분산 방어 구성

1. Config > Notifications 페이지로 이동하여 왼쪽 패널 메뉴에서 Alert Settings를 선택합니다.

2. Create New Notification(새 알림 만들기)을 클릭하여 새 이벤트나 시스템 감사 또는 시스템 상태 경고를 설정합니다.

3. 사용 가능한 옵션(아래 설명 참조) 중에서 선택하고 추가를 클릭하여 구성을 완료하고 현재 알림 목록에 새 경고 구성을 추가합니다.

1. 기존 경고 알림 구성을 표시, 삭제 또는 편집하려면 선택한 경고에 대한 현재 알림 테이블에서 표시, 삭제 또는 편집을 클릭합니다.

2. 현재 설정과 필드를 원하는 대로 편집, 수정 또는 삭제한 다음 Save( 저장)를 클릭합니다.

• 경고 보고서 디스플레이의 샘플은 다음과 같습니다.

이벤트, 시스템 감사 및 시스템 상태 경고 설정에 대한 설명은 다음 표에 나와 있습니다.

• 이메일 알림 설정을 테스트하려면 다음을 참조하십시오.

이벤트 또는 시스템 감사 알림이 CEF, LEEF 또는 Syslog 형식의 로그로 지정된 호스트에 전송되도록 SIEM 설정을 구성합니다.

그림 2: SIEM 알림 설정

시스템 상태 알림을 구성할 때 SIEM 설정으로 Syslog를 선택하는 경우 주니퍼 ATP 어플라이언스에서 전송되는 Syslog 메시지에 호스트 이름 또는 프로세스 이름을 포함하도록 선택할 수 있습니다. 호스트 이름 표시 및 프로세스 이름 표시:

1. Config>Notifications 페이지로 이동하여 왼쪽 패널 메뉴에서 SIEM Settings를 선택합니다.

2. 새 SIEM 커넥터 추가를 클릭하여 CEF 또는 Syslog 형식의 새 이벤트, 시스템 감사 또는 시스템 상태 로그 알림을 설정합니다.

3. 사용 가능한 옵션(아래 설명 참조) 중에서 선택하고 추가를 클릭하여 구성을 완료하고 새 SIEM 커넥터 구성을 활성 SIEMS 목록에 추가합니다.

incident_id 또는 event_id 주어지면 다음 URL을 사용하여 주니퍼 ATP 어플라이언스 웹 UI에 관련 세부 정보를 표시할 수 있습니다.

"JUNIPERATPAPPLIANCE_HOSTNAME_HERE"를 주니퍼 ATP 어플라이언스 호스트 이름으로 바꾸고 "0000000"을 event_id 또는 incident_id로 바꿉니다.

• https://JATPAPPLIANCE_HOSTNAME_HERE/admin/index.html?incident_id=0000000

• https://JATPAPPLIANCE_HOSTNAME_HERE/admin/index.html?event_id=0000000

1. 최근 보고서를 표시하거나 기존 SIEM 구성을 삭제 또는 편집하려면 선택한 구성 행의 활성 SIEM 테이블에서 각각 표시, 삭제 또는 편집을 클릭합니다.

2. 현재 설정과 필드를 원하는 대로 편집, 수정 또는 삭제한 다음 Save( 저장)를 클릭합니다.

SIEM 이벤트 또는 시스템 감사에 대한 경고 알림은 Config>System Settings(구성시스템 설정) 메뉴에서 보내는 메일 설정을 구성한 경우에만 사용할 수 있습니다.

이벤트 경고 설정에 대한 설명은 다음 표에 나와 있습니다.

암호 재설정 구성 창을 사용하여 주니퍼 ATP 어플라이언스 중앙 관리자 웹 UI에 액세스하는 데 사용되는 관리자 암호를 재설정합니다.

그림 3: 암호 재설정 구성

Central Manager 비밀번호를 재설정하려면:

1. Config>System Profiles>Password Reset(구성시스템 프로필암호 재설정) 페이지로 이동합니다.

2. Old Password(이전 비밀번호) 필드에 현재 비밀번호를 입력합니다.

3. New Password(새 비밀번호) 필드에 새 비밀번호를 입력하고 Repeat Password(반복 비밀번호) 필드에 해당 비밀번호를 다시 입력합니다.

4. 제출을 클릭합니다

관리자 암호를 복구하려면 어플라이언스에 물리적으로 액세스할 수 있어야 합니다. 비밀번호 복구 명령은 원격으로 실행할 수 없습니다. "recovery"라는 사용자는 암호 없이 로그인하고 제한된 양의 명령을 입력할 수 있습니다.

관리자 암호를 복구하려면 다음을 수행하십시오.

1. 로그인하라는 메시지가 표시되면 어플라이언스에 직접 사용자 이름을 recovery 입력합니다.

2. reset-admin-password 을 입력하여 암호를 재설정합니다.

   복구 사용자가 exit사용할 수 있는 유일한 다른 명령은 , help, 입니다 history.

이제 웹 UI의 보고서 에서 감사 로그의 UI 사용자를 볼 수 있을 뿐만 아니라 감사 로그의 관리자 및 복구-관리자 CLI 사용자도 볼 수 있습니다.

주니퍼 ATP 어플라이언스는 기업이 주니퍼 ATP 어플라이언스 제품 사용자를 업무 수행에 필요한 데이터에 특정한 역할과 권한으로 제한할 수 있는 옵션을 제공합니다. 또한 원격 인증과 RADIUS/SAML 구성이 주니퍼 ATP 어플라이언스의 RBAC(역할 기반 액세스 제어) 옵션을 지원합니다.

역할 구성을 사용하면 시스템의 모든 신규 사용자가 역할과 연관되어야 하며, 주니퍼 ATP 어플라이언스 제품의 다양한 기능에 대한 액세스는 정의된 사용자 권한에 의해 제어됩니다. 몇 가지 기본 역할을 사용할 수 있지만 필요에 따라 더 많은 역할을 만들 수 있습니다. 기존 사용자는 새 RBAC 시스템으로 자동 마이그레이션됩니다.

역할 구성 후 사용자가 주니퍼 ATP 어플라이언스 제품에 성공적으로 로그인하면 기능에 대한 사용자 액세스는 해당 사용자에게 할당된 매핑된 권한에 따라 제어됩니다(사용자 구성 중 사용자와 연결된 역할을 통해).

설정된 사용자에 대해 새 역할을 구성하려면 다음을 수행합니다.

1. Config>System Profiles(구성시스템 프로필>Roles) 페이지로 이동합니다.

   참고:

   Config>System Profiles>Users(구성 시스템 프로필사용자) 페이지로 이동하여 새 사용자를 생성한 후 해당 사용자의 액세스 역할을 정의합니다.

   그림 4: 사용자 역할 기반 액세스 제어를 구성하기 위한 역할 페이지

2. Add New Roles(새 역할 추가)를 클릭하여 새 역할을 정의합니다.

3. Add New Roles(새 역할 추가) 창에서 "Role(역할)" 이름을 입력합니다.

   참고:

   두 가지 기본 역할, 즉 기본 관리자 역할과 기본 비관리자 역할을 사용할 수 있습니다.

4. 원격 그룹 이름을 입력합니다(선택 사항).

   참고:

   Remote Group Name(원격 그룹 이름)은 SAML 또는 RADIUS 구성을 통한 원격 인증에 대해 정의된 이름과 관련이 있습니다.

5. "예" 또는 "아니오"를 클릭하여 새 역할에 관리자 상태를 할당합니다.

   참고:

   관리자 상태가 "아니오"인 경우 권한 옵션이 표시됩니다. 관리자에게는 기본적으로 모든 권한이 할당되므로 관리자 상태가 "예"로 설정된 경우 이 목록이 표시되지 않습니다.

6. 관리자 상태가 "아니요"인 경우 새 역할에 할당할 권한 집합을 클릭하여 선택합니다.

7. 추가를 클릭하여 역할 구성을 완료합니다. 새 역할이 구성된 현재 역할 테이블에 추가됩니다.

   참고:

   로 이동하여 구성된 역할을 사용자 계정에 추가합니다.

8. 삭제(Delete) 버튼을 눌러 구성된 현재 역할(Current Roles Configured) 테이블에서 역할 구성을 제거합니다.

   참고:

   사용자가 현재 매핑된 역할은 삭제할 수 없습니다.

9. 편집 버튼을 클릭하여 구성을 수정합니다.

로컬 및 원격으로 인증된 주니퍼 ATP 어플라이언스 사용자는 다음과 같은 기본 역할을 사용할 수 있습니다.

주니퍼 ATP 어플라이언스의 원격 인증 기능은 역할 기반 액세스 제어(RBAC)를 지원합니다.

• 원격 인증을 위해 SAML 구성을 활성화하려면 을 참조하십시오. 원격 그룹 이름은 주니퍼 ATP 어플라이언스 시스템에 대해 구성한 유효한 역할에 매핑되어야 합니다.

• 원격 인증 및 RBAC를 위해 RADIUS를 구성하려면 을 참조하십시오.

  참고:

  주니퍼 ATP 어플라이언스에서는 한 번에 한 가지 유형의 원격 인증(SAML 또는 RADIUS)만 사용할 수 있습니다. 또한 rhe 원격 그룹 이름은 주니퍼 ATP 어플라이언스에 대해 구성한 유효한 역할에 매핑되어야 합니다. Remote Group Name(원격 그룹 이름)은 SAML 또는 RADIUS 구성을 통한 원격 인증에 대해 정의된 이름과 관련이 있습니다.

• Active Directory 구성도 참조하십시오.

주니퍼 ATP 어플라이언스 액세스를 위한 사용자 계정을 생성하려면 Config>Users 페이지를 엽니다. 각 계정에 할당된 역할에 따라 사용자가 어플라이언스를 관리할 수 있는지 아니면 단순히 디버깅 작업을 수행할 수 있는지 여부가 결정됩니다.

다음과 같은 기본 역할이 정의됩니다.

• Default Administrator- 모든 모니터링 및 관리 기능에 대한 전체 액세스를 허용합니다. 사전 정의된 관리자 계정에는 이 역할이 있습니다.

• Debugging- 디버깅 기능에만 액세스할 수 있습니다. 디버깅 역할의 사용자는 CLI 또는 구성 옵션을 보거나 액세스할 수 없습니다. 디버깅 역할이 있는 사용자는 시스템에 포함되지만 기본적으로 비활성화되어 있습니다.

• Default Non-Administrator- Config>System Profiles>Roles 설정 페이지에서 정의한 선택 가능한 권한 집합을 허용하여 다음 중 전부 또는 일부에 대한 사용자 액세스를 허용합니다.

  • 주니퍼 ATP 어플라이언스의 웹 UI 대시보드 및 인시던트에 대한 액세스

  • 멀웨어 분석에 대한 액세스 파일 업로드

  • 완화 옵션에 대한 액세스

주니퍼 ATP 어플라이언스 사용자 구성 창을 사용하여 주니퍼 ATP 어플라이언스 및 소프트웨어 관리자와 사용자에 대한 설정과 상태를 추가, 식별, 편집, 재구성 및/또는 확인할 수 있습니다.

사용자 계정 추가하기:

1. Config>System Profiles me nu에서 Users를 클릭하여 Users(사용자) 페이지를 엽니다.

   그림 6: 새 사용자 계정 구성 및 구성 또는 기본 역할 할당

2. Add New User(새 사용자 추가) 버튼을 클릭하여 새 사용자를 구성합니다.

새 주니퍼 ATP 어플라이언스 사용자를 구성하려면 [아래 설명] 필드에 설정을 입력하고 새 사용자 추가를 클릭하여 적용하거나 취소를 클릭하여 구성을 종료합니다.

삭제 버튼을 클릭하여 사용자 구성을 제거합니다.

Config>System Profiles>Users 페이지 목록에서 기존 계정을 클릭하여 사용자 계정을 수정할 수 있습니다. 사용자 호출기 표의 각 사용자 이름은 해당 사용자 계정의 세부 정보에 대한 링크입니다. 사용자 이름 링크를 클릭하면 사용자 업데이트 창이 표시됩니다.

사용자 업데이트 페이지에서 사용자의 이름, 암호 및 역할을 편집할 수 있으며 해당 사용자에 대한 API 키(API 권한 부여 키)를 만들거나 다시 만들 수도 있습니다.

새 API 키를 생성하여 주니퍼 ATP 어플라이언스 REST API에 대한 승인된 프로그래밍 방식 액세스를 제공합니다. 그런 다음 해당 사용자에 대해 구성된 권한 부여 키는 해당 사용자가 API를 요청할 때마다 적용됩니다.

사용자 설정을 편집하고 지정된 사용자에 대한 API 키를 생성하려면 이 2단계 절차를 사용합니다.

1. Config>System Profiles>Users(구성시스템 프로필Users) 페이지에서 기존 사용자 계정을 클릭합니다.

2. 이 사용자에 대해 SAML 또는 RADIUS 인증을 사용하는 경우 구성된 경우 [SAML ID] [RADIUS]를 사용하여 인증을 클릭하여 선택합니다.

   이 옵션을 선택하면 이 대화 상자에서 암호를 정의할 필요가 없습니다. 사용자 인증은 로그인 화면의 "<IdP 이름>을 사용하여 인증" 옵션을 통해 이루어집니다. 원격 인증 및 RBAC 구성에 대한 자세한 내용은 SAML 설정 구성 또는 RADIUS 서버 설정 구성을 참조하십시오.

3. Update User(사용자 업데이트) 창에서 사용자 역할 또는 암호를 필요에 따라 수정하고 "Generate New API Key(새 API 키 생성)" 옵션을 클릭하여 선택합니다. 다음에 이 사용자 업데이트 창을 열 때 새 API 키가 표시됩니다.

   [사용자의 API Key를 비활성화하려면 API Key 비활성화 옵션을 클릭합니다.]

4. 사용자 업데이트(Update User) 버튼을 클릭합니다.

5. 사용자 업데이트 창을 한 번 더 열어 새 API 키를 보고 복사합니다.

6. 주니퍼 ATP 어플라이언스 API에 액세스하여 각 API 호출의 일부로 아래 예와 같이 인증 키를 입력합니다.

예제

자세한 내용은 주니퍼 ATP 어플라이언스 HTTP API 가이드를 참조하십시오.

주니퍼 ATP 어플라이언스는 사용자가 사용자 이름과 비밀번호로 로그인할 수 있는 환경에서 웹 브라우저 SSO(Single Sign-On) 작업을 위한 SAML(Security Assertion Markup Language) 인증을 지원합니다.

SAML에 대한 자세한 내용은 https://en.wikipedia.org/wiki/SAML_2.0 에서 확인할 수 있습니다.

SAML 인증의 일부로, 서비스 공급자(SP)에게 ID 어설션을 전달하기 전에 SSO ID 공급자(IdP)는 해당 주체를 인증하기 위해 사용자(프린시펄)로부터 정보(예: 사용자 이름 및 비밀번호)를 요청하며, SAML 구성은 상호 작용하는 당사자 간의 어설션을 지정합니다. 그런 다음 ID를 어설션하는 메시지가 IdP에서 SP로 전달됩니다.

SAML에서 하나의 ID 공급자는 여러 서비스 공급자에게 SAML 어설션을 제공할 수 있습니다. 마찬가지로 하나의 SP는 여러 독립 SSO ID 공급자(IdP)의 어설션에 의존하고 신뢰할 수 있습니다. LDAP, RADIUS 또는 Active Directory를 통해 사용자는 사용자 이름과 비밀번호로 로그인할 수 있습니다. ID 공급자에 대한 일반적인 인증 토큰 소스 역할을 합니다.

주니퍼 ATP 어플라이언스 중앙 관리자 웹 UI에서 SAML 설정을 구성하려면 SP 및 IdP에 대한 설정 정보를 입력합니다.

1. Config>System Profiles>SAML Settings(구성시스템 프로필SAML 설정) 페이지로 이동합니다.

   

2. SP 설정의 경우 필드별 정의를 입력하거나 SP 메타데이터 다운로드 링크를 클릭합니다.

   SP 엔티티 ID	엔터티 ID는 SAML 엔터티에 대해 전역적으로 고유한 이름입니다. IdP에 등록된 어플라이언스 엔티티 ID의 이름입니다. 일반적으로 SP 엔터티 ID는 절대 URL이지만 위치가 아닌 이름입니다(실제 웹 위치로 확인될 필요는 없음). 참고: URL의 호스트 부분은 조직의 기본 DNS 도메인을 기반으로 하는 이름이어야 하며 URL에는 포트 번호, 쿼리 문자열 또는 조각 식별자가 포함되어서는 안 됩니다. 예: "https://sp_name. JATPappliance.net/sp">
   메타데이터 파일 다운로드	IdP에 업로드될 SP의 XML(주니퍼 ATP 어플라이언스)을 다운로드할 링크입니다.
   사용자 이름 특성	주니퍼 ATP 어플라이언스 사용자 이름을 포함하는 SAML 어설션의 속성입니다. 기본적으로 주니퍼 ATP 어플라이언스는 SAML 응답의 NameID 필드가 정의되지 않은 경우 이 필드를 사용합니다.
   그룹 속성	그룹 이름을 포함하는 SAML 어설션의 특성입니다.
   관리 사용자 그룹	관리자 권한을 받는 그룹(속성으로 지정됨)입니다. 예: jatp_admin
   인증 요청 서명	주니퍼 ATP 어플라이언스가 SAML 인증 요청에 서명하도록 할지 확인합니다.
   IdP가 메시지에 서명하기를 원합니다.	IdP가 메시지에 서명하도록 할지 확인합니다.

3. 그런 다음 IdP 설정을 정의합니다.

   IdP 엔티티 ID	IdP에 대한 전역적으로 고유한 이름(SP 엔터티 ID와 동일한 일반 명명 기준) 예제: "https://webauthentication.JATP.net/idp"
   로그인 URL	SSO URL(이 필드는 SP가 SSO를 시작하도록 허용하는 데 필요함) 예제: "https://app.onelogin.com/trust/saml2/http-post/ sso/local_login/440761"
   IdP 인증서	IdP 인증서 세부 정보입니다. 위의 스크린 샷의 예를 참조하십시오.

   참고:

   SAML 인증 사용자가 "로그아웃" 링크를 사용하여 주니퍼 ATP 어플라이언스에서 로그아웃하면 IdP가 아닌 주니퍼 ATP 어플라이언스에서 로그아웃됩니다.

주니퍼 ATP 어플라이언스 사용자 및 인증 방법에는 세 가지 유형이 있습니다.

Config>System Profiles>SAML Settings(구성시스템 >프로필SAML Settings) 페이지에서 SAML 인증에 체크 >표시된 사용자가 Juniper ATP 어플라이언스에 액세스하려고 할 때 SAML 인증이 선택되어 있는 사용자가 자동으로 IdP의 로그인 페이지로 리디렉션됩니다. 로컬 로그인을 수행하려면 IdP URL에 매개 변수 "local_login"가 있는지 확인합니다. 예: https://10.2.20.100/admin/ ?local_login

일부 기업에서는 AD 인증을 위해 PF(PingFederate) 서버를 사용하여 SML을 구성합니다. 주니퍼 ATP 어플라이언스 디바이스에 대한 결정론적 액세스를 허용하는 주니퍼 ATP 어플라이언스의 향상된 RBAC 외에도, 관리자는 액세스 동작을 제어하기 위한 우선 순위 기반 권한 부여를 구성할 수 있습니다. 초기 배포를 위해 이전 섹션에서 제공한 SAML 구성 외에 몇 가지 추가 설정을 구성해야 합니다.

1. 관리자는 주니퍼 ATP 어플라이언스 중앙 관리자 Config>System Profiles>Users>Add New User) 창에서 관리자가 아닌 역할 사용자에 대한 권한 부여 제어를 추가해야 합니다. 이 제어에는 SAML 어설션에 그룹 이름을 사용하는 작업이 포함됩니다(우선 순위 관련 문제 제거).

   다음을 사용하여 권한 부여가 활성화되면 주니퍼 ATP 어플라이언스는 구성된 역할의 원격 그룹을 사용합니다. RADIUS 또는 SAML 응답에 대해 역할이 설정되지 않은 경우 권한 부여가 실패합니다.

   다음을 사용하여 권한 부여를 비활성화(선택 취소)하면 선택한 역할이 적용됩니다.

2. Central Manager Config>System Profiles>SAML Settings>SP Settings(중앙 관리자 구성시스템 프로필SP 설정) 창으로 이동하여 로컬로 구성된 사용자에 대해서만 권한 부여를 허용합니다. "Authorize only locally configured users(로컬로 구성된 사용자만 권한 부여)"를 선택합니다.

   "로컬로 구성된 사용자만 권한 부여"를 선택하면 로컬 사용자가 있는 경우에만 인증이 허용됩니다.

   "로컬로 구성된 사용자만 권한 부여"가 선택되어 있고 사용자가 존재하면, 사용자 계정 윈도우의 인증 체크상자가 권한을 인증하는 데 사용됩니다.

   참고:

   SP 설정에서 "로컬로 구성된 사용자만 권한 부여"의 기본값은 선택 취소(또는 비활성화)되어 있습니다. "Authorize using SAML/Radius"의 기본값은 True(선택)입니다.

"로컬로 구성된 사용자만 권한 부여" 옵션

• 단순 로컬 사용자(RADIUS 및 SAML이 구성되지 않음)의 경우 "로컬로 구성된 사용자만 권한 부여"는 관련이 없습니다. 일치하는 역할 이름별로 주니퍼 ATP 어플라이언스 장치에 대한 액세스 권한이 부여됩니다. 역할의 "원격 그룹"이 구성된 경우 무시됩니다.

• SAML에 대한 인증 또는 Radius ON으로 구성된 주니퍼 ATP 어플라이언스에 있는 사용자의 경우 SAML SP 설정에서 "로컬로 구성된 사용자만 권한 부여" 옵션을 설정해야 합니다.

• 원격 인증 및 권한 부여의 경우 "로컬로 구성된 사용자만 권한 부여"를 선택하지 않으면 유형 3 사용자가 허용됩니다. SAML 그룹 어설션이 구성된 역할 중 하나의 원격 그룹 설정과 일치하는 경우 type-3 사용자의 성공적인 인증을 기반으로 임시 사용자가 생성됩니다.

• Config>System Profiles(시스템 프로필)>SAML Settings(SAML 설정)>RADIUS Server Settings(RADIUS 서버 설정) 창으로 이동하여 구성된 이러한 사용자에 대해 "Authorize only locally configured users(로컬로 구성된 사용자만 권한 부여)"를 선택합니다.

RADIUS 구성에서는 인증과 권한 부여가 결합됩니다. Active Directory 사용자 이름이 발견되고 암호가 올바르면 RADIUS 서버는 세션에 사용할 매개 변수를 설명하는 특성-값 쌍 목록을 포함하여 Access-Accept 응답을 반환합니다. AD로 지정된 그룹 이름은 Access-Accept 응답 속성의 일부로 포함되지 않으므로 주니퍼 ATP 어플라이언스는 기본적으로 Filter-Id 속성을 사용하지만 속성 선택은 구성 가능합니다. 이 특성은 Active Directory에 구성된 사용자에 대한 그룹 이름으로 문자열 값을 사용하여 RADIUS 서버에서 구성해야 합니다. 예를 들어, 여러 사용자에 대해 동일한 Filter-Id 값 문자열(AD의 그룹 이름과 일치하는 것이 바람직함)을 전송하도록 RADIUS를 구성할 수 있습니다.

RADIUS를 통해 인증된 로컬 사용자의 경우, 권한 적용을 위해 사용자 역할에 대해 인증된 사용자의 AD 그룹 이름을 확인합니다. 이러한 사용자는 허용된 주니퍼 ATP 어플라이언스 기능 세트(주니퍼 ATP 어플라이언스 중앙 관리자 웹 UI 구성>시스템 프로필>역할 페이지에 구성)를 사용할 수 있습니다.

