학습 경로 6 - 랩 1 - 연습 3 - 데이터 커넥터를 사용하여 Microsoft Sentinel에 Linux 호스트 연결
랩 시나리오
당신은 Microsoft Sentinel을 구현한 회사에서 근무하는 보안 운영 분석가입니다. 조직에 있는 많은 데이터 원본의 로그 데이터를 연결하는 방법을 알아야 합니다. 다음 데이터 원본은 레거시 에이전트를 통한 CEF(Common Event Formatting) 및 Syslog 커넥터를 사용하는 Linux 가상 머신입니다.
참고: 대화형 랩 시뮬레이션 을 사용하여 이 랩을 원하는 속도로 클릭할 수 있습니다. 대화형 시뮬레이션과 호스트된 랩 간에 약간의 차이가 있을 수 있지만 보여주는 핵심 개념과 아이디어는 동일합니다.
중요: 다음 작업에는 서로 다른 가상 머신에서 수행되는 단계가 있습니다. 가상 머신 이름 참조를 찾습니다.
작업 1: Microsoft Sentinel 작업 영역에 액세스
이 작업에서는 Microsoft Sentinel 작업 영역에 액세스합니다.
-
WIN1 가상 머신에 Admin으로 로그인합니다. 암호로는 Pa55w.rd를 사용하여 로그인합니다.
-
새 Microsoft Edge 브라우저를 시작합니다.
-
Edge 브라우저에서 Azure Portal(https://portal.azure.com )로 이동합니다.
-
랩 호스팅 공급자가 제공한 테넌트 전자 메일 계정을 복사하여 로그인 대화 상자에 붙여 넣은 후 다음을 선택합니다.
-
랩 호스팅 공급자가 제공한 테넌트 암호를 복사하여 암호 입력 대화 상자에 붙여 넣은 후 로그인을 선택합니다.
-
Azure Portal의 검색 창에 Sentinel을 입력하고 Microsoft Sentinel을 선택합니다.
-
이전 랩에서 만든 Microsoft Sentinel 작업 영역을 선택합니다.
작업 2: Common Event Format 커넥터를 사용하여 Linux 호스트 연결
이 작업에서는 레거시 에이전트를 통한 CEF(Common Event Format) 커넥터를 사용하여 Microsoft Sentinel에 Linux 호스트를 연결합니다.
-
Microsoft Sentinel 왼쪽 메뉴에서 콘텐츠 관리 섹션까지 아래로 스크롤하고 콘텐츠 허브를 선택합니다.
-
콘텐츠 허브에서 Common Event Format 솔루션을 검색하고 목록에서 선택합니다.
-
Common Event Format 솔루션 페이지에서 설치를 선택합니다.
-
설치가 완료되면 관리를 선택합니다.
참고: Common Event Format 솔루션은 AMA를 통한 CEF(Common Event Format) 와 CEF(Common Event Format) 데이터 커넥터를 모두 설치합니다.
-
CEF(Common Events Format) 데이터 커넥터를 선택하고 커넥터 정보 블레이드에서 커넥터 페이지 열기를 선택합니다.
-
구성 섹션의 지침 탭에서 1.2 Linux 컴퓨터에 CEF 수집기 설치에 표시된 명령을 클립보드에 복사합니다.
-
LIN1 가상 머신을 시작합니다. 랩 호스터가 제공한 사용자 이름 및 암호를 사용하여 로그인합니다. 힌트: 로그인 프롬프트를 보려면 Enter 키를 눌러야 할 수 있습니다.
-
LIN1 서버의 IP 주소를 적어 둡니다. 아래 스크린샷을 예제로 참조하세요.
-
WIN1 가상 머신으로 돌아갑니다. 시작 메뉴 아이콘을 마우스 오른쪽 단추로 클릭하여 관리자 권한으로 Windows PowerShell을 시작하고 Windows PowerShell(관리자) 를 선택합니다. 표시되는 사용자 계정 컨트롤 창에서 예를 선택하여 앱을 실행할 수 있도록 합니다. 힌트: 이전 연습에서 이미 열려 있는 Windows PowerShell 창이 있을 수 있습니다.
-
구체적인 Linux 서버 정보에 맞게 다음 PowerShell 명령을 수정하여 입력하고 Enter 키를 누릅니다.
ssh insert-your-linux-IP-address-here -l insert-linux-user-name-here
-
예를 입력하여 연결을 확인한 다음, 사용자의 암호를 입력하고 Enter 키를 누릅니다. 화면이 이제 다음과 같이 표시됩니다.
-
이제 이전 단계의 1.2 Linux 머신에 CEF 수집기 설치 명령을 붙여넣을 준비가 되었습니다. Azure의 스크립트가 클립보드에 있는지 확인합니다. PowerShell에서 상단 표시줄을 마우스 오른쪽 단추로 클릭하고 편집, 붙여넣기를 차례로 선택합니다.
-
붙여넣은 후 Enter 키를 누르기 전에 아래와 같이 단어 python에 문자 3을 추가합니다.
