Azure Arc 사용 서버를 Azure 센티널에 연결

이 문서에서는 azure Arc 사용 서버를 Azure 센티널에 등록 하는 방법에 대 한 지침을 제공 합니다. 이를 통해 보안 관련 이벤트를 수집 하 고 다른 데이터 원본과의 상관 관계를 시작할 수 있습니다.

다음 절차에서는 Azure 구독에서 Azure 센티널을 사용 하도록 설정 하 고 구성 합니다. 이 프로세스에는 다음이 포함됩니다.

  • 로그 및 이벤트를 분석 및 상관 관계로 집계 하는 Log Analytics 작업 영역을 설정 합니다.
  • 작업 영역에서 Azure 센티널 사용.
  • 확장 관리 기능 및 Azure Policy를 사용 하 여 Azure 센티널에 Azure Arc 사용 서버 온 보 딩 서버를 등록 합니다.

중요

이 문서의 절차에서는 이미 Vm을 배포 했거나 온-프레미스 또는 다른 클라우드에서 실행 중인 서버를 Azure Arc에 연결 했다고 가정 합니다. 그렇지 않은 경우 다음 정보를 통해이를 자동화할 수 있습니다.

필수 조건

  1. Azure Arc Jumpstart 리포지토리를 복제 합니다.

    git clone https://github.com/microsoft/azure_arc
    
  2. 앞서 언급 했 듯이이 가이드는 이미 Vm 또는 운영 체제 미 설치 서버를 Azure Arc에 배포 하 고 연결 했던 지점부터 시작 됩니다. 이 시나리오에서는 Azure Arc에 이미 연결 되어 있으며 Azure에서 리소스로 표시 되는 GCP (Google Cloud Platform) 인스턴스를 사용 합니다. 다음 스크린샷에 표시 된 것과 같습니다.

    Azure Portal에서 Azure Arc 사용 서버 개요의 스크린샷

    Azure Portal의 Azure Arc 서버에 대 한 세부 정보를 보여 주는 스크린샷

  3. Azure CLI를 설치 하거나 업데이트합니다. Azure CLI 버전 2.7 이상을 실행 해야 합니다. az --version현재 설치 된 버전을 확인 하는 데 사용 합니다.

  4. Azure 서비스 주체를 만듭니다.

    Azure Arc에 VM 또는 운영 체제 미 설치 서버를 연결 하려면 참가자 역할을 사용 하 여 할당 된 Azure 서비스 주체가 필요 합니다. 이를 만들려면 Azure 계정에 로그인 하 고 다음 명령을 실행 합니다. 또는 Azure Cloud Shell에서도이 작업을 수행할 수 있습니다.

    az login
    az ad sp create-for-rbac -n "<Unique SP Name>" --role contributor
    

    예를 들면 다음과 같습니다.

    az ad sp create-for-rbac -n "http://AzureArcServers" --role contributor
    

    출력은 다음과 같습니다.

    {
      "appId": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
      "displayName": "AzureArcServers",
      "name": "http://AzureArcServers",
      "password": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX",
      "tenant": "XXXXXXXXXXXXXXXXXXXXXXXXXXXX"
    }
    

참고

서비스 주체를 특정 Azure 구독 및 리소스 그룹으로 범위를 지정 하는 것이 좋습니다.

Azure Sentinel 등록

Azure 센티널은 Log Analytics 에이전트를 사용 하 여 Windows 및 Linux 서버에 대 한 로그 파일을 수집 하 고 Azure 센티널에 전달 합니다. 수집 된 데이터는 Log Analytics 작업 영역에 저장 됩니다. Azure Security Center에서 만든 기본 작업 영역을 사용할 수 없으므로 사용자 지정이 필요 합니다. Azure 센티널과 동일한 사용자 지정 작업 영역 내에서 Azure Security Center에 대 한 원시 이벤트와 경고가 발생할 수 있습니다.

  1. 전용 Log Analytics 작업 영역을 만들고 그 위에 Azure 센티널 솔루션을 사용 하도록 설정 합니다. 이 Azure Resource Manager 템플릿 (ARM 템플릿) 을 사용 하 여 새 Log Analytics 작업 영역을 만들고, Azure 센티널 솔루션을 정의 하 고, 작업 영역에 대해 사용 하도록 설정 합니다. 배포를 자동화 하기 위해 ARM 템플릿 매개 변수 파일을 편집 하 고 작업 영역에 대 한 이름 및 위치를 제공할 수 있습니다.

    ARM 템플릿의 스크린샷

  2. ARM 템플릿을 배포합니다. 배포 폴더로 이동 하 고 다음 명령을 실행 합니다.

az deployment group create --resource-group <Name of the Azure resource group> \
--template-file <The `sentinel-template.json` template file location> \
--parameters <The `sentinel-template.parameters.json` template file location>

예를 들면 다음과 같습니다.

' Az deployment group create ' 명령의 스크린샷

Azure 센티널의 azure Arc 활성화 된 Vm 등록

Log Analytics 작업 영역에 Azure 센티널을 배포한 후 데이터 원본에 연결 해야 합니다.

Microsoft 서비스에 대 한 커넥터와 보안 제품 에코 시스템의 타사 솔루션이 있습니다. CEF (일반 이벤트 형식), syslog 또는 REST API를 사용 하 여 데이터 소스를 Azure 센티널에 연결할 수도 있습니다.

서버 및 Vm의 경우 로그를 수집 하 고 Azure 센티널로 전송 하는 MMA (Log Analytics 에이전트) 에이전트 또는 Azure 센티널 에이전트를 설치할 수 있습니다. Azure Arc를 사용 하 여 여러 가지 방법으로 에이전트를 배포할 수 있습니다.

  • 확장 관리: azure Arc 사용 서버에서이 기능을 사용 하면 MMA agent vm 확장을 비 Azure Windows 또는 Linux vm에 배포할 수 있습니다. Azure Portal, Azure CLI, ARM 템플릿 및 PowerShell 스크립트를 사용 하 여 Azure Arc 사용 서버에 대 한 확장 배포를 관리할 수 있습니다.

  • Azure Policy: Azure Arc 사용 서버에 MMA 에이전트가 설치 되어 있는 경우 감사할 정책을 할당할 수 있습니다. 에이전트가 설치 되어 있지 않은 경우에는 확장 기능을 사용 하 여 Azure Vm과 비교 하는 등록 환경인 재구성 작업을 통해 VM에 자동으로 배포할 수 있습니다.

환경 정리

다음 단계를 완료 하 여 환경을 정리 합니다.

  1. 다음 가이드 각각의 해체 지침을 사용 하 여 각 환경에서 가상 컴퓨터를 제거 합니다.

  2. Azure CLI에서 다음 스크립트를 실행 하 여 Log Analytics 작업 영역을 제거 합니다. Log Analytics 작업 영역을 만들 때 사용한 작업 영역 이름을 제공 합니다.

az monitor log-analytics workspace delete --resource-group <Name of the Azure resource group> --workspace-name <Log Analytics Workspace Name> --yes