Microsoft Azure 활동 로그 수집

이 문서에서는 Microsoft Azure 활동 로그(AZURE_ACTIVITY)를 Google Security Operations에 수집하는 데 필요한 단계를 설명합니다.

스토리지 계정 구성

스토리지 계정을 구성하려면 다음 단계를 완료합니다.

1. Azure Console에서 스토리지 계정을 검색합니다.
2. 만들기를 클릭합니다.
3. 계정에 필요한 구독, 리소스 그룹, 리전, 성능(Standard 권장), 중복성(GRS 또는 LRS 권장)을 선택하고, 새 스토리지 계정의 이름을 입력합니다.
4. 검토 + 만들기를 클릭하고 계정 개요를 검토하고 만들기를 클릭합니다.
5. 스토리지 계정 개요 페이지의 창 왼쪽 탐색에서 액세스 키를 선택합니다.
6. 키 표시를 클릭하고 스토리지 계정의 공유 키를 기록해 둡니다.
7. 창 왼쪽 탐색에서 엔드포인트를 선택합니다.
8. Blob 서비스 엔드포인트를 기록해 둡니다. (https://<storageaccountname>.blob.core.windows.net/)

Azure 활동 로깅 구성

Azure 활동 로깅을 구성하려면 다음 단계를 완료합니다.

1. Azure Console에서 Monitor를 검색합니다.
2. 페이지 왼쪽 탐색에서 활동 로그 링크를 클릭합니다.
3. 창 상단에서 활동 로그 내보내기를 클릭합니다.
4. 진단 설정 추가를 클릭합니다.
5. Google Security Operations에 내보내려는 모든 카테고리를 선택합니다.
6. 대상 세부정보에서 스토리지 계정에 아카이브를 선택합니다.
7. 이전 단계에서 만든 구독 및 스토리지 계정을 선택합니다.
8. 저장을 클릭합니다.

Azure 로그를 수집하도록 Google Security Operations에서 피드 구성

Azure 로그를 수집하도록 Google Security Operations에서 피드를 구성하려면 다음 단계를 수행합니다.

1. Google Security Operations 설정으로 이동하고 피드를 클릭합니다.
2. 새로 추가를 클릭합니다.
3. 소스 유형으로 Microsoft Azure Blob Storage를 선택합니다.
4. 로그 유형으로 Microsoft Azure Activity를 선택합니다.
5. 다음을 클릭합니다.
6. Azure URI에서 앞에서 기록한 Blob 서비스 엔드포인트 값을 insights-activity-logs를 서픽스로 추가하여 입력합니다(예: https://acme-azure-chronicle.blob.core.windows.net/insights-activity-logs).
7. URI 소스 유형 아래에서 하위 디렉터리 포함 디렉터리를 선택합니다.
8. 공유 키 아래에서 앞에서 캡처한 공유 키 값을 입력합니다.
9. 다음, 마침을 차례로 클릭합니다.