엔드포인트로 스트리밍할 수 있는 ID 로그는 무엇인가요?
Microsoft Entra 진단 설정을 사용하면 장기 보존 및 데이터 인사이트를 위해 활동 로그를 여러 엔드포인트로 라우팅할 수 있습니다. 라우팅할 로그를 선택한 다음 엔드포인트를 선택합니다.
이 문서에서는 Microsoft Entra 진단 설정에서 엔드포인트로 라우팅할 수 있는 로그에 대해 설명합니다.
로그 스트리밍 요구 사항 및 옵션
이벤트 허브 또는 스토리지 계정과 같은 엔드포인트를 설정하려면 다른 역할과 라이선스가 필요할 수 있습니다. 새 진단 설정을 만들거나 편집하려면 Microsoft Entra 테넌트에 대한 보안 관리자 권한이 있는 사용자가 필요합니다.
가장 적합한 로그 라우팅 옵션을 결정하려면 활동 로그에 액세스하는 방법을 참조하세요. 각 엔드포인트 유형에 대한 전체 프로세스 및 요구 사항은 다음 문서에서 다룹니다.
활동 로그 옵션
다음 로그는 저장, 분석 또는 모니터링을 위해 엔드포인트로 라우팅될 수 있습니다.
감사 로그
AuditLogs 보고서는 Microsoft Entra 테넌트의 애플리케이션, 그룹, 사용자 및 라이선스에 대한 변경 사항을 캡처합니다. 감사 로그를 라우팅한 후에는 날짜/시간, 이벤트를 기록한 서비스 및 변경한 사용자를 기준으로 필터링하거나 분석할 수 있습니다. 자세한 내용은 감사 로그를 참조하세요.
로그인 로그
SignInLogs은(는) 사용자가 로그인할 때 생성되는 로그인 대화형 로그인 로그를 전송합니다. 로그인 로그는 사용자가 Microsoft Entra 로그인 화면에서 사용자 이름과 암호를 제공하거나 MFA 챌린지를 통과할 때 생성됩니다. 자세한 내용은 대화형 사용자 로그인을 참조하세요.
비대화형 로그인 로그
NonInteractiveUserSIgnInLogs은(는) 클라이언트 앱과 같이 사용자를 대신하여 수행되는 로그인입니다. 디바이스 또는 클라이언트는 토큰 또는 코드를 사용하여 사용자를 대신하여 리소스를 인증하거나 액세스합니다. 자세한 내용은 비대화형 사용자 로그인을 참조하세요.
서비스 주체 로그인 로그
앱 또는 서비스 주체에 대한 로그인 활동을 검토해야 하는 경우 ServicePrincipalSignInLogs(이)가 좋은 옵션일 수 있습니다. 이러한 시나리오에서는 인증서 또는 클라이언트 암호가 인증에 사용됩니다. 자세한 내용은 서비스 주체 로그인을 참조하세요.
관리 ID 로그인 로그
ManagedIdentitySignInLogs은(는) 서비스 주체 로그인 로그와 유사한 인사이트를 제공하지만, Azure가 암호를 관리하는 관리 ID에 대해서는 그렇지 않습니다. 자세한 내용은 관리 ID 로그인을 참조하세요.
프로비저닝 로그
조직에서 Workday 또는 ServiceNow와 같은 비 Microsoft 애플리케이션을 통해 사용자를 프로비전하는 경우 ProvisioningLogs 보고서를 내보낼 수 있습니다. 자세한 내용은 프로비저닝 로그를 참조하세요.
AD FS 로그인 로그
AD FS(Active Directory Federated Services) 애플리케이션 로그인 작업은 이 사용량 및 인사이트 보고서에 캡처됩니다. ADFSSignInLogs 보고서를 내보내 AD FS 애플리케이션의 로그인 활동을 모니터링할 수 있습니다. 자세한 내용은 AD FS 로그인 로그를 참조하세요.
위험한 사용자
RiskyUsers 로그는 로그인 활동에 따라 위험에 처한 사용자를 식별합니다. 이 보고서는 Microsoft Entra ID 보호의 일부이며 Microsoft Entra ID의 로그인 데이터를 사용합니다. 자세한 내용은 Microsoft Entra ID 보호란?을 참조하세요.
사용자 위험 이벤트
UserRiskEvents 로그는 Microsoft Entra ID 보호의 일부입니다. 이러한 로그는 위험한 로그인 이벤트에 대한 세부 정보를 캡처합니다. 자세한 내용은 위험 조사 방법을 참조하세요.
