New Relic 인프라 통합 에는 AWS Security Lake 통합이 포함되어 있으므로 보안 로그 데이터를 New Relic으로 보낼 수 있습니다.
통합을 사용하여 Security Lake 에서 원격 측정 데이터를 수집하고 New Relic으로 보냅니다. 이 통합을 사용하여 서비스를 모니터링하고, 들어오는 데이터를 쿼리하고, 대시보드를 구축하여 모든 것을 한 눈에 관찰할 수 있습니다.
통합 활성화 이 통합을 활성화하려면 S3 로그 전달자를 설정하십시오. 쉽고 편리하게 저희 응용 프로그램을 사용하는 것이 좋지만 직접 설정할 수도 있습니다.
callout.info Security Lake 모니터링 설정에는 두 가지 옵션이 있습니다. 반복 단계를 피하기 위해 여러 지역을 통합하거나 지역별로 설정할 수 있습니다. 자세한 내용은 여러 지역 관리를 참조하세요.
전제 조건 이 통합을 활성화하기 전에 먼저 Security Lake에 대해 다음 단계가 완료되었는지 확인하십시오.
Amazon Security Lake 시작 안내서 에 언급된 단계를 완료하십시오. Security Lake 구독자 안내서 의 단계에 따라 데이터 액세스 권한이 있는 구독자를 설정하기 위한 전제 조건을 완료하십시오. 구성 단계 수행할 단계에 대한 개요는 다음과 같습니다.
Security Lake 구독자를 만듭니다 .전용 Amazon Security Lake 로그 전달자를 설치합니다 .로그 데이터를 찾아 사용하십시오 . Security Lake 구독자 만들기 AWS 콘솔 에서 Security Lake 기능으로 이동합니다.Subscribers [구독자 를]선택하고 Create Subscriber [구독자 만들기 를]선택합니다.가입자에게 이름을 지정하고 지역을 선택합니다. New Relic으로 보낼 로그 및 이벤트 소스를 선택하십시오. 아래에 설명된 대로 나머지 세부 정보를 작성합니다. 들
값
Data access method
S3
Account ID
New Relic에서 제공하는 서버리스 애플리케이션을 설치할 예정인 곳에 AWS
account ID
를 삽입합니다.
External ID
New Relic
AccountID
을(를) 삽입합니다. 자세한 내용은
외부 ID를
참조하세요.
Notification details
SQS 대기열
만들기 를 선택합니다.Subscriber details [구독자 세부 정보] 페이지에서 AWS role ID [AWS 역할 ID] 와 Subscription endpoint [구독 엔드포인트] ARN을 복사합니다. 다음 단계에서 필요합니다. Amazon Security Lake 로그 전달자 설치 로그 전달자를 설치하려면:
브라우저에서 AWS Serverless Application Repository를 엽니다.
newrelic
를 검색하고 Show apps that create custom IAM roles or resource policies [맞춤 IAM 역할 또는 리소스 정책을 생성하는 앱 표시를] 선택하여 newrelic-securitylake-s3-processor-LogForwarder
을 찾습니다.
newrelic-securitylake-s3-processor-LogForwarder
세부정보를 클릭하고 Deploy [배포를]클릭합니다.
이전 단계의 AWS role ID
ARN을 복사하여 SecurityLakeSubscriberRoleArn
필드에 붙여넣습니다.
이전 단계의 Subscription endpoint
ARN을 복사하여 SecurityLakeSubscriberRoleArn
필드에 붙여넣습니다.
이전 단계에서 추가한 ExternalID
를 입력합니다.
당신의
계정 라이선스 키 NRLicenseKey
필드에 입력합니다.
확인하고 Deploy [배포를]선택합니다.
이에 대한 자세한 내용은 Amazon Security Lake 로그 전달자 문서를 참조하십시오.
로그 데이터 찾기 및 사용 New Relic에서 로그를 찾으려면 one.newrelic.com > All capabilities > Logs 이동하고 Attributes [속성을] product.name
로 설정한 다음 원하는 로그 소스를 선택하십시오.
현재 지원되는 로그 소스는 다음과 같습니다.
callout.info Amazon Security Lake는 로그에 OCSF 스키마를 사용합니다.
Security Lake 로그에서 찾을 수 있는 속성은 다음과 같습니다.
VPC 흐름 로그 다음 속성에 대한 데이터를 보려면 Amazon VPC
로그를 쿼리합니다.
