Microsoft SQL Server 로그 수집
다음에서 지원:
Google SecOps
SIEM
이 문서에서는 Bindplane을 사용하여 Microsoft SQL Server 로그를 Google Security Operations에 수집하는 방법을 설명합니다. 파서는 구조화된 (JSON, 키-값 쌍) Microsoft SQL Server 로그와 반구조화된 (syslog) Microsoft SQL Server 로그를 모두 처리합니다. 필드를 추출하고, 타임스탬프를 정규화하고, SourceModuleType 및 Message 콘텐츠 (감사, 로그인, 데이터베이스 이벤트 포함)에 따라 다양한 로그 형식을 처리하고, UDM에 매핑합니다. 또한 감사 기록, 로그인 시도, 데이터베이스 작업에 대한 특정 파싱 로직을 실행하여 추가 컨텍스트 및 심각도 정보로 데이터를 보강합니다.syslog 전달자 (NXLog)를 사용하여 Windows 이벤트 로그에서 SQL Server 감사 및 오류 로그를 수집하고 Google SecOps에 전달하기 위해 BindPlane 에이전트로 전송합니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스
- Microsoft SQL Server를 실행하는 Windows Server 2016 이상 호스트
- BindPlane 에이전트 및 NXLog를 설치하고 구성할 수 있는 관리 액세스 권한
- 프록시 뒤에서 실행하는 경우 Bindplane 에이전트 요구사항에 따라 방화벽 포트가 열려 있는지 확인합니다.
Google SecOps 수집 인증 파일 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 수집 에이전트로 이동합니다.
- 수집 인증 파일을 다운로드합니다. Bindplane이 설치될 시스템에 파일을 안전하게 저장합니다.
Google SecOps 고객 ID 가져오기
- Google SecOps 콘솔에 로그인합니다.
- SIEM 설정 > 프로필로 이동합니다.
- 조직 세부정보 섹션에서 고객 ID를 복사하여 저장합니다.
Bindplane 에이전트 설치
다음 안내에 따라 Windows 또는 Linux 운영체제에 Bindplane 에이전트를 설치합니다.
Windows 설치
- 명령 프롬프트 또는 PowerShell을 관리자로 엽니다.
다음 명령어를 실행합니다.
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
추가 설치 리소스
추가 설치 옵션은 설치 가이드를 참고하세요.
Syslog를 수집하여 Google SecOps로 전송하도록 Bindplane 에이전트 구성
- 구성 파일에 액세스합니다.
config.yaml파일을 찾습니다. 일반적으로 Windows의 `C:\Program Files\observIQ\bindplane-agent` 디렉터리에 있습니다.- 텍스트 편집기 (예:
nano,vi, 메모장)를 사용하여 파일을 엽니다.
다음과 같이
config.yaml파일을 수정합니다.receivers: udplog: # Replace the port and IP address as required listen_address: "0.0.0.0:1514" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds_file_path: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <YOUR_CUSTOMER_ID> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization log_type: 'MICROSOFT_SQL' raw_log_field: body ingestion_labels: service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - udplog exporters: - chronicle/chronicle_w_labels- 인프라에 필요한 대로 포트와 IP 주소를 바꿉니다.
<customer_id>를 실제 고객 ID로 바꿉니다.- Google SecOps 수집 인증 파일 가져오기 섹션에서 인증 파일이 저장된 경로로
/path/to/ingestion-authentication-file.json를 업데이트합니다.
Bindplane 에이전트를 다시 시작하여 변경사항 적용
Windows에서 Bindplane 에이전트를 다시 시작하려면 서비스 콘솔을 사용하거나 다음 명령어를 입력하면 됩니다.
net stop BindPlaneAgent && net start BindPlaneAgent
Windows 이벤트 로그에서 SQL Server 감사 사용 설정
SQL Server Management Studio (SSMS) GUI 또는 T-SQL 명령어를 사용하여 SQL Server 감사를 사용 설정할 수 있습니다. 환경에 가장 적합한 옵션을 선택하세요.
