Azure Monitor 로그는 Microsoft Sentinel의 데이터 플랫폼 역할을 합니다. Microsoft Sentinel에 수집된 모든 로그는 Log Analytics 작업 영역에 저장되며, KQL(Kusto Query Language)으로 작성된 로그 쿼리는 위협을 감지하고 네트워크 활동을 모니터링하는 데 사용됩니다.
Log Analytics는 사용자 지정 데이터 수집 및 DCR(데이터 수집 규칙)을 사용하여 작업 영역에 수집되는 데이터에 대한 높은 수준의 제어를 제공합니다. DCR을 사용하면 작업 영역에 저장되기 전에 데이터를 수집하고 조작할 수 있습니다. DCR은 고유한 로그 형식을 생성하는 데이터 원본에 대한 표준 Log Analytics 테이블과 사용자 지정 가능한 테이블 모두에 데이터를 포맷하고 보냅니다.
Microsoft Sentinel에서 사용자 지정 데이터 수집을 위한 Azure Monitor 도구
Microsoft Sentinel은 다음 Azure Monitor 도구를 사용하여 사용자 지정 데이터 수집을 제어합니다.
변환은 DCR에 정의되며 작업 영역에 저장되기 전에 들어오는 데이터에 KQL 쿼리를 적용합니다. 이러한 변환은 관련 없는 데이터를 걸러내고, 분석 또는 외부 데이터로 기존 데이터를 보강하거나, 중요한 개인 정보를 마스킹할 수 있습니다.
로그 수집 API를 사용하면 데이터 원본에서 Log Analytics 작업 영역으로 사용자 지정 형식 로그를 보내고 해당 로그를 특정 표준 테이블 또는 사용자가 만든 사용자 지정 형식 테이블에 저장할 수 있습니다. 열 이름 및 형식 지정에 이르기까지 이러한 사용자 지정 테이블 만들기를 완전히 제어할 수 있습니다. API는 DCR 을 사용하여 이러한 데이터 흐름에 변환을 정의, 구성 및 적용합니다.
비고
Microsoft Sentinel에 사용하도록 설정된 Log Analytics 작업 영역에는 변환 필터의 데이터 양에 관계없이 Azure Monitor의 필터링 수집 요금이 적용되지 않습니다. 그러나 Microsoft Sentinel의 변환에는 Azure Monitor와 동일한 제한 사항이 있습니다. 자세한 내용은 제한 사항 및 고려 사항을 참조하세요.
Microsoft Sentinel에서 DCR 지원
수집 시간 변환은 Azure Monitor의 데이터 흐름을 제어하는 DCR(데이터 수집 규칙)에 정의됩니다. DCR은 로그 수집 API를 사용하여 AMA 기반 Sentinel 커넥터 및 워크플로에서 사용됩니다. 각 DCR에는 특정 데이터 수집 시나리오에 대한 구성이 포함되며 여러 커넥터 또는 원본이 단일 DCR을 공유할 수 있습니다.
작업 영역 변환 DCR은 DCR 을 사용하지 않는 워크플로를 지원합니다. 작업 영역 변환 DCR은 지원되는 테이블에 대한 변환을 포함하며 해당 테이블로 전송된 모든 트래픽에 적용됩니다.
자세한 내용은 다음을 참조하세요.
사용 사례 및 샘플 시나리오
Azure Monitor의 샘플 변환 문서에서는 Azure Monitor에서 수집 시간 변환을 사용하는 일반적인 시나리오에 대한 설명 및 샘플 쿼리를 제공합니다. Microsoft Sentinel에 특히 유용한 시나리오는 다음과 같습니다.
데이터 비용을 줄입니다. 데이터 수집을 행 또는 열별로 필터링하여 수집 및 스토리지 비용을 줄입니다.
데이터를 정규화합니다. ASIM(Advanced Security Information Model)을 사용하여 로그를 정규화하여 정규화된 쿼리의 성능을 향상시킵니다. 자세한 내용은 수집 시간 정규화를 참조 하세요.
데이터 보강 수집 시간 변환을 사용하면 구성된 KQL 변환에 추가된 추가 열을 사용하여 데이터를 보강하여 분석을 개선할 수 있습니다. 추가 열에는 기존 열의 구문 분석 또는 계산된 데이터가 포함될 수 있습니다.
중요한 데이터를 제거합니다. 수집 시간 변환을 사용하여 사회 보장 번호 또는 신용 카드 번호의 마지막 숫자를 제외한 모든 숫자를 마스킹하는 것과 같은 개인 정보를 마스킹하거나 제거할 수 있습니다.
Microsoft Sentinel의 데이터 수집 흐름
다음 이미지는 수집 시간 데이터 변환이 Microsoft Sentinel로 데이터 수집 흐름을 입력하는 위치를 보여 줍니다. 이 데이터는 표준 테이블 또는 특정 사용자 지정 테이블 집합에서 지원될 수 있습니다.
이 이미지는 Azure Monitor의 데이터 수집 구성 요소를 나타내는 클라우드 파이프라인을 보여 줍니다. Azure Monitor의 DCR(데이터 수집 규칙)에서 다른 데이터 수집 시나리오와 함께 자세히 알아볼 수 있습니다.
Microsoft Sentinel은 Log Analytics 작업 영역의 데이터를 여러 원본에서 수집합니다.
- 로그 수집 API 엔드포인트 또는 AMA(Azure Monitor 에이전트)에서 수집된 데이터는 수집 시간 변환을 포함할 수 있는 특정 DCR에 의해 처리됩니다.
- 기본 제공 데이터 커넥터의 데이터는 작업 영역 DCR에서 하드 코딩된 워크플로 및 수집 시간 변환의 조합을 사용하여 Log Analytics에서 처리됩니다.
다음 표에서는 Microsoft Sentinel 데이터 커넥터 형식에 대한 DCR 지원에 대해 설명합니다.
| 데이터 커넥터 형식 | DCR 지원 |
|---|---|
|
AMA(Azure Monitor 에이전트) 로그는 다음과 같습니다. |
에이전트와 연결된 하나 이상의 DCR |
| 로그 수집 API를 통한 직접 수집 | API 호출에 지정된 DCR |
|
다음과 같은 기본 제공 API 기반 데이터 커넥터: |
커넥터용으로 만든 DCR |
| 진단 설정 기반 연결 | 지원되는 출력 테이블이 있는 작업 영역 변환 DCR |
|
기본 제공된 API 기반 데이터 커넥터:, 예: |
현재 지원되지 않음 |
|
기본 제공된 서비스 간 데이터 커넥터:, 예: |
변환을 지원하는 테이블에 대한 작업 공간 변환 DCR |
관련 콘텐츠
자세한 내용은 다음을 참조하세요.