시작

주니퍼 ATP 어플라이언스 웹 UI는 다음 화면 해상도 사용을 지원합니다.

구성 마법사를 시작하려면 CLI 명령 마법사를 입력합니다.

• CLI 프롬프트에서 사용자 이름과 비밀번호를 입력합니다. 기본적으로 관리자 사용자 이름은 admin이고 암호는 1JATP234입니다.

  초기 설정 후 관리자 계정의 기본 암호를 변경해야 합니다. 비밀번호 길이는 8자 이상이어야 합니다.

• yes를 입력하여 프롬프트 메시지가 표시되면 구성 마법사를 사용한 다음 아래와 같이 응답합니다.

• 모든 질문에 대답한 후 마법사가 대답을 요약합니다. 답변을 변경하려면 단계 번호를 입력합니다. 변경 사항을 저장하고 종료하려면 <enter>를 누릅니다.

• 구성을 변경하기 위해 구성 마법사로 돌아가려면 다음 CLI 명령을 사용합니다.

• 명령 구문 및 사용법은 주니퍼 ATP 어플라이언스 CLI 명령 참조를 참조하십시오.

이 섹션에서는 어플라이언스 웹 UI를 탐색하는 방법과 해당 탭에 대해 설명합니다.

• CM 탐색 Web UI

• 탭 요약

어플라이언스 웹 UI를 탐색하려면:

• 탭을 사용하여 웹 UI의 기본 페이지에 액세스할 수 있습니다.

• 탭 아래의 경로 링크 또는 구성 탭 아래의 왼쪽 패널 링크와 같은 링크를 사용하여 링크된 다른 페이지로 이동합니다.

그림 2: 주니퍼 ATP 어플라이언스 Central Manager 웹 UI 탐색

• 초기 보기를 설정하려면 드롭다운에서 주니퍼 ATP 어플라이언스 대시보드 또는 인시던트 탭에 탐지 결과 및 멀웨어 분석 세부 정보가 표시되는 기간을 선택합니다. 모든 그래프와 표 형식 표시는 기간 선택 컨트롤에 의해 동기화됩니다. 사용 가능한 기간 옵션은 다음과 같습니다.

  • 24시간(매시간)

  • 1주일(매주)

  • 1개월(월간)

  • 3개월(분기별)

  • 1년(연간)

• 인시던트 테이블에 표시할 결과 유형을 선택합니다. 위협 표시 | 의심스러운 표시 | 양성 표시.

• 인시던트 테이블 검색을 수행하여 검색 필드에 검색 기준을 입력합니다. SHA1, MD5 합계, 수집기 이름, 위협 이름, 위협 소스 등을 검색할 수 있습니다.

• 예를 들어 인시던트 탭에서 테이블 열의 맨 위에 있는 머리글을 클릭하여 해당 열을 기준으로 테이블을 정렬합니다. 다시 클릭하면 정렬 순서가 내림차순에서 오름차순으로 변경됩니다.

  

• 인시던트 테이블의 행을 클릭하면 아래 왼쪽 패널 요약 테이블에 위협에 대한 일반화된 정보가 표시됩니다. Summary(요약) 탭 아래의 탭 하위 집합을 차례로 클릭하여 이벤트 세부 정보를 확인합니다. 그리고 화살표를 클릭하여 행을 확장하여 자세한 내용을 볼 수 있습니다.

• Config(구성) 페이지의 왼쪽 패널 메뉴 옵션을 사용하여 Notifications(알림), System Settings(시스템 설정) 및 Environmental Settings(환경 설정)에 대한 구성 창을 엽니다.

• 구성 페이지에서 제공된 필드에 정보를 입력합니다.

주니퍼 ATP 어플라이언스 Central Manager 웹 UI

각 웹 UI 탭의 목적은 다음과 같이 설명됩니다.

• Dashboard- 기기 상태 정보와 감지된 위협 및 인시던트 추세를 표시합니다. Operations Dashboard 및 Research Dashboard의 컨텍스트별 위협 보기는 구성에 따라 기업에 가장 큰 영향을 미치는 위협의 우선 순위를 지정합니다. 시스템 대시보드 및 컬렉터 대시보드(웹 및 이메일)는 시스템 및 컬렉터 상태 및 추세에 대한 정보를 제공합니다. 이벤트 타임라인 대시보드에는 해당 벤더 및 엔드포인트 IP, 호스트 이름, 사용자 이름 또는 이메일에 대한 이벤트별 ATA(Advanced Threat Analytics) 데이터가 표시됩니다.

• Incidents- 네트워크의 다양한 킬 체인 단계에서 악의적이거나 의심스러운 다운로드 또는 감염에 대한 세부 정보 수준을 표시합니다. 자세한 내용은 인시던트 페이지 탐색을 참조하십시오.

• File Uploads- 악성 또는 무해한 모든 파일 업로드 악성코드 분석 결과에 대한 자세한 정보를 한 웹 UI 위치에서 제공합니다. Central Manager 웹 UI의 파일 업로드 처리 기능에는 새 파일 업로드 탭의 업로드가 포함됩니다. 향상된 파일 업로드 API는 Carbon Black Response와 같은 타사 통합에 대한 추가 메타데이터를 허용하여 인시던트와의 원활한 통합을 제공합니다. 자세한 내용은 분석을 위해 악성코드 파일 제출을 참조하십시오.

• Mitigation- 자동 완화, 게이트웨이 또는 IPS/차세대 방화벽에서 콜백 차단, 대상 엔드포인트에서 감염 확인을 위한 주니퍼 ATP 어플라이언스 IVP(Infection Verification Package) 또는 Carbon Black Response 통합 구축 등 탐지된 특정 위협에 대한 완화 옵션을 제시합니다. 자세한 내용은 방화벽 자동 완화 구성을 참조하십시오.

• Reports- 통합되고 상세한 요약 보고서 또는 시스템 감사 보고서를 생성하거나 스케줄링할 수 있습니다. 자세한 내용은 보고서 생성 을 참조하십시오

• Custom Rules- Juniper ATP Appliance Central Manager 웹 UI Custom Rules(사용자 지정 규칙) 탭에 사용자 지정 Snort 규칙 일치를 표시합니다. 상관 관계가 있는 Snort 규칙 일치는 인시던트 탭에서 사용할 수 있습니다. 시스템에 규칙을 추가하는 방법에 대한 정보는 사용자 정의 SNORT 규칙 구성을 참조하십시오.

