Azure AD 로그를 Azure Monitor 로그와 통합

  • 아티클
  • 읽는 데 5분 걸림

Azure AD(Azure Active Directory)의 진단 설정을 사용하여 로그인 활동 및 테넌트 내 변경 내용의 감사 내역을 다른 Azure 데이터와 함께 분석할 수 있도록 로그를 Azure Monitor와 통합할 수 있습니다.

이 문서에서는 Azure Azure AD(Azure Active Directory) 로그를 Azure Monitor와 통합하는 단계를 제공합니다.

Azure AD 활동 로그와 Azure Monitor의 통합을 사용하여 다음 작업을 수행합니다.

  • Microsoft Defender for Cloud에서 게시한 보안 로그와 Azure AD 로그인 로그를 비교합니다.

  • Azure Application Insights의 애플리케이션 성능 데이터를 서로 연결하여 애플리케이션의 로그인 페이지에서 성능 병목 현상을 해결합니다.

  • ID 보호 위험한 사용자 및 위험 검색 로그를 분석하여 사용자 환경에서 위협을 검색합니다.

  • 인증을 위해 ADAL(Active Directory 인증 라이브러리)을 사용하여 애플리케이션에서 로그인을 식별합니다. ADAL 지원 종료 계획에 대해 알아봅니다.

참고

Azure Active Directory 로그를 Azure Monitor와 통합하면 Microsoft Sentinel 내에서 Azure Active Directory 데이터 커넥터가 자동으로 활성화됩니다.

이 Microsoft Ignite 2018 세션 비디오는 실제 시나리오에서 Azure AD 로그와 Azure Monitor를 통합할 때의 이점을 보여줍니다.

어떻게 액세스하나요?

이 기능을 사용하려면 다음이 필요합니다.

  • Azure 구독 Azure 구독이 없으면 평가판에 등록할 수 있습니다.
  • Azure AD Premium P1 또는 P2 테넌트입니다. Azure AD 개요 페이지에서 테넌트 라이선스 유형을 찾을 수 있습니다.
  • Azure AD 테넌트용 전역 관리자 또는 보안 관리자 액세스
  • Azure 구독의 Log Analytics 작업 영역 Log Analytics 작업 영역을 만드는 방법을 알아봅니다.

Azure Monitor로 로그 보내기

아래 단계에 따라 Azure Active Directory에서 Azure Monitor로 로그를 보냅니다. Azure AD 외부에서 Azure 리소스에 대한 Log Analytics 작업 영역을 설정하는 방법을 찾고 있나요? Azure Monitor에 대한 리소스 로그 수집 및 보기 문서를 확인하세요.

  1. Azure Portal 보안 관리자 또는 전역 관리자로 로그인합니다.

  2. Azure Active Directory>진단 설정으로 이동합니다. 감사 로그 또는 로그인 페이지에서 설정 내보내기를 선택할 수도 있습니다.

  3. + 진단 설정 추가를 선택하여 새 통합을 만들거나 기존 통합에 대한 설정 편집을 선택합니다.

  4. 진단 설정 이름를 입력합니다. 기존 통합을 편집하는 경우 이름을 변경할 수 없습니다.

  5. 다음 로그 중 전부 또는 전부를 Log Analytics 작업 영역으로 보낼 수 있습니다. 일부 로그는 공개 미리 보기 상태일 수 있지만 포털에 계속 표시됩니다.

    • AuditLogs
    • SignInLogs
    • NonInteractiveUserSignInLogs
    • ServicePrincipalSignInLogs
    • ManagedIdentitySignInLogs
    • ProvisioningLogs
    • ADFSSignInLogsADFS(Active Directory Federation Services)
    • RiskyUsers
    • UserRiskEvents

    다음 로그는 미리 보기 상태이지만 여전히 Azure AD 표시됩니다. 현재 이러한 옵션을 선택하면 조직이 미리 보기에 포함되지 않는 한 작업 영역에 새 로그가 추가되지 않습니다.

    • AADServicePrincipalRiskEvents
    • EnrichedOffice365AuditLogs
    • MicrosoftGraphActivityLogs
    • NetworkAccessTrafficLogs
    • RiskyServicePrincipals

  6. 로그를 보낼 대상 세부 정보를 선택합니다. 다음 대상 중 어느 또는 전부를 선택합니다. 선택 항목에 따라 추가 필드가 표시됩니다.

    • Log Analytics 작업 영역으로 보내기: 표시되는 메뉴에서 적절한 세부 정보를 선택합니다.
    • 스토리지 계정에 보관: 로그 범주 옆에 표시되는 보존 일 수 상자에 데이터를 보존하려는 일 수를 제공합니다. 표시되는 메뉴에서 적절한 세부 정보를 선택합니다.
    • 이벤트 허브로 스트리밍: 표시되는 메뉴에서 적절한 세부 정보를 선택합니다.
    • 파트너 솔루션으로 보내기: 표시되는 메뉴에서 적절한 세부 정보를 선택합니다.

  7. 저장을 선택하여 설정을 저장합니다.

    일부 대상 세부 정보가 표시된 진단 설정의 스크린샷

15분 후에 선택한 대상에 로그가 표시되지 않으면 로그를 로그를 새로 고치려면 Azure로 로그를 다시 로그합니다.

다음 단계