Windows 에이전트 기반 데이터 커넥터를 사용하여 Microsoft Sentinel을 다른 Microsoft 서비스에 연결

  • 아티클

이 문서에서는 Windows 에이전트 기반 연결을 사용하여 Microsoft Sentinel을 다른 Microsoft 서비스에 연결하는 방법을 설명합니다. Microsoft Sentinel은 Azure 기반을 사용하여 많은 Azure 및 Microsoft 365 서비스, Amazon Web Services 및 다양한 Windows Server 서비스의 데이터 수집에 대한 기본 제공 서비스 간 지원을 제공합니다. 몇 가지 다른 방법을 통해 이렇게 연결할 수 있습니다.

이 문서에서는 Windows 에이전트 기반 데이터 커넥터 그룹에 공통적인 정보를 제공합니다.

참고 항목

US Government 클라우드의 기능 가용성에 대한 자세한 내용은 US Government 고객을 위한 클라우드 기능 가용성의 Microsoft Sentinel 표를 참조하세요.

Azure Monitor 에이전트

AMA(Azure Monitor 에이전트)를 기반으로 하는 일부 커넥터는 현재 미리 보기 상태입니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

Azure Monitor 에이전트는 현재 Windows 보안 이벤트, Windows 전달 이벤트 및 Windows DNS 이벤트에 대해서만 지원됩니다.

Azure Monitor 에이전트DCR(데이터 수집 규칙)을 사용하여 각 에이전트에서 수집할 데이터를 정의합니다. 데이터 수집 규칙은 두 가지 뚜렷한 이점을 제공합니다.

  • 컴퓨터 하위 집합에 대해 고유하고 범위가 지정된 구성을 계속 허용하면서 대규모로 컬렉션 설정을 관리합니다. 데이터 수집 규칙은 작업 영역 및 가상 머신을 가리지 않습니다. 즉 데이터 수집 규칙을 머신 및 환경 전체에서 한 번만 정의하면 다시 사용할 수 있습니다. Azure Monitor 에이전트를 위한 데이터 수집 구성을 참조하세요.

  • 수집할 정확한 이벤트를 선택하려면 사용자 지정 필터를 빌드합니다. Azure Monitor 에이전트는 이러한 규칙을 사용하여 원본의 데이터를 필터링하고 원하는 이벤트만 수집하면서 다른 이벤트는 남겨 둡니다. 이렇게 하면 데이터 수집 비용을 많이 절약할 수 있습니다.

데이터 수집 규칙을 만드는 방법은 아래를 참조하세요.

필수 조건

  • Microsoft Sentinel 작업 영역에 대한 읽기 및 쓰기 권한이 있어야 합니다.

  • Azure 가상 머신이 아닌 시스템에서 이벤트를 수집하려면 Azure Monitor 에이전트 기반 커넥터를 사용하도록 설정하기 전에 시스템에 Azure Arc를 설치하고 사용하도록 설정해야 합니다.

    다음 내용이 포함됩니다.

    • 물리적 머신에 설치된 Windows 서버
    • 온-프레미스 가상 머신에 설치된 Windows 서버
    • 비 Azure 클라우드의 가상 머신에 설치된 Windows 서버

  • 데이터 커넥터 관련 요구 사항:

    데이터 커넥터 라이선스, 비용 및 기타 정보
    Windows 전달 이벤트 - WEC(Windows Event Collection)를 사용하도록 설정하고 실행해야 합니다.
    WEC 머신에 Azure Monitor 에이전트를 설치합니다.
    - 데이터 정규화를 완전히 지원하려면 ASIM(Advanced Security Information Model) 파서를 설치하는 것이 좋습니다. Azure-Sentinel GitHub 리포지토리에서 Azure에 배포 단추를 사용하여 이러한 파서를 배포할 수 있습니다.

  • Microsoft Sentinel의 Content Hub에서 관련 Microsoft Sentinel 솔루션을 설치합니다. 자세한 내용은 Microsoft Sentinel 기본 제공 콘텐츠 검색 및 관리를 참조하세요.

지침

  1. Microsoft Sentinel 탐색 메뉴에서 데이터 커넥터를 선택합니다. 목록에서 커넥터를 선택한 다음 세부 정보 창에서 커넥터 페이지 열기를 선택합니다. 그런 다음이 섹션의 나머지 부분에 설명된 대로 지침 탭의 화면 지시를 따릅니다.

  2. 커넥터 페이지의 사전 요구 사항 섹션에 설명된 대로 적절한 사용 권한이 있는지 확인합니다.

  3. 구성에서 +데이터 수집 규칙 추가를 선택합니다. 데이터 수집 규칙 만들기 마법사가 오른쪽에 열립니다.

