Google SecOps와 Azure Monitor 통합
통합 버전: 1.0
이 문서에서는 Azure Monitor를 Google Security Operations (Google SecOps)와 통합하는 방법을 설명합니다.
사용 사례
Azure Monitor 통합은 다음 사용 사례를 해결할 수 있습니다.
로그 보강 및 컨텍스트: Google SecOps 기능을 사용하여 인시던트 중에 Azure Monitor 로그 (예: Azure 활동 또는 보안 이벤트)를 검색하여 추가 컨텍스트를 가져오고, 의심스러운 활동을 확인하거나 Azure 리소스와 관련된 유출 범위를 식별합니다.
Azure 인증 이벤트 조사: Google SecOps 기능을 사용하여 의심스러운 IP 주소 또는 사용자 엔티티가 식별될 때 로그인 로그를 쿼리하여 계정 도용 조사를 지원하기 위해 Azure에서 모든 관련 인증 시도 및 액세스 기록을 빠르게 가져옵니다.
클라우드 잘못된 구성 검증: Google SecOps 기능을 사용하여 Azure 활동 로그에 대해 특정 Kusto Query Language (KQL) 쿼리를 실행하여 최근에 변경된 네트워크 보안 그룹, 방화벽 규칙 또는 알림을 트리거했을 수 있는 주요 Azure 서비스 구성을 확인합니다.
시작하기 전에
Google SecOps 플랫폼에서 통합을 구성하기 전에 다음이 있는지 확인하세요.
Azure AD 애플리케이션 등록: 로그 데이터에 액세스하는 데 필요한 권한 (예: Log Analytics Reader)이 있는 Azure Active Directory (Azure AD) 애플리케이션으로, 여기에서 클라이언트 ID와 클라이언트 보안 비밀번호를 가져와야 합니다. API 액세스를 위해 이 애플리케이션을 설정하는 자세한 단계는 Azure Monitor 로그 API 액세스를 참고하세요.
테넌트 ID: OAuth 2.0 인증 흐름을 완료하는 데 필요한 Azure Active Directory 인스턴스의 고유 식별자입니다.
Log Analytics 작업공간 ID: 통합에서 로그를 쿼리하는 특정 Azure Monitor Log Analytics 작업공간의 고유 식별자입니다. 작업공간 ID를 찾는 방법에 대한 자세한 내용은 작업공간을 참고하세요.
통합 매개변수
Azure Monitor 통합에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Login API Root |
필수 항목입니다. Azure Monitor 서비스의 로그인 API 루트입니다. 기본값은 |
API Root |
필수 항목입니다. Azure Monitor 서비스의 API 루트입니다. 기본값은 |
Tenant ID |
필수 항목입니다. Azure Monitor 계정 테넌트 ID입니다. |
Client ID |
필수 항목입니다. Azure Monitor 계정 클라이언트 ID입니다. |
Client Secret |
필수 항목입니다. Azure Monitor 계정 클라이언트 보안 비밀번호입니다. |
Workspace ID |
필수 항목입니다. Azure Monitor 계정 작업공간 ID입니다. |
Verify SSL |
필수 항목입니다. 선택하면 Azure Monitor 서버에 연결할 때 통합에서 SSL 인증서를 검증합니다. 기본적으로 사용 설정됩니다. |
작업
작업에 대한 자세한 내용은 내 Workdesk에서 대기 중인 작업에 응답하기 및 수동 작업 실행하기를 참고하세요.
핑
Ping 작업을 사용하여 Azure Monitor에 대한 연결을 테스트합니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
없음
작업 출력
Ping 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용할 수 없음 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과입니다. | 사용 가능 |
출력 메시지
Ping 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Failed to connect to the Azure Monitor server!
Error is ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 Ping 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
로그 검색
로그 검색 작업을 사용하여 Azure Monitor 작업 영역에 대해 KQL 명령어를 실행하여 제공된 쿼리 문자열을 기반으로 특정 로그 데이터를 가져옵니다.
이 작업은 Google SecOps 항목에서 실행되지 않습니다.
작업 입력
로그 검색 작업에는 다음 매개변수가 필요합니다.
| 매개변수 | 설명 |
|---|---|
Workspace ID |
(선택사항) 검색할 워크스페이스의 ID입니다. 값을 제공하지 않으면 작업은 통합 구성의 Workspace ID를 사용합니다. |
Query |
필수 항목입니다. 작업이 로그 데이터에 대해 실행하는 쿼리 (KQL 명령어)입니다. |
Time Frame |
(선택사항) 쿼리의 기간입니다.
가능한 값은 다음과 같습니다.
기본값은 |
Start Time |
(선택사항) ISO 8601 형식의 쿼리 시작 시간입니다.
|
End Time |
(선택사항) ISO 8601 형식의 쿼리 종료 시간입니다.
|
Max Results To Return |
필수 항목입니다. 검색에서 반환할 최대 결과 수입니다. 최댓값은 기본값은 |
작업 출력
로그 검색 작업은 다음 출력을 제공합니다.
| 작업 출력 유형 | 가용성 |
|---|---|
| 케이스 월 연결 | 사용할 수 없음 |
| 케이스 월 링크 | 사용할 수 없음 |
| 케이스 월 테이블 | 사용할 수 없음 |
| 보강 테이블 | 사용할 수 없음 |
| JSON 결과 | 사용 가능 |
| 출력 메시지 | 사용 가능 |
| 스크립트 결과입니다. | 사용 가능 |
JSON 결과
다음 예는 로그 검색 작업을 사용할 때 수신되는 JSON 결과 출력을 보여줍니다.
[
{
"TimeGenerated": "2025-10-07T06:44:40.4570918Z",
"OperationName": "Update datascanners"
},
{
"TimeGenerated": "2025-10-07T06:44:41.1760472Z",
"OperationName": "Update datascanners"
},
]
출력 메시지
로그 검색 작업은 다음 출력 메시지를 반환할 수 있습니다.
| 출력 메시지 | 메시지 설명 |
|---|---|
|
작업이 완료되었습니다. |
Error executing action "Search Logs". Reason:
ERROR_REASON |
작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다. |
스크립트 결과
다음 표에는 로그 검색 작업을 사용할 때 스크립트 결과 출력의 값이 나와 있습니다.
| 스크립트 결과 이름 | 값 |
|---|---|
is_success |
True 또는 False |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.