SIEM HTTPS 웹훅 피드 설정

다음에서 지원:

시작하기 전에 다음 사항을 확인하세요.

  • Google SecOps용Google Cloud 프로젝트가 구성되어 있고 Chronicle API가 프로젝트에 사용 설정되어 있는지 확인합니다.

  • Google SecOps 인스턴스를 Google Cloud 서비스에 연결합니다.

HTTPS 웹훅 피드를 설정하려면 다음 단계를 따르세요.

  1. HTTPS 웹훅 피드를 만들고 엔드포인트 URL과 비밀 키를 복사합니다.
  2. 엔드포인트 URL로 지정된 API 키를 만듭니다. 기존 API 키를 재사용하여 Google SecOps에 인증할 수도 있습니다.
  3. 애플리케이션에서 엔드포인트 URL을 지정합니다.

단일 웹훅 요청에서 여러 이벤트 전송

다음 코드 샘플은 curl --location 항목 뒤에 여러 개의 JSON 객체를 줄바꿈으로 구분하여 단일 요청 본문의 형식을 지정하는 방법을 보여줍니다.

--header 'Content-Type: application/json' \
--header 'X-goog-api-key: API_KEY' \
--header 'X-Webhook-Access-Key: SECRET' \
--data '{"principal": {"asset_id": "asset 123"}, "metadata": {"event_type": "GENERIC_EVENT", "product_name": "Product Acme"}}
{"principal": {"asset_id": "asset 123"}, "metadata": {"event_type": "GENERIC_EVENT", "product_name": "Product Acme"}}'

HTTPS 웹훅 피드 만들기

  1. Google SecOps 메뉴에서 설정을 선택한 후 피드를 클릭합니다.
  2. 새로 추가를 클릭합니다.
  3. 피드 이름 필드에 피드 이름을 입력합니다.
  4. 소스 유형 목록에서 웹훅을 선택합니다.
  5. 로그 유형을 선택합니다. 예를 들어 개방형 사이버 보안 스키마 프레임워크의 피드를 만들려면 로그 유형으로 개방형 사이버 보안 스키마 프레임워크(OCSF)를 선택합니다.
  6. 다음을 클릭합니다.
  7. 선택사항: 다음 입력 파라미터의 값을 지정합니다.
    • 분할 구분 기호: 로그 줄을 구분하는 데 사용되는 구분 기호입니다(예: \n).
    • 애셋 네임스페이스: 애셋 네임스페이스입니다.
    • 수집 라벨: 이 피드의 이벤트에 적용할 라벨입니다.
  8. 다음을 클릭합니다.
  9. 확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.
  10. 보안 비밀 키 생성을 클릭하여 이 피드를 인증하기 위한 보안 비밀 키를 생성합니다.
  11. 이 보안 비밀을 다시 볼 수 없으므로 보안 비밀 키를 복사하여 저장합니다. 새 보안 비밀 키를 다시 생성할 수 있지만 보안 비밀 키를 다시 생성하면 이전 보안 비밀 키는 더 이상 사용할 수 없게 됩니다.
  12. 세부정보 탭의 엔드포인트 정보 필드에서 피드 엔드포인트 URL을 복사합니다. 클라이언트 애플리케이션에서 이 엔드포인트 URL을 지정해야 합니다.
  13. 선택사항: 피드 사용 설정됨 전환 버튼을 클릭하여 피드를 사용 중지합니다. 피드는 기본적으로 사용 설정되어 있습니다.
  14. 완료를 클릭합니다.

웹훅 피드에 대한 API 키 만들기

  1. Google Cloud 콘솔의 사용자 인증 정보 페이지로 이동합니다.
  2. 사용자 인증 정보 만들기를 클릭한 후 API 키를 선택합니다.
  3. Chronicle API에 대한 API 키 액세스를 제한합니다.

엔드포인트 URL 지정

  1. 클라이언트 애플리케이션에서 웹훅 피드에서 제공되는 HTTPS 엔드포인트를 지정합니다.

  2. 다음 형식의 커스텀 헤더의 일부로 API 키와 보안 비밀 키를 지정하여 인증을 사용 설정합니다.

    X-goog-api-key = API_KEY

    X-Webhook-Access-Key = SECRET

    URL에 지정하는 대신 API 키를 헤더로 지정하는 것이 좋습니다. 웹훅 클라이언트가 커스텀 헤더를 지원하지 않는 경우 쿼리 파라미터를 다음 형식으로 사용하여 API 키와 보안 비밀 키를 지정할 수 있습니다.

      ENDPOINT_URL?key=API_KEY&secret=SECRET

    다음을 바꿉니다.

    • ENDPOINT_URL: 피드 엔드포인트 URL입니다.
    • API_KEY: Google SecOps에 인증하기 위한 API 키입니다.
    • SECRET: 피드를 인증하기 위해 생성한 보안 비밀 키입니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.