옵션 1: SSMS GUI를 통해 SQL Server 감사 사용 설정
SQL Server Management Studio UI에서 서버 감사 만들기
- SQL Server Management Studio (SSMS)를 열고 SQL Server 인스턴스에 연결합니다.
- 객체 탐색기에서 서버 인스턴스를 펼칩니다.
- 보안 폴더를 펼칩니다.
- 감사를 마우스 오른쪽 버튼으로 클릭하고 새 감사를 선택합니다.
- 감사 만들기 대화상자에서 다음 구성 세부정보를 입력합니다.
- 감사 이름:
ChronicleAudit를 입력합니다. - 대기열 지연 시간 (밀리초):
1000를 입력합니다. - 감사 로그 실패 시: 계속을 선택합니다.
- 감사 대상: 애플리케이션 로그를 선택합니다.
- 감사 이름:
- 확인을 클릭하여 감사를 만듭니다.
- 객체 탐색기에서 새로 만든 ChronicleAudit을 마우스 오른쪽 버튼으로 클릭하고 감사 사용 설정을 선택합니다.
SSMS GUI를 통해 서버 감사 사양 만들기
- 객체 탐색기에서 보안을 펼칩니다.
- 서버 감사 사양을 마우스 오른쪽 버튼으로 클릭하고 새 서버 감사 사양을 선택합니다.
- 서버 감사 사양 만들기 대화상자에서 다음 구성 세부정보를 제공합니다.
- 이름:
ChronicleAuditSpec를 입력합니다. - 감사: 메뉴에서 ChronicleAudit를 선택합니다.
- 이름:
- 감사 작업 유형 섹션에서 추가를 클릭하고 다음 감사 작업 그룹을 선택합니다 (각 항목을 선택한 후 추가를 클릭하여 개별적으로 추가).
- FAILED_LOGIN_GROUP
- SUCCESSFUL_LOGIN_GROUP
- LOGOUT_GROUP
- SERVER_ROLE_MEMBER_CHANGE_GROUP
- DATABASE_OBJECT_CHANGE_GROUP
- DATABASE_PRINCIPAL_CHANGE_GROUP
- SCHEMA_OBJECT_CHANGE_GROUP
- DATABASE_PERMISSION_CHANGE_GROUP
- 확인을 클릭하여 감사 사양을 만듭니다.
- 객체 탐색기에서 새로 만든 ChronicleAuditSpec을 마우스 오른쪽 버튼으로 클릭하고 서버 감사 사양 사용 설정을 선택합니다.
감사 구성 확인
- 객체 탐색기에서 보안 > 감사를 확장합니다.
- ChronicleAudit을 마우스 오른쪽 버튼으로 클릭하고 Properties를 선택합니다.
- 상태가 시작됨 또는 사용 설정됨으로 표시되는지 확인합니다.
- 보안 > 서버 감사 사양을 펼칩니다.
- ChronicleAuditSpec을 마우스 오른쪽 버튼으로 클릭하고 속성을 선택합니다.
- 8개의 감사 작업 그룹이 모두 나열되고 사양이 사용 설정되어 있는지 확인합니다.
옵션 2: T-SQL을 사용하여 SQL Server 감사 사용 설정
- SQL Server Management Studio (SSMS)를 열고 SQL Server 인스턴스에 연결합니다.
다음 T-SQL 명령어를 실행하여 Windows 애플리케이션 로그에 쓰는 서버 감사를 만듭니다.
USE master; GO CREATE SERVER AUDIT ChronicleAudit TO APPLICATION_LOG WITH (QUEUE_DELAY = 1000, ON_FAILURE = CONTINUE); GO ALTER SERVER AUDIT ChronicleAudit WITH (STATE = ON); GO관련 보안 이벤트를 캡처하는 감사 사양을 만듭니다.