  4. 기본 사항에서 규칙 이름을 입력하고 DCR(데이터 수집 규칙)을 만들 구독리소스 그룹을 지정합니다. 따라서 모니터링되는 머신과 해당 연결이 동일한 테넌트에 있기만 하면 동일한 리소스 그룹 또는 구독일 필요는 없습니다.

  5. 리소스 탭에서 +리소스 추가를 선택하여 데이터 수집 규칙이 적용될 머신을 추가합니다. 범위 선택 대화 상자가 열리고 사용 가능한 구독 목록이 표시됩니다. 구독을 확장하여 해당 리소스 그룹을 확인하고 리소스 그룹을 확장하여 사용 가능한 머신을 확인합니다. 목록에 Azure 가상 머신 및 Azure Arc 지원 서버가 표시됩니다. 구독 또는 리소스 그룹의 확인란을 표시하여 포함된 모든 머신을 선택하거나 개별 머신을 선택할 수 있습니다. 모든 머신을 선택한 경우 적용을 선택합니다. 이 프로세스가 끝나면 Azure Monitor 에이전트가 아직 설치되지 않은 선택한 머신에 설치됩니다.

  6. 수집 탭에서 수집할 이벤트를 선택합니다. 모든 이벤트 또는 사용자 지정을 선택하여 다른 로그를 지정하거나 XPath 쿼리를 사용하여 이벤트를 필터링합니다(아래 참고 참조). 수집할 이벤트에 대한 특정 XML 조건으로 계산되는 식을 상자에 입력한 다음, 추가를 선택합니다. 단일 상자에 최대 20개의 식을 입력하고 하나의 규칙에 최대 100개의 상자를 포함할 수 있습니다.

    Azure Monitor 설명서에서 데이터 수집 규칙에 대해 자세히 알아보세요.

    참고 항목

    • Windows 보안 이벤트 커넥터는 수집하도록 선택할 수 있는 다른 두 가지 사전 빌드된 이벤트 집합(공통최소)을 제공합니다.

    • Azure Monitor 에이전트는 XPath 버전 1.0에 대한 XPath 쿼리만 지원합니다.

  7. 원하는 필터 식을 모두 추가한 후 다음: 검토 + 만들기를 선택합니다.

  8. "유효성 검사 통과" 메시지가 표시되면 만들기를 선택합니다.

커넥터 페이지의 구성 아래에서 API를 통해 생성된 규칙을 포함하는 모든 데이터 수집 규칙을 볼 수 있습니다. 여기에서 기존 규칙을 편집하거나 삭제할 수 있습니다.

-FilterXPath 매개 변수와 함께 PowerShell Cmdlet Get-WinEvent를 사용하여 XPath 쿼리의 유효성을 테스트합니다. 다음 스크립트는 예제를 보여 줍니다.

$XPath = '*[System[EventID=1035]]'
Get-WinEvent -LogName 'Application' -FilterXPath $XPath
  • 이벤트가 반환되면 쿼리가 유효합니다.
  • "지정된 선택 조건과 일치하는 이벤트를 찾을 수 없습니다" 메시지가 표시되는 경우 쿼리는 유효하지만 로컬 컴퓨터에 일치하는 이벤트가 없습니다.
  • "지정된 쿼리가 잘못되었습니다" 메시지를 받으면 쿼리 구문이 잘못된 것입니다.

API를 사용하여 데이터 수집 규칙 만들기

API를 사용하여 데이터 수집 규칙을 만들 수도 있습니다(스키마 참조). 많은 규칙을 만드는 경우(예를 들어 MSSP인 경우) 이 방식을 사용하면 더 쉽게 작업할 수 있습니다. 다음은 규칙을 만들기 위한 템플릿으로 사용할 수 있는 AMA 커넥터를 통한 Windows 보안 이벤트의 예입니다.

요청 URL 및 헤더

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview

요청 본문

{
    "location": "eastus",
    "properties": {
        "dataSources": {
            "windowsEventLogs": [
                {
                    "streams": [
                        "Microsoft-SecurityEvent"
                    ],
                    "xPathQueries": [
                        "Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
                    ],
                    "name": "eventLogsDataSource"
                }
            ]
        },
        "destinations": {
            "logAnalytics": [
                {
                    "workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
                    "name": "centralWorkspace"
                }
            ]
        },
        "dataFlows": [
            {
                "streams": [
                    "Microsoft-SecurityEvent"
                ],
                "destinations": [
                    "centralWorkspace"
                ]
            }
        ]
    }
}

Azure Monitor 설명서에서 이 데이터 수집 규칙에 대한 전체 설명을 참조하세요.

