AZURE52

• 

  [Microsoft Sentinel] 메뉴 설명 1 - 일반 탭 및 위협관리 일반로그센티넬 log analytics 작업 영역에서 로그 검색을 할 수 있습니다.새 경고 규칙 탭으로 azure monitor 경고나 sentinel 경고 규칙을 생성할 수 있습니다.위협관리인시던트관련 경고의 컬렉션입니다. 분석 규칙에 의하여 위협 발생시 인시던트가 생성됩니다. 분석 규칙에 의해 생성되거나 자체 경고를 생성하는 타사 보안 제품에서 가져온 경고를 기반으로 각 인시던트가 생성되거나 추가됩니다.심각도, 상태, MITRE ATT&CK 전술 및 기술과 같은 경고 속성을 상속합니다.통합문서데이터를 시각화하는 도구입니다.대시보드이며, 한눈에 다양한 소스에서 수집된 데이터를 볼 수 있습니다.보고싶은 데이터를 한눈에 볼 수 있다는 것이 장점입니다.헌팅데이터원본에 대한 위협을 사전 예방 검색을 할 수 있.. AZURE/보안 2023. 12. 13.

• 

  [Microsoft Sentinel] 센티넬 비용 (수집할 데이터 양이 제일 큰 변수!) 센티넬 비용센티넬에서 중요한 것은 수집비용이 두번 청구된다는 것입니다.Sentinel은 log analytics 작업 영역을 기반으로 하는 솔루션이기 때문에, ① 기본 작업 공간, ② Sentinel에 대한 수집 비용 이렇게 두번 청구됩니다.① 수집 비용② 센티넬 대한 수집 비용Azure 가격데이터 수집평가판 가격 새 작업 영역은 처음 31일 동안 무료로 최대 10GB/일의 로그 데이터를 수집할 수 있습니다 . 31일 평가판 기간 동안 Log Analytics 데이터 수집 및 Microsoft Sentinel 요금이 모두 면제됩니다. 이 무료 평가판에는 Azure 테넌트당 작업 영역이 20개로 제한됩니다.무료 데이터 소스Azure AD ID 보호Azure 활동 로그오피스 365클라우드용 Microsoft.. AZURE/보안 2023. 12. 11.

• 

  [Microsoft Sentinel] 센티넬의 데이터 수집에 대한 이해 어떻게 LA로 로그를 전송할 수 있는가?에 대한 포스팅입니다.Microsoft Sentinel의 데이터 수집 흐름기본 베이스는 위와 같습니다.센티넬에 데이터를 수집하기 위한 방법은 세 가지가 있습니다.기본 제공 커넥터기본 제공 커넥터의 경우 제공되는 로그 테이블이 있으며 sentinel의 작업 영역에 로그가 쌓이게 된다.커넥터 설치만 하면 되어서 연결이 가장 쉽습니다.에이전트 기반 커넥터에이전트 기반의 커넥터의 경우 현재 두 가지가 사용 중 입니다.AMA 에이전트 : 이 에이전트는 azure monitoring 에이전트로 syslog, windowsevent 를 연결할 수 있습니다.MMA 에이전트 : 레거시 에이전트고 내년 4월 쯤 없어지고 AMA로 통합될 예정입니다.AMA vs MMA 차이점MMA 20.. AZURE/보안 2023. 12. 7.

• 

  [Microsoft Sentinel] AMA 커넥터를 사용하여 "Microsoft Sentinel" 스트림 CEF 로그 전달 - 2 (DCR 구성) rsyslog 서버 구성까지 지난 포스팅에서 완료했습니다. 이제 rsyslog 서버에 AMA agent를 구성하고, sentinel에 연결시키는 작업을 진행해보도록 하겠습니다.실제 구성하면서 캡쳐를 못해서, 아래의 이미지는 Microsoft Docs의 이미지를 참고하였습니다.구성도DCR (그림의 1번 진행)Syslog 및 CEF 로그를 Sentinel로 수집하기 위해 디바이스에서 로그를 수집하고 Microsoft Sentinel 작업 영역으로 전달하는 Linux 컴퓨터(syslog Forwarder) 를 지정하고 구성해야 합니다. 현재 포스팅에서는 Azure VM을 사용하여 Syslog Fowarder을 구성했습니다. DCR의 역할은 AMA을 Syslog Fowrder 서버에 설치하여 로그를 수집하고 구.. AZURE/보안 2023. 12. 6.

• 

  [Microsoft Sentinel] AMA 커넥터를 사용하여 "Microsoft Sentinel" 스트림 CEF 로그 전달-1 (rsyslog서버 구성) 구성도테스트한 서버는 아래와 같습니다. Linux device : ubuntu20Linux log forwarder : ubuntu 20전제 조건이 테스트는 AMA 에이전트를 통해 리눅스의 CEF로그를 센티넬의 Log analytics workspace로 보내는 테스트입니다.그렇기 때문에 아래의 전제조건이 요구됩니다.* Sentinel이 활성되어 있어야 합니다.AMA 에이전트 설치를 위한 전제 조건에이전트를 배포 및 데이터 수집 규칙을 생성하기 위한 다음의 역할이 있는 Azure 계정Log Analytics 작업 영역로그 수집을 위한 Linux 머신Linux 요구 버전https://learn.microsoft.com/en-us/azure/azure-monitor/agents/agents-overview#.. AZURE/보안 2023. 12. 5.

