다음을 통해 공유

Microsoft Sentinel에 대한 감사 및 상태 모니터링 켜기(미리 보기)

  • 아티클

Microsoft Sentinel의 설정 페이지에서 감사 및 상태 모니터링 기능을 켜서 지원되는 Microsoft Sentinel 리소스의 상태를 모니터링하고 무결성을 감사합니다. 최신 실패 이벤트 또는 성공에서 실패 상태로의 변경과 같은 상태 드리프트 및 권한 없는 작업에 대한 인사이트를 얻고 이 정보를 사용하여 알림 및 기타 자동화된 작업을 만듭니다.

SentinelHealth 데이터 테이블에서 상태 데이터를 얻거나 SentinelAudit 데이터 테이블에서 감사 정보를 얻으려면 먼저 작업 영역의 Microsoft Sentinel 감사 및 상태 모니터링 기능을 켜야 합니다.

이 문서에서는 이러한 기능을 켜는 방법을 설명합니다.

API(Bicep/ARM/REST)를 사용하여 상태 및 감사 기능을 구현하려면 진단 설정 작업을 검토합니다.

감사 및 상태 이벤트의 보존 시간을 구성하려면 Azure Monitor 로그에서 데이터 보존 및 보관 정책 구성을 참조하세요.

Important

SentinelHealthSentinelAudit 데이터 테이블은 현재 미리 보기로 제공됩니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

데이터 테이블 및 리소스 종류

기능이 켜져 있으면 선택한 리소스에 대해 생성된 첫 번째 이벤트에서 SentinelHealthSentinelAudit 데이터 테이블이 만들어집니다.

현재 상태 모니터링에 지원되는 리소스 종류는 다음과 같습니다.

  • 분석 규칙(신규!)
  • 데이터 커넥터
  • 자동화 규칙
  • 플레이북(Azure Logic Apps 워크플로)

    참고 항목

    플레이북 상태를 모니터링할 때 플레이북 작업을 전체적으로 파악하려면 플레이북에서 Azure Logic Apps 진단 이벤트도 수집해야 합니다. 자세한 내용은 자동화 규칙 및 플레이북의 상태 모니터링을 참조하세요.

현재 감사에는 분석 규칙 리소스 종류만 지원됩니다.

작업 영역에 대해 감사 상태 모니터링 켜기

  1. Microsoft Sentinel의 왼쪽 구성 메뉴에서 설정을 선택합니다.

  2. 배너에서 설정을 선택합니다.

  3. 아래에 표시되는 감사 및 상태 모니터링 섹션까지 아래로 스크롤하고 선택하여 확장합니다.

  4. 사용을 선택하여 모든 리소스 종류에서 감사 및 상태 모니터링을 사용하도록 설정하고 감사 및 모니터링 데이터를 Microsoft Sentinel 작업 영역(및 다른 곳)으로 보낼 수 있습니다.

    또는 진단 설정 구성 링크를 선택하여 데이터 수집기 및/또는 자동화 리소스에 대해서만 상태 모니터링을 사용하도록 설정하거나 데이터를 보낼 추가 위치와 같은 고급 옵션을 구성합니다.

    Screenshot shows how to get to the health monitoring settings.

    사용을 선택하면 단추가 회색으로 표시되고 사용하도록 설정하는 중...을 읽고 사용을 읽을 수 있도록 변경됩니다. 이 시점에서 감사 및 상태 모니터링이 사용할 수 있도록 설정되고 완료됩니다. 적절한 진단 설정이 백그라운드에서 추가되었으며 진단 설정 구성 링크를 선택하여 보고 편집할 수 있습니다.

  5. 진단 설정 구성을 선택한 경우 진단 설정 화면에서 + 진단 설정 추가를 선택합니다.

    (기존 설정을 편집하는 경우 진단 설정 목록에서 설정을 선택합니다.)

    • 진단 설정 이름 필드에 의미 있는 설정 이름을 입력합니다.

    • 로그 열에서 모니터링하려는 리소스 종류에 적합한 범주를 선택합니다(예: 데이터 수집 - 커넥터). 분석 규칙을 모니터링하려면 allLogs를 선택합니다.

    • 대상 세부 정보에서 Log Analytics 작업 영역으로 보내기를 선택하고 드롭다운 메뉴에서 구독Log Analytics 작업 영역을 선택합니다.

      Screenshot of diagnostic settings screen for enabling auditing and health monitoring.

      필요한 경우에는 Log Analytics 작업 영역 외에도 데이터를 보낼 다른 대상을 선택할 수 있습니다.

  6. 상단 배너에서 저장을 선택하여 새 설정을 저장합니다.

선택한 리소스에 대해 생성된 첫 번째 이벤트에서 SentinelHealthSentinelAudit 데이터 테이블이 만들어집니다.

테이블이 데이터를 받고 있는지 확인

Microsoft Sentinel 로그 페이지에서 SentinelHealth 테이블에 대한 쿼리를 실행합니다. 예시:

_SentinelHealth()
 | take 20

다음 단계