• Config- 어플라이언스 및 소프트웨어 시스템 설정을 구성하고 분석, 알림 및 완화 설정을 구성할 수 있습니다.

• 새로 고침 - CM 브라우저 디스플레이의 새로 고침을 수행합니다. 항상 소프트웨어 또는 보안 콘텐츠를 업데이트한 후에는 새로 고침을 수행하십시오.

• System Health- 주니퍼 ATP 어플라이언스 정적 및 동적 폭발 엔진과 분석 시스템에 대한 상태 표시기 점검 사항을 표시합니다. 모든 표시등에는 시스템 상태가 양호함을 나타내는 녹색 확인 표시가 표시되어야 합니다. 빨간색 표시기가 표시되면 문제 해결 작업이 필요합니다.

비헤이비어 엔진		코어 폭발 엔진
정적 엔진		정적 해석(Static Analysis)
상관		이벤트 상관분석 엔진
웹 컬렉터		사용 가능한 Web Collector의 연결 상태
보조 코어		구성된 보조 코어의 연결 상태(Mac OSX)

• Log Out- 현재 Central Manager 웹 UI 사용자에서 로그아웃을 수행합니다.

이 섹션에서는 세 가지 주니퍼 ATP 어플라이언스 Advanced Threat Protection 구축 시나리오에 대해 설명합니다.

• 엔터프라이즈 본사에 주니퍼 ATP 어플라이언스 구축

• 분산 및/또는 클러스터링된 엔터프라이즈 환경에서의 주니퍼 ATP 어플라이언스 방어

• 주니퍼 ATP 어플라이언스 분산 SaaS/OVA 또는 가상 구축

이 시나리오(아래 그림 5 참조)에서는 Core|CM 시스템은 광범위한 트래픽 커버리지 및 서비스 통합을 위해 3개의 물리적 Traffic Collector가 배치된 엔터프라이즈 본사에 설치됩니다.

• 데이터센터 커버리지를 위한 컬렉터 1 포지셔닝

• 웹 트래픽 커버리지에 적합한 컬렉터 2

• 커버리지 및 완화/차단을 위해 방화벽에 배치된 수집기 3

이 구축 시나리오에서 Traffic Collector는 네트워크 커버리지를 제공하고 기존 인프라와 통합하며, Core|CM은 방화벽에서 위험 인식 완화 및 차단을 수행하는 동시에 웹 및 이메일 인시던트 탐지를 제공합니다.

그림 3: 엔터프라이즈 본사 구축 시 주니퍼 ATP 어플라이언스 방어

분산된 기업에는 분산 위협 방어 시나리오가 필요합니다(아래 그림 참조). 이 시나리오에서는 다양한 물리적 및 가상 컬렉터가 지사에 원격으로 구축되어 지속적인 검사와 확장된 네트워크 가시성을 제공합니다.

그림 4: 분산된 엔터프라이즈 환경에서의 주니퍼 ATP 어플라이언스 방어

트래픽 분석은 분산된 컬렉터에서 수행되고 객체는 코어|CM, 기업 본사에 구축되어 네트워크 객체가 최종 위협 평가 및 완화를 위해 다중 OS 폭발 챔버 실행을 거치게 됩니다.

또는 코어|이 분산 배포의 CM은 OVA VM 또는 SaaS 배포로도 구성할 수 있습니다. 또한 보조 주니퍼 ATP 어플라이언스 코어를 퍼블릭 또는 프라이빗 엔터프라이즈 클라우드에 구축할 수도 있습니다.

분산형 SaaS/OVA 구축에서 Traffic Collector는 Core|본사의 CM 및 클라우드에 VM OVA로 설치된 Collector를 통해 모든 컨텐츠를 검사 및 분석하고 PAN 또는 SRX 방화벽 등과 같은 구성된 실행 서버에서 완화 조치를 트리거합니다.

그림 5: 주니퍼 ATP 어플라이언스 분산 SaaS/OVA 구축

탭은 방해받지 않는 트래픽 흐름을 허용하는 동시에 전이중 링크의 모든 트래픽을 복사하고 개체 분석을 위해 해당 정보를 주니퍼 ATP 어플라이언스 컬렉터로 전송하는 디바이스입니다. 탭 모드는 외부 광섬유 탭(GBIC 포트용) 또는 내장 내부 탭(10/100/1000 모니터링 포트용)을 사용합니다. 탭 모드에서 주니퍼 ATP 어플라이언스 컬렉터는 전이중 네트워크 세그먼트를 통과할 때 패킷 정보를 모니터링합니다. SPAN 모드와 마찬가지로 탭 모드는 수동적입니다.

네트워크 탭을 사용하여 네트워크 세그먼트의 네트워크 트래픽 사본을 주니퍼 ATP 어플라이언스 수집기의 eth1 네트워크 모니터링 포트로 보냅니다. 수돗물은 교통을 방해하지 않으며 차단되면 교통이 방해받지 않고 통과할 수 있습니다.

스위치의 SPAN(Switch Port Analyzer) 포트는 보안 모니터링을 위해 설계되었습니다. 이를 통해 연결된 주니퍼 ATP 어플라이언스는 스위치를 통해 들어오고 나가는 모든 트래픽에서 모든 패킷의 사본을 수신할 수 있습니다. 이것이 포트 포워딩 또는 포트 미러링입니다. 패시브 비침입 패킷 캡처 방법.

선택한 포트 사이를 통과하는 수신 및 발신 트래픽의 복사본을 스위치의 SPAN 포트로 전달하도록 포트 미러링 기능이 있는 스위치를 구성합니다. 그런 다음 SPAN 포트를 주니퍼 ATP 어플라이언스(eth1로 표시)에 연결합니다.

선택한 포트 사이를 통과하는 수신 및 발신 트래픽의 사본을 스위치의 SPAN 포트로 전달하도록 포트 미러링 기능이 있는 스위치를 구성하여 주니퍼 ATP 어플라이언스를 SPAN 모드로 구성할 수 있습니다. 그런 다음 SPAN 포트를 컬렉터(포트 eth1)에 연결합니다.

