# Microsoft Entra ID 감사 로그 ## 개요 Panther는 일반적인 방식으로 Microsoft Entra ID(이전 명칭 "Azure Active Directory") 감사 로그 수집을 지원합니다 [데이터 전송](https://docs.panther.com/ko/data-onboarding/data-transports) 옵션, 예: Azure [이벤트 허브](https://docs.panther.com/ko/data-onboarding/data-transports/azure/event-hub) 및 [블롭 스토리지](https://docs.panther.com/ko/data-onboarding/data-transports/azure/blob-storage). ## Microsoft Entra ID 감사 로그를 Panther에 온보딩하는 방법 먼저 Panther에서 Azure Blob Storage 또는 Azure Event Hub 소스를 생성한 다음 Azure를 구성하여 해당 위치로 로그를 내보내도록 설정합니다. ### 1단계: Panther에서 Microsoft Entra ID 소스 생성 1. Panther 콘솔의 왼쪽 탐색 모음에서 **구성** > **로그 소스**. 2. 클릭 **새로 만들기**. 3. “Microsoft Entra ID Audit”를 검색한 다음 해당 타일을 클릭합니다. * 슬라이드 아웃 패널에서 **Transport Mechanism** 오른쪽 상단의 드롭다운은 미리 채워져 있습니다 **Azure Event Hub** 옵션입니다. 이 선택을 그대로 두거나, 다음을 선택하십시오 **Azure Blob Storage**. 4. 클릭 **설정 시작**. 5. 구성에 대한 Panther의 지침을 따르십시오 [Azure Event Hub](https://docs.panther.com/ko/data-onboarding/data-transports/azure/event-hub) 또는 [Azure Blob Storage 소스](https://docs.panther.com/ko/data-onboarding/data-transports/azure/blob-storage). {% hint style="info" %} 이 두 옵션은 지연 시간이 다릅니다: 만약 당신이 **블롭 스토리지** 옵션을 선택하면 Panther는 Entra ID 파일을 매시간 가져옵니다. 만약 당신이 **이벤트 허브**을(를) 선택하면 수집은 거의 실시간입니다. {% endhint %} * Azure Blob Storage를 선택하고 동안 [2단계: 필요한 Azure 인프라 생성](https://docs.panther.com/ko/data-transports/azure/blob-storage#step-2-create-required-azure-infrastructure) Azure 리소스를 수동으로 생성하기로 선택한 경우(테라폼 대신), 건너뛰세요 [Azure 컨테이너를 생성하는 단계](https://docs.panther.com/data-onboarding/data-transports/azure/blob-storage#step-5-create-container-and-add-permission)아래 2단계에서 스토리지 계정에 자동으로 생성됩니다. ### 2단계: Microsoft Entra ID 감사 로그 내보내기 Microsoft Defender XDR 로그를 Event Hubs 또는 스토리지 계정으로 내보내려면 아래 지침을 따르세요: 1. Azure 대시보드에 로그인합니다. 2. 다음으로 이동하세요 **Microsoft Entra ID** 서비스**.** 3. 왼쪽 패널에서 클릭합니다 **감사 로그**. 4. 페이지 상단 근처에서 클릭합니다 **데이터 내보내기 설정**.\ ![The Microsoft Entra ID console is shown. An arrow is drawn from the "Audit logs" option in the navigation bar to a "Export data settings" button](https://docs.panther.com/~gitbook/image?url=https%3A%2F%2F4011785613-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252F-LgdiSWdyJcXPahGi9Rs-2910905616%252Fuploads%252Fgit-blob-494651d6c37ae5ccdbd7290e3daa2a91d525c7c5%252Fmicrosoft_entra_id.png%3Falt%3Dmedia\&width=300\&dpr=4\&quality=100\&sign=9bd4e213\&sv=2) 5. 클릭 **진단 설정 추가**. 6. 에서 **진단 설정** 페이지에서 다음 값을 설정합니다: * **진단 설정 이름**: 설명적인 이름을 입력합니다. * **카테고리** (아래 **로그**): 다음 확인란을 선택하세요: * **감사로그** * **로그인로그** * **비대화형사용자로그인로그** * **서비스프린시펄로그인로그** * **관리형아이덴티티로그인로그** * **대상 세부정보**: 다음 중 하나를 선택하세요 **스토리지 계정에 보관** 또는 **이벤트 허브로 스트리밍**, Panther에서 생성한 로그 소스 유형에 따라 [1단계](#step-1-create-the-microsoft-entra-id-source-in-panther). * 를 선택한 경우 **스토리지 계정에 보관**, 다음의 **스토리지 계정** 필드에서 스토리지 계정을 선택하세요. * 를 선택한 경우 **이벤트 허브로 스트리밍**, 다음의 **이벤트 허브 네임스페이스** 필드에서 이벤트 허브를 선택하세요.
