Microsoft Entra ID에서 활동 로그에 액세스하는 방법

Microsoft Entra 로그에 수집된 데이터를 사용하면 Microsoft Entra 테넌트에서 여러 측면을 평가할 수 있습니다. 광범위한 시나리오를 처리하기 위해 Microsoft Entra ID는 활동 로그 데이터에 액세스할 수 있는 여러가지 옵션을 제공합니다. IT 관리자는 시나리오에 적합한 액세스 방법을 선택할 수 있도록 이러한 옵션에 대해 의도된 사용 사례를 이해해야 합니다.

다음 방법을 사용하여 Microsoft Entra 활동 로그 및 보고서에 액세스할 수 있습니다.

• 활동 로그를 이벤트 허브로 스트리밍하여 다른 도구와 통합
• Microsoft Graph API를 통해 활동 로그에 액세스
• Azure Monitor 로그와 활동 로그 통합
• Microsoft Sentinel로 실시간 활동 모니터링
• Azure Portal에서 활동 로그 및 보고서 보기
• 스토리지 및 쿼리에 대한 활동 로그 내보내기

이러한 각 메서드는 특정 시나리오에 맞게 조정될 수 있는 기능을 제공합니다. 이 문서에서는 활동 로그의 데이터를 사용하는 관련 보고서에 대한 권장 사항 및 세부 정보를 포함하여 이러한 시나리오에 대해 설명합니다. 이 문서의 옵션을 살펴보고 이러한 시나리오에 대해 알아보고 올바른 방법을 선택할 수 있습니다.

필수 조건

필요한 역할 및 라이선스는 보고서에 따라 다릅니다. Microsoft Graph의 모니터링 및 상태 데이터에 액세스하려면 별도의 권한이 필요합니다. 최소 권한 액세스 권한이 있는 역할을 사용하여 제로 트러스트 지침에 부합하는 것이 좋습니다.

로그/보고서	Roles	라이선스
감사	보고서 읽기 권한자 보안 읽기 권한자 보안 관리자 전역 판독기	Microsoft Entra ID의 모든 버전
로그인	보고서 읽기 권한자 보안 읽기 권한자 보안 관리자 전역 판독기	Microsoft Entra ID의 모든 버전
프로비저닝	보고서 읽기 권한자 보안 읽기 권한자 보안 관리자 전역 판독기 보안 운영자 애플리케이션 관리자 Cloud App 관리istrator	Microsoft 엔트라 ID P1 또는 P2
사용자 지정 보안 특성 감사 로그*	특성 로그 관리자 특성 로그 판독기	Microsoft Entra ID의 모든 버전
사용량 및 인사이트	보고서 읽기 권한자 보안 읽기 권한자 보안 관리자	Microsoft 엔트라 ID P1 또는 P2
ID 보호**	보안 관리자 보안 운영자 보안 읽기 권한자 전역 판독기	Microsoft Entra ID 무료 Microsoft 365 앱 Microsoft 엔트라 ID P1 또는 P2
Microsoft Graph 활동 로그	보안 관리자 해당 로그 대상의 데이터에 액세스할 수 있는 권한	Microsoft 엔트라 ID P1 또는 P2

*감사 로그에서 사용자 지정 보안 특성을 보거나 사용자 지정 보안 특성에 대한 진단 설정을 만들려면 특성 로그 역할 중 하나가 필요합니다. 표준 감사 로그를 보려면 적절한 역할도 필요합니다.

**ID 보호에 대한 액세스 및 기능 수준은 역할 및 라이선스에 따라 다릅니다. 자세한 내용은 ID 보호에 대한 라이선스 요구 사항을 참조하세요.

감사 로그는 라이선스를 부여한 기능에 대해 사용할 수 있습니다. Microsoft Graph API를 사용하여 로그인 로그에 액세스하려면 테넌트에 연결된 Microsoft Entra ID P1 또는 P2 라이선스가 있어야 합니다.

로그를 이벤트 허브로 스트리밍하여 SIEM 도구와 통합

활동 로그를 이벤트 허브로 스트리밍하려면 활동 로그를 Splunk 및 SumoLogic과 같은 보안 정보 및 이벤트 관리(SIEM) 도구와 통합해야 합니다. 이벤트 허브로 로그를 스트리밍하려면 먼저 Azure 구독에서 Event Hubs 네임스페이스와 이벤트 허브를 설정해야 합니다.