CREATE SERVER AUDIT SPECIFICATION ChronicleAuditSpec FOR SERVER AUDIT ChronicleAudit ADD (FAILED_LOGIN_GROUP), ADD (SUCCESSFUL_LOGIN_GROUP), ADD (LOGOUT_GROUP), ADD (SERVER_ROLE_MEMBER_CHANGE_GROUP), ADD (DATABASE_OBJECT_CHANGE_GROUP), ADD (DATABASE_PRINCIPAL_CHANGE_GROUP), ADD (SCHEMA_OBJECT_CHANGE_GROUP), ADD (DATABASE_PERMISSION_CHANGE_GROUP); GO ALTER SERVER AUDIT SPECIFICATION ChronicleAuditSpec WITH (STATE = ON); GO
이 구성을 사용하면 인증 이벤트, 권한 변경, 객체 수정이 Windows 이벤트 로그에 기록됩니다.
NXLog를 설치 및 구성하여 이벤트를 Bindplane으로 전달
- nxlog.co/downloads에서 NXLog Community Edition을 다운로드합니다.
- 설치 프로그램을 실행하고 설치 마법사를 완료합니다.
다음 위치에 있는 NXLog 구성 파일을 엽니다.
C:\Program Files\nxlog\conf\nxlog.conf콘텐츠를 다음 구성으로 바꿉니다.
define ROOT C:\Program Files\nxlog Moduledir %ROOT%\modules CacheDir %ROOT%\data Pidfile %ROOT%\data\nxlog.pid SpoolDir %ROOT%\data LogFile %ROOT%\data\nxlog.log <Extension _json> Module xm_json </Extension> <Input in_eventlog> Module im_msvistalog Query <QueryList>\ <Query Id="0">\ <Select Path="Application">*[System[Provider[@Name='MSSQLSERVER']]]</Select>\ </Query>\ </QueryList> </Input> <Output out_syslog> Module om_udp Host 127.0.0.1 Port 1514 Exec to_json(); </Output> <Route r1> Path in_eventlog => out_syslog </Route>- 호스트 현재 값
127.0.0.1를 Bindplane 에이전트 IP 주소로 바꿉니다. - 포트 값이 이전에 구성한 Bindplane
udplog수신기 포트와 일치하는지 확인합니다.
- 호스트 현재 값
파일을 저장하고 NXLog 서비스를 다시 시작합니다.
net stop nxlog && net start nxlog
UDM 매핑 테이블
| 로그 필드 | UDM 매핑 | 논리 |
|---|---|---|
AccountName |
principal.user.userid |
데이터베이스 시작 또는 로그가 백업됨과 같은 로그에 있는 경우 principal.user.userid에 사용됩니다. |
AgentDevice |
additional.fields |
키가 'AgentDevice'인 additional.fields에 키-값 쌍으로 추가됩니다. |
AgentLogFile |
additional.fields |
키가 'AgentLogFile'인 additional.fields에 키-값 쌍으로 추가됩니다. |
agent.hostname |
observer.asset.hostname |
관찰자 호스트 이름에 매핑됩니다. |
agent.id |
observer.asset_id |
agent.type와 연결되어 observer.asset_id을 형성합니다. |
agent.type |
observer.asset_id |
agent.id와 연결되어 observer.asset_id을 형성합니다. |
agent.version |
observer.platform_version |
관찰자 플랫폼 버전으로 매핑됩니다. |
ApplicationName |
principal.application |
주 구성원 애플리케이션에 매핑됩니다. |
application_name |
target.application |
타겟 애플리케이션에 매핑됩니다. |
client_address |
principal.ip |
호스트와 다르고 로컬 또는 명명된 파이프가 아닌 경우 주 구성원 IP에 사용됩니다. |
client_ip |
principal.ip |
주 구성원 IP에 매핑됩니다. |
computer_name |
about.hostname |
about 호스트 이름에 매핑됩니다. |
correlationId |
security_result.detection_fields |
키가 'correlationId'인 security_result.detection_fields에 키-값 쌍으로 추가됩니다. |
Date |
metadata.event_timestamp |
Time와 결합하여 이벤트 타임스탬프를 만듭니다. |
database_name |
target.resource_ancestors.name |
감사 로그에 있는 경우 타겟 리소스 상위 이름에 사용됩니다. |
durationMs |
network.session_duration.seconds |
밀리초에서 초로 변환되어 매핑되었습니다. |
