> For the complete documentation index, see [llms.txt](https://docs.panther.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.panther.com/ko/data-onboarding/supported-logs/entra-id-audit.md).
# Microsoft Entra ID 감사 로그
## 개요
Panther는 Microsoft Entra ID(이전의 "Azure Active Directory") 감사 로그를 공통 [데이터 전송](/ko/data-onboarding/data-transports.md) 옵션, 예를 들어 Azure [Event Hub](/ko/data-onboarding/data-transports/azure/event-hub.md) 그리고 [Blob Storage](/ko/data-onboarding/data-transports/azure/blob-storage.md).
## Panther에 Microsoft Entra ID 감사 로그를 온보딩하는 방법
먼저 Panther에서 Azure Blob Storage 또는 Azure Event Hub 소스를 만든 다음, Azure를 구성하여 해당 위치로 로그를 내보냅니다.
### 1단계: Panther에서 Microsoft Entra ID 소스 만들기
1. Panther Console의 왼쪽 탐색 바에서 다음을 클릭하세요 **구성** > **로그 소스**.
2. 다음을 클릭합니다: **새로 만들기**.
3. “Microsoft Entra ID Audit”를 검색한 다음 해당 타일을 클릭합니다.
* 슬라이드아웃 패널에서, **전송 메커니즘** 오른쪽 상단의 드롭다운은 다음 값으로 미리 채워집니다. **Azure Event Hub** 옵션. 이 선택을 그대로 두거나 **Azure Blob Storage**.
4. 다음을 클릭합니다: **설정 시작**.
5. Panther의 지침에 따라 [Azure Event Hub](/ko/data-onboarding/data-transports/azure/event-hub.md) 또는 [Azure Blob Storage Source](/ko/data-onboarding/data-transports/azure/blob-storage.md).
{% hint style="info" %}
이 두 옵션의 지연 시간은 다릅니다. **Blob Storage** 옵션을 선택하면 Panther가 1시간마다 Entra ID 파일을 가져옵니다. **Event Hub**를 선택하면 수집은 거의 실시간으로 이루어집니다.
{% endhint %}
* Azure Blob Storage를 선택하고 동안 [2단계: 필요한 Azure 인프라 만들기](/ko/data-onboarding/data-transports/azure/blob-storage.md#step-2-create-required-azure-infrastructure) Azure 리소스를 수동으로 만들기로 선택한 경우(Terraform을 사용하는 대신), [Azure 컨테이너를 만드는 단계는 건너뛰세요](https://docs.panther.com/data-onboarding/data-transports/azure/blob-storage#step-5-create-container-and-add-permission). 아래 2단계에서 스토리지 계정에 자동으로 하나가 생성되기 때문입니다.
### 2단계: Microsoft Entra ID 감사 로그 내보내기
Event Hub 또는 스토리지 계정으로 Microsoft Defender XDR 로그를 내보내려면 아래 지침을 따르세요:
1. Azure 대시보드에 로그인합니다.
2. 다음으로 이동합니다. **Microsoft Entra ID** 서비스**.**
3. 왼쪽 패널에서 **감사 로그**.
4. 페이지 상단 근처에서 **내보내기 데이터 설정**.\
5. 다음을 클릭합니다: **진단 설정 추가**.
6. 다음에서 **진단 설정** 페이지에서 다음 값을 설정합니다:
* **진단 설정 이름**: 설명적인 이름을 입력하세요.
* **범주** (아래 **Logs**): 다음 확인란을 선택합니다:
* **AuditLogs**
* **SignInLogs**
* **NonInteractiveUserSignInLogs**
* **ServicePrincipalSignInLogs**
* **ManagedIdentitySignInLogs**
* **대상 세부 정보**: 다음 중 하나를 선택합니다 **스토리지 계정에 보관** 또는 **이벤트 허브로 스트리밍**— Panther에서 만든 로그 소스 유형에 따라 [1단계](#step-1-create-the-microsoft-entra-id-source-in-panther).
