Azure AD 보안 로그 분석: Azure AD 활동 감사 및 모니터링. Azure AD 보안 및 감사 로그를 사용하여 Azure AD 활동을 모니터링하고 분석하는 지식을 향상시키고 싶으신가요?
이 기사에서는 각 로그를 사용하여 Azure AD에서 사용자 활동을 모니터링하고 검토하는 방법을 설명합니다.
이 기사는 4가지 로그를 탐색하고 제공하는 정보를 설명한 후 이러한 로그를 활용하기 위한 라이선스 및 역할 요구 사항에 대해 논의합니다.
마지막으로 사용자 활동을 모니터링하고 분석하기 위한 로그 사용 방법에 대한 단계별 지침이 있습니다.
또한 읽어보세요 원격 작업을 위한 Azure AD 보안 모범 사례
Azure AD 로그인 및 로그인(미리보기) 로그 이해하기
Azure AD 로그인 로그는 조직이 사용자가 애플리케이션 및 서비스에 액세스하고 활용하는 방식에 대한 강력한 통찰력을 제공합니다. 이 로그 유형은 세 가지 활동 로그 중 하나입니다.
IT 관리자는 로그인 로그에 기록된 정보를 통해 사용자 로그인 패턴을 결정합니다. 또한, 이 로그는 특정 기간에 로그인한 사용자 수를 나타냅니다. 또한 로그인 상태를 표시합니다.
2023년 6월 현재, Microsoft는 “로그인 로그(미리보기)”라는 미리보기 버전을 출시했습니다. 클래식 로그인 로그는 상호 작용하는 사용자 활동을 기록하는 반면, 미리보기는 이를 추적하고 Azure 리소스 로그인을 위해 상호 작용하지 않는 사용자, 서비스 주체 및 관리 신원과 같은 3가지 추가 유형의 로그인을 기록합니다.
인터랙티브 로그인은 사용자가 사용자 이름과 비밀번호 또는 MFA로 Azure AD에 액세스할 때 발생합니다. 반면, 비인터랙티브 로그인은 사용자를 대신하여 로그인하는 응용 프로그램에서 발생합니다.
또한, 서비스 주체는 자신을 대신하여 로그인하고 관리되는 ID는 Azure Key Vault에 안전하게 저장된 비밀로 애플리케이션에서 로그인한 것을 기록합니다.
“사용자” 구성 요소를 넘어서, 로그인 기록은 사용자 또는 응용 프로그램이 Azure 리소스에 액세스할 때 3가지 중요한 구성 요소를 기록합니다. 첫 번째 중요한 요소는 “누구”입니다.
이 기록은 로그인 한 신원 (사용자)을 보여줍니다. 로그는 또한 “어떻게”를 기록하여 로그인에 사용된 클라이언트 또는 응용 프로그램을 나타냅니다.
무엇, – 이는 Identity가 액세스한 대상 리소스를 기록합니다.
따라서 Azure AD 보안 활동을 모니터링하고 감사할 때 로그인 로그를 사용하면 “누가”, “어떻게”, “무엇”이 “사용자”, “리소스”, “애플리케이션” 또는 “클라이언트 앱”으로 기록된 것을 주의 깊게 살펴보세요.
또한 InfraSOS Azure AD 게스트 보고서 및 감사 도구 사용을(를) 읽어보세요.
Azure Active Directory 감사 로그 이해
감사 로그는 사용자 작업을 모니터링하고 분석하는 데 도움이 되는 또 다른 Azure AD 활동 로그입니다. 감사 로그는 디렉터리 내에서의 활동을 기록합니다.
구체적으로, Azure AD 감사 로그는 디렉터리 내의 사용자, 그룹, 또는 애플리케이션에 대한 변경 사항을 기록합니다. 이러한 활동 로그는 종종 컴플라이언스 목적으로 필요합니다.
기관이 Azure AD 감사 로그를 모니터링하면 보안 침해나 수정이 필요한 컴플라이언스 문제가 드러날 수 있습니다.
