다음을 통해 공유


Microsoft Sentinel에 대한 감사 및 상태 모니터링 켜기(미리 보기)

Microsoft Sentinel의 설정 페이지에서 감사 및 상태 모니터링 기능을 켜서 지원되는 Microsoft Sentinel 리소스의 상태를 모니터링하고 무결성을 감사합니다. 최신 실패 이벤트 또는 성공에서 실패 상태로의 변경과 같은 상태 드리프트 및 권한 없는 작업에 대한 인사이트를 얻고 이 정보를 사용하여 알림 및 기타 자동화된 작업을 만듭니다.

SentinelHealth 데이터 테이블에서 상태 데이터를 얻거나 SentinelAudit 데이터 테이블에서 감사 정보를 얻으려면 먼저 작업 영역의 Microsoft Sentinel 감사 및 상태 모니터링 기능을 켜야 합니다. 이 문서에서는 이러한 기능을 켜는 방법을 설명합니다.

API(Bicep/AZURE RESOURCE MANAGER(ARM)/REST)를 사용하여 상태 및 감사 기능을 구현하려면 진단 설정 작업을 검토합니다. 감사 및 상태 이벤트에 대한 보존 시간을 구성하려면 Log Analytics 작업 영역의 데이터 보존 관리를 참조하세요.

Important

SentinelHealthSentinelAudit 데이터 테이블은 현재 미리 보기로 제공됩니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

필수 조건

작업 영역에 대해 감사 상태 모니터링 켜기

시작하려면 Microsoft Sentinel 설정에서 감사 및 상태 모니터링을 사용하도록 설정합니다.

  1. Azure Portal의 Microsoft Sentinel의 경우 구성에서 설정 설정을> 선택합니다.
    Defender 포털의 Microsoft Sentinel의 경우 시스템 아래에서 Microsoft Sentinel 설정을>선택합니다.

  2. 감사 및 상태 모니터링을 선택합니다.

  3. 사용을 선택하여 모든 리소스 종류에서 감사 및 상태 모니터링을 사용하도록 설정하고 감사 및 모니터링 데이터를 Microsoft Sentinel 작업 영역(및 다른 곳)으로 보낼 수 있습니다.

    또는 진단 설정 구성 링크를 선택하여 데이터 수집기 및/또는 자동화 리소스에 대해서만 상태 모니터링을 사용하도록 설정하거나 데이터를 보낼 추가 위치와 같은 고급 옵션을 구성합니다.

    사용을 선택하면 단추가 회색으로 표시되고 사용하도록 설정하는 중...을 읽고 사용을 읽을 수 있도록 변경됩니다. 이 시점에서 감사 및 상태 모니터링이 사용할 수 있도록 설정되고 완료됩니다. 적절한 진단 설정이 백그라운드에서 추가되었으며 진단 설정 구성 링크를 선택하여 보고 편집할 수 있습니다.

  4. 진단 설정 구성을 선택한 경우 진단 설정 화면에서 + 진단 설정 추가를 선택합니다.

    (기존 설정을 편집하는 경우 진단 설정 목록에서 설정을 선택합니다.)

    • 진단 설정 이름 필드에 의미 있는 설정 이름을 입력합니다.

    • 로그 열에서 모니터링하려는 리소스 종류에 적합한 범주를 선택합니다(예: 데이터 수집 - 커넥터). 분석 규칙을 모니터링하려면 allLogs를 선택합니다.

    • 대상 세부 정보에서 Log Analytics 작업 영역으로 보내기를 선택하고 드롭다운 메뉴에서 구독Log Analytics 작업 영역을 선택합니다.

      감사 및 상태 모니터링을 사용하도록 설정하기 위한 진단 설정 화면의 스크린샷.

      필요한 경우에는 Log Analytics 작업 영역 외에도 데이터를 보낼 다른 대상을 선택할 수 있습니다.

  5. 상단 배너에서 저장을 선택하여 새 설정을 저장합니다.

선택한 리소스에 대해 생성된 첫 번째 이벤트에서 SentinelHealthSentinelAudit 데이터 테이블이 만들어집니다.

테이블이 데이터를 받고 있는지 확인

Azure Portal 또는 Defender 포털에서 KQL(Kusto 쿼리 언어) 쿼리를 실행하여 상태 및 감사 데이터를 가져오고 있는지 확인합니다.

  1. Azure Portal의 Microsoft Sentinel의 경우 일반 아래에서 로그를 선택합니다.
    Defender 포털의 Microsoft Sentinel의 경우 조사 및 응답에서 헌팅 고급 헌팅>을 선택합니다.

  2. SentinelHealth 테이블에서 쿼리를 실행합니다. 예시:

    _SentinelHealth()
     | take 20
    
  3. SentinelAudit 테이블에서 쿼리를 실행합니다. 예시:

    _SentinelAudit()
     | take 20
    

지원되는 데이터 테이블 및 리소스 종류

기능이 켜져 있으면 선택한 리소스에 대해 생성된 첫 번째 이벤트에서 SentinelHealthSentinelAudit 데이터 테이블이 만들어집니다.

Microsoft Sentinel 상태 모니터링은 현재 다음 형식의 리소스를 지원합니다.

  • Analytics 규칙
  • 데이터 커넥터
  • 자동화 규칙
  • 플레이북(Azure Logic Apps 워크플로)

참고 항목

플레이북 상태를 모니터링할 때는 플레이북에서 Azure Logic Apps 진단 이벤트를 수집하여 플레이북 작업에 대한 전체적인 그림을 확보해야 합니다. 자세한 내용은 자동화 규칙 및 플레이북의 상태 모니터링을 참조하세요.

현재 감사에는 분석 규칙 리소스 종류만 지원됩니다.

다음 단계