McAfee Enterprise Security Manager 제품 안내서

Transcription

1 제품안내서 McAfee Enterprise Security Manager

2 저작권 2017 Intel Corporation 상표인증 Intel 및 Intel 로고는미국및 / 또는기타국가에서 Intel Corporation 의등록상표입니다. McAfee, McAfee 로고, McAfee Active Protection, McAfee DeepSAFE, epolicy Orchestrator, McAfee epo, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee 라이브세이프, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource, VirusScan 은미국및기타국가에서 McAfee, Inc. 또는자회사의등록상표또는상표입니다. 기타이름및브랜드는각소유자의재산으로주장될수있습니다. 사용권정보 사용권계약서모든사용자에대한고지사항 : 사용자가구입한사용권에대한올바른법적계약서를주의깊게읽으십시오. 정식소프트웨어의사용에대한일반사항과조건이명시되어있습니다. 구입한사용권의종류를잘모르겠으면, 영업부에문의하시거나기타관련사용권허가서또는소프트웨어포장에포함되어있는구입주문서또는구입의일부로서별도로받은사용권허가서 ( 책자, 제품 CD 에있는파일, 소프트웨어패키지를다운로드한웹사이트에있는파일 ) 를참조하십시오. 여기서설명하는모든조건에동의하지않으면소프트웨어를설치하지마십시오. 이경우, 이제품을 MCAFEE 또는구입처에반환하면전액환불해드립니다. 2 McAfee Enterprise Security Manager 제품안내서

3 목차 서문 9 안내서정보 대상 표기규칙 제품설명서찾기 현지화된정보찾기 소개 13 McAfee Enterprise Security Manager (McAfee ESM) 작동방식 장치및해당기능 ESM 도움말사용 현지화된정보찾기 시작하기 17 로그온및로그오프 로그온페이지사용자지정 ESM 소프트웨어업데이트 규칙업데이트자격증명가져오기및추가 규칙업데이트확인 이벤트로그의언어변경 장치연결 ESM 콘솔에장치추가 표시유형선택 사용자지정표시유형관리 콘솔시간제한값설정 ESM 구성 25 장치키 장치에키지정 SSH 키관리 장치구성 장치정보보기 장치새로고침 장치요약보고서보기 시스템또는장치로그보기 여러장치관리 모든장치의 URL 링크관리 장치에서네트워크트래픽제어설정 SNMP 통보구성 ESM 과장치동기화 ELM 과의통신설정 기본로깅풀설정 시스템에액세스권한부여 트래픽모니터링 장치시작, 중지, 재부팅또는새로고침 McAfee Enterprise Security Manager 제품안내서 3

4 목차 ESM 과의연결변경 가상장치 사용자지정표시유형관리 사용자지정표시유형에서그룹관리 그룹또는장치삭제 시스템탐색트리에서중복장치삭제 장치구성 Event Receiver 설정 Enterprise Log Search(ELS) 설정 ELM(Enterprise Log Manager) 설정 ACE(Advanced Correlation Engine) 설정 ADM(Application Data Monitor) 설정 Database Event Monitor(DEM) 설정 배포된 ESM(DESM) 설정 epolicy Orchestrator 설정 McAfee Vulnerability Manager 설정 McAfee Network Security Manager 설정 보조서비스구성 일반시스템정보 해결서버설정구성 ESM 시스템트리의자동새로고침중지 메시지설정 장치에서 NTP 설정 글로벌블랙리스트관리페이지 네트워크설정구성 시스템시간동기화 새인증서설치 프로파일구성 SNMP 구성 데이터베이스관리 데이터베이스보관설정 ESM 데이터저장소설정 ESM VM 데이터저장소설정 사용가능한누적장치인덱스수늘리기 데이터보존제한설정 데이터할당제한 데이터베이스인덱스설정관리 누적장치인덱싱관리 데이터베이스메모리사용률보기 사용자및그룹 사용자추가 사용자설정선택 보안설정 McAfee epo 의사용자자격증명설정 사용자비활성화또는다시활성화 LDAP 서버에대해사용자인증 사용자그룹설정 제한된액세스를사용하여그룹추가 시스템설정백업및복원 ESM 설정및시스템데이터백업 ESM 설정복원 백업한구성파일복원 ESM 에서백업파일 파일유지관리 중복 ESM ESM 중복설정 McAfee Enterprise Security Manager 제품안내서

5 목차 중복 ESM 제거 공유된쿼리비활성화 중복 ESM 을기본 ESM 으로변경 ESM 관리 로그관리 IP 주소마스크 ESM 로깅설정 통신키내보내기및복원 SSH 키다시생성 쿼리관리자 ESM 에서실행되는쿼리관리 기본또는중복 ESM 업데이트 글로벌블랙리스트사용 글로벌블랙리스트설정 데이터보강 데이터강화소스추가 McAfee Real Time for McAfee epo 데이터강화설정 Hadoop HBase 데이터강화소스추가 Hadoop Pig 데이터보강소스추가 사용자이름에대한 Active Directory 데이터보강추가 대시보드보기 225 대시보드구성요소 사전된 ( 기본 ) 보기 대시보드보기열기 사용자지정대시보드보기추가 대시보드위젯바인딩 대시보드보기필터링 통보에응답 열린케이스검사 Cyber Threat 관리 231 Cyber Threat 관리설정 도메인에대한 Cyber Threat 피드설정 Cyber Threat 피드결과보기 지원되는표시기유형 IOC STIX XML 파일의수동업로드시오류 콘텐츠팩 235 콘텐츠팩가져오기 경보워크플로 237 경보빌드준비 경보메시지설정 경보오디오파일관리 경보빌드 경보모니터링활성화또는비활성화 경보복사 경보만들기 경보에대한모니터및응답 트리거된경보를보고관리합니다 경보보고서대기열관리 경보조정 UCAPL 경보만들기 상태모니터이벤트경보추가 필드일치경보추가 McAfee Enterprise Security Manager 제품안내서 5

6 목차 트리거된경보및케이스에대한요약사용자지정 규칙에경보추가 SNMP 트랩을경보액션으로만들기 전원오류통보경보추가 동기화되지않은데이터소스관리 이벤트 265 이벤트, 플로및로그 이벤트, 플로및로그다운로드설정 데이터의수집시간제한 비활성임계값설정 이벤트및플로가져오기 이벤트, 플로및로그확인 위치및 ASN 설정 이벤트또는플로집계 이벤트전달설정 보고서관리 분기별보고서의시작월설정 보고서추가 보고서레이아웃추가 보고서에이미지구성요소추가 PDF 및보고서에이미지포함 보고서조건추가 보고서에호스트이름표시 contains 및 regex 필터설명 ESM 보기 보기관리 세션상세정보보기 보기필터링 감시목록 플로보기 [ 고급 ELM 검색 ] 보기 구성요소보기 쿼리마법사 사용자지정유형필터 사용자지정유형만들기 사전된사용자지정유형테이블 시간사용자지정유형추가 이름 / 값사용자지정유형 이름 / 값그룹사용자지정유형추가 UCF 및 Windows 이벤트 ID 필터추가 McAfee Active Response 검색 Active Response 검색실행 Active Response 검색결과관리 Active Response 데이터보강소스추가 Active Response 관심목록추가 케이스관리 321 케이스추가 이벤트에서케이스만들기 기존케이스에이벤트추가 케이스편집또는닫기 케이스세부정보보기 케이스상태수준추가 이메일케이스 모든케이스보기 McAfee Enterprise Security Manager 제품안내서

7 목차 케이스관리보고서생성 자산관리자 331 [ 자산관리자 ] 작동방식 자산관리 이전자산 자산소스 자산소스관리 취약성평가소스를관리 영역관리 영역관리 영역추가 영역설정내보내기 영역설정가져오기 하위영역추가 자산, 위협및위험평가 알려진위협관리 정책및규칙관리 343 정책편집기이해 정책트리 정책트리에서정책관리 데이터베이스감사추적의규칙및보고서설정 정규화 규칙유형및속성 ADM 규칙 ASP( 고급 Syslog 분석기 ) 규칙 상관규칙 데이터소스규칙 DEM 규칙 ESM 규칙 필터규칙 트랜잭션추적규칙추가또는편집 변수 Windows 이벤트규칙 기본정책설정 초과구독모드설정 장치의정책업데이트상태보기 규칙 규칙관리 규칙가져오기 변수가져오기 규칙내보내기 기존규칙필터링 규칙의시그니처보기 규칙업데이트검색 업데이트된규칙상태지우기 규칙파일비교 규칙변경기록보기 규칙의새감시목록만들기 감시목록에규칙추가 태그를규칙또는자산에할당 집합설정수정 다운로드된규칙의액션재 심각도가중치 심각도가중치설정 McAfee Enterprise Security Manager 제품안내서 7

8 목차 정책변경기록보기 정책변경사항적용 패킷복사활성화 A FIPS 모드정보 397 FIPS 모드정보 FIPS 무결성체크 FIPS 모드에서키가지정된장치추가 FIPS 모드에서장치정보백업및복원 FIPS 모드에서여러 ESM 장치와의통신활성화 FIPS 모드문제해결 색인 McAfee Enterprise Security Manager 제품안내서

9 서문 이안내서는 McAfee 제품시필요한정보를제공합니다. 목차 안내서정보제품설명서찾기 안내서정보 여기서는본안내서의대상독자, 안내서에사용된표기규칙과아이콘및안내서의구성방식에대해설명합니다. 대상 McAfee 문서는대상에맞도록세심하게조사및작성되었습니다. 이안내서의정보는우선적으로다음을대상으로합니다 : 관리자 회사보안프로그램을구현하고시행하는인원입니다. 표기규칙 본안내서에서는이러한표기규칙과아이콘을사용합니다. 기울임꼴 굵은글꼴 고정폭 책의제목, 장, 항목, 새용어, 강조 강조하는텍스트 사용자가입력하는명령및기타텍스트, 코드샘플, 표시되는메시지 [ 좁고굵은글꼴 ], 메뉴, 단추및대화상자와같은제품인터페이스의단어 파란색하이퍼텍스트항목또는외부웹사이트에대한링크 참고 : 요소를강조하고독자에게항목을알리거나대체방법을제공하는추가정보 팁 : 모범사례정보 주의 : 컴퓨터시스템, 소프트웨어설치, 네트워크, 비즈니스또는데이터를보호하는중요한정보 경고 : 하드웨어제품을사용할때물리적손상을방지하는중요정보 McAfee Enterprise Security Manager 제품안내서 9

10 서문제품설명서찾기 제품설명서찾기 [ServicePortal] 에서제품설명서, 기술문서등을포함하여릴리스제품에대한정보를찾을수있습니다. 1 [ServicePortal]( 로이동하여 [ 지식센터 ] 탭을클릭합니다. 2 [ 기술자료 ] 창의 [ 콘텐츠소스 ] 아래에서 [ 제품설명서 ] 를클릭합니다. 3 제품및버전을선택한다음 [ 검색 ] 을클릭하면문서목록이표시됩니다. 10 페이지의현지화된정보찾기현지화된 ( 번역된 ) McAfee ESM 릴리스정보, 도움말, 제품안내서및설치안내서를제공합니다. 현지화된정보찾기 현지화된 ( 번역된 ) McAfee ESM 릴리스정보, 도움말, 제품안내서및설치안내서를제공합니다. 중국어 ( 간체 ) 중국어 ( 번체 ) 영어 프랑스어 독일어 일본어 한국어 포르투갈어 ( 브라질 ) 스페인어 현지화된온라인도움말액세스 ESM 에서언어설정을변경하면온라인도움말에사용되는언어가자동으로변경됩니다. 1 ESM 콘솔에로그온합니다. 2 ESM 콘솔의시스템탐색창에서 [ ] 을선택합니다. 3 언어를선택하고 [ 확인 ] 을클릭합니다. 4 ESM 창의오른쪽상단모서리에있는도움말아이콘을클릭하거나 [ 도움말 ] 메뉴를선택합니다. 선택한언어로도움말이표시됩니다. 도움말이영어로만나타나는경우현지화된도움말을아직사용할수없습니다. 향후업데이트에서현지화된도움말이설치됩니다. 10 McAfee Enterprise Security Manager 제품안내서

11 서문제품설명서찾기 Knowledge Center 에서현지화된제품안내서를찾습니다. 1 Knowledge Center 를방문하십시오. 2 다음매개변수를사용하여현지화된제품설명서를검색합니다. 검색어 제품안내서, 설치안내서또는릴리스정보 제품 SIEM Enterprise Security Manger 버전 릴리스버전을선택합니다. 3 검색결과에서관련문서제목을클릭합니다. 4 PDF 아이콘이있는페이지의오른쪽에서언어링크가보일때까지아래로스크롤합니다. 관련언어를클릭합니다. 5 제품문서의현지화된버전을열려면 PDF 링크를클릭합니다. McAfee Enterprise Security Manager 제품안내서 11

12 서문제품설명서찾기 12 McAfee Enterprise Security Manager 제품안내서

13 1 1 소개 McAfee Enterprise Security Manager (McAfee ESM) 를통해보안및컴플라이언스전문가가단일위치에서이벤트를수집, 저장, 분석하고조치를취할수있습니다. 목차 McAfee Enterprise Security Manager (McAfee ESM) 작동방식장치및해당기능 ESM 도움말사용현지화된정보찾기 McAfee Enterprise Security Manager (McAfee ESM) 작동방식 McAfee ESM 은보안장치, 네트워크인프라, 시스템및응용프로그램에서데이터및이벤트를수집하고집계합니다. 그런다음사용자, 자산, 취약성및위협에대해문맥에맞는정보와결합하여해당데이터에지능을적용합니다. 해당정보를상호연결하여관련된인시던트를찾습니다. 대화형의사용자지정가능한대시보드를통해특정이벤트에서드릴다운하여인시던트를조사할수있습니다. ESM 은 3 가지계층으로구성됩니다. 인터페이스 브라우저기반인터페이스로, ESM 콘솔이라고합니다. 데이터저장소, 관리및분석 저장소, 정규화, 집계, 구성, 보고, 시각화및검색을제공하는장치입니다. ESM( 필수 ) Advanced Correlation Engine(ACE)( 권장 ) McAfee Enterprise Log Manager(ELM)( 권장 ) Enterprise Log Search(ELS)( 권장 ) 데이터수집 사용자의네트워크환경에서데이터를취득하는인터페이스및서비스를제공하는장치입니다. Event Receiver(Receiver) Application Data Monitor(ADM) Database Event Monitor(DEM) 모든명령, 컨트롤및구성요소간의통신기능은보안통신채널을통해구성됩니다. McAfee Enterprise Security Manager 제품안내서 13

14 1 소개장치및해당기능 장치및해당기능 ESM 을통해보안환경에서모든물리적및가상장치를관리및상호작용할수있습니다. 이다이어그램은사용자환경에서잠재적인위협에대응할수있도록 ESM 장치가함께작동하여데이터를수집하고공유하는방법을보여줍니다. 44 페이지의 Event Receiver 설정 91 페이지의 ELM(Enterprise Log Manager) 설정 116 페이지의 ADM(Application Data Monitor) 설정 131 페이지의 Database Event Monitor(DEM) 설정 110 페이지의 ACE(Advanced Correlation Engine) 설정 142 페이지의배포된 ESM(DESM) 설정 143 페이지의 epolicy Orchestrator 설정 14 McAfee Enterprise Security Manager 제품안내서

15 소개 ESM 도움말사용 1 ESM 도움말사용 ESM 의사용방법에대해질문이있습니까? ESM 사용방법에대한개념정보, 참조자료및단계별지침이있는온라인도움말을상황에맞는정보소스로사용합니다. 1 ESM 도움말을열려면다음중하나를수행합니다. 메뉴 [ 도움말 도움말목차 ] 를선택합니다. 화면에해당하는상황에맞는도움말을확인하려면 ESM 화면의상단오른쪽에있는물음표를클릭합니다. 2 도움말창에서 : [ 검색 ] 필드를사용하여도움말에서특정단어를찾습니다. 검색필드아래에결과가나타납니다. 오른쪽창에서도움말항목을표시하는관련링크를클릭합니다. [ 목차 ] 탭을사용하여도움말항목의순차적인목록을확인합니다. [ 색인 ] 을사용하여도움말에서특정용어를찾습니다. 키워드가사전순으로구성되어있어목록을스크롤하여원하는키워드를찾을수있습니다. 도움말항목을표시하는키워드를클릭합니다. 도움말항목의오른쪽상단에서프린터아이콘을클릭하여현재도움말항목을스크롤막대없이인쇄합니다. 도움말항목을아래로스크롤하여관련도움말항목에대한링크를찾습니다. 현지화된정보찾기 현지화된 ( 번역된 ) McAfee ESM 릴리스정보, 도움말, 제품안내서및설치안내서를제공합니다. 중국어 ( 간체 ) 중국어 ( 번체 ) 영어 프랑스어 독일어 일본어 한국어 포르투갈어 ( 브라질 ) 스페인어 현지화된온라인도움말액세스 ESM 에서언어설정을변경하면온라인도움말에사용되는언어가자동으로변경됩니다. 1 ESM 콘솔에로그온합니다. 2 ESM 콘솔의시스템탐색창에서 [ ] 을선택합니다. 3 언어를선택하고 [ 확인 ] 을클릭합니다. 4 ESM 창의오른쪽상단모서리에있는도움말아이콘을클릭하거나 [ 도움말 ] 메뉴를선택합니다. 선택한언어로도움말이표시됩니다. 도움말이영어로만나타나는경우현지화된도움말을아직사용할수없습니다. 향후업데이트에서현지화된도움말이설치됩니다. McAfee Enterprise Security Manager 제품안내서 15

16 1 소개현지화된정보찾기 Knowledge Center 에서현지화된제품안내서를찾습니다. 1 Knowledge Center 를방문하십시오. 2 다음매개변수를사용하여현지화된제품설명서를검색합니다. 검색어 제품안내서, 설치안내서또는릴리스정보 제품 SIEM Enterprise Security Manger 버전 릴리스버전을선택합니다. 3 검색결과에서관련문서제목을클릭합니다. 4 PDF 아이콘이있는페이지의오른쪽에서언어링크가보일때까지아래로스크롤합니다. 관련언어를클릭합니다. 5 제품문서의현지화된버전을열려면 PDF 링크를클릭합니다. 16 McAfee Enterprise Security Manager 제품안내서

17 2 시작하기 2 ESM 환경이현재사용할준비가되었는지확인합니다. 목차 로그온및로그오프로그온페이지사용자지정 ESM 소프트웨어업데이트규칙업데이트자격증명가져오기및추가규칙업데이트확인이벤트로그의언어변경장치연결콘솔시간제한값설정 로그온및로그오프 장치를설치하고설정한다음처음으로 ESM 콘솔에로그온할수있습니다. 1 클라이언트컴퓨터에서웹브라우저를열고네트워크인터페이스를구성했을때설정한 IP 주소로이동합니다. 2 [ 로그인 ] 을클릭하고콘솔의언어를선택한다음기본사용자이름및암호를입력합니다. 기본사용자이름 : NGCP 기본암호 : security.4u 3 [ 로그인 ] 을클릭하고 [ 최종사용자사용권계약 ] 을읽은다음 [ 동의 ] 를클릭합니다. 4 사용자이름과암호를변경한다음 [ 확인 ] 을클릭합니다. 5 FIPS 모드활성화여부를선택합니다. FIPS 모드에서해야하는경우시스템에처음로그온할때이를활성화하여 McAfee 장치와의모든향후이 FIPS 모드에서작동하도록해야합니다. FIPS 모드가필요하지않은경우활성화하지않는것이좋습니다. 자세한내용은 "FIPS 모드정보 " 를참조하십시오. 6 규칙업데이트에액세스하기위해필요한사용자이름및암호를가져오기위한지침을수행합니다. McAfee Enterprise Security Manager 제품안내서 17

18 2 시작하기로그온페이지사용자지정 7 초기 ESM 구성을수행합니다. a 시스템로그에사용할언어를선택합니다. b 이 ESM 이있는시간대및이계정과함께사용할날짜형식을선택하고 [ 다음 ] 을클릭합니다. c [ 초기 ESM 구성 ] 마법사페이지의설정을합니다. 지침을보려면각페이지에서 [ 도움말표시 ] 아이콘을클릭합니다. 8 [ 확인 ] 을클릭한다음시작하기에서도움말을보거나이버전의 ESM 에서사용할수있는새기능을보려면해당링크를클릭합니다. 9 세션을완료한경우다음방법중하나를사용하여로그오프합니다. 페이지가열려있지않은경우콘솔의상단오른쪽모서리에있는시스템탐색막대에서 [ 로그아웃 ] 을클릭합니다. 페이지가열려있으면브라우저를닫습니다. 18 페이지의로그온페이지사용자지정 21 페이지의이벤트로그의언어변경 로그온페이지사용자지정 회사보안정책또는로고등의텍스트를추가하여로그인페이지를사용자지정할수있습니다. 1 시스템탐색트리에서 [ 시스템속성 ] [ 사용자지정설정 ] 을클릭합니다. 2 다음중하나를수행합니다. 수행방법... 사용자지정텍스트추가 1 페이지상단의텍스트상자를클릭합니다. 2 [ 로그인 ] 페이지에추가하려는텍스트를입력합니다. 3 [ 로그인화면에텍스트포함 ] 을선택합니다. 사용자지정이미지추가 1 [ 이미지선택 ] 을클릭합니다. 2 사용할이미지를업로드합니다. 3 [ 로그인화면에이미지포함 ] 을선택합니다. 새사용자지정로고를업로드한후에도여전히 [ 로그인 ] 페이지에이전로고가보이는경우브라우저에서캐시를지웁니다. 사용자지정이미지삭제 [ 이미지삭제 ] 를클릭합니다. 기본로고가표시됩니다. 사용자지정이미지가업로드된경우에만이을사용할수있습니다. 18 McAfee Enterprise Security Manager 제품안내서

19 시작하기 ESM 소프트웨어업데이트 2 표 2-1 [ 추가텍스트입력 ] 회사보안정책과같이콘솔로그인페이지및장치 LCD 디스플레이에사용자지정텍스트를추가합니다. [ 사용자지정로고를선택합니다 ] [ 로그인화면에텍스트포함 ] [ 로그인화면에이미지포함 ] [ 내보낸 PDF 에이미지포함 ] [ 시스템트리의자동새로고침 ] 로그인페이지에서원하는이미지를선택합니다 (" 로그인페이지사용자지정 " 참조 ). 추가한텍스트를로그인페이지에표시하려는경우선택합니다 (" PDF 및보고서에이미지포함 " 참조 ). 선택한이미지를로그인페이지에표시하려는경우선택합니다. 선택한이미지를내보내는 PDF 및인쇄하는보고서에표시하려는경우선택합니다. 시스템트리는 5 분마다자동으로새로고쳐집니다. 자동새로고침을원하지않으면이을선택취소합니다 (" 시스템트리의자동새로고침중지 " 참조 ). [ 장치링크 ] 시스템의각장치에대한 URL 링크를변경합니다 (" 장치의 URL 편집 " 참조 ). [ 해결 ] 설정한경우해결시스템으로이벤트를보낼수있도록 [ 해결이메일서버 ] 설정을구성합니다." 해결설정구성 " 을참조하십시오. [ 월지정 ] 분기별로보고서를실행하는경우첫번째분기의시작월을합니다 (" 분기보고서의시작월설정 " 참조 ). 17 페이지의로그온및로그오프 21 페이지의이벤트로그의언어변경 ESM 소프트웨어업데이트 업데이트서버또는보안엔지니어에서소프트웨어업데이트에액세스한다음 ESM 에업로드합니다. 기본또는중복 ESM 을업데이트하려면 " 기본또는중복 ESM 업그레이드 " 를참조하십시오. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ESM 관리 ] 를클릭합니다. 2 [ 유지관리 ] 탭에서 [ESM 업데이트 ] 를클릭합니다. 3 ESM 을업데이트하기위해사용하려는파일을선택한다음 [ 확인 ] 을클릭합니다. 업데이트를설치하는동안 ESM 이재부팅되고모든현재세션연결이끊어집니다. 표 2-2 소프트웨어업데이트테이블 파일을클릭한다음 [ 확인 ] 을클릭합니다. 이로인해 ESM 이다시시작하고현재의모든세션의연결이끊어진다는경고가표시됩니다. 계속하려면 [ 예 ] 를클릭합니다. [ 찾아보기 ] McAfee 보안엔지니어또는 McAfee 규칙및업데이트서버에서가져온소프트웨어업데이트파일을찾습니다. [ 업로드 ] 를클릭한다음경고페이지에서 [ 예 ] 를클릭합니다. 20 페이지의규칙업데이트자격증명가져오기및추가 20 페이지의규칙업데이트확인 20 페이지의 [ 소프트웨어업데이트파일선택 ] 페이지 McAfee Enterprise Security Manager 제품안내서 19

20 2 시작하기규칙업데이트자격증명가져오기및추가 [ 소프트웨어업데이트파일선택 ] 페이지 ESM 의소프트웨어업데이트파일을선택합니다. 표 2-3 소프트웨어업데이트테이블 파일을클릭한다음 [ 확인 ] 을클릭합니다. 이로인해 ESM 이다시시작하고현재의모든세션의연결이끊어진다는경고가표시됩니다. 계속하려면 [ 예 ] 를클릭합니다. [ 찾아보기 ] McAfee 보안엔지니어또는 McAfee 규칙및업데이트서버에서가져온소프트웨어업데이트파일을찾습니다. [ 업로드 ] 를클릭한다음경고페이지에서 [ 예 ] 를클릭합니다. 19 페이지의 ESM 소프트웨어업데이트 규칙업데이트자격증명가져오기및추가 ESM 은유지관리계약의일부로정책, 분석기및규칙업데이트를제공합니다. 영구자격증명을요구하기전에 30 일간액세스할수있습니다. 1 다음정보를사용하여이메일메시지를 Licensing@McAfee.com 으로보내자격증명을가져옵니다. McAfee 허가번호 계정이름 주소 연락처이름 연락처이메일주소 2 McAfee 에서고객 ID 및암호를받을때시스템탐색트리에서 [ 시스템속성 ] [ 시스템정보 ] [ 규칙업데이트 ] 를선택합니다. 3 [ 자격증명 ] 을클릭한다음고객 ID 와암호를입력합니다. 4 [ 유효성검사 ] 를클릭합니다. 19 페이지의 ESM 소프트웨어업데이트 20 페이지의규칙업데이트확인 규칙업데이트확인 McAfee 시그니처팀은네트워크트래픽을검사하는데사용되는규칙시그니처를지속적으로업데이트합니다. 이업데이트는 McAfee 의중앙서버에서다운로드할수있습니다. 이러한업데이트는자동으로또는수동으로검색할수있습니다. 20 McAfee Enterprise Security Manager 제품안내서

21 시작하기이벤트로그의언어변경 2 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 시스템정보 ] 가선택되었는지확인합니다. 2 [ 규칙업데이트 ] 필드에서사용권이만료되지않았는지체크합니다. 사용권이만료된경우 " 규칙업데이트자격증명가져오기및추가 " 를참조하십시오. 3 라이센스가유효한경우 [ 규칙업데이트 ] 를클릭합니다. 4 다음중하나를선택합니다. [ 자동체크간격 ] 은선택하는빈도를사용하여자동으로업데이트를체크하도록시스템을설정합니다. [ 지금체크 ] 는지금업데이트를체크합니다. [ 수동업데이트 ] 는로컬파일에서규칙을업데이트합니다. 5 [ 확인 ] 을클릭합니다. 19 페이지의 ESM 소프트웨어업데이트 20 페이지의규칙업데이트자격증명가져오기및추가 이벤트로그의언어변경 처음으로 ESM 에로그온할때상태모니터로그및장치로그와같은이벤트로그에대해사용할언어를선택합니다. 이언어설정을변경할수있습니다. 1 시스템탐색트리에서 [ 시스템속성 ] [ESM 관리 ] 를선택합니다. 2 [ 시스템로캘 ] 을클릭하고드롭다운목록에서언어를선택한다음 [ 확인 ] 을클릭합니다. 17 페이지의로그온및로그오프 18 페이지의로그온페이지사용자지정 장치연결 응용프로그램및데이터베이스모니터링, 고급규칙및위험기반상관, 컴플라이언스보고를활성화하려면물리적장치와가상장치를 McAfee ESM 에연결합니다. 목차 ESM 콘솔에장치추가표시유형선택사용자지정표시유형관리 McAfee Enterprise Security Manager 제품안내서 21

22 2 시작하기장치연결 ESM 콘솔에장치추가 물리적장치및가상장치를설정하고설치한다음에는 ESM 콘솔에추가합니다. 시작하기전에 장치를설정하고설치합니다. 다음단계는여러 ESM 장치가포함된복잡한 ESM 설치에서 ESM 에장치를추가할때만필요합니다. 조합 ESM 을사용하는간단한 ESM 설치에서는이을수행할필요가없습니다. 1 시스템탐색트리에서 [ 로컬 ESM] 또는그룹을클릭합니다. 2 액션도구모음에서을클릭합니다. 3 추가하려는장치유형을선택하고 [ 다음 ] 을클릭합니다. 4 [ 장치이름 ] 필드에이그룹에서고유한이름을입력하고 [ 다음 ] 을클릭합니다. 5 요청된정보를제공합니다. McAfee epo 장치 수신기를선택하고웹인터페이스에로그온하는데필요한자격증명을입력한후 [ 다음 ] 을클릭합니다. 데이터베이스와통신하는데사용할설정을입력합니다. 장치의사용자이름및암호를가진사용자에대한액세스를제한하려면 [ 사용자인증필요 ] 를선택합니다. 다른모든장치 장치에대한 IP 주소또는 URL 을입력합니다. 6 장치에서 NTP(Network Time Protocol) 설정사용여부를선택하고 [ 다음 ] 을클릭합니다. 7 이장치의암호를입력하고 [ 다음 ] 을클릭합니다. ESM 은연결상태에서장치통신및보고서를테스트합니다. 22 페이지의표시유형선택 23 페이지의사용자지정표시유형관리 42 페이지의사용자지정표시유형에서그룹관리 표시유형선택 시스템탐색트리에서장치를표시하려는방법을선택합니다. 시작하기전에사용자지정표시를선택하려면먼저시스템에추가해야합니다 (see " 사용자지정표시유형관리 " 참조 ). 1 시스템탐색창에서표시유형필드의드롭다운화살표를클릭합니다. 2 표시유형중하나를선택합니다. 탐색트리의장치구성이현재세션에대해선택한유형을반영하도록변경됩니다. 22 페이지의 ESM 콘솔에장치추가 23 페이지의사용자지정표시유형관리 42 페이지의사용자지정표시유형에서그룹관리 22 McAfee Enterprise Security Manager 제품안내서

23 시작하기콘솔시간제한값설정 2 사용자지정표시유형관리 사용자지정표시유형을추가, 편집또는삭제하여장치를시스템탐색트리에구성할방법을할수있습니다. 1 시스템탐색창에서표시유형드롭다운화살표를클릭합니다. 2 다음중하나를수행합니다. 수행방법... 사용자지정표시유형추가 1 [ 표시추가 ] 를클릭합니다. 2 필드를입력한다음 [ 확인 ] 을클릭합니다. 사용자지정표시유형편집 1 편집할표시유형옆의 [ 편집 ] 아이콘을클릭합니다. 2 설정을변경한다음 [ 확인 ] 을클릭합니다. 사용자지정표시유형삭제삭제할표시유형옆의 [ 삭제 ] 아이콘을클릭합니다. 22 페이지의 ESM 콘솔에장치추가 22 페이지의표시유형선택 42 페이지의사용자지정표시유형에서그룹관리 콘솔시간제한값설정 ESM 콘솔의현재세션은활동이있는한계속열려있습니다. 세션이닫히기전에아무활동이없는시간을합니다. 1 시스템탐색트리에서 [ 시스템속성 ] [ 로그인보안 ] 을선택합니다. 2 [UI 시간초과값 ] 에서활동이없이지나야하는시간 ( 분 ) 을선택한다음 [ 확인 ] 을클릭합니다. 영 (0) 을선택하는경우콘솔이무기한열려있습니다. McAfee Enterprise Security Manager 제품안내서 23

24 2 시작하기콘솔시간제한값설정 24 McAfee Enterprise Security Manager 제품안내서

25 3 ESM 3 구성 ESM 은데이터, 설정, 업데이트및구성을관리합니다. 여러장치와동시에통신합니다. ESM 환경을만들때조직의요구사항및컴플라이언스목표를주의깊게고려하여조직의보안관리라이프사이클을지원합니다. 목차 장치키장치구성장치구성보조서비스구성데이터베이스관리사용자및그룹시스템설정백업및복원중복 ESM ESM 관리글로벌블랙리스트사용데이터보강 장치키 ESM 이장치와통신하려면장치에키를지정할때만들어진통신키를사용하여모든통신을암호화해야합니다. 모든키는암호로암호화된대체파일로내보내는것이좋습니다. 그러면긴급시장치와의통신을복원하거나다른장치에키를내보내기위해키를가져올수있습니다. 모든설정은 ESM 에저장됩니다. 이는 ESM 콘솔이 ESM 에서유지관리되는키를알고있기때문에 ESM 이이미장치와성공적으로통신하고있는경우장치키를가져올필요가없다는의미입니다. 예를들어월요일에장치키를포함하는설정을백업한다음화요일에장치중하나의키를다시지정할수있습니다. 수요일에월요일의설정을복원해야한다는것을깨달은경우설정복원이완료된후화요일에만든키를가져와야합니다. 비록복원을통해장치키를월요일의설정으로되돌려놓았지만, 장치는여전히화요일의키로인코딩된트래픽에대해서만수신되기때문입니다. 이키를가져와야장치와의통신이가능하게됩니다. 장치키를별도의 ESM 으로가져오지않는것이좋습니다. 키내보내기는적절한장치관리의역할을위해, 장치에대한관리 ESM 으로장치를재설치하는데사용됩니다. 장치를두번째 ESM 으로가져오는경우정책관리, ELM 로깅및관리, 데이터소스및가상장치설정을비롯하여여러장치기능을사용할수없습니다. 장치관리자는다른 ESM 에서장치의설정을덮어쓸수있습니다. 단일 ESM 을사용하여연결된장치를관리하는것이좋습니다. DESM 은다른 ESM 에연결된장치에서데이터수집을처리할수있습니다. McAfee Enterprise Security Manager 제품안내서 25

26 3 ESM 구성장치키 장치에키지정 ESM 에장치를추가한다음통신을활성화하려면장치에키를지정해야합니다. 장치키지정은모든외부통신소스를무시함으로써보안을추가합니다. 시작하기전에 하위의 IP 주소를변경한후분산 ESM 에키를지정하는경우 ESM 에다시연결되도록해당포트 443 이열려있어야합니다. # $ % ^ & * ) ( ] [ } { : ; " ' > < >, /? ` ~ + = \ 1 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 키관리 ] [ 장치에키지정 ] 을클릭합니다. 장치에연결이설정되고 ESM 과통신할수있으면 [ 장치에키지정마법사 ] 가열립니다. 3 장치에새암호를입력하고 [ 다음 ] 을클릭합니다. 4 [ 키내보내기 ] 를클릭한다음 [ 키내보내기 ] 페이지를완료하거나나중에키를내보내려면 [ 마침 ] 을클릭합니다. 표 3-1 [ 새암호입력 ] 장치에새암호를입력하고확인합니다. [ 다음 ] 암호를입력하고확인한다음클릭합니다. 장치에키가성공적으로지정되면알려줍니다. [ 키내보내기 ] 이키복사본을내보냅니다. 이장치를다시추가해야하는경우필요하기때문에이을수행하는것이좋습니다. 표 3-2 [ 장치에키지정 ] ESM 이장치와통신할수있도록장치에키를지정하면더안전합니다. [ 키가져오기 ] 이전설정으로 ESM 을복원하거나다른 ESM 또는레거시콘솔에서사용하려면키를가져옵니다. [ 키내보내기 ] 키를내보내대체파일에저장하면나중에사용할수있습니다. [SSH 키관리 ] 이장치의 SSH 통신키를보거나삭제합니다. 26 페이지의 SSH 키관리 SSH 키관리 장치는안전하게통신해야하는시스템의 SSH 통신키를가질수있습니다. 키를삭제하여이러한시스템과의통신을중지할수있습니다. 26 McAfee Enterprise Security Manager 제품안내서

27 ESM 구성장치구성 3 1 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 키관리 ] 를클릭한다음 [SSH 키관리 ] 를클릭합니다. [SSH 키관리 ] 페이지에서장치가통신하는 ESM 의 ID 를나열합니다. 3 나열된시스템중하나와통신을중지하려면 ID 를강조표시하고 [ 삭제 ] 를클릭합니다. 4 삭제를확인한다음 [ 확인 ] 을클릭합니다. 표 3-3 [ 인증된키 ] 테이블이장치에 SSH 통신키가있는시스템을봅니다. SSH 가활성화되면이목록의시스템이통신합니다. [ 알려진호스트 ] 장치의경우이장치가통신한 SSH 지원장치키를관리합니다 ( 예 : SCP 데이터소스에대한수신기 ). ESM 의경우 ESM 이통신하는시스템트리의모든장치키를봅니다. [ 알려진호스트 ] 테이블 known_hosts 파일 (root/.ssh/known_hosts) 에서사용할수있는호스트데이터로채워진 IP 주소, 장치이름및지문을봅니다. [ 장치의지문 ] 장치의공개 SSH 키에서생성된이장치의지문을봅니다. [ 삭제 ] ESM 에서선택한항목을삭제합니다. [ 키보기 ] 선택한항목의키를봅니다. 26 페이지의장치에키지정 장치구성 시스템탐색트리에시스템의장치가나열됩니다. 표시유형기능을사용하여장치를표시하려는방식을선택할수있습니다. 시스템의장치수를늘릴때해야하는장치를찾을수있도록논리적으로구성하는것이좋습니다. 예를들어여러위치에사무실이있는경우사무실이있는영역에따라사무실을표시하는것이가장좋을수있습니다. 사전된세개의표시를사용할수있으며사용자지정표시를설계할수있습니다. 각사용자지정표시에그룹을추가하면장치를더구성할수있습니다. 장치정보보기 장치에대한일반정보를봅니다. 장치의 [ 정보 ] 페이지를열어시스템 ID, 일련번호, 모델, 버전, 빌드등을봅니다. McAfee Enterprise Security Manager 제품안내서 27

28 3 ESM 구성장치구성 1 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 사용가능한정보를본다음 [ 확인 ] 을클릭합니다. 표 3-4 [ 시스템 ID ] 장치 ID 번호입니다. 시스템을다시활성화해야하는경우 McAfee 지원은올바른파일을보내기위해이번호를요청합니다. [ 일련번호 ] 장치일련번호입니다. [ 모델 ] 장치모델번호입니다. [ 버전 ] 장치에서현재실행되는소프트웨어버전입니다. [ 빌드 ] 소프트웨어버전의빌드번호 [ 시계 (GMT)] 장치가마지막으로열리거나새로고친날짜및시간 [ 장치시계동기화 ] 이장치의시계를 ESM 의시계와동기화합니다. [ 영역 ] 장치가할당된경우할당된영역입니다. [ 영역 ] 을클릭하면 [ 영역정책관리자 ] 가열립니다 (" 영역추가 " 참조 ). [ 정책 ] 이장치에있는정책의현재상태입니다. [ 정책 ] 을클릭하면 [ 정책편집기 ] 가열립니다 (" 정책편집기 " 참조 ). [ 상태 ] 장치의프로세스상태및 FIPS 자체테스트를실행한다음 FIPS 상태 ( 장치가 FIPS 모드에서실행되는경우 ) 입니다. [ 시작 ] 장치를시작합니다. 장치가실행중이면아무것도발생하지않습니다. [ 중지 ] 장치를중지합니다. 모든데이터수집이중지된다는경고가표시됩니다. [ 재부팅 ] 장치를재시작합니다. 시스템이재부팅하는시간동안데이터수집이중지된다는경고가표시됩니다. [ 새로고침 ] 페이지에서정보를새로고칩니다. 표 3-5 [ 장치 ID ] 장치에할당된 ID 번호입니다. 이번호는변경할수없습니다. [ 이름 ] 시스템에추가한경우장치에제공한이름입니다. [ 시스템이름 ] LCD 또는 SSH 디스플레이에표시된이름입니다. 영문자로시작해야하고영숫자및대시만포함할수있습니다. [URL] 이벤트또는플로상세정보를볼수있는주소입니다. 최대 512 자까지허용합니다. URL 주소에타사응용프로그램주소가포함되어있고이벤트또는플로에있는데이터를나타내는변수를추가해야하는경우변수아이콘을클릭하고변수를선택합니다. 이벤트또는플로보기의테이블구성요소하단에있는 [ 장치 URL 시작 ] 아이콘을클릭하면 URL 에액세스할수있습니다. 그러면타사응용프로그램으로이동하여 URL 을통해연결된이벤트또는플로데이터를전달합니다. [ 설명 ] 장치에대한설명입니다. 28 McAfee Enterprise Security Manager 제품안내서

29 ESM 구성장치구성 3 29 페이지의 URL 링크추가 URL 에서장치정보를보려면각장치의 [ 이름및설명 ] 페이지에서링크를설정할수있습니다. 추가되면 보기구성요소의하단에있는 [ 장치 URL 시작 ] 아이콘로분석 ] 보기에서링크에액세스할수있습니다. 29 페이지의장치통계보기장치별 CPU, 메모리, 대기열및장치에대한다른상세정보를봅니다. 을클릭하여각장치에대한 [ 이벤트분석 ] 및 [ 플 31 페이지의메시지로그및장치통계보기시스템에서생성된메시지를보거나, 장치의성능에대한통계보기또는장치상태정보가포함된.tgz 파일을다운로드할수있습니다. 31 페이지의장치이름변경시스템트리에장치를추가하는경우트리에표시되는이름을제공합니다. 이이름, 시스템이름, URL 및설명을변경할수있습니다. 29 페이지의 URL 링크추가 29 페이지의장치통계보기 31 페이지의메시지로그및장치통계보기 31 페이지의장치이름변경 URL 링크추가 URL 에서장치정보를보려면각장치의 [ 이름및설명 ] 페이지에서링크를설정할수있습니다. 추가되면보기구성요소의하단에있는 [ 장치 URL 시작 ] 아이콘을클릭하여각장치에대한 [ 이벤트분석 ] 및 [ 플로분석 ] 보기에서링크에액세스할수있습니다. 1 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 이름및설명 ] 을클릭한다음 URL 을입력합니다. 3 [ 확인 ] 을클릭하여변경사항을저장합니다. 27 페이지의장치정보보기 29 페이지의장치통계보기 31 페이지의메시지로그및장치통계보기 31 페이지의장치이름변경 장치통계보기 장치별 CPU, 메모리, 대기열및장치에대한다른상세정보를봅니다. 시작하기전에 장치관리권한이있는지확인합니다. McAfee Enterprise Security Manager 제품안내서 29

30 3 ESM 구성장치구성 1 시스템탐색트리에서관련장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 장치 [ 관리 ] 를클릭한다음 [ 통계보기 ] 를클릭합니다. 그래프가해당장치에대한통계를표시하고 10 분마다새로고침을수행합니다. 데이터를표시하려면최소 30 분의데이터가필요합니다. 각메트릭유형에는여러메트릭이포함되어있으며일부는기본적으로활성화되어있습니다. 메트릭을활성화하려면 [ 표시됨 ] 을클릭합니다. 네번째열은해당메트릭의배율을나타냅니다. 표 3-6 [ 날짜범위 ] 통계를보려는시간을선택합니다. [ 메트릭 ] 보려는메트릭유형을선택합니다. [ 새로고침 ] 선택한메트릭에대한통계를포함하는그래프및표를채우려면클릭합니다. 그래프그래프형식으로선택한통계를봅니다. 표표형식으로선택한통계를봅니다. [ 그룹 ] 열메트릭그룹의유형을나열합니다. [ 메트릭 ] 열메트릭그룹의하위범주인메트릭을나열합니다. [ 표시됨 ] 열현재그래프로보여준메트릭을나타냅니다. 매트릭을선택하거나선택취소할수있고그래프는변경사항을반영합니다. [ 배율 ] 열해당메트릭의배율을나타냅니다. [ 색상 ] 열각메트릭을표시하는그래프의줄색상을나타냅니다. 29 페이지의 URL 링크추가 27 페이지의장치정보보기 31 페이지의메시지로그및장치통계보기 31 페이지의장치이름변경 30 페이지의장치통계를위한성능모니터탭 장치통계를위한성능모니터탭 선택한 ESM 또는장치를위한다양한통계를봅니다. 표 3-7 [ 날짜범위 ] 통계를보려는시간을선택합니다. [ 메트릭 ] 보려는메트릭유형을선택합니다. [ 새로고침 ] 선택한메트릭에대한통계를포함하는그래프및표를채우려면클릭합니다. 그래프그래프형식으로선택한통계를봅니다. 표표형식으로선택한통계를봅니다. [ 그룹 ] 열메트릭그룹의유형을나열합니다. [ 메트릭 ] 열메트릭그룹의하위범주인메트릭을나열합니다. [ 표시됨 ] 열현재그래프로보여준메트릭을나타냅니다. 매트릭을선택하거나선택취소할수있고그래프는변경사항을반영합니다. 30 McAfee Enterprise Security Manager 제품안내서

31 ESM 구성장치구성 3 표 3-7 ( 계속 ) [ 배율 ] 열해당메트릭의배율을나타냅니다. [ 색상 ] 열각메트릭을표시하는그래프의줄색상을나타냅니다. 29 페이지의장치통계보기 메시지로그및장치통계보기 시스템에서생성된메시지를보거나, 장치의성능에대한통계보기또는장치상태정보가포함된.tgz 파일을다운로드할수있습니다. 1 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 장치 [ 관리 ] 를클릭하고다음중하나를선택합니다. 설명 [ 로그보기 ] 시스템에서기록된메시지를보려면클릭합니다. 데이터를파일에다운로드하려면 [ 전체파일다운로드 ] 를클릭합니다. [ 통계보기 ] 이더넷인터페이스, ifconfig 및 iptables 필터등의장치성능에대한통계를보려면클릭합니다. [ 장치데이터 ] 장치상태에대한데이터가포함된.tgz 파일을다운로드하려면클릭합니다. 시스템에서문제를해결하기위해 McAfee 지원과함께중인경우이을사용할수있습니다. 29 페이지의 URL 링크추가 29 페이지의장치통계보기 27 페이지의장치정보보기 31 페이지의장치이름변경 장치이름변경 시스템트리에장치를추가하는경우트리에표시되는이름을제공합니다. 이이름, 시스템이름, URL 및설명을변경할수있습니다. 1 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 이름및설명 ] 을클릭한다음이름, 시스템이름, URL 및설명을변경하거나 [ 장치 ID] 번호를봅니다. 3 [ 확인 ] 을클릭합니다. 29 페이지의 URL 링크추가 29 페이지의장치통계보기 31 페이지의메시지로그및장치통계보기 27 페이지의장치정보보기 McAfee Enterprise Security Manager 제품안내서 31

32 3 ESM 구성장치구성 장치새로고침 정보가 ESM 과일치하도록시스템의장치를수동으로업데이트할수있습니다. 액션도구모음에서 [ 장치새로고침 ] 아이콘을클릭합니다. 장치요약보고서보기 장치요약보고서는 ESM 의장치유형과개수및각장치가마지막으로이벤트를받은시간을표시합니다. 이러한보고서는 CSV( 쉼표로구분된값 ) 형식으로내보낼수있습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 시스템정보 ] [ 보고서보기 ] 를클릭합니다. 2 [ 장치유형개수 ] 또는 [ 이벤트시간 ] 보고서를보거나내보냅니다. 3 [ 확인 ] 을클릭합니다. 표 3-8 [ 장치유형개수 ] 장치유형목록및 ESM 에있는각유형의수를봅니다. [ 이벤트시간 ] ESM 의각장치가마지막으로이벤트를받은시간을봅니다. [CSV 로내보내기 ] 이정보를포함하는보고서를 CSV 형식으로지정하는위치에내보냅니다. 시스템또는장치로그보기 시스템및장치로그는장치에서발생한이벤트를표시합니다. 이벤트개수와 ESM 또는장치의첫번째이벤트및마지막이벤트시간을표시하는요약페이지를보거나 [ 시스템로그 ] 또는 [ 장치로그 ] 페이지에서자세한이벤트목록을볼수있습니다. 1 이벤트데이터의요약을봅니다. 시스템데이터 [ 시스템속성 ] 에서 [ 시스템로그 ] 를클릭합니다. 장치데이터 장치의 [ 속성 ] 페이지에서 [ 장치로그 ] 를클릭합니다. 2 이벤트의로그를보려면시간범위를입력한다음 [ 보기 ] 를클릭합니다. [ 시스템로그 ] 또는 [ 장치로그 ] 페이지에지정한시간범위동안생성된모든이벤트가나열됩니다. 표 3-9 [ 시작시간 ], [ 중지시간 ] 이벤트목록에대한시간범위를변경한다음 [ 새로고침 ] 을클릭합니다. [ 내보내기 ] 전체로그또는일부를일반텍스트파일에내보내려면클릭합니다. 한번에최대 50,000 개의레코드를내보낼수있습니다. 첫번째 ( 상태 ) 열의필터아이콘 [ 범주 ], [ 이름 ] 및 [ 장치이름 ] 열의필터아이콘. 모든로그이벤트, 상태와관련된로그이벤트만또는상태와관련되지않은이벤트만보려는경우선택합니다. 상태와관련된로그이벤트는개별장치에서생성되고이벤트, 플로및로그를장치에서가져올때검색됩니다. 범주, 사용자이름또는장치로이벤트를필터링하려면클릭합니다. 32 McAfee Enterprise Security Manager 제품안내서

33 ESM 구성장치구성 3 표 3-10 [ 이벤트개수 ] 장치에로깅된총이벤트수입니다. [ 첫번째이벤트 ] 첫번째로그이벤트가발생한날짜및시간입니다. [ 마지막이벤트 ] 마지막로그이벤트가발생한날짜및시간입니다. [ 시작시간 ], [ 중지시간 ] 특정시간범위의이벤트를보려면이필드에시작시간및중지시간을입력합니다. [ 보기 ] 지정한시간범위의이벤트를보려면클릭합니다. 여러장치관리 [ 여러장치관리 ] 을통해한번에여러장치에서소프트웨어를시작, 중지, 다시시작또는업데이트할수있습니다. 1 시스템탐색트리에서관리하려는장치를선택합니다. 2 액션도구모음에서 [ 여러장치관리 ] 아이콘을클릭합니다. 3 수행하려는및이이수행될장치를선택한다음 [ 시작 ] 을클릭합니다. 표 3-11 [ ] 수행하려는을선택합니다. [ 시작 ] 선택한장치를시작합니다. [ 중지 ] 선택한장치를중지합니다. [ 재부팅 ] 선택한장치를중지하고다시시작합니다. [ 업데이트 ] [ 소프트웨어업데이트파일선택 ] 페이지에서선택한소프트웨어로선택한장치를업데이트합니다. [ 장치이름 ] 관리될수있는장치목록을봅니다. [ 포함 ] 열장치를선택합니다. [ 모두선택 ] 모든장치를선택하려면클릭합니다. [ 선택안함 ] 모든장치를선택취소하려면클릭합니다. [ 시작 ] 을시작하려면클릭합니다. [ 상태 ] 열각장치의상태를봅니다. [ 닫기 ] [ 여러장치관리 ] 페이지를닫으려면클릭합니다. 이완료될때까지계속됩니다. 모든장치의 URL 링크관리 각장치의링크를설정하면 URL 에서장치정보를볼수있습니다. 시작하기전에장치의 URL 사이트를설정합니다. McAfee Enterprise Security Manager 제품안내서 33

34 3 ESM 구성장치구성 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 사용자지정설정 ] [ 장치링크 ] 를클릭합니다. 2 URL 을추가하거나편집하려면장치를강조표시하고 [ 편집 ] 을클릭한다음 URL 을입력합니다. URL 필드제한은 512 자입니다. 3 [ 확인 ] 을클릭합니다. 각장치의 [ 이벤트분석 ] 및 [ 플로분석 ] 보기의하단에있는 [ 장치 URL 시작 ] 아이콘수있습니다. 을클릭하면 URL 에액세스할 표 3-12 [ 장치이름 ] 열 ESM 의모든장치를나열합니다. [URL] 열이미각장치에대해설정한 URL 주소를표시합니다. [ 편집 ] URL 주소를입력할수있는 [URL 편집 ] 페이지를엽니다. [URL 제거 ] 선택한장치의 URL 을삭제합니다. 표 3-13 [ URL ] 이장치에대한 URL 사이트의주소를입력합니다. [ 변수 ] 아이콘입력한 URL 주소가타사응용프로그램주소를포함하고이벤트및플로에있는데이터를나타내는 URL 주소에변수를추가해야하는경우변수를삽입해야하는 URL 주소의위치를클릭한다음변수아이콘을클릭하고변수를선택합니다. 장치에서네트워크트래픽제어설정 수신기, ACE, ELM, ADM 및 DEM 장치의최대데이터출력값을합니다. 이기능은대역폭제한을설정하고이러한각장치별로전송할수있는데이터의양을제어해야할때유용합니다. 이은초당킬로비트 (Kb), 메가비트 (Mb) 및기가비트 (Gb) 입니다. 트래픽을제한하면데이터유출이발생할수있으므로이기능을구성할때주의해야합니다. 1 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 장치의 [ 구성 ] 을클릭하고 [ 인터페이스 ] 를클릭한다음 [ 트래픽 ] 탭을클릭합니다. 표에기존컨트롤이나열됩니다. 3 장치에대해컨트롤을추가하려면 [ 추가 ] 를클릭하고네트워크주소및마스크를입력하고속도를설정한다음 [ 확인 ] 을클릭합니다. 마스크를 0 으로설정하면전송된모든데이터가제어됩니다. 4 [ 적용 ] 을클릭합니다. 지정한네트워크주소의아웃바운드트래픽속도가제어됩니다. 34 McAfee Enterprise Security Manager 제품안내서

35 ESM 구성장치구성 3 표 3-14 [ 네트워크 ] 열한값에따라시스템이아웃바운드트래픽을제어하는네트워크의주소를표시합니다. [ 마스크 ] 열네트워크주소의마스크를표시합니다. [ 최대처리량 ] 열각네트워크에대해한최대처리량을표시합니다. [ 추가 ], [ 편집 ], [ 삭제 ] 제어하려는네트워크주소를관리합니다. 표 3-15 [ 네트워크 ] 아웃바운드트래픽을제어하려는네트워크의주소를입력합니다. [ 마스크 ] 네트워크주소의마스크를선택합니다. 모두에대해 0 을선택합니다. [ 속도 ] 킬로비트 (Kb), 메가비트 (Mb) 또는기가비트 (Gb) 를선택한다음트래픽을보내는초당속도를선택합니다. 169 페이지의처리량속도추가페이지 SNMP 통보구성 장치에서생성된 SNMP 통보를구성하려면보낼트랩및해당대상을해야합니다. HA 수신기에서 SNMP 를설정하는경우기본수신기에대한트랩이공유 IP 주소를통해나갑니다. 따라서수신기를설정할때공유 IP 주소에대해하나를설정해야합니다. 1 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 구성 ] [SNMP] 를클릭합니다. 3 설정을한다음 [ 확인 ] 을클릭합니다. ESM 과장치동기화 ESM 을바꿔야하는경우각장치의키를가져와설정을복원합니다. 현재데이터베이스백업이없는경우꺼내기이벤트를계속할수있도록데이터소스, 가상장치및데이터베이스서버설정도 ESM 과동기화해야합니다. 1 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 구성 ] [ 장치동기화 ] 를클릭합니다. 3 동기화가완료되면 [ 확인 ] 을클릭합니다. ELM 과의통신설정 이장치의데이터를 ELM 에보내는경우장치의 [ 구성 ] 페이지에 [ELM IP] 와 [ELM 동기화 ] 가표시되어이를통해 IP 주소를업데이트하고 ELM 을장치와동기화할수있습니다. McAfee Enterprise Security Manager 제품안내서 35

36 3 ESM 구성장치구성 1 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 구성 ] 을클릭하고다음중하나를수행합니다. 클릭항목 [ELM IP ] [ELM 동기화 ] 이장치가연결된 ELM 의 IP 주소를업데이트합니다. ELM 의 IP 주소를변경하거나이장치가 ELM 과통신하는 ELM 관리인터페이스를변경하는경우이기능을수행해야합니다. 이들중하나가바뀌는경우 ELM 을장치와동기화합니다. 이기능을사용하는경우이전설정이적용된새장치의키를사용하여두장치간의 SSH 통신이다시설정됩니다. 기본로깅풀설정 시스템에 ELM 장치가있는경우받은이벤트데이터가 ELM 장치로전송되도록장치를설정할수있습니다. 그렇게하려면기본로깅풀을구성해야합니다. 장치는해당집합기간이만료될때까지이벤트를 ELM 에보내지않습니다. 1 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 구성 ] [ 로깅 ] 을클릭합니다. 3 열리는페이지에서적절한항목을선택합니다. 이장치에서 ELM 으로로깅이활성화되면알려줍니다. 표 3-16 [ 로그구성 ] 페이지활성화하려면 [ 로깅 ] 을선택합니다. [ 로깅 ] 링크 [ELM 로깅 ] 페이지에액세스하려면클릭합니다. [ELM 로깅 ] 페이지데이터를로깅할 ELM 에서저장소풀을선택합니다. [ 장치 - ELM 연결 ] 페이지데이터를로깅할 ELM 을선택하지않은경우이을수행할지확인합니다. 이연결이설정되면변경할수없습니다. [ 로깅할 ELM 선택 ] 페이지시스템에두개이상의 ELM 이있는경우데이터를로깅할 ELM 을선택합니다. [ELM IP 주소선택 ] 페이지장치를 ELM 과통신하려는 IP 주소를선택합니다. [ELM 풀없음 ] 페이지 ELM 에저장소풀이없는경우 [ELM 속성 ] [ 저장소풀 ] 로이동하여추가합니다. 54 페이지의수신기데이터소스 시스템에액세스권한부여 McAfee 에지원을요청하는경우기술지원엔지니어가시스템을볼수있도록액세스권한을부여해야할수있습니다. 36 McAfee Enterprise Security Manager 제품안내서

37 ESM 구성장치구성 3 1 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 장치 [ 관리 ] [ 연결 ] 을클릭합니다. 단추가 [ 연결끊기 ] 로변경되고 IP 주소가제공됩니다. 3 기술지원엔지니어에게 IP 주소를제공합니다. 암호등의추가정보를제공해야할수있습니다. 4 연결을종료하려면 [ 연결끊기 ] 를클릭합니다. 트래픽모니터링 DEM, ADM 장치를통과하는트래픽을모니터링하려면 [TCP 덤프 ] 를사용하여장치에서실행되는 Linux 프로그램의인스턴스를다운로드합니다. 1 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 장치 [ 관리 ] 를클릭합니다. 3 이페이지의 [TCP 덤프 ] 섹션에서인스턴스를다운로드하기위한단계를수행합니다. 표 3-17 [ 명령줄인수 ] TCP 덤프명령에전달할인수를입력합니다. 예를들어장치에서첫번째네트워크인터페이스의모든트래픽을보려면 -nni eth0 을입력할수있습니다. [ 시작 ] 장치에서덤프를시작하려면클릭합니다. [ 중지 ] 원하는트래픽이장치를통과하면클릭합니다. [ 내보내기 ] 결과를파일에내보내려면클릭합니다. 장치시작, 중지, 재부팅또는새로고침 [ 정보 ] 페이지에서장치시작, 중지, 재부팅또는새로고침을수행합니다. 1 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 장치 [ 정보 ] 가선택되었는지확인한다음 [ 시작 ], [ 중지 ], [ 재부팅 ] 또는 [ 새로고침 ] 을클릭합니다. McAfee Enterprise Security Manager 제품안내서 37

38 3 ESM 구성장치구성 ESM 과의연결변경 장치를 ESM 에추가할때 ESM 과의연결을설정합니다. IP 주소및포트를변경하고 SSH 통신을비활성화하고연결상태를체크할수있습니다. 시작하기전에 하위의 IP 주소를변경한후분산 ESM 에키를지정하는경우 ESM 에다시연결되도록해당포트 443 이열려있어야합니다. 이러한설정을변경해도장치자체에는영향을미치지않습니다. 단지 ESM 이장치와통신하는방식에만영향을미칩니다. 1 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 연결 ] 을클릭한다음변경합니다. 3 [ 적용 ] 을클릭합니다. 표 3-18 [ 대상 IP 주소 / 이름 ] ESM 이장치와통신하기위해사용하는 IP 주소또는호스트이름을입력합니다. [ 대상포트 ] 통신을시도하기위해사용되는포트를선택합니다 ( 기본포트는 22). [ 장치 ID] 장치의 ID 번호를봅니다. [ 이장치를비활성화됨으로표시 ] ESM 에대한 SSH 통신을중지하려면선택합니다. 시스템탐색트리에서이장치에대한아이콘은장치가비활성화되었다는것을나타냅니다. [ 상태 ] ( 선택사항 ) 연결을확인하려면클릭합니다. 표 3-19 [ 연결된수신기 ] 장치와연결된수신기를선택합니다. 링크를선택하면수신기의 [ 속성 ] 페이지를열수있습니다. [ 데이터베이스로그인매개변수 ] 이벤트를가져올수있도록데이터베이스로그인매개변수를변경합니다. [ 웹사이트 UI 자격증명 ] 웹사용자인터페이스에액세스하려면설정을변경합니다. [ 사용자인증필요 ] 장치에액세스하기전에모든사용자가사용자이름및암호를사용하여인증하도록하려면선택합니다. [ 연결 ] 데이터베이스또는웹에대한연결을테스트하려면둘중하나를클릭합니다. 가상장치 트래픽모니터링, 트래픽패턴비교및보고를위해가상장치를일부 ADM 장치모델에추가할수있습니다. 목적및이점가상장치는여러가지용도로사용할수있습니다. 38 McAfee Enterprise Security Manager 제품안내서

39 ESM 구성장치구성 3 규칙세트와트래픽패턴비교. 예를들어웹트래픽포트만확인하는가상장치를설정하고다른규칙을활성화하거나비활성화할수있는정책을설정할수있습니다. 보고. 이런방식으로사용하면자동필터설정과유사합니다. 트래픽의여러경로를한번에모니터링. 가상장치를사용하면각트래픽경로에대해별도의정책을설정하고다른트래픽을다른정책으로정렬할수있습니다. 모델당최대장치수 ADM 에추가할수있는가상장치수는다음과같이모델에따라다릅니다. 장치최대값모델 2 APM-1225 APM APM-2230 APM APM-VM 선택규칙이사용되는방법 선택규칙은가상장치에서처리하는패킷을결정하는필터로사용됩니다. 패킷이선택규칙과일치하려면해당규칙에된모든필터기준이일치해야합니다. 패킷의정보가단일선택규칙에대한모든필터기준과일치하는경우일치하는선택규칙을포함하는가상장치에서처리됩니다. 그렇지않으면순서대로다음가상장치로전달됩니다. 가상장치에서선택규칙이일치하지않으면 ADM 자체가기본값으로처리합니다. IPv4 가상장치와관련하여주의해야할사항 : 단일연결에대한모든패킷은연결의첫번째패킷에따라서만정렬됩니다. 연결의첫번째패킷이목록의세번째가상장치에대한선택규칙과일치하면해당연결의모든후속패킷은세번째가상장치로이동합니다. 이는패킷이목록에서더높은가상장치와일치하는경우에도그렇습니다. 잘못된패킷 ( 연결을설정하지않거나설정된연결의일부가아닌패킷 ) 은기본장치로정렬됩니다. 예를들어소스또는대상포트가 80 인패킷을검색하는가상장치가있는경우잘못된패킷이포트 80 을통과하면포트 80 트래픽을검색하는가상장치대신기본장치로정렬됩니다. 따라서기본장치에서가상장치로이동해야할것같은이벤트를볼수있습니다. 처음으로패킷이규칙과일치하면해당패킷이해당가상장치로자동으로라우팅되어처리되므로선택규칙이나열되는순서가중요합니다. 예를들어네개의선택규칙을추가하면순서에서네번째규칙이가장일반적으로트리거되는필터가됩니다. 이런식으로이가상장치에대한다른필터가가장일반적으로트리거된선택규칙에도달하기전에각패킷에의해전달되어야합니다. 처리를효율적으로하려면가장일반적으로트리거된필터를순서에서마지막이아닌첫번째가되도록합니다. 가상장치의순서 ADM 장치로오는패킷은가상장치가설정된순서대로각가상장치에대한선택규칙과비교됩니다. 그러므로가상장치가확인되는순서가중요합니다. 패킷은첫번째장치의선택규칙과일치하지않는경우에만두번째가상장치에대한선택규칙과비교됩니다. ADM 장치에서순서를변경하려면 [ 가상장치편집 ] 페이지 ([ADM 속성 ] [ 가상장치 ] [ 편집 ]) 로이동한다음화살표를사용하여올바른순서로배치합니다. McAfee Enterprise Security Manager 제품안내서 39

