Microsoft Entra ID 감사 로그

Microsoft Entra ID 감사 로그를 Panther 콘솔에 연결하기

개요

Panther는 일반적인 방식으로 Microsoft Entra ID(이전 명칭 "Azure Active Directory") 감사 로그 수집을 지원합니다 데이터 전송 옵션, 예: Azure 이벤트 허브 및 블롭 스토리지.

Microsoft Entra ID 감사 로그를 Panther에 온보딩하는 방법

먼저 Panther에서 Azure Blob Storage 또는 Azure Event Hub 소스를 생성한 다음 Azure를 구성하여 해당 위치로 로그를 내보내도록 설정합니다.

1단계: Panther에서 Microsoft Entra ID 소스 생성

Panther 콘솔의 왼쪽 탐색 모음에서 구성 > 로그 소스.
클릭 새로 만들기.
“Microsoft Entra ID Audit”를 검색한 다음 해당 타일을 클릭합니다.
- 슬라이드 아웃 패널에서 Transport Mechanism 오른쪽 상단의 드롭다운은 미리 채워져 있습니다 Azure Event Hub 옵션입니다. 이 선택을 그대로 두거나, 다음을 선택하십시오 Azure Blob Storage.
클릭 설정 시작.
구성에 대한 Panther의 지침을 따르십시오 Azure Event Hub 또는 Azure Blob Storage 소스.

이 두 옵션은 지연 시간이 다릅니다: 만약 당신이 블롭 스토리지 옵션을 선택하면 Panther는 Entra ID 파일을 매시간 가져옵니다. 만약 당신이 이벤트 허브을(를) 선택하면 수집은 거의 실시간입니다.

Azure Blob Storage를 선택하고 동안 2단계: 필요한 Azure 인프라 생성 Azure 리소스를 수동으로 생성하기로 선택한 경우(테라폼 대신), 건너뛰세요 Azure 컨테이너를 생성하는 단계아래 2단계에서 스토리지 계정에 자동으로 생성됩니다.

2단계: Microsoft Entra ID 감사 로그 내보내기

Microsoft Defender XDR 로그를 Event Hubs 또는 스토리지 계정으로 내보내려면 아래 지침을 따르세요:

Azure 대시보드에 로그인합니다.
다음으로 이동하세요 Microsoft Entra ID 서비스.
왼쪽 패널에서 클릭합니다 감사 로그.
페이지 상단 근처에서 클릭합니다 데이터 내보내기 설정.
클릭 진단 설정 추가.
에서 진단 설정 페이지에서 다음 값을 설정합니다:
- 진단 설정 이름: 설명적인 이름을 입력합니다.
- 카테고리 (아래 로그): 다음 확인란을 선택하세요:
  - 감사로그
  - 로그인로그
  - 비대화형사용자로그인로그
  - 서비스프린시펄로그인로그
  - 관리형아이덴티티로그인로그
- 대상 세부정보: 다음 중 하나를 선택하세요 스토리지 계정에 보관 또는 이벤트 허브로 스트리밍, Panther에서 생성한 로그 소스 유형에 따라 1단계.
  - 를 선택한 경우 스토리지 계정에 보관, 다음의 스토리지 계정 필드에서 스토리지 계정을 선택하세요.
  - 를 선택한 경우 이벤트 허브로 스트리밍, 다음의 이벤트 허브 네임스페이스 필드에서 이벤트 허브를 선택하세요.
왼쪽 상단 모서리에서 클릭하세요 저장.

(Blob Storage 전송만 해당) 3단계: 컨테이너에 역할 할당

이 단계는 1단계에서 Azure Blob Storage를 선택한 경우에만 적용됩니다. Azure Event Hub를 사용한 경우 이 단계를 건너뛰세요.

새로 생성한 컨테이너를 클릭한 다음 왼쪽 탐색 모음에서 클릭하세요 액세스 제어(IAM).
클릭 +추가.
클릭 역할 할당 추가.
"Storage Blob Data Reader"를 검색하고 표시되는 일치하는 역할을 선택하세요.
클릭하세요 구성원 탭.
클릭 +구성원 선택.
Azure Blob Storage 소스에서 필수 Azure 인프라를 생성하는 과정 중에 만든 등록된 앱의 이름을 검색하세요 필수 Azure 인프라 생성 프로세스에서, 그리고 클릭하세요 선택.
클릭 검토+할당.

