마라맛

AZURE/보안

Azure Sentinel 로그의 장기 보관 방안: Azure Blob Storage 활용하기

Mara7 2025. 1. 24.
LIST

보안 로그를 장기 보관하는 것은 기업의 글로벌 컴플라이언스 요건(예: GDPR, ISO 27001, NIST 등)을 충족하는 데 중요한 요소입니다. Microsoft Sentinel은 Microsoft의 클라우드 기반 SIEM(Security Information and Event Management) 솔루션으로, 보안 로그를 통합 관리하고 분석하는 데 탁월한 기능을 제공합니다.

이 글에서는 Sentinel 로그를 10년 이상 장기 보관하기 위한 Azure Blob Storage(아카이브 계층) 활용 방안을 소개합니다.

1. Sentinel 로그 장기 보관의 필요성

Sentinel은 보안 이벤트와 로그를 분석하여 위협을 탐지하고 대응을 자동화합니다. 하지만 Sentinel 자체는 장기 보관을 위한 별도 스토리지를 제공하지 않으므로, Log Analytics 작업 영역과 연결하여 보관 정책을 설정해야 합니다.

장기 보관의 주요 요구사항:

  • 10년 이상 안전한 보관:
    글로벌 규제 준수를 위해 장기간 로그를 안전하게 보관해야 합니다.
  • 비용 효율성:
    대규모 데이터를 저장하면서도 비용을 최적화해야 합니다.
  • 유연한 접근성:
    필요할 때 데이터를 검색하거나 복구할 수 있어야 합니다.

2. Azure Blob Storage(아카이브 계층)의 활용

2.1 데이터 내보내기(Export) 방식

Azure Sentinel과 연결된 Log Analytics 작업 영역데이터 내보내기 기능을 통해 로그 데이터를 Blob Storage로 실시간 전송할 수 있습니다.

  • 신규 로그 전송:
    내보내기 설정 이후 생성되는 신규 로그만 Blob Storage로 전송되며, 중복 없이 안전하게 저장됩니다.
  • 실시간 전송:
    설정 즉시 데이터를 Blob Storage로 스트리밍하여 저장합니다.

2.2 보존 및 삭제 정책

Azure Blob Storage는 Lifecycle Policy를 통해 보존 기간을 설정하고 자동 삭제를 지원합니다.

  • 10년 보존 후 자동 삭제:
    데이터를 10년 동안 저장한 뒤, 보존 기간 만료 시 자동으로 삭제할 수 있습니다.
  • 계층 간 자동 전환:
    저장 비용을 절감하기 위해 핫, 쿨, 아카이브 계층 간 데이터를 자동으로 이동시킬 수 있습니다.
    • 예: 처음 6개월은 핫 계층, 이후 6개월은 쿨 계층, 그 이후는 아카이브 계층으로 이동.

3. 비용 분석

Azure Log Analytics에서 Blob Storage로 데이터를 내보내는 데는 별도 비용이 발생하지 않으며, 저장소 비용만 부과됩니다.

3.1 아카이브 계층의 저장 비용 (한국 중부 리전 기준):

저장 용량(월간) 비용 (GB당)
첫 50TB $0.002
50TB ~ 450TB $0.002
500TB 초과 $0.002

3.2 추가 고려 사항:

  • 데이터 복구 비용:
    아카이브 계층에서 데이터를 복구할 경우 추가 비용수 시간의 복구 시간이 소요될 수 있습니다.
  • 자주 조회할 데이터:
    쿨 계층을 함께 활용하면 접근성이 필요한 데이터를 효율적으로 관리할 수 있습니다.

4. 다음 단계

Azure Sentinel을 도입하거나 장기 보관 솔루션을 고려하는 단계에서는 다음과 같은 조치가 필요합니다:

  1. Log Analytics 작업 영역 설정:
    Sentinel과 연동된 Log Analytics에서 데이터 내보내기 규칙을 구성합니다.
  2. Blob Storage 구성:
    핫/쿨/아카이브 계층 간 전환 정책 및 보존/삭제 정책을 설정합니다.
  3. 비용 검토 및 최적화:
    예상되는 데이터 양과 보관 주기를 기준으로 최적의 비용 구조를 설계합니다.

결론

Azure Blob Storage(아카이브 계층)는 Sentinel 로그를 장기 보관하는 데 있어 비용 효율적이고 안전한 솔루션입니다. 데이터 내보내기 기능을 통해 실시간으로 신규 로그를 저장하고, 자동 보존 및 삭제 정책을 설정하여 효율적으로 관리할 수 있습니다.

Sentinel 도입 여부를 고려 중이거나 POC 단계에서 장기 보관 옵션에 대해 궁금하다면, 위 방안을 검토해 보시기 바랍니다.

Azure Sentinel의 강력한 기능과 함께 글로벌 규제 요건을 준수하는 효율적인 로그 보관 방안을 구축해 보세요!

반응형
LIST

'AZURE > 보안' 카테고리의 다른 글

[Microsoft Sentinel]비용 최적화: Fortinet 로그 시간 기반 필터링  (4) 2024.11.19
트로이 목마  (3) 2024.10.17
[Microsoft Sentinel] 비용에 대한 이해_ 2024 8월_최신  (0) 2024.08.07
[Defender for Cloud] Just in Time 사용 방법  (0) 2024.08.05
[Defender for Cloud] 에이전트 없는 컴퓨터 검사  (1) 2024.06.14

댓글

티스토리툴바