다음을 통해 공유

Windows 에이전트 기반 데이터 커넥터를 사용하여 Microsoft Sentinel을 다른 Microsoft 서비스에 연결

  • 아티클

이 문서에서는 Microsoft Sentinel을 다른 Microsoft 서비스 Windows 에이전트 기반 연결에 연결하는 방법을 설명합니다. Microsoft Sentinel은 Azure Monitor 에이전트를 사용하여 많은 Azure 및 Microsoft 365 서비스, Amazon Web Services 및 다양한 Windows Server 서비스에서 데이터 수집을 위한 기본 제공 서비스 대 서비스 지원을 제공합니다.

Azure Monitor 에이전트DCR(데이터 수집 규칙)을 사용하여 각 에이전트에서 수집할 데이터를 정의합니다. 데이터 수집 규칙은 두 가지 뚜렷한 이점을 제공합니다.

  • 컴퓨터 하위 집합에 대해 고유하고 범위가 지정된 구성을 계속 허용하면서 대규모로 컬렉션 설정을 관리합니다. 데이터 수집 규칙은 작업 영역 및 가상 머신을 가리지 않습니다. 즉 데이터 수집 규칙을 머신 및 환경 전체에서 한 번만 정의하면 다시 사용할 수 있습니다. Azure Monitor 에이전트에 대한 데이터 수집 구성을 참조하세요.

  • 수집할 정확한 이벤트를 선택하려면 사용자 지정 필터를 빌드합니다. Azure Monitor 에이전트는 이러한 규칙을 사용하여 원본의 데이터를 필터링하고 원하는 이벤트만 수집하면서 다른 이벤트는 남겨 둡니다. 이렇게 하면 데이터 수집 비용을 많이 절약할 수 있습니다.

참고 항목

US Government 클라우드의 기능 가용성에 대한 자세한 내용은 US Government 고객을 위한 클라우드 기능 가용성의 Microsoft Sentinel 표를 참조하세요.

Important

AMA(Azure Monitor 에이전트)를 기반으로 하는 일부 커넥터는 현재 미리 보기 상태입니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

필수 조건

  • Microsoft Sentinel 작업 영역에 대한 읽기 및 쓰기 권한이 있어야 합니다.

  • Azure 가상 머신이 아닌 시스템에서 이벤트를 수집하려면 Azure Monitor 에이전트 기반 커넥터를 사용하도록 설정하기 전에 시스템에 Azure Arc를 설치하고 사용하도록 설정해야 합니다.

    다음 내용이 포함됩니다.

    • 물리적 머신에 설치된 Windows 서버
    • 온-프레미스 가상 머신에 설치된 Windows 서버
    • 비 Azure 클라우드의 가상 머신에 설치된 Windows 서버

  • Windows 전달 이벤트 데이터 커넥터의 경우:

    • WEC 컴퓨터에 설치된 Azure Monitor 에이전트를 사용하여 WEC(Windows 이벤트 컬렉션)를 사용하도록 설정하고 실행해야 합니다.
    • 데이터 정규화를 완전히 지원하려면 ASIM(Advanced Security Information Model) 파서를 설치하는 것이 좋습니다. Azure-Sentinel GitHub 리포지토리에서 Azure에 배포 단추를 사용하여 이러한 파서를 배포할 수 있습니다.

  • Microsoft Sentinel의 Content Hub에서 관련 Microsoft Sentinel 솔루션을 설치합니다. 자세한 내용은 Microsoft Sentinel 기본 제공 콘텐츠 검색 및 관리를 참조하세요.

GUI를 통해 데이터 수집 규칙 만들기

  1. Microsoft Sentinel에서 구성>데이터 커넥터를 선택합니다. 목록에서 커넥터를 선택한 다음 세부 정보 창에서 커넥터 페이지 열기를 선택합니다. 그런 다음이 섹션의 나머지 부분에 설명된 대로 지침 탭의 화면 지시를 따릅니다.

  2. 커넥터 페이지의 사전 요구 사항 섹션에 설명된 대로 적절한 사용 권한이 있는지 확인합니다.

  3. 구성에서 +데이터 수집 규칙 추가를 선택합니다. 데이터 수집 규칙 만들기 마법사가 오른쪽에 열립니다.