40 3 ESM 구성장치구성 ADM 가상장치 ADM 가상장치는인터페이스에서트래픽을모니터링합니다. 시스템에는최대네개의 ADM 인터페이스필터가있을수있습니다. 각필터는한번에하나의 ADM 가상장치에만적용할수있습니다. 필터가 ADM 가상장치에할당된경우해당장치에서제거될때까지사용가능한필터목록에나타나지않습니다. 잘못된패킷 ( 연결을설정하지않거나설정된연결의일부가아닌패킷 ) 은기본장치로정렬됩니다. 예를들어 ADM 가상장치가포트 80 의패킷을찾고잘못된패킷이포트 80 을통해전송되면기본장치로정렬됩니다. 따라서기본장치에서 ADM 가상장치로이동해야할것같은이벤트를볼수있습니다. 40 페이지의가상장치추가 40 페이지의선택규칙관리 선택규칙관리 선택규칙은가상장치에서처리하는패킷을결정하는필터로사용됩니다. 선택규칙을추가, 편집및삭제할수있습니다. 처음으로패킷이규칙과일치하면해당패킷이해당가상장치로라우팅되어처리되므로규칙이나열되는순서가중요합니다. 1 ADM 장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 가상장치 ] 를클릭한다음 [ 추가 ] 를클릭합니다. [ 가상장치추가 ] 창이열립니다. 3 표에서선택규칙의순서를추가, 편집, 제거또는변경합니다. 표 3-20 ADM [ 선택규칙추가 ] 페이지 인터페이스필터중하나를선택한다음 [ 확인 ] 을클릭합니다. 최대 4 개의 ADM 인터페이스필터가있을수있습니다. 각필터는한번에하나의 ADM 가상장치에만적용할수있습니다. 38 페이지의가상장치 가상장치추가가상장치를일부 ADM 장치에추가하여각장치에서처리할패킷을결정하는선택규칙을설정할수있습니다. 시작하기전에가상장치가선택한장치에추가될수있는지확인합니다 (" 가상장치정보 " 참조 ). 40 McAfee Enterprise Security Manager 제품안내서

41 ESM 구성장치구성 3 1 시스템탐색트리에서 ADM 장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 가상장치 ] [ 추가 ] 를클릭합니다. 3 요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 4 [ 쓰기 ] 를클릭하여장치에설정을추가합니다. 표 3-21 [ 가상장치 ] 표 ADM 의현재가상장치를나열합니다. [ 로깅 ] 모든가상장치에서로깅을활성화하거나비활성화합니다. [ 저장소풀설정 ] 아이콘 [ELM 로깅 ] 페이지를열면선택한가상장치에저장소풀을추가할수있습니다. [ 추가 ] [ 가상장치추가 ] 페이지를엽니다. [ 편집 ] [ 가상장치편집 ] 페이지를열고선택한가상장치에대한설정을변경할수있습니다. [ 제거 ] 테이블에서선택한장치를삭제합니다. [ 위로이동 ] 및 [ 아래로이동 ] 화살표 시스템의장치목록에서선택한가상장치를위로또는아래로이동할수있습니다. 패킷은목록의첫번째가상장치부터시작해서아래로하면서처리되기때문에순서가중요합니다. [ 쓰기 ] ADM 에가상장치에대한변경사항을씁니다. 표 3-22 [ 이름 ] 가상장치의이름을입력합니다. [URL] 설정한경우이가상장치의정보를볼수있는 URL 주소를입력합니다. 변수를주소에추 가해야하는경우 [ 변수 ] 아이콘을클릭합니다. [ 활성화됨 ] 장치를활성화하려면선택합니다. [ 저장소풀 ] 시스템에 ELM 이있고이장치에서받은데이터를 ELM 에로깅하려면이링크를클릭한다음저장소풀을선택합니다. [ 영역 ] 영역이시스템에서된경우 (" 영역관리 " 참조 ) 이가상장치를할당해야하는영역을선택합니다. [ 설명 ] 장치에대한주석또는중요한정보를추가합니다. [ 추가 ] 장치가처리하는패킷을결정하는선택규칙을장치에추가하려면클릭합니다. [ 편집 ] [ 선택규칙 ] 에서설정을변경하려면클릭합니다. [ 제거 ] 선택한규칙을삭제하려면클릭합니다. [ 위로이동 ] 및 [ 아래로이동 ] 화살표 38 페이지의가상장치 규칙의순서를변경합니다. McAfee Enterprise Security Manager 제품안내서 41

42 3 ESM 구성장치구성 사용자지정표시유형관리 사용자지정표시유형을추가, 편집또는삭제하여장치를시스템탐색트리에구성할방법을할수있습니다. 1 시스템탐색창에서표시유형드롭다운화살표를클릭합니다. 2 다음중하나를수행합니다. 수행방법... 사용자지정표시유형추가 1 [ 표시추가 ] 를클릭합니다. 2 필드를입력한다음 [ 확인 ] 을클릭합니다. 사용자지정표시유형편집 1 편집할표시유형옆의 [ 편집 ] 아이콘을클릭합니다. 2 설정을변경한다음 [ 확인 ] 을클릭합니다. 사용자지정표시유형삭제삭제할표시유형옆의 [ 삭제 ] 아이콘을클릭합니다. 22 페이지의 ESM 콘솔에장치추가 22 페이지의표시유형선택 42 페이지의사용자지정표시유형에서그룹관리 사용자지정표시유형에서그룹관리 사용자지정표시유형에서그룹을사용하여장치를논리그룹으로구성할수있습니다. 시작하기전에사용자지정표시유형을추가합니다 (" 사용자지정표시유형관리 " 참조 ). 1 시스템탐색창에서표시유형드롭다운목록을클릭합니다. 2 사용자지정표시를선택하고다음중하나를수행합니다. 수행방법... 새그룹추가 1 시스템또는그룹노드를클릭한다음액션도구모음에서 [ 그룹추가 ] 아이콘을클릭합니다. 2 필드를입력한다음 [ 확인 ] 을클릭합니다. 3 장치를그룹에추가하려면표시에끌어다놓습니다. 장치가표시의트리일부인경우복제장치노드가만들어집니다. 그러면시스템트리에서복제본을삭제할수있습니다. 그룹편집그룹을선택하고 [ 속성 ] 아이콘을클릭한다음 [ 그룹속성 ] 페이지를변경합니다. 그룹삭제그룹을선택한다음 [ 그룹삭제 ] 아이콘을클릭합니다. 그룹및그룹안의장치가사용자지정표시에서삭제됩니다. 시스템에서장치가삭제되는것은아닙니다. 42 McAfee Enterprise Security Manager 제품안내서

43 ESM 구성장치구성 3 22 페이지의 ESM 콘솔에장치추가 22 페이지의표시유형선택 23 페이지의사용자지정표시유형관리 그룹또는장치삭제 장치가더이상시스템의일부가아니거나더이상그룹을사용하지않는경우시스템탐색트리에서삭제해야합니다. 1 시스템탐색트리에서삭제하려는장치또는그룹을강조표시한다음액션도구모음에서 [ 삭제 ] 아이콘을클릭합니다. 2 확인메시지가표시되면 [ 확인 ] 을클릭합니다. 시스템탐색트리에서중복장치삭제 시스템트리에서장치를그룹으로끌어놓거나그룹을설정한다음 ESM 소프트웨어를업그레이드한경우복제장치노드가시스템탐색트리에나타날수있습니다. 혼란을방지하려면삭제하는것이좋습니다. 1 시스템탐색창에서표시유형드롭다운목록을클릭합니다. 2 중복장치가포함된표시옆의 [ 편집 ] 아이콘을선택합니다. 3 중복장치를선택취소한다음 [ 확인 ] 을클릭합니다. 이제중복이있는장치가할당된그룹에만나열됩니다. 장치구성 실시간포렌직, 응용프로그램및데이터베이스모니터링, 고급규칙및위험기반상관, 컴플라이언스보고를활성화하려면물리적장치와가상장치를 McAfee ESM 에연결합니다. 표 3-23 [ACL 설정 ] 액세스제어설정을지정하여장치에대한액세스를제한합니다. [ 고급 DEM 설정 ] DEM 로그설정을합니다. [ 적용 ] DEM 에대한구성설정을작성하려면클릭합니다. [ 압축 ] ELM 으로들어오는모든데이터에적용할압축수준을설정합니다. [ 데이터 ] ESM 에서장치로보낼데이터유형을선택합니다. [ 데이터보관 ] 원시데이터백업을장기간저장하기위해저장장치에전달하려면수신기를설정합니다. [ELM IP] 이장치의데이터를 ELM 으로보내려고선택한경우이장치를연결한 ELM 의 IP 주소를업데이트할수있습니다. [ 플로 ] 플로데이터로깅을활성화하거나비활성화합니다. [ 인터페이스 ] ESM 에서장치에대해네트워크인터페이스를설정합니다. McAfee Enterprise Security Manager 제품안내서 43

44 3 ESM 구성장치구성 표 3-23 ( 계속 ) [ 사용권 ] DEM 사용권정보를보고업데이트합니다. [ 로깅 ] 시스템에 ELM 장치가있는경우받은데이터를 ELM 에보내려면장치에대한기본로깅풀을설정합니다. [DB 마이그레이션 ] ELM 장치에서생성되는레코드를저장하는대체위치를설정합니다. [NTP(Network Time Protocol) 설정 ] 장치의시간을 NTP 서버와동기화합니다. [ 암호 ] 보고있는세션데이터의이벤트에대한규칙이암호와관련된경우이벤트와관련된암호를 [ 세션뷰어 ] 에표시할지여부를선택합니다. [ 구성복원 ] ESM 백업프로세스중에저장된이장치의구성파일을복원합니다. 이백업에 SSH, 네트워크, SNMP 및기타.conf 파일이포함됩니다. [ SNMP 트랩 ] 장치에서생성되는 SNMP 트랩을구성합니다. [ 장치동기화 ] 장치데이터소스또는가상장치설정을 ESM 과동기화합니다. 수신기를동기화하는경우수신기의종속장치도 McAfee ESM 에대한장치로추가됩니다. [ELM 동기화 ] 이장치의데이터를 ELM 으로보내기로선택한경우 ELM 을장치와동기화합니다. [ 파일동기화 ] 모든 DEM 구성파일을동기화하려면클릭합니다. [ 시간대 ] ADM 을사용자의시간대로설정합니다. 목차 Event Receiver 설정 Enterprise Log Search(ELS) 설정 ELM(Enterprise Log Manager) 설정 ACE(Advanced Correlation Engine) 설정 ADM(Application Data Monitor) 설정 Database Event Monitor(DEM) 설정배포된 ESM(DESM) 설정 epolicy Orchestrator 설정 McAfee Vulnerability Manager 설정 McAfee Network Security Manager 설정 Event Receiver 설정 [Event Receiver] 는방화벽, VPN( 가상사설망 ), 라우터, NetFlow, sflow 등을비롯한여러공급업체소스에서보안이벤트및네트워크플로데이터의수집을활성화합니다. [Event Receiver] 는이데이터의수집을허용하고관리할수있는단일솔루션으로정규화합니다. 이를통해 Cisco, Check Point, Juniper 와같은여러공급업체의장치에서단일보기를제공하므로이벤트및플로데이터수집을허용합니다. 고가용성수신기 ( 수신기 -HA) 는기본모드및보조모드에서사용할수있으며서로에대한백업역할을합니다. 보조수신기 (B) 는기본수신기 (A) 를지속적으로모니터링하고새구성또는정책정보는두장치에모두전송됩니다. 수신기 B 에서수신기 A 의실패를확인하면수신기 B 가네트워크에서수신기 A 의데이터소스 NIC 연결을끊고새로운기본수신기역할을담당합니다. 수신기 A 를기본수신기로복원하기위해수동으로개입할때까지수신기 B 가기본수신기로유지됩니다. 45 페이지의스트리밍이벤트보기 45 페이지의고가용성수신기 52 페이지의수신기원시데이터보관 44 McAfee Enterprise Security Manager 제품안내서

45 ESM 구성장치구성 3 스트리밍이벤트보기 [ 스트리밍뷰어 ] 는선택한 McAfee epo, McAfee Network Security Manager, 수신기, 데이터소스, 하위데이터소스또는클라이언트에서이벤트가생성될때이벤트목록을표시합니다. 목록을필터링하고이벤트를선택하여보기에표시할수있습니다. 1 시스템탐색트리에서보려는장치를선택한다음액션도구모음에서 [ 스트리밍이벤트보기 ] 아이콘을클릭합 니다. 2 스트리밍을시작하려면 [ 시작 ] 을클릭하고중지하려면 [ 중지 ] 를클릭합니다. 3 뷰어에서사용가능한액션을선택합니다. 4 [ 닫기 ] 를클릭합니다. 표 3-24 [ 시작 ] 스트리밍을시작합니다. [ 중지 ] 스트리밍을중지합니다. 테이블이벤트가장치로들어올때이벤트를봅니다. [ 패킷 ] 섹션선택한이벤트에대한상세정보를봅니다. [ 필터 ] 아이콘이벤트가생성될때필터링하려면필터링할정보를클릭하고입력합니다. 필터와일치하는해당이벤트만표시됩니다. [ 열 ] 아이콘스트리밍테이블에표시되는열을변경합니다. [ 모두지우기 ] 아이콘이벤트의현재목록을지웁니다. [ 보기시작 ] 아이콘보기에서선택한이벤트를봅니다. 이벤트를보려면뷰어를닫습니다. 콘솔의보기섹션에이벤트가표시됩니다. 44 페이지의 Event Receiver 설정 고가용성수신기 고가용성수신기는기본및보조모드로사용되어기본수신기가실패할경우보조수신기가신속하게기능을인수할수있으므로단일수신기에서제공하는것보다훨씬더우수한데이터수집연속성을제공합니다. 고가용성수신기기능은 FIPS 컴플라이언트가아닙니다. FIPS 규정을준수해야하는경우이기능을사용하지마십시오. 이설정은 2 개의수신기로구성되어있으며하나는기본또는선호되는기본이며다른하나는보조입니다. 보조수신기는지속적으로기본수신기를모니터링합니다. 보조수신기에서기본수신기가실패한것을확인하면기본수신기를중지시키고그기능을인수합니다. 기본수신기가복구되면보조수신기가되거나다시한번기본수신기가됩니다. 이는 [HA 수신기 ] 탭의 [ 선호되는기본장치 ] 필드에서선택한에의해결정됩니다 (" 수신기 HA 장치설정 " 참조 ). 다음수신기모델은고가용성기능으로구매할수있습니다. ERC-1225-HA ERC-1250-HA ERC-2230-HA ERC-1260-HA McAfee Enterprise Security Manager 제품안내서 45

46 3 ESM 구성장치구성 ERC-2250-HA ERC-2600-HA ERC-4245-HA ERC-4600-HA ERC-4500-HA 이러한모델에는 IPMI(Intelligent Platform Management Interface) 포트뿐만아니라 4 개이상의 NIC 가포함되어있으며이는 HA 기능에필요합니다 (" 수신기 -HA 의네트워크포트 " 참조 ). IPMI 카드는실패한수신기를종료하여두 DS NIC 가공유된 IP 와 MAC 을동시에사용할가능성을제거합니다. IPMI 카드는크로스오버또는다이렉트 (straight-through) 케이블을사용하여다른수신기에연결됩니다. 수신기는크로스오버또는다이렉트 (straight-through) 케이블을사용하여하트비트 NIC 에연결됩니다. ESM 과의통신을위한관리 NIC 와데이터수집을위한데이터소스 NIC 가있습니다. 기본수신기가제대로실행되고보조수신기가보조모드인경우다음과같은상황이발생합니다. 수신기는전용하트비트 NIC 와관리 NIC 를통해지속적으로통신합니다. OPSEC 또는 Estreamer 와같이수신되는모든인증서는쌍으로다른수신기에전달됩니다. 모든데이터소스는데이터소스 NIC 를사용합니다. 각수신기는자체상태를모니터링하고보고합니다. 여기에는디스크오류, 데이터베이스정지및 NIC 의손실된링크와같은내부상태항목이포함됩니다. ESM 은정기적으로수신기와통신하여상태를확인합니다. 모든새로운구성정보는기본수신기와보조수신기둘다로전송됩니다. ESM 은기본수신기와보조수신기둘다로정책을전송합니다. 중지 / 재부팅 / 집으로전화걸기는각수신기에독립적으로적용됩니다. 다음섹션에서는수신기 -HA 에서문제가발생할경우어떻게되는지에대해설명합니다. 기본수신기오류 기본수신기오류확인은보조수신기에서담당합니다. 데이터유출을최소화하려면해당오류를신속하고정확하게확인해야합니다. 페일오버시기본수신기가마지막으로 ESM 및 ELM 으로데이터를전송한이후의모든데이터가손실됩니다. 손실된데이터의양은수신기의처리량및 ESM 이수신기에서데이터를가져오는속도에따라달라집니다. 데이터가용성을최적화하려면이러한충돌하는프로세스가균형을이루어야합니다. 정전이나 CPU 오류와같이기본수신기가완전히실패하면기본수신기와의하트비트통신이없습니다. Corosync 는통신의손실을인식하고기본수신기를실패로표시합니다. 보조수신기의 Pacemaker 는기본수신기의 IPMI 카드에서기본수신기를종료하도록요청합니다. 그러면보조수신기는공유된 IP 및 MAC 주소를가정하고모든수집기를시작합니다. 보조수신기오류 보조수신기오류프로세스는보조수신기가하트비트통신에더이상응답하지않는경우수행됩니다. 즉, 시스템이관리및하트비트인터페이스를사용하여일정시간동안보조수신기와통신을시도한후보조수신기와통신할수없게됩니다. 기본수신기에서하트비트및무결성신호를받을수없으면 corosync 는보조수신기를실패로표시하고 pacemaker 는보조수신기의 IPMI 카드를사용하여종료합니다. 기본상태문제 기본수신기의상태가심각하게손상될수있습니다. 심각하게손상된상태에는응답하지않는데이터베이스, 응답하지않는데이터소스인터페이스및과도한디스크오류가포함됩니다. 46 McAfee Enterprise Security Manager 제품안내서

47 ESM 구성장치구성 3 기본수신기가이러한상태에대해 healthmon 경보를통지하면 corosync 및 pacemaker 프로세스를중지하고 healthmon 경보를설정합니다. 이러한프로세스를중지하면데이터수집이보조수신기로전송됩니다. 보조상태문제 보조수신기의상태가심각하게손상되면다음과같은상황이발생합니다. 보조수신기가쿼리될때상태문제를 ESM 에보고하고 corosync 및 pacemaker 프로세스를중지합니다. 보조수신기가아직클러스터의일부인경우클러스터에서자체적으로제거되어기본수신기오류시사용할수없습니다. 상태문제를분석하고복구를시도합니다. 상태문제가해결되면수신기는 " 서비스로돌아가기 " 절차를사용하여정상작동상태로돌아갑니다. 상태문제가해결되지않으면 " 실패한수신기교체 " 프로세스가시작됩니다. 서비스모드로돌아가기 정전후다시시작, 하드웨어복구또는네트워크복구처럼수신기가오류후서비스모드로돌아가면다음과같은상황이발생합니다. 고가용성모드의수신기는시작시데이터수집을시작하지않습니다. 이들수신기는기본으로설정되기전까지는보조모드입니다. 선호되는기본장치는기본의역할을가정하여공유데이터소스 IP 를사용하고데이터를수집하기시작합니다. 선호되는기본장치가없는경우현재기본에있는장치가공유데이터소스 IP 를사용하고데이터를수집하기시작합니다. 이프로세스에대한자세한내용은 " 실패한수신기교체 " 를참조하십시오. 수신기 -HA 업그레이드 수신기 -HA 업그레이드프로세스에서는보조수신기부터시작하여두수신기를순차적으로업그레이드합니다. 다음과같이발생합니다. 1 업그레이드 tarball 파일이 ESM 에업로드되어보조수신기에적용됩니다. 2 " 수신기 -HA 역할전환 " 프로세스를사용하여기본수신기와보조수신기의역할을전환합니다. 그러면업그레이드된수신기가기본수신기가되고아직업그레이드되지않은수신기가보조수신기가됩니다. 3 업그레이드 tarball 이새로운보조수신기에적용됩니다. 4 " 수신기 -HA 역할전환 " 프로세스를사용하여기본수신기와보조수신기의역할을다시한번전환합니다. 그러면원래수신기역할이다시한번가정됩니다. 업그레이드시선호되는기본수신기를지정하지않는것이좋습니다. 다음을참조하십시오. 수신기 -HA 가선호되는기본으로설정된경우업그레이드하기전에설정을변경하는것이좋습니다. [HA 수신기 ] 탭의 (" 수신기 -HA 장치설정 " 참조 ) [ 선호되는기본장치 ] 필드에서 [ 없음 ] 을선택합니다. 그러면선호되는기본설정에서사용할수없는 [ 페일오버 ] 을사용할수있습니다. 두수신기가모두업그레이드된다음선호되는기본설정을다시적용할수있습니다. McAfee Enterprise Security Manager 제품안내서 47

48 3 ESM 구성장치구성 44 페이지의 Event Receiver 설정 48 페이지의수신기 -HA 장치설정 48 페이지의보조장치다시초기화 49 페이지의 IPv6 으로수신기 HA 설정 50 페이지의 HA 장치재설정 50 페이지의수신기 -HA 역할전환 51 페이지의실패한수신기바꾸기 51 페이지의실패한수신기문제해결 수신기 -HA 장치설정 수신기 -HA 장치의설정을합니다. 시작하기전에 기본장치로작동하는수신기를추가합니다 ("ESM 콘솔에장치추가 " 참조 ). 3 개이상의 NICS 가있어야합니다. 고가용성수신기기능은 FIPS 컴플라이언트가아닙니다. FIPS 규정을준수해야하는경우이기능을사용하지마십시오. 1 시스템탐색트리에서기본 HA 장치가될수신기를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 수신기구성 ] 을클릭한다음 [ 인터페이스 ] 를클릭합니다. 3 [HA 수신기 ] 탭을클릭한다음 [ 고가용성설정 ] 을선택합니다. 4 요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 그러면두번째수신기의키를지정하는프로세스가초기화되고데이터베이스가업데이트되고 globals.conf 가적용되고두개의수신기가동기화됩니다. 45 페이지의고가용성수신기 48 페이지의보조장치다시초기화 49 페이지의 IPv6 으로수신기 HA 설정 50 페이지의 HA 장치재설정 50 페이지의수신기 -HA 역할전환 51 페이지의실패한수신기바꾸기 51 페이지의실패한수신기문제해결 보조장치다시초기화 어떤이유로든보조수신기의서비스가중단된경우다시설치하면다시초기화합니다. 1 시스템탐색트리에서기본수신기의 [ 수신기속성 ] 을선택한다음 [ 수신기구성 ] [ 인터페이스 ] [HA 수신기 ] 를클릭합니다. 2 올바른 IP 주소가 [ 보조관리 IP] 필드에있는지확인합니다. 3 [ 보조다시초기화 ] 를클릭합니다. 48 McAfee Enterprise Security Manager 제품안내서

49 ESM 구성장치구성 3 ESM 에서필요한단계를수행하여수신기를다시초기화합니다. 45 페이지의고가용성수신기 48 페이지의수신기-HA 장치설정 49 페이지의 IPv6 으로수신기 HA 설정 50 페이지의 HA 장치재설정 50 페이지의수신기-HA 역할전환 51 페이지의실패한수신기바꾸기 51 페이지의실패한수신기문제해결 IPv6 으로수신기 HA 설정 LCD 를사용하여 IPv6 주소를수동으로설정할수없으므로이프로세스에따라 IPV6 으로고가용성을설정합니다. 시작하기전에 ESM 이수동또는자동 IPv6 을사용중인지확인 ([ 시스템속성 ] [ 네트워크설정 ]) 합니다. 네트워크관리자가만드는공유 IP 주소를확인합니다. 1 HA 쌍의두수신기에서다음을수행합니다. a 수신기를켠다음 LCD 를사용하여 IPv6 을활성화합니다. b [Mgt IP Configr( 관리 IP 구성 )] [Mgt1] [IPv6] 으로이동하여관리 IP 주소를적습니다. 이은네트워크지연으로인해시간이다소소요될수있습니다. 2 ESM 에이러한수신기중하나를추가합니다 ("ESM 콘솔에장치추가 " 참조 ). [ 이름 ] HA 쌍의이름입니다. [ 대상 IP 주소또는 URL] 적어둔이 HA 수신기에대한관리 IPv6 주소입니다. 3 시스템탐색트리에서새로추가한장치를선택한다음 [ 수신기속성 ] [ 수신기구성 ] [ 인터페이스 ] 를클릭합니다. 4 [IPv6 모드 ] 필드에서 [ 수동 ] 을선택합니다 (HA 에유일하게지원되는모드 ). 5 1 번인터페이스옆의 [ 설정 ] 을클릭하고 [IPv6] 필드에공유 IP 주소를입력한다음 [ 확인 ] 을클릭합니다. 이주소는 HA 설정동안공유인터페이스에할당됩니다. 이이완료되지않으면 HA 는제대로페일오버되지않습니다. 6 [ 수신기속성 ] 에서 [ 연결 ] 을클릭하고 [ 대상 IP 주소 / 이름 ] 에공유 IPv6 주소를입력한다음 [ 확인 ] 을클릭합니다. 7 " 수신기 -HA 장치설정 " 에서제공되는 HA 설정프로세스를계속진행합니다. 45 페이지의고가용성수신기 48 페이지의수신기-HA 장치설정 48 페이지의보조장치다시초기화 50 페이지의 HA 장치재설정 50 페이지의수신기-HA 역할전환 51 페이지의실패한수신기바꾸기 51 페이지의실패한수신기문제해결 McAfee Enterprise Security Manager 제품안내서 49

50 3 ESM 구성장치구성 HA 장치재설정 HA 장치로설정하기전에있었던상태로 HA 수신기를재설정해야하는경우 ESM 콘솔에서재설정하거나, 수신기와의통신이실패하는경우 LCD 메뉴에서재설정할수있습니다. 다음중하나를수행합니다. 수행방법... ESM 콘솔에서수신기재설정 1 시스템탐색트리에서 [ 수신기속성 ] 을클릭한다음 [ 수신기구성 ] [ 인터페이스 ] 를클릭합니다. 2 [ 고가용성설정 ] 을선택취소한다음 [ 확인 ] 을클릭합니다. 3 경고페이지에서 [ 예 ] 를클릭한다음 [ 닫기 ] 를클릭합니다. 약 5 분의시간제한이지나면두수신기가다시시작하고 MAC 주소를원래값으로되돌립니다. LCD 메뉴에서기본또는보조수신기재설정 1 수신기의 LCD 메뉴에서 [X] 를누릅니다. 4 기본수신기를다시설정하려면체크표시를누릅니다. 2 [HA 비활성화 ] 가보일때까지아래쪽화살표를누릅니다. 5 보조수신기를다시설정하려면아래쪽화살표를한번누른다음체크표시를누릅니다. 3 LCD 화면에서 [ 기본비활성화 ] 를표시하려면오른쪽화살표를한번누릅니다. 45 페이지의고가용성수신기 48 페이지의수신기 -HA 장치설정 48 페이지의보조장치다시초기화 49 페이지의 IPv6 으로수신기 HA 설정 50 페이지의수신기 -HA 역할전환 51 페이지의실패한수신기바꾸기 51 페이지의실패한수신기문제해결 수신기 -HA 역할전환 사용자가시작한전환프로세스를통해기본수신기와보조수신기역할을전환할수있습니다. 수신기를업그레이드하거나, 수신기를제조업체로반환할준비를하거나, 수신기에서케이블을이동하는경우이을수행해야할수있습니다. 이전환으로손실되는데이터양이최소화됩니다. 수집기 (McAfee epo 장치포함 ) 가수신기 -HA 와연결되고수신기 -HA 가페일오버된경우수집기가수신기 -HA 와통신하려면둘간의스위치가페일오버된수신기의새로운 MAC 주소를공유 IP 주소에연결해야합니다. 이은현재네트워크구성에따라몇분에서최대며칠까지걸릴수있습니다. 1 시스템탐색트리에서수신기 -HA 장치를선택하고 [ 속성 ] 아이콘을클릭합니다. 2 [ 고가용성 ] [ 페일오버 ] 를선택합니다. 다음이수행됩니다. ESM 은보조수신기에게공유데이터소스 IP 를사용하여데이터수집을시작하라고지시합니다. 보조수신기는 CRM(Cluster Resource Manager) 명령을실행하여공유 IP 및 MAC 을전환하고수집기를시작합니다. 50 McAfee Enterprise Security Manager 제품안내서

51 ESM 구성장치구성 3 ESM 이기본수신기에서모든경보및플로데이터를가져옵니다. ESM 이보조수신기를기본수신기로표시하고기본수신기를보조수신기로표시합니다. 45 페이지의고가용성수신기 48 페이지의수신기 -HA 장치설정 48 페이지의보조장치다시초기화 49 페이지의 IPv6 으로수신기 HA 설정 50 페이지의 HA 장치재설정 51 페이지의실패한수신기바꾸기 51 페이지의실패한수신기문제해결 실패한수신기바꾸기 보조수신기에해결할수없는상태문제가있는경우수신기를바꿔야할수있습니다. 새수신기를받으면 McAfee ESM 설정및설치안내서의절차를따라설치합니다. IP 주소를설정하고케이블을꽂으면수신기를다시 HA 클러스터로연결할수있습니다. 1 시스템탐색트리에서 HA 수신기의 [ 수신기속성 ] 을선택한다음 [ 수신기구성 ] [ 인터페이스 ] 를클릭합니다. 2 [HA 수신기 ] 탭을클릭한다음 [ 고가용성설정 ] 이선택되었는지확인합니다. 3 IP 주소가올바른지확인한다음 [ 보조다시초기화 ] 를클릭합니다. 새수신기가클러스터에연결되고 HA 모드가활성화됩니다. 45 페이지의고가용성수신기 48 페이지의수신기 -HA 장치설정 48 페이지의보조장치다시초기화 49 페이지의 IPv6 으로수신기 HA 설정 50 페이지의 HA 장치재설정 50 페이지의수신기 -HA 역할전환 51 페이지의실패한수신기문제해결 실패한수신기문제해결 어떤이유로든 HA 설정에서수신기가중단되면데이터소스, 글로벌설정, 집합설정등의쓰기가실패한것으로나타나고 SSH 오류가표시됩니다. 사실설정은여전히작동하는수신기로롤아웃되지만, 중지된수신기와동기화할수없기때문에오류가표시됩니다. 그러나정책은롤아웃되지않습니다. 이상황에서는다음중에서선택할수있습니다. 보조수신기가사용가능하게되고동기화될때까지정책롤아웃을보류합니다. HA 모드에서수신기를제거합니다. 그러면이벤트가수집되지않는동안 HA 클러스터가 2-5 분동안중지됩니다. 45 페이지의고가용성수신기 48 페이지의수신기 -HA 장치설정 48 페이지의보조장치다시초기화 49 페이지의 IPv6 으로수신기 HA 설정 50 페이지의 HA 장치재설정 50 페이지의수신기 -HA 역할전환 51 페이지의실패한수신기바꾸기 McAfee Enterprise Security Manager 제품안내서 51

52 3 ESM 구성장치구성 수신기원시데이터보관 원시데이터백업을장기간저장하기위해저장장치에전달하려면수신기를구성합니다. ESM 에서지원하는세가지저장소유형은 SMB/CIFS(Server Message Block/Common Internet File System), NFS(Network File System), Syslog 전달입니다. SMB/CIFS 및 NFS 는 , estream, http, SNMP, SQL, syslog 및원격에이전트프로토콜을사용하는데이터소스를통해수신기에전송된모든원시데이터백업을데이터파일형식으로저장합니다. 이러한데이터파일은 5 분간격으로보관에보냅니다. Syslog 전달은 syslog 프로토콜의원시데이터를결합된 syslog 의연속스트림으로 [ 데이터보관설정 ] 페이지의 [Syslog 전달 ] 섹션에구성된장치에보냅니다. 수신기는한번에한개의저장소유형에만전달할수있습니다. 세가지유형을모두구성할수있지만데이터를보관하기위해한가지유형만활성화할수있습니다. 이기능은 Netflow, sflow 및 IPFIX 데이터소스유형을지원하지않습니다. 44 페이지의 Event Receiver 설정 52 페이지의보관설정 보관설정 syslog 메시지의원시데이터를저장하려면수신기에서보관에사용하는설정을구성해야합니다. 52 McAfee Enterprise Security Manager 제품안내서

53 ESM 구성장치구성 3 1 시스템탐색트리에서 [ 수신기속성 ] 을선택한다음 [ 수신기구성 ] [ 데이터보관 ] 을클릭합니다. 2 공유유형을선택하고요청한정보를입력합니다. CIFS 공유연결을활성화하려면 CIFS 공유가있는시스템에서포트 445 를열어야합니다. 마찬가지로 SMB 연결이설정되도록하려면 SMB 공유가있는시스템에서포트 135 를열어야합니다. 3 수신기장치에변경내용을적용하려면 [ 확인 ] 을클릭합니다. 표 3-25 SMB/CIFS 공유 [ 공유유형 ] SMB 또는 CIFS 공유유형을선택합니다. [IP 주소 ] 공유의 IP 주소를입력합니다. [ 공유이름 ] 공유의이름을입력합니다. [ 경로 ] 보관된데이터를저장해야하는공유의하위디렉터리를입력합니다 ( 예 : TMP/Storage). 저장소가공유의루트디렉터리에있는경우경로가필요하지않습니다. [ 사용자이름 ] 및 [ 암호 ] 공유에연결하려면유효한사용자이름을입력한다음공유에연결하는동안사용되는사용자계암호를입력합니다. SMB/CIFS 공유에연결할때암호에쉼표를사용하지마십시오. [ 연결 ] 연결을테스트하려면클릭합니다. 표 3-26 NFS 공유 [IP 주소 ] 마운트지점의 IP 주소를입력한다음마운트지점의이름을입력합니다. [ 마운트지점 ] 마운트지점의이름을입력합니다. [ 경로 ] 보관된데이터를저장해야하는공유의하위디렉터리를입력합니다 ( 예 : TMP/Storage). 저장소가공유의루트디렉터에있는경우경로가필요하지않습니다. [ 연결 ] 연결을테스트하려면클릭합니다. 표 3-27 Syslog 전달공유 [IPv4 주소 ] 또는 [IPv6 주소 ] 데이터스트림을전달해야하는 syslog 서버의 IP 주소를입력합니다. [IPv4 경로 ] 또는 [IPv6 경로 ] 데이터스트림을전달해야하는 syslog 서버의포트를입력합니다. 52 페이지의수신기원시데이터보관 상관이벤트의소스이벤트보기 [ 이벤트분석 ] 보기에서상관이벤트의소스이벤트를볼수있습니다. 시작하기전에상관데이터소스가이미 ESM 에있어야합니다 (" 상관데이터소스 " 및 " 데이터소스추가 " 참조 ). McAfee Enterprise Security Manager 제품안내서 53

54 3 ESM 구성장치구성 1 시스템탐색트리에서수신기를확장한다음 [ 상관엔진 ] 을클릭합니다. 2 보기목록에서 [ 이벤트보기 ] 를클릭한다음 [ 이벤트분석 ] 을선택합니다. 3 [ 이벤트분석 ] 보기에서상관이벤트의첫번째열에있는더하기기호 (+) 를클릭합니다. 더하기기호는상관이벤트에소스이벤트가있는경우에만나타납니다. 소스이벤트가상관이벤트아래에나열됩니다. 수신기처리량통계보기 마지막 10 분, 마지막 1 시간, 마지막 24 시간동안의수신 ( 수집기 ) 및송신 ( 구문분석 ) 데이터소스속도가포함된수신기사용통계를봅니다. 시작하기전에 장치관리자권한이있는지확인합니다. 1 시스템탐색트리에서수신기를선택한다음속성아이콘를클릭합니다. 2 [ 수신기관리 통계보기 처리량 ] 을클릭합니다. 3 수신기통계를봅니다. 수신속도가출력속도를 15 퍼센트초과하는경우시스템이해당행에위험 ( 마지막 24 시간 ) 또는경고 ( 마지막 1 시간 ) 로플래그를지정합니다. 4 모두, 위험또는경고을선택하여데이터소스를필터링합니다. 5 메트릭을표시하는측정단위를킬로바이트 (KB) 또는레코드수로선택합니다 초마다자동으로데이터를새로고치려면 [ 자동새로고침 ] 확인란을선택합니다. 7 관련열제목을클릭하여데이터를정렬합니다. 수신기데이터소스 McAfee Event Receiver 는방화벽, VPN( 가상사설망 ), 라우터, NetFlow, sflow 등을비롯한여러공급업체소스에서보안이벤트및네트워크플로데이터의수집을활성화합니다. 데이터소스는로그및이벤트데이터가수신기에서수집되는방법을제어하는데사용됩니다. 필요한데이터를수집하기위해데이터소스를추가하고해당설정을해야합니다. [ 데이터소스 ] 페이지는수신기장치의데이터소스를관리하기위한시작지점입니다. 여기서데이터소스를추가, 편집및삭제, 가져오기, 내보내기, 마이그레이션하기위한방법을제공합니다. 또한하위및클라이언트데이터소스를추가할수있습니다. 54 McAfee Enterprise Security Manager 제품안내서

55 ESM 구성장치구성 3 55 페이지의데이터소스추가 74 페이지의파일테일데이터소스수집방법선택 36 페이지의기본로깅풀설정 57 페이지의데이터소스관리 68 페이지의데이터소스에대한날짜형식설정 71 페이지의데이터소스목록가져오기 73 페이지의다른시스템으로데이터소스이동데이터소스추가데이터를수집하기위해수신기에추가해야하는데이터소스의설정을구성합니다. 1 시스템탐색트리에서데이터소스를추가하려는수신기를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 수신기속성 ] 에서 [ 데이터소스 ] [ 추가 ] 를클릭합니다. 3 공급업체및모델을선택합니다. 입력하는필드는선택사항에따라다릅니다. 4 요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 데이터소스가수신기의데이터소스목록및선택한수신기아래의시스템탐색트리에추가됩니다. 표 3-28 데이터소스테이블 시스템에있는데이터소스, 클라이언트가있는경우이에해당하는데이터소스유형을봅니다. 또한수신기가이데이터소스의데이터를처리하는지여부, 데이터를처리하는방식을표시합니다. 은다음과같습니다. [ 구문분석 ] 수집한데이터가구문분석되고데이터베이스에삽입됩니다. [ 로깅 ] 데이터를 ELM 으로보냅니다. 시스템에 ELM 장치가있는경우에만사용할수있습니다. [SNMP 트랩 ] 데이터소스가 SNMP 트랩을보내는기능이있는관리가가능한네트워크장치의표준 SNMP 트랩을허용합니다. 표준트랩은인증실패, 콜드스타트, EGP 인접라우터손실, 링크정지, 링크가동및웜스타트입니다. 이러한트랩이수신되면이벤트가해당데이터소스에서생성됩니다. IPv6 를통해 SNMP 트랩을보내거나받아야하는경우 IPv6 주소를 IPv4 변환주소로나타내야합니다. 예를들어 를 IPv6 로변환하면다음과같이보입니다. 2001:470:B: 654:0:0: 또는 2001:470:B:654::A000:0254. 테이블에서이러한설정을선택하거나선택취소하여변경할수있습니다. 또한 [ 로깅 ] [SNMP] 아이콘을클릭하면 SNMP 프로파일또는저장소풀을추가할수있습니다. 또는 [ 추가 ] 수신기에새데이터소스를추가합니다. [ 하위추가 ] 하위데이터소스를기존데이터소스에추가합니다. 그러면데이터소스를구성할수있습니다. [ 클라이언트 ] 클라이언트데이터소스를추가하여수신기에서허용된데이터소스수를확장합니다. [ 편집 ] 선택한데이터소스의설정을변경합니다. [ 제거 ] 선택한데이터소스를삭제합니다. McAfee Enterprise Security Manager 제품안내서 55

56 3 ESM 구성장치구성 표 3-28 ( 계속 ) [ 가져오기 ].csv 형식으로저장된데이터소스목록을가져옵니다 (" 데이터소스목록가져오기 " 참조 ). [ 내보내기 ] 시스템의데이터소스목록을내보냅니다. [ 마이그레이션 ] 수신기간의데이터소스를다시할당하거나재배포합니다. [ 고급 ] 사용자지정데이터소스를업로드하거나봅니다. [ 자동학습 ] 알수없는 IP 주소를자동으로알수있도록수신기를설정합니다. [ 이름바꾸기 ] 사용자데이터소스항목의이름을변경합니다. [ 업로드 ] 선택한데이터소스의파일을업로드합니다. 이는 syslog 전용입니다. [ 쓰기 ] 데이터소스설정변경사항을수신기에씁니다. 표 3-29 [ 시스템프로파일사용 ] [ 데이터소스공급업체 ], [ 데이터소스모델 ] 이데이터소스를구성하는데프로파일을사용하려는경우선택합니다. SNMP 및 syslog 프로토콜기반장치만프로파일의설정으로미리채워질수있습니다. 이데이터소스의공급업체및모델을선택합니다. UTF-8 이아닌다른인코딩으로데이터를생성하는고급 syslog 분석기 (ASP) 데이터소스를추가하면공급업체로 [ 일반 ] 을선택하고모델로 [ 고급 Syslog 분석기 ] 를선택합니다. [ 데이터형식 ] 구문분석방법을선택합니다. [ 데이터검색 ] 데이터수집방법을선택합니다. SCP 를사용할때 LANG 환경변수를 [lang=c] 로설정해야합니다. [SCP 파일소스 ] 를선택하면상대경로가지원되지않습니다. 정확한전체위치를해야합니다. [CIFS 파일소스 ] 또는 [NFS 파일소스 ] 를선택하는경우수집방법을선택해야합니다. 이필드에대한자세한내용은 " 파일테일데이터소스수집방법선택 " 을참조하십시오. [ 활성화됨 ] 수신기가데이터를처리해야하는방법을선택합니다. [ 로깅 ] 을선택하면상세정보를묻는메시지가표시됩니다 (" 기본로깅풀설정 " 참조 ). [SNMP 트랩 ] 을선택하는경우 ("SNMP 트랩으로데이터소스처리 " 참조 ) [SNMP 데이터소스프로파일 ] 페이지에서사용하려는프로파일을선택합니다. 필요한프로파일이목록에없는경우 [ 시스템프로파일 ] 링크를클릭하고프로파일을추가합니다 (" 프로파일구성 " 참조 ). [ 이름 ] 데이터소스의이름을입력합니다. [IP 주소 ], [ 호스트이름 ], [ 조회 ] 나머지필드 단일 IP 주소또는호스트이름을입력합니다. [ 조회 ] 를클릭하여 IP 주소를입력한경우호스트이름을추가하고, 호스트이름을입력한경우 IP 주소를추가합니다. 호스트이름이있고 IP 주소는없는 WMI 데이터소스를설정할수있습니다. 나머지필드를입력합니다. 이는공급업체및장치모델, 데이터검색방법또는선택한장치모델의프로토콜에따라다릅니다. [ 인터페이스 ] 상위수신기설정을구성합니다 (" 인터페이스설정 " 참조 ). [ 통신 ] 탭에서데이터수집에사용되는포트가열려있는지확인합니다. 이러한포트는기본적으로닫혀있으므로설정해야합니다. [ 고급 ] URL 을추가하고 CEF 전달을설정하거나다른수신기에내보내도록이데이터소스를설정합니다. 표 3-30 테이블사용자규칙을나열합니다. [ 편집 ] 선택한데이터소스의이름을바꾸려면클릭합니다. 56 McAfee Enterprise Security Manager 제품안내서

57 ESM 구성장치구성 3 54 페이지의수신기데이터소스 57 페이지의데이터소스관리 68 페이지의데이터소스에대한날짜형식설정 71 페이지의데이터소스목록가져오기 73 페이지의다른시스템으로데이터소스이동 74 페이지의파일테일데이터소스수집방법선택 SNMP 트랩으로데이터소스처리 SNMP 트랩기능을사용하면데이터소스가 SNMP 트랩을보내는기능이있는관리가가능한네트워크장치의표준 SNMP 트랩을허용합니다. 이러한표준트랩은다음과같습니다. 인증실패 링크정지 콜드스타트 링크실행및웜스타트 EGP 인접라우터손실 IPv6 을통해 SNMP 트랩을보내려면 IPv6 주소를 IPv4 변환주소로나타내야합니다. 예를들어 를 IPv6 으로변환하면다음과같이보입니다. 2001:470:B:654:0:0: or 2001:470:B:654::A000:0254. [SNMP 트랩 ] 을선택하면세가지이있습니다. 이전에프로파일을선택하지않은경우 [SNMP 데이터소스프로파일 ] 대화상자가열려사용할프로파일을선택할수있습니다. 이전에프로파일을선택한경우 [SNMP 데이터소스프로파일 ] 대화상자가열립니다. 프로파일을변경하려면 [ 시스템프로파일 ] 필드에서아래로화살표를클릭하고새프로파일을선택합니다. 이전에프로파일을선택했고이프로파일을변경하려고하지만 [SNMP 데이터소스프로파일 ] 대화상자의드롭다운목록에필요한프로파일이없는경우데이터소스 SNMP 프로파일을만듭니다. 표 3-31 [ 시스템프로파일 ] 기존프로파일목록에서프로파일을선택하거나링크를클릭한다음선택할수있는새프로파일을추가합니다. [ 기존프로파일할당덮어쓰기 ] 데이터소스관리 기존 SNMP 프로파일할당을삭제하고이프로파일로바꾸려면선택합니다. [ 데이터소스 ] 페이지에서하위및클라이언트데이터소스를추가할수있을뿐만아니라데이터소스를추가, 편집, 삭제, 가져오기, 내보내기및마이그레이션할수있습니다. McAfee Enterprise Security Manager 제품안내서 57

58 3 ESM 구성장치구성 1 시스템탐색트리에서 [ 수신기속성 ] 을선택한다음 [ 데이터소스 ] 를클릭합니다. 2 수신기의데이터소스목록을보고사용가능한을수행하여데이터소스를관리합니다. 3 [ 적용 ] 또는 [ 확인 ] 을클릭합니다. 54 페이지의수신기데이터소스 55 페이지의데이터소스추가 68 페이지의데이터소스에대한날짜형식설정 71 페이지의데이터소스목록가져오기 73 페이지의다른시스템으로데이터소스이동 74 페이지의파일테일데이터소스수집방법선택 SIEM Collector SIEM Collector 는암호화된연결을사용하여 Windows 이벤트로그를수신기에보냅니다. SIEM Collector 가없으면 Windows 이벤트모음이 WMI 프로토콜또는타사에이전트사용으로제한됩니다. 여러환경에서보안정책은사용자가 WMI 를사용할수없도록시스템에대한액세스를잠급니다. WMI 트래픽은일반텍스트이며 Windows 이벤트로그에쓴로그에만액세스할수있습니다. DNS, DHCP 및 IIS 같은다른서비스또는다른타사에이전트를사용하여만든로그파일에는액세스할수없습니다. SIEM Collector 를독립실행형또는기존 McAfee epolicy Orchestrator 구현의일부로사용하면기존 McAfee 에이전트에 WMI 기능을추가할수있습니다. 또한 SIEM Collector 를허브로사용하면 SIEM Collector 패키지를모든시스템에추가하지않고 RPC 를통해다른시스템에서로그를수집할수있습니다. 다음과같은다른기능이있습니다. 사용자 SQL 데이터베이스수집을위한플러그인 (SQL Server 및 Oracle 지원 ).evt 또는.evtx 형식으로내보낸 Windows 이벤트를구문분석하기위한플러그인 SQL Server C2 감사를지원하기위한플러그인 (.trc 형식 ) 취약성평가데이터통합 DEM 및수신기에대한 VA( 취약성평가 ) 를통해여러 VA 공급업체에서검색할수있는데이터를통합할수있습니다. 여러가지방법으로이데이터를사용할수있습니다. 해당이벤트에대해엔드포인트의알려진취약성에따라이벤트의심각도를표시합니다. 자동으로자산및해당특성을파악 ( 운영체제및서비스탐지 ) 하도록시스템을설정합니다. 사용자자산그룹의구성원을만들고조작합니다. 네트워크자산에대한요약및드릴다운정보에액세스합니다. 자산이 MySQL 실행을탐색한경우 MySQL 시그니처를설정한것처럼 [][][ 정책편집기 ] 구성을수정합니다. 직접만든사전된보기또는사용자지정보기에서시스템에서생성한 VA 데이터에액세스할수있습니다. 사전된보기는다음과같습니다. 58 McAfee Enterprise Security Manager 제품안내서

59 ESM 구성장치구성 3 [ 대시보드보기 ] [ 자산취약성대시보드 ] [ 컴플라이언스보기 ] [PCI] [ 보안시스템및프로세스테스트 ] [11.2 네트워크취약성검색 ] [ 총괄보기 ] [ 규제된자산의치명적취약성 ] 사용자지정보기를만들려면 " 사용자지정보기추가 " 를참조하십시오. [ 총취약성수 ] [ 개수 ] 또는 [ 계기판 ] 구성요소가포함된보기를만드는경우취약성개수가폭등한것을볼수있습니다. 그이유는 McAfee Threat Intelligence Services(MTIS) 피드가 VA 소스가보고된원래취약성을기반으로위협을추가하기때문입니다 ( 자산, 위협및위험평가참조 ). McAfee 규칙팀은 VIN 에대한 McAfee sigid 를 CVE(Common Vulnerabilities and Exposure) ID, BugTraq ID, OSVDB(Open Source Vulnerability Database) ID 및 / 또는 Secunia ID 에매핑하는규칙파일을유지관리합니다. 이러한공급업체는해당취약성에 CVE 및 BugTraq ID 를보고하므로 CVE 및 BugTraq ID 가이릴리스에포함되어있습니다. VA 시스템프로파일 eeye REM 소스를추가하는경우 [ 취약성평가소스추가 ] 페이지에서이전에된시스템프로파일을사용하는을제공합니다. 이기능을사용하려면먼저프로파일을해야합니다. 1 시스템탐색트리에서 DEM 또는수신기장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 취약성평가 ] [ 추가 ] 를클릭합니다. 3 [VA 소스유형 ] 필드에서 [eeye REM] 을선택합니다. 4 [ 시스템프로파일사용 ] 을클릭합니다. 5 [ 추가 ] 를클릭한다음 [ 프로파일유형 ] 필드에서 [ 취약성평가 ] 를선택합니다. 6 [ 프로파일에이전트 ] 필드에서이프로파일의 SNMP 버전을선택합니다. 페이지의필드는선택한버전에따라활성화됩니다. 7 요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 표 3-32 테이블시스템및해당 VA 소스에서수신기및 DEM 을봅니다. [ 추가 ] 소스를추가합니다. [ 편집 ] 선택한소스를변경합니다. [ 제거 ] 선택한 VA 소스를삭제합니다. [ 검색 ] 선택한소스의 VA 데이터를검색합니다. [ 쓰기 ] 장치에변경사항을씁니다. [ 업로드 ] (Qualys) VA 소스를추가할때 [ 방법 ] 필드에서 [ 수동업로드 ] 를선택한경우이을클릭하여파일을업로드합니다. Qualys QualysGuard 로그파일을업로드할때파일크기는 2GB 로제한됩니다. McAfee Enterprise Security Manager 제품안내서 59

60 3 ESM 구성장치구성 VA 소스추가 VA 소스와통신하려면시스템에소스를추가하고, VA 공급업체에대한통신매개변수를추가하고, 데이터가검색되는빈도를지정하는매개변수를예약하고, 심각도계산을변경합니다. 1 시스템탐색트리에서 DEM 또는수신기장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 취약성평가 ] 를클릭합니다. 3 VA 소스를추가, 편집, 제거또는검색하고장치에변경사항을씁니다. 4 [ 적용 ] 또는 [ 확인 ] 을클릭합니다. 표 3-33 [ 클라이언트 ID] Frontline 클라이언트 ID 번호를입력합니다. 이필드는 Digital Defense Frontline 에필요합니다. [ 회사이름 ] FusionVM 의경우검색해야하는회사의이름입니다. 이필드를비워두면사용자가속한모든회사가검색됩니다. 둘이상의회사를입력하는경우쉼표로이름을구분합니다. [ 데이터검색 ] (Qualys QualysGuard) VA 데이터를검색하는방법을선택합니다. [HTTP/HTTPS] 가기본값입니다. 다른은 [SCP], [FTP], [NFS], [CIFS] 및 [ 수동업로드 ] 입니다. Qualys QualysGuard 로그파일을수동으로업로드할때파일크기는 2GB 로제한됩니다. [ 도메인 ] Windows 제품의도메인을입력합니다 ( 선택사항, 도메인컨트롤러나서버가도메인내에없는경우 ). [ 내보낸검색파일디렉터리 ] [ 내보낸검색파일형식 ] 내보낸검색파일이있는디렉터리입니다. 내보낸검색파일형식 (XML, NBE) 입니다. [ 설치디렉터리 ] 서버에서 Saint 가설치된위치입니다. Saint 어플라이언스스캐너의설치디렉터리는 /usr/ local/sm/ 입니다. [IP 주소 ] eeye REM 의경우 : 트랩정보를보내고있는 eeye 서버의 IP 주소입니다. eeye Retina 의경우 : 내보낸검색파일 (.rtd) 을보관하고있는클라이언트의 IP 주소입니다. McAfee Vulnerability Manager 의경우 : 설치될서버의 IP 주소입니다. Nessus, OpenVAS, LanGuard 및 Rapid7 Metasploit Pro 의경우 : 내보낸검색파일을보관하고있는클라이언트의 IP 주소입니다. NGS 의경우 : Squirrel 보고서를저장하고있는컴퓨터의 IP 주소입니다. Rapid7, Lumension, ncircle 및 Saint 의경우 : 각서버의 IP 주소입니다. [ 마운트디렉터리 ] [ 방법 ] 필드에서 [nfs] 를선택하는경우 [ 마운트디렉터리 ] 필드가추가됩니다. [nfs] 를구성한경우마운트디렉터리집합을입력합니다. [ 방법 ] 내보낸검색파일을검색하는데사용할방법 ([SCP], [FTP], [NFS] 또는 [CIFS] 마운트 ) 입니다. LanGuard 는항상 [CIFS] 를사용합니다. 60 McAfee Enterprise Security Manager 제품안내서

61 ESM 구성장치구성 3 표 3-33 ( 계속 ) [ 암호 ] McAfee Vulnerability Manager 의경우 : SQL Server 에 Windows 인증모드를사용하고있는경우 Windows 제품의암호입니다. 그렇지않을경우 SQL Server 의암호입니다. Nessus, OpenVAS, LanGuard 및 Rapid7 Metasploit Pro 의경우 : SCP 또는 FTP 의암호입니다 ( 사용자이름참조 ). NGS 의경우 : SCP 및 FTP 방법의암호입니다. Qualys 및 FusionVM 의경우 : Qualys Front Office 또는 Fusion VM 사용자이름의암호입니다 ( 사용자이름참조 ). Rapid7 Nexpose, Lumension, ncircle 및 Saint 의경우 : 웹서버에연결할때사용할암호입니다 ( 사용자이름참조 ). Digital Defense Frontline 의경우 : 웹인터페이스암호입니다. [ 포트 ] Rapid7 Nexpose, Lumension, ncircle, McAfee Vulnerability Manager 또는 Saint 웹서버가수신중인포트입니다. Rapid7 Nexpose 의기본값은 3780 이고, Lumension 의기본값은 205 이며, ncircle 의경우는 443, McAfee Vulnerability Manager 의경우는 1433, Saint 의경우는 22 입니다. [ 프로젝트 / 영역이름 ] 특정프로젝트또는영역의이름이며, 모든프로젝트또는영역을가져오려면비워둡니다. [ 프록시 IP 주소 ] HTTP 프록시의 IP 주소 [ 프록시암호 ] 프록시의사용자이름에대한암호입니다. [ 프록시포트 ] HTTP 프록시가수신중인포트입니다. [ 프록시사용자이름 ] [Qualys 또는 FusionVM 서버 URL ] [ 원격경로및공유이름 ] 프록시의사용자이름입니다. 쿼리할 Qualys 또는 FusionVM 서버의 URL 입니다. CIFS 방법의경우 Nessus, OpenVAS, eeye Retina, Metasploit Pro, LanGuard 및 NGS 입니다. 경로이름에백슬래시나슬래시를사용할수있습니다 ( 예 : Program Files\CIFS\va 또는 / Program Files/CIFS/va). [ 수신기 ] 또는 [DEM 데이터검색예약 ] 수신기또는 DEM 에서 VA 데이터를검색할빈도를나타냅니다. [ 매일 ] 매일데이터를검색할시간을선택합니다. [ 매주 ] 데이터검색할요일과그날의시간을선택합니다. [ 매월 ] 데이터를검색할날짜와그날의시간을선택합니다. 미리설정된시간에데이터를검색하지않으려면 [ 비활성화됨 ] 을선택합니다. eeye REM 에서는소스에서데이터를검색할수없으므로수신기또는 DEM 에서데이터를검색해야합니다. [VA 데이터검색예약 ] VA 소스에서 VA 데이터를검색할빈도를나타냅니다. 자세한내용은수신기또는 DEM 데이터검색예약을참조하십시오. [ 세션 ] Saint: 데이터를수집하는세션입니다. 모든세션을포함하려면 [ 모두 ] 를입력합니다. [SNMP 인증암호 ] [SNMP 인증프로토콜 ] [SNMP 보안수준 ] 필드에서 [authnopriv] 또는 [authpriv] 를선택하는경우이필드가활성화됩니다. [SNMP 인증프로토콜 ] 필드에서선택한인증프로토콜의암호를입력합니다. [SNMP 보안수준 ] 필드에서 [authnopriv] 또는 [authpriv] 를선택하는경우이필드가활성화됩니다. 이소스의프로토콜유형 [MD5] 또는 [SHA1](SHA1 및 SHA 는동일한프로토콜유형을나타냄 ) 을선택합니다. REM Events Server 구성이선택과일치하는지확인하십시오. McAfee Enterprise Security Manager 제품안내서 61

62 3 ESM 구성장치구성 표 3-33 ( 계속 ) [SNMP 커뮤니티 ] REM Events Server 를구성할때설정된 SNMP 커뮤니티입니다. [SNMP 개인정보암호 ] [SNMP 개인정보보호프로토콜 ] [SNMP 보안수준 ] 필드에서 [authpriv] 를선택하는경우이필드가활성화됩니다. DES 또는 AES 개인정보보호프로토콜의암호를입력합니다. FIPS 모드에서는 [AES] 만사용할수있습니다. [SNMP 보안수준 ] 필드에서 [authpriv] 를선택하는경우이필드가활성화되며 DES 또는 AES 를선택할수있습니다. FIPS 모드에서는 [AES] 만사용할수있습니다. [SNMP 보안수준 ] 이소스에대해설정하려는보안수준입니다. [SNMP 사용자이름 ] [noauthnopriv] 인증프로토콜및개인정보보호프로토콜이없음 [authnopriv] 인증프로토콜은있지만개인정보보호프로토콜은없음 [authpriv] 인증프로토콜및개인정보보호프로토콜둘다있음. SNMP 인증및개인정보필드는선택한보안수준에따라활성화됩니다.REM Events Server 구성이선택과일치하는지확인하십시오. [REM Events Server 구성 ] 의보안이름입니다. [SNMP 버전 ] 소스의 SNMP 버전입니다. SNMP 필드는선택한버전에따라활성화됩니다. [SNMPv3 엔진 ID] ( 선택사항 ) SNMPv3 프로파일이사용된경우트랩보낸사람의 SNMPv3 엔진 ID 입니다. [Sudo 암호 ] ( 선택사항 ) Saint 설치디렉터리에액세스하는데필요한암호를입력합니다 (sudo 사용참조 ). [ 시간초과 ] 이필드를통해소스에대한기본시간초과값을사용하거나특정시간초과값을제공할수있습니다. 이필드는공급업체에서제공한 VA 데이터가많아기본시간초과설정을사용하여데이터의전체또는일부를반환할수없는경우유용합니다. 시간초과값을늘려더많은 VA 데이터검색시간을허용할수있습니다. 값을제공할경우모든통신에사용됩니다. [ 토큰 ] ( 선택사항 ) Metasploit 글로벌설정에서설정할수있는인증토큰입니다. [URL] Digital Defense Frontline 서버의 URL 을입력합니다. [HTTP 프록시사용 ] HTTP 프록시를사용하도록선택하면 [ 프록시 IP 주소 ], [ 프록시포트 ], [ 프록시사용자이름 ] 및 [ 프록시암호 ] 필드가활성화됩니다. [ 수동모드사용 ] [ 방법 ] 필드에서 [ftp] 를선택하는경우이필드가활성화됩니다. 그러면수동모드를사용할시기를선택해야합니다. [sudo 사용 ] [ 시스템프로파일사용 ](eeye REM) Saint 설치디렉터리에액세스할수있는경우이액세스를사용하려면이을선택합니다 (Sudo 암호참조 ). 이전에한프로파일을사용할지여부를선택합니다. 이을선택하면모든 SNMP 필드가비활성화됩니다. 기존시스템프로파일중하나를선택하면필드가선택한프로파일의정보로채워집니다. 프로파일을하려면 VA 시스템프로파일를참조하십시오. [ 사용자이름 ] McAfee Vulnerability Manager 에대한사용자이름을입력합니다. SQL Server 에 Windows 인증모드를사용하고있는경우 Windows 제품의사용자이름을입력합니다. 그렇지않을경우 SQL Server 의사용자이름입니다. Nessus, OpenVAS 및 Rapid7 Metasploit Pro 의경우 : SCP 또는 FTP 의사용자이름입니다. NGS 의경우 : SCP 및 FTP 방법의사용자이름입니다. Qualys 또는 FusionVM 의경우 : 인증할 Front Office 또는 FusionVM 사용자이름입니다. Rapid7 Nexpose, Lumension, ncircle 및 Saint 의경우 : 웹서버에연결할때사용할사용자이름입니다. Digital Defense Frontline 의경우 : 웹인터페이스사용자이름입니다. 62 McAfee Enterprise Security Manager 제품안내서

63 ESM 구성장치구성 3 표 3-33 ( 계속 ) [VA 소스이름 ] 이소스의이름을입력합니다. [ 와일드카드표현식 ] 내보낸검색파일의이름을설명하는데사용된와일드카드표현식입니다. 와일드카드표현식은파일이름에서 " 와일드카드 " 의표준에별표 (*) 나물음표 (?) 를사용할수있습니다. NBE 파일과 XML 파일이둘다있을경우이필드에서 NBE 파일을원하는지 XML 파일을원하는지를지정해야합니다 ( 예 : *.NBE 또는 *.XML). 별표 (*) 만사용할경우오류가발생합니다. VA 데이터검색 소스가추가되면 VA 데이터를검색할수있습니다. 소스에서 VA 데이터를검색하는두가지방법, 즉예약된검색또는즉시검색이있습니다. 반드시예약되어야하는 eeye REM 을제외하고모든 VA 소스에서어떤검색유형이든수행할수있습니다. 1 시스템탐색트리에서 [DEM] 또는 [ 수신기속성 ] 을선택한다음 [ 취약성평가 ] 를클릭합니다. 2 VA 소스를선택하고다음중하나를선택합니다. 수행방법... [ 즉시검색 ] [ 검색 ] 을클릭합니다. 이백그라운드에서실행되고검색이성공했는지알려줍니다 ( 성공하지못한경우 "VA 검색문제해결 " 참조 ). [ 예약검색 ] 1 [ 편집 ] 을클릭합니다. 2 [VA 데이터검색예약 ] 필드에서빈도를선택합니다. 3 [ 확인 ] 을클릭합니다. 4 [ 취약성평가 ] 페이지에서 [ 쓰기 ] 를클릭하여장치에변경사항을씁니다. 3 [ 확인 ] 을클릭합니다. 4 데이터를보려면 [ 자산관리자 ] 빠른실행아이콘을클릭한다음 [ 취약성평가 ] 탭을선택합니다. VA 검색문제해결 VA 데이터를검색하는경우성공하지못하면알려줍니다. 다음은검색이실패할수있는몇가지이유입니다. 리소스 Nessus, OpenVAS 및 Rapid7 Metasploit Pro Qualys, FusionVM 및 Rapid7 Nexpose Nessus 발생할수있는문제 빈디렉터리. 설정에서오류가발생합니다. 디렉터리의데이터가이미검색되었으므로데이터가최신상태가아닙니다. 디렉터리의데이터가이미검색되었으므로데이터가최신상태가아닙니다. 새 Nessus 파일을 FTP 사이트에업로드할때기존 Nessus 파일을다시쓴경우파일의날짜가동일하게유지됩니다. 따라서 VA 검색을수행하는경우데이터가이전데이터로인식되기때문에데이터가반환되지않습니다. 이상황을방지하려면새 Nessus 파일을업로드하기전에 FTP 사이트에서이전 Nessus 파일을삭제하거나업로드하는파일에대해다른이름을사용합니다. McAfee Enterprise Security Manager 제품안내서 63