7. 왼쪽 상단 모서리에서 클릭하세요 **저장**. ### (Blob Storage 전송만 해당) 3단계: 컨테이너에 역할 할당 {% hint style="warning" %} 이 단계는 1단계에서 Azure Blob Storage를 선택한 경우에만 적용됩니다. Azure Event Hub를 사용한 경우 이 단계를 건너뛰세요. {% endhint %} 1. 새로 생성한 컨테이너를 클릭한 다음 왼쪽 탐색 모음에서 클릭하세요 **액세스 제어(IAM)**. 2. 클릭 **+추가**.\ ![In the panthertestcontainer3 Access Control (IAM) page, an arrow is drawn to the +Add button](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-0cf0e7d954d47ee1ba4917a8630b0a8e0c779dbe%2FIAM.webp?alt=media) 3. 클릭 **역할 할당 추가**. 4. "Storage Blob Data Reader"를 검색하고 표시되는 일치하는 역할을 선택하세요.\ ![In the Add role assignment page of the Azure console, "storage blob" has been searched for in the search box. One of the results, Storage Blob Data Reader, is circled.](https://2400888838-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LgdiSWdyJcXPahGi9Rs-2910905616%2Fuploads%2Fgit-blob-50fbb32cdf92d1f99768192395f37a535cc1c844%2Fadd%20role%20assign.webp?alt=media) 5. 클릭하세요 **구성원** 탭. 6. 클릭 **+구성원 선택**. 7. Azure Blob Storage 소스에서 필수 Azure 인프라를 생성하는 과정 중에 만든 등록된 앱의 이름을 검색하세요 [필수 Azure 인프라 생성 프로세스에서](https://docs.panther.com/ko/data-transports/azure/blob-storage#step-2-create-required-azure-infrastructure), 그리고 클릭하세요 **선택**. 8. 클릭 **검토+할당**. ## Panther 관리 디택션 참조 [Panther 관리](https://docs.panther.com/detections/panther-managed) Azure용 룰은 [panther-analysis GitHub 리포지토리](https://github.com/panther-labs/panther-analysis/tree/master/rules/azure_signin_rules). ## 지원되는 로그 유형 Panther는 Microsoft Entra ID 감사 및 로그인 로그를 지원하며 이는 [Azure.Audit](#azure.audit) 스키마. ### Azure.Audit Azure.Audit 로그 스키마는 Microsoft Entra ID 감사 로그와 로그인 로그를 포괄합니다. 자세한 내용은 Microsoft 문서를 참조하세요: * 참조 [감사 로그에 대한 일반 정보는 이 페이지를 참조하세요](https://learn.microsoft.com/en-us/entra/identity/monitoring-health/concept-audit-logs)그리고 [감사 로그 참고를 보려면 이 페이지](https://learn.microsoft.com/en-us/entra/identity/monitoring-health/reference-audit-activities). * 참조 [로그인 로그에 대한 일반 정보를 보려면 이 페이지](https://learn.microsoft.com/en-us/entra/identity/monitoring-health/concept-sign-ins)그리고 [로그인 로그 스키마를 보려면 이 페이지](https://learn.microsoft.com/en-us/azure/azure-monitor/reference/tables/signinlogs). ```yaml 스키마: Azure.Audit 설명: Azure Active Directory의 감사 로그 참고URL: https://learn.microsoft.com/en-us/azure/active-directory/reports-monitoring/concept-audit-logs 필드: - 이름: Level 설명: 이벤트의 심각도 수준 또는 유형(예: Informational, Error). 유형: 문자열 - 이름: callerIpAddress 설명: 이벤트가 시작된 IP 주소. 유형: 문자열 지표: - ip - 이름: category 설명: 이벤트의 카테고리 분류(예: SignInLogs, AuditLogs). 유형: 문자열 - 이름: correlationId 설명: 여러 관련 이벤트를 연관시키기 위한 고유 식별자. 