이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Sysdig Secure를 Google SecOps와 통합

이 문서에서는 Sysdig Secure를 Google Security Operations (Google SecOps)와 통합하는 방법을 설명합니다.

통합 버전: 1.0

통합 매개변수

Sysdig Secure 통합에는 다음 매개변수가 필요합니다.

매개변수 설명

매개변수	설명
`API Root`	필수 항목입니다. Sysdig Secure 인스턴스의 API 루트입니다. API 루트 값에 대한 자세한 내용은 Sysdig API를 참고하세요.
`API Token`	필수 항목입니다. Sysdig Secure API 토큰입니다. 토큰을 생성하는 방법에 대한 자세한 내용은 Sysdig API 토큰 가져오기를 참고하세요.
`Verify SSL`	필수 항목입니다. 선택하면 통합에서 Sysdig Secure 서버에 연결할 때 SSL 인증서를 검증합니다. 기본적으로 선택되어 있습니다.

API Root

필수 항목입니다.

Sysdig Secure 인스턴스의 API 루트입니다.

API 루트 값에 대한 자세한 내용은 Sysdig API를 참고하세요.

API Token

필수 항목입니다.

Sysdig Secure API 토큰입니다.

토큰을 생성하는 방법에 대한 자세한 내용은 Sysdig API 토큰 가져오기를 참고하세요.

Verify SSL

필수 항목입니다.

선택하면 통합에서 Sysdig Secure 서버에 연결할 때 SSL 인증서를 검증합니다.

기본적으로 선택되어 있습니다.

Google SecOps에서 통합을 구성하는 방법에 대한 안내는 통합 구성을 참고하세요.

필요한 경우 이후 단계에서 변경할 수 있습니다. 통합 인스턴스를 구성한 후 플레이북에서 사용할 수 있습니다. 여러 인스턴스를 구성하고 지원하는 방법에 관한 자세한 내용은 여러 인스턴스 지원을 참고하세요.

작업

작업에 대한 자세한 내용은 내 Workdesk에서 대기 중인 작업에 응답 및 수동 작업 실행을 참고하세요.

핑

Ping 작업을 사용하여 Sysdig Secure와의 연결을 테스트합니다.

이 작업은 Google SecOps 항목에서 실행되지 않습니다.

작업 입력

없음

작업 출력

Ping 작업은 다음 출력을 제공합니다.

작업 출력 유형	가용성
케이스 월 연결	사용할 수 없음
케이스 월 링크	사용할 수 없음
케이스 월 테이블	사용할 수 없음
보강 테이블	사용할 수 없음
JSON 결과	사용할 수 없음
출력 메시지	사용 가능
스크립트 결과	사용 가능

출력 메시지

Ping 작업은 다음 출력 메시지를 반환할 수 있습니다.

출력 메시지 메시지 설명

Successfully connected to the Sysdig Secure server with the provided connection parameters! 작업이 완료되었습니다.

출력 메시지	메시지 설명
`Successfully connected to the Sysdig Secure server with the provided connection parameters!`	작업이 완료되었습니다.
`Failed to connect to the Sysdig Secure server! Error is ERROR_REASON`	작업이 실패했습니다. 서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

Failed to connect to the Sysdig Secure server! Error is ERROR_REASON

작업이 실패했습니다.

서버, 입력 매개변수 또는 사용자 인증 정보에 대한 연결을 확인합니다.

스크립트 결과

다음 표에는 Ping 작업을 사용할 때 스크립트 결과 출력 값이 나와 있습니다.

스크립트 결과 이름	값
`is_success`	`True` 또는 `False`

커넥터

Google SecOps에서 커넥터를 구성하는 방법에 관한 자세한 내용은 데이터 수집 (커넥터)을 참고하세요.

Sysdig Secure - 이벤트 커넥터

Sysdig Secure - Events Connector를 사용하여 Sysdig Secure에서 이벤트를 가져옵니다.

동적 목록으로 작업하려면 ruleName 매개변수를 사용하세요.

커넥터 입력

Sysdig Secure - Events Connector에는 다음 매개변수가 필요합니다.

