New Relic 인프라 통합 에는 AWS Security Lake 통합이 포함되어 있으므로 보안 로그 데이터를 New Relic으로 보낼 수 있습니다.
통합을 사용하여 Security Lake 에서 원격 측정 데이터를 수집하고 New Relic으로 보냅니다. 이 통합을 사용하여 서비스를 모니터링하고, 들어오는 데이터를 쿼리하고, 대시보드를 구축하여 모든 것을 한 눈에 관찰할 수 있습니다.
통합 활성화
이 통합을 활성화하려면 S3 로그 전달자를 설정하십시오. 쉽고 편리함을 위해 서버리스 전달자 애플리케이션을 사용하는 것이 좋지만 직접 설정할 수도 있습니다.
팁
Security Lake 모니터링 설정에는 두 가지 옵션이 있습니다. 반복 단계를 피하기 위해 여러 지역을 통합하거나 지역별로 설정할 수 있습니다. 자세한 내용은 여러 지역 관리를참조하세요.
전제 조건
이 통합을 활성화하기 전에 먼저 Security Lake에 대해 다음 단계가 완료되었는지 확인하십시오.
- Amazon Security Lake 시작 안내서에 언급된 단계를 완료하십시오.
- Security Lake 구독자 안내서의 단계에 따라 데이터 액세스 권한이 있는 구독자를 설정하기 위한 전제 조건을 완료하십시오.
구성 단계
수행할 단계에 대한 개요는 다음과 같습니다.
- Security Lake 구독자를 만듭니다.
- 전용 Amazon Security Lake 로그 전달자를 설치합니다.
- 로그 데이터를 찾아 사용하십시오.
Security Lake 구독자 만들기
- AWS 콘솔에서 Security Lake 기능으로 이동합니다.
- Subscribers 선택하고 Create Subscriber 선택합니다.
- 가입자에게 이름을 지정하고 지역을 선택합니다.
- New Relic으로 보낼 로그 및 이벤트 소스를 선택하십시오.
- 아래에 설명된 대로 나머지 세부 정보를 작성합니다.
들 | 값 |
|---|
Data access method
| S3 |
Account ID
| New Relic에서 제공하는 서버리스 애플리케이션을 설치할 예정인 곳에 AWS account ID
를 삽입합니다. |
External ID
| New Relic AccountID
을(를) 삽입합니다. 자세한 내용은 외부 ID를 참조하세요. |
Notification details
| SQS 대기열 |
- Create 선택합니다.
- Subscriber details 페이지에서 AWS role ID 및 Subscription endpoint ARN을 복사합니다. 다음 단계에 필요합니다.
Amazon Security Lake 로그 전달자 설치
로그 전달자를 설치하려면:
브라우저에서 AWS Serverless 로그를 엽니다.
newrelic 검색하고
Show apps that create custom IAM roles or resource policies
확인하여 newrelic-securitylake-s3-processor-LogForwarder 를 찾습니다.
newrelic-securitylake-s3-processor-LogForwarder 세부정보를 클릭하고
Deploy
클릭합니다.
이전 단계의 AWS role ID ARN을 복사하여 SecurityLakeSubscriberRoleArn 필드에 붙여넣습니다.
이전 단계의 Subscription endpoint ARN을 복사하여 SecurityLakeSubscriberRoleArn 필드에 붙여넣습니다.
이전 단계에서 추가한 ExternalID 를 입력합니다.
NRLicenseKey 필드에
입력합니다.
확인하고
Deploy
) 선택합니다.
이에 대한 자세한 내용은 Amazon Security Lake 로그 전달자 문서를참조하십시오.
로그 데이터 찾기 및 사용
뉴렐릭에서 로그를 찾으려면 one.newrelic.com > All capabilities > Logs 으로 이동하여 Attributes product.name 로 설정한 다음 원하는 로그 소스를 선택하세요.
현재 지원되는 로그 소스는 다음과 같습니다.
Security Lake 로그에서 찾을 수 있는 속성은 다음과 같습니다.
다음 속성에 대한 데이터를 보려면 Amazon VPC 로그를 쿼리합니다.