64 3 ESM 구성장치구성 사용가능한 VA 공급업체 ESM 은다음 VA 공급업체와통합할수있습니다. VA 공급업체 버전 Digital Defense Frontline eeye REM(REM 이벤트서버 ) eeye Retina eeye Retina VA 소스는 Nessus 데이터소스와같습니다..rtd 파일을가져오기위해 scp, ftp, nfs 또는 cifs 를사용할수있습니다. 가져오려면수동으로.rtd 파일을 scp, ftp 또는 nfs 공유에복사해야합니다..rtd 파일은일반적으로 Retina Scans 디렉터리에있습니다 , 감사 : 2400 McAfee Vulnerability Manager 6.8, 7.0 Critical Watch FusionVM LanGuard 10.2 Lumension ncircle Nessus NGS OpenVAS 3.0, 4.0 Qualys Rapid7 Nexpose 권장 VA 파트너공급업체 PatchLink Security Management Console 이상지원 Tenable Nessus 버전 및 4.2 및파일형식 NBE,.nessus(XMLv2),.nessus(XMLv1), OpenNessus XML 형식지원 Rapid7 Metasploit Pro 권장 VA 파트너공급업체 업데이트 1, 파일형식 XML Rapid7 VA 소스를동일한수신기에추가하면이름 Nexpose 로시작하는 Metasploit 공격의심각도를추론할수있습니다. 추론할수없는경우기본심각도는 100 입니다. Saint GFI Languard NGS SQuirrel iscan Online? Tripwire/nCircle IPS360? 데이터소스자동생성 수신기에서제공하는 5 개의표준규칙또는직접만든규칙을사용하여데이터소스를자동으로만들도록수신기를설정할수있습니다. 시작하기전에 [ 이벤트, 플로및로그 ] 대화상자 ([ 시스템속성 이벤트, 플로및로그 ]) 에서자동체크를선택하거나액션 도구모음에서 [ 이벤트및플로가져오기 ] 아이콘을클릭하여이벤트및 / 또는플로를꺼냅니다. 64 McAfee Enterprise Security Manager 제품안내서

65 ESM 구성장치구성 3 1 [ 수신기속성 ] 에서 [ 데이터소스 자동학습 ] 을클릭합니다. 2 [ 자동학습 ] 창에서 [ 구성 ] 을클릭합니다. 3 [ 자동추가규칙편집기 ] 창에서 [ 자동생성활성화 ] 를선택한다음데이터소스를자동으로만들기위해수신기에서사용하려는자동추가규칙을선택합니다. 4 선택한규칙을기존의자동학습데이터에적용하려면 [ 실행 ] 을클릭하고 [ 닫기 ] 를클릭합니다. 66 페이지의데이터소스자동학습을설정합니다. 65 페이지의새자동생성규칙추가 새자동생성규칙추가 데이터소스를자동생성하기위해수신기에서사용할사용자지정규칙을추가할수있습니다. 1 [ 수신기속성 ] 에서 [ 데이터소스 자동학습 구성 추가 ] 를클릭합니다. 2 [ 자동추가규칙구성 ] 대화상자에서규칙을하기위해필요한데이터를추가한다음 [ 확인 ] 을클릭합니다. 새규칙이 [ 자동추가규칙편집기 ] 대화상자의자동추가규칙목록에추가됩니다. 그런다음이를선택하면자동학습된데이터가규칙에된조건을충족할때데이터소스가만들어집니다. 표 3-34 [ 자동생성활성화 ] 테이블 자동학습데이터에서자동으로데이터소스를생성하려면선택합니다. ESM 에의해수동으로또는자동으로수신기에서경보를가져올때마다자동생성이발생합니다. 수신기의현재자동추가규칙및이들의활성화여부를봅니다. 이목록의규칙을활성화하거나비활성화할수있습니다. [ 추가 ] 새자동추가규칙을추가합니다. [ 편집 ] 선택한자동추가규칙을변경합니다. [ 제거 ] 선택한자동추가규칙을삭제합니다. [ 지금실행 ] 활성화된규칙을자동학습데이터의현재목록에적용합니다. 화살표단추 표 3-35 목록에서선택한자동추가규칙을위로또는아래로이동하여순서를변경합니다. 이는규칙이나열된순서대로자동학습데이터가규칙과일치하고일치하는첫번째규칙에따라데이터소스가생성되기때문에중요합니다. [ 설명 ] 이규칙을설명하는이름을입력합니다. [ 유형 ] 드롭다운목록에서규칙유형을선택합니다. [ 활성화 ] 이규칙을활성화하려면선택합니다. McAfee Enterprise Security Manager 제품안내서 65

66 3 ESM 구성장치구성 표 3-35 ( 계속 ) [ 일치하는조건자동학습 ] 열 [ 데이터소스 / 클라이언트생성매개변수 ] 열 수신된데이터가데이터소스또는클라이언트로추가되기위해일치해야하는조건을합니다. 데이터가조건과일치하는경우만들려는데이터소스에대한설정을합니다. 데이터소스의이름을입력합니다. 이필드는 IP 주소, 모델및호스트이름을나타내는변수를지원합니다. 예를들어 Data source - {MODEL}_{HOST}_{IP} 를입력할수있습니다. 데이터소스또는클라이언트를선택합니다. 클라이언트인경우그클라이언트를포함하는상위를선택한다음클라이언트유형을선택합니다. 공급업체, 모델, 시간대및영역을선택합니다. 데이터소스 ( 클라이언트가아님 ) 에서생성되는데이터를 ELM 에저장하려는경우 [ 저장소풀 ] 을클릭하고저장소풀을선택합니다. 64 페이지의데이터소스자동생성 66 페이지의데이터소스자동학습을설정합니다. 데이터소스자동학습을설정합니다. IP 주소를자동으로학습하려면 ESM 을설정합니다. 시작하기전에 Syslog, MEF 및플로에대해포트가되었는지확인합니다 (" 인터페이스설정 " 참조 ). 수신기의방화벽이지정한시간에열리므로시스템은알수없는 IP 주소세트를학습할수있습니다. 그런다음데이터소스로시스템에추가할수있습니다. 업그레이드하면자동학습결과가 [ 자동학습 ] 페이지에서삭제됩니다. 업그레이드하기전에액션을수행하지않은자동학습결과가있는경우업그레이드를수행한다음자동학습을실행하여해당결과를다시수집해야합니다. 1 시스템탐색트리에서 [ 수신기속성 ] 을선택한다음 [ 데이터소스 ] [ 자동학습 ] 을클릭합니다. 2 필요에따라설정을한다음 [ 닫기 ] 를클릭합니다. 66 McAfee Enterprise Security Manager 제품안내서

67 ESM 구성장치구성 3 표 3-36 [ 활성화 ] 또는 [ 비활성화 ] 자동학습을활성화하거나비활성화합니다. 수신기포트는데이터를보내고있는소스와일치해야합니다. 그렇지않으면자동학습이수행되지않습니다. 적절한 [ 시간 ] 필드에서자동학습이수행되도록할시간 ( 최대값은 24 시간, 0 은계속임 ) 을선택한다음 [ 활성화 ] 를클릭합니다. 자동학습이시작되고단추가 [ 비활성화 ] 로변경됩니다. 시간이만료되면자동학습기능이비활성화되고테이블이검색된 IP 주소로채워집니다. MEF 에자동학습을사용하는경우에는호스트 ID 를사용하여자동학습되는데이터소스를추가할수없습니다. 수집이완료되기전에프로세스중지 [ 비활성화 ] 를클릭합니다. 데이터수집은중지되지만해당지점까지수집된데이터는처리됩니다. 프로세스가완료될때까지대기 지정된기간동안데이터가수집됩니다. 데이터가처리되고테이블에추가됩니다. 검색된모든정보는자동학습을다시활성화할때까지 ESM 에저장됩니다. [ 자동학습 ] 페이지외부로탐색할수있으며자동학습은선택한기간동안계속됩니다. [ 현재상태 ] 필드에는자동학습프로세스에서수행되고있는이표시됩니다. [ 자동학습이중지되었습니다.] 지금은수행되지않습니다. 즉, 자동학습이요청되지않았거나요청된학습및처리가완료되었음을의미할수있습니다. [ 데이터수집중 ] 자동학습이활성화되었으며현재데이터를수집하고있습니다. 이은지정한기간동안수행됩니다. [ 자동학습데이터처리중 ] 시스템에서수집된데이터를처리하고있습니다. 이은지정한시간동안데이터가수집된후에수행됩니다. [ 오류가발생했습니다.] 데이터가수집되거나처리되는동안오류가발생했습니다. [ 구성 ] 수집되는 IP 주소가규칙에된기준에맞는경우데이터소스로자동으로추가할수있도록규칙을설정합니다. 테이블 자동학습된데이터소스의 IP 주소를표시합니다. 각테이블에는 IP 주소및자동학습항목으로구성된이름이지정되며로그형식이나열됩니다. 또한시스템은데이터소스유형과일치시키려고시도합니다. [ 추가 ] 자동학습된 IP 주소를데이터소스로추가합니다. [ 이름편집 ] 1 테이블에서유형이같은 IP 주소를하나이상선택한다음 [ 추가 ] 를클릭합니다. 2 [ 자동학습된소스 ] 페이지에서다음중하나를선택합니다. 3 [ 확인 ] 을클릭합니다. 다음중하나가수행됩니다. 선택한 IP 주소에연결된이름이없는경우선택한주소에접두사를추가할지를묻는메시지가표시됩니다. [ 아니오 ] 를클릭하면 IP 주소가이러한데이터소스의이름으로사용됩니다. [ 예 ] 를클릭하면 [ 이름접두사 ] 페이지가열립니다. 이름을입력하고 [ 확인 ] 을클릭합니다. 이러한데이터소스의이름은추가한이름과 IP 주소로구성됩니다. 선택한 IP 주소에이름이있는경우데이터소스가 [ 데이터소스 ] 페이지의목록에추가됩니다. 선택한항목의기본이름을편집합니다. 이름필드는 50 자로제한됩니다. 각이름은고유해야합니다. [ 제거 ] 목록에서선택한 IP 주소를삭제합니다. 목록은 [ 자동학습 ] 을닫은다음에야저장됩니다. [ 유형변경 ] 선택한 IP 주소의유형을변경합니다. 시스템에서제안한유형이잘못된경우이을수행합니다. 패킷을보면올바른유형을확인하는데필요한정보를제공할수있습니다. McAfee Enterprise Security Manager 제품안내서 67

68 3 ESM 구성장치구성 표 3-36 ( 계속 ) [ 새로고침 ] [ 패킷표시 ] 페이지에서데이터를다시로드하여자동학습데이터및 syslog, MEF 또는 Netflow 자동학습의상태를변경합니다. 선택한데이터소스에대한패킷을보려면클릭합니다. 표 3-37 [ 선택한자동학습항목에대한데이터소스만들기 ] [ 기존데이터소스에대한클라이언트를만들거나클라이언트로새데이터소스를만듦 ] 각각의선택한자동학습소스에대해새데이터소스를만듭니다. 소스하나에대해더많은정보가필요한경우 [ 데이터소스추가 ] 페이지를열어정보를추가할수있습니다. 다음이있습니다. [ 클라이언트유형일치 ]: 선택한 IP 와일치하는데이터소스가있는경우항목이유형별일치클라이언트데이터소스로추가됩니다. 선택한 IP 와일치하는데이터소스가존재하지않는경우에는데이터소스가만들어집니다. 나머지항목은유형별일치클라이언트데이터소스로추가됩니다. [ 클라이언트 IP 일치 ]: 이에서이 IP 를클라이언트로추가하려는데이터소스를선택할수있습니다. 이을선택하면드롭다운목록이활성화됩니다. 이 IP 와일치하는하나이상의데이터소스가있는경우해당데이터소스가나열됩니다. 하나도없는경우사용가능한유일한은 [ 없음 새데이터소스만들기 ] 입니다. 이 IP 를클라이언트로추가하려는데이터소스를선택한다음 [ 확인 ] 을클릭합니다. 64 페이지의데이터소스자동생성 65 페이지의새자동생성규칙추가 데이터소스에대한날짜형식설정 데이터소스에포함된날짜형식을선택합니다. 1 시스템탐색트리에서수신기를선택한다음 [ 데이터소스추가 ] 아이콘을클릭합니다. 2 [ 고급 ] 을클릭한다음 [ 날짜순서 ] 필드에서선택합니다. [ 기본 ] - 기본날짜순서를사용합니다 ( 월다음일 ). 클라이언트데이터소스를사용할때이설정을사용하는클라이언트는상위데이터소스의날짜순서를상속받습니다. [ 월다음일 ] - 월이일앞에나옵니다 (04/23/2014). [ 일다음월 ] - 일이월앞에나옵니다 (23/04/2014). 3 [ 확인 ] 을클릭합니다. 68 McAfee Enterprise Security Manager 제품안내서

69 ESM 구성장치구성 3 54 페이지의수신기데이터소스 55 페이지의데이터소스추가 57 페이지의데이터소스관리 71 페이지의데이터소스목록가져오기 73 페이지의다른시스템으로데이터소스이동 74 페이지의파일테일데이터소스수집방법선택 하위데이터소스추가 하위데이터소스를추가하여데이터소스를구성할수있습니다. 1 시스템탐색트리에서 [ 수신기속성 ] 을선택한다음 [ 데이터소스 ] 를클릭합니다. 2 데이터소스테이블에서하위데이터소스를추가하려는데이터소스를클릭합니다. 3 [ 하위추가 ] 를클릭한다음상위데이터소스에대한것과마찬가지로필드를입력합니다. 4 [ 확인 ] 을클릭합니다. 데이터소스가표및시스템탐색트리의상위데이터소스아래에하위로추가됩니다. 표 3-38 [ 데이터소스공급업체 ] 자동학습된데이터소스또는클라이언트의공급업체를선택합니다. [ 데이터소스모델 ] 데이터소스또는클라이언트의모델을선택합니다. [ 시간대 ] 데이터소스또는클라이언트의시간대를선택합니다. 클라이언트데이터소스 클라이언트데이터소스를추가하면수신기에서허용된데이터소스의수를늘릴수있습니다. syslog, ASP, CEF, MEF, NPP 및 WMI 수집기가포함된데이터소스의경우최대 32,766 개의데이터소스클라이언트를추가할수있습니다. 데이터소스가이미상위나하위인경우또는 WMI 데이터소스및 [RPC 사용 ] 이선택된경우에는이을사용할수없습니다. 동일한 IP 주소를가진둘이상의클라이언트데이터소스를사용할수있으며이데이터소스를구분하는데포트번호를사용할수있습니다. 예를들어각데이터유형에서로다른포트를사용하여데이터를분리한다음데이터가수신된동일한포트를사용하여해당데이터를전달할수있습니다. 클라이언트데이터소스를추가할때 (" 클라이언트데이터소스 " 및 " 클라이언트데이터소스추가 " 참조 ) 상위데이터소스포트또는다른포트를사용할것인지선택합니다. 클라이언트데이터소스에는다음과같은특징이있습니다. VIPS, Policy 또는 Agent 권한이없습니다. 상위데이터소스와동일한정책및권한을공유합니다. [ 데이터소스 ] 테이블에표시되지않습니다. 상위의구성을사용하기때문에동일한시간대에있어야합니다. 시스템탐색트리에표시됩니다. 클라이언트 WMI 데이터소스는시간대가 WMI 서버에전송된쿼리에의해결정되기때문에독립시간대를가질수있습니다. McAfee Enterprise Security Manager 제품안내서 69

70 3 ESM 구성장치구성 70 페이지의클라이언트데이터소스추가 클라이언트데이터소스추가 수신기에허용된데이터소스수를늘리려면기존데이터소스에클라이언트를추가합니다. 시작하기전에 데이터소스를수신기에추가합니다 (" 데이터소스추가 " 참조 ). 1 시스템탐색트리에서 [ 수신기속성 ] 을선택한다음 [ 데이터소스 ] 를클릭합니다. 2 클라이언트를추가하려는데이터소스를선택한다음 [ 클라이언트 ] 를클릭합니다. [ 데이터소스클라이언트 ] 페이지에현재선택한데이터소스에속하는클라이언트가나열됩니다. 3 [ 추가 ] 를클릭하고요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 이벤트가좀더구체적인데이터소스 ( 상위또는클라이언트 ) 로이동합니다. 한 IP 주소가 이고두번째 IP 주소가 /24( 범위에해당 ) 인두개의클라이언트데이터소스가있는예를들어보겠습니다. 둘다동일한유형입니다. 이벤트가 과일치하는경우더구체적이기때문에첫번째클라이언트로이동합니다. 표 3-39 클라이언트테이블 [ 데이터소스 ] 테이블에서선택한데이터소스의일부인클라이언트를봅니다. [ 검색 ] 특정클라이언트를검색하는경우필드에클라이언트이름을입력하고 [ 검색 ] 을클릭합니다. [ 추가 ] 클라이언트를데이터소스에추가하려면클릭합니다. [ 편집 ] 선택한클라이언트를편집하려면클릭합니다. [ 제거 ] 선택한클라이언트를삭제하려면클릭합니다. 표 3-40 [ 이름 ] 이클라이언트의이름을입력합니다. [ 시간대 ] 이클라이언트데이터소스가있는시간대를선택합니다. [ 날짜순서 ] 날짜의형식 ( 월다음일또는일다음월 ) 을선택합니다. [IP 주소 ], [ 호스트이름 ] 클라이언트의 IP 주소또는호스트이름을입력합니다. 동일한 IP 주소를가진클라이언트데이터소스가둘이상있을수있습니다. 포트는이러한데이터소스를구별하기위해사용됩니다. [syslog TLS 필요 ] syslog 에 TLS(Transport Layer Security) 암호화프로토콜을사용하려면선택합니다. [ 포트 ] 클라이언트가상위또는나열된다른포트와동일한포트를사용하게할것인지여부를선택합니다. [ 유형일치 ] 선택하면유형별로클라이언트를일치시킨다음이클라이언트의공급업체및모델을선택합니다. 69 페이지의클라이언트데이터소스 70 McAfee Enterprise Security Manager 제품안내서

71 ESM 구성장치구성 3 클라이언트찾기 [ 데이터소스클라이언트 ] 페이지에시스템의모든클라이언트가나열됩니다. 클라이언트가 65,000 개보다많이있을수있기때문에필요한경우특정클라이언트를찾을수있도록검색기능이제공됩니다. 1 시스템탐색트리에서 [ 수신기속성 ] 을선택한다음 [ 데이터소스 ] [ 클라이언트 ] 를클릭합니다. 2 검색하려는정보를입력한다음 [ 검색 ] 을클릭합니다. 데이터소스목록가져오기 [ 데이터소스 ] 페이지의 [ 가져오기 ] 을통해.csv 형식으로저장된데이터소스목록을가져올수있습니다. 그러면개별적으로각데이터소스를추가, 편집또는제거할필요가없어집니다. 두가지상황에서이을사용합니다. 안전한위치의수신기에서안전하지않은위치의수신기로복사된원시데이터소스데이터를가져오려는경우이을수행하려면 " 데이터소스이동 " 을참조하십시오. 데이터소스를기존목록에추가하거나, 기존데이터소스를편집하거나, 기존데이터소스를제거하여수신기에서데이터소스를편집하려는경우이을수행해야하는경우다음단계를수행합니다. 1 수신기의현재데이터소스목록을내보냅니다. a 시스템탐색트리에서 [ 수신기속성 ] 을선택한다음 [ 데이터소스 ] 를클릭합니다. b [ 내보내기 ] 를클릭한다음 [ 예 ] 를클릭하여다운로드를확인합니다. c 다운로드의위치를선택하고필요한경우파일이름을변경한다음 [ 저장 ] 을클릭합니다. 기존데이터소스목록이저장됩니다. d 이파일에액세스하여엽니다. 수신기의현재데이터소스에대한데이터가나열된스프레드시트가열립니다 (" 데이터소스를가져올때스프레드시트필드 " 참조 ). 2 목록에서데이터소스를추가, 편집또는제거합니다. a A 열에서데이터소스로수행할액션 ( 추가, 편집또는제거 ) 을지정합니다. b 데이터소스를추가하거나편집하는경우스프레드시트열에정보를입력합니다. 데이터소스의이름또는정책을편집할수없습니다. c 스프레드시트에대한변경사항을저장합니다. 클라이언트데이터소스의데이터소스로만들거나다른방식으로데이터소스를편집할수없습니다. 3 수신기로목록을가져옵니다. a 시스템탐색트리에서 [ 수신기속성 ] 을선택한다음 [ 데이터소스 ] 를클릭합니다. b [ 가져오기 ] 를클릭한다음파일을선택하고 [ 업로드 ] 를클릭합니다. 데이터소스의이름또는정책을변경할수없습니다. 스프레드시트에대한변경사항이나열된 [ 데이터소스가져오기 ] 페이지가열립니다. McAfee Enterprise Security Manager 제품안내서 71

72 3 ESM 구성장치구성 c 변경사항을가져오려면 [ 확인 ] 을클릭합니다. 올바르게형식이지정된변경사항이추가됩니다. d 변경사항의형식지정에오류가있는경우 [ 메시지로그 ] 에서오류를설명합니다. e [ 전체파일다운로드 ] 를클릭한다음 [ 예 ] 를클릭합니다. f 저장할다운로드의위치를선택하고필요한경우파일이름을변경한다음 [ 저장 ] 을클릭합니다. g 다운로드한파일을엽니다. 오류가있는데이터소스가나열됩니다. h 오류를수정한다음파일을저장하고닫습니다. i [ 메시지로그 ] 및 [ 데이터소스가져오기 ] 를닫은다음 [ 가져오기 ] 를클릭하고저장한파일을선택합니다. [ 데이터소스가져오기 ] 에수정한데이터소스가나열됩니다. j [ 확인 ] 을클릭합니다. 표 3-41 [ 업로드 ] 클릭하여 ESM 에추가하려는사용자지정데이터소스의.npd 파일을찾습니다. 이파일은 McAfee 에서생성한것입니다. [ 보기 ] 설치된데이터소스를보려면클릭합니다. 54 페이지의수신기데이터소스 55 페이지의데이터소스추가 57 페이지의데이터소스관리 68 페이지의데이터소스에대한날짜형식설정 73 페이지의다른시스템으로데이터소스이동 74 페이지의파일테일데이터소스수집방법선택 데이터소스를다른수신기에마이그레이션 동일한시스템에있는수신기간에데이터소스를재할당하거나재배포할수있습니다. 이은새수신기를구입하여두수신기간에데이터소스와관련된데이터의균형을맞추려는경우또는더큰교체수신기를구입하여데이터소스를현재수신기에서새수신기로전송해야하는경우유용할수있습니다. 1 시스템탐색트리에서데이터소스가포함된수신기의 [ 수신기속성 ] 을선택한다음 [ 데이터소스 ] 를클릭합니다. 2 마이그레이션할데이터소스를선택한다음 [ 마이그레이션 ] 을클릭합니다. 3 [ 대상수신기 ] 필드에서새수신기를선택한다음 [ 확인 ] 을클릭합니다. 표 3-42 [ 대상수신기 ] ESM 의모든수신기를나열합니다. 선택한데이터소스를이동할수신기를선택합니다. 72 McAfee Enterprise Security Manager 제품안내서

73 ESM 구성장치구성 3 다른시스템으로데이터소스이동 데이터소스를한수신기에서다른시스템의다른수신기로이동하려면이동할데이터소스를선택하고이러한데이터소스와해당원시데이터를원격위치에저장한다음다른수신기로가져와야합니다. 시작하기전에 이기능을수행하려면두수신기에대한장치관리권한이있어야합니다. 안전한위치에있는수신기에서안전하지않은위치의수신기로데이터소스를이동하려면이프로세스를사용합니다. 데이터소스정보를내보낼때제한이있습니다. 플로데이터소스 ( 예 : IPFIX, NetFlow 또는 sflow) 를전송할수없습니다. 상호연결된이벤트의소스이벤트가표시되지않습니다. 두번째수신기에서상관규칙을변경한경우상관엔진이해당규칙을처리하지않습니다. 상관데이터가전송되면파일에서해당이벤트를삽입합니다. 수행방법... [ 데이터소스및원격위치선택 ] 1 시스템탐색트리에서 [ 수신기속성 ] 을선택한다음 [ 데이터소스 ] 를클릭합니다. 2 데이터소스를선택한다음 [ 편집 ] 을클릭합니다. 3 [ 고급 ] 을클릭한다음 [NitroFile 로내보내기 ] 를선택합니다. 데이터를원격위치로내보내고프로파일을사용하여구성됩니다. 4 [ 확인 ] 을클릭합니다. 이제부터이데이터소스에서생성된원시데이터가원격공유위치로복사됩니다. [ 원시데이터파일만들기 ] [ 데이터소스를설명하는파일만들기 ] 1 원시데이터가저장된원격공유위치에액세스합니다. 2 두번째수신기로파일을이동할수있는위치에생성된원시데이터를저장합니다 ( 예 : 안전하지않은위치로이동할수있는점프드라이브 ). 1 시스템탐색트리에서 [ 수신기속성 ] 을선택한다음 [ 데이터소스 ] [ 가져오기 ] 를클릭합니다. 2 이동한데이터소스파일을찾고 [ 업로드 ] 를클릭합니다. 3 [ 원격공유프로파일 ] 목록에서원시데이터파일을저장한위치를선택합니다. 프로파일이나열되지않는경우 [ 원격공유프로파일 ] 을클릭하고프로파일을추가합니다. 4 [ 확인 ] 을클릭합니다. 데이터소스가두번째수신기에추가되고원격공유프로파일을통해원시데이터에액세스합니다. [ 원시데이터및데이터소스파일가져오기 ] 1 시스템탐색트리의두번째수신기에서 [ 데이터소스 ] 에액세스한다음 [ 가져오기 ] 를클릭합니다. 2 이동한데이터소스파일을찾고 [ 업로드 ] 를클릭합니다. [ 데이터소스가져오기 ] 페이지에가져올데이터소스가나열됩니다. 3 [ 원격공유프로파일 ] 목록에서원시데이터파일을저장한위치를선택합니다. 프로파일이나열되지않는경우 [ 원격공유프로파일 ] 을클릭하고프로파일을추가합니다 (" 프로파일구성 " 참조 ). 4 [ 확인 ] 을클릭합니다. McAfee Enterprise Security Manager 제품안내서 73

74 3 ESM 구성장치구성 54 페이지의수신기데이터소스 55 페이지의데이터소스추가 57 페이지의데이터소스관리 68 페이지의데이터소스에대한날짜형식설정 71 페이지의데이터소스목록가져오기 74 페이지의파일테일데이터소스수집방법선택 파일테일데이터소스수집방법선택 데이터소스를추가할때 [ 데이터검색 ] 필드에서 [NFS 파일소스 ] 또는 [CIFS 파일소스 ] 를선택하는경우수집방법을선택해야합니다. 은다음과같습니다. [ 파일복사 ] 원격공유에서처리될수신기로전체로그가복사됩니다. 로그파일이크고새정보로자주업데이트되지않는경우전체로그파일복사는비효율적이고시간낭비입니다. [ 파일테일 ] 로그를원격으로새이벤트만읽습니다. 로그를읽을때마다이전에중지한위치에서부터읽습니다. 파일이대폭변경되었음이탐지되면전체파일을처음부터다시읽습니다. 1 시스템탐색트리에서수신기를클릭한다음액션도구모음에서 [ 데이터소스추가 ] 아이콘을클릭합니다. 2 요청한정보를제공하고 [ 데이터검색 ] 필드에서 [CIFS 파일소스 ] 또는 [NFS 파일소스 ] 를선택합니다. 3 [ 수집방법 ] 필드에서 [ 파일테일 ] 을선택한다음이필드를입력합니다 : [ 다중선구분로그 ] 이벤트가동적길이를갖는지지정하려면선택합니다. [ 이벤트구분기호 ] 이벤트의끝과또다른이벤트의시작을표시하는문자열을입력합니다. 이러한구분기호는매우다양하고로그파일의유형에따라다릅니다. [ 구분기호가정규식임 ] [ 이벤트구분기호 ] 필드의값이고정값이아닌정규표현식으로구분분석되는경우선택합니다. [ 테일모드 ] 처음실행시발생되는파일을완전히구문분석하려면 [ 시작 ] 을선택하거나파일크기를참고하고새이벤트만수집하려면 [ 끝 ] 을선택합니다. [ 하위디렉터리의재귀적사용 ] 자식디렉터리 ( 하위디렉터리 ) 에서수집을읽으려면선택하고와일드카드표현식필드와일치하는항목을찾습니다. 선택하지않은경우상위디렉터리파일만찾습니다. 4 나머지필드를입력한다음 [ 확인 ] 을클릭합니다. 54 페이지의수신기데이터소스 55 페이지의데이터소스추가 57 페이지의데이터소스관리 68 페이지의데이터소스에대한날짜형식설정 71 페이지의데이터소스목록가져오기 73 페이지의다른시스템으로데이터소스이동 특정데이터소스구성 일부데이터소스는추가정보및특수한구성설정이필요합니다. 자세한내용은다음섹션을참조하십시오. 74 McAfee Enterprise Security Manager 제품안내서

75 ESM 구성장치구성 3 Check Point Big Fix IBM Internet Security Systems SiteProtector 일반이벤트형식 McAfee epolicy Orchestrator ArcSight epolicy Orchestrator 4.0 Security Device Event Exchange NSM-SEIM 고급 Syslog 분석기 Syslog 릴레이지원 WMI 이벤트로그 Adiscon 또한 Knowledge Center 에서이러한데이터소스에대한현재구성안내서를참조할수있습니다. WMI 이벤트로그 WMI 는 DMTF(Distributed Management Task Force) 에서한대로 Microsoft 가구현한 WBEM(Web-Based Enterprise Management) 입니다. 이는 Windows 운영체제의기본관리기술로, 관리정보가관리응용프로그램간에공유되도록허용합니다.WMI 에는원격컴퓨터에서관리데이터를가져오는유용한기능이있습니다. WMI 는 FIPS 컴플라이언트가아닙니다. FIPS 규정을준수해야하는경우이기능을사용하지마십시오. WMI 이벤트로그가데이터소스로설정되고수신기를통해전송됩니다. 수신기가설정된기간에 Windows 서버를폴링하고이벤트를수신합니다. WMI 수집기가 Windows 상자에서이벤트로그의이벤트를수집할수있습니다. 기본적으로수신기는보안, 관리및이벤트로그를수집합니다. 디렉터리서비스또는 Exchange 와같은다른로그파일을입력하는기능이있습니다. 이벤트로그데이터는패킷데이터에서수집되고이벤트테이블세부정보를통해볼수있습니다. 데이터소스및사용자가제대로설정되면 Windows 2008 또는 2008 R2 를사용하는경우를제외하고, 관리또는백업운영자권한이 WMI 이벤트로그에필요합니다 ("Windows 보안로그꺼내기 " 참조 ). WMI 데이터소스에서다음추가장치가지원됩니다. McAfee 안티바이러스 Microsoft SQL Server Windows RSA Authentication Manager Microsoft ISA Server Symantec Antivirus Microsoft Active Directory Microsoft Exchange Adiscon 을통한 syslog WMI 설정에대한지침은 "Adiscon 설정 " 을참조하십시오. WMI 데이터소스를설정하는경우공급업체는 [Microsoft] 이고모델은 [WMI 이벤트로그 ] 입니다. Windows 보안로그를가져오도록설정 Windows 2008 또는 2008 R2 를사용하는경우, WMI 이벤트로그데이터소스및사용자가올바로설정되면관리자권한이없는사용자가 Windows 보안로그를가져올수있습니다. 1 이벤트로그를읽으려는 Windows 2008 또는 2008 R2 시스템에서새사용자를만듭니다. 2 사용자를 Windows 시스템의이벤트로그판독기그룹에할당합니다. McAfee Enterprise Security Manager 제품안내서 75

76 3 ESM 구성장치구성 3 McAfee Event Receiver 에서새 Microsoft WMI 이벤트로그데이터소스를만들어 1 단계에서만든사용자에대한자격증명을입력합니다 (" 데이터소스추가 " 참조 ). 4 [RPC 사용 ] 상자를선택한다음 [ 확인 ] 을클릭합니다. 상관데이터소스 상관데이터소스는 ESM 에서유입된데이터를분석하고데이터플로에서의심스러운패턴을탐지합니다. 이러한패턴을나타내는상관경보를생성하고이러한경보를수신기의경보데이터베이스에삽입합니다. 의심스러운패턴은상관정책규칙에서해석한데이터에의해나타나며이는사용자가생성하고수정할수있습니다. syslog 또는 OPSEC 를구성하는것과유사한방식으로수신기당하나의상관데이터소스만구성할수있습니다. 수신기의상관데이터소스를구성한다음에는상관의기본정책을롤아웃할수있습니다. 이상관의기본정책에서기본규칙을편집하거나사용자지정규칙및구성요소를추가한다음정책을롤아웃할수있습니다. 각규칙을활성화하거나비활성화하고각규칙의사용자가능한매개변수의값을설정할수있습니다. 상관정책에대한자세한내용은 " 상관규칙 " 을참조하십시오. 상관데이터소스를추가하는경우공급업체는 [McAfee] 이고모델은 [ 상관엔진 ] 입니다. 상관데이터소스가활성화되면 ESM 은수신기의상관엔진에경보를보냅니다. 심각도및액션맵 심각도및액션매개변수는사용법이약간다릅니다. 이러한매개변수의목표는 syslog 메시지의값을시스템의스키마에맞는값으로매핑하는것입니다. severity_map 심각도는규칙과일치하는이벤트에할당된 1( 거의심각하지않음 ) 에서 100( 가장심각함 ) 사이의값으로표시됩니다. 경우에따라메시지를보내는장치의심각도는숫자 1 10 이나텍스트 ( 고위험, 중간, 저위험 ) 로표시될수있습니다. 이런경우심각도로캡처할수없으므로매핑을만들어야합니다. 예를들어다음은심각도를텍스트형식으로표시하는 McAfee IntruShield 에서생성되는메시지입니다. <113>Apr 21 07:16:11 SyslogAlertForwarder: Attack NMAP: XMAS Probe (Medium)\000 심각도매핑을사용하는규칙에대한구문은다음과같습니다 ( 심각도매핑은강조를위해굵게표시함 ): alert any any any -> any any (msg:"mcafee Traffic"; content:"syslogalertforwarder"; severity_map:high=99,medium=55,low=10; pcre:"(syslogalertforwarder)\x3a\s+attack\s+([^\x27]+)\x27([^\x28]+) \x28"; raw; setparm:application=1; setparm:msg=2; setparm:severity=3; adsid:190; rev:1;) severity_map : High=99,Medium=55,Low=10. 텍스트를사용할수있는형식의숫자로매핑합니다. setparm : severity=3. 세번째캡처를사용하고심각도와동일하게설정한다는의미입니다. 모든 setparm 수정자는이런방식으로작동합니다. action_map 심각도와마찬가지로사용됩니다. 액션은타사장치에서수행한액션을나타냅니다. 액션의목표는최종사용자에게유용한매핑을만드는것입니다. 예를들어다음은 OpenSSH 의실패한로그인메시지입니다. Dec 6 10:27:03 nina sshd[24259]: Failed password for root from port ssh2 alert any any any -> any any (msg:"ssh Login Attempt"; content:"sshd"; action_map:failed=9,accepted=8; pcre:"sshd\x5b\d+\x5d\x3a\s+((failed Accepted)\s+password)\s+for\s+((invalid illegal)\s+user\s+)?(\s+)\s+from\s+ (\S+)(\s+(\S+)\s+port\s+(\d+))?"; raw; setparm:msg=1; setparm:action=2; setparm:username=5; setparm:src_ip=6; adsid:190; rev:1;) 액션 (Failed) 이숫자로매핑됩니다. 이숫자는시스템에서사용할수있는다른액션을나타냅니다. 다음은사용가능한전체액션유형목록입니다. 0 = Null 20 = 중지 1 = 통과 21 = 통지 2 = 거부 22 = 신뢰할수있음 76 McAfee Enterprise Security Manager 제품안내서

77 ESM 구성장치구성 3 3 = 삭제 23 = 신뢰할수없음 4 = sdrop 24 = 잘못된긍정 5 = 경보 25 = 경보-거부 6 = 기본값 26 = 경보-삭제 7 = 오류 27 = 경보-sdrop 8 = 성공 28 = 다시시작 9 = 실패 29 = 차단 10 = 긴급 30 = 치료 11 = 위험 31 = 치료-실패 12 = 경고 32 = 계속 13 = 정보 33 = 감염됨 14 = 디버그 34 = 이동 15 = 상태 35 = 이동-실패 16 = 추가 36 = 검역 17 = 수정 37 = 겸역-실패 18 = 제거 38 = 제거-실패 19 = 시작 39 = 거부됨 이예제에서 Failed 는 syslog 메시지에서 9 로매핑되며, 시스템에서 Failure 로보고합니다. 다음은규칙의구조에대한분석입니다. Alert any any any -> any any (msg: Login Attempt ; content: sshd ; action_map or severity_map (if you need it); pcre: your regular expression goes here ; raw; setparm:data_tag_goes_here; adsid:190; rev:1;) 고급 syslog 분석기 ASP( 고급 Syslog 분석기 ) 는사용자규칙에따라 syslog 메시지의데이터를구문분석하는메커니즘을제공합니다. 규칙은지정된메시지를인식하는방법및시그니처 ID, IP 주소, 포트, 사용자이름, 액션등의해당메시지관련이벤트데이터가상주하는위치를 ASP 에알립니다. ASP 는 [ 데이터소스추가 ] 페이지에서특별히식별되지않는 syslog 장치에활용하거나소스관련분석기가메시지를올바르게해석하지못하거나수신한이벤트와관련된데이터지점을완전히해석하지못하는경우에활용할수있습니다. 또한 Linux 및 UNIX 서버와같은복잡한로그소스를정렬하는데적합합니다. 이기능을사용하려면 Linux 또는 UNIX 환경에맞게구성된규칙을작성 (" 고급 Syslog 분석기에규칙추가 " 참조 ) 해야합니다. Syslog 를공급업체로선택하여수신기에 ASP 데이터소스를추가할수있습니다 (" 데이터소스추가 " 참조 ). 이을완료했으면장치제조업체의지시에따라 syslog 데이터를수신기의 IP 주소로보내도록 syslog 장치를구성하십시오. ASP 소스를추가하는경우이벤트데이터를수집하기전에정책을적용해야합니다. [ 일반 Syslog 지원 ] 을활성화한경우규칙이없는정책을적용하고일반적으로이벤트데이터수집을시작할수있습니다. Linux 및 UNIX 서버를포함한일부데이터소스는수신기가유사한이벤트발생을함께제대로그룹화할수없도록하는균일하지않은많은데이터를생성할수있습니다. 따라서실제로동일한이벤트가단순하게반복되지만다양한 syslog 데이터가수신기로전송되는경우서로다른이벤트가광범위하게나타날수있습니다. ASP 에규칙을추가하면이벤트데이터에서대부분을가져올수있습니다. ASP 는 Snort 와매우유사한형식을사용합니다. McAfee Enterprise Security Manager 제품안내서 77

78 3 ESM 구성장치구성 ACTION Protocol Src_ip Src_port -> Dst_ip Dst_port (keyword: option; keyword: option;...;) 버전 이상에서리터럴값을 PCRE 하위캡처로연결하려는경우리터럴에공백이나다른문자가포함되어있으면리터럴을개별적으로따옴표에넣고 PCRE 하위캡처참조는따옴표로묶지않은상태로유지합니다. 규칙은다음과같이됩니다. 섹션필드설명 규칙헤더 규칙헤더에는 Alert 액션과 any any any 형식이포함됩니다. 규칙은다음과같습니다. ALERT any any any -> any any [ 액션 ] 일치가발생할경우이벤트에서수행할액션입니다. 은다음과같습니다. ALERT 이벤트를로깅함 DROP 이벤트를로깅하지만전달하지않음 SDROP 이벤트를로깅하거나전달하지않음 PASS 된경우전달하지만로깅하지않음 규칙본문 [ 프로토콜 ] 이벤트에서프로토콜을한경우프로토콜에따라유효일치를필터링합니다. [ 소스 / 대상 IP] 이벤트에서소스나대상 IP 주소를한경우해당주소에따라유효일치를필터링합니다. [ 소스 / 대상포트 ] [msg] [content] [procname] [adsid] [sid] 이벤트에서소스나대상포트를한경우해당포트에따라유효일치를필터링합니다. 규칙본문은대부분의일치기준을포함하며데이터를구문분석하고 ESM 데이터베이스에로깅하는방법을합니다. 규칙본문의요소는키워드 - 쌍으로됩니다. 일부키워드에는다음이없습니다. ( 필수 ) 이규칙에연결할메시지입니다. pcre/setparm 탐지메시지 ( 아래참조 ) 로재되지않는한보고용으로 ESM Thin Client 에표시되는문자열입니다. msg 의첫번째은범주이름과그다음에오는실제메시지입니다 (msg: " 범주규칙메시지 "). ( 선택사항 하나이상 ) content 키워드는규칙세트를통과할때이벤트를사전필터링하는와일드카드가아닌텍스트한정자이며, 공백을포함할수있습니다. 예를들어 content: "search 1"; content "something else" 형식입니다. 많은 UNIX 및 Linux 시스템에서는프로세스이름 ( 및프로세스 ID) 이표준화된 syslog 메시지헤더의일부입니다. procname 키워드를사용하여규칙에서이벤트일치를필터링할수있습니다. Linux 또는 UNIX 서버의두프로세스에유사하거나동일한메시지텍스트가있는이벤트일치를제외하거나필터링하는데사용됩니다. 사용할데이터소스 ID 입니다. 이값은데이터소스편집기의 [ 기본규칙할당 ] 을재합니다. 규칙의시그니처 ID 입니다. pcre/setparm 탐지된 sid 로재되지않은경우 ESM Thin Client 에서사용되는일치 ID 입니다. [rev] 규칙교정입니다. 변경사항을추적하는데사용됩니다. [severity] [pcre] 규칙과일치하는이벤트에할당된 1( 거의심각하지않음 ) 에서 100( 가장심각함 ) 사이의값입니다. PCRE 키워드는들어오는이벤트에대한 Perl 호환정규표현식일치입니다. PCRE 는따옴표로구분되며모든 "/" 발생이일반문자로처리됩니다. 괄호안의콘텐츠는 setparm 키워드사용을위해유지됩니다. PCRE 키워드는 nocase, nomatch, raw 및 setparm 키워드로수정할수있습니다. [nocase] 케이스일치여부에관계없이 PCRE 콘텐츠가일치되도록합니다. [nomatch] PCRE 일치를반전합니다 (Perl 의!~ 와동일 ). 78 McAfee Enterprise Security Manager 제품안내서

79 ESM 구성장치구성 3 섹션필드설명 태그 [raw] 헤더데이터 ( 기능, 데몬, 날짜, 호스트 /IP, 프로세스이름및프로세스 ID) 를포함한전체 syslog 메시지와 PCRE 를비교합니다. 일반적으로헤더는 PCRE 일치에서사용되지않습니다. [setparm] 두번이상발생할수있습니다. PCRE 의각괄호세트에발생순서대로번호가할당됩니다. 이번호는데이터태그에할당할수있습니다 ( 예 : setparm:username=1). 이필드는첫번째괄호세트에서캡처된텍스트를가져와사용자이름데이터태그에할당합니다. 인식된태그는아래표에나열되어있습니다. 설명 * sid 이캡처된매개변수는일치하는규칙의 sid 를재합니다. * msg 이캡처된매개변수는일치하는규칙의메시지또는이름을재합니다. * action 이캡처된매개변수는타사장치가수행한액션을나타냅니다. * protocol * src_ip 이매개변수는이벤트의기본소스 IP 인 syslog 소스의 IP 를대체합니다. * src_port * dst_ip * dst_port * src_mac * dst_mac * dst_mac * genid 이매개변수는데이터베이스에저장된대로 sid 를수정하는데사용되며, snort 전처리기의비 McAfee snort 일치에사용됩니다. * url 예약되어있지만아직사용되지않습니다. * src_username 첫번째 / 소스사용자이름입니다. * username src_username 의대체이름입니다. * dst_username 두번째 / 대상사용자이름입니다. * domain * hostname * application * severity 정수여야합니다. * action map 제품의특정액션을 McAfee 액션에매핑할수있습니다. action map 은대 / 소문자를구분합니다. 예 : alert any any any -> any any (msg:"openssh Accepted Password"; content:"accepted password for "; action_map:accepted=8, Blocked=3; pcre:"(accepted)\s+password\s+for\s+(\s+) \s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)"; setparm:action=1; sid:31; rev:1;)). 자세한내용은 " 심각도및액션맵 " 을참조하십시오. * severity map 제품의특정심각도를 McAfee 심각도에매핑할수있습니다. action map 과마찬가지로 severity map 도대 / 소문자를구분합니다. 예 : alert any any any -> any any (msg:"openssh Accepted Password"; content:"accepted password for "; severity_map:high=99, Low=25, 10=99, 1=25; pcre:"(accepted)\s+password\s+for\s+(\s+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)"; setparm:action=1; sid:31; rev:1;))pri(?:\x3d \x3a)\s*(?:p\x5f)?([^\x2c]+). 자세한내용은 " 심각도및액션맵 " 을참조하십시오. McAfee Enterprise Security Manager 제품안내서 79

80 3 ESM 구성장치구성 태그 설명 * var setparms 를사용하는다른방법입니다. 그러나유용한사용방법은여러 PCRE 의여러캡처에서하나의값을만드는것입니다. 캡처가여러개인하나의큰 PCRE 가아니라문자열의작은부분만캡처하는둘이상의 PCRE 를만들수있습니다. 다음은사용자이름, 도메인을캡처하고이메일주소를만들어 objectname 필드에저장하는예입니다. * sessionid 정수입니다. Syntax = var:field=${pcre:capture} PCRE = 실제 PCRE 가아니라 pcre 의수입니다. 규칙에두개의 PCRE 가있는경우 PCRE 는 1 또는 2 입니다. Capture = 실제캡처가아니라수 ( 첫번째, 두번째또는세번째캡처 [1,2,3]) 입니다. 샘플메시지 : A man named Jim works for McAfee. PCRE: (Jim).*?(McAfee) 규칙 : alert any any any -> any any (msg:"var User Jim"; content:"jim"; pcre:"(jim)"; pcre:"(mcafee)"; var:src_username=${1:1}; var:domain=${2:1}; var:objectname=${1:1}@ ${2:1}.com raw; classtype:unknown; adsid:190; sev:25; sid: ; rev:1; normid: ; gensys:t;) 매핑된소스사용자 : Jim 매핑된도메인 : McAfee * commandname 문자열값입니다. * objectname 문자열값입니다. 매핑된 objectname: Jim@McAfee.com * event_action 이태그는기본액션을설정하는데사용됩니다. event_action 과 action_map 을동일한규칙에사용할수없습니다. 예를들어 Successful Login 에대한이벤트가있는경우 event_action 태그를사용하고 action 기본값을 success 로설정할수있습니다 ( 예 : event_action:8;). 80 McAfee Enterprise Security Manager 제품안내서

81 ESM 구성장치구성 3 태그 설명 * firsttime_fmt 첫번째이벤트시간을설정하는데사용됩니다. 형식목록을참조하십시오. * lasttime_fmt 마지막이벤트시간을설정하는데사용됩니다. 형식목록을참조하십시오. setparm 또는 var 과함께사용할수있습니다 (var:firsttime="${1:1}" 또는 setparm:lasttime="1"). 예를들면다음과같습니다. alert any any any -> any any (msg:"ssh Login Attempt"; content:"content"; firsttime_fmt:"%y-%m-%dt%h:%m:%s.%f"; lasttime_fmt:"%y-%m-%dt%h:%m:%s.%f" pcre:"pcre goes here; raw; setparm:firsttime=1; setparm:lasttime=1; adsid:190; rev:1;) 지원되는현재형식에대한자세한내용은 functions/strptime.html 을참조하십시오. %Y - %d - %m %H : %M : %S %m - %d - %Y %H : %M : %S %b %d %Y %H : %M : %S %b %d %Y %H - %M - %S %b %d %H : %M : %S %Y %b %d %H - %M - %S %Y %b %d %H : %M : %S %b %d %H - %M - %S %Y %H : %M : %S %Y %H - %M - %S %m - %d - %Y %H : %M : %S %H - %M - %S %Y 는 4 자리연도입니다. %m 은월번호 (1-12) 입니다. %d 는날짜 (1-31) 입니다. %H 는시간 (1-24) 입니다. %M 은분 (0-60) 입니다. %S 는초 (0-60) 입니다. %b 는월약어 (jan, feb) 입니다. 다음은 OpenSSH 로그인에따라암호를식별하고이벤트의소스 IP 주소, 소스포트및사용자이름에서가져오는규칙의예입니다. alert any any any -> any any (msg:"openssh Accepted Password";content:"Accepted password for ";pcre:"accepted \s+password\s+for\s+(\s+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d +)";setparm:username=1;setparm:src_ip=2;setparm:src_port=3;sid:31;rev:1;) 온라인 PCRE 리소스를보려면 을방문하십시오. 다른인코딩으로 ASP 데이터소스추가 ESM 은 UTF-8 인코딩데이터를읽습니다. 다른인코딩으로데이터를생성하는 ASP 데이터소스가있으면데이터소스를추가할때를나타내야합니다. McAfee Enterprise Security Manager 제품안내서 81

82 3 ESM 구성장치구성 1 시스템탐색트리에서수신기를클릭한다음 [ 데이터소스추가 ] 아이콘을클릭합니다. 2 [ 데이터소스공급업체 ] 필드에서 [ 일반 ] 을선택한다음 [ 데이터소스모델 ] 필드에서 [ 고급 Syslog 분석기 ] 를선택합니다. 3 요청한정보를입력한다음 [ 인코딩 ] 필드에서올바른인코딩을선택합니다. 이데이터소스의데이터가형식이지정되어데이터를받을때수신기에서읽을수있습니다. 보안장치이벤트교환 (SDEE) SDEE 형식은다양한보안장치유형에서생성된이벤트를나타내는표준방식을설명합니다. SDEE 사양은 HTTP 또는 HTTPS 프로토콜을사용하여 SDEE 이벤트가전송된다는것을나타냅니다. 클라이언트에이벤트정보를제공하기위해 SDEE 를사용하는 HTTP 서버를 SDEE 공급자라고하는반면 HTTP 요청개시자는 SDEE 클라이언트라고합니다. Cisco 는 SDEE 표준에일부확장을하고이를 CIDEE 표준이라고합니다. 수신기는 Cisco 침입방지시스템에서생성한 CIDEE 데이터를요청하는 SDEE 클라이언트역할을수행할수있습니다. 수신기에서지원되는데이터소스의일부다른유형과는달리 SDEE 는 " 푸시 " 모델대신 " 꺼내기 " 모델을사용합니다. 이는정기적으로수신기가 SDEE 공급자에게연결하여마지막이벤트가요청된시간이후생성된이벤트를요청한다는것입니다. 이벤트가 SDEE 공급자로부터요청될때마다이벤트가처리되고수신기의이벤트데이터베이스에저장되어 ESM 에서검색할수있습니다. Cisco 를공급업체로선택하고 IOS IPS(SDEE) 를데이터소스모델로선택하면 SDEE 공급자를데이터소스로수신기에추가할수있습니다 (" 데이터소스추가 " 참조 ). 수신기가 SDEE/CIDEE 이벤트에서이정보를추출할수있습니다. 소스및대상 IP 주소 소스및대상포트 프로토콜 이벤트시간 이벤트개수 (CIDEE 는수신기가따르는이벤트집합형식제공 ) 시그니처 ID 및하위 ID ESM 이벤트 ID 는다음공식을사용하여 SDEE 시그니처 ID 및 CIDEE 하위시그니처 ID 에서계산됩니다. ESMI ID = (SDEE ID * 1000) + CIDEE 하위 -ID 따라서 SDEE 시그니처 ID 가 2000 이고 CIDEE 하위시그니처 ID 가 123 인경우 ESMI 이벤트 ID 는 입니다. VLan 심각도 이벤트설명 패킷컨텐츠 ( 사용가능한경우 ). 수신기가처음으로 SDEE 공급자에게연결된경우현재날짜와시간이요청하는이벤트의시작지점으로사용됩니다. 이후의연결은마지막으로꺼내기를성공한이후의모든이벤트를요청합니다. 82 McAfee Enterprise Security Manager 제품안내서

83 ESM 구성장치구성 3 ArcSight 데이터소스추가 ArcSight 장치에대한데이터소스를추가합니다. 1 시스템탐색트리에서수신기노드를선택합니다. 2 액션도구모음에서 [ 데이터소스추가 ] 아이콘을클릭합니다. 3 [ 데이터소스공급업체 ] 필드에서 [ArcSight] 를선택한다음 [ 데이터소스모델 ] 필드에서 [ 일반이벤트형식 ] 을선택합니다. 4 데이터소스의이름을입력한다음 ArcSight IP 주소를입력합니다. 5 나머지필드를완료합니다 (" 데이터소스추가 " 참조 ). 6 [ 확인 ] 을클릭합니다. 7 ArcSight 장치로데이터를전달하는각소스의데이터소스를설정합니다. ESM 콘솔에서볼수있도록 ArcSight 에서받은데이터를구문분석합니다. CEF( 일반이벤트형식 ) ArcSight 는현재스마트커넥터를사용하여 270 개데이터소스에서이벤트를 CEF( 일반이벤트형식 ) 으로변환합니다. CEF 는이벤트또는로그생성장치의상호운용성표준입니다. 여기에는관련성이가장높은장치정보가포함되며이벤트를구문분석하고사용하기쉽게합니다. 이벤트메시지는이벤트생성자에의해명시적으로생성될필요가없습니다. 이메시지는막대 ( ) 문자로구분된필드로구성되는공통접두사를사용하여형식을지정합니다. 이접두사는필수이며지정한필드가모두있어야합니다. 추가필드는확장에서지정합니다. 형식은다음과같습니다. CEF: 버전 장치공급업체 장치제품 장치버전 장치이벤트클래스 Id 이름 심각도 확장 메시지의확장부분은추가필드의자리표시자입니다. 다음은접두사필드에대한입니다. [ 버전 ] 은정수이며 CEF 형식의버전을식별합니다. 이벤트소비자는이정보를사용하여필드가나타내는항목을확인합니다. 현재유일한버전 0 이위의형식으로설정됩니다. 환경에는다른필드를 " 접두사 " 에추가해야하므로버전번호를변경해야한다고표시될수있습니다. 새형식추가는표준본문을통해처리됩니다. [ 장치공급업체 ], [ 장치제품 ] 및 [ 장치버전 ] 은보내는장치의유형을고유하게식별하는문자열입니다. 두제품에서동일한장치 - 공급업체및장치 - 제품쌍을사용할수없습니다. 이러한쌍을관리하는중앙기관이없습니다. 이벤트생성자가고유한이름쌍이할당되도록해야합니다. [DeviceEventClassId] 는이벤트유형당고유식별자입니다. 문자열이거나정수일수있습니다. DeviceEventClassId 는보고된이벤트의유형을식별합니다. IDS( 침입탐지시스템 ) 에서특정을탐지하는각시그니처또는규칙에는고유한 deviceeventclassid 가할당되어있습니다. 또한이필드는다른유형의장치에대한요구사항이며상관엔진이이벤트를처리하는데도움을줍니다. [ 이름 ] 은이벤트에대한사람이읽고이해할수있는설명을나타내는문자열입니다. 이벤트이름에는다른필드에서특별히설명된정보를포함하면안됩니다. 예를들어 "Port scan from targeting " 은적합한이벤트이름이아니며, "Port scan" 이어야합니다. 다른정보는중복되고다른필드에서선택할수있습니다. [ 심각도 ] 는정수이며이벤트의중요도를반영합니다. 0 에서 10 사이의숫자만허용되며, 여기서 10 은가장중요한이벤트를나타냅니다. [ 확장 ] 은키 - 값쌍모음입니다. 키는사전된세트의일부입니다. 표준에서는뒷부분에간략히설명된대로추가키를포함하도록허용합니다. 이벤트에는키 - 값쌍이개수에관계없이공백으로구분되어원하는순서로포함될수있습니다. 파일이름과같이필드에공백이있는경우에도문제가되지않으며정확히해당방식으로로깅할수있습니다. 예 : filename=c:\program Files\ArcSight is a valid token. McAfee Enterprise Security Manager 제품안내서 83

84 3 ESM 구성장치구성 다음은모양을보여주는샘플메시지입니다. Sep 19 08:26:10 zurich CEF:0 security threatmanager worm successfully stopped 10 src= dst= spt=1232 NetWitness 를사용하는경우수신기로 CEF 를보내도록장치를올바르게구성해야합니다. 기본적으로 NetWitness 를사용하는경우의 CEF 형식은다음과같습니다. CEF:0 Netwitness Informer 1.6 {name} {name} Medium externalid={#sessionid} proto={#ip.proto} categorysignificance=/normal categorybehavior=/authentication/verify categorydevicegroup=/os categoryoutcome=/attempt categoryobject=/host/application/service act={#action} devicedirection=0 shost={#ip.host} src={#ip.src} spt={#tcp.srcport} dhost={#ip.host} dst={#ip.dst} dport={#tcp.dstport} duser={#username} dproc=27444 filetype=security cs1={#did} cs2={#password} cs3=4 cs4=5 cn1={#rid} cn2=0 cn3=0 올바른형식에서는위의 "dport" 를 "dpt" 로변경해야합니다. Adiscon 설정 Syslog WMI 는 Adiscon 을통해지원됩니다. 제대로작동하려면 Microsoft Adiscon Windows 이벤트데이터소스용 Event Reporter 에서다음형식문자열이사용되어야합니다. %sourceproc%,%id%,%timereported:::uxtimestamp%,%user%,%category%,%param0%;%param1%;%param2%; %Param3%;%Param4%;%Param5%;%Param6%;%Param7%;%Param8%;%Param9%;%Param10%;%Param11%; %Param12%;%Param13%;%Param14%;%Param15% Syslog 릴레이지원 syslog 릴레이서버를통해다양한장치의이벤트를수신기로전달하려면추가단계가필요합니다. 데이터스트림및추가데이터소스를허용하려면단일 syslog 릴레이데이터소스를추가해야합니다. 그러면수신기에서데이터스트림을원래데이터소스로분할할수있습니다. Sylog-ng 및 Splunk 가지원됩니다. 다음다이어그램은이시나리오를설명합니다. 1 Cisco ASA 장치 5 데이터소스 1 Syslog 릴레이 2 SourceFire Snort 장치 6 데이터소스 2 Cisco ASA 3 TippingPoint 장치 7 데이터소스 3 SourceFire Snort 4 Syslog 릴레이 8 데이터소스 4 TippingPoint 84 McAfee Enterprise Security Manager 제품안내서

85 ESM 구성장치구성 3 이시나리오를예로사용하면, syslog 릴레이 (4) 에서데이터스트림을받으려면 syslog 릴레이데이터소스 (5) 를설정해야합니다. [Syslog 릴레이 ] 필드에서 [syslog] 를선택합니다. syslog 릴레이데이터소스가설정된다음개별장치 (6, 7 및 8) 에대한데이터소스를추가합니다. 이장치는시스템릴레이서버가아니므로 [Syslog 릴레이 ] 필드에서 [ 없음 ] 을선택합니다. [Syslog 메시지업로드 ] 기능은 syslog 릴레이설정에서작동하지않습니다. Syslog 의헤더는다음예처럼보이도록구성해야합니다. 1 <123> 345 Oct 7 12:12: mcafee.com httpd[123] 여기서 1 = syslog 버전 ( 선택사항 ) 345 = syslog 길이 ( 선택사항 ) <123> = 기능 ( 선택사항 ) Oct 7 12:12: = 날짜 ; 수백가지의형식이지원됩니다 ( 필수 ) mcafee.com 호스트이름또는 IP 주소 (ipv4 또는 ipv6)( 필수 ) httpd = 응용프로그램이름 ( 선택사항 ) [123] 응용프로그램 pid( 선택사항 ) : = 콜론 ( 선택사항 ) 호스트이름과데이터필드는어떤순서로든표시될수있습니다. IPv6 주소는괄호 [ ] 로묶을수있습니다. NSM-SIEM 구성도구실행 NSM 데이터소스를설정하기전에 NSM-SIEM 구성도구를실행해야합니다. 1 구성도구를다운로드합니다. a McAfee 제품다운로드웹사이트로이동합니다. b [ 내제품다운로드 ] 검색상자에서제공된고객허가번호를입력합니다. c [ 검색 ] 을클릭합니다. 제품업데이트파일이 MFE [< 제품이름 > < 버전 >] 다운로드링크에있습니다. d McAfee EULA 를읽고 [ 동의 ] 를클릭합니다. e [NSM-SIEM 구성도구 ] 파일을다운로드합니다. 2 NSM 서버에서구성도구를실행합니다. 도구에서 NSM 에대한기본경로를찾아야합니다. 경로를찾지않는경우경로로이동합니다. 3 NSM 을설치할때입력한 NSM SQL 사용자, 암호및데이터베이스이름을입력합니다. 4 데이터소스가추가된수신기 IP 주소및데이터소스에 SIEM 사용자이름및암호를입력합니다. 데이터소스화면에이러한항목이입력됩니다. McAfee Enterprise Security Manager 제품안내서 85

86 3 ESM 구성장치구성 epolicy Orchestrator 설정 데이터베이스이름필드에다른이름이있는동일한 IP 주소를가리키는여러 epolicy Orchestrator 데이터소스를설정할수있습니다. 이를통해선택하는만큼 epolicy Orchestrator 데이터소스를설정하고이들모두중앙서버에있는다른데이터베이스를가리키도록할수있습니다. [ 사용자 ID] 및 [ 암호 ] 필드에 epolicy Orchestrator 데이터베이스대한액세스를제공하는정보를입력하고 [ 버전 ] 필드에 epolicy Orchestrator 장치버전을입력합니다. 기본포트는 1433 입니다. [ 데이터베이스이름 ] 은필수입니다. 데이터베이스이름에대시가있는경우이름을괄호로묶어야합니다 ( 예 : [epo4_win ]). [epo 쿼리 ] 을통해 epolicy Orchestrator 장치를쿼리하고클라이언트데이터소스를만들수있습니다. [ 클라이언트데이터소스사용 ] 필드에서기본 [ 유형일치 ] 를선택하고 [epo 쿼리 ] 를클릭하면 epolicy Orchestrator 장치가쿼리되고지원되는 epolicy Orchestrator 제품이클라이언트데이터소스로추가됩니다. epolicy Orchestrator 로완전히통합된경우다음제품이지원됩니다. ANTISPYWARE MNAC DLP POLICYAUDITOR EPOAGENT SITEADVISOR GSD VIRUSCAN GSE SOLIDCORE HOSTIPS [IP 일치 ] 를선택하면 epolicy Orchestrator 장치가쿼리되고 epolicy Orchestrator 데이터베이스의모든엔드포인트에대한클라이언트데이터소스를만듭니다. epolicy Orchestrator 데이터베이스에 256 개가넘는엔드포인트가있는경우여러데이터소스가클라이언트와함께만들어집니다. McAfee 위험평가날짜는 epolicy Orchestrator 서버에서취득합니다. epolicy Orchestrator 데이터를취득할여러 McAfee Risk Advisor 서버를지정할수있습니다. McAfee Risk Advisor 데이터는 epolicy Orchestrator SQL Server 데이터베이스의데이터베이스쿼리를통해취득합니다. IP 및평판점수목록의데이터베이스쿼리결과와낮은평판및높은평판값의상수값이제공됩니다. 모든 epolicy Orchestrator 및 McAfee Risk Advisor 목록이병합되고중복 IP 가가장높은점수가됩니다. 병합된이목록은낮은값및높은값과함께 SrcIP 및 DstIP 필드의점수화에사용하기위한 ACE 장치로전송됩니다. epolicy Orchestrator 데이터소스를추가하고 [ 확인 ] 을클릭하여저장하면 McAfee Risk Advisor 데이터를구성하기위해이데이터소스를사용할것인지묻습니다. [ 예 ] 를클릭하는경우데이터강화소스및두개의 ACE 점수규칙 ( 해당되는경우 ) 을만들어롤아웃합니다. 이들을보려면 [ 데이터강화활성화 ] 및 [ 위험상관점수 ] 페이지로이동합니다. 점수규칙을사용하려면위험상관관리자를만들어야합니다 (" 위험상관관리자추가 " 참조 ). IBM Internet Security System SiteProtector 수신기는이벤트를저장하기위해사용하는 Microsoft SQL Server 데이터베이스 SiteProtector 를쿼리하여 ISS(Internet Security Systems) SiteProtector 서버에서이벤트를검색할수있습니다. 수신기에서지원하는데이터소스의일부다른유형과는달리 SiteProtector 서버에서이벤트를검색하면 " 푸시 " 모델대신 " 꺼내기 " 모델을사용하여수행됩니다. 이는정기적으로마지막이벤트를가져온이후수신기가 SiteProtector 데이터베이스에연결하여새이벤트를요청한다는의미입니다. 이벤트가 SiteProtector 서버에서검색될때마다이벤트가처리되고수신기의이벤트데이터베이스에저장되어 ESM 에서검색할수있습니다. [ 서버 ] 및 [ 관리되는장치 ] 의두가지장치유형을사용할수있습니다. 선택한서버장치유형을사용하여데이터소스를설정하는것이 SiteProtector 서버에서이벤트를수집하기위한최소요구사항입니다. SiteProtector 서버데이터소스가구성되면 SiteProtector 서버에이벤트를보고한실제자산과관계없이 SiteProtector 에서수집한모든이벤트가해당데이터소스에속하는것으로표시됩니다. 이벤트를 SiteProtector 에보고한관리되는자산에따라이벤트를추가로범주화하려면선택한 [ 관리되는장치 ] 장치유형을사용하여추가 SiteProtector 데이터소스를설정할수있습니다. 86 McAfee Enterprise Security Manager 제품안내서

