제품별 피드 구성

다음에서 지원:

Google Security Operations는 효과적인 위협 감지 및 조사를 위해 구조화된 로그 처리를 사용합니다. 로그 피드를 올바르게 구성하면 관련 데이터가 정규화되고 상관 분석, 알림, 분석에 사용할 수 있게 됩니다.이 문서에서는 Google SecOps 내에서 로그 피드를 설정하고 관리하는 방법을 설명합니다. 로그 유형에 따라 제품군별로 여러 피드를 구성할 수 있습니다. Google에서 기준점으로 식별한 로그 유형은 필수로 표시됩니다. 플랫폼은 설정 안내, 필수 절차, 구성 매개변수에 관한 설명을 제공합니다. 일부 매개변수는 구성 프로세스를 간소화하기 위해 사전 정의됩니다. 예를 들어 CrowdStrike Falcon과 같은 제품 내에서 필수 및 선택적 로그 유형 모두에 대해 여러 피드를 만들 수 있습니다.

여러 피드 구성 페이지에 액세스

여러 피드 구성 화면으로 이동하는 방법에는 두 가지가 있습니다.

  • 콘텐츠 허브 > 콘텐츠 팩
  • 설정 > 피드

CrowdStrike EDR용 피드 구성

이 절차에서는 CrowdStrike EDR의 피드를 구성하는 방법을 중점적으로 설명합니다.

  1. 설정 > 피드에서 CrowdStrike Falcon 제품을 클릭합니다.
    1. 새 피드 추가를 클릭합니다.
    2. CrowdStrike EDR을 선택합니다.
  2. 원하는 경우 콘텐츠 허브 > 콘텐츠 팩에서 다음을 수행합니다.
    1. CrowdStrike Falcon을 선택합니다.
    2. 시작하기를 클릭합니다.

  3. 다음 필드의 값을 지정합니다.

    필드 설명
    Region URI와 연결된 AWS S3 리전입니다.
    Queue Name 읽어올 SQS 큐 이름입니다.
    Account Number SQS 계정 번호입니다.
    Source Deletion Option 전송 후 파일 및 디렉터리를 삭제할지 여부를 나타냅니다.
    Queue Access Key ID 계정의 20자리 영숫자 액세스 키(예: AKIAOSFOODNN7EXAMPLE)입니다.
    Queue Secret Access Key 계정의 40자리 영숫자 보안 비밀 액세스 키입니다(예: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY).

  4. 선택사항: 다음 매개변수를 구성합니다.

    • 피드 이름: 피드의 고유한 이름으로, 자동 입력되지만 수정할 수 있습니다.
    • 소스 유형: Amazon SQS가 미리 선택되어 있지만 수정할 수 있습니다.
    • 애셋 네임스페이스: 피드와 연결된 네임스페이스입니다.
    • 처리 라벨: 이 피드의 이벤트에 적용되는 라벨입니다.

  5. 피드 만들기를 클릭합니다.

이 과정을 반복하여 동일한 로그 유형의 피드를 추가로 만들 수 있습니다. 이 페이지에서 사용 가능한 다른 로그 유형의 피드를 직접 구성할 수도 있습니다. 완료되면 피드 관리 페이지로 이동하여 구성된 모든 로그 유형의 세부 요약을 확인합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가의 답변을 받아 보세요.