가상 어플라이언스에서 연속 보고서에 대한 자동 로그 업로드 구성 - 사용되지 않음

  • 아티클
  • 읽는 데 14분 걸림

참고

  • Microsoft Cloud App Security 이름이 바뀌었습니다. 이제 Microsoft Defender for Cloud Apps 호출되었습니다. 앞으로 몇 주 안에 여기와 관련 페이지에서 스크린샷과 지침을 업데이트할 예정입니다. 변경에 대한 자세한 내용은 이 공지 사항을 참조하세요. Microsoft 보안 서비스의 최근 이름 바꾸기에 대한 자세한 내용은 Microsoft Ignite 보안 블로그를 참조하세요.

  • Microsoft Defender for Cloud Apps 이제 Microsoft 365 Defender 일부입니다. Microsoft 365 Defender 포털을 사용하면 보안 관리자가 한 위치에서 보안 작업을 수행할 수 있습니다. 이렇게 하면 워크플로가 간소화되고 다른 Microsoft 365 Defender 서비스의 기능이 추가됩니다. Microsoft 365 Defender Microsoft ID, 데이터, 디바이스, 앱 및 인프라 전반에서 보안을 모니터링하고 관리하는 가정이 될 것입니다. 이러한 변경에 대한 자세한 내용은 Microsoft 365 Defender Microsoft Defender for Cloud Apps 참조하세요.

경고

보다 유연한 배포를 위해 Docker를 사용하여 로그 업로드를 구성하는 것이 좋습니다.

필수 구성 요소

  • 하이퍼바이저: Hyper-V 또는 VMware
  • 디스크 공간: 250GB
  • CPU: 2
  • RAM: 4GB
  • 네트워크 요구 사항에 설명된 대로 방화벽 설정

로그 수집기 성능

로그 수집기는 시간당 최대 50GB의 로그 용량을 성공적으로 처리할 수 있습니다. 로그 수집 프로세스의 주요 병목 상태는 다음과 같습니다.

  • 네트워크 대역폭 - 네트워크 대역폭은 로그 업로드 속도를 결정합니다.
  • 가상 머신의 I/O 성능 - 로그 수집기의 디스크에 로그가 기록되는 속도를 결정합니다. 로그 수집기에는 로그가 도착하는 속도를 모니터링하고 업로드 속도와 비교하는 기본 제공 보안 메커니즘이 있습니다. 정체가 발생할 경우 로그 수집기에서 로그 파일 삭제를 시작합니다. 설치가 일반적으로 시간당 50GB를 초과할 경우 여러 로그 수집기 간에 트래픽을 분할하는 것이 좋습니다.

설정 및 구성

1단계 – 웹 포털 구성: 데이터 원본을 정의하고 로그 수집기에 연결

  1. 자동화된 업로드 설정 페이지로 이동합니다. 클라우드용 Defender 앱 포털에서 설정 아이콘settings icon.을 클릭한 다음 로그 수집기를 클릭합니다.

  2. 로그를 업로드하려는 각 방화벽 또는 프록시에 대해 일치하는 데이터 원본을 만듭니다.

    a. 데이터 원본 추가를 클릭합니다.

    b. 프록시 또는 방화벽에 이름을 지정합니다.

    다. 원본 목록에서 어플라이언스를 선택합니다. 나열되지 않은 네트워크 어플라이언스를 사용하기 위해 사용자 지정 로그 형식을 선택하는 경우 구성 지침은 사용자 지정 로그 파서 작업을 참조하세요.

    d. 예상 로그 형식 샘플과 로그를 비교합니다. 로그 파일 형식이 이 샘플과 일치하지 않는 경우 데이터 원본을 기타로 추가해야 합니다.

    e. 수신기 유형FTP 또는 Syslog로 설정합니다. Syslog의 경우 UDP, TCP 또는 TLS를 선택합니다.

    f. 추가를 클릭하여 데이터 원본을 저장합니다. 해당 로그를 사용하여 네트워크의 트래픽을 검색할 수 있는 각 방화벽 및 프록시에 대해 이 프로세스를 반복합니다.

