Qumulo Audit 및 Azure Log Analytics로 데이터 보호

이 문서에서는 Qumulo Audit을 사용하여 이벤트를 Azure Monitor로 전달하고 Azure Log Analytics를 쿼리하여 데이터를 보호하는 방법을 알아봅니다.

맬웨어 공격은 품질과 양이 증가하여 수십만 개의 IT 시스템을 감염시키고 모든 종류의 비즈니스에 수십억 달러는 아니더라도 수백만 달러의 피해를 입히고 있습니다. 보안 아키텍처를 잘 고려하는 것은 온프레미스 및 클라우드의 모든 IT 인프라 환경에 매우 중요합니다.

　 Qumulo 파일 데이터 플랫폼 포괄적인 보안 아키텍처를 지원하는 광범위한 현대 기술 및 데이터 서비스를 포함합니다. 다음 섹션에서는 Azure Log Analytics와 함께 Qumulo 감사 로깅 기능을 사용하여 사용자, 파일 경로, 권한, 상태, 변경 및 삭제를 포함한 파일 시스템 작업을 추적하는 방법을 보여줍니다.  

Qumulo 파일 시스템은 감사 이벤트를 Azure Monitor로 직접 보내지 않기 때문에 syslog 서버를 사용하여 메시지를 수신하고 Azure Monitor 에이전트와 함께 Azure Monitor로 전달합니다. 이 문서는 수집 프로세스, 즉 Qumulo 이벤트를 Azure Monitor로 가져온 다음 Log Analytics 작업 영역에서 몇 가지 기본 쿼리를 수행하는 방법에 중점을 둡니다. 이후 블로그에서는 Azure Sentinel을 사용한 능동적인 위협 사냥에 중점을 둘 것입니다.

 

Azure 모니터링

Azure Monitor는 모든 종류의 컴퓨터 로그 데이터 및 메트릭을 저장하는 Microsoft의 플랫폼입니다. 모든 종류의 데이터를 분석, 쿼리, 시각화 및 상호 연관시키는 풍부한 도구 세트를 제공합니다.

Qumulo 감사 이벤트를 Azure Monitor로 수집하면 다음을 수행할 수 있습니다.

• 모든 파일 시스템 작업을 추적합니다.
• 고급 쿼리를 만들고 다양한 데이터 소스의 상관 관계를 지정합니다(예: Active Directory 또는 방화벽의 이벤트 로깅). 이렇게 하면 의심스러운 활동을 훨씬 쉽게 감지할 수 있습니다.
• Azure Sentinel과 함께 기계 학습 기술을 사용하여 비정상적인 동작을 자동으로 감지합니다.
• 자동화 통합 문서를 사용하여 자동화된 응답을 실행합니다.
• 대규모 또는 비정상적인 삭제 활동.
• 특정 사용자 또는 컴퓨터의 예기치 않은 작업.
• 예기치 않은 권한 오류가 있는 사용자 및 경로.

Azure 모니터링에 대한 자세한 내용은 다음을 방문하세요. Azure 모니터 개요.

Qumulo 감사

감사 로그인 Qumulo 코어 파일 시스템 작업을 추적하는 메커니즘을 제공합니다. 연결된 클라이언트가 클러스터에 요청을 보내면 시도한 각 작업(읽기, 쓰기, 삭제 등)을 설명하는 로그 메시지가 생성됩니다. 이러한 로그 메시지에는 syslog 메시지 본문의 이벤트에 대한 모든 관련 정보(클라이언트의 IP 주소, 사용자 이름 및 사용자 ID, 작업, 파일 이름, 대상 파일 또는 디렉토리의 ID)가 포함됩니다. 그런 다음 이벤트는 네트워크를 통해 현재 감사 구성에 따라 지정된 원격 syslog 인스턴스로 전송됩니다. RFC 5424. 

Qumulo Auditing에 대한 자세한 내용은 다음을 방문하십시오. Qumulo 코어 감사 로깅.

Qumulo는 이러한 로그를 구문 분석하거나 분석하지 않습니다. 따라서 다음과 같은 적절한 도구로 수집할 수 있습니다. Azure 모니터 다음과 같은 도구를 사용하여 쿼리, 상관 관계 및 시각화 Azure 로그 분석 or 하늘빛 파수꾼.

Azure Monitor에 Qumulo 감사 데이터 보내기

Azure Monitor에 로그 메시지를 보내는 다양한 옵션이 있습니다. 예를 들어:

1. 사용 Azure 모니터링 에이전트 syslog 전달을 위해
2. 사용 로그 분석 에이전트 syslog 전달을 위해 
3. HTTP 데이터 수집기 ​​API

이 게시물에서는 Azure Monitoring Agent 사용에 중점을 둡니다. 이 게시 날짜(2021년 XNUMX월)를 기준으로 Azure Monitor 에이전트는 미리 보기 상태였습니다. 그러나 Log Analytics 에이전트 및 Telegraph 에이전트와 같은 몇 가지 다른 에이전트를 대체하고 통합합니다. 따라서 우리는 이 최신 에이전트에 중점을 둡니다(잘 작동하지만 다르게 배포되는 Log Analytics 에이전트도 테스트했습니다). 

Azure Monitoring 에이전트에 대한 자세한 내용은 다음을 방문하세요. Azure 모니터링 에이전트 개요 그리고 HTTP 데이터 수집기 사이트.

