Microsoft Entra 활동 로그 통합 옵션은 무엇인가요?

Microsoft Entra ID의 진단 설정을 사용하여 활동 로그를 여러 엔드포인트로 라우팅하여 장기 데이터 보존 및 인사이트를 얻을 수 있습니다. 스토리지용 로그를 보관하고, SIEM(보안 정보 및 이벤트 관리) 도구로 라우팅하고, 로그를 Azure Monitor 로그와 통합할 수 있습니다.

이러한 통합을 통해 연결된 데이터에 대한 풍부한 시각화, 모니터링 및 경고를 사용하도록 설정할 수 있습니다. 이 문서에서는 각 통합 형식 또는 액세스 방법의 권장 용도를 설명합니다. Microsoft Entra 활동 로그를 다양한 엔드포인트로 보내기 위한 비용 고려 사항도 다룹니다.

지원되는 보고서

다음 로그는 여러 엔드포인트 중 하나와 통합될 수 있습니다.

  • 감사 로그 활동 보고서를 통해 테넌트에서 수행된 모든 작업의 기록에 액세스할 수 있습니다.
  • 로그인 활동 보고서를 사용하면 사용자가 언제 애플리케이션에 로그인을 시도하는지 확인하거나 로그인 오류 문제를 해결할 수 있습니다.
  • 프로비저닝 로그를 사용하여 모든 타사 애플리케이션에서 어떤 사용자가 업데이트되고 삭제되었는지 모니터링할 수 있습니다.
  • 위험 사용자 로그는 사용자 위험 수준 및 수정 작업의 변화를 모니터링하는 데 도움이 됩니다.
  • 위험 검색 로그를 사용하면 사용자의 위험 검색을 모니터링하고 조직에서 검색된 위험 작업의 추세를 분석할 수 있습니다.

통합 옵션

저장 또는 분석을 위해 Microsoft Entra 활동 로그를 통합하는 올바른 메서드를 선택하려면 수행하려는 전반적인 작업에 대해 생각해 보세요. 옵션이 세 가지 주요 범주로 그룹화되었습니다.

  • 문제 해결
  • 장기 스토리지
  • 분석 및 모니터링

문제 해결

문제 해결 작업을 수행하지만 30일 이상 로그를 보존할 필요가 없는 경우 Azure Portal 또는 Microsoft Graph를 사용하여 활동 로그에 액세스하는 것이 좋습니다. 시나리오에 대한 로그를 필터링하고 필요에 따라 내보내거나 다운로드할 수 있습니다.

문제 해결 작업을 수행 중이고 30일 이상 로그를 보존해야 하는 경우 장기 저장 옵션을 살펴봅니다.

장기 스토리지

문제 해결 작업을 수행 중이고 30일 이상 로그를 보존해야 하는 경우 로그를 Azure Storage 계정으로 내보낼 수 있습니다. 이 옵션은 해당 데이터를 자주 쿼리할 계획이 없는 경우에 적합합니다.

30일 이상 보존 중인 데이터를 쿼리해야 하는 경우 분석 및 모니터링 옵션을 살펴봅니다.

분석 및 모니터링

시나리오에서 30일 이상 데이터를 보존해야 하고 해당 데이터를 정기적으로 쿼리할 계획인 경우 분석 및 모니터링을 위해 데이터를 SIEM 도구와 통합할 수 있는 몇 가지 옵션이 있습니다.

타사 SIEM 도구가 있는 경우 데이터를 스트리밍할 수 있는 Event Hubs 네임스페이스 및 Event Hubs를 설정하는 것이 좋습니다. 이벤트 허브를 사용하면 지원되는 SIEM 도구 중 하나로 로그를 스트리밍할 수 있습니다.

타사 SIEM 도구를 사용할 계획이 없다면 Microsoft Entra 활동 로그를 Azure Monitor 로그로 보내는 것이 좋습니다. 이 통합을 통해 Log Analytics로 활동 로그를 쿼리할 수 있습니다. Azure Monitor 로그 외에도 Microsoft Sentinel은 거의 실시간 보안 검색 및 위협 헌팅을 제공합니다. 나중에 SIEM 도구와 통합하기로 한 경우 이벤트 허브를 통해 다른 Azure 데이터와 함께 Microsoft Entra 활동 로그를 스트리밍할 수 있습니다.

비용 고려 사항

Log Analytics 작업 영역으로 데이터를 보내거나, 스토리지 계정에 데이터를 보관하거나, 로그를 이벤트 허브로 스트리밍하는 데는 비용이 듭니다. 발생하는 데이터 양과 비용은 테넌트 크기, 사용 중인 정책 수, 심지어 시간에 따라 크게 달라질 수 있습니다. 기존 진단 설정을 변경하면 새 요금이 발생할 수 있습니다.

