Microsoft Intune 로그를 Microsoft Sentinel로 수집하는 방법

Microsoft Intune을 사용하여 장치를 관리하는 많은 조직에게 Intune 로그를 Microsoft Sentinel과 통합하는 것은 보안 운영(장치를 SIEM에 통합)의 필수 요소입니다. Intune의 장치 관리 및 컴플라이언스 데이터를 중앙 SIEM으로 라우팅하면 엔드포인트 이벤트에 대한 통합된 시야를 확보할 수 있으며, 장치의 컴플라이언스 위반이나 정책 변경과 같은 중요한 Intune 활동에 대해 알림을 설정할 수 있습니다. 이러한 통합 모니터링은 보안 및 IT 팀이 문제를 더 빨리 탐지하고, 위협 헌팅을 위해 Intune 이벤트를 다른 보안 로그와 상관 분석하며, 컴플라이언스 보고를 개선하는 데 도움이 됩니다. 당사는 고객이 Intune 로그 수집을 구성할 때 겪는 일반적인 어려움을 해결하기 위해 이러한 베스트 프랙티스를 게시합니다. 이 단계별 가이드를 통해 Intune 로그를 Microsoft Sentinel로 성공적으로 전송하고, 향상된 보안 및 컴플라이언스 가시성을 위해 Intune 데이터를 완전히 활용하는 방법을 배울 수 있습니다.

사전 요구 사항 및 개요

로그 수집을 구성하기 전에 다음 사전 요구 사항이 충족되었는지 확인하세요.

• Microsoft Sentinel 활성화 작업 영역: Microsoft Sentinel이 활성화된 Log Analytics 작업 영역이 필요합니다. 작업 영역 설정 및 Microsoft Sentinel 온보딩에 대한 자세한 내용은 Microsoft Sentinel 온보딩 - Log Analytics 작업 영역 개요를 참조하세요. 현재 Microsoft Sentinel은 Defender 포털에서도 사용할 수 있습니다. Microsoft Sentinel 작업 영역을 Defender 포털에 연결하려면 다음을 참조하세요: Microsoft Sentinel을 Microsoft Defender 포털에 연결 - 통합 보안 운영.
• Intune 관리자 권한: Intune **진단 설정(Diagnostic Settings)**을 구성하려면 적절한 권한이 필요합니다. 자세한 내용은 Microsoft Entra 기본 제공 역할 - Intune 관리자를 참조하세요.
• Log Analytics 기여자 역할: 진단을 구성하는 계정은 Log Analytics 작업 영역에 쓸 수 있는 권한이 있어야 합니다. 다양한 역할과 기능에 대한 자세한 내용은 Azure Monitor에서 로그 데이터 및 작업 영역에 대한 액세스 관리를 참조하세요.

Intune 진단 로깅 활성화: Intune 진단 설정이 Azure Monitor / Log Analytics로 로그를 보내도록 구성되어 있는지, 그리고 관련 관리 및 컴플라이언스 이벤트가 생성되도록 장치와 사용자가 Intune에 등록되어 있는지 확인하세요. 자세한 내용은 Intune 로그 데이터를 Azure Storage, Event Hubs 또는 Log Analytics로 보내기를 참조하세요.

Microsoft Sentinel로 로그를 보내도록 Intune 구성하기

1. Microsoft Intune 관리 센터에 로그인합니다.

2. 보고서(Reports) > **진단 설정(Diagnostics settings)**을 선택합니다. 처음 방문하는 경우 Intune의 진단 설정을 "켜기(Turn on)"라는 메시지가 표시될 수 있습니다. 활성화한 후 **"+ 진단 설정 추가(+ Add diagnostic setting)"**를 클릭하여 새 설정을 만듭니다. Microsoft Intune 진단 설정 페이지 – 진단 설정 추가.

   • Intune 로그 카테고리 선택: "진단 설정" 구성 페이지에서 설정 이름(예: “Microsoft Sentinel Intune Logs Demo”)을 입력합니다. 로그(Logs) 섹션에서 각 Intune 로그 카테고리에 대한 확인란이 보입니다. 전달하려는 카테고리를 선택합니다. 포괄적인 모니터링을 위해 AuditLogs, OperationalLogs, DeviceComplianceOrg, Devices를 선택하는 것이 좋습니다. 선택한 로그 카테고리는 Microsoft Sentinel 작업 영역의 테이블로 전송됩니다. Microsoft Intune 진단 설정 페이지 – 로그 카테고리.