* 선택하는 경우 **스토리지 계정에 보관**,에서 **스토리지 계정** 필드에서 스토리지 계정을 선택합니다.
* 선택하는 경우 **이벤트 허브로 스트리밍**,에서 **이벤트 허브 네임스페이스** 필드에서 이벤트 허브를 선택합니다.
7. 왼쪽 상단 모서리에서 **저장**.
### (Blob Storage 전송 전용) 3단계: 컨테이너에 역할 할당
{% hint style="warning" %}
이 단계는 1단계에서 Azure Blob Storage를 선택한 경우에만 적용됩니다. Azure Event Hub를 사용했다면 이 단계를 건너뛰세요.
{% endhint %}
1. 새로 만든 컨테이너를 클릭한 다음, 왼쪽 탐색 모음에서 **액세스 제어(IAM)**.
2. 다음을 클릭합니다: **+추가**.\
3. 다음을 클릭합니다: **역할 할당 추가**.
4. "Storage Blob Data Reader"를 검색한 다음 표시되는 일치하는 역할을 선택합니다.\
5. 다음을 클릭합니다. **구성원** 탭.
6. 다음을 클릭합니다: **+구성원 선택**.
7. 다음 동안 만든 등록된 앱의 이름을 검색합니다. [Azure Blob Storage Source의 필요한 Azure 인프라 만들기 프로세스](/ko/data-onboarding/data-transports/azure/blob-storage.md#step-2-create-required-azure-infrastructure), 그리고 **선택**.
8. 다음을 클릭합니다: **검토+할당**.
## Panther가 관리하는 탐지
참조 [Panther에서 관리하는](https://docs.panther.com/detections/panther-managed) Azure용 규칙을 [panther-analysis GitHub 저장소](https://github.com/panther-labs/panther-analysis/tree/master/rules/azure_signin_rules).
## 지원되는 로그 유형
Panther는 [Azure.Audit](#azure.audit) 스키마로 처리되는 Microsoft Entra ID 감사 및 로그인 로그를 지원합니다.
### Azure.Audit
Azure.Audit 로그 스키마는 Microsoft Entra ID 감사 로그와 로그인 로그를 포함합니다. 자세한 내용은 Microsoft 문서를 참조하세요:
* 참조 [감사 로그에 대한 일반 정보는 이 페이지](https://learn.microsoft.com/en-us/entra/identity/monitoring-health/concept-audit-logs), 그리고 [감사 로그 참조를 보려면 이 페이지](https://learn.microsoft.com/en-us/entra/identity/monitoring-health/reference-audit-activities).
* 참조 [로그인 로그에 대한 일반 정보는 이 페이지](https://learn.microsoft.com/en-us/entra/identity/monitoring-health/concept-sign-ins), 그리고 [로그인 로그 스키마를 보려면 이 페이지](https://learn.microsoft.com/en-us/azure/azure-monitor/reference/tables/signinlogs).
```yaml
스키마: Azure.Audit
설명: Azure Active Directory의 감사 로그
referenceURL: https://learn.microsoft.com/en-us/azure/active-directory/reports-monitoring/concept-audit-logs
fields:
- 이름: Level
설명: 이벤트의 심각도 수준 또는 유형(예: 정보, 오류).
type: string
- 이름: callerIpAddress
설명: 이벤트가 시작된 IP 주소.
type: string
표시자:
- ip
- name: category
설명: 이벤트의 범주 분류(예: SignInLogs, AuditLogs).
type: string
- 이름: correlationId
설명: 여러 관련 이벤트를 상호 연관시키기 위한 고유 식별자.
type: string
표시자:
- trace_id
- 이름: durationMs
설명: 작업을 완료하는 데 걸린 총 시간(밀리초).
type: string
- 이름: identity
설명: 사용자, 애플리케이션 또는 서비스 주체의 식별자.
type: string
- 이름: location
설명: 이벤트가 발생한 지리적 위치 또는 지역.
type: string
- 이름: locationDetails
유형: json
- 이름: networkLocationDetails
유형: json
- 이름: operationName
required: true
설명: 수행된 작업 또는 API 호출의 이름.
