제품별 피드 구성

다음에서 지원:

시작하기 전에

IAM 커스텀 역할을 사용하는 경우 다음을 수행해야 합니다.

  1. IAM 및 관리자 > 역할로 이동합니다.
  2. 기존 맞춤 역할을 선택하고 역할 수정을 클릭합니다.
  3. 권한 추가를 클릭합니다.
  4. 다음을 입력합니다.
    • chronicle.feedPacks.get
    • chronicle.feedPacks.list
  5. 저장을 클릭합니다.

로그 피드 구성

효과적인 위협 감지 및 조사를 위해 Google Security Operations는 구조화된 로그 수집을 사용합니다. 로그 피드를 올바르게 구성하면 관련 데이터가 정규화되고 상관관계, 알림, 분석에 사용할 수 있습니다.

이 문서에서는 Google SecOps 내에서 로그 피드를 설정하고 관리하는 방법을 설명합니다. 로그 유형에 따라 제품군당 여러 피드를 구성할 수 있습니다. Google에서 기준선으로 식별한 로그 유형은 필수로 표시됩니다.

플랫폼은 설정 안내, 필수 절차, 구성 매개변수 설명을 제공합니다. 일부 매개변수는 구성 프로세스를 간소화하기 위해 사전 정의되어 있습니다. 예를 들어 CrowdStrike Falcon과 같은 제품 내에서 필수 및 선택적 로그 유형 모두에 여러 피드를 만들 수 있습니다.

여러 피드 구성 페이지에 액세스

다중 피드 구성 화면에 액세스하는 방법에는 두 가지가 있습니다.

  • 콘텐츠 허브 > 콘텐츠 팩
  • 설정 > 피드

CrowdStrike EDR용 피드 구성

다음 단계에 따라 CrowdStrike EDR의 로그 피드를 구성합니다.

  1. 설정 > 피드에서 새 피드 추가를 클릭합니다.
    1. CrowdStrike Falcon 제품을 클릭합니다.
    2. CrowdStrike EDR 로그 유형을 선택합니다.
  2. 또는 콘텐츠 허브 > 콘텐츠 팩에서 CrowdStrike Falcon 제품을 클릭합니다.
    1. 시작하기를 클릭합니다.
    2. CrowdStrike EDR 로그 유형을 선택합니다.

  3. 다음 필드의 값을 지정합니다.

    필드 설명
    Source Type Amazon SQS
    Region URI와 연결된 AWS S3 리전입니다.
    Queue Name 읽어올 SQS 큐 이름입니다.
    Account Number SQS 계정 번호입니다.
    Source Deletion Option 전송 후 파일과 디렉터리를 삭제할지 여부를 나타냅니다.
    Queue Access Key ID 계정의 20자리 영숫자 액세스 키입니다(예: AKIAOSFOODNN7EXAMPLE).
    Queue Secret Access Key 계정의 40자리 영숫자 보안 비밀 액세스 키입니다(예: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY).

  4. 선택사항: 다음 매개변수를 구성합니다.

    • 피드 이름: 피드의 고유 이름이 자동으로 입력됩니다.
    • 애셋 네임스페이스: 피드와 연결된 네임스페이스입니다.
    • 수집 라벨: 이 피드의 이벤트에 적용된 라벨입니다.

  5. 피드 만들기를 클릭합니다.

이 과정을 반복하여 동일한 로그 유형에 대한 피드를 추가로 만들 수 있습니다. 이 페이지에서 사용 가능한 다른 로그 유형의 피드를 직접 구성할 수도 있습니다. 완료되면 피드 관리 페이지로 이동하여 구성된 모든 로그 유형의 세부 요약을 확인합니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.