3. 대상 세부 정보 구성 – Microsoft Sentinel 작업 영역: 동일한 페이지의 대상 세부 정보(Destination details) 아래에서 Azure 구독을 선택한 다음 Microsoft Sentinel 작업 영역을 선택합니다. Microsoft Intune 진단 설정 페이지 - 대상 세부 정보.

4. 진단 설정 저장: 저장을 클릭하면 Microsoft Intune 로그가 분석 계층(Analytics Tier)에 있는 4개의 테이블로 스트리밍됩니다. 분석 계층의 가격 책정은 비용 계획 및 Microsoft Sentinel 요금 청구 이해에서 확인할 수 있습니다. Microsoft Intune 진단 설정 페이지 – 저장된 진단 설정.

5. Microsoft Sentinel에서 데이터 확인: Intune 진단 데이터를 Microsoft Sentinel 작업 영역으로 보내도록 구성한 후, 로그가 성공적으로 유입되고 있는지 확인하는 것이 중요합니다. Microsoft 365 Defender 포털과 Azure 포털 모두에서 특정 Intune 로그 테이블을 확인하여 이를 수행할 수 있습니다. 확인할 주요 테이블은 다음과 같습니다.

   • IntuneAuditLogs
   • IntuneOperationalLogs
   • IntuneDeviceComplianceOrg
   • IntuneDevices

   Microsoft 365 Defender 포털 (통합)	Azure 포털 (Microsoft Sentinel)
   1. 고급 헌팅(Advanced Hunting) 열기: https://security.microsoft.com(통합 포털)에 로그인하여 고급 헌팅으로 이동합니다. – 여기에서 Microsoft Defender 데이터와 연결된 모든 Sentinel 데이터를 검색할 수 있는 통합 쿼리 편집기가 열립니다.	1. 로그(Logs)로 이동: https://portal.azure.com에 로그인하여 Microsoft Sentinel을 엽니다. Sentinel 작업 영역을 선택한 다음 일반 아래의 **로그(Logs)**를 클릭합니다.
   2. Intune 테이블 찾기: 쿼리 편집기 왼쪽의 스키마 창에서 Microsoft Sentinel Tables를 지나 아래로 스크롤합니다. LogManagement 섹션 아래에서 IntuneAuditLogs, IntuneOperationalLogs, IntuneDeviceComplianceOrg, IntuneDevices를 확인합니다.	2. Intune 테이블 찾기: 로그 쿼리 편집기의 왼쪽 테이블 목록에서 LogManagement를 찾아 확장합니다. 여기에서 IntuneAuditLogs, IntuneOperationalLogs, IntuneDeviceComplianceOrg, IntuneDevices 테이블을 확인할 수 있습니다.
   Microsoft Sentinel in Defender Portal – Tables	Microsoft Sentinel in Azure Portal – Tables

6. Sentinel에서 Intune 로그 테이블 쿼리: 테이블이 확인되면 어느 포털에서나 Kusto 쿼리 언어(KQL)를 사용하여 Intune 데이터를 보고 분석할 수 있습니다.

   Microsoft 365 Defender 포털 (통합)	Azure 포털 (Microsoft Sentinel)
   고급 헌팅 페이지에서 다음과 같은 간단한 KQL 쿼리를 실행합니다. ```json
   IntuneDevice	take 5
   ``` 쿼리 실행을 클릭하여 샘플 레코드를 확인합니다. 결과가 나오면 데이터 수집이 성공한 것입니다. (Sentinel 데이터 쿼리에는 최소 Microsoft Sentinel 독자 역할이 필요합니다.)	Azure 로그 블레이드에서 다음과 같은 간단한 KQL 쿼리를 실행합니다. ```json
   IntuneDevice	take 5
   ``` 실행을 선택하여 결과를 확인합니다. 결과가 나타나면 로그가 성공적으로 수집되고 있는 것입니다. IntuneDeviceComplianceOrg 등을 쿼리하여 비준수 장치를 식별하는 등 데이터를 더 탐색할 수 있습니다.