  3. 맨 위에 있는 로그 수집기 탭으로 이동합니다.

    a. 로그 수집기 추가를 클릭합니다.

    b. 로그 수집기에 이름을 지정합니다.

    다. 수집기에 연결하려는 데이터 원본을 모두 선택합니다. 업데이트를 클릭하여 구성을 저장하고 액세스 토큰을 생성합니다.

    discovery data sources.

    참고

    • 단일 로그 수집기로 여러 데이터 원본을 처리할 수 있습니다.
    • 클라우드용 Defender 앱과 통신하도록 로그 수집기를 구성할 때 사용하므로 화면 내용을 복사합니다. Syslog를 선택한 경우 이 정보에는 Syslog 수신기가 수신 대기하는 포트에 대한 정보가 포함됩니다.

  4. 최종 사용자 라이선스 조건에 동의하는 경우 Hyper-V 또는 VMWare에서 클릭하여 새 로그 수집기 가상 머신을 다운로드합니다. 그런 다음 포털에서 받은 암호를 사용하여 파일의 압축을 풉니다.

2단계 – 가상 머신 및 네트워크 구성의 온-프레미스 배포

참고

다음 단계에서는 Hyper-V에서의 배포에 관해 설명합니다. VM 하이퍼바이저의 배포 단계는 약간 다릅니다.

  1. Hyper-V 관리자를 엽니다.

  2. 새로 만들기, 가상 머신을 차례로 선택하고 다음을 클릭합니다.

    discovery Hyper-V virtual machine.

  3. 새 가상 머신의 이름(예: CloudAppSecurityLogCollector01)을 지정하고 다음을 클릭합니다.

  4. 1세대를 선택하고 다음을 클릭합니다.

  5. 시작 메모리4096MB로 변경합니다.

  6. 이 가상 머신에 대해 동적 메모리 사용을 선택하고 다음을 클릭합니다.

  7. 사용 가능한 경우 네트워크 연결을 선택하고 다음을 클릭합니다.

  8. 기존 가상 하드 디스크 사용을 선택합니다. 다운로드한 Zip 파일에 포함된 .vhd 파일을 선택합니다.

  9. 다음 , 마침을 차례로 클릭합니다. 컴퓨터가 Hyper-V 환경에 추가됩니다.

  10. Virtual Machines 테이블에서 컴퓨터를 클릭한 다음 시작을 클릭합니다.

  11. 로그 수집기 가상 머신에 연결하여 DHCP 주소가 할당되었는지 확인합니다. 가상 머신을 클릭하고 연결을 선택합니다. 로그인 프롬프트가 표시됩니다. IP 주소가 표시되면 터미널/SSH 도구를 사용하여 가상 머신에 연결할 수 있습니다. IP 주소가 표시되지 않으면 Hyper-V/VMWare 연결 도구를 사용하여 이전에 로그 수집기를 만들 때 복사한 자격 증명으로 로그인합니다. 다음 명령을 실행하여 암호를 변경하고 네트워크 구성 유틸리티를 사용하여 가상 머신을 구성할 수 있습니다. sudo network_config

    참고

    가상 머신은 DHCP 서버에서 IP 주소를 가져오도록 미리 구성되어 있습니다. 고정 IP 주소, 기본 게이트웨이, 호스트 이름, DNS 서버 및 NTPS를 구성해야 하는 경우 network_config 유틸리티를 사용하거나 수동으로 변경할 수 있습니다.

이 시점에서 로그 수집기는 네트워크에 연결되어야 하며 클라우드용 Defender 앱 포털에 연결할 수 있어야 합니다.

3단계 – 로그 수집의 온-프레미스 구성

처음으로 로그 수집기에 로그인하고 다음과 같이 포털에서 로그 수집기의 구성을 가져옵니다.

