Azure 보안 로깅 및 감사
Azure는 보안 정책 및 메커니즘의 차이를 식별할 수 있도록 다양한 구성 가능한 보안 감사 및 로깅 옵션을 제공합니다. 이 문서에서는 Azure에서 호스팅되는 서비스의 보안 로그 생성, 수집 및 분석에 대해 설명합니다.
참고 항목
이 문서의 특정 권장 사항으로 인해 데이터, 네트워크 또는 컴퓨팅 리소스의 사용량이 증가하고, 라이선스 또는 구독 비용이 증가할 수 있습니다.
Azure의 로그 유형
클라우드 애플리케이션은 이동하는 부분이 많아 복잡합니다. 로깅 데이터는 애플리케이션에 대한 인사이트를 제공하고 다음에 도움이 될 수 있습니다.
- 과거의 문제를 해결하거나 잠재적인 문제를 방지
- 애플리케이션 성능 또는 유지 관리 효율성 향상
- 수동 개입이 없어도 되도록 작업을 자동화
Azure 로그는 다음과 같은 유형으로 분류됩니다.
제어/관리 로그는 Azure Resource Manager의 CREATE, UPDATE 및 DELETE 작업에 대한 정보를 제공합니다. 자세한 내용은 Azure 활동 로그를 참조하세요.
데이터 평면 로그는 Azure 리소스 사용의 일부로 발생한 이벤트에 대한 정보를 제공합니다. 이 로그 유형의 예로 VM(가상 머신)의 Windows 이벤트 시스템, 보안 및 애플리케이션 로그와 Azure Monitor를 통해 구성된 진단 로그가 있습니다.
처리된 이벤트는 사용자를 대신하여 처리되어 분석된 이벤트/경고에 대한 정보를 제공합니다. 이러한 유형의 예로 클라우드용 Microsoft Defender 경고 가 있습니다. 여기서 클라우드용 Microsoft Defender는 구독을 처리 및 분석하고 간결한 보안 경고를 제공합니다.
다음 표에는 Azure에서 사용할 수 있는 가장 중요한 유형의 로그가 나와 있습니다.
| 로그 범주 | 로그 형식 | 사용량 | 통합 |
|---|---|---|---|
| 활동 로그 | Azure Resource Manager 리소스에 대한 제어 평면 이벤트 | 구독의 리소스에서 수행된 작업에 대한 인사이트를 제공합니다. | Rest API, Azure Monitor |
| Azure 리소스 로그 | 구독에서 Azure Resource Manager 리소스 작업에 대한 빈번한 데이터 | 리소스 자체에서 수행한 작업에 대한 인사이트를 제공합니다. | Azure Monitor |
| Microsoft Entra ID 보고 | 로그 및 보고서 | 사용자 및 그룹 관리에 대한 사용자 로그인 활동 및 시스템 활동 정보를 보고합니다. | Microsoft Graph |
| 가상 머신 및 클라우드 서비스 | Windows 이벤트 로그 서비스 및 Linux Syslog | 가상 머신에서 시스템 데이터와 로깅 데이터를 캡처하고 사용자가 선택한 스토리지 계정으로 해당 데이터를 전송합니다. | Azure Monitor의 Windows(Azure Diagnostics 스토리지 사용) 및 Linux |
| Azure Storage 분석 | 스토리지 로깅(스토리지 계정에 대한 메트릭 데이터 제공) | 추적 요청에 대한 인사이트를 제공하고, 사용 추세를 분석하며, 스토리지 계정과 관련된 문제를 진단합니다. | REST API 또는 클라이언트 라이브러리 |
| NSG(네트워크 보안 그룹) 흐름 로그 | JSON 형식(규칙에 따라 아웃바운드 및 인바운드 흐름 표시) | 네트워크 보안 그룹을 통해 수신 및 송신 IP 트래픽에 대한 정보를 표시합니다. | Azure Network Watcher |
| Application Insight | 로그, 예외 및 사용자 지정 진단 | 여러 플랫폼에서 웹 개발자를 위한 APM(애플리케이션 성능 모니터링) 서비스를 제공합니다. | REST API, Power BI |
| 데이터 처리/보안 경고 | 클라우드용 Microsoft Defender 경고, Azure Monitor 로그 경고 | 보안 정보 및 경고를 제공합니다. | REST API, JSON |
온-프레미스 SIEM 시스템과 로그 통합
클라우드용 Defender 경고 통합에서는 클라우드용 Defender 경고, Azure 진단 로그에서 수집한 가상 머신 보안 이벤트 및 Azure 감사 로그를 Azure Monitor 로그 또는 SIEM 솔루션과 동기화하는 방법을 설명합니다.
다음 단계
감사 및 로깅: 가시성을 유지하고 시기 적절한 보안 경고에 빠르게 대응하여 데이터를 보호합니다.
사이트 모음에 대한 감사 설정 구성: 사이트 모음 관리자인 경우 개별 사용자의 작업 기록과 특정 날짜 범위 동안 수행된 작업 기록을 검색할 수 있습니다.
Microsoft Defender Portal에서 감사 로그 검색: Microsoft Defender Portal을 사용하여 조직에서 통합 감사 로그를 검색하고 사용자와 관리자의 활동을 확인합니다.