이 문서에서는 AMA(Azure Monitor 에이전트)를 사용하는 Azure CTI(변경 내용 추적 및 인벤토리)에 대한 개요를 제공합니다. 이 문서에는 서비스의 주요 기능과 이점도 포함되어 있습니다.
변경 내용 추적 및 인벤토리란?
Azure CTI 서비스는 변경 내용을 모니터링하고 Azure, 온-프레미스 및 기타 클라우드 환경에서 서버에 대한 자세한 인벤토리 로그를 제공하여 게스트 내 작업에 대한 감사 및 거버넌스를 향상시킵니다.
중요합니다
변경 내용 추적 확장 버전 2.20.0.0 이상에서 Azure CTI를 사용하는 것이 좋습니다.
변경 내용 추적:
- 파일, 레지스트리 키, 소프트웨어 설치, Windows 서비스 또는 Linux 디먼 수정을 비롯한 변경 내용을 모니터링합니다.
- 변경 내용과 변경 내용에 대한 자세한 로그를 제공하여 구성 편차나 권한이 없는 변경 내용을 신속하게 검색할 수 있습니다.
변경 내용 추적 메타데이터는 연결된 LA 작업 영역의 ConfigurationChange 테이블에 수집됩니다. 자세히알아보세요.
비고
Azure CTI 데이터는 시스템 수준 및 사용자 수준 애플리케이션 모두에 대해 기록됩니다. 시스템 수준 데이터는 항상 기록되지만 사용자 수준 애플리케이션은 사용자가 컴퓨터에 로그인할 때만 표시됩니다. 사용자가 로그아웃하면 해당 애플리케이션은 제거됨으로 표시됩니다.
목록:
- 연결된 LA 작업 영역에서 설치된 소프트웨어, 운영 체제 세부 정보 및 기타 서버 구성의 업데이트된 목록을 수집하고 유지 관리합니다.
- 규정 준수, 감사 및 자동 관리 유지 관리에 유용한 시스템 자산의 개요를 만드는 데 도움이 됩니다.
- 인벤토리 메타데이터는 연결된 LA 작업 영역의 ConfigurationData 테이블에 수집됩니다. 자세히알아보세요.
Azure 변경 내용 추적 및 인벤토리의 주요 이점
주요 이점은 다음과 같습니다.
- 통합 모니터링 에이전트와의 호환성 – 보안, 안정성을 향상시키고 데이터를 저장하는 멀티 호밍 환경을 용이하게 하는 Azure Monitor 에이전트 와 호환됩니다.
- 추적 도구와의 호환성 – 클라이언트의 가상 머신에서 Azure Policy를 통해 배포된 CT(변경 내용 추적) 확장과 호환됩니다. AMA로 전환한 다음 CT 확장에서 소프트웨어, 파일 및 레지스트리를 AMA로 푸시할 수 있습니다.
- 멀티 호밍 환경 – 하나의 중앙 작업 영역에서 관리 표준화를 제공합니다. 모든 VM에서 데이터 수집 및 유지 관리를 위해 단일 작업 영역을 가리키도록 LA(Log Analytics)에서 AMA로 전환할 수 있습니다.
- 규칙 관리 – 데이터 수집 규칙을 사용하여 데이터 수집의 다양한 측면을 구성하거나 사용자 지정합니다. 예를 들어 파일 수집 빈도를 변경할 수 있습니다.
지원되는 운영 체제에 대한 자세한 내용은 Azure CTI 에 대한 지원 매트릭스 및 지역을 참조하세요.
Azure 변경 내용 추적 및 인벤토리 사용
다음과 같은 방법으로 Azure CTI를 사용하도록 설정할 수 있습니다.
Azure Arc-enabled servers (Azure 외 머신)의 경우, 변경 내용 추적 및 인벤토리 for Arc-enabled 가상 머신 활성화 이니셔티브를 참조하세요. 정책> 정의에서 카테고리>ChangeTrackingAndInventory를 선택합니다. 대규모로 Azure CTI를 사용하도록 설정하려면 DINE 정책 기반 솔루션을 사용합니다. 자세한 내용은 빠른 시작 - Azure 변경 내용 추적 및 인벤토리 활성화를 참조하세요.
Azure Portal의 가상 머신 창 에서 단일 Azure VM의 경우 이 시나리오는 Linux VM과 Windows VM에서 지원됩니다.
단일 및 여러 Azure VM의 경우 Azure Portal의 가상 머신 창에서 선택합니다.