이름 | 설명 | 데이터 형식 |
|---|
activity_id
| 활동 ID | 정수 |
activity_name
| 활동 이름 | 끈 |
aws.invoked_function_arn
| 호출된 로그 전달 함수의 ARN | 끈 |
aws.s3_bucket_name
| 로그가 전달된 S3 버킷의 이름 | 끈 |
aws.s3_key
| 흐름 로그에서 보안 이벤트의 키 레코드 | 끈 |
category_name
| 로그 카테고리의 이름 | 끈 |
category_uid
| 카테고리의 고유 ID | 정수 |
class_name
| 로그 클래스의 이름 | 끈 |
class_uid
| 클래스의 고유 ID | 정수 |
cloud.account_uid
| 흐름 로그가 발생한 AWS 계정 | 끈 |
cloud.provider
| 클라우드 제공자의 이름을 보여줍니다 - 이 경우 AWS | 끈 |
cloud.region
| 흐름 로그가 발생한 AWS 리전 | 끈 |
cloud.zone
| 흐름 로그가 시작된 AWS 영역 | 끈 |
connection_info.boundary
| 흐름 로그의 경계 | 끈 |
connection_info.boundary_id
| 경계의 ID | 정수 |
connection_info.direction
| 연결이 인바운드인지 아웃바운드인지 표시 | 끈 |
connection_info.direction_id
| 방향의 ID | 정수 |
connection_info.protocol_num
| 흐름의 프로토콜 번호 | 정수 |
connection_info.protocol_ver
| 프로토콜 버전 | 끈 |
connection_info.tcp_flags
| TCP 플래그 | 정수 |
dst_endpoint.instance_uid
| 목적지의 인스턴스 ID | 끈 |
dst_endpoint.interface_uid
| 목적지의 인터페이스 ID | 끈 |
dst_endpoint.intermediate_ips
| 목적지의 중간 IP 주소 | 끈 |
dst_endpoint.ip
| 목적지의 IP 주소 | 끈 |
dst_endpoint.port
| 목적지의 항구 | 정수 |
dst_endpoint.subnet_uid
| 대상의 서브넷 ID | 끈 |
dst_endpoint.svc_name
| 목적지의 서비스 이름 | 끈 |
dst_endpoint.vpc_uid
| 대상의 VPC ID | 끈 |
end_time
| 흐름의 종료 시간 | 정수 |
logtype
| 로그 유형을 정의합니다 | 끈 |
metadata.product.feature.name
| 로그가 발생한 기능의 이름 | 끈 |
metadata.product.name
| 로그가 발생한 제품의 이름 | 끈 |
metadata.product.vendor_name
| 로그 공급업체 이름 이 경우 AWS | 끈 |
metadata.product.version
| 제품 버전의 이름 | 끈 |
metadata.profiles
| 프로필의 이름 | 끈 |
metadata.version
| 메타데이터 버전 | 끈 |
newrelic.source
| New Relic 로그인 소스 | 끈 |
plugin.type
| 사용된 플러그인 유형 | 끈 |
plugin.version
| 사용한 플러그인 버전 | 끈 |
severity
| 로그 결과의 심각도 수준 | 끈 |
severity_id
| 심각도 수준의 ID | 정수 |
src_endpoint.instance_uid
| 소스의 인스턴스 ID | 끈 |
src_endpoint.interface_uid
| 소스의 인터페이스 ID | 끈 |
src_endpoint.intermediate_ips
| 소스의 중간 IP 주소 | 끈 |
src_endpoint.ip
| 소스의 IP 주소 | 끈 |
src_endpoint.port
| 소스 포트 | 정수 |
src_endpoint.subnet_uid
| 소스의 서브넷 ID | 끈 |
src_endpoint.svc_name
| 소스의 서비스 이름 | 끈 |
src_endpoint.vpc_uid
| 소스의 VPC ID | 끈 |
start_time
| 시작 시간 | 정수 |
time
| 시작 시간 | 정수 |
timestamp
| 로그가 New Relic에 도달하는 시간 | 정수 |
traffic.bytes
| 보내거나 받는 바이트의 양 | 정수 |
traffic.packets
| 보내거나 받는 패킷의 양 | 정수 |
type_name
| 이벤트 유형 이름 | 끈 |
type_uid
| 이벤트 유형의 ID | 정수 |
unmapped
| 필드에 매핑되지 않은 구문 분석되지 않은 데이터 | 끈 |
다음 속성에 대한 데이터를 보려면 CloudTrail 로그를 쿼리합니다.