Panther 관리 디택션

참조 Panther 관리 Azure용 룰은 panther-analysis GitHub 리포지토리.

지원되는 로그 유형

Panther는 Microsoft Entra ID 감사 및 로그인 로그를 지원하며 이는 Azure.Audit 스키마.

Azure.Audit

Azure.Audit 로그 스키마는 Microsoft Entra ID 감사 로그와 로그인 로그를 포괄합니다. 자세한 내용은 Microsoft 문서를 참조하세요:

스키마: Azure.Audit
설명: Azure Active Directory의 감사 로그
참고URL: https://learn.microsoft.com/en-us/azure/active-directory/reports-monitoring/concept-audit-logs
필드:
  - 이름: Level
    설명: 이벤트의 심각도 수준 또는 유형(예: Informational, Error).
    유형: 문자열
  - 이름: callerIpAddress
    설명: 이벤트가 시작된 IP 주소.
    유형: 문자열
    지표:
      - ip
  - 이름: category
    설명: 이벤트의 카테고리 분류(예: SignInLogs, AuditLogs).
    유형: 문자열
  - 이름: correlationId
    설명: 여러 관련 이벤트를 연관시키기 위한 고유 식별자.
    유형: 문자열
    지표:
      - trace_id
  - 이름: durationMs
    설명: 작업을 완료하는 데 걸린 총 시간(밀리초).
    유형: 문자열
  - 이름: identity
    설명: 사용자, 애플리케이션 또는 서비스 주체의 식별자.
    유형: 문자열
  - 이름: location
    설명: 이벤트가 발생한 지리적 위치 또는 지역.
    유형: 문자열
  - 이름: locationDetails
    유형: json
  - 이름: networkLocationDetails
    유형: json
  - 이름: operationName
    필수: true
    설명: 수행된 작업 또는 API 호출의 이름.
    유형: 문자열
  - 이름: operationVersion
    설명: 작업 또는 API의 버전 번호.
    유형: 문자열
  - 이름: properties
    설명: 이벤트에 대한 추가 속성 및 세부 항목을 포함한 중첩 객체.
    유형: 객체
    필드:
      - 이름: aadTenantId
        유형: 문자열
      - 이름: activityDateTime
        설명: 활동의 날짜 및 시간.
        유형: 타임스탬프
        시간 형식:
          - rfc3339
      - 이름: activityDisplayName
        설명: 활동에 대한 친숙한 표시 이름.
        유형: 문자열
      - 이름: additionalDetails
        설명: 추가 컨텍스트 또는 메타데이터가 포함된 키-값 쌍의 배열.
        유형: 배열
        요소:
          유형: 객체
          필드:
            - 이름: key
              유형: 문자열
            - name: value
              유형: 문자열
      - name: alternateSignInName
        description: 제공된 경우 대체 사용자 로그인 이름입니다.
        유형: 문자열
        지표:
          - username
      - name: appDisplayName
        description: 관련된 애플리케이션의 표시 이름입니다.
        유형: 문자열
      - name: appliedConditionalAccessPolicies
        description: 적용된 조건부 액세스 정책 및 그 결과의 목록입니다.
        유형: json
      - name: appliedEventListeners
        유형: json
      - name: appId
        description: 이벤트와 연결된 애플리케이션 ID입니다.
        유형: 문자열
      - name: appServicePrincipalId
        유형: 문자열
      - name: authenticationAppDeviceDetails
        유형: json
      - name: authenticationStrengths
        유형: json
      - name: authenticationAppPolicyEvaluationDetails
        유형: json
      - name: authenticationContextClassReferences
        유형: json
      - name: authenticationDetails
        유형: json
      - name: authenticationMethodsUsed
        유형: json
      - name: authenticationProcessingDetails
        유형: json
      - name: authenticationProtocol
        유형: 문자열
      - name: authenticationRequirement
        유형: 문자열
      - name: authenticationRequirementPolicies
        유형: json
      - name: autonomousSystemNumber
        유형: 문자열
      - name: _billedSize
        type: float
      - 이름: category
        유형: 문자열
      - name: clientAppUsed
        유형: 문자열
      - name: clientCredentialType
        유형: 문자열
      - name: conditionalAccessAudiences
        유형: json
      - name: conditionalAccessPolicies
        유형: json
      - name: conditionalAccessStatus
        유형: 문자열
      - 이름: correlationId
        유형: 문자열
      - name: createdDateTime