Log Analytics 에이전트(레거시)

Log Analytics 에이전트는 2024년 8월 31일에 사용 중지됩니다. Microsoft Sentinel 배포에서 Log Analytics 에이전트를 사용하는 경우 AMA로의 마이그레이션 계획을 시작하는 것이 좋습니다. 자세한 내용은 Microsoft Sentinel용 AMA 마이그레이션을 참조하세요.

필수 조건

  • Log Analytics 작업 영역과 로그를 수집할 컴퓨터가 포함된 작업 영역에 대한 읽기 및 쓰기 권한이 있어야 합니다.
  • Microsoft Sentinel 역할 외에 해당 작업 영역의 SecurityInsights(Microsoft Sentinel) 솔루션에 대한 Log Analytics 기여자 역할이 있어야 합니다.

지침

  1. Microsoft Sentinel 탐색 메뉴에서 데이터 커넥터를 선택합니다.

  2. 서비스(DNS 또는 Windows 방화벽)를 선택한 다음 커넥터 페이지 열기를 선택합니다.

  3. 로그를 생성하는 장치에 에이전트를 설치하고 온보딩합니다.

    머신 형식 지침
    Azure Windows VM의 경우 1. 에이전트를 설치할 위치 선택에서 Azure Windows 가상 머신에 에이전트 설치를 확장합니다.

    2. Azure Windows Virtual Machines용 에이전트 다운로드 및 설치 > 링크를 선택합니다.

    3. 가상 머신 블레이드에서 에이전트를 설치할 가상 머신을 선택한 다음 연결을 선택합니다. 연결하려는 각 VM에 이 단계를 반복합니다.
    기타 Windows 컴퓨터의 경우 1. 에이전트를 설치할 위치 선택에서 Azure가 아닌 Windows 컴퓨터에 에이전트 설치를 확장합니다.

    2. 비 Azure Windows 컴퓨터용 에이전트 다운로드 및 설치 > 링크를 선택합니다.

    3. 에이전트 관리 블레이드의 Windows 서버 탭에서 32비트 또는 64비트 시스템에 대한 Windows 에이전트 다운로드 링크를 적절하게 선택합니다.

    4. 다운로드한 실행 파일을 사용하여 원하는 Windows 시스템에 에이전트를 설치하고 이전 단계에서 다운로드 링크 아래에 표시되는 작업 영역 ID 및 키를 사용하여 에이전트를 구성합니다.

필요한 인터넷 연결이 없는 Windows 컴퓨터에서 Microsoft Sentinel로 이벤트를 계속 스트리밍할 수 있도록 하려면 에이전트 관리 페이지의 Log Analytics 게이트웨이 다운로드 링크를 사용하여 별도의 시스템에 Log Analytics 게이트웨이를 다운로드하고 설치하여 프록시로 작동하게 합니다. 이벤트를 수집하려는 각 Windows 시스템에는 Log Analytics 에이전트를 설치해야 합니다.

해당 시나리오에 대한 자세한 내용은 Log Analytics 게이트웨이 설명서를 참조하세요.

추가 설치 옵션 및 세부 정보는 Log Analytics 에이전트 설명서를 참조하세요.

보낼 로그 결정

Windows DNS 서버 및 Windows 방화벽 커넥터의 경우 솔루션 설치 단추를 선택합니다. 레거시 보안 이벤트 커넥터의 경우 보낼 이벤트 집합을 선택하고 업데이트를 선택합니다. 자세한 내용은 Microsoft Sentinel로 보낼 수 있는 Windows 보안 이벤트 집합을 참조하세요.

데이터 커넥터 참조 페이지의 해당 섹션에서 테이블 이름을 사용하여 이러한 서비스에 대한 데이터를 찾고 쿼리할 수 있습니다.

Windows DNS Server 데이터 커넥터 문제 해결

DNS 이벤트가 Microsoft Sentinel에 표시되지 않으면 다음을 수행합니다.

  1. 서버의 DNS 분석 로그가 사용하도록 설정되었는지 확인합니다.
  2. Azure DNS Analytics로 이동합니다.
  3. 구성 영역에서 설정을 변경하고 변경 내용을 저장합니다. 필요한 경우 설정을 다시 변경한 다음, 변경 내용을 다시 저장합니다.
  4. Azure DNS Analytics를 확인하여 이벤트 및 쿼리가 제대로 표시되는지 확인합니다.

자세한 내용은 DNS 분석 미리 보기 솔루션으로 DNS 인프라에 대한 인사이트 수집을 참조하세요.

다음 단계

자세한 내용은 다음을 참조하세요.