type: string
- 이름: operationVersion
설명: 작업 또는 API의 버전 번호.
type: string
- 이름: properties
설명: 이벤트에 대한 추가 속성과 세부 정보가 있는 중첩 개체.
type: object
fields:
- 이름: aadTenantId
type: string
- 이름: activityDateTime
설명: 활동의 날짜 및 시간.
type: timestamp
timeFormats:
- rfc3339
- 이름: activityDisplayName
설명: 활동의 이해하기 쉬운 표시 이름.
type: string
- 이름: additionalDetails
설명: 추가 컨텍스트 또는 메타데이터가 포함된 키-값 쌍 배열.
type: array
element:
type: object
fields:
- 이름: key
type: string
- 이름: value
type: string
- 이름: alternateSignInName
설명: 제공된 경우 대체 사용자 로그인 이름.
type: string
표시자:
- 사용자명
- 이름: appDisplayName
설명: 관련된 애플리케이션의 표시 이름.
type: string
- 이름: appliedConditionalAccessPolicies
설명: 적용된 조건부 액세스 정책 목록 및 결과.
유형: json
- 이름: appliedEventListeners
유형: json
- 이름: appId
설명: 이벤트와 연결된 애플리케이션 ID.
type: string
- 이름: appServicePrincipalId
type: string
- 이름: authenticationAppDeviceDetails
유형: json
- 이름: authenticationStrengths
유형: json
- 이름: authenticationAppPolicyEvaluationDetails
유형: json
- 이름: authenticationContextClassReferences
유형: json
- 이름: authenticationDetails
유형: json
- 이름: authenticationMethodsUsed
유형: json
- 이름: authenticationProcessingDetails
유형: json
- 이름: authenticationProtocol
type: string
- 이름: authenticationRequirement
type: string
- 이름: authenticationRequirementPolicies
유형: json
- 이름: autonomousSystemNumber
type: string
- 이름: _billedSize
type: float
- name: category
type: string
- 이름: clientAppUsed
type: string
- 이름: clientCredentialType
type: string
- 이름: conditionalAccessAudiences
유형: json
- 이름: conditionalAccessPolicies
유형: json
- 이름: conditionalAccessStatus
type: string
- 이름: correlationId
type: string
- 이름: createdDateTime
type: timestamp
timeFormats:
- rfc3339
- 이름: crossTenantAccessType
type: string
- 이름: deviceDetail
유형: json
- 이름: federatedCredentialId
type: string
- 이름: flaggedForReview
유형: boolean
- 이름: globalSecureAccessIpAddress
type: string
- 이름: homeTenantId
type: string
- 이름: homeTenantName
type: string
- 이름: id
type: string
- 이름: incomingTokenType
type: string
- 이름: ipAddress
설명: 중첩된 리소스와 연결된 IP 주소.
type: string
표시자:
- ip
- 이름: ipAddressFromResourceProvider
설명: 기반이 되는 리소스 공급자가 기록한 IP 주소.
type: string
표시자:
- ip
- 이름: _isBillable
type: string
- 이름: isDeleted
설명: 엔터티가 삭제되었는지 여부.
유형: boolean
- 이름: initiatedBy
설명: 이벤트를 시작한 행위자(사용자 또는 앱).
type: object
fields:
- 이름: app
type: object
fields:
- 이름: displayName
type: string
- 이름: servicePrincipalId
type: string
- 이름: appId
설명: 애플리케이션 등록/클라이언트 ID.
type: string
- 이름: user
설명: 작업을 수행한 사용자.
type: object
fields:
- 이름: id
설명: 사용자의 개체 ID.
type: string
- 이름: displayName
설명: Azure AD에 표시되는 사용자 이름.
type: string
표시자:
- 사용자명
- 이름: userPrincipalName
설명: 사용자의 사용자 주체 이름(UPN).
type: string
- 이름: ipAddress
설명: 사용자가 작업을 수행한 IP 주소.
type: string
표시자:
- ip
- 이름: roles
유형: json
- 이름: isProcessing
설명: 이벤트가 아직 처리 중인지 여부.
