활동 로그를 이벤트 허브로 스트리밍하는 방법

Microsoft Entra 테넌트는 매초 대량의 데이터를 생성합니다. 로그인 활동 및 테넌트에서 변경된 로그는 분석하기 어려울 수 있는 대량의 데이터를 추가합니다. SIEM(보안 정보 및 이벤트 관리) 도구와 통합하면 환경에 대한 인사이트를 얻는 데 도움이 될 수 있습니다.

이 문서에서는 여러 SIEM 도구 중 하나와 통합하기 위해 로그를 이벤트 허브로 스트리밍하는 방법을 보여 줍니다.

필수 조건

• 로그를 SIEM 도구로 스트리밍하려면 먼저 Azure 이벤트 허브를 만들어야 합니다. 이벤트 허브를 만드는 방법을 알아봅니다.

• Microsoft Entra 활동 로그가 포함된 이벤트 허브가 있으면 Microsoft Entra 진단 설정을 사용하여 SIEM 도구 통합을 설정할 수 있습니다.

이벤트 허브에 로그 스트림

팁

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

1. 최소한 보안 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID>모니터링 및 상태>진단 설정으로 찾습니다. 또한 감사 로그 또는 로그인 페이지에서 설정 내보내기를 선택할 수도 있습니다.

3. + 진단 설정 추가를 선택하여 새 통합을 만들거나 기존 통합에 대한 설정 편집을 선택합니다.

4. 진단 설정 이름를 입력합니다. 기존 통합을 편집하는 경우 이름을 변경할 수 없습니다.

5. 스트리밍할 로그 범주를 선택합니다.

6. 이벤트 허브로의 스트림 확인란을 선택합니다.

7. 로그를 라우팅하려는 Azure 구독, Event Hubs 네임스페이스 및 선택적 이벤트 허브를 선택합니다.

구독 및 Event Hubs 네임스페이스는 로그를 스트리밍하는 Microsoft Entra 테넌트와 연결되어야 합니다.

Azure 이벤트 허브가 준비되면 활동 로그와 통합하려는 SIEM 도구로 이동합니다. SIEM 도구에서 프로세스를 완료합니다.

현재 Splunk, SumoLogic 및 ArcSight를 지원합니다. 시작할 탭을 선택합니다. 도구 설명서를 참조하세요.

Splunk

이 기능을 사용하려면 Microsoft Cloud Services를 위한 Splunk 추가 기능이 필요합니다.

Microsoft Entra 로그를 Splunk와 통합

1. Splunk 인스턴스를 열고 데이터 요약을 선택합니다.

   

2. Sourcetypes 탭을 선택한 다음 mscs:azure:eventhub를 선택합니다.

   

검색에 body.records.category=AuditLogs를 추가합니다. Microsoft Entra 활동 로그가 다음 그림에 표시됩니다.

Splunk 인스턴스에 추가 기능을 설치할 수 없는 경우(예: 프록시를 사용하거나 Splunk Cloud에서 실행하는 경우) 이러한 이벤트를 Splunk HTTP 이벤트 수집기로 전달할 수 있습니다. 이렇게 하려면 이벤트 허브에서 새 메시지에 의해 트리거되는 이 Azure 함수를 사용합니다.

SumoLogic

이 기능을 사용하려면 SumoLogic Single Sign-On이 설정된 구독이 필요합니다.

Microsoft Entra 로그를 SumoLogic과 통합

1. Microsoft Entra ID에 대한 로그를 수집하도록 SumoLogic 인스턴스를 구성합니다.

2. Microsoft Entra SumoLogic 앱을 설치하여 환경의 실시간 분석을 제공하는 미리 구성된 대시보드를 사용합니다.

   

ArcSight

이 기능을 사용하려면 ArcSight Syslog NG Daemon SmartConnector(SmartConnector) 또는 ArcSight Load Balancer의 구성된 인스턴스가 필요합니다. 이벤트가 ArcSight Load Balancer로 전송되면 Load Balancer에 의해 SmartConnector로 전송됩니다.

Azure Monitor Event Hubs용 ArcSight SmartConnector의 구성 가이드를 다운로드하고 엽니다. 이 가이드에는 Azure Monitor용 ArcSight SmartConnector를 설치하고 구성하는 데 필요한 단계가 포함되어 있습니다.

