AZURE52 Azure Sentinel 로그의 장기 보관 방안: Azure Blob Storage 활용하기 보안 로그를 장기 보관하는 것은 기업의 글로벌 컴플라이언스 요건(예: GDPR, ISO 27001, NIST 등)을 충족하는 데 중요한 요소입니다. Microsoft Sentinel은 Microsoft의 클라우드 기반 SIEM(Security Information and Event Management) 솔루션으로, 보안 로그를 통합 관리하고 분석하는 데 탁월한 기능을 제공합니다.이 글에서는 Sentinel 로그를 10년 이상 장기 보관하기 위한 Azure Blob Storage(아카이브 계층) 활용 방안을 소개합니다.1. Sentinel 로그 장기 보관의 필요성Sentinel은 보안 이벤트와 로그를 분석하여 위협을 탐지하고 대응을 자동화합니다. 하지만 Sentinel 자체는 장기 보관을 위한 별도 스토리.. AZURE/보안 2025. 1. 24. [Microsoft Sentinel]비용 최적화: Fortinet 로그 시간 기반 필터링 Azure Sentinel에서 비용 절감을 위해 Fortinet 로그를 특정 시간대에만 전송하는 필터링을 구현했습니다. 이를 통해 불필요한 로그 데이터를 제한하고 운영 비용을 줄이는 것이 목표였습니다. 다른 솔루션에서 발생하는 로그는 시간에 상관없이 항상 전송되도록 설정했습니다.문제점Fortinet 로그가 모든 시간대에 Azure Sentinel로 전송되어 과도한 비용이 발생했습니다. 비용을 줄이기 위해 필요한 시간대에만 Fortinet 로그를 전송할 수 있는 해결책이 필요했습니다.해결 방법1. 설정 파일 수정:/etc/rsyslog.d/50-default.conf 파일을 00-default.conf로 우선순위를 변경했습니다. 이는 필터링 규칙이 다른 설정보다 먼저 적용되도록 하기 위함입니다.Rainer.. AZURE/보안 2024. 11. 19. 트로이 목마 트로이 목마정의사용자의 지식 없이 활동을 수행하는 멀웨어 유형활동일반적으로 원격 액세스 연결 설정, 키보드 입력 캡쳐, 시스템 정보 수집, 파일 다운로드/업로드, 감염된 시스템에 다른 멀웨어 삽입, 서비스 거부 공격 수행, 프로세스 실행/종료 포함특징악성코드가 합법적인 소프트웨어로 위장하여 사용자의 신뢰 획득사용자나 보안 솔루션에 의해 쉽게 탐지 되지 않도록 다양한 난독화 기법 사용감염된 시스템이 원격 서버에 연결되어 제어됨사용자의 수동 실행이 필요하므로 주로 피싱 이메일이나 악성 웹사이트를 통해 배포전파 경로피싱 이메일의 첨부 파일이나 악성 링크악성 웹사이트에서 다운로드 된 파일감염된 소프트웨어 또는 파일 공유 네트워크권장 조치forti 시스템 최신 AV 데이터베이스 사용하고 있는지 확인 필요탐지 된 .. AZURE/보안 2024. 10. 17. [Microsoft Sentinel] 비용에 대한 이해_ 2024 8월_최신 기본 로그 vs 분석 로그기본적으로 Log Analytics 작업 영역의 모든 테이블은 Analytics 테이블이며 쿼리 및 경고에 사용할 수 있습니다. 기본 로그를 사용하려면 아래와 같은 조건이 충족되어야 합니다.기본 로그 사용 시 Azure 환경에서 고려해야 할 사항테이블이 기본 로그를 지원합니다 https://learn.microsoft.com/ko-kr/azure/azure-monitor/logs/basic-logs-configure?tabs=portal-1#supported-tables ex) ComtainerLogV2DCR(데이터 컬렉션 규칙) 기반 로그 수집 API로 만들어지거나 마이그레이션된 모든 사용자 지정 테이블.