Molayo

© 2026 Molayo

Dev.to헤드라인2026. 05. 27. 00:52

Claude Code 감사 로그를 Microsoft Sentinel로 스트리밍하는 방법 (Chron 활용)

요약

Chron MCP 서버를 사용하여 Claude Code의 감사 로그를 Microsoft Sentinel로 스트리밍하는 방법을 설명합니다. 보안 스택에 AI 세션 이벤트를 통합하여 실시간 모니터링과 보안 탐지를 가능하게 합니다.

핵심 포인트

  • Chron을 통해 Claude Code 세션 메타데이터를 SIEM으로 전송 가능
  • 메시지 내용은 제외하고 세션 ID, 역할, 보안 탐지 정보만 전송
  • Azure Sentinel 및 Log Analytics와의 단계별 통합 가이드 제공
  • 실시간 이벤트 스트림을 통한 보안 경고 및 헌팅 쿼리 구축 가능

만약 귀하의 팀이 Claude Code(또는 모든 MCP 기반 AI 도구)를 사용하고 있다면, 해당 세션들은 현재 귀하의 보안 스택(security stack)에서 보이지 않는 상태입니다. SIEM 이벤트도 없고, 감사 추적(audit trail)도 없습니다. 아무것도 없습니다.

Chron이 이를 해결합니다. Chron은 모든 AI 세션을 로컬 SQLite 데이터베이스에 기록하고, 구조화된 메타데이터 이벤트를 SIEM으로 전달할 수 있는 MCP 서버입니다. 이 포스트에서는 Azure Sentinel 통합 과정을 처음부터 끝까지 설명합니다.

기록되는 항목

Chron은 메타데이터만 전송하며, 메시지 내용은 절대 전송하지 않습니다:

이벤트 필드 (Event Fields)

  • session_started: 세션 ID 접두사(session ID prefix), AI 도구, 타임스탬프, OS
  • message_logged: 역할 (user/assistant), 세션 ID 접두사
  • secret_detected: 탐지 유형, 마스킹된 값 (masked value)

사전 요구 사항

  • Chron 설치 (npm install -g chron-mcp 또는 npx를 통해 설치)
  • Log Analytics 워크스페이스가 포함된 Azure 구독
  • 클라이언트 비밀(client secret)이 포함된 앱 등록 (App Registration)

Azure 설정 (5단계)

  • 데이터 수집 엔드포인트(Data Collection Endpoint, DCE) 생성 — Azure Portal > Monitor > Data Collection Endpoints > Create

  • 사용자 정의 테이블 생성 — Log Analytics 워크스페이스 > Tables > Create > New custom log (MMA 기반) — 이름을 ChronEvents_CL로 지정하고, 다음 컬럼을 추가합니다: EventType, SessionIdPrefix, AiTool, OS, ChronVersion, Computer, Role, DetectionType, MaskedValue (모두 문자열(string) 타입)

  • 데이터 수집 규칙(Data Collection Rule, DCR) 생성 — Monitor > Data Collection Rules > Create, 스트림 Custom-ChronEvents_CL을 워크스페이스 테이블로 지정

  • 역할 할당 — DCR 리소스에서, 귀하의 앱 등록(App Registration)을 Monitoring Metrics Publisher로 추가

  • Tenant ID, Client ID, Client Secret, DCE URL, 그리고 DCR Immutable ID (dcr-로 시작)를 기록해 두십시오.

Chron 연결
chron connect sentinel

CLI에서 자격 증명을 요청하면, Azure AD를 통해 인증을 수행하고, 테스트 이벤트를 전송하며, /.claude.json 파일을 자동으로 패치합니다. 510분 이내에 Log Analytics에서 테스트 이벤트를 확인할 수 있습니다 (새로운 사용자 정의 테이블로의 첫 데이터 수집은 최대 15분까지 걸릴 수 있습니다).

Log Analytics에서 확인

ChronEvents_CL
| order by TimeGenerated desc
| take 10

만약 테이블이 아직 나타나지 않는다면, DCR > Monitoring 탭에서 수집 (Ingestion) 오류를 확인하세요. 가장 흔한 문제는 DCR(워크스페이스가 아님)에 Monitoring Metrics Publisher 역할이 누락된 경우입니다.

얻을 수 있는 것

연결이 완료되면, 모든 Claude Code 세션은 Sentinel 워크스페이스에 실시간 이벤트 스트림을 생성합니다. 이를 기반으로 워크북 (Workbooks), 경고 (Alerts), 헌팅 쿼리 (Hunting queries)를 구축할 수 있습니다. 예를 들어, EventType == "secret_detected"일 때 경고를 보내거나, 머신 ID (Machine ID)를 통해 조직 전체의 AI 도구 도입 현황을 추적할 수 있습니다.

이슈는 다음에서 기록할 수 있습니다: https://github.com/SirinivasK/chron

AI Session logs from Chron to Azure

AI 자동 생성 콘텐츠

본 콘텐츠는 Dev.to AI tag의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.

원문 바로가기
0

댓글

0