Ctrlk
Knowledge BaseRelease NotesRequest Demo

Microsoft Entra ID 감사 로그

Microsoft Entra ID 감사 로그를 Panther 콘솔에 연결하기

개요

Panther는 Microsoft Entra ID(이전의 "Azure Active Directory") 감사 로그를 일반적인 데이터 전송 옵션으로 수집할 수 있습니다. 예를 들면 Azure Event HubBlob Storage.

Microsoft Entra ID 감사 로그를 Panther에 연결하는 방법

먼저 Panther에서 Azure Blob Storage 또는 Azure Event Hub 소스를 만든 다음, 해당 위치로 로그를 내보내도록 Azure를 구성합니다.

1단계: Panther에서 Microsoft Entra ID 소스 만들기

  1. Panther Console의 왼쪽 탐색 표시줄에서 구성 > 로그 소스.

  2. 을 클릭합니다. 새로 만들기.

  3. “Microsoft Entra ID Audit”을 검색한 다음 해당 타일을 클릭합니다.

    • 슬라이드아웃 패널에서 오른쪽 상단의 전송 메커니즘 드롭다운이 다음 항목으로 미리 채워집니다. Azure Event Hub 옵션입니다. 이 선택을 그대로 두거나 Azure Blob Storage.

  4. 을 클릭합니다. 설정 시작.

  5. 다음에 대한 Panther의 구성 지침을 따르세요. Azure Event Hub 또는 Azure Blob Storage Source.

이 두 옵션은 지연 시간이 다릅니다. Blob Storage 옵션을 선택하면 Panther가 Entra ID 파일을 매시간 가져옵니다. 선택하면 Event Hub거의 실시간으로 수집됩니다.

2단계: Microsoft Entra ID 감사 로그 내보내기

Microsoft Defender XDR 로그를 Event Hubs 또는 스토리지 계정으로 내보내려면 아래 지침을 따르세요:

  1. Azure 대시보드에 로그인합니다.

  2. 다음으로 이동합니다. Microsoft Entra ID 서비스.

  3. 왼쪽 패널에서 감사 로그.

  4. 페이지 상단 근처에서 내보내기 데이터 설정. The Microsoft Entra ID console is shown. An arrow is drawn from the "Audit logs" option in the navigation bar to a "Export data settings" button

  5. 을 클릭합니다. 진단 설정 추가.

  6. 에서 진단 설정 페이지에서 다음 값을 설정합니다.

    • 진단 설정 이름: 설명적인 이름을 입력합니다.

    • 범주 (아래 로그): 다음 확인란을 선택합니다.

      • AuditLogs

      • SignInLogs

      • NonInteractiveUserSignInLogs

      • ServicePrincipalSignInLogs

      • ManagedIdentitySignInLogs

    • 대상 세부 정보: 다음 중 하나를 선택합니다. 스토리지 계정으로 보관 또는 이벤트 허브로 스트리밍, Panther의 1단계.

      • 를 기준으로, 스토리지 계정으로 보관를 선택하면 스토리지 계정 필드에서 스토리지 계정을 선택합니다.

      • 를 기준으로, 이벤트 허브로 스트리밍를 선택하면 Event hub 네임스페이스 필드에서 이벤트 허브를 선택합니다.

  7. 왼쪽 상단 모서리에서 저장.

(Blob Storage 전송 전용) 3단계: 컨테이너에 역할 할당

이 단계는 1단계에서 Azure Blob Storage를 선택한 경우에만 적용됩니다. Azure Event Hub를 사용했다면 이 단계를 건너뛰세요.

  1. 새로 만든 컨테이너를 클릭한 다음 왼쪽 탐색 표시줄에서 액세스 제어(IAM).

  2. 을 클릭합니다. +추가. In the panthertestcontainer3 Access Control (IAM) page, an arrow is drawn to the +Add button

  3. 을 클릭합니다. 역할 할당 추가.

  4. "Storage Blob Data Reader"를 검색한 다음 표시되는 일치하는 역할을 선택합니다. In the Add role assignment page of the Azure console, "storage blob" has been searched for in the search box. One of the results, Storage Blob Data Reader, is circled.

  5. 다음의 구성원 탭을 클릭합니다.

  6. 을 클릭합니다. +구성원 선택.

  7. 다음 중 만든 등록된 앱의 이름을 검색합니다. Azure Blob Storage Source의 Azure 필수 인프라 만들기 프로세스에서 생성한 다음 선택.

  8. 을 클릭합니다. 검토+할당.

Panther 관리 디텍션

다음을 참조하세요. Panther 관리 Azure용 규칙은 다음에서 확인할 수 있습니다. panther-analysis GitHub 저장소.

지원되는 로그 유형

Panther는 다음에 의해 처리되는 Microsoft Entra ID 감사 및 로그인 로그를 지원합니다. Azure.Audit 스키마입니다.

Azure.Audit

Azure.Audit 로그 스키마는 Microsoft Entra ID 감사 로그와 로그인 로그를 포함합니다. 자세한 내용은 Microsoft 문서를 참조하세요.

이전Microsoft Defender XDR 로그 (Beta)다음Microsoft Graph 로그

마지막 업데이트

도움이 되었나요?