87 ESM 구성장치구성 3 페이지의하단에있는 [ 고급 ] 을사용하면이벤트데이터를볼때특정 URL 을시작하기위해사용할수있는 URL 을할수있습니다. 또한 CEF(Common Event Format) 이벤트전달에사용할공급업체, 제품및버전을할수있습니다. 이러한설정은선택사항입니다. 수신기가이벤트의 SiteProtector 데이터베이스를쿼리하려면 SiteProtector 에서사용하는데이터베이스를호스트하는 Microsoft SQL Server 설치가 TCP/IP 프로토콜의연결을허용해야합니다. 이러한연결에사용되는포트를하고이프로토콜을활성화하는방법에대한단계는 Microsoft SQL Server 설명서를참조하십시오 ( 기본포트는 1433). 처음으로 SiteProtector 데이터베이스에수신기를연결하는경우현재시간이후생성된새이벤트가검색됩니다. 이후의연결은성공적으로검색한마지막이벤트이후발생한모든이벤트를요청합니다. 수신기가 SiteProtector 이벤트에서이정보를추출합니다. 소스및대상 IP 주소 (IPv4) 이벤트개수 소스및대상포트 VLan 프로토콜 심각도 이벤트시간 이벤트설명 Check Point 설정 공급자 1, Check Point 고가용성및대부분의표준 Check Point 환경을포함하는데이터소스를설정합니다. 첫번째단계는상위 Check Point 데이터소스를추가하는것입니다 (" 데이터소스추가 " 참조 ). 상위데이터소스가로그서버역할을하지않고전용로그서버가있는경우로그서버에대한데이터소스를추가해야합니다. 또한필요에따라하위데이터소스를추가합니다. 고가용성환경에있는경우각보조 SMS/CMA 에대한하위데이터소스를추가해야합니다. 1 OPSEC 응용프로그램 / 인증서가저장되어있는 SMS/CMA 또는수신기 -HA 에있는경우기본 SMS/CMA 에대한상위데이터소스를추가합니다. OPSEC 는 FIPS 컴플라이언트가아닙니다. FIPS 규정을준수해야하는경우이기능을사용하지마십시오 (" 부록 A" 참조 ). 2 [ ] 을클릭합니다. 3 [ 고급설정 ] 페이지에서통신방법을선택한다음이데이터소스의 [ 서버엔터티고유이름 ] 을입력합니다. 4 [ 확인 ] 을두번클릭합니다. 5 필요한경우다음을수행합니다. McAfee Enterprise Security Manager 제품안내서 87

88 3 ESM 구성장치구성 표시되는오류메시지... 수행할... [SIC Error for lea: Client could not choose an authentication method for service lea](lea 에대한 SIC 오류 : 클라이언트에서서비스 lea 에대한인증방법을선택할수없습니다 ) 1 Check Point 데이터소스를추가할때 [ 인증사용 ] 및 [ 암호화사용 ] 에올바른설정을선택했는지확인하십시오. [ 인증사용 ] 만선택한경우 OPSEC 클라이언트에서 "sslca_clear" 를사용하여로그서버와통신하려고시도합니다. [ 인증사용 ] 과 [ 암호화사용 ] 을선택한경우 OPSEC 클라이언트에서 "sslca" 를사용하여로그서버와통신하려고시도합니다. 둘다선택하지않은경우 OPSEC 클라이언트에서 "none" 을사용하여로그서버와통신하려고시도합니다. 2 Check Point 로그서버와통신하는데사용하고있는 OPSEC 응용프로그램이 [Client Entities]( 클라이언트엔티티 ) 섹션에서 [LEA] 를선택했는지확인합니다. 3 이러한단계가둘다올바르게확인되면 Check Point 로그서버설치에서 sic_policy.conf 파일을찾습니다. 예를들어 Linux 기반 R65 시스템에서이파일은 /var/opt/cpshrd-r65/conf 에있습니다. 4 로그서버에대한 LEA 통신방법을허용하는통신방법 ( 파일의인증방법 ) 을확인하면 [ 고급설정 ] 페이지에서해당통신방법을 [ 통신방법 ] 으로선택합니다. [SIC Error for lea: Peer sent wrong DN: <expected dn>(lea 에대한 SIC 오류 : 피어에서잘못된고유이름을보냄 : < 예상고유이름 >)] 오류메시지에서 "<expected dn>" 을나타내는문자열을입력하여 [ 서버엔터티고유이름 ] 텍스트상자에문자열을제공합니다. 또는 Smart Dashboard UI 에서 Check Point 로그서버의네트워크개체를검색하여 Check Point 로그서버의고유이름을찾습니다. SMS/CMA 의고유이름은 OPSEC 앱의고유이름과유사하며첫번째항목을정식이름 =cp_mgmt 로바꾸면됩니다. 예를들어정식이름 =mcafee_opsec,o=r75..n55nc3 의 OPSEC 앱고유이름을살펴보겠습니다. SMS/CMA 고유이름은정식이름 =cp_mgmt,o=r75..n55nc3 이됩니다. 로그서버의고유이름은정식이름 =CPlogserver,O=r75..n55nc3 이됩니다. 6 설정한상위데이터소스에서관리하는모든방화벽, 로그서버또는보조 SMS/CMA 에대해하위데이터소스를추가합니다 (" 하위데이터소스추가 " 참조 ). 모든방화벽 / 게이트웨이데이터소스의장치유형은 [ 보안장치 ] 입니다. [ 상위보고서콘솔 ] 의기본값은상위데이터소스로설정됩니다. McAfee 규칙세트 다음테이블에는외부데이터소스 ID 와함께 McAfee 규칙세트가나와있습니다. 데이터소스 ID 표시이름해당 RSID 규칙범위 방화벽 0 2,000,000 2,099, 사용자지정방화벽 0 2,200,000 2,299, 사용자지정시그니처 0 5,000,000 5,999, 내부 0 3,000,000 3,999, 취약성및공격 2 해당없음 감사콘텐츠 5 해당없음 채팅 8 해당없음 정책 11 해당없음 피어투피어 14 해당없음 멀티미디어 17 해당없음 알파 25 해당없음 바이러스 28 해당없음 88 McAfee Enterprise Security Manager 제품안내서

89 ESM 구성장치구성 3 데이터소스 ID 표시이름 해당 RSID 규칙범위 경계보안응용프로그램 31 해당없음 게이트웨이 33 해당없음 악성프로그램 35 해당없음 SCADA 40 해당없음 MCAFEESYSLOG 41 해당없음 수신기자산소스 자산은 IP 주소를가진네트워크의장치입니다. [ 자산관리자 ] 의 [ 자산 ] 탭에서자산만들기, 태그변경, 자산그룹만들기, 자산소스추가및자산그룹에자산할당을수행할수있습니다. 또한이를통해 VA 공급업체중하나에서학습된자산을조작할수있습니다. [ 수신기속성 ] 의 [ 자산소스 ] 기능을통해 [Active Directory]( 있는경우 ) 에서데이터를검색할수있습니다. 이프로세스가완료되면, [ 소스사용자 ] 및 [ 대상사용자 ] 보기쿼리필터필드에서검색된사용자또는그룹을선택하여이벤트데이터를필터링할수있습니다. 이렇게하면 PCI 와같은요구사항에컴플라이언스데이터를제공하는기능이향상됩니다. ESM 은자산소스를하나만가질수있습니다. 수신기는여러자산소스를가질수있습니다. 두개의자산탐색소스가동일한자산을찾는경우우선순위가가장높은탐색방법이탐색한자산을표에추가합니다. 두탐색소스의우선순위가동일한경우나중에자산을탐색한소스가먼저탐색한소스보다우선합니다. 89 페이지의자산소스추가 자산소스추가 [Active Directory] 에서데이터를검색하려면수신기를구성해야합니다. 1 시스템탐색트리에서 [ 수신기속성 ] 을선택한다음 [ 자산소스 ] 를클릭합니다. 2 [ 추가 ] 를클릭한다음요청한정보를입력합니다. 3 [ 확인 ] 을클릭한다음 [ 자산소스 ] 페이지에서 [ 쓰기 ] 를클릭합니다. 89 페이지의수신기자산소스 Enterprise Log Search(ELS) 설정 Enterprise Log Search(ELS) 는특정기간동안압축되지않은로그데이터를보존하므로 ESM 대시보드에서 ELS 데이터를신속하게검색할수있습니다. ELS 를구성하기전에다음정보를식별합니다. 저장장치 - 압축되지않은데이터를보존하려면추가저장소공간이필요합니다. 팀과협력하여추가하드드라이브또는네트워크저장소같이환경에적합한저장소요구사항을결정합니다. 보존정책 - ELS 장치에서압축되지않은특정데이터를보존하려는기간을결정합니다. 년 (365 일 ), 분기 (90 일 ) 또는월 (30 일 ) 단위기간으로보존정책을최대 6 개까지추가할수있습니다. 데이터소스 - ELS 와연결할데이터소스를식별합니다. 데이터소스를 ELS 또는 ELM 과연결할수있지만둘모두와연결할수는없습니다. 90 페이지의 ELS 구성 91 페이지의 ELS 데이터검색 McAfee Enterprise Security Manager 제품안내서 89

90 3 ESM 구성장치구성 ELS 구성 ELS 로그데이터를검색하려면 ELS 장치를콘솔에추가하고 ELS 저장소및보존정책을설정하고데이터소스를특정보존정책과연결합니다. 시작하기전에 가상장치또는물리적장치를설정하고설치합니다. 1 을클릭한다음 [ 구성 ] 을클릭합니다. 2 콘솔에 ELS 장치를추가합니다. a 액션도구모음에서을클릭하고 [McAfee Enterprise Log Search] 를선택합니다. [ 다음 ] 을클릭합니다. b 고유한 [ 장치이름 ] 을입력하고 [ 다음 ] 을클릭합니다. c 장치의대상 IP 주소또는 URL, 대상 SSH 포트번호및 NTP(Network Time Protocol) 설정을입력합니다. [ 다음 ] 을클릭합니다. d 이장치의암호를입력하고 [ 다음 ] 을클릭합니다. 3 저장소를설정합니다. 압축되지않은데이터를유지하면 ELS 검색기능이빨라집니다. 그러나하드드라이브나네트워크저장소같은추가저장소공간이필요합니다. a [ELS] 를선택하고을클릭한다음 [ 데이터저장소 ] 를클릭합니다. b iscsi, DAS, SAN 또는가상로컬드라이브를사용하는경우상위그리드에정보를입력합니다. c SAN, 가상로컬, NFS, iscsi 또는 CIFS 를사용하는경우하위그리드에서 [ 추가 ] 를클릭합니다. d 올바른매개변수를입력한다음 [ 확인 ] 을클릭합니다. 4 보존정책을추가합니다 (6 개이하로제한 ). ELS 로그데이터를검색하려면하나이상의보존정책이있어야합니다. 시스템은첫번째로만든보존정책을기본값으로설정합니다. 정책이하나만존재하는경우변경할수있지만삭제할수는없습니다. ELS 는첫번째보존정책을만들때 6 개월이전의데이터는허용할수없습니다. a [ELS] 를선택하고을클릭한다음 [ 보존정책 ] 을클릭합니다. b [ 추가 ] 를클릭합니다. c 보존정책의이름및기간을지정하고 [ 확인 ] 을클릭합니다. 시스템은기간을일단위로저장합니다. 기간을년 (365 일 ), 분기 (90 일 ) 또는월 (30 일 ) 단위로설정할수있습니다. 5 데이터소스를보존정책과연결합니다. 데이터소스를 ELS 또는 ELM 과연결할수있지만둘모두와연결할수는없습니다. a 데이터소스장치 ( 예 : 수신기 ) 를선택하고을클릭합니다. b [ 데이터소스 ] 를클릭합니다. 90 McAfee Enterprise Security Manager 제품안내서

91 ESM 구성장치구성 3 c [ 로깅 ] 열에서관련확인란을선택하여 [ 로그데이터 ] 화면을표시합니다. d 이데이터소스와연결하려는보존정책을선택하고 [ 확인 ] 을클릭합니다. 89 페이지의 Enterprise Log Search(ELS) 설정 91 페이지의 ELS 데이터검색 ELS 데이터검색 ESM 대시보드에서특정기간의압축되지않은로그데이터를신속하게검색합니다. 시작하기전에 ELS 를구성합니다. 대시보드에서을클릭하고 [ELS 검색 ] 을선택합니다. [ 필터 ] 막대에서찾으려는정보를입력합니다. 검색을시작하려면을클릭합니다. [ 검색설정 ] 을클릭하여고급검색을만듭니다. [ 검색기록 ] 을클릭하여이전검색을보고다시실행합니다. 89 페이지의 Enterprise Log Search(ELS) 설정 90 페이지의 ELS 구성 ELM(Enterprise Log Manager) 설정 ELM 은로그데이터의저장, 관리, 액세스및보고를지원합니다. ELM 에서받은데이터가각각저장장치로구성된저장소풀에구성됩니다. 보존시간은각저장소풀과관련되어있으며지정된기간동안데이터가풀에보존됩니다. 정부, 업계및회사규정에서로그를서로다른기간동안저장할것을요청합니다. ELM 에서검색및무결성체크을설정할수있습니다. 이러한각은저장된로그에액세스하고에서하는데이터를검색하거나확인합니다. 그러면결과를보고정보를내보낼수있습니다. ELM 을구성하려면다음을알아야합니다. ELM 에서로그를저장하는소스 필요한저장소풀및해당데이터보존시간 데이터를저장하기위해필요한저장장치 일반적으로필요한저장소풀및 ELM 에로그를저장하는소스는알고있습니다. 데이터를저장하는필수저장장치는모릅니다. 이불확실성을해결하는가장좋은방법은다음과같습니다. 1 저장소요구사항을보수적인추정치로설정합니다 부터 ELM 저장소풀은오버헤드를미러링하기위해 10% 의할당된공간이필요합니다. 필요한공간을계산할때이 10% 를고려합니다. 2 예상한요구사항을충족하도록 ELM 저장장치를구성합니다. 3 단기간에 ELM 에서로그를검토합니다. 4 ELM 저장소통계정보를사용하여실제데이터저장소요구사항을수용하도록저장장치구성을변경합니다. McAfee Enterprise Security Manager 제품안내서 91

92 3 ESM 구성장치구성 ELM 에데이터저장준비 데이터를저장하도록 ELM 을구성하려면여러단계를수행해야합니다. 단계 액션 1 데이터보존시간 설명 ELM 설치요구사항에따라다양한데이터보존시간수를합니다. 일반데이터보존시간은다음과같습니다. SOX 7 년 PCI 1 년 GLBA 6 년 EU DR Directive 2 년 Basel II 7 년 HIPAA 6 년또는 7 년 NERC 3 년 FISMA 3 년 2 로그데이터의소스 3 저장소풀 4 저장소풀크기요구사항예상 5 초기저장장치만들기 6 저장소풀만들기 이단계의목표는 ELM 에저장되는로그의모든소스를하고각각에대해일별생성되는평균로그바이트크기및로그를예측하는것입니다. 이는단지예상이어야합니다. 소스유형에대해일별로생성되는평균로그바이트크기및로그를예측하고각유형에대한소스수를예측하는것이더쉬울수있습니다. 다음단계에서는각소스를 1 단계에서한보존기간과연관시켜야합니다. 소스유형을예측할때이점을고려해야합니다 ( 예 : SOX Firewall, PCI DEM). ELM 설치요구사항에따라로그의각소스또는소스를데이터보존시간과연결하여 ELM 설치에필요한저장소풀세트를합니다. 각저장소풀에대해다음방정식중하나를사용하여저장소요구사항을예측합니다. 개별소스사용 : IRSGB = 0.1*(DRTD*SUM(DSAB*DSALPD))/(1024*1024*1024) 설명 IRSGB= GB 단위의필요한초기저장소 DRTD = 일단위의데이터보존시간 SUM() = 모든데이터소스에대한합계 DSAB = 로그당데이터소스평균바이트 DSALPD = 일당데이터소스평균로그 소스유형사용 : IRSGB = 0.1*(DRTD*SUM(NDS*DSTAB*DSTALPD))/(1024*1024*1024) 설명 IRSGB= GB 단위의필요한초기저장소 DRTD = 일단위의데이터보존시간 NDS = 데이터소스유형의데이터소스수 SUM() = 모든데이터소스유형에대한합계 DSTAB = 로그당데이터소스유형평균바이트 DSTALPD = 일당데이터소스유형평균로그 각 IRSGB 크기의데이터를저장할만큼충분히크도록 ELM 저장장치를하나이상만듭니다 (" 저장장치추가 " 참조 ). 3 단계에서저장한각저장소풀에대해다음을사용하여 ELM 저장소풀을만듭니다. 1 단계의연관된보존시간 4 단계의연관된 IRSGB 값 5 단계의연관된저장장치 (" 저장소풀추가 " 참조 ) 92 McAfee Enterprise Security Manager 제품안내서

93 ESM 구성장치구성 3 단계 액션 7 데이터로깅시작 8 저장소풀크기요구사항예상세분화 9 저장장치변경또는만들기 10 저장소풀변경 설명 ELM 으로로그를보내도록소스를구성하고 1 일이나 2 일동안로그를보내도록합니다. 6 단계에서만든각저장소풀에대해다음방정식을사용하여저장소요구사항예상을세분화합니다. RSGB = 1.1*DRTD*SPABRPD/(1024*1024*1024) 설명 RSGB = GB 단위의필요한저장소 DRTD = 일단위의데이터보존시간 SPABRPD = 통계보고서의저장소풀일별 " 평균바이트비율 " 값 8 단계의각 RSGB 값에대해 RSGB 크기의데이터를저장할만큼충분히크도록 ELM 저장장치를변경하거나만듭니다. 필요한경우 9 단계에서만든저장장치를추가하여 6 단계에서만든각저장소풀을변경하거나기존저장장치할당을늘립니다. ELM 저장소설정 로그를저장하려면 ELM 에서최소한하나의저장장치에액세스할수있어야합니다. ELM 설치의저장소요구사항은데이터소스수, 로깅특징및데이터보존시간요구사항의기능입니다. 모든요구사항이 ELM 설치기간중에변경될수있으므로저장소요구사항은시간에따라달라집니다. 시스템의저장소요구사항예상및조정에대한자세한내용은 "ELM 설정 " 을참조하십시오. ELM 저장소용어 ELM 저장소를사용하려면다음용어를검토하십시오. 저장장치 ELM 에액세스할수있는데이터저장장치입니다. 일부 ELM 모델은온보드저장장치를제공하고, 일부는 SAN 연결기능을제공하며, 일부는둘다를제공합니다. 모든 ELM 모델은 NAS 연결기능을제공합니다. 저장소할당 특정저장장치에있는데이터저장소의특정양입니다 ( 예 : NAS 저장장치의 1TB). 데이터보존시간 로그가저장되는시간입니다. 저장소풀 하나이상의저장소할당이며, 로그가저장될최대일수를지정하는데이터보존시간과함께총저장소의양을지정합니다. 로그소스 ELM 에서저장하는로그의소스입니다. ELM 저장장치유형 ELM 에저장장치를추가할때장치의유형을선택해야합니다. 장치를추가하거나편집할때는몇가지사항에유의해야합니다. McAfee Enterprise Security Manager 제품안내서 93

94 3 ESM 구성장치구성 장치유형 NFS 세부정보 ELM 관리데이터베이스를포함하는저장장치의원격마운트지점을편집하려면 [DB 마이그레이션 ] 을사용하여데이터베이스를다른저장장치로이동합니다 ("ELM 데이터베이스마이그레이션 " 참조 ). 그런다음원격마운트지점필드를안전하게변경하고데이터베이스를업데이트된저장장치로다시이동할수있습니다. CIFS Samba Server 3.2 이후버전에서 CIFS 공유유형을사용하면데이터가유출될수있습니다. CIFS 공유에연결할때는암호에쉼표를사용하지마십시오. Windows 7 컴퓨터를 CIFS 공유로사용하는경우 "HomeGroup 파일공유비활성화 " 를참조하십시오. iscsi iscsi 공유에연결할때는암호에쉼표를사용하지마십시오. 여러장치를하나의 IQN 에연결하려고하면데이터가유출되고다른구성문제가발생할수있습니다. SAN 가상로컬 SAN 은 SAN 카드가 ELM 에설치되어있고 SAN 볼륨을사용할수있는경우에만사용할수있습니다. 이은가상로컬장치가가상 ELM 에추가되었을때만사용가능합니다. 장치를저장용으로사용하기전에포맷해야합니다 (" 데이터를저장할가상로컬드라이브설정 " 참조 ). HomeGroup 파일공유비활성화 Windows 7 은 HomeGroup 파일공유를사용해야하며이는다른 Windows 7 컴퓨터에서는작동하지만 Samba 에서는작동하지않습니다. Windows 7 컴퓨터를 CIFS 공유로사용하려면 HomeGroup 파일공유를비활성화해야합니다. 1 Windows 7 [ 제어판 ] 을연다음 [ 네트워크및공유센터 ] 를선택합니다. 2 [ 고급공유설정변경 ] 을클릭합니다. 3 [ 홈또는 ] 프로파일을클릭하고현재프로파일로레이블이지정되었는지확인합니다. 4 네트워크탐색, 파일및프린터공유및공용폴더를설정합니다. 5 CIFS 를사용하여공유하려는폴더로이동한다음 ( 공용폴더먼저설정 ) 마우스오른쪽버튼으로클릭합니다. 6 [ 속성 ] 을선택한다음 [ 공유 ] 탭을클릭합니다. 7 [ 고급공유 ] 를클릭한다음 [ 이폴더공유 ] 를선택합니다. 8 ( 선택사항 ) 공유이름을변경하고 [ 권한 ] 을클릭합니다. 원하는대로권한을설정했는지확인합니다 ( 변경에서확인표시 = 쓰기가능 ). 암호가보호되는공유를활성화한경우 Ubuntu 사용자의권한이포함되도록여기에서설정을조정해야합니다. 저장소풀에링크할저장장치추가 저장소위치목록에저장장치를추가하려면해당매개변수를해야합니다. 저장장치를편집할때크기를늘릴수있지만줄일수는없습니다. 데이터를저장하는경우장치를삭제할수없습니다. 1 시스템탐색트리에서 [ELM 속성 ] 을선택한다음 [ 저장소풀 ] 을클릭합니다. 2 맨위테이블옆의 [ 추가 ] 를클릭합니다. 94 McAfee Enterprise Security Manager 제품안내서

95 ESM 구성장치구성 3 3 [ 저장장치추가 ] 페이지에서요청한정보를입력합니다. 4 [ 확인 ] 을클릭하여설정을저장합니다. 장치가사용가능한 ELM 저장장치목록에추가됩니다. [ 저장소풀 ] 페이지의표에서저장장치를편집하거나삭제할수있습니다. 표 3-43 [ 장치유형 ] 저장장치의유형을선택합니다. ELM 데이터베이스를마이그레이션하려면최소 506GB 의사용가능한디스크공간이필요합니다. 각유형에대한자세한내용은 "ELM 저장소설정 " 의 "ELM 저장장치유형 " 을참조하십시오. [ 이름 ] 저장장치의이름을입력합니다. [ 최대크기 ] 이장치에할당하려는최대저장소공간크기를선택합니다. 원격저장장치를 ELM 에추가할때 [ 최대크기 ] 의기본값은 4GB 로지정됩니다. 원격저장소관리를위해 1% 저장소공간이예약됩니다. 가상로컬저장장치를추가할때 [ 최대크기 ] 의기본값은장치의전체저장소용량으로지정됩니다. 가상저장소관리를위해 6GB 의저장공간이예약됩니다. 이필드를조정할수없습니다. [IP 주소 ], [ 원격마운트지점 ], [ 원격경로 ] [IP 주소 ], [ 원격공유이름 ], [ 경로 ], [ 사용자이름 ], [ 암호 ] NFS 장치에대해이정보를입력합니다. CIFS 장치에대해이정보를입력합니다. [iscsi 장치 ] 추가한장치를선택합니다 ("iscsi 장치추가 " 참조 ). [iscsi IQN] IQN 을선택합니다. [SAN] 추가한 SAN 볼륨을선택합니다 ("SAN 저장장치의형식을지정하여 ELM 데이터저장 " 참조 ). [ 가상로컬볼륨 ] 가상로컬저장장치를선택합니다. 이은장치유형이 [ 가상로컬 ] 일때만사용가능합니다. 표 3-44 [ 데이터저장장치 ] 추가할장치를선택합니다. 선택하려는장치가목록에없는경우장치를추가해야합니다 (" 저장장치추가 " 참조 ). 한번에두개이상의풀에장치를할당할수있습니다. [ 저장소공간 ] 데이터를저장하기위해이장치에최대공간크기를선택합니다. 저장소공간의 10% 가오버헤드용으로사용됩니다. 저장소공간필드에서 4GB 를선택하는경우데이터를저장하는데 4GB 중 3.6GB 가실제로사용됩니다. [ 미러링된데이터저장장치 ] 이저장장치의데이터를다른장치에서미러링하려면두번째저장장치를선택합니다 (" 미러링된 ELM 데이터저장소추가 " 참조 ). 저장소풀추가또는편집 저장소풀에는하나이상의저장소할당및데이터보존시간이포함됩니다. ELM 로그가저장되는위치및보존해야하는기간을하려면 ELM 에추가합니다. McAfee Enterprise Security Manager 제품안내서 95

96 3 ESM 구성장치구성 1 시스템탐색트리에서 [ELM 속성 ] 을선택한다음 [ 저장소풀 ] 을클릭합니다. 2 아래테이블옆에있는 [ 추가 ] 또는 [ 편집 ] 을클릭한다음요청한정보를입력하거나변경합니다. 3 [ 확인 ] 을클릭합니다. 매개변수를저장해야편집할수있으며매개변수및그에할당된장치에저장된데이터가없어야저장소풀을삭제할수있습니다. 표 3-45 저장장치 [ 추가 ] 데이터보존을위해저장소풀로사용할저장장치를추가합니다. 저장장치 [ 편집 ] 기존저장장치의설정을변경합니다. 저장장치 [ 삭제 ] 시스템에서저장장치를삭제합니다. 저장소풀 [ 추가 ] 지정된기간동안최대데이터크기를보유할저장소풀을추가합니다. 저장소풀 [ 편집 ] 기존저장소풀의보유기간또는저장소풀이름을변경합니다. 된저장소장치의풀에공간을추가합니다. 저장소풀 [ 삭제 ] 시스템에서저장소풀을삭제합니다. [ 다시빌드 ] 해당저장장치중하나와의연결이끊어진미러링된저장소풀을복구합니다. 이은미러링된저장소풀에문제가있는경우에만사용할수있습니다. [ 크기줄이기 ] 각할당에된공간크기를줄입니다. [ 새로고침 ] 표의정보를업데이트합니다. 표 3-46 [ 저장소풀이름 ] 이풀의이름을입력합니다. [ 데이터보존시간 ] 이데이터를저장하려는시간을선택합니다. [ 링크되는데이터저장장치 ] 이저장소풀에링크되는장치를나열합니다. 장치를추가하려면 [ 추가 ] 를클릭합니다. 네트워크프로토콜 (CIFS, NFS 및 iscsi) 을사용하는미러링된할당이안정적으로작동하려면동일한스위치에있음, 대기시간이매우낮음등특정구성이필요합니다. 권장되는네트워크사양은다음과같습니다. 총지연 ( 서버와네트워크 ) 10ms 총처리량 ( 서버와네트워크 ) 20Mb/ 초 미러링은공유를 100% 사용가능하다고가정합니다. [ 활성화됨 ] 열데이터를저장하기위해활성화하려는장치를선택합니다. 미러링프로세스가완료될때까지미러링된저장장치가비활성화됩니다. 저장소풀이동 한장치에서다른장치로저장소풀을이동할수있습니다. 시작하기전에 저장소풀을이동하려는저장장치를풀을현재보유하는장치의미러로설정합니다 (" 미러링된 ELM 데이터저장소추가 " 참조 ). 96 McAfee Enterprise Security Manager 제품안내서

97 ESM 구성장치구성 3 1 시스템탐색트리에서저장소풀을보유하는 ELM 장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 저장소풀 ] 을클릭합니다. 3 [ 저장소풀 ] 테이블에서이동할풀에나열된미러링된장치를클릭합니다. 4 [ 편집 ] 을클릭하고 [ 데이터저장장치 ] 드롭다운목록에서이동할저장소풀을미러링하는장치를선택합니다. 현재기본데이터저장장치입니다. 5 새데이터저장장치를미러링하려면 [ 미러링된데이터저장장치 ] 드롭다운목록에서장치를선택한다음 [ 확인 ] 을클릭합니다. 저장소할당크기줄이기 저장소풀에할당된공간으로인해저장장치가꽉찬경우각할당에된공간크기를줄여야할수있습니다. 더많은저장소풀에대해이장치의공간을할당하는데이이필요할수있습니다. 할당크기감소가데이터에영향을주는경우공간이사용가능하면데이터가풀의다른할당으로이동합니다. 사용가능하지않은경우가장오래된데이터가삭제됩니다. 1 시스템탐색트리에서 [ELM 속성 ] 을선택한다음 [ 저장소풀 ] 을클릭합니다. 2 맨아래테이블에서, 줄이려는풀을선택한다음 [ 크기줄이기 ] 를클릭합니다. 3 저장소를줄이려는크기를입력한다음 [ 확인 ] 을클릭합니다. ELM 데이터저장소미러링 두번째 ELM 저장장치를설정하여기본장치에서수집한데이터를미러링할수있습니다. 어떤이유로든기본장치가중단되면백업장치에서데이터가들어올때계속저장합니다. 기본장치가다시온라인상태가되면자동으로백업장치와동기화된다음데이터가도착하는대로다시저장하기시작합니다. 기본장치가영구적으로중단되는경우백업장치가 ESM 의기본장치가되도록재할당한다음미러링을위한다른장치를지정할수있습니다. 장치중하나가중단되면상태플래그가시스템탐색트리의 ELM 장치옆에표시됩니다. 미러링된저장소풀과저장장치의연결이끊어질수있습니다. 다음과같은원인으로연결이끊어질수있습니다. 파일서버또는 ELM 과파일서버간의네트워크가실패했습니다. 파일서버또는네트워크가유지관리를위해종료되었습니다. 할당파일이우연히삭제되었습니다. 미러링에문제가있는경우저장장치에서 [ 저장소풀 ] 테이블에경고아이콘능을사용하여복구할수있습니다. 을표시합니다. 그러면 [ 다시빌드 ] 기 미러링된 ELM 데이터저장소추가 사용가능한장치목록에추가되었고필요한공간을가진저장장치는 ELM 저장장치에저장된데이터를미러링하는데사용할수있습니다. 시작하기전에 서로미러링하기위해사용하려는두개의장치를 ESM 에추가합니다. McAfee Enterprise Security Manager 제품안내서 97

98 3 ESM 구성장치구성 1 시스템탐색트리에서 [ELM 속성 ] 을선택한다음 [ 저장소풀 ] 을클릭합니다. 2 맨아래테이블옆의 [ 추가 ] 를클릭합니다. 3 [ 저장소풀추가 ] 페이지에서요청한정보를입력한다음 [ 추가 ] 를클릭하여저장장치및미러링장치를선택합니다. 한번에두개이상의풀에장치를할당할수있습니다. 4 [ 확인 ] 을두번클릭합니다. 미러링된저장소풀다시빌드 미러링된저장소풀이해당저장장치와의연결이끊어진경우 [ 다시빌드 ] 기능을사용하여복구할수있습니다. 1 시스템탐색트리에서 [ELM 속성 ] 을선택한다음 [ 저장소풀 ] 을클릭합니다. 2 경고아이콘을표시하는미러링된장치위에마우스를놓습니다. 도구설명에서 ELM 할당이다시구성중이라거나미러링된장치를다시빌드해야한다고알려줍니다. 3 미러링된장치를다시빌드하려면장치를클릭한다음 [ 다시빌드 ] 를클릭합니다. 프로세스가완료되면할당이성공적으로다시빌드되었다는것을알려줍니다. 미러링장치비활성화장치를저장소풀미러링장치로사용하는것을중지하려면다른장치를선택하여바꾸거나 [ 없음 ] 을선택합니다. 1 시스템탐색트리에서시스템탐색트리의미러링저장소풀을현재보유하는 ELM 을선택한다음 [ 속성 ] 아이콘 을클릭합니다. 2 [ 저장소풀 ] 을클릭한다음 [ 저장소풀 ] 테이블에서미러링된장치를선택한다음 [ 편집 ] 을클릭합니다. 3 다음중하나를수행합니다. [ 미러링된데이터저장장치 ] 필드에서선택한장치가비활성화하려는장치인경우해당필드의드롭다운화살표를클릭하고데이터저장장치를미러링할다른장치를선택하거나 [ 없음 ] 을선택합니다. [ 데이터저장장치 ] 필드에서선택한장치가비활성화하려는장치인경우해당필드의드롭다운화살표를클릭하고데이터저장장치역할을할다른장치를선택합니다. 4 [ 확인 ] 을클릭하여변경사항을저장합니다. 장치가더이상미러링장치가아니지만 [ 저장장치 ] 테이블에계속표시됩니다. 외부데이터저장소설정 ELM 데이터를저장하기위해설정할수있는네가지유형의외부저장소, 즉 iscsi, SAN, DAS 및가상로컬이있습니다. 이러한외부저장소유형을 ELM 에연결하면 ELM 의데이터를이러한저장소에저장하도록설정할수있습니다. 98 McAfee Enterprise Security Manager 제품안내서

99 ESM 구성장치구성 3 1 시스템탐색트리에서 [ELM 속성 ] 을선택한다음 [ 데이터저장소 ] 를클릭합니다. 시스템이적절한탭에사용가능한모든저장소장치를반환합니다. 2 [iscsi], [SAN], [DAS] 또는 [ 가상로컬 ] 탭을클릭한다음필요한단계를수행합니다. 3 [ 적용 ] 또는 [ 확인 ] 을클릭합니다. iscsi 장치추가 ELM 저장소에대해 iscsi 장치를사용하려면장치에대한연결을구성해야합니다. 1 시스템탐색트리에서 [ELM 속성 ] 을선택한다음 [ 데이터저장소 ] 를클릭합니다. 2 [iscsi] 탭에서 [ 추가 ] 를클릭합니다. 3 요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 연결이성공하면장치및해당 IQN 이 [ 저장장치추가 ] 페이지의 [ 장치유형 ] 목록뿐만아니라 [iscsi 구성 ] 목록에추가됩니다. IQN 이 ELM 로그를저장하기시작하면 iscsi 대상을삭제할수없습니다. 이제한으로인해 ELM 저장소에대해충분한공간을사용하여 iscsi 대상을설정해야합니다. 4 ELM 저장소에대해 IQN 을사용하기전에목록에서선택한다음 [ 형식 ] 을클릭합니다. 5 형식을지정할때상태를확인하려면 [ 상태확인 ] 을클릭합니다. 6 IQN 을탐색하거나다시탐색하려면 iscsi 장치를클릭한다음 [ 탐색 ] 을클릭합니다. 두개이상의장치를 IQN 에할당하려고시도하면데이터가유실될수있습니다. 표 3-47 [ 추가 ] iscsi 장치에연결하는데필요한매개변수를추가합니다. [ 삭제 ] 선택한 iscsi 연결을삭제합니다. [ 탐색 ] 선택한 iscsi 의 IQN 을탐색하거나다시탐색합니다. [ 상태확인 ] 형식을지정할때 IQN 의상태를확인합니다. [ 형식 ] 선택한 IQN 의형식을지정한다음 ELM 저장소에대해사용합니다. 표 3-48 [ 이름 ] iscsi 장치의이름을입력합니다. [IP 주소 ] iscsi 장치의 IP 주소를입력합니다. [ 포트 ] iscsi 장치의포트를선택합니다. McAfee Enterprise Security Manager 제품안내서 99

100 3 ESM 구성장치구성 SAN 저장장치의형식을지정하여 ELM 데이터저장 시스템에 SAN 카드가있는경우이를사용하여 ELM 데이터를저장할수있습니다. 시작하기전에 시스템에 SAN 카드를설치합니다 (McAfee ESM 설치안내서의 qlogic 2460 또는 2562 SAN 어댑터설치참조또는 McAfee 지원에문의 ). 1 시스템탐색트리에서 [ELM 속성 ] 을선택한다음 [ 데이터저장소 ] 를클릭합니다. 2 [SAN] 탭을클릭한다음탐지된 SAN 볼륨상태를체크합니다. [ 형식필요 ] 볼륨의형식이지정되어야하고 [ 저장장치추가 ] 페이지의사용가능한볼륨목록에표시되지않습니다. [ 형식 ] 볼륨이형식지정프로세스에있으며사용가능한볼륨목록에표시되지않습니다. [ 준비 ] 볼륨의형식이지정되고인식가능한파일시스템이있습니다. 이러한볼륨은 ELM 데이터를저장하기위해사용할수있습니다. 3 형식이지정 ( 포맷 ) 되지않은볼륨이있고이볼륨에데이터를저장하려는경우클릭한다음 [ 형식 ] 을클릭합니다. 볼륨의형식을지정 ( 포맷 ) 하면저장된모든데이터가삭제됩니다. 4 형식지정이완료되었는지확인하려면 [ 새로고침 ] 을클릭합니다. 형식지정이완료되면상태가 [ 준비 ] 로변경됩니다. 5 페이지하단에있는볼륨의상세정보를보려면볼륨을클릭합니다. 이제형식이지정된 SAN 볼륨을 ELM 저장소의저장장치로설정할수있습니다. DAS 장치를할당하여데이터저장사용가능한 DAS 장치를할당하여 ELM 데이터를저장할수있습니다. 시작하기전에 DAS 장치를설정합니다. 1 시스템탐색트리에서 DAS 장치를할당하는 ELM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 일체형장치에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭하여 DAS 를 ESM 에할당할수있습니다. 2 [ 데이터저장소 ] 를클릭한다음 [DAS] 탭을클릭합니다. [DAS] 테이블에저장소에사용가능한장치가나열되어있습니다. 3 테이블에서할당되지않은장치중하나를클릭하여 ELM 또는 ESM 데이터를저장합니다. 4 [ 할당 ] 을클릭한다음경고페이지에서 [ 예 ] 를클릭합니다. 장치를할당하면변경할수없습니다. 100 McAfee Enterprise Security Manager 제품안내서

101 ESM 구성장치구성 3 ELM 이다시시작합니다. 데이터를저장할가상로컬드라이브설정 가상 ELM 에서가상저장장치를탐지하고포맷합니다. 그러면데이터베이스마이그레이션및저장소풀로사용할수있습니다. 시작하기전에 가상환경에서가상로컬저장장치를가상 ELM 에추가합니다. 저장소를추가하려면가상시스템환경에대한설명서를참조하십시오. 지원되는가상환경 VMware KVM Amazon Web Service 지원되는드라이브형식 SCSI SATA IDE 는지원되지않습니다. 1 시스템탐색트리에서가상 ELM 을선택하고 [ 속성 ] 아이콘을클릭한다음 [ 데이터저장소 ] 를클릭합니다. 시스템이모든사용가능한저장장치를반환하는동안로드아이콘이나타납니다. 시스템에중복 ESM 이있으면장치가 [ 중복 ] 탭에표시됩니다. 루트및부팅파티션은실행가능한저장소으로사용할수없습니다. 2 [ 가상로컬 ] 탭을클릭한다음사용가능한가상장치목록에서장치를선택합니다. [ 가상로컬 ] 탭은시스템이가상저장소를탐지하는경우에만사용가능합니다. 3 [ 상태 ] 열에 [ 포맷필요 ] 로표시되면 [ 포맷 ] 을클릭하여 ext4 파일형식으로장치를포맷합니다. 상태가 [ 준비 ] 로변경됩니다. 이제이장치를데이터베이스마이그레이션및저장소풀로사용할수있습니다. ELM 중복 대기 ELM 을시스템의현재독립실행형 ELM 에추가하여로깅에대한중복을제공할수있습니다. 중복을사용하려면 IP 주소및다른네트워크정보를두 ELM 에서합니다 ("ELM 중복설정 " 참조 ). 대기 ELM 에활성 ELM 의저장소에맞는, 충분히결합된공간이있는저장장치가있어야합니다. 설정되면두 ELM 의구성이동기화되고대기 ELM 이두장치간의데이터동기화를유지관리합니다. ELM 중복시전환, 서비스로돌아가기, 일시중단, 제거, 상태보기등몇가지액션을수행해야합니다. 모든액션은 [ELM 속성 ] [ELM 중복 ] 페이지에서사용가능합니다. McAfee Enterprise Security Manager 제품안내서 101

102 3 ESM 구성장치구성 전환 기본 ELM 이정지되거나교체할필요가있는경우 [ELM 전환 ] 을선택합니다. 대기 ELM 이활성화되고시스템이모든로깅장치를대기 ELM 에연결합니다. 로깅및구성액션은전환프로세스동안잠깁니다. 서비스로돌아가기 대기 ELM 이정지된경우백업상태가될때대기 ELM 을서비스로되돌려야합니다. 구성파일에대한변경사항이없음을탐지하면이전과같이중복이계속됩니다. 파일에서차이점을탐지하면문제가없는저장소풀에대해중복이계속되지만, 오류상태가반환되고하나이상의풀이이전구성임을사용자에게알립니다. 이러한풀은수동으로수정해야합니다. 대기 ELM 을교체하거나재구성하면시스템이이를탐지하고대기 ELM 의키를다시지정하라는메시지를표시합니다. 그런다음활성 ELM 이모든구성파일을대기 ELM 과동기화하고이전과같이중복을계속합니다. 일시중단 어떤이유로든중지되었거나중지되려는경우대기 ELM 과의통신을일시중단할수있습니다. 모든통신이중지되고중복에대한오류통지가마스크됩니다. 대기 ELM 이백업상태가될때서비스로돌아가기프로세스를진행합니다. ELM 에서중복비활성화 [ 제거 ] 를선택하여 ELM 중복을비활성화할수있습니다. 활성 ELM 에서중복구성파일의사본을저장합니다. ELM 중복을활성화할때이백업파일이발견되면저장된구성파일을복구할것인지묻는메시지가표시됩니다. 상태보기 [ 상태 ] 를선택하여활성및대기 ELM 간에데이터동기화상태에대한상세정보를볼수있습니다. 102 페이지의 ELM 중복설정 ELM 중복설정 시스템에독립실행형 ELM 이있는경우대기 ELM 을추가하여로깅에대한중복을제공할수있습니다. 시작하기전에 독립실행형 ELM 을설치하고 ("McAfee Enterprise Security Manager 설치안내서 ") ESM 콘솔에추가해야합니다 ("ESM 콘솔에장치추가참조 "). 또한대기 ELM 도설치해야하지만콘솔에추가해서는안됩니다. 대기 ELM 에는데이터가없어야합니다. 공장기본값재설정을수행하려면 McAfee 지원에문의하십시오. 1 시스템탐색트리에서 ELM 을클릭한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ELM 속성 ] 페이지에서 [ELM 중복 ] 을클릭한다음 [ 활성화 ] 를클릭합니다. 3 대기 ELM 에대한 IP 주소및암호를입력한다음 [ 확인 ] 을클릭합니다. 4 [ELM 속성 ] 페이지에서 [ 저장소풀 ] 을클릭하고 [ 활성 ] 탭이선택되어있는지확인합니다. 5 저장장치를활성 ELM(" 저장소풀에링크할저장장치추가 " 참조 ) 에추가합니다. 6 [ 대기 ] 탭을클릭한다음활성 ELM 의저장소에맞는, 충분히결합된공간이있는저장장치를추가합니다. 7 하나이상의저장소풀을각 ELM 에추가합니다 (" 저장소풀추가또는편집 " 참조 ). 102 McAfee Enterprise Security Manager 제품안내서

103 ESM 구성장치구성 3 이제두 ELM 의구성이동기화되고대기 ELM 이두장치간의데이터동기화를유지관리합니다. 표 3-49 ELM 중복이활성화되지않은경우에만사용가능합니다. [ 활성화 ] 대기 ELM 데이터를추가하여 ELM 중복을활성화하려면클릭합니다. ELM 중복이활성화된경우에만사용가능합니다. [ 제거 ] ELM 에서중복을비활성화하려면클릭합니다. [ELM 전환 ] 대기 ELM 이기본 ELM 이되도록 ELM 을전환하려면클릭합니다. 시스템은모든로깅장치를여기에연결합니다. 로깅및구성액션은전환프로세스동안잠깁니다. [ 일시중단 ] 대기 ELM 에문제가발생하는경우대기 ELM 과의통신을일시중단하려면클릭합니다. 모든통신이중지되고중복에대한오류통지가마스크됩니다. 대기 ELM 이백업상태가되면 [ 서비스로돌아가기 ] 를클릭합니다. [ 상태 ] 활성및대기 ELM 간에데이터동기화상태에대한상세정보를보려면클릭합니다. [ 서비스로돌아가기 ] 복구되거나대체된대기 ELM 을서비스로되돌리려면클릭합니다. 시스템이 ELM 을백업상태로가져오고구성파일에대한변경사항이없음을탐지하면이전과같이중복이계속됩니다. 시스템이차이점을탐지하면저장소풀에대한중복프로세스가문제없이계속되고하나이상의풀이이전구성임을사용자에게알립니다. 이러한풀은수동으로수정합니다. 대기 ELM 을교체하거나재구성하면시스템이이를탐지하고키를다시지정하라는메시지를표시합니다. 그런다음활성 ELM 이모든구성파일을대기 ELM 과동기화하고이전과같이중복프로세스를계속합니다. 101 페이지의 ELM 중복 ELM 압축관리 디스크공간을절약하거나초당더많은로그를처리하려면 ELM 으로들어오는데이터를압축합니다. 세가지은 [ 저위험 ]( 기본값 ), [ 중간 ] 및 [ 고위험 ] 입니다. 다음테이블은각수준에대한상세정보를보여줍니다. 수준 압축률 최대압축비율 초당처리되는최대로그비율 [ 저위험 ] 14:1 72% 100% [ 중간 ] 17:1 87% 75% [ 고위험 ] 20:1 100% 50% 실제압축률은로그콘텐츠에따라다릅니다. 디스크공간절약에더관심이있고초당처리할수있는로그수는상관이없는경우높은압축을선택합니다. 디스크공간절약보다초당더많은로그처리가중요한경우는낮은압축을선택합니다. 103 페이지의 ELM 압축설정 ELM 압축설정 ELM 으로들어오는데이터의압축수준을선택하여디스크공간을절약하거나더많은로그를처리합니다. McAfee Enterprise Security Manager 제품안내서 103

104 3 ESM 구성장치구성 1 시스템탐색트리에서 [ELM 속성 ] 을선택한다음 [ELM 구성 ] [ 압축 ] 을클릭합니다. 2 ELM 압축수준을선택한다음 [ 확인 ] 을클릭합니다. 수준이업데이트되면알려줍니다. 표 3-50 [ ELM 압축수준 ] [ 저위험 ], [ 중간 ] 또는 [ 고위험 ] 을선택합니다. 각각의이러한설정에대한자세한내용을보려면 "ELM 압축설정 " 을참조하십시오. 103 페이지의 ELM 압축관리 ELM 백업및복원 시스템오류또는데이터유출이발생하는경우복원할수있도록 ELM 장치의현재설정을백업합니다. ELM 로깅데이터베이스를비롯한모든구성설정이저장됩니다. ELM 에저장된실제로그는백업되지않습니다. ELM 에서로그데이터를저장하는장치를미러링하고 ELM 관리데이터베이스를미러링하는것이좋습니다. 미러링기능은실시간로그데이터백업을제공합니다. 1 시스템탐색트리에서 [ELM 속성 ] 을선택합니다. 2 [ELM 정보 ] 를선택했는지확인한다음 [ 백업및복원 ] 을클릭합니다. 3 다음중하나를수행합니다. 수행방법... 지금 ELM 백업요청한정보를제공한다음 [ 지금백업 ] 을클릭합니다. 자동으로 ELM 설정백업빈도를선택하고정보를제공합니다. 지금백업복원 표 3-51 [ 지금백업복원 ] 을클릭합니다. ELM 데이터베이스가이전백업의설정으로복원됩니다. [ 백업빈도 ] 자동으로설정을백업하려면이을선택하고빈도를입력합니다. [ 백업위치 ] 공유유형을선택한다음정보가저장된원격위치의정보를입력합니다. [ 연결 ] 연결을테스트하려면클릭합니다. [ 지금백업 ] 지금데이터를백업하려면클릭합니다. [ 백업복원 ] ELM 데이터베이스를이전백업의설정으로복원하려면클릭합니다. ELM 데이터저장소는복원되지않습니다. [ELM 복원 ] 관리데이터베이스및 ELM 데이터저장소를복원합니다. 104 McAfee Enterprise Security Manager 제품안내서

105 ESM 구성장치구성 3 ELM 관리데이터베이스및로그데이터복원 ELM 을바꾸려면관리데이터베이스및로그데이터를새 ELM 에복원합니다. 이이작동하려면데이터베이스및로그데이터가미러링되어야합니다. 이전 ELM 에서새 ELM 으로데이터를복원하려면 [ 장치추가 ] 마법사를사용하여새 ELM 을만들지마십시오. 1 시스템탐색트리에서바꿔야하는 ELM 의 [ELM 속성 ] 을선택합니다. 경고페이지에서시스템이 ELM 을찾을수없다는것을알려줍니다. 2 경고페이지를닫은다음 [ 연결 ] 을클릭합니다. 3 새 ELM 의 IP 주소를입력한다음 [ 키관리 ] [ 장치에키지정 ] 을클릭합니다. 새장치에키가성공적으로지정되면알려줍니다. 4 이장치에연결하려는암호를입력한후 [ 다음 ] 을클릭합니다. 5 [ELM 정보 ] [ 백업및복원 ] [ELM 복원 ] 을클릭합니다. 6 [ELM 동기화 ] 를각장치의 [ 속성 ] [ 구성 ] 페이지에서클릭하여 ELM 에대한각장치로깅을다시동기화합니다. 새 ELM 에서관리데이터베이스및 ELM 데이터저장소가복원됩니다. 이프로세스는몇시간정도걸릴수있습니다. 대체저장소위치 ELM 이아닌위치에 ELM 관리데이터베이스레코드를저장하려면대체저장소위치를해야합니다. 또한저장된레코드를미러링할두번째장치를선택할수있습니다. 1 시스템탐색트리에서 [ELM 속성 ] 을선택한다음 [ELM 구성 ] [DB 마이그레이션 ] 을클릭합니다. 2 저장장치및미러링된장치를선택합니다. 3 [ 확인 ] 을클릭합니다. 표 3-52 공간 (GB) 관리데이터베이스에할당할공간을설정합니다. [ 데이터저장장치 ] 관리데이터베이스를저장하기위한위치를선택합니다. 목록에장치를추가하거나현재나열된장치를편집해야하는경우 " 저장장치추가 " 를참조하십시오. [ 미러링된데이터저장장치 ] 데이터저장장치를미러링하기위한두번째저장위치를선택합니다. 9.0 이전버전에서시스템을업그레이드하는경우처음으로기존장치미러링을선택하면해당프로세스시간이늘어납니다. 106 페이지의 ELM 데이터베이스마이그레이션 106 페이지의 ELM 의미러링된관리데이터베이스바꾸기 McAfee Enterprise Security Manager 제품안내서 105

106 3 ESM 구성장치구성 ELM 저장소사용률보기 ELM 의저장소사용률을보면장치의공간할당에대한결정에도움이됩니다. 1 시스템탐색트리에서 [ELM 속성 ] 을선택한다음 [ELM 관리 ] 를클릭합니다. 2 [ 사용률보기 ] 를클릭합니다. [ 사용통계 ] 페이지가열리고 ELM 의저장장치및풀에대한통계를표시합니다. 3 [ 확인 ] 을클릭합니다. ELM 데이터베이스마이그레이션 ELM 관리데이터베이스는 ELM 에전송된로그를추적하는레코드를저장합니다. 관리데이터베이스를저장하기위해 ELM 장치에서사용가능한디스크공간양은모델에따라다릅니다. 처음장치를추가하는경우시스템에서레코드를저장하기위한디스크공간이충분한지확인합니다. 충분하지않은경우관리데이터베이스저장소를위한대체위치를하라는메시지가표시됩니다. 장치에충분한디스크공간이있지만대체위치에데이터베이스를저장하려는경우 [ELM 속성 ] 페이지의 [DB 마이그레이션 ] 을사용하여해당위치를설정할수있습니다. [DB 마이그레이션 ] 은언제든지사용할수있습니다. 하지만관리데이터베이스를마이그레이션하는경우레코드가포함되어있으면포함된레코드수에따라마이그레이션이완료될때까지 ELM 세션이몇시간동안보류됩니다. ELM 장치를처음설정할때이대체위치를하는것이좋습니다. 105 페이지의대체저장소위치 106 페이지의 ELM 의미러링된관리데이터베이스바꾸기 ELM 의미러링된관리데이터베이스바꾸기 미러링된관리데이터베이스저장장치에문제가있는경우바꿔야할수있습니다. 1 시스템탐색트리에서문제가발생하는관리데이터베이스저장장치가포함된 ELM 장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ELM 구성 ] 을클릭한다음 [DB 마이그레이션 ] 을선택합니다. 3 [ 데이터저장장치 ] 필드에서 [ 미러링된데이터저장장치 ] 드롭다운목록에서장치를선택합니다. 4 [ 미러링된데이터저장장치 ] 필드에서새장치를선택하거나 [ 없음 ] 을선택하여미러링을중지합니다. 원하는장치가드롭다운목록에없는경우먼저장치를 [ 저장장치 ] 테이블에추가합니다. 106 페이지의 ELM 데이터베이스마이그레이션 105 페이지의대체저장소위치 106 McAfee Enterprise Security Manager 제품안내서

107 ESM 구성장치구성 3 ELM 데이터검색 ELM 에서데이터를검색하려면 [ 데이터 ] 페이지에서검색및무결성체크을만들어야합니다. 무결성체크은한파일이원래저장된이후변경되었는지확인합니다. 이를통해중요한시스템또는콘텐츠파일의인증되지않은수정에대해경보를생성할수있습니다. 이체크결과에서변경된파일을보여줍니다. 어떤파일도변경되지않은경우체크가성공적이라고알려줍니다. 시스템에서는검색및무결성체크이한번에총 50 개로제한됩니다. 50 개보다많은이시스템에있는경우검색을수행할수없다고알려줍니다. 시스템에기존검색이있는경우이들을삭제하면새검색을수행할수있습니다. 기존검색이없는경우시스템관리자는검색을수행하기위해다른사용자가시작한기존검색또는무결성체크을삭제합니다. 검색을시작하면 [ 데이터 ] 페이지를닫아도설정한제한중하나에도달하거나검색이완료될때까지계속실행됩니다. 이화면으로돌아오면상태를체크할수있으며, 상태가 [ 검색결과 ] 테이블에표시됩니다. 107 페이지의검색만들기 107 페이지의무결성체크만들기 108 페이지의검색또는무결성체크결과보기 109 페이지의정규식을사용하여 ELM 쿼리 검색만들기 조건과일치하는파일의 ELM 을검색하려면 [ 데이터 ] 페이지에서검색을해야합니다. 이화면의필드는필수항목은아니지만검색을더잘할수록필요한데이터를더잘검색할수있습니다. 1 대시보드에서을클릭하고 [ELM 검색 ] 을선택합니다. 2 시스템탐색트리에서 [ELM 속성 ] 을선택한다음 [ 데이터 ] 를클릭합니다. 3 [ 로그및파일검색 ] 탭에서요청한정보를입력한다음 [ 검색 ] 을클릭합니다. 107 페이지의 ELM 데이터검색 107 페이지의무결성체크만들기 108 페이지의검색또는무결성체크결과보기 109 페이지의정규식을사용하여 ELM 쿼리 무결성체크만들기 [ 데이터 ] 페이지에서무결성체크을만들어파일이처음저장된이후변경되었는지체크할수있습니다. [ 무결성체크 ] 탭의필드는필요하지않지만검색을더잘할수록짧은시간에필요한데이터의무결성을더잘확인할수있습니다. 1 대시보드에서을클릭하고 [ELM 검색 ] 을선택합니다. 2 시스템탐색트리에서 [ELM 속성 ] 을선택한다음 [ 데이터 ] 를클릭합니다. 3 [ 무결성체크 ] 탭을클릭하여요청한항목을선택한다음 [ 검색 ] 을클릭합니다. 표 3-53 [ 로그 ], [ 파일 ] ELM 로그, ELM 파일또는둘다확인할지여부를선택합니다. [ 시간프레임 ] 확인할데이터의시간프레임을선택합니다. McAfee Enterprise Security Manager 제품안내서 107

108 3 ESM 구성장치구성 표 3-53 ( 계속 ) [ 장치 ] [ 장치유형 ] 필터아이콘을클릭하고확인할장치를선택합니다. 필터아이콘을클릭하고확인할장치유형을선택합니다. [ 파일이름 ] 특정파일을확인할경우이름을입력합니다. [ 파일이름은대 / 소문자를구분하지않습니다 ] 파일이름의대 / 소문자를구분하지않으려는경우이을선택합니다. [ 검색시간제한 ] 검색에사용할시간을제한하려면시간을선택합니다. 0 을선택하면시간제한이없습니다. [ 최대결과파일크기 ] 결과파일의크기를제한하려면최대 MB 를선택합니다. 열기필드이을설명하는이름을입력합니다. [ 검색 ] 을시작하려면클릭합니다. [ 검색결과 ] 완료된목록을봅니다. 각의상태가 [ 상태 ] 열에나타납니다. [ 대기 ] 이아직처리를시작하지않았습니다. 시스템은한번에 10 개의만처리할수있으며받은순서대로처리합니다. [ 실행 ] 이현재진행중입니다. [ 완료 ] 이완료되었습니다. 결과를보거나내보내기를다운로드할수있습니다. [ 제한에도달함 ] 시간또는크기제한에도달되었습니다. 결과를볼수있지만완료되지않았습니다. [ 보기 ] 선택한결과를봅니다. [ 내보내기 ] 선택한결과를내보냅니다. ESM 에서한번에두개이상의추가 VM 드라이브를제거하는경우모든 ELM 검색이손상될수있습니다. 결과를손실하지않으려면 ELM 검색결과를내보냅니다. [ 삭제 ] 삭제하기위해선택한을표시합니다. [ 검색다시로드 ] 선택한을다시수행합니다. 107 페이지의 ELM 데이터검색 107 페이지의검색만들기 108 페이지의검색또는무결성체크결과보기 109 페이지의정규식을사용하여 ELM 쿼리 검색또는무결성체크결과보기검색또는무결성체크이완료되면결과를볼수있습니다. 시작하기전에결과를생성하는검색또는무결성체크을실행합니다. 108 McAfee Enterprise Security Manager 제품안내서

109 ESM 구성장치구성 3 1 대시보드에서을클릭하고 [ELM 검색 ] 을선택합니다. 2 [ 데이터 ] 를클릭한다음 [ 로그및파일검색 ] 또는 [ 무결성체크 ] 탭을선택합니다. 3 [ 검색결과 ] 테이블에서보려는을강조표시한다음 [ 보기 ] 를클릭합니다. [ELM 검색결과 ] 페이지에서결과를표시합니다. ESM 에서한번에두개이상의추가 VM 드라이브를제거하는경우모든 ELM 검색이손상될수있습니다. 결과가손상되지않도록하려면 ELM 검색결과를내보냅니다. 표 3-54 [ 매개변수 ] 페이지에서결과를생성하기위해사용된매개변수를봅니다. [ 내보내기 ] 데이터의요약을내보냅니다. ESM 에서한번에두개이상의추가 VM 드라이브를제거하는경우모든 ELM 검색이손상될수있습니다. 결과를손실하지않으려면 ELM 검색결과를내보냅니다. [ 파일다운로드 ] 특정파일의데이터를저장하려면테이블의파일을강조표시한다음이을클릭합니다. [ 값 ] 목록에서선택한항목의값을봅니다. 107 페이지의 ELM 데이터검색 107 페이지의검색만들기 107 페이지의무결성체크만들기 109 페이지의정규식을사용하여 ELM 쿼리 정규식을사용하여 ELM 쿼리 ELM 은블룸인덱스를사용하여쿼리를최적화합니다. 대부분의 PCRE(Perl Compatible Regular Expressions) 는 ELM 검색에사용할수있지만일부 PCRE 만블룸을사용하는데최적화될수있습니다. 블룸정규식최적화프로그램은최적화된검색을제공하기위해사전조정을수행하지만여러가지사항을유의하면쿼리에서더좋은성능을얻을수있습니다. 블룸필터링의경우정규표현식의필수부분만사용할수있습니다. 블룸필터는모든일치문자열에있는정규표현식의하위문자열만사용합니다. 한가지예외사항은 (seth matt scott steve) 와같이한수준깊이또는그룹화를사용하는것입니다. 정규표현식에서 4 자보다짧은필수부분은사용할수없습니다. 예를들어 seth.*grover 는 seth 및블룸과함께 grover 를사용하지만 tom.*wilson 은 wilson 만사용하는데이는 tom 이너무짧기때문입니다. 비상수하위문자열또는너무짧은하위문자열이포함된또는그룹화는사용할수없습니다. 예를들어 (start \w\d + ending) 은사용할수없는데이는또는목록의중간항목이블룸에서검색될수있는상수가아니기때문입니다. 다른예로, (seth tom steve) 는 tom 이너무짧아사용할수없는반면 (seth matt steve) 는사용할수있습니다. 정규식 - 블룸쿼리는데이터베이스에대한최적화프로그램에서실행됩니다. 최적화프로그램은정규식을해체하고필수상수하위문자열을찾습니다. 예를들어다음은원래정규표현식입니다. \ \ ( )\ \.*\ \ (bbphk)\ \ 이예제에서블룸이사용하는부분은 bbphk 뿐입니다. 이렇게변경하면 100 만개의파일에서 2 만개의파일로검색집합을줄입니다. McAfee Enterprise Security Manager 제품안내서 109

110 3 ESM 구성장치구성 다음방식으로정규표현식을더욱최적화할수있습니다. (\ \ 626\ \ \ \ 629\ \ \ \ 4725\ \ \ \ 4722\ \ ).*\ \ bbphk\ \ 이예제에서 \ 는첫번째그룹전후에서그룹의각요소앞뒤로이동되었습니다. 이렇게하면다음두가지가수행됩니다. 파이프문자를포함할수있습니다. 3 자만있어서무시되었던첫번째그룹의요소가 4 자보다길어져사용될수있습니다. 또한 bbphk 주위의괄호는새하위그룹인블룸필터에필요하지않고나타나지않으므로제거되었습니다. 정규표현식에서이러한유형을수동으로조정하면검색을단지약 2 천개파일로효과적으로더줄일수있습니다. 107 페이지의 ELM 데이터검색 107 페이지의검색만들기 107 페이지의무결성체크만들기 108 페이지의검색또는무결성체크결과보기 ACE(Advanced Correlation Engine) 설정 McAfee ACE(Advanced Correlation Engine) 는규칙기반논리와위험기반논리를모두사용하여실시간으로위협이벤트를식별하고점수를생성합니다. 중요한정보 ( 사용자또는그룹, 응용프로그램, 특정서버또는서브넷 ) 를식별하고자산이위협받게되는경우 ACE 가사용자에게경고합니다. 감사추적및기록재생을통해포렌직, 컴플라이언스및규칙조정을지원합니다. 실시간모드또는기록모드를사용하여 ACE 를구성합니다. 실시간모드 즉각적으로위협및위험을탐지하기위해이벤트가수집될때마다분석합니다. 기록모드 기록위협및위험을탐지하기위해상관엔진의어느한쪽또는양쪽에서수집한사용가능데이터를재생합니다. ACE 에서새로운제로데이공격을탐색하면서브제로데이위협이있는지탐지하기위해조직이과거에해당공격에노출되었는지확인합니다. ACE 장치는두개의전용상관엔진을제공하여 ESM 의기존이벤트상관기능을보완합니다. 각 ACE 장치를고유한정책, 연결, 이벤트및로그검색설정및위험관리자로구성합니다. 위험상관 규칙없는상관을사용하여위험점수를생성합니다. 규칙기반상관은알려진위협패턴만탐지하기때문에지속적으로시그니처를조정하고업데이트해야제대로작동합니다. 규칙없는상관은한번의구성으로탐지시그니처를대체합니다. 비즈니스에중요한정보 ( 예 : 특정서비스나응용프로그램, 사용자그룹또는특정유형의데이터 ) 를식별합니다. 그러면 [ 위험상관 ] 에서해당항목과관련된모든활동을추적하여실시간활동에따라올라가거나내려가는동적위험점수를작성합니다. 위험점수가특정임계값을초과하게되면 ACE 가이벤트를생성하고위협이증가하는상황에대해사용자에게경고합니다. 또는기존의규칙기반상관엔진에서더큰인시던트의조건으로이벤트를사용할수있습니다. ACE 는위험점수의전체감사추적을유지관리하여시간에따른위협상황을전체적으로분석하고조사할수있습니다. 규칙기반상관 기존의규칙기반이벤트상관을통해수집된정보를실시간으로분석하여위협을탐지합니다. ACE 는모든로그, 이벤트및네트워크플로를 ID, 역할, 취약성등의문맥정보와상호연관시켜더큰위협을나타내는패턴을탐지합니다. Event Receiver 는네트워크수준의규칙기반상관을지원합니다. ACE 는이기능을보충하고전용처리리소스를제공하여훨씬더많은양의데이터를상호연결함으로써기존상관보고서를보완하거나완전히오프로딩합니다. 각 ACE 장치를고유한정책, 연결, 이벤트및로그검색설정및위험관리자로구성합니다. ACE 데이터유형선택 ESM 은이벤트및플로데이터를수집합니다. ACE 에전송할데이터를선택합니다. 기본값은이벤트데이터만입니다. 110 McAfee Enterprise Security Manager 제품안내서