권장 용도

이벤트 허브와 통합할 수 있는 SIEM 도구는 분석 및 모니터링 기능을 제공할 수 있습니다. 이미 이러한 도구를 사용하여 다른 소스에서 데이터를 수집하고 있는 경우, ID 데이터를 스트리밍하여 보다 포괄적인 분석과 모니터링을 수행할 수 있습니다. 다음 유형의 시나리오에서는 활동 로그를 이벤트 허브로 스트리밍하는 것이 좋습니다.

• 초당 수백만 건의 이벤트를 수신하고 처리하기 위해 빅데이터 스트리밍 플랫폼과 이벤트 수집 서비스가 필요한 경우.
• 실시간 분석 공급자 또는 일괄 처리/저장 어댑터를 사용하여 데이터를 변환하고 저장하려는 경우.

빠른 단계

1. 최소한 보안 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
2. Event Hubs 네임스페이스 및 이벤트 허브를 만듭니다.
3. ID>모니터링 및 상태>진단 설정으로 찾습니다.
4. 스트리밍하려는 로그를 선택하고 이벤트 허브로 스트림 옵션을 선택한 다음 필드를 작성합니다.
   • Event Hubs 네임스페이스 및 이벤트 허브 설정
   • 이벤트 허브로의 스트리밍 활동 로그에 대해 자세히 알아보기

독립 보안 ​​공급업체는 데이터를 Azure Event Hubs에서 해당 도구로 수집하는 방법에 대한 지침을 제공해야 합니다.

Microsoft Graph API를 사용한 액세스 로그

Microsoft Graph API는 Microsoft Entra ID P1 또는 P2 테넌트의 데이터에 액세스하는 데 사용할 수 있는 통합 프로그래밍 모델을 제공합니다. 스크립트 또는 앱을 지원하기 위한 추가 인프라를 설정하는 데 관리자 또는 개발자가 필요하지 않습니다.

팁

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

권장 용도

Microsoft Graph 탐색기를 사용하여 쿼리를 실행하면 다음 유형의 시나리오에 도움이 될 수 있습니다.

• 그룹을 변경한 사용자 및 시기와 같은 테넌트 활동을 봅니다.
• Microsoft Entra 로그인 이벤트를 안전하거나 손상된 것으로 표시합니다.
• 지난 30일 동안의 애플리케이션 로그인 목록을 검색합니다.

참고 항목

Microsoft Graph를 사용하면 자체 제한 제한을 적용하는 여러 서비스의 데이터에 액세스할 수 있습니다. 활동 로그 제한에 대한 자세한 내용은 Microsoft Graph 서비스별 제한 제한을 참조 하세요.

빠른 단계

1. 필수 구성 요소 구성
2. Graph Explorer에 로그인합니다.
3. HTTP 메서드 및 API 버전을 설정합니다.
4. 쿼리를 추가한 다음 쿼리 실행 버튼을 선택합니다.
   • 디렉터리 감사를 위한 Microsoft Graph 속성 숙지하기
   • MS Graph 빠른 시작 가이드 완료

로그를 Azure Monitor 로그와 통합

Azure Monitor 로그 통합을 사용하면 연결된 데이터에 대한 풍부한 시각화, 모니터링 및 알림을 사용할 수 있습니다. Log Analytics는 Microsoft Entra 활동 로그에 대한 향상된 쿼리 및 분석 기능을 제공합니다. Microsoft Entra 활동 로그를 Azure Monitor 로그와 통합하려면 Log Analytics 작업 영역이 필요합니다. 여기에서 Log Analytics를 통해 쿼리를 실행할 수 있습니다.

권장 용도

Microsoft Entra 로그를 Azure Monitor 로그와 통합하면 로그를 쿼리할 수 있는 중앙 집중식 위치가 제공됩니다. 다음과 같은 유형의 시나리오에 대해 로그를 Azure Monitor와 통합하는 것이 좋습니다.

• Microsoft Entra 로그인 로그를 다른 Azure 서비스에서 게시한 로그와 비교하세요.
• 로그인 로그를 Azure 애플리케이션 인사이트와 상호 연관시키세요.
• 특정 검색 매개변수를 사용하여 로그를 쿼리합니다.

