다음을 통해 공유


활동 로그를 이벤트 허브로 스트리밍하는 방법

Microsoft Entra 테넌트는 매초 대량의 데이터를 생성합니다. 로그인 활동 및 테넌트에서 변경된 로그가 너무 많은 데이터를 추가하여 분석하기 어려울 수 있습니다. SIEM(보안 정보 및 이벤트 관리) 도구와 통합하면 환경에 대한 인사이트를 얻는 데 도움이 될 수 있습니다.

이 문서에서는 여러 SIEM 도구 중 하나와 통합하기 위해 로그를 이벤트 허브로 스트리밍하는 방법을 보여 줍니다.

필수 구성 요소

이벤트 허브에 로그 스트림

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수도 있습니다.

  1. 최소한 보안 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID>모니터링 및 상태>진단 설정으로 이동합니다. 또한 감사 로그 또는 로그인 페이지에서 설정 내보내기를 선택할 수도 있습니다.

  3. + 진단 설정 추가를 선택하여 새 통합을 만들거나 기존 통합에 대한 설정 편집을 선택합니다.

  4. 진단 설정 이름를 입력합니다. 기존 통합을 편집하는 경우 이름을 변경할 수 없습니다.

  5. 스트리밍할 로그 범주를 선택합니다.

  1. 이벤트 허브로의 스트림 확인란을 선택합니다.

  2. 로그를 라우팅하려는 Azure 구독, Event Hubs 네임스페이스 및 선택적 이벤트 허브를 선택합니다.

구독 및 Event Hubs 네임스페이스는 로그를 스트리밍하는 Microsoft Entra 테넌트와 연결되어야 합니다.

Azure 이벤트 허브가 준비되면 활동 로그와 통합하려는 SIEM 도구로 이동합니다. SIEM 도구에서 프로세스가 완료됩니다.

현재 Splunk, SumoLogic 및 ArcSight를 지원합니다. 시작하려면 탭을 선택합니다. 도구 설명서를 참조하세요.

이 기능을 사용하려면 Microsoft Cloud Services를 위한 Splunk 추가 기능이 필요합니다.

Microsoft Entra 로그를 Splunk와 통합

  1. Splunk 인스턴스를 열고 데이터 요약을 선택합니다.

  2. Sourcetypes 탭을 선택한 다음 mscs:azure:eventhub를 선택합니다.

    데이터 요약 Sourcetypes 탭

검색에 body.records.category=AuditLogs를 추가합니다. Microsoft Entra 활동 로그가 다음 그림에 표시됩니다.

활동 로그

Splunk 인스턴스에 추가 기능을 설치할 수 없는 경우(예: 프록시를 사용 중이거나 Splunk Cloud에서 실행 중인 경우) 이러한 이벤트를 Splunk HTTP 이벤트 수집기로 전달할 수 있습니다. 이렇게 하려면 이벤트 허브에서 새 메시지에 의해 트리거되는 이 Azure 함수를 사용합니다.

활동 로그 통합 옵션 및 고려 사항

현재 SIEM이 Azure Monitor 진단에서 아직 지원되지 않는 경우 Event Hubs API를 사용하여 사용자 지정 도구를 설정할 수 있습니다. 자세한 내용은 이벤트 허브에서 메시지 수신 시작을 참조하세요.

IBM QRadar는 Microsoft Entra 활동 로그와 통합하는 또 다른 방법입니다. DSM 및 Azure Event Hubs 프로토콜은 IBM 지원에서 다운로드할 수 있습니다. Azure와 통합하는 방법에 대한 자세한 내용은 IBM QRadar 보안 인텔리전스 플랫폼 7.3.0 사이트를 참조하세요.

일부 로그인 범주에는 테넌트 구성에 따라 많은 양의 로그 데이터가 포함되어 있습니다. 일반적으로 비대화형 사용자 로그인 및 서비스 주체 로그인은 대화형 사용자 로그인보다 5~10배 더 클 수 있습니다.

다음 단계