주니퍼 ATP 어플라이언스에 구성되지 않았지만 RADIUS를 통해 인증된 사용자를 위해 주니퍼 ATP 어플라이언스는 SAML 구성(유형 3 사용자)과 유사한 숨겨진 사용자 사양을 수용합니다. 이 사용자는 주니퍼 ATP 어플라이언스 제품의 관리자 수준 기능에 액세스할 수 없습니다. 사용자 역할은 Filter-Id 값을 통해 수신된 그룹 이름에 따라 결정됩니다.

예를 들어, RADIUS 서버의 필터 ID를 주니퍼 ATP 어플라이언스 관리자 역할의 TestGroup1로 구성하고 주니퍼 ATP 어플라이언스 비관리자 역할의 경우 TestGroup2로 필터 ID를 구성하는 경우, 주니퍼 ATP 어플라이언스 측의 관리자 역할에 대한 원격 그룹 이름은 AccessGroup1이고 주니퍼 ATP 어플라이언스 측의 비관리자 역할에 대한 그룹 이름은 AccessGroup2입니다. RBAC에 대한 자세한 내용은 및 도 참조하십시오 .

샘플 Windows Server 2012 네트워크 정책 서버 통합 구성 예제는 다음과 같습니다.

그런 다음 Filter-Id를 구성하고 PAP 및 MS-CHAP 인증 방법을 활성화해야 합니다.

필요에 따라 보조 RADIUS 서버를 구성합니다. 장애 조치(failover)를 위한 보조 서버 구성은 선택 사항입니다.

주니퍼 ATP 어플라이언스 구성의 경우 다음을 설정합니다.

• 호스트 이름/IP:포트

• RADIUS 시크릿

• 사용자 그룹 속성

• 시간 제한 값

  참고:

  "set_radius_config" API를 사용하여 주니퍼 ATP 어플라이언스 측 RADIUS 설정을 구성하는 방법에 대한 자세한 내용은 주니퍼 ATP 어플라이언스 HTTP API 가이드를 참조하십시오.

다음 절차에 따라 주니퍼 ATP 어플라이언스 중앙 관리자 웹 UI에서 RADIUS 서버 설정을 구성합니다.

1. Central Manager Config>System Profiles> RADIUS Settings(RADIUS 설정) 페이지로 이동합니다.

   그림 7: 주니퍼 ATP 어플라이언스 중앙 관리자 RADIUS 서버 설정 페이지

2. RADIUS 인증을 활성화하려면 Enable RADIUS Authentication(RADIUS 인증 활성화) 확인란을 클릭합니다. RADIUS 구성을 비활성화하려면 이 확인란을 제거합니다.

3. 드롭다운에서 서버에 대해 구성된 RADIUS 인증 방법(PAP 또는 MS-CHAP)을 선택합니다. 기본 방법은 PAP입니다.

4. 사용자 그룹 속성을 입력합니다. Filter-Id는 서버 측에서 다른 특성이 구성되지 않는 한 기본값입니다. (Filter-Id를 그룹 이름에 매핑하는 방법에 대한 자세한 내용은 을(를) 참조하십시오 .)

   참고:

   사용자 그룹 속성은 주니퍼 ATP 어플라이언스 구성>시스템 프로필>역할 페이지를 사용하여 RBAC에 대해 주니퍼 ATP 어플라이언스 측에 구성된 원격 그룹 이름에 매핑됩니다. 원격 그룹 이름은 대/소문자를 구분합니다.

5. 대기 시간 초과를 입력합니다. 기본값은 3초입니다. 시간 제한은 1-30초 동안 구성할 수 있습니다.

   참고:

   AD/RADIUS 사용자의 3회 로그인 시도는 기본적으로 허용됩니다. 시도 간의 시간 제한은 위 단계에 표시된 대로 구성할 수 있습니다. 시간 초과 값이 30초의 높은 값으로 구성되고 RADIUS 서버에 연결할 수 없는 경우, 사용자의 브라우저는 주니퍼 ATP 어플라이언스의 응답을 기다리는 동안 시간 초과 메시지를 표시할 수 있습니다.

6. 주 서버 설정을 입력합니다.

   • RADIUS Server Host(RADIUS 서버 호스트) 필드에 기본 RADIUS 서버의 호스트 이름 또는 IP 주소를 입력합니다.

   • RADIUS 포트를 입력합니다. 기본값은 1812입니다. RADIUS 액세스 요청을 보내는 데 사용되는 UDP 포트입니다.

   • 서버 측에 구성된 대로 RADIUS Secret(RADIUS 암호)을 입력합니다.

7. (선택 사항) 구성된 보조 서버 설정을 입력합니다.

   • RADIUS Server Host(RADIUS 서버 호스트) 필드에 보조 RADIUS 서버의 호스트 이름 또는 IP 주소를 입력합니다.

   • RADIUS 포트를 입력합니다. 기본값은 1812입니다. 다시 말하지만, 이것은 RADIUS 액세스 요청을 보내는 데 사용되는 UDP 포트입니다.

   • 서버 측에 구성된 대로 RADIUS Secret(RADIUS 암호)을 입력합니다.

   • RADIUS 로그인이 구성되면 로컬 로그인을 수행하는 데 별도의 URL이 사용되지만 로컬 로그인의 동작은 변경되지 않습니다.

     https://<JATPDeviceIP>/admin/?local_login

시스템 설정 구성하기:

1. Config>System Profiles>System Settings(구성시스템 프로필시스템 설정) 페이지로 이동합니다.

2. 페이지 상단의 System Settings(시스템 설정) 영역에서 제공된 필드(각 옵션은 아래에 설명되어 있음)에 설정을 입력한 다음 Submit(제출)을 클릭하여 구성 설정을 저장합니다.

주니퍼 ATP 어플라이언스의 IVP(Infection Verification Pack)는 기업의 엔드포인트로 다운로드된 멀웨어가 해당 엔드포인트에서 실행되었는지 여부를 확인합니다. 주니퍼 ATP 어플라이언스가 감지하는 각 다운로드에 대해 엔드포인트 디바이스에서 IOC(Indicators of Compromise)를 검색하는 IVP를 생성할 수 있습니다. 엔드포인트에서 감염을 확인함으로써 치료 팀은 손상된 시스템으로 식별 및 확인된 특정 시스템에 노력을 집중할 수 있으므로 데스크톱 완화에 드는 시간과 비용을 절약할 수 있습니다.

관리자는 이 가이드의 이전 페이지에서 설명한 대로 주니퍼 ATP 어플라이언스 중앙 관리자 웹 UI 구성>시스템 설정>시스템 설정 페이지에서 IVP 설정을 구성합니다. 설정 옵션은 다음과 같습니다.

• 자동 압축 풀림 Zip 파일

  IVP 자동 압축 풀림 zip 파일은 IVP 프로그램 자체와 감지된 손상 표시기가 포함된 입력 파일을 단일 .exe 파일로 패키지하는 두 개의 파일을 포함하는 실행 형식입니다.

• Msi

  IVP MSI는 Windows Installer 패키지 파일 형식입니다.

IVP 자동 압축 풀림 Zip .exe 파일이 실행되면 명령 창에 맬웨어가 설치되었는지 여부에 대한 정보가 표시되고 로그 파일을 로컬에 저장할지 여부와 위치를 묻는 메시지가 표시됩니다. IVP 결과는 주니퍼 ATP 어플라이언스 중앙 관리자에게도 전송됩니다.

MSI 파일 IVP 프로세스

MSI 모드에서 IVP를 사용하려면 관리자가 먼저 엔드포인트에 주니퍼 ATP Appliance-ivp-setup.msi를 다운로드하여 설치해야 합니다. 주니퍼 ATP Appliance-ivp-setup.msi 파일은 Config>System Setting(구성시스템 설정)>System Settings(시스템 설정)의 IVP 형식 선택 버튼 옆에 있는 Download MSI(MSI 다운로드) 하이퍼링크를 사용하여 관리자가 Juniper ATP Appliance Central Manager에서 다운로드합니다. 주니퍼 ATP Appliance-ivp-setup.msi를 설치하면 대상 종단 시스템의 "C:\Program Files\JATP\IVP\JATP-ivp.exe" 아래에 IVP 프로그램이 설치됩니다. 주니퍼 ATP 어플라이언스 중앙 관리자에서 IVP 모드를 MSI로 설정하면 IVP가 생성될 때 IOC가 포함된 텍스트 파일이 다운로드됩니다.

파일 형식은 *.ivp입니다. JATP- 가 제대로 설치되면 .ivp 파일을 실행하면 juniprtatp-ivp.exeivp-setup.msi 가 시작되고 멀웨어 분석 중에 탐지되어 현재 최종 시스템에서 실행 중인 다운로드한 .ivp 파일에 설명된 IOC에 대한 검색이 시작됩니다. 기본적으로 명령 프롬프트는 결과를 표시하여 엔드포인트에서 감염이 발생했는지 여부를 확인합니다. 사용자는 아무 키나 눌러 명령 프롬프트 창을 종료해야 합니다. MSI 모드의 로그 파일은 "C:\Program Files\JATP\IVP"에 저장되며 주니퍼 ATP 어플라이언스 중앙 관리자에게 감염 결과가 통보됩니다.

... 여기서 <ivp-input.ivp>는 주니퍼 ATP 어플라이언스 중앙 관리자에서 다운로드한 .ivp입니다. IVP에 대한 인수는 다음과 같습니다.

많은 고객들은 여전히 프록시와 게이트웨이에 의존하여 엔드포인트에 대한 기본적인 보안을 제공합니다. 이러한 환경에서 CM/코어 관리 네트워크는 프록시되지 않은 환경과 유사하게 외부 서비스와 통신하고 작동할 수 있어야 합니다. 이러한 커뮤니케이션에는 GSS에 대한 업로드 및 다운로드는 물론 소프트웨어, 보안 콘텐츠 및 서명 업데이트, 기타 필요한 모든 커뮤니케이션이 포함됩니다. HTTP 및/또는 HTTPS 프록시 환경에 구축된 주니퍼 ATP 어플라이언스 코어가 주니퍼 ATP 어플라이언스 GSS 및 기타 인터넷 서비스와 작동하고 통신하도록 구성합니다.

시스템 설정 구성 창의 프록시 설정 영역을 사용하여 주니퍼 ATP 어플라이언스 구축을 위한 프록시 통합 및 세부 설정을 정의하고 구성할 수 있습니다.

자세한 내용은 주니퍼 ATP 어플라이언스 CLI 명령 참조를 참조하십시오.

1. 프록시 유형(프록시 없음(No Proxy) 또는 수동 프록시(Manual Proxy))을 선택합니다.

   프록시 구성은 익스플로잇, 다운로드 및 감염을 포함한 킬 체인의 모든 링크를 주니퍼 ATP 어플라이언스가 탐지하는 기능을 제공합니다.

2. 프록시 유형으로 Manual Proxy(수동 프록시)를 선택하면 아래와 같이 Proxy Settings(프록시 설정) 페이지의 표시 영역 필드가 구성에 맞게 변경됩니다.

   

3. 프록시 FQDN/IP 주소 필드에 프록시 FQDN/IP 주소를 입력합니다.

   관리 네트워크에 대한 프록시 설정은 내장된 호스트 이름 및 URL을 사용해야 합니다. IP 주소는 항상 프록시 서버를 참조합니다

4. 프록시 포트 필드에 프록시 포트 번호를 입력합니다.

5. 프록시 없음 필드에 프록시가 필요하지 않은 모든 IP 주소를 입력합니다. 각 주소를 쉼표로 구분합니다.

6. 인증 필요(Authentication Required) 확인란을 클릭하여 이 프록시에 인증이 필요한지 여부를 표시하려면 선택합니다.

7. 인증이 필요한 경우 Username(사용자 이름) 및 Username(사용자 이름)을 입력합니다.

8. 제출을 클릭합니다.

   참고:

   주니퍼 ATP 어플라이언스 CLI 서버 모드에서 프록시를 구성하는 방법에 대한 정보는 주니퍼 ATP 어플라이언스 CLI 명령 참조를 참조하십시오. 프록시 IP 주소 설정을 참조하십시오.

프록시 내에 있는 로컬 서버를 프록시 없음 규칙에 추가해야 합니다. 프록시 없음 규칙은 프록시 없음 규칙에 포함된 지정된 네트워크 주소를 대상으로 하는 나가는 연결이 프록시를 통과하지 않도록 합니다.

구성에는 CM/코어 어플라이언스 또는 올인원 어플라이언스에 대한 프록시 설정만 포함됩니다. 연결된 컬렉터 및 보조 코어에 대한 프록시 설정은 웹 컬렉터 및 보조 코어에 대한 주니퍼 ATP 어플라이언스 중앙 관리자 웹 UI 구성 페이지에 표시됩니다.

자동 완화 기능을 통해 사용자는 주니퍼 ATP 어플라이언스의 완화 인텔리전스를 사용자 상호 작용 없이 기업의 통합 보안 인프라에 자동으로 푸시할지, 아니면 지정된 완화 규칙을 통합 디바이스에 수동으로 푸시할지 여부를 구성할 수 있습니다.

자동 완화가 활성화되면 주니퍼 ATP 어플라이언스 관리자는 새로 발견된 위협을 완화하기 위한 어떠한 조치도 취할 필요가 없습니다.

그림 9: 자동 완화 설정 페이지

자동 완화를 구성하려면 다음을 수행합니다.

1. Central Manager 웹 UI의 Config>System Profiles> System Settings(구성시스템 프로필 System Settings(시스템 설정) 페이지로 이동하고 위와 같이 Auto Mitigation Settings(자동 완화 설정) 영역까지 아래로 스크롤합니다.

2. 자동 완화 활성화(Enable Auto-Mitigation)를 클릭하여 구성된 보안 디바이스에 대한 자동 완화 차단을 활성화합니다. 방화벽 자동 완화 구성도 참조하십시오.

   참고:

   자동 완화가 활성화되면 주니퍼 ATP 어플라이언스의 ATA(Advanced Threat Analytics)도 활성화되며, 완화 탭의 완화 테이블에서 위협 소스 열 아래에 있는 "주니퍼 ATP 어플라이언스 ATA"(로컬 보안 콘텐츠가 아닌)로 ATA 결과를 볼 수 있습니다(위협이 주니퍼 ATP 어플라이언스 GSS를 통하지 않고 로컬에서 감지되었음을 의미).

   활성화하지 않으면 자동 차단이 비활성화되고 주니퍼 ATP 어플라이언스 관리자가 완화 탭에서 위협을 수동으로 푸시하지 않는 한 완화 규칙이 통합 방화벽으로 전송되지 않습니다.

3. 완화 공격성 수준(보통 또는 공격적)을 선택합니다.

   공격적이란 완화 탭에 보고된 모든 위협이 자동으로 푸시됨을 의미합니다. 보통은 완화 탭에 나열된 최대 및 높음 심각도 위협만 자동으로 푸시됨을 의미합니다.

4. 최대 IP 주소 위협에 방화벽으로 보낼 최대 IP 주소 수를 입력합니다. 지정하지 않으면 주니퍼 ATP 어플라이언스는 디바이스에 푸시되는 위협의 수를 제한하지 않습니다.

   이 수치는 위험 기반이 아니라 위협 신뢰도 기반입니다. 신뢰 상태는 규칙 복합 상태에 의해 결정됩니다.

5. 최대 IP URL 위협에 방화벽으로 보낼 최대 URL 수를 입력합니다. 지정하지 않으면 무한 수가 허용됩니다.

6. 완화 탭에서 위협 및 자동 차단 결과를 봅니다.

시스템 설정 구성 창의 디스플레이 설정 영역을 사용하여 Central Manager 웹 UI 로그인 및 디스플레이 설정을 구성 및/또는 수정할 수 있습니다.

그림 10: 디스플레이 설정

디스플레이 설정 구성하기:

1. Config>System Profiles(구성시스템 프로필) 페이지로 이동하여 왼쪽 패널 메뉴에서 System Settings(시스템 설정)를 선택하고 아래로 스크롤하여 System Settings(시스템 설정) 페이지에서 Display Settings(디스플레이 설정) 구성 영역을 찾습니다.

2. 선택적 디스플레이 설정을 입력하거나 선택합니다[옵션은 아래에 설명되어 있음].

3. 제출을 클릭하여 구성을 적용합니다.

발신 메일 설정 구성 창을 사용하여 주니퍼 ATP 어플라이언스 또는 소프트웨어 구축에 대한 발신 이메일 알림 설정을 구성 및/또는 수정할 수 있습니다.

보내는 메일 설정을 구성하려면:

1. Config>System Profiles(구성시스템 프로필) 페이지로 이동하여 왼쪽 패널 메뉴에서 System Settings(시스템 설정)를 선택하고 아래로 스크롤하여 System Settings(시스템 설정) 페이지에서 Outgoing Mail Settings(보내는 메일 설정) 구성 영역을 찾습니다.

2. 이메일 설정(옵션은 아래에 설명되어 있음)을 입력하거나 선택한 다음 제출을 클릭하여 구성을 적용합니다.

   표 11: 보내는 메일 설정 옵션

   SMTP 호스트	엔터프라이즈 메일 호스트의 IP를 입력합니다
   SMTP 포트	SMTP 포트 번호[기본값 587]를 입력합니다.
   SSL 사용	기본적으로 활성화되어 있습니다. SSL 사용을 비활성화하려면 선택을 취소하십시오.
   SMTP 로그인	어플라이언스 또는 서비스에 대한 SMTP 이메일 로그인을 입력합니다.
   SMTP 암호	로그인 계정의 SMTP 암호를 입력합니다.
   보낸 사람 주소	""보낸 사람"" 필드 이메일 주소를 입력합니다. 기본값은 mailto:noreply@JATP.net 입니다.

Config>System Profiles>System Settings(구성시스템 프로필시스템 설정) 페이지 하단의 Test Outgoing Mail Settings(보내는 메일 설정 테스트) 영역에서 현재 보내는 메일 구성을 테스트할 수 있습니다.

보내는 메일 설정을 테스트하려면 다음 단계를 따르세요.

1. Config>System Profiles>System Settings(구성시스템 프로필시스템 설정) 페이지로 이동하고 아래로 스크롤하여 Test Outgoing Mail Settings(보내는 메일 설정 테스트) 영역을 찾습니다.

2. 주니퍼 ATP 어플라이언스에서 테스트 이메일을 보낼 이메일 주소(또는 쉼표로 구분된 일련의 이메일 주소)를 입력합니다.

3. 테스트 버튼을 클릭하여 이메일 알림 구성을 테스트합니다. 주니퍼 ATP 어플라이언스는 구성 설정에 따라 입력한 이메일 주소로 이메일을 전송합니다.

   참고:

   이 테스트는 이메일 주소가 유효한지 여부가 아니라 이메일을 보낼 수 있는지 확인합니다.

사용자는 사용 가능한 두 가지 옵션을 사용하여 인증서를 만들 수 있습니다.

• 자체 서명된 새 인증서 만들기

• 인증서 서명 요청(CRS) 만들기

첫 번째 옵션인 새 개인 키 및 자체 서명된 인증서 만들기는 새 개인 키를 생성한 다음, 현재 어플라이언스 호스트 이름이 변경될 때마다 수행되는 것처럼 자체 서명된 새 인증서를 생성합니다.

두 번째 옵션인 기존 개인 키를 사용하여 인증서 서명 요청 만들기는 사용자에게 인증서 세부 정보를 묻는 메시지를 표시하고 현재 개인 키와 함께 해당 세부 정보를 사용하여 CSR을 생성한 다음 사용자가 다운로드하여 신뢰할 수 있는 인증 기관(CA)에서 서명할 수 있습니다.

또는 새 개인 키를 사용하여 인증서 서명 요청을 만들 수 있습니다. 이 옵션은 새 개인 키가 생성되므로 모든 미해결 CSR을 무효화합니다. 이렇게 하면 이전 개인 키가 손상된 경우 사용자가 개인 키를 변경할 수 있습니다. 사용자가 계속 진행하기로 선택하면 시스템은 사용자에게 인증서 세부 정보를 묻는 메시지를 표시하고 해당 세부 정보와 새 개인 키를 사용하여 CSR을 생성하며, 사용자는 이를 다운로드하여 신뢰할 수 있는 CA에서 서명할 수 있습니다.

자체 서명된 인증서를 만들려면 다음을 수행합니다.

1. 주니퍼 ATP 어플라이언스 중앙 관리자 웹 UI 구성>시스템 프로필>인증서 관리 페이지로 이동합니다.

2. Create Self Signed Certificate(자체 서명 인증서 생성)를 클릭합니다.

   

3. Create Self Signed Certificate(자체 서명 인증서 생성) 창에서 각 필드 프롬프트에 대한 세부 정보를 입력합니다

   참고:

   일부 필드는 선택 사항이지만 제공된 경우 인증서 서명 요청을 만드는 동안 사용됩니다.

   일반 이름(서버 FQDN)	서버의 정규화된 도메인 이름입니다.
   조직(선택 사항)	인증서를 만들 조직입니다.
   조직 구성 단위(선택 사항)	조직 단위 또는 부서, 네트워크 등
   이메일 주소(선택 사항)	인증서를 만드는 관리자의 전자 메일 주소입니다.
   지역(선택 사항)	기업의 지역성.
   시/도(선택 사항)	인증서를 사용하는 서버가 있는 시/도입니다.
   국가 코드(선택 사항)	인증서를 사용하는 서버가 위치한 국가입니다.
   키 길이	2048비트 키 또는 4096비트 키를 선택합니다. 일반적으로 2048비트는 인증 기관에서 사용하는 루트 키 쌍과 같이 매우 중요한 키에 사용됩니다. 키 길이가 길수록 무차별 암호 대입하기가 더 어렵지만 더 긴 키 길이를 사용하면 서버와 클라이언트에서 더 많은 계산 리소스가 필요합니다.

4. 자체 서명된 인증서 세부 정보를 입력한 후 만들기를 클릭하면 인증서가 생성되어 실행 중인 구성에 적용됩니다.

인증서 서명 요청 CSR을 생성하려면 다음을 수행합니다.

1. 주니퍼 ATP 어플라이언스 중앙 관리자 웹 UI 구성>시스템 프로필>인증서 관리 페이지로 이동합니다.

2. Create CSR(CSR 생성)을 클릭합니다.

3. Create CSR(CSR 생성) 창에서 각 필드 프롬프트에 대한 세부 정보를 입력합니다.

   참고:

   Create New Private Key(새 개인 키 생성) 옵션을 클릭하면 이전에 생성된 CSR이 무효화됩니다.

   일반 이름(서버 FQDN)	서버의 정규화된 도메인 이름입니다.
   조직(선택 사항)	인증서를 만들 조직입니다.
   조직 구성 단위(선택 사항)	조직 단위 또는 부서, 네트워크 등
   이메일 주소(선택 사항)	인증서를 만드는 관리자의 전자 메일 주소입니다.
   지역(선택 사항)	기업의 지역성.
   시/도(선택 사항)	인증서를 사용하는 서버가 있는 시/도입니다.
   국가 코드(선택 사항)	인증서를 사용하는 서버가 위치한 국가입니다.
   새 개인 키 만들기	인증서 서명 요청의 일부로 새 개인 키를 만들려면 클릭합니다. 이 옵션을 클릭하면 이전에 생성한 CSR이 무효화됩니다. 기존 개인 키를 사용하려는 경우 이 옵션을 선택하지 마십시오.

4. CSR 파일을 다운로드하여 신뢰할 수 있는 CA로 보냅니다. 신뢰할 수 있는 CA는 사용자에게 인증서 파일 및 CA 번들을 보냅니다. Config> System Profiles(시스템 프로필) > Certificate Management(인증서 관리)로 이동하고 Upload and Install Certificate(인증서 업로드 및 설치)를 클릭하여 인증서 및 CA 번들 PEM 파일을 업로드합니다.

   어플라이언스는 제공된 인증서의 유효성을 검사하고 설치합니다.

신뢰할 수 있는 인증 기관(CA)에서 사용자 제공 인증서를 설치하려면 관리자가 다음을 제공해야 합니다.

• 개인 키(선택 사항) - 업로드됨

• 클라이언트 인증서 - 업로드됨

• CA 번들(선택 사항) - 업로드됨

이 정보는 다음 두 가지 방법 중 하나로 제공될 수 있습니다.