111 ESM 구성장치구성 3 1 시스템탐색트리에서 [ACE 속성 ] 을선택한다음 [ACE 구성 ] 을클릭합니다. 2 [ 데이터 ] 를클릭한다음 [ 이벤트데이터 ], [ 플로데이터 ] 또는둘다를선택합니다. 3 [ 확인 ] 을클릭합니다. 상관관리자추가규칙또는위험상관을사용하려면규칙또는위험상관관리자를추가해야합니다. 시작하기전에 ESM 에 ACE 장치가있어야합니다 ("ESM 콘솔에장치추가 " 참조 ). 1 시스템탐색트리에서 [ACE 속성 ] 을선택합니다. 2 [ 상관관리 ] 를클릭한다음 [ 추가 ] 를클릭합니다. 3 만들려는관리자유형을선택한다음 [ 확인 ] 을클릭합니다. 관리자유형에대한정보는 "ACE(Advanced Correlation Engine) 설정 " 을참조하십시오. 4 요청한정보를입력한다음 [ 마침 ] 을클릭합니다. 위험상관관리자추가 지정하는필드의위험수준을계산하는데도움이되는관리자를추가합니다. McAfee Enterprise Security Manager 제품안내서 111

112 3 ESM 구성장치구성 1 시스템탐색트리에서 [ACE 속성 ] 을선택한다음 [ 위험상관관리 ] 를클릭합니다. 2 [ 추가 ] 를클릭한다음각탭에서요청한정보를작성합니다. 3 [ 마침 ] 을클릭한다음 [ 쓰기 ] 를클릭하여관리자가장치에쓰도록합니다. 표 3-55 테이블 ACE 에서기존상관관리자를봅니다. [ 추가 ] 새상관관리자를추가합니다. [ 편집 ] 선택한상관관리자를편집합니다. [ 제거 ] 선택한관리자를삭제합니다. [ 활성화됨 ] 선택한관리자를활성화합니다. [ 최대필드조합수 ] 관리자가가질수있는최대필드조합수를선택합니다. 이제한은시스템에서시간처리에도움이됩니다. 이수는천단위입니다. [ 쓰기 ] 상관관리자를장치에씁니다. 표 3-56 탭 [ 기본 ] [ 이름 ] 관리자의이름을입력합니다. [ 활성화 ] 관리자를비활성화하려면선택취소합니다. [ 이벤트데이터사용 ], [ 플로데이터사용 ] 하나또는둘다선택하여사용하려는데이터유형을나타냅니다. [ 플로데이터사용 ] 을선택하는경우 [ACE 속성 ] [ACE 구성 ] [ 데이터 ] 로이동하여 [ 플로데이터 ] 를선택해야합니다. [ 로깅 ], [ 저장소풀 ] ELM 에서로그를저장하려면 [ 로깅 ] 을선택합니다. 로그를저장할 ELM 의저장소풀을선택합니다. 데이터를저장할 ELM 을선택하지않은경우 " 기본로깅풀설정 " 을참조하십시오. [ 영역 ] 데이터를영역에할당하려는경우드롭다운목록에서선택합니다 (" 영역관리 " 참조 ). [ 시간순서허용치 ] ([ 규칙상관 ] 에만해당 ) 규칙상관에서순서가잘못된이벤트를허용하는시간을선택합니다. 예를들어 60 분으로설정되어있으면 59 분늦은이벤트도계속사용됩니다. [ 필드 ] [ 필드 ] 이벤트를상호연결하기위해이관리자가사용하는필드를선택합니다 ( 관리자당최대 5 개 ). [ 백분율 ] 각필드가차지할백분율을선택합니다. 더해서전체점수가 100% 가되어야합니다. 위험상태가 100% 미만인경우위험업데이트는 FYI, 보통, 경고, 중요및위험으로한조건에따라위험상태를보고합니다 ([ 임계값 ] 탭참조 ). 예를들어 FYI 의개념이위험상태가 50% 일때위험상태값의 50% 라면, 실제심각도는 50 이아닌 20 입니다. [ 상관 ] 고유성을결정하는데필드를사용하지않으려는경우선택합니다. 필수메모리로인해여러가지의많은카디널리티필드를상호연결시키는것은권장되지않습니다. 생성되는위험줄수는상호연결된모든필드의고유한조합수에따라다릅니다. 112 McAfee Enterprise Security Manager 제품안내서

113 ESM 구성장치구성 3 표 3-56 ( 계속 ) 탭 [ 임계값 ] 상단섹션각위험상태수준에대해이벤트가트리거할때점수임계값을설정합니다. 하단섹션 [ 필터 ] [ 논리 AND], [ 논리 OR] [ 필터필드구성요소 ] 점수가감소되는비율을설정합니다. 기본설정은점수가버킷에있고 120 초간격으로 5 점이될때까지점수가 10% 씩감소하는것입니다. 그런다음고유한필드값에대한버킷이삭제됩니다. 논리적요소를사용하여필터의프레임워크를설정합니다 (" 논리적요소 " 참조 ). [ 구성요소일치 ] 아이콘을논리적요소로끌어놓은다음 [ 필터필드추가 ] 페이지를완료합니다. 논리적요소에추가된후구성요소의조건을편집하려면해당구성요소에대해 [ 메뉴 ] 아이콘을클릭하고 [ 편집 ] 을선택합니다. 그러면설정을변경할수있습니다. 위험상관점수추가 대상이지정된필드에점수를할당하는조건문을추가해야합니다. McAfee Enterprise Security Manager 제품안내서 113

114 3 ESM 구성장치구성 1 시스템탐색트리에서 [ACE 속성 ] 을선택한다음 [ 위험상관점수 ] 를클릭합니다. 2 [ 추가 ] 를클릭한다음요청한정보를입력합니다. 3 [ 확인 ] 을클릭합니다. 표 3-57 테이블기존위험상관점수를봅니다. [ 추가 ] 위험상관점수를추가합니다. [ 편집 ] 선택한점수의설정을변경합니다. [ 제거 ] 선택한점수를삭제합니다. [ 활성화됨 ] 선택된조건문에대해위험상관점수를설정하려면선택합니다. 이설정은표의 [ 활성화됨 ] 열에반영됩니다. [ 쓰기 ] 장치에새설정을씁니다. 표 3-58 [ 활성화된점수 ] 조건문을활성화하려는경우선택합니다. [ 데이터유형 ] 조건문에표시하려는데이터유형을선택합니다. 이벤트, 플로또는둘다를선택할수있습니다. [ 점수필드 ] 원하는점수를받을필드를검색합니다. [ 조회필드 ] 소스유형을일치시킬필드를검색합니다. [ 소스유형 ] 비교에사용할소스유형을선택합니다. 선택한소스유형에일치하는값외에점수값이포함된경우에는적용되는점수또는수동으로입력된점수는 [ 점수사용 ] 열의확인란을선택하여지정할수있습니다. [ 값 ] 비교하는값을입력하거나선택합니다. 이열의사용가능한은이전열에서선택한소스유형에따라다릅니다. [ 점수사용 ] 수동으로입력한점수를사용하려면확인란을선택합니다. [ 점수 ] 선택된 [ 점수필드 ] 에지정된점수입니다. 그리드에여러규칙을입력할때복합적점수가점수필드에적용될수있습니다. [ 가중치 ] 조건문의복합적점수에대해해당행또는소스유형에지정된가중치입니다. 100% 를초과할수없습니다. [ 행추가 ] 단추새조건행을전체조건문에추가하려면클릭합니다. [ 총가중치 ] 가중치열아래에있는각행또는소스유형의합계입니다. [ 현재위험점수범위 ] 선택된필드가조건행의결과에따라달라지는점수필드로지정될수있는점수범위입니다. 114 McAfee Enterprise Security Manager 제품안내서

115 ESM 구성장치구성 3 기록상관사용 기록상관에서과거이벤트를상관시킬수있습니다. 새취약성이탐색되면과거에공격당했는지알아보기위해기록이벤트및로그를확인하는것이중요합니다. ACE 의간단한네트워크재생기능에서기록이벤트를 [ 위험상관 ] 규칙이없는상관엔진및표준규칙기반이벤트상관엔진을통해재생할수있으며이를통해현재의위협상황에대해기록이벤트를검사할수있습니다. 이것은다음의상황에서유용할수있습니다. 특정이벤트가트리거되었을때상관을설정하지않았고상관으로인해취약한정보가노출되었을수도있다는것을알아차린경우 과거에트리거된이벤트에따라새상관을설정하고원하는결과를제공하는지확인하기위해새상관을테스트하려는경우 기록상관을사용하는경우다음사항에유의해야합니다. 기록상관을비활성화할때까지실시간상관이중단됩니다. 위험배포가이벤트집합에의해왜곡됩니다. 위험관리자를실시간위험상관으로되돌리는경우임계값을조정해야합니다. 기록상관을설정하고실행하려면다음을수행해야합니다. 1 기록상관필터를추가합니다. 2 기록상관을실행합니다. 3 상관된기록이벤트를다운로드하고봅니다. 115 페이지의기록상관추가및실행 116 페이지의기록상관이벤트다운로드및보기 기록상관추가및실행 과거이벤트를상관시키려면기록상관필터를설정한다음상관을실행해야합니다. 1 시스템탐색트리에서 [ACE 속성 ] 을선택한다음 [ 기록 ] 을클릭합니다. 2 [ 추가 ] 를클릭하고요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 3 [ 기록상관활성화 ] 를선택한다음 [ 적용 ] 을클릭합니다. 기록상관을비활성화할때까지실시간상관이중단됩니다. 4 실행하려는필터를선택한다음 [ 지금실행 ] 을클릭합니다. ESM 은이벤트를검토하고필터를적용하고적용할이벤트를패키지로묶습니다. 표 3-59 [ 기록상관활성화 ] ACE 에서기록상관을활성화하려는경우선택합니다. 기록상관이활성화될때실시간상관이중단됩니다. 테이블 ACE 에서현재필터를봅니다. McAfee Enterprise Security Manager 제품안내서 115

116 3 ESM 구성장치구성 표 3-59 ( 계속 ) [ 추가 ] 필터를추가하여기록상관이벤트데이터를검색합니다. [ 편집 ] 선택한필터의필터설정을변경합니다. [ 제거 ] 필터를삭제합니다. [ 지금실행 ] 이제선택한필터를실행합니다. ESM 은이벤트를검토하고필터를적용하고적용할이벤트를패키지로묶습니다. 표 3-60 [ 이름 ] 이필터의이름을입력합니다. [ 시간프레임 ] 기록이벤트를상관시키려면시간프레임을선택합니다. 나머지필드 필터링기준이되는값을선택하거나입력합니다. 클릭하는각필드에대한힌트가페이지하단에표시됩니다. 115 페이지의기록상관사용 기록상관이벤트다운로드및보기 기록상관을실행하면생성한이벤트를다운로드하고볼수있습니다. 1 시스템탐색트리에서 [ACE 속성 ] 을선택한다음 [ 이벤트및로그 ] [ 이벤트가져오기 ] 를클릭합니다. 기록상관실행의결과로발생한이벤트가 ESM 에다운로드됩니다. 2 [ACE 속성 ] 을닫습니다. 3 데이터를보려면 : a 시스템탐색트리에서기록데이터를실행한 ACE 장치를선택합니다. b 보기도구모음의기간드롭다운목록에서실행을설정할때지정한기간을선택합니다. 보기창에쿼리결과가표시됩니다. 115 페이지의기록상관사용 ADM(Application Data Monitor) 설정 McAfee ADM(Application Data Monitor) 은네트워크에서중요한데이터사용을모두추적하여기본프로토콜, 세션무결성및응용프로그램콘텐츠를분석합니다. ADM 은위반을탐지하면컴플라이언스감사요구사항또는인시던트응답및포렌직에서사용하기위해해당응용프로그램세션의모든상세정보를보존합니다. 동시에 ADM 은합법적응용프로그램으로가장하는위협을파악할수있습니다. ADM 은중요한정보가이메일첨부파일, 인스턴트메시지, 파일전송, HTTP POST 또는기타응용프로그램에서전송되는시점을탐지할수있습니다. 중요한기밀정보에대한자체사전을하여 ADM 의탐지기능을사용자지정합니다. 그런다음 ADM 이이러한중요데이터유형을탐지하고, 관련담당자에게알리고, 위반사항을기록하여감사추적을유지관리할수있습니다. 116 McAfee Enterprise Security Manager 제품안내서

117 ESM 구성장치구성 3 ADM 은다음과같은응용프로그램프로토콜에서이상한점을모니터링, 디코드및탐지합니다. 파일전송 : FTP, HTTP, SSL( 설치및인증서전용 ) 이메일 : SMTP, POP3, NNTP, MAPI 채팅 : MSN, AIM/Oscar, Yahoo, Jabber, IRC 웹메일 : Hotmail, Hotmail DeltaSync, Yahoo mail, AOL Mail, Gmail P2P: Gnutella, bittorrent 셸 : SSH( 탐지전용 ), Telnet ADM 은규칙표현식을허용하고모니터링된트래픽을테스트하여트리거된각규칙에대한데이터베이스의이벤트테이블에레코드를삽입합니다. ADM 은규칙을트리거한패킷을이벤트테이블의패킷필드에저장합니다. 또한응용프로그램수준메타데이터를트리거된모든규칙에대한데이터베이스의 dbsession 및쿼리테이블에추가합니다. 프로토콜스택의텍스트표현을쿼리테이블의패킷필드에저장합니다. ADM 은다음과같은유형의이벤트를생성할수있습니다. 메타데이터 ADM 은네트워크에서발생하는각트랙잭션에대해하나의메타데이터이벤트를생성하며여기에는주소, 프로토콜, 파일형식, 파일이름등의상세정보가포함됩니다. 응용프로그램이메타데이터이벤트를쿼리테이블에배치하고세션테이블전체의이벤트를그룹화합니다. 예를들어세개의파일이하나의 FTP 세션을통해전송될경우 ADM 은이들을함께그룹화합니다 프로토콜이상 - 프로토콜이상은프로토콜모듈로하드코드되며너무짧아서유효한헤더를포함할수없는 TCP(Transmission Control Protocol) 패킷및잘못된응답코드를반환하는 SMTP(Simple Mail Transfer Protocol) 서버와같은이벤트를포함합니다. 프로토콜이상이벤트는드물게발생되며이벤트테이블에배치됩니다. 규칙트리거 규칙표현식을통해규칙트리거이벤트가생성되며 ICE(Internet Communications Engine) 에의해생성된메타데이터의이상을탐지합니다. 이러한이벤트는정상적인시간이외에사용되는프로토콜이나예기치않게 FTP 와통신하는 SMTP 서버와같은이상을포함할수있습니다. 규칙트리거이벤트는드물게발생되며이벤트테이블에배치됩니다. 이벤트테이블에는탐지된각프로토콜이상이나규칙트리거이벤트에대해하나의레코드가포함됩니다. 이벤트레코드는 sessionid 를통해세션및쿼리테이블에연결됩니다. 여기에서이벤트를트리거한네트워크전송 ( 메타데이터이벤트 ) 에대한상세정보를확인할수있습니다. 또한각이벤트는이벤트를트리거한패킷에대한원시패킷데이터를사용할수있는패킷테이블에연결됩니다. 세션테이블에는관련된네트워크전송그룹 ( 예 : 동일한세션에서발생하는 FTP 파일전송그룹 ) 각각에대한하나의레코드가포함됩니다. 세션레코드는 sessionid 를통해쿼리테이블에연결됩니다. 여기에서개별네트워크전송 ( 메타데이터이벤트 ) 에대한상세정보를확인할수있습니다. 또한세션내전송으로인해프로토콜이상이발생하거나규칙이트리거될경우이벤트테이블에대한링크가있습니다. 쿼리테이블에는각메타데이터이벤트 ( 네트워크에서발생하는콘텐츠전송 ) 에대해하나의레코드가포함됩니다. 쿼리레코드는 sessionid 를통해세션테이블에연결됩니다. 레코드가나타내는네트워크전송으로프로토콜이상이나규칙이트리거될경우이벤트테이블에대한링크가있습니다. 또한전체프로토콜이나콘텐츠스택의텍스트표현이있는텍스트필드를사용하는패킷테이블에대한링크도있습니다. ADM 시간대설정 ADM 장치가 GMT 로설정되었지만 ADM 코드는장치가사용중인시간대로설정된다고예상합니다. 따라서규칙은사용자가시간트리거를예상하지않은시간때에, 사용자가 GMT 에있는것처럼시간트리거를사용합니다. ADM 을사용자가생각하는시간대로설정할수있습니다. 그런다음규칙을평가할때이시간대가고려됩니다. McAfee Enterprise Security Manager 제품안내서 117

118 3 ESM 구성장치구성 1 시스템탐색트리에서 [ADM 속성 ] 을선택한다음 [ADM 구성 ] 을클릭합니다. 2 [ 시간대 ] 를클릭한다음사용중인시간대를선택합니다. 3 [ 확인 ] 을클릭합니다. 세션뷰어에서암호표시 [ 세션뷰어 ] 에서세션의최신 25,000 ADM 쿼리의상세정보를볼수있습니다. 일부이벤트의규칙은암호와관련되어있을수있습니다. [ 세션뷰어 ] 에서암호표시여부를선택할수있습니다. 기본적으로암호는표시되지않습니다. 1 시스템탐색트리에서 [ADM 속성 ] 을선택한다음 [ADM 구성 ] 을클릭합니다. [ 암호 ] 에서로깅이 [ 해제 ] 되었음을나타냅니다. 2 [ 암호 ] 를클릭하고 [ 암호로깅활성화 ] 를선택한다음 [ 확인 ] 을클릭합니다. 시스템이명령을실행하고완료되면알려줍니다. 이제 [ 암호 ] 에서로깅이 [ 설정 ] 되었음을나타냅니다. ADM(Application Data Monitor) 사전 ADM 규칙을작성할때사전을사용하여네트워크에서캡처된키를된값으로변환하거나, 키가있는경우부울 true 로기본설정된값이없는키를나열할수있습니다. ADM 사전을사용하여각단어에대해개별규칙을작성할필요없이신속하게파일키를지정할수있습니다. 예를들어특정단어가포함된이메일을선택하고, 외설스런단어가포함된사전을컴파일하고, 해당사전을가져오는규칙을설정합니다. 사전의단어를포함하는콘텐츠가있는이메일을체크하려면다음과같은규칙을만들수있습니다. protocol == && naughtywords[objcontent] ADM 규칙편집기를사용하여규칙을작성하는경우규칙이참조할사전을선택할수있습니다. 사전은최대수백만개의항목을지원합니다. 사전을규칙에추가하는에는다음단계가포함됩니다. 1 키및값 ( 필요한경우 ) 이나열된사전을설정하고저장합니다. 2 ESM 에서사전을관리합니다. 3 규칙에사전을할당합니다. 119 페이지의 ADM 사전설정 122 페이지의 ADM 사전관리 120 페이지의 ADM 사전참조 120 페이지의 ADM 사전예 118 McAfee Enterprise Security Manager 제품안내서

119 ESM 구성장치구성 3 ADM 사전설정 사전은한줄에한항목으로구성된일반텍스트파일입니다. 단일열사전과이중열사전이있습니다. 이중열에는키와값이있습니다. 키는 IPv4, MAC, 숫자, 정규표현식및문자열일수있습니다. 값유형은부울, IPv4, IPv6, MAC, 숫자및문자열입니다. 값은선택사항이며없는경우부울 true 로기본설정됩니다. 단일또는이중열사전의값은지원되는 ADM 유형 ( 문자열, 정규표현식, 숫자, IPv4, IPv6 또는 MAC) 중하나여야합니다. ADM 사전은다음의형식지정지침을따라야합니다. 유형구문규칙예일치하는컨텐츠 문자열 문자열은이중따옴표로묶어야함 Bad Content Bad Content 문자열안의이중따옴표는각따옴표앞에백슬래시문자를사용하여이스케이프해야함 He said, \ Bad Content\ He said, Bad Content 정규표현식 정규표현식은단일슬래시로묶여있음 정규표현식내의슬래시및예약된정규표현식문자는백슬래시문자로이스케이프해야함 /[Aa]pple/ /apple/i / [0-9]{1,3}\.[0-9]{1,3}\.[0-9]\.[0-9]/ Apple 또는 apple Apple 또는 apple IP 주소 : /1\/2 of all/ /2 of all 숫자 10 진수값 (0-9) 16 진수값 (0x0-9a-f) 8 진수값 (0-7) 10 진수값 16 진수값 8 진수값 123 0x12ab 0127 부울 참또는거짓일수있음 부울리터럴 참 모두소문자 거짓 IPv4 표준 4 분표기법으로쓸수있음 CIDR 표기로쓸수있음 / [0 255] 전체마스크가포함된긴형식으로쓸수있음 / [0 255] 다음은사전에대해참입니다. 목록 ( 각괄호로둘러싸인쉼표로구분된여러값 ) 은사전에서허용되지않습니다. 열은단지단일지원 ADM 유형으로구성될수있습니다. 이는단일 ADM 사전파일내에서여러유형 ( 문자열, 정규식, IPv4) 이섞이고짝을이룰수없다는것입니다. 설명을포함할수있습니다. 파운드문자 (#) 로시작하는모든줄은 ADM 사전에서설명으로간주됩니다. 이름은영숫자및밑줄만으로구성될수있으며총길이는 20 자이하여야합니다. 목록은지원되지않습니다. ADM 이전버전은선택한텍스트편집기를사용하여 ESM 외부에서편집하거나만들어야합니다. ESM 에서가져오거나내보내면새 ADM 사전을쉽게수정하거나만들수있습니다. 118 페이지의 ADM(Application Data Monitor) 사전 122 페이지의 ADM 사전관리 120 페이지의 ADM 사전참조 120 페이지의 ADM 사전예 McAfee Enterprise Security Manager 제품안내서 119

120 3 ESM 구성장치구성 ADM 사전참조사전을 ESM 에가져오면규칙을작성할때참조할수있습니다. 시작하기전에 ESM 으로사전을가져옵니다. 1 [ 정책편집기 ] 의 [ 규칙유형 ] 창에서 [ 새로만들기 ] [ADM 규칙 ] 을클릭합니다. 2 요청한정보를추가하고논리적요소를 [ 표현식논리 ] 영역으로끌어서놓습니다. 3 논리적요소에 [ 표현식구성요소 ] 아이콘을끌어서놓습니다. 4 [ 표현식구성요소 ] 페이지의 [ 사전 ] 필드에서사전을선택합니다. 5 나머지필드를입력한다음 [ 확인 ] 을클릭합니다. 118 페이지의 ADM(Application Data Monitor) 사전 119 페이지의 ADM 사전설정 122 페이지의 ADM 사전관리 120 페이지의 ADM 사전예 ADM 사전예 ADM 엔진은개체콘텐츠나기타메트릭또는속성을단일열사전과비교하여참또는거짓 ( 사전에있는경우또는사전에없는경우 ) 으로나타낼수있습니다. 표 3-61 단일열사전예 사전유형 예 일반스팸단어가포함된문자열사전 시알리스 시알리스 비아그라 비아그라 성인웹 성인웹 지금당장하세요! 주저하지마세요! 인증키단어에대한정규표현식사전 /(password passwd pwd)[^a-z0-9]{1,3}(admin login password user)/i /(customer client)[^a-z0-9]{1,3}account[^a-z0-9]{1,3}number/i /fund[^a-z0-9]{1,3}transaction/i /fund[^a-z0-9]{1,3}transfer[^a-z0-9]{1,3}[0-9,.]+/i 120 McAfee Enterprise Security Manager 제품안내서

121 ESM 구성장치구성 3 표 3-61 단일열사전예 ( 계속 ) 사전유형 알려진잘못된실행파일에대한해시값이포함된문자열사전 예 "fec72ceae15b6f60cbf269f99b9888e9" "fed472c13c1db095c4cb0fc54ed28485" "feddedb f9428a59eb5ee22a" "ff3cb87742f9b56dfdb9a49b31c1743c" "ff45e471aa68c9e2b6d62a82bbb6a82a" "ff669082faf0b5b976cec c" "ff7025e261bd bc9efdfc6c7c" 위험자산의 IP 주소 / / / / 표 3-62 이중열사전예 사전유형 일반스팸단어및범주가포함된문자열사전 인증키단어및범주에대한정규표현식사전 알려진잘못된실행파일및범주의해시값이포함된문자열사전 예 시알리스 제약 시알리스 제약 비아그라 제약 비아그라 제약 성인웹 성인 성인웹 성인 지금당장하세요! 주저하지마세요! 스캠 /(password passwd pwd)[^a-z0-9]{1,3}(admin login password user)/i 인증 /(customer client)[^a-z0-9]{1,3}account[^a-z0-9]{1,3}number/i pii /fund[^a-z0-9]{1,3}transaction/i sox /fund[^a-z0-9]{1,3}transfer[^a-z0-9]{1,3}[0-9,.]+/i sox "fec72ceae15b6f60cbf269f99b9888e9" 트로이목마 "fed472c13c1db095c4cb0fc54ed28485" 악성프로그램 "feddedb f9428a59eb5ee22a" 바이러스 "ff3cb87742f9b56dfdb9a49b31c1743c" 악성프로그램 "ff45e471aa68c9e2b6d62a82bbb6a82a" 애드웨어 "ff669082faf0b5b976cec c" 트로이목마 "ff7025e261bd bc9efdfc6c7c" 바이러스 위험자산및그룹의 IP 주소 위험자산 /24 LAN / LAN /27 DMZ / 위험자산 McAfee Enterprise Security Manager 제품안내서 121

122 3 ESM 구성장치구성 118 페이지의 ADM(Application Data Monitor) 사전 119 페이지의 ADM 사전설정 122 페이지의 ADM 사전관리 120 페이지의 ADM 사전참조 ADM 사전관리새사전을설정하고저장한다음 ESM 에가져와야합니다. 또한사전을내보내고편집하고삭제할수있습니다. 1 [ 정책편집기 ] 에서 [ 도구 ] 를클릭한다음 [ADM 사전관리자 ] 를선택합니다. [ADM 사전관리 ] 화면에 4 가지기본사전 ( 봇네트, foullanguage, icd9_desc 및 spamlist) 과시스템에가져온모든사전이나열됩니다. 2 사용할수있는액션을수행한다음 [ 닫기 ] 를클릭합니다. 표 3-63 [ 가져오기 ] ESM 으로 ADM 사전을가져오려면클릭합니다. [ 내보내기 ] 로컬파일에선택한 ADM 사전을내보내려면클릭합니다. [ 편집 ] 선택한사전을편집하려면클릭합니다. [ 삭제 ] 선택한사전을삭제합니다. 사전을삭제하는경우이사전을참조하는규칙이포함된규칙세트를롤아웃하는시도를컴파일하지못합니다. 이사전이규칙에할당되지않는경우사전을참조하지않도록규칙을다시쓰거나 (" 사전참조 " 참조 ) 삭제를수행하지마십시오. 표 3-64 [ 검색 ] 특정항목을검색하려면필드에입력하고클릭합니다. 테이블기존항목을봅니다. 새항목을추가하고기존항목을변경하거나삭제할수있습니다. 표 3-65 [ 사전 ] 사전파일을찾아업로드합니다. [ 키유형 ] 사전에사용되는키유형을선택합니다. [ 키유형 ] 과 [ 값유형 ] 필드에서선택한내용과파일이포함하는내용에차이가있는경우데이터가잘못되었다고알려줍니다. [ 값유형 ] 사전에사용되는값유형을선택합니다. 118 페이지의 ADM(Application Data Monitor) 사전 119 페이지의 ADM 사전설정 120 페이지의 ADM 사전참조 120 페이지의 ADM 사전예 122 McAfee Enterprise Security Manager 제품안내서

123 ESM 구성장치구성 3 ADM 규칙참조자료 이부록에는 ADM 규칙을 [ 정책편집기 ] 에추가할때도움이될수있는자료가들어있습니다. 123 페이지의 ADM 규칙구문 125 페이지의 ADM 규칙조건유형 127 페이지의 ADM 규칙메트릭참조 129 페이지의프로토콜별속성 ADM 규칙구문 ADM 규칙은 C 표현식과매우유사합니다. 주요차이점은보다광범위한리터럴집합 ( 숫자, 문자열, 정규표현식, IP 주소, MAC 주소및부울 ) 입니다. 문자열조건은문자열및정규식리터럴과비교하여콘텐츠를테스트할수있지만숫자와비교하여길이를테스트할수도있습니다. 숫자, IP 주소및 MAC 주소조건은동일한유형의리터럴값과만비교할수있습니다. 유일한예외는모든항목을부울로처리하여존재를테스트할수있다는점입니다. 일부조건에는여러개의값이있을수있습니다. 예를들어.zip 파일내 PDF 파일에대해 type = = application/zip && type = = application/pdf 규칙이트리거됩니다. 표 3-66 연산자 연산자설명예 && 논리적 AND protocol = = http && type = = image/gif 논리적 OR time.hour < 8 time.hour > 18 ^ ^ 논리적 XOR .from = = "a@b.com" ^^ .to = = "a@b.com"! 단항 NOT! (protocol = = http protocol = = ftp) = = 같음 type = = application/pdf! = 같지않음 srcip! = /16 > 보다큼 objectsize > 100M > = 크거나같음 time.weekday > = 1 < 보다작음 objectsize < 10K < = 작거나같음 time.hour < = 6 표 3-67 리터럴 리터럴 숫자 문자열 정규식 예 1234, 0x1234, 0777, 16K, 10M, 2G "a string" /[A-Z] [a-z]+/ IPv , /16, / MAC 부울 aa:bb:cc:dd:ee:ff true, false 표 3-68 유형연산자호환성 유형연산자참고 숫자 = =,! =, >, > =, <, < = 문자열 = =,! = 문자열의내용을문자열 / 정규식과비교 McAfee Enterprise Security Manager 제품안내서 123

124 3 ESM 구성장치구성 표 3-68 유형연산자호환성 ( 계속 ) 유형연산자참고 문자열 >, > =, <, <= IPv4 = =,! = MAC = =,! = 문자열의길이비교 부울 = =,! = 참 / 거짓과비교, 참으로내포된비교도지원, 예를들어 .bcc 는 .bcc 조건이 있는지테스트 표 3-69 ADM 정규식문법 기본연산자 교체 ( 또는 ) * 0 개이상 + 1 개이상? 0 또는 1 ( ) 그룹화 (a b) { } 반복범위 {x} 또는 {,x} 또는 {x,} 또는 {x,y} [ ] 범위 [0-9a-z] [abc] [^ ] 제외범위 [^abc] [^0-9]. 모든문자 이스케이프문자 이스케이프 d 숫자 [0-9] D 숫자제외 [^0-9] e 이스케이프 (0x1B) f 용지공급 (0x0C) n 줄바꿈 (0x0A) r 캐리지리턴 (0x0D) s 공백 S 공백제외 t 탭 (0x09) v 세로탭 (0x0B) w 단어 [A-Za-z0-9_] W 단어제외 x00 16 진수표현 진수표현 124 McAfee Enterprise Security Manager 제품안내서

125 ESM 구성장치구성 3 이스케이프 ^ S 줄시작 줄끝 줄시작및줄끝앵커 (^ 및 $) 는 objcontent 에적용되지않습니다. POSIX 문자클래스 [:alunum:] [:alpha:] [:ascii:] [:blank:] [:cntrl:] [:digit:] [:graph:] [:lower:] [:print:] [:punct:] [:space:] [:upper:] [:word:] [:xdigit:] 숫자및문자모든문자 ASCII 문자공백및탭제어문자숫자표시문자소문자표시문자및공백문장부호및기호모든공백문자대문자단어문자 16 진수숫자 123 페이지의 ADM 규칙참조자료 125 페이지의 ADM 규칙조건유형 127 페이지의 ADM 규칙메트릭참조 129 페이지의프로토콜별속성 130 페이지의프로토콜이상 ADM 규칙조건유형 ADM 규칙의모든조건에는특정유형이있습니다. 각조건은 IP 주소, MAC 주소, 숫자, 문자열또는부울입니다. 또한정규표현식과목록이라는두가지추가리터럴유형이있습니다. 일반적으로특정유형의조건은동일한유형의리터럴이나동일한유형의리터럴목록 ( 또는목록의목록...) 에대해서만비교할수있습니다. 이규칙에는다음과같은세가지예외가있습니다. 1 문자열조건은숫자리터럴과비교하여길이를테스트할수있습니다. 암호가 8 자보다작은경우 ( 암호가문자열조건인경우 ) 다음규칙이트리거됩니다. 암호 < 8 2 문자열조건은정규표현식과비교할수있습니다. 암호에소문자만포함된경우다음규칙이트리거됩니다. password == /^[a-z]+$/ 3 모든조건은부울리터럴에대해테스트하여발생여부를테스트할수있습니다. 이메일에참조주소가포함된경우 ( .cc 가문자열조건인경우 ) 다음규칙이트리거됩니다. .cc == 참 McAfee Enterprise Security Manager 제품안내서 125

126 3 ESM 구성장치구성 유형 형식설명 IP 주소 IP 주소리터럴은표준표기법인점으로구분된 4 개의숫자로기록되며따옴표로묶지않습니다 IP 주소에는표준 CIDR 표기법으로작성된마스크가있을수있으며주소와마스크사이에공백이있으면안됩니다 /24 IP 주소에는긴형식으로작성된마스크가있을수도있습니다 / MAC 주소 MAC 주소리터럴은 IP 주소와마찬가지로표준표기법을사용하여작성되며따옴표로묶지않습니다. aa:bb:cc:dd:ee:ff 숫자 ADM 규칙의모든숫자는 32 비트정수입니다. 이러한숫자는 10 진수로작성할수있습니다 또한 16 진수로작성할수있습니다. 0xabcd 8 진수로작성할수도있습니다 (K), (M) 또는 (G) 와곱하여승수를추가할수있습니다. 10M 문자열 문자열은큰따옴표로묶습니다. "this is a string" 문자열은표준 C 이스케이프시퀀스를사용할수있습니다. "\tthis is a \"string\" containing\x20escape sequences\n" 조건을문자열과비교할경우전체조건이문자열과일치해야합니다. 이메일메시지의보낸사람주소가 someone@somewhere.com 일경우다음규칙이트리거되지않습니다. .from 조건의일부만일치시키려면정규표현식리터럴을대신사용해야합니다. 문자열리터럴이보다효율적이므로가능하면문자열리터럴을사용해야합니다. 모든이메일주소및 URL 조건은일치되기전에정규화되므로이메일주소내의설명과같은항목을고려할필요가없습니다. 부울 부울리터럴은참과거짓입니다. 126 McAfee Enterprise Security Manager 제품안내서

127 ESM 구성장치구성 3 유형 정규표현식 형식설명 정규표현식리터럴은 Javascript 및 Perl 과같은언어와동일한표기법을사용하며, 정규표현식은슬래시로묶습니다. /[a-z]+/ 정규표현식다음에는표준수정자플래그가올수있지만현재 "i" 만인식되며대 / 소문자를구분하지않습니다. /[a-z]+/i 정규표현식리터럴은 POSIX 확장구문을사용해야합니다. 현재 Perl 확장은콘텐츠조건을제외한모든조건에서작동하지만이후버전에서는변경될수있습니다. 조건을정규표현식과비교할경우정규표현식내에서앵커연산자가적용되지않으면정규표현식이조건내하위문자열과일치합니다. 이메일이 someone@somewhere.com 주소로표시되면다음규칙이트리거됩니다. .from == /@somewhere.com/ 목록 목록리터럴은대괄호로묶고쉼표로구분한하나이상의리터럴로구성됩니다. [1, 2, 3, 4, 5] 목록에는다른목록을포함하여모든종류의리터럴이포함될수있습니다. [ , [ /8, /24]] 목록에는한종류의리터럴만포함되어야하며문자열과숫자, 문자열과정규표현식, IP 주소와 MAC 주소를혼합할수없습니다. 목록이같지않음 (!=) 이아닌다른관계형연산자와함께사용될경우표현식은조건이목록의리터럴과일치하면참입니다. 소스 IP 주소가목록의 IP 주소와일치할경우다음규칙이트리거됩니다. srcip == [ , , ] 이규칙은다음과동일합니다. srcip == srcip == srcip == 같지않음 (!=) 연산자와함께사용될경우표현식은조건이목록의모든리터럴과일치하지않으면참입니다. 소스 IP 주소가 또는 가아닐경우다음규칙이트리거됩니다. srcip!= [ , ] 이규칙은다음과동일합니다. srcip!= && srcip!= 목록은다른관계형연산자와함께사용할수도있지만적합하지않은경우가많습니다. 개체크기가 100 보다크거나개체크기가 200 보다클경우다음규칙이트리거됩니다. objectsize > [100, 200] 이규칙은다음과동일합니다. objectsize > 100 objectsize > 페이지의 ADM 규칙참조자료 123 페이지의 ADM 규칙구문 127 페이지의 ADM 규칙메트릭참조 129 페이지의프로토콜별속성 130 페이지의프로토콜이상 ADM 규칙메트릭참조 다음은 ADM 규칙표현식에대한메트릭참조목록으로, ADM 규칙을추가할때 [ 표현식구성요소 ] 페이지에서사용할수있습니다. 일반속성및일반이상의경우각각에대해입력할수있는매개변수 - 유형값이메트릭참조다음의괄호안에표시됩니다. 일반속성 속성또는용어프로토콜 ( 숫자 ) 개체콘텐츠 ( 문자열 ) 개체유형 ( 숫자 ) 설명 응용프로그램프로토콜 (HTTP, FTP, SMTP) 개체의콘텐츠 ( 문서내텍스트, 이메일메시지, 채팅메시지 ). 이진데이터에는콘텐츠일치를사용할수없습니다. 그러나이진개체는개체유형 (objtype) 을사용하여탐지할수있습니다. ADM 에의해결정된콘텐츠의유형 (Office 문서, 메시지, 비디오, 오디오, 이미지, 보관, 실행파일 ) 을지정합니다. McAfee Enterprise Security Manager 제품안내서 127

128 3 ESM 구성장치구성 속성또는용어 개체크기 ( 숫자 ) 설명 개체의크기입니다. 숫자다음에숫자승수 K, M, G 를추가할수있습니다 (10K, 10M, 10G). 개체해시 ( 문자열 ) 콘텐츠의해시 ( 현재 MD5) 입니다. 개체소스 IP 주소 ( 숫자 ) 콘텐츠의소스 IP 주소입니다.IP 주소는 , /24, / 으로지정할수있습니다. 개체대상 IP 주소 ( 숫자 ) 콘텐츠의대상 IP 주소입니다.IP 주소는 , /24, / 으로지정할수있습니다. 개체소스포트 ( 숫자 ) 콘텐츠의소스 TCP/UDP 포트입니다. 개체대상포트 ( 숫자 ) 콘텐츠의대상 TCP/UDP 포트입니다. 개체소스 IPv6 주소 ( 숫자 ) 콘텐츠의소스 IPv6 주소입니다. 개체대상 IPv6 주소 ( 숫자 ) 콘텐츠의대상 IPv6 주소입니다. 개체소스 MAC 주소 (mac 이름 ) 개체대상 MAC 주소 (mac 이름 ) 콘텐츠의소스 MAC 주소 (aa:bb:cc:dd:ee:ff) 입니다. 콘텐츠의대상 MAC 주소 (aa:bb:cc:dd:ee:ff) 입니다. 플로소스 IP 주소 (IPv4) 플로의소스 IP 주소입니다. IP 주소는 , /24, / 으로지정할수있습니다. 플로대상 IP 주소 (IPv4) 플로의대상 IP 주소입니다. IP 주소는 , /24, / 으로지정할수있습니다. 플로소스포트 ( 숫자 ) 플로의소스 TCP/UDP 포트입니다. 플로대상포트 ( 숫자 ) 플로의대상 TCP/UDP 포트입니다. 플로소스 IPv6 주소 ( 숫자 ) 플로의소스 IPv6 주소입니다. 플로대상 IPv6 주소 ( 숫자 ) 플로의대상 IPv6 주소입니다. 플로소스 MAC 주소 (mac 이름 ) 플로대상 MAC 주소 (mac 이름 ) 플로의소스 MAC 주소입니다. 플로의대상 MAC 주소입니다. VLAN( 숫자 ) 가상 LAN ID 입니다. 요일 ( 숫자 ) 요일입니다. 유효한값은 1~7 이며, 1 은월요일입니다. 시간 ( 숫자 ) GMT 로설정된시간입니다. 유효한값은 0-23 입니다. 선언된콘텐츠유형 ( 문자열 ) 서버에지정된콘텐츠의유형입니다. 이론적으로개체유형 (objtype) 은항상실제유형이며선언된콘텐츠유형 (content-type) 은서버 / 응용프로그램에서스푸핑될수있으므로신뢰할수없습니다. 암호 ( 문자열 ) 응용프로그램에서인증에사용하는암호입니다. URL( 문자열 ) 웹사이트 URL 입니다. HTTP 프로토콜에만적용됩니다. 파일이름 ( 문자열 ) 전송할파일의이름입니다. 표시이름 ( 문자열 ) 호스트이름 ( 문자열 ) DNS 조회에지정된호스트이름입니다. 일반이상 사용자로그오프함 ( 부울 ) 인증오류 ( 부울 ) 128 McAfee Enterprise Security Manager 제품안내서

129 ESM 구성장치구성 3 인증성공 ( 부울 ) 인증실패 ( 부울 ) 123 페이지의 ADM 규칙참조자료 123 페이지의 ADM 규칙구문 125 페이지의 ADM 규칙조건유형 129 페이지의프로토콜별속성 130 페이지의프로토콜이상 프로토콜별속성 대부분의프로토콜에서공통된속성을제공하는것외에, ADM 은 ADM 규칙과함께사용할수있는프로토콜별속성도제공합니다. 또한모든프로토콜별속성은 ADM 규칙을추가하면 [ 표현식구성요소 ] 페이지에서사용할수있습니다. 프로토콜별속성의예 이러한속성이다음테이블에적용됩니다. * 탐지전용 ** 암호해독없음, X.509 인증서및암호화된데이터캡처 *** RFC822 모듈을통해 표 3-70 파일전송프로토콜모듈 FTP HTTP SMB* SSL** 표시이름파일이름호스트이름 URL 표시이름파일이름호스트이름참조페이지 표시이름 파일이름 호스트이름 표시이름 파일이름 호스트이름 URL 모든 HTTP 헤더 표 3-71 이메일프로토콜모듈 DeltaSync MAPI NNTP POP3 SMTP 숨은참조 *** 숨은참조 숨은참조 *** 숨은참조 *** 숨은참조 *** 참조 *** 참조 참조 *** 참조 *** 참조 *** 표시이름 표시이름 표시이름 표시이름 표시이름 보낸사람 *** 보낸사람 보낸사람 *** 보낸사람 *** 보낸사람 *** 호스트이름 호스트이름 호스트이름 호스트이름 호스트이름 제목 *** 제목 제목 *** 제목 *** 받는사람 *** 받는사람 *** 받는사람 받는사람 *** 받는사람 *** 제목 *** 사용자이름 사용자이름 McAfee Enterprise Security Manager 제품안내서 129

130 3 ESM 구성장치구성 표 3-72 웹메일프로토콜모듈 AOL Gmail Hotmail Yahoo 첨부파일이름 첨부파일이름 첨부파일이름 첨부파일이름 숨은참조 *** 숨은참조 *** 숨은참조 *** 숨은참조 *** 참조 *** 참조 *** 참조 *** 참조 *** 표시이름 표시이름 표시이름 표시이름 파일이름 파일이름 파일이름 파일이름 호스트이름 호스트이름 호스트이름 호스트이름 보낸사람 *** 보낸사람 *** 보낸사람 *** 보낸사람 *** 제목 *** 제목 *** 제목 *** 제목 *** 받는사람 *** 받는사람 *** 받는사람 *** 받는사람 *** 123 페이지의 ADM 규칙참조자료 123 페이지의 ADM 규칙구문 125 페이지의 ADM 규칙조건유형 127 페이지의 ADM 규칙메트릭참조 130 페이지의프로토콜이상 프로토콜이상 공통속성및프로토콜별속성외에 ADM 은낮은수준의수백가지이상, 전송및응용프로그램프로토콜도탐지합니다. 모든프로토콜이상속성은부울유형으로, ADM 규칙을추가할때 [ 표현식구성요소 ] 페이지에서사용할수있습니다. 표 3-73 IP 용어 설명 ip.too-small IP 패킷이너무작아유효한헤더를포함하지못합니다. ip.bad-offset IP 데이터오프셋이패킷끝을지나갑니다. ip.fragmented IP 패킷이조각화되었습니다. ip.bad-checksum IP 패킷체크섬이데이터와일치하지않습니다. ip.bad-length IP 패킷 totlen 필드가패킷끝을지나갑니다. 표 3-74 TCP 용어 설명 tcp.too-small TCP 패킷이너무작아유효한헤더를포함하지못합니다. tcp.bad-offset TCP 패킷의데이터오프셋이패킷끝을지나갑니다. tcp.unexpected-fin 설정되지않은상태의 TCP FIN 플래그집합입니다. tcp.unexpected-syn 설정된상태의 TCP SYN 플래그집합입니다. tcp.duplicate-ack 이미 ACK 된 TCP 패킷 ACK 데이터입니다. tcp.segment-outsidewindow TCP 패킷은창밖에있습니다 (TCP 모듈의작은창으로실제창이아님 ). tcp.urgent-nonzero-withouturg- flag TCP 긴급필드가 0 이아니지만 URG 플래그가설정되지않았습니다. 130 McAfee Enterprise Security Manager 제품안내서

131 ESM 구성장치구성 3 표 3-75 DNS 용어 설명 dns.too-small DNS 패킷이너무작아유효한헤더를포함하지못합니다. dns.question-name-past-end DNS 질문이름이패킷끝을지나갑니다. dns.answer-name-past-end DNS 대답이름이패킷끝을지나갑니다. dns.ipv4-address-length-wrong DNS 응답의 IPv4 주소길이가 4 바이트가아닙니다. dns.answer-circular-reference DNS 대답에는원형참조가들어있습니다. 123 페이지의 ADM 규칙구문 125 페이지의 ADM 규칙조건유형 127 페이지의 ADM 규칙메트릭참조 129 페이지의프로토콜별속성 Database Event Monitor(DEM) 설정 McAfee Database Event Monitor(DEM) 가데이터베이스을중앙감사리포지토리로통합하고해당의정규화, 상관, 분석및보고기능을제공합니다. 네트워크또는데이터베이스서버이악성데이터액세스를나타내는알려진패턴과일치하는경우 DEM 에서경보가생성됩니다. 또한컴플라이언스에서사용하도록모든트랜잭션이로깅됩니다. DEM 을통해분석및보고기능을제공하는것과동일한인터페이스에서데이터베이스모니터링규칙을관리, 편집및조정할수있으므로특정데이터베이스모니터링프로파일 ( 실시되는규칙, 로깅되는트랜잭션 ) 을쉽게조정하여잘못된긍정을줄이고전체보안을향상시킬수있습니다. DEM 은침입탐지시스템과유사한네트워크패킷을모니터링하여침입을받지않고데이터베이스와사용자및응용프로그램의상호작용을감사합니다. 네트워크를통해모든데이터베이스서버의을모니터링할수있도록네트워킹, 보안, 컴플라이언스및데이베이스팀과초기 DEM 배포를조정합니다. 네트워크팀은스위치의 SPAN 포트, 네트워크탭또는허브를사용하여데이터베이스트래픽을복제합니다. 이프로세스를통해데이터베이스서버에서트래픽을수신하거나모니터링하고감사로그를만들수있습니다. 지원되는데이터베이스서버플랫폼및버전정보를보려면 McAfee 웹사이트를방문하십시오. 운영체제데이터베이스 DEM 어플라이언스 Windows( 모든버전 ) Microsoft SQL Server¹ MSSQL 7, 2000, 2005, 2008, 2012 Windows, UNIX/Linux( 모든버전 ) Oracle² Oracle 8.x, 9.x, 10 g, 11 g (c), 11 g R2³ Sybase 11.x, 12.x, 15.x DB2 8.x, 9.x, 10.x Informix(8.4.0 이상에서사용가능 ) 11.5 Windows, UNIX/Linux( 모든버전 ) MySQL 예, 4.x, 5.x, 6.x PostgreSQL 7.4.x, 8.4.x, 9.0.x, 9.1.x Teradata 12.x, 13.x, 14.x InterSystems Cache x UNIX/Linux( 모든버전 ) Greenplum Vertica Mainframe DB2/zOS 모든버전 McAfee Enterprise Security Manager 제품안내서 131

132 3 ESM 구성장치구성 운영체제 데이터베이스 DEM 어플라이언스 AS400 DB2 모든버전 1 Microsoft SQL Server 의패킷암호해독지원은버전 이상에서사용가능합니다. 2 Oracle 의패킷암호해독지원은버전 이상에서사용가능합니다. 3 Oracle 11 g 는버전 이상에서사용가능합니다. 다음은이러한서버및버전에적용됩니다. 32 비트및 64 비트버전의운영체제및데이터베이스플랫폼이모두지원됩니다. MySQL 은 Windows 32 비트플랫폼에서만지원됩니다. 패킷암호해독은 MSSQL 및 Oracle 에서지원됩니다. DEM 라이센스업데이트 DEM 은기본라이센스와함께제공됩니다. DEM 기능을변경하는경우 McAfee 는이메일메시지로새라이센스를보내고사용자는업데이트해야합니다. 1 시스템탐색트리에서 [DEM 속성 ] 을선택한다음 [DEM 구성 ] 을클릭합니다. 2 [ 라이센스 ] [ 라이센스업데이트 ] 를클릭한다음 McAfee 에서보낸정보를필드에붙여넣습니다. 3 [ 확인 ] 을클릭합니다. 시스템에서라이센스를업데이트하고완료되면알려줍니다. 4 DEM 에정책을롤아웃합니다. 표 3-76 [ 라이센스업데이트 ] DEM 라이센스를업데이트하려면클릭합니다. [ 라이센스업데이트 ] 페이지 McAfee 에서전송된라이센스를복사한다음여기에붙여넣고 [ 확인 ] 을클릭합니다. DEM 구성파일동기화 DEM 구성파일이 DEM 장치와동기화되지않은경우구성파일을 DEM 에써야합니다. 1 시스템탐색트리에서 [DEM 속성 ] 을선택한다음 [DEM 구성 ] 을클릭합니다. 2 [ 파일동기화 ] 를클릭합니다. 메시지가동기화상태를표시합니다. 고급 DEM 설정구성이러한고급설정으로 DEM 성능이변경되거나향상됩니다. 132 McAfee Enterprise Security Manager 제품안내서

133 ESM 구성장치구성 3 1 시스템탐색트리에서 [DEM 속성 ] 을선택한다음 [DEM 구성 ] 을클릭합니다. 2 [ 고급 ] 을클릭한다음설정을하거나 DEM 의량이너무많아지면을선택취소합니다. 3 [ 확인 ] 을클릭합니다. 표 3-77 필요에따라다음설정을합니다. [ 로그파일세부정보수준 ] DEM 에이전트에서 DEM 관리자로보낸로그정보의세부정보수준을설정합니다. [ 정보 ], [ 경고 ] 및 [ 디버그 ] 의세가지이있습니다. [ 디버그 ] 를선택할경우정보가매우세부적이며많은디스크공간을사용할수있습니다. [ 에이전트레지스트리포트 ] 및 [ 에이전트서비스포트 ] 기본에이전트레지스트리및서비스포트를변경합니다. 이러한포트는에이전트와통신하는데사용됩니다. [ 암호화사용 ] DEM 에이전트에서 DEM 관리자로보내는정보를암호화하거나암호화하지않도록선택합니다. 이로그는수신될때암호해독됩니다. [Kerberos 서버 IP] Windows 통합보안을사용한데이터베이스인증을위해 Kerberos 프로토콜분석에서사용자이름을검색하려는경우 Kerberos 서버 IP 주소를입력합니다. IP; 포트 ;VLAN;IP; 포트 ( 예 : ;88;11, ;88;12) 형식을사용하여여러 IP, 포트및 VLAN 설정을지정할수있습니다. IPv6 도동일한형식을사용하여지원됩니다. [ 공유메모리 ] DEM 에서데이터베이스이벤트를처리하는데사용하는버퍼의크기를선택합니다. 버퍼의크기를늘리면성능이향상됩니다. [ 이벤트리포지토리 ] 이벤트가검색되는위치를선택합니다. [ 파일 ] 을선택할경우로컬 DEM 의파일을읽고해당이벤트를구문분석합니다. [EDB] 를선택할경우이벤트가데이터베이스에서수집됩니다. 표 3-78 DEM 의로드가너무많아지기시작하면이러한을선택취소합니다. [McAfee Firewall 패킷캡처 ] DEM 에데이터베이스데이터를구문분석하는더빠른방법을제공합니다. [ 트랜잭션추적 ] 데이터베이스트랜잭션을추적하고변경사항을자동조정합니다. DEM 속도를향상시키려면선택취소합니다. [ 사용자 ID 추적 ] 데이터베이스에액세스할때일반사용자이름을사용하므로사용자 ID 가데이터베이스로전파되지않을경우사용자 ID 를추적합니다. DEM 속도를향상시키려면선택취소합니다. [ 중요한데이터마스크 ] 중요한정보를마스크라는일반사용자문자열로바꿔중요한데이터를무단으로볼수없도록합니다. DEM 속도를향상시키려면선택취소합니다. [ 로컬호스트감사 ] 로컬호스트를감사하여알수없는데이터베이스액세스경로를추적하고실시간으로이벤트를보냅니다. DEM 속도를향상시키려면선택취소합니다. [ 쿼리구문분석 ] 쿼리분석을수행합니다. DEM 속도를향상시키려면선택취소합니다. McAfee Enterprise Security Manager 제품안내서 133

134 3 ESM 구성장치구성 표 3-78 ( 계속 ) [ 첫번째결과행캡처 ] 이벤트에대한패킷을검색할때 Select 문의심각도가 95 보다작은값으로설정된경우쿼리의첫번째결과행을볼수있습니다. DEM 속도를향상시키려면선택취소합니다. [Bind 변수지원 ] 실행될때마다명령을재분석하는오버헤드를발생시키지않고 Oracle bind 변수를반복해서재사용합니다. DEM 구성설정적용 DEM 구성설정에대한변경사항은 DEM 에적용되어야합니다. 구성변경사항을적용하지않으려는경우 [DEM 구성 ] 의 [ 적용 ] 을통해모든 DEM 구성설정에대해그렇게할수있습니다. 1 시스템탐색트리에서 [DEM 속성 ] 을선택한다음 [DEM 구성 ] 을클릭합니다. 2 [ 적용 ] 을클릭합니다. 구성설정이 DEM 에작성되면메시지가표시됩니다. DEM 이벤트의액션 DEM 의 [ 액션관리 ] 설정은이벤트의액션및을하며, DEM 의필터링규칙및데이터액세스정책에서사용됩니다. 사용자지정액션을추가하고기본액션및사용자지정액션의 [ ] 을설정할수있습니다. DEM 은기본액션과함께제공되며, [ 액션관리 ] 페이지에서 [ 글로벌편집 ] 을클릭하고다음기본을클릭하면볼수있습니다. [ 없음 ] [ 스크립트 ] [ 무시 ] [ 재설정 ] [ 삭제 ] [ 스크립트 ] 를으로선택하는경우별칭이름 (SCRIPT ALIAS) 이필요하며이는중요도이벤트가발생하는경우실행해야하는실제스크립트 (SCRIPT NAME) 를가리킵니다. 스크립트는두개의환경변수인 ALERT_EVENT 및 ALERT_REASON 으로전달됩니다. ALERT_EVENT 에는콜론으로구분된메트릭목록이들어있습니다. DEM 은샘플배시스크립트 /home/auditprobe/conf/sample/process_alerts.bash 를제공하여스크립트에서중요도액션을캡처할수있는방법을나타냅니다. 액션및수행시다음에유의합니다. 액션은우선순위의순서에따라나열됩니다. 경보액션으로지정하지않으면이벤트가 SNMP 트랩또는페이지보내기와같은액션을수행하지않습니다. 규칙이둘이상의경보수준에해당되는경우가장높은경보수준만실행가능합니다. 이벤트는액션에관계없이이벤트파일에작성됩니다. 유일한예외는 [ 삭제 ] 입니다. 134 페이지의 DEM 액션추가 135 페이지의 DEM 사용자지정액션편집 135 페이지의 DEM 액션의설정 DEM 액션추가 액션을 DEM 액션관리에추가하면 [ 정책편집기 ] 의 DEM 규칙에대한사용가능한액션목록에표시됩니다. 그러면규칙의액션으로선택할수있습니다. 134 McAfee Enterprise Security Manager 제품안내서

135 ESM 구성장치구성 3 1 시스템탐색트리에서 [ 정책편집기 ] 아이콘을클릭한다음 [ 도구 ] [DEM 액션관리자 ] 를클릭합니다. [DEM 액션관리 ] 페이지에우선순위의순서로기존액션이나열됩니다. 기본액션의우선순위순서를변경할수없습니다. 2 [ 추가 ] 를클릭한다음이액션의이름및설명을입력합니다. 사용자지정액션을추가하면삭제할수없습니다. 3 [ 확인 ] 을클릭합니다. 새액션이 [DEM 액션관리 ] 목록에추가됩니다. 사용자지정액션의기본은 [ 없음 ] 입니다. 이를변경하려면 "DEM 액션의설정 " 을참조하십시오. 표 3-79 [ 액션이름 ] 이액션의이름을입력합니다. [ 설명 ] ( 선택사항 ) 이액션의설명을입력합니다. 134 페이지의 DEM 이벤트의액션 135 페이지의 DEM 사용자지정액션편집 135 페이지의 DEM 액션의설정 DEM 사용자지정액션편집 액션을 DEM 액션관리목록에추가하면해당이름을편집하거나우선순위를변경해야할수있습니다. 1 시스템탐색트리에서 [ 정책편집기 ] 아이콘을클릭한다음 [ 도구 ] [DEM 액션관리자 ] 를클릭합니다. 2 변경해야하는사용자지정액션을클릭하고다음중하나를수행합니다. 우선순위순서를변경하려면올바른위치까지위로화살표또는아래로화살표를클릭합니다. 이름또는설명을변경하려면 [ 편집 ] 을클릭합니다. 3 [ 확인 ] 을클릭하여설정을저장합니다. 134 페이지의 DEM 이벤트의액션 134 페이지의 DEM 액션추가 135 페이지의 DEM 액션의설정 DEM 액션의설정 모든규칙액션에는기본이있습니다. 사용자지정 DEM 액션을추가하는경우기본은 [ 없음 ] 입니다. 액션을 [ 무시 ], [ 삭제 ], [ 스크립트 ] 또는 [ 재설정 ] 으로변경할수있습니다. McAfee Enterprise Security Manager 제품안내서 135

136 3 ESM 구성장치구성 1 시스템탐색트리에서 [DEM 속성 ] 을선택한다음 [ 액션관리 ] 를클릭합니다. 2 편집하려는액션을강조표시한다음 [ 편집 ] 을클릭합니다. 3 을선택한다음 [ 확인 ] 을클릭합니다. 표 3-80 [ ] 규칙이이벤트를트리거하는경우이액션이수행할을선택합니다. 은다음과같습니다. [ 없음 ] 아무도수행하지않습니다. [ 무시 ] 데이터베이스에이벤트를보관하지만사용자인터페이스에는표시하지않습니다. [ 삭제 ] 데이터베이스에이벤트를보관하지않거나사용자인터페이스에표시하지않습니다. [ 스크립트 ] 하는스크립트를실행합니다. [ 재설정 ] TCP RST 패킷을클라이언트및서버에보내데이터베이스연결을해제하려고시도합니다. [ 스크립트이름 ] [ 스크립트 ] 를으로선택한경우스크립트이름을설정합니다. 드롭다운목록에스크립트가없는경우 [ 스크립트파일관리 ] 페이지에서 [ 스크립트이름 ] 을클릭하고스크립트를선택합니다. 표 3-81 [ 추가 ] 새액션을추가하려면클릭합니다. 추가되면사용자지정액션을삭제할수없습니다. [ 편집 ] 선택한사용자지정액션의이름또는설명을변경합니다. [ 위로이동 ] 및 [ 아래로이동 ] 화살표사용자지정액션의순서를변경합니다. 기본액션의우선순위순서를변경할수없습니다. 134 페이지의 DEM 이벤트의액션 134 페이지의 DEM 액션추가 135 페이지의 DEM 사용자지정액션편집 136 McAfee Enterprise Security Manager 제품안내서

137 ESM 구성장치구성 3 중요한데이터마스크 중요한정보를마스크라는일반문자열로바꾸면중요한데이터마스크가중요한데이터의무단보기를방지합니다. DEM 장치를시스템에추가하는경우세개의중요한표준데이터마스크가 ESM 데이터베이스에추가되지만새데이터마스크를추가하고기존데이터마스크를편집또는제거할수있습니다. 표준마스크는다음과같습니다. 중요한마스크이름 : 신용카드번호마스크 표현식 : ((4\d{3}) (5[1-5]\d{2}) (6011))-?\d{4}-?\d{4}-?\d{4} 3[4,7]\d{13} 하위문자열인덱스 : \0 마스크패턴 : ####-####-####-#### 중요한마스크이름 : SSN 의마스크처음 5 자 표현식 : (\d\d\d-\d\d)-\d\d\d\d 하위문자열인덱스 : \1 마스크패턴 : ###-## 중요한마스크이름 : SQL Stmt 의마스크사용자암호 표현식 : create\s+user\s+(\w+)\s+identified\s+by\s+(\w+) 하위문자열인덱스 : \2 마스크패턴 : ******** 137 페이지의중요한데이터마스크관리 중요한데이터마스크관리 시스템에입력한중요한정보를보호하려면중요한데이터마스크를추가하고기존데이터마스크를편집하거나제거할수있습니다. 1 시스템탐색트리에서 [DEM 속성 ] 을선택한다음 [ 중요한데이터마스크 ] 를클릭합니다. 2 을선택한다음요청한정보를입력합니다. 3 [ 확인 ] 을클릭한다음 [ 쓰기 ] 를클릭하여 DEM 에설정을추가합니다. 표 3-82 [ 중요한마스크이름 ] 중요한데이터마스크의이름을입력합니다. [ 표현식 ] PCRE(Perl-Compatible Regular Expression) 구문을준수하는정규표현식을입력합니다 ( 예는 " 중요한데이터마스크 " 참조 ). [ 하위문자열인덱스 ] 을선택합니다. 표현식에사용되는괄호 () 숫자에따라이추가됩니다. 한세트의괄호가있는경우은 0 과 1 입니다. 0 을선택하면전체문자열이마스크로바뀝니다. 1 을선택하면문자열만마스크로바뀝니다. [ 마스크패턴 ] 원래값대신나타나야하는마스크패턴을입력합니다. McAfee Enterprise Security Manager 제품안내서 137

138 3 ESM 구성장치구성 137 페이지의중요한데이터마스크 사용자 ID 관리 많은보안이사용자가식별되고서로구별되어야한다는단순한원칙을기반으로하지만아직도데이터베이스에액세스하기위해일반사용자이름이종종사용됩니다. 식별자관리는정규식패턴을사용하여실제사용자이름이쿼리어딘가에존재하는경우해당이름을캡처하는방법을제공합니다. 이보안기능을이용하여응용프로그램을아주쉽게계측할수있습니다. DEM 장치를시스템에추가하면두개의된식별자규칙이 ESM 데이터베이스에추가됩니다. 식별자규칙이름 : SQL Stmt 에서사용자이름가져오기 표현식 : select s+username=(\w+) 응용프로그램 : Oracle 하위문자열인덱스 : \1 식별자규칙이름 : 저장프로시저에서사용자이름가져오기 표현식 : 응용프로그램 : MSSQL 하위문자열인덱스 : \2 DEM, 응용프로그램, 웹서버, 시스템, ESM 의액세스관리로그와 ID 를상관시킴으로써고급사용자상관이가능해집니다. 138 페이지의사용자식별자규칙추가 사용자식별자규칙추가 데이터베이스쿼리를개인과연결하려면기존사용자식별자규칙을사용하거나규칙을추가할수있습니다. 138 McAfee Enterprise Security Manager 제품안내서