유형: boolean
- 이름: loggedByService
설명: 이 이벤트를 기록한 Microsoft 서비스(예: AzureAD).
type: string
- 이름: location
설명: JSON 개체로 표현된 지리적 또는 물리적 위치 정보.
유형: json
- 이름: networkLocationDetails
설명: 이벤트에 관련된 네트워크 위치에 대한 세부 정보.
유형: json
- 이름: operationType
설명: 수행된 작업의 유형.
type: string
- 이름: result
설명: 작업의 결과 상태.
type: string
- 이름: resultReason
설명: 작업 결과에 대한 추가 이유 또는 코드.
type: string
- 이름: isInteractive
설명: 로그인이 대화형이었는지 여부를 나타냅니다.
유형: boolean
- 이름: isRisky
유형: boolean
- 이름: isTenantRestricted
설명: 테넌트 제한이 적용되었는지 여부.
유형: boolean
- 이름: isThroughGlobalSecureAccess
설명: 이벤트가 Global Secure Access를 통해 라우팅되었는지 여부.
유형: boolean
- 이름: originalRequestId
설명: 체인의 일부였던 경우 원래 요청의 요청 ID.
type: string
- 이름: originalTransferMethod
설명: 원래 요청의 전송 방법.
type: string
- 이름: privateLinkDetails
유형: json
- 이름: processingTimeInMilliseconds
설명: 이벤트를 처리하는 데 걸린 시간.
type: bigint
- 이름: resource
type: string
- 이름: resourceDisplayName
설명: 리소스의 표시 이름.
type: string
- 이름: resourceGroup
type: string
- 이름: resourceId
설명: 액세스한 리소스의 개체 ID.
type: string
- 이름: resourceIdentity
type: string
- 이름: resourceProvider
type: string
- 이름: resourceOwnerTenantId
설명: 리소스 소유자의 테넌트 ID.
type: string
- 이름: resourceServicePrincipalId
설명: 액세스한 리소스의 서비스 주체 개체 ID.
type: string
- 이름: resourceTenantId
설명: 액세스한 리소스의 테넌트 ID.
type: string
- 이름: riskEventTypes
설명: 이 이벤트에서 감지된 리스크 이벤트 유형 목록.
유형: json
- 이름: riskEventTypes_v2
설명: 향상된 리스크 이벤트 유형 목록.
유형: json
- 이름: riskLastUpdatedDateTime
설명: 마지막 리스크 업데이트의 타임스탬프.
type: timestamp
timeFormats:
- rfc3339
- 이름: riskDetail
설명: 감지된 리스크의 성격에 대한 세부 정보.
type: string
- 이름: riskLevel
설명: 분석 후 최종 리스크 수준.
type: string
- 이름: riskLevelAggregated
설명: 이벤트에 할당된 집계된 리스크 수준.
type: string
- 이름: riskLevelDuringSignIn
설명: 로그인 당시의 리스크 수준.
type: string
- 이름: riskState
설명: 사용자 또는 세션의 리스크 상태.
type: string
- 이름: rngcStatus
설명: 요청 nonce 생성 검사에 대한 상태 코드.
type: string
- 이름: servicePrincipalId
설명: 사용된 서비스 주체의 개체 ID.
type: string
- 이름: servicePrincipalCredentialKeyId
설명: 서비스 주체가 사용한 자격 증명의 키 ID.
type: string
- 이름: servicePrincipalName
설명: 서비스 주체의 이름.
type: string
- 이름: sessionId
설명: 작업의 세션 식별자.
type: string
- 이름: sessionLifetimePolicies
설명: 이 작업의 세션 수명을 관리하는 정책.
유형: json
- 이름: signInIdentifier
설명: 사용자를 인증하는 데 사용된 기본 식별자.
type: string
- 이름: signInIdentifierType
type: string
- 이름: signInTokenProtectionStatus
설명: 로그인 시 토큰 보호 상태.
type: string
- 이름: sourceSystem
유형: json
- 이름: ssoExtensionVersion
설명: SSO 브라우저 확장의 버전.
type: string
- 이름: status
설명: 로그인 시도에 대한 상태 세부 정보.