기본 로그 사용 시 수집가가 고려해야 할 사항테이블에 저장된 로그 데이터의.. AZURE/보안 2024. 8. 7. [Defender for Cloud] Just in Time 사용 방법 Defender for Server Plan2 사용시 JIT 사용이 가능합니다. 사용방법1. Microsoft Defender for Cloud > 워크로드 보호 > JIT VM 액세스2. JIT 액세스를 사용할 VM > 구성 > JIT VM 액세스 > JIT 사용 3. 구성 시 네트워크 보안 그룹에는 Deny룰 (①) 이 생깁니다. JIT 사용하기1. 가상머신 > 연결 > Just in Time 정책 > 액세스 요청3. 사용시 사용한 시간 만큼 네트워크 보안 그룹에 아래 allow ( ② ) 룰 이 생깁니다. AZURE/보안 2024. 8. 5. [Defender for Cloud] 에이전트 없는 컴퓨터 검사 사용 할 수 있는 조건 : Defender CSPM(클라우드 보안 상태 관리) 또는 서버 플랜 2용 Microsoft Defender가 필요합니다. 에이전트 없는 컴퓨터 검사 작동방식 및 설명 에이전트 없는 검사의 경우 클라우드 API를 사용하여 데이터를 수집합니다. (에이전트를 사용 검사 : 런타임에 운영 체제 API를 사용하여 보안 관련 데이터를 지속적으로 수집합니다.) 클라우드용 Defender는 VM 디스크의 스냅샷을 만들고 스냅샷에 저장된 운영 체제 구성 및 파일 시스템에 대한 대역 외의 심층 분석을 수행합니다. 복사된 스냅샷은 VM에 동일한 지역에 유지되며 VM은 검사의 영향을 받지 않습니다. 에이전트 없는 검사 테스트Microsoft docs에는 24시간 이내에 보안 경고를 볼 수 있.. AZURE/보안 2024. 6. 14. [Defender for Cloud] 사용자 지정 작업 영역으로 로그 내보내기 다음은, Arc 에이전트를 통해 Azure 에 온보딩한 서버에 대한 Defender for Cloud를 통해 대상서버를 보호받을 수 있는 방법입니다. 이 포스팅에서는 기본 작업영역이 아닌 사용자 지정 작업영역에 로그들을 쌓도록 설정하는 방법을 안내드리겠습니다. Log Management 테이블 이 테이블의 경우, Event를 쌓고 있는데 이것은 DCR 생성시에 로그 수집 수준을 선택하게 되고, 해당 로그를 사용자 지정영역에 쌓도록 설정하는 것은 DCR을 구성하여 해당 리소스를 연결하면 됩니다. Security and Audit 테이블 이 테이블은 보안 로그 수집 테이블입니다. 설정방법은, Defender for Cloud의 환경설정에서 사용자 지정 Log analytics workspace에 대한 Def.. AZURE/보안 2024. 1. 30. CEF Syslog 네트워크 및 보안 시스템은 데이터 전송의 수단으로 Syslog를 통해 Syslog 또는 CEF 를 지원합니다. CEF (Common Event Format) CEF의 장점은, 데이터가 정규화되어 유용합니다. 가장 관련성이 높은 정보를 제공하여 다양한 장치 유형을 지원하도록 설계된 확장 가능한 텍스트 기반의 형식입니다. 키-값 쌍으로 형식화된 표준 헤더와 변수 확장으로 구성된 로그 레코드의 구문을 정의합니다. Jan 3 14:43:13 cef-log-test CEF: 0|DeviceVendorName-Test|DeviceProduct-Test|common=event-format-test|end|TRAFFIC|1|rt==evenformatted-receive_timet Jan 3 14:43:13 호스트 CE.. AZURE/클라우드 2024. 1. 