Share via

진단 설정 기반 연결을 사용하여 Microsoft Sentinel을 다른 Microsoft 서비스에 연결

  • 아티클

이 문서에서는 진단 설정 연결을 사용하여 Microsoft Sentinel에 연결하는 방법을 설명합니다. Microsoft Sentinel은 Azure 기반을 사용하여 많은 Azure 및 Microsoft 365 서비스, Amazon Web Services 및 다양한 Windows Server 서비스의 데이터 수집에 대한 기본 제공 서비스 간 지원을 제공합니다. 몇 가지 다른 방법을 통해 이렇게 연결할 수 있습니다.

이 문서에서는 진단 설정 기반 연결을 사용하는 데이터 커넥터 그룹에 공통적인 정보를 제공합니다. 이러한 유형의 커넥터 중 일부는 Azure Policy를 사용하여 관리됩니다. 이 유형의 다른 커넥터의 경우 독립 실행형 지침을 사용합니다.

참고 항목

US Government 클라우드의 기능 가용성에 대한 자세한 내용은 US Government 고객을 위한 클라우드 기능 가용성의 Microsoft Sentinel 표를 참조하세요.

독립 실행형 진단 설정 기반 커넥터

이 섹션에서는 독립 실행형 진단 설정 기반 연결을 사용하는 데이터 커넥터 그룹에 대한 필수 구성 요소 및 일반 설치 지침을 설명합니다.

필수 조건

Microsoft Sentinel로 데이터를 수집하려면:

  • Microsoft Sentinel 작업 영역에 대한 읽기 및 쓰기 권한이 있어야 합니다.

지침

  1. Microsoft Sentinel 탐색 메뉴에서 데이터 커넥터를 선택합니다.

  2. 데이터 커넥터 갤러리에서 리소스 종류를 선택한 다음 미리 보기 창에서 커넥터 페이지 열기를 선택합니다.

  3. 커넥터 페이지의 구성 섹션에서 링크를 선택하여 리소스 구성 페이지를 엽니다.

    원하는 유형의 리소스 목록이 표시되면 로그를 수집하려는 리소스에 대한 링크를 선택합니다.

  4. 리소스의 탐색 메뉴에서 진단 설정을 선택합니다.

  5. 목록의 맨 아래에 있는 + 진단 설정 추가를 선택합니다.

  6. 진단 설정 화면에서 진단 설정 이름 필드에 이름을 입력합니다.

    Log Analytics에 보내기 확인란을 선택합니다. 두 개의 새 필드가 아래에 표시됩니다. 관련 구독Log Analytics 작업 영역(Microsoft Sentinel이 있는 위치)을 선택합니다.

  7. 수집하려는 로그 및 메트릭 유형의 확인란을 선택합니다. 데이터 커넥터 참조 페이지의 리소스 커넥터 섹션에서 각 리소스 유형에 대한 권장 선택 사항을 참조하세요.

  8. 화면 상단에서 저장을 선택합니다.

자세한 내용은 Azure Monitor 설명서에서 Azure Monitor 플랫폼 로그 및 메트릭을 다른 대상으로 보내기 위한 진단 설정 만들기도 참조하세요.

Azure Policy에서 관리하는 진단 설정 기반 커넥터

이 섹션에서는 Azure Policy에서 관리하는 진단 설정 기반 연결을 사용하는 데이터 커넥터 그룹에 대한 필수 구성 요소 및 일반 설치 지침을 설명합니다.

필수 조건

Microsoft Sentinel로 데이터를 수집하려면:

  • Microsoft Sentinel 작업 영역에 대한 읽기 및 쓰기 권한이 있어야 합니다.

  • Azure Policy를 사용하여 리소스에 로그 스트리밍 정책을 적용하려면 정책 할당 범위에 대한 Owner 역할이 있어야 합니다.

  • 데이터 커넥터 관련 요구 사항:

    데이터 커넥터 라이선스, 비용 및 기타 정보
    Azure 활동 이 커넥터는 이제 진단 설정 파이프라인을 사용합니다. 레거시 메서드를 사용하는 경우 새 Azure 활동 로그 커넥터를 설정하기 전에 레거시 메서드에서 기존 구독의 연결을 끊어야 합니다.

