Palo Alto Networks IoT 보안과 함께 제공되는 공동 호스팅, 제한적인 기능의 Cortex XSOAR 인스턴스란 무엇인가요?
6854
Created On 12/16/24 19:10 PM - Last Modified 06/10/25 22:58 PM
Question
Palo Alto Networks IoT 보안과 함께 제공되는 공동 호스팅, 제한적인 기능의 Cortex XSOAR 인스턴스란 무엇인가요?
Environment
Cortex XSOAR 6 인스턴스를 공동 호스팅하고 기능이 제한된 Palo Alto Networks IoT 보안
Answer
다음은 Palo Alto Networks IoT 보안 및 Cortex XSOAR와 IoT를 통합하는 다양한 방법에 대한 배경 설명과 공동 호스팅, 기능이 제한된 Cortex XSOAR 인스턴스에 대한 세부 정보입니다.
Palo Alto Networks IoT 보안 - 타사 시스템과 통합
Palo Alto Networks 차세대 방화벽 과 협력하는 것 외에도 IoT 보안은 타사 시스템과 통합되어 IoT 인식 기능을 제공하고 다른 소스에서 디바이스 및 네트워크 데이터를 수집하여 자체 인벤토리와 기능을 강화함으로써 인벤토리, 네트워크 관리, 네트워크 보안 및 취약점 탐지 기능을 강화합니다.
IoT 보안에서 Cortex XSOAR 기술을 활용하여 타사 시스템과 통합하는 데는 세 가지 옵션이 있으며, 아래에 나열되어 있습니다. 이러한 옵션에 대한 자세한 내용은 IoT 보안 통합 가이드 및 Cohosted XSOAR를 사용한 타사 통합 에서 확인할 수 있습니다.
공동 호스팅, 기능이 제한된 Cortex XSOAR 인스턴스를 통한 IoT 보안
IoT Security를 타사 시스템과 통합하고 싶지만 Cortex XSOAR 서버가 없는 경우, 자동으로 생성되고 클라우드 호스팅된 Cortex XSOAR 모듈이 포함된 IoT Security 타사 애드온 라이선스를 구매할 수 있습니다. 이 옵션에 대한 추가 정보는 Cohosted XSOAR를 사용한 타사 통합 에서 확인할 수 있습니다.
모든 기능을 갖춘 Cortex XSOAR 서버를 통한 IoT 보안
온프레미스 또는 클라우드에 이미 모든 기능을 갖춘 Cortex XSOAR 서버를 배포한 경우, 애드온 라이선스를 구매하지 않고도 IoT 보안을 타사 시스템과 통합하고 제한된 클라우드 호스팅 Cortex XSOAR 모듈을 사용할 수 있습니다. IoT 보안과 함께 작동하도록 모든 기능을 갖춘 XSOAR 서버를 셋업 모든 기능을 갖춘 XSOAR 서버를 사용한 타사 통합 에서 설명합니다.
IoT 보안 API에 액세스할 수 있는 Cortex XSOAR
Cortex XSOAR 인스턴스가 있고 이를 IoT 보안과 통합하려는 것이 목표라면Palo Alto Networks IoT 통합 가이드를 확인하세요. 이 가이드에서는 XSOAR에서 통합을 구성 하고 통합 명령을 실행하는 방법을 설명합니다.
공동 호스팅된 Cortex XSOAR 인스턴스의 일련 번호를 찾는 방법
공동 호스팅 제한 기능 Cortex XSOAR 인스턴스를 사용하는 경우 Knowledgebase 문서인 IoT 공동 호스팅 Cortex XSOAR 인스턴스의 일련 번호를 찾는 방법을 사용하여 XSOAR의 일련 번호를 찾을 수 있습니다.
공동 호스팅, 기능이 제한된 Cortex XSOAR를 통한 IoT 보안에 대한 추가 세부 정보
배포 후
단일 로그인
XSOAR 인스턴스가 가동되면 IoT 측(CronJob)이 SSO 설정합니다. 이를 통해 고객은 IoT UI의 시작 버튼을 통해서만 XSOAR에 로그인할 수 있습니다. 여기에는 XSOAR에서 "SAML 2.0" 통합을 설정하는 것이 포함됩니다.메모: 최종 사용자는 IoT UI를 통해서만 XSOAR에 액세스할 수 있습니다. SAML 통합이 비활성화된 경우 실행 버튼이 작동하지 않습니다. IoT는 IoT UI를 통해 XSOAR 로그를 직접 다운로드하는 옵션도 제공합니다.