        유형: 타임스탬프
        시간 형식:
          - rfc3339
      - name: crossTenantAccessType
        유형: 문자열
      - name: deviceDetail
        유형: json
      - name: federatedCredentialId
        유형: 문자열
      - name: flaggedForReview
        type: boolean
      - name: globalSecureAccessIpAddress
        유형: 문자열
      - name: homeTenantId
        유형: 문자열
      - name: homeTenantName
        유형: 문자열
      - name: id
        유형: 문자열
      - name: incomingTokenType
        유형: 문자열
      - name: ipAddress
        description: 중첩된 리소스와 연결된 IP 주소입니다.
        유형: 문자열
        지표:
          - ip
      - name: ipAddressFromResourceProvider
        description: 기본 리소스 공급자가 기록한 IP 주소입니다.
        유형: 문자열
        지표:
          - ip
      - name: _isBillable
        유형: 문자열
      - name: isDeleted
        description: 엔터티가 삭제되었는지 여부입니다.
        type: boolean
      - name: initiatedBy
        description: 이벤트를 시작한 액터(사용자 또는 앱)입니다.
        유형: 객체
        필드:
          - name: app
            유형: 객체
            필드:
              - name: displayName
                유형: 문자열
              - name: servicePrincipalId
                유형: 문자열
              - name: appId
                description: 애플리케이션 등록/클라이언트 ID.
                유형: 문자열
          - name: user
            description: 작업을 수행한 사용자.
            유형: 객체
            필드:
              - name: id
                description: 사용자의 객체 ID.
                유형: 문자열
              - name: displayName
                description: Azure AD에 표시되는 사용자 이름.
                유형: 문자열
                지표:
                  - username
              - name: userPrincipalName
                description: 사용자의 사용자 주체 이름(UPN).
                유형: 문자열
              - name: ipAddress
                description: 사용자가 작업을 수행한 IP 주소.
                유형: 문자열
                지표:
                  - ip
              - name: roles
                유형: json
      - name: isProcessing
        description: 이벤트가 여전히 처리 중인지 여부.
        type: boolean
      - name: loggedByService
        description: 이 이벤트를 기록한 Microsoft 서비스(예: AzureAD).
        유형: 문자열
      - 이름: location
        description: JSON 객체로 표현된 지리적 또는 물리적 위치 정보.
        유형: json
      - 이름: networkLocationDetails
        description: 이벤트에 관련된 네트워크 위치에 대한 세부 정보.
        유형: json
      - name: operationType
        description: 수행된 작업의 유형.
        유형: 문자열
      - name: result
        description: 작업에 대한 결과 상태.
        유형: 문자열
      - name: resultReason
        description: 작업 결과에 대한 추가 이유 또는 코드.
        유형: 문자열
      - name: isInteractive
        description: 로그인(사인인)이 상호작용적이었는지 여부를 나타냄.
        type: boolean
      - name: isRisky
        type: boolean
      - name: isTenantRestricted
        description: 테넌트 제한이 적용되었는지 여부.
        type: boolean
      - name: isThroughGlobalSecureAccess
        description: 이벤트가 글로벌 시큐어 액세스를 통해 라우팅되었는지 여부.
        type: boolean
      - name: originalRequestId
        description: 체인의 일부인 경우 원본 요청의 요청 ID.
        유형: 문자열
      - name: originalTransferMethod
        description: 원본 요청의 전송 방법.
        유형: 문자열
      - name: privateLinkDetails
        유형: json
      - name: processingTimeInMilliseconds
        description: 이벤트를 처리하는 데 걸린 시간.
        type: bigint
      - name: resource
        유형: 문자열