이름
설명
데이터 형식
activity_id
활동 ID
정수
activity_name
활동 이름
끈
aws.invoked_function_arn
호출된 로그 전달 함수의 ARN
끈
aws.s3_bucket_name
로그가 전달된 S3 버킷의 이름
끈
aws.s3_key
흐름 로그에서 보안 이벤트의 키 레코드
끈
category_name
로그 카테고리의 이름
끈
category_uid
카테고리의 고유 ID
정수
class_name
로그 클래스의 이름
끈
class_uid
클래스의 고유 ID
정수
cloud.account_uid
흐름 로그가 발생한 AWS 계정
끈
cloud.provider
클라우드 제공자의 이름을 보여줍니다 - 이 경우 AWS
끈
cloud.region
흐름 로그가 발생한 AWS 리전
끈
cloud.zone
흐름 로그가 시작된 AWS 영역
끈
connection_info.boundary
흐름 로그의 경계
끈
connection_info.boundary_id
경계의 ID
정수
connection_info.direction
연결이 인바운드인지 아웃바운드인지 표시
끈
connection_info.direction_id
방향의 ID
정수
connection_info.protocol_num
흐름의 프로토콜 번호
정수
connection_info.protocol_ver
프로토콜 버전
끈
connection_info.tcp_flags
TCP 플래그
정수
dst_endpoint.instance_uid
목적지의 인스턴스 ID
끈
dst_endpoint.interface_uid
목적지의 인터페이스 ID
끈
dst_endpoint.intermediate_ips
목적지의 중간 IP 주소
끈
dst_endpoint.ip
목적지의 IP 주소
끈
dst_endpoint.port
목적지의 항구
정수
dst_endpoint.subnet_uid
대상의 서브넷 ID
끈
dst_endpoint.svc_name
목적지의 서비스 이름
끈
dst_endpoint.vpc_uid
대상의 VPC ID
끈
end_time
흐름의 종료 시간
정수
logtype
로그 유형을 정의합니다
끈
metadata.product.feature.name
로그가 발생한 기능의 이름
끈
metadata.product.name
로그가 발생한 제품의 이름
끈
metadata.product.vendor_name
로그 공급업체 이름 이 경우 AWS
끈
metadata.product.version
제품 버전의 이름
끈
metadata.profiles
프로필의 이름
끈
metadata.version
메타데이터 버전
끈
newrelic.source
New Relic 로그인 소스
끈
plugin.type
사용된 플러그인 유형
끈
plugin.version
사용한 플러그인 버전
끈
severity
로그 결과의 심각도 수준
끈
severity_id
심각도 수준의 ID
정수
src_endpoint.instance_uid
소스의 인스턴스 ID
끈
src_endpoint.interface_uid
소스의 인터페이스 ID
끈
src_endpoint.intermediate_ips
소스의 중간 IP 주소
끈
src_endpoint.ip
소스의 IP 주소
끈
src_endpoint.port
소스 포트
정수
src_endpoint.subnet_uid
소스의 서브넷 ID
끈
src_endpoint.svc_name
소스의 서비스 이름
끈
src_endpoint.vpc_uid
소스의 VPC ID
끈
start_time
시작 시간
정수
time
시작 시간
정수
timestamp
로그가 New Relic에 도달하는 시간
정수
traffic.bytes
보내거나 받는 바이트의 양
정수
traffic.packets
보내거나 받는 패킷의 양
정수
type_name
이벤트 유형 이름
끈
type_uid
이벤트 유형의 ID
정수
unmapped
필드에 매핑되지 않은 구문 분석되지 않은 데이터
끈
클라우드트레일 다음 속성에 대한 데이터를 보려면 CloudTrail
로그를 쿼리합니다.
