Tailscale 로그 수집
다음에서 지원:
Google secops
SIEM
이 문서에서는 Tailscale의 기본 Amazon S3 로그 스트리밍 기능을 사용하여 Tailscale 로그를 Google Security Operations로 수집하는 방법을 설명합니다. Tailscale은 구성 감사 로그 및 네트워크 흐름 로그 형태로 운영 데이터를 생성합니다. 이 통합은 Tailscale의 기본 제공 S3 스트리밍 기능을 사용하여 이러한 로그를 분석 및 모니터링을 위해 Google SecOps로 자동 전송합니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스
- Tailscale 관리 콘솔 에 대한 액세스 권한 (소유자, 관리자, 네트워크 관리자 또는 IT 관리자 역할)
- AWS (S3, IAM)에 대한 액세스 권한
Tailscale 기본 요건 수집 (테일넷 정보)
- Tailscale 관리 콘솔 에 로그인합니다.
- 테일넷 이름 (예:
example.com또는 조직 이름)을 기록해 둡니다. - 필수 요금제가 있는지 확인합니다.
- 구성 감사 로그 스트리밍: Personal, Personal Plus, Enterprise 요금제에서 사용 가능합니다.
- 네트워크 흐름 로그 스트리밍: Enterprise 요금제에서만 사용 가능합니다.
Google SecOps용 AWS S3 버킷 및 IAM 구성
- 이 사용자 가이드(버킷 만들기)에 따라 Amazon S3 버킷을 만듭니다.
- 나중에 참조할 수 있도록 버킷 이름과 리전을 저장합니다(예:
tailscale-logs). - 이 사용자 가이드(IAM 사용자 만들기)에 따라 사용자를 만듭니다.
- 만든 사용자 를 선택합니다.
- 보안용 사용자 인증 정보 탭을 선택합니다.
- 액세스 키 섹션에서 액세스 키 만들기 를 클릭합니다.
- 사용 사례 로 서드 파티 서비스 를 선택합니다.
- 다음 을 클릭합니다.
- 선택사항: 설명 태그를 추가합니다.
- 액세스 키 만들기 를 클릭합니다.
- CSV 파일 다운로드를 클릭하여 나중에 사용할 수 있도록 액세스 키와 보안 비밀 액세스 키를 저장합니다.
- 완료 를 클릭합니다.
- 권한 탭을 선택합니다.
- 권한 정책 섹션에서 권한 추가 를 클릭합니다.
- 권한 추가 를 선택합니다.
- 정책 직접 연결 을 선택합니다.
- AmazonS3FullAccess 정책을 검색하고 선택합니다.
- 다음 을 클릭합니다.
- 권한 추가 를 클릭합니다.
S3 업로드의 IAM 정책 및 역할 구성
- AWS 콘솔에서 IAM > 정책 > 정책 만들기 > JSON 탭으로 이동합니다.
다음 정책을 입력합니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowTailscalePutObjects", "Effect": "Allow", "Action": [ "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::tailscale-logs/*" } ] }- 다른 버킷 이름을 입력한 경우
tailscale-logs를 바꿉니다.
- 다른 버킷 이름을 입력한 경우
다음 > 정책 만들기 를 클릭합니다.
IAM > 역할 > 역할 만들기 > 커스텀 트러스트 정책 으로 이동합니다.
다음 트러스트 정책을 입력합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::982722776073:role/tailscale-log-streaming" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "sts:ExternalId": "YOUR_TAILNET_NAME" } } } ] }YOUR_TAILNET_NAME을 실제 테일넷 이름으로 바꿉니다.
다음 을 클릭합니다.
1단계에서 만든 정책을 연결합니다.
역할 이름을
TailscaleS3StreamingRole로 지정하고 역할 만들기 를 클릭합니다.Tailscale 구성에서 사용할 역할 ARN 을 복사합니다.
Tailscale 기본 S3 로그 스트리밍 구성
구성 감사 로그 스트리밍 설정
- **Tailscale 관리 콘솔** 에서 **로그 > 구성 로그** 로 이동합니다.