  4. 기본 사항에서 규칙 이름을 입력하고 DCR(데이터 수집 규칙)을 만들 구독리소스 그룹을 지정합니다. 따라서 모니터링되는 머신과 해당 연결이 동일한 테넌트에 있기만 하면 동일한 리소스 그룹 또는 구독일 필요는 없습니다.

  5. 리소스 탭에서 +리소스 추가를 선택하여 데이터 수집 규칙이 적용될 머신을 추가합니다. 범위 선택 대화 상자가 열리고 사용 가능한 구독 목록이 표시됩니다. 구독을 확장하여 해당 리소스 그룹을 확인하고 리소스 그룹을 확장하여 사용 가능한 머신을 확인합니다. 목록에 Azure 가상 머신 및 Azure Arc 지원 서버가 표시됩니다. 구독 또는 리소스 그룹의 확인란을 표시하여 포함된 모든 머신을 선택하거나 개별 머신을 선택할 수 있습니다. 모든 머신을 선택한 경우 적용을 선택합니다. 이 프로세스가 끝나면 Azure Monitor 에이전트가 아직 설치되지 않은 선택한 머신에 설치됩니다.

  6. 수집 탭에서 수집할 이벤트를 선택합니다. 모든 이벤트 또는 사용자 지정을 선택하여 다른 로그를 지정하거나 XPath 쿼리를 사용하여 이벤트를 필터링합니다. 수집할 이벤트에 대한 특정 XML 조건으로 계산되는 식을 상자에 입력한 다음, 추가를 선택합니다. 단일 상자에 최대 20개의 식을 입력하고 하나의 규칙에 최대 100개의 상자를 포함할 수 있습니다.

    자세한 내용은 Azure Monitor 설명서를 참조하세요.

    참고 항목

    • Windows 보안 이벤트 커넥터는 수집하도록 선택할 수 있는 다른 두 가지 사전 빌드된 이벤트 집합(공통최소)을 제공합니다.

    • Azure Monitor 에이전트는 XPath 버전 1.0에 대해서만 XPath 쿼리를 지원합니다.

    XPath 쿼리의 유효성을 테스트하려면 -FilterXPath 매개 변수와 함께 PowerShell cmdlet Get-WinEvent사용합니다. 예시:

    $XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
    • 이벤트가 반환되면 쿼리가 유효합니다.
    • "지정된 선택 조건과 일치하는 이벤트를 찾을 수 없습니다" 메시지가 표시되는 경우 쿼리는 유효하지만 로컬 컴퓨터에 일치하는 이벤트가 없습니다.
    • "지정된 쿼리가 잘못되었습니다" 메시지를 받으면 쿼리 구문이 잘못된 것입니다.

  7. 원하는 필터 식을 모두 추가한 후 다음: 검토 + 만들기를 선택합니다.

  8. 유효성 검사를 통과했습니다 메시지가 표시되면 만들기를 선택합니다.

커넥터 페이지의 구성 아래에 API를 통해 만든 규칙을 포함하여 모든 데이터 수집 규칙이 표시됩니다. 여기에서 기존 규칙을 편집하거나 삭제할 수 있습니다.

API를 사용하여 데이터 수집 규칙 만들기

또한 API를 사용하여 데이터 수집 규칙을 만들 수 있으며, MSSP인 경우와 같이 많은 규칙을 만드는 경우 수명이 더 쉬워질 수 있습니다. 다음은 규칙을 만들기 위한 템플릿으로 사용할 수 있는 AMA 커넥터를 통한 Windows 보안 이벤트의 예입니다.

요청 URL 및 헤더

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview

요청 본문

{
    "location": "eastus",
    "properties": {
        "dataSources": {
            "windowsEventLogs": [
                {
                    "streams": [
                        "Microsoft-SecurityEvent"
                    ],
                    "xPathQueries": [
                        "Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
                    ],
                    "name": "eventLogsDataSource"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
                    "name": "centralWorkspace"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-SecurityEvent"
                ],
                "destinations": [
                    "centralWorkspace"
                ]
            }
        ]
    }
}

자세한 내용은 다음을 참조하세요.

다음 단계

자세한 내용은 다음을 참조하세요.