이름
설명
데이터 형식
activity_id
활동 ID
정수
activity_name
활동 이름
끈
api.operation
API 활동의 운영
끈
api.request.uid
API 요청의 고유 ID
끈
api.response.error
API 요청의 오류 응답
끈
api.response.message
API 응답 메시지
끈
api.service.name
요청이 시작된 서비스의 이름
끈
api.version
API 버전
끈
aws.invoked_function_arn
호출된 로그 전달 함수의 ARN
끈
aws.s3_bucket_name
로그가 전달된 S3 버킷의 이름
끈
aws.s3_key
흐름 로그에서 보안 이벤트의 키 레코드
끈
category_name
로그 카테고리의 이름
끈
category_uid
카테고리의 고유 ID
정수
class_name
로그 클래스의 이름
끈
class_uid
클래스의 고유 ID
정수
cloud.provider
클라우드 제공자의 이름을 보여줍니다 - 이 경우 AWS
끈
cloud.region
흐름 로그가 발생한 AWS 리전
끈
http_request.user_agent
HTTP 요청의 사용자 에이전트
끈
identity.idp.name
요청자의 IDP 이름
끈
identity.invoked_by
요청을 호출하는 기능의 이름
끈
identity.session.created_time
세션 생성 시간
정수
identity.session.issuer
발급자의 ARN
끈
identity.session.mfa
MFA 사용
부울
identity.user.account_uid
사용자의 AWS 계정
끈
identity.user.credential_uid
사용자의 자격 증명 ID
끈
identity.user.name
사용자의 이름
끈
identity.user.type
사용자 유형
끈
identity.user.uid
사용자의 ID
끈
identity.user.uuid
사용자의 ARN
끈
logtype
로그 유형을 정의합니다
끈
metadata.product.feature.name
로그가 발생한 기능의 이름
끈
metadata.product.name
로그가 발생한 제품의 이름
끈
metadata.product.vendor_name
로그 공급업체 이름 이 경우 AWS
끈
metadata.product.version
제품 버전의 이름
끈
metadata.profiles
프로필의 이름
끈
metadata.version
메타데이터 버전
끈
newrelic.source
New Relic 로그인 소스
끈
plugin.type
사용된 플러그인 유형
끈
plugin.version
사용한 플러그인 버전
끈
ref_event_uid
참조 이벤트의 고유 ID
끈
resources
자원
끈
severity
로그 결과의 심각도 수준
끈
severity_id
심각도 수준의 ID
정수
src_endpoint.domain
소스의 도메인
끈
src_endpoint.ip
소스의 IP 주소
끈
src_endpoint.uid
소스의 고유 ID
끈
time
시작 시간
정수
timestamp
로그가 New Relic에 도달하는 시간
정수
type_name
이벤트 유형 이름
끈
type_uid
이벤트 유형의 ID
정수
unmapped
필드에 매핑되지 않은 구문 분석되지 않은 데이터
끈
Route 53 해석기 쿼리 로그 다음 속성에 대한 데이터를 보려면 Route 53
로그를 쿼리합니다.
이름
설명
데이터 형식
activity_id
활동 ID
정수
activity_name
활동 이름
끈
answers
답변
끈
aws.invoked_function_arn
호출된 로그 전달 함수의 ARN
끈
aws.s3_bucket_name
로그가 전달된 S3 버킷의 이름
끈
aws.s3_key
흐름 로그에서 보안 이벤트의 키 레코드
끈
category_name
로그 카테고리의 이름
끈
category_uid
카테고리의 고유 ID
정수
class_name
로그 클래스의 이름
끈
class_uid
클래스의 고유 ID
정수
cloud.account_uid
AWS 계정의 ID
끈
cloud.provider
클라우드 제공자의 이름을 보여줍니다 - 이 경우 AWS
끈
cloud.region
흐름 로그가 발생한 AWS 리전
끈
connection_info.direction
연결 방향
끈
connection_info.direction_id
연결 방향 ID
정수
connection_info.protocol_name
연결 프로토콜
끈
dst_endpoint.instance_uid
대상 인스턴스 ID
끈
dst_endpoint.interface_uid
대상 인터페이스 ID
끈
logtype
로그 유형을 정의합니다
끈
metadata.product.feature.name
로그가 발생한 기능의 이름
끈
metadata.product.name
로그가 발생한 제품의 이름
끈
metadata.product.vendor_name
로그 공급업체 이름 이 경우 AWS
끈
metadata.product.version
제품 버전의 이름
끈
metadata.profiles
프로필의 이름
끈
metadata.version
메타데이터 버전
끈
newrelic.source
New Relic 로그인 소스
끈
plugin.type
사용된 플러그인 유형
끈
plugin.version
사용한 플러그인 버전
끈
query.class
쿼리 클래스
끈
query.hostname
쿼리 호스트 이름
끈
query.type
쿼리 유형
끈
rcode
응답 코드
끈
rcode
응답 코드 ID
정수
severity
로그 결과의 심각도 수준
끈
severity_id
심각도 수준의 ID
정수
src_endpoint.instance_uid
소스의 인스턴스 ID
끈
src_endpoint.ip
소스의 IP 주소
끈
src_endpoint.port
소스 포트
정수
src_endpoint.vpc_uid
소스의 VPC ID
끈
time
시작 시간
정수
timestamp
로그가 New Relic에 도달하는 시간
정수
type_name
이벤트 유형 이름
끈
type_uid
이벤트 유형의 ID
정수
unmapped
필드에 매핑되지 않은 구문 분석되지 않은 데이터
끈
Route 53 해석기 쿼리 로그 다음 속성에 대한 데이터를 보려면 Route 53
로그를 쿼리합니다.