139 ESM 구성장치구성 3 1 시스템탐색트리에서 [DEM 속성 ] 을선택한다음 [ 식별자관리 ] 를클릭합니다. 2 [ 추가 ] 를클릭한다음요청한정보를입력합니다. 3 [ 확인 ] 을클릭한다음 [ 쓰기 ] 를클릭하여 DEM 에설정을씁니다. 표 3-83 [ 식별자규칙이름 ] 이식별자규칙의이름을입력합니다. [ 표현식 ] PCRE 구문을준수하는정규식표현식을입력합니다 ( 예는 " 사용자 ID 관리 " 참조 ). 정규식연산자는 Perl 5 와동일한의미를사용하는패턴일치를위해 PCRE 라이브러리를구현합니다. 일반구문 : <" 메트릭이름 "> 정규식 <" 패턴 ">. PCRE 에대한자세한내용은 를참조하십시오. [ 응용프로그램 ] 정보를관찰할응용프로그램 ( 데이터베이스유형 ) 을선택합니다. [ 하위문자열인덱스 ] 하위문자열을선택합니다. 표현식에사용되는괄호 () 숫자에따라이추가됩니다. 한세트의괄호가있는경우은 \0 과 \1 입니다. 138 페이지의사용자 ID 관리 데이터베이스서버정보 데이터베이스서버는데이터베이스을모니터링합니다. 데이터베이스서버에표시된이악의적인데이터액세스를나타내는알려진패턴과일치하는경우경보가생성됩니다. 각 DEM 은최대 255 개의데이터베이스서버를모니터링할수있습니다. DEM 은현재다음데이터베이스서버및버전을지원합니다. OS 데이터베이스 DEM 어플라이언스 Windows( 모든버전 ) Microsoft SQL Server¹ MSSQL 7, 2000, 2005, 2008, 2012 Windows UNIX/Linux( 모든버전 ) Oracle² Oracle 8.x, 9.x, 10g, 11g³, 11g R2 Sybase 11.x, 12.x, 15.x DB2 8.x, 9.x, 10.x Informix( 참고 4 참조 ) 11.5 MySQL 예, 4.x, 5.x, 6.x PostgreSQL 7.4.x, 8.4.x, 9.0.x, 9.1.x Teradata 12.x, 13.x, 14.x InterSystem Cache x UNIX/Linux( 모든버전 ) Greenplum Vertica Mainframe DB2/zOS 모든버전 McAfee Enterprise Security Manager 제품안내서 139

140 3 ESM 구성장치구성 OS 데이터베이스 DEM 어플라이언스 AS 400 DB2 모든버전 1 Microsoft SQL Server 에대한패킷암호해독지원은버전 이상에서사용가능합니다. 2 Oracle 에대한패킷암호해독지원은버전 이상에서사용가능합니다. 3 Oracle 11g 는버전 이상에서사용가능합니다. 4 Informix 지원은버전 이상에서사용가능합니다. OS 및데이터베이스플랫폼의 32 비트와 64 비트버전이지원됩니다. MySQL 은 Windows 32 비트플랫폼에서만지원됩니다. 패킷암호해독이 MSSQL 및 Oracle 에대해지원됩니다. 140 페이지의데이터베이스서버관리 142 페이지의데이터베이스탐색통보관리 데이터베이스서버관리 [ 데이터베이스서버 ] 페이지는 DEM 장치의모든데이터베이스서버에대한설정을관리하기위한시작지점입니다. 1 시스템탐색트리에서 [DEM 속성 ] 을선택한다음 [ 데이터베이스서버 ] 를클릭합니다. 2 사용가능한중하나를선택합니다. 3 [ 확인 ] 을클릭합니다. 표 3-84 테이블 DEM 에서데이터베이스서버목록을봅니다. [ 추가 ] 새데이터베이스서버를추가합니다. [ 에이전트추가 ] McAfee DEM 에이전트는더이상판매되지않습니다. 9.2 이전버전에서 DEM 에이전트라이센스를구입하여지원이필요한경우 McAfee 지원에문의하십시오. [ 편집 ] 선택한데이터베이스서버를변경합니다. [ 제거 ] 선택한데이터베이스서버를삭제합니다. [ 복사 ] 선택한데이터베이스서버사본을만듭니다. [ 쓰기 ] 데이터베이스서버의설정을 DEM 에적용합니다. [ 활성화 ] 새데이터베이스서버가검색되는경우경보통보를받으려면클릭합니다. [ 비활성화 ] 통보를비활성화하려면클릭합니다. 표 3-85 [ 활성화됨 ] DEM 에서이데이터베이스서버의데이터를처리하도록할지를선택합니다. 비활성화된경우나중에사용하도록구성설정이 ESM 에저장됩니다. [ 저장소풀 ] 수신한데이터를 ELM 장치로보내려면저장소풀을클릭하여선택합니다. 140 McAfee Enterprise Security Manager 제품안내서

141 ESM 구성장치구성 3 표 3-85 ( 계속 ) [ 영역 ] 시스템에된영역이있는경우이데이터베이스서버를할당할영역을선택합니다. 시스템에영역을추가하려면 [ 영역 ] 을클릭합니다. [ 데이터베이스유형 ] 데이터베이스의유형을선택합니다. 나머지필드는이필드에서선택한항목에따라달라집니다. DEM 은 PI 시스템에연결하기위해 PI JDBC 드라이버를구현합니다. PI SQL DAS(Data Access Server) 는 PI JDBC 드라이버와 PI OLEDB 사이의게이트웨이역할을합니다. 또한 PI JDBC 에보안네트워크통신 (https) 을제공하며 PI OLEDB 소비자 ( 클라이언트 ) 로쿼리를실행합니다. [ 데이터베이스서버이름 ] 이데이터베이스서버의이름을입력합니다. [ 데이터베이스유형 ] 필드에서 PIServer 를선택한경우이필드는 [DAS 데이터소스이름 ] 이되며, DAS(Data Access Server) 게이트웨이에서액세스하는 PI 서버의이름입니다. 이필드는 DAS 구성에서지정한것과정확하게일치해야합니다. DAS 서버가 PI 서버와동일한호스트에설치된경우 DAS 호스트이름과동일할수있습니다. [ 장치 URL] 사용가능한주소가있을경우데이터베이스서버정보를볼수있는 URL 주소를입력합니다. [IP 주소 ] 입력한 URL 주소에타사응용프로그램의주소가포함된경우변수아이콘 URL 주소에변수를추가합니다. 을클릭하여 이데이터베이스서버또는 DAS 의단일 IP 주소를 IP 주소필드에입력합니다. 이필드는 IPv4 점표기법의단일 IP 주소를허용합니다. 마스크는이러한 IP 주소에사용할수없습니다. [ 우선순위그룹 ] 데이터베이스서버를우선순위그룹에할당합니다. 따라서 DEM 에서처리한데이터의부하를조정할수있습니다. [ 데이터베이스서버 ] 테이블에서데이터베이스서버목록및해당데이터베이스서버가속한우선순위그룹을볼수있습니다. [ 가상 LAN ID] 필요한경우가상 LAN ID 를입력합니다. "0" 값을입력하면모든 VLAN 을나타냅니다. [ 인코딩 ] 사용가능한없음, UTF8 및 BIG5 중하나를선택합니다. [ 특수선택 ] 다음중하나를선택합니다 ( 사용가능한은선택한데이터베이스유형에따라달라짐 ). Windows 플랫폼에서실행되는 Oracle 서버를모니터링하는경우 [ 포트리디렉션 ] 을지정해야합니다. 데이터베이스서버에서명명된파이프 SMB 프로토콜을사용하는경우 [ 서버에서명명된파이프사용 ] 을선택해야합니다. MSSQL 의기본파이프이름은.\pipe\sql\query 이고기본포트는 445 입니다. 데이터베이스서버에서 TCP 동적포트를활성화한경우 [ 동적포트 ] 를선택해야합니다. 데이터베이스서버또는 DAS 의포트번호를 [ 포트 ] 필드에입력합니다. 포트는연결을수신하고있는데이터베이스서버의서비스포트입니다. 공통기본포트번호는 MSSQL(Microsoft SQL Server) 의경우 1433, Oracle 의경우 1521, MySQL 의경우 3306, DAS(Data Access Server) 의경우 5461, DB2/UDB 의경우 입니다. [Kerberos 인증 ] SQL Server 에서 Kerberos 인증을수행하도록하려면선택합니다. [RSA 암호화유형 ] [RSA 암호화수준 ] [RSA 키 ] [ 없음 ] 또는 [RSA] 를선택합니다. 강제암호화에서선택한사항에따라적절한을선택합니다. [ 강제암호화 ] 가아니오인경우 [ 로그인패킷암호해독 ], [ 강제암호화 ] 가예인경우 [ 모든패킷암호해독 ] 을선택합니다. [ 찾아보기 ] 를클릭하고 [RSA 키 ] 파일을선택하거나파일의키를복사하여 [RSA 키 ] 필드에붙여넣습니다. ESM 콘솔은암호가없는.pem 파일형식의 RSA 인증서만허용합니다. [ 사용자이름 ] PI DAS 로그인의사용자이름을입력합니다. PI DAS 는 Windows 에설치되므로 Windows 통합보안을사용합니다. 사용자이름을도메인 로그인으로지정해야합니다. McAfee Enterprise Security Manager 제품안내서 141

142 3 ESM 구성장치구성 표 3-85 ( 계속 ) [ 암호 ] DAS 사용자이름의암호를입력합니다. [ 보관로그검색 ] PI 서버보관에서모든지점의변경사항을폴링하도록하려면선택합니다. [ 모니터링할지점 ] 쉼표로구분된지점목록을입력하여해당지점만모니터링합니다. 139 페이지의데이터베이스서버정보 142 페이지의데이터베이스탐색통보관리 데이터베이스탐색통보관리 DEM 에는모니터링되지않는데이터베이스서버예외목록을제공하는데이터베이스탐색기능이있습니다. 이를통해보안관리자는환경에추가된새데이터베이스서버와데이터베이스의데이터에액세스하기위해연잘못된수신기포트를탐색할수있습니다. 이이활성화되면 [ 이벤트분석 ] 보기에표시되는경보통보를받게됩니다. 그러면시스템에서모니터링되는데이터베이스서버에해당서버를추가할지여부를선택할수있습니다. 1 시스템탐색트리에서 [DEM 속성 ] 을선택한다음 [ 데이터베이스서버 ] [ 활성화 ] 를클릭합니다. 활성화되면알려줍니다. 2 [DEM 속성 ] 을닫으려면 [ 확인 ] 을클릭합니다. 3 통보를보려면시스템탐색트리에서 DEM 장치를클릭한다음 [ 이벤트보기 ] [ 이벤트분석 ] 을클릭합니다. 4 시스템에서버를추가하려면 [ 이벤트분석 ] 보기를선택한다음 [ 메뉴 ] 아이콘을클릭하고 [ 서버추가 ] 를선택합니 다. 139 페이지의데이터베이스서버정보 140 페이지의데이터베이스서버관리 배포된 ESM(DESM) 설정 배포된 ESM(DESM) 은배포된아키텍처를제공하며이를통해상위 ESM 에서최대 100 개의장치에연결하고해당장치에서데이터를수집할수있습니다. 또한장치 ESM 에서생성되어유지되는데이터로원활하게드릴다운할수있습니다. 관리자권한으로 DESM 에로그온하면 이 ESM 이다른서버의분산 ESM 으로추가되었습니다. 연결하기위해승인대기중입니다 라는통보가팝업됩니다. [ 계층적 ESM 승인 ] 을클릭하면상위 ESM 이 DESM 에서사용할수있는통신유형을선택할수있습니다. 하위의 IP 주소를변경한후분산 ESM 에키를지정하는경우 ESM 에다시연결되도록해당포트 443 이열려있어야합니다. 상위 ESM 상위는한필터에따라장치에서데이터를꺼냅니다. 상위 ESM 이이벤트를꺼낼수있으려면 DESM 이이를승인해야합니다. 상위에서필터를설정하고데이터소스를동기화하고사용자지정유형을푸시할수있습니다. 승인될때까지 DESM 에서규칙또는이벤트를가져올수없습니다. 142 McAfee Enterprise Security Manager 제품안내서

143 ESM 구성장치구성 3 상위 ESM 은장치 ESM 에속한장치를관리하지않습니다. 상위 ESM 이직접연결된장치 ESM 의시스템트리를표시하지만장치의하위 ESM 을표시하거나여기에서이벤트를꺼내지않습니다. 모든 DESM 하위에대한도구모음이비활성화됩니다. 상위는장치 ESM 에있는데이터를관리하지않습니다. 대신하는필터에따라 ESM 데이터의장치하위세트가전송되고상위 ESM 에저장됩니다. DESM 필터추가 장치 ESM 에서상위 DESM 으로전송된데이터는사용자필터에따라다릅니다. 이러한필터가저장되면장치 ESM 에서필터를적용하는것과마찬가지이므로적절한해시또는비트세트가생성될수있습니다. DESM 기능의목적은장치 ESM 에서특정데이터 ( 모든데이터는아님 ) 를수집할수있도록허용하는것이므로장치 ESM 에서검색할데이터에필터를설정해야합니다. 1 시스템탐색트리에서 [DESM 속성 ] 을선택한다음 [ 필터 ] 를클릭합니다. 2 요청된데이터를입력한다음 [ 확인 ] 을클릭합니다. epolicy Orchestrator 설정 epolicy Orchestrator 장치를 ESM 에추가할수있으며이장치의응용프로그램이시스템탐색트리의하위로나열됩니다. 인증되면 ESM 의기능에액세스하고 epolicy Orchestrator 태그를경보에서생성한이벤트및소스또는대상 IP 주소에직접할당할수있습니다. epolicy Orchestrator 는이벤트를 epolicy Orchestrator 가아닌수신기에서가져오기때문에수신기와연결되어야합니다. epolicy Orchestrator 를사용하려면마스터데이터베이스및 epolicy Orchestrator 데이터베이스에대한읽기권한이있어야합니다. McAfee epo 장치에 McAfee Threat Intelligence Exchange (TIE) 서버가있는경우 McAfee epo 장치를 ESM 에추가할때이서버가자동으로추가됩니다 ("Threat Intelligence Exchange 통합 " 참조 ). epolicy Orchestrator 실행 ESM 에 epolicy Orchestrator 장치또는데이터소스가있고 epolicy Orchestrator IP 주소가로컬네트워크에있는경우 ESM 에서 epolicy Orchestrator 인터페이스를실행할수있습니다. 시작하기전에 epolicy Orchestrator 장치또는데이터소스를 ESM 에추가합니다. 이기능은 epolicy Orchestrator 4.6 이상에서사용가능합니다. 1 시스템탐색트리에서보기를선택합니다. 2 소스 IP 또는대상 IP 데이터를반환하는막대, 목록, 원형, 그래프또는테이블구성요소에서결과를선택합니다. McAfee Enterprise Security Manager 제품안내서 143

144 3 ESM 구성장치구성 3 구성요소의메뉴에서 [ 액션 ] [epo 실행 ] 을클릭합니다. 시스템에 epolicy Orchestrator 장치또는데이터소스가한개만있고 1 단계에서소스 IP 또는대상 IP 를선택한경우 epolicy Orchestrator 가실행됩니다. 시스템에두개이상의 epolicy Orchestrator 장치또는데이터소스가있는경우액세스하려는장치를선택하면 epolicy Orchestrator 가실행됩니다. 1 단계의테이블구성요소에서이벤트또는플로를선택한경우소스 IP 또는대상 IP 주소에액세스할지여부를선택하면 epolicy Orchestrator 가실행됩니다. McAfee epo 장치인증 McAfee epo 태그지정또는액션이나 McAfee Real Time for McAfee epo 를사용하려면인증이필요합니다. 다음두가지유형의인증이있습니다. 단일글로벌계정 McAfee epo 장치에대한액세스권한이있는그룹에속한경우글로벌자격증명을입력한다음이러한기능을사용할수있습니다. 사용자당각장치에대한별도의계정 장치트리에서장치를보려면권한이필요합니다. 액션, 태그또는 McAfee Real Time for McAfee epo 를사용하는경우선택한인증방법을사용합니다. 자격증명이없거나유효하지않은경우유효한자격증명을입력하라는메시지가표시되며장치와나중에통신하기위해자격증명을저장해야합니다. McAfee Real Time for McAfee epo 를통해보고서, 데이터강화및동적관심목록을백그라운드에서실행할때에는원래제공된 McAfee epo 자격증명을사용합니다. 별도의계정인증설정 기본설정은글로벌계정인증입니다. 개별계정인증을설정하려면다음두가지를수행해야합니다. 1 McAfee epo 장치를 ESM 에추가하거나연결설정을지정할때 [ 사용자인증필요 ] 가선택되어있어야합니다 ("ESM 콘솔에장치추가 " 또는 "ESM 과의연결변경 " 참조 ). 2 [ ] 페이지에자격증명을입력합니다 ("McAfee epo 인증자격증명추가 " 참조 ). McAfee epo 인증자격증명추가 McAfee epo 태그지정또는액션, McAfee Real Time for McAfee epo 를사용하기전에인증자격증명을 ESM 에추가해야합니다. 시작하기전에 ESM 에 McAfee epo 장치를설치합니다 ("ESM 콘솔에장치추가 " 참조 ). 장치에사용자이름및암호가없는경우시스템관리자에게문의하십시오. 1 ESM 콘솔의시스템탐색막대에서 [ ] 을클릭한다음 [epo 자격증명 ] 을클릭합니다. 2 장치를클릭한다음 [ 편집 ] 을클릭합니다. 3 사용자이름및암호를입력한다음 [ 테스트연결 ] 을클릭합니다. 4 [ 확인 ] 을클릭합니다. 144 McAfee Enterprise Security Manager 제품안내서

145 ESM 구성장치구성 3 epolicy Orchestrator 태그를 IP 주소에할당 [epo 태그지정 ] 탭에사용가능한태그가나열됩니다. 경보로생성된이벤트에태그를할당하고경보에 epolicy Orchestrator 태그가있는지볼수있습니다. 또한이페이지에서한개이상의태그를선택하여 IP 주소에적용할수도있습니다. 태그지정기능에액세스하려면 epolicy Orchestrator 에서 [ 태그적용, 제외및지우기 ] 및 [ 에이전트웨이크업, 에이전트로그보기 ] 권한이있어야합니다. 1 시스템탐색트리에서 [epo 속성 ] 을선택한다음 [ 태그지정 ] 을클릭합니다. 2 요청한정보를완료한다음 [ 할당 ] 을클릭합니다. 선택한태그가 IP 주소에적용됩니다. 표 3-86 태그지정테이블장치에서사용가능한태그를나열합니다. [ 할당할 IP 주소...] 호스트이름또는 IP 주소 ( 쉼표로구분된목록지원 ) 를입력한다음 [ 태그 ] 목록에서하나이상의태그를선택합니다. 태그지정기능에액세스하려면 [ 태그적용, 제외및지우기 ] 및 [ 에이전트웨이크업 ; 에이전트로그보기 ] 권한이있어야합니다. [ 클라이언트웨이크업 ] 즉시태그를적용하기위해응용프로그램을웨이크업하려면선택합니다. [ 할당 ] 선택한태그를 IP 주소에적용하려면클릭합니다. McAfee Risk Advisor 데이터취득 McAfee Risk Advisor 데이터를취득할여러 epolicy Orchestrator 서버를지정할수있습니다. epolicy Orchestrator SQL Server 데이터베이스의데이터베이스쿼리를통해데이터를취득합니다. IP 및평판점수목록의데이터베이스쿼리결과와낮은평판및높은평판값의상수값이제공됩니다. 모든 epolicy Orchestrator 및 McAfee Risk Advisor 목록이병합되고중복 IP 가가장높은점수가됩니다. 병합된이목록은낮은값및높은값과함께 SrcIP 및 DstIP 필드의점수화에사용하기위한 ACE 장치로전송됩니다. epolicy Orchestrator 를추가하는경우 McAfee Risk Advisor 데이터를구성할지묻습니다. [ 예 ] 를클릭하는경우데이터강화소스및두개의 ACE 점수규칙 ( 해당되는경우 ) 을만들어롤아웃합니다. 이들을보려면 [ 데이터강화 ] 및 [ 위험상관점수 ] 페이지로이동합니다. 점수규칙을사용하려는경우위험상관관리자를만들어야합니다. McAfee Risk Advisor 데이터취득활성화 McAfee Risk Advisor 에서 epolicy Orchestrator 데이터취득을활성화하면점수목록이생성되고 SrcIP 및 DstIP 필드를점수화하기위해사용되는 ACE 장치에전송됩니다. 1 시스템탐색트리에서 [epo 속성 ] [ 장치관리 ] 를선택한다음 [ 활성화 ] 를클릭합니다. 취득이활성화되면알려줍니다. McAfee Enterprise Security Manager 제품안내서 145

146 3 ESM 구성장치구성 2 [ 확인 ] 을클릭합니다. 표 3-87 [ ELM 로깅관리 ] 선택한장치의기본로깅풀을구성합니다 (" 기본로깅풀설정 " 참조 ). 이은 ESM 에 ELM 이있는경우에만사용할수있습니다. [ 영역 ] McAfee epo 를영역에할당하거나현재설정을변경합니다 (" 영역관리 " 참조 ). [ 수동장치새로고침 ] [ 마지막새로고침시간 ] McAfee epo 장치의응용프로그램목록을새로고치고각응용프로그램에대해클라이언트데이터소스를작성합니다. 응용프로그램을마지막으로새로고친시간을표시합니다. [MRA 활성화 ] McAfee Risk Advisor 데이터취득을활성화합니다 (" McAfee Risk Advisor 데이터취득 " 참조 ). [ 우선순위 ] 동일한자산또는위협을받는둘이상의 McAfee epo 장치, 자산소스또는취약성평가장치설정이있을수있습니다. 그런경우 McAfee epo 장치에서정보를받을때이장치의정보가따라야하는우선순위를선택합니다. 예를들어 epo-1 및 VA-1 에서시스템이모니터링되고있습니다. epo-1 은시스템에서소프트웨어및하드웨어정보를수집하고 VA-1 은시스템에 Windows 를설치했다는사실을수집합니다. epo-1 이 VA-1 보다더높은우선순위를갖도록설정하면 VA-1 이수집하는정보가 epo-1 이수집하는정보를덮어쓸수없습니다. [ 응용프로그램새로고침예약 ] epolicy Orchestrator 장치에서응용프로그램목록을자동으로새로고치려면드롭다운목록에서빈도를선택합니다. McAfee Real Time for McAfee epo 액션수행 보기에 IP 주소를표시하는구성요소및 ESM 의질문에대한결과에서 McAfee Real Time for McAfee epo 액션을실행합니다. 시작하기전에 McAfee Real Time for McAfee epo 질문을설계하고실행합니다 ("McAfee Real Time for McAfee epo 대시보드에대해 McAfee epo 쿼리 " 참조 ). 1 ESM 콘솔에서 McAfee Real Time for McAfee epo 질문의결과를표시하는보기구성요소의메뉴아이콘을클릭합니다. 2 [ 액션 ] 을강조표시한다음 [Real Time for epo 액션 ] 을클릭합니다. 3 [ 장치 ] 탭에서액션을수행할 McAfee epo 장치를선택합니다. 4 [ 액션 ] 탭에서, 선택한장치에사용할수있는액션목록에서액션을클릭합니다. 5 [ 필터 ] 탭에서질문에적용할필터세트를지정한다음 [ 마침 ] 을클릭합니다. 필터는 McAfee epo 대시보드또는구성요소에서사용할수없습니다. Threat Intelligence Exchange 통합 Threat Intelligence Exchange 는이파일에연결된엔드포인트에서실행가능한프로그램의평판을확인합니다. McAfee epo 장치를 ESM 에추가하는경우 Threat Intelligence Exchange 서버가장치에연결되면시스템이자동으로탐지합니다. 그러면 ESM 이 DXL 및로깅이벤트에대한수신을시작합니다. ESM 을 DXL 에연결할때시간이지연될수있습니다. 146 McAfee Enterprise Security Manager 제품안내서

147 ESM 구성장치구성 3 Threat Intelligence Exchange 서버가탐지되면 Threat Intelligence Exchange 관심목록, 데이터보강및상관규칙이자동으로추가되고 Threat Intelligence Exchange 경보가활성화됩니다. 변경사항요약에대한링크가포함된시각적통보를받습니다. 장치가 Threat Intelligence Exchange 에추가된후 McAfee epo 서버가 ESM 서버에추가되는경우에도알려줍니다. Threat Intelligence Exchange 이벤트가생성되면해당실행기록을보고 ("Threat Intelligence Exchange 실행기록보기및액션설정 " 참조 ) 악의적인데이터에대해수행하려는액션을선택합니다. 상관규칙 6 개의상관규칙이 Threat Intelligence Exchange 데이터에대해최적화됩니다. 이러한규칙은사용자가검색하고정렬할수있는이벤트를생성합니다. TIE GTI 평판이클린에서더티로변경됨 TIE 여러악의적인파일이단일호스트에서발견됨 TIE 악의적인파일 (SHA-1) 이점점더많은호스트에서발견됨 TIE 악의적인파일이름이점점더많은호스트에서발견됨 TIE TIE 평판이클린에서더티로변경됨 TIE 악의적인파일의증가가모든호스트에서발견됨 경보 ESM 에는중요한 Threat Intelligence Exchange 이벤트가탐지된경우트리거될수있는두가지경보가있습니다. [TIE 잘못된파일임계값이초과됨 ] 은상관규칙 [TIE 악의적인파일 (SHA-1) 이점점더많은호스트에서발견됨 ] 에서트리거됩니다. [TIE 알수없는파일이실행됨 ] 은특정 TIE 이벤트에서트리거되고정보를 [TIE 데이터소스 IP] 관심목록에추가합니다. 관심목록 [TIE 데이터소스 IP] 관심목록은 [TIE 알수없는파일이실행됨 ] 경보를트리거한시스템목록을유지합니다. 만료날짜가없는정적관심목록입니다. Threat Intelligence Exchange 실행기록 파일을실행하려고시도한 IP 주소목록이들어있는 Threat Intelligence Exchange 이벤트에대한실행기록을볼수있습니다 ("Threat Intelligence Exchange 실행기록보기및액션설정 " 참조 ). 이페이지에서항목을선택하고다음액션을수행할수있습니다. 관심목록만들기 정보를블랙리스트에추가합니다. 정보를관심목록에추가합니다. 정보를.csv 파일에내보냅니다. 경보를만듭니다. 147 페이지의 Threat Intelligence Exchange 실행기록보기및액션설정 Threat Intelligence Exchange 실행기록보기및액션설정 Threat Intelligence Exchange 실행기록페이지에는선택한이벤트와관련된파일을실행한시스템목록이표시됩니다. 시작하기전에 ESM 에연결된 Threat Intelligence Exchange 서버가있는 epolicy Orchestrator 장치가존재해야합니다. McAfee Enterprise Security Manager 제품안내서 147

148 3 ESM 구성장치구성 1 ESM 콘솔의시스템탐색트리에서 epolicy Orchestrator 장치를클릭합니다. 2 보기드롭다운목록에서 [ 이벤트보기 ] [ 이벤트분석 ] 을선택한다음이벤트를클릭합니다. 3 메뉴아이콘을클릭한다음 [ 액션 ] [TIE 실행기록 ] 을선택합니다. 4 [TIE 실행기록 ] 페이지에서 Threat Intelligence Exchange 파일을실행한시스템을봅니다. 5 이데이터를워크플로에추가하려면 [ 액션 ] 드롭다운메뉴를클릭한다음을선택하여해당 ESM 페이지를엽니다. 6 선택한액션을설정합니다 ( 지침을보려면온라인도움말을참조하십시오 ). 146 페이지의 Threat Intelligence Exchange 통합 보고서또는보기에대해 McAfee epo 장치쿼리 McAfee Real Time for McAfee epo 와통합된경우보고서또는보기에대해여러 McAfee epo 장치를쿼리할수있습니다. 시작하기전에 쿼리할 McAfee epo 장치가 McAfee Real Time for McAfee epo 와통합되어있는지확인합니다. 1 시스템탐색트리에서시스템을클릭하고 [ 속성 ] 아이콘을클릭한다음 [ 보고서 ] 를클릭합니다. 2 [ 추가 ] 를클릭하고섹션 1-4 를입력한다음섹션 5 에 [ 추가 ] 를클릭합니다. 3 [ 보고서레이아웃 ] 편집기에서 [ 테이블 ], [ 막대도표 ] 또는 [ 원형도표 ] 구성요소를끌어놓습니다. 4 [ 쿼리마법사 ] 의드롭다운목록에서 [Real Time for McAfee EPO] 를선택한다음쿼리의요소또는질문을선택합니다. 5 [ 다음 ] 을클릭하고 [ 장치 ] 를클릭한다음쿼리할 McAfee epo 장치를선택합니다. 6 ( 선택사항 ) [ 필터 ] 를클릭하고쿼리에대한필터값을추가한다음 [ 확인 ] 을클릭합니다. 7 드롭다운목록에서 [ 사용자지정 epo 질문 ] 을선택한경우 [ 필드 ] 를클릭하고질문에포함하려는요소를선택한다음 [ 확인 ] 을클릭합니다. 8 [ 쿼리마법사 ] 를닫으려면 [ 마침 ] 을클릭하고 [ 속성 ] 창에서속성을한다음보고서를저장합니다. 데이터강화에대해 McAfee epo 장치쿼리 McAfee Real Time for McAfee epo 와통합된경우데이터강화에대해여러 McAfee epo 장치를쿼리할수있습니다. 시작하기전에 쿼리할 McAfee epo 장치가 McAfee Real Time for McAfee epo 와통합되어있는지확인합니다. 148 McAfee Enterprise Security Manager 제품안내서

149 ESM 구성장치구성 3 1 시스템탐색트리에서시스템을선택하고 [ 속성 ] 아이콘을클릭한다음 [ 데이터강화 ] 를클릭합니다. 2 [ 추가 ] 를클릭하고이름을입력한다음 [ 기본 ] 탭에서선택합니다. 3 [ 소스 ] 탭의 [ 유형 ] 필드에서 McAfee Real Time for McAfee epo 를선택한다음 [ 장치 ] 필드에서장치를선택합니다. 4 [ 쿼리 ], [ 점수 ], [ 대상 ] 탭에서나머지설정을지정한다음 [ 마침 ] 을클릭합니다. [Real Time for McAfee epo] 대시보드에대해 McAfee epo 장치쿼리 [Real Time for McAfee epo] 대시보드보기에서여러 McAfee epo 장치의쿼리를실행할수있습니다. 시작하기전에 쿼리할 McAfee epo 장치가 [Real Time for McAfee epo] 와통합되어있는지확인합니다. 1 시스템탐색트리에서쿼리할 McAfee epo 장치를클릭합니다. 2 ESM 콘솔에서보기목록을클릭한다음 McAfee Real Time for McAfee epo 를선택합니다. 3 [ 필터 ] 창에서필터를선택합니다. a [ 요소 ] 섹션에서열기필드를클릭하고쿼리에대한요소를선택합니다. b [ 필터 ] 섹션에서필터유형을선택한다음열기필드에필터를입력합니다. c 필터액션을선택한다음값을입력합니다. 4 [ 쿼리실행 ] 아이콘을클릭합니다. McAfee Vulnerability Manager 설정 McAfee Vulnerability Manager 를장치로 ESM 에추가할수있으며이를통해 ESM 에서 McAfee Vulnerability Manager 에대한검색을시작할수있습니다. 이기능은 McAfee Vulnerability Manager 장치를구입하고 ESM 에서실행하려는경우유용합니다. McAfee Vulnerability Manager 는이벤트를 McAfee Vulnerability Manager 가아닌수신기에서가져오기때문에수신기와연결되어야합니다. 149 페이지의 McAfee Vulnerability Manager 인증서및암호가져오기 150 페이지의 McAfee Vulnerability Manager 검색실행 150 페이지의 McAfee Vulnerability Manager 연결설정 McAfee Vulnerability Manager 인증서및암호가져오기 McAfee Vulnerability Manager 연결을설정하기전에 McAfee Vulnerability Manager 인증서및암호를가져와야합니다. 이은 ESM 에서수행되지않습니다. McAfee Enterprise Security Manager 제품안내서 149

150 3 ESM 구성장치구성 1 Foundstone Certificate Manager 를실행하는서버에서 Foundstone Certificate Manager.exe 를실행합니다. 2 [SSL 인증서만들기 ] 탭을클릭합니다. 3 [ 호스트주소 ] 필드에 McAfee Vulnerability Manager 의웹인터페이스를호스팅하는시스템의 IP 주소또는호스트이름을입력한다음 [ 해결 ] 을클릭합니다. 4 [ 공통이름을사용하여인증서만들기 ] 를클릭하여암호및.zip 파일을생성합니다. 5.zip 파일을업로드하고생성된암호를복사합니다. 149 페이지의 McAfee Vulnerability Manager 설정 150 페이지의 McAfee Vulnerability Manager 검색실행 150 페이지의 McAfee Vulnerability Manager 연결설정 McAfee Vulnerability Manager 검색실행 [ 검색 ] 페이지는 McAfee Vulnerability Manager 에서실행중이거나실행한모든취약성검색및해당상태를표시합니다. 이페이지를열면 API 가기본웹로그인자격증명이있는지확인합니다. 있는경우검색목록이해당자격증명을기반으로채워지고 60 초마다업데이트됩니다. 이페이지에서새검색을초기화할수도있습니다. 1 시스템탐색트리에서 [MVM 속성 ] 을선택한다음 [ 검색 ] 을클릭합니다. 2 [ 새검색 ] 을클릭한다음요청한정보를입력합니다. 3 [ 확인 ] 을클릭합니다. 검색이완료되면검색목록에추가됩니다. 149 페이지의 McAfee Vulnerability Manager 설정 149 페이지의 McAfee Vulnerability Manager 인증서및암호가져오기 150 페이지의 McAfee Vulnerability Manager 연결설정 McAfee Vulnerability Manager 연결설정 McAfee Vulnerability Manager 에서취약성평가데이터를가져오려면데이터베이스에대한 McAfee Vulnerability Manager 연결을설정하고 McAfee Vulnerability Manager 에서검색을수행하려면웹사용자인터페이스에대한연결을설정해야합니다. 시작하기전에 McAfee Vulnerability Manager 인증서및암호를가져와야합니다. 이러한설정을변경해도장치자체에는영향을미치지않습니다. 단지장치가 ESM 과통신하는방식에만영향을미칩니다. 150 McAfee Enterprise Security Manager 제품안내서

151 ESM 구성장치구성 3 1 시스템탐색트리에서 [ MVM 속성 ] 을선택한다음 [ 연결 ] 을클릭합니다. 2 요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 149 페이지의 McAfee Vulnerability Manager 설정 149 페이지의 McAfee Vulnerability Manager 인증서및암호가져오기 150 페이지의 McAfee Vulnerability Manager 검색실행 McAfee Network Security Manager 설정 McAfee Network Security Manager 를 ESM 에장치로추가하면 ESM 의기능에액세스할수있습니다. 이기능은장치를구입하고 ESM 에서액세스하려는경우유용합니다. McAfee Network Security Manager 장치를 ESM 에추가하는경우장치의센서가시스템탐색트리의장치아래에하위로나열됩니다. 장치는이벤트를 McAfee Network Security Manager 가아닌수신기에서가져오기때문에수신기와연결되어야합니다. 151 페이지의블랙리스트항목추가 152 페이지의제거된블랙리스트항목추가또는삭제 152 페이지의 NSM 장치에서계층 7 수집 블랙리스트항목추가 McAfee Network Security Manager 가센서를통해블랙리스트를적용합니다. [ 블랙리스트 ] 페이지에는선택하는센서에대해된블랙리스트항목이표시됩니다. 이페이지에서블랙리스트항목을추가, 편집및삭제할수있습니다. 블랙리스트기능을사용하려면수퍼사용자여야합니다. 1 시스템탐색트리에서 [NSM 속성 ] 을선택하고 [ 블랙리스트 ] 를클릭한다음센서를선택합니다. 2 이센서에글로벌블랙리스트항목을적용하려면 [ 글로벌블랙리스트포함 ] 을선택합니다. 글로벌블랙리스트항목이목록에추가됩니다. 중복 IP 주소가있는경우글로벌블랙리스트주소가 McAfee Network Security Manager 주소를덮어씁니다. 이을선택하면자동으로실행취소할수없습니다. 항목을수동으로삭제합니다. 3 [ 추가 ] 를클릭하고요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 기간이만료되면항목이블랙리스트에표시됩니다. 표 3-88 [IP 주소 ] 블랙리스트에추가하려는 IP 주소를입력합니다. [ 기간 ] 이주소를블랙리스트에지정하려는기간을선택합니다. [ 설명 ] 이항목의설명을입력합니다. McAfee Enterprise Security Manager 제품안내서 151

152 3 ESM 구성장치구성 151 페이지의 McAfee Network Security Manager 설정 152 페이지의제거된블랙리스트항목추가또는삭제 152 페이지의 NSM 장치에서계층 7 수집 제거된블랙리스트항목추가또는삭제 기간이만료되지않았지만 ESM 에서초기화되어 McAfee Network Security Manager (Manager) 가쿼리될때블랙리스트항목목록에반환되지않는항목은 [ 제거됨 ] 상태로플래그아이콘과함께표시됩니다. 이조건은항목이제거되었지만제거된항목이 ESM 에서초기화되지않은경우발생합니다. 이항목은블랙리스트에다시추가하거나블랙리스트에서삭제할수있습니다. 1 시스템탐색트리에서 [NSM 속성 ] 을선택한다음 [ 블랙리스트 ] 를클릭합니다. 2 블랙리스트항목목록에서제거된항목을선택한다음 [ 추가 ] 또는 [ 삭제 ] 를클릭합니다. 3 [ 적용 ] 또는 [ 확인 ] 을클릭합니다. 151 페이지의 McAfee Network Security Manager 설정 151 페이지의블랙리스트항목추가 152 페이지의 NSM 장치에서계층 7 수집 NSM 장치에서계층 7 수집 해당데이터베이스에 NSM 이벤트를기록한후 NSM 데이터베이스에계층 7 데이터를채웁니다. 이벤트의일부로시스템에들어오지않습니다. NSM 에서계층 7 정보를꺼내기위해계층 7 데이터를포함하도록이벤트를꺼내는시기를지연시킬수있습니다. 이지연은계층 7 데이터와관련된이벤트뿐만아니라모든 NSM 이벤트에적용됩니다. NSM 과관련된 3 가지다른액션을수행할때이지연을설정할수있습니다. McAfee NSM 장치를콘솔에추가 NSM 장치구성 NSM 데이터소스추가 McAfee NSM 장치추가 NSM 장치를 ESM 에추가할때 ("ESM 콘솔에장치추가 " 참조 ) [ 계층 7 수집활성화 ] 를선택하고 [ 장치추가마법사 ] 의네번째페이지에서지연을설정합니다. NSM 장치구성 NSM 장치를 ESM 콘솔에추가한후장치의연결설정을구성할수있습니다 ([ESM 과의연결변경 ] 참조 ). [ 계층 7 수집활성화 ] 를선택하고 [ 연결 ] 페이지에서지연을설정할수있습니다. NSM 데이터소스추가 NSM 데이터소스를수신기에추가하려면 (" 데이터소스추가 " 참조 ) [ 데이터소스공급업체 ] 필드에서 McAfee 를선택하고 [ 데이터소스모델 ] 필드에서 [Network Security Manager - SQL Pull(ASP)] 를선택합니다. [ 계층 7 수집활성화 ] 를선택하고 [ 데이터소스추가 ] 페이지에서지연을설정할수있습니다. 152 McAfee Enterprise Security Manager 제품안내서

153 ESM 구성보조서비스구성 페이지의 McAfee Network Security Manager 설정 151 페이지의블랙리스트항목추가 152 페이지의제거된블랙리스트항목추가또는삭제 보조서비스구성 보조서비스에는해결서버, NTP(Network Time Protocol) 서버및 DNS 서버가포함됩니다. 이러한서버가 ESM 과통신하도록구성합니다. 목차 일반시스템정보해결서버설정구성 ESM 시스템트리의자동새로고침중지메시지설정장치에서 NTP 설정글로벌블랙리스트관리페이지네트워크설정구성시스템시간동기화새인증서설치프로파일구성 SNMP 구성 일반시스템정보 [ 시스템속성 ] [ 시스템정보 ] 페이지에서시스템에대한일반정보및여러기능상태를볼수있습니다. [ 시스템로그 ] 페이지에서시스템또는장치에서발생한이벤트를볼수있습니다. 시스템에대해 McAfee 지원에문의할때이정보를참조할수있습니다. 또한이벤트또는플로집계와같은기능을설정하거나규칙업데이트또는시스템백업상태를확인할때도이정보가필요할수있습니다. [ 시스템 ], [ 고객 ID], [ 하드웨어 ] 및 [ 일련번호 ] 에서시스템및현재상태에대한정보를제공합니다. [ 데이터베이스상태 ] 는데이터베이스가다른기능 ( 예 : 데이터베이스재구성또는배경재구성 ) 을수행하는시기및해당기능상태를표시합니다. [ 정상 ] 상태는데이터베이스가정상적으로작동한다는것을의미합니다. [ 시스템시계 ] 는 [ 시스템속성 ] 이마지막으로열리거나새로고침을수행한날짜및시간을표시합니다. [ 규칙업데이트 ] 는규칙이마지막으로업데이트된시간을표시합니다. FIPS 모드에있는경우, [FIPS 자체테스트 ] 및 [ 상태 ] 는마지막으로 FIPS 자체테스트가수행된시간및해당상태를표시합니다. [ 보고서보기 ] 는 [ 장치유형개수 ] 및 [ 이벤트시간 ] 보고서를표시합니다. 표 3-89 [ 시스템 ] 장치유형, 소프트웨어버전및빌드번호, 시스템 ID 번호입니다. 이는각장치에할당된고유한숫자입니다. [ 고객 ID] McAfee 에서영구자격증명을설정한경우제공된숫자입니다. [ 하드웨어 ] 하드웨어및메모리에대한정보입니다. [ 일련번호 ] 이장치에대한제조업체의일련번호입니다. McAfee Enterprise Security Manager 제품안내서 153

154 3 ESM 구성보조서비스구성 표 3-89 ( 계속 ) [ 시스템시계 (GMT)] [ 시스템속성 ] 페이지가마지막으로열리거나새로고침을수행한날짜및시간입니다. 링크를클릭하면시스템시계및 NTP 설정을변경할수있습니다. [ 장치시계동기화 ] ESM 시간및 NTP 서버를장치와동기화합니다. [ 규칙업데이트 ] 규칙이마지막으로업데이트된시간및업데이트된방법입니다. 영구자격증명을설정하지않은경우사용권이만료되는시간입니다 (" 규칙업데이트확인 " 또는 " 규칙다운로드자격증명가져오기 " 참조 ). [ 데이터베이스상태 ] 데이터베이스의상태입니다. 데이터베이스또는배경재구성과같은기능을수행하는경우해당기능의상태를표시합니다. [ 정상 ] 상태는데이터베이스가정상적으로작동한다는것을의미합니다. [ 시스템정보새로고침 ] 페이지에서표시된데이터를새로고칩니다. [ 장치요약보고서 ] [ 장치유형개수 ] 및 [ 이벤트시간 ] 보고서를표시합니다. 이데이터를.csv 파일로내보낼수있습니다. 해결서버설정구성 해결시스템을설정한경우 ESM 과통신할수있도록해결설정을구성해야합니다. 시작하기전에해결시스템을설정합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 사용자지정설정 ] [ 해결 ] 을클릭합니다. 2 [ 해결구성 ] 페이지에서해결시스템에정보를입력한다음 [ 확인 ] 을클릭합니다. [ 이벤트분석 ] 보기에서 [ 해결로이벤트보내기 ] 를선택하면이메일이이페이지에서입력한정보로채워집니다. 표 3-90 [ 호스트 ] 해결시스템의호스트를입력합니다. [ 포트 ] 필요한경우포트번호를변경합니다. [TLS 사용 ] TLS 를암호화프로토콜로사용하려는경우선택합니다. [ 사용자이름 ] 필요한경우해결시스템의사용자이름을입력합니다. [ 암호 ] 필요한경우해결시스템의암호를입력합니다. [ 보낸사람주소 ] 해결메시지보낸사람의이메일주소를입력합니다. [ 받는사람주소 ] 해결메시지를받는사람의이메일주소를입력합니다. ESM 시스템트리의자동새로고침중지 ESM 시스템트리는 5 초마다자동으로새로고쳐집니다. 필요에따라자동새로고침을중지할수있습니다. 시작하기전에이설정을변경하려면 [ 시스템관리 ] 권한이있어야합니다. 새로고치는동안은트리에서장치를선택할수없습니다. ESM 에장치가많으면장치에대한 [ 속성 ] 페이지에액세스하는데방해가될수있습니다. 154 McAfee Enterprise Security Manager 제품안내서

155 ESM 구성보조서비스구성 3 1 시스템트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 사용자지정설정 ] 을클릭한다음 [ 시스템트리의자동새로고침 ] 을선택취소합니다. 시스템트리액션도구모음에서 [ 장치새로고침 ] 아이콘다. 을클릭하여수동으로시스템트리를새로고칠수있습니 메시지설정 경보액션을하거나보고서전달방법을설정할때메시지를전송하도록선택할수있습니다. 그러나우선 ESM 을메일서버에연결하고이메일, SMS, SNMP 또는 syslog 를통해메시지수신자를식별해야합니다. ESM 이 SNMP v1 프로토콜을사용하여경보통보를보냅니다. SNMP 는관리자와에이전트사이에서데이터를전달하기위한전송프로토콜인 UDP(User Datagram Protocol) 를사용합니다. SNMP 설정에서 ESM 과같은에이전트는트랩이라는데이터패킷을사용하여이벤트를 SNMP 서버 (NMS(Network Management Station) 라고함 ) 에전달합니다. 네트워크에있는다른에이전트는통보를수신하는방법과동일하게이벤트보고서를수신할수있습니다. SNMP 트랩패킷의크기제한으로인해 ESM 이보고서의각줄을별도의트랩으로전송합니다. 또한 Syslog 를통해 ESM 에서생성된쿼리 CSV 보고서가전송될수있습니다. Syslog 를통해 syslog 메시지마다한줄씩쿼리 CSV 보고서가전송되며쿼리결과각줄의데이터는쉼표로구분된필드에정렬됩니다. 155 페이지의메일서버연결 156 페이지의수신자관리 156 페이지의이메일수신자그룹관리 238 페이지의경보메시지템플릿만들기 239 페이지의소스이벤트를포함할상관경보설정 240 페이지의경보수신자관리 메일서버연결 경보및보고서메시지를전달할수있도록메일서버에연결하는설정을구성합니다. 시작하기전에 관리자권한이있거나사용자관리권한이있는액세스그룹에속해있는지확인합니다. 1 시스템탐색트리에서시스템을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 이메일설정 ] 을클릭하고요청한정보를입력하여메일서버에연결합니다. 설명 [ 호스트 ] 및 [ 포트 ] 메일서버의호스트및포트를입력합니다. [TLS 사용 ] TLS 암호화프로토콜을사용할지선택합니다. [ 사용자이름 ] 및 [ 암호 ] 메일서버에액세스하는데필요한사용자이름및암호를입력합니다. [ 제목 ] 메시지를생성하는 ESM 을식별하도록 ESM IP 주소같이메일서버에서보낸모든이메일메시지에일반제목을입력합니다. [ 보낸사람 ] 이름을입력합니다. [ 수신자구성 ] 수신자를추가, 편집또는제거합니다 ( 경보수신자관리 240 페이지의참조 ). McAfee Enterprise Security Manager 제품안내서 155

156 3 ESM 구성보조서비스구성 3 테스트이메일을보내서설정을확인합니다. 4 수신자를추가, 편집또는제거합니다 ( 경보수신자관리 240 페이지의참조 ). 5 [ 적용 ] 또는 [ 확인 ] 을클릭하여설정을저장합니다. 155 페이지의메시지설정 156 페이지의수신자관리 156 페이지의이메일수신자그룹관리 수신자관리 경보또는보고서메시지는여러가지형식으로전송될수있으며각각관리할수있는수신자목록이있습니다. 이메일주소를그룹화하여한번에여러수신자에게메시지를전송할수있습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 이메일설정 ] 을클릭합니다. 2 [ 수신자구성 ] 을클릭한다음추가하려는탭을선택합니다. 3 [ 추가 ] 를클릭한다음요청한정보를추가합니다. 4 [ 확인 ] 을클릭합니다. 수신자가 ESM 에추가되면 ESM 에서수신자를사용할수있는어디서나선택할수있습니다. 155 페이지의메시지설정 155 페이지의메일서버연결 156 페이지의이메일수신자그룹관리 이메일수신자그룹관리 이메일수신자를그룹화하여한번에여러수신자에게메시지를보낼수있습니다. 시작하기전에 ESM 의사용자에대해수신자및이메일주소를해야합니다 (" 사용자추가 " 참조 ). 1 시스템탐색트리에서시스템을클릭한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 이메일설정 ] 을클릭하고 [ 수신자구성 ] [ 이메일그룹 ] 을클릭합니다. 기존이메일수신자그룹및선택한그룹구성원목록이표시됩니다. 3 [ 추가 ], [ 편집 ] 또는 [ 제거 ] 를클릭하여수신자그룹목록을관리합니다. 4 요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 그룹은 [ 이메일그룹 ] 페이지의 [ 이메일수신자그룹 ] 섹션에추가됩니다. 156 McAfee Enterprise Security Manager 제품안내서

157 ESM 구성보조서비스구성 3 표 3-91 [ 이메일그룹이름 ] 그룹을설명하는이름을입력합니다. [ 이메일주소선택 ] 시스템의모든수신자목록에서이그룹에포함시킬수신자를선택합니다. 155 페이지의메시지설정 155 페이지의메일서버연결 156 페이지의수신자관리 장치에서 NTP 설정 NTP(Network Time Protocol) 서버를사용하여장치시간을 ESM 과동기화합니다. 1 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 구성 ] [NTP] 를클릭합니다. 3 요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 표 3-92 [ 시간동기화에 NTP 서버사용 ] 시스템시계를사용하지않고 NTP 서버를사용하여장치의시간을동기화하려면이을선택합니다. 테이블기본 NTP 서버및장치에추가된모든항목을봅니다. [NTP 서버열 ] 이열을클릭하여장치에추가하려는 NTP 서버의 IP 주소를추가합니다. 최대 10 개의서버를추가할수있습니다. IPS 클래스장치의 NTP 서버주소는 IP 주소여야합니다. [ 인증키 ] 및 [ 키 ID] 열 각 NTP 서버의인증키및키 ID 를입력합니다 ( 모르는경우네트워크관리자에게문의하십시오 ). [ 상태 ] 목록에서 NTP 서버의상태를보려면클릭합니다. 서버목록을변경한경우 [ 확인 ] 을클릭하여변경사항을저장하고페이지를닫고다시페이지를연다음 [ 상태 ] 를클릭합니다. 157 페이지의 NTP 서버의상태보기 ESM 에서모든 NTP 서버상태를봅니다. 157 페이지의 NTP 서버의상태보기 NTP 서버의상태보기 ESM 에서모든 NTP 서버상태를봅니다. 시작하기전에 ESM 또는장치에 NTP 서버를추가합니다 (" 시스템시간동기화 " 또는 " 장치에서 NTP 설정 " 참조 ). McAfee Enterprise Security Manager 제품안내서 157

158 3 ESM 구성보조서비스구성 1 시스템탐색트리에서다음중하나를수행합니다. [ 시스템속성 ] [ 시스템정보 ] 를선택한다음 [ 시스템시계 ] 를클릭합니다. 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭한다음 [ 구성 ] [NTP] 를선택합니다. 2 [ 상태 ] 를클릭하고 NTP 서버데이터를본다음 [ 닫기 ] 를클릭합니다. 표 3-93 [ NTP 서버 ] 열 NTP 서버의 IP 주소를나열합니다. 다음표시는주소앞에나타날수있습니다. * 현재참조중인서버 + 선택됨, 최종세트에포함됨 # 선택됨, 거리가최대값을초과 o 선택됨, PPS(Pulse Per Second) 사용됨 x 소스 false 표시기. 후보목록의끝에서선택됨 - 클러스터알고리즘에의해삭제됨 [ 연결가능 ] 열 [ 예 ] 는서버에접근할수있다는것이고 [ 아니오 ] 는접근할수없다는것을의미합니다. [ 인증 ] 열 [ 없음 ] 은자격증명이제공되지않았다는것이고, [ 잘못됨 ] 은자격증명이잘못되었으며 [ 예 ] 는올바른자격증명이제공되었음을의미합니다. [ 조건 ] 열조건은 [NTP 서버 ] 열의표시에해당합니다. [ 후보 ] 는가능한선택, [sys.peer] 는현재선택, [ 거부 ] 는접근할수없다는것을의미합니다. 모든서버에 [ 거부 ] 가표시되면 NTP 구성이다시시작되는중일수있습니다. 157 페이지의장치에서 NTP 설정 글로벌블랙리스트관리페이지 글로벌블랙리스트를지원하는네트워크장치를선택합니다. 표 3-94 표 ESM 의네트워크장치목록및각장치에서글로벌블랙리스트의활성화여부를봅니다. [ 활성화됨 ] 열글로벌블랙리스트를사용하는장치를선택합니다. 네트워크설정구성 ESM 서버게이트웨이및 DNS 서버 IP 주소추가, 프록시서버설정, SSH 설정및정적라우트추가를통해 ESM 이네트워크에연결하는방식을구성합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 네트워크설정 ] 을클릭합니다. 2 정보를입력하여네트워크에대한연결을구성합니다. 3 [ 적용 ] 또는 [ 확인 ] 을클릭합니다. 158 McAfee Enterprise Security Manager 제품안내서

159 ESM 구성보조서비스구성 3 표 3-95 탭 [ 기본 ] [ 인터페이스 1] 및 [ 인터페이스 2] [ 인터페이스 1], [ 인터페이스 2] 또는둘다를선택한다음설정을클릭합니다. 최소하나의인터페이스를항상활성화해야합니다. Firefox 버전 4 및 5 는현재인증서를확인하는동안주소에서 "[ ]" 를제거할수없기때문에 IPv6 을통해인증서를가져오려고시도할때 IPv6 주소를확인할수없습니다. 이문제를해결하려면 /etc/hosts 파일 (Linux) 또는 C: WINDOWS system32 drivers etc hosts(windows) 에 IPv6 주소의레코드를추가하고 IPv6 주소대신호스트이름을사용하여 ESM 으로이동합니다. [SSH 활성화 ] (FIPS 모드에서사용할수없음 ) SSH 연결을허용하려면이을선택합니다. SSH 를활성화하려면최소하나의인터페이스를해야합니다. ESM 및장치는 SSH 의 FIPS 사용가능버전을사용합니다. SSH 클라이언트 OpenSSH, Putty, dropbear, Cygwin ssh, WinSCP TeraTerm 은이미테스트되었으며작동하는것으로알려져있습니다. Putty 를사용하는경우버전 0.62 가호환되며 에서다운로드할수있습니다. [SSH 포트 ] 액세스가허용되는특정포트를입력합니다. [SSH 키관리 ] [SSH 키 ] 를클릭합니다. SSH 연결을활성화한경우나열된시스템이통신합니다. 통신의연결을끊으려면목록에서시스템 ID 를삭제합니다. [IPv6 설정 ] IPv6 모드를활성화하려면 [ 수동 ] 또는 [ 자동 ] 을선택합니다. 설정이 [ 해제 ] 이면 IPv6 모드가비활성화됩니다. [ 자동 ] 을선택하는경우 [ 기본 ] 및 [ 보조 IPv6] 필드가비활성화됩니다. 각호스트는수신된사용자광고의콘텐츠에서주소를확인합니다. IEEE EUI-64 표준을사용하여주소의네트워크 ID 부분을합니다. [ 수동 ] 을선택하는경우 [ 기본 ] 및 [ 보조 IPv6] 필드가활성화됩니다. 이러한필드에 IPv6 주소를추가합니다. [ 고급 ] ICMP(Internet Control Message Protocol) 메시지및 IPMI(Intelligent Platform Management Interface) 를 ESM 또는해당장치에설정합니다. [ICMP 메시지 ] ICMP 에다음중하나를선택합니다. [ 리디렉션 ] ESM 에서리디렉션메시지를무시합니다. [ 대상에연결할수없음 ] 정체이외의다른이유로대상에패킷을전달할수없는경우 ESM 에서메시지를생성합니다. [ 핑활성화 ] IPv6 멀티캐스트 / 애니캐스트주소로보낸에코요청메시지에대한응답으로 ESM 에서에코회신메시지를보냅니다. [IPMI 설정 ] IPMI NIC 가스위치에연결되어있고 IPMI 카드를통해원격으로 ESM 장치를관리해야하는경우 IPMI 설정을추가합니다. [IPMI 설정활성화 ] IPMI 명령에액세스하려면선택합니다. [VLAN], [IP 주소 ], [ 넷마스크 ], [ 게이트웨이 ] IPMI 포트에대한네트워크를구성하도록설정을입력합니다. [ 프록시 ] 네트워크에서프록시서버를사용하는경우 ESM 에대한연결을설정합니다. [IPv4] 또는 [IPv6] [IP 주소 ], [ 포트 ], [ 사용자이름 ], [ 암호 ] 장치에서 IPv6 주소를사용하는인터페이스가있는경우 IPv6 을선택할수있습니다. 그렇지않은경우 IPv4 가선택됩니다. 프록시서버에연결하기위해필요한정보를입력합니다. [ 기본인증 ] 기본인증검사를구현하려면선택합니다. McAfee Enterprise Security Manager 제품안내서 159

160 3 ESM 구성보조서비스구성 표 3-95 ( 계속 ) 탭 [ 트래픽 ] [ 정적라우트 ] 네트워크및마스크에대한최대데이터출력값을하여아웃바운드트래픽을보내는속도를제어합니다. 표설정한기존컨트롤을표시합니다. [ 네트워크 ] 열한값에따라시스템이아웃바운드트래픽을제어하는네트워크의주소를표시합니다. [ 마스크 ] 열 ( 선택사항 ) 네트워크주소의마스크를표시합니다. [ 최대처리량 ] 열각네트워크에한최대처리량을표시합니다. [ 추가 ], [ 편집 ], [ 삭제 ] 제어하려는네트워크주소를관리합니다. [ 정적라우트 ] 정적라우트를추가, 편집또는제거합니다. 정적라우트는기본게이트웨이를통해사용할수없는네트워크또는호스트에도달하는방법에대한지정된지침세트입니다. 정적라우트를추가하는경우변경사항이 ESM 에설정되고 [ 적용 ] 을클릭하면즉시적용됩니다. 변경사항이적용되면 ESM 이다시초기화되어모든현재세션이손실됩니다. 표 3-96 [ IPv4 또는 IPv6 ]( 일부프록시탭에서는사용할수없음 ) IPv6 주소를사용하는인터페이스가있는경우 IPv6 을선택할수있습니다. 그렇지않은경우 IPv4 가선택됩니다. [ IP 주소, 포트, 사용자이름, 암호 ] 프록시서버에연결하기위해필요한정보를입력합니다. [ 기본인증 ] 기본인증검사를구현하려면선택합니다. 표 3-97 네트워크탭의 [ 바이패스 NIC 구성 ] 장치에서악성인경우에도모든트래픽을통과시키도록바이패스 NIC 를설정합니다 (" 바이패스 NIC 설정 " 참조 ). IDS 모드의장치에는바이패스기능이없으므로상태가 [ 정상작동 ] 입니다. [ 플로수집 ] ( 선택사항 ) 트래픽을장치로보내고받는플로를수집하려면선택합니다. [ ELM EDS SFTP] [ELM SFTP 액세스 ] 사용자권한이있는경우장치에대해저장된 ELM 로그파일을보고다운로드할수있습니다. [ 장치관리 ] 권한이있는경우포트를변경하여 [ELM EDS SFTP] 필드에서이러한필드에액세스할수있습니다. 1, 22, 111, 161, 695, 1333, 1334, 또는 포트를사용하지마십시오. WinSCP 5.11, FileZilla, CoreFTP LE 또는 FireFTP 와같은 FTP 클라이언트중하나에서이기능을사용하는것이좋습니다. [HOME_NET ] 장치에서수집하고있는플로트래픽의방향을결정하는조직소유의 IP 주소를입력합니다. [ 인터페이스 ] 사용할인터페이스를선택하고 IPv4 또는 IPv6 유형의 IP 주소를입력합니다. IPv4 주소를입력하는경우넷마스크주소도추가합니다. IPv6 주소를입력하는경우주소에넷마스크를포함합니다. 그렇지않으면오류가표시됩니다. 여러네트워크에서장치를사용할수있도록하려면 ( 관리 1 < 기본인터페이스 > 및관리 2 < 첫번째드롭다운인터페이스 > 로만제한 ) 인터페이스를추가합니다. NIC 결합을활성화하려면첫번째필드에서 [ 관리 ] 를선택한다음동일한 IP 주소및넷마스크를기본 NIC 로입력합니다 ( 대화상자의첫번째줄 ). 160 McAfee Enterprise Security Manager 제품안내서

161 ESM 구성보조서비스구성 3 표 3-97 네트워크탭의 ( 계속 ) [IPv6 모드 ] IPv6 모드활성화여부를선택합니다. [ 해제 ]: IPv6 모드가활성화되지않습니다. IPv6 필드가비활성화됩니다. [ 자동 ]: IPv6 모드가활성화됩니다. 각호스트는수신된사용자광고의콘텐츠에서주소를확인합니다. IEEE EUI-64 표준을사용하여주소의네트워크 ID 부분을합니다. IPv6 필드가비활성화됩니다. [ 수동 ]: IPv6 모드가활성화됩니다. IPv6 필드가활성화됩니다. [SSH 포트 ] ESM 과장치간의액세스가허용되는포트를선택합니다. 표 3-98 [ DHCP ] 클라우드환경에서하고있지않은경우 DHCP 서비스를활성화하도록선택합니다. DHCP 는네트워크의 IP 주소를재설정해야하는경우유용합니다. 중복 ESM 또는 ELM 을사용하고있는경우중복장치의 IP 주소가변경되면중복성작동이중지됩니다. [ IPv4 ], [ 넷마스크 ], [IPv6] IPv4 의 IP 주소및넷마스크를입력합니다. Firefox 버전 4 및 5 는현재인증서를확인하는동안주소에서 "[ ]" 를제거할수없기때문에 IPv6 을통해인증서를가져오려고시도할때 IPv6 주소를확인할수없습니다. 이문제를해결하려면 /etc/hosts 파일 (Linux) 또는 C: WINDOWS system32 drivers etc hosts(windows) 에 IPv6 주소의레코드를추가하고 IPv6 주소대신호스트이름을사용하여 ESM 으로이동합니다. [ 게이트웨이 ] 네트워크구성에서작동하는게이트웨이를입력합니다. IPv4 주소여야합니다. [DNS 서버 1 ] 및 [2] [VLANS 및별칭구성 ] 하나이상의 DNS 서버를지정합니다. DNS 서버가없으면 ESM 은 McAfee 서버에서시그니처및소프트웨어업데이트를체크할수없습니다. 또한유효한 DNS 서버가없으면이메일및 WHOIS 와같은기능을사용할수없습니다. 이러한필드는 IPv4 및 IPv6 주소에대한 AND/OR 필드입니다. DNS 서버주소로사용하려면인터페이스 1 또는 2 에서 IPv6 주소가되어있어야합니다. [ 고급 ] 을클릭합니다. VLAN 을사용하는경우 ESM 에추가합니다. 네트워크장치에둘이상의 IP 주소가있는경우별칭을추가합니다. 표 3-99 수신기장치의통신탭 [ SNMP 포트, Syslog 포트, sflow 포트 ] 수신기에서방화벽이열리는포트를선택하면인바운드프로토콜데이터소스정보를수신할수있습니다. 포트 0 은수집이해제되었다는것입니다. 수신기에서 UDP 및 TCP syslog 수집을수행합니다. [Syslog TLS 포트 ] 수신기에서방화벽이열리는포트를선택하면인바운드 TLS 프로토콜데이터소스정보를수신할수있습니다. 기본포트는 입니다. 포트 0 은 TLS syslog 수집이해제되었다는것입니다. 데이터소스를추가할때이포트가활성화되면데이터소스에서 syslog TLS 만허용되도록지정할수있습니다. TLS 는자체서명된인증서만지원합니다. [ MEF 포트 ] 수신기에서방화벽이열리는포트를선택하면인바운드 MEF 데이터소스정보를수신할수있습니다. 기본포트는 8081 입니다. 포트 0 은 MEF 수집이해제되었다는것입니다. 동일한 IP 주소를가진모든 MEF 데이터소스는암호화되거나암호화되지않았다고표시되어야합니다. McAfee Enterprise Security Manager 제품안내서 161