• 프라이빗 키, 클라이언트 인증서 및 CA 번들을 별도의 PEM 파일로 가져옵니다. PEM 인코딩은 SSL과 같은 암호화 시스템에서 사용하기 위해 RSA 개인 키를 저장하는 개인 키 형식입니다.

• 데이터를 PKCS#12 번들로 가져오고 내용의 암호를 해독하기 위한 선택적 암호와 함께 가져옵니다. PKCS#12는 여러 암호화 개체를 단일 파일로 저장하기 위한 아카이브 파일 형식입니다. 개인 키를 X.509 인증서와 번들로 묶거나 트러스트 체인의 모든 구성원을 번들로 묶는 데 사용됩니다.

  인증서 형식을 선택합니다. PEM부터 시작하겠습니다. PEM을 클릭합니다.

1. Choose File(파일 선택)을 클릭하여 Private Key(개인 키)를 업로드합니다(이 단계는 선택 사항).

2. Choose File(파일 선택)을 클릭하여 인증서 파일을 업로드합니다.

3. Choose File(파일 선택)을 클릭하여 CA 번들 파일을 업로드합니다(이 단계는 선택 사항).

4. Upload and Install Certificate(인증서 업로드 및 설치)를 클릭합니다.

또는 PKCS#12 형식을 선택할 수 있습니다.

1. 기본 인증서 형식으로 PKCS#12를 클릭하여 선택합니다.

   PKCS#12 암호를 입력합니다(선택적 단계임).

   참고:

   PKCS#12 암호는 사용자가 PKCS#12 파일을 만들 때 정의된 암호와 일치해야 합니다. 그렇지 않으면 파일의 암호를 해독할 수 없습니다.

2. 또는 Choose File(파일 선택)을 클릭하여 PKCS#12 번들 파일을 업로드합니다.

3. Upload and Install Certificate(인증서 업로드 및 설치)를 클릭합니다. 이 작업은 기존 SSL 인증서를 대체합니다.

현재 인증서를 백업하려면 PKCS#12 번들을 다운로드합니다.

1. Config>System Profiles(ConfigSystem Profiles>Certificate Management)로 이동하고 페이지의 Download Certificate(인증서 다운로드) 영역까지 아래로 스크롤합니다.

2. 인증서 PKCS#12 암호(선택 사항)를 입력하고 인증서 다운로드를 클릭하여 PKCS#12 번들을 다운로드하고 저장합니다. 다운로드에는 서버의 개인 키가 포함됩니다. 사용자가 파일을 다운로드할 때 PKCS#12 암호는 선택 사항이지만 파일이 손실된 경우 개인 키가 노출되지 않도록 암호를 설정하는 것이 좋습니다.

   참고:

   백업에서 인증서를 로드하려면 Config>System Profiles>Certificate Management(ConfigSystem ProfilesCertificate Management) 페이지의 Upload and Install Certificate(인증서 업로드 및 설치) 영역에서 Upload & Install Certificate(인증서 업로드 및 설치) 버튼을 클릭합니다. 인증서"를 업로드하고 PKCS#12 번들을 업로드합니다.

   팁:

   SSL 인증서를 업로드하고 페이지의 자동 새로 고침을 적용한 후 SSL 인증서 브라우저 메시지가 표시될 수 있습니다. 브라우저의 인증서 정보에는 "암호화되지 않은 요소(예: 이미지 포함)가 포함되어 있기 때문에 웹 사이트에 대한 연결이 완전히 보호되지 않습니다....."라고 명시되어 있습니다. 이는 주니퍼 ATP 어플라이언스 웹 UI 문제가 아니며 메시지는 표준 주의 브라우저 동작을 나타냅니다.

Web Collector 페이지에는 Collector의 상태와 Collector가 작동 및 온라인 상태인지 여부가 표시됩니다. 이 페이지를 사용하여 웹 콜렉터 상태 및 프록시 상태를 확인할 수 있습니다.

분산 방어 시스템에 새 이메일 수집기 서버를 추가하려면,

1. Config>System Profiles>Email Collectors(ConfigSystem ProfilesEmail Collectors) 페이지로 이동합니다.

2. 새 이메일 수집기 추가 버튼을 클릭합니다.

   참고:

   고급 주니퍼 ATP 어플라이언스-MTA 이메일 컬렉터 기능을 사용하려면 활성화된 주니퍼 ATP 어플라이언스 고급 라이선스가 필요합니다. 자세한 내용은 주니퍼 ATP 어플라이언스 라이선스 키 설정을 참조하십시오.

3. 필요한 정보를 입력하고 구성을 선택한 다음(설명은 아래에 제공됨) 저장을 클릭하여 새 구성 설정을 적용합니다.

   표 14: 이메일 서버 설정

   캡처 방법	BCC, 주니퍼 ATP 어플라이언스 MTA 수신기 또는 주니퍼 ATP 어플라이언스 클라우드에서 수집.
   전자 메일 서버	주니퍼 ATP 어플라이언스 코어 이메일 컬렉터가 저널링 또는 숨은 참조 이메일 트래픽을 수신할 이메일 서버의 IP 주소 또는 호스트 이름을 입력합니다.
   프로토콜	이메일 프로토콜 선택: 자동 | 아이 볼트 | POP3 | POP2 (POP2)
   Ssl	Enable(활성화) 또는 Disable(비활성화)을 선택합니다.
   MTA 수신기 IP	메시지 전송 에이전트(MTA) 수신자 옵션의 IP 주소: "내 이메일 서버에서만 수신" [예 | 아니오] 응답이 '예'인 경우 사용 중인 이메일 게이트웨이를 제공하십시오. 오피스365 | 로컬 이메일 게이트웨이 각각의 경우에 추가 온프레미스 이메일 게이트웨이 서브넷(쉼표로 구분)을 입력합니다. 서브넷 제공은 Gmail 또는 Office 36의 경우 선택 사항입니다.' 참고: 하이브리드 전자 메일 배포에서 클라우드(예: Office 365 또는 Gmail) 및 온-프레미스 전자 메일 서버를 모두 사용하는 경우 온-프레미스 전자 메일 서버 서브넷을 입력하십시오.
   수집기 IP	주니퍼 ATP 어플라이언스 클라우드에서 수집하는 주니퍼 ATP 어플라이언스 수집기의 IP 주소입니다. 이 IP 주소는 Core-CM IP 주소 또는 별도의 독립형 MTA 수신기 서버 IP 주소일 수 있습니다.
   수신자 이메일 주소	수신자 이메일 주소를 입력합니다.
   암호	전자 메일 서버 사서함 암호를 입력합니다.
   폴링 간격	폴링 간격(분)을 입력합니다. 이메일 수집기가 이메일 트래픽을 폴링하는 빈도입니다. 기본값은 5분입니다.
   서버에 메일 유지	이메일 보관 설정을 선택합니다. 유지 | 삭제
   사용	설정을 이메일 서버 사용 또는 사용 안 함으로 선택합니다.

전자 메일 서버 설정을 편집하거나 삭제하려면:

• Config>System Profiles>Email Collectors(ConfigSystem ProfilesEmail Collectors) 페이지로 이동합니다.

• 현재 이메일 컬렉터 목록에서 편집 또는 삭제 버튼을 클릭합니다.

• 설정 및 구성 선택 사항을 편집, 수정하려면(설명은 위에 제공됨) 저장을 클릭하여 새 구성 설정을 적용합니다.

보조 코어 구성을 보거나, 편집하거나, 비활성화하거나, 활성화하거나, 삭제하려면:

1. Config>System Profiles>SecondaryCores 페이지로 이동합니다.

2. 행을 확장하고 구성 세부 정보를 표시하려면 수정할 Mac OSX 또는 Windows(Core+CM) 보조 코어의 화살표 아이콘을 클릭합니다.

   구성 정보를 편집하려면 행을 확장해야 합니다.

3. Delete(삭제) 버튼을 클릭하여 분산 방어 시스템에서 보조 코어 구성을 제거합니다.

4. 편집 버튼을 클릭하여 구성을 수정합니다.

5. 편집 창에서 설정을 수정합니다(설명은 아래에 제공됨)를 클릭한 다음 저장을 클릭하여 수정된 구성 설정을 적용합니다.

편집 가능한 보조 코어 필드는 다음과 같이 정의됩니다.

보조 코어 페이지에는 Collector의 상태와 Collector가 작동 및 온라인 상태인지 여부가 표시됩니다. 이 페이지에서 Mac OS X 또는 Core+CM(Windows) Secondary Core 상태를 확인할 수 있습니다.

그림 14: Mac OS X Secondary Core 상태 표시

구성하려면 Windows 7 사용자 지정 이미지를 만든 다음 구성 중에 VNC를 사용하여 해당 "골든 이미지"와 상호 작용합니다. 구성이 완료되면 주니퍼 ATP 어플라이언스는 멀웨어 분석 및 탐지를 위해 커스텀 이미지를 자동으로 계측하고 배포합니다.

사용자 지정 Golden Image VM 구성 프로세스 단계는 다음과 같습니다.

1. 1단계: 사용자 지정 OS ISO 위치를 탑재하고 VM을 부팅합니다.

2. 2 단계 : VNC를 통해 사용자 정의 골든 이미지 VM에 연결하고 Windows OS를 설치합니다.

   참고:

   Windows 7 설치 프로세스 중에 Windows는 필요한 재부팅을 수행하고 VNC 연결이 끊어집니다. 예상된 동작입니다. VM을 수동으로 다시 시작하고 Windows 설치 중에 VNC를 손실한 직후 VNC에 다시 연결합니다.

3. 3단계: VM 재부팅*

4. 4단계: 사용자 지정 골든 이미지 VM을 완료하고 사용하도록 설정합니다.

5. الخطوة 5 : 필요한 경우 VNC에 다시 연결하고 Adobe Acrobat을 설치합니다.

6. 6단계: Golden Image에 선호하는 AV 소프트웨어 설치

1. Central Manager 웹 UI에서 Config>System Profiles>Golden Image VM 페이지로 이동합니다.

2. 새 VM 이미지 버튼을 클릭합니다.

3. 새 Windows 7 사용자 지정 골든 이미지 VM에 대한 설정을 입력합니다.

   입력 필드는 아래에 설명되어 있습니다.

   사용자 지정 VM 이미지 구성 필드	설명
   이미지 이름	만들려는 사용자 지정 VM 이미지의 이름을 입력합니다.
   설명	새 골든 이미지에 대한 설명을 입력합니다.
   VNC 아이디	VNC ID를 입력하십시오. ID는 고유한 정수여야 합니다.
   아키텍처	32비트 또는 64비트 선택 디스크 크기(GB) 디스크 크기를 입력합니다.
   디스크 크기(GB)	사용자 지정 이미지에 사용할 디스크의 크기를 입력합니다. 기본값은 20GB입니다.
   위험 감소	위험 감소 설정(예 또는 아니요)을 선택합니다. 여기서 "yes"는 0.3 값을 나타내고 "no"는 0의 위험 감소 값을 나타냅니다. 기본값은 아니요(0)입니다. 위험 감소는 위협 관련성 메트릭에 반영됩니다. 골든 이미지에서 잠재적인 맬웨어 개체가 무해하다고 판단하면 위험 감소가 감소된 관련성 값으로 적용됩니다
   네트워크 세그먼트	이 사용자 지정 VM 이미지를 만들 OS를 실행하는 네트워크 세그먼트를 입력합니다. 분석된 멀웨어가 여기에 구성된 네트워크 세그먼트와 일치하지 않으면 관련성이 계산되지 않습니다.'

4. 사용자 지정 Golden Image VM 설정을 입력한 후 추가를 클릭하여 이미지를 만듭니다.

5. 이미지가 현재 골든 이미지 VM 테이블에 표시되면 컨트롤 링크를 클릭하여 새 사용자 지정 이미지 설치 및 마운트를 준비합니다.

6. [선택 사항: 이 새 VM 이미지에 대한 원래 설정을 편집하려면 편집을 클릭하고 사용자 지정 이미지 설정 정보를 다시 입력합니다.]

7. 장착

   파일 공유에서 OS용 설치 미디어를 탑재하는 경우:

   • 컨트롤 창의 ISO NFS/SMB 마운트 경로 필드에 마운트 경로를 입력합니다(열려 있는 파일 공유에서 마운트해야 함).

     SMB 구문: //<IP 주소>/<dir>/<file>

     NFS 구문: i<IP 주소>:<dir>/<file>

     참고:

     사용 권한 설정이 열려 있는 파일 공유에 대한 액세스를 허용하는지 확인합니다.

   • 부팅 시 CD ISO 마운트를 클릭하여 확인 표시

부팅 VM: 부팅 단추를 클릭합니다.

1. VNC 클라이언트를 사용하여 Golden Image VM에 연결하고 맬웨어 분석을 위해 주니퍼 ATP 어플라이언스에서 사용할 엔터프라이즈 Windows OS의 표준 설치를 수행합니다.

   참고:

   Windows 설치 프로세스 중에 Windows는 필요한 재부팅을 수행하고 VNC 연결이 끊어집니다. 예상된 동작입니다. VM을 수동으로 다시 시작하고 Windows 설치 중에 VNC를 손실한 직후 VNC에 다시 연결합니다.

1. Central Manager 웹 UI 구성>시스템 프로필>Golden Image VM 페이지로 돌아가서 현재 VM 이미지 테이블에서 관련 VM에 대한 제어 링크를 선택한 다음 부팅 VM: 부팅 버튼을 다시 클릭합니다.

이 다음 단계를 통해 주니퍼 ATP 어플라이언스는 구성된 사용자 지정 이미지를 주니퍼 ATP 어플라이언스 분석 및 탐지 아키텍처에 맞게 조정한 다음, 설정된 방화벽 설정에 맞게 새 OS를 자동으로 조정하고 필요한 드라이버를 설치하는 식입니다. 이 프로세스의 일부로 주니퍼 ATP 어플라이언스는 VM을 종료하므로 VM 이미지 구성을 완료하려면 12단계에서 VM을 활성화해야 합니다.

1. Controls(컨트롤) 창에서 Finalize Image: finalize(이미지 완성: 마무리)를 클릭합니다. 완료(Finalize)를 클릭하면 VNC를 통해 사용자 지정 이미지 VM에 로그인하고 주니퍼 ATP 어플라이언스 완료 스크립트가 골든 VM 이미지에서 실행될 때 프롬프트를 주의 깊게 따르라는 메시지가 표시됩니다. 스크립트의 마지막 단계는 Golden Image VM이 종료되는 것입니다.

2. 사용자 지정 VM 이미지의 구성을 완료하려면 이미지 사용: 사용을 클릭합니다.

1. VNC 포트에 한 번 더 연결하고 필요한 경우 사용자 정의 OS 환경에 Adobe Acrobat을 설치합니다.

   참고:

   PDF 판독기 및 Adobe Acrobat exe를 탑재할 수 있어야 합니다.

인시던트 탭 요약 테이블의 새 행에는 사용자 지정 VM 이미지 결과가 "골든 이미지"로 표시됩니다.

3개의 골든 이미지 VM이 구성된 경우 아래와 같이 3개의 골든 이미지 결과가 운영 대시보드와 인시던트 페이지에 표시됩니다.

가상화된 HV를 사용하도록 ESXi 서버를 구성하는 것은 VMWare ESXi 버전 5.1 이상에만 권장됩니다.

가상화된 HV를 사용하도록 ESXi Server를 구성하려면:

1. SSH를 통해 ESXi 호스트에 연결합니다.

2. /etc/vmware에서 'config' 파일을 편집하고 다음 설정을 추가합니다.

3. vSphere Web Client를 사용하여 VM 설정 > 옵션 > CPU/MMU 가상화를 통해 VM 설정을 편집하여 게스트 VM을 구성합니다.

4. Intel EPT 옵션을 선택하여 구성을 완료합니다.

현재 시스템 구성을 백업하려면:

1. Config>System Profiles(구성시스템 프로필>백업/복원) 페이지로 이동합니다.

2. Backup(백업) 버튼을 클릭하여 어플라이언스 또는 소프트웨어 서비스 데이터베이스를 백업합니다.

저장된 구성 파일을 현재 실행 중인 구성으로 복원하려면:

1. Config>System Profiles(구성시스템 프로필>백업/복원) 페이지로 이동합니다.

2. Choose File(파일 선택) 버튼을 클릭하여 이전에 저장한 구성 파일을 선택하여 업로드한 다음 Restore(복원)를 클릭하여 어플라이언스 또는 서비스에 구성 설정을 적용합니다.

   참고:

   백업 및 복원 기능은 다른 주요 릴리스의 CM/Core 설치에서 수행할 수 없습니다. 예를 들어, 이전에 백업 파일(릴리스 3.2.0 어플라이언스에서 생성됨)을 릴리스 3.2.0을 실행하는 어플라이언스로 복원하지 마십시오.

1. Central Manager 웹 UI 구성>환경 설정>이메일 완화 설정 페이지로 이동하여 이메일 유형으로 Gmail을 선택합니다.

2. 설정된 격리 레이블 이름을 입력합니다.

3. 이메일 주소(구성 테스트용)를 입력합니다.

4. 전체 Gmail JSON 키를 입력합니다.

5. Add(추가)를 클릭하여 구성을 완료합니다.

6. 격리 설정을 편집하려면 구성된 현재 전자 메일 완화 표에서 편집을 클릭합니다.

7. 격리 설정을 삭제하려면 현재 전자 메일 완화 구성 표의 원하는 행에서 삭제를 클릭합니다.

그림 17: Gmail 격리 설정 페이지

1. Central Manager 웹 UI 구성>환경 설정>전자 메일 완화 설정 페이지로 이동하여 전자 메일 유형으로 Exchange Online을 선택합니다.

2. 설정된 기관 호스트 URL을 입력합니다.

3. Office 리소스 URI를 입력합니다.

4. 테넌트 ID를 입력합니다.

5. 클라이언트 ID를 입력합니다.

6. 격리 폴더의 이름을 입력합니다.

7. 새 Azure 키 자격 증명을 생성하려면 확인란을 클릭합니다.

8. 키 비트를 입력하십시오. 기본값은 4096입니다.

9. Certificate Lifetime number of days(인증서 수명 일수)를 입력합니다.

10. Azure 매니페스트 키 자격 증명을 입력합니다.

11. Add(추가)를 클릭하여 구성을 완료합니다.

12. 격리 설정을 편집하려면 구성된 현재 전자 메일 완화 표에서 편집을 클릭합니다.

13. 격리 설정을 삭제하려면 현재 전자 메일 완화 구성 표의 원하는 행에서 삭제를 클릭합니다.

주니퍼 ATP 어플라이언스는 통합된 엔터프라이즈 차단 장치에서 포괄적인 자동 완화 기능을 제공합니다. 이전 릴리스에서는 위협 차단을 수행하기 위해 완화 인텔리전스를 통합 파트너 디바이스로 수동으로 푸시했습니다(Bluecoat와 같이 주니퍼 ATP 어플라이언스를 폴링한 파트너 디바이스 제외). 이 릴리스에서 사용자는 사용자 상호 작용 없이 완화 인텔리전스를 차단 디바이스에 자동으로 푸시할지 또는 차단 인프라에 배포된 각 완화 규칙에 대해 수동 푸시 옵션을 사용할지 여부를 구성합니다.

자동 완화 설정 및 활성화에 대한 자세한 내용은 자동 완화 구성을 참조하십시오. 자동 완화를 활성화하면 주니퍼 ATP 어플라이언스 ATA가 동시에 활성화됩니다.

자동 완화를 위한 주니퍼 ATP 어플라이언스-PAN 방화벽 통합 구성은 2단계 프로세스입니다.

1. PAN 방화벽 웹 UI를 사용하여 동적 주소 그룹 및 주니퍼 ATP 어플라이언스 태그를 구성합니다.

2. 이 구성>환경 설정>방화벽 완화 설정 페이지에서 구성을 완료합니다.

1. PAN OS 6.0 웹 UI에서 Objects(개체) 탭으로 이동하고 왼쪽 패널 메뉴에서 Tags(태그) 페이지를 선택합니다. 주니퍼 ATP 어플라이언스 태그를 입력하고 확인을 클릭합니다. 예: JATP-tag

2. Objects(개체) 탭의 왼쪽 패널 메뉴에서 Address Group(주소 그룹)을 선택한 다음 Add(추가)를 클릭하여 새 동적 주소 그룹을 만듭니다. 제공된 필드에 아래 표시된 기준을 입력하고 확인을 클릭합니다.

   • 이름(예: JATP-dag)

   • 설명(예: 주니퍼 ATP 어플라이언스 동적 주소 그룹)

   • 유형(예: 동적)

   • 일치(예: 'JATP-tag')

3. Policies(정책) 탭으로 이동하고 왼쪽 패널 메뉴 옵션에서 Security(보안)를 선택한 다음 Add(추가)를 클릭하여 보안 정책 규칙을 추가합니다.

4. Source(소스) 하위 탭의 Source Address(소스 주소)에서 이전에 생성한 Dynamic Address Group(예: JATP-dag 확인 표시)을 추가합니다. OK(확인)를 클릭한 다음 창의 오른쪽 상단 모서리에 있는 Commit(커밋)을 클릭합니다.

1. Config>Environmental Settings>Firewall Mitigation Settings(구성환경 설정방화벽 완화 설정) 페이지로 이동합니다.

2. Add New Auto-Mitigation Rule(새 자동 완화 규칙 추가)을 클릭합니다.

   참고:

   각 FW 완화 설정 필드에 대한 정의는 이하에서 추가로 제공된다.

3. PAN FW 디바이스 통합을 위한 호스트 이름/IP, 호스트 프로토콜 및 포트 번호를 입력합니다.

4. 완화 유형(Mitigation Type) 범주에서 PAN 을 선택하고 디바이스 유형(Device Type) 옵션에서 PAN-OS 방화벽(PAN-OS Firewall)을 선택합니다.

5. 사용자 이름과 암호를 입력합니다.

6. 완화 URL 범주 및 TAG를 입력합니다.

   팁:

   사용자가 URL 및 DAG 범주를 변경하려는 경우 수정된 규칙이 자동 규칙 푸시로 트리거되지 않습니다. 새 범주로 푸시하려면 기존 구성을 삭제하고 새 구성을 추가합니다.

7. Expire Days(만료 일)를 입력하고 Add(추가)를 클릭합니다.

   표 17: 자동 완화 설정 정의

   완화 유형	PAN-OS를 선택하여 개별 PAN FW를 구성합니다.
   호스트 IP/URL	PAN 방화벽의 IP 주소 또는 FQDN/호스트 이름입니다.
   호스트 프로토콜	HTTPS 또는 HTTP를 선택합니다.
   포트 번호	PAN OS 관리 콘솔의 포트 번호를 입력합니다.
   사용자 이름	관리자 계정 사용자 이름을 입력합니다.
   암호	관리자 계정 암호입니다.
   태그	구성된 DAG와 연결된 태그(위의 예에서 "JATP-tag")입니다.
   완화 URL 범주	URL을 입력합니다. 이 옵션은 Palo Alto Networks 방화벽에 대한 URL을 기반으로 차단합니다. URL 기반 차단을 통해 보다 정밀하게 차단을 제어할 수 있습니다.

주니퍼 ATP 어플라이언스 중앙 관리자 완화 페이지에서 구성된 자동 완화 규칙을 적용합니다.

1. 완화 테이블에서 위협 행(또는 여러 행)을 선택하고 적용을 클릭합니다.

2. 적용을 클릭하면 모든 규칙이 PAN 방화벽으로 푸시되고 10-20초 내에 PAN 방화벽 CLI에 표시됩니다. 여러 규칙을 동시에 푸시할 수 있으며 모든 규칙이 동시에 PAN CLI에 반영됩니다.

   이것은 비동기 작업이므로 다른 규칙을 계속 푸시하고 필요에 따라 다른 CM 웹 UI 페이지를 사용할 수 있습니다.