-
스크립트가 조정되면 Enter 키를 누릅니다. 스크립트가 Linux 서버에 대해 원격으로 실행됩니다. 스크립트가 올바르게 처리되면 이 화면과 비슷하게 됩니다.
-
종료를 입력하여 LIN1에 대한 원격 셸 연결을 닫습니다.
작업 3: Syslog 커넥터를 사용하여 Linux 호스트 연결
이 작업에서는 Syslog 커넥터를 사용하여 Microsoft Sentinel에 Linux 호스트를 연결합니다.
-
Microsoft Sentinel 포털이 열려 있는 Microsoft Edge 브라우저로 돌아가서 오른쪽 위 모서리에서 ‘x’를 선택하여 “레거시 에이전트를 통한 CEF(Common Event Format)” 데이터 커넥터 페이지를 닫습니다.
-
Microsoft Sentinel 왼쪽 메뉴에서 콘텐츠 관리 섹션까지 아래로 스크롤하고 콘텐츠 허브를 선택합니다.
-
콘텐츠 허브에서 Syslog 솔루션을 검색하고 목록에서 선택합니다.
-
Syslog 솔루션 페이지에서 설치를 선택합니다.
-
설치가 완료되면 관리를 선택합니다.
참고: Syslog 솔루션은 Syslog 데이터 커넥터, 5개의 분석 규칙, 9개의 헌팅 쿼리 및 1개의 통합 문서를 설치합니다.
-
Syslog 데이터 커넥터를 선택하고 커넥터 정보 블레이드에서 커넥터 페이지 열기를 선택합니다.
-
구성 섹션에서 Azure Linux가 아닌 컴퓨터에 에이전트 설치를 확장합니다.
-
Azure 외 Linux 컴퓨터용 에이전트 다운로드 및 설치 링크를 선택합니다.
참고: Log Analytics 작업 영역에는 연결된 2개의 Windows 컴퓨터가 표시됩니다.** 이는 이전에 연결된 WINServer 및 AZWIN01 가상 머신에 해당합니다.
-
Linux 서버 탭을 선택합니다.
참고: Log Analytics 작업 영역에는 연결된 1개의 Linux 컴퓨터가 표시됩니다. 이는 이전에 CEF 커넥터와 연결된 LIN1(ubuntu1) 가상 머신에 해당합니다.
-
Log Analytics 에이전트 지침을 선택합니다.
-
Linux용 에이전트 다운로드 및 설치 영역의 명령을 클립보드에 복사합니다.
-
LIN2 가상 머신을 시작합니다. 랩 호스터가 제공한 암호로 사용자 이름으로 로그인합니다. 힌트: 로그인 프롬프트를 보려면 Enter 키를 눌러야 할 수 있습니다.
-
LIN2 서버의 IP 주소를 적어 둡니다. 아래 스크린샷을 예제로 참조하세요.
-
WIN1 가상 머신으로 돌아갑니다. 이전 작업에 사용된 Windows PowerShell을 선택합니다.
-
구체적인 Linux 서버 정보에 맞게 다음 PowerShell 명령을 수정하여 입력하고 Enter 키를 누릅니다.
ssh insert-your-linux-IP-address-here -l insert-linux-user-name-here
-
예를 입력하여 연결을 확인한 다음, 사용자의 암호를 입력하고 Enter 키를 누릅니다. 화면이 이제 다음과 같이 표시됩니다.
-
이제 이전 단계의 Linux용 에이전트 다운로드 및 설치 명령을 붙여넣을 준비가 되었습니다. 스크립트가 클립보드에 있는지 확인합니다. PowerShell에서 상단 표시줄을 마우스 오른쪽 단추로 클릭하고 편집, 붙여넣기를 차례로 선택합니다.
-
스크립트를 붙여넣은 후에 Enter 키를 누릅니다. 스크립트가 Linux 서버에 대해 원격으로 실행됩니다. 연결 시도 간격
-
완료되면 종료를 입력하여 LIN2에 대한 원격 셸 연결을 닫습니다.
작업 4: Syslog 커넥터용으로 수집할 기능 및 해당 심각도 구성
이 작업에서는 Syslog 수집 기능을 구성합니다.
-
Microsoft Sentinel 포털이 열려 있는 Edge 브라우저로 돌아가서 오른쪽 위 모서리에서 ‘x’를 두 번 선택하여 “Log Analytics 작업 영역” 페이지와 “Syslog” 데이터 커넥터 페이지를 닫습니다.
-
Microsoft Sentinel 포털의 구성에서 설정 선택한 다음, 작업 영역 설정 탭을 선택합니다.
-
클래식 영역에서 레거시 에이전트 관리를 선택합니다.
-
Syslog 탭을 선택합니다.
-
+ 기능 추가 단추를 선택합니다.
-
기능 이름 드롭다운 메뉴에서 인증을 선택합니다.
-
+ 기능 추가 단추를 다시 선택합니다.
-
시설 이름 드롭다운 메뉴에서 syslog를 선택합니다.
-
적용을 선택하여 변경 내용을 저장합니다.