이 섹션에서는 Microsoft Sentinel 데이터 커넥터를 사용하여 데이터를 수집하는 모범 사례를 검토합니다. 자세한 내용은 데이터 원본 연결, Microsoft Sentinel 데이터 커넥터 참조 및 Microsoft Sentinel 솔루션 카탈로그를 참조하세요.
데이터 커넥터 우선 순위 지정
Microsoft Sentinel 배포 프로세스의 일부로 데이터 커넥터의 우선 순위를 지정하는 방법을 알아봅니다.
수집하기 전에 로그 필터링
데이터가 Microsoft Sentinel 수집되기 전에 수집된 로그 또는 로그 콘텐츠를 필터링할 수 있습니다. 예를 들어 보안 작업과 관련이 없거나 중요하지 않은 로그를 필터링하거나 로그 메시지에서 원치 않는 세부 정보를 제거하려고 할 수 있습니다. 관련 없는 세부 정보가 많은 Syslog, CEF 또는 Windows 기반 로그로 작업할 때 비용을 절감하려고 할 때 메시지 콘텐츠를 필터링하는 것도 유용할 수 있습니다.
다음 방법 중 하나를 사용하여 로그를 필터링합니다.
Azure Monitor 에이전트입니다. Windows 보안 이벤트를 수집하기 위해 Windows 및 Linux 모두에서 지원됩니다. 지정된 이벤트만 수집하도록 에이전트를 구성하여 수집된 로그를 필터링합니다.
Logstash. 로그 메시지를 변경하는 등 메시지 콘텐츠 필터링을 지원합니다. 자세한 내용은 Logstash로 연결을 참조하세요.
중요
Logstash를 사용하여 메시지 콘텐츠를 필터링하면 로그가 사용자 지정 로그로 수집되어 무료 계층 로그가 유료 계층 로그 가 됩니다.
또한 사용자 지정 로그는 자동으로 추가되지 않으므로 분석 규칙, 위협 헌팅 및 통합 문서로 작업해야 합니다. 사용자 지정 로그도 현재 Machine Learning 기능에 대해 지원되지 않습니다.
대체 데이터 수집 요구 사항
데이터 수집에 대한 Standard 구성은 다양한 문제로 인해 organization 제대로 작동하지 않을 수 있습니다. 다음 표에서는 일반적인 과제 또는 요구 사항과 가능한 솔루션 및 고려 사항에 대해 설명합니다.
참고
다음 섹션에 나열된 많은 솔루션에는 사용자 지정 데이터 커넥터가 필요합니다. 자세한 내용은 Microsoft Sentinel 사용자 지정 커넥터를 만들기 위한 리소스를 참조하세요.
온-프레미스 Windows 로그 컬렉션
| 챌린지/요구 사항 | 가능한 솔루션 | 고려 사항 |
|---|---|---|
| 로그 필터링 필요 | Logstash 사용 Azure Functions 사용 LogicApps 사용 사용자 지정 코드 사용(.NET, Python) |
필터링은 비용을 절감하고 필요한 데이터만 수집할 수 있지만 UEBA, 엔터티 페이지, 기계 학습 및 융합과 같은 일부 Microsoft Sentinel 기능은 지원되지 않습니다. 로그 필터링을 구성할 때 위협 헌팅 쿼리 및 분석 규칙과 같은 리소스를 업데이트합니다. |
| 에이전트를 설치할 수 없음 | Azure Monitor 에이전트에서 지원되는 Windows 이벤트 전달 사용 | Windows 이벤트 전달을 사용하면 Windows 이벤트 수집기에서 초당 부하 분산 이벤트가 10,000개에서 500-1000개 이벤트로 줄어듭니다. |
| 서버가 인터넷에 연결되지 않음 | Log Analytics 게이트웨이 사용 | 에이전트에 프록시를 구성하려면 게이트웨이가 작동할 수 있도록 추가 방화벽 규칙이 필요합니다. |
| 수집 시 태그 지정 및 보강 필요 | Logstash를 사용하여 ResourceID 삽입 ARM 템플릿을 사용하여 ResourceID를 온-프레미스 머신에 삽입 리소스 ID를 별도의 작업 영역으로 수집 |
Log Analytics는 사용자 지정 테이블에 대한 RBAC(역할 기반 액세스 제어)를 지원하지 않습니다. Microsoft Sentinel 행 수준 RBAC를 지원하지 않습니다. 팁: Microsoft Sentinel 위해 작업 영역 간 디자인 및 기능을 채택할 수 있습니다. |
| 분할 작업 및 보안 로그 필요 | Microsoft Monitor 에이전트 또는 Azure Monitor 에이전트 다중 홈 기능 사용 | 다중 홈 기능을 사용하려면 에이전트에 대한 더 많은 배포 오버헤드가 필요합니다. |
| 사용자 지정 로그 필요 | 특정 폴더 경로에서 파일 수집 API 수집 사용 PowerShell 사용 Logstash 사용 |
로그를 필터링하는 데 문제가 있을 수 있습니다. 사용자 지정 메서드는 지원되지 않습니다. 사용자 지정 커넥터에는 개발자 기술이 필요할 수 있습니다. |