주니퍼 ATP 어플라이언스 트래픽 수집기는 모든 네트워크 트래픽에서 멀웨어 개체를 지속적으로 모니터링하고 검사합니다. Windows 또는 Mac 검색 엔진에 배포하기 위해 개체를 추출하고 코어로 보냅니다.

Windows 트래픽의 경우 엔터프라이즈 전자 메일 메시지의 복사본(업무 일지)을 기록한 다음 주기적으로 Exchange Server의 업무 일지 사서함으로 보내도록 Microsoft Exchange Server 저널링을 구성할 수 있습니다.

Exchange Server 2010은 봉투 저널링만 지원하도록 구성할 수 있습니다. 즉, 각 전자 메일 메시지 본문과 해당 전송 정보의 복사본이 만들어집니다. 전송 정보는 기본적으로 이메일 발신자와 모든 수신자를 포함하는 봉투입니다.

주니퍼 ATP 어플라이언스 이메일 컬렉터는 Exchange Server에서 저널 항목을 폴링하고 예약에 따라 저널 계정의 모든 이메일을 Exchange 서버에서 컬렉터로 가져옵니다. 이메일 컬렉터는 초기 트래픽 분석 및 이메일 첨부 파일 모니터링/검사를 위해 저널링을 사용합니다. 모든 이메일 트래픽(및 이메일 첨부 파일)은 Windows 또는 Mac OS X 탐지 엔진에서 폭발을 위해 이메일 수집기에서 주니퍼 ATP 어플라이언스 코어로 전송됩니다.

이메일 기반 멀웨어 또는 악성 이메일 첨부 파일이 탐지되면 주니퍼 ATP 어플라이언스 중앙 관리자가 저널 항목을 분석 결과에 통합하고 주니퍼 ATP 어플라이언스 관리자에게 알림으로 전송하며, 해당 완화 및/또는 감염 확인 작업이 Central Manager 웹 UI에 자세히 설명되어 있습니다.

이메일 컬렉터 저널링을 설정하려면 다음 절차를 따르십시오.

• Exchange Server에서 저널링 사서함 만들기 (다음 섹션)

• Microsoft Exchange Server 2013 저널링 구성

• 웹 UI에서 Exchange-Server 저널 폴링 구성

• Office 365 저널링 구성

• Gmail 저널링 구성

• Gmail 위협 완화 구성

1. Microsoft Exchange 관리 콘솔을 시작합니다.

2. 받는 사람 구성 노드를 확장하고 사서함 노드를 클릭합니다. 새 사서함... 작업 창에서.

3. 새 사서함... 작업 창에서.

4. 사용자 사서함 옵션을 선택하고 다음을 클릭합니다.

5. 새 사용자 옵션을 선택하고 다음을 클릭합니다.

6. 새 사용자 사서함 세부 정보

7. 새 저널링 사서함이 할당될 Collector에 대한 '사용자 정보' 세부 정보를 입력하고 다음을 클릭합니다.

8. 저널링 사서함의 '별칭'을 입력하고 다음을 클릭합니다.

9. Next(다음)를 다시 클릭하고 만들 새 사서함에 대한 새 사서함 요약을 검토한 다음 New(새로 만들기)를 클릭합니다.

10. 이제 저널링 사서함이 만들어졌으므로 사서함 데이터베이스를 구성하여 표준 저널링을 구성합니다.

• Microsoft Exchange 관리 콘솔>서버 구성에서 사서함 데이터베이스를 클릭합니다.

• Toolbox Actions of Selected Mailbox Database(선택한 사서함 데이터베이스의 도구 상자 작업)에서 Properties(속성)를 클릭합니다.

• 사서함 데이터베이스 속성 페이지에서 일반 탭으로 이동하여 업무 일지 받는 사람 확인란을 선택하지만 확인란을 선택하기 전에 먼저 찾아보기를 클릭하고 사서함 데이터베이스에서 모든 메시지를 가져올 사서함을 선택합니다. Journal Recipient(업무 일지 수신자)를 확인한 후 OK(확인)를 클릭하여 완료합니다.

1. 다음에서 MS Exchange Server 관리 센터에 로그인합니다. https://exchnageserverip/ecp/

2. 송신 커넥터 탭을 선택합니다.

   그림 6: Exchange 관리 센터

3. 메일 흐름>>송신 커넥터로 이동하고 송신 커넥터 설정을 입력합니다.

   그림 7: 송신 커넥터 설정

4. 커넥터 설정을 저장합니다.

5. 준수 관리>>저널 규칙으로 이동하여 저널 규칙을 구성하십시오.

6. "Send Journal Reports To" 필드에 사서함 이름과 IP 주소를 입력합니다.

   메모:

   이 메일함은 주니퍼 ATP 어플라이언스 이메일 수집기 구성>시스템 프로필>이메일 수집기 웹 UI 페이지에 구성된 사서함 이름과 일치해야 합니다.

   그림 8: 저널 규칙 설정

이메일 컬렉터 구성에 대한 자세한 내용은 이메일 컬렉터 구성을 참조하십시오.

1. 주니퍼 ATP 어플라이언스 Central Manager Config>Email규정 준수 관리>>저널 규칙 컬렉터 페이지로 이동하여 새 이메일 컬렉터 추가 버튼을 클릭하거나 현재 이메일 컬렉터 테이블에 나열된 기존 컬렉터에 대해 편집을 클릭합니다.

2. 표시된 구성 필드에서 전자 메일 서버 [IP], 프로토콜, SSL, 사서함 이름, 암호, 폴링 간격(분), 서버에 메일 유지 및 사용과 같은 전자 메일 저널링 설정을 입력하고 선택합니다. [다음 그림 참조].

주니퍼 ATP 어플라이언스 이메일 완화를 위한 Office 365 저널링을 설정하려면 다음을 수행합니다.

1. Microsoft Office 365 관리 센터에 로그인합니다.

2. Office 365 관리 센터에서 관리 센터 > Exchange를 선택합니다.

   그림 9: Microsoft Office 365 관리 센터 로 이동
   그림 10: Microsoft Office 365 관리 센터

3. 준수 관리 > 저널 규칙을 선택하십시오.

