중요합니다
Azure 로그 통합 기능은 2019년 6월 15일까지 더 이상 사용되지 않습니다. AzLog 다운로드는 2018년 6월 27일에 비활성화되었습니다. 앞으로의 작업 지침을 얻으려면 게시물 "Azure Monitor를 사용하여 SIEM 도구와 통합"을 검토하십시오
Azure 로그 통합을 사용하여 온-프레미스 SIEM(보안 정보 및 이벤트 관리) 시스템과 Azure 로그를 통합하는 작업을 간소화할 수 있었습니다.
Azure 로그를 통합하는 데 권장되는 방법은 SIEM 공급업체의 커넥터를 사용하는 것입니다. Azure Monitor는 로그를 이벤트 허브로 스트리밍하는 기능을 제공하며 SIEM 공급업체는 커넥터를 작성하여 이벤트 허브의 로그를 SIEM에 추가로 통합할 수 있습니다. 작동 방식에 대한 설명은 데이터 이벤트 허브에 대한 모니터 스트림 모니터링의 지침을 따르세요. 또한 이 문서에는 직접 Azure 커넥터를 이미 사용할 수 있는 SIEM도 나열되어 있습니다.
중요합니다
주요 관심사가 가상 머신 로그를 수집하는 경우 대부분의 SIEM 공급업체는 솔루션에 이 옵션을 포함합니다. SIEM 공급업체의 커넥터를 사용하는 것이 항상 기본 대안입니다.
Azure 로그 통합 기능에 대한 설명서는 기능이 더 이상 사용되지 않는 때까지 계속 유지 관리됩니다.
Azure 로그 통합 기능에 대해 자세히 알아보려면 다음을 참조하세요.
Azure 로그 통합은 Azure 리소스에서 Windows 이벤트 뷰어 로그, Azure 활동 로그, Azure Security Center 경고 및 Azure Diagnostics 로그 에서 Windows 이벤트를 수집합니다. 통합을 통해 SIEM 솔루션은 온-프레미스 또는 클라우드에서 모든 자산에 대한 통합 대시보드를 제공할 수 있습니다. 대시보드를 사용하여 보안 이벤트에 대한 경고를 수신, 집계, 상관 관계 및 분석할 수 있습니다.
비고
현재 Azure Log Integration은 Azure 상용 및 Azure Government 클라우드만 지원합니다. 다른 클라우드는 지원되지 않습니다.
어떤 로그를 통합할 수 있나요?
Azure는 각 Azure 서비스에 대한 광범위한 로깅을 생성합니다. 로그는 다음 세 가지 로그 유형을 나타냅니다.
- 제어/관리 로그: Azure Resource Manager CREATE, UPDATE 및 DELETE 작업에 대한 가시성을 제공합니다. Azure 활동 로그는 이러한 유형의 로그의 예입니다.
- 데이터 평면 로그: Azure 리소스를 사용할 때 발생하는 이벤트에 대한 가시성을 제공합니다. 이러한 유형의 로그의 예로 Windows 가상 머신의 Windows 이벤트 뷰어 시스템, 보안 및 애플리케이션 채널이 있습니다. 또 다른 예로 Azure Monitor를 통해 구성하는 Azure Diagnostics 로깅이 있습니다.
- 처리된 이벤트: 분석된 이벤트 및 처리되는 경고 정보를 제공합니다. 이러한 유형의 이벤트의 예로는 Azure Security Center 경고가 있습니다. Azure Security Center는 구독을 처리하고 분석하여 현재 보안 상태와 관련된 경고를 제공합니다.
Azure Log Integration은 ArcSight, QRadar 및 Splunk를 지원합니다. SIEM 공급업체에 네이티브 커넥터가 있는지 평가하려면 SIEM 공급업체에 문의하세요. 네이티브 커넥터를 사용할 수 있는 경우 Azure Log Integration을 사용하지 마세요.
다른 옵션을 사용할 수 없는 경우 Azure 로그 통합을 사용하는 것이 좋습니다. 다음 표에는 권장 사항이 포함되어 있습니다.
| SIEM | 고객이 이미 Azure 로그 통합자를 사용하고 있습니다. | 고객이 SIEM 통합 옵션을 조사하고 있습니다. |
|---|---|---|
| 스플렁크 (주) | Splunk용 Azure Monitor 추가 기능으로 마이그레이션을 시작합니다. | Splunk 커넥터를 사용합니다. |
| QRadar | QRadar 커넥터로 마이그레이션하거나 사용을 시작하세요. 이 커넥터는 외부 도구에서 사용하기 위한 이벤트 허브로 Azure 모니터링 데이터를 스트림하는 방법의 마지막 섹션에서 설명되어 있습니다. | 마지막 섹션에 설명된 QRadar 커넥터를 사용하여 외부 도구에서 사용할 수 있도록 Azure 모니터링 데이터를 이벤트 허브로 전송하십시오. |
| ArcSight | 커넥터를 사용할 수 있게 될 때까지 Azure 로그 통합자를 계속 사용한 다음 커넥터 기반 솔루션으로 마이그레이션합니다. | 대안으로 Azure Monitor 로그를 사용하는 것이 좋습니다. 커넥터를 사용할 수 있게 되면 마이그레이션 프로세스를 진행하지 않는 한 Azure Log Integration에 온보딩하지 마세요. |
비고
Azure 로그 통합은 무료 솔루션이지만 로그 파일 정보 스토리지와 관련된 Azure 스토리지 비용이 있습니다.
도움이 필요한 경우 지원 요청을 만들 수 있습니다. 서비스를 위해 로그 통합을 선택하세요.
다음 단계
이 문서에서는 Azure 로그 통합을 소개했습니다. Azure 로그 통합 및 지원되는 로그 유형에 대한 자세한 내용은 다음 문서를 참조하세요.
- Azure 로그 통합을 시작합니다. 이 자습서에서는 Azure 로그 통합 설치를 안내합니다. 또한 WAD(Windows Azure Diagnostics) 스토리지, Azure 활동 로그, Azure Security Center 경고 및 Azure Active Directory 감사 로그에서 로그를 통합하는 방법에 대해서도 설명합니다.
- Azure Log Integration 자주 묻는 질문 (FAQ). 이 FAQ는 Azure 로그 통합에 대한 일반적인 질문에 답변합니다.
- 외부 도구에서 사용할 수 있도록 Azure 모니터링 데이터를 이벤트 허브로 스트리밍하는 방법에 대해 자세히 알아봅니다.