이름
설명
데이터 형식
activity_id
활동 ID
정수
activity_name
활동 이름
끈
aws.invoked_function_arn
호출된 로그 전달 함수의 ARN
끈
aws.s3_bucket_name
로그가 전달된 S3 버킷의 이름
끈
aws.s3_key
흐름 로그에서 보안 이벤트의 키 레코드
끈
category_name
로그 카테고리의 이름
끈
category_uid
카테고리의 고유 ID
정수
class_name
로그 클래스의 이름
끈
class_uid
클래스의 고유 ID
정수
cloud.account_uid
AWS 계정의 ID
끈
cloud.provider
클라우드 제공자의 이름을 보여줍니다 - 이 경우 AWS
끈
cloud.region
흐름 로그가 발생한 AWS 리전
끈
compliance.requirements
규정 준수 요구 사항
끈
compliance.status
규정 준수 상태
끈
compliance.status_detail
규정 준수 상태에 대한 세부 정보
끈
confidence
신뢰
끈
finding.created_time
결과 생성 시간
정수
finding.desc
결과에 대한 설명
끈
finding.first_seen_time
발견물이 처음 발견된 시간
정수
finding.last_seen_time
결과가 마지막으로 확인된 시간
정수
finding.first_seen_time
발견물이 처음 발견된 시간
끈
finding.modified_time
결과가 수정된 시간
정수
finding.related_events
발견과 관련된 사건
끈
finding.remediation.desc
결과에 대한 수정에 대한 정보
끈
finding.remediation.kb_articles
결과에 대한 수정에 대한 기술 자료 문서
끈
finding.src_url
결과 소스의 URL
끈
finding.title
발견의 제목
끈
finding.types
결과와 관련된 유형 목록
끈
finding.uid
결과의 ARN
끈
logtype
로그 유형을 정의합니다
끈
malware
멀웨어
끈
metadata.product.feature.name
로그가 발생한 기능의 이름
끈
metadata.product.name
로그가 발생한 제품의 이름
끈
metadata.product.vendor_name
로그 공급업체 이름 이 경우 AWS
끈
metadata.product.version
제품 버전의 이름
끈
metadata.profiles
프로필의 이름
끈
metadata.version
메타데이터 버전
끈
newrelic.source
New Relic 로그인 소스
끈
plugin.type
사용된 플러그인 유형
끈
plugin.version
사용한 플러그인 버전
끈
process.created_time
프로세스 생성 시간
끈
process.file.name
프로세스 파일 이름
끈
process.file.path
프로세스 파일 경로
끈
process.file.type_id
프로세스 파일 유형 ID
정수
process.name
프로세스 이름
끈
process.parent_process.pid
상위 프로세스의 프로세스 ID
끈
process.pid
프로세스 ID
끈
process.terminated_time
프로세스 종료 시간
끈
resources
자원
끈
severity
로그 결과의 심각도 수준
끈
severity_id
심각도 수준의 ID
정수
state
결과 상태
끈
state_id
결과의 상태 ID
끈
time
시작 시간
정수
timestamp
로그가 New Relic에 도달하는 시간
정수
type_name
이벤트 유형 이름
끈
type_uid
이벤트 유형의 ID
정수
unmapped
필드에 매핑되지 않은 구문 분석되지 않은 데이터
끈
vulnerabilities
취약점
끈
데이터 사용 방법데이터 사용 방법에 대한 자세한 내용은 통합 데이터 이해를 참조하십시오.
경고주요 변경 사항을 알리도록 경고를 설정할 수 있습니다. 예를 들어 중요하거나 치명적인 오류를 관련 당사자에게 알리도록 경고를 설정할 수 있습니다.
알림 만들기 에 대해 자세히 알아보세요.
기타 AWS 통합New Relic AWS 통합에 대해 자세히 알아보십시오.