   60초 후에 페이지를 새로 고쳐 선택한 행에 대한 푸시 성공 메시지를 확인합니다.

3. 제거 단추는 자동 완화 규칙을 제거해야 하는 경우 자동 완화를 위해 행별로 누를 수 있습니다.

자동 완화 차단 규칙을 사용하거나 사용하지 않도록 설정하려면:

1. Config>Environmental Settings(환경 설정>방화벽 완화 설정) 페이지에서.

2. Current Auto Mitigation Rules(현재 자동 완화 규칙) 테이블에서 Enable(활성화) 또는 Disable(비활성화)을 클릭하여 자동 차단 전달을 활성화하거나 중지(비활성화)합니다.

PAN FW 규칙 및/또는 구성을 삭제하려면:

1. Config>Environmental Settings(환경 설정>방화벽 완화 설정) 페이지에서.

2. 현재 Pan FW에 푸시되고 있는 규칙이 없는 경우 Delete(삭제) 옵션을 클릭합니다.

3. 규칙이 현재 푸시되고 있는 경우 삭제 옵션이 비활성화됩니다. 모든 IP 주소 제거를 클릭합니다.

• PAN-OS CLI에서 다음을 입력합니다.

주니퍼 ATP 어플라이언스 플랫폼은 악성 IP 주소와 멀웨어로 연결되는 URL을 모니터링하고 탐지합니다. 이전 릴리스에서 주니퍼 ATP 어플라이언스와 팔로알토 네트웍스(PAN) 방화벽의 통합으로 주니퍼 ATP 어플라이언스는 개별 PAN FW 디바이스에 IP 주소와 URL을 푸시하여 악성 URL과 IP를 차단할 수 있었습니다. 그러나 일부 기업은 다양한 위치에 구축된 일련의 PAN 방화벽을 활용합니다. 이러한 이유로 주니퍼 ATP 어플라이언스는 중앙 위치에서 PAN 방화벽의 분산 네트워크를 제어하는 네트워크 보안 관리 디바이스인 Palo Alto Network의 Panorama와의 통합을 제공합니다. 주니퍼 ATP 어플라이언스는 평소와 같이 개별 PAN-OS FW와의 통합을 구성하거나 주니퍼 ATP 어플라이언스의 방화벽 및 보안 게이트웨이 자동 완화 옵션의 일부로 중앙 집중식 Panorama 디바이스와의 통합을 구성할 수 있는 유연성을 제공합니다. 개별 FW 통합에 대해서는 을(를) 참조하십시오 .

주니퍼 ATP 어플라이언스/파노라마 통합은 IP 주소를 방화벽 주소 그룹에 푸시하고, URL을 구성된 각 방화벽 디바이스 그룹에 대한 사용자 지정 URL 범주로 푸시합니다. 여러 디바이스 그룹을 구성할 수도 있습니다.

1. Config>Environmental Settings>Firewall Mitigation Settings(구성환경 설정방화벽 완화 설정) 페이지로 이동합니다.

2. Add New Auto-Mitigation Rule(새 자동 완화 규칙 추가)을 클릭합니다.

   참고:

   각 FW 완화 설정 필드에 대한 정의는 이하에서 추가로 제공된다.

3. 완화 유형(Mitigation Type) 범주에서 PAN을 선택하고 디바이스 유형(Device Type) 옵션에서 파노라마(Panorama)를 선택합니다.

4. 호스트 이름/IP를 입력합니다.

5. 구성된 디바이스 그룹을 입력합니다. 장치 그룹이 여러 개인 경우 각 장치 그룹 이름을 공백으로 구분하여 입력합니다.

6. 중앙 집중식 PANORAMA FW 디바이스의 호스트 프로토콜과 포트 번호를 입력합니다.

7. 사용자 이름과 암호를 입력합니다.

8. 완화 URL 범주를 입력합니다.

9. 주소 그룹을 입력합니다.

10. Expire Days(만료 일)를 입력하고 Add(추가)를 클릭합니다.

    표 18: PANORAMA 자동 완화 설정 정의

    완화 유형	Panorama를 선택하여 중앙 집중식 Panorama 관리 서버 디바이스를 구성합니다.
    호스트 IP/URL	Panorama 디바이스의 IP 주소 또는 FQDN/호스트 이름입니다. Device Group(디바이스 그룹) 디바이스 그룹 이름을 입력합니다. 여러 장치 그룹이 있을 수 있습니다.
    장치 그룹	디바이스 그룹 이름을 입력합니다. 여러 장치 그룹을 지정할 수 있습니다(공백으로 구분). Manage Devive Groups(Devive 그룹 관리) 페이지의 Panorama Console(Panorama Console)에서 장치 그룹을 설정합니다. Panorama 방화벽 네트워크의 모든 방화벽이 그룹화되는 곳입니다.
    호스트 프로토콜	HTTPS 또는 HTTP를 선택합니다.
    포트 번호	PAN OS 관리 콘솔의 포트 번호를 입력합니다.
    사용자 이름	관리자 계정 사용자 이름을 입력합니다.
    암호	관리자 계정 암호입니다.
    완화 URL 범주	URL을 입력합니다. 이 옵션은 Palo Alto Networks 방화벽에 대한 URL을 기반으로 차단합니다. URL 기반 차단을 통해 보다 정밀하게 차단을 제어할 수 있습니다. 주니퍼 ATP 어플라이언스/파노라마는 구성된 각 방화벽 디바이스 그룹에 대한 사용자 지정 URL 범주에 URL을 푸시합니다. 푸시는 완화 보안 웹 게이트웨이를 통해 주니퍼 ATP 어플라이언스에서 분산형 PAN FW로 이루어집니다.
    주소 그룹	주니퍼 ATP 어플라이언스가 PAN 차단을 위해 IP 주소를 푸시하는 그룹 위치입니다. Panorama 콘솔에서 생성한 주니퍼 ATP 어플라이언스 전용 기존 주소 그룹을 입력합니다. 주소 그룹이 지정되지 않은 경우 PAN은 푸시가 실행될 때 새 주소 그룹을 생성합니다.
    만료 일	규칙이 만료되기 전의 일 수를 입력합니다. 만료 날짜는 기본적으로 0으로 설정되며, 이는 규칙이 만료되지 않음을 의미합니다.

주니퍼 ATP 어플라이언스 중앙 관리자 완화 페이지에서 구성된 자동 완화 규칙을 적용합니다.

1. 완화 테이블에서 위협 행(또는 여러 행)을 선택하고 적용을 클릭합니다.

   참고:

   적용 작업은 자동 완화 규칙을 Panorama 디바이스로 푸시하며, 여기서 정책은 지정된 디바이스 그룹의 분산형 PAN-OS 방화벽에서 실행됩니다.

2. 적용을 클릭하면 모든 규칙이 Panorama를 통해 PAN 방화벽으로 푸시되고 10-20초 내에 PAN 방화벽 CLI에 표시됩니다. 여러 규칙을 동시에 푸시할 수 있으며 모든 규칙이 동시에 PAN CLI에 반영됩니다.

   이것은 비동기 작업이므로 다른 규칙을 계속 푸시하고 필요에 따라 다른 CM 웹 UI 페이지를 사용할 수 있습니다.

   60초 후에 페이지를 새로 고쳐 선택한 행에 대한 푸시 성공 메시지를 확인합니다.

3. 제거 단추는 자동 완화 규칙을 제거해야 하는 경우 자동 완화를 위해 행별로 누를 수 있습니다.

Panorama 규칙 및/또는 구성을 삭제하려면:

1. Config>Environmental Settings(환경 설정>방화벽 완화 설정) 페이지에서.

2. 현재 Panorama 장치에 푸시되고 있는 규칙이 없는 경우 삭제 옵션을 클릭합니다.

3. 규칙이 현재 푸시되고 있는 경우 삭제 옵션이 비활성화됩니다. Remove all IP/URL Addresses(모든 IP/URL 주소 제거)를 클릭합니다.

1. Panorama 디바이스 그룹에 있는 각 개별 PAN-OS 방화벽의 CLI에서 다음 명령을 입력하여 작업을 확인합니다.

통합된 Cisco ASA 방화벽 지원을 통해 ASA 방화벽을 구축한 기업은 멀웨어 차단을 위해 주니퍼 ATP 어플라이언스 제품에서 Cisco ASA 방화벽 플랫폼으로 IP 주소를 푸시할 수 있습니다. 주니퍼 ATP 어플라이언스는 REST 인터페이스를 사용하여 ASA 방화벽과 통신합니다.

Cisco ASA 관리자는 ASA에서 "네트워크 개체 그룹"을 구성해야 합니다. 여러 네트워크 개체 그룹은 ASA 방화벽에서 "숨겨진" 기능입니다.

다음은 샘플 ASA 컨피그레이션입니다.

Config>Environmental Settings>Firewall Mitigation Settings(구성 환경 설정방화벽 완화 설정) 페이지로 이동하여 Cisco ASA 방화벽에서 주니퍼 ATP 어플라이언스 탐지 멀웨어의 자동 완화를 구성합니다.

ASA 방화벽을 구성하려면 다음 절차를 따르십시오.

1. 완화 유형(Mitigation Type) 열에서 ASA를 선택합니다.

2. 호스트 이름/IP 필드에 방화벽 호스트 이름 또는 IP 주소를 입력합니다.

3. 방화벽 포트 번호가 기본값인 443과 다른 경우 입력합니다.

4. 관리자 사용자 이름 및 암호를 입력합니다.

5. ASA 방화벽에 구성된 대로 Network Object Group(네트워크 개체 그룹)을 입력합니다.

6. 연결의 만료 일수를 입력합니다. 기본값은 60일입니다.

주니퍼 ATP 어플라이언스 디바이스를 구성하기 전에 FortiManager에 이 필수 구성을 적용하는 것부터 시작합니다.

FortiManager 콘솔에서 다음을 생성합니다.

• 또한 사용하도록 설정해야 하는 ADOM(관리 도메인)입니다. ADOM이 만들어지면 JSON RPC 요청에 ADOM 이름이 필요합니다

• 주니퍼 ATP 어플라이언스가 추가 IP 주소를 추가하기 전에도 적어도 하나의 IP 주소(더미)로 주소 그룹을 생성해야 합니다.

• Webfilter 프로필(선택 사항)을 생성해야 하며, 바로 아래 섹션에 표시된 대로 URL 필터링을 활성화해야 합니다.

  참고:

  주소 그룹 이름(지정된 경우)은 IP 주소에 대한 차단 정보를 푸시하는 데 사용됩니다. Webfilter 프로필 이름(지정된 경우)은 URL에 대한 차단 정보를 푸시하는 데 사용됩니다. 이 두 매개 변수는 선택 사항이지만 적어도 하나의 -- 주소 그룹 또는 Webfilter 이름 -- 을 지정해야 합니다. 둘 다 지정하지 않으면 오류 메시지가 표시됩니다.

• 정책 패키지를 만듭니다(선택 사항). 지정된 경우 정책 패키지에 설치 대상으로 나열된 모든 FortiGate에 정책이 설치(푸시)됩니다. 정책 패키지 이름이 주니퍼 ATP 어플라이언스에 구성되지 않은 경우 이러한 정책을 FortiGates에 푸시하거나 설치하지 않으므로 수동으로 또는 다른 수단(예: 일정에 따라 사용자 지정 스크립트 실행)을 통해 설치해야 합니다.

FortiManager를 사용하려면 IP 주소를 '주소'의 공통 풀에 추가해야 하며 이러한 주소를 주소 그룹에 추가할 수 있습니다. FortiManager 콘솔에서 주소 그룹을 생성할 때 해당 그룹에 하나 이상의 IP 주소를 지정해야 합니다. 아래 메뉴를 참조하십시오.

그림 22: FortiManager 주소 그룹 설정

또한 FortiManager 콘솔에서 차단할 URL을 추가할 수 있는 웹/필터 프로필을 생성해야 합니다.

그림 23: FortiManager 웹 필터 구성

FortiManager 웹 필터 프로필에서 URL 필터를 활성화해야 합니다. 차단할 모든 URL은 주니퍼 ATP 어플라이언스에서 이 URL 필터로 푸시됩니다.

그림 24: FortiManager 에서 URL 필터 사용

또한 Fortinet FW 및 FortiManager 통합에는 통합을 위해 생성된 주소 그룹 및 웹 필터 이름을 참조하는 정책이 포함된 정책 패키지가 필요합니다. 이 정책 패키지를 설치할 설치 대상(fortigate 장치)을 지정합니다.

그림 25: FortiManager 정책 패키지 설정

Fortinet 방화벽 및 관리 플랫폼을 구성하려면 다음 절차를 따르십시오.

1. 완화 유형 열에서 Fortinet을 선택합니다.

2. 호스트 이름/IP 필드에 방화벽 호스트 이름 또는 IP 주소를 입력합니다.

3. 관리자 사용자 이름 및 암호를 입력합니다.

4. Fortinet 방화벽에 구성된 주소 그룹을 입력합니다.

5. Fortinet 방화벽에 구성된 Web/Filter Profile 이름을 입력합니다.

   참고:

   주소 그룹 이름(지정된 경우)은 IP 주소에 대한 차단 정보를 푸시하는 데 사용됩니다. Webfilter 프로필 이름(지정된 경우)은 URL에 대한 차단 정보를 푸시하는 데 사용됩니다. 이 두 매개 변수는 선택 사항이지만 적어도 하나의 -- 주소 그룹 또는 Webfilter 이름 -- 을 지정해야 합니다. 둘 다 지정하지 않으면 오류 메시지가 표시됩니다.

6. FortiManager 플랫폼을 구성하는 경우 FortiManager를 클릭하면 추가 필드가 표시됩니다.

   참고:

   주니퍼 ATP 어플라이언스 Fortinet 통합은 FortiManager 버전 5.4 이상을 지원합니다.

7. FortiManager에 대해 구성된 관리 도메인 이름(ADOM)을 입력합니다.

8. FortiManager에서도 구성된 정책 패키지 이름을 입력합니다.

9. Add(추가)를 클릭하여 구성을 완료합니다.

FortiManager는 FortiGate 장치의 관리자이며 구성을 위한 JSON-RPC API 기반 액세스를 제공합니다. 주니퍼 ATP 어플라이언스는 이러한 API를 사용합니다.

구성된 Check Point 방화벽 통합을 통해 주니퍼 ATP 어플라이언스 제품은 Check Point 방화벽과 통신하고 위협 완화를 수행할 수 있습니다. 주니퍼 ATP 어플라이언스 관리자는 Check Point Firewall 통합을 통해 특정 위협을 차단하거나 이전에 전파된 완화 조치를 제거하도록 선택할 수 있습니다.

통신은 Check Point 사용자가 Check Point 장치의 CLI에 액세스 할 수있는 SSH 인터페이스를 통해 이루어집니다.

차단 정보는 Check Point API를 사용하여 제출됩니다. 관리자는 주니퍼 ATP 어플라이언스의 설정된 PAN 및 주니퍼 통합 지원과 유사하게 악성 IP 주소를 통합 Check Point 어플라이언스에 푸시하여 방화벽 또는 보안 웹 게이트웨이에서 위협을 식별하고 선택한 개체를 중앙 관리자 웹 UI에서 구성된 Check Point 방화벽에 제출합니다.

주니퍼 ATP 어플라이언스 제품은 Check Point 의심스러운 활동 모니터(SAM) 기능을 사용하여 악의적인 IP 주소를 Check Point 어플라이언스에 전파합니다. SAM 상태 및 명령은 Check Point "Smart Console" 제품군의 "SmartView Monitor" 앱에서 웹 UI 응용 프로그램.

Check Point GAiA 어플라이언스 배포에는 보안 관리 서버 및 보안 게이트웨이 구성이 포함됩니다. 독립 실행형 구성에서는 보안 관리 서버와 보안 게이트웨이가 동일한 시스템에 설치됩니다. 분산 구성에서는 단일 보안 관리 서버가 여러 하위 보안 게이트웨이를 관리할 수 있습니다.

주니퍼 ATP 어플라이언스는 독립형 및 분산형 Check Point 구축을 모두 지원합니다. 두 경우 모두 주니퍼 ATP 어플라이언스는 Check Point Security Management Server의 IP 주소로 구성되어야 합니다.

다른 통합과 달리 주소 그룹 또는 유사한 개체를 구성할 필요가 없습니다. Check Point를 사용하면 관리자가 완화된 IP에 대한 연결을 삭제하거나 거부하고 기존 연결을 닫거나 유지하도록 선택할 수 있습니다. 이러한 선택 사항은 Check Point 통합의 주니퍼 ATP 어플라이언스 구성 중에 선택됩니다.

주니퍼 ATP 어플라이언스 방화벽 차단은 다음과 같이 Check Point CLI SAM 명령에 해당합니다.

Check Point "FW SAM CLI 참조" 가이드는 온라인에서 사용할 수 있습니다.

Check Point 방화벽 통합을 구성하려면:

Config>Environmental Settings>Firewall Mitigation Settings(구성 환경 설정방화벽 완화 설정) 페이지로 이동하여 Check Point 방화벽에서 주니퍼 ATP 어플라이언스가 탐지한 멀웨어의 자동 완화를 구성합니다.

1. 완화 유형(Mitigation Type) 열에서 체크 포인트(Check Point)를 선택합니다.

2. 호스트 이름/IP 필드에 방화벽 호스트 이름 또는 IP 주소를 입력합니다.

3. 관리자 사용자 이름 및 암호를 입력합니다.

   참고:

   주니퍼 ATP 어플라이언스에 구성된 Check Point 로그인 자격 증명은 /bin/bash를 셸로 사용하는 Check Point 계정과 일치해야 하며, 이는 Check Point CLI의 "expert" 모드에 해당합니다. 이것은 기본 셸이 아닙니다. 기본값은 clish입니다.

4. 연결의 만료 일수를 입력합니다. 기본값은 60일입니다.

5. 금지 모드 옵션을 선택합니다.

   • Drop and Close - 방화벽에서 차단 요청이 수신되면 패킷을 삭제하고 연결을 닫습니다.

   • 거부 및 닫기 - 패킷을 거부하고 연결을 닫습니다.

   • Drop(삭제) - 패킷을 삭제합니다. 드롭(블록)을 사용하면 패킷이 삭제되고 전송 프로그램/시스템으로 아무 것도 다시 전송되지 않습니다. 따라서 공격자는 목적지 또는 방화벽에 도달했는지 알 수 없습니다. 공격자는 IP 주소에 아무 것도 없는 것처럼 보입니다.

   • 거부 - 패킷을 거부합니다. reject를 사용하면 UDP에 연결할 수 없는 TCP RST 또는 ICMP 포트가 보낸 사람에게 반환됩니다.

6. Check Point 방화벽에 대한 보안 관리 서버의 보안 내부 통신 SIC 이름을 입력합니다.

7. 적용 호스트(Enforcement Host) 옵션을 선택합니다.

   • 모두 - 모든 적용 호스트 및 그룹 또는 개체

   • 게이트웨이 - 기본 적용 호스트로서의 보안 게이트웨이

   • 그룹 또는 개체 - 구성된 보안 정책 그룹 또는 개체

개체는 호스트, 게이트웨이, 네트워크 및 Check Point 방화벽에서 관리하는 호스트를 나타냅니다. 그룹은 각 네트워크 개체 그룹을 분기로 표시할 수 있습니다. 보안 게이트웨이는 기업의 보안 정책을 시행하고 보안 시행 지점 역할을 합니다.

Forcepoint NGFW 보안 관리 센터(SMC)는 분산 네트워크 엔터프라이즈 전반에 걸쳐 Forcepoint 차세대 방화벽의 중앙 집중식 관리를 제공합니다. 모니터링, 로깅, 경고 및 보고서를 통해 Forcepoint SMC는 관리자에게 네트워크 보안 이벤트에 대한 전체 보기를 제공합니다.

주니퍼 ATP 어플라이언스 플랫폼은 악성 IP 주소와 멀웨어로 연결되는 URL을 모니터링하고 탐지합니다. Forcepoint SMC와 통합하면 Forcepoint 방화벽 뒤의 사용자가 이러한 IP 또는 URL에 액세스할 수 없습니다.

이 통합에는 다음과 같이 Forcepoint SMC의 구성 작업이 포함됩니다.

Forcepoint SMC API를 활성화하면 다른 응용 프로그램이 SMC API를 사용하여 연결할 수 있습니다.

1. Forcepoint SMC에서 홈을 선택합니다.

2. Others( 기타 ) > Management Server(관리 서버)로 이동합니다.

3. Management Server(관리 서버)를 마우스 오른쪽 버튼으로 클릭하고 Properties(속성)를 선택합니다.

4. SMC API 탭을 클릭하고 사용을 선택합니다.

5. 선택적으로 호스트 이름 필드에 SMC API 서비스가 사용하는 이름을 입력합니다. 이름을 입력하지 않으면 모든 호스트 이름에 대해 API 요청이 허용됩니다.

6. 관리 서버에서 수신 대기 포트가 기본값인 8082로 설정되어 있는지 확인합니다.

7. 관리 서버에 여러 개의 IP 주소가 있고 그 중 하나에 대한 액세스를 제한하려면 주소에서 수신 전용 필드에 IP 주소를 입력합니다.

8. 암호화된 연결을 사용하려면 선택을 클릭한 다음 TLS 자격 증명 요소를 선택합니다. TLS 자격 증명 생성에 대한 지침은 아래 절차를 참조하십시오.

9. 확인을 클릭합니다.

SMC API 클라이언트에 대한 TLS 자격 증명을 생성합니다. (사용 가능한 경우 기존 개인 키와 인증서를 가져올 수 있습니다.)

1. Management Client에서 구성을 선택합니다.

2. Administration( 관리 ) > Certificates > TLS Credentials(TLS 자격 증명)로 이동합니다.

3. TLS 자격 증명을 마우스 오른쪽 단추로 클릭하고 새 TLS 자격 증명을 선택합니다.

4. 인증서 요청 세부 정보를 완료합니다.

   • 이름 필드에 SMC의 IP 주소 또는 도메인 이름을 입력합니다.

   • 필요에 따라 나머지 필드를 작성합니다. 자세한 내용은 Forcepoint 설명서를 참조하십시오.

   • 다음을 클릭합니다.

5. 자체 서명을 선택합니다.

6. Finish(마침)를 클릭합니다.

   TLS 자격 증명 요소가 관리 > 인증서 > TLS 자격 증명에 추가됩니다. 상태 열에는 인증서가 서명되었음을 보여 줍니다.

API Client 요소를 만듭니다. (외부 응용 프로그램은 API 클라이언트를 사용하여 Forcepoint SMC에 연결합니다.) 시작하기 전에 관리 서버에 대해 SMC API를 활성화해야 합니다. 이러한 지침은 위에 제공되었습니다.

1. Configuration(구성)을 선택하고 Administration(관리)으로 이동합니다.

2. Access Rights(액세스 권한)로 이동합니다.

3. Access Rights(액세스 권한)를 마우스 오른쪽 버튼으로 클릭하고 New > API Client(새로 만들기 API Client)를 선택합니다.

4. 이름 필드에 API 클라이언트의 고유한 이름을 입력합니다.

5. 초기 인증 키를 사용하거나 인증 키 생성을 클릭하여 새 인증 키를 생성합니다. 임의의 인증 키가 자동으로 생성됩니다. (이 키는 한 번만 나타나며, ATP 어플라이언스 자동 완화 규칙에 따라 이후 단계에서 입력해야 하므로 기록해 두어야 합니다. API 클라이언트는 인증 키를 사용하여 SMC API에 로그온합니다.)

6. 사용 권한 탭을 클릭합니다.

7. SMC API에서 작업에 대한 권한을 선택합니다. 자세한 내용은 Forcepoint 설명서를 참조하십시오.

8. 확인을 클릭합니다.

IP 주소 및 URL 목록을 Forcepoint SMC로 보내려면 ATP 어플라이언스에서 완화 규칙을 생성해야 합니다.

1. Config > Environmental Settings(환경 설정 구성) > Firewall Mitigation Settings(방화벽 완화 설정) 페이지로 이동합니다.

2. Add New Auto-Mitigation Rule(새 자동 완화 규칙 추가)을 클릭합니다.

3. 완화 유형 범주에서 Forcepoint SMC 를 선택합니다.