유형: json
- 이름: targetResources
설명: 작업의 대상이 되었거나 영향을 받은 리소스 배열.
type: array
element:
type: object
fields:
- 이름: displayName
설명: 리소스의 표시 이름.
type: string
- 이름: id
설명: 리소스의 고유 개체 ID.
type: string
- 이름: modifiedProperties
설명: 수정된 리소스의 속성.
type: array
element:
type: object
fields:
- 이름: oldValue
설명: 속성의 이전 값.
type: string
- 이름: displayName
설명: 수정된 속성의 이름.
type: string
- 이름: newValue
설명: 속성의 새 값.
type: string
- 이름: type
설명: 리소스 유형(예: User, Group, App).
type: string
- 이름: administrativeUnits
유형: json
- 이름: groupType
설명: 그룹 리소스의 유형(해당하는 경우).
type: string
- 이름: userPrincipalName
설명: 리소스 내 사용자의 UPN.
type: string
- 이름: tenantId
설명: Azure AD 테넌트의 테넌트 ID.
type: string
- 이름: timeGenerated
설명: 이 로그 항목이 생성된 날짜 및 시간.
type: timestamp
timeFormats:
- rfc3339
- 이름: tokenIssuerName
설명: 토큰을 발급한 기관의 이름.
type: string
- 이름: tokenIssuerType
설명: 토큰 발급자의 유형.
type: string
- 이름: tokenProtectionStatusDetails
설명: 토큰 보호 상태에 대한 정보.
유형: json
- 이름: type
type: string
- 이름: uniqueTokenIdentifier
설명: 보안 토큰의 고유 식별자.
type: string
- 이름: userAgent
설명: 클라이언트의 사용자 에이전트 문자열.
type: string
- 이름: userDisplayName
설명: 사용자의 표시 이름.
type: string
표시자:
- 사용자명
- name: userId
설명: Azure AD 내 사용자의 개체 ID.
type: string
- 이름: userPrincipalName
설명: 사용자의 UPN.
type: string
표시자:
- 사용자명
- 이메일
- 이름: userType
type: string
- 이름: activity
설명: 이벤트와 연결된 활동의 이름 또는 유형.
type: string
- 이름: additionalInfo
설명: 이벤트에 대한 보충 정보.
type: string
- 이름: detectedDateTime
설명: 리스크 또는 디택션이 처음 관찰된 날짜 및 시간.
type: timestamp
timeFormats:
- rfc3339
- 이름: detectionTimingType
설명: 리스크 디택션의 시간적 맥락(예: 실시간, 오프라인).
type: string
- 이름: lastUpdatedDateTime
설명: 이 이벤트가 마지막으로 업데이트된 날짜 및 시간.
type: timestamp
timeFormats:
- rfc3339
- 이름: mitreTechniqueId
설명: 가능한 경우 이벤트와 관련된 MITRE ATT&CK 기법 식별자.
type: string
- 이름: riskEventType
설명: 활동과 관련된 리스크 이벤트 유형(예: UnfamiliarLocation).
type: string
- 이름: riskType
설명: 감지된 리스크 유형의 분류.
type: string
- 이름: source
설명: 이 로그 항목의 원본 Microsoft 서비스 또는 구성 요소.
type: string
- 이름: identity
설명: 이 중첩 이벤트와 관련된 ID.
type: string
- 이름: operationName
설명: properties 컨텍스트에서의 작업 이름.
type: string
- 이름: resultDescription
설명: 작업 결과에 대한 더 자세한 설명.
type: string
- 이름: resultType
설명: 작업의 상위 수준 결과(성공, 실패 등).
type: string
- 이름: C_DeviceId
설명: 이벤트와 연결된 장치 ID.
type: string
- 이름: C_Sid
설명: 이벤트와 연결된 보안 식별자(SID).
