침입 탐지 및 방지(IDP) 이벤트 로깅
기본 Junos OS 시스템 로깅은 침입 탐지 및 방지(IDP)가 활성화된 후에도 계속 작동합니다.
자세한 내용은 다음 항목을 참조하세요.
침입 탐지 및 방지(IDP) 로깅 이해
침입 탐지 및 방지(IDP) 지원 디바이스는 구성 데이터베이스에 대한 사용자 로그인과 같은 일상적인 작업으로 인해 발생하는 이벤트를 계속 기록합니다. 구성 파일에 액세스하지 못한 것과 같은 실패 및 오류 조건을 기록합니다. 시스템 메시지를 기록하도록 파일을 구성하고 심각도 수준과 같은 속성을 메시지에 할당할 수도 있습니다. 침입 탐지 및 방지(IDP)는 일반 시스템 로그 메시지 외에도 공격에 대한 이벤트 로그를 생성합니다.
침입 탐지 및 방지(IDP)는 이벤트가 로깅이 활성화된 침입 탐지 및 방지(IDP) 정책 규칙과 일치할 때 이벤트 로그를 생성합니다. 로깅 규칙을 구성할 때 디바이스는 해당 규칙과 일치하는 각 이벤트에 대한 로그 항목을 생성합니다. CLI 또는 J-Web을 사용하여 이벤트 로그를 생성하도록 정책 규칙을 구성할 수 있습니다.
침입 탐지 및 방지(IDP) 공격 탐지 이벤트 로그 메시지(IDP_ATTACK_LOG_EVENT_LS)에서 time-elapsed, inbytes, outbytes, inpackets 및 outpackets 필드는 채워지지 않습니다.
침입 탐지 및 방지(IDP) 이벤트 로그는 공격 중에 생성되므로 로그 생성이 급증하여 공격 중에 훨씬 더 많은 양의 메시지를 생성합니다. 다른 이벤트 메시지와 비교할 때 공격에서 생성된 메시지의 경우 메시지 크기도 훨씬 큽니다. 로그 볼륨 및 메시지 크기는 로그 관리의 중요한 문제입니다. 로그 메시지 볼륨을 더 잘 관리하기 위해 IDP는 로그 억제를 지원합니다.
로그 억제를 구성하면 동일한 기간 동안 동일하거나 유사한 세션에서 발생하는 동일한 로그의 여러 인스턴스를 억제할 수 있습니다. 로그 억제를 활성화하면 동일한 이벤트 또는 여러 번 발생하는 공격에 대해 최소한의 로그가 생성됩니다.
또한보십시오
침입 탐지 및 방지(IDP) 로그 억제 속성 이해
로그 억제는 동일한 이벤트 또는 여러 번 발생하는 공격에 대해 최소한의 로그가 생성되도록 합니다. 로그 억제는 기본적으로 활성화되어 있습니다. 필요에 따라 로그를 억제하도록 특정 로그 억제 속성을 구성할 수 있습니다. 로그 억제를 구성할 때 보고 간격을 너무 높게 설정하면 로그 억제가 센서 성능에 부정적인 영향을 미칠 수 있음을 명심하십시오.
다음과 같은 로그 억제 속성을 구성할 수 있습니다.
로그 억제를 수행하는 동안 대상 주소 포함 - 이벤트의 로그 레코드를 일치하는 소스 주소와 결합하도록 선택할 수 있습니다. 기본적으로, 침입 탐지 및 방지(IDP) 센서는 로그 억제를 위해 이벤트를 일치시킬 때 대상을 고려하지 않습니다.
로그 억제가 시작된 후 로그 발생 횟수 - 로그 억제가 시작되기 전에 특정 이벤트가 발생해야 하는 인스턴스 수를 지정할 수 있습니다. 기본적으로 로그 억제는 첫 번째 발생 이후에 시작됩니다.
로그 억제가 작동할 수 있는 최대 로그 수 - 로그 억제가 활성화된 경우 침입 탐지 및 방지(IDP)는 동일한 이벤트가 여러 번 발생하는 경우를 식별할 수 있도록 로그 레코드를 캐시해야 합니다. IDP에서 동시에 추적할 로그 레코드 수를 지정할 수 있습니다. 기본적으로 IDP가 작동할 수 있는 최대 로그 레코드 수는 16,384개입니다.
억제된 로그가 보고되는 시간 - 로그 억제가 활성화되면 IDP는 동일한 이벤트의 발생 횟수를 유지합니다. 지정된 시간(초)이 지나면 IDP는 발생 횟수가 포함된 단일 로그 항목을 씁니다. 기본적으로 침입 탐지 및 방지(IDP)는 5초 후에 억제된 로그를 보고합니다.
예: 침입 탐지 및 방지(IDP) 로그 억제 속성 구성
이 예는 로그 억제 속성을 구성하는 방법을 보여줍니다.
요구 사항
시작하기 전에:
네트워크 인터페이스를 구성합니다.