4. 디바이스 통합을 위한 호스트 이름/IP, 호스트 프로토콜 및 포트 번호를 입력합니다. 자세한 내용은 아래 표에 나와 있습니다.

5. Forcepoint SMC의 API 키를 입력합니다.

6. IP 목록 이름을 입력합니다. 이 IP 목록 이름은 기존 또는 새 IP 목록을 참조할 수 있습니다. 지정된 IP 목록이 존재하지 않는 경우 Forcepoint SMC로 보낼 악성 IP 주소가 있을 때 생성됩니다.

7. URL 목록 응용 프로그램 이름을 입력합니다. IP 목록과 마찬가지로 기존 또는 새 URL 목록을 참조할 수 있습니다. 지정된 URL 목록이 존재하지 않는 경우 Forcepoint SMC에 보낼 악성 URL이 있을 때 생성됩니다.

   참고:

   Forcepoint SMC는 URL 목록에서 와일드 카드를 지원하지 않습니다. 따라서 와일드카드 URL 항목을 Forcepoint SMC로 보낼 수 없습니다. ATP 어플라이언스 URL 완화에 와일드카드가 있는 URL이 있는 경우 규칙을 적용하면 ATP 어플라이언스 UI 상태가 "지원되지 않음"으로 표시됩니다.

8. 저장을 클릭합니다.

   그림 26: 방화벽 완화 설정 - Forcepoint SMC
   참고:

   ATP 어플라이언스에서 구성을 추가하거나 제거하면 규칙의 상태(성공/실패)가 ATP 어플라이언스 완화 > IP 필터링 및 ATP 어플라이언스 완화 > URL 필터링 페이지에 즉시 반영되지 않습니다. 상태를 보려면 데이터 새로 고침 을 클릭해야 합니다.

주니퍼 ATP 어플라이언스 완화 페이지에서 구성된 완화 규칙을 적용합니다.

1. 완화 테이블에서 위협 행(또는 여러 행)을 선택하고 적용을 클릭합니다.

2. 적용을 클릭하면 모든 규칙이 Forcepoint SMC로 푸시됩니다.

3. 규칙을 추가하거나 제거한 후 페이지를 새로 고쳐 상태를 확인합니다.

4. 완화 규칙이 구성되면 기본적으로 사용하도록 설정됩니다. 사용 가능한 버튼을 사용하여 필요에 따라 규칙을 비활성화한 다음 활성화할 수 있습니다. 자동 완화 규칙에서 구성의 정확성을 테스트하기 위해 테스트 단추를 사용할 수 있습니다. 제거 단추는 자동 완화 규칙을 제거해야 하는 경우 행별로 사용할 수도 있습니다.

   참고:

   방화벽 완화 설정 > ForcePoint SMC 페이지의 테스트 링크를 사용하여 Forcepoint SMC 구성을 테스트합니다. 이 링크는 ForcePoint SMC 서버에 연결할 수 있고 API 키가 작동하는지 테스트합니다.

   테스트가 실패하면 다음을 시도합니다.

   • Forcepoint SMC 서버에 연결할 수 있는지 확인합니다. Forcepoint SMC의 기본 API 포트는 8082입니다.

   • SMC와 ATP 어플라이언스에 구성된 API 키가 동일한지 확인합니다.

   • HTTPS 구성인 경우 이 섹션의 지침에 따라 TLS 자격 증명이 ForcePoint SMC에 구성되어 있는지 확인합니다.

ATP 어플라이언스에서 Forcepoint SMC로 푸시된 IP 주소 및 URL 목록을 보고 편집하려면 Forcepoint SMC에서 다음을 수행합니다.

• IP List(IP 목록)에서 Configuration > Network Elements(네트워크 요소 ) > IP Address List(IP 주소 목록 )로 이동합니다. ATP 어플라이언스에서 만든 명명된 목록이 표시되어야 합니다.

  

• URL List(URL 목록)의 Other Elements(기타 요소)에서 Network Applications (by type)(네트워크 애플리케이션(유형별)) > URL List(URL 목록)로 이동합니다. ATP 어플라이언스에서 만든 명명된 목록이 표시되어야 합니다.

  

Carbon Black Response는 멀웨어의 위험 점수를 계산할 때 하나의 정보 소스를 제공합니다 - 멀웨어가 엔드포인트에서 실행됩니까? 이 질문은 멀웨어 md5, 엔드포인트 IP 주소, 멀웨어 다운로드 타임스탬프의 세 가지 기준에 따라 Carbon Black Response 서버에 요청됩니다.

엔드포인트 모니터링 및 완화를 위한 Carbon Black Response 구성은 2단계 프로세스입니다.

1. Carbon Black 응답 웹 UI에서 Carbon Black 응답 계정 API 키를 가져옵니다. 참조: 카본 블랙 응답 API 키 얻기.

2. 아래 표시된 주니퍼 ATP 어플라이언스 웹 UI Carbon Black 페이지에 키 및 기타 디바이스 구성 정보를 입력합니다.

그림 29: Central Manager Carbon Black 응답 구성 페이지

1. Carbon Black Response 웹 UI에서 오른쪽 상단의 관리자 사용자 드롭다운을 클릭하고 프로필 정보를 선택합니다.

2. 왼쪽 패널의 프로필 정보 메뉴에서 API 토큰을 선택합니다.

3. API 토큰 상자에서 API 토큰을 복사합니다.

4. Carbon Black Response 서버의 호스트 이름 가져오기(예:ample: https://JATP.cloud.carbonblack.com)

1. Config>Environmental Settings>Endpoint Integration Settings(구성환경 설정엔드포인트 통합 설정) 페이지로 이동합니다.

2. 엔드포인트 유형으로 CarbonBlack을 선택합니다.

3. 디바이스 호스트 이름 또는 IP 주소를 입력합니다.

4. 호스트 프로토콜(HTTPS 또는 HTTP)을 입력합니다.

5. 장치 포트 번호를 입력합니다.

6. Carbon Black Response API 키를 입력하고 제출을 클릭합니다.

CrowdStrike 엔드포인트 통합을 구성하기 전에 다음 데이터를 확보하십시오.

• CrowdStrike Falcon API 서버 호스트 이름

• CrowdStrike Falcon API 사용자

• CrowdStrike Falcon API 키

1. Config>Environmental Settings>Endpoint Integration Settings(구성환경 설정엔드포인트 통합 설정) 페이지로 이동합니다.

2. 엔드포인트 유형으로 Crowdstrike를 선택합니다.

3. 디바이스 호스트 이름 또는 IP 주소를 입력합니다.

4. Crowdstrike API 사용자를 입력합니다.

5. Crowdstrike API 키를 입력합니다.

6. Add(추가)를 클릭합니다.

7. Current Endpoint Integration(현재 엔드포인트 통합) 테이블 행에서 Test(테스트)를 클릭하여 Crowdstrike 통합을 확인합니다. 이 링크는 CrowdStrike 서버에 연결할 수 있는지, API 사용자 및 키가 작동하는지 테스트합니다.

Central Manager 웹 UI 인시던트에서 엔드포인트가 맬웨어를 실행한 경우 EX 플래그가 표시됩니다.

인시던트 탭에서 인시던트에 화이트리스트에 추가 옵션이 포함된 경우(아래와 같이) 인시던트 허용 목록 프로세스의 일부로 동일한 기준을 다시 편집하고 적용할 수 있습니다.

1. 허용 목록에 인시던트를 추가하는 동안 허용 목록 필터 기준을 편집하려면 화이트리스트에 추가 링크를 클릭합니다.

2. 화이트리스트 규칙 업데이트 창에서 추가 허용 목록 규칙 기준을 추가하거나, 현재 설정된 기준을 선택 취소(선택 취소)하거나, 규칙 세트를 있는 그대로 업데이트할 수 있습니다.

3. Submit(제출)을 클릭하면 Update Whitelist Rule(화이트리스트 규칙 업데이트 ) 창에서 정의 및 선택된 기준에 따라 인시던트가 허용 목록에 추가됩니다.

그림 32: 화이트리스트 규칙 업데이트 창

일치하는 패턴, 조건 또는 문자열을 지정하는 하나 이상의 YARA 규칙이 포함된 텍스트 파일을 작성합니다. 몇 가지 예는 다음과 같습니다.

Config>Environmental Settings>YARA Rule Upload(구성 환경 설정YARA 규칙 업로드)로 이동합니다.

1. 파일 형식 선택: exe | DLL | PDF 파일 | 문서 | 증권 시세 표시기 | 증권 시세 표시기 | 자바 | Apk

2. Choose File(파일 선택)을 클릭하여 YARA 파일을 찾아 업로드합니다.

3. 설명을 입력합니다.

4. 라디오 버튼을 클릭하여 Enable(활성화) 또는 Disable(비활성화)합니다.

5. 활성화되면 추가 버튼이 표시됩니다. Add(추가)를 클릭하여 YARA 규칙 컴파일 및 구문 검증을 시작합니다. 구문 오류가 없으면 YARA 규칙이 탐지 시스템에 추가됩니다.

YARA 규칙이 컴파일되어 시스템에 추가되면 네트워크 개체가 규칙과 일치하는지 검사합니다. 규칙 일치 항목은 위협 탐지에 기여하며 웹 UI 인시던트 페이지에서 맬웨어로 인식됩니다.

인시던트 페이지에는 YARA 규칙 일치가 악성코드로 표시되는 여러 위치가 있습니다.

그림 33: Yara 규칙 일치 보고는 인시던트 다운로드 세부 정보 에도 표시됨

ATP 어플라이언스 Splunk 수집을 구성하려면 다음 단계를 수행합니다.

1. 주니퍼 ATP 어플라이언스 중앙 관리자 웹 UI 구성>환경 설정>Splunk 구성 페이지로 이동합니다. Add New Identity Source(새 ID 소스 추가)를 클릭합니다.

   그림 34: ID 구성 페이지

2. 소스 유형으로 Splunk를 선택합니다.

3. ID 소스(감사 로그 또는 LDAP 추가 기능)를 선택합니다.

4. 이벤트 로그 수집 방법(WMI 또는 Universal Forwarder)을 선택합니다.

5. 선택적 Splunk 인덱스를 입력합니다.

6. 역방향 DNS 사용(Use Reverse DNS) 설정에 대해 사용(Enable) 또는 사용 안 함(Disable)을 선택합니다.

7. Exclude Hostnames를 쉼표로 구분하여 입력합니다. 이러한 호스트에 대한 ID 맵핑은 무시되며 이벤트 처리 및 디스플레이에 포함되지 않습니다.

8. 제출을 클릭하여 구성을 완료합니다.

1. 주니퍼 ATP 어플라이언스 중앙 관리자 웹 UI 구성>환경 설정>Splunk 구성 페이지로 이동합니다. Add New Identity Source(새 ID 소스 추가)를 클릭합니다.

2. 소스 유형으로 Active Directory를 선택합니다.

3. 호스트 이름/IP 주소를 입력합니다.

4. 사용자 이름과 암호를 입력합니다.

5. 검색 유형(글로벌 카탈로그 검색 또는 로컬 검색)을 입력합니다.

6. 역방향 DNS 사용(Use Reverse DNS) 설정에 대해 사용(Enable) 또는 사용 안 함(Disable)을 선택합니다.

7. 도메인 구성 요소 이름을 입력합니다.

8. SSL 설정(사용 또는 사용 안 함)을 선택합니다.

9. LDAP 포트 번호를 입력합니다.

   참고:

   일반적으로 사용되는 포트 번호: 글로벌 카탈로그 검색 [SSL 사용 - 3289; SSL 사용 안 함 - 3268]; 로컬 검색 [SSL 사용 - 636; SSL 사용 안 함 - 389]

10. 역방향 DNS 사용 설정을 사용하거나 사용하지 않도록 선택합니다.

11. Exclude Hostnames를 쉼표로 구분하여 입력합니다. 이러한 호스트에 대한 ID 맵핑은 무시되며 이벤트 처리 및 디스플레이에 포함되지 않습니다.

12. 제출을 클릭하여 구성을 완료합니다.

주니퍼 ATP 어플라이언스는 DC의 Universal Forwarder 또는 VMI 방법을 사용하여 Splunk를 통해 AD 로그 수집을 지원합니다.

• Active Directory 로그의 Splunk Universal Forwarder

• Active Directory 로그의 Splunk WMI 전달

중요: 시작하기 전에 몇 가지 주의 사항:

• Active Directory, Splunk 및 주니퍼 ATP 어플라이언스는 모두 NTP와 동기화되어야 합니다.

• AD 로그 수집은 한 번에 직접 또는 Splunk를 통해서만 수행할 수 있습니다.

• Splunk를 통한 AD 로그에서 UI의 "호스트 이름 제외" 구성은 실제로 호스트 이름을 제외하도록 설정되어야 합니다.

• 엔터프라이즈 환경에서 이전에 AD-Splunk 통합을 사용한 적이 없고 이번이 처음 구축하는 경우, 주니퍼 ATP 어플라이언스는 WMI 방식과 Universal Forwarder 방식을 모두 지원하며 둘 중 하나를 권장하지 않습니다. 그러나 Splunk 설명서에서는 WMI 메서드에 대해 보고된 성능 문제가 있기 때문에 도메인 컨트롤러용 Universal Forwarder를 권장합니다.

DC에서 Splunk 앱을 사용하여 AD용 Splunk를 구성하려면 다음 절차를 따르십시오.

1. 보안 감사 로그를 수신하기 위한 추가 기능을 설치합니다.

   이 링크를 검토하여 설치할 인프라 추가 기능을 결정하십시오.

   http://docs.splunk.com/Documentation/MSApp/1.4.1/MSInfra/ WindowsInfrastructure용 SplunkApp을 배포하는 방법

   이 링크를 검토하여 Splunk 배포 옵션에 대해 자세히 알아보세요.

   http://docs.splunk.com/Documentation/MSApp/1.4.1/MSInfra/ WhataSplunkAppforWindowsInfrastructuredeploymentlookslike

   배포 옵션:

   • Search Head의 Windows 인프라용 Splunk 앱(보안 감사 로그 수신용)

   • 검색 헤드의 Active Directory용 Splunk 추가 기능(ldap 검색용)

   • 검색 헤드, 인덱서 및 Universal Forwarder의 Windows용 Splunk 추가 기능

2. 아래와 같이 Splunk 웹 콘솔에서 Active Directory 애드온을 구성합니다.

   그림 35: AD 보안 감사 로그를 수신 및 전달하기 위한 Splunk 추가 기능 구성Figure 35: Splunk Add-on Configuration for Receiving & Forwarding AD Security Audit Logs

3. Settings>Forward And Receiving (Data)->Configure Receiving->New로 이동하여 Windows 데이터를 받도록 Splunk 인덱서를 구성합니다.

   그림 36: Splunk Add New Forwarding & Receiving Data 구성 창

4. Windows 인프라용 Splunk 앱 배포; 다음 링크된 지침을 사용합니다.

   http://docs.splunk.com/Documentation/MSApp/1.4.1/MSInfra/ WhataSplunkAppforWindowsInfrastructure배포모양

   http://docs.splunk.com/Documentation/MSApp/1.4.1/MSInfra/InstallaSplunkIndexer

   참고:

   다음 링크의 정보를 사용하여 도메인 컨트롤러에 Universal Forwarder를 다운로드하고 설치합니다.

   Universal Forwarder는 이벤트 로그를 Splunk Indexer로 보내는 한 가지 방법입니다. 다른 방법은 다음 섹션에 표시된 WMI 방법을 사용한 에이전트 없는 전달입니다.

   • Universal Forwarder: https://www.splunk.com/en_us/download/universal-forwarder.html 다운로드

   • MSI를 다운로드하고 설치를 시작합니다. 이 링크의 지침에 따라 Universal Forwarder를 구성합니다.

     http://docs.splunk.com/Documentation/Forwarder/6.5.3/Forwarder/ InstallaWindowsuniversalforwarderfromaninstaller#Install_the_universal_forwarder_for_use_with_onpremises_ Splunk_instances

   • 아래 이미지와 같이 적절한 확인란을 선택한 후 Customize(사용자 지정) 옵션을 클릭합니다.

     

   • 다음을 클릭한 다음 WMI를 사용하여 다른 도메인 컨트롤러를 폴링하려는 경우가 아니면 로컬 계정을 선택합니다. 다음을 다시 클릭합니다.

     

   • 아래와 같은 다음 구성 창에서 보안 로그 전달 옵션을 선택합니다. 다음을 클릭합니다.

     

   • 배포 서버 호스트 이름 및 포트(기본값: 8089)를 입력하고 다음을 클릭합니다.

     

   • 아래 표시된 예와 같이 Receiver Index and Port(기본값은 9997)를 입력하고 Next(다음)를 클릭합니다.

     

5. 지침에 따라 이 링크에서 Active Directory 데이터 가져오기: http://docs.splunk.com/Documentation/MSApp/1.4.1/MSInfra/DownloadandconfiguretheSplunkAddonsforActiveDirectory

   • AD 및 Powershell에 대한 GPO를 구성합니다.

   • Splunk Add On For Microsoft Active Directory를 다운로드합니다.

   • Microsoft Powershell용 Splunk 추가 기능을 다운로드합니다.

   • Un-TAR은 모두 7zip 또는 다른 아카이브 유틸리티를 사용하여 TAR 파일을 다운로드했습니다.

   • 결과 SA-ModularInput-PowerShell 및 Splunk_TA_microsoft_ad 유니버설 전달자 설치 경로에 복사합니다.

   • Universal Forwarder 구성 요소를 다시 시작합니다.

     • Services.msc

     • SplunkForwarder 서비스를 찾아 다시 시작합니다.

   • 다음 절차 중 하나를 수행하여 Splunk 검색 헤드가 데이터를 수신하는지 확인합니다.

     • App & Reporting > Data Summary(앱 및 보고 데이터 요약)에서 UI를 검색하여 도메인 컨트롤러 호스트가 구성되었는지 확인합니다.

     • 또는 "source="wineventlog:security" AND EventCode=4769 AND Service_Name != krbtgt | 테이블 _time Account_Name Client_Address Service_Name | _time 이름을 UserName으로 Logon_Time Account_Name Client_Address IPAddress로 Service_Name HostName으로 바꿉니다."

6. Splunk Web Indexer에서 Windows 인프라용 Splunk 앱을 구성합니다. 전제 조건에 유의하십시오.

   

   • 아래와 같이 admin 사용자의 역할을 수정하여 admin 사용자에게 winfra-admin role을 부여합니다.

     

다음 절차에 따라 WMI 방법을 사용하여 Splunk와 AD 통합을 설정합니다.

1. Splunk Enterprise와 Windows 네트워크 모두 WMI 데이터 액세스를 위해 올바르게 구성되어 있어야 합니다. Splunk Enterprise를 사용하여 WMI 데이터를 가져오기 전에 다음 필수 구성 요소를 검토하십시오.

   Splunk Enterprise가 WMI 기반 데이터를 얻기 전에:

   • Splunk Enterprise는 원격 네트워크 연결을 수행할 수 있는 권한이 있는 사용자와 함께 설치해야 합니다. Splunk를 설치하는 동안 로컬 계정 또는 도메인 계정을 요청합니다. 도메인 계정을 선택합니다.

   • Splunk Enterprise runs는 AD(Active Directory) 도메인 또는 포리스트의 구성원이어야 하며 WMI 공급자를 쿼리할 수 있는 적절한 권한이 있어야 합니다.

   • 또한 Splunk 사용자는 Splunk Enterprise를 실행하는 컴퓨터에서 로컬 Administrators 그룹의 구성원이어야 합니다.

   • Splunk Enterprise를 실행하는 컴퓨터는 원격 컴퓨터(AD)에 연결할 수 있어야 하며, 연결되면 원격 컴퓨터에서 원하는 데이터를 가져올 수 있는 권한이 있어야 합니다.

2. Splunk를 설치한 후 Splunk에 로그온하고 설정 - 데이터 입력 >으로 이동합니다.

3. 두 번째 옵션인 Remote Event Log Collection(원격 이벤트 로그 수집)을 클릭한 다음 New(새로 만들기)를 클릭합니다.

   

4. 로그 수집의 이름을 선택하고 AD 서버 IP 주소를 입력합니다.

5. Splunk가 AD 서버에 대해 WMI 쿼리를 수행할 수 있는 경우 아래와 같이 이벤트 로그 선택 옵션이 표시됩니다. Security(보안)를 선택하고 Next(다음)를 클릭합니다.

   

6. 다음 페이지에서 호스트 세부 정보를 입력합니다. 인덱서를 선택하려면 인덱서를 선택하거나 기본값을 그대로 둡니다.

   구성을 검토하고 제출합니다.

7. Splunk 서버에서 C:\Program Files\Splunk\etc\system\local로 이동하여 다음 구성을 추가합니다.

Splunk를 다시 시작하고 Splunk에서 모든 Active Directory 보안 로그를 사용할 수 있는지 확인합니다.

AD 통합을 구성하기 전에 다음 요구 사항을 준수하십시오.

• WMI(Windows Management Instrumentation) 및 LDAP 검색 모두 관리자 자격 증명이 필요하므로 AD에 대해 구성된 사용자에게는 관리자 권한이 있어야 합니다. AD 사용자는 "읽기 전용" 관리 사용자일 수 있지만 다음 권한이 있어야 합니다.

  • 사용자 계정은 "Distributed COM Users" Active Directory 그룹에 속해야 합니다.

  • 사용자 계정에는 도메인 컨트롤러 컴퓨터의 WMI 네임스페이스(CIMV2 네임스페이스)에 액세스할 수 있는 권한이 있어야 합니다.

  • 사용자 계정에는 도메인 컨트롤러 컴퓨터에서 보안 이벤트 로그를 읽을 수 있는 권한이 있어야 합니다.

• 주니퍼 ATP 어플라이언스는 지정된 기간(현재 시간에서 5분까지) 내에 AD 기반을 쿼리하기 때문에 Active Directory 도메인 컨트롤러와 주니퍼 ATP 어플라이언스 코어/CM을 NTP 서버에 동기화해야 합니다.

• AD 도메인 컨트롤러가 방화벽 뒤에 있는 경우 방화벽을 열어 주니퍼 ATP 어플라이언스 코어/CM 디바이스가 AD에 도달할 수 있도록 해야 합니다.

  • LDAP 검색 및 WMI 쿼리에 필요한 포트 번호에 대한 방화벽을 엽니다.

  • LDAP 검색 기본 포트 번호

    • 로컬 검색의 경우:포트 389(비 SSL), 포트 636(SSL).

    • 글로벌 카탈로그 검색의 경우: 포트 3268(비 SSL), 포트 3269(SSL).

      참고:

      SSL 모드의 경우 고객은 Active Directory 인증서 서비스를 설치하고 인증서를 설치해야 합니다. LDAPS는 다시 시작하지 않고 작동하지 않으므로 도메인 컨트롤러 서버를 다시 시작해야 합니다.

  • WMI는 초기 연결에 TCP 포트 135를 사용합니다. 코어가 방화벽 뒤에 있는 경우 고객은 포트 135에 대한 방화벽을 열어야 하며 다음을 수행해야 합니다.

    • WMI를 고정 포트에 연결하고 고정 포트에 대한 방화벽도 엽니다. 이 고정 포트는 WMI 데이터 교환에 사용됩니다.

      참고:

      WMI를 고정 포트에 연결하는 방법에 대한 지침은 https://msdn.microsoft.com/en-us/library/bb219447(VS.85).aspx URL에서 찾을 수 있습니다.

      또한 고정 포트에 대해 Windows 방화벽이 열려 있는지 확인하십시오.

    • 또는 방화벽에서 DCOM이 이 범위 내의 포트를 사용할 수 있으므로 포트 범위 49152 - 65535를 엽니다.

• AD에 대한 감사 정책에서 성공적인 로그온이 필요한 이벤트, 특히 이벤트 코드 4769의 Kerberos 이벤트 유형을 생성할 수 있도록 허용하는지 확인합니다.