유형: 문자열 지표: - trace_id - 이름: durationMs 설명: 작업을 완료하는 데 걸린 총 시간(밀리초). 유형: 문자열 - 이름: identity 설명: 사용자, 애플리케이션 또는 서비스 주체의 식별자. 유형: 문자열 - 이름: location 설명: 이벤트가 발생한 지리적 위치 또는 지역. 유형: 문자열 - 이름: locationDetails 유형: json - 이름: networkLocationDetails 유형: json - 이름: operationName 필수: true 설명: 수행된 작업 또는 API 호출의 이름. 유형: 문자열 - 이름: operationVersion 설명: 작업 또는 API의 버전 번호. 유형: 문자열 - 이름: properties 설명: 이벤트에 대한 추가 속성 및 세부 항목을 포함한 중첩 객체. 유형: 객체 필드: - 이름: aadTenantId 유형: 문자열 - 이름: activityDateTime 설명: 활동의 날짜 및 시간. 유형: 타임스탬프 시간 형식: - rfc3339 - 이름: activityDisplayName 설명: 활동에 대한 친숙한 표시 이름. 유형: 문자열 - 이름: additionalDetails 설명: 추가 컨텍스트 또는 메타데이터가 포함된 키-값 쌍의 배열. 유형: 배열 요소: 유형: 객체 필드: - 이름: key 유형: 문자열 - name: value 유형: 문자열 - name: alternateSignInName description: 제공된 경우 대체 사용자 로그인 이름입니다. 유형: 문자열 지표: - username - name: appDisplayName description: 관련된 애플리케이션의 표시 이름입니다. 유형: 문자열 - name: appliedConditionalAccessPolicies description: 적용된 조건부 액세스 정책 및 그 결과의 목록입니다. 유형: json - name: appliedEventListeners 유형: json - name: appId description: 이벤트와 연결된 애플리케이션 ID입니다. 유형: 문자열 - name: appServicePrincipalId 유형: 문자열 - name: authenticationAppDeviceDetails 유형: json - name: authenticationStrengths 유형: json - name: authenticationAppPolicyEvaluationDetails 유형: json - name: authenticationContextClassReferences 유형: json - name: authenticationDetails 유형: json - name: authenticationMethodsUsed 유형: json - name: authenticationProcessingDetails 유형: json - name: authenticationProtocol 유형: 문자열 - name: authenticationRequirement 유형: 문자열 - name: authenticationRequirementPolicies 유형: json - name: autonomousSystemNumber 유형: 문자열 - name: _billedSize type: float - 이름: category 유형: 문자열 - name: clientAppUsed 유형: 문자열 - name: clientCredentialType 유형: 문자열 - name: conditionalAccessAudiences 유형: json - name: conditionalAccessPolicies 유형: json - name: conditionalAccessStatus 유형: 문자열 - 이름: correlationId 유형: 문자열 - name: createdDateTime 유형: 타임스탬프 시간 형식: - rfc3339 - name: crossTenantAccessType 유형: 문자열 - name: deviceDetail 유형: json - name: federatedCredentialId 유형: 문자열 - name: flaggedForReview type: boolean - name: globalSecureAccessIpAddress 유형: 문자열 - name: homeTenantId 유형: 문자열 - name: homeTenantName 유형: 문자열 - name: id 유형: 문자열 - name: incomingTokenType 유형: 문자열 - name: ipAddress description: 중첩된 리소스와 연결된 IP 주소입니다. 유형: 문자열 지표: - ip - name: ipAddressFromResourceProvider description: 기본 리소스 공급자가 기록한 IP 주소입니다. 유형: 문자열 지표: - ip - name: _isBillable 유형: 문자열 - name: isDeleted description: 엔터티가 삭제되었는지 여부입니다. type: boolean - name: initiatedBy description: 이벤트를 시작한 액터(사용자 또는 앱)입니다. 유형: 객체 필드: - name: app 유형: 객체 필드: - name: displayName 유형: 문자열 - name: servicePrincipalId 유형: 문자열 - name: appId description: 애플리케이션 등록/클라이언트 ID. 