AWS Security Hub 조사 결과를 New Relic으로 가져와서 단일 통합 취약성 보기를 얻을 수 있습니다. 이 프로세스는 EventBridge를 사용하여 AWS API 대상을 통해 AWS 보안 보고 서비스의 결과를 게시합니다.
이 단계를 완료하면 New Relic 계정에서 AWS 보안 도구가 감지한 새로운 취약성을 실시간으로 확인할 수 있으며 분석 대시보드를 구축하고 새로 감지된 문제에 대한 알림을 활성화할 수 있습니다.
또한 AWS GuardDuty 및 Inspector 결과를 가져오고 NRDB를 사용하여 사용자 지정 대시보드 또는 쿼리를 통해 볼 수 있습니다.
전제 조건
AWS 보안 데이터를 New Relic으로 보내려면:
- AWS 계정에서 AWS Security Hub를 활성화 합니다.
- 데이터를 보고할 계정에 대한 New Relic 라이선스 키 를 얻습니다.
1. 수집을 위한 API 대상 생성
A. API 목적지 생성
- AWS UI에서 EventBridge > Integrations > API destinations > Create API destination 으로 이동합니다.
- 프롬프트를 입력합니다.
- 아래 패턴을 사용하여 엔드포인트를 구성하고 API 대상 엔드포인트에 입력합니다.
https://security-ingest-processor.service.newrelic.com/v1/security/webhooks/awssecurityhub?Api-Key=NEW_RELIC_LICENSE_KEY
HTTP 메소드로 POST 를 선택하십시오. 새 연결 만들기를 선택합니다.
B. 새 연결 만들기
새 프롬프트의 필드를 채우십시오.
대상 에 대해 기타 를 선택합니다.
권한 부여 유형 에서 API 키 를 선택하십시오.
API 키 이름 에
Api-Key
입력하고 New Relic을 붙여넣습니다.값으로.
2. EventBridge 규칙 생성
수집을 위한 API 대상을 생성했으면 New Relic의 수집을 위해 보안 관련 이벤트를 API 대상으로 전달하는 Eventbridge 규칙을 생성합니다.
A. 규칙 세부 사항 정의
- AWS UI에서 EventBridge > Rules > Create Rule 으로 이동합니다.
- 이름 필드에 다음과 같이 이름을 입력합니다.
SecurityEvent_NewRelicSIP_EventForwarder_Rule
- 다음과 같은 설명을 입력합니다.
Forwards Security Hub, GuardDuty, and Inspector events to the New Relic Security Ingest Processor (SIP)
- 이벤트 버스의 경우 선택
default
- 규칙 유형에 대해 다음을 선택하십시오.
Rule with an event pattern
- 다음 선택
B. 빌드 이벤트 패턴
- 새 창에서 AWS 이벤트 또는 EventBridge 파트너 이벤트 를 이벤트 소스로 선택합니다.
- 옵션: 드롭다운에서 Security Hub 샘플 이벤트를 선택하여 규칙을 테스트합니다.
- 이벤트 패턴의 경우 사용자 지정 패턴 선택 창을 입력하고 패턴을 입력합니다. 예를 들어 아래 패턴은 Security Hub, Guard Duty 및 Inspector의 이벤트와 일치합니다.
{ "detail-type": [ { "prefix": "Security Hub" }, { "prefix": "GuardDuty Finding" }, { "prefix": "Inspector2" } ]}
C. API 대상을 규칙 대상으로 선택
- 대상 유형에서 EventBridge API 대상 을 선택합니다.
- API 대상에 대해 기존 API 대상 사용 을 선택합니다.
- 드롭다운을 사용하여 1단계에서 만든 API 대상을 선택합니다.
- 실행 역할 의 경우 이 특정 리소스에 대한 새 역할 생성을 선택합니다.
D. 태그 구성(선택 사항)
필요에 따라 태그를 구성합니다.
E. 검토 및 생성
모든 선택 사항을 검토하고 필요에 따라 변경합니다.
F. NRDB에서 검토
AWS Event Bridge를 통해 수집된 로그를 검토하려면 다음 NRQL 쿼리를 사용할 수 있습니다.
FROM Vulnerability SELECT * WHERE source LIKE 'AWS%' SINCE 3 MONTHS AGO
GuardDuty 및 Inspector 결과는 이 방식으로만 표시되는 반면 SecurityHub 취약성은 New Relic의 취약성 관리(사용 가능한 경우)에 표시됩니다.