원격 에이전트를 Google Cloud로 마이그레이션

원격 에이전트를 Google Cloud로 마이그레이션

다음에서 지원:

이 문서에서는 원격 에이전트를 Google Cloud 로 마이그레이션하고 인증 및 통신에 Google Cloud 서비스 계정을 사용하는 방법을 설명합니다.

시작하기 전에

다음 항목이 있는지 확인합니다.

  • Google Cloud에서 서비스 계정을 만드는 데 필요한 권한
  • 서비스 계정 키를 만드는 데 필요한 역할입니다.
  • 최소 요구사항인 원격 에이전트 버전 2.6.0 이상

서비스 계정 만들기

서비스 계정은 애플리케이션이 승인된 API 호출을 수행하는 데 사용하는 특별한 유형의 Google 계정입니다. 서비스 계정을 만드는 방법은 다음과 같습니다.

  1. Google Cloud 콘솔에서 서비스 계정 페이지로 이동합니다.
    2. 서비스 계정으로 이동
  2. 서비스 계정 만들기를 클릭합니다.
  3. 서비스 계정 세부정보 섹션에서 다음을 수행합니다.
    1. 서비스 계정의 이름을 입력합니다.
    2. 서비스 계정 설명을 입력합니다.
    3. 만들고 계속하기를 클릭합니다.
  4. 권한 섹션에서 다음을 수행합니다.
    1. 역할 선택 목록에서 Chronicle SOAR 원격 에이전트 역할을 선택합니다.
    2. 계속을 클릭합니다.
  5. 사용자에게 이 서비스 계정에 대한 액세스 권한 부여 섹션에서 완료를 클릭합니다.

서비스 계정 키 만들기

서비스 계정 키는 원격 에이전트를 인증하는 데 필요합니다. 이 키를 만들려면 다음 단계를 따르세요.

  1. Google Cloud 콘솔에서 서비스 계정 페이지로 이동합니다.
    2. 서비스 계정으로 이동
  2. 만든 서비스 계정의 이름을 클릭합니다.
  3. 탭을 클릭합니다.
  4. 키 추가 > 새 키 만들기를 클릭합니다.
  5. 키 유형으로 JSON을 선택하고 만들기를 클릭합니다.

    A JSON file containing the key is downloaded to your computer.

  6. 닫기를 클릭합니다.

키 파일을 안전하게 저장

서비스 계정 키를 다운로드한 후 원격 에이전트가 실행될 호스트 머신으로 이동해야 합니다.

Docker

  1. 컴퓨터에서 다운로드된 JSON 파일을 찾습니다.
  2. 에이전트 프로세스가 액세스할 수 있는 호스트 머신의 안전한 위치에 파일을 저장합니다.
  3. 호스트 머신에 에이전트의 서비스 계정 키 전체 경로를 입력합니다. 
    AGENT_SERVICE_ACCOUNT_PATH

설치 프로그램

  1. 컴퓨터에서 다운로드된 JSON 파일을 찾습니다.
  2. 다음 위치에 파일을 저장합니다. 
    /opt/SiemplifyAgent/agent-key.json
  3. 원격 에이전트를 구성할 때 필요하므로 이 파일의 전체 경로를 기록해 둡니다.

에이전트의 REP 환경 변수 준비

  1. Chronicle API 참조에서 리전 서비스 엔드포인트 (REP)를 가져옵니다. 이 REP를 기본 도메인으로 사용합니다.
  2. 다음 명령어에 REP를 입력합니다. 마이그레이션 절차에서 사용합니다. 
    REP

  3. SOAR 설정 > 고급 > 원격 에이전트 로 이동하여 필요한 원격 에이전트를 선택합니다.

    .
  4. Docker 명령어 필드에서 다음 값을 복사하여 다음 명령어에 붙여넣습니다. 마이그레이션 절차에서 다음을 사용합니다.
    • ONE PLATFORM URL PROJECT 
      ONE_PLATFORM_URL_PROJECT
    • ONE PLATFORM URL LOCATION . 
      ONE_PLATFORM_URL_LOCATION
    • ONE PLATFORM URL INSTANCE
      ONE_PLATFORM_URL_INSTANCE

원격 에이전트를 Google Cloud로 이전

Docker

새 에이전트를 배포하는 경우 Docker를 사용하여 에이전트 배포를 참고하세요.

에이전트를 업그레이드하는 경우 Docker를 사용하여 에이전트 업그레이드를 참고하세요.

원격 에이전트를 이전하려면 다음 단계를 따르세요.

  1. 실행 중인 Docker 컨테이너를 나열합니다. 
    docker ps
  2. 에이전트의 컨테이너 ID를 입력합니다. 
    CONTAINER_ID

  3. 다음 명령어를 사용하여 서비스 계정 키를 컨테이너의 전용 경로에 복사합니다.

    docker cp AGENT_SERVICE_ACCOUNT_PATH CONTAINER_ID:/opt/SiemplifyAgent/agent-key.json

  4. 다음 명령어를 사용하여 컨테이너에서 서비스 계정 키의 소유자를 변경합니다.

    docker exec -u 0 CONTAINER_ID chown siemplify_agent:siemplify_agent /opt/SiemplifyAgent/agent-key.json

  5. 이전 절차에서 다음 환경 변수를 붙여넣고 이 명령어를 실행합니다.

      docker exec CONTAINER_ID sh -c 'printf "export ONE_PLATFORM_URL_DOMAIN=REP\nexport ONE_PLATFORM_URL_PROJECT=ONE_PLATFORM_URL_PROJECT\nexport ONE_PLATFORM_URL_LOCATION=ONE_PLATFORM_URL_LOCATION\nexport ONE_PLATFORM_URL_INSTANCE=ONE_PLATFORM_URL_INSTANCE\nexport GOOGLE_APPLICATION_CREDENTIALS=/opt/SiemplifyAgent/agent-key.json" >> /home/siemplify_agent/.bash_profile'
  6. 다음 명령어를 실행하여 변경사항을 적용합니다. 
    docker restart CONTAINER_ID

설치 프로그램

새 에이전트를 배포하는 경우 CentOS로 에이전트 배포 또는 RHEL로 에이전트 배포를 참고하세요.

에이전트를 업그레이드하는 경우 CentOS로 에이전트 업그레이드 또는 RHEL로 에이전트 업그레이드 를 참고하세요.

원격 에이전트를 이전하려면 다음 단계를 따르세요.

  1. 다음 명령어를 사용하여 컨테이너에서 서비스 계정 키의 소유자를 변경합니다.

    chown siemplify_agent:siemplify_agent /opt/SiemplifyAgent/agent-key.json

  2. 이전 절차에서 다음 환경 변수를 붙여넣고 이 명령어를 실행합니다.

    cat << EOF >> /home/siemplify_agent/.bash_profile
export ONE_PLATFORM_URL_DOMAIN=REP
export ONE_PLATFORM_URL_PROJECT=ONE_PLATFORM_URL_PROJECT
export ONE_PLATFORM_URL_LOCATION=ONE_PLATFORM_URL_LOCATION
export ONE_PLATFORM_URL_INSTANCE=ONE_PLATFORM_URL_INSTANCE
export GOOGLE_APPLICATION_CREDENTIALS=/opt/SiemplifyAgent/agent-key.json
EOF
  3. 다음 명령어를 실행하여 에이전트 서비스를 다시 시작합니다. 
    supervisorctl restart siemplify_agent

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.