Azure Event Hub 피드 만들기

다음에서 지원:

이 문서에서는 보안 데이터를 Google Security Operations로 수집하기 위해 Azure Event Hub 피드를 설정하는 프로세스를 안내합니다. 활성 피드와 비활성 피드를 모두 포함하여 최대 10개의 Azure Event Hub 피드를 만들 수 있습니다. Azure 피드를 설정하려면 다음 프로세스를 완료하세요.

  1. Azure에서 Event Hub 만들기: 보안 데이터 스트림을 수신하고 저장하기 위해 Azure 환경에 필요한 인프라를 설정합니다.

  2. Google SecOps에서 피드 구성: Azure 이벤트 허브에 연결하고 데이터 수집을 시작하도록 Google SecOps에서 피드를 구성합니다.

Azure에서 Event Hub 만들기

Azure에서 이벤트 허브를 만들려면 다음 단계를 따르세요.

  1. Event Hubs 네임스페이스 및 Event Hubs를 만듭니다.

    • 최적의 확장을 위해 파티션 수를 32로 설정합니다 (표준 및 기본 등급의 경우 나중에 변경할 수 없음).

    • Google SecOps 할당량 한도 때문에 데이터가 손실되지 않도록 이벤트 허브에 긴 보관 기간을 사용하세요. 이렇게 하면 할당량 제한 후 처리가 재개되기 전에 로그가 삭제되지 않습니다. 이벤트 보관 및 보관 시간 제한에 관한 자세한 내용은 이벤트 보관을 참고하세요.

    • 표준 등급 이벤트 허브의 경우 자동 확장을 사용 설정하여 필요에 따라 처리량을 자동으로 확장합니다. 자세한 내용은 Azure Event Hubs 처리량 단위 자동 확장을 참고하세요.

  2. Google SecOps에서 Azure Event Hub의 데이터를 처리하는 데 필요한 Event Hub 연결 문자열을 가져옵니다. 이 연결 문자열은 Google SecOps가 이벤트 허브에서 보안 데이터에 액세스하고 수집하도록 승인합니다. 연결 문자열을 제공하는 방법에는 두 가지가 있습니다.

    • Event Hubs 네임스페이스 수준: 이 연결 문자열은 네임스페이스 내의 모든 Event Hubs에 작동합니다. 이 옵션은 여러 이벤트 허브를 사용 중이며 피드 설정에서 모든 이벤트 허브에 동일한 연결 문자열을 사용하려는 경우 더 간단한 방법입니다.

    • 이벤트 허브 수준: 이 연결 문자열은 단일 이벤트 허브에만 해당합니다. 이 옵션은 이벤트 허브 하나에만 액세스 권한을 부여해야 하는 경우에 안전한 옵션입니다. 연결 문자열 끝에서 EntityPath를 삭제해야 합니다.

    예를 들어 Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>;EntityPath=<EVENT_HUB_NAME>Endpoint=<ENDPOINT>;SharedAccessKeyName=<KEY_NAME>;SharedAccessKey=<KEY>으로 변경합니다.

  3. Azure Blob Storage를 만들어 보안 데이터를 저장하고 연결 문자열을 가져옵니다. 이 연결 문자열은 Google SecOps가 Azure Blob Storage 컨테이너에 저장된 메타데이터에 액세스하도록 승인하여 이벤트 허브에서 데이터를 정확하게 가져옵니다.

  4. SAS 토큰을 생성합니다. Google SecOps는 리소스를 확장하기 위해 이벤트 허브 데이터 흐름을 추적해야 합니다. 액세스에 SAS 토큰이 필요한 Azure API를 사용하여 이 작업을 실행합니다.

    SAS 토큰의 만료 시간을 길게 설정합니다 (예: 6개월). 서비스가 중단되지 않도록 만료 전에 업데이트하세요.

  5. 웹 애플리케이션 방화벽 또는 Microsoft Defender와 같은 애플리케이션을 구성하여 로그를 이벤트 허브로 전송합니다.

    Microsoft Defender 사용자: Microsoft Defender 스트리밍을 구성할 때는 기존 이벤트 허브 이름을 입력해야 합니다. 이 필드를 비워 두면 불필요한 이벤트 허브가 생성되어 제한된 피드 할당량이 소모될 수 있습니다. 더 나은 구성을 위해 로그 유형과 일치하는 이벤트 허브 이름을 사용하는 것이 좋습니다.

Google SecOps에서 Azure 피드 구성

Google SecOps에서 Azure 피드를 구성하려면 다음 단계를 따르세요.

  1. Google SecOps 메뉴에서 SIEM 설정을 선택한 후 피드를 클릭합니다.

  2. 새로 추가를 클릭합니다.

  3. 피드 이름 필드에 피드 이름을 입력합니다.

  4. 소스 유형 목록에서 Microsoft Azure Event Hub를 선택합니다.

  5. 로그 유형을 선택합니다. 예를 들어 개방형 사이버 보안 스키마 프레임워크의 피드를 만들려면 로그 유형으로 개방형 사이버 보안 스키마 프레임워크 (OCSF)를 선택합니다.

  6. 다음을 클릭합니다. 피드 추가 창이 표시됩니다.

  7. 이전에 Azure Portal에서 만든 이벤트 허브에서 정보를 가져와 다음 필드를 채웁니다.

    • 이벤트 허브 이름: 이벤트 허브 이름입니다.

    • 이벤트 허브 소비자 그룹: 이벤트 허브와 연결된 소비자 그룹입니다.

    • 이벤트 허브 연결 문자열: 이벤트 허브 연결 문자열

    • Azure Storage 연결 문자열: Blob Storage 연결 문자열

    • Azure Storage 컨테이너 이름: blob storage 컨테이너 이름입니다.

    • Azure SAS 토큰: SAS 토큰

    • 애셋 네임스페이스: 애셋 네임스페이스

    • 수집 라벨: 이 피드의 이벤트에 적용할 라벨입니다.

  8. 다음을 클릭합니다. 완료 화면이 표시됩니다.

  9. 피드 구성을 검토한 다음 제출을 클릭합니다.

데이터 흐름 확인

데이터가 Google SecOps로 전송되고 이벤트 허브가 올바르게 작동하는지 확인하려면 다음 검사를 실행하세요.

  • Google SecOps에서 대시보드를 살펴보고 원시 로그 검사 또는 통합 데이터 모델 (UDM) 검색을 사용하여 처리된 데이터가 올바른 형식인지 확인합니다.

  • Azure 포털에서 Event Hub 페이지로 이동하여 수신 및 전송 바이트가 표시된 그래프를 검사합니다. 수신 및 발신 비율이 거의 동일한지 확인합니다. 이는 메시지가 처리되고 있으며 백로그가 없음을 나타냅니다.