여러 인스턴스 지원

다음에서 지원:

동일한 환경 내에서 동일한 통합의 여러 인스턴스를 구성할 수 있습니다. 이 기능을 사용하면 플레이북을 만들고 실행할 때 더 큰 유연성과 제어 기능을 제공합니다. 예를 들어 각각 별도의 Active Directory를 사용하는 두 개의 사이트가 있는 고객을 위한 플레이북을 빌드한 후 각 플레이북 단계에 적합한 통합 인스턴스를 선택할 수 있습니다.

이 기능은 응답 > 통합 설정에서 구성되며 플레이북 단계의 인스턴스 선택 필드와 다중 선택 환경 옵션에서 지원됩니다.

통합 옵션 보기

통합 페이지에는 두 가지 사전 정의된 옵션이 나열됩니다.

  • 공유 인스턴스
  • 기본 환경

공유 인스턴스는 모든 환경에서 사용할 수 있는 구성된 통합 라이브러리 역할을 합니다.

공유 인스턴스 섹션에는 기본적으로 사용할 수 있는 사전 정의된 Google SecOps 통합이 포함되어 있습니다.

**설정 > 조직> 환경** 에서 만든 모든 환경이 환경 목록에 표시됩니다.

환경 표시를 필터링하거나 빈 환경을 숨길 수 있습니다. 일반적으로 엔터프라이즈 고객은 기본 환경을 사용합니다.

통합 인스턴스 추가 및 구성

  1. 환경을 추가합니다. 통합 설정 페이지에서 먼저 통합을 구성할 환경을 선택하거나 추가합니다.
  2. 새 인스턴스를 만듭니다. add 새 인스턴스 만들기 를 클릭합니다.
  3. 목록에서 통합을 선택하고 해당 특정 인스턴스에 필요한 매개변수를 입력합니다. 참고: 플레이북에서 사용하기 전에 인스턴스를 구성해야 합니다.
    • 동일한 환경에서 동일한 통합의 두 번째 인스턴스를 구성하려면 이 프로세스를 반복합니다.
    • 나중에 인스턴스를 수정하거나 재구성하려면 통합 옆에 있는 settings 인스턴스 구성 을 클릭합니다.

환경 선택

다중 선택 환경 기능은 새 플레이북을 만들 때 사용할 수 있습니다. 플레이북 페이지로 이동하여 확인합니다. 다음 중 하나를 실행합니다.
  • 시스템에 정의된 모든 환경에서 플레이북을 실행하려면 모든 환경을 선택합니다.
  • 플레이북을 실행할 환경을 하나 이상 선택합니다.

여러 환경 또는 모든 환경을 선택하면 플레이북 단계에 구성할 수 있는 인스턴스 유형이 제한됩니다. 자세한 설명은 다음과 같습니다.

플레이북에서 인스턴스 사용

통합을 사용하는 플레이북에 단계를 추가할 때 인스턴스 구성 필드의 옵션은 다음에 따라 달라집니다.

  • 만든 인스턴스
  • 플레이북에 선택한 환경

단일 환경

단일 환경을 선택하면 인스턴스 구성 필드에서 다음 중 하나를 선택할 수 있습니다.

  • 선택한 환경에서 해당 특정 작업에 대해 구성한 인스턴스
  • 사용 가능한 경우 공유 인스턴스 통합

여러 환경 또는 모든 환경

여러 환경 또는 모든 환경 을 선택하면 인스턴스 구성 의 첫 번째 옵션은 동적 모드 입니다.

동적 모드

동적 모드는 플레이북이 케이스에 연결될 때 Google SecOps가 케이스와 연결된 환경에 구성된 통합 인스턴스에 액세스하려고 시도함을 의미합니다.

대체 인스턴스

대체 인스턴스 필드는 선택사항입니다. 동적 모드 를 선택하고 특정 환경에 구성된 인스턴스가 없는 경우 공유 인스턴스에서 대체 인스턴스를 선택할 수 있습니다. 이 옵션은 모든 환경에서 실행되는 플레이북에 사용할 수 있습니다.

적합한 인스턴스가 없고 대체가 구성되지 않은 경우 다음이 발생합니다.

  • 실패 시 건너뛰도록 설정되지 않은 경우 작업이 실패합니다.
  • 실패 시 건너뛰기 를 사용하는 것은 고객이 특정 도구에 대한 라이선스가 없는 경우 단계를 건너뛰려는 관리형 보안 서비스 제공업체 (MSSP)에게 특히 유용합니다.

