알림 대상/SIEM

알림 대상 포함하는 서비스 규칙은 일반적으로 특정 조건이 충족될 때 알림 또는 알림을 전송하는 방법과 위치를 정의합니다. 서비스 규칙은 시스템 임계값 초과, 오류 발생 또는 보안 사고 탐지와 같은 특정 조건 또는 이벤트를 모니터링하며, 사전 정의된 조건이 충족되면 서비스 규칙이 알림을 트리거합니다. 알림은 추가 처리 또는 자동화 위해 Webhook을 통해 웹 서비스 또는 애플리케이션으로 전송됩니다. 이렇게 하면 중요한 이벤트가 확인되지 않고 진행되지 않습니다.

Datadog

설정이 완료되면 정의된 알림 서비스 프로파일 및 알림 규칙을 사용하여 Multicloud Defense 알림이 DataDog로 전송됩니다.

알림 프로파일 서비스 생성

Before you begin

DataDog에 알림을 전송하려면 다음 정보가 필요합니다.

  • DataDog 어카운트

  • API 키


Tip

Procedure

Step 1

이벤트 목록을 확인하려면 System and Accounts(시스템 및 어카운트) > Service Alerts(서비스 알림) > Services(서비스)로 이동합니다.

Step 2

Create(생성)를 클릭합니다.

Step 3

Name(이름) - 알림 통합의 고유한 이름을 입력합니다. 예: Multicloud Defense-Datadog-profile.

Step 4

Description(설명)(선택 사항) - 알림 통합에 대한 설명을 입력합니다.

Step 5

Type(유형) - 풀다운을 사용하여 Datadog를 선택합니다.

Step 6

API Key(API 키) - 통신 인증에 사용되는 DataDog API 키를 지정합니다.

Step 7

Save(저장)를 클릭합니다.

What to do next

이 새 프로파일로 알림 규칙을 생성합니다.

알림 규칙 생성

Before you begin

DataDog에 알림을 전송하려면 다음 정보가 필요합니다.

  • DataDog 어카운트

  • API 키


Tip

Procedure

Step 1

이벤트 목록을 확인하려면 System and Accounts(시스템 및 어카운트) > Service Alerts(서비스 알림) > Alert Rules(알림 규칙)로 이동합니다.

Step 2

Create(생성)를 클릭합니다.

Step 3

Profile Name(프로파일 이름) - 통합의 고유한 이름을 입력합니다. 예: Multicloud Defense-DataDog-alert-rule.

Step 4

Description(설명)(선택 사항) - 알림 규칙에 대한 설명을 입력합니다.

Step 5

Alert Profile(알림 프로파일) - 풀다운을 사용하여 PagerDuty 알림 프로파일을 선택합니다. 예를 들어 Multicloud Defense-DataDog-profile에서 생성된 프로파일을 선택합니다.

Step 6

(선택 사항)Description(설명) - 알림 규칙에 대한 설명을 입력합니다.

Step 7

Alert Profile(알림 프로파일) - 드롭다운 메뉴를 확장하고 Microsoft Teams 알림 프로파일을 선택합니다.

Step 8

Type(유형) - 드롭다운 메뉴를 확장하고 다음 유형 중 하나를 선택합니다.

  • 시스템 로그

  • 감사 로그

  • 발견

Audit Logs(감사 로그)를 선택하는 경우 다른 구성 가능한 항목이 없습니다. Save(저장)를 클릭하여 규칙을 저장합니다.

Step 9

유형으로 시스템 로그 또는 검색을 선택한 경우, 하위 유형 드롭다운 메뉴를 확장하고 다음 옵션 중 하나를 선택합니다.

  • 게이트웨이

  • 어카운트

  • 컨트롤러

Step 10

Severity(심각도) 드롭다운 메뉴를 확장하고 다음 레이블 중 하나를 선택합니다. 옵션은 7단계에서 선택한 Type(유형)에 따라 달라집니다.

  • 정보

  • 경고

  • 보통

  • 높음

  • 심각

Step 11

Enabled(활성화됨) - 저장 후 즉시 이 알림을 활성화하고 구현하려면 이 옵션이 기본적으로 선택되어 있습니다. 즉시 환경에 적용하지 않으려면 이 상자의 선택을 취소합니다.

Step 12

Save(저장)를 클릭합니다.