빠른 단계

1. 최소한 보안 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
2. Log Analytics 작업 영역을 만듭니다.
3. ID>모니터링 및 상태>진단 설정으로 찾습니다.
4. 스트리밍할 로그를 선택하고 Log Analytics 작업 영역으로 보내기 옵션을 선택한 다음 필드를 작성합니다.
5. ID>모니터링 및 상태>Log Analytics로 이동하여 데이터 쿼리를 시작합니다.
   • Microsoft Entra 로그를 Azure Monitor 로그와 통합
   • Log Analytics를 사용하여 쿼리하는 방법 알아보기

Microsoft Sentinel을 사용하여 이벤트 모니터링

Microsoft Sentinel에 로그인 및 감사 로그를 보내면 보안 운영 센터에 거의 실시간 보안 검색 및 위협 헌팅이 제공됩니다. 위협 헌팅이라는 용어는 환경의 보안 상태를 개선하기 위한 사전 접근 방식을 나타냅니다. 클래식 보호와 달리 위협 헌팅은 시스템을 손상시킬 수 있는 잠재적 위협을 사전에 식별하려고 시도합니다. 활동 로그 데이터는 위협 헌팅 솔루션의 일부일 수 있습니다.

권장 용도

조직에 보안 분석 및 위협 인텔리전스가 필요한 경우 Microsoft Sentinel의 실시간 보안 탐지 기능을 사용하는 것이 좋습니다. 필요한 경우 Microsoft Sentinel을 사용하세요.

• 기업 전체에서 보안 데이터를 수집하세요.
• 방대한 위협 인텔리전스로 위협을 탐지하세요.
• AI의 안내에 따라 중요 인시던트를 조사하세요.
• 신속하게 대응하고 보호 기능을 자동화하세요.

빠른 단계

1. 필수 구성 요소, 역할 및 권한에 대해 알아봅니다.
2. 잠재적인 비용 예측.
3. Microsoft Sentinel에 등록.
4. Microsoft Entra 데이터를 수집합니다.
5. 위협 헌팅 시작.

Microsoft Entra 관리 센터를 통해 로그 보기

범위가 제한된 이러한 일회성 조사에서는 Microsoft Entra 관리 센터가 필요한 데이터를 찾는 가장 쉬운 방법인 경우가 많습니다. 이러한 각 보고서의 사용자 인터페이스에는 시나리오를 해결하는 데 필요한 항목을 찾을 수 있는 필터 옵션이 제공됩니다.

Microsoft Entra 활동 로그에서 캡처한 데이터는 많은 보고서 및 서비스에서 사용됩니다. 일회성 시나리오에 대한 로그인, 감사 및 프로비저닝 로그를 검토하거나 보고서를 사용하여 패턴과 추세를 살펴볼 수 있습니다. 활동 로그의 데이터는 Microsoft Entra ID가 감지하고 보고할 수 있는 정보 보안 관련 위험 감지를 제공하는 ID 보호 보고서를 작성하는 데 도움이 됩니다. Microsoft Entra 활동 로그는 테넌트의 애플리케이션에 대한 사용량 세부 정보를 제공하는 사용량 및 인사이트 보고서도 작성합니다.

권장 용도

Azure Portal에서 제공되는 보고서는 테넌트의 활동 및 사용량을 모니터링할 수 있는 다양한 기능을 제공합니다. 다음 사용 및 시나리오 목록은 전체 목록이 아니므로 필요에 맞는 보고서를 찾아보세요.

• 사용자의 로그인 활동을 조사하거나 애플리케이션의 사용량을 추적하세요.
• 감사 로그를 통해 그룹 이름 변경, 디바이스 등록 및 비밀번호 재설정에 대한 세부 정보를 검토하세요.
• ID 보호 보고서를 사용하여 위험 사용자, 위험 워크로드 ID 및 위험 로그인을 모니터링하세요.
• 사용량 및 인사이트에서 Microsoft Entra 애플리케이션 작업(미리 보기) 보고서의 로그인 성공률을 검토하여 사용자가 테넌트에서 사용 중인 애플리케이션에 액세스할 수 있는지 확인할 수 있습니다.
• 사용량 및 인사이트의 인증 방법 보고서를 통해 사용자가 선호하는 다양한 인증 방법을 비교하세요.

빠른 단계

다음 기본 단계를 사용하여 Microsoft Entra 관리 센터의 보고서에 액세스합니다.

