이 문서에서는 진단 설정 연결을 사용하여 Microsoft Sentinel 연결하는 방법을 설명합니다. Microsoft Sentinel Azure 기반을 사용하여 많은 Azure 및 Microsoft 365 서비스, Amazon Web Services 및 다양한 Windows Server 서비스의 데이터 수집을 위한 기본 제공 서비스 대 서비스 지원을 제공합니다. 이러한 연결을 만드는 방법에는 몇 가지가 있습니다.
이 문서에서는 진단 설정 기반 연결을 사용하는 데이터 커넥터 그룹에 공통적인 정보를 제공합니다. 이러한 유형의 커넥터 중 일부는 Azure Policy 사용하여 관리됩니다. 이 유형의 다른 커넥터의 경우 독립 실행형 지침을 사용합니다.
참고
미국 정부 클라우드의 기능 가용성에 대한 자세한 내용은 미국 정부 고객을 위한 클라우드 기능 가용성의 Microsoft Sentinel 테이블을 참조하세요.
필수 구성 요소
독립 실행형 진단 설정 기반 커넥터를 사용하여 데이터를 Microsoft Sentinel 수집하려면 Microsoft Sentinel 사용하도록 설정된 Log Analytics 작업 영역에 대한 읽기 및 쓰기 권한이 있어야 합니다.
Azure Policy 관리하는 진단 설정 기반 커넥터를 사용하여 데이터를 Microsoft Sentinel 수집하려면 다음 필수 구성 요소도 있어야 합니다.
Azure Policy 사용하여 리소스에 로그 스트리밍 정책을 적용하려면 정책 할당 scope 대한 소유자 역할이 있어야 합니다.
사용 중인 커넥터에 따라 다음 필수 구성 요소가 있습니다.
데이터 커넥터 라이선스, 비용 및 기타 정보 Azure 활동 이제 이 커넥터는 진단 설정 파이프라인을 사용합니다. 레거시 메서드를 사용하는 경우 새 Azure 활동 로그 커넥터를 설정하기 전에 레거시 메서드에서 기존 구독의 연결을 끊어야 합니다.
1. Microsoft Sentinel 탐색 메뉴에서 데이터 커넥터를 선택합니다. 커넥터 목록에서 Azure 작업을 선택한 다음 오른쪽 아래에 있는 커넥터 페이지 열기 단추를 선택합니다.
2. 지침 탭의 구성 섹션에 있는 1단계에서 레거시 메서드에 연결된 기존 구독 목록을 검토하고 아래의 모두 연결 끊기 단추를 클릭하여 한 번에 모두 연결을 끊습니다.
3. 이 섹션의 지침에 따라 새 커넥터를 계속 설정합니다.DDoS Protection Azure - DDoS Standard 보호 계획을 Azure 구성되었습니다.
- Azure DDoS Standard 사용하도록 설정된 가상 네트워크 구성
- 기타 요금이 적용될 수 있음
- Azure DDoS Protection 데이터 커넥터의 상태는 보호된 리소스가 DDoS 공격을 받고 있는 경우에만 연결됨으로 변경됩니다.스토리지 계정 Azure 스토리지 계정(부모) 리소스에는 파일, 테이블, 큐 및 Blob과 같은 각 스토리지 유형에 대한 다른(자식) 리소스가 있습니다.
스토리지 계정에 대한 진단 구성할 때는 다음을 선택하고 구성해야 합니다.
- 트랜잭션 메트릭을 내보내는 부모 계정 리소스입니다.
- 모든 로그 및 메트릭을 내보내는 각 자식 스토리지 형식 리소스입니다.
실제로 리소스를 정의한 스토리지 유형만 표시됩니다.
독립 실행형 진단 설정 기반 커넥터를 통해 연결
이 절차에서는 진단 설정에 따라 독립 실행형 연결을 사용하는 데이터 커넥터를 사용하여 Microsoft Sentinel 연결하는 방법을 설명합니다.
Microsoft Sentinel 탐색 메뉴에서 데이터 커넥터를 선택합니다.
데이터 커넥터 갤러리에서 리소스 유형을 선택한 다음, 미리 보기 창에서 커넥터 페이지 열기 를 선택합니다.
커넥터 페이지의 구성 섹션에서 링크를 선택하여 리소스 구성 페이지를 엽니다.