파일 변경 내용 추적
Windows 및 Linux에서 파일의 변경 내용을 추적하기 위해 Azure CTI는 파일의 SHA256 해시를 사용합니다. 이 기능은 해시를 사용하여 마지막 인벤토리 이후 변경 내용이 있는지 탐지합니다.
파일 콘텐츠 변경 내용 추적
Azure CTI를 사용하면 Windows 또는 Linux 파일의 콘텐츠를 볼 수 있습니다. 파일에 대한 각 변경 내용에 대해 Azure CTI는 파일의 내용을 Azure Storage 계정에 저장합니다. 파일을 추적할 때 변경 전이나 후의 콘텐츠를 볼 수 있습니다. 파일 콘텐츠는 인라인으로 또는 나란히 볼 수 있습니다. 자세히알아보세요.
레지스트리 키 추적
Azure CTI를 사용하면 Windows 레지스트리 키에 대한 변경 내용을 모니터링할 수 있습니다. 모니터링을 통해 타사 코드 및 맬웨어가 활성화될 수 있는 확장성 지점을 정확하게 찾을 수 있습니다. 다음 표에는 미리 구성되어 있지만 사용 설정되지 않은 레지스트리 키가 나열되어 있습니다. 이러한 키를 추적하려면 각 키를 사용하도록 설정해야 합니다.
| 레지스트리 키 | 목적 |
|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup |
시작 시 실행되는 스크립트를 모니터링합니다. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown |
종료 시 실행되는 스크립트를 모니터링합니다. |
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run |
사용자가 Windows 계정에 로그인하기 전에 로드되는 키를 모니터링합니다. 키는 64비트 컴퓨터에서 실행되는 32비트 애플리케이션에 사용됩니다. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components |
애플리케이션 설정의 변경 내용을 모니터링합니다. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers |
Windows 탐색기에 직접 연결되고 일반적으로 explorer.exe를 사용하여 프로세스 내에서 실행되는 상황에 맞는 메뉴 처리기를 모니터링합니다. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers |
Windows 탐색기에 직접 연결되고 일반적으로 explorer.exe를 사용하여 프로세스 내에서 실행되는 복사 후크 핸들러를 모니터링합니다. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
아이콘 오버레이 처리기 등록을 모니터링합니다. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
64비트 컴퓨터에서 실행되는 32비트 애플리케이션에 대한 아이콘 오버레이 처리기 등록을 모니터링합니다. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Internet Explorer에 대한 새 브라우저 도우미 개체 플러그 인을 모니터링합니다. 현재 창의 DOM(문서 개체 모델)에 액세스하고 탐색을 제어하는 데 사용됩니다. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Internet Explorer에 대한 새 브라우저 도우미 개체 플러그 인을 모니터링합니다. 현재 창의 DOM(문서 개체 모델)에 액세스하고 64비트 컴퓨터에서 실행되는 32비트 애플리케이션에 대한 탐색을 제어하는 데 사용됩니다. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions |
사용자 지정 도구 메뉴 및 사용자 지정 도구 모음 단추와 같은 새로운 Internet Explorer 확장을 모니터링합니다. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions |
64비트 컴퓨터에서 실행되는 32비트 애플리케이션에 대한 사용자 지정 도구 메뉴 및 사용자 지정 도구 모음 단추와 같은 새 Internet Explorer 확장을 모니터링합니다. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
wavemapper, wave1 및 wave2, msacm.imaadpcm, .msadpcm, .msgsm610 및 vidc와 관련된 32비트 드라이버를 모니터링합니다. system.ini 파일의 [drivers] 섹션과 비슷합니다. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 |
64비트 컴퓨터에서 실행되는 32비트 애플리케이션에 대한 wavemapper, wave1 및 wave2, msacm.imaadpcm, .msadpcm, .msgsm610 및 vidc와 관련된 32비트 드라이버를 모니터링합니다. system.ini 파일의 [drivers] 섹션과 비슷합니다. |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls |
알려진 또는 일반적으로 사용되는 시스템 DLL 목록을 모니터링합니다. 모니터링은 시스템 DLL의 트로이 목마 버전을 삭제하여 사용자가 취약한 애플리케이션 디렉터리에 대한 권한을 악용하지 못하게 합니다. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
Windows에 대한 대화형 로그온 지원 모델인 winlogon.exe에서 이벤트 알림을 받을 수 있는 패키지 목록을 모니터링합니다. |
다음 단계
Azure CTI 에 대한 지원 매트릭스 및 지역을 검토합니다 .