네트워크 액세스 트래픽 로그
NetworkAccessTrafficLogs은(는) Microsoft Entra 인터넷 액세스 및 Microsoft Entra 개인용 액세스와 연결되어 있습니다. 로그는 Microsoft Entra ID에 표시되지만 이 옵션을 선택해도 조직에서 회사 리소스에 대한 보안 액세스를 위해 Microsoft Entra 인터넷 액세스 및 Microsoft Entra 개인용 액세스를 사용하지 않는 한 작업 영역에 새 로그가 추가되지는 않습니다. 자세한 내용은 전역 보안 액세스란?을 참조하세요.
위험한 서비스 주체
RiskyServicePrincipals 로그는 Microsoft Entra ID 보호가 위험하다고 감지한 서비스 주체에 대한 정보를 제공합니다. 서비스 주체 위험은 ID 또는 계정이 유출될 가능성을 나타냅니다. 이러한 위험은 Microsoft의 내부 및 외부 위협 인텔리전스 원본의 데이터와 패턴을 사용하여 비동기적으로 계산됩니다. 이러한 출처에는 보안 연구원, 법 집행 전문가 및 Microsoft의 보안 팀이 포함될 수 있습니다. 자세한 내용은 워크로드 ID 보안을 참조하세요.
서비스 사용자 위험 이벤트
ServicePrincipalRiskEvents은(는) 서비스 주체의 위험한 로그인 이벤트에 대한 세부 정보를 제공합니다. 이러한 로그에는 서비스 주체 계정과 관련된 식별된 의심스러운 이벤트가 포함될 수 있습니다. 자세한 내용은 워크로드 ID 보안을 참조하세요.
보강된 Microsoft 365 감사 로그
EnrichedOffice365AuditLogs은(는) Microsoft Entra Internet Access에서 사용하도록 설정할 수 있는 강화된 로그와 연결됩니다. 이 옵션을 선택해도 조직에서 Microsoft 365 트래픽에 대한 액세스를 보호하기 위해 Microsoft Entra Internet을 사용하고 있으며 강화된 로그를 사용하도록 설정한 경우가 아니라면 작업 영역에 새 로그가 추가되지 않습니다. 자세한 내용은 글로벌 보안 액세스로 강화된 Microsoft 365 로그를 사용하는 방법을 참조하세요.
Microsoft Graph 활동 로그
MicrosoftGraphActivityLogs는 관리자에게 Microsoft Graph API를 통해 테넌트의 리소스에 액세스하는 모든 HTTP 요청에 대한 전체 가시성을 제공합니다. 이러한 로그를 사용하여 테넌트에서 손상된 사용자 계정이 수행한 활동을 식별하거나 극단적인 호출 볼륨과 같은 클라이언트 애플리케이션에 대한 문제가 있거나 예기치 않은 동작을 조사할 수 있습니다. 로그인 로그에 대한 토큰 요청의 세부 정보를 상호 참조하기 위해 SignInLogs를 사용하여 로그를 동일한 Log Analytics 작업 영역으로 라우팅합니다. 자세한 내용은 다음을 참조하세요. Microsoft Graph 활동 로그 액세스.
원격 네트워크 상태 로그
RemoteNetworkHealthLogs은(는) 전역 보안 액세스를 통해 구성된 원격 네트워크의 상태에 대한 인사이트를 제공합니다. 이 옵션을 선택해도 조직에서 회사 리소스에 대한 보안 액세스를 위해 Microsoft Entra 인터넷 액세스 및 Microsoft Entra 개인용 액세스를 사용하지 않는 한 작업 영역에 새 로그가 추가되지는 않습니다. 자세한 내용은 원격 네트워크 상태 로그를 참조하세요.
사용자 지정 보안 특성 감사 로그*
CustomSecurityAttributeAuditLogs은(는) 진단 설정의 사용자 지정 보안 특성 섹션에서 구성됩니다. 이러한 로그는 Microsoft Entra 테넌트에서 사용자 지정 보안 특성에 대한 변경 내용을 캡처합니다. Microsoft Entra 감사 로그에서 이러한 로그를 보려면 특성 로그 판독기 역할이 필요합니다. 이러한 로그를 엔드포인트로 라우팅하려면 특성 로그 관리자 역할과 보안 관리자가 필요합니다.