• 주니퍼 ATP 어플라이언스는 ID에 대해 이러한 로그를 스크랩하기 때문에 최대 로그 파일 크기에 대해 Windows 보안 로그 속성 "필요에 따라 이벤트 덮어쓰기(가장 오래된 이벤트부터)" 옵션을 구성해야 합니다(주니퍼 ATP 어플라이언스가 ID 정보를 얻으려면 보안 로그가 실행 중인 로그여야 함).

또한 Windows 2008 및 Windows 2012에 대한 도메인 컨트롤러 이벤트 로그를 쿼리하기 위해 관리자가 아닌 사용자를 설정합니다.

주니퍼 ATP 어플라이언스 코어는 호스트-IP 매핑을 얻기 위해 도메인 컨트롤러 이벤트 로그를 쿼리합니다. 주니퍼 ATP 어플라이언스 코어/CM이 도메인 관리자 그룹에 속한 사용자로 도메인 컨트롤러를 쿼리하도록 구성해야 합니다. 이는 제한적일 수 있으며 관리자에게 잠재적으로 위험할 수 있습니다.

주니퍼 ATP 어플라이언스 코어에서 실행되는 AD 에이전트는 WMI를 사용하여 Active Directory 도메인 컨트롤러에서 보안 이벤트 로그를 쿼리하기 때문에 관리 사용자가 필요하지 않습니다. 또한 주니퍼 ATP 어플라이언스는 DCOM(Distributed COM) 기술을 사용하여 도메인 컨트롤러에 대한 원격 호출을 처리합니다. 관리자가 아닌 사용자의 경우 DC를 쿼리할 수 있도록 다음 권한을 설정해야 합니다.

• DCOM 권한(Distributed COM Users AD 그룹에 속해야 함)

• 도메인 컨트롤러 디바이스의 WMI 네임스페이스(CIMV2 네임스페이스)에 액세스할 수 있는 WMI 권한입니다.

• 도메인 컨트롤러 장치에서 보안 이벤트 로그를 읽을 수 있는 권한입니다.

도메인 사용자 또는 그룹을 만들려면 아래와 같이 Active Directory 사용자 및 컴퓨터 창 옵션을 사용하여 도메인 기본 제공 그룹인 "Distributed COM Users" 및 "Event Log Readers"에 새 사용자/그룹을 추가합니다.

그림 37: Active Directory 사용자 및 컴퓨터 창 "소속" 설정

그런 다음 사용자/그룹 WMI 권한을 설정합니다.

1. WMI(Windows Management Instrumentation) 콘솔을 실행합니다.

2. 시작을 선택하고 실행을 클릭한 다음, 다음을 입력합니다. wmimgmt.msc

3. 확인을 클릭하고 Enter 키를 누릅니다.

4. "WMI 컨트롤"을 마우스 오른쪽 버튼으로 클릭하고 "속성"을 선택합니다.

5. 보안 탭을 선택한 다음 "루트"를 확장합니다.

6. "CIMV2"를 선택한 다음 "보안"을 클릭합니다.

   그림 38: WMI(Windows Management Instrumentation) 콘솔 설정

7. AD 도메인 컨트롤러를 사용하기 위해 만든 도메인 사용자를 추가합니다. 사용자에게 "계정 사용" 및 "원격 사용" 권한을 설정합니다.

   그림 39: ROOT\CIMV2에 대한 보안을 위한 WMI 콘솔 설정

8. "Advanced(고급)"를 클릭합니다. 도메인 사용자를 선택하고 "적용 대상"이 "이 네임스페이스 및 하위 네임스페이스"로 설정되어 있는지 확인합니다.

   그림 40: CIMV2에 대한 WMI 콘솔 고급 보안 설정

9. 확인을 선택하여 변경 내용을 저장합니다.

   그림 41: WMI 콘솔 고급 보안 설정 마무리

그런 다음 도메인 컨트롤러의 도메인 구성 요소 이름을 가져옵니다.

1. AD 서버로 이동합니다.

2. "관리 도구"를 실행합니다.

3. "Active Directory 사용자 및 컴퓨터"를 실행합니다.

4. "Active Directory 사용자 및 컴퓨터"를 클릭하고 오른쪽에서 이름을 찾습니다(예:pod001.eng.JATP.com 아래 샘플 스크린샷에서 도메인 구성 요소 이름으로 표시됨).

5. 4단계에서 사용한 것과 똑같은 도메인 구성 요소 이름을 사용합니다. 주니퍼 ATP 어플라이언스의 Active Directory 구성 페이지에 있는 도메인 구성 요소 필드에 추가할 수 있도록 기록해 둡니다(아래 2부 - 웹 UI에서 Active Directory 도메인 컨트롤러 구성하기 아래 2부 참조).

그림 42: AD 사용자 및 컴퓨터 창의 이름 열에 있는 도메인 구성 요소 이름

그런 다음 로컬 WMI 서비스를 테스트합니다.

1. 시작, 실행을 차례로 클릭하고 을 입력한 wmimgmt.msc다음 확인을 클릭합니다.

2. WMI 컨트롤(로컬)을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

3. WMI 서비스가 올바르게 구성되면 WMI 컨트롤이 WMI에 연결되고 속성 대화 상자가 표시됩니다. 일반 탭에 운영 체제 및 WMI 버전에 대한 정보가 표시됩니다.

그림 43: WMI 컨트롤(로컬) 속성 페이지Figure 43: WMI Control (Local) Properties Page

이제 WMI 사용 권한을 확인합니다.

1. AD 컴퓨터에서 시작, 실행을 차례로 클릭하고 을 입력한 wmimgmt.msc다음 확인을 클릭합니다.

2. WMI 컨트롤을 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

3. 보안 탭에서 루트를 확장한 다음 WMI를 클릭합니다.

4. 결과 창에서 보안을 클릭하여 사용 권한을 확인합니다. 사용자에게 권한이 없는 경우 권한을 설정합니다.

그림 44: WMI 콘솔 보안 설정

그런 다음 LDAP SSL 연결을 확인합니다. 인증서를 설치한 후 다음 단계에 따라 LDAP를 사용할 수 있는지 확인합니다.

1. Active Directory 관리 도구(Ldp.exe)를 시작합니다.

   참고:

   Active Directory 관리 도구 프로그램은 Windows 2000 지원 도구 영역에 설치됩니다.

2. Connection(연결) 메뉴에서 Connect(연결)를 클릭합니다.

3. 연결할 도메인 컨트롤러의 이름을 입력합니다.

4. 포트 번호로 636을 입력합니다.

5. 확인을 클릭합니다.

6. 2부 - 웹 UI에서 Active Directory 도메인 컨트롤러 구성으로 진행합니다.

주니퍼 ATP 어플라이언스는 5분마다 AD 도메인 컨트롤러를 폴링하여 AD에서 ID 데이터를 가져옵니다. ID 데이터는 LDAP 검색을 사용하여 이벤트 코드 4769 및 AD Datastore에 대한 로그를 쿼리하여 WMI를 사용하여 AD의 보안 이벤트 로그에서 가져옵니다. ID 데이터에는 각 인증 이벤트 매핑, 엔드포인트 호스트 이름, 엔드포인트 IP 주소, 엔드포인트에 로그인하는 데 사용되는 사용자 이름 및 사용자의 이메일 주소가 포함됩니다. 여러 AD 도메인 컨트롤러를 구성하고 5분 간격으로 폴링할 수 있습니다.

다음 AD 도메인 컨트롤러 요구 사항 및 제안된 구성 설정 목록을 검토합니다.

• 구성된 AD 사용자에게는 관리자 권한이 있어야 합니다. AD 계정 관리자는 (1) 분산 COM 사용자 AD 그룹에 속해야 하고, (2) 계정에는 도메인 컨트롤러 디바이스의 WMI 네임스페이스(CIMV2 네임스페이스)에 액세스할 수 있는 권한이 있어야 하며, (3) 계정에는 도메인 컨트롤러 디바이스에서 보안 이벤트 로그를 읽을 수 있는 권한이 있어야 합니다.

• 5분 간격으로 AD 폴링을 최적화하려면 Active Directory 도메인 컨트롤러와 주니퍼 ATP 어플라이언스 Core+CM을 모두 NTP 서버에 동기화해야 합니다.

• Active Directory 도메인 컨트롤러가 방화벽 뒤에 있는 경우 관리자는 방화벽을 열어 주니퍼 ATP 어플라이언스 코어+CM이 AD 컨트롤러에 연결할 수 있도록 해야 합니다. LDAP 검색 및 WMI 쿼리에 필요한 포트 번호에 대한 방화벽을 엽니다.

  LDAP 검색 기본 포트 번호:

  • 지정된 도메인 구성 요소에 대한 로컬 검색의 경우 비 SSL의 경우 포트 번호 389를 사용하고 SSL의 경우 포트 번호 636을 사용합니다.

  • 지정된 도메인 구성 요소에 대한 전역 검색의 경우 비 SSL의 경우 포트 번호 3268을, SSL의 경우 포트 번호 3269를 사용합니다.

    참고:

    SSL 모드의 경우 "Active Directory 인증서 서비스"를 설치하고 인증서를 설치해야 합니다. 다시 시작하지 않으면 LDAP가 작동하지 않으므로 인증서를 설치한 후 AD 도메인 컨트롤러 서버를 다시 시작해야 합니다.

• WMI는 초기 연결에 TCP 포트 135를 사용합니다. Core+CM이 방화벽 뒤에 있는 경우 관리자는 포트 135에 대한 방화벽을 열고 다음을 수행해야 합니다.

  • WMI를 고정 포트에 연결하고 고정 포트에 대한 방화벽도 엽니다. 포트 135는 초기 연결 핸드셰이크에 사용됩니다. 고정 포트는 WMI 데이터 교환에 사용됩니다.

    • WMI를 고정 포트에 연결하는 지침은 https://msdn.microsoft.com/en-us/library/bb219447(VS.85).aspx에서 확인할 수 있습니다.

    • 또한 고정 포트에 대해 Windows 방화벽이 열려 있는지 확인하십시오.

  • 또는 방화벽에서 포트 범위 49152 - 65535를 엽니다(DCOM이 이 범위의 포트를 사용할 수 있기 때문).

• AD 도메인 컨트롤러의 감사 정책이 성공적인 로그온, 특히 이벤트 코드 4769의 Kerberos 이벤트 유형을 허용하는지 확인합니다.

• Windows 보안 로그 속성 설정 구성: "필요에 따라 이벤트 덮어쓰기(가장 오래된 이벤트 먼저)"; 전체 ID 폴링 적용 범위에 대한 파일 크기 최대화를 선택합니다.

Windows 2008 및 Windows 2012 도메인 컨트롤러 이벤트 로그를 쿼리하도록 관리자가 아닌 사용자를 설정하는 방법에 대한 자세한 내용은 Active Directory 통합의 필수 구성 요소를 참조하세요.

이 섹션에서는 Active Directory 도메인 컨트롤러 통합이 작동하는지 여부를 확인하는 방법에 대한 정보를 제공합니다.

• 주니퍼 ATP 어플라이언스 CLI에서 "setupcheck all" 명령을 실행하거나 Config>Environmental Settings>Active Directory 구성 페이지에 있는 Current AD Domain Controller(현재 AD 도메인 컨트롤러) 창에서 Test(테스트) 버튼 옵션을 클릭하여 Active Directory 통합이 작동하는지 확인합니다.

• Active Directory 도메인 컨트롤러 통합이 작동하지 않는 경우:

  • AD 에이전트는 여전히 1시간마다 상태 경고를 보냅니다.

  • 또한 AD 에이전트는 어떤 이유로 AD에 연결할 수 없는 경우 GSS에 경고를 보냅니다.

AD 에이전트는 다음과 같은 이유로 ID 정보를 가져오지 못할 수 있습니다.

• Active Directory 도메인 컨트롤러에 연결할 수 없음(연결 문제 또는 다운됨)

• 활성 도메인 컨트롤러에 대한 쿼리를 완료하는 데 시간이 더 오래 걸립니다(메모리 또는 CPU 문제로 인해 컨트롤러가 느려질 수 있음).

• 네트워크 지연 시간이 너무 길어질 수 있습니다.

SNORT 규칙 파일을 업로드하려면 다음을 수행하십시오.

1. 주니퍼 ATP 어플라이언스 중앙 관리자 웹 UI 구성>환경 설정>Snort 규칙 업로드 페이지로 이동합니다.

   그림 45: 주니퍼 ATP 어플라이언스 중앙 관리자 SNORT 규칙 업로드 페이지

2. SNORT 규칙 추가 단추를 클릭하십시오.

3. Choose File(파일 선택)을 클릭하고 주니퍼 ATP 어플라이언스 시스템에 업로드할 사용자 지정 SNORT 파일을 찾아 선택합니다.

4. 설명 필드에 SNORT 규칙에 대한 설명을 입력한 후 추가를 클릭하십시오.

5. 사용자 정의 SNORT 규칙을 편집하거나 삭제하려면 현재 SNORT 규칙 테이블 조치 컬럼에서 삭제 또는 편집 링크를 클릭하십시오.

ATP 어플라이언스 Splunk 수집을 구성하려면 다음 단계를 수행합니다.

1. 주니퍼 ATP 어플라이언스 중앙 관리자 웹 UI 구성>환경 설정>Splunk 구성 페이지로 이동합니다. Add New Identity Source(새 ID 소스 추가)를 클릭합니다.

2. 소스 유형으로 Splunk를 선택합니다.

3. ID 소스(감사 로그 또는 LDAP 추가 기능)를 선택합니다.

4. 이벤트 로그 수집 방법(WMI 또는 Universal Forwarder)을 선택합니다.

5. 선택적 Splunk 인덱스를 입력합니다.

6. 역방향 DNS 사용(Use Reverse DNS) 설정에 대해 사용(Enable) 또는 사용 안 함(Disable)을 선택합니다.

7. Exclude Hostnames를 쉼표로 구분하여 입력합니다. 이러한 호스트에 대한 ID 맵핑은 무시되며 이벤트 처리 및 디스플레이에 포함되지 않습니다.

8. 제출을 클릭하여 구성을 완료합니다.

1. 주니퍼 ATP 어플라이언스 중앙 관리자 웹 UI 구성>환경 설정>Splunk 구성 페이지로 이동합니다. Add New Identity Source(새 ID 소스 추가)를 클릭합니다.

2. 소스 유형으로 Active Directory를 선택합니다.

3. 호스트 이름/IP 주소를 입력합니다.

4. 사용자 이름과 암호를 입력합니다.

5. 검색 유형(글로벌 카탈로그 검색 또는 로컬 검색)을 입력합니다.

6. 역방향 DNS 사용(Use Reverse DNS) 설정에 대해 사용(Enable) 또는 사용 안 함(Disable)을 선택합니다.

7. 도메인 구성 요소 이름을 입력합니다.

8. SSL 설정(사용 또는 사용 안 함)을 선택합니다.

9. LDAP 포트 번호를 입력합니다.

   참고:

   일반적으로 사용되는 포트 번호: 글로벌 카탈로그 검색 [SSL 사용 - 3289; SSL 사용 안 함 - 3268]; 로컬 검색 [SSL 사용 - 636; SSL 사용 안 함 - 389]

10. 역방향 DNS 사용 설정을 사용하거나 사용하지 않도록 선택합니다.

11. Exclude Hostnames를 쉼표로 구분하여 입력합니다. 이러한 호스트에 대한 ID 맵핑은 무시되며 이벤트 처리 및 디스플레이에 포함되지 않습니다.

12. 제출을 클릭하여 구성을 완료합니다.

주니퍼 ATP 어플라이언스의 Active Directory(AD) 로그 직접 수집 지원은 새로운 기능이 아니며 많은 주니퍼 ATP 어플라이언스 제품 릴리스 버전에서 사용할 수 있습니다. 또한 주니퍼 ATP 어플라이언스는 DC의 Universal Forwarder 또는 WMI 방법을 사용하여 Splunk를 통해 AD 로그 수집을 지원합니다.

• Active Directory 로그의 Splunk Universal Forwarder

• Active Directory 로그의 Splunk WMI 전달

중요: 시작하기 전에 몇 가지 주의 사항:

• Active Directory, Splunk 및 주니퍼 ATP 어플라이언스는 모두 NTP와 동기화되어야 합니다.

• AD 로그 수집은 한 번에 직접 또는 Splunk를 통해서만 수행할 수 있습니다.

• Splunk를 통한 AD 로그에서 UI의 "호스트 이름 제외" 구성은 AD의 호스트 이름을 제외하도록 설정해야 합니다.

• 엔터프라이즈 환경에서 이전에 AD-Splunk 통합을 사용한 적이 없고 이번이 처음 구축하는 경우, 주니퍼 ATP 어플라이언스는 WMI 방식과 Universal Forwarder 방식을 모두 지원하며 둘 중 하나를 권장하지 않습니다. 그러나 Splunk 설명서에서는 WMI 메서드에 대해 보고된 성능 문제가 있기 때문에 도메인 컨트롤러용 Universal Forwarder를 권장합니다.

DC에서 Splunk 앱을 사용하여 AD용 Splunk를 구성하려면 다음 절차를 따르십시오.

1. 보안 감사 로그를 수신하기 위한 추가 기능을 설치합니다.

   이 링크를 검토하여 설치할 인프라 추가 기능을 결정하십시오.

   http://docs.splunk.com/Documentation/MSApp/1.4.1/MSInfra/ WindowsInfrastructure용 SplunkApp을 배포하는 방법

   이 링크를 검토하여 Splunk 배포 옵션에 대해 자세히 알아보세요.

   http://docs.splunk.com/Documentation/MSApp/1.4.1/MSInfra/ WhataSplunkAppforWindowsInfrastructuredeploymentlookslike

   배포 옵션:

   • Search Head의 Windows 인프라용 Splunk 앱(보안 감사 로그 수신용)

   • 검색 헤드의 Active Directory용 Splunk 추가 기능(ldap 검색용)

   • 검색 헤드, 인덱서 및 Universal Forwarder의 Windows용 Splunk 추가 기능

2. 아래와 같이 Splunk 웹 콘솔에서 Active Directory 애드온을 구성합니다.

   그림 46: AD 보안 감사 로그를 수신 및 전달하기 위한 Splunk 추가 기능 구성

3. Settings>Forward And Receiving (Data)->Configure Receiving->New로 이동하여 Windows 데이터를 받도록 Splunk 인덱서를 구성합니다.

   그림 47: Splunk Add New Forwarding & Receiving Data 구성 창

4. Windows 인프라용 Splunk 앱 배포; 다음 링크된 지침을 사용합니다.

   http://docs.splunk.com/Documentation/MSApp/1.4.1/MSInfra/ WhataSplunkAppforWindowsInfrastructure배포모양

   http://docs.splunk.com/Documentation/MSApp/1.4.1/MSInfra/InstallaSplunkIndexer

   참고:

   다음 링크의 정보를 사용하여 도메인 컨트롤러에 Universal Forwarder를 다운로드하고 설치합니다.

   Universal Forwarder는 이벤트 로그를 Splunk Indexer로 보내는 한 가지 방법입니다. 다른 방법은 WMI 방법을 사용한 에이전트 없는 전달입니다(다음 섹션인 Splunk WMI Forwarding of Active Directory Logs)에 나와 있습니다.

   • Universal Forwarder: https://www.splunk.com/en_us/download/universal-forwarder.html 다운로드

   • MSI를 다운로드하고 설치를 시작합니다. 이 링크의 지침에 따라 Universal Forwarder를 구성합니다.

     http://docs.splunk.com/Documentation/Forwarder/6.5.3/Forwarder/ InstallaWindowsuniversalforwarderfromaninstaller#Install_the_universal_forwarder_for_use_with_onpremises_ Splunk_instances

   • 아래 이미지와 같이 적절한 확인란을 선택한 후 Customize(사용자 지정) 옵션을 클릭합니다.

     

   • 다음을 클릭한 다음 WMI를 사용하여 다른 도메인 컨트롤러를 폴링하려는 경우가 아니면 로컬 계정을 선택합니다. 다음을 다시 클릭합니다.

     

   • 아래와 같은 다음 구성 창에서 보안 로그 전달 옵션을 선택합니다. 다음을 클릭합니다.

     

   • 배포 서버 호스트 이름 및 포트(기본값: 8089)를 입력하고 다음을 클릭합니다.

     

   • 아래 표시된 예와 같이 Receiver Index and Port(기본값은 9997)를 입력하고 Next(다음)를 클릭합니다.

     

5. 지침에 따라 이 링크에서 Active Directory 데이터를 가져옵니다.

   http://docs.splunk.com/Documentation/MSApp/1.4.1/MSInfra/DownloadandconfiguretheSplunkAddonsforActiveDirectory

   • AD 및 Powershell에 대한 GPO를 구성합니다.

   • Splunk Add On For Microsoft Active Directory를 다운로드합니다.

   • Microsoft Powershell용 Splunk 추가 기능을 다운로드합니다.

   • Un-TAR은 모두 7zip 또는 다른 아카이브 유틸리티를 사용하여 TAR 파일을 다운로드했습니다.

   • 결과 SA-ModularInput-PowerShell 및 Splunk_TA_microsoft_ad 유니버설 전달자 설치 경로에 복사합니다.

   • Universal Forwarder 구성 요소를 다시 시작합니다.

     • Services.msc

     • SplunkForwarder 서비스를 찾아 다시 시작합니다.

   • 다음 절차 중 하나를 수행하여 Splunk 검색 헤드가 데이터를 수신하는지 확인합니다.

     • App & Reporting > Data Summary(앱 및 보고 데이터 요약)에서 UI를 검색하여 도메인 컨트롤러 호스트가 구성되었는지 확인합니다.

     • 또는 "source="wineventlog:security" AND EventCode=4769 AND Service_Name != krbtgt | 테이블 _time Account_Name Client_Address Service_Name | _time 이름을 UserName으로 Logon_Time Account_Name Client_Address IPAddress로 Service_Name HostName으로 바꿉니다."

6. Splunk Web Indexer에서 Windows 인프라용 Splunk 앱을 구성합니다. 전제 조건에 유의하십시오.

   • 아래와 같이 admin 사용자의 역할을 수정하여 admin 사용자에게 winfra-admin role을 부여합니다.

다음 절차에 따라 WMI 방법을 사용하여 Splunk와 AD 통합을 설정합니다.

1. Splunk Enterprise와 Windows 네트워크 모두 WMI 데이터 액세스를 위해 올바르게 구성되어 있어야 합니다. Splunk Enterprise를 사용하여 WMI 데이터를 가져오기 전에 다음 필수 구성 요소를 검토하십시오.

   Splunk Enterprise가 WMI 기반 데이터를 얻기 전에:

   • Splunk Enterprise는 원격 네트워크 연결을 수행할 수 있는 권한이 있는 사용자와 함께 설치해야 합니다. Splunk를 설치하는 동안 로컬 계정 또는 도메인 계정을 요청합니다. 도메인 계정을 선택합니다.

   • Splunk Enterprise runs는 AD(Active Directory) 도메인 또는 포리스트의 구성원이어야 하며 WMI 공급자를 쿼리할 수 있는 적절한 권한이 있어야 합니다.

   • 또한 Splunk 사용자는 Splunk Enterprise를 실행하는 컴퓨터에서 로컬 Administrators 그룹의 구성원이어야 합니다.

   • Splunk Enterprise를 실행하는 컴퓨터는 원격 컴퓨터(AD)에 연결할 수 있어야 하며, 연결되면 원격 컴퓨터에서 원하는 데이터를 가져올 수 있는 권한이 있어야 합니다.

2. Splunk를 설치한 후 Splunk에 로그온하고 설정 - 데이터 입력 >으로 이동합니다.

3. 두 번째 옵션인 Remote Event Log Collection(원격 이벤트 로그 수집)을 클릭한 다음 New(새로 만들기)를 클릭합니다.

4. 로그 수집의 이름을 선택하고 AD 서버 IP 주소를 입력합니다.