서명 데이터베이스를 다운로드합니다. IDP 서명 데이터베이스 수동 업데이트 개요를 참조하십시오.
개요
로그 억제는 동일한 이벤트 또는 여러 번 발생하는 공격에 대해 최소한의 로그가 생성되도록 합니다. 로그 억제는 기본적으로 활성화되어 있습니다. 필요에 따라 로그를 억제하도록 특정 로그 억제 속성을 구성할 수 있습니다.
이 예에서는 이벤트가 두 번째로 발생한 후 시작되도록 로그 억제를 구성하고 20초 후에 로그가 보고되도록 지정합니다.
구성
절차
단계별 절차
로그 억제 속성 구성하기:
로그 억제를 시작할 로그 번호를 지정합니다.
[edit] user@host# set security idp sensor-configuration log suppression start-log 2
억제된 로그가 보고되는 최대 시간을 지정합니다.
[edit] user@host# set security idp sensor-configuration log suppression max-time-report 20
디바이스 구성을 완료하면 구성을 커밋합니다.
[edit] user@host# commit
확인
로그 통계를 show security idp counters log
확인하려면 명령을 입력합니다.
IC 시리즈 UAC 어플라이언스에서 침입 탐지 및 방지(IDP) 로그 정보 사용 이해
UAC(Unified Access Control) 어플라이언스용 IC 시리즈 UAC 어플라이언스는 주니퍼 네트웍스 디바이스에서 전송된 침입 탐지 및 방지(IDP) 공격 로그 정보를 사용하여 침입 탐지 및 방지(IDP) 로그가 공격이 탐지되었음을 나타내는 트래픽에 대한 액세스 정책을 적용할 수 있습니다. 이러한 침입 탐지 및 방지(IDP) 로그는 보안 통신 채널을 사용하여 IC 시리즈 어플라이언스에 직접 안전하게 전송됩니다. 침입 탐지 및 방지(IDP) 공격 로그는 JUEP 통신 채널을 통해 IC 시리즈 어플라이언스로 전송됩니다.
이 항목에는 다음 섹션이 포함되어 있습니다.
IC 시리즈 UAC 어플라이언스에 대한 메시지 필터링
침입 탐지 및 방지(IDP) 로그 메시지를 수신하도록 IC 시리즈 UAC 어플라이언스를 구성할 때 IC 시리즈 어플라이언스에서 특정 필터링 매개 변수를 설정합니다. 이러한 필터링이 없으면 IC 시리즈 어플라이언스가 너무 많은 로그 메시지를 수신할 수 있습니다. 필터링 매개 변수에는 다음이 포함될 수 있습니다.
IC 시리즈 어플라이언스는 인증된 세션에 대해서만 침입 탐지 및 방지(IDP)로부터 통신을 수신해야 합니다. 자세한 내용은 Unified Access Control Administration Guide 를 참조하십시오.
심각도에 따라 침입 탐지 및 방지(IDP) 로그 파일을 수신하기 위한 IC 시리즈 어플라이언스 필터를 생성할 수 있습니다. 예를 들어, IC 시리즈 어플라이언스에서 심각도가 높음으로 설정된 경우 IDP는 심각도가 높음 이상인 로그만 전송합니다. 자세한 내용은 Unified Access Control Administration Guide 를 참조하십시오.
IC 시리즈 어플라이언스에서 모든 침입 탐지 및 방지(IDP) 로그 수신을 비활성화할 수 있습니다. 자세한 내용은 Unified Access Control Administration Guide 를 참조하십시오.
IC 시리즈 UAC 어플라이언스 로깅 구성
침입 탐지 및 방지(IDP) 로그를 수신하고 필터링하기 위한 모든 구성은 IC 시리즈 UAC 어플라이언스에서 수행됩니다. 침입 탐지 및 방지(IDP) 로그를 수신하기 위한 구성 정보와 JUEP 통신 채널에 대한 세부 정보는 통합 액세스 제어 관리 가이드를 참조해야 합니다.
IDP 경보 및 감사
기본적으로 IDP는 관리자에게 경보를 울리지 않고 이벤트 발생을 기록합니다. 시스템이 이벤트를 기록하도록 구성되고 potential-violation
옵션이 설정되면 패킷 전달 엔진의 침입 탐지 및 방지(IDP) 로그가 라우팅 엔진으로 전달됩니다. 그런 다음 라우팅 엔진은 침입 탐지 및 방지(IDP) 공격 로그를 구문 분석하고 필요에 따라 침입 탐지 및 방지(IDP) 경보를 발생시킵니다.
침입 탐지 및 방지(IDP) 알람을
set security alarms potential-violation idp
활성화하려면 명령을 사용합니다.구성이 제대로 작동하는지 확인하려면 명령을 사용합니다
show security alarms
.
Junos OS 릴리스 11.2 이전 릴리스에서 침입 탐지 및 방지(IDP) 공격 로그에는 공격 이벤트에 대한 정보가 포함되지만 관리자에게 경보를 울리지 않습니다.