Microsoft Entra ID 로그는 Microsoft Entra 테넌트에 액세스하는 사용자, 애플리케이션 및 네트워크에 대한 포괄적인 정보를 제공합니다. 이 문서에서는 Microsoft Entra ID 데이터 커넥터를 사용하여 수집할 수 있는 로그 유형, 커넥터가 Microsoft Sentinel에 데이터를 보낼 수 있도록 설정하는 방법 및 Microsoft Sentinel에서 데이터를 찾는 방법을 설명합니다.
필수 구성 요소
AADRiskyServicePrincipals 및 AADServicePrincipalRiskEvents 로그를 Microsoft Sentinel로 스트리밍하려면 Microsoft Entra Workload ID Premium 라이선스가 필요합니다.
Microsoft Sentinel에 로그인 로그를 수집하려면 Microsoft Entra ID P1 또는 P2 라이선스가 필요합니다. Microsoft Entra ID 라이선스(무료/O365/P1 또는 P2)는 다른 로그 유형을 수집하기에 충분합니다. Azure Monitor(Log Analytics) 및 Microsoft Sentinel에 다른 기가바이트당 요금이 적용될 수 있습니다.
사용자에게 작업 영역에 대한 Microsoft Sentinel 기여자 역할이 할당되어야 합니다.
사용자에게 로그를 스트리밍하려는 테넌트 또는 해당 사용 권한에 대한 보안 관리자 역할이 있어야 합니다.
연결 상태를 확인하려면 사용자에게 Microsoft Entra 진단 설정에 대한 읽기 및 쓰기 권한이 있어야 합니다.
Microsoft Entra ID 데이터 커넥터 데이터 형식
이 표에서는 Microsoft Entra ID 데이터 커넥터를 사용하여 Microsoft Entra ID에서 Microsoft Sentinel로 보낼 수 있는 로그를 나열합니다. Microsoft Sentinel은 이러한 로그를 Microsoft Sentinel 작업 영역에 연결된 Log Analytics 작업 영역에 저장합니다.
| 로그 유형 | 설명 | 로그 스키마 |
|---|---|---|
| 감사 로그 | 사용자 및 그룹 관리, 관리되는 애플리케이션 및 디렉터리 활동과 관련된 시스템 작업입니다. | AuditLogs |
| 로그인 로그 | 사용자가 인증 요소를 제공하는 대화형 사용자 로그인 | SigninLogs |
| 비대화형 사용자 로그인 로그 | 사용자의 상호 작용 또는 인증 요소 없이 사용자를 대신하여 클라이언트에서 수행하는 로그인입니다. | AADNonInteractiveUserSignInLogs |
| 서비스 주체 로그인 로그 | 사용자를 포함하지 않는 앱 및 서비스 주체별 로그인 이러한 로그인에서 앱 또는 서비스는 리소스를 인증하거나 액세스할 수 있는 자격 증명을 자체적으로 제공합니다. | AAD 서비스 주체의 로그인 로그 |
| 관리 ID 로그인 로그 | Azure에서 관리하는 비밀이 있는 Azure 리소스로 로그인합니다. 자세한 내용은 Azure 리소스에 대한 관리 ID란?을 참조하세요. | AAD관리형ID로그인로그 (AAD Managed Identity Sign-In Logs) |
| AD FS 로그인 로그 | AD FS(Active Directory Federation Services)를 통해 수행되는 로그인입니다. | ADFSSignInLogs |
| 보강된 Office 365 감사 로그 | Microsoft 365 앱과 관련된 보안 이벤트입니다. | 강화된 Office365 감사 로그 |
| 프로비저닝 로그 | Microsoft Entra 프로비저닝 서비스에서 프로비전하는 사용자, 그룹 및 역할에 대한 시스템 활동 정보입니다. | AADProvisioningLogs |
| Microsoft Graph 활동 로그 | HTTP는 Microsoft Graph API를 통해 테넌트의 리소스에 액세스하는 것을 요청합니다. | MicrosoftGraphActivityLogs |
| 네트워크 액세스 트래픽 로그 | 네트워크 액세스 트래픽 및 활동. | NetworkAccessTraffic |
| 원격 네트워크 상태 로그 | 원격 네트워크의 상태에 대한 인사이트입니다. | RemoteNetworkHealthLogs |
| 사용자 위험 이벤트 | Microsoft Entra ID Protection에서 생성된 사용자 위험 이벤트입니다. | AADUserRiskEvents |
| 위험한 사용자 | Microsoft Entra ID Protection에 의해 기록된 위험한 사용자입니다. | AADRiskyUsers |
| 위험한 서비스 주체 | Microsoft Entra ID Protection에서 위험으로 플래그가 지정된 서비스 주체에 대한 정보입니다. | AADRiskyServicePrincipals |
| 서비스 주체 위험 이벤트 | Microsoft Entra ID Protection에 의해 기록된 서비스 주체와 관련된 위험 탐지 | AADServicePrincipalRiskEvents |
중요합니다
사용 가능한 로그 유형 중 일부는 현재 미리 보기로 제공됩니다. 베타, 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 기타 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.
참고
US Government 클라우드의 기능 가용성에 대한 자세한 내용은 US Government 고객을 위한 클라우드 기능 가용성의 Microsoft Sentinel 표를 참조하세요.
Microsoft Entra ID 데이터 커넥터 사용
데이터 커넥터 사용에서 설명한 대로 Microsoft Entra ID커넥터를 검색하고 사용하도록 설정합니다.
Microsoft Entra ID 솔루션 설치(선택 사항)
미리 빌드된 통합 문서, 분석 규칙, 플레이북 등을 가져오려면 Microsoft Sentinel의 콘텐츠 허브에서 Microsoft Entra ID에 대한 솔루션을 설치합니다. 자세한 내용은 Microsoft Sentinel 기본 제공 콘텐츠 검색 및 관리를 참조하세요.
다음 단계
이 문서에서는 Microsoft Entra ID를 Microsoft Sentinel에 연결하는 방법을 알아보았습니다. Microsoft Sentinel에 대한 자세한 내용은 다음 문서를 참조하세요.
- 데이터 및 잠재적 위협에 대한 가시성을 확보하는 방법을 알아봅니다.
- Microsoft Sentinel을 사용하여 위협 검색을 시작합니다.