# Microsoft Entra ID 감사 로그
## 개요
Panther는 Microsoft Entra ID(이전의 "Azure Active Directory") 감사 로그를 일반적인 [데이터 전송](/ko/data-onboarding/data-transports.md) 옵션으로 수집할 수 있습니다. 예를 들면 Azure [Event Hub](/ko/data-onboarding/data-transports/azure/event-hub.md) 및 [Blob Storage](/ko/data-onboarding/data-transports/azure/blob-storage.md).
## Microsoft Entra ID 감사 로그를 Panther에 연결하는 방법
먼저 Panther에서 Azure Blob Storage 또는 Azure Event Hub 소스를 만든 다음, 해당 위치로 로그를 내보내도록 Azure를 구성합니다.
### 1단계: Panther에서 Microsoft Entra ID 소스 만들기
1. Panther Console의 왼쪽 탐색 표시줄에서 **구성** > **로그 소스**.
2. 을 클릭합니다. **새로 만들기**.
3. “Microsoft Entra ID Audit”을 검색한 다음 해당 타일을 클릭합니다.
* 슬라이드아웃 패널에서 오른쪽 상단의 **전송 메커니즘** 드롭다운이 다음 항목으로 미리 채워집니다. **Azure Event Hub** 옵션입니다. 이 선택을 그대로 두거나 **Azure Blob Storage**.
4. 을 클릭합니다. **설정 시작**.
5. 다음에 대한 Panther의 구성 지침을 따르세요. [Azure Event Hub](/ko/data-onboarding/data-transports/azure/event-hub.md) 또는 [Azure Blob Storage Source](/ko/data-onboarding/data-transports/azure/blob-storage.md).
{% hint style="info" %}
이 두 옵션은 지연 시간이 다릅니다. **Blob Storage** 옵션을 선택하면 Panther가 Entra ID 파일을 매시간 가져옵니다. 선택하면 **Event Hub**거의 실시간으로 수집됩니다.
{% endhint %}
* Azure Blob Storage를 선택하고 [2단계: 필요한 Azure 인프라 만들기](/ko/data-onboarding/data-transports/azure/blob-storage.md#step-2-create-required-azure-infrastructure) Azure 리소스를 수동으로 만들기로 선택한 경우(Terraform 대신), [Azure 컨테이너를 만드는 단계는 건너뛰세요](https://docs.panther.com/data-onboarding/data-transports/azure/blob-storage#step-5-create-container-and-add-permission). 아래의 2단계에서 스토리지 계정에 자동으로 생성됩니다.
### 2단계: Microsoft Entra ID 감사 로그 내보내기
Microsoft Defender XDR 로그를 Event Hubs 또는 스토리지 계정으로 내보내려면 아래 지침을 따르세요:
1. Azure 대시보드에 로그인합니다.
2. 다음으로 이동합니다. **Microsoft Entra ID** 서비스**.**
3. 왼쪽 패널에서 **감사 로그**.
4. 페이지 상단 근처에서 **내보내기 데이터 설정**.\
5. 을 클릭합니다. **진단 설정 추가**.
6. 에서 **진단 설정** 페이지에서 다음 값을 설정합니다.
* **진단 설정 이름**: 설명적인 이름을 입력합니다.
* **범주** (아래 **로그**): 다음 확인란을 선택합니다.
* **AuditLogs**
* **SignInLogs**
* **NonInteractiveUserSignInLogs**
* **ServicePrincipalSignInLogs**
* **ManagedIdentitySignInLogs**
* **대상 세부 정보**: 다음 중 하나를 선택합니다. **스토리지 계정으로 보관** 또는 **이벤트 허브로 스트리밍**, Panther의 [1단계](#step-1-create-the-microsoft-entra-id-source-in-panther).
* 를 기준으로, **스토리지 계정으로 보관**를 선택하면 **스토리지 계정** 필드에서 스토리지 계정을 선택합니다.
* 를 기준으로, **이벤트 허브로 스트리밍**를 선택하면 **Event hub 네임스페이스** 필드에서 이벤트 허브를 선택합니다.
7. 왼쪽 상단 모서리에서 **저장**.
### (Blob Storage 전송 전용) 3단계: 컨테이너에 역할 할당
{% hint style="warning" %}
이 단계는 1단계에서 Azure Blob Storage를 선택한 경우에만 적용됩니다. Azure Event Hub를 사용했다면 이 단계를 건너뛰세요.
{% endhint %}
1. 새로 만든 컨테이너를 클릭한 다음 왼쪽 탐색 표시줄에서 **액세스 제어(IAM)**.
