여러 인스턴스 지원

다음에서 지원:

동일한 환경 내에서 동일한 통합의 여러 인스턴스를 구성할 수 있습니다. 이 기능을 사용하면 플레이북을 만들고 실행할 때 더 유연하게 관리할 수 있습니다. 예를 들어 별도의 Active Directory를 사용하는 사이트가 두 개인 고객을 위한 플레이북을 빌드한 다음 각 플레이북 단계에 적합한 통합 인스턴스를 선택할 수 있습니다.

이 기능은 응답 > 통합 설정에서 구성되며, 플레이북 단계의 각 필드에 있는 인스턴스 선택과 다중 선택 환경 옵션에서 지원됩니다.

통합 옵션 보기

통합 페이지에 사전 정의된 두 가지 옵션이 표시됩니다.

  • 공유 인스턴스
  • 기본 환경

공유 인스턴스는 모든 환경에서 사용할 수 있는 구성된 통합 라이브러리 역할을 합니다.

공유 인스턴스 섹션에는 기본적으로 사용할 수 있는 사전 정의된 Google SecOps 통합이 포함되어 있습니다.

설정 > 조직 > 환경에서 만든 환경은 환경 목록에 표시됩니다.

환경 표시를 필터링하거나 비어 있는 환경을 숨길 수 있습니다. 엔터프라이즈 고객은 일반적으로 기본 환경을 사용합니다.

통합 인스턴스 추가 및 구성

  1. 환경을 추가합니다. 통합 설정 페이지에서 먼저 통합을 구성할 환경을 선택하거나 추가합니다.
  2. 새 인스턴스를 만듭니다. 추가 새 인스턴스 만들기를 클릭합니다.
  3. 목록에서 통합을 선택하고 해당 인스턴스에 필요한 매개변수를 입력합니다. 참고: 플레이북에서 인스턴스를 사용하려면 먼저 인스턴스를 구성해야 합니다.
    • 동일한 환경에서 동일한 통합의 두 번째 인스턴스를 구성하려면 프로세스를 반복하세요.
    • 나중에 인스턴스를 수정하거나 재구성하려면 통합 옆에 있는 설정 인스턴스 구성을 클릭합니다.

환경 선택

새 플레이북을 만들 때 다중 선택 환경 기능을 사용할 수 있습니다. 플레이북 페이지로 이동하여 확인하세요. 다음 중 한 가지 방법을 사용합니다.
  • 모든 환경을 선택하여 시스템에 정의된 모든 환경에서 플레이북을 실행합니다.
  • 플레이북을 실행할 환경을 하나 이상 선택합니다.

여러 환경 또는 모든 환경을 선택하면 플레이북 단계에서 구성할 수 있는 인스턴스 유형이 제한됩니다. 자세한 설명은 아래를 참고하세요.

플레이북에서 인스턴스 사용

통합을 사용하는 플레이북에 단계를 추가할 때 인스턴스 구성 필드의 옵션은 다음 사항에 따라 달라집니다.

  • 내가 만든 인스턴스
  • 플레이북에 선택한 환경

단일 환경

단일 환경을 선택하면 인스턴스 구성 필드에서 다음 중 하나를 선택할 수 있습니다.

  • 선택한 환경에서 특정 작업을 위해 구성한 인스턴스입니다.
  • 사용 가능한 경우 공유 인스턴스 통합

여러 환경 또는 모든 환경

여러 환경 또는 모든 환경을 선택하면 인스턴스 구성의 첫 번째 옵션이 동적 모드가 됩니다.

동적 모드

동적 모드는 플레이북이 케이스에 연결되면 Google SecOps가 케이스와 연결된 환경에 구성된 통합 인스턴스에 액세스하려고 시도한다는 의미입니다.

대체 인스턴스

대체 인스턴스 필드는 선택사항입니다. 동적 모드를 선택했는데 특정 환경에 대해 구성된 인스턴스가 없는 경우 공유 인스턴스에서 대체 인스턴스를 선택할 수 있습니다. 이 옵션은 모든 환경에서 실행되는 플레이북에 사용할 수 있습니다.

적합한 인스턴스가 없고 대체가 구성되지 않은 경우 다음이 발생합니다.

  • 실패 시 건너뛰도록 설정되지 않은 경우 작업이 실패합니다.
  • 실패 시 건너뛰기는 고객에게 특정 도구의 라이선스가 없는 경우 단계를 건너뛰려는 관리 보안 서비스 제공업체 (MSSP)에게 특히 유용합니다.

