search
Knowledge BaseRelease NotesRequest Demo

Microsoft Entra ID 감사 로그

Microsoft Entra ID 감사 로그를 Panther 콘솔에 연결하기

hashtag
개요

Panther는 공통 옵션을 통해 Microsoft Entra ID(이전 명칭 "Azure Active Directory") 감사 로그 수집을 지원합니다 데이터 전송 옵션(예: Azure) Event HubBlob Storage.

hashtag
Microsoft Entra ID 감사 로그를 Panther에 온보딩하는 방법

먼저 Panther에서 Azure Blob Storage 또는 Azure Event Hub 소스를 생성한 다음 Azure를 구성하여 해당 위치로 로그를 내보냅니다.

hashtag
단계 1: Panther에서 Microsoft Entra ID 소스 생성

  1. Panther 콘솔의 왼쪽 탐색 모음에서 클릭하세요 구성 > 로그 소스.

  2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 새로 만들기.

  3. “Microsoft Entra ID Audit”을 검색한 후 해당 타일을 클릭합니다.

    • 슬라이드 아웃 패널에서 전송 메커니즘 우측 상단의 드롭다운은 미리 채워진 상태일 것입니다 Azure Event Hub 옵션. 이 선택을 그대로 두거나 Azure Blob Storage.

  4. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 설정 시작.

  5. Panther의 지침에 따라 다음을 구성하세요 Azure Event Hub 이전에 생성한 Snowflake 사용자 이름, 예를 들면 Azure Blob Storage 소스.

circle-info

대기 시간이 두 옵션 간에 다릅니다: Blob Storage 옵션을 선택하면 Panther는 Entra ID 파일을 매시간 가져옵니다. Event Hub를 선택하면 수집이 거의 실시간으로 이루어집니다.

hashtag
단계 2: Microsoft Entra ID 감사 로그 내보내기

Microsoft Defender XDR 로그를 Event Hubs 또는 스토리지 계정으로 내보내려면 아래 지침을 따르세요:

  1. Azure 대시보드에 로그인합니다.

  2. 콘솔로. Microsoft Entra ID 서비스.

  3. 왼쪽 패널에서 감사 로그.

  4. 페이지 상단 근처에서 데이터 내보내기 설정. The Microsoft Entra ID console is shown. An arrow is drawn from the "Audit logs" option in the navigation bar to a "Export data settings" button

  5. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 진단 설정 추가.

  6. 페이지에서 진단 설정 페이지에서 다음 값을 설정합니다:

    • 진단 설정 이름: 설명적인 이름을 입력하세요.

    • 카테고리 (아래 로그): 다음 확인란들을 선택하세요:

      • AuditLogs

      • SignInLogs

      • NonInteractiveUserSignInLogs

      • ServicePrincipalSignInLogs

      • ManagedIdentitySignInLogs

    • 대상 세부정보: 다음 중 하나를 선택하세요 스토리지 계정으로 보관 이전에 생성한 Snowflake 사용자 이름, 예를 들면 이벤트 허브로 스트리밍Panther에서 생성한 로그 소스 유형에 따라, 1단계.

      • 을(를) 선택하면 스토리지 계정으로 보관스토리지 계정 필드에서 스토리지 계정을 선택하세요.

      • 을(를) 선택하면 이벤트 허브로 스트리밍이벤트 허브 네임스페이스 필드에서 이벤트 허브를 선택하세요.

  7. 왼쪽 상단에서 클릭하세요 "Resource": "<secret ARN>".

hashtag
(Blob Storage 전송만 해당) 단계 3: 컨테이너에 역할 할당

circle-exclamation

이 단계는 1단계에서 Azure Blob Storage를 선택한 경우에만 해당합니다. Azure Event Hub를 사용한 경우 이 단계를 건너뛰세요.

  1. 방금 생성한 컨테이너를 클릭한 후 왼쪽 탐색 표시줄에서 액세스 제어(IAM).

  2. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. +추가. In the panthertestcontainer3 Access Control (IAM) page, an arrow is drawn to the +Add button

  3. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 역할 할당 추가.

  4. "Storage Blob Data Reader"를 검색하고 표시되는 일치하는 역할을 선택하세요. In the Add role assignment page of the Azure console, "storage blob" has been searched for in the search box. One of the results, Storage Blob Data Reader, is circled.

  5. 을 클릭하세요 구성원 탭을 클릭하세요.

  6. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. +구성원 선택.

  7. 위에서 생성한 등록된 앱의 이름을 검색하세요 Azure Blob Storage 소스에서 필수 Azure 인프라를 생성하는 과정 중에를 클릭하고 선택하세요.

  8. 를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. 검토+할당.

hashtag
Panther 관리 디텍션

참조 Panther 관리arrow-up-right Azure용 룰 panther-analysis GitHub 리포지토리arrow-up-right.

hashtag
지원되는 로그 유형

Panther는 Microsoft Entra ID 감사 및 로그인 로그를 지원하며 이는 Azure.Audit 스키마에 의해 처리됩니다.

hashtag
Azure.Audit

Azure.Audit 로그 스키마는 Microsoft Entra ID 감사 로그 및 로그인 로그를 다룹니다. 자세한 내용은 Microsoft 문서를 참조하세요:

이전Microsoft Defender XDR 로그(베타)다음Microsoft Graph 로그

마지막 업데이트

도움이 되었나요?