Microsoft Azure 리소스 로그 수집

이 문서에서는 Microsoft Azure Blob Storage V2를 사용하여 Google Security Operations 피드를 설정하여 Microsoft Azure 리소스 로그를 수집하는 방법을 설명합니다.

Azure 리소스 로그는 Azure 리소스 내에서 수행된 작업에 관한 유용한 정보를 제공합니다. 이러한 로그는 리소스 작업, 상태, 성능 측정항목에 관한 세부정보를 캡처합니다. 콘텐츠는 리소스 유형에 따라 다르며 인증 이벤트, 구성 변경사항, 액세스 시도, 운영 측정항목과 같은 데이터가 포함됩니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

• Google SecOps 인스턴스

• 다음 권한이 있는 Microsoft Azure 포털에 대한 액세스 권한:

  • 스토리지 계정 만들기
  • Azure 리소스의 진단 설정 구성
  • 액세스 키 관리

Azure 스토리지 계정 구성

스토리지 계정 만들기

1. Azure 포털에서 스토리지 계정을 검색합니다.
2. + 만들기를 클릭합니다.

3. 다음 구성 세부정보를 제공합니다.

   설정	값
   구독	Azure 구독 선택
   리소스 그룹	기존 항목 선택 또는 새로 만들기
   스토리지 계정 이름	고유한 이름 (예: azureresourcelogs)을 입력합니다.
   리전	리전을 선택합니다 (예: East US).
   성능	일반(권장)
   중복성	GRS (지리적 중복 스토리지) 또는 LRS (로컬 중복 스토리지)

4. 검토 + 만들기를 클릭합니다.

5. 계정 개요를 검토하고 만들기를 클릭합니다.

6. 배포가 완료될 때까지 기다립니다.

스토리지 계정 사용자 인증 정보 가져오기

1. 방금 만든 스토리지 계정으로 이동합니다.
2. 왼쪽 탐색 메뉴의 보안 및 네트워킹에서 액세스 키를 선택합니다.
3. 키 표시를 클릭합니다.

4. 나중에 사용할 수 있도록 다음을 복사하여 저장합니다.

   • 스토리지 계정 이름: azureresourcelogs
   • 키 1 또는 키 2: 공유 액세스 키 (base-64 인코딩의 512비트 임의 문자열)

Blob 서비스 엔드포인트 가져오기

1. 동일한 스토리지 계정의 왼쪽 탐색에서 엔드포인트를 선택합니다.

2. Blob 서비스 엔드포인트 URL을 복사하여 저장합니다.

   • 예: https://azureresourcelogs.blob.core.windows.net/

Azure 리소스 진단 설정 구성

Azure 리소스 로그는 기본적으로 수집되지 않습니다. 로그를 스토리지 계정으로 라우팅하려면 각 Azure 리소스에 대해 진단 설정을 만들어야 합니다.

1. Azure 포털에서 모니터링할 Azure 리소스로 이동합니다.
2. 왼쪽 탐색에서 모니터링 아래의 진단 설정을 선택합니다.
3. + 진단 설정 추가를 클릭합니다.

4. 다음 구성 세부정보를 제공합니다.

   • 진단 설정 이름: 설명이 포함된 이름 (예: export-to-secops)을 입력합니다.

   • 로그 섹션에서 수집할 로그 카테고리를 선택합니다. 사용 가능한 카테고리는 리소스 유형에 따라 다릅니다.

     일반적인 카테고리는 다음과 같습니다.

     • 관리 (활동 로그)
     • 보안 (활동 로그용)
     • AuditEvent (Key Vault용)
     • ApplicationGatewayAccessLog (Application Gateway용)
     • ApplicationGatewayFirewallLog (Application Gateway용)
     • NetworkSecurityGroupEvent (네트워크 보안 그룹용)

   • 측정항목 섹션 (선택사항)에서 AllMetrics를 선택하여 플랫폼 측정항목을 스토리지 계정으로 전송합니다.

