지원콘솔개발자평가판 시작연락처

20장. Microsoft Sentinel notifier와 통합

Microsoft Sentinel은 RHACS(Red Hat Advanced Cluster Security for Kubernetes) 경고 및 감사 로그에 적용되는 보안 정보 및 이벤트 관리(SIEM) 솔루션입니다.

20.1. 위협 탐지를 위한 로그 분석 보기

Microsoft Sentinel 통합을 생성하면 로그 분석을 보고 위협을 감지할 수 있습니다.

사전 요구 사항

  • Microsoft Azure에 데이터 수집 규칙, 로그 분석 작업 공간, 서비스 주체를 생성했습니다.
  • 인증을 위해 서비스 주체에 클라이언트 시크릿 또는 클라이언트 인증서를 구성했습니다.

  • JSON 형식의 TimeGeneratedmsg 필드를 사용하여 로그 분석 스키마를 생성했습니다.

    중요

    감사 로그 및 경고를 위해 별도의 로그 분석 테이블을 생성해야 하며 두 데이터 소스 모두 동일한 스키마를 사용합니다.

    • 스키마를 만들려면 Microsoft Sentinel에 다음 콘텐츠를 업로드합니다.

      JSON 예

      {
 "TimeGenerated": "2024-09-03T10:56:58.5010069Z", 1
 "msg": {  2
   "id": "1abe30d1-fa3a-xxxx-xxxx-781f0a12228a", 3
   "policy" : {}
 }
}

      1
      경고의 타임스탬프입니다.
      2
      메시지 세부 정보를 포함합니다.
      3
      메시지의 페이로드(경고 또는 감사 로그)입니다.

프로세스

  1. RHACS 포털에서 플랫폼 구성 통합을 클릭합니다.
  2. Notifier Integrations 섹션까지 아래로 스크롤한 다음 Microsoft Sentinel 을 클릭합니다.
  3. 새 통합을 생성하려면 새 통합을 클릭합니다.

  4. 통합 생성 페이지에서 다음 정보를 제공합니다.

    • 통합 이름: 통합 이름을 지정합니다.

    • 로그 수집 끝점: 데이터 수집 끝점을 입력합니다. Microsoft Azure 포털에서 끝점을 찾을 수 있습니다.

      자세한 내용은 Azure Monitor(Microsoft Azure 설명서)의 DCR(데이터 수집 규칙 )을 참조하십시오.

    • Directory tenant ID: Microsoft 클라우드 인프라 내에서 AAD(Azure Active Directory)를 고유하게 식별하는 테넌트 ID를 입력합니다. Microsoft Azure 포털에서 테넌트 ID를 찾을 수 있습니다.

      자세한 내용은 Azure Active Directory B2C(Microsoft Azure 문서)에서 테넌트 이름 및 테넌트 ID 찾기를 참조하십시오.

    • 애플리케이션 클라이언트 ID: 리소스에 액세스해야 하는 AAD 내에 등록된 특정 애플리케이션을 고유하게 식별하는 클라이언트 ID를 입력합니다. 생성한 서비스 주체의 Microsoft Entra portal에서 클라이언트 ID를 찾을 수 있습니다.

      자세한 내용은 애플리케이션 등록 (Microsoft Azure 설명서)을 참조하십시오.

    • 적절한 인증 방법을 선택합니다.

    • 선택 사항: 적절한 방법을 선택하여 데이터 수집 규칙 구성을 구성합니다.

      • 경고 데이터 수집 규칙 구성을 활성화하려면 경고 DCR 활성화 확인란을 선택합니다.

        경고 데이터 수집 규칙을 만들려면 경고 데이터 수집 규칙 스트림 이름과 ID를 입력합니다. Microsoft Azure 포털에서 스트림 이름과 ID를 찾을 수 있습니다.

      • 감사 데이터 수집 규칙 구성을 활성화하려면 감사 로그 DCR 활성화 확인란을 선택합니다.

        감사 데이터 수집 규칙을 생성하려면 스트림 이름과 ID를 입력합니다. Microsoft Azure 포털에서 스트림 이름과 ID를 찾을 수 있습니다.

        자세한 내용은 Azure Monitor(Microsoft Azure 설명서)의 DCR(데이터 수집 규칙 )을 참조하십시오.

  5. 선택 사항: 새 통합을 테스트하려면 테스트를 클릭합니다.
  6. 새 통합을 저장하려면 저장을 클릭합니다.

검증

  1. RHACS 포털에서 플랫폼 구성 통합을 클릭합니다.
  2. Notifier Integrations 섹션까지 아래로 스크롤한 다음 Microsoft Sentinel 을 클릭합니다.
  3. Microsoft Sentinel 통합 페이지에서 새 통합이 생성되었는지 확인합니다.
  4. 메시지가 로그 분석 작업 영역에서 올바른 로그 테이블을 수신하는지 확인합니다.
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.