Log Analytics 에이전트를 사용하여 워크로드에서 데이터 수집

Log Analytics 에이전트 및 작업 영역 구성

Log Analytics 에이전트가 켜져 있으면 클라우드용 Defender는 지원되는 모든 Azure VM과 만들어진 모든 새 VM에 에이전트를 배포합니다. 지원되는 플랫폼 목록의 경우 Microsoft Defender for Cloud에서 지원되는 플랫폼을 참조하세요.

Log Analytics 에이전트와의 통합을 구성하려면 다음을 수행합니다.

  1. Defender for Cloud 메뉴에서 환경 설정을 엽니다.

  2. 관련 구독을 선택합니다.

  3. Defender 계획의 모니터링 범위 열에서 설정을 선택합니다.

  4. 구성 옵션 창에서 사용할 작업 영역을 정의합니다.

    Screenshot of configuration options for Log Analytics agents for VMs.

    • 클라우드용 Defender에서 만든 기본 작업 영역에 Azure VM 연결 - Defender for Cloud에서 새 리소스 그룹 및 기본 작업 영역을 동일한 지리적 위치에 만들고 에이전트를 해당 작업 영역에 연결합니다. 구독에 여러 지리적 위치의 VM이 포함된 경우 Defender for Cloud에서 데이터 개인 정보 요구 사항을 준수하기 위해 여러 작업 영역을 만듭니다.

      작업 영역 및 리소스 그룹에 대한 명명 규칙은 다음과 같습니다.

      • 작업 영역: DefaultWorkspace-[subscription-ID]-[geo]
      • 리소스 그룹: DefaultResourceGroup-[geo]

      Defender for Cloud 솔루션은 구독에 대해 설정된 가격 책정 계층에 따라 작업 영역에서 자동으로 사용하도록 설정됩니다.

    • 다른 작업 영역에 Azure VM 연결 - 드롭다운 목록에서 수집된 데이터를 저장할 작업 영역을 선택합니다. 드롭다운 목록에는 모든 구독에 대한 모든 작업 영역이 포함됩니다. 이 옵션을 사용하여 서로 다른 구독에서 실행되는 가상 머신에서 데이터를 수집하고 선택한 작업 영역에 모두 저장할 수 있습니다.

      이미 기존 Log Analytics 작업 영역이 있는 경우 동일한 작업 영역을 사용하는 것이 좋습니다(작업 영역에 대한 읽기 및 쓰기 권한 필요). 이 옵션은 조직에서 중앙 집중식 작업 영역을 사용하고 있고 보안 데이터 수집에 사용하려는 경우에 유용합니다. Azure Monitor에서 로그 데이터 및 작업 영역에 대한 액세스 관리에서 자세히 알아보세요.

      선택한 작업 영역에서 이미 "Security" 또는 "SecurityCenterFree" 솔루션을 사용하도록 설정된 경우 가격 책정이 자동으로 설정됩니다. 그렇지 않은 경우 작업 영역에 Defender for Cloud 솔루션을 설치합니다.

      1. Defender for Cloud 메뉴에서 환경 설정을 엽니다.
      2. 에이전트를 연결할 작업 영역을 선택합니다.
      3. 보안 상태 관리를 켜기로 설정하거나 모두 사용을 선택하여 모든 Microsoft Defender 계획을 켭니다.
  5. Windows 보안 이벤트 구성에서 저장할 원시 이벤트 데이터의 양을 선택합니다.

    • 없음 – 보안 이벤트 스토리지를 사용하지 않도록 설정합니다. (기본값)
    • 최소 – 이벤트 볼륨을 최소화하려는 경우에 대한 작은 이벤트 집합입니다.
    • 일반 – 대부분의 고객을 만족시키고 전체 감사 내역을 제공하는 이벤트 세트입니다.
    • 모든 이벤트 – 모든 이벤트를 저장하려는 고객용입니다.

    이러한 옵션을 작업 영역 수준에서 설정하려면 작업 영역 수준에서 보안 이벤트 옵션 설정을 참조하세요.

    이러한 옵션에 대한 자세한 내용은 Log Analytics 에이전트에 대한 Windows 보안 이벤트 옵션을 참조하세요.

  6. 구성 창에서 적용을 선택합니다.

Log Analytics 에이전트에 대한 Windows 보안 이벤트 옵션

클라우드용 Microsoft Defender에서 데이터 수집 계층을 선택하면 선택한 계층의 보안 이벤트가 Log Analytics 작업 영역에 저장되므로 작업 영역의 이벤트를 조사, 검색 및 감사할 수 있습니다. 또한 Log Analytics 에이전트는 클라우드용 Defender의 위협 방지에 필요한 보안 이벤트를 수집하고 분석합니다.

