Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

침입 탐지 및 방지(IDP) 이벤트 로깅

기본 Junos OS 시스템 로깅은 침입 탐지 및 방지(IDP)가 활성화된 후에도 계속 작동합니다.

자세한 내용은 다음 항목을 참조하세요.

침입 탐지 및 방지(IDP) 로깅 이해

침입 탐지 및 방지(IDP) 지원 디바이스는 구성 데이터베이스에 대한 사용자 로그인과 같은 일상적인 작업으로 인해 발생하는 이벤트를 계속 기록합니다. 구성 파일에 액세스하지 못한 것과 같은 실패 및 오류 조건을 기록합니다. 시스템 메시지를 기록하도록 파일을 구성하고 심각도 수준과 같은 속성을 메시지에 할당할 수도 있습니다. 침입 탐지 및 방지(IDP)는 일반 시스템 로그 메시지 외에도 공격에 대한 이벤트 로그를 생성합니다.

침입 탐지 및 방지(IDP)는 이벤트가 로깅이 활성화된 침입 탐지 및 방지(IDP) 정책 규칙과 일치할 때 이벤트 로그를 생성합니다. 로깅 규칙을 구성할 때 디바이스는 해당 규칙과 일치하는 각 이벤트에 대한 로그 항목을 생성합니다. CLI 또는 J-Web을 사용하여 이벤트 로그를 생성하도록 정책 규칙을 구성할 수 있습니다.

메모:

침입 탐지 및 방지(IDP) 공격 탐지 이벤트 로그 메시지(IDP_ATTACK_LOG_EVENT_LS)에서 time-elapsed, inbytes, outbytes, inpackets 및 outpackets 필드는 채워지지 않습니다.

침입 탐지 및 방지(IDP) 이벤트 로그는 공격 중에 생성되므로 로그 생성이 급증하여 공격 중에 훨씬 더 많은 양의 메시지를 생성합니다. 다른 이벤트 메시지와 비교할 때 공격에서 생성된 메시지의 경우 메시지 크기도 훨씬 큽니다. 로그 볼륨 및 메시지 크기는 로그 관리의 중요한 문제입니다. 로그 메시지 볼륨을 더 잘 관리하기 위해 IDP는 로그 억제를 지원합니다.

로그 억제를 구성하면 동일한 기간 동안 동일하거나 유사한 세션에서 발생하는 동일한 로그의 여러 인스턴스를 억제할 수 있습니다. 로그 억제를 활성화하면 동일한 이벤트 또는 여러 번 발생하는 공격에 대해 최소한의 로그가 생성됩니다.

침입 탐지 및 방지(IDP) 로그 억제 속성 이해

로그 억제는 동일한 이벤트 또는 여러 번 발생하는 공격에 대해 최소한의 로그가 생성되도록 합니다. 로그 억제는 기본적으로 활성화되어 있습니다. 필요에 따라 로그를 억제하도록 특정 로그 억제 속성을 구성할 수 있습니다. 로그 억제를 구성할 때 보고 간격을 너무 높게 설정하면 로그 억제가 센서 성능에 부정적인 영향을 미칠 수 있음을 명심하십시오.

다음과 같은 로그 억제 속성을 구성할 수 있습니다.

  • 로그 억제를 수행하는 동안 대상 주소 포함 - 이벤트의 로그 레코드를 일치하는 소스 주소와 결합하도록 선택할 수 있습니다. 기본적으로, 침입 탐지 및 방지(IDP) 센서는 로그 억제를 위해 이벤트를 일치시킬 때 대상을 고려하지 않습니다.

  • 로그 억제가 시작된 후 로그 발생 횟수 - 로그 억제가 시작되기 전에 특정 이벤트가 발생해야 하는 인스턴스 수를 지정할 수 있습니다. 기본적으로 로그 억제는 첫 번째 발생 이후에 시작됩니다.

  • 로그 억제가 작동할 수 있는 최대 로그 수 - 로그 억제가 활성화된 경우 침입 탐지 및 방지(IDP)는 동일한 이벤트가 여러 번 발생하는 경우를 식별할 수 있도록 로그 레코드를 캐시해야 합니다. IDP에서 동시에 추적할 로그 레코드 수를 지정할 수 있습니다. 기본적으로 IDP가 작동할 수 있는 최대 로그 레코드 수는 16,384개입니다.

  • 억제된 로그가 보고되는 시간 - 로그 억제가 활성화되면 IDP는 동일한 이벤트의 발생 횟수를 유지합니다. 지정된 시간(초)이 지나면 IDP는 발생 횟수가 포함된 단일 로그 항목을 씁니다. 기본적으로 침입 탐지 및 방지(IDP)는 5초 후에 억제된 로그를 보고합니다.

예: 침입 탐지 및 방지(IDP) 로그 억제 속성 구성

이 예는 로그 억제 속성을 구성하는 방법을 보여줍니다.