    1. Microsoft Sentinel 탐색 메뉴에서 데이터 커넥터를 선택합니다. 커넥터 목록에서 Azure 활동을 선택한 다음, 오른쪽 아래에 있는 커넥터 페이지 열기 단추를 선택합니다.
    2. 지침 탭 아래 구성 섹션의 1단계에서 레거시 메서드에 연결된 기존 구독 목록을 검토하고 아래의 모두 연결 끊기 단추를 클릭하여 한 번에 모두 연결을 끊습니다.
    3. 이 섹션의 지침에 따라 새 커넥터를 계속 설정합니다.
    Azure DDoS Protection - Azure DDoS 표준 보호 계획이 구성되어 있습니다.
    - Azure DDoS 표준이 사용하도록 설정된 가상 네트워크가 구성되어 있습니다.
    - 다른 요금이 부과될 수 있습니다.
    - Azure DDoS Protection 데이터 커넥터의 상태는 보호된 리소스가 DDoS 공격을 받은 경우에만 연결됨으로 변경됩니다.
    Azure Storage 계정 스토리지 계정(상위) 리소스에는 파일, 테이블, 큐, Blob 등 각 스토리지 유형에 대한 다른(하위) 리소스가 포함되어 있습니다.
    스토리지 계정에 대한 진단을 구성할 때 다음을 선택하고 구성해야 합니다.

    - 트랜잭션 메트릭을 내보내는 상위 계정 리소스.
    - 모든 로그 및 메트릭을 내보내는 각 하위 스토리지 유형 리소스

    실제로 리소스를 정의한 스토리지 유형만 표시됩니다.

지침

이 유형의 커넥터는 Azure Policy를 사용하여 범위로 정의된 단일 유형의 리소스 컬렉션에 단일 진단 설정 구성을 적용합니다. 해당 리소스에 대한 커넥터 페이지 왼쪽의 데이터 유형에서 지정된 리소스 유형에서 수집된 로그 유형을 볼 수 있습니다.

  1. Microsoft Sentinel 탐색 메뉴에서 데이터 커넥터를 선택합니다.

  2. 데이터 커넥터 갤러리에서 리소스 종류를 선택한 다음 미리 보기 창에서 커넥터 페이지 열기를 선택합니다.

  3. 커넥터 페이지의 구성 섹션에서 표시되는 확장기를 확장하고 Azure Policy Assignment 마법사 시작 단추를 선택합니다.

    정책 할당 마법사가 열리고 정책 이름이 미리 채워진 상태로 새 정책을 만들 준비가 됩니다.

    1. 기본 탭에서 범위 아래의 세 점이 있는 단추를 선택하여 구독을 선택하고, 필요에 따라 리소스 그룹을 선택합니다. 설명을 추가할 수도 있습니다.

    2. 매개 변수 탭에서:

      • 입력이 필요한 매개 변수만 표시 확인란의 선택을 취소합니다.
      • 효과설정 이름 필드가 표시되면 그대로 유지합니다.
      • Log Analytics 작업 영역 드롭다운 목록에서 Microsoft Sentinel 작업 영역을 선택합니다.
      • 나머지 드롭다운 필드는 사용 가능한 진단 로그 형식을 나타냅니다. 수집하려는 모든 로그 형식을 “True”로 표시된 채로 둡니다.

    3. 정책은 나중에 추가되는 리소스에 적용됩니다. 기존 리소스에도 정책을 적용하려면 수정 탭을 선택하고 수정 작업 생성 확인란에 표시합니다.

    4. 검토 + 만들기 탭에서 만들기를 클릭합니다. 이제 사용자가 선택한 범위에 정책이 할당됩니다.

이 데이터 커넥터 유형을 사용하면 지난 14일 동안 특정 시점에 데이터를 수집한 경우에만 연결 상태 표시기(데이터 커넥터 갤러리의 색 줄무늬 및 데이터 형식 이름 옆에 연결 아이콘)가 연결됨(녹색)으로 표시됩니다. 데이터 수집 없이 14일이 경과되면 커넥터는 연결 끊김 상태로 표시됩니다. 더 많은 데이터가 제공되는 순간에 연결됨 상태를 반환합니다.

데이터 커넥터 참조 페이지의 리소스 커넥터 섹션에 나타나는 테이블 이름을 사용하여 각 리소스 유형에 대한 데이터를 찾고 쿼리할 수 있습니다. 자세한 내용은 Azure Monitor 설명서에서 Azure Monitor 플랫폼 로그 및 메트릭을 다른 대상으로 보내기 위한 진단 설정 만들기를 참조하세요.

다음 단계

자세한 내용은 다음을 참조하세요.