보조 로그 수집에 사용할 로그 원본

• 적용 대상:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

이 문서에서는 Log Analytics 테이블에 저장될 때 보조 로그(또는 기본 로그)로의 구성을 고려할 로그 원본을 강조 표시합니다. 지정된 테이블을 구성할 로그 유형을 선택하기 전에 조사를 수행하여 가장 적합한 항목을 확인합니다. 데이터 범주 및 로그 데이터 계획에 대한 자세한 내용은 Microsoft Sentinel의 로그 보존 계획을 참조하세요.

Important

보조 로그 로그 형식은 현재 미리 보기 상태입니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

이제 Microsoft Sentinel은 Microsoft Defender 포털의 Microsoft 통합 보안 운영 플랫폼 내에서 일반 공급됩니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.

클라우드 공급자를 위한 스토리지 액세스 로그

스토리지 액세스 로그는 권한이 없는 당사자에게 중요한 데이터를 노출하는 것과 관련된 조사를 위한 보조 정보 원본을 제공할 수 있습니다. 이러한 로그는 데이터에 부여된 시스템 또는 사용자 권한과 관련된 문제를 식별하는 데 도움이 될 수 있습니다.

많은 클라우드 공급자를 사용하면 모든 작업을 기록할 수 있습니다. 이러한 로그를 사용하여 비정상적이거나 승인되지 않은 작업을 헌팅하거나 인시던트에 대응하여 조사를 진행할 수 있습니다.

NetFlow 로그

NetFlow 로그는 인프라 내에서, 그리고 인터넷을 통해 인프라와 기타 서비스 간의 네트워크 통신을 이해하는 데 사용됩니다. 대부분의 경우 이 데이터는 원본 및 대상 IP 및 포트를 포함하기 때문에 명령 및 제어 작업을 조사하는 데 사용합니다. NetFlow에서 제공하는 메타데이터를 사용하여 네트워크의 악의적 사용자에 대한 정보를 통합할 수 있습니다.

클라우드 공급자를 위한 VPC 흐름 로그

VPC(가상 프라이빗 클라우드) 흐름 로그는 조사 및 위협 추적에 중요해졌습니다. 조직에서 클라우드 환경을 운영할 때 위협 사냥꾼은 클라우드 간 또는 클라우드와 엔드포인트 간의 네트워크 흐름을 검사할 수 있어야 합니다.

TLS/SSL 인증서 모니터 로그

TLS/SSL 인증서 모니터 로그는 최근 세간의 이목을 끄는(하이 프로필) 사이버 공격과 관련이 있습니다. TLS/SSL 인증서 모니터링은 일반적인 로그 원본은 아니지만 로그는 인증서가 관련된 여러 형식의 공격에 대한 귀중한 데이터를 제공합니다. 이러한 로그는 인증서의 원본을 이해하는 데 도움이 됩니다.

• 자체 서명 여부
• 생성 방법
• 인증서가 신뢰할 수 있는 원본에서 발급되었는지 여부

프록시 로그

많은 네트워크는 내부 사용자의 트래픽에 대한 가시성을 제공하기 위해 투명한 프록시를 유지 관리합니다. 프록시 서버 로그에는 로컬 네트워크의 사용자 및 애플리케이션이 만든 요청이 포함됩니다. 이러한 로그에는 애플리케이션 업데이트와 같이 인터넷을 통해 이루어진 애플리케이션 또는 서비스 요청도 포함됩니다. 기록되는 내용은 어플라이언스 또는 솔루션에 따라 다릅니다. 그러나 로그는 대부분 다음을 제공합니다.

• 날짜
• 시간
• 크기
• 요청을 수행한 내부 호스트
• 호스트가 요청한 내용

조사의 일환으로 네트워크를 자세히 살펴보면 프록시 로그 데이터 겹침이 중요한 리소스가 될 수 있습니다.

방화벽 로그

방화벽 이벤트 로그는 위협 헌팅 및 조사를 위한 가장 기본적인 네트워크 로그 원본인 경우가 많습니다. 방화벽 이벤트 로그는 비정상적으로 큰 파일 전송, 볼륨, 호스트의 통신 빈도, 연결 시도 검사 및 포트 검사를 표시할 수 있습니다. 방화벽 로그는 임시 포트 스태킹, 서로 다른 통신 패턴 그룹화 및 클러스터링과 같은 다양한 비정형 헌팅 기술에 대한 데이터 원본으로도 유용합니다.

IoT 로그

새롭게 증가하는 로그 데이터 원본은 IoT(사물 인터넷) 연결 디바이스입니다. IoT 디바이스는 자체 작업 및/또는 디바이스에서 캡처한 센서 데이터를 기록할 수 있습니다. 보안 조사 및 위협 헌팅을 위한 IoT 가시성은 주요 과제입니다. 고급 IoT 배포는 Azure와 같은 중앙 클라우드 서비스에 로그 데이터를 저장합니다.

다음 단계

• Log Analytics 작업 영역의 데이터 사용량을 기준으로 테이블 계획 선택
• Log Analytics 작업 영역에서 보조 계획을 사용하여 테이블 설정(미리 보기)
• Log Analytics 작업 영역에서 데이터 보존 관리
• 대규모 데이터 세트에서 이벤트를 검색하여 조사 시작(미리 보기)