7. 로그가 유입되면 원시 데이터를 실행 가능한 보안 신호로 변환하는 것이 진정한 가치입니다. 이를 위해 Intune 로그를 지속적으로 분석하고 위험하거나 의심스러운 동작을 자동으로 플래그 지정하는 감지 규칙을 설정해야 합니다. 실제로 이는 Microsoft Defender 포털에서 사용자 지정 탐지 규칙(설명 링크)을 만들거나, Microsoft Sentinel에서 예약된 분석 규칙(설명 링크)을 만드는 것을 의미합니다.

   이러한 감지 규칙은 장치 컴플라이언스 상태, 등록 활동 및 관리자 작업을 지속적으로 모니터링하여 의심스러운 이벤트가 감지될 때마다 알림을 생성합니다. 예를 들어, 대량의 장치가 컴플라이언스를 위반하거나, 등록 실패가 급증하거나, 예상치 못한 계정에 의해 Intune 정책이 수정될 때 알림을 받을 수 있습니다. 각 알림은 인시던트로 생성되어 보안 팀이 표준 SOC 워크플로우를 통해 조사하고 대응할 수 있게 합니다.

   탐지 규칙 생성을 위한 예시 로직

   IntuneDeviceComplianceOrg
   | where TimeGenerated > ago(24h)
   | where ComplianceState != "Compliant"
   | summarize NonCompliantCount = count() by DeviceName, TimeGenerated
   | where NonCompliantCount > 3
   

   추가 팁:

   • 시각화를 위한 통합 문서(Workbooks): Intune 데이터를 위한 대시보드를 구축하여 장치 컴플라이언스 추세를 시각적으로 모니터링하세요.
   • 헌팅 및 쿼리: 통합 Defender 포털의 고급 헌팅을 사용하여 Intune 로그와 Defender 데이터를 함께 쿼리함으로써 상관 관계를 분석하세요.
   • 인시던트 관리: Sentinel 또는 Defender의 통합 인시던트 대기열을 사용하여 Intune 관련 알림을 다른 보안 인시던트와 동일하게 관리하세요.
   • 기본 제공 규칙 및 콘텐츠: Sentinel Content Hub 솔루션을 확인하여 활용 가능한 기능을 찾아보세요.

자주 묻는 질문 (FAQ)

1. 모든 설정을 마쳤는데 Sentinel에서 로그가 보이지 않는다면 다음을 확인하세요.

   1. 진단 설정 확인: Intune 관리 센터 -> 보고서 -> 진단 설정에서 설정이 '켜짐'이고 올바른 작업 영역으로 전송 중인지 확인하세요.
   2. 올바른 작업 영역 확인: 구독과 작업 영역이 정확히 선택되었는지 다시 확인하세요.
   3. 권한 확인: 구성 계정에 충분한 권한이 있는지 확인하세요.
   4. 로그 생성 여부 확인: 등록된 장치가 없거나 작업이 수행되지 않았다면 로그가 없을 수 있습니다. 정책을 변경하여 로그를 발생시켜 보세요.
   5. 쿼리 확인: 시간 범위와 작업 영역이 올바른지 확인하세요. IntuneAuditLogs | take 5와 같이 직접 쿼리해 보세요.
   6. 여전히 해결되지 않는다면?: 진단 설정을 삭제하고 다시 추가해 보세요. 대부분의 문제는 권한이나 잘못된 작업 영역 선택에서 발생합니다.

2. Intune 로그는 얼마나 오래 보관되며, 더 오래 보관하려면 어떻게 하나요?

   • 분석 계층은 기본적으로 90일 동안 대화형 보관(Interactive Retention) 상태로 데이터를 유지하며, 최대 2년까지 확장할 수 있습니다. 자세한 내용은 Microsoft Sentinel의 로그 보존 계층을 참조하세요.

이 가이드가 리소스를 성공적으로 연결하고 Intune 로그를 Microsoft Sentinel로 수집하는 데 도움이 되기를 바랍니다. 궁금한 점이 있으면 아래에 댓글을 남기거나 X @MSFTSecSuppTeam으로 연락해 주세요!