운영 워크플로에 직접 맞게 탐색 구조를 재구성했습니다. 자세한 내용은 Google SecOps 출시 노트를 참고하세요.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Azure Event Hub 피드 만들기

다음에서 지원:

Google secops SIEM

이 문서에서는 Google Security Operations로 보안 데이터를 전송하도록 Azure Event Hub를 설정하는 방법을 보여줍니다. 활성 피드와 비활성 피드를 모두 포함하여 최대 10개의 Azure Event Hub 피드를 만들 수 있습니다.

Azure 피드를 설정하려면 다음 프로세스를 완료하세요.

Azure에서 이벤트 허브 만들기: 보안 데이터 스트림을 수신하고 저장하도록 Azure 환경에서 필요한 인프라를 설정합니다.
Google SecOps에서 피드 구성: Google SecOps에서 피드를 구성하여 Azure 이벤트 허브에 연결하고 데이터 수집을 시작합니다.

Azure Event Hub 만들기

Azure에서 이벤트 허브를 만들려면 다음 단계를 따르세요.

이벤트 허브 네임스페이스 및 이벤트 허브를 만듭니다.
- 최적의 데이터 수집을 위해 Google SecOps 인스턴스와 동일한 리전에 Event Hub 네임스페이스를 배포합니다. 다른 리전에 이벤트 허브를 배포하면 Google SecOps로 수집되는 처리량이 줄어들 수 있습니다.
- 최적의 확장을 위해 파티션 수를 40으로 설정합니다. 32개 이상의 파티션을 설정하려면 Azure Event Hubs의 프리미엄 등급이 있어야 합니다.
  참고: 표준 및 기본 등급에서는 나중에 파티션 수를 변경할 수 없습니다. 파티션 수는 비용에 영향을 미치지 않습니다.
- Google SecOps 할당량 한도로 인한 데이터 손실을 방지하려면 이벤트 허브의 보관 기간을 길게 설정하세요. 이렇게 하면 할당량 제한 후 수집이 재개되기 전에 로그가 삭제되지 않습니다. 이벤트 보관 및 보관 기간 제한에 관한 자세한 내용은 이벤트 보관을 참고하세요.
- 표준 등급 이벤트 허브의 경우 필요에 따라 처리량을 자동으로 확장하려면 자동 확장 을 사용 설정합니다. 자세한 내용은 Azure Event Hubs 처리량 단위를 수직 확장하기를 참고하세요.
- 기본 및 표준 등급의 경우 Azure Event Hub의 처리량 단위 (TU) 하나는 초당 최대 1MB의 데이터 수집을 지원합니다. 수신 이벤트 볼륨이 구성된 TU의 용량을 초과하면 데이터 손실이 발생할 수 있습니다. 예를 들어 5개의 TU를 구성하면 지원되는 최대 수집 속도는 초당 5MB입니다. 이벤트가 초당 20MB로 전송되면 Event Hub가 비정상 종료될 수 있습니다. 따라서 로그가 Google SecOps에 도달하기 전에 Event Hub 수준에서 손실될 수 있습니다.
이벤트 허브 연결 문자열을 가져옵니다. 이 문자열은 Google SecOps가 Azure 이벤트 허브에서 데이터를 수집하는 데 필요합니다. 이 연결 문자열은 Google SecOps가 이벤트 허브에서 보안 데이터에 액세스하고 수집할 수 있도록 승인합니다. 연결 문자열을 제공하는 방법은 두 가지가 있습니다.
- 이벤트 허브 네임스페이스 수준: 네임스페이스 내의 모든 이벤트 허브에서 작동합니다. 여러 이벤트 허브를 사용하고 피드 설정에서 모든 이벤트 허브에 동일한 연결 문자열을 사용하려는 경우 더 간단한 옵션입니다.
- 이벤트 허브 수준: 단일 이벤트 허브에 적용됩니다. 이벤트 허브 하나에만 액세스 권한을 부여해야 하는 경우 안전한 옵션입니다. 연결 문자열 끝에서 EntityPath를 삭제해야 합니다.
예를 들어 Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME> 을 Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>로 변경합니다.
웹 애플리케이션 방화벽 또는 Microsoft Defender와 같은 애플리케이션이 로그를 이벤트 허브로 전송하도록 구성합니다.

Microsoft Defender 사용자: Microsoft Defender 스트리밍을 구성할 때는 기존 이벤트 허브 이름을 입력해야 합니다. 이 필드를 비워두면 시스템에서 불필요한 이벤트 허브를 만들고 제한된 피드 할당량을 사용할 수 있습니다. 정리된 상태를 유지하려면 로그 유형과 일치하는 이벤트 허브 이름을 사용하세요.

Azure 피드 구성

Google SecOps에서 Azure 피드를 구성하려면 다음 단계를 따르세요.

Google SecOps 메뉴에서 SIEM 설정 을 선택한 후 피드를 클릭합니다.
새로 추가 를 클릭합니다.
피드 이름 필드에 피드 이름을 입력합니다.
소스 유형 목록에서 Microsoft Azure Event Hub 를 선택합니다.
로그 유형 을 선택합니다. 예를 들어 개방형 사이버 보안 스키마 프레임워크의 피드를 만들려면 로그 유형 으로 개방형 사이버 보안 스키마 프레임워크 (OCSF) 를 선택합니다.
다음 을 클릭합니다. 피드 추가 창이 표시됩니다.
Azure 포털에서 이전에 만든 이벤트 허브에서 정보를 가져와 다음 필드를 채웁니다.
- 이벤트 허브 이름: 이벤트 허브 이름
- 이벤트 허브 소비자 그룹: 이벤트 허브와 연결된 소비자 그룹
  
  주의: Azure 포털의 데이터 탐색기 탭을 통해 소비자 그룹의 구독자를 만들거나 프로그래매틱 방식으로 데이터를 가져오지 마세요. 이렇게 하면 데이터가 손실될 수 있습니다.
- 이벤트 허브 연결 문자열: 이벤트 허브 연결 문자열
- Azure 스토리지 연결 문자열: 선택사항. Blob 스토리지 연결 문자열
- Azure 스토리지 컨테이너 이름: 선택사항. Blob 스토리지 컨테이너 이름
- Azure SAS 토큰: 선택사항. SAS 토큰
- 애셋 네임스페이스: 선택사항. 애셋 네임스페이스
- 수집 라벨: 선택사항. 이 피드의 이벤트에 적용할 라벨
참고: Google SecOps는 Azure Event Hub에서 데이터를 수집할 때 자체 체크포인트를 관리합니다. 이벤트 허브 연결 문자열만 필요합니다. 다른 선택적 필드는 체크포인트에 영향을 미치지 않습니다.
다음 을 클릭합니다. 마무리 화면이 표시됩니다.
피드 구성을 검토한 후 제출 을 클릭합니다.

데이터 흐름 확인

데이터가 Google SecOps로 흐르고 이벤트 허브가 올바르게 작동하는지 확인하려면 다음 검사를 실행하면 됩니다.

Google SecOps에서 대시보드를 검토하고 원시 로그 스캔 또는 통합 데이터 모델 (UDM) 검색을 사용하여 수집된 데이터가 올바른 형식으로 있는지 확인합니다.
Azure 포털에서 이벤트 허브의 페이지로 이동하여 수신 및 발신 바이트를 표시하는 그래프를 검사합니다. 수신 및 발신 속도가 거의 동일하여 메시지가 처리되고 백로그가 없는지 확인합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.