      - name: resourceDisplayName
        description: 리소스의 표시 이름.
        유형: 문자열
      - name: resourceGroup
        유형: 문자열
      - name: resourceId
        description: 액세스된 리소스의 객체 ID.
        유형: 문자열
      - name: resourceIdentity
        유형: 문자열
      - name: resourceProvider
        유형: 문자열
      - name: resourceOwnerTenantId
        description: 리소스 소유자의 테넌트 ID.
        유형: 문자열
      - name: resourceServicePrincipalId
        description: 액세스된 리소스의 서비스 프린시펄 객체 ID.
        유형: 문자열
      - name: resourceTenantId
        description: 액세스된 리소스의 테넌트 ID.
        유형: 문자열
      - name: riskEventTypes
        description: 이 이벤트에 대해 감지된 위험 이벤트 유형 목록.
        유형: json
      - name: riskEventTypes_v2
        description: 향상된 위험 이벤트 유형 목록.
        유형: json
      - name: riskLastUpdatedDateTime
        description: 위험이 마지막으로 업데이트된 타임스탬프.
        유형: 타임스탬프
        시간 형식:
          - rfc3339
      - name: riskDetail
        description: 감지된 위험의 성격에 대한 세부 정보.
        유형: 문자열
      - name: riskLevel
        description: 분석 후 최종 위험 수준.
        유형: 문자열
      - name: riskLevelAggregated
        description: 이벤트에 할당된 집계된 위험 수준.
        유형: 문자열
      - name: riskLevelDuringSignIn
        description: 로그인 시점의 위험 수준.
        유형: 문자열
      - name: riskState
        description: 사용자 또는 세션의 위험 상태.
        유형: 문자열
      - name: rngcStatus
        description: 요청 논스 생성 검사에 대한 상태 코드.
        유형: 문자열
      - name: servicePrincipalId
        description: 사용된 서비스 프린시펄의 객체 ID.
        유형: 문자열
      - name: servicePrincipalCredentialKeyId
        description: 서비스 프린시펄이 사용한 자격 증명의 키 ID.
        유형: 문자열
      - name: servicePrincipalName
        description: 서비스 프린시펄의 이름.
        유형: 문자열
      - name: sessionId
        description: 작업의 세션 식별자.
        유형: 문자열
      - name: sessionLifetimePolicies
        description: 이 작업에 대한 세션 수명 정책.
        유형: json
      - name: signInIdentifier
        description: 사용자를 인증하는 데 사용된 기본 식별자.
        유형: 문자열
      - name: signInIdentifierType
        유형: 문자열
      - name: signInTokenProtectionStatus
        description: 로그인 시 토큰 보호 상태.
        유형: 문자열
      - name: sourceSystem
        유형: json
      - name: ssoExtensionVersion
        description: SSO 브라우저 확장 버전.
        유형: 문자열
      - name: status
        description: 로그인 시도에 대한 상태 세부 정보.
        유형: json
      - name: targetResources
        description: 작업으로 대상이 되었거나 영향을 받은 리소스의 배열.
        유형: 배열
        요소:
          유형: 객체
          필드:
            - name: displayName
              description: 리소스의 표시 이름.
              유형: 문자열
            - name: id
              description: 리소스의 고유 객체 ID.
              유형: 문자열
            - name: modifiedProperties
              description: 수정된 리소스의 속성들.
              유형: 배열
              요소:
                유형: 객체
                필드:
                  - name: oldValue
                    description: 속성의 이전 값.
                    유형: 문자열
                  - name: displayName
                    description: 수정된 속성의 이름.
                    유형: 문자열
                  - name: newValue
                    description: 속성의 새 값.
                    유형: 문자열
            - name: type
              description: 리소스 유형(예: User, Group, App).
              유형: 문자열
            - name: administrativeUnits