Microsoft Sentinel

구성한 Multicloud Defense 알림은 정의된 알림 서비스 프로파일 및 알림 규칙을 사용하여 Microsoft Sentinel로 전송됩니다.

알림 프로파일 서비스 생성

Before you begin

Microsoft Sentinel에 알림을 전송하려면 다음 정보가 필요합니다.

  • Azure 로그 분석 작업 영역을 생성합니다.

  • Azure 로그 테이블을 정의합니다.

Procedure

Step 1

이벤트 목록을 확인하려면 System and Accounts(시스템 및 어카운트) > Service Alerts(서비스 알림) > Services(서비스)로 이동합니다.

Step 2

Create(생성)를 클릭합니다.

Step 3

Name(이름) - 알림 통합의 고유한 이름을 입력합니다. 예: mcd-mssentinel-profile.

Step 4

Description(설명)(선택 사항) - 알림 통합에 대한 설명을 입력합니다.

Step 5

Type(유형) - 풀다운을 사용하여 Microsoft Sentinel을 선택합니다.

Step 6

API Key(API 키) - Azure 로그 분석 작업 공간에 대해 Azure에서 생성된 공유 키를 지정합니다.

Step 7

Azure Log Table Name(Azure 로그 테이블 이름) - Azure 로그 분석 작업 공간을 생성할 때 정의된 Azure 로그의 이름을 지정합니다.

Step 8

Azure Log Analytics Workspace ID(Azure 로그 분석 작업 공간 ID) - Azure 로그 분석 작업 공간의 ID를 지정합니다.

Step 9

Save(저장)를 클릭합니다.

What to do next

이 새 프로파일로 알림 규칙을 생성합니다.

알림 규칙 생성

Before you begin

Microsoft Sentinel에 알림을 전송하려면 다음 정보가 필요합니다.

  • Azure 로그 분석 작업 영역을 생성합니다.

  • Azure 로그 테이블을 정의합니다.

Procedure

Step 1

이벤트 목록을 확인하려면 System and Accounts(시스템 및 어카운트) > Service Alerts(서비스 알림) > Alert Rules(알림 규칙)로 이동합니다.

Step 2

Create(생성)를 클릭합니다.

Step 3

Profile Name(프로파일 이름) - 통합의 고유한 이름을 입력합니다. 예: mcd-mssentinel-alert-rule.

Step 4

(선택 사항)Description(설명) - 알림 규칙에 대한 설명을 입력합니다.

Step 5

Alert Profile(알림 프로파일) - 드롭다운 메뉴를 확장하고 Microsoft Teams 알림 프로파일을 선택합니다.

Step 6

Type(유형) - 드롭다운 메뉴를 확장하고 다음 유형 중 하나를 선택합니다.

  • 시스템 로그

  • 감사 로그

  • 발견

Audit Logs(감사 로그)를 선택하는 경우 다른 구성 가능한 항목이 없습니다. Save(저장)를 클릭하여 규칙을 저장합니다.

Step 7

유형으로 시스템 로그 또는 검색을 선택한 경우, 하위 유형 드롭다운 메뉴를 확장하고 다음 옵션 중 하나를 선택합니다.

  • 게이트웨이

  • 어카운트

  • 컨트롤러

Step 8

Severity(심각도) 드롭다운 메뉴를 확장하고 다음 레이블 중 하나를 선택합니다. 옵션은 7단계에서 선택한 Type(유형)에 따라 달라집니다.

  • 정보

  • 경고

  • 보통

  • 높음

  • 심각

Step 9

Enabled(활성화됨) - 저장 후 즉시 이 알림을 활성화하고 구현하려면 이 옵션이 기본적으로 선택되어 있습니다. 즉시 환경에 적용하지 않으려면 이 상자의 선택을 취소합니다.

Step 10

Save(저장)를 클릭합니다.

PagerDuty

구성이 완료되면 Multicloud Defense 알림이 정의된 알림 서비스 프로파일 및 알림 규칙을 사용하여 PagerDuty API 게이트웨이로 전송됩니다.

알림 프로파일 서비스 생성

Before you begin

이 가이드의 단계를 완료하려면 다음이 필요합니다.

  • API 키가 구성된 PagerDuty 어카운트.


Tip

Procedure

Step 1

이벤트 목록을 확인하려면 System and Accounts(시스템 및 어카운트) > Service Alerts(서비스 알림) > Services(서비스)로 이동합니다.

Step 2

Create(생성)를 클릭합니다.

