이 문서에서는 다른 Microsoft 서비스 Windows 에이전트 기반 연결에 Microsoft Sentinel 연결하는 방법을 설명합니다. Microsoft Sentinel Azure Monitor 에이전트를 사용하여 많은 Azure 및 Microsoft 365 서비스, Amazon Web Services 및 다양한 Windows Server 서비스의 데이터 수집을 위한 기본 제공 서비스 대 서비스 지원을 제공합니다.
Azure Monitor 에이전트는 DCR(데이터 수집 규칙)을 사용하여 각 에이전트에서 수집할 데이터를 정의합니다. 데이터 수집 규칙은 다음과 같은 두 가지 고유한 이점을 제공합니다.
컴퓨터의 하위 집합에 대해 범위가 지정된 고유한 구성을 허용하면서 대규모로 컬렉션 설정을 관리합니다. 작업 영역과 독립적이며 가상 머신과 독립적이므로 한 번 정의하고 컴퓨터 및 환경에서 재사용할 수 있습니다. Azure Monitor 에이전트에 대한 데이터 수집 구성을 참조하세요.
사용자 지정 필터를 빌드 하여 수집하려는 정확한 이벤트를 선택합니다. Azure Monitor 에이전트는 이러한 규칙을 사용하여 원본의 데이터를 필터링하고 원하는 이벤트만 수집하면서 다른 모든 항목을 숨깁니다. 이렇게 하면 데이터 수집 비용을 많이 절약할 수 있습니다.
참고
미국 정부 클라우드의 기능 가용성에 대한 자세한 내용은 미국 정부 고객을 위한 클라우드 기능 가용성의 Microsoft Sentinel 테이블을 참조하세요.
중요
Azure AMA(Monitor Agent)를 기반으로 하는 일부 커넥터는 현재 미리 보기로 제공됩니다. 베타, 미리 보기 또는 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 법적 조건은 Microsoft Azure Preview에 대한 추가 사용 약관을 참조하세요.
필수 구성 요소
Microsoft Sentinel 작업 영역에 대한 읽기 및 쓰기 권한이 있어야 합니다.
Azure 가상 머신이 아닌 시스템에서 이벤트를 수집하려면 Azure Monitor 에이전트 기반 커넥터를 사용하도록 설정하기 전에 시스템에 Azure Arc를 설치하고 사용하도록 설정해야 합니다.
여기에는 다음이 포함됩니다.
- 물리적 컴퓨터에 설치된 Windows 서버
- 온-프레미스 가상 머신에 설치된 Windows 서버
- 비 Azure 클라우드의 가상 머신에 설치된 Windows 서버
Windows 전달 이벤트 데이터 커넥터의 경우:
- WEC 컴퓨터에 설치된 Azure Monitor 에이전트를 사용하여 WEC(Windows 이벤트 컬렉션)를 사용하도록 설정하고 실행해야 합니다.
- 데이터 정규화를 완전히 지원하려면 ASIM(고급 보안 정보 모델) 파서를 설치하는 것이 좋습니다. Azure 배포 단추를 사용하여 GitHub 리포지토리에서
Azure-Sentinel이러한 파서를 배포할 수 있습니다.
Microsoft Sentinel 콘텐츠 허브에서 관련 Microsoft Sentinel 솔루션을 설치합니다. 자세한 내용은 기본 제공 콘텐츠 Microsoft Sentinel 검색 및 관리를 참조하세요.
GUI를 통해 데이터 수집 규칙 만들기
Microsoft Sentinel 구성>데이터 커넥터를 선택합니다. 목록에서 커넥터를 선택한 다음 세부 정보 창에서 커넥터 페이지 열기 를 선택합니다. 그런 다음 이 섹션의 나머지 부분에서 설명한 대로 지침 탭 아래의 화면 지침을 따릅니다.
커넥터 페이지의 필수 구성 요소 섹션에 설명된 대로 적절한 권한이 있는지 확인합니다.
구성에서 +데이터 수집 규칙 추가를 선택합니다. 데이터 수집 규칙 만들기 마법사가 오른쪽에 열립니다.
기본 사항에서 규칙 이름을 입력하고 DCR(데이터 수집 규칙)이 만들어질 구독 및 리소스 그룹을 지정합니다. 모니터링되는 컴퓨터와 해당 연결이 동일한 테넌트인 경우 동일한 리소스 그룹 또는 구독일 필요는 없습니다 .
