Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

능동형 위협 프로파일링 개요

개요

Juniper ATP 클라우드 능동형 위협 프로파일링을 사용하면 Juniper Secure Edge는 자체 고급 탐지 및 정책 일치 이벤트에 기반하여 위협 피드를 생성, 전파 및 소비할 수 있습니다.

이 기능을 사용하면 일치할 때 소스 IP 주소, 대상 IP 주소, 소스 ID 또는 대상 ID를 위협 피드에 삽입하는 보안 또는 IDP 정책을 구성할 수 있으며, 이는 다른 디바이스에서 DAG(dynamic-address-group)로 활용할 수 있습니다. 이 기능은 네트워크 내에서 위협 행위자 추적 및 완화에 초점을 맞추고 있지만, 디바이스 분류와 같은 위협 방지 관련 활동에도 사용할 수 있습니다.

능동형 위협 프로파일링을 통해 Juniper ATP 클라우드 서비스는 피드 어그리게이터 역할을 하며 전사적인 Juniper Secure Edge의 피드를 통합하고, 중복된 결과를 정기적으로 모든 Juniper Secure Edge 디바이스에 공유합니다. 그런 다음 Juniper Secure Edge는 이러한 피드를 사용하여 트래픽에 대한 추가 작업을 수행할 수 있습니다.

참고:

이 기능을 사용하려면 Secure Edge Advanced 이상 라이선스가 필요합니다.

능동형 위협 프로파일링의 이점

  • 새로운 구축 아키텍처를 지원합니다. 이를 통해 Juniper Secure Edge를 탭 포트의 네트워크 전체의 센서로 구축하여 실시간으로 적용할 수 있도록 인라인 디바이스에 인텔리전스를 식별하고 공유할 수 있습니다.

  • 관리자는 변화하는 위협과 네트워크 환경에 거의 무한에 가까운 적응력을 제공합니다. 보안 정책은 능동형 위협 프로파일링 피드로 설정될 수 있으며, 침입 또는 멀웨어 발생 시 자동으로 항목으로 채워집니다.

  • 엔드포인트 분류를 수행할 수 있는 기능을 제공합니다. 네트워크 동작 및/또는 DPI(심층 패킷 검사) 결과를 기반으로 엔드포인트를 분류할 수 있습니다. 예를 들어, AppID, 웹 필터링 또는 IDP를 활용하여 Ubuntu의 업데이트 서버와 통신하는 호스트를 네트워크에서 Ubuntu-Server 동작을 제어하는 데 사용할 수 있는 동적 주소 그룹으로 배치할 수 있습니다.

> 능동형 위협 프로파일링 구성에서 이 페이지에 액세스하십시오.

표 1: 능동형 위협 프로파일링

필드

지침

피드 이름

능동형 위협 프로파일링 피드의 이름입니다.

항목

피드의 항목 수입니다.

피드 유형

피드의 컨텐츠 유형. 지원되는 옵션은 다음과 같습니다.

  • Ip

  • User_id

감염된 호스트에 추가

피드 콘텐츠(예: 소스 또는 대상 IP 주소)가 감염된 호스트 피드에 추가되었는지 여부를 표시합니다.

  • True - 피드 콘텐츠가 감염된 호스트 피드에 추가됩니다.

  • False - 피드 콘텐츠가 감염된 호스트 피드에 추가되지 않습니다.

참고:

현재 감염된 호스트 피드에 IP 주소 피드 유형만 추가할 수 있습니다.

라이브 시간(일)

피드 내에서 항목이 "게시"될 수 있는 길이를 정의합니다. TTL에 도달하면 항목이 자동으로 제거됩니다.

참고:
  • 피드는 DAG(dynamic-address groups) /IP 필터로만 사용될 수 있습니다.

이 페이지에서 다음 작업을 수행할 수 있습니다.

  • 새로운 피드 추가 - 능동형 위협 프로파일링 피드 생성을 참조하십시오.

  • 피드 수정 - 피드를 선택하고 편집 아이콘(연필)을 클릭합니다. 피드를 생성할 때 제시된 것과 동일한 필드를 표시하는 편집 <feed-name> 페이지가 표시됩니다. 필요에 따라 필드를 수정합니다. [확인 ]을 클릭하여 변경 사항을 저장합니다.

    참고:

    피드 이름과 피드 유형을 편집할 수 없습니다.

  • 피드 삭제 - 피드를 선택하고 제목 막대에서 삭제 아이콘을 클릭합니다. 삭제에 대한 확인을 요청하는 팝업이 나타납니다. 예(Yes )를 클릭하여 피드를 삭제할 지 확인합니다.

  • 피드에 대한 필터 또는 검색 - 필터 아이콘을 클릭합니다. 검색 모음에서 키워드의 부분 텍스트 또는 전체 텍스트를 입력하고 검색 단추를 클릭하거나 Enter 키를 누릅니 . 검색 결과가 표시됩니다. 피드 유형과 라이브 시간(일)을 필터링할 수도 있습니다.

  • 피드에 대한 자세한 정보 보기 - 피드 이름을 클릭하여 다음 정보를 확인합니다.

    • 피드 항목 - 피드와 연결된 모든 IP 주소 또는 사용자 ID를 나열합니다. 피드에서 IP 주소 또는 사용자 ID를 제외하려면 IP 주소 또는 사용자 ID를 선택하고 제외 항목에 추가를 클릭합니다.

    • 제외 항목 - 피드에서 제외된 모든 IP 주소 또는 사용자 ID를 나열합니다. 제외된 항목 목록의 IP 주소 또는 사용자 ID를 제거하려면 IP 주소 또는 사용자 ID를 선택하고 삭제 아이콘을 클릭합니다.

      피드에서 IP 주소 또는 사용자 ID를 수동으로 제외하기 위해 다음을 수행합니다.

      1. 제외 항목 탭에서 더하기(+) 아이콘을 클릭합니다.

        제외 목록에 추가 페이지가 표시됩니다.

      2. 피드에서 제외할 IP 주소 또는 사용자 ID를 입력합니다.

      3. [확인]을 클릭합니다.

        IP 주소 또는 사용자 ID는 제외 항목 페이지에 나열되어 있습니다.

능동형 위협 프로파일링 구성

Juniper 이미 Juniper ATP 클라우드에 등록한 Secure Edge에는 적응형 위협 프로파일링을 활용하는 데 필요한 모든 구성이 포함되어야 합니다.

적응형 위협 프로파일링을 구성하려면 다음을 수행합니다.

  1. 능동형 위협 프로파일링 피드를 생성하고 ATP > 능동형 위협 프로파일링 > +를 > 공유 서비스를 선택합니다. 능동형 위협 프로파일링 페이지가 그림 1과 같이 표시됩니다. 이 예에서는 피드 이름 High_Risk_Users 7일의 TTL(time-to-live)과 함께 사용합니다.

    그림 1: 새 피드 Add New Feed 추가
  2. [확인]을 클릭하여 변경 사항을 저장합니다. 자세한 내용은 능동형 위협 프로파일링 피드 생성을 참조하십시오.

  3. Secure Edge에서 피드를 다운로드했는지 Juniper. 이것은 정기적으로 자동으로 수행되지만 몇 초가 걸릴 수 있습니다.