유형: 문자열 - name: user description: 작업을 수행한 사용자. 유형: 객체 필드: - name: id description: 사용자의 객체 ID. 유형: 문자열 - name: displayName description: Azure AD에 표시되는 사용자 이름. 유형: 문자열 지표: - username - name: userPrincipalName description: 사용자의 사용자 주체 이름(UPN). 유형: 문자열 - name: ipAddress description: 사용자가 작업을 수행한 IP 주소. 유형: 문자열 지표: - ip - name: roles 유형: json - name: isProcessing description: 이벤트가 여전히 처리 중인지 여부. type: boolean - name: loggedByService description: 이 이벤트를 기록한 Microsoft 서비스(예: AzureAD). 유형: 문자열 - 이름: location description: JSON 객체로 표현된 지리적 또는 물리적 위치 정보. 유형: json - 이름: networkLocationDetails description: 이벤트에 관련된 네트워크 위치에 대한 세부 정보. 유형: json - name: operationType description: 수행된 작업의 유형. 유형: 문자열 - name: result description: 작업에 대한 결과 상태. 유형: 문자열 - name: resultReason description: 작업 결과에 대한 추가 이유 또는 코드. 유형: 문자열 - name: isInteractive description: 로그인(사인인)이 상호작용적이었는지 여부를 나타냄. type: boolean - name: isRisky type: boolean - name: isTenantRestricted description: 테넌트 제한이 적용되었는지 여부. type: boolean - name: isThroughGlobalSecureAccess description: 이벤트가 글로벌 시큐어 액세스를 통해 라우팅되었는지 여부. type: boolean - name: originalRequestId description: 체인의 일부인 경우 원본 요청의 요청 ID. 유형: 문자열 - name: originalTransferMethod description: 원본 요청의 전송 방법. 유형: 문자열 - name: privateLinkDetails 유형: json - name: processingTimeInMilliseconds description: 이벤트를 처리하는 데 걸린 시간. type: bigint - name: resource 유형: 문자열 - name: resourceDisplayName description: 리소스의 표시 이름. 유형: 문자열 - name: resourceGroup 유형: 문자열 - name: resourceId description: 액세스된 리소스의 객체 ID. 유형: 문자열 - name: resourceIdentity 유형: 문자열 - name: resourceProvider 유형: 문자열 - name: resourceOwnerTenantId description: 리소스 소유자의 테넌트 ID. 유형: 문자열 - name: resourceServicePrincipalId description: 액세스된 리소스의 서비스 프린시펄 객체 ID. 유형: 문자열 - name: resourceTenantId description: 액세스된 리소스의 테넌트 ID. 유형: 문자열 - name: riskEventTypes description: 이 이벤트에 대해 감지된 위험 이벤트 유형 목록. 유형: json - name: riskEventTypes_v2 description: 향상된 위험 이벤트 유형 목록. 유형: json - name: riskLastUpdatedDateTime description: 위험이 마지막으로 업데이트된 타임스탬프. 유형: 타임스탬프 시간 형식: - rfc3339 - name: riskDetail description: 감지된 위험의 성격에 대한 세부 정보. 유형: 문자열 - name: riskLevel description: 분석 후 최종 위험 수준. 유형: 문자열 - name: riskLevelAggregated description: 이벤트에 할당된 집계된 위험 수준. 유형: 문자열 - name: riskLevelDuringSignIn description: 로그인 시점의 위험 수준. 유형: 문자열 - name: riskState description: 사용자 또는 세션의 위험 상태. 유형: 문자열 - name: rngcStatus description: 요청 논스 생성 검사에 대한 상태 코드. 유형: 문자열 - name: servicePrincipalId description: 사용된 서비스 프린시펄의 객체 ID. 유형: 문자열 - name: servicePrincipalCredentialKeyId description: 서비스 프린시펄이 사용한 자격 증명의 키 ID. 유형: 문자열 - name: servicePrincipalName description: 서비스 프린시펄의 이름. 유형: 문자열 - name: sessionId description: 작업의 세션 식별자. 