Microsoft Azure 활동 및 Entra ID 로그 수집

다음에서 지원:

이 문서에서는 Microsoft Azure Blob Storage를 사용하여 Google Security Operations 피드를 설정하여 Microsoft Azure 활동 및 Entra ID 로그를 수집하는 방법을 설명합니다.

Azure 활동 로그는 스토리지 계정 생성, 이벤트 허브 삭제, 가상 머신 수정과 같은 Azure 리소스에서 실행된 구독 수준 작업에 대한 유용한 정보를 제공합니다. Microsoft Entra ID (이전 명칭: Azure Active Directory) 로그는 사용자 로그인, 감사 로그, 프로비저닝 활동, 보안 위험 감지 등 ID 및 액세스 관리 이벤트를 캡처합니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

  • Google SecOps 인스턴스
  • 다음 권한이 있는 Microsoft Azure 포털에 대한 권한 액세스
    • 스토리지 계정 만들기
    • Azure Monitor 및 Entra ID의 진단 설정 구성
    • 액세스 키 관리
  • Entra ID의 보안 관리자 역할 이상 (Entra ID 진단 설정의 경우)

Azure 스토리지 계정 구성

스토리지 계정 만들기

  1. Azure 포털에서 스토리지 계정을 검색합니다.
  2. + 만들기를 클릭합니다.

  3. 다음 구성 세부정보를 제공합니다.

    설정
    구독 Azure 구독 선택
    리소스 그룹 기존 항목 선택 또는 새로 만들기
    스토리지 계정 이름 고유한 이름 (예: secops-azure-logs)을 입력합니다.
    리전 리전을 선택합니다 (예: East US).
    성능 표준 (권장)
    중복성 GRS (지리적 중복 스토리지) 또는 LRS (로컬 중복 스토리지)

  4. 검토 + 만들기를 클릭합니다.

  5. 계정 개요를 검토하고 만들기를 클릭합니다.

  6. 배포가 완료될 때까지 기다립니다.

스토리지 계정 사용자 인증 정보 가져오기

  1. 방금 만든 스토리지 계정으로 이동합니다.
  2. 왼쪽 탐색 메뉴의 보안 및 네트워킹에서 액세스 키를 선택합니다.
  3. 키 표시를 클릭합니다.
  4. 나중에 사용할 수 있도록 다음을 복사하여 저장합니다.
    • 스토리지 계정 이름: 스토리지 계정 이름 (예: secops-azure-logs)
    • 키 1 또는 키 2: 공유 액세스 키 (base-64 인코딩의 512비트 임의 문자열)

Blob 서비스 엔드포인트 가져오기

  1. 동일한 스토리지 계정의 왼쪽 탐색에서 엔드포인트를 선택합니다.
  2. Blob 서비스 엔드포인트 URL을 복사하여 저장합니다.
    • 예: https://secops-azure-logs.blob.core.windows.net/

Azure 활동 로그 진단 설정 구성

Azure 활동 로그를 스토리지 계정으로 내보내려면 다음 단계를 따르세요.

  1. Azure 포털에서 모니터링을 검색합니다.
  2. 왼쪽 탐색에서 활동 로그를 클릭합니다.
  3. 창 상단에서 활동 로그 내보내기를 클릭합니다.
  4. 진단 설정 추가를 클릭합니다.
  5. 다음 구성 세부정보를 제공합니다.
    • 진단 설정 이름: 설명이 포함된 이름 (예: activity-logs-to-secops)을 입력합니다.
    • 로그 섹션에서 다음 카테고리를 선택합니다.
      • 행정 구역
      • 보안
      • 서비스 상태
      • 알림
      • 권장사항
      • 정책
      • 자동 확장
      • 리소스 상태
    • 대상 세부정보 섹션에서 스토리지 계정에 아카이브 체크박스를 선택합니다.
    • 구독: 스토리지 계정이 포함된 구독을 선택합니다.
    • 스토리지 계정: 이전에 만든 스토리지 계정을 선택합니다 (예: secops-azure-logs).
  6. 저장을 클릭합니다.

Entra ID 진단 설정 구성

Entra ID 로그를 스토리지 계정으로 내보내려면 다음 단계를 따르세요.

