor에서 내보낸 경고 및 권장 사항 보기

Azure Monitor에서 내보낸 보안 경고 및/또는 권장 사항을 보도록 선택할 수도 있습니다.

Azure Monitor는 진단 로그, 메트릭 경고 및 Log Analytics 작업 영역 쿼리를 기반으로 하는 사용자 지정 경고 등 다양한 Azure 경고에 대해 통합된 경고 환경을 제공합니다.

Azure Monitor에서 클라우드용 Defender의 경고 및 권장 사항을 보려면 Log Analytics 쿼리(로그 경고)를 기반으로 경고 규칙을 구성합니다.

  1. Azure Monitor의 경고 페이지에서 새 경고 규칙을 선택합니다.

    Azure Monitor의 경고 페이지

  2. 규칙 만들기 페이지에서 새 규칙을 구성합니다(Azure Monitor에서 로그 경고 규칙을 구성하는 것과 같은 방식).

    • 리소스에서 보안 경고 및 권장 사항을 내보낸 Log Analytics 작업 영역을 선택합니다.

    • 조건에서 사용자 지정 로그 검색을 선택합니다. 표시되는 페이지에서 쿼리, 되돌아보기 기간 및 빈도 기간을 구성합니다. 검색 쿼리에서 Log Analytics으로 연속 내보내기 기능을 사용하는 경우 SecurityAlert 또는 SecurityRecommendation을 입력하여 클라우드용 Defender에서 연속으로 내보내는 데이터 형식을 쿼리할 수 있습니다.

    • 필요한 경우 트리거할 작업 그룹을 구성합니다. 작업 그룹은 이메일 보내기, ITSM 티켓, WebHook 등을 트리거할 수 있습니다. Azure Monitor 경고 규칙

이제 작업 그룹(제공된 경우)의 자동 트리거를 사용하여 Azure Monitor 경고에 구성된 연속 내보내기 규칙 및 Azure Monitor 경고 규칙에 정의된 조건에 따라 새로운 클라우드용 Microsoft Defender 경고 또는 권장 사항이 표시됩니다.

경고 및 권장 사항을 수동으로 한 번 내보내기

경고 또는 권장 사항에 대한 CSV 보고서를 다운로드하려면 보안 경고 또는 권장 사항 페이지를 열고 CSV 보고서 다운로드 단추를 선택합니다.

Azure Resource Graph 제한으로 인해 보고서는 13K 행의 파일 크기로 제한됩니다. 너무 많은 데이터를 내보내는 것과 관련된 오류가 표시되는 경우 내보낼 더 작은 구독 집합을 선택하여 출력을 제한해 보세요.

CSV 파일로 경고 데이터 다운로드

참고

이러한 보고서에는 현재 선택한 구독의 리소스에 대한 경고 및 권장 사항이 포함되어 있습니다.

FAQ - 연속 내보내기

데이터를 내보내는 데 드는 비용은 얼마인가요?

연속 내보내기를 사용하기 위한 비용은 없습니다. 사용자의 구성에 따라 Log Analytics 작업 영역에서 데이터를 수집하고 보존하는 데 비용이 발생할 수 있습니다.

리소스에 대해 Defender 플랜을 사용하도록 설정한 경우에만 많은 경고가 제공됩니다. 내보낸 데이터에 표시될 경고를 미리 보는 좋은 방법은 Azure Portal의 클라우드용 Defender 페이지에 표시된 경고를 확인하는 것입니다.

Log Analytics 작업 영역 가격 책정에 대해 자세히 알아보세요.

Azure Event Hubs 가격 책정에 대해 자세히 알아봅니다.

내보내기에 모든 리소스의 현재 상태에 대한 데이터가 포함되나요?

아니요. 연속 내보내기는 이벤트 스트리밍용으로 빌드되었습니다.

  • 내보내기를 사용하기 전에 받은 경고는 내보내지 않습니다.
  • 권장 사항은 리소스의 준수 상태가 변경될 때마다 전송됩니다. 예로 리소스가 정상에서 비정상으로 전환되는 경우를 들 수 있습니다. 따라서 경고와 마찬가지로 내보내기를 사용한 이후 상태를 변경하지 않은 리소스에 대한 권장 사항은 내보내지 않습니다.
  • 보안 제어 또는 구독당 보안 점수는 보안 제어의 점수가 0.01 이상으로 변경될 때 전송됩니다.
  • 규정 준수 상태는 리소스의 준수 상태가 변경될 때 전송됩니다.

권장 사항이 다른 간격으로 전송되는 이유는 무엇인가요?

권장 사항마다 준수 평가 간격이 다르며, 몇 분부터 며칠 간격까지 다양할 수 있습니다. 따라서 내보내기에 권장 사항이 표시되는 데 걸리는 시간은 다양합니다.

연속 내보내기는 BCDR(비즈니스 연속성 또는 재해 복구) 시나리오를 지원하나요?

연속 내보내기는 대상 리소스에 중단 또는 기타 재해가 발생하는 BCDR 시나리오를 대비하는 데 도움이 될 수 있습니다. 그러나 Azure Event Hubs, Log Analytics 작업 영역 및 Logic App의 지침에 따라 백업을 설정하여 데이터 손실을 방지하는 것은 조직의 책임입니다.

Azure Event Hubs - 지리적 재해 복구에 대해 자세히 알아보세요.

다음 단계

이 문서에서는 권장 사항 및 경고의 연속 내보내기를 구성하는 방법을 알아보았습니다. 또한 경고 데이터를 CSV 파일로 다운로드하는 방법을 알아보았습니다.

관련 자료는 다음 문서를 참조하세요.