엔드포인트에 로그를 보내는 데 드는 크기와 비용은 예측하기 어렵기 때문에 예상 비용을 확인하는 가장 정확한 방법은 하루나 이틀 동안 로그를 엔드포인트로 라우팅하는 것입니다. 이 스냅샷을 통해 예상 비용을 정확하게 예측할 수 있습니다. 또한 로그 샘플을 다운로드하고 이에 따라 곱하여 하루 동안의 예상 비용을 구함으로써 예상 비용을 가져올 수도 있습니다.

Microsoft Entra 로그를 Azure Monitor 로그로 보내기 위한 기타 고려 사항은 다음 Azure Monitor 비용 세부 정보 문서에서 다룹니다.

Azure Monitor는 Microsoft Entra ID에서 로그를 수집할 때 전체 이벤트, 필드 또는 필드 일부를 제외하는 옵션을 제공합니다. Azure Monitor의 데이터 수집 변환에서 이 비용 절감 기능에 대해 자세히 알아봅니다.

비용 예상

조직의 비용을 예상하려면 일별 로그 크기를 예상하거나 로그를 엔드포인트와 통합하는 데 드는 일별 비용을 예상할 수 있습니다.

다음 요소는 조직의 비용에 영향을 미칠 수 있습니다.

  • 감사 로그 이벤트는 약 2KB의 데이터 스토리지를 사용합니다.
  • 로그인 로그 이벤트는 평균 11.5KB의 데이터 저장 공간을 사용합니다.
  • 약 100,000명의 사용자로 구성된 테넌트에서는 하루에 약 150만 개의 이벤트가 발생할 수 있습니다.
  • 이벤트는 약 5분 간격으로 일괄 처리되며 해당 시간 범위 내의 모든 이벤트를 포함하는 단일 메시지로 전송됩니다.

일별 로그 크기

일별 로그 크기를 예측하려면 로그 샘플을 수집하고 테넌트 크기와 설정을 반영하도록 샘플을 조정한 다음 해당 샘플을 Azure 가격 계산기에 적용합니다.

이전에 Microsoft Entra 관리 센터에서 로그를 다운로드하지 않은 경우 Microsoft Entra ID에서 로그를 다운로드하는 방법 문서를 검토하세요. 조직의 크기에 따라 다른 샘플 크기를 선택하여 예상을 시작해야 할 수 있습니다. 다음 샘플 크기는 시작하기에 좋은 장소입니다.

  • 1000개 레코드
  • 대규모 테넌트의 경우 로그인 시간 15분
  • 중소 규모 테넌트의 경우 로그인 1시간

또한 데이터 샘플을 캡처할 때 사용자의 지리적 배포와 최대치 시간을 고려해야 합니다. 조직이 한 지역에 기반을 두고 있는 경우 거의 같은 시간에 로그인이 최고조에 달할 가능성이 높습니다. 샘플 크기를 조정하고 이에 따라 샘플을 캡처할 시기를 조정합니다.

캡처된 데이터 샘플을 사용하여 그에 따라 곱하면 하루 동안 파일의 크기가 얼마나 되는지 알아낼 수 있습니다.

일별 비용 예상

조직에서 로그 통합에 드는 비용을 파악하려면 하루나 이틀 동안 통합을 사용하도록 설정하면 됩니다. 예산이 일시적인 증가를 허용하는 경우 이 옵션을 사용합니다.

로그 통합을 사용하도록 설정하려면 Azure Monitor 로그와 활동 로그 통합 문서의 단계를 따릅니다. 가능하다면 시도하려는 로그 및 엔드포인트에 대한 새 리소스 그룹을 만듭니다. 전용 리소스 그룹이 있으면 비용 분석을 쉽게 보고 작업이 끝나면 삭제할 수 있습니다.

통합이 사용하도록 설정된 상태에서 Azure Portal>Cost Management>비용 분석으로 이동합니다. 비용을 분석하는 방법에는 여러 가지가 있습니다. 이 Cost Management 빠른 시작은 시작하는 데 도움이 될 것입니다. 다음 스크린샷의 그림은 예를 들어 용도로 사용되며 실제 금액을 반영하기 위한 것이 아닙니다.

Screenshot of a cost analysis breakdown as a pie chart.

새 리소스 그룹을 범위로 사용하고 있는지 확인합니다. 일별 비용과 예측을 살펴보고 로그 통합 비용이 얼마나 드는지 알아봅니다.

예상 비용 계산

Azure 가격 계산기 방문 페이지에서 다양한 제품의 비용을 예상할 수 있습니다.

엔드포인트로 전송될 예상 GB/일을 얻은 후 Azure 가격 계산기에 해당 값을 입력합니다. 다음 스크린샷의 그림은 예를 들어 사용되며 실제 가격을 반영하기 위한 것이 아닙니다.

Screenshot of the Azure pricing calculator, with 8 GB/Day used as an example.