원격 네트워크 상태 로그란 무엇인가요?

지점과 같은 원격 네트워크는 CPE(고객 프레미스 장비)를 사용하여 해당 위치의 사용자를 필요한 온라인 리소스 및 서비스에 연결합니다. 사용자는 작업을 수행할 수 있도록 CPE가 작동하기를 기대합니다. 모든 사람의 연결을 유지하려면 IPSec 터널 및 BGP(Border Gateway Protocol) 경로 알림의 상태를 확인해야 합니다. 이 장기 실행 터널 및 라우팅 정보는 원격 네트워크 상태의 키입니다.

이 문서에서는 원격 네트워크 상태 로그에 액세스하고 분석하는 몇 가지 방법을 설명합니다.

• Microsoft Entra 관리 센터 또는 Microsoft Graph API의 액세스 로그
• Log Analytics 또는 SIEM(보안 정보 및 이벤트 관리) 도구로 로그 내보내기
• Microsoft Entra용 Azure 통합 문서를 사용하여 로그 분석
• 장기 스토리지에 대한 로그 다운로드

필수 조건

Microsoft Entra 관리 센터에서 원격 네트워크 상태 로그를 보려면 다음이 필요합니다.

• 전역 보안 액세스 관리자 또는 보안 관리자 역할 중 하나입니다.
• 제품에는 라이선스가 필요합니다. 자세한 내용은 전역 보안 액세스란?의 라이선스 섹션을 참조하세요. 필요한 경우 라이선스를 구매하거나 평가판 라이선스를 얻을 수 있습니다.
• Microsoft Graph API를 사용하여 로그에 액세스하고 Log Analytics 및 Azure 통합 문서와 통합하려면 별도의 역할이 필요합니다.

로그 보기

원격 네트워크 상태 로그를 보려면 Microsoft Entra 관리 센터 또는 Microsoft Graph API를 사용할 수 있습니다.

Microsoft Entra 관리 센터

Microsoft Entra 관리 센터에서 원격 네트워크 상태 로그를 보려면 다음을 수행합니다.

1. 최소한 전역 보안 액세스 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. 글로벌 보안 액세스>모니터>원격 네트워크 상태 로그로 찾습니다.

   

Microsoft Graph API

글로벌 보안 액세스 원격 네트워크 상태 로그는 /beta 엔드포인트에서 Microsoft Graph를 사용하여 보고 관리할 수 있습니다.

Microsoft Graph API를 사용하여 로그에 액세스하려면 다음 권한 중 하나가 필요합니다.

• Directory.ReadWrite.All
• NetworkAccess.Read.All
• NetworkAccess.ReadWrite.All
• NetworkAccess-Reports.Read.All

Microsoft Graph API를 사용하여 원격 네트워크 상태 로그에 액세스하려면 다음을 수행합니다.

1. Graph Explorer에 로그인합니다.
2. HTTP 메서드로 GET을 선택합니다.
3. API 버전은 BETA를 선택합니다.
4. 다음 쿼리를 실행합니다.

GET https://graph.microsoft.com/beta/networkAccess/logs/remotenetworks

응답(잘림):

{
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#networkAccess/logs/remoteNetworks",
  "@odata.nextLink": "https://graph.microsoft.com/beta/networkAccess/logs/remotenetworks?$skiptoken=a0850fa33aecaf5fc7240fdd13929d25cc2ffbaa9e985c2fd3787a9283ba28c0",
  "@microsoft.graph.tips": "Use $select to choose only the properties your app needs, as this can lead to performance improvements. For example: GET networkAccess/logs/remoteNetworks?$select=bgpRoutesAdvertisedCount,createdDateTime",
  "value": [
    {
     "id": "00001111-aaaa-2222-bbbb-3333cccc4444",
     "remoteNetworkId": "00aa00aa-bb11-cc22-dd33-44ee44ee44ee",
     "createdDateTime": "2024-05-09T20:53:48.3925141Z",
     "sourceIp": "20.x.x.x",
     "destinationIp": "20.x.x.x",
     "description": null,
     "bgpRoutesAdvertisedCount": 0,
     "status": "remoteNetworkAlive",
     "sentBytes": 74156,
     "receivedBytes": 76554
     },
     {
     "id": "11112222-bbbb-3333-cccc-4444dddd5555",
     "remoteNetworkId": "11bb11bb-cc22-dd33-ee44-55ff55ff55ff",
     "createdDateTime": "2024-05-09T20:54:55.1969876Z",
     "sourceIp": "16.x.x.x",
     "destinationIp": "20.x.x.x",
     "description": null,
     "bgpRoutesAdvertisedCount": 25,
     "status": "remoteNetworkAlive",
     "sentBytes": 573962,
     "receivedBytes": 365794
     }
  ]
}

로그를 내보내도록 진단 설정 구성

Log Analytics와 같은 SIEM 도구와 로그 통합은 Microsoft Entra ID의 진단 설정을 통해 구성됩니다. 이 프로세스는 활동 로그에 대한 Microsoft Entra 진단 설정 구성 문서에서 자세히 설명합니다 .