감사 로그의 주제(사용자, 그룹 또는 애플리케이션)는 “활동 유형”으로 등록됩니다. 활동 유형뿐만 아니라 “카테고리”, “상태” 및 활동을 시작한 사람인 “시작자(액터)”도 기록합니다.
감사 로그를 열면 “활동”, “대상(들)”, “수정된 속성”이라는 세 개의 탭이 있습니다.
또한 읽으십시오 사용자 로그인 성공 실패 시 Azure AD 감사 로그 확인
Azure Active Directory 프로비저닝 로그 이해하기
Azure AD “사용량 및 인사이트” 보고서 이해하기
“사용 및 인사이트” 보고서는 Azure AD가 다른 Microsoft 365 애플리케이션의 로그인 활동을 기록하는 중앙 저장소입니다. 로그인 활동이 보기 위한 단일 위치입니다.
페이지는 성공한 로그인과 실패한 로그인, 각각의 수, 그리고 성공률을 기록합니다. 뿐만 아니라, 각 애플리케이션의 로그인 활동을 볼 수 있는 링크도 표시합니다.
위의 스크린샷에서 보듯이, “사용 및 인사이트” 페이지는 조직 내에서 가장 많이 사용되는 애플리케이션, 가장 낮은 로그인 성공률을 가진 애플리케이션, 그리고 가장 많은 로그인 오류에 대한 정보를 제공합니다.
애플리케이션의 “로그인 활동 보기” 링크를 클릭하면 로그인 오류가 표시됩니다. 또한, 세부 정보 페이지에는 오류 코드, 발생 횟수, 그리고 오류가 마지막으로 발생한 날짜가 표시됩니다.
“사용 & 인사이트”에서 진행하기 전에, 여기에 다른 중요한 보고서들을 강조하고 싶습니다. 이전에 로그인 로그가 서비스 주체 로그인을 추적한다고 언급했습니다.
이 정보는 “사용 & 인사이트”에서 “서비스 주체 로그인 활동 (미리보기)”로 제공됩니다. 이 링크를 클릭하면 Azure Active Directory가 인증한 서비스 주체가 표시됩니다.
이 보고서에는 서비스 주체의 이름, 마지막 로그인 시간, 그리고 “더 자세히 보기” 링크가 포함되어 있습니다.
그것에 도달하기 전에, “사용 & 인사이트” 페이지에 있는 “인증 방법 활동”과 같은 다른 유용한 로그들에 대해 언급하고 싶습니다.
또한 읽으십시오 Azure 조건부 액세스 + 다단계 인증 MFA 설정
“인증 방법 활동”은 조직의 사용자가 Azure AD에 등록하는 데 사용하는 인증 방법을 기록합니다.
페이지에는 등록 및 사용 탭 두 개가 있습니다. 등록 탭은 사용 가능한 인증 방법에 가입한 사용자를 기록합니다.
반면에 사용 탭은 인증 방법이 어떻게 사용되었는지 자세한 내용을 설명합니다.
도구 상자에 필요한 마지막 로그는 “응용 프로그램 자격 증명 활동(미리 보기)” 보고서입니다. 이 보고서는 응용 프로그램 자격 증명이 마지막으로 사용된 날짜를 제공합니다.
또한 이 보고서는 응용 프로그램 ID, 인증서 유형 및 레코드 세부 정보를 볼 수 있는 링크를 기록합니다.
또한 읽으십시오 Office 365 사용자 보고서 사용
Azure AD 보안 & 감사 로그를 사용하여 Azure AD 활동 모니터링 및 분석
이 섹션에서는 portal.azure.com을 통해 Azure 포털에 로그인합니다. 그런 다음 “Azure Active Directory”를 검색하여 엽니다.
로그인 로그를 사용하여 사용자 활동 모니터링 및 분석 사용
Azure Active Directory 포털의 모니터 메뉴에서 로그인 로그에 액세스합니다.
Azure AD 로그인 로그를 열고, 필요에 맞게 열을 사용자 정의합니다.