5. Splunk가 AD 서버에 대해 WMI 쿼리를 수행할 수 있는 경우 아래와 같이 이벤트 로그 선택 옵션이 표시됩니다. Security(보안)를 선택하고 Next(다음)를 클릭합니다.

6. 다음 페이지에서 호스트 세부 정보를 입력합니다. 인덱서를 선택하려면 인덱서를 선택하거나 기본값을 그대로 둡니다.

   구성을 검토하고 제출합니다.

7. Splunk 서버에서 C:\Program Files\Splunk\etc\system\local로 이동하여 다음 구성을 추가합니다.

8. Splunk를 다시 시작하고 Splunk에서 모든 Active Directory 보안 로그를 사용할 수 있는지 확인합니다.

• Carbon Black Response Event Forwarder 설치 : https://developer.carbonblack.com/reference/enterprise-response/event-forwarder/

• Carbon Black Response 이벤트 로그를 TCP 또는 UDP를 통해 서버로 보내려면 아래 표시된 예와 같이 Event Forwarder CONF 파일을 편집합니다.

  에 /etc/cb/integrations/event-forwarder/cb-event-forwarder.conf

/etc/cb/cb.conf에서 위의 사용자 이름과 비밀번호를 가져 와서 RabbitMQUser & RabbitMQPassword를 검색하고 위 파일에서 값을 복사하십시오.

에 /etc/cb/integrations/event-forwarder/cb-event-forwarder.conf

아래 표시된 값을 검색하여 입력합니다.

TCP 옵션을 선택한 경우, 탭 서버 및 수신 포트를 구성합니다. 현재는 수신할 임의의 포트를 선택할 수 있습니다.

위에서 udp 옵션을 선택한 경우 탭 서버 및 수신 포트를 구성합니다. 현재 청취 할 임의의 포트를 선택할 수 있습니다.

그런 다음 아래 명령을 실행하여 이벤트 전달자가 연결된 서버를 나타내는 출력을 받습니다.

이벤트 전달자를 시작합니다.

1. Carbon Black Response Server에서 Carbon Black Response Event Forwarder를 설치합니다.

   https://developer.carbonblack.com/reference/enterprise-response/event-forwarder/

2. 이 링크에서 관련 바이너리를 다운로드하십시오.

   https://www.splunk.com/en_us/download/universal-forwarder.html

3. Splunk 인스턴스에 Bit9 Carbon Black용 Splunk Addon을 설치합니다. Splunk 공통 정보 모델을 설정합니다.

   https://splunkbase.splunk.com/app/2790/

4. 카본 블랙 응답 이벤트 전달자를 구성하는 단계; 이는 Carbon Black Response 이벤트 로그를 파일에 저장하여 Splunk에 데이터를 전달하는 데 필요합니다.

   에 /etc/cb/integrations/event-forwarder/cb-event-forwarder.conf

   /etc/cb/cb.conf에서 위에 표시된 사용자 이름과 암호를 적용하고, RabbitMQUser 및 RabbitMQPassword를 검색하고, 값을 위의 CONF 파일에 복사합니다.

   에 /etc/cb/integrations/event-forwarder/cb-event-forwarder.conf

   아래 값을 검색하고 입력하십시오.

   위의 outfile은 무엇이든 될 수 있습니다. 이 예제에서 링크는 이벤트 로그를 저장합니다.

   아래 명령을 실행하여 아래와 같은 출력을 얻으십시오.

   이벤트 전달자를 시작합니다.

5. 비트 9 카본 블랙 응답에 대해 Splunk 애드온을 구성합니다.

6. 아래와 같이 Splunk Common Information Model을 설정합니다.

   

7. Splunk 인스턴스에 대한 Receiver를 구성하여 Splunk Forwarder가 데이터를 전달하도록 설정합니다. Splunk > 설정 > 전달 및 수신으로 이동합니다.

   

8. 수신 구성을 클릭합니다.

   

9. 수신 대기할 포트를 구성합니다. 이 예제에서: 포트 6666.

   

10. Carbon Black Response 서버에 Universal Forwarder RPM을 다운로드하고 설치하여 Carbon Black Response 데이터를 Splunk에 전달하도록 Splunk Universal Forwarder를 설정합니다.

    https://www.splunk.com/en_us/download/universal-forwarder.html

    위의 명령에서 10.2.14.219는 splunk 서버이고 6666은 Splunk가 수신하는 3단계에서 구성한 포트입니다.

11. 입력 호스트 파일을 추가합니다. 이 예에서는 Splunk에서 검색할 수 있는 cbtest가 사용됩니다.

    모니터는 1단계에서 구성된 data.json의 디렉터리입니다.

    sourcetype은 Carbon Black Response에서 보내야 하는 데이터를 보여줍니다.

12. Splunk를 시작합니다.

13. forward-server를 확인합니다.

Carbon Black Response 로그 수집은 주니퍼 ATP 어플라이언스 Central Manager 웹 UI 인시던트 페이지 및 이벤트 타임라인 대시보드에서 확인할 수 있습니다.

ATP 어플라이언스 Splunk 수집을 구성하려면 다음 단계를 수행합니다.

1. 주니퍼 ATP 어플라이언스 중앙 관리자 웹 UI 구성>환경 설정>Splunk 구성 페이지로 이동합니다.

   그림 48: Splunk 수집 구성 페이지Figure 48: Splunk Ingestion Configuration Page

2. Splunk 호스트 IP 주소 및 Splunk 관리 포트 번호를 입력합니다.

   참고:

   Splunk 포트 번호 8080이 아닌 8089를 입력해야 합니다.

3. Splunk 로그인 및 암호를 입력합니다.

4. Enable(활성화)을 클릭하여 구성을 활성화합니다. 구성을 비활성화하려면 선택을 취소합니다.

5. 제출(Submit)을 클릭하여 활성화된 Splunk 구성을 활성화합니다.

6. 테스트 단추를 클릭하여 Splunk 구성 수집 설정을 테스트합니다.

   참고:

   Splunk 환경에서는 모두 사용자가 구성할 수 있는 여러 포트를 구현할 수 있습니다. Splunk에 연결하는 데 문제가 있는 경우 이 페이지에서 Splunk 관리 포트를 구성해야 합니다. 관리자가 기본값을 사용하지 않는 경우 Splunk 사이트에서 설정을 확인하십시오.

Splunk 콘솔에서 주니퍼 ATP 어플라이언스와의 통합을 위해 다음 설정을 포함합니다. 이 예에서는 PAN Add-on이 구성됩니다.

그림 49: Palo Alto Networks Splunk 용 추가 기능

그림 50: Splunk 공통 정보 모델 설정

PAN 차세대 방화벽에 대한 ATP 어플라이언스 외부 이벤트 수집기 설정을 구성하려면 직접 로그 수집 또는 Splunk 수집 옵션에 대해 다음 구성을 수행합니다.

다음 절차를 사용하여 주니퍼 ATP 어플라이언스가 기본적으로 syslog 서버 역할을 하지만 관련 멀웨어 이벤트만 식별하는 PAN에서 이벤트 데이터를 직접 수집하도록 구성할 수 있습니다.

1. 주니퍼 ATP 어플라이언스 중앙 관리자 웹 UI 구성>환경 설정>외부 이벤트 수집기 구성 페이지로 이동합니다.

2. 소스 유형으로 방화벽을 선택하고 벤더 이름으로 PAN Next Gen Firewall을 선택합니다.

3. 전송의 경우 로그 수집기 옵션을 선택합니다.

4. 로그 소스 식별자를 입력합니다. 예: PA-200. 이는 주니퍼 ATP 어플라이언스가 어떤 벤더가 들어오는지, 그리고 주니퍼 ATP 어플라이언스가 기록된 이벤트를 구문 분석하는 방법을 식별하는 데 사용하는 syslog 메시지의 호스트 이름 부분입니다. [다음 스크린샷의 PAN UI에서 구성된 디바이스 이름이 주니퍼 ATP 어플라이언스 로그 소스 식별자와 동일하다는 것을 알 수 있습니다.]

5. SSL Enabled(SSL 활성화) | 비활성화.

6. 기본 심각도 설정 선택: 최대 | 높음 | 메드 | 낮음 | 양성

7. Enable(활성화) 또는 Disable(비활성화) 옵션을 선택하여 Create Incident(인시던트 생성)를 구성합니다. PAN 직접 수집에서 주니퍼 ATP 어플라이언스가 생성한 모든 인시던트는 6단계에서 선택한 심각도 설정에 따라 생성됩니다. 인시던트 생성 설정을 활성화하면 주니퍼 ATP 어플라이언스에서 감지한 이벤트와 상관 관계가 없더라도 타사 이벤트에 대한 인시던트를 직접 생성하고 이메일 경고 알림을 보냅니다.

8. 추가를 클릭하여 로그 수집기 구성을 수행합니다.

PAN UI에서 주니퍼 ATP 어플라이언스 코어를 syslog 서버로 구성합니다. PAN 디바이스를 자체 syslog 서버로 내보내는 경우 PAN이 여러 syslog 대상으로 동시에 내보낼 수 있으므로 주니퍼 ATP 어플라이언스를 다른 syslog 서버로 추가하기만 하면 됩니다.

1. PAN 콘솔 Device>Syslog>+Add configuration(컨피그레이션 추가) 페이지로 이동합니다.

   그림 51: 방화벽 [PAN: Direct Ingestion Configuration]

2. syslog 드롭다운의 Objects>Log Forwarding>+Add(개체로그 전달+추가) 페이지에서 로그 전달을 위해 동일한 syslog 서버를 선택합니다.

   그림 52: PAN 측 의 샘플 직접 수집 구성

   PAN에서 syslog를 포워딩하는 동안 이벤트가 1500 지원 제한을 초과하면 주니퍼 ATP 어플라이언스는 PAN 콘솔 Log Forwarding Profile 페이지에서 설정을 조정해야만 PAN에서 중요한 이벤트로 내보내기를 제한할 것을 권장합니다.

   그림 53: PAN 측 의 샘플 직접 수집 구성

   Syslog 로그 전달 프로필로 이동하여 로그를 보낼 위치(직접 수집을 통해 주니퍼 ATP 어플라이언스 코어로 전송하거나 Splunk로 전송하거나 둘 다로 전송한 다음 커밋)를 선택해야 합니다.

   그림 54: 로그 전달 프로필을 커밋하여 PAN 쪽 직접 수집 구성 완료

직접 수집 중에 생성된 syslogs/sec 수는 1500입니다. syslog/일 수(평균 10시간)는 5,400만 개입니다. 이러한 이유로 주니퍼 ATP 어플라이언스는 효율적인 이벤트 수집, 처리 및 보고를 위해 이벤트 필터링을 사용하며, 정보 제공이나 무해한 이벤트를 저장하지 않습니다.

주니퍼 ATP 어플라이언스 이벤트 타임라인 대시보드에 표시하기 위해 직접 수집을 통해 생성된 PAN 이벤트는 다음 필터를 사용합니다.

• 정보 이벤트 무시

• "wildfire-upload-success", "wildfire-upload-skip" 및 "forward" 작업이 포함된 로그는 맬웨어 이벤트를 나타내지 않으므로 무시합니다.

그림 55: 샘플 직접 수집 로그Figure 55: Sample Direct Ingestion Log

다음 절차에 따라 주니퍼 ATP 어플라이언스 측에서 PAN 차세대 방화벽에 대한 Splunk 통합을 구성합니다. Splunk 측에서 통합을 구성하는 방법에 대한 자세한 내용은 을 참조하십시오.

1. 주니퍼 ATP 어플라이언스 중앙 관리자 웹 UI 구성>환경 설정>외부 이벤트 수집기 구성 페이지로 이동합니다.

   그림 56: 방화벽 [PAN: Splunk 수집 구성]

2. 소스 유형으로 방화벽을 선택하고 벤더 이름으로 PAN Next Gen Firewall을 선택합니다.

3. 전송에서 Splunk 옵션을 선택합니다.

4. 선택적 Splunk 인덱스를 입력합니다. Splunk에 PAN 로그인에 사용되는 인덱스를 입력합니다.

   예: pan

5. 기본 심각도 설정 선택: 최대 | 높음 | 메드 | 낮음 | 양성

6. Enable(활성화) 또는 Disable(비활성화) 옵션을 선택하여 Create Incident(인시던트 생성)를 구성합니다. Splunk 수집에서 주니퍼 ATP 어플라이언스가 생성한 모든 인시던트는 5단계에서 선택한 심각도 설정에 따라 생성됩니다. 인시던트 생성 설정을 활성화하면 주니퍼 ATP 어플라이언스에서 감지한 이벤트와 상관 관계가 없더라도 타사 이벤트에 대한 인시던트를 직접 생성하고 이메일 경고 알림을 보냅니다.

7. 추가를 클릭하여 Splunk 통합을 수행합니다.

이 섹션에서는 Splunk 구성에 대해 다루지 않습니다. 그러나 주니퍼 ATP 어플라이언스와의 통합을 위해 Splunk 콘솔에서 Splunk를 구성할 때 PAN에 대해 설정해야 하는 몇 가지 항목이 있습니다.

1. Splunk>Apps>Manage Apps(앱 관리)로 이동한 다음 Palo Alto Add-on for Splunk.에 대한 구성이 설정되었는지, 상태가 Enabled(활성화됨)로 표시되는지 확인합니다.

   

2. Splunk>Apps>Manage Apps에서 설정이 완료되었고 Common Information Model에 대해 활성화되었는지 확인하고 확인합니다.

   

3. Settings>Data>Data Inputs>UDP/TCP에서 링크를 클릭하여 인덱스를 검토합니다. 이 링크를 클릭하여 PAN에 대해 구성된 인덱스를 확인할 수 있습니다. ATP 어플라이언스 방화벽에 대한 주니퍼 ATP 어플라이언스 구성 페이지에서 동일한 작업을 수행해야 합니다 [PAN: 로그 수집기 | Splunk Ingestion] 을 사용합니다.

   

4. Splunk>Settings>Data Inputs>Port>PortNumber 페이지의 "More Settings"(확장하려면 확인란을 선택)에서 Source type(소스 유형)이 "pan:log"인지 확인하고 Juniper ATP 어플라이언스 방화벽에서 사용할 수 있도록 현재 구성된 인덱스를 확인합니다 Configuration for ATP Appliance Firewall [PAN: Log Collector | Splunk Ingestion] 을 사용합니다.

   
   참고:

   주니퍼 ATP 어플라이언스와의 통합을 위해 소스 유형은 "pan:log"로, 인덱스는 "pan"으로 구성해야 합니다.

   그림 57: PAN 측 의 샘플 Splunk 구성

   Syslog 로그 전달 프로필로 이동하여 로그를 보낼 위치(직접 수집을 통해 주니퍼 ATP 어플라이언스 코어로 전송하거나 Splunk로 전송하거나 둘 다로 전송한 다음 커밋)를 선택해야 합니다.

그림 58: 로그 전달 프로필을 커밋하여 PAN-Side Splunk 구성 완료

Splunk 통합을 통해 생성된 PAN 이벤트는 Splunk PAN 애드온을 통해 다음 Splunk "CIM(Common Information Models)"에 따라 이벤트를 분류합니다.

• 웹

• 침입 탐지

• 멀웨어 공격

그림 59: Splunk 수집 로그

그림 60: PAN 을 통한 샘플 Splunk 로그

PAN syslog 수집에 대한 주니퍼 ATP 어플라이언스 탐지 및 보고를 보려면 다음 샘플 인시던트 표시를 참조하십시오.

이 예에서 PAN은 다운로드 통과를 허용했고 주니퍼 ATP 어플라이언스는 이벤트를 감지했습니다.

주니퍼 ATP 어플라이언스가 탐지한 다운로드 및 외부 소스 로그 수집 또한 이를 악의적인 이벤트로 표시했습니다.

이와 동일한 인시던트가 주니퍼 ATP 어플라이언스 이벤트 타임라인 호스트 보기에 다음과 같이 보고됩니다. PAN 다운로드 이벤트와 주니퍼 ATP 어플라이언스 멀웨어 탐지 이벤트가 모두 보고됩니다.

이벤트 타임라인 대시보드에서 주니퍼 ATP 어플라이언스가 악의적인 이벤트를 탐지했고 PAN이 DENY를 수행한 것을 확인할 수 있습니다.

주니퍼 ATP 어플라이언스는 Bluecoat 프록시 보안 게이트웨이와 통합되어 완화를 용이하게 합니다. Bluecoat는 주니퍼 ATP 어플라이언스에서 주기적으로 잘못된 웹 URL을 검색하여 차단합니다. (잘못된 URL 목록은 완화할 URL을 나열하는 보안 웹 게이트웨이> Juniper ATP 어플라이언스의 완화 탭에 설명된 것과 동일합니다. 기본적으로 Bluecoat는 HTTP/HTTPS를 통해 주니퍼 ATP 어플라이언스에서 악성 URL 목록을 가져올 수 있습니다. 따라서 주니퍼 ATP 어플라이언스는 Bluecoat가 폴링할 악성 URL 목록을 제공합니다.

주니퍼 ATP 어플라이언스는 Bluecoat와 같은 기존 타사 보안 디바이스를 활용하여 악성 웹 URL을 자동으로 차단합니다. 이는 다른 공급업체가 악성 웹 다운로드를 차단하지 않기 때문에 매우 중요합니다. 그들은 단지 감염을 차단합니다.

다음 절차에 따라 Bluecoat Secure Web Gateway 로그 수집기 수집 또는 Splunk 수집을 구성합니다.

• Bluecoat 보안 웹 게이트웨이 로그 수집기 구성

• Splunk에서 Bluecoat로의 통합 구성

• 주니퍼 ATP 어플라이언스 통합에 대한 Bluecoat 구성

• Bluecoat Secure Web Gateway Splunk 수집 구성

1. 주니퍼 ATP 어플라이언스 중앙 관리자 웹 UI 구성>환경 설정>외부 이벤트 수집기 구성 페이지로 이동합니다.

   그림 61: 웹 게이트웨이 [Bluecoat: 로그 수집기 구성]

2. 소스 유형으로 웹 게이트웨이를 선택합니다.

3. 공급업체 이름으로 Bluecoat Secure Web Gateway 를 선택합니다.

4. 전송의 경우 로그 수집기 옵션을 선택합니다.

5. 입력 포트를 입력합니다.

6. 기본 심각도 설정 선택: 최대 | 높음 | 메드 | 낮음 | 양성

7. Enable(활성화) 또는 Disable(비활성화) 옵션을 선택하여 Create Incident(인시던트 생성)를 구성합니다. Splunk 수집에서 주니퍼 ATP 어플라이언스가 생성한 모든 인시던트는 6단계에서 선택한 심각도 설정에 따라 생성됩니다. 인시던트 생성 설정을 활성화하면 주니퍼 ATP 어플라이언스에서 감지한 이벤트와 상관 관계가 없더라도 타사 이벤트에 대한 인시던트를 직접 생성하고 이메일 경고 알림을 보냅니다.

8. 추가를 클릭하여 Bluecoat Secure Web Gateway 로그 수집기 구성을 수행합니다.

Bluecoat를 위해 Splunk를 주니퍼 ATP 어플라이언스와 통합하기 전에 다음과 같은 전제 조건을 고려하십시오.

• Splunk 엔터프라이즈 버전을 설치하고 실행합니다.

• Splunk for Bluecoat 앱 설치 및 실행

• Blue Coat ProxySG용 Splunk 추가 기능 실행

• 활성화 모드 및 구성 모드에 대한 액세스 권한이 있는 Bluecoat CLI 액세스 권한이 있어야 합니다.

• 주니퍼 ATP 어플라이언스는 현재 bcreportermain_v1 로그 유형만 지원하므로 다른 로그 유형은 작동하지 않습니다

• Splunk 및 Bluecoat 시간이 동기화되도록 Splunk 서버에서 NTP 서비스를 사용해야 합니다

• 통합 후 "bcoat_logs" 아래의 Splunk 로그를 관찰하고 시간이 Splunk의 시간과 일치하는지 확인합니다. 예를 들어 Splunk가 PST에 있는 경우 "bcoat_logs" 인덱스 아래의 Bluecoat에서 오는 데이터도 PST로 설정해야 합니다. 시간 일치가 없는 경우 통합이 제대로 작동하지 않을 수 있습니다

1. 주니퍼 ATP 어플라이언스 중앙 관리자 콘솔에서 구성 > 환경 설정 > Splunk 구성으로 이동합니다.

2. Splunk 구성 Username(사용자 이름), Password(암호) 및 Port(포트)를 추가한 다음 Enabled(활성화됨)로 설정하고 Test Configuration(구성 테스트)을 클릭하여 확인합니다. 연결이 성공적으로 설정되면 성공 메시지가 표시됩니다.

3. Bluecoat를 외부 이벤트 수집기로 추가합니다. ATP 어플라이언스 웹 게이트웨이 참조 [Bluecoat: Log Collector | Splunk Ingestion]을 참조하십시오.

   전송 "로그 수집기 / Splunk를 선택해야합니다. 로그 수집기를 선택한 경우 포트 번호를 입력하고 splunk 옵션을 선택한 경우 선택적 인덱스를 입력한 다음 설정을 추가합니다.

1. Bluecoat CLI에 로그인하고 활성화 모드로 들어간 다음 구성 모드로 들어갑니다.

2. access-log 설정 입력: "edit log main" 명령을 입력합니다.

3. 클라이언트 유형을 사용자 지정 클라이언트로 선택합니다.

4. access log enable(액세스 로그 활성화)을 선택합니다.

5. 업로드 유형 텍스트를 선택합니다.

6. 통합 >에 사용할 사용자 지정 클라이언트 기본<주니퍼 ATP 어플라이언스 코어 IP 또는 Splunk 서버 IP> <모든 포트 번호를 선택하고 Enter를 클릭합니다.

7. 연속 업로드를 활성화하면 통합이 주니퍼 ATP 어플라이언스 측에서 수행됩니다.

1. Splunk 콘솔에서 Settings - > Data Inputs로 이동합니다.

2. Local Input(로컬 입력) 메뉴의 TCP Port(TCP 포트) 메뉴에서 Add New(새로 추가)를 클릭합니다. 4개의 필드가 있는 새 페이지가 열립니다.

3. 포트 필드에 포트 번호(Bluecoat 사용자 지정 클라이언트에 구성된 포트 번호)를 입력한 후 다음을 클릭합니다. 형식이 TCP로 유지되는지 확인합니다.

4. 다음 창에서 소스 유형을 "bluecoat:proxysg:access:syslog"로 선택합니다.

5. 같은 페이지에서 인덱스 유형을 "bcoat_logs"로 선택하고 검토를 클릭합니다.

6. 데이터를 검토하고 다음을 클릭합니다. 이제 블루코트 구성이 완료되었습니다.

몇 분 안에 Bluecoat 로그가 Splunk 측에 나타나기 시작합니다. 로그를 필터링하려면 index="bcoat_logs"를 사용해야 합니다.

Bluecoat가 HTTPS를 사용하여 주니퍼 ATP 어플라이언스의 자체 서명 SSL Apache 서버에 연결할 수 있도록 하려면 주니퍼 ATP 어플라이언스 서버의 PEM 파일에 액세스해야 합니다. 그런 다음 PEM 파일을 Bluecoat SSL 인증서 목록으로 가져옵니다.

1. Configuration > System Settings(시스템 설정) > System Settings(시스템 설정)로 이동합니다.

2. "서버 정규화된 도메인 이름"을 적절하게 변경합니다. 이것은 PEM의 일반 이름이자 Bluecoat가 요청을 보내는 호스트 이름이 될 것입니다. 따라서 Bluecoat가 지정된 이름을 사용하여 이 호스트에 액세스할 수 있는지 확인해야 합니다.

3. 제출 버튼을 클릭합니다. 새 PEM 파일이 서버에 생성되고 변경 사항을 적용하려면 Apache를 다시 시작해야 합니다. "사이트의 보안 인증서를 신뢰할 수 없습니다"라는 새 경고가 표시될 때까지 F5 키를 눌러 UI를 새로 고칩니다. (예: Chrome을 통해). 이 경고는 PEM이 변경되었음을 나타냅니다.

