Microsoft Entra 데이터를 Microsoft Sentinel에 연결

  • 아티클

Microsoft Sentinel에 기본 제공된 커넥터를 사용하여 Microsoft Entra ID에서 데이터를 수집하고 이를 Microsoft Sentinel로 스트리밍할 수 있습니다. 커넥터를 사용하면 다음 로그 유형을 스트리밍할 수 있습니다.

  • 로그인 로그: 사용자가 인증 요소를 제공하는 대화형 사용자 로그인에 대한 정보를 포함합니다.

    이제 Microsoft Entra 커넥터에는 현재 모두 미리 보기로 제공되는 다음과 같은 세 가지 추가 범주의 로그인 로그가 포함되어 있습니다.

    • 비 대화형 사용자 로그인 로그: 사용자의 상호 작용 또는 인증 요소 없이 사용자를 대신하여 클라이언트가 수행하는 로그인에 대한 정보를 포함합니다.

    • 서비스 주체 로그인 로그: 사용자와 관련이 없는 앱 및 서비스 주체별 로그인에 대한 정보를 포함합니다. 이러한 로그인에서 앱 또는 서비스는 리소스를 인증하거나 액세스할 수 있는 자격 증명을 자체적으로 제공합니다.

    • 관리 ID 로그인 로그: Azure에서 관리하는 비밀이 있는 Azure 리소스의 로그인에 대한 정보를 포함합니다. 자세한 내용은 Azure 리소스에 대한 관리 ID란?을 참조하세요.

  • 감사 로그: 사용자 및 그룹 관리, 관리형 애플리케이션 및 디렉터리 작업과 관련된 시스템 작업에 대한 정보를 포함합니다.

  • 프로비전 로그(또한 미리 보기로 제공): Microsoft Entra 프로비전 서비스에서 프로비전된 사용자, 그룹 및 역할에 대한 시스템 작업 정보를 포함합니다.

  • Microsoft Graph 활동 로그는 Microsoft Graph API를 통해 테넌트의 리소스에 액세스하는 HTTP 요청에 대한 정보가 포함되어 있습니다.

Important

사용 가능한 로그 유형 중 일부는 현재 미리 보기로 제공됩니다. 베타, 미리 보기로 제공되거나 아직 일반 공급으로 릴리스되지 않은 Azure 기능에 적용되는 기타 약관은 Microsoft Azure 미리 보기에 대한 추가 사용 약관을 참조하세요.

참고 항목

US Government 클라우드의 기능 가용성에 대한 자세한 내용은 US Government 고객을 위한 클라우드 기능 가용성의 Microsoft Sentinel 표를 참조하세요.

필수 조건

  • Microsoft Sentinel에 로그인 로그를 수집하려면 Microsoft Entra ID P1 또는 P2 라이선스가 필요합니다. 모든 Microsoft Entra ID 라이선스(무료/O365/P1 또는 P2)는 다른 로그 형식을 수집하는 데 충분합니다. Azure Monitor(Log Analytics) 및 Microsoft Sentinel에 다른 기가바이트당 요금이 적용될 수 있습니다.

  • 사용자에게 작업 영역에 대한 Microsoft Sentinel 기여자 역할이 할당되어야 합니다.

  • 사용자에게 로그를 스트리밍하려는 테넌트 또는 해당 사용 권한에 대한 보안 관리자 역할이 있어야 합니다.

  • 연결 상태를 확인하려면 사용자에게 Microsoft Entra 진단 설정에 대한 읽기 및 쓰기 권한이 있어야 합니다.

  • Microsoft Sentinel의 콘텐츠 허브에서 Microsoft Entra ID의 솔루션을 설치합니다. 자세한 내용은 Microsoft Sentinel 기본 제공 콘텐츠 검색 및 관리를 참조하세요.

Microsoft Entra ID에 연결

  1. Microsoft Sentinel의 탐색 메뉴에서 데이터 커넥터를 선택합니다.

  2. 데이터 커넥터 갤러리에서 Microsoft Entra ID를 선택한 다음, 커넥터 페이지 열기를 선택합니다.

  3. Microsoft Sentinel로 스트리밍할 로그 유형 옆에 있는 확인란을 선택하고 연결을 선택합니다.

데이터 찾기

연결이 성공하면 데이터는 다음 테이블의 LogManagement 섹션에 있는 로그에 표시됩니다.

  • SigninLogs
  • AuditLogs
  • AADNonInteractiveUserSignInLogs
  • AADServicePrincipalSignInLogs
  • AADManagedIdentitySignInLogs
  • AADProvisioningLogs
  • MSGraphActivityLogs

Microsoft Entra 로그를 쿼리하려면 쿼리 창의 맨 위에 관련 테이블 이름을 입력합니다.

다음 단계

이 문서에서는 Microsoft Entra ID를 Microsoft Sentinel에 연결하는 방법을 알아보았습니다. Microsoft Sentinel에 대해 자세히 알아보려면 다음 문서를 참조하세요.