Microsoft Windows 이벤트 로그를 위한 소스 구성 - Amazon CloudWatch
Windows 이벤트와 통합Windows 이벤트로 인증CloudWatch 파이프라인 구성지원되는 Open Cybersecurity Schema Framework 이벤트 클래스

Microsoft Windows 이벤트 로그를 위한 소스 구성

Windows 이벤트와 통합

Microsoft Windows 이벤트 로그는 Windows 운영 체제에서 시스템, 보안, 애플리케이션 이벤트를 기록하는 포괄적인 로깅 시스템을 제공합니다. CloudWatch Pipeline은 Log Analytics API를 사용하여 Windows 서버 및 워크스테이션에서 시스템 작업, 보안 이벤트, 사용자 활동, 애플리케이션 동작에 대한 정보를 검색합니다. Log Analytics API를 사용하면 KQL(Kusto Query Language) 쿼리를 통해 이벤트 데이터에 액세스할 수 있으므로, Log Analytics 워크스페이스에서 Windows 이벤트 로그를 검색할 수 있습니다.

Windows 이벤트로 인증

Windows 이벤트 감사 로그를 읽으려면 파이프라인이 사용자의 계정으로 인증해야 합니다. 플러그인은 OAuth2 인증을 지원합니다. 다음 지침에 따라 Microsoft Windows Event: Log Analytics API를 시작합니다.

  • 지원되는 계정 유형, 이 조직 디렉터리의 계정(단일 테넌트)으로만 Azure에 애플리케이션을 등록합니다. 등록이 완료되면 애플리케이션(클라이언트) ID와 디렉터리(테넌트) ID를 메모합니다.

  • 애플리케이션에 대한 새 클라이언트 보안 암호를 생성합니다. 클라이언트 보안 암호는 액세스 토큰에 대한 인증 코드를 교체할 때 사용됩니다. 보안 암호 값은 다시 표시되지 않으므로 즉시 복사합니다.

  • AWS Secrets Manager에서 보안 암호를 생성한 후 client_id라는 키로 애플리케이션(클라이언트) ID를 저장하고 client_secret이라는 키로 클라이언트 보안 암호를 저장합니다.

  • 애플리케이션이 Log Analytics API에 액세스하는 데 필요한 API 권한을 지정합니다. 필요한 권한은 Data.Read이며, 이 권한은 KQL 쿼리를 실행하고 Log Analytics 워크스페이스에서 로그 데이터(Windows 이벤트 로그 포함)를 읽는 데 필요합니다.

  • Log Analytics 워크스페이스 생성 및 구성: Azure 포털에서 워크스페이스를 생성합니다(Monitor → Log Analytics 워크스페이스). 데이터 수집 규칙(DCR)을 생성하여 수집할 Windows 이벤트 로그(시스템, 애플리케이션, 보안)를 지정합니다. DCR을 통해 Windows 서버/VM을 워크스페이스에 연결합니다. 워크스페이스 개요 페이지에서 워크스페이스 ID를 메모해 둡니다(API 쿼리에 필요).

  • 애플리케이션에 워크스페이스 액세스 권한 부여: Log Analytics 워크스페이스 → Access control(IAM)로 이동합니다. 등록된 애플리케이션에 Log Analytics Reader 역할을 할당합니다. 이 RBAC 역할은 API 권한과 함께 작동하여 보안 액세스를 제공합니다. OAuth는 API 사용 권한을 확인하며, IAM은 워크스페이스 데이터 액세스 권한을 확인합니다.

CloudWatch 파이프라인 구성

로그를 읽도록 파이프라인을 구성할 경우 Microsoft Windows 이벤트를 데이터 소스로 선택합니다. 디렉터리(테넌트) ID 및 워크스페이스 ID(workspace_id)를 사용하여 테넌트 ID 같은 필수 정보를 입력합니다. 파이프라인을 생성하면 선택한 CloudWatch Logs 로그 그룹에서 데이터를 사용할 수 있습니다.

지원되는 Open Cybersecurity Schema Framework 이벤트 클래스

이 통합은 OCSF 스키마 버전 v1.5.0을 지원하고 계정 변경(3001), 인증(3002), 엔터티 관리(3004), 이벤트 로그 활동(1008), 파일 시스템 활동(1001), 그룹 관리(3006), 커널 활동(1003)에 매핑되는 감사 이벤트를 지원합니다.

계정 변경에는 다음 이벤트가 포함됩니다.

  • 4740

인증에는 다음 이벤트가 포함됩니다.

  • 4624

  • 4625

  • 4634

  • 4647

  • 4648

  • 4649

  • 4672

엔터티 관리에는 다음 이벤트가 포함됩니다.

  • 4616

  • 4907

  • 4719

  • 4902

이벤트 로그 활동에는 다음 이벤트가 포함됩니다.

  • 1100

  • 1102

  • 1104

  • 1105

파일 시스템 활동에는 다음 이벤트가 포함됩니다.

  • 4608

  • 4660

  • 4688

  • 4696

  • 4826

  • 5024

  • 5033

  • 5058

  • 5059

  • 5061

  • 5382

  • 5379

그룹 관리에는 다음 이벤트가 포함됩니다.

  • 4732

  • 4798

  • 4799

  • 4733

  • 4731

  • 4734

  • 4735

커널 활동에는 다음 이벤트가 포함됩니다.

  • 4674