2. 을 클릭합니다. **+추가**.\
3. 을 클릭합니다. **역할 할당 추가**.
4. "Storage Blob Data Reader"를 검색한 다음 표시되는 일치하는 역할을 선택합니다.\
5. 다음의 **구성원** 탭을 클릭합니다.
6. 을 클릭합니다. **+구성원 선택**.
7. 다음 중 만든 등록된 앱의 이름을 검색합니다. [Azure Blob Storage Source의 Azure 필수 인프라 만들기 프로세스](/ko/data-onboarding/data-transports/azure/blob-storage.md#step-2-create-required-azure-infrastructure)에서 생성한 다음 **선택**.
8. 을 클릭합니다. **검토+할당**.
## Panther 관리 디텍션
다음을 참조하세요. [Panther 관리](https://docs.panther.com/detections/panther-managed) Azure용 규칙은 다음에서 확인할 수 있습니다. [panther-analysis GitHub 저장소](https://github.com/panther-labs/panther-analysis/tree/master/rules/azure_signin_rules).
## 지원되는 로그 유형
Panther는 다음에 의해 처리되는 Microsoft Entra ID 감사 및 로그인 로그를 지원합니다. [Azure.Audit](#azure.audit) 스키마입니다.
### Azure.Audit
Azure.Audit 로그 스키마는 Microsoft Entra ID 감사 로그와 로그인 로그를 포함합니다. 자세한 내용은 Microsoft 문서를 참조하세요.
* 다음을 참조하세요. [감사 로그에 대한 일반 정보는 이 페이지를,](https://learn.microsoft.com/en-us/entra/identity/monitoring-health/concept-audit-logs)그리고 [감사 로그 참조를 보려면 이 페이지를](https://learn.microsoft.com/en-us/entra/identity/monitoring-health/reference-audit-activities).
* 다음을 참조하세요. [로그인 로그에 대한 일반 정보는 이 페이지를](https://learn.microsoft.com/en-us/entra/identity/monitoring-health/concept-sign-ins)그리고 [로그인 로그 스키마를 보려면 이 페이지를 참조하세요](https://learn.microsoft.com/en-us/azure/azure-monitor/reference/tables/signinlogs).
```yaml
스키마: Azure.Audit
설명: Azure Active Directory의 감사 로그
referenceURL: https://learn.microsoft.com/en-us/azure/active-directory/reports-monitoring/concept-audit-logs
fields:
- name: Level
설명: 이벤트의 심각도 수준 또는 유형(예: 정보, 오류).
type: string
- name: callerIpAddress
설명: 이벤트가 시작된 IP 주소.
type: string
indicators:
- ip
- name: category
설명: 이벤트의 범주 분류(예: SignInLogs, AuditLogs).
type: string
- name: correlationId
설명: 여러 관련 이벤트를 연결하기 위한 고유 식별자.
type: string
indicators:
- trace_id
- name: durationMs
설명: 작업을 완료하는 데 걸린 총 시간(밀리초).
type: string
- name: identity
설명: 사용자, 애플리케이션 또는 서비스 주체의 식별자.
type: string
- name: location
설명: 이벤트가 발생한 지리적 위치 또는 지역.
type: string
- name: locationDetails
type: json
- name: networkLocationDetails
type: json
- name: operationName
required: true
설명: 수행된 작업 또는 API 호출의 이름.
type: string
- name: operationVersion
설명: 작업 또는 API의 버전 번호.
type: string
- name: properties
설명: 이벤트에 대한 추가 속성과 세부 정보를 포함하는 중첩 객체.
type: object
fields:
- name: aadTenantId
type: string
- name: activityDateTime
설명: 활동의 날짜 및 시간.
type: timestamp
timeFormats:
- rfc3339
- name: activityDisplayName
설명: 활동의 친숙한 표시 이름.
type: string
- name: additionalDetails
설명: 추가 컨텍스트 또는 메타데이터가 포함된 키-값 쌍 배열.
type: array
element:
type: object
fields:
- name: key
type: string
- name: value
type: string
- name: alternateSignInName
설명: 제공된 경우 대체 사용자 로그인 이름.
type: string
indicators:
- username
- name: appDisplayName
설명: 관련 애플리케이션의 표시 이름.
type: string
- name: appliedConditionalAccessPolicies
설명: 적용된 조건부 액세스 정책과 그 결과 목록.
type: json
- name: appliedEventListeners
type: json
- name: appId
설명: 이벤트와 연결된 애플리케이션 ID.