매개변수	설명
`Product Field Name`	필수 항목입니다. 제품 이름이 저장된 필드의 이름입니다. 제품 이름은 주로 매핑에 영향을 미칩니다. 커넥터의 매핑 프로세스를 간소화하고 개선하기 위해 기본값은 코드에서 참조되는 대체 값으로 확인됩니다. 이 매개변수의 잘못된 입력은 기본적으로 대체 값으로 처리됩니다. 기본값은 `Product Name`입니다.
`Event Field Name`	필수 항목입니다. 이벤트 이름 (하위 유형)을 결정하는 필드의 이름입니다. 기본값은 `content_ruleName`입니다.
`Environment Field Name`	(선택사항) 환경 이름이 저장된 필드의 이름입니다. 환경 필드가 누락된 경우 커넥터는 기본값을 사용합니다.
`Environment Regex Pattern`	(선택사항) `Environment Field Name` 필드에 있는 값에서 실행할 정규 표현식 패턴입니다. 이 매개변수를 사용하면 정규 표현식 로직을 사용하여 환경 필드를 조작할 수 있습니다. 기본값 `.*`를 사용하여 필요한 원시 `Environment Field Name` 값을 가져옵니다. 정규 표현식 패턴이 null이거나 비어 있거나 환경 값이 null인 경우 최종 환경 결과는 기본 환경입니다.
`Script Timeout (Seconds)`	필수 항목입니다. 현재 스크립트를 실행하는 Python 프로세스의 제한 시간 한도(초)입니다. 기본값은 `180`입니다.
`API Root`	필수 항목입니다. Sysdig Secure 인스턴스의 API 루트입니다. API 루트 값에 대한 자세한 내용은 Sysdig API를 참고하세요.
`API Token`	필수 항목입니다. Sysdig Secure API 토큰입니다. 토큰을 생성하는 방법에 대한 자세한 내용은 Sysdig API 토큰 가져오기를 참고하세요.
`Lowest Severity To Fetch`	(선택사항) 가져올 알림의 가장 낮은 심각도입니다. 이 매개변수를 구성하지 않으면 커넥터가 모든 심각도 수준의 알림을 수집합니다. 가능한 값은 다음과 같습니다. `Informational` `Low` `Medium` `High`
`Custom Filter Query`	(선택사항) 수집 중에 이벤트를 필터링하거나, 범위를 지정하거나, 그룹화하는 쿼리입니다. 이 매개변수는 `Lowest Severity To Fetch` 매개변수와 동적 목록에 설정된 값보다 우선합니다. 이벤트를 필터링하는 방법에 관한 자세한 내용은 보안 이벤트 필터링을 참고하세요. 입력 예시는 `host.hostName = "instance-1"`입니다.
`Max Hours Backwards`	필수 항목입니다. 현재로부터 이벤트를 가져올 시간(단위: 시간)입니다. 이 매개변수는 커넥터를 처음 사용 설정한 후의 초기 커넥터 반복 또는 만료된 커넥터 타임스탬프의 대체 값에 적용될 수 있습니다. 기본값은 `1`입니다.
`Max Events To Fetch`	필수 항목입니다. 커넥터 반복마다 처리할 최대 이벤트 수입니다. 최댓값은 `200`입니다. 기본값은 `100`입니다.
`Disable Overflow`	(선택사항) 선택하면 커넥터가 Google SecOps 오버플로 메커니즘을 무시합니다. 기본적으로 선택되지 않습니다.
`Use dynamic list as a blocklist`	(선택사항) 선택하면 커넥터가 동적 목록을 차단 목록으로 사용합니다. 기본적으로 선택되지 않습니다.
`Verify SSL`	(선택사항) 선택하면 통합에서 Sysdig Secure 서버에 연결할 때 SSL 인증서를 검증합니다. 기본적으로 선택되지 않습니다.
`Proxy Server Address`	(선택사항) 사용할 프록시 서버의 주소입니다.
`Proxy Username`	(선택사항) 인증할 프록시 사용자 이름입니다.
`Proxy Password`	(선택사항) 인증할 프록시 비밀번호입니다.

커넥터 규칙

Sysdig Secure - Events Connector는 프록시를 지원합니다.