Step 3

Name(이름) - 알림 통합의 고유한 이름을 입력합니다. 예: mcd-pagerduty-profile.

Step 4

Description(설명)(선택 사항) - 알림 통합에 대한 설명을 입력합니다.

Step 5

Type(유형) - 풀다운을 사용하여 PagerDuty를 선택합니다.

Step 6

API Key(API 키) - 위에서 생성한 PagerDuty API 키 또는 원하는 다른 PagerDuty API 키를 복사합니다.

Step 7

Save(저장)를 클릭합니다.

What to do next

이 새 프로파일로 알림 규칙을 생성합니다.

알림 규칙 생성

Before you begin

이 가이드의 단계를 완료하려면 다음이 필요합니다.

API 키가 구성된 PagerDuty 어카운트.


Tip

Procedure

Step 1

이벤트 목록을 확인하려면 System and Accounts(시스템 및 어카운트) > Service Alerts(서비스 알림) > Alert Rules(알림 규칙)로 이동합니다.

Step 2

Create(생성)를 클릭합니다.

Step 3

Profile Name(프로파일 이름) - 통합의 고유한 이름을 입력합니다. 예: mcd-pagerduty-alert-rule.

Step 4

Description(설명)(선택 사항) - 알림 규칙에 대한 설명을 입력합니다.

Step 5

(선택 사항)Description(설명) - 알림 규칙에 대한 설명을 입력합니다.

Step 6

Alert Profile(알림 프로파일) - 드롭다운 메뉴를 확장하고 Microsoft Teams 알림 프로파일을 선택합니다.

Step 7

Type(유형) - 드롭다운 메뉴를 확장하고 다음 유형 중 하나를 선택합니다.

  • 시스템 로그

  • 감사 로그

  • 발견

Audit Logs(감사 로그)를 선택하는 경우 다른 구성 가능한 항목이 없습니다. Save(저장)를 클릭하여 규칙을 저장합니다.

Step 8

유형으로 시스템 로그 또는 검색을 선택한 경우, 하위 유형 드롭다운 메뉴를 확장하고 다음 옵션 중 하나를 선택합니다.

  • 게이트웨이

  • 어카운트

  • 컨트롤러

Step 9

Severity(심각도) 드롭다운 메뉴를 확장하고 다음 레이블 중 하나를 선택합니다. 옵션은 7단계에서 선택한 Type(유형)에 따라 달라집니다.

  • 정보

  • 경고

  • 보통

  • 높음

  • 심각

Step 10

Enabled(활성화됨) - 저장 후 즉시 이 알림을 활성화하고 구현하려면 이 옵션이 기본적으로 선택되어 있습니다. 즉시 환경에 적용하지 않으려면 이 상자의 선택을 취소합니다.

Step 11

Save(저장)를 클릭합니다.

ServiceNow

구성한 Multicloud Defense 알림은 정의된 알림 서비스 프로파일 및 알림 규칙을 사용하여 ServiceNow API 게이트웨이로 전송됩니다.

알림 규칙 생성

Before you begin

이 가이드의 단계를 완료하려면 다음이 필요합니다.

  • 수신 Webhook URL이 있는 ServiceNow 어카운트.

  • 구성된 API 키.


Tip

Procedure

Step 1

로 이동합니다.

Step 2

Create(생성)를 클릭합니다.

Step 3

Profile Name(프로파일 이름) - 통합의 고유한 이름을 입력합니다. 예: mcd-servicenow-alert-rule.

Step 4

(선택 사항)Description(설명) - 알림 규칙에 대한 설명을 입력합니다.

Step 5

Alert Profile(알림 프로파일) - 드롭다운 메뉴를 확장하고 Microsoft Teams 알림 프로파일을 선택합니다.

Step 6

Type(유형) - 드롭다운 메뉴를 확장하고 다음 유형 중 하나를 선택합니다.

  • 시스템 로그

  • 감사 로그

  • 발견

Audit Logs(감사 로그)를 선택하는 경우 다른 구성 가능한 항목이 없습니다. Save(저장)를 클릭하여 규칙을 저장합니다.

Step 7

유형으로 시스템 로그 또는 검색을 선택한 경우, 하위 유형 드롭다운 메뉴를 확장하고 다음 옵션 중 하나를 선택합니다.

