Azure Monitor 로그
Azure Monitor 로그를 Panther 콘솔에 연결하기
개요
Panther는 Azure Monitor 로그 공통 데이터 전송 옵션(예: Azure Event Hub 및 Blob Storage.
을(를) 수집하는 것도 가능합니다. Microsoft Defender for Cloud 경고를 이 소스를 사용하여 수집하려면 보안 카테고리 을(를) 온보딩 프로세스의 2단계동안 포함하십시오.
Azure Monitor 로그를 Panther에 온보딩하는 방법
먼저 Panther에서 Azure Blob Storage 또는 Azure Event Hub 소스를 만든 다음, Azure를 구성하여 해당 위치로 로그를 내보내도록 설정합니다.
1단계: Panther에서 Azure Monitor 소스 생성
Panther 콘솔의 왼쪽 탐색 막대에서 구성 > 로그 소스.
우측 상단에서 새로 만들기.
"Azure Monitor"를 검색한 다음 해당 타일을 클릭합니다.
슬라이드 아웃 패널에서 전송 메커니즘 우측 상단의 드롭다운은 Azure Event Hub 옵션으로 미리 채워져 있습니다. 이 선택을 그대로 두거나 Azure Blob Storage.
를 선택하십시오. 설정 시작.
Panther의 지침에 따라 Azure Event Hub 또는 Azure Blob Storage 소스를 구성하십시오..
Azure Blob Storage를 선택하고 2단계: 필요한 Azure 인프라 생성 에서 리소스를 수동으로 생성하기로 선택한 경우(Terraform 사용 대신), Azure 컨테이너를 생성하는 단계는건너뛰십시오. 아래 2단계에서 스토리지 계정에 자동으로 컨테이너가 생성됩니다.
2단계: Azure Monitor 로그 내보내기
Azure Monitor 로그를 Event Hubs 또는 스토리지 계정으로 내보내려면 아래 지침을 따르십시오:
Azure 대시보드에서 모니터 서비스.
왼쪽 탐색 패널에서 활동 로그.
페이지 상단 근처에서 활동 로그 내보내기.
를 선택하십시오. 진단 설정 추가.
진단 설정 페이지에서 다음 필드에 대한 값을 제공합니다:
진단 설정 이름: 설명적인 이름을 입력하십시오.
대상 세부정보: 다음 중 하나를 선택하십시오 스토리지 계정으로 보관 또는 이벤트 허브로 스트리밍, Panther에서 1단계에서 사용한 데이터 전송 메커니즘에 따라 1단계.
를 선택한 경우 스토리지 계정으로 보관, 스토리지 계정 필드에서 스토리지 계정을 선택하십시오.
를 선택한 경우 이벤트 허브로 스트리밍, 이벤트 허브 네임스페이스 필드에서 이벤트 허브를 선택하십시오.
왼쪽 상단에서 저장.
(Blob Storage 전송만 해당) 3단계: 컨테이너에 역할 할당
이 단계는 1단계에서 Azure Blob Storage를 선택한 경우에만 적용됩니다. Azure Event Hub를 사용했다면 이 단계를 건너뛰십시오.
방금 생성된 이름이
insights-activity-logs인 컨테이너를 클릭한 다음, 왼쪽 탐색 막대에서 액세스 제어(IAM).를 선택하십시오. +추가.
를 선택하십시오. 역할 할당 추가.
"Storage Blob Data Reader"를 검색하고 표시되는 일치하는 역할을 선택하십시오.
클릭하여 구성원 탭을 엽니다.
를 선택하십시오. +구성원 선택.
Azure Blob Storage 소스의 필수 Azure 인프라 생성 과정에서 생성한 등록된 앱의 이름을 검색하고클릭하십시오. 선택.
를 선택하십시오. 검토+할당.
Panther가 Azure Monitor 파일을 매시간 한 번 가져오기 때문에 초기 데이터가 Panther에 도착하기까지 최대 한 시간까지 지연될 수 있음을 기억하십시오.
지원되는 로그 유형
Panther는 Azure.MonitorActivity 스키마로 처리되는 Azure Monitor 활동 로그를 지원합니다.
Azure.MonitorActivity
Last updated
Was this helpful?