요구 사항

Windows 보안 이벤트 데이터를 저장하려면 Defender for Cloud의 향상된 보안 보호가 필요합니다. 향상된 보호 계획에 대해 자세히 알아보세요.

Log Analytics에 데이터를 저장하는 데 요금이 부과될 수 있습니다. 자세한 내용은 가격 책정 페이지를 참조하십시오.

Microsoft Sentinel 사용자에 대한 정보

단일 작업 영역의 컨텍스트 내의 보안 이벤트 수집은 클라우드용 Microsoft Defender 또는 Microsoft Sentinel에서 구성할 수 있지만 둘 모두에서 구성할 수는 없습니다. 클라우드용 Microsoft Defender에서 이미 경고를 받고 있고 보안 이벤트를 수집하는 작업 영역에 Microsoft Sentinel을 추가하려는 경우 다음 중 하나를 수행할 수 있습니다.

  • 보안 이벤트 컬렉션을 Microsoft Defender for Cloud에 있는 그대로 둡니다. Microsoft Sentinel 및 클라우드용 Defender 모두에서 이러한 이벤트를 쿼리하고 분석할 수 있습니다. 커넥터의 연결 상태를 모니터링하거나 Microsoft Sentinel에서 해당 구성을 변경하려면 두 번째 옵션을 고려합니다.
  • 클라우드용 Microsoft Defender에서 보안 이벤트 컬렉션을 사용하지 않도록 설정한 다음, Microsoft Sentinel에서 보안 이벤트 커넥터를 추가합니다. Microsoft Sentinel 및 클라우드용 Defender 모두에서 이벤트를 쿼리하고 분석할 수 있지만 Microsoft Sentinel에서만 커넥터의 연결 상태를 모니터링하거나 구성을 변경할 수도 있습니다. 클라우드용 Defender에서 보안 이벤트 수집을 사용하지 않도록 설정하려면 Log Analytics 에이전트 구성에서 Windows 보안 이벤트없음으로 설정합니다.

"일반" 및 "최소"에 대해 저장되는 이벤트 유형은 무엇인가요?

일반최소 이벤트 집합은 각 이벤트의 필터링되지 않은 빈도 및 사용량에 대한 고객 및 업계 표준에 따라 일반적인 시나리오를 처리하도록 설계되었습니다.

  • 최소 - 이 집합은 성공적인 위반을 나타낼 수 있는 이벤트와 볼륨이 낮은 중요한 이벤트만을 다루기 위한 것입니다. 이 세트의 데이터 볼륨 대부분은 성공적인 사용자 로그온(이벤트 ID 4624), 실패한 사용자 로그온 이벤트(이벤트 ID 4625) 및 프로세스 생성 이벤트(이벤트 ID 4688)입니다. 로그아웃 이벤트는 감사에만 중요하며 볼륨이 상대적으로 높으므로 이 이벤트 집합에 포함되지 않습니다.
  • 일반 - 이 집합은 볼륨이 낮은 이벤트를 포함하여 전체 사용자 감사 내역을 제공하기 위한 것입니다. 예를 들어 이 집합에는 사용자 로그온 이벤트(이벤트 ID 4624) 및 사용자 로그오프 이벤트(이벤트 ID 4634)가 모두 포함되어 있습니다. Microsoft는 보안 그룹 변경, 주요 도메인 컨트롤러 Kerberos 작업, 그리고 업계의 조직에서 권장하는 기타 이벤트와 같은 감사 작업을 이 집합에 포함했습니다.

다음에는 각 집합별 전체 보안 및 App Locker 이벤트 ID가 나와 있습니다.

데이터 계층 수집된 이벤트 표시기
최솟값 1102,4624,4625,4657,4663,4688,4700,4702,4719,4720,4722,4723,4724,4727,4728,4732,4735,4737,4739,4740,4754,4755,
4756,4767,4799,4825,4946,4948,4956,5024,5033,8001,8002,8003,8004,8005,8006,8007,8222
공통 1,299,300,324,340,403,404,410,411,412,413,431,500,501,1100,1102,1107,1108,4608,4610,4611,4614,4622,
4624,4625,4634,4647,4648,4649,4657,4661,4662,4663,4665,4666,4667,4688,4670,4672,4673,4674,4675,4689,4697,
4700,4702,4704,4705,4716,4717,4718,4719,4720,4722,4723,4724,4725,4726,4727,4728,4729,4733,4732,4735,4737,
4738,4739,4740,4742,4744,4745,4746,4750,4751,4752,4754,4755,4756,4757,4760,4761,4762,4764,4767,4768,4771,
4774,4778,4779,4781,4793,4797,4798,4799,4800,4801,4802,4803,4825,4826,4870,4886,4887,4888,4893,4898,4902,
4904,4905,4907,4931,4932,4933,4946,4948,4956,4985,5024,5033,5059,5136,5137,5140,5145,5632,6144,6145,6272,
6273,6278,6416,6423,6424,8001,8002,8003,8004,8005,8006,8007,8222,26401,30004