3. Syslog Syslog는 Linux에 공통되는 이벤트 로깅 프로토콜입니다. Linux 디바이스 및 어플라이언스 기본 제공되는 Syslog 디먼을 사용하여 지정한 형식의 로컬 이벤트를 수집할 수 있습니다. 수집 후에, 해당 이벤트를 Log analytics 작업 영역으로 보낼 수 있습니다. 애플리케이션은 로컬 컴퓨터에 저장되거나 Syslog 수집기에 배달될 수 있는 메시지를 전송합니다. Linux 용 Azure Monitor 에이전트가 설치되면 Syslog 컬렉션이 DCR에서 사용하도록 설정된 경우, 에이전트에 메시지를 전달하도록 로컬 Syslog 디먼을 구성합니다. 그런 다음 Azure monitor에이전트는 해당 Syslog 레코드가 Syslog 테이블에 만들어지는 Azure monitor 또는 Log Analy.. AZURE/클라우드 2024. 1. 3. [Microsoft Sentinel] AMA로 Syslog 보내기 AMA는 Azure Monitor Agent로, 이제 과거에 사용하던 MMA를 대신하여 이 에이전트를 사용하여 Log Analytics 작업영역으로, 로그를 수집할 수 있습니다.sentinel로 로그 수집을 하는 방법에는 여러가지가 있지만, 이 포스트에서는 AMA를 사용하여 syslog 를 전달하는 방법을 설명드리겠습니다. 이 포스팅에서는 rsyslog 서버 구성은 설명하지 않겠습니다. 다른 포스팅을 참고해주세요 링크 : https://mara7.tistory.com/185#Syslog 테이블로 로그 전달syslog를 log analytics 로 전달하는 방법은 간단합니다.이 구성은, 전제조건이 log forwarder서버가 Azure VM일 경우 입니다.Azure에 Log forwarder서버가 구성되.. AZURE/보안 2023. 12. 29. FinOps Certified Practitioner 취득 후기 FinOps 취득 후기 올해 목표였던 FinOps 자격증을 취득하였습니다. 나온지 얼마 안된 자격증이라 정보도 많이 없고 해서 자격증 취득 후기를 공유합니다! 핀옵스 자격증에 대해 궁금하신 내용이 있으시면 댓글로 남겨주세요 https://verify.skilljar.com/c/bq6hb28k77zf 시험 정보 시험 내용 : FinOps 기본 사항과 FinOps 수명 주기의 세 가지 섹션인 정보 제공, 최적화, 운영 각각의 주요 개념에 대한 개요를 다룹니다. FinOps에 대한 기본적인 이해와 이를 적용하여 클라우드 지출을 통해 비즈니스 가치를 높이는 방법을 원하는 전문가를 위해 설계할 수 있는 방법에 관한 내용으로 구성되어 있습니다. 시험 가격 : $ 300 (한화 약 39만원) 제공 언어 : 영어 (시.. AZURE/FinOps 2023. 12. 18. [Microsoft Sentinel] 메뉴 설명 2 - 콘텐츠 관리 및 구성 콘텐츠 관리콘텐츠 허브 MS에서 제공하는 콘텐츠를 사용할 수 있습니다.데이터 커넥터, 통합 문서, 분석 및 자동화 등을 제공합니다.구성데이터 커넥터Microsoft 제품 및 타사 제품에 대한 데이터 커넥터를 제공하여 custom logs 를 만들고, 이를 바탕으로 센티넬에서 해당 로그를 분석할 수 있습니다.커넥터가 없는 제품에 대해서는 api 를 통해서 연결할 수 있습니다. 분석커넥터를 통해 데이터원본을 연결한 후에 사용자 환경에서 특정 이벤트 또는 이벤트 집합을 검색할 수 있습니다.검색 한 후에 특정 이벤트 임계값 또는 조건에 도달하면 경고를 발생시킵니다.SOC가 심사 및 조사 할 인시던트를 생성하고 자동화된 추적 및 수정 프로세스를 사용하여 위협에 대응합니다. 관심목록데이터 원본의 데이터와 Micro.. AZURE/보안 2023. 12. 14. 이전 1 2 3 4 5 다음