활동 로그를 이벤트 허브로 스트리밍하는 방법
Microsoft Entra 테넌트는 매초 대량의 데이터를 생성합니다. 로그인 활동 및 테넌트에서 변경된 로그가 너무 많은 데이터를 추가하여 분석하기 어려울 수 있습니다. SIEM(보안 정보 및 이벤트 관리) 도구와 통합하면 환경에 대한 인사이트를 얻는 데 도움이 될 수 있습니다.
이 문서에서는 여러 SIEM 도구 중 하나와 통합하기 위해 로그를 이벤트 허브로 스트리밍하는 방법을 보여 줍니다.
필수 구성 요소
- Azure 구독 Azure 구독이 없으면 평가판에 등록할 수 있습니다.
- 이미 설정된 Azure 이벤트 허브입니다. 이벤트 허브를 만드는 방법을 알아봅니다.
- Microsoft Entra 테넌트에 대한 일반 진단 설정을 만들기 위한 보안 관리자 액세스.
- 사용자 지정 보안 특성 로그에 대한 진단 설정을 만들기 위한 특성 로그 관리자.
이벤트 허브에 로그 스트림
팁
이 문서의 단계는 시작하는 포털에 따라 약간 다를 수도 있습니다.
최소한 보안 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID>모니터링 및 상태>진단 설정으로 이동합니다. 또한 감사 로그 또는 로그인 페이지에서 설정 내보내기를 선택할 수도 있습니다.
+ 진단 설정 추가를 선택하여 새 통합을 만들거나 기존 통합에 대한 설정 편집을 선택합니다.
진단 설정 이름를 입력합니다. 기존 통합을 편집하는 경우 이름을 변경할 수 없습니다.
스트리밍할 로그 범주를 선택합니다.
이벤트 허브로의 스트림 확인란을 선택합니다.
로그를 라우팅하려는 Azure 구독, Event Hubs 네임스페이스 및 선택적 이벤트 허브를 선택합니다.
구독 및 Event Hubs 네임스페이스는 로그를 스트리밍하는 Microsoft Entra 테넌트와 연결되어야 합니다.
Azure 이벤트 허브가 준비되면 활동 로그와 통합하려는 SIEM 도구로 이동합니다. SIEM 도구에서 프로세스가 완료됩니다.
현재 Splunk, SumoLogic 및 ArcSight를 지원합니다. 시작하려면 탭을 선택합니다. 도구 설명서를 참조하세요.
이 기능을 사용하려면 Microsoft Cloud Services를 위한 Splunk 추가 기능이 필요합니다.
Microsoft Entra 로그를 Splunk와 통합
Splunk 인스턴스를 열고 데이터 요약을 선택합니다.
Sourcetypes 탭을 선택한 다음 mscs:azure:eventhub를 선택합니다.
검색에 body.records.category=AuditLogs를 추가합니다. Microsoft Entra 활동 로그가 다음 그림에 표시됩니다.
Splunk 인스턴스에 추가 기능을 설치할 수 없는 경우(예: 프록시를 사용 중이거나 Splunk Cloud에서 실행 중인 경우) 이러한 이벤트를 Splunk HTTP 이벤트 수집기로 전달할 수 있습니다. 이렇게 하려면 이벤트 허브에서 새 메시지에 의해 트리거되는 이 Azure 함수를 사용합니다.
활동 로그 통합 옵션 및 고려 사항
현재 SIEM이 Azure Monitor 진단에서 아직 지원되지 않는 경우 Event Hubs API를 사용하여 사용자 지정 도구를 설정할 수 있습니다. 자세한 내용은 이벤트 허브에서 메시지 수신 시작을 참조하세요.
IBM QRadar는 Microsoft Entra 활동 로그와 통합하는 또 다른 방법입니다. DSM 및 Azure Event Hubs 프로토콜은 IBM 지원에서 다운로드할 수 있습니다. Azure와 통합하는 방법에 대한 자세한 내용은 IBM QRadar 보안 인텔리전스 플랫폼 7.3.0 사이트를 참조하세요.
일부 로그인 범주에는 테넌트 구성에 따라 많은 양의 로그 데이터가 포함되어 있습니다. 일반적으로 비대화형 사용자 로그인 및 서비스 주체 로그인은 대화형 사용자 로그인보다 5~10배 더 클 수 있습니다.