이름 | 설명 | 데이터 형식 |
|---|
activity_id
| 활동 ID | 정수 |
activity_name
| 활동 이름 | 끈 |
api.operation
| API 활동의 운영 | 끈 |
api.request.uid
| API 요청의 고유 ID | 끈 |
api.response.error
| API 요청의 오류 응답 | 끈 |
api.response.message
| API 응답 메시지 | 끈 |
api.service.name
| 요청이 시작된 서비스의 이름 | 끈 |
api.version
| API 버전 | 끈 |
aws.invoked_function_arn
| 호출된 로그 전달 함수의 ARN | 끈 |
aws.s3_bucket_name
| 로그가 전달된 S3 버킷의 이름 | 끈 |
aws.s3_key
| 흐름 로그에서 보안 이벤트의 키 레코드 | 끈 |
category_name
| 로그 카테고리의 이름 | 끈 |
category_uid
| 카테고리의 고유 ID | 정수 |
class_name
| 로그 클래스의 이름 | 끈 |
class_uid
| 클래스의 고유 ID | 정수 |
cloud.provider
| 클라우드 제공자의 이름을 보여줍니다 - 이 경우 AWS | 끈 |
cloud.region
| 흐름 로그가 발생한 AWS 리전 | 끈 |
http_request.user_agent
| HTTP 요청의 사용자 에이전트 | 끈 |
identity.idp.name
| 요청자의 IDP 이름 | 끈 |
identity.invoked_by
| 요청을 호출하는 기능의 이름 | 끈 |
identity.session.created_time
| 세션 생성 시간 | 정수 |
identity.session.issuer
| 발급자의 ARN | 끈 |
identity.session.mfa
| MFA 사용 | 부울 |
identity.user.account_uid
| 사용자의 AWS 계정 | 끈 |
identity.user.credential_uid
| 사용자의 자격 증명 ID | 끈 |
identity.user.name
| 사용자의 이름 | 끈 |
identity.user.type
| 사용자 유형 | 끈 |
identity.user.uid
| 사용자의 ID | 끈 |
identity.user.uuid
| 사용자의 ARN | 끈 |
logtype
| 로그 유형을 정의합니다 | 끈 |
metadata.product.feature.name
| 로그가 발생한 기능의 이름 | 끈 |
metadata.product.name
| 로그가 발생한 제품의 이름 | 끈 |
metadata.product.vendor_name
| 로그 공급업체 이름 이 경우 AWS | 끈 |
metadata.product.version
| 제품 버전의 이름 | 끈 |
metadata.profiles
| 프로필의 이름 | 끈 |
metadata.version
| 메타데이터 버전 | 끈 |
newrelic.source
| New Relic 로그인 소스 | 끈 |
plugin.type
| 사용된 플러그인 유형 | 끈 |
plugin.version
| 사용한 플러그인 버전 | 끈 |
ref_event_uid
| 참조 이벤트의 고유 ID | 끈 |
resources
| 자원 | 끈 |
severity
| 로그 결과의 심각도 수준 | 끈 |
severity_id
| 심각도 수준의 ID | 정수 |
src_endpoint.domain
| 소스의 도메인 | 끈 |
src_endpoint.ip
| 소스의 IP 주소 | 끈 |
src_endpoint.uid
| 소스의 고유 ID | 끈 |
time
| 시작 시간 | 정수 |
timestamp
| 로그가 New Relic에 도달하는 시간 | 정수 |
type_name
| 이벤트 유형 이름 | 끈 |
type_uid
| 이벤트 유형의 ID | 정수 |
unmapped
| 필드에 매핑되지 않은 구문 분석되지 않은 데이터 | 끈 |
다음 속성에 대한 데이터를 보려면 Security Hub 로그를 쿼리합니다.