  • 게이트웨이

  • 어카운트

  • 컨트롤러

Step 8

Severity(심각도) 드롭다운 메뉴를 확장하고 다음 레이블 중 하나를 선택합니다. 옵션은 7단계에서 선택한 Type(유형)에 따라 달라집니다.

  • 정보

  • 경고

  • 보통

  • 높음

  • 심각

Step 9

Enabled(활성화됨) - 저장 후 즉시 이 알림을 활성화하고 구현하려면 이 옵션이 기본적으로 선택되어 있습니다. 즉시 환경에 적용하지 않으려면 이 상자의 선택을 취소합니다.

Step 10

Save(저장)를 클릭합니다.

알림 프로파일 서비스 생성

Before you begin

이 가이드의 단계를 완료하려면 다음이 필요합니다.

  • 수신 Webhook URL이 있는 ServiceNow 어카운트.

  • API 키가 구성되었습니다.


Tip

Procedure

Step 1

이벤트 목록을 확인하려면 System and Accounts(시스템 및 어카운트) > Service Alerts(서비스 알림) > Services(서비스)로 이동합니다.

Step 2

Create(생성)를 클릭합니다.

Step 3

Name(이름) - 알림 통합의 고유한 이름을 입력합니다. 예: mcd-servicenow-profile.

Step 4

Description(설명)(선택 사항) - 알림 통합에 대한 설명을 입력합니다.

Step 5

Type(유형) - 풀다운을 사용하여 ServiceNow를 선택합니다.

Step 6

API Key(API 키) - 위에서 생성한 ServiceNow API 키 또는 다른 ServiceNow API 키를 지정합니다.

Step 7

API URL - 위에서 생성한 ServiceNow Webhook URL 또는 원하는 경우 다른 ServiceNow Webhook URL을 지정합니다.

Step 8

Save(저장)를 클릭합니다.

What to do next

이 새 프로파일로 알림 규칙을 생성합니다.

Slack

구성되면 정의된 알림 서비스 프로파일 및 규칙을 사용하여 Multicloud Defense 알림이 Slack 수신 Webhook URL로 전송됩니다.

Slack 알림 규칙 생성

Before you begin

Slack 알림 규칙을 생성하려면 먼저 알림 프로파일을 생성해야 합니다.

Procedure

Step 1

이벤트 목록을 확인하려면 System and Accounts(시스템 및 어카운트) > Service Alerts(서비스 알림) > Alert Rules(알림 규칙)로 이동합니다.

Step 2

Create(생성)를 클릭합니다.

Step 3

Profile Name(프로파일 이름) - 통합의 고유한 이름을 입력합니다. 예: mcd-slack-alert-rule.

Step 4

(선택 사항)Description(설명) - 알림 규칙에 대한 설명을 입력합니다.

Step 5

Alert Profile(알림 프로파일) - 드롭다운 메뉴를 확장하고 Microsoft Teams 알림 프로파일을 선택합니다.

Step 6

Type(유형) - 드롭다운 메뉴를 확장하고 다음 유형 중 하나를 선택합니다.

  • 시스템 로그

  • 감사 로그

  • 발견

Audit Logs(감사 로그)를 선택하는 경우 다른 구성 가능한 항목이 없습니다. Save(저장)를 클릭하여 규칙을 저장합니다.

Step 7

유형으로 시스템 로그 또는 검색을 선택한 경우, 하위 유형 드롭다운 메뉴를 확장하고 다음 옵션 중 하나를 선택합니다.

  • 게이트웨이

  • 어카운트

  • 컨트롤러

Step 8

Severity(심각도) 드롭다운 메뉴를 확장하고 다음 레이블 중 하나를 선택합니다. 옵션은 7단계에서 선택한 Type(유형)에 따라 달라집니다.

  • 정보

  • 경고

  • 보통

  • 높음

  • 심각

Step 9

Enabled(활성화됨) - 저장 후 즉시 이 알림을 활성화하고 구현하려면 이 옵션이 기본적으로 선택되어 있습니다. 즉시 환경에 적용하지 않으려면 이 상자의 선택을 취소합니다.

Step 10

Save(저장)를 클릭합니다.

알림 프로파일 서비스 생성

Before you begin

이 가이드의 단계를 완료하려면 다음이 필요합니다.

  • 수신 Webhook URL이 구성된 Slack 어카운트.


Tip

  1. Slack 어카운트(https://slack.com/get-started#/create)을 생성합니다.

  2. 수신 Webhook(https://slack.com/help/articles/115005265063-Incoming-webhooks-for-Slack#set-up-incoming-webhooks)을 생성합니다.

