랩 08: Log Analytics 작업 영역, Azure Storage 계정 및 DCR(데이터 수집 규칙) 만들기

학생용 랩 매뉴얼

랩 시나리오

금융 기술 회사의 Azure 보안 엔지니어는 재무 트랜잭션을 처리하고 중요한 고객 데이터를 관리하는 데 사용되는 모든 Azure VM(가상 머신)에서 모니터링 및 보안 가시성을 향상시키는 임무를 맡게 됩니다. 보안 팀은 잠재적인 위협을 감지하고 시스템 성능을 최적화하기 위해 이러한 VM의 자세한 로그 및 성능 메트릭이 필요합니다. CISO(최고 정보 보안 책임자)는 보안 이벤트, 시스템 로그 및 성능 카운터를 수집하는 솔루션을 구현하도록 요청했습니다. 로그 수집 및 성능 모니터링을 중앙 집중화하기 위해 DCR(데이터 수집 규칙)과 함께 AMA(Azure Monitor 에이전트)를 구성하도록 할당되었습니다.

이 랩의 모든 리소스에 대해 미국 동부 지역을 사용하고 있습니다. 이 지역을 수업에 사용할 것인지 강사에게 확인합니다.

랩 목표

이 랩에서는 다음과 같은 연습을 완료합니다:

  • 연습 1: Azure 가상 머신 배포
  • 연습 2: Log Analytics 작업 영역 만들기
  • 연습 3: Azure 스토리지 계정 만들기
  • 연습 4: 데이터 수집 규칙 만들기

지침

연습 1: Azure 가상 머신 배포

연습 시간: 10분

이 연습에서는 다음 작업을 완료합니다.

작업 1: Azure 가상 머신 배포

  1. Azure portal https://portal.azure.com/ 에 로그인합니다.

    참고: 이 랩에 사용 중인 Azure 구독에 Owner 또는 Contributor 역할이 있는 계정을 사용하여 Azure Portal에 로그인합니다.

  2. Azure Portal 오른쪽 상단에 있는 첫 번째 아이콘을 클릭하여 Cloud Shell을 엽니다. 메시지가 표시되면 PowerShell을 선택합니다.

  3. Cloud Shell 창의 왼쪽 위 모서리에 있는 드롭다운 메뉴에서 PowerShell이 선택되었는지 확인합니다.

  4. 시작 창에서 기본 설정을 그대로 둡니다. 시작하려면 구독을 선택합니다. 선택적으로 스토리지 계정을 마운트하여 세션 간에 파일을 유지할 수 있습니다. 스토리지 계정은 필요하지 않습니다.

  5. 구독 드롭다운 메뉴에서 구독 로드를 선택합니다.

  6. 기존 비공개 가상 네트워크 사용을 선택하지 않은 상태로 두고 적용을 클릭합니다.

  7. Cloud Shell 창 내의 PowerShell 세션에서 다음을 실행하여 이 랩에서 사용할 리소스 그룹을 만듭니다.

     New-AzResourceGroup -Name AZ500LAB131415 -Location 'EastUS'

    참고: 이 리소스 그룹은 랩 8, 9, 10에 사용됩니다.

  8. Cloud Shell 창 내의 PowerShell 세션에서 다음을 실행하여 EAH(호스트에서 암호화)를 사용하도록 설정합니다.

     Register-AzProviderFeature -FeatureName "EncryptionAtHost" -ProviderNamespace Microsoft.Compute

  9. Cloud Shell 창 내의 PowerShell 세션에서 다음을 실행하여 새 Azure 가상 머신을 만듭니다.

     New-AzVm -ResourceGroupName "AZ500LAB131415" -Name "myVM" -Location 'EastUS' -VirtualNetworkName "myVnet" -SubnetName "mySubnet" -SecurityGroupName   "myNetworkSecurityGroup" -PublicIpAddressName "myPublicIpAddress" -PublicIpSku Standard -OpenPorts 80,3389 -Size Standard_D2s_v3

  10. 자격 증명에 대한 메시지가 표시되면:

    설정
    사용자 localadmin
    암호 랩 02 > 연습 2 > 작업 1 > 3단계에서 만든 개인 암호를 사용하세요.

    참고: 배포가 완료될 때까지 기다립니다.

  11. Cloud Shell 창 내의 PowerShell 세션에서 다음을 실행하여 myVM이라는 가상 머신이 생성되고 해당 ProvisioningState성공인지 확인합니다.

     Get-AzVM -Name 'myVM' -ResourceGroupName 'AZ500LAB131415' | Format-Table

  12. Cloud Shell 창을 닫습니다.

연습 2: Log Analytics 작업 영역 만들기

연습 시간: 10분

이 연습에서는 다음 작업을 완료합니다.

작업 1: Log Analytics 작업 영역 만들기

이 작업에서는 Log Analytics 작업 영역을 만듭니다.

  1. Azure Portal에서 Azure Portal 페이지 위쪽의 검색 리소스, 서비스 및 문서 텍스트 상자에서 Log Analytics 작업 영역을 입력하고 Enter 키를 누릅니다.

  2. Log Analytics 작업 영역 블레이드에서  + 만들기를 클릭합니다.

  3. Log Analytics 작업 영역 만들기 블레이드의 기본 탭에서 다음 설정을 지정합니다(다른 설정을 기본값으로 남겨둡니다).

    설정
    구독 이 랩에서 사용 중인 Azure 구독의 이름
    리소스 그룹 AZ500LAB131415
    이름 유효하며 전역적으로 고유한 이름
    지역 미국 동부

  4. 검토 + 만들기를 선택합니다.

