데이터 수집 모범 사례
이 섹션에서는 Microsoft Sentinel 데이터 커넥터를 사용하여 데이터를 수집하는 모범 사례를 검토합니다. 자세한 내용은 데이터 원본 연결, Microsoft Sentinel 데이터 커넥터 참조 및 Microsoft Sentinel 솔루션 카탈로그를 참조하세요.
데이터 커넥터 우선 순위 지정
Microsoft Sentinel 배포 프로세스의 일부로 데이터 커넥터의 우선 순위를 지정하는 방법을 알아봅니다.
수집 전에 로그 필터링
데이터가 Microsoft Sentinel로 수집되기 전에 수집된 로그 또는 로그 콘텐츠를 필터링할 수 있습니다. 예를 들어 보안 작업과 관련이 없거나 중요하지 않은 로그를 필터링하거나 로그 메시지에서 원치 않는 세부 정보를 제거할 수 있습니다. 메시지 내용 필터링은 관련 없는 많은 세부 정보를 포함하는 Syslog, CEF 또는 Windows 기반 로그를 사용할 때 비용을 절감하려는 경우에도 유용할 수 있습니다.
다음 방법 중 하나를 사용하여 로그를 필터링합니다.
Azure Monitor 에이전트. Windows 보안 이벤트를 수집하기 위해 Windows와 Linux 둘 다에서 지원됩니다. 지정한 이벤트만 수집하도록 에이전트를 구성하여 수집되는 로그를 필터링합니다.
Logstash. 로그 메시지 변경을 포함하여 메시지 내용 필터링을 지원합니다. 자세한 내용은 Logstash를 사용하여 연결을 참조하세요.
Important
Logstash를 사용하여 메시지 내용을 필터링하면 로그가 사용자 지정 로그로 수집되므로 모든 무료 계층 로그가 유료 계층 로그로 전환됩니다.
사용자 지정 로그도 자동으로 추가되지 않으므로 분석 규칙, 위협 헌팅, 통합 문서로 수집해야 합니다. 또한 현재 Machine Learning 기능에서는 사용자 지정 로그가 지원되지 않습니다.
대체 데이터 수집 요구 사항
다양한 문제로 인해 데이터 수집에 대한 표준 구성이 조직에서 제대로 작동하지 않을 수 있습니다. 다음 표에서는 일반적인 문제나 요구 사항, 가능한 해결 방법과 고려 사항을 설명합니다.
참고 항목
다음 섹션에 나열된 많은 솔루션에는 사용자 지정 데이터 커넥터가 필요합니다. 자세한 내용은 Microsoft Sentinel 사용자 지정 커넥터 만들기를 위한 리소스를 참조하세요.
온-프레미스 Windows 로그 수집
| 문제/요구 사항 | 가능한 해결 방법 | 고려 사항 |
|---|---|---|
| 로그 필터링 필요 | Logstash 사용 Azure Functions 사용 LogicApps 사용 사용자 지정 코드 사용(.NET, Python) |
필터링을 사용하면 비용이 절감되고 필요한 데이터만 수집되는 반면, UEBA, 엔터티 페이지, 기계 학습, 퓨전 등의 일부 Microsoft Sentinel 기능이 지원되지 않습니다. 로그 필터링을 구성할 때 위협 헌팅 쿼리, 분석 규칙 등의 리소스를 업데이트합니다. |
| 에이전트를 설치할 수 없음 | Azure Monitor 에이전트에서 지원되는 Windows 이벤트 전달 사용 | Windows 이벤트 전달을 사용하면 Windows 이벤트 수집기의 초당 부하 분산 이벤트가 10,000개 이벤트에서 500~1,000개 이벤트로 감소합니다. |
| 서버가 인터넷에 연결할 수 없음 | Log Analytics 게이트웨이 사용 | 에이전트에 대한 프록시를 구성하려면 게이트웨이 작동을 허용하는 추가 방화벽 규칙이 필요합니다. |
| 수집 시 태그 지정 및 보강 필요 | Logstash를 사용하여 ResourceID 삽입 ARM 템플릿을 사용하여 온-프레미스 머신에 ResourceID 삽입 별도의 작업 영역으로 리소스 ID 수집 |
Log Analytics에서 사용자 지정 테이블에 대해 RBAC를 지원하지 않음 Microsoft Sentinel은 행 수준 RBAC를 지원하지 않음 팁: Microsoft Sentinel용 교차 작업 영역 디자인 및 기능을 채택할 수 있습니다. |
| 분할 작업 및 보안 로그 필요 | Microsoft Monitor 에이전트 또는 Azure Monitor 에이전트 멀티 홈 기능 사용 | 멀티 홈 기능을 사용하는 경우 에이전트 배포 오버헤드가 증가합니다. |
| 사용자 지정 코드 필요 | 특정 폴더 경로에서 파일 수집 API 수집 사용 PowerShell 사용 Logstash 사용 |
로그 필터링 관련 문제가 있을 수 있습니다. 사용자 지정 방법은 지원되지 않습니다. 사용자 지정 커넥터에는 개발자 기술이 필요할 수 있습니다. |
