전역 보안 액세스 보강 Microsoft 365 로그를 사용하는 방법

Microsoft Entra Private Internet 서비스를 통해 흐르는 Microsoft 트래픽을 통해 조직에서 사용하는 Microsoft 365 앱의 성능, 환경 및 가용성에 대한 인사이트를 얻고자 합니다. 보강된 Microsoft 365 로그는 이러한 인사이트를 얻는 데 필요한 정보를 제공합니다. 추가 분석을 위해 로그를 타사 SIEM(보안 정보 및 이벤트 관리) 도구와 통합할 수 있습니다.

이 문서에서는 로그의 정보 및 로그를 내보내는 방법을 설명합니다.

필수 조건

보강 로그를 사용하려면 다음 역할, 구성 및 구독이 필요합니다.

역할 및 권한

• 보강된 Microsoft 365 로그를 사용하도록 설정하려면 전역 관리자 역할이 필요합니다.
• 제품에는 라이선스가 필요합니다. 자세한 내용은 전역 보안 액세스란?의 라이선스 섹션을 참조하세요. 필요한 경우 라이선스를 구매하거나 평가판 라이선스를 받을 수 있습니다.
• Microsoft 트래픽 전달 프로필을 사용하려면 Microsoft 365 E3 라이선스를 사용하는 것이 좋습니다.

구성

• Microsoft 프로필 - Microsoft 프로필이 사용하도록 설정되어 있는지 확인합니다. Microsoft 트래픽 전달 프로필은 로그 보강의 기본인 Microsoft 365 서비스로 전달되는 트래픽을 캡처하는 데 필요합니다.
• Microsoft 365 Common 및 Office Online 트래픽 정책 - 로그 보강에 필요합니다. 사용하도록 설정되었는지 확인합니다.
• 테넌트 전송 데이터 - 전달 프로필에 구성된 트래픽이 Global Secure Access 서비스로 정확하게 터널링되었는지 확인합니다.
• 진단 설정 구성 - Log Analytics 작업 영역과 같은 지정된 엔드포인트에 로그를 채널하도록 Microsoft Entra 진단 설정을 설정합니다. 각 엔드포인트에 대한 요구 사항은 다르며 이 문서의 진단 설정 구성 섹션에 설명되어 있습니다.

Abunələr

• 제품에는 라이선스가 필요합니다. 자세한 내용은 전역 보안 액세스란?의 라이선스 섹션을 참조하세요. 필요한 경우 라이선스를 구매하거나 평가판 라이선스를 받을 수 있습니다.
• Microsoft 365 E3 라이선스 - Microsoft 트래픽 전달 프로필을 사용하는 데 권장됩니다.

진단 설정을 구성하기 전에 로그를 라우팅할 위치에 대한 엔드포인트를 구성해야 합니다. 각 엔드포인트에 대한 요구 사항은 다양하며 진단 설정 구성 섹션에 설명되어 있습니다.

로그에서 제공하는 내용

보강된 Microsoft 365 로그는 Microsoft 365 워크로드에 대한 정보를 제공하므로 Microsoft 365 앱과 관련된 네트워크 진단 데이터, 성능 데이터 및 보안 이벤트를 검토할 수 있습니다. 예를 들어 조직의 사용자에 대해 Microsoft 365에 대한 액세스가 차단된 경우 사용자의 디바이스가 네트워크에 연결하는 방법에 대한 가시성이 필요합니다.

이러한 로그는 다음을 제공합니다.

• 개선된 대기 시간:
• 원본 로그에 추가된 추가 정보
• 정확한 IP 주소

이러한 로그는 Microsoft 365 감사 로그에서 사용할 수 있는 로그의 하위 집합입니다. 로그는 디바이스 ID, 운영 체제 및 원래 IP 주소를 비롯한 추가 정보로 보강됩니다. 보강된 SharePoint 로그는 다운로드, 업로드, 삭제, 수정 또는 재활용된 파일에 대한 정보를 제공합니다. 삭제되거나 재활용된 목록 항목도 보강 로그에 포함됩니다.

로그를 확인하는 방법

보강된 Microsoft 365 로그 보기는 2단계 프로세스입니다. 먼저 Global Secure Access에서 로그 보강을 사용하도록 설정해야 합니다. 둘째, Log Analytics 작업 영역과 같은 엔드포인트로 로그를 라우팅하도록 Microsoft Entra 진단 설정을 구성해야 합니다.

참고 항목

현재는 로그 보강에 SharePoint Online 로그만 사용할 수 있습니다.

로그 보강 사용

보강된 Microsoft 365 로그를 사용하도록 설정하려면 다음을 수행합니다.

1. 전역 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
2. 전역 보안 액세스>설정>로깅으로 찾습니다.
3. 사용하려는 Microsoft 365 로그 유형을 선택합니다.
4. 저장을 선택합니다.

보강된 로그는 서비스와 완전히 통합되는 데 최대 72시간이 걸립니다.

진단 설정 구성

보강된 Microsoft 365 로그를 보려면 Log Analytics 작업 영역 또는 SIEM 도구와 같은 엔드포인트로 로그를 내보내거나 스트림해야 합니다. 진단 설정을 구성하려면 먼저 엔드포인트를 구성해야 합니다.

엔드포인트 구성

• Log Analytics와 로그를 통합하려면 Log Analytics 작업 영역이 필요합니다.

  • Log Analytics 작업 영역을 만듭니다.
  • Log Analytics와 로그 통합

• 로그를 SIEM 도구로 스트리밍하려면 Azure 이벤트 허브 및 이벤트 허브 네임스페이스를 만들어야 합니다.

  • Event Hubs 네임스페이스 및 이벤트 허브 설정.
  • 이벤트 허브에 로그 스트림

• 스토리지 계정에 로그를 보관하려면 ListKeys 권한이 있는 Azure Storage 계정이 필요합니다.

  • Azure 스토리지 계정을 만듭니다.
  • 스토리지 계정에 로그 보관

엔드포인트로 로그 보내기

엔드포인트를 만들면 진단 설정을 구성할 수 있습니다.

1. 최소한 보안 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID>모니터링 및 상태>진단 설정으로 이동합니다.

3. 진단 설정 추가를 선택합니다.

4. 진단 설정에 이름을 지정합니다.

5. EnrichedOffice365AuditLogs을(를) 선택합니다.

6. 로그를 보낼 대상 세부 정보를 선택합니다. 다음 대상 중 일부 또는 전체를 선택합니다. 선택 항목에 따라 더 많은 필드가 표시됩니다.

   • Log Analytics 작업 영역으로 보내기: 표시되는 메뉴에서 적절한 세부 정보를 선택합니다.
   • 스토리지 계정에 보관: 로그 범주 옆에 표시되는 보존 기간(일) 상자에 데이터를 보존하려는 일 수를 제공합니다. 표시되는 메뉴에서 적절한 세부 정보를 선택합니다.
   • 이벤트 허브로 스트림: 표시되는 메뉴에서 적절한 세부 정보를 선택합니다.
   • 파트너 솔루션으로 보내기: 표시되는 메뉴에서 적절한 세부 정보를 선택합니다.

다음 예제에서는 표시되는 메뉴에서 구독 및 Log Analytics 작업 영역을 선택해야 하는 보강된 로그를 Log Analytics 작업 영역으로 보내는 것입니다.

다음 단계

• Global Secure Access 로그 및 모니터링 옵션 살펴보기
• 전역 보안 액세스 감사 로그에 대해 알아보기(미리 보기)
• 보강된 Microsoft 365 감사 로그