로깅 및 모니터링 기준 만들기

  • 5분

로깅 및 모니터링은 보안 위협을 확인, 탐지, 완화하려는 경우에 중요한 요구 사항입니다. 적절한 로깅 정책을 사용하면 보안 위반이 발생한 시점을 확실하게 파악할 수 있습니다. 또한 이 정책은 책임이 있는 사람을 잠재적으로 식별할 수 있습니다. Azure 활동 로그는 리소스에 대한 외부 액세스에 관한 데이터를 제공하며, 진단 로그를 제공하여 특정 리소스의 작업 정보를 확보할 수 있습니다.

참고

Azure 활동 로그는 Azure에서 발생한 구독 수준 이벤트에 대한 인사이트를 제공하는 구독 로그입니다. 활동 로그를 사용하면 구독의 리소스에서 발생한 모든 쓰기 작업에 대해 무엇을, 누가, 언제를 판단할 수 있습니다.

로깅 정책 권장 사항

다음 섹션에서는 Azure 구독에 대한 로깅 및 모니터링 정책을 설정하기 위한 CIS Microsoft Azure Foundations 보안 벤치마크 v. 1.3.0의 보안 권장 사항을 설명합니다. 각 권장 사항에는 Azure Portal에서 완료해야 하는 기본 단계가 포함되어 있습니다. 자신의 구독에 대해 이러한 단계를 완료하고 자신의 리소스를 사용하여 각 보안 권장 사항의 유효성을 검사해야 합니다. 수준 2 옵션은 일부 기능이나 작업을 제한할 수 있으므로, 적용할 보안 옵션을 신중하게 고려해야 합니다.

진단 설정이 존재하는지 확인 - 수준 1

Azure 활동 로그는 Azure에서 발생한 구독 수준 이벤트에 대한 인사이트를 제공합니다. 이 로그에는 Azure Resource Manager 작동 데이터부터 Azure Service Health 이벤트 업데이트까지 다양한 데이터가 포함됩니다. 이전에는 활동 로그를 감사 로그 또는 작업 로그라고 했습니다. 관리 범주는 구독에 대한 컨트롤 플레인 이벤트를 보고합니다.

Azure 구독마다 활동 로그가 하나씩 있습니다. 로그는 Azure 외부에서 시작된 리소스 작업에 대한 데이터를 제공합니다.

진단 로그는 리소스에 의해 내보내집니다. 진단 로그는 리소스 작업에 대한 정보를 제공합니다. 각 리소스에 대해 진단 설정을 사용하도록 지정해야 합니다.

  1. Azure Portal에 로그인합니다. 모니터를 검색하고 선택합니다.

  2. 왼쪽 메뉴 창에서 활동 로그를 선택합니다.

  3. 활동 로그 메뉴 모음에서 활동 로그 내보내기를 선택합니다.

  4. 표시된 설정이 없으면 구독을 선택한 다음 진단 설정 추가를 선택합니다.

    Screenshot that shows the Diagnostic settings pane and Add diagnostic setting selected.

  5. 진단 설정의 이름을 입력한 다음, 로그 범주 및 대상 세부 정보를 선택합니다.

  6. 메뉴 모음에서 저장을 선택합니다.

진단 설정을 만드는 방법의 예는 다음과 같습니다.

Screenshot that shows the Diagnostic settings creation pane and options selected.

“정책 할당 만들기”에 대한 활동 로그 경고 만들기 - 수준 1

생성된 정책을 모니터링하는 경우 정책을 만들 수 있는 사용자를 확인할 수 있습니다. 이 정보는 Azure 리소스 또는 구독의 위반 또는 잘못된 구성을 감지하는 데 도움이 될 수 있습니다.

  1. Azure Portal에 로그인합니다. 모니터를 검색하고 선택합니다.

  2. 왼쪽 메뉴에서 경고를 선택합니다.

  3. 경고 메뉴 모음에서 만들기 드롭다운을 선택한 다음, 경고 규칙을 선택합니다.

  4. 경고 규칙 만들기 창에서 범위 선택을 선택합니다.

  5. 리소스 선택 창의 리소스 유형별 필터 드롭다운에서 정책 할당(policyAssignments)을 선택합니다.

  6. 모니터링할 Azure 리소스를 선택합니다.

  7. 완료를 선택합니다.

    Screenshot that shows adding a monitoring alert for an Azure resource.

  8. 경고 만들기를 완료하려면 Azure Monitor 경고 창에서 경고 규칙 만들기에 설명된 단계를 완료합니다.

네트워크 보안 그룹 만들기, 업데이트 또는 삭제에 대한 활동 로그 경고 만들기 - 수준 1

기본적으로 NSG를 생성, 업데이트 또는 삭제할 때는 모니터링 경고가 생성되지 않습니다. 보안 그룹을 변경하거나 삭제하면 내부 리소스를 부적절한 출처에서 액세스하거나 예기치 않은 아웃바운드 네트워크 트래픽을 위해 액세스할 수 있습니다.

  1. Azure Portal에 로그인합니다. 모니터를 검색하고 선택합니다.

  2. 왼쪽 메뉴에서 경고를 선택합니다.

  3. 경고 메뉴 모음에서 만들기 드롭다운을 선택한 다음, 경고 규칙을 선택합니다.

  4. 경고 규칙 만들기 창에서 범위 선택을 선택합니다.

  5. 리소스 선택 창의 리소스 유형별 필터 드롭다운에서 네트워크 보안 그룹을 선택합니다.

  6. 완료를 선택합니다.

  7. 경고 만들기를 완료하려면 Azure Monitor 경고 창에서 경고 규칙 만들기에 설명된 단계를 완료합니다.

SQL Server 방화벽 규칙 만들기 또는 업데이트에 대한 활동 로그 경고 만들기 - 수준 1

SQL Server 방화벽규칙을 만들거나 업데이트하는 이벤트를 모니터링하면 네트워크 액세스 변경 사항에 대한 인사이트를 얻을 수 있고 의심스러운 활동을 탐지하는 데 걸리는 시간을 줄일 수 있습니다.

  1. Azure Portal에 로그인합니다. 모니터를 검색하고 선택합니다.

  2. 왼쪽 메뉴에서 경고를 선택합니다.

  3. 경고 메뉴 모음에서 만들기 드롭다운을 선택한 다음, 경고 규칙을 선택합니다.

  4. 경고 규칙 만들기 창에서 범위 선택을 선택합니다.

  5. 리소스 선택 창의 리소스 유형별 필터 드롭다운에서 SQL 서버를 선택합니다.

  6. 완료를 선택합니다.

  7. 경고 만들기를 완료하려면 Azure Monitor 경고 창에서 경고 규칙 만들기에 설명된 단계를 완료합니다.