Procedure

Step 1

이벤트 목록을 확인하려면 System and Accounts(시스템 및 어카운트) > Service Alerts(서비스 알림) > Services(서비스)로 이동합니다.

Step 2

Create(생성)를 클릭합니다.

Step 3

Name(이름) - 알림 통합의 고유한 이름을 입력합니다. 예: mcd-slack-profile.

Step 4

Description(설명)(선택 사항) - 알림 통합에 대한 설명을 입력합니다.

Step 5

Type(유형) - 풀다운을 사용하여 Slack을 선택합니다.

Step 6

API URL - 위에서 생성한 Slack Webhook URL 또는 원하는 경우 다른 Slack Webhook URL을 지정합니다.

What to do next

이 새 프로파일로 알림 규칙을 생성합니다.

Microsoft Teams

알림 프로파일을 생성한 다음, 서비스 알림 규칙에서 해당 프로파일을 사용하여 서비스에서 고유한 수신 Webhook을 사용하여 Microsoft Teams에 대한 알림을 특별히 생성합니다.

Microsoft Teams 알림 프로파일 서비스 생성

시작하기 전에

Microsoft 어카운트에 대한 알림 프로파일을 마무리하기 전에 다음 항목을 수행해야 합니다.

  • Microsoft Teams UI에서 수신 Webhook을 생성 해야 합니다. 자세한 내용은 Microsoft 설명서를 참조하십시오.

  • 아래 절차를 위해 수신 Webhook 생성에서 생성된 고유한 API URL을 저장 해야 합니다.

프로시저

단계 1

이벤트 목록을 확인하려면 System and Accounts(시스템 및 어카운트) > Service Alerts(서비스 알림) > Services(서비스)로 이동합니다.

단계 2

Create(생성)를 클릭합니다.

단계 3

Name(이름) - 알림 통합의 고유한 이름을 입력합니다.

단계 4

(선택 사항) Description(설명) - 알림 통합에 대한 설명을 입력합니다.

단계 5

Type(유형) - 풀다운을 사용하여 Microsoft Teams를 선택합니다.

단계 6

API URL - 수신 Webhook 생성에서 생성되는 API URL을 입력합니다. Microsoft Teams UI에서 URL을 복사하여 이 텍스트 필드에 붙여넣습니다.

단계 7

Save(저장)를 클릭합니다.

다음에 수행할 작업

이 새 프로파일로 알림 규칙을 생성합니다.

Microsoft Teams 서비스 규칙 생성

시작하기 전에

규칙을 생성하기 전에 Microsoft Teams 서비스 프로파일을 생성해야 합니다.

프로시저

단계 1

이벤트 목록을 확인하려면 System and Accounts(시스템 및 어카운트) > Service Alerts(서비스 알림) > Alert Rules(알림 규칙)로 이동합니다.

단계 2

Create(생성)를 클릭합니다.

단계 3

Profile Name(프로파일 이름) - 통합의 고유한 이름을 입력합니다. 예는 mcd-microsoft-alert-rule과 유사합니다.

단계 4

(선택 사항)Description(설명) - 알림 규칙에 대한 설명을 입력합니다.

단계 5

Alert Profile(알림 프로파일) - 드롭다운 메뉴를 확장하고 Microsoft Teams 알림 프로파일을 선택합니다.

단계 6

Type(유형) - 드롭다운 메뉴를 확장하고 다음 유형 중 하나를 선택합니다.

  • 시스템 로그

  • 감사 로그

  • 발견

Audit Logs(감사 로그)를 선택하는 경우 다른 구성 가능한 항목이 없습니다. Save(저장)를 클릭하여 규칙을 저장합니다.

단계 7

유형으로 시스템 로그 또는 검색을 선택한 경우, 하위 유형 드롭다운 메뉴를 확장하고 다음 옵션 중 하나를 선택합니다.

  • 게이트웨이

  • 어카운트

  • 컨트롤러

단계 8

Severity(심각도) 드롭다운 메뉴를 확장하고 다음 레이블 중 하나를 선택합니다. 옵션은 7단계에서 선택한 Type(유형)에 따라 달라집니다.

  • 정보

  • 경고

  • 보통

  • 높음

  • 심각

단계 9

Enabled(활성화됨) - 저장 후 즉시 이 알림을 활성화하고 구현하려면 이 옵션이 기본적으로 선택되어 있습니다. 즉시 환경에 적용하지 않으려면 이 상자의 선택을 취소합니다.

