Azure의 모니터링 옵션
조직의 평판은 시스템의 성능, 안정성 및 보안에 따라 달라집니다. 예를 들어, 결제 시스템에서 판매량이 많은 휴일 판매 기간 동안 사용자 트랜잭션을 처리할 수 없는 경우 고객이 귀하의 비즈니스에 대한 신뢰를 잃을 수 있습니다.
사용자에게 영향을 주기 전에 성능 문제나 공격을 식별할 수 있도록 시스템을 면밀하게 모니터링하는 것이 중요합니다. 이 단원에서는 조직의 서비스를 모니터링하는 데 도움이 되는 Azure 솔루션을 설명합니다.
Azure Monitor
Azure Monitor는 클라우드 및 온-프레미스 환경에서 원격 분석 데이터를 수집 및 분석하여 적절하게 대응하는 서비스입니다. 모니터링되는 리소스에서 메트릭과 로그를 분석할 수 있습니다.
Azure Monitor는 애플리케이션, 인프라 및 플랫폼 문제를 검색하고 진단하여 애플리케이션 및 서비스의 가용성과 성능을 최대화하는 데 도움이 됩니다. 또한 Azure Monitor는 경고와 자동화된 작업으로 작업 워크플로를 지원하며 대시보드 및 보고서와 같은 시각화를 만들 수 있습니다.
Azure Monitor는 Azure 플랫폼 리소스에서 직접 원격 분석을 수집하며, API를 사용하여 사용자 지정 데이터를 수집할 수도 있습니다. Azure Monitor는 컨테이너 및 VM 게스트 운영 체제에서 애플리케이션 계층 데이터 및 인프라 성능 데이터도 수집할 수 있습니다.
Azure Monitor는 수집된 데이터를 중앙 집중식 및 완전 관리형 데이터 저장소에 저장합니다. 시계열 숫자 값의 경우 Azure Monitor 메트릭, 리소스 로그의 경우 Azure Monitor Log Analytics 작업 영역에 저장합니다. Azure Monitor는 대부분의 Azure 리소스에 대한 메트릭을 자동으로 수집하고 저장하지만 리소스 로그를 보내고 저장하려면 사용자 구성이 필요합니다. 수집된 데이터를 어떻게 활용하고, 분석하고, 대응할지 선택할 수 있습니다.
대부분의 경우 Azure 리소스에 대한 단계별 모니터링 및 문제 해결을 위한 인사이트로 시작해야 합니다. 예를 들어, Kubernetes 워크로드에 Azure Monitor 컨테이너 인사이트를 사용할 수 있습니다.
Azure Portal의 Azure 대시보드를 사용하여 데이터를 직접 시각화하거나, Power BI를 사용하여 비즈니스 보기를 만들거나, 통합 문서를 사용하여 대화형 보고서를 만들 수도 있습니다. 단일 화면에서 애플리케이션 및 인프라 상태를 자세히 보려면 Azure Monitor를 사용합니다.
차트 작성 및 시각적 상관 관계를 위해 메트릭 탐색기를 사용하고 쿼리, 추세 및 패턴 인식을 위해 Log Analytics를 사용하여 수집된 데이터를 추가로 분석할 수 있습니다. Azure Monitor를 사용하면 메트릭 및 로그를 기반으로 Runbook 및 자동 크기 조정과 같은 경고, 알림 및 작업을 관리하고 만들 수 있습니다. Azure Event Hubs를 사용하여 수집 및 내보내기를 위해 데이터 또는 API를 내보내는 방법으로 Azure Monitor를 다른 도구와 통합할 수도 있습니다.
Microsoft Defender for Cloud
클라우드용 Microsoft Defender는 중앙 위치에서 인프라 보안을 관리하는 서비스입니다. 클라우드용 Defender를 통해 온-프레미스로 또는 클라우드에서 워크로드의 보안을 모니터링할 수 있습니다.
공격은 더욱 지능적으로 발달하는데 적절한 보안 기술을 갖춘 사람의 수는 충분하지 않습니다. 클라우드용 Defender는 보안 위협에 대한 보호를 개선시키는 도구를 제공하여 이러한 문제를 처리하는 데 도움이 됩니다. 클라우드용 Defender를 사용하여 리소스 상태를 모니터링하고 권장 사항을 구현합니다.
