전역 보안 액세스 트래픽 로그를 사용하는 방법(미리 보기)
전역 보안 액세스에 대한 트래픽 모니터링은 테넌트가 올바르게 구성되고 사용자가 최상의 환경을 얻을 수 있도록 하기 위한 중요한 작업입니다. 글로벌 보안 액세스 트래픽 로그(미리 보기)는 누가 어떤 리소스에 액세스하고 있는지, 어디에서 액세스하는지, 어떤 작업이 수행되었는지에 대한 인사이트를 제공합니다.
이 문서에서는 전역 보안 액세스에 대한 트래픽 로그를 사용하는 방법을 설명합니다.
필수 조건
- Microsoft Entra ID의 글로벌 보안 액세스 관리자 역할.
- 제품에는 라이선스가 필요합니다. 자세한 내용은 전역 보안 액세스란?의 라이선스 섹션을 참조하세요. 필요한 경우 라이선스를 구매하거나 평가판 라이선스를 얻을 수 있습니다.
트래픽 로그 작동 방식
전역 보안 액세스 로그는 네트워크 트래픽에 대한 세부 정보를 제공합니다. 이러한 세부 정보를 더 잘 이해하고 해당 세부 정보를 분석하여 환경을 모니터링하는 방법을 알아보려면 로그의 세 가지 수준과 서로의 관계를 살펴보는 것이 도움이 됩니다.
웹 사이트에 액세스하는 사용자는 하나의 세션을 나타내며 해당 세션 내에 여러 연결이 있을 수 있고 해당 연결 내에 여러 트랜잭션이 있을 수 있습니다.
- 세션: 세션은 사용자가 액세스하는 첫 번째 URL로 식별됩니다. 그러면 해당 세션에서 여러 연결이 열릴 수 있습니다(예: 여러 다른 사이트의 여러 광고가 포함된 뉴스 사이트).
- 연결: 연결에는 원본 및 대상 IP, 원본 및 대상 포트, FQDN(정규화된 도메인 이름)이 포함됩니다. 연결 구성 요소는 5개의 튜플로 구성됩니다.
- 트랜잭션: 트랜잭션은 고유한 요청 및 응답 쌍입니다.
각 로그 인스턴스 내에서 세부 정보에서 연결 ID와 트랜잭션 ID를 볼 수 있습니다. 필터를 사용하면 단일 세션의 모든 연결과 트랜잭션을 볼 수 있습니다.
트래픽 로그를 보는 방법
- Microsoft Entra 관리 센터에 보고서 읽기 권한자 이상의 권한으로 로그인합니다.
- 전역 보안 액세스>모니터>트래픽 로그.
페이지 상단에는 모든 트랜잭션에 대한 요약과 각 트래픽 형식에 대한 분석이 표시됩니다. Microsoft 365 또는 프라이빗 액세스 단추를 선택하여 각 트래픽 형식에 대한 로그를 필터링합니다.
참고 항목
현재 로그 세부 정보에서는 세션 ID 정보를 확인할 수 없습니다.
로그 세부 정보 보기
세부 정보를 보려면 목록에서 로그를 선택합니다. 이러한 세부 정보는 특정 세부 정보에 대해 로그를 필터링하거나 시나리오 문제를 해결하는 데 사용할 수 있는 귀중한 정보를 제공합니다. 세부 정보를 열로 추가하고 로그를 필터링하는 데 사용할 수 있습니다.
필터 및 열 옵션
트래픽 로그는 많은 세부 정보를 제공할 수 있으므로 처음에는 일부 열만 표시됩니다. 너무 많은 열을 선택하면 로그를 보기 어려울 수 있으므로 수행 중인 분석 또는 문제 해결 작업을 기반으로 열을 사용하거나 사용하지 않도록 설정합니다. 열 및 필터 옵션은 작업 세부 정보의 각 항목에 맞춰 정렬됩니다.
표시되는 열을 변경하려면 페이지 상단에서 열을 선택합니다.
트래픽 로그를 특정 세부 정보로 필터링하려면 필터 추가 단추를 선택한 다음 필터링하려는 세부 정보를 입력합니다.
예를 들어, 특정 연결의 모든 로그를 보려면 다음을 수행합니다.
로그 세부 정보를 선택하고 작업 세부 정보에서
connectionId
를 복사합니다.필터 추가를 선택하고 연결 ID를 선택합니다.
표시되는 필드에
connectionId
를 붙여넣고 적용을 선택합니다.
문제 해결 시나리오
다음 세부 정보는 문제 해결 및 분석에 도움이 될 수 있습니다.
- 보내고 받는 트래픽의 크기가 궁금하다면 전송 바이트 및 수신 바이트 열을 사용하도록 설정합니다. 로그 크기별로 로그를 정렬하려면 열 머리글을 선택합니다.
- 위험 사용자의 네트워크 활동을 검토하는 경우 사용자 계정 이름을 기준으로 결과를 필터링한 다음 해당 사용자가 액세스하는 사이트를 검토할 수 있습니다.
- 차단하거나 허용하려는 웹 사이트 유형에 대한 트래픽을 찾으려면 웹 범주 열을 사용하도록 설정합니다.
로그 세부 정보는 네트워크 트래픽에 대한 귀중한 정보를 제공합니다. 아래 목록에 모든 세부 정보가 정의되어 있는 것은 아니지만 다음 세부 정보는 문제 해결 및 분석에 유용합니다.
- 트랜잭션 ID: 요청/응답 쌍을 나타내는 고유 식별자.
- 연결 ID: 로그를 시작한 연결을 나타내는 고유 식별자.
- 디바이스 범주: 트랜잭션이 시작된 디바이스 유형. 클라이언트 또는 원격 네트워크.
- 작업: 네트워크 세션에서 수행되는 작업. 허용됨 또는 거부됨.
로그를 내보내도록 진단 설정 구성
추가 분석 및 경고를 위해 글로벌 보안 액세스 트래픽 로그(미리 보기)를 엔드포인트로 내보낼 수 있습니다. 이 통합은 Microsoft Entra 진단 설정에서 구성됩니다.
최소한 보안 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
ID>모니터링 및 상태>진단 설정으로 이동합니다.
진단 설정 추가를 선택합니다.
진단 설정에 이름을 지정합니다.
NetworkAccessTrafficLogs
을(를) 선택합니다.로그를 보낼 대상 세부 정보를 선택합니다. 다음 대상 중 일부 또는 전체를 선택합니다. 선택 항목에 따라 추가 필드가 표시됩니다.
- Log Analytics 작업 영역으로 보내기: 표시되는 메뉴에서 적절한 세부 정보를 선택합니다.
- 스토리지 계정에 보관: 로그 범주 옆에 표시되는 보존 기간(일) 상자에 데이터를 보존하려는 일 수를 제공합니다. 표시되는 메뉴에서 적절한 세부 정보를 선택합니다.
- 이벤트 허브로 스트림: 표시되는 메뉴에서 적절한 세부 정보를 선택합니다.
- 파트너 솔루션으로 보내기: 표시되는 메뉴에서 적절한 세부 정보를 선택합니다.