작업 및 통합 인스턴스 사전 채우기
배포 후 수행되는 또 다른 작업 세트는 XSOAR의 고객을 위한 특정 매개변수를 사용하여 통합 인스턴스와 작업을 만드는 것입니다. 이러한 작업은 XSOAR 운영팀과 IoT 백엔드 팀 간에 공유됩니다. 통합 인스턴스를 추가하는 것 외에도 XSOAR 운영팀은 사용자 권한과 UI 액세스 제한을 정의하는 고객을 위한 IoT 역할도 만듭니다.
제한된 XSOAR 기능
사용자가 SSO 통해 IoT 포털 통해 XSOAR에 로그인하면 특별한 IoT 역할(role) 할당됩니다. 이 역할(role) 에 의해 적용되는 몇 가지 주목할 만한 제한 사항은 다음과 같습니다.
-
-
- 사용자는 설정 및 작업 페이지에만 액세스할 수 있습니다.
- 사용자는 XSOAR 로그를 다운로드할 수 없습니다. IoT UI에는 로그를 다운로드하기 위한 전용 버튼이 있습니다.
- 사용자는 마켓플레이스에 액세스할 수 없습니다.
- 사용자는 CLI 통해 XSOAR 명령을 실행할 수 없습니다.
- 사용자는 구성 플래그를 설정할 수 없습니다.
-
콘텐츠 팩 및 업그레이드
콘텐츠 팩 관리
IoT는 자체 콘텐츠 팩을 관리하며 이러한 팩은 XSOAR 마켓플레이스에서 사용할 수 없습니다. 개발자가 콘텐츠 팩을 준비하면 이를 "스테이징"에 업로드합니다. 이는 AWS S3 위치( s3://contentpack-staging/) 에 불과합니다. IoT에서 제공하는 콘텐츠 팩을 기반으로 골든 이미지 생성되어 XSOAR 인스턴스를 배포하는 데 사용됩니다. 모든 신규 고객은 이런 방식으로 최신 콘텐츠를 받습니다. 기존 고객의 경우 IoT 팀은 Jenkins 작업(IoT 지역당 하나씩)을 통해 API를 통해 IoT 콘텐츠 팩을 모든 기존 고객 XSOAR에 프로그래밍 방식으로 업로드합니다.
XSOAR의 기존 고객의 경우 IoT는 IoT UI를 통해 콘텐츠 팩을 다운로드하고 수동으로 업로드해야 합니다. 고객은 "content.pack.verify" 플래그를 "false"로 설정하고 팩을 수동으로 업로드해야 합니다. 참조: https://docs.paloaltonetworks.com/iot/iot-security-integration/get-started-with-iot-security-integrations/third-party-integrations-using-a-full-featured-xsoar-server
XSOAR 서버 업그레이드
현재 XSOAR 6.X 업그레이드는 임시 기반으로 수행됩니다. IoT는 지정된 중단 시간 창 동안 다운타임 알리는 UI 알림 메시지를 표시합니다.
현재 XSOAR 6.X 업그레이드는 임시 기반으로 수행됩니다. IoT는 지정된 중단 시간 창 동안 다운타임 알리는 UI 알림 메시지를 표시합니다.
라이센스
IoT는 3P 추가 라이선스를 통해 타사 통합을 지원하거나 고객이 이미 기존 XSOAR 고객인 경우 지원합니다. 3P 추가 라이선스는 다음과 같은 플레이버로 제공됩니다.
-
-
- 고급 - 고객은 무제한으로 통합할 수 있습니다.
- 기본 - 고객은 한 번에 3개의 통합만 활성화할 수 있습니다.
-
기존 XSOAR 고객의 경우 IoT는 통합을 위한 라이선스가 필요하지 않습니다. 모든 라이선스 시행은 플레이북 내에서 이루어집니다.