6장. QRadar와 통합
RHACS에서 일반 Webhook 통합을 구성하여 이벤트를 QRadar에 보내도록 Red Hat Advanced Cluster Security for Kubernetes를 구성할 수 있습니다.
다음 단계는 RHACS를 QRadar와 통합하기 위한 고급 워크플로를 나타냅니다.
RHACS에서:
일반 Webhook를 구성합니다.
참고RHACS에서 통합을 구성할 때 Endpoint 필드에서 다음 예제를 가이드로 사용합니다. <
URL to QRadar Box>:<Port of Integration> .- 알림을 보낼 정책을 식별하고 해당 정책에 대한 알림 설정을 업데이트합니다.
- QRadar에서 로그 소스를 자동으로 감지하지 않으면 QRadar Console에 RHACS 로그 소스를 추가합니다. QRadar 및 RHACS 구성에 대한 자세한 내용은 Red Hat Advanced Cluster Security for Kubernetes IBM 리소스를 참조하십시오.
6.1. Webhook를 사용하여 통합 구성
Webhook URL을 사용하여 Red Hat Advanced Cluster Security for Kubernetes에서 새 통합을 생성합니다.
프로세스
-
RHACS 포털에서 플랫폼 구성
통합으로 이동합니다. - Notifier Integrations 섹션까지 아래로 스크롤하여 Generic Webhook 를 선택합니다.
- 새 통합을 클릭합니다.
- Integration 이름 의 이름을 입력합니다.
- 끝점 필드에 Webhook URL 을 입력합니다.
웹 후크 수신자가 신뢰할 수 없는 인증서를 사용하는 경우 CA 인증서 필드에 CA 인증서를 입력합니다. 그렇지 않으면 비워 둡니다.
참고웹 후크 수신자에서 사용하는 서버 인증서는 엔드포인트 DNS 이름에 대해 유효해야 합니다. Skip TLS 확인을 클릭하여 이 검증을 무시할 수 있습니다. Red Hat은 TLS 확인을 사용하지 않는 것을 권장하지 않습니다. TLS 확인이 없으면 의도하지 않은 수신자가 데이터를 가로챌 수 있습니다.
선택 사항: 감사 로깅 활성화를 클릭하여 Red Hat Advanced Cluster Security for Kubernetes의 모든 변경 사항에 대한 알림을 받습니다.
참고Red Hat은 이러한 메시지를 다르게 처리하기 위해 경고 및 감사 로그에 별도의 Webhook를 사용하는 것이 좋습니다.
웹 후크 수신자로 인증하려면 다음 중 하나에 대한 세부 정보를 입력합니다.
- 기본 HTTP 인증을 위한 사용자 이름 및 암호
-
사용자 정의 헤더 (예:
Authorization: Bearer <access_token>)
-
추가 필드를 사용하여 Red Hat Advanced Cluster Security for Kubernetes에서 전송하는 JSON 오브젝트에 추가 키-값 쌍을 포함합니다. 예를 들어 Webhook 수신자가 여러 소스의 오브젝트를 수락하는 경우
"source": "rhacs"를 추가 필드로 추가하고 이 값을 필터링하여 Red Hat Advanced Cluster Security for Kubernetes에서 모든 경고를 확인할 수 있습니다. - 테스트 메시지를 보내 일반 Webhook와의 통합이 작동하는지 확인하려면 테스트를 선택합니다.
- 저장을 선택하여 구성을 생성합니다.
