데이터 커넥터의 상태 모니터링
Microsoft Sentinel 서비스에서 완전하고 중단 없는 데이터 수집을 보장하려면 데이터 커넥터의 상태, 연결 및 성능을 추적합니다.
다음 기능을 사용하면 Microsoft Sentinel 내에서 이 모니터링을 수행할 수 있습니다.
데이터 수집 상태 모니터링 통합 문서: 이 통합 문서는 추가 모니터를 제공하고, 변칙을 검색하고, 작업 영역의 데이터 수집 상태에 대한 인사이트를 제공합니다. 통합 문서의 논리를 사용하여 수집된 데이터의 일반적인 상태를 모니터링하고 사용자 지정 보기 및 규칙 기반 경고를 빌드할 수 있습니다.
SentinelHealth 데이터 테이블(미리 보기): 이 테이블을 쿼리하면 Microsoft Sentinel Health 데이터 테이블은 경고 및 기타 자동화된 작업을 만드는 데 사용할 수 있는 커넥터당 최신 오류 이벤트 또는 성공에서 실패 상태로 변경되는 커넥터와 같은 상태 드리프트에 대한 인사이트를 얻을 수 있습니다. SentinelHealth 데이터 테이블은 현재 선택한 데이터 커넥터에 대해서만 지원됩니다.
Important
SentinelHealth 데이터 테이블은 현재 미리 보기로 제공됩니다. 베타 또는 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 추가 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.
연결된 SAP 시스템의 상태 확인: SAP 데이터 커넥터에서 SAP 시스템의 상태 정보를 검토하고 경고 규칙 템플릿을 사용하여 SAP 에이전트의 데이터 컬렉션 상태에 대한 정보를 확인합니다.
상태 모니터링 통합 문서 사용
시작하려면 콘텐츠 허브에서 데이터 컬렉션 상태 모니터링 통합 문서를 설치하고 Microsoft Sentinel의 통합 문서 섹션에서 템플릿의 복사본을 보거나 만듭니다.
Azure Portal의 Microsoft Sentinel에서는 콘텐츠 관리에서 콘텐츠 허브를 선택합니다.
Defender 포털의 Microsoft Sentinel에서는, Microsoft Sentinel>콘텐츠 관리>콘텐츠 허브를 선택합니다.콘텐츠 허브의 검색 표시줄에 상태를 입력하고 결과 중에서 데이터 수집 상태 모니터링을 선택합니다.
세부 정보 창에서 설치를 선택합니다. 통합 문서가 설치되었다는 알림 메시지가 표시되거나 Install 대신 Configuration이 표시되면 다음 단계를 진행합니다.
Microsoft Sentinel의 위협 관리에서 통합 문서를 선택합니다.
통합 문서 페이지에서 템플릿 탭을 선택하고, 검색 표시줄에 상태를 입력하고, 결과 중에서 데이터 수집 상태 모니터링을 선택합니다.
템플릿 보기를 선택하여 통합 문서를 있는 그대로 사용하거나, 저장을 선택하여 통합 문서의 편집 가능한 복사본을 만듭니다. 복사본을 만들 때 저장된 통합 문서 보기를 선택합니다.
통합 문서에서 먼저 보려는 구독 및 작업 영역을 선택한 다음, TimeRange를 정의하여 필요에 따라 데이터를 필터링합니다. 도움말 표시 토글을 사용하여 통합 문서에 대한 현재 위치 설명을 표시합니다.
이 통합 문서에는 다음과 같은 세 개의 탭 섹션이 있습니다.
개요 탭에는 선택한 작업 영역의 일반적인 데이터 수집 상태(볼륨 측정값, EPS 속도 및 마지막 로그 수신 시간)가 표시됩니다.
데이터 수집 변칙 탭에서는 테이블 및 데이터 원본별로 데이터 수집 프로세스의 변칙을 검색할 수 있습니다. 각 탭은 특정 테이블에 대한 변칙을 나타냅니다(일반 탭에는 테이블 컬렉션이 포함됨). 변칙은 변칙 점수를 반환하는 series_decompose_anomalies() 함수를 사용하여 계산됩니다. 이 함수에 대해 자세히 알아보세요. 평가할 함수에 대해 다음 매개 변수를 설정합니다.
에이전트 정보 탭에는 Azure VM, 다른 클라우드 VM, 온-프레미스 VM 또는 물리적 컴퓨터 등 다양한 컴퓨터에 설치된 에이전트의 상태에 대한 정보가 표시됩니다. 시스템 위치, 하트비트 상태 및 대기 시간, 사용 가능한 메모리 및 디스크 공간 및 에이전트 작업을 모니터링합니다.
이 섹션에서는 컴퓨터의 환경을 설명하는 탭을 선택해야 합니다. Azure Arc 관리 컴퓨터만 보려면 Azure 관리 컴퓨터 탭을 선택하고, Azure Monitor 에이전트가 설치된 관리되는 컴퓨터와 비 Azure 머신을 모두 보려면 모든 컴퓨터 탭을 선택합니다.
SentinelHealth 데이터 테이블 사용(공개 미리 보기)
SentinelHealth 데이터 테이블에서 데이터 커넥터 상태 데이터를 가져오려면 먼저 작업 영역에 대해 Microsoft Sentinel 상태 기능을 설정해야 합니다. 자세한 내용은 Microsoft Sentinel에 대한 상태 모니터링 켜기를 참조하세요.
상태 기능이 켜져 있으면 데이터 커넥터에 대해 만들어진 첫 번째 성공 또는 실패 이벤트에서 SentinelHealth 데이터 테이블이 만들어집니다.
지원되는 데이터 커넥터
SentinelHealth 데이터 테이블은 현재 다음 데이터 커넥터에 대해서만 지원됩니다.