진단 설정을 구성하려면 다음이 필요합니다.

• 보안 관리자 액세스.
• Log Analytics 작업 영역

진단 설정을 구성하는 기본 단계는 다음과 같습니다.

1. 최소한 보안 관리자로 Microsoft Entra 관리 센터에 로그인합니다.

2. ID>모니터링 및 상태>진단 설정으로 이동합니다.

3. 모든 기존 진단 설정이 테이블에 표시됩니다. 편집 설정을 선택하여 기존 설정을 변경하거나 진단 설정 추가를 선택하여 새 설정을 만듭니다.

4. 이름을 입력합니다.

5. RemoteNetworkHealthLogs 포함할 로그(및 기타 로그)를 선택합니다.

   

6. 로그를 보낼 대상을 선택합니다.

7. 표시되는 드롭다운 메뉴에서 구독 및 대상을 선택합니다.

8. 저장 단추를 선택합니다.

참고 항목

로그가 대상에 표시되기 시작하는 데 최대 3일이 걸릴 수 있습니다.

로그가 Log Analytics로 라우팅되면 다음 기능을 활용할 수 있습니다.

• 경고 규칙을 만들어 BGP 터널 오류와 같은 사항에 대한 알림을 받습니다.
  • 자세한 내용은 경고 규칙 만들기를 참조하세요.
• Microsoft Entra용 Azure 통합 문서를 사용하여 데이터를 시각화합니다(다음 섹션에서 설명).
• 보안 분석 및 위협 인텔리전스를 위해 Microsoft Sentinel과 로그를 통합합니다.
  • 자세한 내용은 Microsoft Sentinel 온보딩 빠른 시작을 따르세요.

통합 문서를 사용하여 로그 분석

Microsoft Entra 용 Azure 통합 문서는 데이터의 시각적 표현을 제공합니다. Log Analytics 작업 영역 및 진단 설정을 구성하여 Log Analytics와 로그를 통합하면 통합 문서를 사용하여 이러한 강력한 도구를 통해 데이터를 분석할 수 있습니다.

통합 문서에 대한 유용한 리소스를 확인하세요.

• Azure 통합 문서 만들기
• ID 통합 문서를 사용하는 방법
• 통합 문서 경고 만들기

다운로드 로그

다운로드 단추는 전역 보안 액세스 및 Microsoft Entra 모니터링 및 상태 내에서 모든 로그에서 사용할 수 있습니다. 로그를 JSON 또는 CSV 파일로 다운로드할 수 있습니다. 자세한 내용은 공유를 다운로드 받는 방법을 참조하세요.

로그 결과의 범위를 좁히려면 필터 추가를 선택합니다. 다음을 기준으로 필터링할 수 있습니다.

• 설명
• 원격 네트워크 ID
• 원본 IP
• 대상 IP
• BGP 경로 보급 횟수

다음 표에서는 원격 네트워크 상태 로그의 각 필드에 대해 설명합니다.

이름	설명
만든 날짜 시간	원래 이벤트 생성 시간
원본 IP 주소	CPE의 IP 주소입니다. 원본 IP/대상 IP 주소 쌍은 각 IPsec 터널에 대해 고유합니다.
대상 IP 주소	Microsoft Entra 게이트웨이의 IP 주소입니다. 원본 IP/대상 IP 주소 쌍은 각 IPsec 터널에 대해 고유합니다.
상태	연결된 터널: IPsec 터널이 성공적으로 설정되면 이 이벤트가 생성됩니다. 터널 연결 끊김: IPsec 터널의 연결이 끊어지면 이 이벤트가 생성됩니다. BGP 연결: 이 이벤트는 BGP 연결이 성공적으로 설정될 때 생성됩니다. BGP 연결 끊김: BGP 연결이 끊어지면 이 이벤트가 생성됩니다. 원격 네트워크 활성: 이 주기적 통계는 모든 활성 터널에 대해 15분마다 생성됩니다.
설명	이벤트에 대한 선택적 설명입니다.
BGP 경로 보급 횟수	IPsec 터널을 통해 보급된 BGP 경로의 선택적 수입니다. 이 값은 터널 연결, 터널 연결 끊김, BGP 연결 및 BGP 연결이 끊긴 이벤트의 경우 0입니다.
보낸 바이트	지난 15분 동안 터널을 통해 원본에서 대상으로 전송된 바이트 수 선택 사항입니다. 이 값은 터널 연결, 터널 연결 끊김, BGP 연결 및 BGP 연결이 끊긴 이벤트의 경우 0입니다.
받은 바이트	지난 15분 동안 터널을 통해 대상에서 원본이 수신한 바이트 수 선택 사항입니다. 이 값은 터널 연결, 터널 연결 끊김, BGP 연결 및 BGP 연결이 끊긴 이벤트의 경우 0입니다.
원격 네트워크 ID	터널이 연결된 원격 네트워크의 ID입니다.

다음 단계

• 보강된 Microsoft 365 로그 사용
• 글로벌 보안 액세스 트래픽 로그 탐색(미리 보기)