온-프레미스 Linux 로그 수집
| 문제/요구 사항 | 가능한 해결 방법 | 고려 사항 |
|---|---|---|
| 로그 필터링 필요 | Syslog-NG 사용 Rsyslog 사용 에이전트에 대해 FluentD 구성 사용 Azure Monitor 에이전트/Microsoft Monitoring 에이전트 사용 Logstash 사용 |
일부 Linux 배포는 에이전트에서 지원되지 않을 수도 있습니다. Syslog 또는 FluentD를 사용하려면 개발자 지식이 필요합니다. 자세한 내용은 Windows 서버에 연결하여 보안 이벤트 수집 및 Microsoft Sentinel 사용자 지정 커넥터 만들기를 위한 리소스를 참조하세요. |
| 에이전트를 설치할 수 없음 | syslog-ng 또는 rsyslog와 같은 Syslog 전달자 사용 | |
| 서버가 인터넷에 연결할 수 없음 | Log Analytics 게이트웨이 사용 | 에이전트에 대한 프록시를 구성하려면 게이트웨이 작동을 허용하는 추가 방화벽 규칙이 필요합니다. |
| 수집 시 태그 지정 및 보강 필요 | 보강을 위해 Logstash를 사용하거나, API 또는 Event Hubs와 같은 사용자 지정 방법을 사용합니다. | 필터링에 필요한 추가 작업이 있을 수도 있습니다. |
| 분할 작업 및 보안 로그 필요 | 멀티 호밍(multi-homing) 구성으로 Azure Monitor 에이전트 사용 | |
| 사용자 지정 코드 필요 | Microsoft Monitoring(Log Analytics) 에이전트를 사용하여 사용자 지정 수집기 생성 |
엔드포인트 솔루션
EDR, 다른 보안 이벤트, Sysmon 등의 엔드포인트 솔루션에서 로그를 수집해야 하는 경우 다음 방법 중 하나를 사용합니다.
- Microsoft Defender XDR 커넥터 - 엔드포인트용 Microsoft Defender에서 로그를 수집합니다. 이 옵션은 추가 데이터 수집 비용을 발생시킵니다.
- Windows 이벤트 전달.
참고 항목
부하 분산을 사용하면 작업 영역으로 처리될 수 있는 초당 이벤트 수가 감소합니다.
Office 데이터
표준 커넥터 데이터 외부에서 Microsoft Office 데이터를 수집해야 하는 경우 다음 솔루션 중 하나를 사용합니다.
| 문제/요구 사항 | 가능한 해결 방법 | 고려 사항 |
|---|---|---|
| Teams, 메시지 추적, 피싱 데이터 등에서 원시 데이터 수집 | 기본 제공 Office 365 커넥터 기능을 사용한 후 다른 원시 데이터용 사용자 지정 커넥터 생성 | 이벤트를 해당 recordID에 매핑하는 작업은 어려울 수 있습니다. |
| 국가/지역, 부서 등을 분할하는 데 RBAC 필요 | 데이터에 태그를 추가하고 필요한 각 분리에 대한 전용 작업 영역을 만들어 데이터 수집 사용자 지정 | 사용자 지정 데이터 수집에는 추가 수집 비용이 있습니다. |
| 단일 작업 영역에 여러 테넌트 필요 | Azure LightHouse와 통합 인시던트 보기를 사용하여 데이터 수집 사용자 지정 | 사용자 지정 데이터 수집에는 추가 수집 비용이 있습니다. 자세한 내용은 작업 영역 및 테넌트에서 Microsoft Sentinel 확장을 참조하세요. |
클라우드 플랫폼 데이터
| 문제/요구 사항 | 가능한 해결 방법 | 고려 사항 |
|---|---|---|
| 다른 플랫폼의 로그 필터링 | Logstash 사용 Azure Monitor 에이전트/Microsoft Monitoring(Log Analytics) 에이전트 사용 |
사용자 지정 수집에는 추가 수집 비용이 있습니다. 모든 Windows 이벤트를 수집하거나 보안 이벤트만 수집해야 할 수 있습니다. |
| 에이전트를 사용할 수 없음 | Windows 이벤트 전달 사용 | 리소스 간에 작업 부하를 분산해야 할 수 있습니다. |
| 서버가 에어 갭 네트워크에 있음 | Log Analytics 게이트웨이 사용 | 에이전트에 대한 프록시를 구성하려면 게이트웨이 작동을 허용하는 방화벽 규칙이 필요합니다. |
| 수집 시 RBAC, 태그 지정, 보강 필요 | Logstash 또는 Log Analytics API를 통해 사용자 지정 수집 생성 | 사용자 지정 테이블에서는 RBAC가 지원되지 않음 행 수준 RBAC는 어떤 테이블에도 지원되지 않습니다. |
다음 단계
자세한 내용은 다음을 참조하세요.