이름 | 설명 | 데이터 형식 |
|---|
activity_id
| 활동 ID | 정수 |
activity_name
| 활동 이름 | 끈 |
answers
| 답변 | 끈 |
aws.invoked_function_arn
| 호출된 로그 전달 함수의 ARN | 끈 |
aws.s3_bucket_name
| 로그가 전달된 S3 버킷의 이름 | 끈 |
aws.s3_key
| 흐름 로그에서 보안 이벤트의 키 레코드 | 끈 |
category_name
| 로그 카테고리의 이름 | 끈 |
category_uid
| 카테고리의 고유 ID | 정수 |
class_name
| 로그 클래스의 이름 | 끈 |
class_uid
| 클래스의 고유 ID | 정수 |
cloud.account_uid
| AWS 계정의 ID | 끈 |
cloud.provider
| 클라우드 제공자의 이름을 보여줍니다 - 이 경우 AWS | 끈 |
cloud.region
| 흐름 로그가 발생한 AWS 리전 | 끈 |
connection_info.direction
| 연결 방향 | 끈 |
connection_info.direction_id
| 연결 방향 ID | 정수 |
connection_info.protocol_name
| 연결 프로토콜 | 끈 |
dst_endpoint.instance_uid
| 대상 인스턴스 ID | 끈 |
dst_endpoint.interface_uid
| 대상 인터페이스 ID | 끈 |
logtype
| 로그 유형을 정의합니다 | 끈 |
metadata.product.feature.name
| 로그가 발생한 기능의 이름 | 끈 |
metadata.product.name
| 로그가 발생한 제품의 이름 | 끈 |
metadata.product.vendor_name
| 로그 공급업체 이름 이 경우 AWS | 끈 |
metadata.product.version
| 제품 버전의 이름 | 끈 |
metadata.profiles
| 프로필의 이름 | 끈 |
metadata.version
| 메타데이터 버전 | 끈 |
newrelic.source
| New Relic 로그인 소스 | 끈 |
plugin.type
| 사용된 플러그인 유형 | 끈 |
plugin.version
| 사용한 플러그인 버전 | 끈 |
query.class
| 쿼리 클래스 | 끈 |
query.hostname
| 쿼리 호스트 이름 | 끈 |
query.type
| 쿼리 유형 | 끈 |
rcode
| 응답 코드 | 끈 |
rcode
| 응답 코드 ID | 정수 |
severity
| 로그 결과의 심각도 수준 | 끈 |
severity_id
| 심각도 수준의 ID | 정수 |
src_endpoint.instance_uid
| 소스의 인스턴스 ID | 끈 |
src_endpoint.ip
| 소스의 IP 주소 | 끈 |
src_endpoint.port
| 소스 포트 | 정수 |
src_endpoint.vpc_uid
| 소스의 VPC ID | 끈 |
time
| 시작 시간 | 정수 |
timestamp
| 로그가 New Relic에 도달하는 시간 | 정수 |
type_name
| 이벤트 유형 이름 | 끈 |
type_uid
| 이벤트 유형의 ID | 정수 |
unmapped
| 필드에 매핑되지 않은 구문 분석되지 않은 데이터 | 끈 |
다음 속성에 대한 데이터를 보려면 Route 53 로그를 쿼리합니다.