ecs.version |
metadata.product_version |
제품 버전으로 매핑됩니다. |
error |
security_result.detection_fields |
키가 'error'인 security_result.detection_fields에 키-값 쌍으로 추가됩니다. |
err_msg |
security_result.description |
보안 결과 설명에 매핑됩니다. |
EventID |
metadata.product_event_type |
다른 필드를 사용할 수 없는 경우 제품 이벤트 유형을 구성하는 데 사용되며 'EventID: '가 앞에 붙습니다. |
event.action |
Source |
있는 경우 소스로 사용됩니다. |
event.code |
metadata.product_event_type |
event.provider와 결합하여 metadata.product_event_type를 형성합니다. |
event.provider |
metadata.product_event_type |
event.code와 결합하여 metadata.product_event_type를 형성합니다. |
EventReceivedTime |
metadata.ingested_timestamp |
파싱되어 수집된 타임스탬프로 사용됩니다. |
event_time |
metadata.event_timestamp |
파싱되어 이벤트 타임스탬프로 사용됩니다. |
file_name |
principal.process.file.full_path |
주 프로세스 파일 전체 경로에 매핑됩니다. |
file_path |
target.file.full_path |
백업 로그에서 발견된 경우 타겟 파일 전체 경로에 사용됩니다. |
first_lsn |
target.resource.attribute.labels |
키가 'First LSN'인 target.resource.attribute.labels에 키-값 쌍으로 추가됩니다. |
host |
principal.hostname, observer.hostname |
IP가 아닌 경우 주 구성원 또는 관찰자 호스트 이름에 사용됩니다. IP인지 여부에 따라 타겟 호스트 이름 또는 IP에도 사용됩니다. |
host.ip |
principal.ip |
기본 IP로 병합되었습니다. |
host.name |
host |
있는 경우 호스트로 사용됩니다. |
Hostname |
principal.hostname, target.hostname |
주 구성원 또는 대상 호스트 이름(있는 경우)에 사용됩니다. |
hostinfo.architecture |
principal.asset.hardware.cpu_platform |
주요 애셋 하드웨어 CPU 플랫폼에 매핑됩니다. |
hostinfo.os.build |
additional.fields |
키가 'os_build'인 additional.fields에 키-값 쌍으로 추가됩니다. |
hostinfo.os.kernel |
principal.platform_patch_level |
주 플랫폼 패치 수준에 매핑됩니다. |
hostinfo.os.name |
additional.fields |
키가 'os_name'인 additional.fields에 키-값 쌍으로 추가됩니다. |
hostinfo.os.platform |
principal.platform |
대문자로 표시되고 기본 플랫폼에 매핑됩니다. |
hostinfo.os.version |
principal.platform_version |
주요 플랫폼 버전에 매핑됩니다. |
last_lsn |
target.resource.attribute.labels |
키가 'Last LSN'인 target.resource.attribute.labels에 키-값 쌍으로 추가됩니다. |
level |
security_result.severity |
'Informational'인 경우 security_result.severity을 'INFORMATIONAL'로 설정합니다. |
log.level |
security_result.severity_details |
보안 결과 심각도 세부정보에 매핑됩니다. |
LoginName |
principal.user.userid |
KV 로그에 있는 경우 주 사용자 ID에 사용됩니다. |
login_result |
security_result.action |
보안 결과 작업 (ALLOW 또는 BLOCK)을 결정합니다. |
logon_user |
principal.user.userid |
로그인 로그에 있는 경우 주 사용자 ID에 사용됩니다. |
logstash.process.host |
intermediary.hostname |
중간 호스트 이름에 매핑됩니다. |
Message |
metadata.description, security_result.description |
로그 유형에 따라 이벤트 설명 또는 보안 결과 설명에 사용됩니다. |
msg |
metadata.description |
이벤트 설명(있는 경우)에 사용됩니다. |
ObjectName |
target.resource.name |
타겟 리소스 이름에 매핑됩니다. |
object_name |
target.resource.name |
감사 로그에 있는 경우 타겟 리소스 이름에 사용됩니다. |
ObjectType |
target.resource.type |
타겟 리소스 유형에 매핑됩니다. |