Microsoft Entra 활동 로그

1. ID>모니터링 및 상태>감사 로그/로그인 로그/프로비전 로그로 찾습니다.
2. 필요에 따라 필터를 조정하세요.
   • 활동 로그를 필터링하는 방법 알아보기
   • Microsoft Entra 감사 로그 범주 및 활동 살펴보기
   • Microsoft Entra 로그인 로그의 기본 정보에 대해 알아보기

감사 로그는 작업 중인 Microsoft Entra 관리 센터의 영역에서 직접 액세스할 수 있습니다. 예를 들어 Microsoft Entra ID의 그룹 또는 라이선스 섹션에 있는 경우 해당 영역에서 직접 해당 특정 활동에 대한 감사 로그에 액세스할 수 있습니다. 이러한 방식으로 감사 로그에 액세스하면 필터 범주가 자동으로 설정됩니다. 그룹에 있는 경우 감사 로그 필터 범주가 GroupManagement로 설정됩니다.

Microsoft Entra ID 보호 보고서

1. 보호>ID 보호로 이동합니다.
2. 사용 가능한 보고서를 탐색합니다.
   • ID 보호에 대해 자세히 알아보기
   • 위험 조사 방법 알아보기

사용량 및 인사이트 보고서

1. ID>모니터링 및 상태>사용량 및 인사이트를 찾습니다.
2. 사용 가능한 보고서를 탐색합니다.
   • 사용량 및 인사이트 보고서에 대해 자세히 알아보기

스토리지 및 쿼리에 대한 로그 내보내기

장기 스토리지에 적합한 솔루션은 예산과 데이터로 무엇을 하려는지에 따라 달라집니다. 다음 세 가지 옵션이 있습니다.

• Azure Storage에 로그 보관
• 수동 스토리지에 로그 다운로드
• 로그를 Azure Monitor 로그와 통합

Azure Storage 데이터를 자주 쿼리하지 않으려는 경우에 적합한 솔루션입니다. 자세한 내용은 스토리지 계정에 디렉터리 로그 보관을 참조하세요.

보고서를 실행하거나 저장된 로그에 대한 분석을 수행하기 위해 로그를 자주 쿼리하려는 경우 데이터를 Azure Monitor 로그와 통합해야 합니다.

예산이 부족하여 활동 로그를 장기 백업할 수 있는 저렴한 방법이 필요한 경우, 로그를 수동으로 다운로드할 수 있습니다. 포털의 활동 로그 사용자 인터페이스는 데이터를 JSON 또는CSV로 다운로드할 수 있는 옵션을 제공합니다. 수동 다운로드에 대한 한 가지 절충은 수동 상호 작용이 많이 필요하다는 것입니다. 더 전문적인 솔루션을 찾고 있는 경우 Azure Storage 또는 Azure Monitor를 사용합니다.

권장 용도

장기 스토리지가 필요한 거버넌스 및 규정 준수 시나리오를 위해 활동 로그를 보관할 스토리지 계정을 설정하는 것이 좋습니다.

장기 스토리지를 원하고 데이터에 대해 쿼리를 실행하려는 경우 활동 로그를 Azure Monitor 로그와 통합하는 섹션을 검토하세요.

예산 제약이 있는 경우 활동 로그를 수동으로 다운로드하여 저장하는 것이 좋습니다.

빠른 단계

다음 기본 단계를 사용하여 활동 로그를 보관하거나 다운로드합니다.

스토리지 계정에 활동 로그 보관

1. 최소한 보안 관리자로 Microsoft Entra 관리 센터에 로그인합니다.
2. 스토리지 계정을 만듭니다.
3. ID>모니터링 및 상태>진단 설정으로 찾습니다.
4. 스트리밍하려는 로그를 선택하고 스토리지 계정에 보관 옵션을 선택한 다음 필드를 채우세요.
   • 데이터 보존 정책 검토

수동으로 활동 로그 다운로드

1. Microsoft Entra 관리 센터에 보고서 읽기 권한자 이상의 권한으로 로그인합니다.
2. 모니터링 메뉴에서 ID>모니터링 및 상태>감사 로그/로그인 로그/프로비전 로그로 찾습니다.
3. 다운로드를 선택합니다.
   • 로그를 다운로드하는 방법에 대해 자세히 알아보세요.

다음 단계

• 이벤트 허브에 로그 스트림
• 스토리지 계정에 로그 보관
• 로그를 Azure Monitor 로그와 통합