  1. 포털에서 제공된 대화형 관리자 자격 증명을 사용하여 SSH를 통해 로그 수집기에 로그인합니다. 콘솔에 처음 로그인하는 경우 암호를 변경한 후 암호를 변경하고 다시 로그인해야 합니다. 터미널 세션을 사용하는 경우 터미널 세션을 다시 시작해야 할 수 있습니다. )

  2. 로그 수집기를 만들 때 제공된 액세스 토큰을 사용하여 수집기 구성 유틸리티를 실행합니다. sudo collector_config <access token>

  3. 콘솔 도메인을 입력합니다. 예를 들어 contoso.portal.cloudappsecurity.com 클라우드용 Defender 앱 포털에 로그인한 후 표시되는 URL에서 사용할 수 있습니다.

  4. 예를 들어, 앞 그림의 CloudAppSecurityLogCollector01 또는 NewYork과 같이 구성할 로그 수집기의 이름을 입력합니다.

  5. 다음과 같이 포털에서 로그 수집기의 구성을 가져옵니다.

    a. 포털에서 제공된 대화형 관리자 자격 증명을 사용하여 SSH를 통해 로그 수집기에 로그인합니다.

    b. sudo collector_config \<access token> 명령에서 제공된 액세스 토큰을 사용하여 수집기 구성 유틸리티를 실행합니다.

    다. 콘솔 도메인을 입력합니다. 예를 들면 다음과 같습니다.contoso.portal.cloudappsecurity.com

    d. 구성하려는 로그 수집기의 이름을 입력합니다. 예를 들면 다음과 같습니다. CloudAppSecurityLogCollector01

4 단계 - 네트워크 장치의 온-프레미스 구성

대화 상자의 지침에 따라 FTP 디렉터리의 전용 Syslog 포트로 로그를 주기적으로 내보내도록 네트워크 방화벽 및 프록시를 구성합니다. 예를 들면 다음과 같습니다.

London Zscaler - Destination path: 614

BlueCoat_HQ - 대상 경로: <<machine_name>>\BlueCoat_HQ\

5단계 - 클라우드용 Defender 앱 포털에서 성공적인 배포 확인

로그 수집기 표에서 수집기 상태를 확인하고 상태가 연결됨인지 확인합니다. 생성됨인 경우 로그 수집기 연결 및 구문 분석이 완료되지 않았을 수 있습니다.

log collector status.

거버넌스 로그로 이동하여 로그가 주기적으로 포털에 업로드되고 있는지 확인합니다.

배포하는 동안 문제가 발생한 경우 Cloud Discovery 문제 해결을 참조하세요.

선택 사항 - 사용자 지정 연속 보고서 만들기

로그가 클라우드용 Defender 앱에 업로드되고 보고서가 생성되고 있는지 확인한 후 사용자 지정 보고서를 만들 수 있습니다. 이제 Azure Active Directory 사용자 그룹을 기반으로 사용자 지정 검색 보고서를 만들 수 있습니다. 예를 들어 마케팅 부서의 클라우드 사용을 확인하려면 사용자 그룹 가져오기 기능을 사용하여 마케팅 그룹을 가져오고 이 그룹에 대한 사용자 지정 보고서를 만들면 됩니다. IP 주소 태그 또는 IP 주소 범위를 기반으로 보고서를 사용자 지정할 수도 있습니다.

  1. 클라우드용 Defender 앱 포털의 설정 코그 아래에서 Cloud Discovery 설정을 선택한 다음 연속 보고서를 선택합니다.
  2. 보고서 만들기 단추를 클릭하고 필드를 입력합니다.
  3. 필터 아래에서 데이터 원본별, 가져온 사용자 그룹별 또는 IP 주소 태그 및 범위별로 데이터를 필터링할 수 있습니다.

참고

모든 사용자 지정 보고서는 최대 1GB의 압축되지 않은 데이터로 제한됩니다. 데이터가 1GB를 초과하면 데이터의 처음 1GB를 보고서로 내보냅니다.

Custom continuous report.

다음 단계

Cloud Discovery 데이터 작업

문제가 발생하는 경우 지원받을 수 있습니다. 제품 문제에 대해 도움이나 지원을 받으려면 지원 티켓을 여세요.