리소스 탭에서 +리소스 추가를 선택하여 데이터 수집 규칙이 적용되는 컴퓨터를 추가합니다. scope 선택 대화 상자가 열리고 사용 가능한 구독 목록이 표시됩니다. 구독을 확장하여 해당 리소스 그룹을 확인하고 리소스 그룹을 확장하여 사용 가능한 컴퓨터를 확인합니다. 목록에 Azure 가상 머신 및 Azure Arc 지원 서버가 표시됩니다. 구독 또는 리소스 그룹의 검사 상자를 표시하여 포함된 모든 컴퓨터를 선택하거나 개별 컴퓨터를 선택할 수 있습니다. 모든 컴퓨터를 선택한 경우 적용 을 선택합니다. 이 프로세스가 끝나면 Azure Monitor 에이전트가 아직 설치되지 않은 선택한 컴퓨터에 설치됩니다.
수집 탭에서 수집할 이벤트를 선택합니다. 모든 이벤트 또는 사용자 지정을 선택하여 다른 로그를 지정하거나 XPath 쿼리를 사용하여 이벤트를 필터링합니다. 수집할 이벤트에 대한 특정 XML 조건으로 평가되는 식을 상자에 입력한 다음 , 추가를 선택합니다. 단일 상자에 최대 20개의 식을 입력하고 규칙에 최대 100개의 상자를 입력할 수 있습니다.
자세한 내용은 Azure Monitor 설명서를 참조하세요.
참고
Windows 보안 이벤트 커넥터는 수집하도록 선택할 수 있는 두 가지 미리 빌드된 이벤트 집합인 Common 및 Minimal을 제공합니다.
Azure Monitor 에이전트는 XPath 버전 1.0에 대해서만 XPath 쿼리를 지원합니다.
XPath 쿼리의 유효성을 테스트하려면 -FilterXPath 매개 변수와 함께 PowerShell cmdlet Get-WinEvent를 사용합니다. 예시:
$XPath = '*[System[EventID=1035]]' Get-WinEvent -LogName 'Application' -FilterXPath $XPath- 이벤트가 반환되면 쿼리가 유효합니다.
- "지정된 선택 조건과 일치하는 이벤트를 찾을 수 없습니다."라는 메시지가 표시되면 쿼리가 유효할 수 있지만 로컬 머신에는 일치하는 이벤트가 없습니다.
- "지정된 쿼리가 잘못되었습니다."라는 메시지가 표시되면 쿼리 구문이 잘못되었습니다.
원하는 필터 식을 모두 추가한 경우 다음: 검토 + 만들기를 선택합니다.
유효성 검사 통과 메시지가 표시되면 만들기를 선택합니다.
커넥터 페이지의 구성 아래에 API를 통해 만든 규칙을 포함하여 모든 데이터 수집 규칙이 표시됩니다. 여기에서 기존 규칙을 편집하거나 삭제할 수 있습니다.
API를 사용하여 데이터 수집 규칙 만들기
또한 API를 사용하여 데이터 수집 규칙을 만들 수 있으며, MSSP인 경우와 같이 많은 규칙을 만드는 경우 더 쉽게 생활할 수 있습니다. 다음은 규칙을 만들기 위한 템플릿으로 사용할 수 있는 AMA 커넥터를 통한 Windows 보안 이벤트의 예입니다.
요청 URL 및 헤더
PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.Insights/dataCollectionRules/myCollectionRule?api-version=2019-11-01-preview
요청 본문
{
"location": "eastus",
"properties": {
"dataSources": {
"windowsEventLogs": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"xPathQueries": [
"Security!*[System[(EventID=) or (EventID=4688) or (EventID=4663) or (EventID=4624) or (EventID=4657) or (EventID=4100) or (EventID=4104) or (EventID=5140) or (EventID=5145) or (EventID=5156)]]"
],
"name": "eventLogsDataSource"
}
]
},
"destinations": {
"logAnalytics": [
{
"workspaceResourceId": "/subscriptions/{subscriptionId}/resourceGroups/myResourceGroup/providers/Microsoft.OperationalInsights/workspaces/centralTeamWorkspace",
"name": "centralWorkspace"
}
]
},
"dataFlows": [
{
"streams": [
"Microsoft-SecurityEvent"
],
"destinations": [
"centralWorkspace"
]
}
]
}
}
자세한 내용은 다음 항목을 참조하세요.
다음 단계
자세한 내용은 다음을 참조하세요.