LIST
어떻게 LA로 로그를 전송할 수 있는가?에 대한 포스팅입니다.
Microsoft Sentinel의 데이터 수집 흐름
기본 베이스는 위와 같습니다.
센티넬에 데이터를 수집하기 위한 방법은 세 가지가 있습니다.
기본 제공 커넥터
기본 제공 커넥터의 경우 제공되는 로그 테이블이 있으며 sentinel의 작업 영역에 로그가 쌓이게 된다.
커넥터 설치만 하면 되어서 연결이 가장 쉽습니다.
에이전트 기반 커넥터
에이전트 기반의 커넥터의 경우 현재 두 가지가 사용 중 입니다.
- AMA 에이전트 : 이 에이전트는 azure monitoring 에이전트로 syslog, windowsevent 를 연결할 수 있습니다.
- MMA 에이전트 : 레거시 에이전트고 내년 4월 쯤 없어지고 AMA로 통합될 예정입니다.
- AMA vs MMA 차이점
- MMA 2024 종료 예정입니다.
- 가장 큰 차이는, 특정 이벤트에 대한 선택적 수집이 가능하여 비용을 아낄 수 있다는 것입니다.
- AMA : 규모에 맞게 수집 설정 관리, 비용 이벤트가 줄어듦
- 이벤트 실패일 경우(EventID 4625)만 수집 하도록 설정할 수 있음
- 지원 목록 : Windows Server 2008R2 SP1 이상, Linux (docs 확인)
API 기반 커넥터
이 커넥터를 사용하는 목적은 azure에서 제공해주지 않는 커넥터를 사용할 경우에 사용하면 됩니다. 구성은 logicapps 을 통해 시간 베이스로 트리거를 구성한 후에 로직앱의 data collector 커넥터를 사용하여 Log를 log analytics workspace로 전달할 수 있습니다.
센티넬 poc 했을 때, azure blob 에 로그 파일을 쌓고 해당 블랍 파일을 로직앱으로 가져와 log analytics workspace에 전송했습니다.
참고
https://jeffreyappel.nl/collect-security-events-in-sentinel-with-the-new-ama-agent-and-dcr/
반응형
LIST
'AZURE > 보안' 카테고리의 다른 글
| [Microsoft Sentinel] 메뉴 설명 1 - 일반 탭 및 위협관리 (0) | 2023.12.13 |
|---|---|
| [Microsoft Sentinel] 센티넬 비용 (수집할 데이터 양이 제일 큰 변수!) (0) | 2023.12.11 |
| [Microsoft Sentinel] AMA 커넥터를 사용하여 "Microsoft Sentinel" 스트림 CEF 로그 전달 - 2 (DCR 구성) (0) | 2023.12.06 |
| [Microsoft Sentinel] AMA 커넥터를 사용하여 "Microsoft Sentinel" 스트림 CEF 로그 전달-1 (rsyslog서버 구성) (2) | 2023.12.05 |
| [Microsoft Sentinel] 관심 목록(watchlist) 만들기 (0) | 2021.11.10 |
댓글