요구 사항

시작하기 전에:

개요

로그 억제는 동일한 이벤트 또는 여러 번 발생하는 공격에 대해 최소한의 로그가 생성되도록 합니다. 로그 억제는 기본적으로 활성화되어 있습니다. 필요에 따라 로그를 억제하도록 특정 로그 억제 속성을 구성할 수 있습니다.

이 예에서는 이벤트가 두 번째로 발생한 후 시작되도록 로그 억제를 구성하고 20초 후에 로그가 보고되도록 지정합니다.

구성

절차

단계별 절차

로그 억제 속성 구성하기:

  1. 로그 억제를 시작할 로그 번호를 지정합니다.

  2. 억제된 로그가 보고되는 최대 시간을 지정합니다.

  3. 디바이스 구성을 완료하면 구성을 커밋합니다.

확인

로그 통계를 show security idp counters log 확인하려면 명령을 입력합니다.

IC 시리즈 UAC 어플라이언스에서 침입 탐지 및 방지(IDP) 로그 정보 사용 이해

UAC(Unified Access Control) 어플라이언스용 IC 시리즈 UAC 어플라이언스는 주니퍼 네트웍스 디바이스에서 전송된 침입 탐지 및 방지(IDP) 공격 로그 정보를 사용하여 침입 탐지 및 방지(IDP) 로그가 공격이 탐지되었음을 나타내는 트래픽에 대한 액세스 정책을 적용할 수 있습니다. 이러한 침입 탐지 및 방지(IDP) 로그는 보안 통신 채널을 사용하여 IC 시리즈 어플라이언스에 직접 안전하게 전송됩니다. 침입 탐지 및 방지(IDP) 공격 로그는 JUEP 통신 채널을 통해 IC 시리즈 어플라이언스로 전송됩니다.

이 항목에는 다음 섹션이 포함되어 있습니다.

IC 시리즈 UAC 어플라이언스에 대한 메시지 필터링

침입 탐지 및 방지(IDP) 로그 메시지를 수신하도록 IC 시리즈 UAC 어플라이언스를 구성할 때 IC 시리즈 어플라이언스에서 특정 필터링 매개 변수를 설정합니다. 이러한 필터링이 없으면 IC 시리즈 어플라이언스가 너무 많은 로그 메시지를 수신할 수 있습니다. 필터링 매개 변수에는 다음이 포함될 수 있습니다.

  • IC 시리즈 어플라이언스는 인증된 세션에 대해서만 침입 탐지 및 방지(IDP)로부터 통신을 수신해야 합니다. 자세한 내용은 Unified Access Control Administration Guide 를 참조하십시오.

  • 심각도에 따라 침입 탐지 및 방지(IDP) 로그 파일을 수신하기 위한 IC 시리즈 어플라이언스 필터를 생성할 수 있습니다. 예를 들어, IC 시리즈 어플라이언스에서 심각도가 높음으로 설정된 경우 IDP는 심각도가 높음 이상인 로그만 전송합니다. 자세한 내용은 Unified Access Control Administration Guide 를 참조하십시오.

  • IC 시리즈 어플라이언스에서 모든 침입 탐지 및 방지(IDP) 로그 수신을 비활성화할 수 있습니다. 자세한 내용은 Unified Access Control Administration Guide 를 참조하십시오.

IC 시리즈 UAC 어플라이언스 로깅 구성

침입 탐지 및 방지(IDP) 로그를 수신하고 필터링하기 위한 모든 구성은 IC 시리즈 UAC 어플라이언스에서 수행됩니다. 침입 탐지 및 방지(IDP) 로그를 수신하기 위한 구성 정보와 JUEP 통신 채널에 대한 세부 정보는 통합 액세스 제어 관리 가이드를 참조해야 합니다.

IDP 경보 및 감사

기본적으로 IDP는 관리자에게 경보를 울리지 않고 이벤트 발생을 기록합니다. 시스템이 이벤트를 기록하도록 구성되고 potential-violation 옵션이 설정되면 패킷 전달 엔진의 침입 탐지 및 방지(IDP) 로그가 라우팅 엔진으로 전달됩니다. 그런 다음 라우팅 엔진은 침입 탐지 및 방지(IDP) 공격 로그를 구문 분석하고 필요에 따라 침입 탐지 및 방지(IDP) 경보를 발생시킵니다.

  • 침입 탐지 및 방지(IDP) 알람을 set security alarms potential-violation idp 활성화하려면 명령을 사용합니다.

  • 구성이 제대로 작동하는지 확인하려면 명령을 사용합니다 show security alarms .

메모:

Junos OS 릴리스 11.2 이전 릴리스에서 침입 탐지 및 방지(IDP) 공격 로그에는 공격 이벤트에 대한 정보가 포함되지만 관리자에게 경보를 울리지 않습니다.