              유형: json
            - name: groupType
              description: 그룹 리소스의 유형(해당되는 경우).
              유형: 문자열
            - name: userPrincipalName
              description: 리소스 내 사용자의 UPN.
              유형: 문자열
      - name: tenantId
        description: Azure AD 테넌트의 테넌트 ID.
        유형: 문자열
      - name: timeGenerated
        description: 이 로그 항목이 생성된 날짜 및 시간.
        유형: 타임스탬프
        시간 형식:
          - rfc3339
      - name: tokenIssuerName
        description: 토큰을 발급한 권한의 이름.
        유형: 문자열
      - name: tokenIssuerType
        description: 토큰의 발급자 유형.
        유형: 문자열
      - name: tokenProtectionStatusDetails
        description: 토큰 보호 상태에 대한 정보.
        유형: json
      - name: type
        유형: 문자열
      - name: uniqueTokenIdentifier
        description: 보안 토큰의 고유 식별자.
        유형: 문자열
      - name: userAgent
        description: 클라이언트의 사용자 에이전트 문자열.
        유형: 문자열
      - name: userDisplayName
        description: 사용자의 표시 이름.
        유형: 문자열
        지표:
          - username
      - name: userId
        description: Azure AD의 사용자의 객체 ID.
        유형: 문자열
      - name: userPrincipalName
        description: 사용자의 UPN.
        유형: 문자열
        지표:
          - username
          - email
      - name: userType
        유형: 문자열
      - name: activity
        description: 이벤트와 관련된 활동의 이름 또는 유형.
        유형: 문자열
      - name: additionalInfo
        description: 이벤트에 대한 보조 정보.
        유형: 문자열
      - name: detectedDateTime
        description: 위험 또는 디택션이 처음 관찰된 날짜 및 시간.
        유형: 타임스탬프
        시간 형식:
          - rfc3339
      - name: detectionTimingType
        description: 위험 감지의 시간적 맥락(예: 실시간, 오프라인).
        유형: 문자열
      - name: lastUpdatedDateTime
        description: 이 이벤트가 마지막으로 업데이트된 날짜 및 시간.
        유형: 타임스탬프
        시간 형식:
          - rfc3339
      - name: mitreTechniqueId
        description: 사용 가능한 경우 이벤트와 관련된 MITRE ATT&CK 기술 식별자.
        유형: 문자열
      - name: riskEventType
        description: 활동과 관련된 위험 이벤트 유형(예: UnfamiliarLocation).
        유형: 문자열
      - name: riskType
        description: 감지된 위험 유형에 대한 분류.
        유형: 문자열
      - name: source
        description: 이 로그 항목의 출처인 Microsoft 서비스 또는 구성 요소.
        유형: 문자열
      - 이름: identity
        description: 이 중첩된 이벤트와 관련된 ID.
        유형: 문자열
      - 이름: operationName
        description: 속성 컨텍스트에서의 작업 이름.
        유형: 문자열
      - name: resultDescription
        description: 작업 결과에 대한 보다 자세한 설명.
        유형: 문자열
      - name: resultType
        description: 작업의 고수준 결과(성공, 실패 등).
        유형: 문자열
      - name: C_DeviceId
        description: 이벤트와 관련된 장치 ID.
        유형: 문자열
      - name: C_Sid
        description: 이벤트와 관련된 보안 식별자(SID).
        유형: 문자열
      - name: C_Iat
        description: 이벤트의 발급 시각 타임스탬프 또는 ID.
        유형: 문자열
      - name: C_Idtyp
        description: 이벤트와 관련된 ID 유형 코드.
        유형: 문자열
      - name: UserPrincipalObjectID
        description: 사용자 프린시펄의 객체 ID.
        유형: 문자열
      - name: __UDI_RequiredFields_EventTime
        description: 이벤트가 발생한 Unix 타임스탬프.
        유형: 타임스탬프
        시간 형식:
          - unix_auto
      - name: __UDI_RequiredFields_RegionScope
        description: 이벤트의 지역 범위.
        유형: 문자열
      - name: __UDI_RequiredFields_TenantId
        description: UDI 준수를 위해 필요한 테넌트 ID.
        유형: 문자열