  1. Azure 포털에서 Microsoft Entra ID 또는 Azure Active Directory를 검색합니다.
  2. 왼쪽 탐색 메뉴에서 모니터링 및 상태 > 진단 설정으로 이동합니다.
  3. 진단 설정 추가를 클릭합니다.
  4. 다음 구성 세부정보를 제공합니다.
    • 진단 설정 이름: 설명이 포함된 이름 (예: entraid-logs-to-secops)을 입력합니다.
    • 로그 섹션에서 내보낼 로그 카테고리를 선택합니다.
      • SignInLogs: 대화형 사용자 로그인
      • NonInteractiveUserSignInLogs: 비대화형 사용자 로그인 (사용자를 대신하는 서비스 주체, 관리 ID)
      • ServicePrincipalSignInLogs: 서비스 주체 및 애플리케이션 로그인
      • ManagedIdentitySignInLogs: 관리형 ID 로그인
      • AuditLogs: Entra ID의 모든 변경사항 (사용자 생성, 역할 할당 등)의 감사 추적
      • ProvisioningLogs: 사용자 및 그룹 프로비저닝 이벤트
      • RiskyUsers: Identity Protection에서 플래그를 지정한 사용자
      • UserRiskEvents: 사용자 계정의 위험 감지
      • MicrosoftGraphActivityLogs: Microsoft Graph API 활동 로그
    • 대상 세부정보 섹션에서 스토리지 계정에 아카이브 체크박스를 선택합니다.
    • 구독: 스토리지 계정이 포함된 구독을 선택합니다.
    • 스토리지 계정: 이전에 만든 스토리지 계정을 선택합니다 (예: secops-azure-logs).

  5. 저장을 클릭합니다.

    을 사용하여 별도의 컨테이너를 만듭니다.

Google SecOps 서비스 계정 가져오기

Google SecOps는 고유한 서비스 계정을 사용하여 Azure Blob Storage에서 데이터를 읽습니다. 이 서비스 계정에 스토리지 계정에 대한 액세스 권한을 부여해야 합니다.

서비스 계정 이메일 가져오기

  1. SIEM 설정> 피드로 이동합니다.
  2. 새 피드 추가를 클릭합니다.
  3. 단일 피드 구성을 클릭합니다.
  4. 피드 이름 필드에 임시 이름을 입력합니다.
  5. 소스 유형으로 Microsoft Azure Blob Storage V2를 선택합니다.
  6. 로그 유형을 선택합니다 (나중에 변경할 수 있음).

  7. 서비스 계정 가져오기를 클릭합니다. 고유한 서비스 계정 이메일이 표시됩니다. 예를 들면 다음과 같습니다.

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. 다음 단계에서 사용할 수 있도록 이 이메일 주소를 복사합니다.

  9. 취소를 클릭하여 피드 만들기를 종료합니다 (실제 피드는 나중에 만듭니다).

Google SecOps 서비스 계정에 IAM 권한 부여

Google SecOps 서비스 계정에는 스토리지 계정에 대한 스토리지 Blob 데이터 리더 역할이 필요합니다.

  1. Azure 포털에서 스토리지 계정으로 이동합니다.
  2. 스토리지 계정 이름 (예: secops-azure-logs)을 클릭합니다.
  3. 액세스 제어 (IAM) 탭으로 이동합니다.
  4. + 추가 > 역할 할당 추가를 클릭합니다.
  5. 역할 탭에서 Storage Blob Data Reader를 검색하여 선택합니다.
  6. 다음을 클릭합니다.
  7. 구성원 탭에서 + 구성원 선택을 클릭합니다.
  8. 검색창에 Google SecOps 서비스 계정 이메일을 붙여넣습니다.
  9. 결과에서 서비스 계정을 선택합니다.
  10. 선택을 클릭합니다.
  11. 검토 + 할당을 클릭합니다.
  12. 할당을 검토하고 검토 + 할당을 다시 클릭합니다.

Google SecOps에서 피드 구성

로그 유형 및 컨테이너별로 별도의 피드를 만들어야 합니다. 다음 표에서는 Azure 컨테이너와 Google SecOps 로그 유형 간의 매핑을 보여줍니다.

컨테이너 이름 Chronicle 로그 유형 데이터 소스
insights-activity-logs Azure 활동 Azure 활동 로그
insights-logs-signinlogs Azure AD Entra ID 대화형 로그인
insights-logs-noninteractiveusersigninlogs Azure AD Entra ID 비대화형 로그인
insights-logs-serviceprincipalsigninlogs Azure AD Entra ID 서비스 주체 로그인
insights-logs-managedidentitysigninlogs Azure AD Entra ID 관리 ID 로그인
insights-logs-auditlogs Azure AD 감사 Entra ID 감사 로그
insights-logs-provisioninglogs Azure AD Entra ID 프로비저닝 로그
insights-logs-riskyusers Azure AD Entra ID 위험한 사용자
insights-logs-userriskevents Azure AD Entra ID 사용자 위험 이벤트
insights-logs-microsoftgraphactivitylogs Microsoft Graph 활동 로그 Microsoft Graph 활동

Azure 활동 로그 피드 만들기

  1. SIEM 설정> 피드로 이동합니다.
  2. 새 피드 추가를 클릭합니다.
  3. 다음 페이지에서 단일 피드 구성을 클릭합니다.
  4. 피드 이름 필드에 Azure Activity Logs를 입력합니다.
  5. 소스 유형으로 Microsoft Azure Blob Storage V2를 선택합니다.
  6. 로그 유형으로 Azure 활동을 선택합니다.
  7. 다음을 클릭합니다.