구현 단계

Qumulo 감사 이벤트를 보내는 데 필요한 구현 단계는 비교적 간단합니다.

1. Azure Portal에서 Log Analytics 작업 영역 만들기
2. Azure Arc 지원 서버 에이전트를 설치합니다(syslog 서버가 다음과 같은 경우에만 필요합니다. 지원 Azure에서 실행)
3. DCR(데이터 수집 규칙)을 만듭니다. Azure Monitoring Agent는 선택한 대상 머신에 자동으로 배포됩니다. 
4. syslog VM에 감사 이벤트를 보내도록 Qumulo 구성

구현 시 모든 감사 이벤트가 Azure Monitor로 전송되고 감사 로그 쿼리 및 분석을 시작할 수 있습니다. 

자세한 구현 단계, Qumulo 기술 자료 문서를 참조하십시오.  A감사 Azure Monitor를 사용하는 Azure의 Qumulo. 

쿼리 로그 분석

감사 로그를 쿼리하려면:

• Azure 포털에 로그인
• 모니터로 이동
• Log Analytics 작업 영역 선택
• 로그 선택
• 검색어를 입력하세요

Azure Log Analytics를 사용하면 쿼리 언어 Kusto를 사용하여 모든 종류의 단순하고 복잡한 쿼리를 입력할 수 있습니다(자세한 내용은 Kusto 시작하기).  

단순히 모든 syslog 메시지를 표시하려면 다음을 입력하십시오. syslog 검색 파일에 입력하면 들어오는 모든 syslog 메시지를 볼 수 있습니다.

| 여기서 HostName은 "du6"으로 시작합니다.

이것은 du6*으로 시작하는 호스트에서만 생성된 이벤트를 나열합니다.

syslog 메시지에서 필드 추출

syslog 메시지는 원시 형식으로 저장됩니다. 형식이 설명되어 있습니다. 여기에서 지금 확인해 보세요. 세부적으로 IPv4 또는 IPv6, 사용자 ID, 프로토콜, 컴퓨터, 작업, 대상 파일 또는 디렉토리 등과 같은 여러 필드를 포함합니다.

샘플은 다음과 같습니다.
192.168.1.10,"AD\앨리스",nfs,fs_read_data,ok,123,"/.snapshot/1_snapshot1225/dir/","

더 복잡한 쿼리의 경우 syslog 메시지 본문의 다른 값을 별도의 필드로 추출하는 것이 도움이 될 수 있습니다. 이 작업은 다음 쿼리로 수행할 수 있습니다.

시스템 로그
| CSVFields 확장 = split(SyslogMessage, ',')
| 클라이언트IP 확장 = tostring(CSVFields[0])
| 확장 사용자 ID = tostring(CSVFields[1])
| 프로토콜 확장 = tostring(CSVFields[2])
| 확장 작업 = tostring(CSVFields[3])
| 응답 코드 확장 = tostring(CSVFields[4])
| 확장 MessageID = tostring(CSVFields[5])
| 확장 파일 = tostring(CSVFields[6])
| 확장 상태 = tostring(CSVFields[7])

이제 쿼리를 자세히 설명하는 데 사용할 수 있는 필드 이름이 있습니다. 또는 쿼리를 더 쉽게 재사용하고 더 복잡한 쿼리로 저장할 수 있습니다. 예를 들어 위의 쿼리를 다음과 같은 함수에 저장합니다. 쿠물로 이벤트. 

그런 다음 선택한 범위의 텍스트 파일에 대해 수행된 모든 감사 이벤트를 볼 수 있습니다.

Qumulo 이벤트
| 프로젝트 EventTime, ClientIP, 파일, 작업
| 여기서 파일에는 "txt"가 포함됩니다.

요약 

Azure Monitor는 다양한 원본 및 대상에 대한 방대한 데이터 분석 옵션 집합을 제공합니다. 이 문서에서는 Azure Monitor 에이전트를 사용하여 Qumulo Audit 이벤트를 Azure Monitor Logs로 보내는 방법과 Log Analytics Workspace에서 이러한 이벤트를 쿼리할 수 있는 방법에 대한 개요를 제공했습니다.

추후 블로그에서 다루도록 하겠습니다 발견하는 방법 악의적 인 행동 사용하는 환경에서 능동적인 위협 사냥 기술 및 머신 러닝(ML) 기능.

자세히 알아보기

• 하이브리드 클라우드로 가는 길: QaaS(Azure as a Service)의 Qumulo
• Azure Monitor를 사용하여 Azure에서 Qumulo 감사, 구현 단계
• 데이터 보호를 위해 Qumulo의 내장 보안 제어를 사용하는 방법
• 맬웨어에 대해 Qumulo의 예방 제어를 사용하는 방법
• 데이터 유출에 대해 Qumulo의 탐정 컨트롤을 사용하는 방법
• 데이터 손실을 최소화하기 위해 Qumulo의 수정 컨트롤을 사용하는 방법

문의하기

• 시승하기. 새로운 대화형 실습 랩에서 Qumulo의 제품을 시연하거나 무료 평가판을 요청하십시오.
  
• Qumulo 블로그 구독 고객 사례, 기술 통찰력 및 제품 뉴스를 제공합니다.