type: string
- name: appServicePrincipalId
type: string
- name: authenticationAppDeviceDetails
type: json
- name: authenticationStrengths
type: json
- name: authenticationAppPolicyEvaluationDetails
type: json
- name: authenticationContextClassReferences
type: json
- name: authenticationDetails
type: json
- name: authenticationMethodsUsed
type: json
- name: authenticationProcessingDetails
type: json
- name: authenticationProtocol
type: string
- name: authenticationRequirement
type: string
- name: authenticationRequirementPolicies
type: json
- name: autonomousSystemNumber
type: string
- name: _billedSize
type: float
- name: category
type: string
- name: clientAppUsed
type: string
- name: clientCredentialType
type: string
- name: conditionalAccessAudiences
type: json
- name: conditionalAccessPolicies
type: json
- name: conditionalAccessStatus
type: string
- name: correlationId
type: string
- name: createdDateTime
type: timestamp
timeFormats:
- rfc3339
- name: crossTenantAccessType
type: string
- name: deviceDetail
type: json
- name: federatedCredentialId
type: string
- name: flaggedForReview
type: boolean
- name: globalSecureAccessIpAddress
type: string
- name: homeTenantId
type: string
- name: homeTenantName
type: string
- name: id
type: string
- name: incomingTokenType
type: string
- name: ipAddress
설명: 중첩 리소스와 연결된 IP 주소.
type: string
indicators:
- ip
- name: ipAddressFromResourceProvider
설명: 기반 리소스 공급자가 기록한 IP 주소.
type: string
indicators:
- ip
- name: _isBillable
type: string
- name: isDeleted
설명: 엔터티가 삭제되었는지 여부.
type: boolean
- name: initiatedBy
설명: 이벤트를 시작한 행위자(사용자 또는 앱).
type: object
fields:
- name: app
type: object
fields:
- name: displayName
type: string
- name: servicePrincipalId
type: string
- name: appId
설명: 애플리케이션 등록/클라이언트 ID.
type: string
- name: user
설명: 작업을 수행한 사용자.
type: object
fields:
- name: id
설명: 사용자의 개체 ID.
type: string
- name: displayName
설명: Azure AD에 표시되는 사용자 이름.
type: string
indicators:
- username
- name: userPrincipalName
설명: 사용자의 User Principal Name(UPN).
type: string
- name: ipAddress
설명: 사용자가 작업을 수행한 IP 주소.
type: string
indicators:
- ip
- name: roles
type: json
- name: isProcessing
설명: 이벤트가 아직 처리 중인지 여부.
type: boolean
- name: loggedByService
설명: 이 이벤트를 기록한 Microsoft 서비스(예: AzureAD).
type: string
- name: location
설명: JSON 객체로 표현된 지리적 또는 물리적 위치 정보.
type: json
- name: networkLocationDetails
설명: 이벤트와 관련된 네트워크 위치에 대한 세부 정보.
type: json
- name: operationType
설명: 수행된 작업의 유형.
type: string
- name: result
설명: 작업의 결과 상태.
type: string
- name: resultReason
설명: 작업 결과에 대한 추가 이유 또는 코드.
type: string
- name: isInteractive
설명: 로그인이 대화형인지 여부를 나타냅니다.
type: boolean
- name: isRisky
type: boolean
- name: isTenantRestricted
설명: 테넌트 제한이 적용되었는지 여부.
type: boolean
- name: isThroughGlobalSecureAccess
설명: 이벤트가 Global Secure Access를 통해 라우팅되었는지 여부.
type: boolean
- name: originalRequestId
설명: 체인의 일부인 경우 원래 요청의 요청 ID.
type: string
- name: originalTransferMethod
설명: 원래 요청의 전송 방법.
type: string
- name: privateLinkDetails
type: json
- name: processingTimeInMilliseconds
설명: 이벤트를 처리하는 데 걸린 시간.
type: bigint
- name: resource
type: string
- name: resourceDisplayName
설명: 리소스의 표시 이름.
type: string
- name: resourceGroup
type: string
- name: resourceId
설명: 액세스된 리소스의 개체 ID.
type: string
- name: resourceIdentity
type: string
- name: resourceProvider
type: string
- name: resourceOwnerTenantId
설명: 리소스 소유자의 테넌트 ID.
type: string
- name: resourceServicePrincipalId
설명: 액세스된 리소스의 서비스 주체 개체 ID.
type: string
- name: resourceTenantId
설명: 액세스된 리소스의 테넌트 ID.
type: string
- name: riskEventTypes
설명: 이 이벤트에 대해 탐지된 위험 이벤트 유형 목록.
type: json
- name: riskEventTypes_v2
설명: 향상된 위험 이벤트 유형 목록.