  8. 다음 입력 매개변수의 값을 지정합니다.

    • Azure URI: 컨테이너 경로와 함께 Blob 서비스 엔드포인트 URL을 입력합니다.

       https://secops-azure-logs.blob.core.windows.net/insights-activity-logs/
      • secops-azure-logs을 Azure 스토리지 계정 이름으로 바꿉니다.

    • 소스 삭제 옵션: 환경설정에 따라 삭제 옵션을 선택합니다.

      • 삭제 안함: 전송 후 파일을 삭제하지 않습니다.
      • 전송된 파일 삭제: 전송이 완료되면 파일을 삭제합니다.

      • 전송된 파일 및 빈 디렉터리 삭제: 전송이 완료되면 파일과 빈 디렉터리를 삭제합니다.

    • 최대 파일 기간: 지난 일수 동안 수정된 파일을 포함합니다. 기본값은 180일입니다.

    • 공유 키: 앞에서 스토리지 계정에서 캡처한 공유 키 값 (액세스 키)을 입력합니다.

    • 애셋 네임스페이스: 애셋 네임스페이스입니다.

    • 수집 라벨: 이 피드의 이벤트에 적용할 라벨입니다.

  9. 다음을 클릭합니다.

  10. 확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.

Entra ID 로그 피드 만들기

진단 설정에서 구성한 각 Entra ID 로그 유형에 대해 다음 단계를 반복합니다.

대화형 로그인 로그:

  1. SIEM 설정> 피드로 이동합니다.
  2. 새 피드 추가를 클릭합니다.
  3. 단일 피드 구성을 클릭합니다.
  4. 피드 이름 필드에 Azure AD Interactive Sign-in Logs를 입력합니다.
  5. 소스 유형으로 Microsoft Azure Blob Storage V2를 선택합니다.
  6. 로그 유형으로 Azure AD를 선택합니다.
  7. 다음을 클릭합니다.

  8. 다음 입력 매개변수의 값을 지정합니다.

    • Azure URI:

      https://secops-azure-logs.blob.core.windows.net/insights-logs-signinlogs/
    • 소스 삭제 옵션: 환경설정에 따라 선택합니다.
    • 최대 파일 기간: 180일 (기본값)
    • 공유 키: 공유 키 값을 입력합니다.
    • 애셋 네임스페이스: 애셋 네임스페이스입니다.
    • 수집 라벨: 적용할 라벨입니다.

  9. 다음을 클릭한 후 제출을 클릭합니다.

비대화형 로그인 로그:

다음 설정으로 다른 피드를 만듭니다.

  • 피드 이름: Azure AD Non-interactive Sign-in Logs
  • 로그 유형: Azure AD
  • Azure URI: https://secops-azure-logs.blob.core.windows.net/insights-logs-noninteractiveusersigninlogs/

서비스 주체 로그인 로그:

다음 설정으로 다른 피드를 만듭니다.

  • 피드 이름: Azure AD Service Principal Sign-in Logs
  • 로그 유형: Azure AD
  • Azure URI: https://secops-azure-logs.blob.core.windows.net/insights-logs-serviceprincipalsigninlogs/

관리형 ID 로그인 로그:

다음 설정으로 다른 피드를 만듭니다.

  • 피드 이름: Azure AD Managed Identity Sign-in Logs
  • 로그 유형: Azure AD
  • Azure URI: https://secops-azure-logs.blob.core.windows.net/insights-logs-managedidentitysigninlogs/

감사 로그:

다음 설정으로 다른 피드를 만듭니다.

  • 피드 이름: Azure AD Audit Logs
  • 로그 유형: Azure AD Audit
  • Azure URI: https://secops-azure-logs.blob.core.windows.net/insights-logs-auditlogs/

프로비저닝 로그:

다음 설정으로 다른 피드를 만듭니다.

  • 피드 이름: Azure AD Provisioning Logs
  • 로그 유형: Azure AD
  • Azure URI: https://secops-azure-logs.blob.core.windows.net/insights-logs-provisioninglogs/

위험한 사용자:

다음 설정으로 다른 피드를 만듭니다.

  • 피드 이름: Azure AD Risky Users
  • 로그 유형: Azure AD
  • Azure URI: https://secops-azure-logs.blob.core.windows.net/insights-logs-riskyusers/

사용자 위험 이벤트:

다음 설정으로 다른 피드를 만듭니다.

  • 피드 이름: Azure AD User Risk Events
  • 로그 유형: Azure AD
  • Azure URI: https://secops-azure-logs.blob.core.windows.net/insights-logs-userriskevents/

Microsoft Graph 활동 로그:

다음 설정으로 다른 피드를 만듭니다.

  • 피드 이름: Microsoft Graph Activity Logs
  • 로그 유형: Microsoft Graph Activity Logs
  • Azure URI: https://secops-azure-logs.blob.core.windows.net/insights-logs-microsoftgraphactivitylogs/

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.