설치 매뉴얼
Stellar Cyber는 API 연동 방식과 웹훅 연동 두 가지 방식으로 설치할 수 있습니다.
API 기반 연동
아래의 설명은 REST API를 이용한 설정 방식이므로, 웹훅 연동 방식은 다음 절을 참고하세요.
Stellar Cyber API 토큰 발급
아래 매뉴얼을 참고하여 API 토큰을 발급합니다.
접속 프로파일 설정
접속 프로파일 문서를 참고해 접속 프로파일을 추가하세요.
다음은 접속 프로파일 설정 중 필수 입력 항목입니다.
- 이름: 접속 프로파일을 식별할 고유한 이름
- 식별자: 로그프레소 쿼리 등에서 사용할 접속 프로파일의 고유 식별자
- 유형:
Stellar Cyber선택
- 엔드포인트: https://hostname 형식
- 테넌트 ID: 32자의 테넌트 식별자
- 계정: Stellar Cyber 로그인 계정
- 토큰: Stellar Cyber에서 발급한 리프레시 토큰
로그프레소 수집 설정
수집기 문서를 참고해 수집기를 추가하세요. 기본 설치되는 대시보드 및 데이터셋은 이름이 XDR_STELLAR로 시작하는 테이블을 참조합니다.
다음은 수집기 설정 중 필수 입력 항목입니다.
-
이름: 수집기를 식별할 고유한 이름
-
적재 위치/수집 위치: 로그프레소 플랫폼 구성에 따라 적합한 노드 선택
-
수집 모델:
Stellar Cyber Alert - REST API선택 -
테이블:
XDR_STELLAR로 시작하는 테이블 이름 입력 -
접속 프로파일: 이전 단계에서 설정한 접속 프로파일 식별자
-
모니터링 대상 일수: 7일
웹훅 기반 연동
웹훅 방식의 연동은 HTTP 수신 설정이 먼저 구성되어야 하므로 로그프레소 수집 설정을 먼저 진행하고, 그 이후에 Stellar Cyber 설정을 진행합니다.
로그프레소 수집 설정
수집기 문서를 참고해 수집기를 추가하세요. 기본 설치되는 대시보드 및 데이터셋은 이름이 XDR_STELLAR로 시작하는 테이블을 참조합니다.
다음은 수집기 설정 중 필수 입력 항목입니다.
- 이름: 수집기를 식별할 고유한 이름
- 적재 위치/수집 위치: 로그프레소 플랫폼 구성에 따라 적합한 노드 선택
- 수집 모델:
Stellar Cyber Alert - Webhook선택 - 테이블:
XDR_STELLAR로 시작하는 테이블 이름 입력 - 콜백 이름:
stellar입력- 여기에서 설정한 값을 이후 Stellar Cyber 웹훅 설정에서 HTTP POST 경로에 입력해야 합니다.
Stellar Cyber 플레이북 설정
-
대응 > Automation에서 아래와 같이 보안 이벤트를 설정하세요.
- 스케줄 타입:
간격선택 - 실행 간격:
5분,선택한 모든 테넌트에 대해선택 - 테넌트:
모든 테넌트 - 색인:
보안 이벤트선택 - 룰 유형:
쿼리선택
- 스케줄 타입:
-
쿼리 빌드에서 쿼리의 이름과 속성을 입력하고 저장을 클릭하세요.
- 컨디션 타입:
AND선택 후 컨디션 추가 클릭 - 필드:
event_score선택 - 오퍼레이터:
필드 존재선택
- 컨디션 타입:
-
수행에서 이전 단계에서 설정한 보안 이벤트를 컨디션 트리거로 선택하여 아래와 같이 설정하세요.
- 컨디션 트리거: 이전 단계에서 생성한 보안 이벤트 선택
- 타입:
Legacy Webhook선택 - 메소드:
post선택 - 호스트: 로그프레소 서버의 IP 주소 입력
- 포트:
443입력 - 경로:
/log/stellar입력 - 헤더:
{"Content-Type": "application/json"}입력 - 페이로드 포함:
인터플로우 데이터선택
-
Run Now을 클릭하여 플레이북을 실행하세요.
-
아래와 같이 Stellar Cyber 콘솔에서 성공적으로 실행되었다는 결과가 표시되면, 로그프레소 웹 콘솔에서 로그 수신 여부를 최종적으로 확인할 수 있습니다.
