Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

사용자 지정 로그 수집

사용자 지정 로그 수집은 주니퍼 ATP(Advanced Threat Prevention) 소프트웨어 릴리스 버전 5.0.4에서 도입되었습니다.

사용자 지정 로그 수집 정보

사용자 지정 로그 수집 개요

사용자 지정 로그 수집 기능을 사용하면 사용자가 제공하는 샘플 로그를 사용하여 ATP 어플라이언스 어플라이언스에서 고유한 로그 파서를 만들 수 있습니다. 이렇게 하면 기존 ATP 어플라이언스 로그 파서에서 지원하지 않는 공급업체의 로그를 사용할 수 있습니다. 샘플 로그의 필드를 ATP 어플라이언스 이벤트 필드에 매핑하여 인시던트를 생성할 이벤트 유형을 나타내는 고유한 사용자 지정 파서를 빌드할 수 있습니다. 수신 로그에 대한 통계를 보고 수집된 로그를 삭제할 수도 있습니다.

로그 파서 구성

다음 절차에 따라 사용자 지정 로그 파서를 만들 수 있습니다.

  1. ATP 어플라이언스 중앙 관리자 웹 UI 구성>환경 설정>사용자 지정 외부 이벤트 수집기 구성 페이지로 이동하고 만들기를 클릭합니다.
  2. Create New Source(새 소스 생성) 페이지에서 다음 정보를 입력합니다.
    • Name(이름) - 로그를 설명하는 고유한 이름을 생성합니다.

    • Description(설명) - 로그 파일에 대한 설명을 입력합니다. (이 필드는 선택 사항입니다.)

    • 유형 - 방화벽, 웹 게이트웨이, 엔드포인트 AV, 엔드포인트 응답 또는 IPS 중에서 로그 유형을 선택합니다.

    필수 필드가 완료되면 다음을 클릭합니다.

    그림 1: 사용자 지정 로그 소스 Configure Custom Log Source 구성
  3. Parse Log File(로그 파일 구문 분석) 페이지에서 다음을 수행합니다.
    • 원시 로그 파일을 찾아 업로드하거나 찾아보기 단추 아래에 제공된 필드에 붙여넣습니다.

      참고:

      로그 파일에는 RFC 호환 syslog 헤더가 포함되어야 합니다.

    • 제공된 선택 사항에서 ATP 어플라이언스에 로그 파일 형식을 알려줍니다. XML, JSON, CSV 또는 기타를 선택할 수 있습니다.

      그림 2: 사용자 지정 로그 파일 Provide Custom Log File 제공

      XML 로그

      다음은 XML 로그의 예입니다.

      JSON 로그

      JSON 로그의 예는 다음과 같습니다.

      CSV 형식

      로그 파일이 CSV 형식인 경우 CSV 헤더 필드에 쉼표로 구분된 필드 이름 목록을 제공할 수 있습니다. CSV 헤더가 제공되지 않으면 필드 이름은 csv[N]으로 지정되며, 여기서 N은 필드 위치입니다.

      CSV 형식의 경우 PAN 로그의 예는 다음과 같습니다.

      기타 - Grok Pattern

      기타를 선택하는 경우 로그 파일에 대한 grok 패턴을 제공해야 합니다. 그로크 패턴은 하나 이상의 선으로 구성될 수 있습니다. "LOGPATTERN"으로 시작하는 grok 패턴 행은 로그에 적용될 패턴입니다. grok 패턴에는 LOGPATTERN이라는 패턴이 포함되어야 하며, 그렇지 않으면 구문 분석기에 사용할 패턴이 없습니다. 예를 들어:

      Grok 패턴의 경우 다음은 Symantec EP 로그의 예입니다.

    다음을 클릭하면 ATP 어플라이언스가 제공된 로그 파일 데이터를 구문 분석하고 유효성을 검사합니다.

  4. 필드 매핑 페이지의 왼쪽에서 로그 파일에서 구문 분석된 필드 옆에 있는 하나 이상의 확인란을 선택합니다. 오른쪽에서는 제공된 옵션에서 필드에 대한 미리 정의된 설명을 선택합니다. 예를 들어 왼쪽에 있는 "interface_ip"라는 필드를 오른쪽에 있는 "엔드포인트 IP"라는 ATP 어플라이언스 필드에 매핑할 수 있습니다.