162 3 ESM 구성보조서비스구성 표 3-99 수신기장치의통신탭 ( 계속 ) [ IPFIX 포트 ] 수신기에서방화벽이열리는포트를선택하면인바운드 IPFIX 프로토콜데이터소스정보를수신할수있습니다. 기본포트는 4739 입니다. 기본포트 0 은 IPFIX 수집이해제되었다는것입니다. [NetFlow 포트 ] [DHCP 주소 ] 수신기에서방화벽이열리는포트를선택하면인바운드 NetFlow 프로토콜데이터소스정보를수신할수있습니다. 이목록은쉼표로구분된여러포트를포함할수있습니다. 이필드의빈값은 NetFlow 수집이해제되었다는것입니다. DHCP IP 주소범위는이범위내의 DHCP 데이터소스에서 Event Receiver 로전송된로그수집을활성화합니다. DHCP 데이터소스는 McAfee Labs Windows Event Collector 를통해수신기에전송되고지원되는데이터형식일수있습니다. 166 페이지의 ESM 또는장치에서 IPMI 포트설정 ESM 또는해당장치에서 IPMI 를설정하려면 IPMI 포트에대해네트워크를구성합니다. 168 페이지의 ESM 에서네트워크트래픽제어설정 ESM 에대한최대데이터출력값을합니다 171 페이지의 DHCP 설정 Dynamic Host Configuration Protocol(DHCP) 은인터페이스및서비스의 IP 주소같이동적으로배포하는네트워크구성매개변수의 IP 네트워크에사용됩니다. 171 페이지의 VLAN 에서 DHCP 설정 Dynamic Host Configuration Protocol(DHCP) 은인터페이스및서비스의 IP 주소같이동적으로배포하는네트워크구성매개변수의 IP 네트워크에사용됩니다. 네트워크인터페이스관리 트래픽경로의공개및비공개인터페이스를사용하면장치와통신할수있습니다. 이는장치가 IP 주소를요구하지않기때문에네트워크에서보이지않는다는것입니다. 관리인터페이스 또는네트워크관리자가 ESM 과장치간의통신을위해 IP 주소로관리인터페이스를구성할수있습니다. 다음장치기능은관리인터페이스를사용해야합니다. 바이패스네트워크카드완전제어 NTP 시간동기화사용 장치생성 syslog SNMP 통보 장치에는최소한개의관리인터페이스가설치되며여기서장치에 IP 주소를제공합니다. IP 주소를사용하면다른대상 IP 주소또는호스트이름에통신을연결하지않고 ESM 에서장치에직접액세스할수있습니다. 관리네트워크인터페이스를공용네트워크에연결하면해당인터페이스가공용네트워크에표시되어보안이손상될수있기때문에공용네트워크에연결하지마십시오. ESM 인터페이스결합 ESM 은동일한 IP 주소를사용하는두관리인터페이스를탐지하면결합된 NIC 모드를자동으로활성화하려고시도합니다. 결합된모드가활성화되면두인터페이스가동일한 IP 주소및 MAC 주소가할당됩니다. 사용되는결합모드는모드 0( 라운드로빈 ) 으로오류허용치를제공합니다. NIC 결합을비활성화하려면하나의인터페이스 IP 주소를변경하여다른인터페이스 IP 와더이상일치하지않도록합니다. 그러면시스템이결합된 NIC 모드를자동으로비활성화합니다. 162 McAfee Enterprise Security Manager 제품안내서

163 ESM 구성보조서비스구성 페이지의네트워크인터페이스설정 164 페이지의 VLAN 및별칭추가 165 페이지의정적라우트추가 네트워크인터페이스설정 인터페이스설정에따라 ESM 에서장치에연결하는방법이결정됩니다. 각장치에대해인터페이스설정을해야합니다. 1 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 장치 [ 구성 ] 을클릭한다음 [ 인터페이스 ] 를클릭합니다. 3 요청된데이터를입력한다음 [ 적용 ] 을클릭합니다. 모든변경사항이장치에푸시되고즉시적용됩니다. 변경사항이적용되면장치가다시초기화되어모든현재세션이손실됩니다. 표 네트워크탭의 [ 바이패스 NIC 구성 ] 장치에서악성인경우에도모든트래픽을통과시키도록바이패스 NIC 를설정합니다 (" 바이패스 NIC 설정 " 참조 ). IDS 모드의장치에는바이패스기능이없으므로상태가 [ 정상작동 ] 입니다. [ 플로수집 ] ( 선택사항 ) 트래픽을장치로보내고받는플로를수집하려면선택합니다. [ ELM EDS SFTP] [ELM SFTP 액세스 ] 사용자권한이있는경우장치에대해저장된 ELM 로그파일을보고다운로드할수있습니다. [ 장치관리 ] 권한이있는경우포트를변경하여 [ELM EDS SFTP] 필드에서이러한필드에액세스할수있습니다. 1, 22, 111, 161, 695, 1333, 1334, 또는 포트를사용하지마십시오. WinSCP 5.11, FileZilla, CoreFTP LE 또는 FireFTP 와같은 FTP 클라이언트중하나에서이기능을사용하는것이좋습니다. [HOME_NET ] 장치에서수집하고있는플로트래픽의방향을결정하는조직소유의 IP 주소를입력합니다. [ 인터페이스 ] 사용할인터페이스를선택하고 IPv4 또는 IPv6 유형의 IP 주소를입력합니다. IPv4 주소를입력하는경우넷마스크주소도추가합니다. IPv6 주소를입력하는경우주소에넷마스크를포함합니다. 그렇지않으면오류가표시됩니다. 여러네트워크에서장치를사용할수있도록하려면 ( 관리 1 < 기본인터페이스 > 및관리 2 < 첫번째드롭다운인터페이스 > 로만제한 ) 인터페이스를추가합니다. NIC 결합을활성화하려면첫번째필드에서 [ 관리 ] 를선택한다음동일한 IP 주소및넷마스크를기본 NIC 로입력합니다 ( 대화상자의첫번째줄 ). [IPv6 모드 ] IPv6 모드활성화여부를선택합니다. [ 해제 ]: IPv6 모드가활성화되지않습니다. IPv6 필드가비활성화됩니다. [ 자동 ]: IPv6 모드가활성화됩니다. 각호스트는수신된사용자광고의콘텐츠에서주소를확인합니다. IEEE EUI-64 표준을사용하여주소의네트워크 ID 부분을합니다. IPv6 필드가비활성화됩니다. [ 수동 ]: IPv6 모드가활성화됩니다. IPv6 필드가활성화됩니다. [SSH 포트 ] ESM 과장치간의액세스가허용되는포트를선택합니다. McAfee Enterprise Security Manager 제품안내서 163

164 3 ESM 구성보조서비스구성 표 [][ICMP 메시지 ] [IPMI 설정 ] ICMP 에다음중하나를선택합니다. [ 리디렉션 ] 선택하면 ESM 에서리디렉션메시지를무시합니다. [ 대상에연결할수없음 ] 선택하면정체이외의다른이유로대상에패킷을전달할수없는경우 ESM 에서메시지를생성합니다. [ 핑활성화 ] 선택하면 IPv6 멀티캐스트 / 애니캐스트주소로보낸에코요청메시지에대한응답으로 ESM 에서에코회신메시지를보냅니다. IPMI NIC 가스위치에연결되어있을때 IPMI 카드를통해원격으로 ESM 장치를관리하려면 IPMI 설정을추가합니다. [IPMI 설정활성화 ] IPMI 명령에액세스하려면선택합니다. [VLAN], [IP 주소 ], [ 넷마스크 ], [ 게이트웨이 ] IPMI 포트에대한네트워크를구성하도록설정을입력합니다. 표 [ 별칭추가 ] 별칭을추가하려는 VLAN 을강조표시한다음클릭합니다. DHCP 가선택되어있으면을사용할수없습니다. [ VLAN 추가 ] VLAN 을인터페이스에추가하려면클릭합니다. [ 편집 ] 해당설정을변경하려면테이블에서별칭또는 VLAN 을강조표시한다음클릭합니다. [ 삭제 ] 삭제하려면테이블에서별칭또는 VLAN 을강조표시한다음클릭합니다. 162 페이지의네트워크인터페이스관리 164 페이지의 VLAN 및별칭추가 165 페이지의정적라우트추가 VLAN 및별칭추가 VLAN(Virtual Local Area Network) 및별칭을 ACE 또는 ELM 인터페이스에추가합니다. 두개이상의 IP 주소를가진네트워크장치가있는경우추가한 IP 주소및넷마스크쌍에별칭이할당됩니다. 1 시스템탐색트리에서장치를선택하고 [ 속성 ] 아이콘을클릭한다음장치 [ 구성 ] 을클릭합니다. 2 [ 네트워크 ] 탭의 [ 인터페이스 ] 섹션에서 [ 설정 ] 을클릭한다음 [ 고급 ] 을클릭합니다. 3 [VLAN 추가 ] 를클릭하고요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 164 McAfee Enterprise Security Manager 제품안내서

165 ESM 구성보조서비스구성 3 4 별칭을추가하려는 VLAN 을선택한다음 [ 별칭추가 ] 를클릭합니다. 5 요청한정보를입력한다음 [ 확인 ] 를클릭합니다. 표 [ VLAN ] 이별칭이있는 VLAN 을봅니다. 이필드는이별칭이추가되는 VLAN 숫자로미리채워집니다. [ 태그가지정되지않음 ] VLAN 인경우이숫자는 0 입니다. [ IP 버전 ] IP 주소가 IPv4 형식인지 IPv6 형식인지선택합니다. [IP 주소 ] 별칭의 IP 주소를입력합니다. [ 넷마스크 ] 주소가 IPv4 형식인경우넷마스크를입력합니다. 표 [ VLAN ] VLAN 의번호를입력합니다. [DHCP] 클라우드환경에서하고있지않은경우 DHCP 서비스를활성화하도록선택합니다. DHCP 는네트워크의 IP 주소를재설정해야하는경우유용합니다. 중복 ESM 또는 ELM 을사용하고있는경우중복장치의 IP 주소가변경되면중복성작동이중지됩니다. [IPv4] 또는 [IPv6] IP 버전을선택합니다. 기본적으로 IPv4 가선택되어있습니다. IPv6 을 [ 네트워크설정 ] 페이지에서 [ 수동 ] 또는 [ 자동 ] 페이지로설정한경우 [IPv6] 라디오버튼이활성화됩니다. IP 주소가 IPv6 형식인경우선택합니다. 선택한경우 [ 넷마스크 ] 필드가비활성화됩니다. [IP 주소 ] VLAN 의 IP 주소를입력합니다. [ 넷마스크 ] IP 주소가 IPv4 형식인경우넷마스크를추가합니다. 162 페이지의네트워크인터페이스관리 163 페이지의네트워크인터페이스설정 165 페이지의정적라우트추가 정적라우트추가 정적라우트는기본게이트웨이를통해사용할수없는네트워크또는호스트에도달하는방법에대한지침세트입니다. 1 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 구성 ] [ 인터페이스 ] 를클릭합니다. McAfee Enterprise Security Manager 제품안내서 165

166 3 ESM 구성보조서비스구성 3 [ 정적라우트 ] 테이블옆의 [ 추가 ] 를클릭합니다. 4 정보를입력한다음 [ 확인 ] 을클릭합니다. 표 [ 정적라우트 ] 테이블시스템의정적라우트를봅니다. [ 추가 ] 정적라우트에대한정보를추가하려면클릭합니다. [ 편집 ] 선택한정적라우트에대한설정을변경하려면클릭합니다. [ 제거 ] 선택한정적라우트를삭제하려면클릭합니다. 표 [ IPv4] 또는 [IPv6] 이정적라우트에서 IPv4 또는 IPv6 트래픽을볼지여부를선택합니다. [ 네트워크 ] 및 [ 게이트웨이 ] 이라우트의네트워크및게이트웨이 IP 주소를입력합니다. [ 마스크 ] 마스크를선택합니다. 162 페이지의네트워크인터페이스관리 163 페이지의네트워크인터페이스설정 164 페이지의 VLAN 및별칭추가 ESM 또는장치에서 IPMI 포트설정 ESM 또는해당장치에서 IPMI 포트를설정할수있습니다. 이를통해여러액션을수행할수있습니다. IPMI 소프트웨어에서사용할수있도록 IPMI NIC( 네트워크인터페이스컨트롤러 ) 를스위치에꽂습니다. IPMI 기반 KVM( 커널기반가상시스템 ) 에액세스합니다. ESM 으로업그레이드한다음기본사용자의 IPMI 암호를설정합니다. 전원켜기및전원상태와같은 IPMI 명령에액세스합니다. IPMI 카드를재설정합니다. 웜재설정및콜드재설정을수행합니다. ESM 또는장치에서 IPMI 포트설정 ESM 또는해당장치에서 IPMI 를설정하려면 IPMI 포트에대해네트워크를구성합니다. 1 시스템탐색트리에서시스템또는장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 네트워크설정 ] [ 고급 ] 탭에액세스합니다. ESM 에서 [ 네트워크설정 ] [ 고급 ] 을클릭합니다. 장치에서장치의 [ 구성 ] 을클릭한다음 [ 인터페이스 ] [ 고급 ] 을클릭합니다. 166 McAfee Enterprise Security Manager 제품안내서

167 ESM 구성보조서비스구성 3 3 [IPMI 설정사용 ] 을선택한다음 IPMI 의 VLAN, IP 주소, 넷마스크및게이트웨이를입력합니다. [IPMI 설정사용 ] 이장치 BIOS 에서회색으로표시되는경우시스템 BIOS 를업데이트해야합니다. 장치에대해 SSH 를수행하고 /etc/areca/system_bios_update/contents README.txt 파일을엽니다. 4 [ 적용 ] 또는 [ 확인 ] 을클릭합니다. 장치를업그레이드하는경우암호를변경하거나장치에키를다시지정하라는메시지가표시될수있습니다. 이메시지가표시되는경우시스템암호를변경하거나장치의키를다시지정하여새암호를설정해 IPMI 를구성합니다. 표 탭 [ 기본 ] [ 인터페이스 1] 및 [ 인터페이스 2] [ 인터페이스 1], [ 인터페이스 2] 또는둘다를선택한다음설정을클릭합니다. 최소하나의인터페이스를항상활성화해야합니다. Firefox 버전 4 및 5 는현재인증서를확인하는동안주소에서 "[ ]" 를제거할수없기때문에 IPv6 을통해인증서를가져오려고시도할때 IPv6 주소를확인할수없습니다. 이문제를해결하려면 /etc/hosts 파일 (Linux) 또는 C: WINDOWS system32 drivers etc hosts(windows) 에 IPv6 주소의레코드를추가하고 IPv6 주소대신호스트이름을사용하여 ESM 으로이동합니다. [SSH 활성화 ] (FIPS 모드에서사용할수없음 ) SSH 연결을허용하려면이을선택합니다. SSH 를활성화하려면최소하나의인터페이스를해야합니다. ESM 및장치는 SSH 의 FIPS 사용가능버전을사용합니다. SSH 클라이언트 OpenSSH, Putty, dropbear, Cygwin ssh, WinSCP TeraTerm 은이미테스트되었으며작동하는것으로알려져있습니다. Putty 를사용하는경우버전 0.62 가호환되며 에서다운로드할수있습니다. [SSH 포트 ] 액세스가허용되는특정포트를입력합니다. [SSH 키관리 ] [SSH 키 ] 를클릭합니다. SSH 연결을활성화한경우나열된시스템이통신합니다. 통신의연결을끊으려면목록에서시스템 ID 를삭제합니다. [IPv6 설정 ] IPv6 모드를활성화하려면 [ 수동 ] 또는 [ 자동 ] 을선택합니다. 설정이 [ 해제 ] 이면 IPv6 모드가비활성화됩니다. [ 자동 ] 을선택하는경우 [ 기본 ] 및 [ 보조 IPv6] 필드가비활성화됩니다. 각호스트는수신된사용자광고의콘텐츠에서주소를확인합니다. IEEE EUI-64 표준을사용하여주소의네트워크 ID 부분을합니다. [ 수동 ] 을선택하는경우 [ 기본 ] 및 [ 보조 IPv6] 필드가활성화됩니다. 이러한필드에 IPv6 주소를추가합니다. [ 고급 ] ICMP(Internet Control Message Protocol) 메시지및 IPMI(Intelligent Platform Management Interface) 를 ESM 또는해당장치에설정합니다. [ICMP 메시지 ] ICMP 에다음중하나를선택합니다. [ 리디렉션 ] ESM 에서리디렉션메시지를무시합니다. [ 대상에연결할수없음 ] 정체이외의다른이유로대상에패킷을전달할수없는경우 ESM 에서메시지를생성합니다. [ 핑활성화 ] IPv6 멀티캐스트 / 애니캐스트주소로보낸에코요청메시지에대한응답으로 ESM 에서에코회신메시지를보냅니다. McAfee Enterprise Security Manager 제품안내서 167

168 3 ESM 구성보조서비스구성 표 ( 계속 ) 탭 [IPMI 설정 ] IPMI NIC 가스위치에연결되어있고 IPMI 카드를통해원격으로 ESM 장치를관리해야하는경우 IPMI 설정을추가합니다. [IPMI 설정활성화 ] IPMI 명령에액세스하려면선택합니다. [VLAN], [IP 주소 ], [ 넷마스크 ], [ 게이트웨이 ] IPMI 포트에대한네트워크를구성하도록설정을입력합니다. [ 프록시 ] [ 트래픽 ] [ 정적라우트 ] 네트워크에서프록시서버를사용하는경우 ESM 에대한연결을설정합니다. [IPv4] 또는 [IPv6] [IP 주소 ], [ 포트 ], [ 사용자이름 ], [ 암호 ] 장치에서 IPv6 주소를사용하는인터페이스가있는경우 IPv6 을선택할수있습니다. 그렇지않은경우 IPv4 가선택됩니다. 프록시서버에연결하기위해필요한정보를입력합니다. [ 기본인증 ] 기본인증검사를구현하려면선택합니다. 네트워크및마스크에대한최대데이터출력값을하여아웃바운드트래픽을보내는속도를제어합니다. 표설정한기존컨트롤을표시합니다. [ 네트워크 ] 열한값에따라시스템이아웃바운드트래픽을제어하는네트워크의주소를표시합니다. [ 마스크 ] 열 ( 선택사항 ) 네트워크주소의마스크를표시합니다. [ 최대처리량 ] 열각네트워크에한최대처리량을표시합니다. [ 추가 ], [ 편집 ], [ 삭제 ] 제어하려는네트워크주소를관리합니다. [ 정적라우트 ] 정적라우트를추가, 편집또는제거합니다. 정적라우트는기본게이트웨이를통해사용할수없는네트워크또는호스트에도달하는방법에대한지정된지침세트입니다. 정적라우트를추가하는경우변경사항이 ESM 에설정되고 [ 적용 ] 을클릭하면즉시적용됩니다. 변경사항이적용되면 ESM 이다시초기화되어모든현재세션이손실됩니다. ESM 에서네트워크트래픽제어설정 ESM 에대한최대데이터출력값을합니다 이기능은대역폭제한을설정하고각 ESM 별로전송할수있는데이터의양을제어해야할때유용합니다. 이은초당킬로비트 (Kb), 메가비트 (Mb) 및기가비트 (Gb) 입니다. 트래픽을제한하면데이터유출이발생할수있으므로이기능을구성할때주의해야합니다. 1 시스템탐색트리에서시스템을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 네트워크설정 ] 을클릭하고 [ 트래픽 ] 탭을클릭합니다. 표에기존컨트롤이나열됩니다. 3 장치에대해컨트롤을추가하려면 [ 추가 ] 를클릭하고네트워크주소및마스크를입력하고속도를설정한다음 [ 확인 ] 을클릭합니다. 마스크를 0 으로설정하면전송된모든데이터가제어됩니다. 4 [ 적용 ] 을클릭합니다. 168 McAfee Enterprise Security Manager 제품안내서

169 ESM 구성보조서비스구성 3 지정한네트워크주소의아웃바운드트래픽속도가제어됩니다. 표 [ 네트워크 ] 열한값에따라시스템이아웃바운드트래픽을제어하는네트워크의주소를표시합니다. [ 마스크 ] 열네트워크주소의마스크를표시합니다. [ 최대처리량 ] 열각네트워크에대해한최대처리량을표시합니다. [ 추가 ], [ 편집 ], [ 삭제 ] 제어하려는네트워크주소를관리합니다. 표 [ 네트워크 ] 아웃바운드트래픽을제어하려는네트워크의주소를입력합니다. [ 마스크 ] 네트워크주소의마스크를선택합니다. 모두에대해 0 을선택합니다. [ 속도 ] 킬로비트 (Kb), 메가비트 (Mb) 또는기가비트 (Gb) 를선택한다음트래픽을보내는초당속도를선택합니다. 169 페이지의처리량속도추가페이지 처리량속도추가페이지 네트워크및마스크에대한최대데이터출력값을하여아웃바운드트래픽을보내는속도를제어합니다. 표 [ 네트워크 ] 아웃바운드트래픽을제어하려는네트워크의주소를입력합니다. [ 마스크 ] 네트워크주소의마스크를선택합니다. 모두에대해 0 을선택합니다. [ 속도 ] 킬로비트 (Kb), 메가비트 (Mb) 또는기가비트 (Gb) 를선택한다음트래픽을보내는초당속도를선택합니다. 34 페이지의장치에서네트워크트래픽제어설정 168 페이지의 ESM 에서네트워크트래픽제어설정 호스트이름 장치의호스트이름은대개 IP 주소보다유용합니다. 호스트이름이해당 IP 주소에연결되도록관리할수있습니다. [ 호스트 ] 페이지에서호스트이름을추가, 편집, 제거, 조회, 업데이트및가져올수있을뿐만아니라자동학습된호스트이름이만료되는시간을설정할수있습니다. 이벤트데이터를볼때보기구성요소의하단에있는 [ 호스트이름표시 ] 아이콘결된호스트이름을표시할수있습니다. 을클릭하여이벤트에 IP 주소와연 기존이벤트가호스트이름으로태그가지정되지않은경우시스템이 ESM 에서호스트표를검색하고해당호스트이름으로 IP 주소의태그를지정합니다. IP 주소가호스트표에나열되지않은경우시스템은 DNS(Domain Name System) 조회를수행하여호스트이름을찾습니다. 그러면검색결과가보기에표시되고호스트표에추가됩니다. 호스트표에서이데이터는 [ 자동학습됨 ] 으로표시되고 [ 시스템속성 ] [ 호스트 ] 페이지의호스트표아래있는 [ 다음이후에항목만료 ] 필드에지정된기간이후에만료됩니다. 데이터가만료되면다른 DNS 조회가보기에서 [ 호스트이름표시 ] 를선택한다음에수행됩니다. McAfee Enterprise Security Manager 제품안내서 169

170 3 ESM 구성보조서비스구성 호스트표에자동학습되고추가된호스트이름및해당 IP 주소가나열됩니다. 개별적으로호스트이름및 IP 주소를입력하거나탭으로구분된호스트이름및 IP 주소목록을가져와서수동으로호스트표에정보를추가할수있습니다 (" 호스트이름목록가져오기 " 참조 ). 이방식으로입력하는데이터가많을수록 DNS 조회에소요되는시간이줄어듭니다. 수동으로호스트이름을입력하면만료되지는않지만편집하거나제거할수는있습니다. 170 페이지의호스트이름관리 170 페이지의호스트이름목록가져오기 호스트이름관리 추가, 편집, 가져오기, 제거또는조회등 [ 호스트 ] 페이지에서호스트이름을관리하기위해필요한모든액션을수행합니다. 또한자동학습된호스트의만료시간을설정할수있습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 호스트 ] 를클릭합니다. 2 을선택하고요청한정보를입력합니다. 3 [ 적용 ] 또는 [ 확인 ] 을클릭합니다. 표 [ 추가 ] 호스트이름또는호스트이름과해당 IP 주소를추가합니다. [ 호스트 ] 표에추가됩니다. [ 편집 ] IP 주소와관련된호스트이름을변경합니다. [ 제거 ] 테이블에서선택한항목을삭제합니다. [ 조회 ] IP 주소의호스트이름을조회합니다. 이는내부네트워크의정보를설정할때유용합니다. 조회가완료되면결과가표로나타납니다. [ 호스트업데이트 ] 테이블을업데이트하여만료된항목및목록에대한변경사항을반영합니다. [ 가져오기 ] 탭으로구분된 IP 주소및호스트이름목록을가져옵니다 (" 호스트이름목록가져오기 " 참조 ). [ 다음이후에항목만료 ] 표 자동학습된호스트이름을표에유지하려는시간을설정합니다. 만료되게하지않으려면모든필드에서영 (0) 을선택합니다. [ 호스트이름 ] 호스트의이름을입력합니다. 문자열을최대 100 자까지허용합니다. [IP 주소 ] 169 페이지의호스트이름 유효한 IPv4 또는 IPv6 표기법으로호스트의 IP 주소를입력합니다. 마스크를포함할수있습니다. 170 페이지의호스트이름목록가져오기 호스트이름목록가져오기 IP 주소및해당호스트이름을포함하는텍스트파일을호스트테이블에가져옵니다. 시작하기전에탭으로구분된 IP 주소및호스트이름파일을만듭니다. 170 McAfee Enterprise Security Manager 제품안내서

171 ESM 구성보조서비스구성 3 파일의각레코드가별도의줄에나열되어야하며 IP 주소가 IPv4 또는 IPv6 표기법으로먼저나와야합니다. 예 : rhino.acme.com 08c8:e6ff:0100::02ff x.acme.com 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 호스트 ] [ 가져오기 ] 를클릭합니다. 2 텍스트파일을찾은다음 [ 업로드 ] 를클릭합니다. 파일에현재호스트표의 IP 주소가다른호스트이름으로포함된경우 [ 중복 ] 페이지에중복된레코드가나열됩니다. 표의호스트이름을텍스트파일의호스트이름으로변경하려면 [ 사용 ] 열에서선택한다음 [ 확인 ] 을클릭합니다. 기존호스트데이터를유지하려면확인란을선택하지않고 [ 확인 ] 을클릭합니다. 표에새호스트데이터가추가됩니다. 데이터가수동으로입력되어만료되지않기때문에이데이터에대한 [ 자동학습됨 ] 열은 [ 아니요 ] 를나타냅니다. 169 페이지의호스트이름 170 페이지의호스트이름관리 DHCP 설정 Dynamic Host Configuration Protocol(DHCP) 은인터페이스및서비스의 IP 주소같이동적으로배포하는네트워크구성매개변수의 IP 네트워크에사용됩니다. 클라우드환경에서배포할 ESM 을설정하면자동으로 DHCP 를활성화하고 IP 주소를할당합니다. 클라우드환경을사용하지않는경우장치관리권한이있으면 ESM, 비 HA 수신기, ACE 및 ELM 에서 DHCP 서비스를활성화하고비활성화할수있습니다. 이기능은네트워크에대한 IP 주소를재설정해야하는경우유용합니다. DHCP 가활성화되면별칭이비활성화됩니다. 1 시스템탐색트리에서시스템또는장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 다음중하나를수행합니다. ESM 의경우 [ 네트워크설정 ] 을클릭한다음 [ 기본 ] 탭을클릭합니다. 장치의경우장치의 [ 구성 ] 을선택하고 [ 인터페이스 ] 를클릭한다음 [ 네트워크 ] 탭을클릭합니다. 3 [ 인터페이스 1] 필드에대해 [ 설정 ] 을클릭한다음 [DHCP] 를선택합니다. 수신기가아닌장치의경우변경사항을적용하려면 ESM 서버를다시시작해야한다는메시지가표시됩니다. 4 [ 확인 ] 을클릭합니다. VLAN 에서 DHCP 설정 Dynamic Host Configuration Protocol(DHCP) 은인터페이스및서비스의 IP 주소같이동적으로배포하는네트워크구성매개변수의 IP 네트워크에사용됩니다. 클라우드환경에서배포할 ESM 을설정하면자동으로 DHCP 를활성화하고 IP 주소를할당합니다. 클라우드환경을사용하지않는경우장치관리권한이있으면 VLAN, ESM, 비 HA 수신기, ACE 및 ELM 에서 DHCP 서비스를활성화하고비활성화할수있습니다. 이기능은네트워크에대한 IP 주소를재설정해야하는경우유용합니다. McAfee Enterprise Security Manager 제품안내서 171

172 3 ESM 구성보조서비스구성 1 시스템탐색트리에서시스템또는장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 다음중하나를수행합니다. ESM 의경우 [ 네트워크설정 ] 을클릭한다음 [ 기본 ] 탭을클릭합니다. 장치의경우장치의 [ 구성 ] 을선택하고 [ 인터페이스 ] 를클릭한다음 [ 네트워크 ] 탭을클릭합니다. 3 [ 인터페이스 1] 필드에대해 [ 설정 ] 을클릭한다음 [ 고급 ] 을클릭합니다. 4 [VLAN 추가 ] 를클릭하고 [VLAN] 을입력한다음 [DHCP] 를선택합니다. 5 [ 확인 ] 을클릭하여 [ 네트워크설정 ] 페이지로돌아간다음 [ 적용 ] 을클릭합니다. 수신기가아닌장치의경우변경사항을적용하려면 ESM 서버를다시시작해야한다는메시지가표시됩니다. 시스템시간동기화 ESM 및해당장치에서생성된활동은시간이기록되기때문에 ESM 과장치를동기화하여이들이수집하는데이터에대해지속적인참조프레임을유지하는것이중요합니다. ESM 시스템시간을설정하거나 ESM 과장치가 NTP 서버에동기화되도록선택합니다. 172 페이지의시스템시간설정 173 페이지의장치시계동기화 시스템시간설정 시작하기전에 NTP 서버를 ESM 에추가하려는경우 NTP 서버를설정하고해당인증키와키 ID 를사용합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 시스템정보 ] 가선택되었는지확인합니다. 2 [ 시스템시계 (GMT)] 를클릭하고설정을한다음 [ 확인 ] 을클릭합니다. ADM 또는 DBM 장치의 NTP 서버주소는 IP 주소여야합니다. 서버정보가구성파일에저장됩니다. 그런다음 NTP 서버목록에다시액세스하여상태를확인할수있습니다. 표 [ESM 시스템시간 (GMT) 을다음으로설정 ] [ 시간동기화에 NTP 서버사용 ] 시스템의시간을동기화하는데 NTP 서버를사용하지않는경우이날짜및시간이 GMT 로설정되었는지확인합니다. 시스템시계를사용하지않고 NTP 서버를사용하여시스템의시간을동기화하려면이을선택합니다. 172 McAfee Enterprise Security Manager 제품안내서

173 ESM 구성보조서비스구성 3 표 ( 계속 ) [ NTP 서버 ] 열이열을클릭하여 NTP 서버의 IP 주소를추가합니다. 최대 10 개의서버를추가할수있습니다. ADM 또는 DBM 장치의 NTP 서버주소는 IP 주소여야합니다. [ 인증키 ] 및 [ 키 ID] 열각 NTP 서버의인증키및키 ID 를입력합니다 ( 모르는경우네트워크관리자에게문의하십시오 ). [ 상태 ] 목록에서 NTP 서버의상태를보려면클릭합니다. 서버목록을변경한경우 [ 확인 ] 을클릭하여변경사항을저장하고페이지를닫고다시페이지를연다음 [ 상태 ] 를클릭합니다. 172 페이지의시스템시간동기화 장치시계동기화 여러시스템에서생성된데이터가동일한시간설정을반영하도록장치시계를 ESM 시계와동기화할수있습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 또는장치 [ 속성 ] 을선택한다음 [ 장치시계동기화 ] 필드에서 [ 동기화 ] 를클릭합니다. 동기화가완료되거나문제가있는경우알려줍니다. 2 [ 시스템정보 ] 또는장치 [ 정보 ] 페이지의데이터를업데이트하려면 [ 새로고침 ] 을클릭합니다. 172 페이지의시스템시간동기화 새인증서설치 ESM 은 esm.mcafee.local 에대해자체서명된기본보안인증서와함께제공됩니다. 대부분의웹브라우저는인증서의인증을확인할수없다는경고를표시합니다. ESM 에대해사용하려는 SSL 키인증서쌍을가져온다음설치해야합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ESM 관리 ] 를클릭합니다. 2 [ 키관리 ] 탭에서 [ 인증서 ] 를클릭합니다. 3 선택한다음 [ 닫기 ] 를클릭합니다. [ 인증서업로드 ] 인증서, 키및선택체인파일 ( 있는경우 ) 을설치합니다..crt 파일,.key 파일다음마지막으로체인파일을업로드하라는메시지가표시됩니다. [ 자체서명된인증서 ] ESM 에자체서명된보안인증서를생성하고설치합니다. [ 생성 ] 을클릭한다음 [ 인증서관리 ] 페이지에서정보를입력합니다. [ 확인 ] 을클릭한다음 [ 생성 ] 을클릭합니다. McAfee Enterprise Security Manager 제품안내서 173

174 3 ESM 구성보조서비스구성 [ 서명된인증서요청 ] 시그니처를위해인증서발급기관에보내는인증서요청을생성합니다. [ 생성 ] 을클릭한다음 [ 인증서관리 ] 페이지에정보를입력한다음 [ 확인 ] 을클릭합니다..crt 및.key 파일이있는.zip 파일을다운로드합니다..crt 파일의압축을푼다음인증서발급기관에보냅니다. [ 기본 McAfee 인증서를다시생성합니다 ] 원래인증서를다시생성합니다. 프로파일구성 syslog 기반트래픽에대한프로파일을하여매번상세정보를입력하지않고일반정보를공유하는설정을수행할수있습니다. 또한원격명령프로파일 (URL 또는스크립트 ) 을추가하고보기및경보에서사용할수있습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 프로파일관리 ] 를클릭합니다. 2 프로파일을추가하려면 [ 시스템프로파일 ] 탭에서 [ 추가 ] 를클릭한다음프로파일데이터를입력합니다. 3 원격명령을추가하려면 [ 원격명령 ] 탭을클릭한다음요청한정보를입력합니다. 4 [ 확인 ] 을클릭합니다. 표 [ 시스템프로파일 ] 테이블시스템의현재프로파일을봅니다. [ 추가 ] 프로파일을추가합니다. [ 편집 ] 선택한프로파일을변경합니다. [ 제거 ] 선택한프로파일을삭제합니다. 표 [ 인증암호 ] [ 보안수준 ] 필드에서 [authnopriv] 또는 [authpriv] 를선택하는경우이필드가활성화됩니다. [ 인증프로토콜 ] 필드에서선택한인증프로토콜의암호를입력합니다. [ 인증프로토콜 ] [ 보안수준 ] 필드에서 [authnopriv] 또는 [authpriv] 를선택하는경우이필드가활성화됩니다. 이소스의프로토콜유형 ([MD5] 또는 [SHA1]) 을선택합니다. [SHA1] 및 [SHA] 는동일한프로토콜유형을참조합니다. [ 커뮤니티이름 ] SNMP 트랩의커뮤니티문자열을입력합니다. [ 압축 ] 원격공유 SCP 에대해압축을사용하려면선택합니다. [ 암호화 ] 원격공유 SCP 에대해암호화를사용하려면선택합니다. [ 엔진 ID] 트랩보낸사람의 SNMPv3 엔진 ID 를입력합니다. 필수필드가아닙니다. [ 이벤트로그 ] 기본 WMI 이벤트로그는 SYSTEM, APPLICATION 및 SECURITY 이지만다른로그도지원합니다. 추가이름을입력할때대 / 소문자가구분되고쉼표로구분되어야하며이름사이에공백이없어야한다는것을기억하십시오. 로그를읽으려면액세스권한이있어야합니다. 관리자만보안로그를꺼낼수있습니다. WMI 데이터소스로그가올바로설정되어있다면관리자권한없이꺼낼수있습니다. [ 기능 ] 이벤트전달메시지를보내는기능을선택합니다. 174 McAfee Enterprise Security Manager 제품안내서

175 ESM 구성보조서비스구성 3 표 ( 계속 ) [ 간격 ] 수신자가새이벤트의 WMI 공급자를확인해야하는간격을분단위로선택합니다. [IP 주소 ] [SNMP 트랩 ]: 트랩정보를보내는 eeye 서버의 IP 주소를입력합니다. [ 이벤트전달 ]: 이벤트가전달되는 IP 주소를입력합니다. [ 암호 ] WMI 공급자에게연결하기위해사용하는암호입니다. [ 개인정보보호프로토콜 ] [ 프로파일에이전트 ] [ 프로파일이름 ] [ 프로파일유형 ] SNMP [ 보안수준 ] 필드에서 [authpriv] 를선택하는경우이필드가활성화됩니다. [DES] 또는 [AES] 를선택합니다. FIPS 모드에서는 [AES] 만사용할수있습니다. 이프로파일의에이전트를선택합니다. 나머지필드는이필드에서선택한사항에따라다릅니다. 이프로파일을설명하는이름을입력합니다. 프로파일유형을선택합니다. 이페이지의나머지필드는이필드에서선택한사항에따라다릅니다. 이들대부분은자체적으로설명됩니다. [ 포트 ] 기본값이올바르지않은경우연결포트를변경합니다. [ 프로토콜 ] 전송프로토콜을선택합니다. [ 원격 IP 주소, 원격마운트지점, 원격경로 ] [CIFS] 또는 [NFS] 를프로파일에이전트로선택한경우저장장치에이정보를입력합니다. [ 보안수준 ] 이 SNMPv3 프로파일의보안수준을선택합니다. [noauthnopriv] 인증프로토콜및개인정보보호프로토콜이없음 [authnopriv] 인증프로토콜은있지만개인정보보호프로토콜은없음 [authpriv] 인증프로토콜및개인정보보호프로토콜둘다있음 [ 인증 ] 및 [ 개인정보보호 ] 필드는선택하는보안수준에따라활성화됩니다. [ 패킷보내기 ] 이벤트패킷을보내려는경우선택합니다. [ 심각도 ] 전달되는정보의심각도를선택합니다. [ 사용자이름 ] WMI 공급자에게연결하는데사용되는사용자이름입니다. 도메인사용자의경우도메인 사용자로사용자이름을입력합니다. 표 [ 원격명령 ] 테이블시스템의현재원격명령을봅니다. [ 추가 ] 새원격명령을추가합니다. [ 편집 ] 선택한원격명령을변경합니다. [ 제거 ] 선택한원격명령을삭제합니다. 표 [ 이름 ] 이원격명령프로파일의이름을입력합니다. [ 설명 ] 이명령이수행하는내용을설명합니다. [ 유형 ] 원격명령유형을선택합니다. [ 시간대 ] 사용할시간대를선택합니다. [ 날짜형식 ] 날짜의형식을선택합니다. McAfee Enterprise Security Manager 제품안내서 175

176 3 ESM 구성보조서비스구성 표 ( 계속 ) [ 호스트 ], [ 포트 ], [ 사용자이름 ], [ 암호 ] SSH 연결에대한정보를입력합니다. [ 명령문자열 ] SSH 연결의명령문자열을입력합니다. 변수를명령문자열에삽입하려면 [ 변수삽 입 ] 아이콘을클릭하고변수를선택합니다. SNMP 구성 ESM 과각장치에서링크실행 / 정지및콜드 / 웜시작트랩을보내도록 ESM 에서사용하는설정을구성합니다. MIB(Management Information Base)-II 시스템및인터페이스표를탐색하면 snmpwalk 명령을통해 ESM 을검색할수있습니다. SNMPv3 은 NoAuthNoPriv, AuthNoPriv 및 AuthPriv 과함께지원되며, MD5 또는 SHA(Secure Hash Algorithm) 를인증에사용하고 DES(Data Encryption Standard) 또는 AES(Advanced Encryption Standard) 를암호화에사용합니다. MD5 및 DES 는 FIPS 컴플라이언스모드에서사용할수없습니다. ESM 및수신기, 상태정보의경우 ESM 에 SNMP 요청이만들어질수있습니다. 하나이상관리되는장치의블랙리스트에추가하기위해 SNMPv3 트랩이 ESM 에전송될수있습니다. 또한모든 McAfee 어플라이언스는링크트랩및부트트랩을선택한대상에보내도록구성할수있습니다 ("SNMP 및 McAfee MIB" 참조 ). 176 페이지의 SNMP 설정구성 178 페이지의전원오류통보에대한 SNMP 트랩설정 179 페이지의 SNMP 및 McAfee MIB 182 페이지의 ESM 에서 MIB 꺼내기 SNMP 설정구성 ESM 에서인바운드및아웃바운드 SNMP 트래픽에사용하는설정을합니다. 사용자이름에공백이없는사용자만 SNMP 쿼리를수행할수있습니다. 176 McAfee Enterprise Security Manager 제품안내서

177 ESM 구성보조서비스구성 3 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [SNMP 구성 ] 을클릭합니다. 2 [SNMP 요청 ] 및 [SNMP 트랩 ] 탭에필요한정보를입력합니다. 3 [ 확인 ] 을클릭합니다. 표 탭 [SNMP 요청 ] [SNMP 트랩 ] [ 요청포트 ] 트래픽이통과하는포트를선택합니다. [ 허용 ] 허용할트랩유형을선택합니다. [ SNMPv1/2c 허용 ] SNMP 버전 1 및버전 2 트래픽을허용하려면선택하고커뮤니티유형을입력합니다. [ SNMPv3 허용 ] SNMP 버전 3 트래픽을허용하려면선택하고보안수준, 인증프로토콜및개인정보보호프로토콜을선택합니다. [ 신뢰할수있는 IP 주소 ] ESM 이신뢰할수있다고간주하거나허용하는 IP 주소를봅니다. 새주소를추가하고기존주소를편집하거나제거할수있습니다. IP 주소는마스크를포함할수있습니다. [ 장치 ID 보기 ] SNMP 요청을보낼때사용할수있는장치 ID 목록을봅니다. [MIB 보기 ] 각개체의 OID( 개체식별자 ) 나관심있는특징을하는 McAfee MIB 를봅니다. [ 트랩포트 ] [SNMP 트랩 ] 탭에서콜드 / 웜트랩트래픽, 블랙리스트항목및링크실행 / 링크정지트래픽이통과하는포트를설정합니다. [ 링크실행 / 정지트랩 ] 링크실행및링크정지트랩을보내려는경우선택합니다. 이기능을선택하고여러인터페이스를사용하는경우인터페이스가정지될때뿐만아니라다시실행될때알려줍니다. 콜드 / 웜트랩트래픽이자동으로허용됩니다. SNMP 서비스를다시시작할때마다콜드시작트랩이생성됩니다. SNMP 구성변경, 사용자수정, 그룹수정, 원격인증으로사용자로그인, ESM 재부팅, cpservice 재시작및기타상황에서 SNMP 서비스가다시시작합니다. 시스템을재부팅하는경우웜스타트트랩이생성됩니다. [ 데이터베이스실행 / 정지트랩 ] 데이터베이스 (cpservice, IPSDBServer) 가실행되거나정지될때 SNMP 트랩을보내려는경우선택합니다. [ 보안로그오류트랩 ] 로그테이블에로그를쓰지않았을때 SNMP 트랩을보내려는경우선택합니다. [ 일반하드웨어오류 ] ESM 전원공급장치중하나가실패하는경우통보를받으려면선택합니다 ( 일반하드웨어또는 DAS). 그러면전원오류로인한시스템종료를방지할수있습니다. [ 대상 ] 통보를보내려는시스템의프로파일이름을선택합니다. 표에시스템에서사용가능한모든 SNMP 트랩프로파일이나와있습니다. 이목록을편집하려면 [ 프로파일편집 ] 을클릭하고 [ 프로파일관리자 ] 목록에서프로파일을추가, 편집또는제거합니다. 탭 [SNMP 요청 ] [ 요청포트 ] 트래픽이통과하는포트를선택합니다. [ 허용 ] 장치상태요청을허용하려면선택합니다. [SNMPv1 허용 ] SNMP 버전 1 및버전 2 트래픽을허용하려면선택하고커뮤니티문자열을설정합니다. McAfee Enterprise Security Manager 제품안내서 177

178 3 ESM 구성보조서비스구성 탭 [ SNMPv3 허용 ] SNMP 버전 3 트래픽을허용하려면선택하고보안수준, 인증프로토콜및개인정보보호프로토콜을선택합니다. [ 신뢰할수있는 IP 주소 ] 장치가신뢰할수있다고간주하거나허용하는 IP 주소를봅니다. 새주소를추가하고기존주소를편집하거나제거할수있습니다. IP 주소는마스크를포함할수있습니다. 신뢰할수있는 IP 주소가있어야합니다. [SNMP 트랩 ] [MIB 보기 ] 각개체의 OID( 개체식별자 ) 나관심있는특징을하는 McAfee MIB 를봅니다. [ 트랩포트 ] 콜드 / 웜트랩트래픽, 블랙리스트항목및링크실행 / 링크정지트래픽이통과하는포트를설정합니다. [ 링크실행 / 정지트랩 ] 링크실행및링크정지트랩을보내려면선택합니다. 이기능을선택하고여러인터페이스를사용하는경우인터페이스가정지되고다시실행될때알려줍니다. 콜드 / 웜트랩트래픽이자동으로허용됩니다. 강제종료또는강제재설정이어려운경우콜드스타트트랩이생성됩니다. 시스템을재부팅하는경우웜스타트트랩이생성됩니다. [ 데이터베이스실행 / 정지트랩 ] [ 보안로그오류트랩 ] 데이터베이스 (cpservice, IPSDBServer) 가실행되거나정지될때 SNMP 트랩을보내려면선택합니다. 로그표에로그를쓰지않았을때 SNMP 트랩을보내려면선택합니다. [ 대상 ] 통보를보내려는시스템의프로파일이름을선택합니다. 시스템에서사용가능한모든 SNMP 트랩프로파일이표에표시됩니다. 이목록을편집하려면 [ 프로파일편집 ] 을클릭하고 [ 프로파일관리자 ] 목록에서프로파일을추가, 편집또는제거합니다. 176 페이지의 SNMP 구성 178 페이지의전원오류통보에대한 SNMP 트랩설정 179 페이지의 SNMP 및 McAfee MIB 182 페이지의 ESM 에서 MIB 꺼내기 전원오류통보에대한 SNMP 트랩설정 SNMP 트랩을선택하면하드웨어및 DAS 전원오류를알려주므로전원오류로인해시스템이종료되는것을방지할수있습니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. SNMP 트랩수신기를준비합니다 (SNMP 트랩수신기가아직없는경우필요 ). 1 시스템탐색트리에서시스템을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [SNMP 구성 ] 을클릭한다음 [SNMP 트랩 ] 탭을클릭합니다. 3 [ 트랩포트 ] 에서 162 를입력한다음 [ 일반하드웨어오류 ] 를선택하고 [ 프로파일편집 ] 을클릭합니다. 178 McAfee Enterprise Security Manager 제품안내서

179 ESM 구성보조서비스구성 3 4 [ 추가 ] 를클릭한다음요청한정보를다음과같이입력합니다. [ 프로파일유형 ] [SNMP 트랩 ] 을선택합니다. [IP 주소 ] 트랩을보내려는주소를입력합니다. [ 포트 ] 162 를입력합니다. [ 커뮤니티이름 ] 공개를입력합니다. [ 포트 ] 및 [ 커뮤니티이름 ] 필드에입력한사항을기억하십시오. 5 [ 확인 ] 을클릭한다음 [ 프로파일관리자 ] 페이지에서 [ 닫기 ] 를클릭합니다. 프로파일이 [ 대상 ] 표에추가됩니다. 6 [ 사용 ] 열에서프로파일을선택한다음 [ 확인 ] 을클릭합니다. 전원공급장치에오류가발생하면 SNMP 트랩이전송되고시스템탐색트리에서장치옆에상태플래그가나타납니다. 176 페이지의 SNMP 구성 176 페이지의 SNMP 설정구성 179 페이지의 SNMP 및 McAfee MIB 182 페이지의 ESM 에서 MIB 꺼내기 SNMP 및 McAfee MIB 여러측면의 McAfee 제품군은 SNMP 를통해액세스할수있습니다. McAfee MIB 는각개체의 OID( 개체식별자 ) 나관심있는특징을합니다. MIB 는다음에대해개체그룹을합니다. 경보 ESM 에서이벤트전달을사용하여경보트랩을생성하고전송할수있습니다. 수신기에서는 McAfee SNMP 데이터소스를구성하여경보트랩을수신할수있습니다. 플로 수신기에서 McAfee SNMP 데이터소스를구성하여플로트랩을수신할수있습니다. ESM 상태요청 ESM 은자체및 ESM 에서관리하는장치에대한상태요청을수신하고응답할수있습니다. 블랙리스트 ESM 에서블랙리스트및검역목록에대한항목을하는트랩을수신한다음관리하는장치에적용할수있습니다. McAfee MIB 에서도다음을포함하는값에대해텍스트표기형식 ( 열거된유형 ) 을합니다. 경보를받았을때수행되는액션 플로방향및상태 데이터소스유형 블랙리스트액션 McAfee MIB 는구문적으로 SNMPv2 SMI(Structure of Management Information) 와컴플라이언트됩니다. SNMP 를사용하는 McAfee 제품은인증및액세스제어를포함하여 SNMPv1, SNMPv2c 및 SNMPv3 에서작동하도록구성할수있습니다. 상태는 SNMP GET 을사용하여요청됩니다. SNMP GET 은 SNMP 관리자응용프로그램이 SNMP 에이전트 ( 이경우 ESM) 에서유지관리하는관리되는개체에서값을검색하는데사용됩니다. 일반적으로응용프로그램은 ESM 의호스트이름과 OID 를특정 OID 인스턴스와함께제공하여 SNMP GET 요청을수행합니다. ESM 은상태요청의결과로 OID 바인딩을채워응답합니다. 다음표에서는 ESM 과수신기 OID 의의미를보여줍니다. McAfee Enterprise Security Manager 제품안내서 179

180 3 ESM 구성보조서비스구성 표 ESM 상태 요청및응답 OID 단위응답값의미 백분율 4 결합된즉각적인 CPU 로드백분율 MB 3518 총 RAM MB 25 사용가능한 RAM MB ESM 데이터베이스에파티션된총 HDD 공간 MB ESM 데이터베이스에사용할수있는 HDD 공간 :00:0.0(GMT) 이후초 ESM 의현재시스템시간 ESM 버전및 buildstamp EEE:6669 ESM 의시스템 ID ESM ESM 모델번호 표 수신기상태 요청및응답 OID 단위응답값의미 x 수신기수신기이름 x 수신기의 ESM 고유식별자 x 1 수신기와의통신을사용할수있거 나 (1) 사용할수없음 (0) 을나타냄 x 정상수신기의상태를나타냄 x 백분율 2 결합된즉각적인 CPU 로드백분율 x MB 7155 총 RAM x MB 5619 사용가능한 RAM x MB 수신기데이터베이스에파티션된 총 HDD 공간 x MB 수신기데이터베이스에사용할수 있는 HDD 공간 x :00:0.0(GMT) 이후초 x 수신기의현재시스템시간 a 수신기버전및 buildstamp x 5EEE:CCC6 수신기의시스템 ID x Receiver 수신기모델번호 x 분당경보 1 지난 10 분동안의분당경보비율 x 분당플로 2 지난 10 분동안의분당플로비율 x = 장치 ID. 장치 ID 목록에액세스하려면 [ 시스템속성 SNMP 구성 ] 으로이동한다음 [ 장치 ID 보기 ] 를클릭합니다. 180 McAfee Enterprise Security Manager 제품안내서

181 ESM 구성보조서비스구성 3 이벤트, 플로및블랙리스트항목은 SNMP 트랩을사용하여전송되거나요청을알립니다. 이벤트전달을수행하도록구성된 ESM 에서전송된경보트랩은다음과같이표시됩니다. OID 값의미 ESM 경보 ID 장치경보 ID 장치 ID 소스 IP 주소 소스포트 AB:CD:EF:01:23:45 소스 MAC 대상 IP 주소 대상포트 :23:45:AB:CD:EF 대상 MAC 프로토콜 VLAN Flow 방향 이벤트개수 처음 마지막 마지막 ( 마이크로초 ) 시그니처 ID ANOMALY Inbound High to High 시그니처설명 취한액션 심각도 데이터소스유형또는결과 정규화된시그니처 ID :0:0:0:0:0:0:0 IPv6 소스 IP 주소 :0:0:0:0:0:0:0 IPv6 대상 IP 주소 응용프로그램 도메인 호스트 사용자 ( 소스 ) 사용자 ( 대상 ) 명령 McAfee Enterprise Security Manager 제품안내서 181

182 3 ESM 구성데이터베이스관리 OID 값의미 개체 시퀀스번호 신뢰할수있는환경에서생성되었는지신뢰할수없는환경에서생성되었는지를나타냄 경보를생성한세션의 ID 숫자의의미 : McAfee IANA 에서할당한엔터프라이즈번호 마지막숫자 (1 35) 다양한특징의경보보고용 McAfee MIB 에대한전체정보는 를참조하십시오. 여기서 x.x.x.x 는 ESM 의 IP 주소입니다. 176 페이지의 SNMP 구성 176 페이지의 SNMP 설정구성 178 페이지의전원오류통보에대한 SNMP 트랩설정 182 페이지의 ESM 에서 MIB 꺼내기 ESM 에서 MIB 꺼내기 ESM 과연결한개체및통보를봅니다. 이 MIB 에된개체및통보는요청을다음대상에보내는데사용됩니다. ESM 자체또는수신기장치에대해상태정보를요청하는 ESM 상태정보를요청하는장치 1 시스템탐색트리에서시스템을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [SNMP 구성 ] 을클릭한다음 [MIB 보기 ] 를클릭합니다. 기본 MIB 목록이열립니다. 176 페이지의 SNMP 구성 176 페이지의 SNMP 설정구성 178 페이지의전원오류통보에대한 SNMP 트랩설정 179 페이지의 SNMP 및 McAfee MIB 데이터베이스관리 시스템의기능을설정할때정보및설정을제공하도록 ESM 데이터베이스를관리합니다. 다음을수행할수있습니다. 182 McAfee Enterprise Security Manager 제품안내서

183 ESM 구성데이터베이스관리 3 데이터베이스인덱스설정관리 이벤트및플로의데이터보존정책및공간할당구성 이벤트의데이터베이스메모리사용에대한정보를보고인쇄 VM 에 5 개이상의 CPU 가있는경우시스템저장소, 데이터저장소, 고성능저장소의추가저장소공간을사용할수있습니다. ESM VM 에서한번에둘이상의드라이브를제거하는경우이전의모든 ELM 검색이손상될수있습니다. 손상되지않도록하려면 ELM 검색결과를내보낸다음장치를제거합니다. 데이터베이스보관설정 ESM 은데이터를파티션으로나눕니다. 파티션이최대크기에도달하면비활성화되고삭제됩니다. 삭제되지않도록비활성파티션의저장소위치를구성할수있습니다. 중복 ESM 에보관할때잠재적데이터유실을방지하려면 ESM 중복을설정하기전에보관을설정하는것이좋습니다. 중복 ESM 에서이를설정할때기본이사용하는경로와동일한보관경로를사용하지마십시오. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 데이터베이스 ] [ 보관 ] 을클릭합니다. 2 선택한유형에따라다른필드를입력합니다. 3 [ 확인 ] 을클릭하여설정을저장합니다. 파티션이비활성상태가되면이위치로복사됩니다. 표 [ 활성화됨 ] 비활성화파티션보관을활성화하려면선택합니다. [ 유형 ] 저장소유형을선택합니다. 은 CIFS, NFS, iscsi 이고 SAN 카드를설치한경우에는 SAN 입니다. Samba Server 3.2 보다높은버전에서 CIFS 공유유형을사용하면데이터가유출될수있습니다. [ 크기 ] 이장치에할당하려는최대저장소공간크기를선택합니다. [SAN 볼륨 ] SAN 유형을선택한경우 SAN 볼륨을선택합니다. 데이터를저장할수있는모든볼륨이나열됩니다. [ 편집 ] 다른볼륨의형식을지정하고 SAN 볼륨목록에추가할수있습니다. [ 원격 IP 주소, 원격마운트지점, 원격경로 ] CIFS 또는 NFS 를선택한경우이러한각필드에저장장치의정보를입력합니다. 중복 ESM 에대한보관을설정할때원격경로가기본 ESM 의보관설정과다른지확인합니다. [ 사용자이름, 암호 ] CIFS 를선택한경우저장장치에사용자이름과암호를입력해야합니다. CIFS 공유에연결하는경우암호에쉼표를사용하지마십시오. McAfee Enterprise Security Manager 제품안내서 183

184 3 ESM 구성데이터베이스관리 표 ( 계속 ) [iscsi 장치 ] 및 [iscsi IQN] iscsi 저장장치및 IQN(iSCSI Qualified Name) 을선택합니다. 여러장치를하나의 IQN 에연결하려고하면데이터가유실되고다른구성문제가발생할수있습니다. ELM 과 iscsi SAN 과의연결을설정하고일체형 ESM/ 수신기 /ELM 장치가있는경우, 이필드에장치및해당 IQN(iSCSI Qualified Names) 이나열됩니다. 전용 ESM 및 ELM 장치가있는경우 iscsi 장치에대한연결을구성합니다. [ 연결 ] 연결을테스트하려면클릭합니다. [ 데이터할당 ] [ 이벤트 ], [ 플로 ] 및 [ 로그 ] 필드에서이장치에저장할수있는이벤트, 플로및로그레코드의총수를조정합니다. [ 이벤트파티션 ], [ 플로파티션 ] 또는 [ 로그파티션 ] 탭 [ 활성 ] 열에서최대 100 개의파티션을선택하여다시활성화할수있습니다. ESM 데이터저장소설정 iscsi(internet Small Computer System Interface), SAN(Storage Area Network) 또는 ESM 에연결된 DAS(Direct-attached storage) 장치가있는경우데이터저장소에대해설정할수있습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 데이터베이스 ] [ 보관 ] 을클릭합니다. 2 데이터저장소장치탭을클릭하고액션을선택한다음요청한정보를입력합니다. 사용가능한탭은 ESM 에연결된저장소유형에따라다릅니다. 3 페이지를닫으려면 [ 취소 ] 를클릭합니다. 표 [ 이름 ] iscsi 장치의이름을입력합니다. [IP 주소 ] iscsi 장치의 IP 주소를입력합니다. [ 포트 ] iscsi 장치의포트를선택합니다. ESM VM 데이터저장소설정 ESM VM 에 5 개이상의 CPU 가있는경우 [ 데이터베이스 ] 페이지에서 [VM 데이터 ] 을사용할수있으며이를통해 VM 의시스템저장소, 데이터저장소및고성능저장소에대해사용가능한추가저장소를사용할수있습니다. [ 데이터할당 ] 페이지의각드롭다운목록에는 VM 에서마운트된사용가능한저장소드라이브가있습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 데이터베이스 ] [VM 데이터 ] 를클릭합니다. 2 각필드에서데이터를저장하려는드라이브를선택합니다. 각드라이브는한번만선택할수있습니다. 3 [ 확인 ] 을클릭합니다. 184 McAfee Enterprise Security Manager 제품안내서

185 ESM 구성데이터베이스관리 3 사용가능한누적장치인덱스수늘리기 ESM 의활성표준인덱스수로인해 5 개의인덱스만누적장치필드에추가할수있습니다. 5 개보다더필요한경우현재사용하지않는표준인덱스 (sessionid, src/dst mac, src/dst 포트, src/dst 영역, src/dst 지리적위치 ) 를최대 42 개까지비활성할수있습니다. ESM 은쿼리, 보고서, 경보및보기를생성할때표준인덱스를사용합니다. 인덱스를비활성화한다음이인덱스를사용하는쿼리, 보고서, 경보또는보기를생성하려는경우인덱스가비활성화되어있기때문에처리할수없다는알림을받게됩니다. 어떤인덱스가프로세스에영향을주는지는표시되지않습니다. 이러한제한때문에절대적으로필요한경우가아니면표준인덱스를비활성화하지마십시오. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 데이터베이스 ] 를클릭합니다. 2 [ 설정 ] 을클릭한다음 [ 누적장치인덱싱 ] 탭을클릭합니다. 3 드롭다운목록에서 [ 표준인덱스 ] 를클릭한다음 [ 표준인덱스표시 ] 를선택합니다. 표준인덱스는 [ 활성화됨 ] 영역에나열되어있습니다. 4 비활성화할표준인덱스를클릭한다음화살표를클릭하여 [ 사용가능 ] 영역으로이동시킵니다. 페이지의오른쪽상단모서리에있는 [ 나머지 ] 문의숫자가비활성화하는각표준인덱스만큼늘어납니다. 이제선택한누적장치필드에대해 6 개이상의누적장치인덱스를활성화할수있습니다 (" 누적장치인덱싱관리 " 참조 ). 데이터보존제한설정 시스템에기록데이터를보내는구성이있는경우이벤트및플로를유지하려는시간을선택하고삽입되는기록데이터의양을제한할수있습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 데이터베이스 ] [ 데이터보존 ] 을클릭합니다. 2 이벤트및플로를보존하려는기간및기록데이터제한여부를선택합니다. 3 [ 확인 ] 을클릭합니다. 표 [ 허용하는모든데이터유지 ] 시스템이허용하는최대이벤트또는플로수를유지하려면선택합니다. [ 마지막에대한데이터유지 ] 지정하는시간길이동안만이벤트및플로를유지하려는경우선택합니다. [ 기록데이터삽입제한 ] 기록데이터를제한하려는경우선택하고, [ 다음보다오래된데이터삽입안함 ] 필드에서데이터가있을수있는기간을선택합니다. 데이터할당제한 시스템에서유지되는이벤트및플로레코드의최대수는고정된값입니다. 데이터할당을통해각각에할당하는공간및검색할레코드수를설정하여쿼리를최적화할수있습니다. McAfee Enterprise Security Manager 제품안내서 185

186 3 ESM 구성데이터베이스관리 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 데이터베이스 ] [ 데이터할당 ] 을클릭합니다. 2 숫자행의마커를클릭하여원하는숫자로끌어놓거나 [ 이벤트 ] 및 [ 플로 ] 필드의화살표를클릭합니다. 3 [ 확인 ] 을클릭합니다. 표 상단슬라이더이벤트에할당되어야하는총공간양과플로에할당되어야하는총공간양을나타냅니다. 하단슬라이더쿼리가수행될때검색되는이벤트및플로레코드수를설정합니다. SSD 장치가없는경우이슬라이더가표시되지않습니다. 데이터베이스인덱스설정관리 데이터베이스에서특정데이터필드를인덱싱하는을구성합니다. 데이터가인덱싱되지않는경우저장되지만대부분의쿼리결과에표시되지않습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 데이터베이스 ] [ 설정 ] 을클릭합니다. 2 [ 이벤트 ] 및 [ 플로 ] 열에서현재설정을변경하려면변경하려는항목을클릭하고드롭다운목록에서새설정을선택합니다. 3 [ 포트 ] 열에서 [ 사용자지정 ] 을선택하면새포트값을선택하거나추가할수있도록 [ 포트값 ] 화면이열립니다. 4 [ 확인 ] 을클릭합니다. 표 테이블 ESM 및해당장치에대한인덱싱설정을봅니다. [ MAC 주소 ] 열현재설정을선택하고중하나를선택합니다. 장치에대한설정이 [ 상속 ] 인경우시스템설정을사용합니다. [ 포트 ] 열현재설정을클릭하고중하나를선택합니다. [ 사용자지정 ] 을선택하는경우포트값을선택하거나추가할수있도록 [ 포트값 ] 페이지가열립니다. 표 [ 값추가 ] [ 현재값 ] 필드에선택한값을추가합니다. [ 새로만들기 ] 이름및해당값을입력하여새포트값을추가합니다. 목록에추가되면나중에사용할수있습니다. [ 편집 ] 사용자지정포트의이름또는값을변경합니다. [ 삭제 ] 포트목록에서사용자지정포트를삭제합니다. [ 현재값 ] 값을입력하거나강조표시하고 [ 값추가 ] 를클릭하여포트값을입력합니다. 186 McAfee Enterprise Security Manager 제품안내서