케이스 환경에 두 개 이상의 인스턴스가 구성된 경우 대체 인스턴스가 사용되지 않습니다. 이 경우 플레이북이 일시중지되고 분석가에게 적절한 인스턴스를 수동으로 선택하라는 메시지가 표시됩니다.

사용 사례 1: 기본 환경의 두 인스턴스

이 시나리오에는 미국과 영국에 각각 하나씩 두 개의 사이트로 나뉜 엔터프라이즈 네트워크가 포함됩니다. 각 사이트에는 고유한 Active Directory 구성이 필요합니다. 이를 지원하려면 동일한 환경 내에서 Active Directory 통합의 두 인스턴스를 구성합니다. 이렇게 하면 플레이북에서 런타임에 적절한 인스턴스를 동적으로 선택할 수 있습니다.

통합 설치

  1. 콘텐츠 허브 > 응답 통합으로 이동합니다.
  2. 필요한 통합을 검색합니다. 이 예시에서는 Active Directory를 사용합니다.
  3. 설치 를 클릭하여 통합을 추가합니다.

인스턴스 구성

  1. 응답 > 통합 설정 으로 이동합니다.
  2. 환경 목록에서 인스턴스를 만들 환경을 선택합니다. 이 예시에서는 기본 환경을 사용합니다.
  3. add 새 인스턴스 만들기를 클릭합니다.
  4. 인스턴스 추가 대화상자에서 목록에서 필요한 통합을 선택하고 저장 을 클릭합니다. 이 예시에서는 Active Directory 를 선택합니다.
  5. 필요한 통합으로 이동하여 settings 인스턴스 구성을 클릭합니다.
  6. 관련 구성 정보를 입력합니다. 이 예시에서는 미국 사이트의 사용자를 위한 인스턴스를 구성합니다.
  7. 마쳤으면 저장 을 클릭합니다.
  8. 선택사항: 테스트 를 클릭하여 구성이 작동하는지 확인합니다.
  9. Active Directory 의 다른 인스턴스를 추가합니다. 이 예시에서는 영국 사이트의 사용자를 위해 구성합니다. 구성이 완료되면 저장 을 클릭합니다.
  10. 필요한 경우 나중에 변경할 수 있습니다. 구성하면 인스턴스를 플레이북에서 사용할 수 있습니다.

플레이북에서 인스턴스 사용

  1. 플레이북 으로 이동하여 add 새 플레이북 또는 블록 추가 를 클릭하여 새 플레이북을 만듭니다.
  2. 관련 폴더를 선택합니다. 이 예시에서는 기본 환경 을 선택합니다.
  3. 작업ActiveDirectory에서 항목 보강을 선택합니다.
  4. 작업을 단계로 드래그하고 더블클릭하여 구성 패널을 엽니다.
  5. 인스턴스 선택 필드에서 플레이북의 대상에 따라 적절한 인스턴스(미국 사이트 또는 영국 사이트)를 선택합니다. 

사용 사례 2: 여러 환경의 동적 모드

이 시나리오에서는 MSSP로서 각각 별도의 환경에 정의된 여러 고객을 지원합니다. 런타임에 플레이북은 케이스가 발생한 위치를 기반으로 사용할 환경을 동적으로 결정해야 합니다.

환경 정의

  1. 설정 > 조직 > 환경으로 이동합니다.
  2. add 환경 추가 를 클릭하고 환경의 매개변수로 필요한 환경을 정의합니다.
  3. 각 고객에 대해 하나씩 여러 개의 새 환경을 만듭니다.

통합 설치

  1. 콘텐츠 허브 > 응답 통합으로 이동합니다.
  2. 필요한 통합을 검색합니다. 이 예시에서는 VirusTotal을 선택하고 설치합니다.

인스턴스 구성

  1. **응답 > 통합 설정** 으로 이동하여 각 고객을 선택하고 **구성** 을 클릭합니다.
  2. 요구사항에 따라 VirusTotal 통합 인스턴스를 설정합니다.

플레이북 설정

VirusTotal Ping 작업을 추가할 때 동적 모드 를 선택합니다. 이렇게 하면 Google SecOps가 케이스가 발생한 위치를 기반으로 런타임에 환경을 결정하고 적절한 통합 인스턴스를 적용합니다.

  1. 플레이북 페이지로 이동합니다.
  2. 이전에 만들고 구성한 환경을 선택하여 새 플레이북을 만듭니다.
  3. VirusTotal Ping 작업을 추가할 때 동적 모드 를 선택합니다. 이렇게 하면 Google SecOps가 런타임에 케이스가 발생한 환경을 확인하고 해당 특정 인스턴스를 적용합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.