    확인란이 선택되면 맵 단추를 클릭하여 필드를 연결합니다. 이제 매핑된 필드가 페이지의 다른 섹션에 나타나며, 이 섹션에는 서로 매핑된 모든 필드가 나열됩니다.

    참고:

    필드 매핑 페이지에 대한 다음 세부 정보를 확인합니다.

    • 매핑된 필드 섹션의 원형 화살표를 사용하여 매핑을 실행 취소합니다.

    • Unmapped Fields(매핑되지 않은 필드) 섹션에서 필터 아이콘을 클릭하여 검색할 텍스트를 입력합니다.

    • 왼쪽에서 여러 필드를 선택하고 오른쪽에서 하나의 필드에 매핑할 수 있습니다. 이렇게 하면 "정렬" 아이콘이 나타납니다. 정렬 기능을 사용하여 해당 필드에 유효한 값이 포함되어 있는지 여부에 따라 여러 필드가 적용되는 순서를 선택할 수 있습니다.

    • "카운터" 확인란을 선택하여 필드가 나타나는 횟수를 계산합니다. 그런 다음 파서가 완료되면 구성할 External Event Collector 페이지에서 이 카운터의 결과를 볼 수 있습니다.

      계산할 필드를 선택할 때는 IP 주소와 같은 항목이 로그 파일에 유비쿼터스하고 확장할 수 없으므로 선택하지 않는 것이 좋습니다.

    모든 필드가 매핑되면 다음을 클릭합니다.

    그림 3: 로그 파일 필드 Map Log File Fields 매핑
  5. 로그 파일이 RFC 3164 또는 RFC 5424에 지정된 표준 시간을 사용하는 경우 날짜 및 시간 페이지에 텍스트를 입력할 필요가 없습니다. 이러한 헤더는 자동으로 구문 분석됩니다. 타임스탬프를 구문 분석할 수 없는 경우 ATP 어플라이언스가 로그 파일의 날짜와 시간을 이벤트 시작 시간으로 해석할 수 있도록 Ruby strftime을 사용하여 형식 문자열을 제공합니다.

    날짜 및 시간 형식에 대한 추가 정보:

  6. 로그 필터링 페이지에서 어떤 로그를 보관하고 어떤 로그를 무시할 수 있는지 결정할 때 ATP 어플라이언스에 어떤 이벤트가 악의적이고 어떤 이벤트가 악의적이지 않은지 알려주는 필터를 만들 수 있습니다. 이렇게 하면 "시끄러운" 로그가 제거되고 특별히 관심이 없는 로그가 제거되고 악의적인 이벤트와 관련된 로그가 유지됩니다.

    이러한 필터를 사용하여 입력한 문자열에 대해 "정확히 일치" 필터 또는 "포함"을 선택할 수 있습니다.

    추가 버튼을 클릭하고 다음과 같이 필터링 조건을 구성합니다.

    • 풀다운 목록에서 로그 파일 필드를 선택합니다.

    • 일치 또는 포함을 선택합니다. 일치를 선택하는 경우 제공된 문자열이 선택한 필드와 정확히 일치해야 합니다. 포함을 선택하는 경우 제공된 문자열이 선택한 필드 내에 부분 문자열로 나타나야 합니다.

    • 편집 필드에 로그 파일 필터링을 위한 문자열을 입력하고 추가를 클릭합니다.

    확인을 클릭하면 조건이 필터에 추가됩니다. 여러 필터를 추가할 수 있습니다. "or" 조건이 필터 목록에 적용되므로 필터 순서는 중요하지 않습니다.

    참고:

    확인란을 선택하고 삭제 버튼을 클릭하여 필터를 제거합니다.

    그림 4: 로그 필터 Create Log Filter 만들기
  7. Severity Assignment(심각도 할당) 페이지에서 구성한 필터링 매개 변수를 기반으로 이벤트에 심각도 수준을 할당합니다.

    추가 버튼을 클릭하고 다음과 같이 조건을 설정합니다.

    • 심각도 수준을 선택합니다. 옵션은 [양성], [낮음], [중간], [높음] 및 [위험]입니다.

    • 풀다운 목록에서 필드를 선택하여 해당 필드의 심각도 수준을 설정합니다.

    • 일치 또는 포함을 선택합니다. 일치를 선택하는 경우 제공된 문자열이 선택한 필드와 정확히 일치해야 합니다. 포함을 선택하는 경우 제공된 문자열이 선택한 필드 내에 부분 문자열로 나타나야 합니다.

