로그 데이터 수집을 위해 Microsoft Azure에 연결

Microsoft Azure용 Security Command Center 선별된 감지, 위협 조사, 클라우드 인프라 사용 권한 관리(CIEM) 기능을 사용하려면 보안 운영 콘솔 수집 파이프라인을 사용해서 Microsoft Azure 로그를 수집해야 합니다. 수집에 필요한 Microsoft Azure 로그 유형은 구성 중인 항목에 따라 다릅니다.

  • CIEM에는 Azure Cloud Services(AZURE_ACTIVITY) 로그 유형의 데이터가 필요합니다.
  • 선별된 감지를 사용하려면 여러 로그 유형의 데이터가 필요합니다. 다양한 Microsoft Azure 로그 유형에 관한 자세한 내용은 지원되는 기기 및 필수 로그 유형을 참조하세요.

선별된 감지

Security Command Center 엔터프라이즈 등급에서 선별된 감지 기능은 이벤트 데이터와 문맥 데이터를 모두 사용하여 Microsoft Azure 환경의 위협을 식별하는 데 도움이 됩니다.

이러한 규칙 집합이 설계된 대로 작동하려면 다음과 같은 데이터가 필요합니다. 최대 규칙 범위를 적용하려면 이러한 각 데이터 소스에서 Azure 데이터를 수집해야 합니다.

자세한 내용은 Google SecOps 문서의 다음을 참조하세요.

Security Command Center Enterprise를 사용하는 고객이 Google SecOps 테넌트에 직접 수집할 수 있는 로그 데이터 유형에 관한 자세한 내용은 Google SecOps 로그 데이터 수집을 참조하세요.

CIEM용 Microsoft Azure 로그 수집 구성

Microsoft Azure 환경의 CIEM 발견 항목을 생성하려면 CIEM 기능에 분석해야 하는 각 Azure 구독 또는 관리 그룹의 Azure 활동 로그 데이터가 필요합니다.

시작하기 전에

Azure 구독 또는 관리 그룹의 활동 로그를 내보내려면 Microsoft Azure 스토리지 계정을 구성하세요.

관리 그룹용 Microsoft Azure 로그 수집 구성

  1. 관리 그룹의 Azure 활동 로깅을 구성하려면 관리 그룹 API를 사용하세요.

  2. 스토리지 계정에서 내보낸 활동 로그를 수집하려면 Security Operations 콘솔에서 피드를 구성합니다.

  3. 라벨CIEM으로, TRUE로 설정하여 피드의 수집 라벨을 설정합니다.

구독용 Microsoft Azure 로그 수집 구성

  1. 구독에 대해 Azure 활동 로깅을 구성하려면 다음 단계를 따르세요.

    1. Azure 콘솔에서 모니터링을 검색합니다.
    2. 왼쪽 탐색창에서 활동 로그 링크를 클릭합니다.
    3. 활동 로그 내보내기를 클릭합니다.
    4. 로그를 내보내야 하는 각 구독 또는 관리 그룹에 대해 다음 작업을 실행합니다.
      1. 구독 메뉴에서 활동 로그를 내보낼 Microsoft Azure 구독을 선택합니다.
      2. 진단 설정 추가를 클릭합니다.
      3. 진단 설정의 이름을 입력합니다.
      4. 로그 카테고리에서 관리를 선택합니다.
      5. 대상 세부정보에서 스토리지 계정에 아카이브를 선택합니다.
      6. 만든 구독 및 스토리지 계정을 선택하고 저장을 클릭합니다.

  2. 스토리지 계정에서 내보낸 활동 로그를 수집하려면 Security Operations 콘솔에서 피드를 구성합니다.

  3. 라벨CIEM으로, TRUE로 설정하여 피드의 수집 라벨을 설정합니다.

다음 단계