[06/19] SC-200 Azure Monitor — 이론 완성
작성자: azure | 작성일: 2026년 06월 19일 | 조회: 0 | 좋아요: 0
Microsoft Security Operations Analyst Associate (SC-200)
모니터링 및 관리 핵심 이론 강의
중앙 집중식 보안 로깅 및 위협 분석 (Centralized Security Logging and Threat Analysis)
Azure Monitor, Log Analytics, 그리고 Azure Sentinel을 활용한 통합 보안 운영
효과적인 보안 운영을 위해서는 다양한 소스에서 발생하는 보안 관련 데이터를 수집, 상호 연관 분석하여 위협을 식별하는 것이 필수적입니다. 이 강의는 Microsoft Azure의 강력한 모니터링 및 분석 도구들을 활용하여 클라우드 및 하이브리드 환경의 보안 이벤트를 중앙 집중화하고, 심층적인 위협 분석을 수행하는 방법을 다룹니다. 이를 통해 보안 분석가는 잠재적 위협을 신속하게 탐지하고 대응할 수 있는 능력을 갖추게 됩니다. SC-200 시험에서 가장 중요한 핵심 역량 중 하나입니다.
1 Azure Log Analytics 작업 영역 (Workspace)
Azure Log Analytics 작업 영역은 모든 종류의 로그 및 메트릭 데이터를 중앙에서 수집하고 저장하는 Azure Monitor의 핵심 구성 요소입니다. 보안 운영 관점에서, 이는 Azure 리소스, 온프레미스 서버, 네트워크 장비 및 기타 보안 솔루션에서 생성되는 보안 이벤트 로그를 통합 저장하는 역할을 합니다. 수집된 데이터는 Kusto Query Language (KQL)를 사용하여 쿼리하고 분석할 수 있으며, Azure Sentinel의 기반 데이터 스토리지로 활용됩니다.
2 Kusto Query Language (KQL) 기반 위협 탐지
KQL은 Log Analytics 작업 영역에 저장된 데이터를 탐색하고 분석하기 위한 강력한 쿼리 언어입니다. SC-200 시험에서는 KQL을 사용하여 특정 보안 이벤트, 비정상적인 패턴, 잠재적 위협 지표를 식별하는 능력이 중요합니다. 예를 들어, 실패한 로그인 시도, 특정 IP 주소에서의 비정상적인 네트워크 트래픽, 권한 상승 시도 등을 효과적으로 검색하고 시각화할 수 있습니다. KQL 숙달은 위협 헌팅(Threat Hunting)과 인시던트 조사에 필수적입니다.
3 Azure Sentinel 데이터 커넥터 (Data Connectors) 및 통합
Azure Sentinel은 클라우드 네이티브 SIEM(Security Information and Event Management) 및 SOAR(Security Orchestration, Automation, and Response) 솔루션으로, Log Analytics 작업 영역을 기반으로 합니다. 데이터 커넥터는 Azure Active Directory, Azure Activity Logs, Microsoft 365, 온프레미스 방화벽, 서드파티 솔루션 등 다양한 보안 데이터 소스를 Log Analytics 작업 영역으로 안전하게 연결하고 통합하는 메커니즘입니다. 이러한 통합을 통해 Sentinel은 여러 소스의 데이터를 상호 연관 분석하여 포괄적인 위협 가시성과 인시던트 관리 기능을 제공합니다.
한 글로벌 제조 기업은 하이브리드 클라우드 환경에서 발생하는 보안 위협을 통합적으로 모니터링하고 대응하고자 합니다. 이들은 Azure VM, PaaS 서비스, 온프레미스 데이터센터, Microsoft 365 등 여러 환경을 운영 중입니다.
**구성 및 활용:**
1. **중앙 로깅 설정:** 모든 Azure 리소스(가상 머신 (Virtual Machine), 네트워크 보안 그룹 (Network Security Group), 웹 애플리케이션 방화벽 (Web Application Firewall) 등)의 진단 로그 (Diagnostic Logs)와 활동 로그 (Activity Logs)를 중앙 Log Analytics 작업 영역으로 라우팅합니다. 온프레미스 서버의 보안 이벤트 로그(Windows Event Logs, Syslog)는 Log Analytics 에이전트 (Log Analytics Agent)를 사용하여 동일한 작업 영역으로 수집합니다.
2. **Sentinel 통합:** Azure Sentinel을 Log Analytics 작업 영역에 연결하고, Azure Active Directory 감사 로그, Microsoft 365 통합 감사 로그, 방화벽 로그 등 필수적인 보안 데이터 커넥터를 활성화합니다. 이를 통해 모든 보안 관련 데이터가 Sentinel에서 분석될 수 있도록 합니다.
3. **위협 탐지 및 대응:** 보안 분석가는 Azure Sentinel의 분석 규칙 (Analytics Rules)을 구성하여 KQL 기반으로 잠재적인 위협 패턴(예: 다중 실패 로그인 후 성공, 비정상적인 데이터 전송)을 자동으로 탐지하고 인시던트를 생성합니다. 생성된 인시던트에는 Azure Playbook (Logic Apps)을 연동하여 특정 유형의 위협(예: 사용자 계정 잠금, 방화벽 규칙 업데이트)에 대해 자동화된 대응 조치를 실행합니다.
**모범 사례 (Best Practice):**
* **데이터 보존 정책:** 규정 준수 및 조사 요구 사항에 따라 Log Analytics 작업 영역의 데이터 보존 정책을 신중하게 설정합니다.
* **RBAC (Role-Based Access Control):** Log Analytics 작업 영역 및 Azure Sentinel에 대한 최소 권한 원칙 (Principle of Least Privilege)을 적용하여 보안 데이터에 대한 접근을 엄격하게 통제합니다.
* **쿼리 최적화:** KQL 쿼리를 정기적으로 검토하고 최적화하여 탐지 효율성을 높이고 비용을 절감합니다.
**Log Analytics Workspace vs. Azure Sentinel 역할 비교:** Log Analytics는 데이터 '저장소'이자 쿼리 엔진이며, Azure Sentinel은 Log Analytics 위에 구축된 'SIEM/SOAR 솔루션'으로, 탐지, 조사, 대응 기능을 제공합니다. 이 둘의 관계와 각자의 주요 기능을 명확히 이해해야 합니다.
**KQL (Kusto Query Language) 기본 문법 및 보안 시나리오 적용:** 'where', 'project', 'extend', 'summarize', 'join' 등 핵심 KQL 연산자를 사용하여 일반적인 보안 이벤트(예: 실패한 로그인 시도, 특정 사용자 활동, 네트워크 트래픽 패턴)를 필터링하고 분석하는 방법을 숙지해야 합니다.
**Azure Sentinel 데이터 커넥터의 종류 및 소스 이해:** Azure AD, Azure Activity, Office 365, Windows Security Events, Syslog/Common Event Format (CEF) 등 주요 데이터 소스와 이들을 Sentinel로 가져오는 커넥터의 특징을 파악해야 합니다. 어떤 종류의 보안 로그가 어떤 커넥터를 통해 수집되는지 구별하는 문제가 출제될 수 있습니다.
🏷️ 관련 Azure 서비스
📚 Azure 자격증 합격을 위한 데일리 이론 강의
매일 새로운 강의 노트가 업데이트됩니다 | 더 많은 자료 보기 →