기록 데이터를 대상 플랫폼에 수집
이전 문서에서 기록 데이터에 대한 대상 플랫폼을 선택했습니다. 또한 데이터 전송 도구를 선택하고 기록 데이터를 스테이징 위치에 저장했습니다. 이제 데이터를 대상 플랫폼에 수집하기 시작할 수 있습니다.
이 문서에서는 기록 데이터를 선택한 대상 플랫폼에 수집하는 방법을 설명합니다.
레거시 SIEM에서 데이터 내보내기
일반적으로 SIEM은 로컬 파일 시스템의 파일로 데이터를 내보내거나 덤프할 수 있으므로 이 방법을 사용하여 기록 데이터를 추출할 수 있습니다. 내보낸 파일의 스테이징 위치를 설정하는 것도 중요합니다. 데이터 수집을 전송하는 데 사용하는 도구는 스테이징 위치에서 대상 플랫폼으로 파일을 복사할 수 있습니다.
이 다이어그램은 개략적인 내보내기 및 수집 프로세스를 보여 줍니다.
현재 SIEM에서 데이터를 내보내려면 다음 섹션 중 하나를 참조하세요.
Azure Data Explorer에 수집
기록 데이터를 ADX(Azure Data Explorer)에 수집하려면(위 다이어그램의 옵션 1):
- 로그를 내보낼 시스템에 LightIngest를 설치 및 구성하거나 내보낸 로그에 액세스할 수 있는 또 다른 시스템에 LightIngest를 설치합니다. LightIngest는 Windows만 지원합니다.
- 기존 ADX 클러스터가 없는 경우 새 클러스터를 만들고 연결 문자열을 복사합니다. ADX를 설정하는 방법을 알아봅니다.
- ADX에서 테이블을 만들고 CSV 또는 JSON 형식(QRadar의 경우)에 대한 스키마를 정의합니다. 샘플 데이터를 사용하거나 샘플 데이터 없이 테이블을 만들고 스키마를 정의하는 방법을 알아봅니다.
- 내보낸 로그를 경로로 포함하는 폴더 경로와 ADX 연결 문자열을 출력으로 사용하여 LightIngest를 실행합니다. LightIngest를 실행할 때 대상 ADX 테이블 이름을 제공하고, 인수 패턴이
*.csv로 설정되고, 형식이.csv(또는 QRadar의 경우json)으로 설정되어 있는지 확인합니다.
데이터를 Microsoft Sentinel 기본 로그에 수집
기록 데이터를 Microsoft Sentinel 기본 로그에 수집하려면( 위 다이어그램의 옵션 2):
기존 Log Analytics 작업 영역이 없는 경우 새 작업 영역을 만들고 Microsoft Sentinel을 설치합니다.
데이터를 저장할 사용자 지정 로그 테이블을 만들고 데이터 샘플을 제공합니다. 이 단계에서는 데이터를 수집하기 전에 변환을 정의할 수도 있습니다.
데이터 수집 규칙에서 정보를 수집하고 규칙에 대한 권한을 할당합니다.
사용자 지정 로그 수집 스크립트를 실행합니다. 이 스크립트는 다음 세부 정보를 요청합니다.
- 수집할 로그 파일의 경로
- Microsoft Entra 테넌트 ID
- 애플리케이션 ID
- 애플리케이션 비밀
- DCE 엔드포인트(DCR에 대한 로그 수집 엔드포인트 URI 사용)
- DCR 변경 불가능 ID
- DCR의 데이터 스트림 이름
이 스크립트는 작업 영역으로 전송된 이벤트 수를 반환합니다.
Azure Blob Storage에 수집
기록 데이터를 Azure Blob Storage에 수집하려면(위 다이어그램의 옵션 3):
- 로그를 내보낸 시스템에 AzCopy를 설치 및 구성합니다. 또는 내보낸 로그에 액세스할 수 있는 또 다른 시스템에 AzCopy를 설치합니다.
- Azure Blob Storage 계정을 만들고 권한이 있는 Microsoft Entra ID 자격 증명 또는 공유 액세스 서명 토큰을 복사합니다.
- 내보낸 로그를 원본으로 포함하는 폴더 경로와 Azure Blob Storage 연결 문자열을 출력으로 사용하여 AzCopy를 실행합니다.
다음 단계
이 문서에서는 데이터를 대상 플랫폼에 수집하는 방법을 알아보았습니다.