이 문서에서는 AMA(Azure Monitor 에이전트)를 사용하여 Azure 변경 내용 추적 및 인벤토리에 대한 개요를 제공합니다. 이 문서에는 서비스의 주요 기능과 이점도 포함되어 있습니다.
변경 내용 추적 및 인벤토리란?
변경 내용 추적 및 인벤토리는 변경 내용을 모니터링하고 Azure, 온-프레미스 및 기타 클라우드 환경에서 서버에 대한 자세한 인벤토리 로그를 제공하여 게스트 내 작업에 대한 감사 및 거버넌스를 향상시킵니다.
중요합니다
변경 내용 추적 및 인벤토리를 변경 내용 추적 확장 버전 2.20.0.0 이상에서 사용하는 것이 좋습니다.
변경 사항 추적
- 파일, 레지스트리 키, 소프트웨어 설치, Windows 서비스 또는 Linux 디먼 수정을 비롯한 변경 내용을 모니터링합니다.
- 구성 드리프트 또는 무단 변경을 신속하게 감지할 수 있도록 변경된 내용과 시기에 대한 자세한 로그를 제공합니다.
변경 내용 추적 메타데이터는 연결된 Log Analytics 작업 영역의ConfigurationChange테이블에 수집됩니다. 자세한 내용은 ConfigurationChange를 참조하세요.
비고
변경 내용 추적 및 인벤토리 데이터는 시스템 수준 및 사용자 수준 애플리케이션 모두에 대해 기록됩니다. 시스템 수준 데이터는 항상 기록되지만 사용자 수준 애플리케이션은 사용자가 컴퓨터에 로그인할 때만 표시됩니다. 사용자가 로그아웃하면 해당 애플리케이션이 제거됨으로 표시됩니다.
재고
- 연결된 Log Analytics 작업 영역에서 설치된 소프트웨어, 운영 체제 세부 정보 및 기타 서버 구성의 업데이트된 목록을 수집하고 유지 관리합니다.
- 규정 준수, 감사 및 자동 관리 유지 관리에 유용한 시스템 자산의 개요를 만드는 데 도움이 됩니다.
- 연결된 Log Analytics 작업 영역의
ConfigurationData테이블에 인벤토리 메타데이터를 수집합니다. 자세한 내용은 ConfigurationData를 참조하세요.
Azure 변경 내용 추적 및 인벤토리의 주요 이점
주요 이점은 다음과 같습니다.
- 통합 모니터링 에이전트와의 호환성: 보안 및 안정성을 향상시키고 데이터를 저장하는 멀티 호밍 환경을 용이하게 하는 AMA 와 호환됩니다.
- 추적 도구와의 호환성: 클라이언트의 VM(가상 머신)에서 Azure Policy를 통해 배포된 변경 내용 추적 확장과 호환됩니다. AMA로 전환한 다음 변경 내용 추적 확장이 소프트웨어, 파일 및 레지스트리를 AMA로 푸시합니다.
- 멀티 호밍 환경: 하나의 중앙 작업 영역에서 관리의 표준화를 제공합니다. 모든 VM이 데이터 수집 및 유지 관리를 위해 단일 작업 영역을 가리키도록 Azure Monitor 로그에서 AMA로 전환 할 수 있습니다.
- 규칙 관리: 데이터 수집 규칙을 사용하여 데이터 수집 의 다양한 측면을 구성하거나 사용자 지정합니다. 예를 들어 파일 수집 빈도를 변경할 수 있습니다.
지원되는 운영 체제에 대한 자세한 내용은 변경 내용 추적 및 인벤토리에 대한 지원 매트릭스 및 지역을 참조하세요.
Azure 변경 내용 추적 및 인벤토리 사용
변경 내용 추적 및 인벤토리는 다음과 같은 방법으로 사용하도록 설정할 수 있습니다.
- Azure Arc 지원 서버(비 Azure 머신): Azure Portal의 변경 내용 추적 및 인벤토리 센터 | 컴퓨터 창에서 정책>정의 유형>범주>변경 내용 추적 및 인벤토리를 선택합니다. 이니셔티브에서 Arc 지원 가상 머신에 대한 변경 내용 추적 및 인벤토리 사용을 선택합니다. 대규모로 변경 추적 및 인벤토리를 활성화하려면 deploy-if-not-exists(DINE) 정책 기반 솔루션을 사용하세요. 자세한 내용은 빠른 시작: Azure 변경 내용 추적 및 인벤토리 사용을 참조하세요.
- 단일 Azure VM: Azure Portal의 가상 머신 창에서 VM을 선택합니다. 이 시나리오는 Linux VM과 Windows VM에서 지원됩니다.
- 단일 및 여러 Azure VM: Azure Portal에서 가상 머신 창에서 VM을 선택합니다.
