다음을 통해 공유

방법: 위험 데이터 내보내기

  • 아티클

Microsoft Entra ID는 정의된 기간에 보고서 및 보안 신호를 저장합니다. 위험 정보에 관해서, 그 기간은 충분히 길지 않을 수 있습니다.

보고서/신호 Microsoft Entra ID Free Microsoft Entra ID P1 Microsoft Entra ID P2
감사 로그 7 일 30일 30일
로그인 7 일 30일 30일
Microsoft Entra 다단계 인증 사용량 30일 30일 30일
위험한 로그인 7 일 30일 30일

이 문서에서는 장기 스토리지 및 분석을 위해 Microsoft Entra ID Protection에서 위험 데이터를 내보내는 데 사용할 수 있는 방법을 설명합니다.

필수 조건

스토리지 및 분석을 위해 위험 데이터를 내보내려면 다음이 필요합니다.

  • Log Analytics 작업 영역, Azure 이벤트 허브 또는 Azure Storage 계정을 만드는 Azure 구독입니다. Azure 구독이 없으면 평가판에 등록할 수 있습니다.
  • Microsoft Entra 테넌트에 대한 일반 진단 설정을 만들기 위한 보안 관리자 액세스.

진단 설정

조직은 데이터를 내보내도록 Microsoft Entra ID에서 진단 설정을 구성하여 RiskyUsers, UserRiskEvents, RiskyServicePrincipalsServicePrincipalRiskEvents 데이터를 저장하거나 내보낼 수 있습니다. Log Analytics 작업 영역과 데이터를 통합하거나, 데이터를 스토리지 계정에 보관하거나, 이벤트 허브로 데이터를 스트리밍하거나, 파트너 솔루션에 데이터를 보낼 수 있습니다.

진단 설정을 구성하려면 먼저 로그를 내보내기 위해 선택한 엔드포인트를 설정해야 합니다. 로그 스토리지 및 분석에 사용할 수 있는 방법에 대한 빠른 요약은 Microsoft Entra ID에서 활동 로그에 액세스하는 방법을 참조하세요.

  1. 최소한 보안 관리자Microsoft Entra 관리 센터에 로그인합니다.

  2. ID>모니터링 및 상태>진단 설정으로 이동합니다.

  3. + 진단 설정 추가를 선택합니다.

  4. 진단 설정 이름을 입력하고, 스트리밍할 로그 범주를 선택하고, 이전에 구성된 대상을 선택하고, 저장을 선택합니다.

Microsoft Entra ID의 진단 설정 화면 스크린샷

선택한 대상에 데이터가 표시되기 시작하려면 약 15분 정도 기다려야 할 수 있습니다. 자세한 내용은 Microsoft Entra 진단 설정을 구성하는 방법을 참조 하세요.

Log Analytics

위험 데이터를 Log Analytics와 통합하면 강력한 데이터 분석 및 시각화 기능이 제공됩니다. Log Analytics를 사용하여 위험 데이터를 분석하는 대략적인 프로세스는 다음과 같습니다.

  1. Log Analytics 작업 영역을 만듭니다.
  2. 데이터를 내보내도록 Microsoft Entra 진단 설정을 구성합니다.
  3. Log Analytics에서 데이터를 쿼리합니다.

데이터를 내보낸 다음 쿼리하려면 Log Analytics 작업 영역을 구성해야 합니다. Log Analytics 작업 영역을 구성하고 진단 설정을 사용하여 데이터를 내보낸 후 Microsoft Entra 관리 센터>ID>모니터링 및 상태>Log Analytics로 이동합니다. 그런 다음 Log Analytics를 사용하여 기본 제공 또는 사용자 지정 Kusto 쿼리를 사용하여 데이터를 쿼리할 수 있습니다.

다음 표는 Microsoft Entra ID Protection 관리자에게 가장 유용합니다.

  • RiskyUsers - 위험한 사용자 보고서와 같은 데이터를 제공합니다.
  • UserRiskEvents - 위험 검색 보고서와 같은 데이터를 제공합니다.
  • RiskyServicePrincipals - 위험한 워크로드 ID 보고서와 같은 데이터를 제공합니다.
  • ServicePrincipalRiskEvents - 워크로드 ID 검색 보고서와 같은 데이터를 제공합니다.

참고 항목

Log Analytics는 스트리밍되는 데이터에 대한 가시성만 갖습니다. Microsoft Entra ID에서 이벤트 전송을 사용하도록 설정하기 전의 이벤트는 표시되지 않습니다.

샘플 쿼리

상위 5개 이벤트에 대한 AADUserRiskEvents 쿼리를 보여 주는 Log Analytics 보기의 스크린샷

이전 이미지에서는 가장 최근에 트리거된 5개의 위험 검색을 보여주기 위해 다음과 같은 쿼리가 실행되었습니다.

AADUserRiskEvents
| take 5

또 다른 옵션은 AADRiskyUsers 테이블을 쿼리하여 위험 사용자를 모두 확인하는 것입니다.

AADRiskyUsers

일별 위험 수준이 높은 사용자 수를 확인합니다.

AADUserRiskEvents
| where TimeGenerated > ago(30d)
| where RiskLevel has "high"
| summarize count() by bin (TimeGenerated, 1d)

위험이 높고 수정되거나 해제되지 않은 검색에 대한 사용자 에이전트 문자열과 같은 유용한 조사 세부 정보를 확인합니다.

AADUserRiskEvents
| where RiskLevel has "high"
| where RiskState has "atRisk"
| mv-expand ParsedFields = parse_json(AdditionalInfo)
| where ParsedFields has "userAgent"
| extend UserAgent = ParsedFields.Value
| project TimeGenerated, UserDisplayName, Activity, RiskLevel, RiskState, RiskEventType, UserAgent,RequestId

위험 기반 액세스 정책 통합 문서 영향 분석에서 AADUserRiskEvents 및 AADRisky 사용자 로그를 기반으로 더 많은 쿼리와 시각적 인사이트에 액세스합니다.

스토리지 계정

Azure Storage 계정으로 로그를 라우팅하면 기본 보존 기간보다 오래 데이터를 유지할 수 있습니다.

  1. Azure 스토리지 계정을 만듭니다.
  2. 스토리지 계정에 Microsoft Entra 로그를 보관합니다.

Azure Event Hubs

Azure Event Hubs는 Microsoft Entra ID Protection과 같은 원본에서 수신 데이터를 확인하고 실시간 분석 및 상관 관계를 제공할 수 있습니다.

  1. Azure 이벤트 허브를 만듭니다.
  2. Microsoft Entra 로그를 이벤트 허브로 스트리밍합니다.

Microsoft Sentinel

조직은 SIEM(보안 정보 및 이벤트 관리) 및 SOAR(보안 오케스트레이션, 자동화 및 응답)를 위해 Microsoft Sentinel에 Microsoft Entra 데이터를 연결하도록 선택할 수 있습니다.

  1. Log Analytics 작업 영역을 만듭니다.
  2. 데이터를 내보내도록 Microsoft Entra 진단 설정을 구성합니다.
  3. 데이터 원본을 Microsoft Sentinel에 연결합니다.

관련 콘텐츠