   • + 기호를 클릭하여 새 저널 규칙을 추가합니다.

   • 새 저널 규칙 양식 필드를 완료합니다.

다음 절차에 따라 Gmail용 이메일 저널링을 구성합니다.

1. https://admin.google.com/AdminHome 에서 Google 관리 홈 사이트로 이동합니다.

2. Google 관리 콘솔 대시보드에서 Apps->G Suite->Gmail->Advanced 설정으로 이동합니다.

   메모:

   고급 설정을 보려면 Gmail 페이지 하단으로 스크롤합니다.

3. 규정 준수 섹션으로 이동하고 다른 규정 준수 규칙 추가를 클릭하여 주니퍼 ATP 어플라이언스 MTA로 딜리버리를 설정합니다.

   그림 11: Google Gmail 관리 홈 저널링 설정

4. 아래 샘플 스크린샷에 표시된 대로 옵션을 선택합니다(설정 1 및 2).

   그림 12: 주니퍼 ATP 어플라이언스 MTA 에 필요한 저널링 기준

5. 수신자 정보(주니퍼 ATP 어플라이언스 MT)를 추가해야 합니다. 예: JATP_mta@FQDN 또는 JATP_mta@ip.

   그림 13: 주니퍼 ATP 어플라이언스 MTA를 Gmail 수신자로 설정: JATP_mta@FQDN

Google Apps 도메인을 사용하는 엔터프라이즈 환경의 경우 Google Apps 도메인 관리자는 Google Apps 도메인의 사용자를 대신하여 애플리케이션이 사용자 데이터에 액세스하도록 승인할 수 있습니다. 도메인의 사용자를 대신하여 데이터에 액세스할 수 있도록 서비스 계정에 권한을 부여하는 것을 서비스 계정에 '도메인 전체 권한 위임'이라고도 합니다.

Gmail API 서비스 계정에 도메인 전체 권한을 위임하려면 먼저 Google API 서비스 계정 페이지에서 기존 서비스 계정에 도메인 전체 위임을 사용 설정하거나 도메인 전체 위임이 사용 설정된 새 서비스 계정을 만듭니다.

새 Gmail 서비스 계정을 만드는 방법은 다음과 같습니다.

1. Google API 서비스 계정 페이지로 이동합니다.

2. 왼쪽 상단의 프로젝트(Project) 드롭다운 메뉴에서 기존 프로젝트(Project) 또는 새 프로젝트 만들기(Create A New Project)를 선택합니다.

   그림 14: Google API 서비스 계정 페이지로 이동
   그림 15: 새 Google API 서비스 계정 만들기

3. 그런 다음 Google Apps 도메인의 관리 콘솔로 이동합니다.

4. 컨트롤 목록에서 보안을 선택합니다. Security(보안)가 나열되지 않은 경우 페이지 하단의 회색 막대에서 More controls(추가 컨트롤)를 선택한 다음 해당 컨트롤 목록에서 Security(보안)를 선택합니다. 사용할 수 있는 컨트롤이 없는 경우 도메인의 관리자로 로그인해야 합니다.

5. 옵션 목록에서 Show More(더 보기)를 선택한 다음 Advanced Settings(고급 설정)를 선택합니다.

6. Authentication(인증) 섹션에서 Manage API Client Access(API 클라이언트 액세스 관리)를 선택합니다.

7. 클라이언트 이름 입력란에 서비스 계정의 클라이언트 ID를 입력합니다. 서비스 계정 페이지에서 서비스 계정의 클라이언트 ID를 찾을 수 있습니다.

8. One or More API Scopes(하나 이상의 API 범위) 필드에 애플리케이션에 액세스 권한을 부여해야 하는 범위 목록을 입력합니다. 예를 들어 애플리케이션에서 GMAIL API에 대한 도메인 전체 액세스 권한이 필요한 경우 https:// mail.google.com/ 를 입력합니다.

   그림 16: Google API 대시보드 액세스
   

9. Authorize(권한 부여)를 클릭합니다.

   메모:

   Admin Console로 이동하고 관련 프로젝트에 대한 API Manager 아래의 대시보드에서 "API 사용"을 클릭하여 GMAIL API를 활성화해야 합니다. GMAIL API를 선택하고 사용을 클릭합니다.

이 섹션에서는 대시보드(Dashboard) 탭의 대시보드 컴포넌트(Dashboard) 탭(운영, 연구, 시스템, 컬렉터 대시보드 탭)에 대해 설명하고 다양한 뷰와 조정 가능한 통계 및 디스플레이와 상호 작용하는 방법에 대해 설명합니다.