이름 | 설명 | 데이터 형식 |
|---|
activity_id
| 활동 ID | 정수 |
activity_name
| 활동 이름 | 끈 |
aws.invoked_function_arn
| 호출된 로그 전달 함수의 ARN | 끈 |
aws.s3_bucket_name
| 로그가 전달된 S3 버킷의 이름 | 끈 |
aws.s3_key
| 흐름 로그에서 보안 이벤트의 키 레코드 | 끈 |
category_name
| 로그 카테고리의 이름 | 끈 |
category_uid
| 카테고리의 고유 ID | 정수 |
class_name
| 로그 클래스의 이름 | 끈 |
class_uid
| 클래스의 고유 ID | 정수 |
cloud.account_uid
| AWS 계정의 ID | 끈 |
cloud.provider
| 클라우드 제공자의 이름을 보여줍니다 - 이 경우 AWS | 끈 |
cloud.region
| 흐름 로그가 발생한 AWS 리전 | 끈 |
compliance.requirements
| 규정 준수 요구 사항 | 끈 |
compliance.status
| 규정 준수 상태 | 끈 |
compliance.status_detail
| 규정 준수 상태에 대한 세부 정보 | 끈 |
confidence
| 신뢰 | 끈 |
finding.created_time
| 결과 생성 시간 | 정수 |
finding.desc
| 결과에 대한 설명 | 끈 |
finding.first_seen_time
| 발견물이 처음 발견된 시간 | 정수 |
finding.last_seen_time
| 결과가 마지막으로 확인된 시간 | 정수 |
finding.first_seen_time
| 발견물이 처음 발견된 시간 | 끈 |
finding.modified_time
| 결과가 수정된 시간 | 정수 |
finding.related_events
| 발견과 관련된 사건 | 끈 |
finding.remediation.desc
| 결과에 대한 수정에 대한 정보 | 끈 |
finding.remediation.kb_articles
| 결과에 대한 수정에 대한 기술 자료 문서 | 끈 |
finding.src_url
| 결과 소스의 URL | 끈 |
finding.title
| 발견의 제목 | 끈 |
finding.types
| 결과와 관련된 유형 목록 | 끈 |
finding.uid
| 결과의 ARN | 끈 |
logtype
| 로그 유형을 정의합니다 | 끈 |
malware
| 멀웨어 | 끈 |
metadata.product.feature.name
| 로그가 발생한 기능의 이름 | 끈 |
metadata.product.name
| 로그가 발생한 제품의 이름 | 끈 |
metadata.product.vendor_name
| 로그 공급업체 이름 이 경우 AWS | 끈 |
metadata.product.version
| 제품 버전의 이름 | 끈 |
metadata.profiles
| 프로필의 이름 | 끈 |
metadata.version
| 메타데이터 버전 | 끈 |
newrelic.source
| New Relic 로그인 소스 | 끈 |
plugin.type
| 사용된 플러그인 유형 | 끈 |
plugin.version
| 사용한 플러그인 버전 | 끈 |
process.created_time
| 프로세스 생성 시간 | 끈 |
process.file.name
| 프로세스 파일 이름 | 끈 |
process.file.path
| 프로세스 파일 경로 | 끈 |
process.file.type_id
| 프로세스 파일 유형 ID | 정수 |
process.name
| 프로세스 이름 | 끈 |
process.parent_process.pid
| 상위 프로세스의 프로세스 ID | 끈 |
process.pid
| 프로세스 ID | 끈 |
process.terminated_time
| 프로세스 종료 시간 | 끈 |
resources
| 자원 | 끈 |
severity
| 로그 결과의 심각도 수준 | 끈 |
severity_id
| 심각도 수준의 ID | 정수 |
state
| 결과 상태 | 끈 |
state_id
| 결과의 상태 ID | 끈 |
time
| 시작 시간 | 정수 |
timestamp
| 로그가 New Relic에 도달하는 시간 | 정수 |
type_name
| 이벤트 유형 이름 | 끈 |
type_uid
| 이벤트 유형의 ID | 정수 |
unmapped
| 필드에 매핑되지 않은 구문 분석되지 않은 데이터 | 끈 |
vulnerabilities
| 취약점 | 끈 |
데이터 사용 방법
데이터 사용 방법에 대한 자세한 내용은 통합 데이터 이해를참조하십시오.
경고
주요 변경 사항을 알리도록 설정할 수 있습니다. 예를 들어, 관련 당사자에게 치명적이거나 치명적인 오류를 알리기 위해 공지를 설정할 수 있습니다.
알림 만들기에 대해 자세히 알아보세요.
기타 AWS 통합
New Relic AWS 통합에 대해 자세히 알아보십시오.