• 

  [Logic Apps] JSON 객체에서, 키의 값 가져오는 방법 JSON 구문 키 값을 가져오는 방법 해당 값에서 개체(object)의 값을 가져오는 방법은 단순하게, 키 값을 입력하면 됩니다. 출력 값 이렇게 description의 값이 출력이 됩니다. 다음 콘텐츠는 json 배열의 값을 가져오는 방법을 포스팅하겠습니다. AZURE/Azure Logic Apps 2023. 5. 25.

• 

  Powershell에서 클라이언트 시크릿을 활용하여 서비스 주체로 로그인 Powershell을 활용하여 로그인 $user = "{userid}" $password = ConvertTo-SecureString -String "{secret value}" -AsPlainText -Force $pscredential = New-Object -TypeName "System.Management.Automation.PSCredential" -ArgumentList $user, $password Connect-AzAccount -ServicePrincipal -Credential $pscredential -Tenant {tenantid} AZURE 2022. 12. 2.

• KAO 방법론 비용 최적화를 위한 방법론 입니다. K : Knowledge - 서비스의 구성 요소와 요금제를 이해 A : Architecture - 클라우드 환경을 구성하고 배포하는 방법 안내 - 어떻게 구성할 것인지? , 구성요소들간의 상호작용은 어떻게 되는지? , 비용 최적화를 고려해서 인프라를 설계하고 구성 O : Operation - 일회성이 아니며, 지속적인 모니터링과 추적, 최적화가 필요한 작업이며 운영에 대한 책임은 조직 전체에 있다. AZURE/FinOps 2022. 9. 19.

• 

  Durable Functions 구현 서버리스 컴퓨팅 환경에서 상태 저장 함수를 작성할 수 있는 Azure Functions의 확장 서버리스 컴퓨팅 환경 : 프로비저닝 할 서버가 존재하지 않음 Azure Functions 프로그래밍 모델 → 오케스트레이터 함수 작성 → 상태 저장 워크플로 정의 → 엔터티 함수 작성 → 상태 저장 엔터티 정의 지원되는 언어 C#,JavaScript,Python,F#,PowerShell 애플리케이션 패턴 함수 체이닝 특정 순서대로 실행됨 try/catch/finally : 오류 처리 논리가 포함됨 팬아웃/팬인 여러 함수를 병렬 실행 → 모든 함수가 완료될 때까지 기다림 비동기 HTTP API 외부 클라이언트와 장기 실행 작업의 상태를 조정하는 문제 해결 HTTP 엔드포인트에서 장기 실행 작업을 트리거 → 클라이.. AZURE 2022. 9. 7.

• Azure Functions 개발 구성 요소 코드 ( 다양한 언어로 작성 할 수 있는) function.json 파일 1️⃣ 컴파일 언어 : 코드의 주석에서 자동 생성 2️⃣ 스크립팅 언어 : 구성 파일을 직접 제공해야함 function.json 함수의 트리거, 바인딩 및 기타 구성 설정 모든 함수에 하나의 트리거만 존재 런타임 : 이 구성 파일을 사용하여 모니터링 할 이벤트, 함수 실행에 데이터 전달, 반환하는 방법 확인 { "disabled":false, "bindings":[ // ... bindings here { "type": "bindingType", "direction": "in", "name": "myParamName", // ... more depending on binding } ] } bindings 바인딩 : 속성과.. AZURE 2022. 9. 7.

• 

  Azure functions Azure functions 연결 방식 : 기본 제공 바인딩 형식 정보, 사용자 지정 바인딩에 대한 코드 작성 actions : Azure 함수 monitoring : Azure Application Insights 관리 : REST API, Visual Studio 호스팅 옵션 사용 플랜 functions 프리미엄 플랜 App Service(전용) 플랜 ⇒ 일반 제공되는 대상 1. Consumption 플랜 기본 호스팅 계획 크기를 자동 조정, 사용자는 함수가 실행 중일때만 컴퓨팅 리소스에 대한 비용 지불 functions 호스트 인스턴스 ⇒ 들어오는 이벤트 수를 기준으로 동적 추가 및 제거됨 2. Premium plan 유휴 상태 후 지연 없이 애플리케이션 실행 더 강력 가상 네트워크에 연결하는 사전.. AZURE 2022. 9. 6.

• 

  [Microsoft Sentinel] 관심 목록(watchlist) 만들기 관심 목록Azure Sentinel 관심 목록을 사용하면 보유 중인 Azure Sentinel 환경에서 일어나는 이벤트와의 연결을 위해 외부 데이터에서 데이터를 수집할 수 있게 됩니다.csv 파일만들기관심 목록 만들기로그 보는 곳위협 인텔리전스CTI(사이버 위협 인텔리전스)는 시스템 및 사용자에게 알려진 기존의 또는 잠재적인 위협을 설명하는 정보입니다. 해당 유형의 지식은 특정 위협 행위자의 동기, 인프라, 기술을 상세히 기술한 보고서에서부터 사이버 위협과 관련된 IP 주소, 도메인, 파일 해시에 대한 특정 관찰에 이르기까지 다양한 형태를 취합니다형식 : domain-name도메인 : fmg.com위협 형식 : malicious-activity유효기간 : 오늘적용하고 좀 기다리면 이렇게 인텔리전스에 표시.. AZURE/보안 2021. 11. 10.