표 6: 주니퍼 ATP 어플라이언스 대시보드 그래픽 구성 요소

Operations Filter	드롭다운 메뉴에서 사용 가능한 필터 중 하나를 선택하여 위협 요소 보기 결과 필터링: 모두 | 신규만 | Ack'd & 진행 중 | 완성하다	드롭다운 메뉴에서 선택합니다.
Time Period (운영 대시보드, 리서치 대시보드, 시스템 대시보드, 컬렉터 대시보드, 이벤트 타임라인)	모든 대시보드 그래프는 테이블 맨 위에 있는 드롭다운 메뉴에서 선택한 기간별로 동기화됩니다. 기간 옵션은 다음과 같습니다. 지난 24시간 지난주 지난달 지난 3개월 작년	드롭다운 메뉴에서 선택합니다.
Reset Charts (Malware 대시보드 및 시스템 대시보드 모두)	대시보드의 모든 그래프를 선택한 기간 동안 원래 상태로 재설정합니다.	마우스 클릭
Infected Hosts (운영 대시보드)	이 거품형 차트는 위협 보기의 핵심이며 지정된 기간 동안 감염된 모든 호스트를 나타냅니다. 하나의 버블은 감염된 호스트 하나를 나타냅니다. 차트의 x축은 기간을 나타냅니다. y축은 결정된 감염 중증도를 나타냅니다. 거품의 색상은 다음 스펙트럼을 따라 호스트에서 발견된 맬웨어의 계층화된 심각도를 나타냅니다. 높음(빨간색), 중간(주황색), 낮음(노란색) 거품의 크기는 호스트에서 발견된 맬웨어의 총 수를 나타냅니다.	거품 "호스트" 위로 마우스 가리키기 감염된 호스트의 IP 주소 및 이름, 해당 호스트에서 발견된 악성코드의 총 개수를 다음과 같은 형식으로 표시합니다. "IP/이름(X 위협)" 풍선 "호스트" 위로 마우스 클릭 버블이 강조 표시되고 악성코드 대상, 킬 체인, 인시던트 요약 및 트리거에 대한 데이터를 포함한 호스트 세부 정보 데이터가 표시됩니다. 또한 맬웨어 추세 차트는 선택한 호스트가 손상된 시점을 표시하도록 조정됩니다. 또한 상위 감염된 엔드포인트 맬웨어 데이터가 표시됩니다. 거품을 두 번 클릭하여 인시던트 탭을 열어 추가 세부 정보 및 완화 옵션을 확인합니다.
Host Details (운영 대시보드)	위협 보기 버블 그래프에서 개별 버블을 선택하면 멀웨어 대상, 킬 체인 단계 진행, 인시던트 요약 및 트리거에 대한 데이터를 포함하여 해당 호스트에 대한 호스트 세부 정보 데이터가 표시됩니다. 킬 체인 진행에는 더 많은 대화형 데이터가 포함되어 있습니다.	마우스 클릭: 킬 체인 스테이지 진행에서 강조 표시된 파란색 결과를 클릭하면 자세한 정보가 표시됩니다. 킬 체인 진행 버블을 클릭하면 특정 익스플로잇, 다운로드, 실행, 감염 및/또는 피싱에 대한 데이터가 표시되는 인시던트 페이지가 열립니다.
Malware Trend (운영 대시보드)	지정된 시간 프레임의 특정 맬웨어에 대한 맬웨어 추세를 표시합니다.	Threat View(위협 보기) 거품 그래프에서 거품을 선택하여 Trend Malware(트렌드 멀웨어) 타임라인을 조정합니다.
Total Malware Found (리서치 대시보드)	맬웨어 심각도 백분율을 높음(빨간색), 중간(주황색) 및 낮음(노란색)으로 표시하는 원형 차트	상호 작용 없음
Top Malware Countries (리서치 대시보드)	전 세계에서 현재 탐지된 맬웨어의 발생률을 보여주는 지리적 그래프입니다.	인시던트 세부 정보 페이지를 엽니다.
Top Compromised Endpoints (운영 대시보드)	손상된 엔드포인트별 상태, 위험, 호스트 및 위협을 표시합니다..	상호 작용 없음
Top Malware (리서치 대시보드)	선택한 기간 동안 맬웨어 이름별로 상위 맬웨어 인시던트 집합을 나열합니다. x축은 감염 수를 나타냅니다. Y축은 악성코드 이름입니다.	마우스 클릭: Top Malware(상위 악성코드) 그래프에서 악성코드 이름을 강조 표시하여 엔드포인트 호스트별로 해당 악성코드에 대한 위협 진행(Threat Progression)이 표시되는지 확인합니다. 위협 진행 상황에는 다음이 포함됩니다. 감염 다운로드
Threat Progression (리서치 대시보드)	맬웨어 선택별 감염 및 다운로드에 대한 대화형 맵을 표시합니다. 엔터프라이즈 전체에서 연속된 호스트로의 다운로드는 아래 예에 나와 있습니다.	마우스 클릭: Infections(감염)를 클릭하여 감염된 엔드포인트 진행률을 표시합니다. Downloads(다운로드)를 클릭하여 선택한 맬웨어의 다운로드가 발생한 엔드포인트(IP 주소로 표시)를 표시합니다. 끝점 IP 주소를 클릭하여 해당 끝점에 대한 호스트 세부 정보를 표시합니다. 선택한 끝점의 원 글머리 기호를 클릭하면 주황색으로 바뀝니다.
Threat Details (리서치 대시보드)	현재 선택한 악성코드에 대한 일반화된 위협 세부 정보를 표시합니다. 그러나 위협 진행 맵에서 엔드포인트를 선택하면 디스플레이가 호스트 세부 정보를 제공하도록 조정됩니다.	마우스 클릭: 끝점 IP 주소를 클릭하여 해당 끝점에 대한 호스트 세부 정보를 표시합니다. 선택한 끝점의 원 글머리 기호를 클릭하면 주황색으로 바뀝니다.
Traffic (시스템 대시보드)	선택한 기간 내에 처리된 분석된 프로토콜 트래픽(Kbps)과 관련된 총 네트워크 트래픽을 표시합니다. x축은 월 단위의 기간을 나타냅니다. y축은 Kbps를 나타냅니다.	마우스 호버: 차트의 아무 부분이나 마우스를 가져갑니다. 마우스 포인터가 십자선으로 바뀝니다: 차트 내에서 마우스를 끌어 세 구성 요소 각각에 대한 간격(x축)을 변경합니다.
Core Utilization (%) (시스템 대시보드)		마우스 호버: 차트의 아무 부분이나 마우스를 가져갑니다. 마우스 포인터가 십자선으로 바뀝니다: 차트 내에서 마우스를 끌어 세 구성 요소 각각에 대한 간격(x축)을 변경합니다.
Average Analysis Time (분) (시스템 대시보드)		마우스 호버: 차트의 아무 부분이나 마우스를 가져갑니다. 마우스 포인터가 십자선으로 바뀝니다: 차트 내에서 마우스를 끌어 세 구성 요소 각각에 대한 간격(x축)을 변경합니다.
Objects Processed (시스템 대시보드)	선택한 기간 내에 처리된 네트워크 개체를 표시합니다. x축은 월 단위의 기간을 나타냅니다. Y축은 개체 수를 나타냅니다.	마우스 호버: 차트의 아무 부분이나 마우스를 가져갑니다. 마우스 포인터가 십자선으로 바뀝니다: 차트 내에서 마우스를 끌어 세 구성 요소 각각에 대한 간격(x축)을 변경합니다.
Malware Objects (시스템 대시보드)	선택한 기간 내에 처리된 악성코드 개체를 표시합니다. x축은 월 단위의 기간을 나타냅니다. Y축은 개체 수를 나타냅니다.	마우스 호버: 차트의 아무 부분이나 마우스를 가져갑니다. 마우스 포인터가 십자선으로 바뀝니다: 차트 내에서 마우스를 끌어 세 구성 요소 각각에 대한 간격(x축)을 변경합니다.
Trend (컬렉터 대시보드)	수집기 활동 및 추세에 대한 통계를 표시합니다. 디스플레이 옵션은 Trend(추세) 드롭다운 메뉴에서 선택되며 Total Traffic(총 트래픽), CPU Usage(CPU 사용량), Memory Usage(메모리 사용량), Found Objects(발견된 개체) 및 Malware Objects(악성코드 개체)를 포함합니다	플롯 아래의 요약 테이블에서 추적할 컬렉터를 선택합니다. 값은 각 컬렉터에 대해 10분마다 업데이트됩니다. 열 플롯(Plot column(s)) 확인란을 클릭하여 선택한 컬렉터에 대한 그래픽 정보를 플롯합니다.
Vendor (이벤트 타임라인 대시보드)	보안 인프라에서 벤더를 선택하고 지정된 엔드포인트 IP, 호스트 이름, 사용자 이름 또는 이메일과 관련된 모든 이벤트를 확인합니다.