operationId |
security_result.detection_fields |
키가 'operationId'인 security_result.detection_fields에 키-값 쌍으로 추가됩니다. |
operationName |
metadata.product_event_type |
제품 이벤트 유형에 매핑됩니다. |
operationVersion |
additional.fields |
키가 'operationVersion'인 additional.fields에 키-값 쌍으로 추가됩니다. |
ProcessInfo |
additional.fields |
키가 'ProcessInfo'인 additional.fields에 키-값 쌍으로 추가됩니다. |
properties.apiVersion |
metadata.product_version |
제품 버전으로 매핑됩니다. |
properties.appId |
target.resource.product_object_id |
타겟 리소스 제품 객체 ID에 매핑됩니다. |
properties.clientAuthMethod |
extensions.auth.auth_details |
인증 세부정보를 확인하는 데 사용됩니다. |
properties.clientRequestId |
additional.fields |
키가 'clientRequestId'인 additional.fields에 키-값 쌍으로 추가됩니다. |
properties.durationMs |
network.session_duration.seconds |
초로 변환되어 매핑되었습니다. |
properties.identityProvider |
security_result.detection_fields |
키가 'identityProvider'인 security_result.detection_fields에 키-값 쌍으로 추가됩니다. |
properties.ipAddress |
principal.ip, principal.asset.ip |
IP를 파싱하여 기본 IP 및 기본 애셋 IP로 병합했습니다. |
properties.location |
principal.location.name |
주 위치 이름에 매핑됩니다. |
properties.operationId |
security_result.detection_fields |
키가 'operationId'인 security_result.detection_fields에 키-값 쌍으로 추가됩니다. |
properties.requestId |
metadata.product_log_id |
제품 로그 ID에 매핑됩니다. |
properties.requestMethod |
network.http.method |
네트워크 HTTP 메서드에 매핑됩니다. |
properties.requestUri |
target.url |
타겟 URL에 매핑됩니다. |
properties.responseSizeBytes |
network.received_bytes |
부호 없는 정수로 변환되고 매핑됩니다. |
properties.responseStatusCode |
network.http.response_code |
정수로 변환되고 매핑되었습니다. |
properties.roles |
additional.fields |
키가 'roles'인 additional.fields에 키-값 쌍으로 추가됩니다. |
properties.servicePrincipalId |
principal.user.userid |
properties.userId이 없는 경우 주 사용자 ID에 사용됩니다. |
properties.signInActivityId |
network.session_id |
네트워크 세션 ID에 매핑됩니다. |
properties.tenantId |
metadata.product_deployment_id |
제품 배포 ID에 매핑됩니다. |
properties.tokenIssuedAt |
additional.fields |
키가 'tokenIssuedAt'인 additional.fields에 키-값 쌍으로 추가됩니다. |
properties.userAgent |
network.http.user_agent |
네트워크 HTTP 사용자 에이전트에 매핑됩니다. |
properties.userId |
principal.user.userid |
주 사용자 ID가 있는 경우 사용됩니다. |
properties.wids |
security_result.detection_fields |
키가 'wids'인 security_result.detection_fields에 키-값 쌍으로 추가됩니다. |
reason |
security_result.summary |
로그인 이벤트의 보안 결과 요약에 사용됩니다. |
resourceId |
target.resource.attribute.labels |
키가 '리소스 ID'인 target.resource.attribute.labels에 키-값 쌍으로 추가됩니다. |
schema_name |
target.resource_ancestors.resource_subtype |
감사 로그에 있는 경우 타겟 리소스 상위 유형에 사용됩니다. |
security_result.description |
metadata.description |
감사 이벤트가 아닌 경우 이벤트 설명에 사용됩니다. |
security_result.severity |
