Log Analytics를 사용하여 Microsoft Entra 활동 로그 분석

  • 아티클

Microsoft Entra 활동 로그를 Azure Monitor 로그와 통합한 후 Log Analytics 및 Azure Monitor 로그의 기능을 사용하여 환경에 대한 인사이트를 얻을 수 있습니다.

  • Microsoft Defender for Cloud에서 게시한 보안 로그와 Microsoft Entra 로그인 로그를 비교합니다.

  • Azure Application Insights의 애플리케이션 성능 데이터를 서로 연결하여 애플리케이션의 로그인 페이지에서 성능 병목 현상을 해결합니다.

  • Identity Protection 위험 사용자 및 위험 검색 로그를 분석하여 환경에서 위협을 검색합니다.

이 문서에서는 Log Analytics 작업 영역에서 Microsoft Entra 활동 로그를 분석하는 방법을 설명합니다.

필수 조건

Log Analytics를 사용하여 활동 로그를 분석하려면 다음이 필요합니다.

  • 프리미엄 P1 라이선스가 있는 Microsoft Entra 테넌트
  • Log Analytics 작업 영역 해당 작업 영역에 대한 액세스
  • Azure Monitor Microsoft Entra ID에 대한 적절한 역할

Log Analytics 작업 영역

Log Analytics 작업 영역을 만들어야 합니다. Log Analytics 작업 영역에 대한 액세스를 결정하는 몇 가지 요인이 있습니다. 작업 영역 데이터 송신 리소스에 적절한 역할이 필요합니다.

자세한 내용은 Log Analytics 작업 영역에 대한 액세스 관리를 참조하세요.

Azure Monitor 역할

Azure Monitor는 모니터링 데이터를 보고 모니터링 설정을 편집하기 위한 두 가지 기본 제공 역할을 제공합니다. Azure RBAC(역할 기반 액세스 제어)도 유사한 액세스 권한을 부여하는 두 가지 Log Analytics 기본 제공 역할을 제공합니다.

  • 보기:

    • Monitoring Reader
    • Log Analytics 독자

  • 설정 보기 및 수정:

    • Monitoring Contributor
    • Log Analytics 참가자

Azure Monitor의 기본 제공 역할에 대한 자세한 내용은 Azure Monitor의 역할, 권한, 보안을 참조하세요.

Log Analytics RBAC 역할에 대한 자세한 내용은 Azure 기본 제공 역할을 참조하세요.

Microsoft Entra 역할

읽기 전용 액세스를 사용하면 통합 문서 내에서 Microsoft Entra ID 로그 데이터를 보거나, Log Analytics에서 데이터를 쿼리하거나, Microsoft Entra 관리 센터에서 로그를 읽을 수 있습니다. 업데이트 액세스는 진단 설정을 만들고 편집하여 Microsoft Entra 데이터를 Log Analytics 작업 영역으로 보내는 기능을 추가합니다.

  • 읽기:

    • 보고서 구독자
    • 보안 읽기 권한자
    • 전역 읽기 권한자

  • 업데이트:

    • 보안 관리자

Microsoft Entra 기본 제공 역할에 대한 자세한 내용은 Microsoft Entra 기본 제공 역할을 참조하세요.

Log Analytics 액세스

Microsoft Entra ID Log Analytics를 보려면 이미 Microsoft Entra ID에서 Log Analytics 작업 영역으로 활동 로그를 보내야 합니다. 이 프로세스는 Azure Monitor와 활동 로그를 통합하는 방법 문서에서 다룹니다.

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

  1. Microsoft Entra 관리 센터보고서 읽기 권한자 이상의 권한으로 로그인합니다.

  2. ID>모니터링 및 상태>Log Analytics로 찾습니다. 기본 검색 쿼리가 실행됩니다.

    Default query

  3. 로그 관련 쿼리 목록을 보려면 LogManagement 범주를 확장합니다.

  4. 설명 및 기타 유용한 세부 정보를 보려면 쿼리 이름을 선택하거나 마우스를 가리킵니다.

    Screenshot of the details of a query.

  5. 스키마를 보려면 목록에서 쿼리를 확장합니다.

    Screenshot of the schema of a query.

활동 로그 쿼리

Log Analytics 작업 영역으로 라우팅되는 활동 로그에 대해 쿼리를 실행할 수 있습니다. 예를 들어, 지난주에 가장 많이 로그인한 애플리케이션 목록을 가져오려면 다음 쿼리를 입력하고 실행 단추를 선택합니다.

SigninLogs 
| where CreatedDateTime >= ago(7d)
| summarize signInCount = count() by AppDisplayName 
| sort by signInCount desc

지난주에 대한 상위 감사 이벤트를 가져오려면 다음 쿼리를 사용합니다.

AuditLogs 
| where TimeGenerated >= ago(7d)
| summarize auditCount = count() by OperationName 
| sort by auditCount desc

경고 설정

쿼리에 대한 경고를 설정할 수도 있습니다. 쿼리 를 실행하면 + 새 경고 규칙 단추가 활성화됩니다.

  1. Log Analytics에서 + 새 경고 규칙 단추를 선택합니다.

    • 규칙 만들기 프로세스에는 규칙 기준을 사용자 지정하는 여러 섹션이 포함됩니다.
    • 경고 규칙 만들기에 대한 자세한 내용은 Azure Monitor 설명서의 새 경고 규칙 만들기를 참조하고 조건 단계부터 시작합니다.

    Screenshot of the

  2. 작업 탭에서 신호가 발생할 때 경고를 받을 작업 그룹을 선택합니다.

    • 메일 또는 문자 메시지를 통해 팀에게 알리도록 선택하거나, 웹후크, Azure Functions 또는 논리 앱을 사용하여 작업을 자동화할 수도 있습니다.
    • Azure Portal에서 경고 그룹 만들기 및 관리에 대해 자세히 알아봅니다.

  3. 세부 정보 탭에서 경고 규칙에 이름을 지정하고 이를 구독 및 리소스 그룹과 연결합니다.

  4. 필요한 모든 세부 정보를 구성한 후 검토 + 만들기 단추를 선택합니다.

통합 문서를 사용하여 로그 분석

Microsoft Entra 통합 문서는 감사, 로그인, 프로비전 이벤트와 관련된 일반적인 시나리오에 대한 몇 가지 보고서를 제공합니다. 이전 섹션에서 설명한 단계를 사용하여 보고서에 제공된 데이터에 대해 경고를 발생할 수도 있습니다.

  • 프로비전 분석: 이 통합 문서에서는 프로비전 작업 감사와 관련된 보고서를 보여 줍니다. 작업에는 새로 프로비전된 사용자 수, 프로비전 실패 횟수, 업데이트된 사용자 수, 업데이트 실패 횟수, 프로비전 해제된 사용자 수 및 해당 실패 횟수가 포함될 수 있습니다. 자세한 내용은 프로비전이 Azure Monitor 로그와 통합되는 방식 이해를 참조하세요.

  • 로그인 이벤트: 이 통합 문서에는 로그인 활동 모니터링(예: 애플리케이션, 사용자, 디바이스별 로그인)과 관련된 가장 적절한 보고서와 시간 경과에 따른 로그인 수를 추적하는 요약 보기가 표시됩니다.

  • 조건부 액세스 인사이트: 조건부 액세스 인사이트 및 보고 통합 문서를 사용하면 조건부 액세스 정책이 시간에 따라 조직에 미치는 영향을 이해할 수 있습니다. 자세한 내용은 조건부 액세스 인사이트 및 보고를 참조하세요.

다음 단계