유형: 문자열 - name: sessionLifetimePolicies description: 이 작업에 대한 세션 수명 정책. 유형: json - name: signInIdentifier description: 사용자를 인증하는 데 사용된 기본 식별자. 유형: 문자열 - name: signInIdentifierType 유형: 문자열 - name: signInTokenProtectionStatus description: 로그인 시 토큰 보호 상태. 유형: 문자열 - name: sourceSystem 유형: json - name: ssoExtensionVersion description: SSO 브라우저 확장 버전. 유형: 문자열 - name: status description: 로그인 시도에 대한 상태 세부 정보. 유형: json - name: targetResources description: 작업으로 대상이 되었거나 영향을 받은 리소스의 배열. 유형: 배열 요소: 유형: 객체 필드: - name: displayName description: 리소스의 표시 이름. 유형: 문자열 - name: id description: 리소스의 고유 객체 ID. 유형: 문자열 - name: modifiedProperties description: 수정된 리소스의 속성들. 유형: 배열 요소: 유형: 객체 필드: - name: oldValue description: 속성의 이전 값. 유형: 문자열 - name: displayName description: 수정된 속성의 이름. 유형: 문자열 - name: newValue description: 속성의 새 값. 유형: 문자열 - name: type description: 리소스 유형(예: User, Group, App). 유형: 문자열 - name: administrativeUnits 유형: json - name: groupType description: 그룹 리소스의 유형(해당되는 경우). 유형: 문자열 - name: userPrincipalName description: 리소스 내 사용자의 UPN. 유형: 문자열 - name: tenantId description: Azure AD 테넌트의 테넌트 ID. 유형: 문자열 - name: timeGenerated description: 이 로그 항목이 생성된 날짜 및 시간. 유형: 타임스탬프 시간 형식: - rfc3339 - name: tokenIssuerName description: 토큰을 발급한 권한의 이름. 유형: 문자열 - name: tokenIssuerType description: 토큰의 발급자 유형. 유형: 문자열 - name: tokenProtectionStatusDetails description: 토큰 보호 상태에 대한 정보. 유형: json - name: type 유형: 문자열 - name: uniqueTokenIdentifier description: 보안 토큰의 고유 식별자. 유형: 문자열 - name: userAgent description: 클라이언트의 사용자 에이전트 문자열. 유형: 문자열 - name: userDisplayName description: 사용자의 표시 이름. 유형: 문자열 지표: - username - name: userId description: Azure AD의 사용자의 객체 ID. 유형: 문자열 - name: userPrincipalName description: 사용자의 UPN. 유형: 문자열 지표: - username - email - name: userType 유형: 문자열 - name: activity description: 이벤트와 관련된 활동의 이름 또는 유형. 유형: 문자열 - name: additionalInfo description: 이벤트에 대한 보조 정보. 유형: 문자열 - name: detectedDateTime description: 위험 또는 디택션이 처음 관찰된 날짜 및 시간. 유형: 타임스탬프 시간 형식: - rfc3339 - name: detectionTimingType description: 위험 감지의 시간적 맥락(예: 실시간, 오프라인). 유형: 문자열 - name: lastUpdatedDateTime description: 이 이벤트가 마지막으로 업데이트된 날짜 및 시간. 유형: 타임스탬프 시간 형식: - rfc3339 - name: mitreTechniqueId description: 사용 가능한 경우 이벤트와 관련된 MITRE ATT&CK 기술 식별자. 유형: 문자열 - name: riskEventType description: 활동과 관련된 위험 이벤트 유형(예: UnfamiliarLocation). 유형: 문자열 - name: riskType description: 감지된 위험 유형에 대한 분류. 유형: 문자열 - name: source description: 이 로그 항목의 출처인 Microsoft 서비스 또는 구성 요소. 유형: 문자열 - 이름: identity description: 이 중첩된 이벤트와 관련된 ID. 유형: 문자열 - 이름: operationName description: 속성 컨텍스트에서의 작업 이름. 유형: 문자열 - name: resultDescription description: 작업 결과에 대한 보다 자세한 설명. 