커넥터 이벤트

Sysdig Secure - Events Connector 이벤트의 예는 다음과 같습니다.

{
   "id": "ID",
   "reference": "0194cd55-6752-823e-990c-380977fa3ce8",
   "cursor": "PTE4MjBjYTI0NjdjZDFjYzkwMzdlZDA0NGVkNjYyNzFh",
   "timestamp": "2025-02-03T19:41:53.874140361Z",
   "customerId": 2002953,
   "originator": "policy",
   "category": "runtime",
   "source": "syscall",
   "rawEventOriginator": "linuxAgent",
   "rawEventCategory": "runtime",
   "sourceDetails": {
       "sourceType": "workload",
       "sourceSubType": "host"
   },
   "engine": "falco",
   "name": "Sysdig Runtime Threat Detection",
   "description": "This policy contains rules which Sysdig considers High Confidence of a security incident. They are tightly coupled to common attacker TTP's. They have been designed to minimize false positives but may still result in some depending on your environment.",
   "severity": 3,
   "agentId": 118055020,
   "machineId": "MACHINE_ID",
   "content": {
       "policyId": 10339481,
       "ruleName": "Find Google Cloud Credentials",
       "internalRuleName": "Find Google Cloud Credentials",
       "ruleType": 6,
       "ruleSubType": 0,
       "ruleTags": [
           "host",
           "container",
           "MITRE",
           "MITRE_TA0006_credential_access",
           "MITRE_TA0007_discovery",
           "MITRE_T1552_unsecured_credentials",
           "MITRE_T1552.004_unsecured_credentials_private_keys",
           "MITRE_T1119_automated_collection",
           "MITRE_T1555_credentials_from_password_stores",
           "MITRE_TA0009_collection",
           "process",
           "gcp",
           "MITRE_T1552.003_unsecured_credentials_bash_history"
       ],
       "output": "OUTPUT",
       "fields": {
           "container.id": "host",
           "container.image.repository": "<NA>",
           "container.image.tag": "<NA>",
           "container.name": "host",
           "evt.args": "ARGS_VALUE",
           "evt.res": "SUCCESS",
           "evt.type": "execve",
           "group.gid": "1010",
           "group.name": "example",
           "proc.aname[2]": "sshd",
           "proc.aname[3]": "sshd",
           "proc.aname[4]": "sshd",
           "proc.cmdline": "grep private_key example_credentials.json",
           "proc.cwd": "/home/example/",
           "proc.exepath": "/usr/bin/grep",
           "proc.hash.sha256": "9a9c5a0c3b5d1d78952252f7bcf4a992ab9ea1081c84861381380a835106b817",
           "proc.name": "grep",
           "proc.pcmdline": "bash",
           "proc.pid": "402495",
           "proc.pid.ts": "1738611713873608827",
           "proc.pname": "bash",
           "proc.ppid": "385443",
           "proc.ppid.ts": "1738599569497780082",
           "proc.sid": "385443",
           "user.loginname": "example",
           "user.loginuid": "1009",
           "user.name": "example",
           "user.uid": "1009"
       },
       "falsePositive": false,
       "matchedOnDefault": false,
       "templateId": 1331,
       "policyType": "falco",
       "AlertId": 1357687,
       "origin": "Sysdig"
   },
   "labels": {
       "agent.tag.role": "datafeeder",
       "cloudProvider.account.id": "ACCOUNT_ID",
       "cloudProvider.name": "gcp",
       "cloudProvider.region": "europe-west3",
       "gcp.compute.availabilityZone": "europe-west3-c",
       "gcp.compute.image": "projects/debian-cloud/global/images/debian-example",
       "gcp.compute.instanceId": "INSTANCE_ID",
       "gcp.compute.instanceName": "example-instance",
       "gcp.compute.machineType": "e2-standard-2",
       "gcp.location": "europe-west3",
       "gcp.projectId": "PROJECT_ID",
       "gcp.projectName": "example-project",
       "host.hostName": "example-instance",
       "host.id": "HOST_ID",
       "orchestrator.type": "none",
       "process.name": "grep private_key example_credentials.json"
   }
}

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.