참고 항목

  • GPO(그룹 정책 개체)를 사용하는 경우 감사 정책인 프로세스 만들기 이벤트 4688과 CommandLine 필드 내부 이벤트 4688을 사용하는 것이 좋습니다. 프로세스 만들기 이벤트 4688에 대한 자세한 내용은 클라우드용 Defender의 일반적인 질문을 참조하세요. 감사 정책에 대한 자세한 내용은 감사 정책 권장 사항을 참조하세요.
  • 적응형 애플리케이션 제어에 데이터 수집을 사용하기 위해 클라우드용 Defender는 모든 애플리케이션을 허용하도록 감사 모드에서 로컬 AppLocker 정책을 구성합니다. 이렇게 하면 AppLocker가 이벤트를 생성하게 되고, 이 이벤트를 Defender for Cloud에서 수집하여 활용합니다. 이 정책은 이미 AppLocker 정책이 구성된 컴퓨터에서는 구성할 수 없습니다.
  • Windows 필터링 플랫폼 이벤트 ID 5156을 수집하려면 감사 필터링 플랫폼 연결을 사용하도록 설정해야 합니다(Auditpol /set /subcategory:"Filtering Platform Connection" /Success:Enable).

작업 영역 수준에서 보안 이벤트 옵션 설정

작업 영역 수준에서 저장할 보안 이벤트 데이터의 수준을 정의할 수 있습니다.

  1. Azure Portal의 Defender for Cloud 메뉴에서 환경 설정을 선택합니다.

  2. 관련 작업 영역을 선택합니다. 작업 영역에 대한 유일한 데이터 수집 이벤트는 이 페이지에서 설명하는 Windows 보안 이벤트입니다.

    Screenshot of setting the security event data to store in a workspace.

  3. 저장할 원시 이벤트 데이터의 양을 선택하고, 저장을 선택합니다.

수동 에이전트 프로비전

Log Analytics 에이전트를 수동으로 설치하려면 다음을 수행합니다.

  1. Azure Portal에서 클라우드용 Defender의 환경 설정 페이지로 이동합니다.

  2. 관련 구독을 선택한 다음 설정 및 모니터링을 선택합니다.

  3. Log Analytics 에이전트/Azure Monitor 에이전트를 끄기합니다.

    Screenshot of turning off the Log Analytics setting.

  4. 필요에 따라 작업 영역을 생성합니다.

  5. Log Analytics 에이전트를 설치하는 작업 영역에서 클라우드용 Microsoft Defender를 사용하도록 설정합니다.

    1. Defender for Cloud 메뉴에서 환경 설정을 엽니다.

    2. 에이전트를 설치할 작업 영역을 설정합니다. 작업 영역이 Defender for Cloud에서 사용하는 것과 동일한 구독에 있고 작업 영역에 대한 읽기/쓰기 권한이 있는지 확인합니다.

    3. "서버" 또는 "컴퓨터의 SQL 서버"(Foundational CSPM이 무료 기본값임) 중 하나 또는 둘 다를 선택한 다음 저장을 선택합니다.

      Screenshot that shows where to set the workspace on which you're installing the agent.

      참고 항목

      작업 영역에서 보안 또는 SecurityCenterFree 솔루션이 이미 설정된 경우 가격 책정이 자동으로 설정됩니다.

  6. Resource Manager 템플릿을 사용하여 에이전트를 새 VM에 배포하려면 Log Analytics 에이전트를 설치합니다.

  7. 에이전트를 기존 VM에 배포하려면 Azure Virtual Machines에 대한 데이터 수집의 지침을 따릅니다(이벤트 및 성능 데이터 수집 섹션은 선택 사항임).

  8. PowerShell을 사용하여 에이전트를 배포하려면 가상 머신 설명서의 지침을 사용하세요.

온보딩에 대한 자세한 내용은 PowerShell을 사용하여 Microsoft Defender for Cloud 온보딩 자동화를 참조하세요.

모니터링 구성 요소를 끄려면:

  • Defender 플랜으로 이동하여 확장을 사용하는 플랜을 끄고 저장을 선택합니다.
  • 모니터링 설정이 있는 Defender 요금제의 경우 Defender 요금제의 설정으로 이동하여 확장을 끄고 저장을 선택합니다.

참고 항목