type: string
- 이름: C_Iat
설명: 이 이벤트의 발급 시각 타임스탬프 또는 ID.
type: string
- 이름: C_Idtyp
설명: 이벤트와 연결된 ID 유형 코드.
type: string
- 이름: UserPrincipalObjectID
설명: 사용자 주체의 개체 ID.
type: string
- 이름: __UDI_RequiredFields_EventTime
설명: 이벤트가 발생한 유닉스 타임스탬프.
type: timestamp
timeFormats:
- unix_auto
- 이름: __UDI_RequiredFields_RegionScope
설명: 이벤트의 지역 범위.
type: string
- 이름: __UDI_RequiredFields_TenantId
설명: UDI 준수에 필요한 테넌트 ID.
type: string
- 이름: __UDI_RequiredFields_UniqueId
설명: UDI 컨텍스트에서의 이벤트 고유 식별자.
type: string
- name: apiVersion
설명: 작업에 사용된 API 버전.
type: string
- name: atContentH
설명: 추가 토큰 또는 컨텍스트 정보(헤더).
type: string
- name: atContentP
설명: 추가 토큰 또는 컨텍스트 정보(페이로드).
type: string
- name: clientAuthMethod
설명: 사용된 클라이언트 인증 방법(예: 클라이언트 시크릿, 인증서).
type: string
- name: clientRequestId
설명: 클라이언트 요청의 고유 식별자.
type: string
- 이름: durationMs
설명: properties 내 작업의 지속 시간(밀리초).
type: string
- name: identityProvider
설명: 인증에 관여한 ID 공급자.
type: string
- name: operationId
설명: 작업 식별자.
type: string
- name: requestMethod
설명: 작업에 사용된 HTTP 메서드(GET, POST 등).
type: string
- name: requestUri
설명: 액세스한 API 또는 리소스의 URI.
type: string
- name: responseSizeBytes
설명: 응답 크기(바이트).
type: bigint
- name: responseStatusCode
설명: 응답의 HTTP 상태 코드.
type: bigint
- 이름: roles
설명: 사용자 또는 애플리케이션에 할당된 역할.
type: string
- name: scopes
설명: 작업에서 요청한 OAuth 범위.
type: string
- name: signInActivityId
설명: 고유한 로그인 활동 식별자.
type: string
- name: tokenIssuedAt
설명: 토큰이 발급된 시간.
type: timestamp
timeFormats:
- rfc3339
- name: wids
설명: 관련된 잘 알려진 ID 또는 기타 식별자.
type: string
- 이름: requestId
설명: 고유 요청 식별자.
type: string
- name: appOwnerTenantId
설명: 애플리케이션 소유자의 테넌트 ID.
type: string
- name: servicePrincipalCredentialThumbprint
설명: 서비스 주체가 사용한 자격 증명의 썸프린트.
type: string
- name: mfaDetail
설명: 다단계 인증 단계에 대한 세부 정보.
type: object
fields:
- name: authDetail
설명: 인증 프로세스에 대한 세부 정보.
type: string
- name: authMethod
설명: 사용된 MFA 방법(예: 전화, 앱).
type: string
- 이름: resourceId
required: true
설명: 이벤트와 관련된 Azure 리소스의 고유 식별자.
type: string
- 이름: resultDescription
설명: 이벤트 결과에 대한 추가 컨텍스트 또는 설명.
type: string
- name: resultSignature
설명: 이벤트 결과의 서명 또는 고유 식별자.
type: string
- 이름: resultType
설명: 성공, 실패 또는 시간 초과와 같은 이벤트의 전체 결과.
type: string
- 이름: tenantId
설명: 이벤트가 발생한 Azure Active Directory 테넌트의 테넌트 ID.
type: string
- 이름: time
required: true
설명: 이벤트가 발생한 타임스탬프.
type: timestamp
timeFormats:
- rfc3339
- '%m/%d/%Y %I:%M:%S %p'
isEventTime: true
```
---
# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.
## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.panther.com/ko/data-onboarding/supported-logs/entra-id-audit.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.