Amazon VPC 플로우 로그

Amazon VPC (Virtual Private Cloud) 플로우 로그에 대한 IBM QRadar 통합은 SQS큐를 사용하여 Amazon S3 버킷에서 VPC 플로우 로그를 수집합니다.

중요: 이 통합은 Amazon VPC 플로우 로그의 기본 형식 및 버전 3, 4또는 5필드를 포함하는 모든 사용자 정의 형식을 지원합니다. 그러나 모든 버전 2필드는 사용자 정의 형식에 포함되어야 합니다. 기본 형식은 다음 필드를 포함합니다.
${version} ${account-id} ${interface-id} ${srcaddr} ${dstadir} ${srcport} ${dstport} ${protocol} ${packets} ${bytes} ${start} ${end} ${action} ${log-status}

자세한 정보는 Amazon VPC 플로우 로그 문서를 참조하십시오.

Amazon VPC 플로우 로그를 QRadar와 통합하려면 다음 단계를 완료하십시오.
  1. 자동 업데이트가 활성화되어 있지 않은 경우, IBM® 지원 웹사이트(http://www.ibm.com/support)에서 RPM을 다운로드할 수 있습니다. QRadar Console에 다음 RPM을 다운로드하여 설치하십시오.
    • 프로토콜 공통 RPM
    • AWS S3 REST API 프로토콜 rpm
    중요: QRadar 네트워크 보기 플로우 세부사항 창에서 추가 AWS관련 VPC 플로우 필드를 사용으로 설정하기 위해 RPM을 설치하는 경우 다음 서비스를 표시하기 전에 다시 시작해야 합니다. 프로토콜이 작동하기 위해 서비스를 다시 시작할 필요가 없습니다.
    Hostcontext
    호스트 컨텍스트를 다시 시작하려면 QRadar: Hostcontext 서비스 및 서비스 다시 시작의 영향 (https://www.ibm.com/support/pages/qradar-hostcontext-service-and-impact-service-restart) 을 참조하십시오.
    Tomcat
    콘솔에서 관리 탭을 클릭한 후 고급 > 웹 서버 다시 시작을 클릭하십시오.
  2. S3 버킷에 플로우 로그를 공개하도록 Amazon VPC 플로우 로그를 구성하십시오.
  3. 2단계에서사용한 S3 버킷에서 ObjectCreated 알림을 수신하는 데 사용되는 SQS큐를 작성하십시오.
  4. AWS 사용자 계정에 대한 보안 신임 정보를 작성하십시오.
  5. QRadar Console에서 Amazon VPC 플로우 로그 로그 소스를 추가하십시오.
    중요: 플로우 로그를 수신하려면 Flow Processor 가 사용 가능해야 하고 FPM 라이센스가 있어야 합니다. VPC 플로우 로그는 EPS 라이센스를 사용하지 않습니다. 다른 로그 소스와 달리 AWS VPC 플로우 로그 이벤트는 로그 보기 탭으로 전송되지 않습니다. 네트워크 보기 탭으로 전송됩니다.
    중요: VPC 플로우 로그 로그 소스가 Universal DSM을 사용하여 구성된 경우 이벤트를 생성하지 않습니다. 이 경우 마지막 이벤트 시간 상태는 공백입니다.

    다음 표에서는 Amazon VPC 플로우 로그에서 이벤트를 수집하기 위해 특정 값이 필요한 매개변수에 대해 설명합니다.

    표 1. Amazon VPC 플로우 로그 로그 소스 매개변수
    매개변수
    로그 소스 유형 사용자 정의 로그 소스 유형입니다.
    프로토콜 구성 Amazon AWS S3 REST API
    대상 이벤트 콜렉터 이 로그 소스에서 이벤트를 수신하고 구문 분석하는 Event Collector 또는 Event Processor 입니다.
    팁: 이 통합은 대상 AWS S3 버킷에서 Amazon VPC 플로우 로그의 원시 이벤트 로그를 수집합니다. 그런 다음 IPFIX 플로우 레코드를 생성하고 레코드를 VPC 플로우 대상 호스트 이름으로 전달합니다. Flow Collector 또는 Flow Processor 가 결합된 Flow CollectorFlow Processor 또는 올인원 콘솔인 경우에만 대상 이벤트 콜렉터로 사용할 수 있습니다.
    로그 소스 ID

    로그 소스의 고유 이름을 입력하십시오.

    로그 소스 ID는 임의의 유효값일 수 있으며 특정 서버를 참조하지 않아도 됩니다. 로그 소스 ID로그 소스 이름과 동일한 값일 수 있습니다. 둘 이상의 Amazon VPC 플로우 로그 로그 소스를 구성한 경우 식별 가능한 방식으로 이름을 지정할 수 있습니다. 예를 들어, 첫 번째 로그 소스를 vpcflowlogs1 로 식별하고 두 번째 로그 소스를 vpcflowlogs2로 식별할 수 있습니다.
    인증 메소드
    액세스 키 ID/비밀 키
    어디서든 사용할 수 있는 표준 인증입니다.
    보안 신임 정보 구성에 대한 자세한 정보는 AWS 사용자 계정에 대한 보안 신임 정보 구성을 참조하십시오.
    EC2 인스턴스 IAM 역할
    관리 호스트가 AWS EC2 인스턴스에서 실행 중인 경우 이 옵션을 선택하면 인증을 위해 인스턴스에 지정된 인스턴스 메타데이터의 IAM 역할을 사용합니다. 키가 필요하지 않습니다. 이 방법은 AWS EC2 컨테이너에서 실행 중인 관리 호스트의 경우에만 작동합니다.
    IAM 역할 가정 액세스 키 또는 EC2 인스턴스 IAM 역할로 인증하여 이 옵션을 사용으로 설정하십시오. 그런 다음 액세스를 위해 IAM 역할을 임시로 가정할 수 있습니다. 이 옵션은 SQS 이벤트 알림 수집 방법을 사용하는 경우에만 사용 가능합니다.