Reset Charts(차트 재설정)를 클릭하여 Dashboard(대시보드)를 원래 all-hosts, all-threats(모든 위협) 상태로 재설정합니다.

• 파일 업로드 탭을 클릭하고 "분석을 위해 파일 제출" 창에서 분석을 위해 업로드할 파일을 선택하고 파일 제출 버튼을 클릭합니다.

  메모:

  분석을 위해 업로드할 수 있는 최대 파일 크기는 32MB입니다.

  그림 20: 인시던트 탭에서 맬웨어 분석을 위한 파일 제출

파일을 제출하면 SHA1이 표시됩니다.

파일 업로드 기능은 "file_submit" API를 호출한 다음 분석 후 API에서 반환된 결과를 Central Manager 웹 UI 파일 업로드 탭에 표시합니다. 결과는 인시던트 sha1sum 및 파일 이름과 함께 킬 체인 진행 지정: UP과 함께 인시던트 페이지 테이블에도 표시됩니다.

맬웨어 분석을 위해 파일이 HTTP API에서 Core로 제출되는지 또는 Central Manager 파일 업로드 페이지를 통해 제출되는지 여부에 관계없이 분석 결과는 항상 파일 업로드 페이지에 표시됩니다.

네트워크 스위치 SPAN/TAP에 대해 두 가지 유형의 vCollector 배포가 지원됩니다.

1. 물리적 스위치에서 vCollector로 확장되는 트래픽입니다. 이 경우 트래픽은 portA에서 portB로 확장됩니다. 주니퍼 ATP 어플라이언스 vCollector OVA가 포함된 ESXi가 portB에 연결되어 있습니다. 이 구축 시나리오는 위 그림에 나와 있습니다.

2. vCollector와 동일한 vSwitch에 있는 가상 머신의 트래픽입니다. 이 구축 시나리오에서는 vCollector가 포함된 vSwitch가 무차별 모드이므로 기본적으로 생성된 모든 포트 그룹도 무차별 모드가 됩니다. 따라서 무차별 모드의 port-groupA(vCollector)는 vCollector와 연결되고, port-groupB(vTraffic)는 무차별 모드가 아닌 트래픽을 나타내는 2개의 포트 그룹이 권장됩니다.

   메모:

   vCollector와 동일한 vSwitch에 있지 않은 가상 시스템의 트래픽은 지원되지 않습니다. dedicated NIC adapter 또한 vCollector 구축에는 NIC가 필요합니다. 모든 트래픽을 수집하기 위해 무차별 모드의 가상 스위치에 NIC를 연결합니다. vSwitch가 무차별 모드인 경우 기본적으로 모든 포트 그룹은 무차별 모드에 배치되며 이는 다른 일반 VM도 불필요한 트래픽을 수신한다는 것을 의미합니다. 이에 대한 해결 방법은 다른 VM에 대해 다른 포트 그룹을 생성하고 무차별 모드 없이 구성하는 것입니다.

   팁:

   가상 수집기를 구축하는 데 사용할 수 있는 두 가지 옵션(일반 및 소형 폼 팩터 수집기)은 다음과 같습니다. (1) vCenter를 사용하여 OVA 설치 방법을 사용합니다. (2) ESXi에 직접 설치하여 vCenter 없이 OVF + VMDK를 사용합니다. 두 번째 방법을 사용하여 vCollector를 배포하는 데 사용할 수 있는 마법사는 없습니다. CLI에서 컬렉터를 구성합니다. 가상 코어 설치의 경우 OVA/vCenter 방법만 사용할 수 있습니다.

다음 표에서는 OVA vCollector 배포에 필요한 리소스 및 하드웨어 프로비저닝에 대해 자세히 설명합니다.

vCollector 배포에 사용할 수 있는 크기 조정 옵션은 다음과 같습니다.

OVA vCollector를 설치한 후 빠른 시작 설명서의 지침에 따라 주니퍼 ATP 어플라이언스 CLI 및 구성 마법사를 사용하여 웹 또는 이메일 vCollector를 구성하십시오.

1. 주니퍼 지원 담당자가 지정한 위치에서 VMware vCenter에 액세스할 수 있는 데스크톱 시스템으로 주니퍼 ATP 어플라이언스 OVA 파일을 다운로드합니다. 선택적으로 vCenter를 사용하지 않도록 하려면 이 섹션의 끝에 있는 TIP를 참조하세요.

2. vCenter에 연결하고 File(파일)>Deploy OVF Template(OVF 템플릿 배포)을 클릭합니다.

3. Downloads(다운로드) 디렉토리를 찾아 OVA 파일을 선택한 후 Next(다음)를 클릭하여 OVF Template Details(OVF 템플릿 세부 정보) 페이지를 확인합니다.

4. 다음을 클릭하여 최종 사용자 사용권 계약 페이지를 표시하고 검토합니다.

5. EULA에 동의하고 다음을 클릭하여 이름 및 위치 페이지를 확인합니다.

6. 가상 코어의 기본 이름은 주니퍼 ATP 어플라이언스 가상 코어 어플라이언스입니다. 원하는 경우 가상 코어의 새 이름을 입력합니다.

