Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지의 내용
 

시스템 정보 및 업데이트

어플라이언스 상태 확인

시스템 상태 드롭다운을 클릭하여 주니퍼 ATP 어플라이언스 검사 및 탐지 엔진의 실시간 작동 상태를 확인합니다.

인터넷

인터넷 연결 상태

비헤이비어 엔진

핵심 행동 분석 엔진 상태

정적 엔진

정적 분석 엔진 상태

상관 관계

HRE(Hierarchical Reasoning Engine) 기계 학습 구성 요소 상태

웹 컬렉터

사용 가능한 분산 Web Collector 장치가 있는 경우 웹 수집기 상태가 표시됩니다.

참고:

현재 시스템이 올인원이고 추가 수집기 장치가 구성되지 않은 경우 드롭다운 메뉴의 웹 수집기 항목이 표시되지 않습니다.

보조 코어

배포된 Mac Mini Secondary 또는 Windows Secondary Core 기기가 활성화되어 있는 경우 보조 코어 상태가 표시됩니다.

System Dashboard

System Dashboard(시스템 대시보드)는 Dashboard(대시보드) 탭에서도 사용할 수 있으며 시스템 검사 및 탐지 메트릭을 모니터링할 수도 있습니다.

시스템 대시보드에는 다음에 대한 메트릭이 포함되어 있습니다.

  • 스캔된 트래픽 개체/제공된 트래픽 개체

  • 코어 사용률(Windows 및 Mac OSX)

  • 처리된 개체

  • 평균 분석 시간(분)(Windows 및 Mac OSX)

  • 악성코드 개체

다음에 대해 시스템 차트를 표시할 수 있습니다.

지난 24시간 | 지난 주 | 지난달 | 지난 3개월 | 작년

Collectors Dashboard

컬렉터 대시보드는 대시보드 탭에서 사용할 수 있는 또 다른 대시보드입니다.

수집기 대시보드에는 다음과 같은 수집기 검사 및 분석 추세 표시에 대한 지표가 포함되어 있습니다(옵션은 추세 드롭다운 메뉴에서 선택됨).

  • 총 트래픽(Mbps)

  • CPU 사용량

  • 메모리 사용량

  • 발견된 객체

  • 악성코드 개체

다음에 대해 시스템 차트를 표시할 수 있습니다.

지난 24시간 | 지난 주 | 지난달 | 지난 3개월 | 작년

Collectors Dashboard Summary(수집기 대시보드 요약) 테이블은 다음 열에 구성된 통계 정보와 통계 정보를 제공합니다.

표 1: 컬렉터 대시보드 요약

요약 열

설명

플롯

위의 그래프에서 비교를 위해 [여러] 플롯을 표시하려면 클릭하십시오. 선택한 각 그래픽 플롯 선에 대해 색상이 표시됩니다

컬렉터 이름

설치된 Traffic Collector의 이름

IP 주소

수집기의 IP 주소

메모리

메모리 사용량 통계

Cpu

CPU 사용량 통계

디스크

디스크 사용량

총 트래픽

스캔된 총 트래픽(Kbps 또는 Mbps)

개체

분석된 개체

악성코드 개체

탐지된 악성코드 개체

마지막으로 본 멀웨어

마지막으로 탐지 및 분석된 멀웨어 인시던트

상태

컬렉터의 마지막 상태 확인(예: '83초 전')

사용

녹색 체크 표시는 Collector가 현재 활성화되어 있음을 나타냅니다. 빨간색 X는 컬렉터가 비활성화되었거나 오프라인 상태임을 나타냅니다.

주니퍼 ATP 어플라이언스 소프트웨어 및 보안 콘텐츠 업그레이드

소프트웨어 및 보안 콘텐츠의 업그레이드는 Central Manager 웹 UI 구성>시스템 설정>시스템 설정 페이지에서 구성할 때 자동으로 수행됩니다.

  • 자동 업그레이드를 활성화하려면 시스템 설정 페이지에서 "소프트웨어 업데이트 사용" 및/또는 "콘텐츠 업데이트 사용" 옵션을 선택합니다.

지속적인 업데이트는 정기적인 일정에 따라 진행됩니다.

  • 소프트웨어 및 콘텐츠 업데이트(사용하도록 설정된 경우)는 30분마다 사용 가능한 업데이트를 확인합니다.

  • 코어 폭발 엔진 이미지 업그레이드 확인은 매일 자정에 이루어집니다.

SIEM에 대한 CEF 로깅 지원

주니퍼 ATP 어플라이언스는 악성 이벤트를 탐지하여 인시던트 및 경고 세부 정보를 생성하며, 이 세부 정보는 UDP를 통해 CEF 형식으로 연결된 SIEM 플랫폼에 전송할 수 있습니다.

참고:

SIEM 매핑 및 통합을 위한 CEF 출력에 초점을 맞춘 SIEM을 위한 주니퍼 ATP 어플라이언스 CEF 로깅 지원 문서를 참조하십시오. 주니퍼 ATP 어플라이언스는 이 가이드에서 다루지 않은 JSON 기반 HTTP API 결과와 ASCII TEXT 알림도 제공합니다.

주니퍼 ATP 어플라이언스 중앙 관리자 WebUI Config>Notifications>SIEM 설정 페이지에서는 SYSLOG 또는 CEF 기반 SIEM 서버에 대한 이벤트 및 시스템 감사 알림을 구성할 수 있는 옵션을 제공합니다. 서버는 CEF 형식으로 주니퍼 ATP 어플라이언스 알림을 수신하도록 구성되어야 합니다.

syslog 트랩 싱크 서버

Syslog 형식으로 경고 알림을 생성하도록 주니퍼 ATP 어플라이언스를 구성할 때 관리자는 syslog 트랩 싱크 SIEM 서버가 지원하는지 확인해야 합니다. Syslog 출력은 syslog 서버에서만 구문 분석을 위해 액세스할 수 있으며 주니퍼 ATP 어플라이언스 CLI 또는 웹 UI에서 볼 수 없습니다.

CEF 형식

CEF(Common Event Format)는 다양한 디바이스, 네트워크 어플라이언스 및 애플리케이션의 보안 관련 정보를 로그 관리하고 상호 운용하기 위한 개방형 표준 syslog 형식입니다. 이 개방형 로그 형식은 구성된 채널에 주니퍼 ATP 어플라이언스 멀웨어 이벤트 알림을 전송하기 위해 주니퍼 ATP 어플라이언스에서 채택되었습니다.

표준 CEF 형식은 다음과 같습니다.

주니퍼 ATP 어플라이언스 CEF 형식은 다음과 같습니다.

CEF 형식에는 가장 관련성이 높은 맬웨어 이벤트 정보가 포함되어 있어 이벤트 소비자가 데이터를 상호 운용 가능하게 구문 분석하고 사용할 수 있습니다. 이벤트를 통합하기 위해 syslog 메시지 형식이 전송 메커니즘으로 사용됩니다. 이 메커니즘은 각 메시지에 적용되는 공통 접두사를 포함하도록 구성되며 아래와 같이 날짜와 호스트 이름을 포함합니다.

다음은 Splunk에 표시된 일반적인 접두사입니다.

기본 CEF 필드 및 CEF 확장에 대한 정의는 에 제공되고 자세히 설명되어 있습니다 Juniper ATP Appliance CEF and Syslog Support for SIEM guide.

참고:

사용자 이름 필드는 감사 로그를 보내는 동안 SIEM 로그에 포함됩니다.