type: json
- name: riskLastUpdatedDateTime
설명: 마지막 위험 업데이트의 타임스탬프.
type: timestamp
timeFormats:
- rfc3339
- name: riskDetail
설명: 탐지된 위험의 성격에 대한 세부 정보.
type: string
- name: riskLevel
설명: 분석 후 최종 위험 수준.
type: string
- name: riskLevelAggregated
설명: 이벤트에 할당된 집계된 위험 수준.
type: string
- name: riskLevelDuringSignIn
설명: 로그인 시점의 위험 수준.
type: string
- name: riskState
설명: 사용자 또는 세션의 위험 상태.
type: string
- name: rngcStatus
설명: 요청 nonce 생성 검사 상태 코드.
type: string
- name: servicePrincipalId
설명: 사용된 서비스 주체의 개체 ID.
type: string
- name: servicePrincipalCredentialKeyId
설명: 서비스 주체가 사용한 자격 증명의 키 ID.
type: string
- name: servicePrincipalName
설명: 서비스 주체의 이름.
type: string
- name: sessionId
설명: 작업의 세션 식별자.
type: string
- name: sessionLifetimePolicies
설명: 이 작업의 세션 수명을 제어하는 정책.
type: json
- name: signInIdentifier
설명: 사용자를 인증하는 데 사용된 기본 식별자.
type: string
- name: signInIdentifierType
type: string
- name: signInTokenProtectionStatus
설명: 로그인 시 토큰 보호 상태.
type: string
- name: sourceSystem
type: json
- name: ssoExtensionVersion
설명: SSO 브라우저 확장 버전.
type: string
- name: status
설명: 로그인 시도에 대한 상태 세부 정보.
type: json
- name: targetResources
설명: 작업의 대상이 되었거나 영향을 받은 리소스 배열.
type: array
element:
type: object
fields:
- name: displayName
설명: 리소스의 표시 이름.
type: string
- name: id
설명: 리소스의 고유 개체 ID.
type: string
- name: modifiedProperties
설명: 수정된 리소스 속성.
type: array
element:
type: object
fields:
- name: oldValue
설명: 속성의 이전 값.
type: string
- name: displayName
설명: 수정된 속성의 이름.
type: string
- name: newValue
설명: 속성의 새 값.
type: string
- name: type
설명: 리소스 유형(예: User, Group, App).
type: string
- name: administrativeUnits
type: json
- name: groupType
설명: 그룹 리소스의 유형(해당되는 경우).
type: string
- name: userPrincipalName
설명: 리소스 내 사용자 UPN.
type: string
- name: tenantId
설명: Azure AD 테넌트의 테넌트 ID.
type: string
- name: timeGenerated
설명: 이 로그 항목이 생성된 날짜 및 시간.
type: timestamp
timeFormats:
- rfc3339
- name: tokenIssuerName
설명: 토큰을 발급한 기관의 이름.
type: string
- name: tokenIssuerType
설명: 토큰 발급자의 유형.
type: string
- name: tokenProtectionStatusDetails
설명: 토큰 보호 상태에 대한 정보.
type: json
- name: type
type: string
- name: uniqueTokenIdentifier
설명: 보안 토큰의 고유 식별자.
type: string
- name: userAgent
설명: 클라이언트의 사용자 에이전트 문자열.
type: string
- name: userDisplayName
설명: 사용자의 표시 이름.
type: string
indicators:
- username
- name: userId
설명: Azure AD 내 사용자의 개체 ID.
type: string
- name: userPrincipalName
설명: 사용자의 UPN.
type: string
indicators:
- username
- email
- name: userType
type: string
- name: activity
설명: 이벤트와 연결된 활동의 이름 또는 유형.
type: string
- name: additionalInfo
설명: 이벤트에 대한 보충 정보.
type: string
- name: detectedDateTime
설명: 위험 또는 디텍션이 처음 관찰된 날짜 및 시간.
type: timestamp
timeFormats:
- rfc3339
- name: detectionTimingType
설명: 위험 디텍션의 시간적 맥락(예: 실시간, 오프라인).
type: string
- name: lastUpdatedDateTime
설명: 이 이벤트가 마지막으로 업데이트된 날짜 및 시간.
type: timestamp
timeFormats:
- rfc3339
- name: mitreTechniqueId
설명: 가능한 경우 이벤트와 관련된 MITRE ATT&CK 기법 식별자.
type: string
- name: riskEventType
설명: 활동과 관련된 위험 이벤트 유형(예: UnfamiliarLocation).
type: string
- name: riskType
설명: 탐지된 위험 유형의 분류.