- Amazon Web Services(CloudTrail and S3)
- Dynamics 365
- Office 365
- 엔드포인트에 대한 Microsoft Defender
- 위협 인텔리전스 - TAXII
- 위협 인텔리전스 플랫폼
- 코드리스 커넥터 플랫폼을 기반으로 하는 모든 커넥터
SentinelHealth 테이블 이벤트 이해
다음 형식의 상태 이벤트가 SentinelHealth 테이블에 기록됩니다.
데이터 가져오기 상태 변경. 지속적인 성공 또는 실패 이벤트와 함께 데이터 커넥터 상태가 안정적으로 유지되는 한 한 시간에 한 번 기록됩니다. 데이터 커넥터의 상태가 변하지 않는 한 시간 단위로 모니터링만 하면 중복 감사를 방지하고 테이블 크기를 줄일 수 있다. 데이터 커넥터의 상태에 지속적인 오류가 있는 경우 오류에 대한 추가 세부 정보가 ExtendedProperties 열에 포함됩니다.
데이터 커넥터의 상태가 성공에서 실패로, 실패에서 성공으로 변경되거나 실패 이유가 변경된 경우 팀이 자동 관리이고 즉각적인 작업을 취할 수 있도록 이벤트가 즉시 기록됩니다.
원본 서비스 제한과 같은 잠재적으로 일시적인 오류는 60분 이상 계속된 후에만 기록됩니다. 이 60분 동안 Microsoft Sentinel은 사용자 작업 없이도 백 엔드의 일시적인 문제를 극복하고 데이터를 따라잡을 수 있습니다. 일시적이지 않은 오류는 즉시 기록됩니다.
오류 요약. 집계된 오류 요약과 함께 커넥터당, 작업 영역당 한 시간에 한 번 기록됩니다. 오류 요약 이벤트는 커넥터가 지정된 시간 동안 폴링 오류를 경험한 경우에만 작성됩니다. 여기에는 커넥터의 원본 플랫폼이 쿼리된 기간 및 해당 기간 동안 발생한 고유한 오류 목록과 같이 ExtendedProperties 열에 제공된 추가 세부 정보가 포함됩니다.
자세한 내용은 SentinelHealth 테이블 열 스키마를 참조하세요.
쿼리를 실행하여 상태 드리프트 검색
데이터 커넥터에서 상태 드리프트를 검색하는 데 도움이 되도록 SentinelHealth 테이블에 쿼리를 만듭니다. 예시:
커넥터당 최신 오류 이벤트 검색:
SentinelHealth
| where TimeGenerated > ago(3d)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId
| where Status == 'Failure'
실패에서 성공 상태로 변경되는 커넥터 검색:
let lastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| project TimeGenerated, SentinelResourceName, SentinelResourceId, LastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
let nextToLastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| join kind = leftanti (lastestStatus) on SentinelResourceName, SentinelResourceId, TimeGenerated
| project TimeGenerated, SentinelResourceName, SentinelResourceId, NextToLastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
lastestStatus
| join kind=inner (nextToLastestStatus) on SentinelResourceName, SentinelResourceId
| where NextToLastStatus == 'Failure' and LastStatus == 'Success'
성공에서 실패 상태로 변경되는 커넥터 검색:
let lastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| project TimeGenerated, SentinelResourceName, SentinelResourceId, LastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
let nextToLastestStatus = SentinelHealth
| where TimeGenerated > ago(12h)
| where OperationName == 'Data fetch status change'
| where Status in ('Success', 'Failure')
| join kind = leftanti (lastestStatus) on SentinelResourceName, SentinelResourceId, TimeGenerated
| project TimeGenerated, SentinelResourceName, SentinelResourceId, NextToLastStatus = Status
| summarize TimeGenerated = arg_max(TimeGenerated,*) by SentinelResourceName, SentinelResourceId;
lastestStatus
| join kind=inner (nextToLastestStatus) on SentinelResourceName, SentinelResourceId
| where NextToLastStatus == 'Success' and LastStatus == 'Failure'
상태 문제에 대한 경고 및 자동화된 작업 구성
Microsoft Sentinel 분석 규칙을 사용하여 Microsoft Sentinel 로그에서 자동화를 구성할 수 있지만, 데이터 커넥터의 상태 드리프트에 대한 알림을 받고 즉각적인 조치를 취하려면 Azure Monitor 경고 규칙을 사용하는 것이 좋습니다.
예시:
Azure Monitor 경고 규칙에서 Microsoft Sentinel 작업 영역을 규칙 범위로 선택하고 사용자 지정 로그 검색을 첫 번째 조건으로 선택합니다.
빈도 또는 전환 확인 기간과 같이 필요에 따라 경고 논리를 사용자 지정한 다음 쿼리를 사용하여 상태 드리프트를 검색합니다.
규칙 작업의 경우 시스템에서 Logic App, Webhook 또는 Azure Function 트리거와 같은 푸시 알림 또는 기타 자동화 작업을 구성하기 위해 필요에 따라 기존 작업 그룹을 선택하거나 새 그룹을 만듭니다.
자세한 내용은 Azure Monitor 경고 개요 및 Azure Monitor 경고 로그를 참조하세요.
다음 단계
- Microsoft Sentinel의 감사 및 상태 모니터링에 대해 알아봅니다.
- Microsoft Sentinel에서 감사 및 상태 모니터링 켜기
- 자동화 규칙 및 플레이북의 상태 모니터링.
- 분석 규칙의 상태 및 무결성을 모니터링합니다.
- SentinelHealth 및 SentinelAudit 테이블 스키마에 대한 자세한 내용을 참조하세요.