파일 변경 내용 추적
Windows 및 Linux 모두에서 파일의 변경 내용을 추적하기 위해 변경 내용 추적 및 인벤토리는 파일의 SHA256 해시를 사용합니다. 이 기능은 해시를 사용하여 마지막 인벤토리 이후 변경이 이루어졌는지 감지합니다.
파일 콘텐츠 변경 내용 추적
변경 내용 추적 및 인벤토리를 사용하면 Windows 또는 Linux 파일의 내용을 볼 수 있습니다. 파일의 각 변경 내용에 대해 변경 내용 추적 및 인벤토리는 Azure Storage 계정에 파일 내용을 저장합니다. 파일을 추적할 때 변경 전후의 내용을 볼 수 있습니다. 파일 콘텐츠를 인라인 또는 나란히 볼 수 있습니다. 자세한 내용은 자습서: 작업 영역 변경 및 데이터 수집 규칙 구성을 참조하세요.
레지스트리 키 추적
변경 내용 추적 및 인벤토리를 사용하여 Windows 레지스트리 키의 변경 내용을 모니터링할 수 있습니다. 모니터링을 사용하는 경우 타사 코드 및 맬웨어가 활성화할 수 있는 확장성 지점을 정확히 파악할 수 있습니다. 다음 표에서는 미리 구성된(사용 안 함) 레지스트리 키를 나열합니다. 이러한 키를 추적하려면 각 키를 사용하도록 설정해야 합니다.
| 레지스트리 키 | 목적 |
|---|---|
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup |
시작 시 실행되는 스크립트를 모니터링합니다. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown |
종료 시 실행되는 스크립트를 모니터링합니다. |
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run |
사용자가 Windows 계정에 로그인하기 전에 로드되는 키를 모니터링합니다. 키는 64비트 컴퓨터에서 실행되는 32비트 애플리케이션에 사용됩니다. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components |
애플리케이션 설정의 변경 내용을 모니터링합니다. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\ShellEx\ContextMenuHandlers |
Windows 탐색기에 직접 통합되고 일반적으로 동일한 프로세스에서 실행되는 컨텍스트 메뉴 핸들러를 모니터링합니다. |
HKEY_LOCAL_MACHINE\Software\Classes\Directory\Shellex\CopyHookHandlers |
Windows 탐색기에 직접 연결하고 일반적으로 프로세스에서 explorer.exe실행되는 복사 후크 처리기를 모니터링합니다. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
아이콘 오버레이 처리기 등록을 모니터링합니다. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers |
64비트 컴퓨터에서 실행되는 32비트 애플리케이션에 대한 아이콘 오버레이 처리기 등록을 모니터링합니다. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Internet Explorer에 대한 새 브라우저 도우미 개체 플러그 인을 모니터링합니다. 현재 창의 DOM(문서 개체 모델)에 액세스하고 탐색을 제어하는 데 사용됩니다. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects |
Internet Explorer에 대한 새 브라우저 도우미 개체 플러그 인을 모니터링합니다. 현재 창의 DOM에 액세스하고 64비트 컴퓨터에서 실행되는 32비트 애플리케이션에 대한 탐색을 제어하는 데 사용됩니다. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions |
사용자 지정 도구 메뉴 및 사용자 지정 도구 모음 단추와 같은 새로운 Internet Explorer 확장을 모니터링합니다. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions |
64비트 컴퓨터에서 실행되는 32비트 애플리케이션에 대한 사용자 지정 도구 메뉴 및 사용자 지정 도구 모음 단추와 같은 새 Internet Explorer 확장을 모니터링합니다. |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Drivers32 |
wavemapper, wave1 및 wave2, msacm.imaadpcm, .msadpcm, .msgsm610 및 vidc와 관련된 32비트 드라이버를 모니터링합니다. 파일의 system.ini 파일에 있는 [drivers] 섹션과 유사합니다. |
HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32 |
64비트 컴퓨터에서 실행되는 32비트 애플리케이션에 대한 wavemapper, wave1 및 wave2, msacm.imaadpcm, .msadpcm, .msgsm610 및 vidc와 관련된 32비트 드라이버를 모니터링합니다. 파일의 [drivers] 섹션과 system.ini 파일 내에서 유사합니다. |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls |
알려진 또는 일반적으로 사용되는 시스템 DLL 목록을 모니터링합니다. 모니터링은 시스템 DLL의 트로이 목마 버전을 삭제하여 사용자가 취약한 애플리케이션 디렉터리에 대한 권한을 악용하지 못하게 합니다. |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify |
Windows용 대화형 로그인 지원 모델인 이벤트 winlogon.exe알림을 받을 수 있는 패키지 목록을 모니터링합니다. |
관련 콘텐츠
- 변경 내용 추적 및 인벤토리 에 대한 지원 매트릭스 및 지역을 검토합니다 .