케이스 환경에 두 개 이상의 인스턴스가 구성된 경우 대체 인스턴스가 사용되지 않습니다. 이 경우 플레이북이 일시중지되고 분석가에게 적절한 인스턴스를 수동으로 선택하라는 메시지가 표시됩니다.

사용 사례 1: 기본 환경의 인스턴스 2개

이 시나리오에서는 미국과 영국에 각각 하나씩 있는 두 사이트로 나뉘어진 엔터프라이즈 네트워크를 다룹니다. 각 사이트에는 별도의 Active Directory 구성이 필요합니다. 이를 지원하려면 동일한 환경 내에서 Active Directory 통합 인스턴스를 두 개 구성하세요. 이렇게 하면 플레이북이 런타임에 적절한 인스턴스를 동적으로 선택할 수 있습니다.

통합 설치

  1. Google SecOps Marketplace > 통합으로 이동합니다.
  2. 필요한 통합을 검색합니다. 이 예시에서는 Active Directory를 사용합니다.
  3. 설치를 클릭하여 통합을 추가합니다.

인스턴스 구성

  1. 응답 > 통합 설정으로 이동합니다.
  2. 환경 목록에서 인스턴스를 만들 환경을 선택합니다. 이 예시에서는 기본 환경을 사용합니다.
  3. 추가 새 인스턴스 만들기를 클릭합니다.
  4. 인스턴스 추가 대화상자에서 목록에서 필요한 통합을 선택하고 저장을 클릭합니다. 이 예시에서는 Active Directory를 선택합니다.
  5. 필요한 통합으로 이동하여 설정 인스턴스 구성을 클릭합니다.
  6. 관련 구성 정보를 입력합니다. 이 예에서는 미국 사이트의 사용자를 위해 인스턴스를 구성합니다.
  7. 작업이 완료되면 저장을 클릭하세요.
  8. 선택사항: 테스트를 클릭하여 구성이 작동하는지 확인합니다.
  9. Active Directory의 다른 인스턴스를 추가합니다. 이 예에서는 영국 사이트의 사용자를 위해 구성합니다. 구성이 완료되면 저장을 클릭합니다.
  10. 필요한 경우 나중에 변경할 수 있습니다. 구성되면 인스턴스를 플레이북에서 사용할 수 있습니다.

플레이북에서 인스턴스 사용

  1. 플레이북으로 이동하여 add 새 플레이북 또는 블록 추가를 클릭하여 새 플레이북을 만듭니다.
  2. 관련 폴더를 선택합니다. 이 예시에서는 기본 환경을 선택합니다.
  3. 작업ActiveDirectory에서 엔티티 보강을 선택합니다.
  4. 작업을 단계로 드래그하고 더블클릭하여 구성 패널을 엽니다.
  5. 인스턴스 선택 필드에서 플레이북의 타겟에 따라 적절한 인스턴스(미국 사이트 또는 영국 사이트)를 선택합니다. 

사용 사례 2: 여러 환경에서 동적 모드

이 시나리오에서는 MSSP가 별도의 환경에 정의된 여러 고객을 지원합니다. 런타임에 플레이북은 케이스가 시작된 위치에 따라 사용할 환경을 동적으로 결정해야 합니다.

환경 정의

  1. 설정 > 조직 > 환경으로 이동합니다.
  2. 추가 환경 추가를 클릭하고 환경의 매개변수를 사용하여 필요한 환경을 정의합니다.
  3. 고객마다 하나씩 여러 새 환경을 만듭니다.

통합 설치

  1. Google SecOps Marketplace > 통합으로 이동합니다.
  2. 필요한 통합을 검색합니다. 이 예시에서는 VirusTotal을 선택하고 설치합니다.

인스턴스 구성

  1. 응답 > 통합 설정으로 이동하여 각 고객을 선택하고 구성을 클릭합니다.
  2. 요구사항에 따라 VirusTotal 통합 인스턴스를 설정합니다.

플레이북 설정

VirusTotal Ping 작업을 추가할 때 동적 모드를 선택합니다. 이렇게 하면 Google SecOps에서 케이스가 시작된 위치를 기반으로 런타임에 환경을 결정하고 적절한 통합 인스턴스를 적용할 수 있습니다.

  1. 플레이북 페이지로 이동합니다.
  2. 새 플레이북을 만들 때 이전에 만들고 구성한 환경을 선택해야 합니다.
  3. VirusTotal Ping 작업을 추가할 때 동적 모드를 선택합니다. 이렇게 하면 Google SecOps에서 런타임에 케이스가 발생한 환경을 확인하고 해당 인스턴스를 적용할 수 있습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.