그런 다음, “열” 탐색창에서 필요한 열을 선택하고 필요하지 않은 열은 선택 해제합니다. 아래 스크린샷에 나와 있는 열을 선택하는 것을 권장합니다.
원하는 정보를 분석하려면 열을 설정한 후 로그에 필터를 추가합니다.
필터를 추가하려면 “필터 추가”를 클릭하고 필터를 선택한 다음 적용을 클릭합니다. 필요한 만큼 필터를 반복합니다.
다음으로, 필터를 클릭하고 조건을 추가합니다. 아래 스크린샷에서는 “victor”를 포함한 사용자만 로그인 로그를 필터링했습니다.
이 필터링으로 보고서를 확인하려는 로그 수를 줄일 수 있습니다. 문제 해결에 따라 추가적인 필터를 추가합니다.
로그 항목을 열면 자세한 보고서가 제공됩니다. “기본 정보” 탭에는 로그인 날짜, “인증 요구 사항”, 사용자 정보, 액세스한 애플리케이션 및 로그인 진단 도구와 관련된 중요한 정보가 표시됩니다.
로그인 진단 도구는 로그인에 관한 추가적인 문제 해결을 수행하고 문제를 해결하기 위한 권장 조치를 제공하는 데 사용됩니다.
사용자 활동 분석을 위해 Azure AD 감사 로그 사용하기
감사 로그를 열려면 Azure Active Directory 메뉴에서 클릭하십시오.
그런 다음, 마지막 소목에 설명된 단계를 따라 필요에 맞게 열을 사용자 정의하십시오.
로그인 로그와 유사하게, 감사 로그도 필터링 기능을 갖추고 있습니다. 다행히도 마이크로소프트는 가장 많이 요구하는 필터링 조건인 서비스, 활동, 카테고리를 추가합니다.
그러나 감사 로그는 사용자 정의 필터를 추가할 수 있는 옵션을 제공합니다. 필터를 추가하려면 “필터 추가”를 클릭하고, 필터를 선택한 후 “적용”을 클릭하십시오.
필터를 추가하면 표시되고, 이를 사용하여 감사 로그에 표시되는 결과를 결정할 수 있습니다. 아래 스크린샷에서는 날짜와 시작자(액터)로 로그를 필터링했습니다.
다음 단계는 항목을 클릭하여 들어가는 것입니다. 로그 항목이 열리면 “활동”, “대상(s)”, “수정된 속성” 탭에서 정보를 검토하십시오.
마지막 두 하위 섹션의 단계와 이전 섹션의 정보를 따라 프로비저닝 로그와 “사용 현황 및 인사이트” 보고서를 구성, 분석 및 모니터링하십시오.
Azure AD 보안 로그 분석: 감사 및 모니터링 Azure AD 활동 결론
감사 로그를 모니터링하고 분석하는 것은 Azure Identity Protection, 조건부 액세스, 특권 Identity Management 및 기타 보안 기능을 구성하는 것만큼 중요합니다. Azure Active Directory에서 로그를 분석함으로써 IT 관리자는 잠재적인 보안 사건을 사전에 감지하고 완화할 수 있습니다.
다행히도, Azure AD에는 이러한 목표를 달성하기 위해 필요한 모든 로그가 있습니다. 구체적으로 조직에는 로그인, 로그인(미리보기) 및 감사 로그를 제공합니다.
또한, 이 강력한 클라우드 아이덴티티 관리 도구는 프로비저닝 로그와 “사용 및 인사이트” 보고서도 제공합니다. 이러한 로그는 Azure AD 인프라의 보안 상태를 판단하는 데 도움이 되는 다양한 데이터 기록을 제공합니다.
조직이 로그를 효과적으로 활용할 수 있도록, 이 문서에서는 Azure AD 로그가 제공하는 데이터와 해당 데이터를 사용하여 Azure AD의 보안 상태를 모니터링하고 분석하는 방법을 설명합니다.
Source:
https://infrasos.com/analyze-azure-ad-security-logs-audit-monitor-azure-ad-activity/