온-프레미스 Linux 로그 수집
| 챌린지/요구 사항 | 가능한 솔루션 | 고려 사항 |
|---|---|---|
| 로그 필터링 필요 | Syslog-NG 사용 Rsyslog 사용 에이전트에 FluentD 구성 사용 Azure Monitor 에이전트/Microsoft Monitoring Agent 사용 Logstash 사용 |
일부 Linux 배포는 에이전트에서 지원되지 않을 수 있습니다. Syslog 또는 FluentD를 사용하려면 개발자 지식이 필요합니다. 자세한 내용은 보안 이벤트를 수집하기 위해 Windows 서버에 연결 및 Microsoft Sentinel 사용자 지정 커넥터를 만들기 위한 리소스를 참조하세요. |
| 에이전트를 설치할 수 없음 | (syslog-ng 또는 rsyslog)와 같은 Syslog 전달자를 사용합니다. | |
| 서버가 인터넷에 연결되지 않음 | Log Analytics 게이트웨이 사용 | 에이전트에 프록시를 구성하려면 게이트웨이가 작동할 수 있도록 추가 방화벽 규칙이 필요합니다. |
| 수집 시 태그 지정 및 보강 필요 | 보강 또는 사용자 지정 메서드(예: API 또는 Event Hubs)에 Logstash를 사용합니다. | 필터링에 추가 작업이 필요할 수 있습니다. |
| 분할 작업 및 보안 로그 필요 | 멀티 호밍 구성에서 Azure Monitor 에이전트를 사용합니다. | |
| 사용자 지정 로그 필요 | Microsoft Monitoring(Log Analytics) 에이전트를 사용하여 사용자 지정 수집기를 만듭니다. |
엔드포인트 솔루션
EDR, 기타 보안 이벤트, Sysmon 등과 같은 엔드포인트 솔루션에서 로그를 수집해야 하는 경우 다음 방법 중 하나를 사용합니다.
- 커넥터를 Microsoft Defender XDR 엔드포인트용 Microsoft Defender 로그를 수집합니다. 이 옵션은 데이터 수집에 대한 추가 비용이 발생합니다.
- Windows 이벤트 전달.
참고
부하 분산은 작업 영역으로 처리할 수 있는 초당 이벤트를 줄입니다.
Office 데이터
표준 커넥터 데이터 외부에서 Microsoft Office 데이터를 수집해야 하는 경우 다음 솔루션 중 하나를 사용합니다.
| 챌린지/요구 사항 | 가능한 솔루션 | 고려 사항 |
|---|---|---|
| Teams, 메시지 추적, 피싱 데이터 등에서 원시 데이터 수집 | 기본 제공 Office 365 커넥터 기능을 사용한 다음, 다른 원시 데이터에 대한 사용자 지정 커넥터를 만듭니다. | 해당 recordID에 이벤트를 매핑하는 것은 어려울 수 있습니다. |
| 국가/지역, 부서 등을 분할하려면 RBAC가 필요합니다. | 데이터에 태그를 추가하고 필요한 각 분리에 대한 전용 작업 영역을 만들어 데이터 수집을 사용자 지정합니다. | 사용자 지정 데이터 수집에는 추가 수집 비용이 있습니다. |
| 단일 작업 영역에 여러 테넌트가 필요합니다. | Azure LightHouse 및 통합 인시던트 보기를 사용하여 데이터 수집을 사용자 지정합니다. | 사용자 지정 데이터 수집에는 추가 수집 비용이 있습니다. 자세한 내용은 작업 영역 및 테넌트 간에 Microsoft Sentinel 확장을 참조하세요. |
클라우드 플랫폼 데이터
| 챌린지/요구 사항 | 가능한 솔루션 | 고려 사항 |
|---|---|---|
| 다른 플랫폼에서 로그 필터링 | Logstash 사용 Azure Monitor 에이전트/Microsoft Monitoring(Log Analytics) 에이전트 사용 |
사용자 지정 컬렉션에는 추가 수집 비용이 있습니다. 모든 Windows 이벤트와 보안 이벤트만 수집하는 데 문제가 있을 수 있습니다. |
| 에이전트를 사용할 수 없음 | Windows 이벤트 전달 사용 | 리소스 전체에서 작업의 부하를 분산해야 할 수 있습니다. |
| 서버가 에어 갭 네트워크에 있습니다. | Log Analytics 게이트웨이 사용 | 에이전트에 프록시를 구성하려면 게이트웨이가 작동하도록 허용하는 방화벽 규칙이 필요합니다. |
| 수집 시 RBAC, 태그 지정 및 보강 | Logstash 또는 Log Analytics API를 통해 사용자 지정 컬렉션을 만듭니다. | 사용자 지정 테이블에 대해 RBAC가 지원되지 않습니다. 행 수준 RBAC는 테이블에 대해 지원되지 않습니다. |
관련 콘텐츠
자세한 내용은 다음 항목을 참조하세요.