4. Bluecoat 구성 콘솔로 이동합니다.

1. 아래 설명에 따라 필요한 정보를 입력합니다.

   그림 62: Bluecoat 구성 설정

   • 가용성: 이 설정은 Bluecoat에서 주니퍼 ATP 어플라이언스 URL을 폴링할 수 있는지 여부를 제어합니다.

   • 예외 페이지: URL 목록에 포함되는 문자열로, 악의적인 URL이 요청될 경우 Bluecoat가 미리 정의된 예외 페이지를 표시할 수 있도록 합니다.

   • 캐시 사용 기간: 이 값은 반복적인 공격을 방지하고 주니퍼 ATP 어플라이언스 서버 부하를 줄이기 위해 악성 URL 목록이 캐시되는 기간을 결정하는 데 사용됩니다.

   • 허용된 IP: 비워 두면 주니퍼 ATP 어플라이언스가 누가 목록을 폴링하는지 확인하지 않습니다. 그렇지 않으면 지정된 IP만 폴링할 수 있습니다.

2. PEM 파일 가져오기 버튼을 클릭합니다. 이 버튼을 클릭하면 서버 PEM 키 내용이 표시됩니다. Bluecoat가 주니퍼 ATP 어플라이언스의 자체 서명 인증서를 수락할 수 있도록 이 키를 복사하여 Bluecoat에 붙여넣습니다.

   그림 63: PEM 키 콘텐츠 표시

3. URL 새로 고침 버튼: 이 버튼을 클릭하면 폴링 URL이 (다시)생성됩니다.

4. Bluecoat 측에서 CA 인증서를 가져오려면: Configuration(컨피그레이션) 탭 SSL > CA Certificates(SSL CA 인증서) 섹션으로 이동하고 Import(가져오기) 버튼을 클릭합니다.

5. 고유한 이름을 입력하고 시스템 설정에서 PEM 키를 복사하여 여기에 붙여넣습니다.

   그림 64: Bluecoat 에 복사된 PEM

6. 적용을 클릭합니다.

7. SSL > CA 인증서에서 탭을 CA 인증서 목록으로 전환합니다.

8. "browser-trusted"를 강조 표시하고 편집을 클릭합니다.

9. 새로 생성된 CA 인증서 항목을 왼쪽에서 오른쪽으로 추가한 다음 적용을 클릭합니다.

   그림 65: Bluecoat 구성에 CA 인증서 추가

10. 폴링을 설정하려면 Policy(정책) > Policy Files(정책 파일)로 이동합니다.

11. "Install Central File from:" 섹션에 대해 Install(설치)을 클릭합니다.

12. 주니퍼 ATP 어플라이언스 서버의 URL을 여기에 붙여 넣습니다.

    그림 66: Bluecoat 구성에 주니퍼 ATP 어플라이언스 URL 추가

13. "파일이 성공적으로 다운로드 및 설치되었습니다"라는 메시지가 표시됩니다. "중앙 파일 변경 시 자동으로 새 정책 설치" 확인란을 선택합니다.

14. 마지막 단계는 Bluecoat가 폴링해야 하는 빈도를 구성하는 것입니다.

    이렇게 하면 폴링 사이에 5분 간격이 설정됩니다.

1. 주니퍼 ATP 어플라이언스 중앙 관리자 웹 UI 구성>환경 설정>외부 이벤트 수집기 구성 페이지로 이동합니다.

2. 소스 유형으로 웹 게이트웨이를 선택합니다.

3. 공급업체 이름으로 Bluecoat Secure Web Gateway 를 선택합니다.

4. 전송에서 Splunk 옵션을 선택합니다.

5. 선택적 Splunk 인덱스를 입력합니다. 예: 팬

6. 기본 심각도 설정 선택: 최대 | 높음 | 메드 | 낮음 | 양성

7. Enable(활성화) 또는 Disable(비활성화) 옵션을 선택하여 Create Incident(인시던트 생성)를 구성합니다. Splunk 수집에서 주니퍼 ATP 어플라이언스가 생성한 모든 인시던트는 6단계에서 선택한 심각도 설정에 따라 생성됩니다. 인시던트 생성 설정을 활성화하면 주니퍼 ATP 어플라이언스에서 감지한 이벤트와 상관 관계가 없더라도 타사 이벤트에 대한 인시던트를 직접 생성하고 이메일 경고 알림을 보냅니다.

8. Add(추가)를 클릭하여 Splunk 통합을 수행합니다

다음 절차에 따라 엔드포인트 AV 공급업체 ESET, McAfee ePO 및/또는 Symantec AV에 대한 로그 수집 또는 Splunk 수집을 구성합니다.

• ESET Endpoint AV 로그 수집 구성

• Symantec EP Endpoint AV 로그 수집 구성

• McAfee ePO Endpoint AV Splunk 수집 구성

• Symantec EP Endpoint AV 로그 수집 구성

1. 주니퍼 ATP 어플라이언스 중앙 관리자 웹 UI 구성>환경 설정>외부 이벤트 수집기 구성 페이지로 이동합니다.

2. 소스 유형으로 Endpoint AV를 선택합니다.

3. 공급업체 이름으로 ESET을 선택합니다.

4. 전송의 경우 로그 수집기 옵션을 선택합니다.

5. 로그 소스 식별자를 입력합니다.

6. SSL 설정 선택: 사용 또는 사용 안 함; "사용"을 사용하는 것이 좋습니다.

7. 기본 심각도 설정 선택: 최대 | 높음 | 메드 | 낮음 | 양성

8. Enable(활성화) 또는 Disable(비활성화) 옵션을 선택하여 Create Incident(인시던트 생성)를 구성합니다. Splunk 수집에서 주니퍼 ATP 어플라이언스가 생성한 모든 인시던트는 5단계에서 선택한 심각도 설정에 따라 생성됩니다. 인시던트 생성 설정을 활성화하면 주니퍼 ATP 어플라이언스에서 감지한 이벤트와 상관 관계가 없더라도 타사 이벤트에 대한 인시던트를 직접 생성하고 이메일 경고 알림을 보냅니다.

추가를 클릭하여 ESET Log Collector 구성을 수행합니다.

1. 주니퍼 ATP 어플라이언스 중앙 관리자 웹 UI 구성>환경 설정>외부 이벤트 수집기 구성 페이지로 이동합니다.

2. 소스 유형으로 Endpoint AV를 선택합니다.

3. 공급업체 이름으로 McAfee ePO를 선택합니다.

4. 전송의 경우 로그 수집기 옵션을 선택합니다.

5. 로그 소스 식별자를 입력합니다. 예: MCAFEE-EPO.

6. SSL 설정 선택: 사용 또는 사용 안 함; "사용"을 사용하는 것이 좋습니다.

7. 기본 심각도 설정 선택: 최대 | 높음 | 메드 | 낮음 | 양성

8. Enable(활성화) 또는 Disable(비활성화) 옵션을 선택하여 Create Incident(인시던트 생성)를 구성합니다. Splunk 수집에서 주니퍼 ATP 어플라이언스가 생성한 모든 인시던트는 5단계에서 선택한 심각도 설정에 따라 생성됩니다. 인시던트 생성 설정을 활성화하면 주니퍼 ATP 어플라이언스에서 감지한 이벤트와 상관 관계가 없더라도 타사 이벤트에 대한 인시던트를 직접 생성하고 이메일 경고 알림을 보냅니다.

9. 추가를 클릭하여 McAfee ePO Log Collector 구성을 수행합니다.

1. 주니퍼 ATP 어플라이언스 중앙 관리자 웹 UI 구성>환경 설정>외부 이벤트 수집기 구성 페이지로 이동합니다.

   그림 67: 엔드포인트 AV [ESET:로그 수집기 구성]

2. 소스 유형으로 Endpoint AV를 선택합니다.

3. 공급업체 이름으로 Symantec EP를 선택합니다.

4. 전송의 경우 로그 수집기 옵션을 선택합니다.

5. 로그 소스 식별자를 입력합니다.

6. SSL 설정(사용(Enabled) 또는 사용 안 함(Disabled)을 선택합니다.

7. 기본 심각도 설정 선택: 최대 | 높음 | 메드 | 낮음 | 양성

8. Enable(활성화) 또는 Disable(비활성화) 옵션을 선택하여 Create Incident(인시던트 생성)를 구성합니다. Splunk 수집에서 주니퍼 ATP 어플라이언스가 생성한 모든 인시던트는 5단계에서 선택한 심각도 설정에 따라 생성됩니다. 인시던트 생성 설정을 활성화하면 주니퍼 ATP 어플라이언스에서 감지한 이벤트와 상관 관계가 없더라도 타사 이벤트에 대한 인시던트를 직접 생성하고 이메일 경고 알림을 보냅니다.

9. 추가를 눌러 Symantec EP Log Collector 구성을 수행합니다.

1. 주니퍼 ATP 어플라이언스 중앙 관리자 웹 UI 구성>환경 설정>외부 이벤트 수집기 구성 페이지로 이동합니다.

2. 소스 유형으로 Endpoint AV를 선택합니다.

3. 공급업체 이름으로 McAfee ePO를 선택합니다.

4. 전송에서 Splunk 옵션을 선택합니다.

5. 선택적 Splunk 인덱스를 입력합니다. 예: 팬

6. 기본 심각도 설정 선택: 최대 | 높음 | 메드 | 낮음 | 양성

7. Enable(활성화) 또는 Disable(비활성화) 옵션을 선택하여 Create Incident(인시던트 생성)를 구성합니다. Splunk 수집에서 주니퍼 ATP 어플라이언스가 생성한 모든 인시던트는 5단계에서 선택한 심각도 설정에 따라 생성됩니다. 인시던트 생성 설정을 활성화하면 주니퍼 ATP 어플라이언스에서 감지한 이벤트와 상관 관계가 없더라도 타사 이벤트에 대한 인시던트를 직접 생성하고 이메일 경고 알림을 보냅니다.

8. 추가를 클릭하여 Splunk 통합을 수행합니다.

1. 최신 패치가 적용된 McAfee ePO 버전 5.2를 설치합니다.

2. 최신 Splunk 엔터프라이즈 버전 설치

3. McAfee용 Splunk 애드온을 설치합니다. https://splunkbase.splunk.com/app/1819/

4. DB Connect for Splunk 설치 및 구성:

   • DB Connect Version2.4.0 Add-on을 다운로드하여 설치합니다. 이는 McAfee ePO 데이터베이스에 연결하여 McAfeen ePO 서버 데이터베이스에서 ePO 이벤트를 가져오는 데 필요합니다. https://splunkbase.splunk.com/ 앱/2686/

     참고:

     이 응용 프로그램은 자바 1.8 버전에서 작동합니다; JAVA 1.8에서 Splunk를 실행하려면 ubuntu/windows 버전을 업데이트해야 합니다.

     단계:

   • 데이터베이스용 JDBC 드라이버를 설치합니다. Microsoft SQL Server 섹션을 참조하십시오. http:// docs.splunk.com/Documentation/DBX/2.4.0/DeployDBX/Installdatabasedrivers

     참고:

     / opt/splunk/etc/apps/splunk_app_db_connect/bin/lib 경로 아래에 jdbc 드라이버(sqljdbc4.jar)를 복사합니다.

   • DB Connect를 설치하고 Splunk Enterprise를 다시 시작한 후 DB Connect를 시작하고 Singleserverdeployment#http://docs.splunk.com/Documentation/DBX/2.4.0/DeployDBX/ 초기 설정을 완료합니다Set_up_Splunk_DB_Connect

   • 데이터베이스 ID를 만들고, 데이터베이스 연결을 설정하고, McAfee 용 Splunk Add-on에 대한 새 데이터베이스 입력을 만듭니다.

     참고:

     • db_connections.conf 파일을 수정하여 연결을 만드는 대신 Splunk DB Connect GUI 메서드를 사용하여 데이터베이스 연결을 만듭니다.

     • 실행 빈도 설정에서 3600초에서 1초로 변경하여 매초 epo db에서 데이터를 가져옵니다. http://docs.splunk.com/Documentation/AddOns/released/McAfeeEPO/ ConfigureDBConnectv2inputs

5. ePO 서버에서 위협 이벤트를 생성하고 해당 이벤트 로그를 검색하여 공격을 받은 엔드포인트 IP 주소 또는 멀웨어 이름을 찾습니다. 다음 예제에 표시된 대로:

   

6. 주니퍼 ATP 어플라이언스 웹 UI에 로그인하고 Config>Environmental Settings>External Event Collectors로 이동한 후 Splunk 옵션을 사용하여 새 외부 컬렉터를 추가합니다. 자세한 내용은 주니퍼 ATP 어플라이언스 측 McAfee ePO Endpoint AV Splunk 수집 구성을 참조하십시오.

7. 엔드포인트의 "IP 주소"로 타임라인을 필터링하여 주니퍼 ATP 어플라이언스 이벤트 타임라인 대시보드에서 McAfee ePO 위협 이벤트를 확인합니다.

1. 최신 패치(핫패치 ePolicy Orchestrator(EPO) 5.3.2 HF1185471)가 포함된 McAfee ePO 버전 5.2를 설치했는지 확인합니다.

2. ePO 5.2 UI에 로그인하고 Configuration>Registered Servers(구성등록된 서버) 탭을 통해 syslog 등록 서버를 만듭니다.

   

3. 위 그림과 같이 필요한 모든 세부 정보를 입력하여 새 서버를 만듭니다. 서버 이름으로 주니퍼 ATP 어플라이언스 코어 호스트 이름/IP를 입력하고 TCP 포트 번호로 10514를 입력합니다.

4. 연결 테스트 버튼을 클릭하여 설정이 올바르고 ePO가 syslog 이벤트를 주니퍼 ATP 어플라이언스로 보낼 준비가 되었는지 확인합니다. "Syslog 연결 성공" 메시지는 ePO가 위협 이벤트를 주니퍼 ATP 어플라이언스 코어에 푸시할 준비가 되었고 주니퍼 ATP 어플라이언스 코어가 이벤트를 수락할 준비가 되었음을 나타냅니다.

5. 아래 스크린샷과 같이 엔드포인트의 IP 주소로 타임라인을 필터링하여 주니퍼 ATP 어플라이언스 이벤트 타임라인 대시보드에서 McAfee ePO 위협 이벤트를 확인합니다.

직접 로그 수집 또는 Splunk 수집을 통해 엔드포인트 경고 이벤트 처리에 대한 Carbon Black Response를 구성하려면 다음 절차를 사용합니다.

• Splunk를 통한 Carbon Black 응답 로그 이벤트 구성

• 카본 블랙 응답을 위한 Splunk 측면 구성

• 직접 로그 수집을 통한 Carbon Black Response 구성

• Carbon Black Response - Splunk 통합

• 주니퍼 ATP 어플라이언스의 Carbon Black Response Ingestion Reporting

1. 주니퍼 ATP 어플라이언스 중앙 관리자 웹 UI 구성>환경 설정>외부 이벤트 수집기 구성 페이지로 이동합니다.

2. 공급업체 이름으로 Carbon Black Response를 선택합니다.

3. 전송에서 Splunk 옵션을 선택합니다.

4. 선택적 Splunk 인덱스를 입력합니다. 예: 팬

5. 기본 심각도 설정 선택: 최대 | 높음 | 메드 | 낮음 | 양성

6. Enable(활성화) 또는 Disable(비활성화) 옵션을 선택하여 Create Incident(인시던트 생성)를 구성합니다. Splunk 수집에서 주니퍼 ATP 어플라이언스가 생성한 모든 인시던트는 5단계에서 선택한 심각도 설정에 따라 생성됩니다. 인시던트 생성 설정을 활성화하면 주니퍼 ATP 어플라이언스에서 감지한 이벤트와 상관 관계가 없더라도 타사 이벤트에 대한 인시던트를 직접 생성하고 이메일 경고 알림을 보냅니다.

7. 추가를 클릭하여 Splunk 통합을 수행합니다.

이 섹션에서는 Splunk 구성에 대해 다루지 않습니다. 그러나 주니퍼 ATP 어플라이언스와의 통합을 위해 Splunk 콘솔에서 Splunk를 구성할 때 PAN에 대해 설정해야 하는 몇 가지 항목이 있습니다.

Splunk로 이동합니다.

1. 주니퍼 ATP 어플라이언스 중앙 관리자 웹 UI 구성>환경 설정>외부 이벤트 수집기 구성 페이지로 이동합니다.

   그림 68: 엔드포인트 응답 [Carbon Black 응답: 로그 수집기 구성]

2. 공급업체 이름으로 Carbon Black Response를 선택합니다.

3. 전송의 경우 로그 수집기 옵션을 선택합니다.

4. 입력 포트를 입력합니다.

5. 기본 심각도 설정 선택: 최대 | 높음 | 메드 | 낮음 | 양성

6. Enable(활성화) 또는 Disable(비활성화) 옵션을 선택하여 Create Incident(인시던트 생성)를 구성합니다. 로그 수집에서 주니퍼 ATP 어플라이언스가 생성하는 모든 인시던트는 5단계에서 선택한 심각도 설정에 따라 생성됩니다. 인시던트 생성 설정을 활성화하면 주니퍼 ATP 어플라이언스에서 감지한 이벤트와 상관 관계가 없더라도 타사 이벤트에 대한 인시던트를 직접 생성하고 이메일 경고 알림을 보냅니다.

7. 추가를 클릭하여 로그 수집기 구성을 저장합니다.

다음 정보를 사용하여 다음 중 하나를 사용하여 Carbon Black Response 및 Splunk 통합을 수행합니다.

• Carbon Black Response 직접 로그 수집: JSON 로그의 이벤트 전달자

• Splunk Forwarder를 통한 Carbon Black Response 통합

• 주니퍼 ATP 어플라이언스의 Carbon Black Response Ingestion Reporting

중요: Carbon Black Response 및 Splunk 통합에 대한 몇 가지 공지 사항:

• 주니퍼 ATP 어플라이언스는 Carbon Black 로그와의 상관 관계를 위해 AD(Active Directory) 데이터가 필요합니다.

• AD, Splunk 및 주니퍼 ATP 어플라이언스는 NTP와 동기화되어야 합니다.

• 현재 Carbon Black에서는 주니퍼 ATP 어플라이언스에서 관심 목록 경고 이벤트만 소비합니다.

  • alert.watchlist.hit.ingress.host

  • alert.watchlist.hit.ingress.binary

  • alert.watchlist.hit.ingress.process

  • alert.watchlist.hit.query.binary

  • alert.watchlist.hit.query.process

• 주니퍼 ATP 어플라이언스와 Carbon Black Response 간의 상관 관계는 5분 이내입니다.

• 엔드포인트 호스트 이름은 Carbon Black Response와 주니퍼 ATP 어플라이언스 이벤트의 상관 관계를 파악하는 데 일치하는 유일한 항목입니다.

• Carbon Black Response Event Forwarder를 사용하면 JSON 또는 LEEF 형식으로 로그를 전달할 수 있는 옵션이 있습니다. 주니퍼 ATP 어플라이언스는 현재 Splunk 및 Direct Log 수집 모두에 대해 JSON 형식만 지원합니다.

• Direct Log Ingestion의 경우, 임의의 주니퍼 ATP 어플라이언스 포트로 로그를 전송할 수 있습니다.

• Carbon Black Response 통합과 Carbon Black Direct Log Ingestion의 차이점:

  • Carbon Black Response 통합 중에 주니퍼 ATP 어플라이언스는 주니퍼 ATP 어플라이언스가 감지한 이벤트만 쿼리하여 엔드포인트 실행에 대한 확인을 얻습니다.

  • CB 로그 수집에서는 주니퍼 ATP 어플라이언스의 확인 여부와 관계없이 모든 이벤트를 가져옵니다.

  • CB 이벤트가 CB 로그 수집에서 상관 관계가 있는 경우 EX 진행을 표시하지 않습니다.

1. Carbon Black Response Event Forwarder를 설치합니다.

   https://developer.carbonblack.com/reference/enterprise-response/event-forwarder/

2. Carbon Black Response 이벤트 로그를 TCP 또는 UDP를 통해 서버로 보내려면 아래 표시된 예와 같이 Event Forwarder CONF 파일을 편집합니다.

   에 /etc/cb/integrations/event-forwarder/cb-event-forwarder.conf

   /etc/cb/cb.conf에서 위의 사용자 이름과 비밀번호를 가져 와서 RabbitMQUser & RabbitMQPassword를 검색하고 위 파일에서 값을 복사하십시오.

   에 /etc/cb/integrations/event-forwarder/cb-event-forwarder.conf

   아래 표시된 값을 검색하여 입력합니다.

   TCP 옵션을 선택한 경우, 탭 서버 및 수신 포트를 구성합니다. 현재는 수신할 임의의 포트를 선택할 수 있습니다.

   위에서 udp 옵션을 선택한 경우 탭 서버 및 수신 포트를 구성합니다. 현재 청취 할 임의의 포트를 선택할 수 있습니다.

   그런 다음 아래 명령을 실행하여 이벤트 전달자가 연결된 서버를 나타내는 출력을 받습니다.

   이벤트 전달자를 시작합니다.

1. Carbon Black Response Server에서 Carbon Black Response Event Forwarder를 설치합니다.

   https://developer.carbonblack.com/reference/enterprise-response/event-forwarder/

2. 이 링크에서 관련 바이너리를 다운로드하십시오.

   https://www.splunk.com/en_us/download/universal-forwarder.html

3. Splunk 인스턴스에 Bit9 Carbon Black용 Splunk Addon을 설치합니다. Splunk 공통 정보 모델을 설정합니다.

   https://splunkbase.splunk.com/app/2790/

4. 카본 블랙 응답 이벤트 전달자를 구성하는 단계; 이는 Carbon Black Response 이벤트 로그를 파일에 저장하여 Splunk에 데이터를 전달하는 데 필요합니다.

   에 /etc/cb/integrations/event-forwarder/cb-event-forwarder.conf

   /etc/cb/cb.conf에서 위에 표시된 사용자 이름과 암호를 적용하고, RabbitMQUser 및 RabbitMQPassword를 검색하고, 값을 위의 CONF 파일에 복사합니다.

   에 /etc/cb/integrations/event-forwarder/cb-event-forwarder.conf

   아래 값을 검색하고 입력하십시오.

   위의 outfile은 무엇이든 될 수 있습니다. 이 예제에서 링크는 이벤트 로그를 저장합니다.

   아래 명령을 실행하여 아래와 같은 출력을 얻으십시오.

   이벤트 전달자를 시작합니다.

5. 비트 9 카본 블랙 응답에 대해 Splunk 애드온을 구성합니다.

6. 아래와 같이 Splunk Common Information Model을 설정합니다.

   

7. Splunk 인스턴스에 대한 Receiver를 구성하여 Splunk Forwarder가 데이터를 전달하도록 설정합니다. Splunk > 설정 > 전달 및 수신으로 이동합니다.

   

8. 수신 구성을 클릭합니다.

   

9. 수신 대기할 포트를 구성합니다. 이 예제에서: 포트 6666.

   

10. Carbon Black Response 서버에 Universal Forwarder RPM을 다운로드하고 설치하여 Carbon Black Response 데이터를 Splunk에 전달하도록 Splunk Universal Forwarder를 설정합니다.

    https://www.splunk.com/en_us/download/universal-forwarder.html

    위의 명령에서 10.2.14.219는 splunk 서버이고 6666은 Splunk가 수신하는 3단계에서 구성한 포트입니다.

11. 입력 호스트 파일을 추가합니다. 이 예에서는 Splunk에서 검색할 수 있는 cbtest가 사용됩니다.

    모니터는 1단계에서 구성된 data.json의 디렉터리입니다.

    sourcetype은 Carbon Black Response에서 보내야 하는 데이터를 보여줍니다.

12. Splunk를 시작합니다.

13. forward-server를 확인합니다.

Carbon Black Response 로그 수집은 주니퍼 ATP 어플라이언스 중앙 관리자 웹 UI 인시던트 페이지 및 이벤트 타임라인 대시보드에서 볼 수 있습니다.