7. vCore를 배포할 데이터 센터를 선택한 다음, 다음을 클릭하여 호스트/클러스터 페이지를 확인합니다.

8. vCore가 상주할 호스트/클러스터를 선택한 다음, 다음을 클릭하여 스토리지 페이지를 확인합니다.

9. vCore 가상 머신 파일의 대상 파일 스토리지를 선택한 다음, 다음을 클릭하여 디스크 포맷 페이지를 확인합니다. 기본값은 THIN PROVISION LAZY ZEROED이며, 스토리지 디바이스에 512GB의 여유 공간이 필요합니다. 씬 디스크 프로비저닝을 사용하여 처음에 디스크 공간을 절약하는 방법도 지원됩니다.

   Next(다음)를 클릭하여 Network Mapping(네트워크 매핑) 페이지를 표시합니다.

10. vCore 인터페이스를 설정합니다.

    • 관리(관리): 이 인터페이스는 관리 및 주니퍼 ATP 어플라이언스 트래픽 수집기와의 통신에 사용됩니다. CM 관리 네트워크 IP 주소에 연결된 포트 그룹에 대상 네트워크를 할당합니다.

    • Next(다음)를 클릭하여 Juniper ATP 어플라이언스 속성 페이지를 확인합니다.

11. DHCP 또는 정적 주소 지정을 위해 IP 할당 정책을 구성할 수 있습니다. -- 주니퍼는 정적 주소 지정을 사용할 것을 권장합니다. DHCP 지침을 보려면 12단계로 건너뜁니다. IP Allocation Policy as Static(IP 할당 정책 정적)의 경우 다음 할당을 수행합니다.

    • IP 주소: vCore에 대한 관리 네트워크 IP 주소를 할당합니다.

    • 넷마스크: vCore에 대한 넷마스크를 할당합니다.

    • 게이트웨이: vCore에 대한 게이트웨이를 할당합니다.

    • DNS 주소 1: vCore에 대한 기본 DNS 주소를 할당합니다.

    • DNS 주소 2: vCore에 대한 보조 DNS 주소를 할당합니다.

12. vCore의 검색 도메인 및 호스트 이름을 입력합니다.

13. 주니퍼 ATP 어플라이언스 vCore 설정을 완료합니다.

    새로운 주니퍼 ATP 어플라이언스 CLI 관리자 암호: CLI에서 vCore에 액세스하기 위한 암호입니다.

14. 주니퍼 ATP 어플라이언스 vCore 설정을 완료합니다.

    • 새로운 주니퍼 ATP 어플라이언스 CLI 관리자 암호: CLI에서 vCore에 액세스하기 위한 암호입니다.

    • 주니퍼 ATP 어플라이언스 중앙 관리자 IP 주소: 가상 코어가 독립형(클러스터링이 활성화되지 않음) 또는 기본(클러스터링이 활성화됨)인 경우 IP 주소는 127.0.0.1입니다. 가상 코어가 보조인 경우 중앙 관리자 IP 주소는 기본 코어의 IP 주소가 됩니다.

    • 주니퍼 ATP 어플라이언스 디바이스 이름: vCore에 대한 고유한 디바이스 이름을 입력합니다.

    • 주니퍼 ATP 어플라이언스 디바이스 설명: vCore에 대한 설명을 입력합니다.

    • 주니퍼 ATP 어플라이언스 디바이스 키 암호: vCore에 대한 암호를 입력합니다. Core/CM에 대해 Central Manager에 구성된 암호와 동일해야 합니다. Next(다음)를 클릭하여 Ready to Complete(완료 준비) 페이지를 확인합니다.

15. 먼저(다음) CPU 및 메모리 요구 사항(vCore 모델에 따라 500Mbps 또는 1Gbps)을 수정해야 하므로 배포 후 전원 켜기 옵션을 선택하지 마세요. 크기 조정 정보는 OVA vCollector 크기 조정 옵션 참조.

16. vCPU 수 및 메모리를 구성하려면 다음을 수행합니다.

    1. vCore의 전원을 끕니다.

    2. vCore -> Edit Settings를 마우스 오른쪽 단추로 클릭합니다.

    3. 하드웨어 탭에서 메모리를 선택합니다. 오른쪽의 메모리 크기 조합 상자에 필요한 메모리를 입력합니다.

    4. 하드웨어 탭에서 CPU를 선택합니다. 오른쪽에 필요한 수의 가상 CPU 조합 상자를 입력합니다. 딸깍 하는 소리 OK 설정합니다.

17. CPU 및 메모리 예약 구성:

    1. CPU 예약의 경우: vCore-> 설정 편집을 마우스 오른쪽 단추로 클릭합니다.

    2. 리소스 탭을 선택한 다음, CPU를 선택합니다.

    3. 예약에서 VM에 대해 보장된 CPU 할당을 지정합니다. vCPU 수 *프로세서 속도에 따라 계산할 수 있습니다.

    4. 메모리 예약의 경우: vCore -> 설정 편집을 마우스 오른쪽 단추로 클릭합니다.

    5. Resources(리소스) 탭에서 Memory(메모리)를 선택합니다.

    6. 예약에서 VM에 대해 예약할 메모리 양을 지정합니다. 크기 조정 가이드에 지정된 메모리와 동일해야 합니다.

18. 하이퍼스레딩을 사용하는 경우 다음 항목을 선택합니다.

    1. vCore -> Edit 설정을 마우스 오른쪽 단추로 클릭합니다.

    2. 리소스 탭에서 고급 CPU에 대해 HT 공유: 없음을 선택합니다.

19. 가상 코어(vCore)의 전원을 켭니다. 참고: 나중에 참조할 수 있도록 허용 목록 규칙은 백업할 정상적인 서비스 종료에 의존합니다. VM 또는 Virtual Core의 전원을 직접 끄면 규칙을 저장할 수 없으므로 현재 허용 목록 상태가 손실됩니다.

CLI에 로그인하고 서버 모드 "show uuid" 명령을 사용하여 UUID를 가져옵니다. 주니퍼 ATP 어플라이언스로 전송하여 라이선스를 받으십시오.