- 스트리밍 시작 을 클릭합니다.
- 대상으로 Amazon S3 를 선택합니다.
- 다음 구성 세부정보를 제공합니다.
- AWS 계정 ID: AWS 계정 ID입니다.
- S3 버킷 이름:
tailscale-logs입니다. - 역할 ARN: 만든 IAM 역할의 ARN입니다.
- S3 키 프리픽스:
tailscale/configuration/(선택사항)입니다.
- 스트리밍 시작 을 클릭합니다.
- 상태가 활성 으로 표시되는지 확인합니다.
네트워크 흐름 로그 스트리밍 설정 (Enterprise 요금제만 해당)
- 아직 사용 설정되지 않은 경우 설정 > 네트워크 흐름 로그로 이동하여 테일넷의 네트워크 흐름 로그를 사용 설정합니다.
- 로그 > 네트워크 흐름 로그 로 이동합니다.
- 스트리밍 시작 을 클릭합니다.
- 대상으로 Amazon S3 를 선택합니다.
- 다음 구성 세부정보를 제공합니다.
- AWS 계정 ID: AWS 계정 ID입니다.
- S3 버킷 이름:
tailscale-logs - 역할 ARN: 만든 IAM 역할의 ARN입니다.
- S3 키 프리픽스:
tailscale/network/(선택사항)입니다.
- 스트리밍 시작 을 클릭합니다.
- 상태가 활성 으로 표시되는지 확인합니다.
선택사항: Google SecOps용 읽기 전용 IAM 사용자 및 키 만들기
- AWS 콘솔 에서 IAM > 사용자 > 사용자 추가 로 이동합니다.
- 사용자 추가 를 클릭합니다.
- 다음 구성 세부정보를 제공합니다.
- 사용자:
secops-reader - 액세스 유형: 액세스 키 - 프로그래매틱 액세스
- 사용자:
- 사용자 만들기 를 클릭합니다.
- 최소 읽기 정책(맞춤) 연결: 사용자 > secops-reader > 권한 > 권한 추가 > 정책 직접 연결 > 정책 만들기
JSON 편집기에 다음 정책을 입력합니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["s3:GetObject"], "Resource": "arn:aws:s3:::tailscale-logs/*" }, { "Effect": "Allow", "Action": ["s3:ListBucket"], "Resource": "arn:aws:s3:::tailscale-logs" } ] }이름을
secops-reader-policy로 설정합니다.정책 만들기 > 검색/선택 > 다음 > 권한 추가 로 이동합니다.
보안용 사용자 인증 정보> 액세스 키> 액세스 키 만들기로 이동합니다.
CSV 를 다운로드합니다 (이러한 값은 피드에 입력됨).
Tailscale 로그를 수집하도록 Google SecOps에서 피드 구성
- **SIEM 설정 > 피드** 로 이동합니다.
- + 새 피드 추가 를 클릭합니다.
- 피드 이름 필드에 피드 이름을 입력합니다(예:
Tailscale logs). - 소스 유형 으로 Amazon S3 V2 를 선택합니다.
- 로그 유형 으로 Tailscale 을 선택합니다.
- 다음 을 클릭합니다.
- 다음 입력 파라미터의 값을 지정합니다.
- S3 URI:
s3://tailscale-logs/tailscale/ - 소스 삭제 옵션: 환경설정에 따라 삭제 옵션을 선택합니다.
- 최대 파일 기간: 지난 며칠 동안 수정된 파일을 포함합니다. 기본값은 180일입니다.
- 액세스 키 ID: S3 버킷에 대한 액세스 권한이 있는 사용자 액세스 키입니다.
- 보안 비밀 액세스 키: S3 버킷에 대한 액세스 권한이 있는 사용자 보안 비밀 키입니다.
- 애셋 네임스페이스: 애셋 네임스페이스입니다.
- 수집 라벨: 이 피드의 이벤트에 적용된 라벨입니다.
- S3 URI:
- 다음 을 클릭합니다.
- 확정 화면에서 새 피드 구성을 검토한 다음 제출 을 클릭합니다.
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.