클라우드용 Defender는 보안 구성을 간소화하는 데 도움이 됩니다. 클라우드용 Defender는 기본적으로 Azure SQL Database와 같은 다른 Azure PaaS 서비스와 통합됩니다. IaaS 서비스의 경우 클라우드용 Defender에서 자동 프로비저닝을 사용하도록 설정할 수 있습니다.
클라우드용 Defender는 VM이 만들어질 때 지원되는 각 VM에 에이전트를 만듭니다. 그런 다음 Defender는 자동으로 컴퓨터에서 데이터 수집을 시작합니다. 이 클라우드용 Defender 기능은 보안 구성의 복잡성을 줄여줍니다.
Microsoft Sentinel
Microsoft Sentinel은 엔터프라이즈 전체의 디바이스, 사용자, 인프라 및 애플리케이션에 대한 데이터를 수집하는 클라우드 기반 SIEM(보안 정보 및 이벤트 관리) 시스템입니다. Microsoft Sentinel을 사용하면 위협과 변칙을 적극적으로 검색하고 오케스트레이션 및 자동화를 통해 대응할 수 있습니다. Microsoft Sentinel에는 탐지 및 조사를 위한 기본 제공 위협 인텔리전스가 있어 가양성을 줄일 수 있습니다.
데이터 원본을 Microsoft Sentinel에 연결할 수 있습니다. 데이터 원본에는 Microsoft 365 및 클라우드용 Defender와 같은 Microsoft 서비스가 포함되며, AWS CloudTrail 또는 온-프레미스 원본과 같은 외부 솔루션도 포함될 수 있습니다. Microsoft Sentinel 대시보드에는 원본에서 수집된 자세한 정보가 표시됩니다.
인시던트에서는 관련 경고를 그룹화하고 결합하는 데 도움이 됩니다. 인시던트는 데이터의 규모로 인해 생성된 노이즈를 줄이는 데도 사용할 수 있습니다. 또한 인시던트는 경고를 발생시키는 비정상적인 작업이나 위협을 추가로 조사하는 데 도움이 됩니다.
경고가 발생하기 전에 헌팅 쿼리를 사용하여 기업 전체에서 위협을 찾을 수 있습니다. Microsoft 보안 연구자는 사용자가 고유한 쿼리를 작성하는 기본 역할을 수행할 수 있는 기본 제공 헌팅 쿼리를 유지 관리합니다.
Notebooks는 재사용하거나 다른 사람과 공유하는 조사 또는 찾기 단계로 구성될 수 있습니다. Microsoft Sentinel Notebooks를 사용하여 Notebooks를 개발하고 실행합니다. 예를 들어 Guided hunting - Anomalous Office365 Exchange Sessions(단계별 헌팅 - 비정상 Office365 Exchange 세션) Notebook을 사용하여 기업 전체의 Microsoft 365에서 비정상 활동을 헌팅할 수 있습니다.
Log Analytics 작업 영역
Microsoft Sentinel 및 클라우드용 Microsoft Defender는 Azure Monitor 로그를 기본 로깅 데이터 플랫폼으로 사용하고 해당 데이터를 Log Analytics 작업 영역에 저장합니다. Log Analytics 작업 영역은 분석, 문제 해결 및 감사를 위해 애플리케이션, 인프라 및 보안 로그를 수집하고 집계하는 중앙 스토리지 및 관리 위치입니다.
이 중앙 집중식 방식을 사용하면 단일 사용자 인터페이스와 쿼리 언어를 사용하여 동일한 데이터 분석 서비스 내의 애플리케이션 성능, 인프라 성능 및 보안 로그 전반에 걸쳐 상관 관계를 지정하고 조사할 수 있습니다. 가능한 한 적은 수의 작업 영역을 사용하고 리소스 또는 작업 영역 권한을 사용하여 로그 데이터의 하위 집합에 대한 사용자 및 팀 액세스를 관리하는 것이 가장 좋습니다. 자세한 내용은 Log Analytics 작업 영역 아키텍처 디자인를 참조하세요.