단계 10

Save(저장)를 클릭합니다.

Webex

구성이 완료되면 Multicloud Defense 알림이 정의된 알림 서비스 프로파일 및 알림 규칙을 사용하여 Webex API 게이트웨이로 전송됩니다.

알림 프로파일 서비스 생성

다음 절차에 따라 Webex 서비스용 알림 프로파일을 생성합니다.

시작하기 전에

이 가이드의 단계를 완료하려면 다음이 필요합니다.

  • 수신 Webhook URL이 있는 Webex 어카운트.

  • API 키가 구성되었습니다.


참고

  1. Webex 어카운트를 생성하거나 액세스합니다.

  2. Webex 수신 Webhook을 생성합니다.

  3. 수신 Webhook 권한을 수락합니다.

  4. 이름을 제공하고 Webex Space를 선택합니다.

  5. 알림 서비스 프로파일의 설정에 사용할 Webex Webhook URL을 복사합니다.

프로시저

단계 1

이벤트 목록을 확인하려면 System and Accounts(시스템 및 어카운트) > Service Alerts(서비스 알림) > Services(서비스)로 이동합니다.

단계 2

Create(생성)를 클릭합니다.

단계 3

Name(이름) - 알림 통합의 고유한 이름을 입력합니다.

단계 4

(선택 사항) Description(설명) - 알림 통합에 대한 설명을 입력합니다.

단계 5

Type(유형) - 풀다운을 사용하여 Webex를 선택합니다.

단계 6

API URL - 사전 요구 사항의 일부로 생성된 Webex Webhook URL 또는 원하는 경우 다른 Webhook URL을 지정합니다.

단계 7

Save(저장)를 클릭합니다.

다음에 수행할 작업

이 새 프로파일로 알림 규칙을 생성합니다.

알림 규칙 생성

프로시저

단계 1

이벤트 목록을 확인하려면 System and Accounts(시스템 및 어카운트) > Service Alerts(서비스 알림) > Alert Rules(알림 규칙)로 이동합니다.

단계 2

Create(생성)를 클릭합니다.

단계 3

Profile Name(프로파일 이름) - 통합의 고유한 이름을 입력합니다. mcd-servicenow-alert-rule을(를) 예로 들 수 있습니다.

단계 4

(선택 사항)Description(설명) - 알림 규칙에 대한 설명을 입력합니다.

단계 5

Alert Profile(알림 프로파일) - 드롭다운 메뉴를 확장하고 Microsoft Teams 알림 프로파일을 선택합니다.

단계 6

Type(유형) - 드롭다운 메뉴를 확장하고 다음 유형 중 하나를 선택합니다.

  • 시스템 로그

  • 감사 로그

  • 발견

Audit Logs(감사 로그)를 선택하는 경우 다른 구성 가능한 항목이 없습니다. Save(저장)를 클릭하여 규칙을 저장합니다.

단계 7

유형으로 시스템 로그 또는 검색을 선택한 경우, 하위 유형 드롭다운 메뉴를 확장하고 다음 옵션 중 하나를 선택합니다.

  • 게이트웨이

  • 어카운트

  • 컨트롤러

단계 8

Severity(심각도) 드롭다운 메뉴를 확장하고 다음 레이블 중 하나를 선택합니다. 옵션은 7단계에서 선택한 Type(유형)에 따라 달라집니다.

  • 정보

  • 경고

  • 보통

  • 높음

  • 심각

단계 9

Enabled(활성화됨) - 저장 후 즉시 이 알림을 활성화하고 구현하려면 이 옵션이 기본적으로 선택되어 있습니다. 즉시 환경에 적용하지 않으려면 이 상자의 선택을 취소합니다.

단계 10

Save(저장)를 클릭합니다.

Splunk

구성이 완료되면 Multicloud Defense 알림이 정의된 알림 서비스 프로파일 및 알림 규칙을 사용하여 API 게이트웨이로 전송됩니다.

Splunk 프로파일 서비스 생성

다음 절차에 따라 Splunk 서비스용 알림 프로파일을 생성합니다.

시작하기 전에

다음 항목이 구성되어 있고 준비되어 있어야 합니다.