type: string
- name: source
설명: 이 로그 항목의 원본 Microsoft 서비스 또는 구성 요소.
type: string
- name: identity
설명: 이 중첩 이벤트와 관련된 ID.
type: string
- name: operationName
설명: properties 컨텍스트에서의 작업 이름.
type: string
- name: resultDescription
설명: 작업 결과에 대한 더 자세한 설명.
type: string
- name: resultType
설명: 작업의 상위 수준 결과(성공, 실패 등).
type: string
- name: C_DeviceId
설명: 이벤트와 연결된 디바이스 ID.
type: string
- name: C_Sid
설명: 이벤트와 연결된 보안 식별자(SID).
type: string
- name: C_Iat
설명: 이벤트의 발급 시점(Issued At) 타임스탬프 또는 ID.
type: string
- name: C_Idtyp
설명: 이벤트와 연결된 ID 유형 코드.
type: string
- name: UserPrincipalObjectID
설명: 사용자 주체의 개체 ID.
type: string
- name: __UDI_RequiredFields_EventTime
설명: 이벤트가 발생한 시점의 유닉스 타임스탬프.
type: timestamp
timeFormats:
- unix_auto
- name: __UDI_RequiredFields_RegionScope
설명: 이벤트의 지역 범위.
type: string
- name: __UDI_RequiredFields_TenantId
설명: UDI 준수에 필요한 테넌트 ID.
type: string
- name: __UDI_RequiredFields_UniqueId
설명: UDI 컨텍스트에서 이벤트의 고유 식별자.
type: string
- name: apiVersion
설명: 작업에 사용된 API 버전.
type: string
- name: atContentH
설명: 추가 토큰 또는 컨텍스트 정보(헤더).
type: string
- name: atContentP
설명: 추가 토큰 또는 컨텍스트 정보(페이로드).
type: string
- name: clientAuthMethod
설명: 사용된 클라이언트 인증 방법(예: 클라이언트 시크릿, 인증서).
type: string
- name: clientRequestId
설명: 클라이언트 요청의 고유 식별자.
type: string
- name: durationMs
설명: properties 내 작업의 지속 시간(밀리초).
type: string
- name: identityProvider
설명: 인증에 사용된 ID 공급자.
type: string
- name: operationId
설명: 작업 식별자.
type: string
- name: requestMethod
설명: 작업에 사용된 HTTP 메서드(GET, POST 등).
type: string
- name: requestUri
설명: 액세스된 API 또는 리소스의 URI.
type: string
- name: responseSizeBytes
설명: 응답 크기(바이트).
type: bigint
- name: responseStatusCode
설명: 응답의 HTTP 상태 코드.
type: bigint
- name: roles
설명: 사용자 또는 애플리케이션에 할당된 역할.
type: string
- name: scopes
설명: 작업에서 요청한 OAuth 범위.
type: string
- name: signInActivityId
설명: 고유한 로그인 활동 식별자.
type: string
- name: tokenIssuedAt
설명: 토큰이 발급된 시각.
type: timestamp
timeFormats:
- rfc3339
- 이름: wids
설명: 관련된 잘 알려진 ID 또는 기타 식별자.
type: string
- 이름: requestId
설명: 고유한 요청 식별자.
type: string
- 이름: appOwnerTenantId
설명: 애플리케이션 소유자의 테넌트 ID.
type: string
- 이름: servicePrincipalCredentialThumbprint
설명: 서비스 주체가 사용한 자격 증명의 지문.
type: string
- 이름: mfaDetail
설명: 다단계 인증 단계에 대한 세부 정보.
type: object
fields:
- 이름: authDetail
설명: 인증 프로세스에 대한 세부 정보.
type: string
- 이름: authMethod
설명: 사용된 MFA 방법(예: 전화, 앱).
type: string
- name: resourceId
required: true
설명: 이벤트와 관련된 Azure 리소스의 고유 식별자.
type: string
- name: resultDescription
설명: 이벤트 결과에 대한 추가 맥락 또는 설명.
type: string
- 이름: resultSignature
설명: 이벤트 결과의 서명 또는 고유 식별자.
type: string
- name: resultType
설명: 성공, 실패 또는 시간 초과와 같은 이벤트의 전체 결과.
type: string
- name: tenantId
설명: 이벤트가 발생한 Azure Active Directory 테넌트의 테넌트 ID.
type: string
- 이름: time
required: true
설명: 이벤트가 발생한 타임스탬프.
type: timestamp
timeFormats:
- rfc3339
- '%m/%d/%Y %I:%M:%S %p'
isEventTime: true
```
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.panther.com/ko/data-onboarding/supported-logs/entra-id-audit.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.