  5. Log Analytics 작업 영역 만들기 블레이드의 검토 + 만들기 탭에서 만들기를 클릭합니다.

연습 3: Azure 스토리지 계정 만들기

예상 소요 시간: 10분

이 연습에서는 다음 작업을 완료합니다.

작업 1: Azure 스토리지 계정 만들기

이 작업에서는 스토리지 계정을 만듭니다.

  1. Azure Portal의 Azure Portal 페이지 상단에 있는 리소스, 서비스 및 문서 검색 텍스트 상자에 스토리지 계정을 입력하고 Enter 키를 누릅니다.

  2. Azure Portal의 스토리지 계정 블레이드에서 + 만들기 단추를 클릭하여 새 스토리지 계정을 만듭니다.

  3. 스토리지 계정 만들기 블레이드의 기본 탭에서 다음 설정을 지정합니다(나머지는 기본값을 그대로 유지).

    설정        
    구독 이 랩에서 사용 중인 Azure 구독의 이름        
    리소스 그룹 AZ500LAB131415        
    인스턴스 세부 정보 스토리지 계정 이름 문자와 숫자로 구성된 3~24자 길이의 전역적으로 고유한 이름   지역 (미국) EastUS
    기본 서비스 Azure Blob Storage 또는 Azure Data Lake Storage Gen 2        
    성능 표준(범용 v2 계정)        
    이중화 로컬 중복 스토리지(LRS)        

  4. 스토리지 계정 만들기 블레이드의 기본 탭에서 검토 + 만들기를 클릭합니다. 유효성 검사 프로세스가 완료되면 만들기를 클릭합니다.

    참고: 스토리지 계정이 만들어질 때까지 기다립니다. 이 작업은 2분 정도 걸립니다.

연습 4: 데이터 수집 규칙 만들기

예상 소요 시간: 15분

이 연습에서는 다음 작업을 완료합니다.

작업 1: 데이터 수집 규칙을 만듭니다.

이 작업에서는 데이터 수집 규칙을 만듭니다.

  1. Azure Portal의 Azure Portal 페이지 상단에 있는 리소스, 서비스 및 문서 검색 텍스트 상자에 모니터링을 입력하고 Enter 키를 누릅니다.

  2. 모니터 설정 블레이드에서  데이터 수집 규칙을 클릭합니다.

  3. + 만들기 버튼을 클릭하여 새 데이터 수집 규칙을 만듭니다.

  4. 데이터 수집 규칙 만들기 블레이드의 기본 사항 탭에서 다음 설정을 지정합니다.

    설정      
    규칙 세부 정보 규칙 이름 DCR1    
    구독 이 랩에서 사용 중인 Azure 구독의 이름   리소스 그룹 AZ500LAB131415
    지역 미국 동부      
    플랫폼 유형 Windows      
    데이터 수집 끝점 공백으로 두기      

    이미지

  5. 계속 진행하려면 다음: 리소스 > 라고 레이블이 지정된 단추를 클릭합니다.

  6. 리소스 페이지에서 + 리소스 추가를 선택합니다.

  7. 범위 선택 템플릿에서 범위에서 구독 상자를 선택합니다.

  8. 범위 선택 템플릿 하단에서 적용을 클릭합니다.

  9. 리소스 페이지 하단에서 다음: 수집 및 전달 > 을 선택합니다.

  10. + 데이터 원본 추가를 클릭한 다음 데이터 원본 추가 페이지에서 데이터 원본 형식 드롭다운 메뉴를 변경하여 성능 카운터를 표시합니다. 다음 기본 설정을 그대로 둡니다.

    설정
    성능 카운터 샘플 속도(초)
    CPU 60
    메모리 60
    디스크 60
    네트워크 60

이미지

  1. 계속 진행하려면 다음: 대상 > 이라고 레이블이 지정된 단추를 클릭합니다.

  2. + 대상 추가를 클릭하고 대상 유형 드롭다운 메뉴를 변경하여 Azure 모니터 로그가 표시되도록 합니다. 구독 창에서 구독이 표시되는지 확인한 다음 이전에 만든 Log Analytics 작업 영역을 반영하도록 계정 또는 네임스페이스 드롭다운 메뉴를 변경합니다.

  3. 페이지 하단에서 데이터 원본 추가를 클릭합니다.

    이미지

  4. 검토 + 만들기를 클릭합니다.

    이미지

  5. 만들기를 클릭합니다.

결과: Azure Monitor 에이전트를 사용하여 가상 머신에서 이벤트 및 성능 카운터를 수집하기 위해 Azure Virtual Machines, Log Analytics 작업 영역, Azure Storage 계정 및 데이터 수집 규칙을 배포했습니다.

참고: 이 랩에서 리소스를 제거하지 마십시오. 이 리소스는 클라우드용 Microsoft Defender 랩, ‘VM에서 Just-In-Time 액세스 사용’ 랩 및 Microsoft Sentinel 랩에 필요하기 때문입니다.