웹후크 구성

릴리스 버전: Xanadu

업데이트 날짜 2024년 08월 01일

소요 시간: 2분

Threat Intelligence Security Center의 이벤트를 구독하도록 웹후크를 구성합니다.

시작하기 전에

필요한 역할: sn_sec_tisc.admin

이 태스크 정보

TISC 웹후크는 SIEM과 같은 보안 도구와 통합할 수 있는 기능을 제공합니다. 그런 다음 사용자는 옵저버블 또는 표시기, 맬웨어 또는 위협 행위자와 같은 다양한 아티팩트와 관련된 다양한 이벤트를 구독할 수 있습니다. TISC는 새로운 위협 인텔리전스를 사용할 수 있거나 TISC에서 기존 위협 인텔리전스 데이터가 업데이트 또는 삭제되면 보안 도구(예: SIEM)에 알립니다.

예를 들어 위협 인텔리전스에 새 옵저버블이 추가될 때마다 페이로드 요청이 웹후크 URL 구성으로 전송됩니다. 이 페이로드 요청은 일반적으로 옵저버블 정보를 수집하여 보안 도구(예: SIEM)에 추가 정보로 제공합니다.

프로시저

다음으로 이동 모두 > Threat Intelligence Security Center > 관리.
선택 웹후크 구성 > Webhook.
웹후크 페이지가 표시됩니다.

새로 만들기를 클릭합니다.

필드	설명
이름	웹후크 이름을 입력합니다.
설명	웹후크에 대한 설명을 추가합니다.
구성 상세 정보
REST 메시지 사용	Now Platform에서 제공하는 REST 메시지/REST 메서드 기능을 사용하려면 REST 메시지 사용 확인란을 선택합니다. 이 확인란을 선택하지 않으면 애플리케이션은 웹후크 URL에 제공된 엔드포인트를 사용하여 이벤트 정보를 보냅니다. 자세한 내용은 Now Platform 설명서에서 아웃바운드 REST 웹 서비스를 참조하십시오.
REST 메시지	인스턴스에 이미 구성되어 있는 REST 메시지 기록 목록에서 REST 메시지 기록을 선택합니다. 자세한 내용은 Now Platform 설명서에서 아웃바운드 REST 웹 서비스를 참조하십시오. 주: REST 메시지를 선택할 때 REST 메시지 및 REST 메서드 필드는 필수입니다.
REST 메서드	선택한 REST 메시지에 대해 구성된 사용 가능한 REST 메서드 목록에서 REST 메서드를 선택합니다. 자세한 내용은 Now Platform 설명서에서 아웃바운드 REST 웹 서비스를 참조하십시오. 주: 웹후크에는 POST Rest 메서드만 지원됩니다.
웹후크 URL	웹후크 엔드포인트는 웹후크 이벤트 알림을 수신하는 URL입니다.
인증 필요	인증이 필요한 경우 이 확인란을 선택합니다. 주: 웹후크 URL을 사용하여 데이터를 검색하는 경우에만 적용할 수 있습니다.
인증 유형	웹후크의 인증 유형입니다. 주: 현재는 기본 인증 유형만 지원됩니다.
사용자 이름	인증 유형에 사용자 이름을 입력합니다.
암호	인증 유형에 암호를 입력합니다.
요청과 함께 전달할 헤더	요청과 함께 전달될 모든 헤더는 요청 헤더 매핑에서 제공될 수 있습니다. 헤더는 콜론(":")으로 구분된 키-값 쌍으로 제공되어야 합니다. 각 헤더 키 값 쌍은 새 줄에 제공되어야 합니다. 인증 매개변수를 헤더 값으로 제공하려면 필수 인증 레이블을 "${" 및 "}$"로 묶습니다. 예: username:${Username}$.

Validate and Save(확인 및 저장)를 클릭합니다.
구성 세부 정보가 잘못된 경우 구성 세부 정보가 변경되면 시스템에서 자동으로 연결의 유효성을 검사한 다음 애플리케이션에서 웹후크 확인에 실패했으며 구성 세부 정보를 확인하고 그에 따라 수정해야 한다는 경고 메시지를 표시합니다.
주:
- 웹후크의 확인을 위해 빈 요청 페이로드가 엔드포인트로 전송되며, 사용자는 빈 요청이 구성된 웹후크 엔드포인트로 전달될 때 엔드포인트가 성공적인 응답 코드(200)를 보내는지 확인해야 합니다.
- 기본적으로 생성된 모든 웹후크는 비활성화된 상태이므로 웹후크를 활성화하고 활성화해야 합니다. 샘플 웹후크는 기본 시스템에서 사용자에 대한 참조로 프로비저닝됩니다.