   • 대상 세부정보 섹션에서 스토리지 계정에 아카이브 체크박스를 선택합니다.

   • 구독: 스토리지 계정이 포함된 구독을 선택합니다.

   • 스토리지 계정: 이전에 만든 스토리지 계정을 선택합니다 (예: azureresourcelogs).

5. 저장을 클릭합니다.

   구성 후 로그가 스토리지 계정의 컨테이너로 자동 내보내집니다. Azure는 insights-logs-<log-category-name> 명명 패턴을 사용하여 컨테이너를 만듭니다. 예를 들면 다음과 같습니다.

   • Key Vault 감사 로그: insights-logs-auditevent
   • Application Gateway 액세스 로그: insights-logs-applicationgatewayaccesslog
   • Application Gateway 방화벽 로그: insights-logs-applicationgatewayfirewalllog
   • 네트워크 보안 그룹 이벤트: insights-logs-networksecuritygroupevent

Azure 리소스 로그를 수집하도록 Google SecOps에서 피드 구성

1. SIEM 설정> 피드로 이동합니다.
2. 새 피드 추가를 클릭합니다.
3. 다음 페이지에서 단일 피드 구성을 클릭합니다.
4. 피드 이름 필드에 피드 이름을 입력합니다(예: Azure Resource Logs).
5. 소스 유형으로 Microsoft Azure Blob Storage V2를 선택합니다.
6. 로그 유형으로 Microsoft Azure 리소스를 선택합니다.
7. 다음을 클릭합니다.

8. 다음 입력 매개변수의 값을 지정합니다.

   • Azure URI: 컨테이너 경로와 함께 Blob 서비스 엔드포인트 URL을 입력합니다.

     https://azureresourcelogs.blob.core.windows.net/insights-logs-<category-name>/
     

     다음을 바꿉니다.

     • azureresourcelogs: Azure 스토리지 계정 이름입니다.
     • <category-name>: 로그 카테고리 이름 (예: Key Vault의 경우 auditevent, Application Gateway의 경우 applicationgatewayaccesslog)

   • 소스 삭제 옵션: 환경설정에 따라 삭제 옵션을 선택합니다.

     • 삭제 안함: 전송 후 파일을 삭제하지 않습니다.
     • 전송된 파일 삭제: 전송이 완료되면 파일을 삭제합니다.
     • 전송된 파일 및 빈 디렉터리 삭제: 전송이 완료되면 파일과 빈 디렉터리를 삭제합니다.

   • 최대 파일 기간: 지난 일수 동안 수정된 파일을 포함합니다. 기본값은 180일입니다.

   • 공유 키: 3단계에서 스토리지 계정에서 캡처한 공유 키 값 (액세스 키)을 입력합니다.

   • 애셋 네임스페이스: 애셋 네임스페이스입니다.

   • 수집 라벨: 이 피드의 이벤트에 적용할 라벨입니다.

9. 다음을 클릭합니다.

10. 확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.

Azure Storage 방화벽 구성 (사용 설정된 경우)

Azure 스토리지 계정에서 방화벽을 사용하는 경우 Google SecOps IP 범위를 추가해야 합니다.

1. 현재 IP 범위를 가져오려면 다음 옵션 중 하나를 선택하세요.

   • IP 허용 목록 문서를 참고하세요.
   • 피드 관리 API를 사용하여 프로그래매틱 방식으로 검색

2. Azure 포털에서 스토리지 계정으로 이동합니다.

3. 보안 + 네트워킹에서 네트워킹을 선택합니다.

4. 방화벽 및 가상 네트워크에서 선택한 가상 네트워크 및 IP 주소에서 사용 설정됨을 선택합니다.

5. 방화벽 섹션의 주소 범위에서 + IP 범위 추가를 클릭합니다.

6. 각 Google SecOps IP 범위를 CIDR 표기법으로 추가합니다.

7. 저장을 클릭합니다.

UDM 매핑 테이블

도움이 더 필요한가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.