관찰 기간 및 새로고침 주기 설정

이 페이지에서는 방화벽 통계에서 관찰 기간 및 새로고침 주기를 구성하는 방법을 설명합니다.

사용 가능한 통계 개요는 방화벽 통계 범주 및 상태를 참조하세요.

방화벽 사용 측정항목 목록은 방화벽 통계 측정항목 보기를 참조하세요.

필수 역할 및 권한

관찰 기간 및 새로고침 주기를 구성하는 데 필요한 권한을 얻으려면 관리자에게 프로젝트에 대해 방화벽 추천자 관리자(roles/recommender.firewallAdmin) IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

이 사전 정의된 역할에는 관찰 기간 및 새로고침 주기를 구성하는 데 필요한 recommender.computeFirewallInsightTypeConfigs.update 권한이 포함되어 있습니다.

커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.

관찰 기간 구성

일부 통계의 경우 통계에서 처리할 기간을 의미하는 관찰 기간을 구성할 수 있습니다. 예를 들어 과도한 권한이 부여된 통계 및 deny 규칙 통계에 대해 관찰 기간을 구성할 수 있습니다. 기본 관찰 기간은 6주이고 7일에서 1년 사이로 관찰 기간을 구성할 수 있습니다.

예를 들어 deny 규칙 통계의 관찰 기간을 2개월로 설정한 경우 관찰 기간이 지난 후 적중 항목이 있는 deny 규칙 목록을 검토하면 방화벽 통계에 이전 2개월 동안 적중 항목이 있는 규칙만 표시됩니다. 나중에 관찰 기간을 1개월로 변경하면 분석 기간이 짧아지므로 방화벽 통계에서 규칙 수가 다르게 식별될 수 있습니다.

통계를 검토하고 관찰 기간을 구성할 때 다음 사항에 유의하세요.

  • 적중이 있는 deny 규칙의 관찰 기간을 구성하면 방화벽 통계는 통계 결과를 즉시 업데이트합니다.

  • 과도한 권한이 부여된 규칙 통계의 관찰 기간을 업데이트하면 방화벽 통계가 기존 결과를 업데이트하는 데 최대 48시간이 걸릴 수 있습니다. 그 동안 기존 결과의 관찰 기간은 이전에 구성된 관찰 기간과 일치합니다.

  • 과도한 권한이 부여된 통계의 경우 통계에서 방화벽 규칙이 없는 것으로 식별되면 방화벽 통계에 사용된 통계를 식별하기 위한 관찰 기간이 표시되지 않습니다.

  • 섀도 처리된 규칙 통계는 이전 데이터를 평가하지 않으므로 관찰 기간이 없습니다. 섀도 처리된 규칙 분석은 24시간마다 기존 방화벽 규칙 구성을 평가합니다.

  • 지난 24시간 동안의 트래픽 로그 데이터는 통계를 생성할 때 포함되지 않을 수 있습니다.

콘솔

관찰 기간을 구성합니다.

  1. Google Cloud 콘솔에서 방화벽 통계 페이지로 이동합니다.

    방화벽 통계로 이동

  2. 구성을 클릭합니다.

  3. 관찰 기간을 클릭합니다.

  4. 필요에 따라 관찰 기간 드롭다운 목록을 다음 중 적절한 시간으로 설정합니다.

    • 과도한 권한이 부여된 규칙 통계

    • 거부 규칙 통계

API

적중 항목이 있는 deny 규칙의 관찰 기간을 설정하려면 Google Cloud 콘솔을 사용해야 합니다. 하지만 Recommender API를 사용하여 과도한 권한이 부여된 규칙 통계의 관찰 기간을 설정할 수 있습니다. 또한 API를 사용하여 통계를 사용 설정하고 구성 세부정보를 검색할 수 있습니다.

과도한 권한이 부여된 규칙 통계에 대해 관찰 기간을 설정하려면 updateConfig 메서드를 사용합니다.

updateConfig 메서드를 사용하려면 모든 매개변수의 값을 설정합니다. 또한 섀도 처리된 규칙 통계 및 과도한 권한이 부여된 규칙 통계가 사용 설정 또는 사용 중지되었는지 지정합니다.

이러한 유형의 업데이트를 수행하려면 다음 요청을 사용하세요.

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "OBSERVATION_PERIOD_OVERLY_PERMISSIVE",
          "enable_shadowed_rule_insights": ENABLEMENT_SHADOWED,
          "enable_overly_permissive_rule_insights": ENABLEMENT_OVERLY_PERMISSIVE
         }
       },
    "etag": "\"ETAG\"",
  }

다음 값을 바꿉니다.

  • PROJECT_ID: 프로젝트의 ID
  • OBSERVATION_PERIOD_OVERLY_PERMISSIVE: 과도한 권한이 부여된 규칙 통계 관찰 기간(초)
  • ENABLEMENT_SHADOWED: 섀도 처리된 규칙 통계가 사용 설정되었는지 여부를 나타내는 부울 값
  • ENABLEMENT_OVERLY_PERMISSIVE: 과도한 권한이 부여된 규칙 통계가 사용 설정되었는지 여부를 나타내는 부울 값
  • ETAG: IAM 정책 etag 값. etag 값을 검색하려면 다음 섹션의 설명대로 getConfig 메서드를 사용합니다.

  PATCH https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config
  {
    "name": "projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config",
      "insightTypeGenerationConfig": {
        "params": {
          "observation_period": "604800s",
          "enable_shadowed_rule_insights": true,
          "enable_overly_permissive_rule_insights": true
         }
       },
    "etag": "\"ETAG\"",
  }

구성 세부정보 검색

방화벽 통계가 구성된 방식에 대한 세부정보를 검색하려면 다음 예시와 같이 getConfig 메서드를 사용합니다.

  GET https://recommender.googleapis.com/v1beta1/projects/PROJECT_ID/locations/global/insightTypes/google.compute.firewall.Insight/config

커스텀 새로고침 주기 예약

새로고침 주기를 설정하여 프로젝트에 섀도 처리된 규칙 통계를 생성합니다.

지정된 날짜에 시작하도록 새로고침 주기를 예약하고 주기 빈도를 맞춤설정할 수 있습니다. 기본 주기 빈도는 1일(24시간)입니다.

콘솔

통계의 커스텀 새로고침 주기를 구성합니다.

  1. Google Cloud 콘솔에서 방화벽 통계 페이지로 이동합니다.

    방화벽 통계로 이동

  2. 구성을 클릭합니다.

  3. Enablement을 클릭합니다.

  4. 섀도 처리된 규칙 통계를 사용 설정하려면 전환을 클릭합니다.

  5. 시작일 필드에 커스텀 새로고침 주기가 시작되는 날짜를 입력합니다.

  6. 반복 주기 필드에는 주기 시작일부터 시작하여 새로고침 주기의 빈도를 선택합니다.

    • : 24시간마다
    • : 선택한 요일로 주마다
    • : 월마다
    • 분기: 분기마다

    새 통계 생성 일정은 일정에 변경사항을 저장하고 24시간 후에 적용됩니다.

다음 단계