Azure Monitor 로그

Azure Monitor 로그를 Panther Console에 연결하기

개요

Panther는 수집을 지원합니다 Azure Monitor 로그를 다음을 통해 일반적인 데이터 전송 옵션으로, 예를 들어 Azure Event Hub 및 Blob Storage.

또한 다음을 수집하는 것도 가능합니다 Microsoft Defender for Cloud 알러트는 다음을 포함하여 이 소스를 사용해 보안 카테고리 를 온보딩 과정의 2단계에서, 아래.

Azure Monitor 로그를 Panther로 온보딩하는 방법

먼저 Panther에서 Azure Blob Storage 또는 Azure Event Hub 소스를 생성한 다음, Azure를 구성하여 해당 위치로 로그를 내보내도록 합니다.

1단계: Panther에서 Azure Monitor 소스 생성

Panther Console의 왼쪽 탐색 모음에서 구성 > 로그 소스.
오른쪽 상단에서 새로 만들기.
"Azure Monitor"를 검색한 다음 해당 타일을 클릭합니다.
- 슬라이드아웃 패널에서 전송 메커니즘 드롭다운이 오른쪽 상단에서 다음 값으로 미리 채워집니다 Azure Event Hub 옵션. 이 선택을 그대로 두거나 다음을 선택하세요 Azure Blob Storage.
클릭 설정 시작.
Panther의 지침에 따라 다음을 구성하세요 Azure Event Hub 또는 Azure Blob Storage Source.
- Azure Blob Storage를 선택했고, 2단계: 필요한 Azure 인프라 생성 중에 Azure 리소스를 수동으로 생성하기로 선택했다면( Terraform 사용 대신), 다음 단계를 건너뛰세요 Azure 컨테이너 생성, 아래 2단계에서 스토리지 계정에 자동으로 생성됩니다.

이 두 옵션의 지연 시간은 다릅니다: Blob Storage 옵션을 선택하면 Panther가 매시간 Azure Monitor 파일을 가져옵니다. 다음을 선택하면 Event Hub수집은 거의 실시간으로 이루어집니다.

2단계: Azure Monitor 로그 내보내기

Azure Monitor 로그를 Event Hub 또는 스토리지 계정으로 내보내려면 아래 지침을 따르세요:

Azure 대시보드에서 다음으로 이동합니다 Monitor 서비스.
왼쪽 탐색 패널에서 Activity Log.
페이지 상단 근처에서 클릭합니다 Export Activity Logs.
클릭 진단 설정 추가.
에서 진단 설정 페이지에서 다음 필드에 값을 입력하세요:
- 진단 설정 이름: 설명이 되는 이름을 입력합니다.
- 카테고리 (아래 로그): 수집하려는 각 로그 카테고리를 선택합니다:
  - Administrative
  - Service health
  - Resource health
  - 알러트
  - Autoscale
  - Security (Microsoft Defender for Cloud)
  - Recommendation
  - Policy
- 대상 세부 정보: 다음 중 하나를 선택하세요 스토리지 계정으로 보관 또는 이벤트 허브 Hub로 스트리밍, Panther에서 1단계에서 사용한 데이터 전송 메커니즘을 기준으로 1단계.
  - 다음을 선택한 경우 스토리지 계정으로 보관, 스토리지 계정 필드에서 스토리지 계정을 선택합니다.
  - 다음을 선택한 경우 이벤트 허브로 스트리밍, 이벤트 허브 네임스페이스 필드에서 이벤트 허브를 선택합니다.
왼쪽 상단에서 클릭합니다 저장.

(Blob Storage 전송만 해당) 3단계: 컨테이너에 역할 할당

이 단계는 1단계에서 Azure Blob Storage를 선택한 경우에만 해당합니다. Azure Event Hub를 사용한 경우 이 단계를 건너뛰세요.

새로 만든 컨테이너를 클릭하고 이름이 insights-activity-logs인 것을 확인한 다음, 왼쪽 탐색 모음에서 클릭합니다 액세스 제어(IAM).
클릭 +추가.
클릭 역할 할당 추가.
"Storage Blob Data Reader"를 검색하고 표시되는 일치하는 역할을 선택합니다.
다음을 클릭하세요 구성원 탭.
클릭 +구성원 선택.
다음 중 생성한 등록된 앱의 이름을 검색하세요 Azure Blob Storage Source에서 필요한 Azure 인프라 생성 과정에서, 그리고 클릭 선택.
클릭 검토+할당.
- Panther가 Azure Monitor 파일을 한 시간에 한 번 가져오기 때문에 초기 데이터가 Panther에 도착하기까지 최대 1시간이 지연될 수 있습니다.

지원되는 로그 유형

Panther는 Azure.MonitorActivity 스키마로 처리되는 Azure Monitor Activity 로그를 지원합니다.