      - name: __UDI_RequiredFields_UniqueId
        description: UDI 컨텍스트에서 이벤트의 고유 식별자.
        유형: 문자열
      - name: apiVersion
        description: 작업에 사용된 API 버전.
        유형: 문자열
      - name: atContentH
        description: 추가 토큰 또는 컨텍스트 정보(헤더).
        유형: 문자열
      - name: atContentP
        description: 추가 토큰 또는 컨텍스트 정보(페이로드).
        유형: 문자열
      - name: clientAuthMethod
        description: 사용된 클라이언트 인증 방법(예: 클라이언트 시크릿, 인증서).
        유형: 문자열
      - name: clientRequestId
        description: 클라이언트 요청의 고유 식별자.
        유형: 문자열
      - 이름: durationMs
        description: 속성 내 작업의 지속 시간(밀리초 단위).
        유형: 문자열
      - name: identityProvider
        description: 인증에 관여한 ID 공급자.
        유형: 문자열
      - name: operationId
        description: 작업 식별자.
        유형: 문자열
      - name: requestMethod
        description: 작업에 사용된 HTTP 메서드(GET, POST 등).
        유형: 문자열
      - name: requestUri
        description: 액세스된 API 또는 리소스의 URI.
        유형: 문자열
      - name: responseSizeBytes
        description: 바이트 단위의 응답 크기.
        type: bigint
      - name: responseStatusCode
        description: 응답의 HTTP 상태 코드.
        type: bigint
      - name: roles
        description: 사용자 또는 애플리케이션에 할당된 역할들.
        유형: 문자열
      - name: scopes
        description: 작업에서 요청한 OAuth 범위.
        유형: 문자열
      - name: signInActivityId
        description: 고유한 로그인 활동 식별자.
        유형: 문자열
      - name: tokenIssuedAt
        description: 토큰이 발급된 시간.
        유형: 타임스탬프
        시간 형식:
          - rfc3339
      - name: wids
        description: 관련된 잘 알려진 ID 또는 기타 식별자.
        유형: 문자열
      - name: requestId
        description: 고유한 요청 식별자.
        유형: 문자열
      - name: appOwnerTenantId
        description: 애플리케이션 소유자의 테넌트 ID.
        유형: 문자열
      - name: servicePrincipalCredentialThumbprint
        description: 서비스 프린시펄이 사용한 자격 증명의 썸프린트.
        유형: 문자열
      - name: mfaDetail
        description: 다중 요소 인증 단계에 대한 세부 정보.
        유형: 객체
        필드:
          - name: authDetail
            description: 인증 프로세스에 대한 세부 정보.
            유형: 문자열
          - name: authMethod
            description: 사용된 MFA 방법(예: 전화, 앱).
            유형: 문자열
  - name: resourceId
    필수: true
    description: 이벤트와 관련된 Azure 리소스의 고유 식별자.
    유형: 문자열
  - name: resultDescription
    description: 이벤트 결과에 대한 추가 컨텍스트 또는 설명.
    유형: 문자열
  - name: resultSignature
    description: 이벤트 결과의 서명 또는 고유 식별자.
    유형: 문자열
  - name: resultType
    description: 성공, 실패 또는 시간 초과와 같은 이벤트의 전반적인 결과.
    유형: 문자열
  - name: tenantId
    description: 이벤트가 발생한 Azure Active Directory 테넌트의 테넌트 ID.
    유형: 문자열
  - name: time
    필수: true
    description: 이벤트가 발생한 타임스탬프.
    유형: 타임스탬프
    시간 형식:
      - rfc3339
      - '%m/%d/%Y %I:%M:%S %p'
    isEventTime: true

이전Microsoft Defender XDR 로그(베타)다음Microsoft Graph 로그

마지막 업데이트 14일 전

도움이 되었나요?

hashtag개요

hashtagMicrosoft Entra ID 감사 로그를 Panther에 온보딩하는 방법

hashtag1단계: Panther에서 Microsoft Entra ID 소스 생성

hashtag2단계: Microsoft Entra ID 감사 로그 내보내기

hashtag(Blob Storage 전송만 해당) 3단계: 컨테이너에 역할 할당

hashtagPanther 관리 디택션

hashtag지원되는 로그 유형

hashtagAzure.Audit

개요

Microsoft Entra ID 감사 로그를 Panther에 온보딩하는 방법

1단계: Panther에서 Microsoft Entra ID 소스 생성

2단계: Microsoft Entra ID 감사 로그 내보내기

(Blob Storage 전송만 해당) 3단계: 컨테이너에 역할 할당

Panther 관리 디택션

지원되는 로그 유형

Azure.Audit