설치 매뉴얼
Akamai SIEM 연동 설정
Akamai techdocs - SIEM Integration 문서를 참조하여 연동을 설정하세요.
1단계: 로그 전송 설정
- Akamai Control Center 페이지에서 로그인하세요.
- WEB & DATA CENTER SECURITY 아래의 Security Configuration 항목을 클릭하세요.
- SIEM으로 이벤트를 전송할 보안 구성(Security Configuration)을 선택하세요.
- Advanced Settings을 클릭하고 Data collection for SIEM Integrations를 On으로 변경하세요.
- All Security polices와 Specific security polices 중 보안 정책을 선택하세요.
- All Security polices: 보안 설정 내에서 발생하는 모든 보안 정책 위반 이벤트에 대한 SIEM 데이터를 전송하려는 경우 선택
- Specific security polices: 특정 보안 정책과 관련된 데이터만 전송하려는 경우, 드롭다운 목록에서 적절한 정책을 선택
- SIEM 전송 시 Username이나 Origin User ID를 포함하려면 각각 선택하세요.
- Include username: 암호화되1지 않은 사용자 이름(Username)을 포함하려면 선택하세요. 사용자 이름을 포함하면 SIEM 출력에 접근할 수 있는 모든 사람이 해당 값과 연관된 위험 점수를 볼 수 있습니다.
- Include Origin User Id: 암호화되지 않은 원본 사용자 ID(Origin User Id)를 포함하려면 선택하세요. 원본 사용자 ID를 포함하면 SIEM 출력에 접근할 수 있는 모든 사람이 해당 값과 연관된 위험 점수를 볼 수 있습니다.
- Web Security Configuration ID 값을 복사하세요. 이 값은 이후 단계에서 수집기 설정에서 사용됩니다.
- 이제 Activate 버튼을 클릭하고 Network에서 Production을 클릭한 후 Activate를 클릭하세요.
2단계: SIEM 연동용 계정 생성
- ACCOUNT ADMIN에서 Identity & access를 클릭하세요.
- Users and API Clients 탭에서 새 계정을 생성하고, Assign Roles 항목에서 Manage SIEM 역할을 선택한 후 Save를 클릭하세요.
3단계: API 액세스 토큰 발급
Akamai techdocs - Create EdgeGrid authentication credentials 페이지를 참조하여 API 클라이언트를 생성하고, 크리덴셜을 생성하세요.
로그프레소 접속 프로파일 설정
이 문서를 참고해 접속 프로파일을 추가하세요.
다음은 접속 프로파일 설정 중 필수 입력 항목입니다.
- 이름: 접속 프로파일을 식별할 고유한 이름
- 식별자: 로그프레소 쿼리 등에서 사용할 접속 프로파일의 고유 식별자
- 유형:
Akamai
선택 - 호스트: 이전 단계에서 확인한 host 값
- 액세스 토큰: 이전 단계에서 확인한 access_token 값
- 클라이언트 토큰: 이전 단계에서 확인한 client_token 값
- 클라이언트 비밀: 이전 단계에서 확인한 client_secret 값
- 접속 타임아웃: 최대 접속 대기 시간 (기본값: 30초)
- 읽기 타임아웃: 최대 읽기 대기 시간 (기본값: 30초)
로그프레소 수집 설정
이 문서를 참고해 수집기를 추가하세요. 기본 설치되는 대시보드 및 데이터셋은 이름이 WAF_AKAMAI
로 시작하는 테이블을 참조합니다.
다음은 수집기 설정 중 필수 입력 항목입니다.
- 이름: 수집기를 식별할 고유한 이름
- 주기: 5초
- 적재 위치/수집 위치: 로그프레소 플랫폼 구성에 따라 적합한 노드 선택
- 수집 모델: Akamai App & API Protector 선택
- 테이블:
WAF_AKAMAI
으로 시작하는 테이블 이름 입력 - 접속 프로파일: 이전 단계에서 설정한 접속 프로파일 식별자
- 구성 ID: Akamai 보안 구성 ID
- 모니터링 대상 일수: 1~365 범위