CloudPassage Halo 로그 수집

다음에서 지원:

Google secops SIEM

이 문서에서는 서드 파티 API를 사용하여 Google Security Operations 피드를 설정하여 CloudPassage Halo (이전 CloudPassage) 로그를 수집하는 방법을 설명합니다.

수집 라벨은 원시 로그 데이터를 구조화된 UDM 형식으로 정규화하는 파서를 식별합니다. 이 문서의 정보는 CLOUD_PASSAGE 수집 라벨이 있는 파서에 적용됩니다.

시작하기 전에

다음 기본 요건이 충족되었는지 확인합니다.

Google SecOps 인스턴스
관리자 권한이 있는 CloudPassage Halo 포털에 대한 액세스 권한
API 액세스가 사용 설정된 활성 CloudPassage Halo 계정

CloudPassage Halo API 액세스 구성

Google SecOps에서 이벤트 로그를 가져올 수 있도록 하려면 읽기 전용 권한이 있는 API 키 쌍을 만들어야 합니다.

API 키 쌍 만들기

CloudPassage Halo Portal에 로그인합니다.
설정 > 사이트 관리 > API 키로 이동합니다.
키 만들기 또는 새 API 키를 클릭합니다.
다음 구성 세부정보를 제공합니다.
- 키 이름: 설명이 포함된 이름을 입력합니다 (예: Google SecOps Integration).
- 읽기 전용: 예를 선택합니다 (보안을 위해 읽기 전용 액세스가 권장됨).
만들기를 클릭합니다.

API 사용자 인증 정보 기록

API 키를 만든 후 다음 사용자 인증 정보가 표시됩니다.

키 ID: 고유한 API 키 식별자 (예: abc123def456)
Secret Key: API 보안 비밀 키 (예: xyz789uvw012)

필수 API 권한

CloudPassage Halo API 키는 다음 권한 수준을 지원합니다.

권한 수준	액세스	목적
읽기 전용	읽기	이벤트 데이터 및 구성 가져오기 (권장)
전체 액세스	읽기 + 쓰기	이벤트 가져오기 및 구성 수정 (필수 아님)

피드 설정

피드를 구성하려면 다음 단계를 따르세요.

SIEM 설정> 피드로 이동합니다.
새 피드 추가를 클릭합니다.
다음 페이지에서 단일 피드 구성을 클릭합니다.
피드 이름 필드에 피드 이름을 입력합니다(예: CloudPassage Halo Events).
소스 유형으로 서드 파티 API를 선택합니다.
로그 유형으로 Cloud Passage를 선택합니다.
다음을 클릭합니다.
다음 입력 매개변수의 값을 지정합니다.
- Username: 이전에 만든 CloudPassage Halo API 키 쌍의 Key ID를 입력합니다.
- Secret: 이전에 만든 CloudPassage Halo API 키 쌍의 Secret Key를 입력합니다.
- 이벤트 유형 (선택사항): 수집할 이벤트 유형을 지정합니다. 이벤트 유형을 한 줄에 하나씩 입력합니다.
  - 이 필드를 비워두면 피드에서 다음 기본 이벤트 유형을 자동으로 가져옵니다.
    - fim_target_integrity_changed (파일 무결성 모니터링 이벤트)
    - lids_rule_failed (로그 기반 침입 감지 시스템 이벤트)
    - sca_rule_failed (보안 구성 평가 이벤트)
  추가 이벤트 유형을 가져오려면 한 줄에 하나씩 입력하세요. 예를 들면 다음과 같습니다.
```
fim_target_integrity_changed
lids_rule_failed
sca_rule_failed
lids_rule_passed
sca_rule_passed
agent_connection_lost
```
참고: 사용 가능한 이벤트 유형에는 fim_*, lids_*, sca_*, agent_*, firewall_*, server_* 이벤트가 포함되지만 이에 국한되지는 않습니다. 이벤트 유형의 전체 목록은 CloudPassage Halo API 문서를 참고하세요.
- 애셋 네임스페이스: 애셋 네임스페이스입니다.
- 수집 라벨: 이 피드의 이벤트에 적용할 라벨입니다.
다음을 클릭합니다.
확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.

설정이 완료되면 피드가 CloudPassage Halo API에서 이벤트 로그를 시간순으로 가져오기 시작합니다.

UDM 매핑 테이블

로그 필드	UDM 매핑	논리
`id`	`metadata.product_log_id`	고유 이벤트 식별자
`created_at`	`metadata.event_timestamp`	이벤트 생성 타임스탬프
`type`	`metadata.product_event_type`	이벤트 유형 (예: fim_target_integrity_changed)
`server_hostname`	`target.hostname`	영향을 받는 서버의 호스트 이름
`server_platform`	`target.platform`	운영체제 플랫폼
`server_primary_ip_address`	`target.ip`	서버의 기본 IP 주소
`rule_name`	`security_result.rule_name`	이벤트를 트리거한 보안 규칙의 이름
`critical`	`security_result.severity`	이벤트의 중요도 수준
`policy_name`	`security_result.category`	보안 정책 이름
`user`	`principal.user.userid`	이벤트와 연결된 사용자
`message`	`security_result.description`	이벤트 설명 또는 메시지

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.