Microsoft Entra 모니터링 및 상태란 무엇인가요?
Microsoft Entra 모니터링 및 상태 기능은 사용자 환경의 ID 관련 작업에 대한 포괄적인 보기를 제공합니다. 이 데이터로 다음을 수행할 수 있습니다.
- 사용자가 앱과 서비스를 활용하는 방법을 결정합니다.
- 환경의 상태에 영향을 줄 수 있는 잠재적인 위험을 탐지합니다.
- 사용자의 작업 진행에 장애가 되는 문제를 해결합니다.
- Microsoft Entra 디렉터리 변경에 대한 감사 이벤트를 확인하여 인사이트를 얻으세요.
로그인 및 감사 로그는 테넌트의 작업을 분석, 모니터링 및 문제 해결하는 데 사용할 수 있는 많은 Microsoft Entra 보고서 뒤에 있는 활동 로그로 구성됩니다. 활동 로그를 분석 및 모니터링 솔루션으로 라우팅하면 테넌트의 상태 및 보안에 대한 더 큰 인사이트를 얻을 수 있습니다.
이 문서에서는 Microsoft Entra ID에서 사용할 수 있는 활동 로그 형식, 로그를 사용하는 보고서 및 데이터 분석에 도움이 되는 모니터링 서비스에 대해 설명합니다.
ID 활동 로그
활동 로그는 조직에서 사용자의 동작을 이해하는 데 도움이 됩니다. Microsoft Entra ID에는 세 가지 형식의 활동 로그가 있습니다.
감사 내역은 테넌트에서 수행된 모든 작업의 기록이 포함됩니다.
로그인 로그는 사용자 및 클라이언트 애플리케이션의 로그인 시도를 캡처합니다.
프로비전 로그는 타사 서비스를 통해 테넌트에서 프로비전된 사용자에 대한 정보를 제공합니다.
활동 로그는 Azure Portal 또는 Microsoft Graph API를 사용하여 볼 수 있습니다. 활동 로그는 스토리지 또는 분석을 위해 다양한 엔드포인트로 라우팅할 수도 있습니다. 활동 로그를 보기 위한 모든 옵션에 대해 알아보려면 활동 로그에 액세스하는 방법을 참조하세요.
감사 로그
감사 로그는 규정 준수를 위한 시스템 활동 레코드를 제공합니다. 이 데이터를 사용하면 다음과 같은 일반적인 시나리오를 처리할 수 있습니다.
- 내 테넌트의 누군가가 관리 그룹에 액세스할 수 있었습니다. 이들에게 액세스 권한을 부여한 사람을 알고 싶습니다.
- 최근에 앱을 등록했기 때문에 특정 앱에 로그인하고 있는 사용자의 목록과 앱이 잘 작동하는지의 여부를 알고 싶습니다.
- 내 테넌트에서 발생하고 있는 암호 재설정 횟수를 알고 싶습니다.
로그인 로그
로그인 로그를 통해 다음과 같은 질문에 대한 답변을 찾을 수 있습니다.
- 사용자의 로그인 패턴이란?
- 한 주 동안 얼마나 많은 사용자가 로그인했나요?
- 이러한 로그인의 상태란?
프로비저닝 로그
프로비저닝 로그를 통해 다음과 같은 질문에 대한 답을 찾을 수 있습니다.
- ServiceNow에서 성공적으로 만든 그룹은 무엇인가요?
- Adobe에서 성공적으로 제거한 사용자는 누구인가요?
- Active Directory에서 성공적으로 만든 Workday의 사용자는 누구인가요?
ID 보고서
Microsoft Entra 활동 로그의 데이터를 검토하면 IT 관리자에게 유용한 정보를 제공할 수 있습니다. 주요 시나리오에서 데이터를 검토하는 프로세스를 간소화하기 위해 활동 로그를 사용하는 일반적인 시나리오에 대한 여러 보고서를 만들었습니다.
- ID 보호는 로그인 데이터를 사용하여 위험한 사용자 및 로그인 활동에 대한 보고서를 만듭니다.
- 서비스 주체 및 앱 자격 증명 활동과 같은 애플리케이션과 관련된 작업은 사용량 및 인사이트에서 보고서를 만드는 데 사용됩니다.
- Microsoft Entra 통합 문서는 활동 로그를 보고 분석하는 사용자 지정 가능한 방법을 제공합니다.
- Microsoft Entra 권장 사항을 사용하여 테넌트의 보안을 모니터링하고 개선하세요.
- Microsoft Entra Health 는 몇 가지 주요 시나리오에 대한 글로벌 서비스 수준 계약 달성 및 상태 신호를 캡처합니다.
ID 모니터링 및 테넌트 상태
Microsoft Entra 활동 로그를 검토하는 것은 테넌트의 상태와 보안을 유지 관리하고 개선하는 첫 번째 단계입니다. 데이터를 분석하고, 위험한 시나리오를 모니터링하고, 개선할 수 있는 위치를 결정해야 합니다. Microsoft Entra 모니터링은 합리적 결정을 내리는 데 도움이 되는 필수 도구를 제공합니다.
Microsoft Entra 활동 로그를 모니터링하려면 로그 데이터를 모니터링 및 분석 솔루션으로 라우팅해야 합니다. 엔드포인트에는 Azure Monitor 로그, Microsoft Sentinel 또는 타사 솔루션 타사 SIEM(보안 정보 및 이벤트 관리) 도구가 포함됩니다.
- 로그를 이벤트 허브로 스트리밍하여 타사 SIEM 도구와 통합.
- 로그와 Azure Monitor 로그 통합.
- Azure Monitor 로그 및 Log Analytics를 사용하여 로그를 분석합니다.
사용 사례
이용 가능한 로그, 보고서 및 모니터링 서비스를 사용하는 방법은 조직의 요구 사항에 따라 달라집니다. 사용 사례와 솔루션의 우선 순위를 더 잘 지정하려면 이러한 솔루션이 서로 어떻게 관련되어 있고, 어떻게 다르며, 어떻게 함께 사용할 수 있는지 알아보는 것이 도움이 될 수 있습니다.
고려 사항
- 보관 - 로그 보관: Microsoft Entra의 감사 로그 및 로그인 로그를 30일 이상 저장합니다.
- 분석 - 분석 도구를 사용하여 로그를 검색할 수 있습니다.
- 운영 및 보안 인사이트 - 애플리케이션 사용량, 로그인 오류, 셀프 서비스 사용량, 추세 등에 액세스할 수 있습니다.
- SIEM 통합 - Microsoft Entra 로그인 로그 및 감사 로그를 SIEM 시스템에 통합하고 스트리밍합니다.
Microsoft Entra 모니터링을 사용하면 Microsoft Entra 활동 로그를 라우팅하고 장기적인 보고 및 분석을 위해 이를 보존하여 환경 인사이트를 얻고 이를 SIEM 도구와 통합할 수 있습니다. 다음 의사 결정 흐름 차트를 사용하여 아키텍처를 선택할 수 있습니다.
활동 로그에 액세스, 저장 및 분석하는 방법에 대한 개요는 활동 로그에 액세스하는 방법을 참조하세요.