OVA가 다른 가상 보조 코어 생성에 복제되면 Central Manager Appliance 테이블의 열 "id" 값은 기본적으로 동일합니다. 관리자는 UUID를 고유하게 만들기 위해 UUID를 재설정해야 합니다. 새로운 가상 코어 CLI 명령 "set id"를 사용하여 CLI의 코어 모드에서 복제된 가상 코어의 UUID를 재설정할 수 있습니다. 새로운 코어 모드 "set id" 및 "show id" 명령을 검토하려면 주니퍼 ATP 어플라이언스 CLI 명령 참조를 참조하십시오.

소프트웨어 및 보안 컨텐츠의 업그레이드는 Central Manager 웹 UI 구성>시스템 설정>시스템 설정 페이지에서 업그레이드를 구성하면 자동으로 수행됩니다.

• 자동 업그레이드를 활성화하려면 시스템 설정 페이지에서 "소프트웨어 업데이트 사용" 및/또는 "콘텐츠 업데이트 사용" 옵션을 선택합니다.

모든 주니퍼 ATP 어플라이언스 구성 요소의 모든 자동 업데이트는 주니퍼 ATP 어플라이언스 코어에 의해 조정되고 구현됩니다. 지속적인 업데이트는 정기적인 일정에 따라 수행됩니다.

• 코어 소프트웨어 및 컨텐츠 업데이트(사용하도록 설정된 경우)는 30분마다 사용 가능한 업데이트를 확인하고 새 파일을 수집기 및/또는 보조 코어로 푸시합니다.

• 코어 폭발 엔진 이미지 업그레이드 검사는 매일 자정에 발생합니다.

• 주니퍼 ATP 어플라이언스는 운영 공간을 지속적으로 줄이고 있으며 업그레이드, 텔레메트리, 콘텐츠 업데이트 및 기타 서비스를 위해 광범위한 허용 목록 외부 IP 주소 세트를 더 이상 필요로 하지 않습니다.

• 특정 서비스에 대해 이전에 열렸던 방화벽 포트는 릴리스 업그레이드가 완료된 후 닫을 수 있습니다.

• 대부분의 최신 방화벽은 도메인 허용 목록을 지원합니다.

• 고객은 HTTPS(포트 443)에서 Core/CM 디바이스*(수집기 아님)에 대한 아웃바운드 액세스만 선택적으로 허용할 수 있습니다. 이 경우 도메인 허용 목록이 필요하지 않습니다.

• *주니퍼 ATP 어플라이언스는 샌드박스 폭발 시 킬 체인 상관 관계를 허용하기 위해 코어/CM 어플라이언스(또는 올인원)에 대해 제한 없는 아웃바운드 통신을 허용할 것을 항상 권장해 왔습니다.

• 포트 443의 포괄적인 허용 목록에 대해 우려하는 고객은 허용 목록을 Amazon AWS 및 S3 CIDR로만 제한할 수 있지만 이는 여전히 IP 주소의 범위가 상당히 넓습니다.

UI 또는 CLI에서 원격 지원 계정을 활성화할 수 있습니다.

UI에서 원격 지원 계정 활성화

웹 UI에서 지원 계정을 활성화하려면:

1. Config > System Profiles(시스템 프로필>원격 지원)를 선택합니다.

2. Remote Support(원격 지원) 페이지에서 Enable Remote Support(원격 지원 활성화 ) 옵션을 선택합니다.

3. Duration(기간) 필드에 세션의 기간(시간)을 입력합니다.

4. 지원 활성화를 클릭합니다.

   지원 암호는 두 개의 비밀 키를 사용하여 생성됩니다.

   • 원격 지원이 활성화되면 주니퍼 지원은 ATP 어플라이언스 디바이스에서 하나의 키를 자동으로 획득합니다.

   • 다른 키는 주니퍼 네트웍스에서 제공합니다.

   원격 지원을 사용하도록 설정하면 그림 22와 같이 UI가 새로 고쳐지고 새 비밀 키가 표시됩니다. 비밀 키는 모든 지원 세션에 대해 고유합니다.

그림 22: 원격 지원 창

CLI에서 원격 지원 계정 활성화

CLI에서 지원 계정을 활성화하려면 다음을 수행합니다.

1. T CLI에 로그인하고 서버 모드를 입력한 다음 set cysupport enable on 명령을 사용합니다.

2. 원격 지원 기간을 시간 단위로 입력합니다.

3. CLI에서 비밀 키를 가져와야 하는 경우 명령을 사용합니다 show remote-access-key .

이름이 "recovery"인 사용자는 암호 없이 어플라이언스에 로그인할 수 있으며 관리자 암호를 재설정하는 명령을 포함하여 제한된 양의 명령을 입력할 수 있습니다.

CLI를 사용하여 관리자 암호를 복구하려면 다음을 수행합니다.

1. 로그인하라는 메시지가 표시되면 어플라이언스에 사용자 이름 복구를 입력하고 Enter 키를 누릅니다.

   암호가 필요하지 않으므로 복구 사용자는 디바이스에 자동으로 로그인됩니다.

2. reset-admin-password 암호를 재설정하려면 명령을 입력합니다.

   복구 사용자가 사용할 수 있는 다른 명령은 exit, help 및 history입니다.

감사 로그에서 UI 사용자를 보는 것 외에도 이제 웹 UI의 보고서 아래에 있는 감사 로그에서 관리자 및 recovery-admin CLI 사용자도 볼 수 있습니다. 자세한 내용은 감사 로그 표시 UI 또는 CLI 액세스를 참조하십시오.

UI 감사 로깅 외에도 코어 및 수집기 CLI 활동 감사 로깅이 있습니다. 로그 데이터와 함께 작업이 UI 또는 CLI에서 수행되었는지 확인할 수 있습니다. 그림 24를 참조하십시오.

표준 모드 또는 개인 모드에서 수행된 소프트웨어 업데이트, 정적 콘텐츠 업데이트 및 빠른 콘텐츠 업데이트에 대한 감사 로그도 볼 수 있습니다. 그림 23을 참조하십시오.

이러한 로그는 ATP 어플라이언스 UI 포털의 보고서 탭 및 시스템 로그 서버(이전 UI 감사 로그와 동일)에서 사용할 수 있습니다.

그림 23: 시스템 감사 보고서 생성

그림 24: 감사 로그