AWS Security Hub 조사 결과를 New Relic으로 가져와서 단일 통합 취약성 보기를 얻을 수 있습니다. 이 프로세스는 EventBridge를 사용하여 AWS API 대상을 통해 AWS 보안 보고 서비스의 결과를 게시합니다.
이 단계를 완료하면 New Relic 계정에서 AWS 보안 도구가 감지한 새로운 취약점을 실시간으로 확인할 수 있으며, 분석 대시보드를 구축하고 새로 감지된 문제에 대해 활성화할 수 있습니다.
또한 AWS GuardDuty 및 Inspector 결과를 가져오고 NRDB를 사용하여 사용자 지정 대시보드 또는 쿼리를 통해 볼 수 있습니다.
전제 조건
AWS 보안 데이터를 New Relic으로 보내려면:
- AWS 계정에서 AWS Security Hub를 활성화 합니다.
- 데이터를 보고할 계정에 대한 New Relic 라이선스 키 를 얻습니다.
수집을 위한 API 대상 생성
API 대상 생성
AWS UI에서 EventBridge > Integrations > API destinations > Create API destination 으로 이동합니다.
프롬프트를 입력합니다.
아래 패턴을 사용하여 엔드포인트를 구성하고 API 대상 엔드포인트에 입력합니다.
https://security-ingest-processor.service.newrelic.com/v1/security/webhooks/awssecurityhub?Api-Key=NEW_RELIC_LICENSE_KEY중요
EU 라이선스 키를 사용하는 경우 EU 엔드포인트를 사용하세요.
https://security-ingest-processor.service.eu.newrelic.com/v1/security/webhooks/awssecurityhub?Api-Key=NEW_RELIC_LICENSE_KEY
HTTP 메서드로 POST를 선택합니다.
Create a new connection [새 연결 만들기 를] 선택합니다.
새 연결 만들기
새 프롬프트의 필드를 채우십시오.
대상 에 대해 기타 를 선택합니다.
권한 부여 유형 에서 API 키 를 선택하십시오.
API 키 이름 에
Api-Key
입력하고 New Relic을 붙여넣습니다.값으로.
EventBridge 규칙 생성
수집을 위한 API 대상을 생성했으면 New Relic의 수집을 위해 보안 관련 이벤트를 API 대상으로 전달하는 Eventbridge 규칙을 생성합니다.
규칙 세부정보 정의
- AWS UI에서 EventBridge > Rules > Create Rule 으로 이동합니다.
- 이름 필드에 이름을 입력합니다(예:
SecurityEvent_NewRelicSIP_EventForwarder_Rule
. - 설명을 입력합니다(예:
Forwards Security Hub, GuardDuty, and Inspector events to the New Relic Security Ingest Processor (SIP)
. - 이벤트 버스의 경우
default
선택합니다. - 규칙 유형으로
Rule with an event pattern
선택합니다. - Next [다음 을] 선택합니다.
이벤트 패턴 구축
새 창에서 AWS 이벤트 또는 EventBridge 파트너 이벤트 를 이벤트 소스로 선택합니다.
선택 사항: 드롭다운에서 Security Hub 샘플 이벤트를 선택하여 규칙을 테스트합니다.
이벤트 패턴의 경우 사용자 지정 패턴 선택 창을 입력하고 패턴을 입력합니다. 예를 들어 아래 패턴은 Security Hub, Guard Duty 및 Inspector의 이벤트와 일치합니다.
{"detail-type": [{"prefix": "Security Hub"},{"prefix": "GuardDuty Finding"},{"prefix": "Inspector2"}]}
API 대상을 규칙 대상으로 선택
- Target types [대상 유형] 에서 EventBridge API destination [EventBridge API 대상을] 선택합니다.
- API destination [API 대상] 에 대해 Use an existing API destination [기존 API 대상 사용을] 선택합니다.
- 드롭다운을 사용하여 1단계에서 만든 API 대상을 선택합니다.
- 실행 역할의 경우 Create a new role for this specific resource [이 특정 리소스에 대한 새 역할 만들기를] 선택합니다.
태그 구성(선택 사항)
필요에 따라 태그를 구성합니다.
검토 및 생성
모든 선택 사항을 검토하고 필요에 따라 변경합니다.
NRDB에서 검토
AWS Event Bridge를 통해 수집된 로그를 검토하려면 다음 NRQL 쿼리를 사용할 수 있습니다.
FROM Vulnerability SELECT * WHERE source LIKE 'AWS%' SINCE 3 MONTHS AGO
GuardDuty 및 Inspector 결과는 이 방식으로만 표시되는 반면 SecurityHub 취약성은 New Relic의 취약성 관리(사용 가능한 경우)에 표시됩니다.