    • 편집 필드에 로그 파일 필터링을 위한 문자열을 입력하고 추가를 클릭합니다.

      예를 들어 작업을 마치면 필드 "threat_name"에 "애드웨어" = 심각도 낮음이 포함되지만 "threat_name" 필드에 "바이러스" 포함 = 심각도 높음으로 설정되어 있을 수 있습니다.

    확인을 클릭하면 심각도 수준 설정이 추가됩니다.

    참고:

    기본 페이지의 목록 보기에서 심각도 수준 설정을 끌어다 놓아 순서를 변경할 수 있습니다. 심각도 할당에서는 순서가 중요합니다. 첫 번째 일치는 심각도를 할당하는 일치입니다.

    그림 5: 이벤트 심각도 Configure Event Severity 구성
    그림 6: 심각도 할당 기본 페이지 Severity Assignment Main Page
  8. Finish(마침)를 클릭하면 제공된 샘플 로그에 적용되는 사용자 지정 구문 분석기의 결과가 표시됩니다. 이를 주의 깊게 검토하여 매핑, 필터링 및 심각도 할당이 예상과 같은지 확인하십시오.

사용자 지정 로그 파서 구성을 완료하면 만든 필터가 결합되어 구성한 기준에 따라 위협 수준 설정으로 지정한 로그만 저장됩니다.

Log Parser 사용Use the Log Parser

사용자 지정 로그 파서를 구성한 후 ATP 어플라이언스 이벤트 수집기에 적용해야 합니다.

  1. ATP 어플라이언스 중앙 관리자 웹 UI 구성>환경 설정>외부 이벤트 수집기 구성 페이지로 이동하고 타사 소스 추가를 클릭합니다.
  2. 소스 유형을 선택합니다. 사용자 지정 로그 파서를 구성할 때 선택한 것과 동일한 유형(방화벽, 웹 게이트웨이, 엔드포인트 AV 또는 엔드포인트 응답)을 선택해야 합니다.
  3. Vendor Type(공급업체 유형) 필드에 사용자가 만든 사용자 지정 로그 파서의 이름이 표시되어야 합니다. 그것을 선택하십시오.
  4. 로그 수집기를 선택하고 사용자 지정 로그가 시작된 시스템의 호스트 이름을 입력합니다.
  5. 기본 심각도를 포함하여 나머지 매개 변수를 여기에서 구성합니다. 사용자 지정 로그 파서가 설정한 심각도와 일치하지 않으면 여기의 기본 심각도가 대신 사용됩니다.
  6. 인시던트 만들기에서 사용자 지정 파서 필터링을 통과하는 이벤트가 인시던트를 만들지 여부를 선택할 수 있습니다. 이 설정에 관계없이 이벤트는 이벤트 타임라인에 표시되며 거의 동시에 동일한 엔드포인트에서 발생하는 악의적인 이벤트에 대한 컨텍스트를 제공합니다. 사용 필드를 선택하면 이러한 이벤트는 인시던트 탭에 표시되는 인시던트도 만듭니다.
  7. 완료되면 Add(추가)를 클릭합니다.
    그림 7: 외부 이벤트 수집기 추가Figure 7: Add External Event Collector Add External Event Collector

사용자 지정 로그 통계

사용자 정의 로그에 대한 외부 이벤트 콜렉터가 작성되면 해당 로그 소스에 대한 외부 이벤트 콜렉터 페이지에 카운터가 표시됩니다. 카운터에 표시되는 정보는 5분, 1시간, 1일, 1주 간격 동안 수집된 로그 수와 사용자 지정 로그 파서를 만들 때 선택한 필드별로 분류된 총 개수입니다.

로그 통계에는 다음이 포함될 수 있습니다.

  • 들어오는 모든 로그: 집계(수명), 지난 5분, 최근 1시간, 최근 24시간 및 지난 7일

  • 생성된 모든 이벤트: 집계(수명), 지난 5분, 최근 1시간, 최근 24시간 및 지난 7일

  • 구문 분석된 필드 수(계산을 위해 선택한 사용자): 들어오는 로그에서 표시되는 각 값이 집계(수명)에서 발생한 횟수(지난 주, 마지막 날, 마지막 시간 및 지난 5분)와 함께 표시됩니다.

External Event Collector(외부 이벤트 수집기) 페이지에서 Counters(카운터) 링크를 클릭하여 로그 통계를 확인합니다.

그림 8: 외부 이벤트 수집기 - 카운터 External Event Collector - Counter