  • Multicloud Defense 에서 API 키를 생성하고 키와 암호를 모두 저장합니다. 자세한 내용은 Multicloud Defense에서 API 키 생성를 참조하십시오.

  • Splunk Web에서 HEC(HTTP Event Collector, HTTP 이벤트 컬렉터)를 설정합니다. 자세한 내용 은 Splunk Cloud에서 HTTP 이벤트 컬렉터 설정 를 참조하십시오.

  • Splunk HEC에는 다음 항목이 설정되어 있어야 합니다.

    • HEC는 활성화되어야 합니다.

    • 사용 가능한 활성 HEC 토큰이 하나 이상 있어야 합니다.

    • HEC를 인증하려면 액티브 토큰을 사용해야 합니다.

    • HEC로 이동하는 데이터의 형식을 지정해야 합니다. HTTP 이벤트 컬렉터의 이벤트 형식 지정을 참조하십시오.

프로시저

단계 1

이벤트 목록을 확인하려면 System and Accounts(시스템 및 어카운트) > Service Alerts(서비스 알림) > Services(서비스)로 이동합니다.

단계 2

Create(생성)를 클릭합니다.

단계 3

Name(이름) - 알림 통합의 고유한 이름을 입력합니다.

단계 4

Description(설명)(선택 사항) - 알림 통합에 대한 설명을 입력합니다.

단계 5

Type(유형) - 풀다운을 사용하여 Splunk를 선택합니다.

단계 6

API Key(API 키) - 위에서 생성한 Splunk API 키 또는 원하는 다른 PagerDuty API 키를 복사합니다.

단계 7

서버에 도메인과 일치하는 SAN 필드가 있는 인증서가 없는 경우 Skip Certificate(인증서 확인 건너뛰기) 상자를 선택합니다. 서버에 SAN 필드가 도메인과 일치하는 인증서가 있는 경우 선택하지 않은 상태로 둡니다.

단계 8

Index(색인)(기본값 - 메인) 은 처리된 모든 데이터가 저장되는 Splunk의 기본 인덱스입니다. 이는 Splunk HEC를 구성할 때 제공됩니다.

단계 9

Splunk HTTP 이벤트 컬렉터에 대한 API URL 을 입력합니다. 이 URL을 사용하는 것이 좋습니다. https://<host>:<port>/services/collector .

단계 10

Save(저장)를 클릭합니다.

다음에 수행할 작업

이 새 프로파일로 알림 규칙을 생성합니다.

Splunk 규칙 생성

다음 절차에 따라 splunk 알림 서비스가 포함된 규칙을 생성합니다.

프로시저

단계 1

이벤트 목록을 확인하려면 System and Accounts(시스템 및 어카운트) > Service Alerts(서비스 알림) > Alert Rules(알림 규칙)로 이동합니다.

단계 2

Create(생성)를 클릭합니다.

단계 3

Profile Name(프로파일 이름) - 통합의 고유한 이름을 입력합니다. 예: mcd-mssentinel-alert-rule.

단계 4

(선택 사항)Description(설명) - 알림 규칙에 대한 설명을 입력합니다.

단계 5

Alert Profile(알림 프로파일) - 드롭다운 메뉴를 확장하고 Microsoft Teams 알림 프로파일을 선택합니다.

단계 6

Type(유형) - 드롭다운 메뉴를 확장하고 다음 유형 중 하나를 선택합니다.

  • 시스템 로그

  • 감사 로그

  • 발견

Audit Logs(감사 로그)를 선택하는 경우 다른 구성 가능한 항목이 없습니다. Save(저장)를 클릭하여 규칙을 저장합니다.

단계 7

유형으로 시스템 로그 또는 검색을 선택한 경우, 하위 유형 드롭다운 메뉴를 확장하고 다음 옵션 중 하나를 선택합니다.

  • 게이트웨이

  • 어카운트

  • 컨트롤러

단계 8

Severity(심각도) 드롭다운 메뉴를 확장하고 다음 레이블 중 하나를 선택합니다. 옵션은 7단계에서 선택한 Type(유형)에 따라 달라집니다.

  • 정보

  • 경고

  • 보통

  • 높음

  • 심각

단계 9

Enabled(활성화됨) - 저장 후 즉시 이 알림을 활성화하고 구현하려면 이 옵션이 기본적으로 선택되어 있습니다. 즉시 환경에 적용하지 않으려면 이 상자의 선택을 취소합니다.

단계 10

Save(저장)를 클릭합니다.