security_result.severity |
있는 경우 직접 매핑합니다. KV 로그의 경우 'LOW', 특정 오류 메시지의 경우 'INFORMATIONAL'로 설정되며 level 또는 Severity 필드에서 파생됩니다. |
security_result.severity_details |
security_result.severity_details |
있는 경우 직접 매핑합니다. |
security_result.summary |
security_result.summary |
있는 경우 직접 매핑합니다. 로그인 이벤트의 경우 'Windows 인증을 사용하여 연결됨' 또는 구체적인 이유로 설정되고, 감사 이벤트의 경우 'SQL Server 감사 레코드'로 설정됩니다. |
security_result_action |
security_result.action |
security_result.action로 병합되었습니다. 대부분의 이벤트에 대해 'ALLOW'로 설정되며, 로그인 이벤트의 경우 login_result에서 파생됩니다. |
server_instance_name |
target.hostname |
감사 로그에 있는 경우 대상 호스트 이름에 사용됩니다. |
server_principal_name |
principal.user.userid |
감사 로그에 있는 경우 주 사용자 ID에 사용됩니다. |
server_principal_sid |
principal.asset_id |
'server SID:'가 접두사로 붙은 주 애셋 ID를 구성하는 데 사용됩니다. |
session_id |
network.session_id |
감사 로그에 있는 경우 네트워크 세션 ID에 사용됩니다. |
sev |
security_result.severity |
보안 결과 심각도를 결정하는 데 사용됩니다. |
Severity |
security_result.severity |
보안 결과 심각도를 결정하는 데 사용됩니다. |
Source |
additional.fields |
키가 'Source'인 additional.fields에 키-값 쌍으로 추가됩니다. |
source |
principal.resource.attribute.labels |
키가 'source'인 principal.resource.attribute.labels에 키-값 쌍으로 추가됩니다. |
SourceModuleType |
observer.application |
관찰자 애플리케이션에 매핑됩니다. |
SourceModuleName |
additional.fields |
키가 'SourceModuleName'인 additional.fields에 키-값 쌍으로 추가됩니다. |
source_module_name |
observer.labels |
키가 'SourceModuleName'인 observer.labels에 키-값 쌍으로 추가됩니다. |
source_module_type |
observer.application |
관찰자 애플리케이션에 매핑됩니다. |
SPID |
network.session_id |
네트워크 세션 ID에 매핑됩니다. |
statement |
target.process.command_line |
감사 로그에 있는 경우 타겟 프로세스 명령줄에 사용됩니다. |
TextData |
security_result.description, metadata.description |
로그인 이벤트가 아닌 경우 보안 결과 설명에 사용되고, 로그인 이벤트인 경우 이벤트 설명에 사용됩니다. |
time |
metadata.event_timestamp |
파싱되어 이벤트 타임스탬프로 사용됩니다. |
Time |
metadata.event_timestamp |
Date와 결합하여 이벤트 타임스탬프를 만듭니다. |
transaction_id |
target.resource.attribute.labels |
키가 'transaction_id'인 target.resource.attribute.labels에 키-값 쌍으로 추가됩니다. |
UserID |
principal.user.windows_sid |
있는 경우 올바른 형식의 기본 사용자 Windows SID에 사용됩니다. |
user_id |
principal.user.userid |
주 사용자 ID가 있는 경우 사용됩니다. |
metadata.log_type |
metadata.log_type |
'MICROSOFT_SQL'로 하드코딩됩니다. |
metadata.vendor_name |
metadata.vendor_name |
'Microsoft'로 하드코딩됩니다. |
metadata.product_name |
metadata.product_name |
'SQL Server'로 하드코딩됩니다. |
metadata.event_type |
metadata.event_type |
로그 콘텐츠에 따라 'USER_LOGIN', 'USER_LOGOUT', 'STATUS_STARTUP', 'STATUS_SHUTDOWN', 'NETWORK_HTTP', 'GENERIC_EVENT', 'STATUS_UNCATEGORIZED' 등 다양한 값으로 설정됩니다(기본값). |
extensions.auth.type |
extensions.auth.type |
로그인 및 로그아웃 이벤트의 경우 'MACHINE'으로 설정됩니다. |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.