    IAM 사용자 작성 및 역할 지정에 대한 자세한 정보는 AWS 관리 콘솔에서 IAM (Identity and Access Management) 사용자 작성을 참조하십시오.
    이벤트 형식 AWS VPC 플로우 로그
    S3 수집 방법 SQS Event Notifications
    VPC 플로우 대상 호스트 이름 VPC 로그를 보낼 Flow Processor 의 호스트 이름 또는 IP 주소입니다.
    Tip: QRadar가 IPFIX 플로우 트래픽을 수락하려면 UDP를 사용하는 NetFlow/IPFIX 플로우 소스를 구성해야 합니다. 대부분의 배치는 default_Netflow 플로우 소스를 사용하고 VPC 플로우 대상 호스트 이름 을 해당 관리 호스트의 호스트 이름으로 설정할 수 있습니다.

    NetFlow/IPFIX 플로우 소스로 구성된 관리되는 호스트가 구성 초기에 선택한 타겟 이벤트 수집기과 동일한 경우 VPC 흐름 대상 호스트 이름localhost으로 설정할 수 있습니다.

    플로우 소스 작성에 대한 자세한 정보는 IBM QRadar Administration Guide의 내용을 참조하십시오.
    VPC 플로우 대상 포트 VPC 로그를 전송할 Flow Processor 의 포트입니다.
    중요: 이 포트는 NetFlow 플로우 소스에 지정된 모니터링 포트와 동일해야 합니다. default_Netflow 플로우 소스의 포트는 2055입니다.
    SQS 큐 URL S3에서 ObjectCreated 이벤트에 대한 알림을 수신하도록 설정되는 SQS 큐의 https://로 시작하는 전체 URL입니다.
    지역 이름 SQS큐 및 S3 버킷과 연관된 리젼입니다.

    예: us-east-1, eu-west-1, ap-northeast-3
    고급 옵션 표시 기본값은 아니오입니다. 이벤트 데이터를 사용자 정의하려면 를 선택하십시오.
    파일 패턴

    이 옵션은 고급 옵션 표시가 예로 설정된 경우 사용 가능합니다.

    가져올 파일과 일치하는 파일 패턴에 대한 정규식을 입력하십시오(예: .*?\.json\.gz).
    로컬 디렉토리

    이 옵션은 고급 옵션 표시가 예로 설정된 경우 사용 가능합니다.

    대상 이벤트 콜렉터의 로컬 디렉토리입니다. 이 디렉토리는 AWS S3 REST API 프로토콜이 이벤트 검색을 시도하기 전에 존재해야 합니다.
    S3 엔드포인트 URL

    이 옵션은 고급 옵션 표시가 예로 설정된 경우 사용 가능합니다.

    AWS 를 쿼리하는 데 사용되는 URL.

    엔드포인트 URL이 기본값과 다른 경우 엔드포인트 URL을 입력하십시오. 기본값은 http://s3.amazonaws.com입니다.
    프록시 사용

    QRadar 가 프록시를 사용하여 Amazon Web Service에 액세스하는 경우 프록시 사용을 사용으로 설정하십시오.

    프록시에 인증이 필요한 경우 프록시 서버, 프록시 포트, 프록시 사용자 이름프록시 비밀번호 필드를 구성하십시오.

    프록시에 인증이 필요하지 않은 경우 프록시 서버프록시 포트 필드를 구성하십시오.
    반복 Amazon AWS S3 REST API 프로토콜이 Amazon 클라우드 API에 연결하여 새 파일을 확인하고 새 파일이 있는 경우 해당 파일을 검색하는 빈도입니다. AWS S3 버킷에 대한 모든 액세스는 버킷을 소유한 계정에 비용을 초래합니다. 따라서 순환 값이 작을수록 비용이 증가합니다.

    새 이벤트 로그 파일에 대해 원격 디렉토리를 스캔하는 빈도를 판별하는 시간 간격을 입력하십시오. 최소값은 1분입니다. 시간 간격에는 시간(H), 분(M) 또는 일(D) 단위의 값이 포함될 수 있습니다. 예를 들어, 2H = 2시간, 15M = 15분입니다.
    EPS 제한

    QRadar 가 수집하는 초당 최대 이벤트 수입니다.

    데이터 소스가 EPS 제한을 초과하면 데이터 콜렉션이 지연됩니다. 데이터는 여전히 수집된 후 데이터 소스가 EPS 제한을 초과하는 것을 중지할 때 수집됩니다.
  6. 시각화를 위해 VPC 플로우 로그를 IBM QRadar Cloud Visibility 앱에 전송하려면 다음 단계를 완료하십시오.
    1. 콘솔에서 관리 탭을 클릭한 후 시스템 구성 > 시스템 설정을 클릭하십시오.
    2. QFlow 설정 메뉴를 클릭하고 IPFix 추가 필드 인코딩 필드에서 TLV 또는 TLV 및 페이로드 형식을 선택하십시오.
    3. 저장을 클릭하십시오.
    4. 관리 탭의 메뉴 표시줄에서 전체 구성 배치를 클릭하고 변경사항을 확인하십시오.
      경고: 전체 구성을 배치하면 QRadar 서비스가 다시 시작됩니다. 해당 시간 중에는 이벤트 및 플로우가 수집되지 않고 오펜스가 생성되지 않습니다.
    5. 브라우저를 새로 고치십시오.

Amazon AWS S3 REST API 프로토콜 구성에 대한 자세한 정보는 Amazon AWS S3 REST API 프로토콜 구성 옵션을 참조하십시오.