원하는 형식의 리소스 목록이 표시되면 수집하려는 로그가 있는 리소스에 대한 링크를 선택합니다.
리소스 탐색 메뉴에서 진단 설정을 선택합니다.
목록 아래쪽에서 + 진단 설정 추가 를 선택합니다.
진단 설정 화면에서 진단 설정 이름 필드에 이름을 입력합니다.
Log Analytics로 보내기 검사 상자를 표시합니다. 그 아래에 두 개의 새 필드가 표시됩니다. 관련 구독 및 Log Analytics 작업 영역(Microsoft Sentinel 있는 위치)을 선택합니다.
수집하려는 로그 및 메트릭 형식의 검사 상자를 표시합니다. 데이터 커넥터 참조 페이지의 리소스 커넥터에 대한 섹션의 각 리소스 종류에 대해 권장되는 선택 항목을 참조하세요.
화면 맨 위에서 저장 을 선택합니다.
자세한 내용은 Azure Monitor 설명서에서 Azure Monitor 플랫폼 로그 및 메트릭을 다른 대상으로 보내는 진단 설정 만들기를 참조하세요.
Azure Policy 관리되는 진단 설정 기반 커넥터를 통해 연결
이 절차에서는 진단 설정을 기반으로 하고 Azure Policy 관리되는 연결을 사용하는 데이터 커넥터를 사용하여 Microsoft Sentinel 연결하는 방법을 설명합니다.
이 유형의 커넥터는 Azure Policy 사용하여 scope 정의된 단일 유형의 리소스 컬렉션에 단일 진단 설정 구성을 적용합니다. 해당 리소스에 대한 커넥터 페이지의 왼쪽에 있는 데이터 형식 아래의 지정된 리소스 종류에서 수집된 로그 형식을 볼 수 있습니다.
Microsoft Sentinel 탐색 메뉴에서 데이터 커넥터를 선택합니다.
데이터 커넥터 갤러리에서 리소스 유형을 선택한 다음, 미리 보기 창에서 커넥터 페이지 열기 를 선택합니다.
커넥터 페이지의 구성 섹션에서 표시되는 모든 확장기를 확장하고 할당 시작 Azure Policy 마법사 단추를 선택합니다.
정책 할당 마법사가 열리고 정책 이름이 미리 채워진 새 정책을 만들 준비가 됩니다.
기본 탭에서 범위 아래에 세 개의 점이 있는 단추를 선택하여 구독(및 필요에 따라 리소스 그룹)을 선택합니다. 설명을 추가할 수도 있습니다.
매개 변수 탭에서 다음을 수행합니다.
- 입력 검사 필요한 매개 변수만 표시 상자를 선택 취소합니다.
- 효과 및 설정 이름 필드가 표시되면 그대로 둡니다.
- Log Analytics 작업 영역 드롭다운 목록에서 Microsoft Sentinel 작업 영역을 선택합니다.
- 나머지 드롭다운 필드는 사용 가능한 진단 로그 유형을 나타냅니다. 수집하려는 모든 로그 형식을 True 로 표시합니다.
정책은 나중에 추가된 리소스에 적용됩니다. 기존 리소스에도 정책을 적용하려면 수정 탭을 선택하고 수정 작업 만들기 검사 확인란을 표시합니다.
검토 + 만들기 탭에서 만들기를 클릭합니다. 이제 선택한 scope 정책이 할당됩니다.
이러한 유형의 데이터 커넥터를 사용하면 지난 14일 동안 데이터가 수집된 경우에만 연결 상태 표시기(데이터 커넥터 갤러리의 색 줄무늬 및 데이터 형식 이름 옆에 있는 연결 아이콘)가 연결된(녹색)으로 표시됩니다. 데이터 수집 없이 14일이 지나면 커넥터의 연결이 끊어진 것으로 표시됩니다. 더 많은 데이터가 들어오는 순간 연결된 상태 반환됩니다.
데이터 커넥터 참조 페이지의 리소스 커넥터 섹션에 표시되는 테이블 이름을 사용하여 각 리소스 유형에 대한 데이터를 찾아 쿼리할 수 있습니다. 자세한 내용은 Azure Monitor 설명서에서 Azure Monitor 플랫폼 로그 및 메트릭을 다른 대상으로 보내는 진단 설정 만들기를 참조하세요.
관련 콘텐츠
자세한 내용은 다음 항목을 참조하세요.