Azure.MonitorActivity

필드:
  - 이름: time
    필수: true
    설명: 기록되는 이벤트의 타임스탬프(UTC).
    유형: timestamp
    timeFormats:
      - rfc3339
      - '%Y-%m-%d %H:%M:%SZ'
      - '%Y-%m-%d %H:%M:%S.%N'
    isEventTime: true
  - 이름: resourceId
    필수: true
    설명: 이벤트를 생성한 리소스의 리소스 ID입니다. 테넌트 서비스의 경우 형식은 /tenants/tenant-id/providers/provider-name입니다.
    유형: string
  - 이름: tenantId
    설명: 이 이벤트가 연결된 Active Directory 테넌트의 테넌트 ID입니다. 이 속성은 테넌트 수준 로그에만 사용됩니다. 리소스 수준 로그에는 나타나지 않습니다.
    유형: string
  - 이름: operationName
    필수: true
    설명: 이 이벤트가 기록하는 작업의 이름입니다. 예: Microsoft.Storage/storageAccounts/blobServices/blobs/Read. operationName은 일반적으로 Azure Resource Manager 작업 형식인 Microsoft.<providerName>/<resourceType>/<subtype>/<Write|Read|Delete|Action>으로 모델링되지만, 문서화된 Resource Manager 작업이 아니더라도 마찬가지입니다.
    유형: string
  - 이름: operationVersion
    설명: API를 통해 operationName이 수행된 경우 해당 작업과 연결된 API 버전입니다(예: http://myservice.windowsazure.net/object?api-version=2016-06-01). 이 작업과 대응하는 API가 없는 경우, 이 버전은 향후 작업과 관련된 속성이 변경될 때 해당 작업의 버전을 나타냅니다.
    유형: string
  - 이름: category
    필수: true
    설명: 기록되는 이벤트의 로그 카테고리입니다. 카테고리는 특정 리소스에서 로그를 활성화하거나 비활성화할 수 있는 세분화 수준입니다. 이벤트의 properties blob 내에 표시되는 속성은 특정 로그 카테고리와 리소스 유형 내에서 동일합니다. 일반적인 로그 카테고리는 Audit, Operational, Execution, Request입니다.
    유형: string
  - 이름: resultType
    설명: 해당하는 경우 기록된 이벤트의 상태입니다. 값에는 Started, In Progress, Succeeded, Failed, Active, Resolved가 포함됩니다.
    유형: string
  - 이름: resultSignature
    설명: 이벤트의 하위 상태입니다. 이 작업이 REST API 호출에 해당하는 경우 이 필드는 해당 REST 호출의 HTTP 상태 코드입니다.
    유형: string
  - 이름: resultDescription
    설명: 이 작업에 대한 정적 텍스트 설명입니다. 예: Get storage file.
    유형: string
  - 이름: durationMs
    설명: 작업의 지속 시간(밀리초)입니다.
    유형: bigint
  - 이름: callerIpAddress
    설명: 작업이 공개 IP 주소를 가진 엔터티에서 발생한 API 호출에 해당하는 경우 호출자 IP 주소입니다.
    유형: string
    지표:
      - ip
  - 이름: correlationId
    설명: 관련된 이벤트 집합을 함께 묶는 데 사용되는 GUID입니다. 일반적으로 두 이벤트가 같은 operationName 값을 가지지만 상태가 서로 다른 경우(예: Started 및 Succeeded), 같은 correlationID 값을 공유합니다. 이는 이벤트 간의 다른 관계를 나타낼 수도 있습니다.
    유형: string
    지표:
      - trace_id
  - 이름: identity
    설명: 작업을 수행한 사용자 또는 애플리케이션의 ID를 설명하는 JSON blob입니다. 일반적으로 이 필드에는 Active Directory의 권한 부여와 클레임 또는 JWT 토큰이 포함됩니다.
    유형: json
  - 이름: level
    설명: 이벤트의 심각도 수준입니다. 값에는 Informational, Warning, Error, Critical이 포함됩니다.
    유형: string
  - 이름: location
    설명: 이벤트를 생성하는 리소스의 지역입니다. 예: East US 또는 France South.
    유형: string
  - 이름: properties
    설명: 이 이벤트 카테고리와 관련된 확장 속성입니다. 모든 사용자 지정 또는 고유 속성은 스키마의 이 'Part B' 안에 넣어야 합니다.
    유형: json
  - 이름: roleLocation
    설명: 역할의 위치입니다.
    유형: string
  - 이름: providerGuid
    설명: 이벤트를 생성하는 서비스 제공자의 GUID입니다.
    유형: string
  - 이름: providerName
    설명: 이벤트를 생성하는 서비스 제공자의 이름입니다.
    유형: string

이전Axonius 로그 (Beta)다음Bitwarden 로그

마지막 업데이트 4일 전

도움이 되었나요?