유형: 문자열 - name: resultType description: 작업의 고수준 결과(성공, 실패 등). 유형: 문자열 - name: C_DeviceId description: 이벤트와 관련된 장치 ID. 유형: 문자열 - name: C_Sid description: 이벤트와 관련된 보안 식별자(SID). 유형: 문자열 - name: C_Iat description: 이벤트의 발급 시각 타임스탬프 또는 ID. 유형: 문자열 - name: C_Idtyp description: 이벤트와 관련된 ID 유형 코드. 유형: 문자열 - name: UserPrincipalObjectID description: 사용자 프린시펄의 객체 ID. 유형: 문자열 - name: __UDI_RequiredFields_EventTime description: 이벤트가 발생한 Unix 타임스탬프. 유형: 타임스탬프 시간 형식: - unix_auto - name: __UDI_RequiredFields_RegionScope description: 이벤트의 지역 범위. 유형: 문자열 - name: __UDI_RequiredFields_TenantId description: UDI 준수를 위해 필요한 테넌트 ID. 유형: 문자열 - name: __UDI_RequiredFields_UniqueId description: UDI 컨텍스트에서 이벤트의 고유 식별자. 유형: 문자열 - name: apiVersion description: 작업에 사용된 API 버전. 유형: 문자열 - name: atContentH description: 추가 토큰 또는 컨텍스트 정보(헤더). 유형: 문자열 - name: atContentP description: 추가 토큰 또는 컨텍스트 정보(페이로드). 유형: 문자열 - name: clientAuthMethod description: 사용된 클라이언트 인증 방법(예: 클라이언트 시크릿, 인증서). 유형: 문자열 - name: clientRequestId description: 클라이언트 요청의 고유 식별자. 유형: 문자열 - 이름: durationMs description: 속성 내 작업의 지속 시간(밀리초 단위). 유형: 문자열 - name: identityProvider description: 인증에 관여한 ID 공급자. 유형: 문자열 - name: operationId description: 작업 식별자. 유형: 문자열 - name: requestMethod description: 작업에 사용된 HTTP 메서드(GET, POST 등). 유형: 문자열 - name: requestUri description: 액세스된 API 또는 리소스의 URI. 유형: 문자열 - name: responseSizeBytes description: 바이트 단위의 응답 크기. type: bigint - name: responseStatusCode description: 응답의 HTTP 상태 코드. type: bigint - name: roles description: 사용자 또는 애플리케이션에 할당된 역할들. 유형: 문자열 - name: scopes description: 작업에서 요청한 OAuth 범위. 유형: 문자열 - name: signInActivityId description: 고유한 로그인 활동 식별자. 유형: 문자열 - name: tokenIssuedAt description: 토큰이 발급된 시간. 유형: 타임스탬프 시간 형식: - rfc3339 - name: wids description: 관련된 잘 알려진 ID 또는 기타 식별자. 유형: 문자열 - name: requestId description: 고유한 요청 식별자. 유형: 문자열 - name: appOwnerTenantId description: 애플리케이션 소유자의 테넌트 ID. 유형: 문자열 - name: servicePrincipalCredentialThumbprint description: 서비스 프린시펄이 사용한 자격 증명의 썸프린트. 유형: 문자열 - name: mfaDetail description: 다중 요소 인증 단계에 대한 세부 정보. 유형: 객체 필드: - name: authDetail description: 인증 프로세스에 대한 세부 정보. 유형: 문자열 - name: authMethod description: 사용된 MFA 방법(예: 전화, 앱). 유형: 문자열 - name: resourceId 필수: true description: 이벤트와 관련된 Azure 리소스의 고유 식별자. 유형: 문자열 - name: resultDescription description: 이벤트 결과에 대한 추가 컨텍스트 또는 설명. 유형: 문자열 - name: resultSignature description: 이벤트 결과의 서명 또는 고유 식별자. 유형: 문자열 - name: resultType description: 성공, 실패 또는 시간 초과와 같은 이벤트의 전반적인 결과. 유형: 문자열 - name: tenantId description: 이벤트가 발생한 Azure Active Directory 테넌트의 테넌트 ID. 유형: 문자열 - name: time 필수: true description: 이벤트가 발생한 타임스탬프. 유형: 타임스탬프 시간 형식: - rfc3339 - '%m/%d/%Y %I:%M:%S %p' isEventTime: true ```