Microsoft Entra 로그를 ArcSight와 통합

1. ArcSight 구성 가이드의 필수 구성 요소 섹션에 있는 단계를 완료합니다. 이 섹션에는 다음 단계가 포함됩니다.

   • 커넥터를 배포하고 구성하는 소유자 역할을 가진 사용자가 있도록 Azure에서 사용자 권한을 설정합니다.
   • Azure에서 액세스 가능하도록 Syslog NG Daemon SmartConnector를 사용하여 서버에서 포트를 엽니다.
   • 배포에서 PowerShell 스크립트를 사용하므로, 커넥터를 배포하려는 머신에서 스크립트를 실행하도록 PowerShell을 사용 설정해야 합니다.

2. ArcSight 구성 가이드의 커넥터 배포 섹션에 있는 단계에 따라 커넥터를 배포합니다. 이 섹션에서는 커넥터를 다운로드하고 압축을 풀며, 압축을 푼 폴더에서 애플리케이션 속성을 구성하고 배포 스크립트를 실행하는 방법을 안내합니다.

3. Azure에서 배포 확인의 단계를 사용하여 커넥터가 제대로 설정되어 기능하는지 확인합니다. 다음 필수 조건을 확인합니다.

   • 필수 Azure 함수는 Azure 구독에서 만들어집니다.
   • Microsoft Entra 로그가 올바른 대상으로 스트리밍됩니다.
   • 배포의 애플리케이션 설정은 Azure 함수 앱의 애플리케이션 설정에서 그대로 유지됩니다.
   • ArcSight 커넥터에 대한 Microsoft Entra 애플리케이션과 CEF 형식으로 매핑된 파일을 포함한 스토리지 계정과 함께, ArcSight에 대한 새 리소스 그룹이 Azure에 생성됩니다.

4. ArcSight 구성 가이드의 배포 후 구성에 있는 배포 후 단계를 완료합니다. 이 섹션에서는 함수 앱이 시간 제한 후 유휴 상태가 되는 것을 방지하기 위해 App Service 요금제를 사용 중인 경우 다른 구성을 수행하고, 이벤트 허브에서 리소스 로그의 스트리밍을 구성하고, SysLog NG Demon SmartConnector 키 저장소 인증서를 업데이트하여 새로 만들어진 스토리지 계정에 연결하는 방법에 대해 설명합니다.

5. 또한 구성 가이드에서는 Azure에서 커넥터 속성을 사용자 지정하고 커넥터를 업그레이드 및 제거하는 방법에 대해서도 설명하고 있습니다. 아울러 이벤트 부하가 단일 Syslog NG Daemon SmartConnector로 처리할 수 있는 것보다 큰 경우 Azure Consumption 계획으로 업그레이드 및 ArcSight Load Balancer 구성을 포함해 성능 개선 사항에 대한 섹션도 있습니다.

활동 로그 통합 옵션 및 고려 사항

현재 SIEM이 Azure Monitor 진단에서 아직 지원되지 않는 경우 Event Hubs API를 사용하여 사용자 지정 도구를 설정할 수 있습니다. 자세한 내용은 이벤트 허브에서 메시지 수신 시작을 참조하세요.

IBM QRadar는 Microsoft Entra 활동 로그와 통합하는 또 다른 방법입니다. DSM 및 Azure Event Hubs 프로토콜은 IBM 지원에서 다운로드할 수 있습니다. Azure와 통합하는 방법에 대한 자세한 내용은 IBM QRadar 보안 인텔리전스 플랫폼 7.3.0 사이트를 참조하세요.

일부 로그인 범주에는 테넌트 구성에 따라 많은 양의 로그 데이터가 포함되어 있습니다. 일반적으로 비대화형 사용자 로그인 및 서비스 주체 로그인은 대화형 사용자 로그인보다 5~10배 더 클 수 있습니다.

다음 단계

• Azure Monitor 로그를 사용하여 Microsoft Entra 활동 로그 분석
• Microsoft Graph를 사용하여 Microsoft Entra 활동 로그에 액세스