센티넬5

• 

  Azure Sentinel 로그의 장기 보관 방안: Azure Blob Storage 활용하기 보안 로그를 장기 보관하는 것은 기업의 글로벌 컴플라이언스 요건(예: GDPR, ISO 27001, NIST 등)을 충족하는 데 중요한 요소입니다. Microsoft Sentinel은 Microsoft의 클라우드 기반 SIEM(Security Information and Event Management) 솔루션으로, 보안 로그를 통합 관리하고 분석하는 데 탁월한 기능을 제공합니다.이 글에서는 Sentinel 로그를 10년 이상 장기 보관하기 위한 Azure Blob Storage(아카이브 계층) 활용 방안을 소개합니다.1. Sentinel 로그 장기 보관의 필요성Sentinel은 보안 이벤트와 로그를 분석하여 위협을 탐지하고 대응을 자동화합니다. 하지만 Sentinel 자체는 장기 보관을 위한 별도 스토리.. AZURE/보안 2025. 1. 24.

• 

  [Microsoft Sentinel] AMA로 Syslog 보내기 AMA는 Azure Monitor Agent로, 이제 과거에 사용하던 MMA를 대신하여 이 에이전트를 사용하여 Log Analytics 작업영역으로, 로그를 수집할 수 있습니다.sentinel로 로그 수집을 하는 방법에는 여러가지가 있지만, 이 포스트에서는 AMA를 사용하여 syslog 를 전달하는 방법을 설명드리겠습니다. 이 포스팅에서는 rsyslog 서버 구성은 설명하지 않겠습니다. 다른 포스팅을 참고해주세요 링크 : https://mara7.tistory.com/185#Syslog 테이블로 로그 전달syslog를 log analytics 로 전달하는 방법은 간단합니다.이 구성은, 전제조건이 log forwarder서버가 Azure VM일 경우 입니다.Azure에 Log forwarder서버가 구성되.. AZURE/보안 2023. 12. 29.

• 

  [Microsoft Sentinel] 메뉴 설명 2 - 콘텐츠 관리 및 구성 콘텐츠 관리콘텐츠 허브 MS에서 제공하는 콘텐츠를 사용할 수 있습니다.데이터 커넥터, 통합 문서, 분석 및 자동화 등을 제공합니다.구성데이터 커넥터Microsoft 제품 및 타사 제품에 대한 데이터 커넥터를 제공하여 custom logs 를 만들고, 이를 바탕으로 센티넬에서 해당 로그를 분석할 수 있습니다.커넥터가 없는 제품에 대해서는 api 를 통해서 연결할 수 있습니다. 분석커넥터를 통해 데이터원본을 연결한 후에 사용자 환경에서 특정 이벤트 또는 이벤트 집합을 검색할 수 있습니다.검색 한 후에 특정 이벤트 임계값 또는 조건에 도달하면 경고를 발생시킵니다.SOC가 심사 및 조사 할 인시던트를 생성하고 자동화된 추적 및 수정 프로세스를 사용하여 위협에 대응합니다. 관심목록데이터 원본의 데이터와 Micro.. AZURE/보안 2023. 12. 14.

• 

  [Microsoft Sentinel] 센티넬의 데이터 수집에 대한 이해 어떻게 LA로 로그를 전송할 수 있는가?에 대한 포스팅입니다.Microsoft Sentinel의 데이터 수집 흐름기본 베이스는 위와 같습니다.센티넬에 데이터를 수집하기 위한 방법은 세 가지가 있습니다.기본 제공 커넥터기본 제공 커넥터의 경우 제공되는 로그 테이블이 있으며 sentinel의 작업 영역에 로그가 쌓이게 된다.커넥터 설치만 하면 되어서 연결이 가장 쉽습니다.에이전트 기반 커넥터에이전트 기반의 커넥터의 경우 현재 두 가지가 사용 중 입니다.AMA 에이전트 : 이 에이전트는 azure monitoring 에이전트로 syslog, windowsevent 를 연결할 수 있습니다.MMA 에이전트 : 레거시 에이전트고 내년 4월 쯤 없어지고 AMA로 통합될 예정입니다.AMA vs MMA 차이점MMA 20.. AZURE/보안 2023. 12. 7.

• 

  [Microsoft Sentinel] AMA 커넥터를 사용하여 "Microsoft Sentinel" 스트림 CEF 로그 전달 - 2 (DCR 구성) rsyslog 서버 구성까지 지난 포스팅에서 완료했습니다. 이제 rsyslog 서버에 AMA agent를 구성하고, sentinel에 연결시키는 작업을 진행해보도록 하겠습니다.실제 구성하면서 캡쳐를 못해서, 아래의 이미지는 Microsoft Docs의 이미지를 참고하였습니다.구성도DCR (그림의 1번 진행)Syslog 및 CEF 로그를 Sentinel로 수집하기 위해 디바이스에서 로그를 수집하고 Microsoft Sentinel 작업 영역으로 전달하는 Linux 컴퓨터(syslog Forwarder) 를 지정하고 구성해야 합니다. 현재 포스팅에서는 Azure VM을 사용하여 Syslog Fowarder을 구성했습니다. DCR의 역할은 AMA을 Syslog Fowrder 서버에 설치하여 로그를 수집하고 구.. AZURE/보안 2023. 12. 6.