Azure Policy를 사용하여 연속 내보내기 설정
클라우드용 Microsoft Defender 보안 경고 및 권장 사항을 연속으로 내보내면 Log Analytics 또는 Azure Event Hubs에서 데이터를 분석하는 데 도움이 될 수 있습니다. 제공된 Azure Policy 템플릿을 사용하여 대규모로 클라우드용 Defender에서 연속 내보내기를 설정할 수 있습니다.
팁
클라우드용 Defender는 CSV(쉼표로 구분된 값) 파일로 일회성 수동 내보내기를 수행하는 옵션도 제공합니다. CSV 파일 다운로드 방법을 알아봅니다.
필수 조건
Microsoft Azure 구독이 필요합니다. Azure 구독이 없는 경우 무료 구독에 등록하면 됩니다.
Azure 구독에서 클라우드용 Microsoft Defender를 사용하도록 설정해야 합니다.
필요한 역할 및 권한:
리소스 그룹의 보안 관리자 또는 소유자
대상 리소스에 대한 쓰기 권한
Azure Policy DeployIfNotExist 정책을 사용하는 경우 정책을 할당할 수 있는 권한이 있어야 합니다.
데이터를 Event Hubs로 내보내려면 Event Hubs 정책에 대한 쓰기 권한이 있어야 합니다.
Log Analytics 작업 영역으로 내보내려면 다음을 수행합니다.
- SecurityCenterFree 솔루션이 있는 경우 작업 영역 솔루션에 대해 최소한의 읽기 권한이 있어야 합니다.
Microsoft.OperationsManagement/solutions/read. - SecurityCenterFree 솔루션이 없는 경우 작업 영역 솔루션:
Microsoft.OperationsManagement/solutions/action에 대한 쓰기 권한이 있어야 합니다.
Azure Monitor 및 Log Analytics 작업 영역 솔루션에 대해 자세히 알아보세요.
- SecurityCenterFree 솔루션이 있는 경우 작업 영역 솔루션에 대해 최소한의 읽기 권한이 있어야 합니다.
Azure Policy를 사용하여 대규모로 연속 내보내기 설정
조직의 모니터링 및 인시던트 대응 프로세스를 자동화하면 보안 인시던트를 조사하고 완화하는 데 걸리는 시간을 줄이는 데 도움이 될 수 있습니다.
조직 전체에 연속 내보내기 구성을 배포하려면 제공된 Azure Policy DeployIfNotExist 정책을 사용하여 연속 내보내기 절차를 만들고 구성합니다.
이러한 정책을 구현하려면:
적용할 정책을 선택합니다.
목표 정책 정책 ID Event Hubs로 연속 내보내기 클라우드용 Microsoft Defender 경고 및 권장 사항에 대한 Event Hub로 내보내기 배포 cdfcce10-4578-4ecd-9703-530938e4abcb Log Analytics 작업 영역으로 연속 내보내기 Microsoft Defender for Cloud 경고 및 권장 사항에 대한 Log Analytics 작업 영역으로 내보내기 배포 ffb6f416-7bd2-4488-8828-56585fef2be9 할당을 선택합니다.
각 탭을 선택하고 요구 사항에 맞게 매개 변수를 설정합니다.
기본 탭에서 정책 범위를 설정합니다. 중앙 집중식 관리를 사용하려면 연속 내보내기 구성을 사용하는 구독이 포함된 관리 그룹에 정책을 할당합니다.
매개 변수 탭에서 리소스 그룹 이름, 위치 및 이벤트 허브 세부 정보를 설정합니다.
선택적으로 이 할당을 기존 구독에 적용하려면 수정 탭을 선택한 다음 수정 작업을 만드는 옵션을 선택합니다.
요약 페이지를 검토한 후 만들기를 선택합니다.