187 ESM 구성데이터베이스관리 3 누적장치인덱싱관리 소스에서숫자데이터를가져오는사용자지정필드가있는경우누적장치인덱싱에서시간경과에따라이데이터의평균또는합계를계산할수있습니다. 여러이벤트를함께누적하고해당값의평균을계산하거나추세값을생성할수있습니다. 시작하기전에 누적장치인덱싱사용자지정유형을설정합니다 (" 사용자지정유형만들기 " 참조 ). 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 데이터베이스 ] 를클릭합니다. 2 [ 설정 ] 을클릭한다음 [ 누적장치인덱싱 ] 탭을클릭합니다. 3 인덱스를선택한다음 [ 확인 ] 을클릭합니다. 이제누적장치쿼리를설정하여결과를표시할수있습니다. 표 드롭다운목록 [ 표준인덱스표시 ] [ 사용가능 ] 목록 인덱스를추가하려는누적장치필드를선택합니다. 인덱스가 5 개보다더많이필요한경우 [ 표준인덱스 ] 를선택합니다. 이을선택하면 [ 활성화됨 ] 및 [ 사용가능 ] 목록에서표준인덱스를볼수있습니다. 누적장치필드를선택한경우활성화할인덱스를선택한다음화살표를클릭하여 [ 활성화됨 ] 목록으로이동시킵니다. 페이지의오른쪽상단모서리에있는 [ 나머지 ] 문에서이필드에대해더선택할수있는인덱스수를볼수있습니다. [ 활성화됨 ] 목록활성화된인덱스를봅니다. [ 표준인덱스표시 ] 를선택한경우표준인덱스가나열됩니다. 제거하려면선택한다음화살표를클릭하여 [ 사용가능 ] 목록으로다시되돌립니다. 표준인덱스를제거하는경우누적장치필드에추가할수있는누적장치인덱스수가늘어납니다. [ 이시점부터 ] 이시점부터생성된데이터에서이러한인덱스를사용하려는경우선택합니다. [ 이전데이터다시빌드 ] 이전데이터에서이러한인덱스를사용하려는경우선택한다음시작할날짜를선택합니다. 이를수행려는경우데이터가들어있는파티션을리빌드해야합니다. 데이터베이스메모리사용률보기 데이터베이스메모리가사용되는방법을자세히설명하는테이블을보고인쇄합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 데이터베이스 ] [ 메모리사용 ] 을클릭합니다. [ 이벤트 ] 및 [ 플로 ] 테이블에데이터베이스의메모리사용률이나열됩니다. McAfee Enterprise Security Manager 제품안내서 187

188 3 ESM 구성사용자및그룹 2 보고서를인쇄하려면 [ 인쇄 ] 아이콘 을클릭합니다. 표 [ 이벤트 ] 테이블 인덱스이름에따라이벤트의메모리사용량을봅니다. [ 플로 ] 테이블 인덱스이름에따라플로의메모리사용량을봅니다. 메모리이용보고서를인쇄합니다. 사용자및그룹 ESM, 해당장치, 해당정책및연결된해당권한에액세스하려면사용자및그룹이시스템에추가되어야합니다. FIPS 모드인경우 ESM 에서는 4 개의사용자역할 ([ 사용자 ], [ 고급사용자 ], [ 키및인증서관리자 ] 및 [ 감사관리자 ]) 을사용할수있습니다. FIPS 모드가아닌경우 2 개의사용자계정유형 ([ 시스템관리자 ] 및 [ 일반사용자 ]) 을사용할수있습니다. [ 사용자및그룹 ] 페이지에두가지섹션이있습니다. [ 사용자 ] 사용자이름, 현재각사용자에게열려있는세션숫자, 이들이속한그룹입니다. [ 그룹 ] 그룹의이름및각각에할당된권한에대한설명입니다. [ 사용자이름 ], [ 세션 ] 또는 [ 그룹이름 ] 을클릭하여표를정렬할수있습니다. 그룹권한 그룹을설정할때그룹의구성원에대한권한을설정합니다. [ 그룹추가 ]([ 시스템속성 ] [ 그룹추가 ]) 의 [ 권한 ] 페이지에서 [ 이그룹의액세스제한 ] 을선택하면이러한기능에대한액세스가제한됩니다. 액션도구모음 사용자가장치관리, 여러장치관리또는이벤트스트리밍뷰어에액세스할수없습니다. [ 경보 ] 그룹의사용자가경보관리수신자, 파일또는템플릿에액세스할수없습니다. 경보를생성, 편집, 제거, 활성화또는비활성화할수없습니다. [ 자산관리자 ] 및 [ 정책편집기 ] 사용자가다음기능에액세스할수없습니다. [ 케이스관리 ] 사용자가 [ 조직 ] 을제외한모든기능에액세스할수있습니다. [ELM] 사용자가강화된 ELM 검색을수행할수있지만 ELM 검색을저장하거나 ELM 장치속성에액세스할수없습니다. [ 필터 ] 사용자가 [ 문자열정규화 ], [Active Directory], [ 자산 ], [ 자산그룹 ] 또는 [ 태그 ] 필터탭에액세스할수없습니다. [ 보고서 ] 사용자가출력을이메일로보내는보고서만실행할수있습니다. [ 시스템속성 ] 사용자가 [ 보고서 ] 및 [ 관심목록 ] 만액세스할수있습니다. [ 관심목록 ] 사용자가동적관심목록을추가할수없습니다. [ 영역 ] 사용자가영역목록에서액세스권한이있는영역만볼수있습니다. 사용자추가 [ 사용자관리 ] 권한이있는경우 ESM, 해당장치, 정책및관련권한에액세스할수있도록사용자를시스템에추가할수있습니다. 추가되면사용자설정을편집하거나제거할수있습니다. 188 McAfee Enterprise Security Manager 제품안내서

189 ESM 구성사용자및그룹 3 1 시스템탐색트리에서 [ 시스템속성 ] [ 사용자및그룹 ] 을선택합니다. 2 암호를입력한다음 [ 확인 ] 을클릭합니다. 3 [ 사용자 ] 섹션에서 [ 추가 ] 를클릭한다음요청한정보를입력합니다. 4 [ 확인 ] 을클릭한다음암호를다시입력합니다. 사용자는자신이속한그룹에할당된권한으로시스템에추가됩니다. 사용자이름이 [ 사용자및그룹 ] 페이지의 [ 사용자 ] 섹션에표시됩니다. 아이콘이각사용자이름옆에표시되며이는계활성화여부를나타냅니다. 사용자에게 관리자권한이있는경우다른아이콘이해당이름옆에표시됩니다. 표 [ 사용자이름 ] 사용자이름을입력합니다. CAC 설정을사용중인경우사용자이름은사용자의 10 자리 EDI-PI 입니다. [ 사용자별칭 ] ( 선택사항 ) 사용자의이름을표시하지않으려는경우별칭을입력합니다. CAC 설정을사용중인경우이는사용자이름일수있습니다. [ 암호 ] [ 암호설정 ] 을클릭하고계고유한암호를입력하고확인한다음 [ 확인 ] 을클릭합니다. [ 역할 ](FIPS 모드전용 ) [ 관리자권한 ] (FIPS 모드가아님 ) [ 계정비활성화 ] 이사용자의역할을선택합니다. 은다음과같습니다. [ 사용자 ] 이러한사용자는 [ 고급사용자 ] 권한이포함된그룹에추가될수없습니다. [ 고급사용자 ] 이러한사용자는모든 UCAPL(Unified Capabilities Approved Products List) 목적을위한시스템관리자로간주되지만시스템관리자의일부권한은없을수있습니다. 이역할은이러한권한을포함한그룹에할당될사용자에게필요합니다. 시스템관리 사용자관리 정책관리 정책추가 / 삭제 사용자지정규칙및변수 글로벌블랙리스트 [ 키및인증서관리자 ] 이역할은키관리기능을수행하기위해필요합니다. 이역할을가진사용자는 [ 고급사용자 ] 권한을포함한그룹에추가될수없습니다. [ 감사관리자 ] 이역할은로그를구성하기위해필요합니다. 이역할을가진사용자는 [ 고급사용자 ] 권한을포함한그룹에추가될수없습니다. 사용자가관리자권한을갖도록하려는경우선택합니다. 액세스그룹을만들고사용자를이러한그룹에할당하여시스템관리자가일반사용자에게권한을부여할수있습니다. 시스템관리자는사용자및그룹영역을포함하여시스템의모든영역에액세스할수있는유일한사용자입니다. 사용자가 ESM 에서해당계정에액세스하지못하도록차단하려는경우선택합니다 (" 사용자계정비활성화또는다시활성화 " 참조 ). [ 이메일주소 ] 사용자의이메일주소를추가합니다. 이는사용자가보고서또는경보통보를받지않는경우선택사항입니다. 이메일주소가이미시스템에있는경우 [ 이메일주소 ] 드롭다운목록에서선택합니다. 주소가시스템에없는경우 [ 이메일주소 ] 를클릭하고주소를시스템에추가합니다. McAfee Enterprise Security Manager 제품안내서 189

190 3 ESM 구성사용자및그룹 표 ( 계속 ) [ 모바일 SMS] 사용자의 SMS( 텍스트 ) 주소를추가합니다. SMS 숫자가이미시스템에있는경우 [ 모바일 SMS] 드롭다운목록에서선택합니다. 주소가시스템에없는경우 [ 모바일 SMS] 를클릭하고주소를시스템에추가합니다. [ 사용자의소속그룹 ] 이사용자가속해야하는그룹을선택합니다. 표 [ 사용자 ] 표 ESM 에대한액세스권한이있는사용자를나열합니다. [ 그룹 ] 테이블 ESM 에서설정된그룹을나열합니다. [ 추가 ], [ 편집 ] 및 [ 제거 ] [ 사용자 ] 표의오른쪽에새사용자를추가하거나기존사용자를편집또는제거합니다. 사용자를제거하려면경보의피할당자로설정되어있지않아야합니다. [ 그룹 ] 표의오른쪽에새그룹을추가하고사용자및권한을할당합니다. 사용자설정선택 [ 사용자설정 ] 페이지에서여러기본설정을변경하는을제공합니다. 시간대, 날짜형식, 암호, 기본표시및콘솔언어를변경할수있습니다. 또한비활성화된데이터소스, [ 경보 ] 탭및 [ 케이스 ] 탭표시여부를선택할수도있습니다. 1 ESM 콘솔의시스템탐색막대에서 [ ] 을클릭합니다. 2 [ 사용자설정 ] 이선택되었는지확인합니다. 3 필요에따라설정을변경한다음 [ 확인 ] 을클릭합니다. 콘솔의모양이설정에따라변경됩니다. 표 [ 시간대및날짜형식선택 ] 첫번째드롭다운목록에서시간대를변경하거나두번째드롭다운목록에서데이터형식을변경합니다. 명시적으로다르게지정하지않는한모든보기, 쿼리및설정에이시간대와관련된이벤트, 플로및로그데이터가이날짜형식으로표시됩니다. 이시간대를변경하는경우잘못된데이터가생성될수있습니다. 따라서항상 GMT 로설정하는것이좋습니다. [ 암호변경 ] [ 사용자이름및암호변경 ] 페이지에서사용중인사용자이름및암호를변경하여 ESM 콘솔에액세스합니다. 콘솔탐색모음에이름을표시하지않으려면 [ 별칭 ] 필드에다른사용자이름을입력합니다. [ 기본표시 ] 시스템이열릴때기본적으로표시하려는시스템탐색트리표시유형을선택합니다. [ 언어 ] 콘솔의언어를선택합니다. [ 시스템트리에비활성화된데이터소스표시 ] 시스템탐색트리에비활성화된데이터소스를표시하려면이을선택합니다. 이아이콘으로표시됩니다. 190 McAfee Enterprise Security Manager 제품안내서

191 ESM 구성사용자및그룹 3 표 ( 계속 ) [ 경보창표시 ] [ 경보 ] 창을콘솔에표시하려면이을선택합니다. [ 케이스관리창표시 ] [ 케이스 ] 창을콘솔에표시하려면이을선택합니다. 보안설정 로그인보안을사용하여표준로그인설정을지정하고, 액세스제어목록 (ACL) 을구성하고, CAC(Common Access Card) 설정을합니다. 또한 RADIUS(Remote Authentication Dial In User Service), Active Directory 및 LDAP(Lightweight Directory Access Protocol) 인증 ( 시스템관리자권한이있는경우에만사용가능 ) 을활성화할수있습니다. 주요기능 McAfee 제품군은네트워크에서찾기도어렵고공격하는것은더욱어렵도록설계되었습니다. 장치에는기본적으로 IP 스택이없으므로패킷이직접전달될수없습니다. 장치와의통신은 McAfee SEM(Secure Encrypted Management) 기술을통해이루어집니다. SEM 은재생또는메시지가로채기 (man-in-the-middle) 유형의공격위험을완화하는대역내암호화된 AES(Advanced Encryption Standard) 채널입니다. 장치는 SEM 채널을통해인증된 ESM 에의해전달될때만통신합니다. 자체적으로는통신을초기화하지않습니다. 또한 ESM 과 ESM 콘솔간의통신은암호화된연결을통해보내집니다. 이연결은 FIPS 컴플라이언트입니다. ESM 은암호화된통신메커니즘의 McAfee 중앙서버에서인증되고암호화된시그니처및소프트웨어업데이트를검색합니다. 하드웨어와소프트웨어기반메커니즘을통해장치가제대로인증된 ESM 에서만관리되는지확인합니다. 표준로그인설정 지정된기간에로그인을시도할수있는횟수, 시스템이비활성화될수있는기간, 암호설정및로그인시마지막사용자 ID 표시여부를하여표준로그인절차에대한설정을조정합니다. McAfee Enterprise Security Manager 제품안내서 191

192 3 ESM 구성사용자및그룹 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 로그인보안 ] 을클릭합니다. 2 [ 표준 ] 탭에서을설정합니다. 3 [ 확인 ] 또는 [ 적용 ] 을클릭합니다. 표 [ 허용된실패한로그인시도횟수 ] 단일세션에서허용되는연속으로실패한로그인횟수를지정합니다. 이숫자가지정된시간을초과하면계정이잠기고시스템관리자가 [ 사용자및그룹 ] 을사용하여잠금을해제해야합니다. 값이 0 이면로그인시도가무한정허용된다는것입니다. 마스터계정은잠글수없습니다. [ 실패한로그인시도시간프레임 ] [ 실패한로그인잠금기간 ] [UI 시간초과값 ] [ 다음이후에비활성계정자동잠금 ] [ 한명의사용자에의한활성세션 ] [ 로그인시마지막사용자 ID 표시 ] [ACL 설정 ] 연속으로실패한로그인시도의시간프레임을합니다. 범위는 분입니다. 이필드는 [ 허용된실패한로그인시도횟수 ] 와함께작동합니다. 지정된시간프레임내에서허용된실패한시도횟수에도달하면대상계정이잠깁니다. [ 실패한로그인잠금기간 ] 필드에서설정한시간길이동안또는시스템관리자에의해잠금이해제되기전까지잠겨있습니다. 실패한로그인으로인해자동으로잠기는경우계정이잠겨야하는시간을지정합니다. 최대값은 1440 분입니다. 0 은자동으로잠금이해제되지않는다는것입니다. 이시간이후계정이자동으로잠금이해제됩니다. 이는수동으로잠긴계정에영향을미치지않습니다. 관리자는언제든지계잠금을해제할수있습니다. 현재세션이로그인화면을강제로가져오기전에이없는상태로지나가야하는시간을지정합니다. 예를들어이값이 30 분으로설정된경우비활성상태로 30 분이지나면응용프로그램이자동으로로그인화면을표시하기때문에다시강제로로그인해야을다시시작할수있습니다. 값이 0 이면제한이없다는것입니다. 비활성상태로특정한일수가지나면관리자권한이없는사용자계정을잠그도록 ESM 을설정합니다. 최대값은 365 일입니다. 최소값은 0 으로, 기능이비활성화됩니다. 잠금은관리자가계잠금을해제할때까지지속됩니다. 단일사용자가한번에가질수있는활성세션수를설정합니다. 최대값은 10 입니다. 0 은제한을비활성화합니다. 사용자이름필드를마지막으로성공한로그인에사용된이름으로채울것인지선택합니다. 시스템에액세스하도록허용되거나시스템에서차단된 IP 주소목록을설정하려는경우선택합니다. 로그온암호설정시스템로그온암호를위해몇가지설정을할수있습니다. 시작하기전에시스템관리자권한이있어야합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 로그인보안 ] 을클릭합니다. 2 [ 암호 ] 탭을클릭하고선택한다음 [ 적용 ] 또는 [ 확인 ] 을클릭합니다. 192 McAfee Enterprise Security Manager 제품안내서

193 ESM 구성사용자및그룹 3 표 [ 고급암호필요 ] 시스템의모든암호가다음문자및길이요구사항을충족하게하려는경우선택합니다. 최소 : 15 자 숫자 2 개 문장부호또는기호 2 개 소문자 2 개 대문자 2 개 반복되는문자를 4 자이상연속하여포함할수없음 암호가이러한요구사항을충족하지않는경우허용되지않습니다. [ 암호만료 ] 로그인암호를변경해야하는간격을지정합니다. 범위는 일사이입니다. 0 을선택한경우암호가만료되지않습니다. [ 암호만료이전통보 ] 사용자에게암호가만료되기며칠전에암호를변경하도록알려줘야하는지그일수를선택합니다. 최대값은 30 이고최소값은 1 입니다. [ 암호만료유예기간 ] [ 유예기간로그인 ] 사용자의암호가만료된후사용자가여전히로그온할수있는기간을선택합니다. 유예기간이끝나면계정이잠기고관리자가잠금을해제해야합니다. 암호가만료된후지정한기간내에사용자가로그온할수있는횟수를선택합니다. 허용된로그인횟수에도달하면계정이잠기고관리자가잠금을해제해야합니다. [ 암호기록수 ] [ 암호변경제한최대간격 ] 개인이사용한암호기록이시스템에저장되어야하는지여부및각사용자에게저장되어야하는개수를지정합니다. 범위는 개의암호입니다. 0 으로설정되면기록이저장되지않습니다. 기록이있는경우사용자가암호를변경할때확인됩니다. 고유하지않은경우오류가반환되고해당암호가업데이트되지않습니다. 고유한경우암호가변경되고새기록항목이추가됩니다. 저장한도에도달한경우가장오래된암호가삭제됩니다. 사용자가암호를변경할수있는간격을제한합니다. 예를들어 12 를선택하면사용자는 12 시간내에두번이상암호를변경하는것이허용되지않습니다. RADIUS 인증설정구성 RADIUS 서버에사용자를인증하도록 ESM 을구성합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 로그인보안 ] 을클릭합니다. 2 [RADIUS] 탭을선택한다음기본서버의필드를입력합니다. 보조서버는선택사항입니다. 3 [ 확인 ] 또는 [ 적용 ] 을클릭합니다. 서버가활성화되면시스템관리자를제외한모든사용자가 RADIUS 서버로인증을받습니다. 인증이비활성화되면 RADIUS 인증에대해설정된사용자는 ESM 에액세스할수없습니다. 표 [ 활성화됨 ] RADIUS 인증을활성화하려면선택합니다. 인증이활성화되면시스템관리자를제외한모든사용자가 RADIUS 서버로인증을받습니다. 인증이비활성화되면 RADIUS 인증에대해설정된사용자는시스템에액세스할수없습니다. [ 기본 ] 및 [ 보조서버 IP 주소 ] RADIUS 서버의 IP 주소를입력합니다. 보조서버 IP 주소, 서버포트및공유비밀이필요하지않습니다. McAfee Enterprise Security Manager 제품안내서 193

194 3 ESM 구성사용자및그룹 표 ( 계속 ) [ 기본 ] 및 [ 보조서버포트 ] [ 기본 ] 및 [ 보조공유비밀 ] RADIUS 서버의포트를입력합니다. RADIUS 서버의공유비밀 ( 암호와유사 ) 을입력합니다. 액세스제어목록설정 ESM 에대한액세스를허용하거나차단할수있는 IP 주소목록을설정합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 로그인보안 ] 을클릭합니다. 2 [ACL 설정 ] 을클릭한다음 IP 주소를목록에추가합니다. 3 [ 확인 ] 을클릭하여설정을저장하고 [ 액세스제어목록 ] 을닫습니다. ACL 목록에서 IP 주소를편집하거나제거할수있습니다. 표 [ 다음주소허용 ] IP 주소가시스템에액세스하도록허용하려면선택합니다. [ 다음주소거부 ] ESM 에서 IP 주소를차단하려면선택합니다. [IP 주소 / 마스크 ] 테이블목록에추가된 IP 주소를봅니다. [ 추가 ] IP 주소또는마스크를목록에추가하려면클릭합니다. [ 편집 ] 목록에서강조표시된 IP 주소를변경하려면클릭합니다. [ 제거 ] 목록에서강조표시된 IP 주소를삭제하려면클릭합니다. CAC 설정 사용자이름및암호를입력하지않고브라우저를통해 CAC 자격증명을제공하여 ESM 에대해인증할수있습니다. CAC 에는서버인증서가웹사이트를식별하는방식과유사하게사용자를식별하는클라이언트인증서가포함되어있습니다. CAC 기능을활성화하는경우사용자가 CAC 기반인증에익숙하다고가정합니다. 사용자는이기능을지원하는브라우저를알고있고 CAC 와관련된 EDI-PI(Electronic Data Interchange Personal Identifier) 에익숙합니다. 인증서는종종취소됩니다. CRL(Certificate revocation list) 은시스템에서이러한해지를인식하게할수있는방법을제공합니다. 사용자는 CRL 파일이포함된.zip 파일을수동으로업로드할수있습니다. ActivClient 는 Windows 에서유일하게지원되는 CAC 미들웨어입니다. Internet Explorer 를사용하는 Windows 의 ESM 에서 CAC 인증을사용하려면 ActivClient 가클라이언트컴퓨터에설치되어있어야합니다. ActivClient 가설치되면 Windows 의기본스마트카드관리자대신 CAC 자격증명을관리하기위해사용됩니다. 클라이언트가다른 CAC 활성웹사이트에액세스하는경우 ActivClient 소프트웨어가이미설치되어있을가능성이높습니다. ActivClient 설정및소프트웨어를다운로드하기위해이동할위치에대한지침은 또는조직의인트라넷에서얻을수있습니다. 응용프로그램신뢰성에대해 CAC 유효성검사를사용하는경우시스템의보안은 CA( 인증서발급기관 ) 의보안에의해결정됩니다. CA 가손상되면 CAC 활성로그인도손상됩니다. 195 페이지의 CAC 로그온구성 194 McAfee Enterprise Security Manager 제품안내서

195 ESM 구성사용자및그룹 3 CAC 로그온구성 CAC 로그온을설정하려면 CA 루트인증서를업로드하고, CAC 로그온기능을활성화하고, 사용자이름을카드홀더의 FQDN( 정규화된고유이름 ) 으로설정하여 CAC 사용자를활성화해야합니다. 그러면카드홀더가사용자이름또는암호를묻는메시지를표시하지않고 CAC 활성브라우저에서 ESM 에액세스할수있습니다. ESM 은 Gemalto 및 Oberthur ID One 카드판독기를지원합니다. 카드판독기에대해도움이필요한경우기술지원에문의하십시오. 1 CA 루트인증서를업로드합니다. a 컴퓨터제어판에서 [ 인터넷 ] [ 내용 ] [ 인증서 ] [ 신뢰할수있는루트인증기관 ] 을클릭합니다. b 현재의루트 CA 를선택한다음 [ 내보내기 ] 를클릭합니다. c [ 인증서내보내기마법사 ] 에서 [ 다음 ] 을클릭한다음 [Base 64 로인코딩된 X.509] 를선택하고 [ 다음 ] 을클릭합니다. d 내보내는파일의위치및이름을입력하고 [ 다음 ] 을클릭한다음 [ 마침 ] 을클릭합니다. e ESM 콘솔의시스템탐색트리에서 [ 시스템속성 ] 에액세스하고 [ 로그인보안 ] 을클릭한다음 [CAC] 탭을선택합니다. f [ 업로드 ] 를클릭한다음 ESM 에내보내고업로드할파일을찾습니다. 2 [ 로그인보안 ] [CAC] 탭에서정보를입력하고요청한항목을선택한다음 [ 확인 ] 을클릭합니다. 3 각 CAC 사용자를활성화합니다. a [ 시스템속성 ] 에서 [ 사용자및그룹 ] 을클릭한다음시스템암호를입력합니다. b [ 사용자 ] 테이블에서사용자의이름을강조표시한다음 [ 편집 ] 을클릭합니다. c [ 사용자이름 ] 필드의이름을 FQDN 으로바꿉니다. d ( 선택사항 ) [ 사용자별칭 ] 필드에사용자이름을입력한다음 [ 확인 ] 을클릭합니다. 표 [ CAC 모드가현재다음으로설정되어있음 ] CAC(Common Access Card) 모드를선택합니다. 은다음과같습니다. [ 해제 ] 기본설정입니다. CAC 로그인이비활성화되어있으므로사용자가 ESM 로그인프롬프트를통해로그인해야합니다. [ ] CAC 인증을사용할수있지만사용자가인증서를제공하지않는경우마치 CAC 모드가해제된것처럼 ESM 로그인프롬프트가표시됩니다. [ 필수 ] CAC 사용로그인만시스템에액세스할수있습니다. 로그인프롬프트가표시되지않습니다. 이을선택하는경우 [ 모드보안 PIN(IPv4) 필요 ] 에보안 PIN 을입력합니다. 이는 CAC 모드를 [ ] 으로전환해야하는경우모든사용자가시스템에서잠겨있을때 LCD 패널에입력하는 PIN 입니다. PIN 은 LCD 패널에서인식되어야하기때문에 IPv4 형식 ( ) 이어야합니다. 인증서및인증서권한은만료되므로 [ 필수 ] 모드에서는잠재적으로모든사용자를 ESM 에서잠글수있습니다. 페일세이프단추는 ESM 앞의 LCD 패널에있으며 CAC 모드를 [ ] 으로다시전환합니다. [ 인증서자격증명 ] CA 루트인증서체인을업로드하여 ESM 이액세스할수있도록합니다. 인증서파일을보거나선택하는위치에다운로드할수있습니다. McAfee Enterprise Security Manager 제품안내서 195

196 3 ESM 구성사용자및그룹 표 ( 계속 ) [ 인증서해지목록 ] 해지한인증서목록을업로드하거나선택한위치에다운로드합니다. [ 검색일정설정 ] ESM 이해지파일업데이트에대해폴링해야하는빈도및 URL 주소를입력하여자동검색일정을설정합니다. 194 페이지의 CAC 설정 Active Directory 인증설정구성 [Active Directory] 에대해사용자를인증하도록 ESM 을구성할수있습니다. 인증이활성화되면시스템관리자를제외한모든사용자가 [Active Directory] 로인증을받습니다. 인증이비활성화되면 [Active Directory] 인증에대해설정된사용자는시스템에액세스할수없습니다. 시작하기전에 ESM 에서액세스할수있는 [Active Directory] 를설정합니다. ESM 에대한액세스권한이있는 [Active Directory] 그룹과동일한이름으로그룹을만듭니다 (" 사용자그룹설정 " 참조 ). 예를들어그룹의이름을 "McAfee 사용자 " 로지정하려면 [ 시스템속성 ] [ 사용자및그룹 ] 으로이동하고 "McAfee 사용자 " 라는그룹을추가합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 로그인보안 ] 을클릭합니다. 2 [Active Directory] 탭을클릭한다음 [Active Directory 인증활성화 ] 를선택합니다. 3 [ 추가 ] 를클릭한다음요청한정보를추가하여연결을설정합니다. 4 [Active Directory 연결 ] 페이지에서 [ 확인 ] 을클릭합니다. 표 [Active Directory 인증활성화 ]. Active Directory 를통해사용자인증을활성화하려면선택하고비활성화하려면선택취소합니다. 인증을선택취소하면 Active Directory 인증에대해설정된사용자는시스템에액세스할수없습니다. [ 추가 ] Active Directory 와의연결을설정하려면클릭합니다. [ 편집 ] 목록에서선택한도메인을변경합니다. [ 삭제 ] 목록에서선택한도메인을삭제합니다. 표 [ 기본값으로사용 ] [ 도메인이름 ] 이도메인을기본값으로사용하려는경우선택합니다. 도메인이름을입력합니다. 시스템에로그온하는경우이도메인이름을사용자이름으로사용할수있습니다. 사용자이름을사용하여로그온하는경우기본값으로지정된도메인이사용됩니다. 196 McAfee Enterprise Security Manager 제품안내서

197 ESM 구성사용자및그룹 3 표 ( 계속 ) [ 추가 ] 단추 Active Directory 에사용되는 IP 주소를추가합니다. [ 관리서버 ] 관리서버의주소인경우선택합니다. 그렇지않은경우선택취소합니다. 입력하는주소중하나에서관리자서버가실행되는호스트를확인해야합니다. [IP 주소 ] Active Directory 에사용되는 IP 주소를입력합니다 []. [ 포트 ] 및 [LDAP 포트 ] 필요한경우기본값을변경합니다. [TLS 사용 ] 데이터에대해 TLS 암호화프로토콜을사용하려면선택합니다. [ 편집 ] 단추기존 IP 주소설정을변경합니다. [ 삭제 ] 단추기존 IP 주소를삭제합니다. McAfee epo 의사용자자격증명설정 사용자자격증명을설정하여 McAfee epo 장치에대한액세스를제한할수있습니다. 시작하기전에 글로벌사용자인증을요구하도록 McAfee epo 장치를설정하면안됩니다 ([ 글로벌사용자인증설정 ] 참조 ). 1 ESM 콘솔의시스템탐색막대에서 [ ] 을클릭한다음 [epo 자격증명 ] 을선택합니다. 2 장치를클릭한다음 [ 편집 ] 을클릭합니다. 장치의상태열에 [ 필요하지않음 ] 이라고표시되는경우장치가글로벌사용자인증에대해설정됩니다. 장치의 [ 연결 ] 페이지에서상태를변경할수있습니다 ("ESM 과연결변경 " 참조 ). 3 사용자이름및암호를입력하고연결을테스트한다음 [ 확인 ] 을클릭합니다. 이장치에액세스하려면사용자는추가한사용자이름및암호가필요합니다. 표 표 ESM 에서 McAfee epo 장치를봅니다. [ 상태 ] 열에 [ 필요하지않음 ] 이라고표시되는경우장치가글로벌사용자인증에대해설정된것입니다. [ 자격증명없음 ] 이라고표시되는경우장치가개인사용자인증을요구하도록설정된것입니다. 사용자인증설정을변경하려면 McAfee epo 장치의 [ 속성 ] 대화상자로이동하고 [ 연결 ] 을클릭하여 [ 사용자인증필요 ] 필드의설정을변경합니다. [ 편집 ] 개인이선택한 McAfee epo 장치에액세스하기위해필요한자격증명을추가하거나변경하려면클릭합니다. 사용자이름및암호를입력한다음 [ 연결테스트 ] 를클릭합니다. [ 삭제 ] 선택한장치의자격증명을삭제하려면클릭합니다. 확인하는메시지가표시됩니다. 사용자비활성화또는다시활성화 사용자가 [ 로그인보안 ] 에서설정한시간프레임내에허용된실패한로그인시도를초과하는경우이기능을사용하여계정을다시활성화합니다. 또한시스템에서사용자를삭제하지않고사용자액세스를임시로또는영구적으로차단해야하는경우이기능을사용해야할수있습니다. McAfee Enterprise Security Manager 제품안내서 197

198 3 ESM 구성사용자및그룹 1 시스템탐색트리에서 [ 시스템속성 ] [ 사용자및그룹 ] 을선택합니다. 2 [ 사용자 ] 테이블에서사용자의이름을강조표시한다음 [ 편집 ] 을클릭합니다. 3 [ 계정비활성화 ] 를선택하거나선택취소한다음 [ 확인 ] 을클릭합니다. [ 사용자및그룹 ] 에서사용자이름옆의아이콘이계정상태를반영합니다. LDAP 서버에대해사용자인증 LDAP 서버에대해사용자를인증하도록 ESM 을구성할수있습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 로그인보안 ] 을클릭합니다. 2 [LDAP] 탭을클릭합니다. 3 필드를입력한다음 [ 적용 ] 또는 [ 확인 ] 을클릭합니다. 인증이활성화되면시스템관리자를제외한모든사용자가 LDAP 서버로인증을받아야합니다. 인증이비활성화되면 LDAP 인증에대해설정된사용자는시스템에액세스할수없습니다. 표 [ 활성화 ] 시스템관리자를제외한모든사용자가 LDAP 서버를사용하여인증하도록하려면 [ 활성화 ] 를선택합니다. 인증이비활성화되면 LDAP 인증에대해설정된사용자는시스템에액세스할수없습니다. [IP 주소 ] LDAP 서버의 IP 주소를입력합니다. [ 포트 ] 필요한경우서버의포트를변경합니다. [TLS 사용 ] 또는 [SSL 사용 ] 데이터의암호화프로토콜을사용하려면선택합니다. [ 기본도메인이름 ] 자격증명에대해체크할도메인을입력합니다. [ 그룹특성 ] 사용자그룹정보가저장되는특성입니다. 일반적으로이필드는변경할필요가없습니다. [ 그룹필터 ] 그룹정보수집에사용되는필터입니다. 검색결과에서특정그룹을포함하거나제외할수있습니다. [ 사용자필터 ] 사용자정보수집에사용되는필터입니다. 검색결과에서특정사용자를포함하거나제외할수있습니다. 사용자그룹설정 그룹은그룹설정을상속하는사용자로구성되어있습니다. [ 사용자관리 ] 권한이있는경우그룹을추가하고이그룹에장치, 정책및권한을할당할수있습니다. 198 McAfee Enterprise Security Manager 제품안내서

199 ESM 구성사용자및그룹 3 1 시스템탐색트리에서 [ 시스템속성 ] [ 사용자및그룹 ] 을클릭한다음암호를입력합니다. 2 [ 그룹 ] 표의오른쪽에있는 [ 추가 ] 를클릭한다음각탭에서요청한정보를작성합니다. 3 [ 확인 ] 을클릭한다음암호를다시입력합니다. 그룹이 [ 사용자및그룹 ] 페이지의 [ 그룹 ] 표에추가됩니다. 표 [ 이름및설명 ] 이그룹의이름과설명을입력합니다. [ 사용자 ] 이그룹에속할사용자를선택합니다. [ 권한 ] 이그룹과연결된권한을선택합니다. 권한을강조표시하면 [ 설명 ] 상자에서설명을볼수있습니다. [ 장치 ] 사용자가액세스할수있는장치를선택합니다. 모든장치를선택하면새장치가시스템에추가될때사용자가새장치에도액세스할수있습니다. [ 정책 ] 사용자가사용하고수정할수있는정책을선택합니다. [IP 주소필터 ] 사용자의액세스권한을특정 IP 주소의보고서또는경보데이터로만제한하려면 [ 추가 ] 를클릭하고주소를입력합니다. [ 영역 ] 사용자가액세스하고수정할수있는영역을선택합니다. [ 이벤트전달 ] 사용자가액세스하고수정할수있는이벤트전달대상을선택합니다. 이은이그룹에이벤트전달권한도있는경우전달되는이벤트유형을지정하는필터뿐만아니라사용자가이벤트를전달할수있는장치를합니다. 특정사용자에게이벤트전달대상을추가하는경우, 그룹에이벤트전달권한이있기만하면이사용자가속한모든그룹에추가됩니다. 이벤트전달대상이액세스그룹에속하지않는경우모든장치에액세스할수있습니다. [ 그룹시간제한 ] 요일및시간제한을추가하여 ESM 에대한그룹의액세스권한을제한합니다. [ 보고서 ] 이그룹의사용자가보고수정할수있는보고서를선택합니다. 그룹에 [ 보고서 ] 권한이있어야합니다. [ 보기 ] 이그룹의사용자가보고수정할수있는보기를선택합니다. 또한다른사용자및그룹과가시성을공유할수있습니다. [ 관심목록 ] 이그룹의사용자가보고수정할수있는관심목록을선택합니다. 또한다른사용자및그룹과가시성을공유할수있습니다. [ 필터 ] 이그룹의사용자가보거나수정하거나둘다수행할수있는필터세트를선택합니다. 표 테이블시스템에추가된모든사용자를나열합니다. 이그룹에서원하는사용자를선택합니다. [ 모두선택 ] 모든사용자를선택합니다. 그런다음그룹에속하지않은사용자를선택취소할수있습니다. [ 선택안함 ] 모든사용자를선택취소합니다. 그런다음이그룹에서원하는사용자를선택할수있습니다. McAfee Enterprise Security Manager 제품안내서 199

200 3 ESM 구성사용자및그룹 표 [ 이그룹의액세스제한 ] 그룹의권한을제한합니다. [ 권한 ] 목록 ESM 에서사용할수있는모든권한을나열합니다. 개별적으로선택또는선택취소하거나 [ 모두선택 ] 또는 [ 선택안함 ] 을클릭합니다. [ 사용자관리 ] 권한이있는경우관리자가아닌표준사용자의권한을잠금해제하거나변경할수있습니다. [ 설명 ] 선택한권한에대한설명을표시합니다. 표 ( 보기전용 ) [ 상위폴더에서권한상속 ] ( 보고서및관심목록전용 ) [ 수정설정상속 ] 이을활성화하거나비활성화하려면 [ 마스터 ] 또는 [ 관리 ] 권한이있어야합니다. 기본적으로선택됩니다. 상위에서권한을상속하지않으려는경우이을선택취소합니다. [ 그룹 ] 및 [ 사용자 ] 탭이활성화됩니다. 이을활성화하거나비활성화하려면 [ 마스터 ] 또는 [ 관리 ] 권한이있어야합니다. 기본적으로선택됩니다. 사용자는 [ 수정 ] 권한을상속합니다. 기본설정을변경하려는경우이을선택취소합니다. [ 그룹 ] 탭구성원으로있는그룹을기반으로, 액세스권한이있는모든그룹이나열됩니다. 선택한항목에액세스권한이있어야하는그룹을나타냅니다. [ 읽기전용 ], [ 수정 ] 을선택하거나둘다선택하지않을수있습니다. 이들중하나도선택하지않는경우그룹에거부권한이있습니다. [ 수정 ] 을선택하면 [ 읽기전용 ] 이자동으로선택됩니다. [ 기본값 ] 이라는유사그룹이 [ 마스터 ] 또는 [ 관리 ] 사용자에대해표시됩니다. 나중에만들어진그룹은이권한을얻습니다. [ 사용자 ] 탭구성원으로있는그룹을기반으로, 액세스권한이있는모든사용자가나열됩니다. 선택한항목에액세스권한이있어야하는사용자를나타냅니다. [ 읽기전용 ], [ 수정 ] 을선택하거나둘다선택하지않을수있습니다. 이들중하나도선택하지않는경우사용자에게거부권한이있습니다. [ 수정 ] 을선택하면 [ 읽기전용 ] 이자동으로선택됩니다. 사용자권한이그룹권한보다우선합니다. 예를들어사용자에게리소스에대한 [ 읽기 ] 액세스권한만주어지고해당그룹에는 [ 수정 ] 액세스권한이주어지는경우사용자는선택한항목을 [ 읽기 ] 만할수있습니다. 사용자를목록에추가하거나제거할수있습니다. 1 [ 추가 ] 를클릭하고사용자를클릭한다음 [ 확인 ] 을클릭합니다. 2 각사용자에대해 [ 읽기 ] 또는 [ 수정 ] 을선택한다음 [ 확인 ] 을클릭합니다. 사용자가목록에없는경우시스템은해당사용자의그룹권한을사용합니다. 사용자가목록에있지만 [ 읽기 ] 또는 [ 수정 ] 을선택하지않은경우해당사용자는리소스에대한명시적인거부권한이있습니다. 표 정책목록 ESM 의정책을나열합니다. 이그룹이액세스할수있는정책을선택합니다. [ 모두선택 ] 모든정책을선택합니다. [ 선택안함 ] 모든정책을선택취소합니다. 200 McAfee Enterprise Security Manager 제품안내서

201 ESM 구성사용자및그룹 3 표 [ 목록 ] 목록의 IP 주소를봅니다. [ 추가 ] IP 주소를목록에추가하려면클릭합니다. [ 편집 ] 선택한 IP 주소를수정합니다. [ 제거 ] 목록에서선택한주소를삭제합니다. 표 영역목록 ESM 에추가된영역을나열합니다. 이그룹이액세스할수있는영역을선택합니다. [ 모두선택 ] 목록의모든영역을선택합니다. [ 선택안함 ] 목록의모든영역을선택취소합니다. 표 이벤트전달대상목록 ESM 에추가된대상을나열합니다. 이그룹이액세스할수있는대상을선택합니다. 대상이액세스그룹에속하지않는경우모든장치에대한액세스권한이있어야합니다. [ 모두선택 ] 목록의모든대상을선택합니다. [ 선택안함 ] 목록의모든대상을선택취소합니다. 표 [ 제한활성화 ] 이그룹의제한을활성화하려면선택합니다. [ 시간대 ] 이그룹이있는시간대를선택합니다. [ 시작시간및종료시간 ] 그룹이시작과끝에액세스하는하루의시간을선택합니다. 선택한날에 24 시간액세스해야하는경우양쪽필드에서 00:00 을선택합니다. [ 요일 ] 그룹구성원이 ESM 에액세스할수있는요일을선택합니다. 표 [ 이름 ] 열 ESM 에서보고서를나열합니다. [ 읽기 ] 열이그룹이읽을수있는보고서를선택합니다. [ 수정 ] 을선택하면 [ 읽기 ] 도선택됩니다. [ 수정 ] 열이그룹이수정할수있는보고서를선택합니다. [ 공유 ] 다른그룹또는사용자가선택한보고서의가시성을공유하도록선택하려면클릭합니다. 표 [ 이름 ] 열 ESM 의모든보기를나열합니다. [ 읽기 ] 열이그룹이읽을수있는보기를선택합니다. [ 수정 ] 열이그룹이수정할수있는보기를선택합니다. [ 공유 ] 다른그룹또는사용자가선택한항목의가시성을공유하도록선택하려면클릭합니다. McAfee Enterprise Security Manager 제품안내서 201

202 3 ESM 구성시스템설정백업및복원 표 [ 이름 ] 열 ESM 의모든관심목록을봅니다. [ 읽기 ] 열 이그룹이읽을수있는관심목록을선택합니다. [ 수정 ] 을선택하면 [ 읽기 ] 도선택됩니다. [ 수정 ] 열 이그룹이수정할수있는관심목록을선택합니다. [ 공유 ] 다른그룹또는사용자가선택한항목의가시성을공유하도록선택하려면클릭합니다. 제한된액세스를사용하여그룹추가 ESM 의기능에대해특정사용자의액세스를제한하려면해당사용자를포함하는그룹을만듭니다. 이은경보, 케이스관리, ELM, 보고서, 관심목록, 자산관리, 정책편집기, 영역, 시스템속성, 필터및액션도구모음에대한액세스를제한합니다 ( 사용자및그룹참조 ). 다른모든기능이비활성화됩니다. 1 시스템탐색트리에서시스템을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 사용자및그룹 ] 을클릭한다음시스템암호를입력합니다. 3 다음중하나를수행합니다. 그룹이이미설정된경우 [ 그룹 ] 테이블에서선택한다음 [ 편집 ] 을클릭합니다. 그룹을추가하는경우 [ 그룹 ] 테이블옆의 [ 추가 ] 를클릭한다음이름및설명을입력하고사용자를선택합니다. 4 [ 권한 ] 을클릭한다음 [ 이그룹의액세스제한 ] 을선택합니다. 대부분의권한이비활성화됩니다. 5 나머지권한목록에서이그룹에할당할권한을선택합니다. 6 각탭을클릭하고그룹의나머지설정을합니다. 시스템설정백업및복원 시스템장애또는데이터유출시복원할수있도록현재시스템구성설정을자동또는수동으로저장합니다. 또한현재설정을지정하고중복 ESM 에저장할수도있습니다. 표준백업은정책, SSH, 네트워크및 SNMP 파일에대한설정을포함하여모든구성설정을저장합니다. ESM 장치를추가할때 7 일마다백업하도록 [ 백업및복원 ] 이사용됩니다. 시스템에서수신하는이벤트, 플로및로그를백업할수있습니다. 이벤트, 플로또는로그데이터를처음으로백업하면현재날짜시작지점부터의데이터만저장합니다. 후속백업은마지막으로백업한때부터데이터를저장합니다. 시스템을복원하려면 ESM, 로컬컴퓨터또는원격위치에서백업파일을선택하여설정및데이터를이전상태로되돌리면됩니다. 이기능을수행하는경우백업이만들어진이후의설정에대한모든변경사항은손실됩니다. 예를들어일상적인백업을수행하고마지막 3 일간의데이터를복원하려면마지막백업파일 3 개를선택합니다. 백업파일 3 개의이벤트, 플로및로그가현재 ESM 의이벤트, 플로및로그에추가됩니다. 그러면모든설정이가장최근백업에포함된설정으로덮어써집니다. 203 페이지의 ESM 설정및시스템데이터백업 204 페이지의 ESM 설정복원 204 페이지의백업한구성파일복원 205 페이지의 ESM 에서백업파일 205 페이지의파일유지관리 202 McAfee Enterprise Security Manager 제품안내서

203 ESM 구성시스템설정백업및복원 3 ESM 설정및시스템데이터백업 소프트웨어업그레이드를시작하기전에 ESM 구성파일을백업하고저장합니다. ESM 장치를추가할때 7 일마다백업하도록 [ 백업및복원 ] 이사용됩니다. 비활성화하거나기본설정으로변경할수있습니다. 자세한내용은 KB 문서, McAfee [ESM] 장치의백업프로세스를참조하십시오. 업그레이드를시작하기전에모든장치를 [ 전체백업 ] 하는것이좋습니다. 전체백업에는다음이포함됩니다. ESM, ERC, DEM, ADM 및 ACE 장치에대한설정이포함됩니다. ELM 전체백업은구성설정만포함합니다. 데이터베이스설정은별도로백업해야하며그러지않은경우로컬공유, 원격공유및 SAN 에대한모든데이터베이스연결이끊어집니다. CPService 다음 DBServer 를중지하고 /usr/local/ess/data/, /etc/nitroguard 및원격공유에있는다른폴더의콘텐츠복사본을만듭니다. 업그레이드도중문제가발생하면다음을수행하면됩니다. 기존버전에소프트웨어를다시설치합니다. 백업파일을다시설치합니다. 다음버전으로다시업그레이드를시도합니다. 백업은현재 ESM 장치버전과만호환됩니다. 업그레이드된 ESM 장치에이전버전의백업을설치할수없습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ESM 관리 ] [ 유지관리 ] [ 백업 ] 을클릭합니다. 2 백업에대한설정을합니다. 3 [ 백업및복원 ] 페이지를닫으려면 [ 확인 ] 을클릭합니다. 표 [ 백업빈도 ] [ 다음에대한데이터백업 ] 새 ESM 장치를시스템에추가하면 7 일마다백업을수행할수있도록 [ 백업및복원 ] 기능이활성화됩니다. 빈도를변경할수도있고백업을비활성화할수도있습니다. 백업에포함할내용을선택합니다. [ 백업위치 ] 백업을저장하려는위치를선택합니다. [ESM] ESM 에저장되고 [ 파일유지관리 ] 페이지에서액세스합니다. [ 원격위치 ] 활성화되는필드에서하는위치에저장됩니다. 수동으로모든시스템데이터및 ESM 복사본을저장하는경우이을선택해야합니다. CIFS 공유를백업할때원격경로필드에슬래시 (/) 를사용합니다. McAfee Enterprise Security Manager 제품안내서 203

204 3 ESM 구성시스템설정백업및복원 표 ( 계속 ) [ 지금백업 ] 수동으로 ESM 설정및이벤트, 플로및로그를백업합니다 ( 선택한경우 ). 백업이성공적으로완료된경우 [ 닫기 ] 를클릭합니다. [ 지금전체백업 ] 수동으로시스템데이터및장치설정복사본을저장합니다. 이는 ESM 에저장할수없으므로 [ 백업위치 ] 필드에서 [ 원격위치 ] 를선택하고위치정보를입력해야합니다. 데이터유실을방지하려면주요버전업데이트전에전체백업을수행하는것이좋습니다. Samba Server 3.2 보다높은버전에서 CIFS(Common Internet File System) 공유유형을사용하면데이터가유실될수있습니다. 202 페이지의시스템설정백업및복원 204 페이지의 ESM 설정복원 204 페이지의백업한구성파일복원 205 페이지의 ESM 에서백업파일 205 페이지의파일유지관리 ESM 설정복원 시스템오류또는데이터유실이발생한경우백업파일을선택하여시스템을이전상태로복원할수있습니다. 데이터베이스에허용된최대레코드가포함되어있고복원되는레코드가 ESM 의현재데이터범위밖에있는경우레코드가복원되지않습니다. 해당범위밖의데이터를저장하고액세스하려면비활성파티션보관을설정해야합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ESM 관리 ] [ 유지관리 ] [ 백업복원 ] 을클릭합니다. 2 수행해야하는복원유형을선택합니다. 3 원격위치의정보를복원하거나입력하려는파일을선택한다음 [ 확인 ] 을클릭합니다. 백업복원은복원파일의크기에따라시간이오래걸릴수있습니다. 전체복원이완료될때까지 ESM 은오프라인상태입니다. 이기간중 ESM 이 5 분마다다시연결하려고시도합니다. 프로세스가완료되면 [ 로그인 ] 페이지가표시됩니다. 202 페이지의시스템설정백업및복원 203 페이지의 ESM 설정및시스템데이터백업 204 페이지의백업한구성파일복원 205 페이지의 ESM 에서백업파일 205 페이지의파일유지관리 백업한구성파일복원 각장치에대해 ESM 에서백업한 SSH, 네트워크, SNMP 및기타구성파일을복원할수있습니다. 시작하기전에 ESM 에서구성파일을백업합니다 ("ESM 설정및시스템데이터백업 " 참조 ). 204 McAfee Enterprise Security Manager 제품안내서

205 ESM 구성시스템설정백업및복원 3 1 시스템탐색트리에서장치를클릭한다음 [ 속성 ] 아이콘을클릭합니다. 2 장치의 [ 구성 ] 을클릭하고 [ 구성복원 ] 을클릭한다음확인페이지에서 [ 예 ] 를클릭합니다. 202 페이지의시스템설정백업및복원 203 페이지의 ESM 설정및시스템데이터백업 204 페이지의 ESM 설정복원 205 페이지의 ESM 에서백업파일 205 페이지의파일유지관리 ESM 에서백업파일 ESM 에저장된백업파일을다운로드, 삭제또는볼수있습니다. 또한파일을업로드하여백업파일목록에추가할수있습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 파일유지관리 ] 를클릭합니다. 2 [ 유형선택 ] 드롭다운목록에서 [ 백업파일 ] 을선택합니다. 3 수행하려는액션을선택합니다. 4 [ 확인 ] 을클릭합니다. 202 페이지의시스템설정백업및복원 203 페이지의 ESM 설정및시스템데이터백업 204 페이지의 ESM 설정복원 204 페이지의백업한구성파일복원 205 페이지의파일유지관리 파일유지관리 ESM 은백업, 소프트웨어업데이트, 경보로그및보고서로그파일을저장합니다. 이러한각목록의파일을다운로드, 업로드및제거할수있습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 파일유지관리 ] 를클릭합니다. 2 [ 파일유형선택 ] 필드에서 [ 백업파일 ], [ 소프트웨어업데이트파일 ], [ 경보로그파일 ] 또는 [ 보고서파일 ] 을선택합니다. McAfee Enterprise Security Manager 제품안내서 205

206 3 ESM 구성중복 ESM 3 파일을선택한다음중하나를클릭합니다. 4 [ 적용 ] 또는 [ 확인 ] 을클릭합니다. 표 [ 파일유형선택 ] 관리할파일유형을선택합니다. [ 다운로드 ] 선택한파일을 ESM 이아닌위치에저장합니다. [ 업로드 ] 파일을 ESM 에추가합니다. [ 제거 ] ESM 에더이상있지않도록선택한파일을삭제합니다. [ 새로고침 ] 파일의목록을새로고쳐최근변경내용을반영합니다. [ 세부정보 ]( 백업파일전용 ) 선택한백업의세부정보를봅니다. [ 설정 ]( 백업파일전용 ) [ 백업및복원 ] 페이지에액세스합니다. 202 페이지의시스템설정백업및복원 203 페이지의 ESM 설정및시스템데이터백업 204 페이지의 ESM 설정복원 204 페이지의백업한구성파일복원 205 페이지의 ESM 에서백업파일 중복 ESM 중복 ESM 기능을통해현재 ESM 설정을시스템오류또는데이터유출이발생한경우기본 ESM 으로변환될수있는중복 ESM 에저장할수있습니다. 이기능은시스템관리자권한이있는사용자만사용할수있습니다. 중복을설정하려면기본장치의설정및데이터를받는중복장치를추가한다음백업설정및데이터를중복장치에보내는기본장치의설정을해야합니다. 기본 ESM 의구성및정책데이터가중복 ESM 과 5 분마다자동으로동기화됩니다. ESM 중복기능은 ESMREC 콤보장치에서사용할수없습니다. 206 페이지의 ESM 중복설정 207 페이지의중복 ESM 제거 ESM 중복설정 시스템설정을중복 ESM 에저장하려면서로통신할수있도록각 ESM 을설정해야합니다. 시스템설정은 5 분마다동기화됩니다. 기본 ESM 을데이터테이블이동기화되도록설정하면이이수행됩니다. 시작하기전에 기본및중복 ESM 을설정합니다. 206 McAfee Enterprise Security Manager 제품안내서

207 ESM 구성중복 ESM 3 1 기본 ESM 및각중복 ESM 에서 SSH 를활성화합니다. a 시스템탐색트리에서 [ 시스템속성 ] 에액세스한다음 [ 네트워크설정 ] 을클릭합니다. b [SSH 활성화 ] 가선택되었는지확인한다음 [ 확인 ] 을클릭합니다. 2 보관은 ESM 종속이므로중복이벤트, 플로및로그를보관해야하는경우중복 ESM 에보관을설정합니다. a 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 데이터베이스 ] [ 보관 ] 을클릭합니다. b 선택한유형에따라다른필드를입력합니다. 중복 ESM 의보관데이터가기본 ESM 과다른위치에저장되는지확인합니다. c [ 확인 ] 을클릭하여설정을저장합니다. 중복 ESM 은중복이추가된후기본 ESM 과동일한데이터를보관합니다. 3 중복 ESM 에서로그아웃합니다. 4 기본 ESM 에로그온합니다. 5 [ 시스템속성 ] 에액세스한다음 [ESM 관리 ] [ 중복 ] 을클릭합니다. 6 기본 ESM 이중복 ESM 에쿼리를보내도록설정하려면 [ 공유된쿼리 ] 를선택합니다. 7 데이터테이블을동기화하려면 [ 동기화예약 ] 을선택한다음 [ 동기화시간 ] 필드에서동기화가발생하게하려는시간을선택합니다. 8 [SSH 포트 ] 필드에서장치가통신하는데사용하는 SSH 포트를선택합니다. 9 중복 ESM 에대한정보를기본 ESM 에추가합니다. 최대 5 개의중복 ESM 을추가할수있습니다. a [ 추가 ] 를클릭한다음중복 ESM 의이름을입력합니다. b 중복 ESM 의 IP 주소, 사용자이름및암호를입력하고 [ 다음 ] 을클릭합니다. 기본 ESM 은중복 ESM 과통신하려고시도합니다. c 장치에성공적으로키가지정되었다는것을확인하면 [ 마침 ] 을클릭합니다. d 이기본 ESM 에추가하려는모든중복 ESM 에대해이러한단계를반복합니다. 10 [ 확인 ] 을클릭합니다. 기본및중복 ESM 이동기화를시작합니다. 206 페이지의중복 ESM 207 페이지의중복 ESM 제거 중복 ESM 제거 기본 ESM 과통신하는중복 ESM 목록에서 ESM 을제거할수있습니다. McAfee Enterprise Security Manager 제품안내서 207

208 3 ESM 구성중복 ESM 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ESM 관리 ] [ 중복 ] 을클릭합니다. 2 중복 ESM 의표에서제거할 ESM 상태가 [ 중복확인 ] 또는 [ 연결이끊어짐 ] 인지확인합니다. 상태가 [ 동기화 ] 인경우중복 ESM 을제거하려고하지마십시오. 3 ESM 을선택한다음 [ 제거 ] 를클릭합니다. 중복 ESM 이목록에서제거되어더이상기본 ESM 에서백업데이터를받을수없습니다. 목록의다른 ESM 은기본 ESM 과계속동기화됩니다. 206 페이지의중복 ESM 206 페이지의 ESM 중복설정 207 페이지의중복 ESM 제거 공유된쿼리비활성화 공유된쿼리기능을사용하면중복시스템에서기본 ESM 의부하를줄일수있습니다. 쿼리의지정된날짜범위가쿼리데이터가중복 ESM 에있음을나타내는경우중복 ESM 에서쿼리를실행하여부하를줄일수있습니다. 이기능은중복 ESM 에서제공하는리소스를효과적으로사용합니다. [ 공유된쿼리 ] 가활성화되어있을때요청된데이터가 30 일을넘거나쿼리시작시간이 12 시간을초과하는경우중복 ESM 에쿼리를보냅니다. 이러한쿼리결과는항상기본 ESM 에반환됩니다. [ 공유된쿼리 ] 는기본적으로활성화되어있습니다. 중복 ESM 이이전모델이면쿼리는처리하는데더오래걸릴수있습니다. 쿼리가더빨리처리되어야하는경우이기능을비활성화할수있습니다. 1 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ESM 관리 ] [ 중복 ] 을클릭합니다. 3 [ 중복구성 ] 페이지에서 [ 공유된쿼리 ] 를선택해제한다음 [ 확인 ] 을클릭합니다. CPService 가재시작됩니다. 중복 ESM 을기본 ESM 으로변경 ESM 중복이있는경우중복 ESM 을기본 ESM 으로변경할수있습니다. 이는어떤이유로든기본 ESM 이실패하거나비활성화해야하는경우필요합니다. 208 McAfee Enterprise Security Manager 제품안내서

209 ESM 구성 ESM 관리 3 1 중복 ESM 시스템탐색트리에서시스템을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ESM 관리 ] [ 중복 ] 을클릭한다음 [ 페일오버 ] 를클릭합니다. 장치가성공적으로토글되고다시초기화되면사용자에게알립니다. 3 메시지가표시되면기본 ESM 으로변경되는중복 ESM 의암호를입력합니다. ESM 관리 ESM 의소프트웨어, 로그, 인증서, 기능파일및통신키를관리하기위해여러가지을수행할수있습니다. 탭 [ 구성 ] [ 키관리 ] [ 유지관리 ] [ 로그관리 ] 이벤트로그에로깅되는이벤트유형을구성합니다. [ESM 계층 ] 계층 ESM 장치에서하는경우데이터을구성합니다. [ 조작 ] 이벤트전달에서보내거나상위 ESM 으로보낸경보레코드에서선택한데이터를마스크하기위한글로벌설정을합니다. [ 로깅 ] 내부이벤트를저장소의 ELM 에보냅니다. 이데이터는감사용으로사용할수있습니다. [ 시스템로캘 ] 상태모니터및장치로그와같은이벤트로깅에사용되는시스템언어를선택합니다. [ 이름맵 ] 포트및프로토콜을선택취소하여이름대신원시숫자를표시하도록합니다. 예를들어 [ 소스포트 ] 또는 [ 대상포트 ] 를선택취소하면 이 80 으로표시됩니다. 프로토콜을선택하면원시숫자 17 이 udp 로표시됩니다. [ 로컬네트워크 ] 로컬네트워크에포함된 IP 주소또는서브넷목록을추가합니다. [ 중복 ] 하나이상의중복 ESM 을설정하여기본 ESM 의모든데이터를백업합니다 (" 중복 ESM" 참조 ). [ 인증서 ] 새 SSL(Secure Socket Layer) 인증서를설치합니다. [SSH 다시생성 ] [ 모든키내보내기 ] 모든장치와통신하기위한비공개또는공개 SSH 키쌍을다시생성합니다. 한번에하나씩내보낼필요없이시스템에서모든장치의통신키를내보냅니다. [ 모든키복원 ] [ 모든키내보내기 ] 기능을사용하여내보낸모든장치또는선택한장치의통신키를복원합니다. [ESM 업데이트 ] [ESM 데이터 ] ESM 규칙및업데이트서버또는 McAfee 보안엔지니어에서 McAfee 소프트웨어를업데이트합니다. ESM 상태에대한정보가포함된.tgz 파일을다운로드합니다. 이상태는 McAfee 지원에서문제를해결하는데도움을줄수있습니다. [ 관리자 ] ESM 에서실행되는쿼리를보고필요한경우중지합니다. [ 종료 ] ESM 을종료합니다. 이액션으로인해모든사용자가 ESM 과통신이끊어진다는경고가표시됩니다. [ 재부팅 ] ESM 을중지하고다시시작합니다. 이액션으로인해모든사용자가 ESM 과통신이끊어진다는경고가표시됩니다. [ 기능가져오기 ] 추가기능을구입한경우 ESM 에서지원되는기능에대한정보가포함된암호화된파일을다운로드하여 ESM 에서새기능을활성화합니다. McAfee Enterprise Security Manager 제품안내서 209

210 3 ESM 구성 ESM 관리 탭 [ 기능설정 ] [ 기능가져오기 ] 로다운로드한파일을설치합니다. [ 연결 ] 지원을요청하는경우 McAfee 지원에시스템에대한액세스권한을제공하십시오. 이은 FIPS 컴플라이언트가아니므로 FIPS 모드에서작동하는경우사용할수없습니다. [ 통계보기 ] 다음과같은 ESM 장치정보에액세스합니다. 메모리및스왑공간사용률통계 CPU 사용률 시스템전환 입력 / 출력및전송속도통계 대기열길이및로드평균 로그관리 ESM 에서생성된여러가지이벤트유형이있습니다. 이벤트로그에저장하려는이벤트유형을선택할수있습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ESM 관리 ] 를클릭합니다. 2 [ 로그관리 ] 를클릭한다음로깅하려는이벤트유형을선택합니다. 3 [ 확인 ] 을클릭합니다. 탭설명 [ 구성 ] 탭 [ 로그관리 ] 이벤트로그에로깅되는이벤트유형을구성합니다. [ESM 계층 ] 계층 ESM 장치에서하는경우데이터을구성합니다. [ 조작 ] 이벤트전달에서보내거나상위 ESM 으로보낸경보레코드에서선택한필드를마스크합니다. [ 로깅 ] 내부이벤트를저장소의 ELM 에보냅니다. 이데이터는감사용으로사용할수있습니다. [ 시스템로캘 ] 상태모니터로그및장치로그와같은이벤트로깅에사용되는언어를선택합니다. [ 이름맵 ] 포트및프로토콜을선택취소하여이름대신원시숫자를표시하도록합니다. 예를들어 [ 소스포트 ] 또는 [ 대상포트 ] 를선택취소하면 이 80 으로표시됩니다. [ 프로토콜 ] 을선택하면원시숫자 17 이 udp 로표시됩니다. [ 로컬네트워크 ] 로컬네트워크에포함된 IP 주소또는서브넷목록을추가합니다. [ 중복 ] 하나이상의중복 ESM 을설정하여기본 ESM 의모든데이터를백업합니다 (" 중복 ESM" 참조 ). [ 키관리 ] 탭 [ 인증서 ] 새 SSL 인증서를설치합니다. [SSH 다시생성 ] [ 모든키내보내기 ] 모든장치와통신하기위해비공개또는공개 SSH 키쌍을다시생성합니다. 키가다시생성되면 ESM 에서관리되는모든장치의이전키쌍을바꿉니다. 한번에하나씩내보낼필요없이시스템에서모든장치의통신키를내보냅니다. [ 모든키복원 ] [ 모든키내보내기 ] 기능을사용하여내보낸모든장치또는선택한장치의통신키를복원합니다. 210 McAfee Enterprise Security Manager 제품안내서

211 ESM 구성 ESM 관리 3 탭설명 [ 유지관리 ] [ESM 업데이트 ] [ESM 데이터 ] ESM 규칙및업데이트서버또는 McAfee 보안엔지니어에서 McAfee 소프트웨어를업데이트합니다. ESM 상태에대한정보가포함된.tgz 파일을다운로드합니다. 이상태는 McAfee 지원에서문제를해결하는데도움을줄수있습니다. [ 관리자 ] ESM 에서실행되는쿼리를보고관리합니다. [ 종료 ] ESM 을종료합니다. 이액션으로인해모든사용자가 ESM 과통신이끊어진다는경고가표시됩니다. [ 재부팅 ] ESM 을시작합니다. 이액션으로인해모든사용자가 ESM 과통신이끊어진다는경고가표시됩니다. [ 기능가져오기 ] 새로구입한 ESM 기능을활성화하려면먼저현재지원되는 ESM 기능에대한정보가들어있는암호화된파일을다운로드합니다. [ 기능설정 ] [ 기능가져오기 ] 로다운로드한파일을설치합니다. [ 연결 ] 또는 [ 연결끊기 ] McAfee 에지원을요청하는경우시스템에대한기술지원액세스권한을제공하십시오. 이은 FIPS 컴플라이언트가아니므로 FIPS 모드에서작동하는경우사용할수없습니다. [ 통계보기 ] 다음과같은 ESM 장치정보에액세스합니다. 메모리및스왑공간사용률통계 CPU 사용률 시스템전환 입력 / 출력및전송속도통계 대기열길이및로드평균 [ 백업 ] 이제 ESM 설정을백업하거나자동백업을설정합니다. 백업은 ESM 또는원격위치에저장할수있습니다. 시스템설정을이전백업으로복원할수도있습니다. [ 백업복원 ] 이제이벤트, 플로및로그를백업하거나자동백업을설정합니다. 또한지정하는날짜범위의이벤트, 플로및장치로그를복원할수있습니다. 표 [ 이벤트로그유형지정 ] 유형을선택하거나선택취소하여이 ESM 에서수집하려는이벤트로그유형을지정합니다. 유형을클릭하면설명이표시됩니다. IP 주소마스크 이벤트전달에서보내거나상위 ESM 으로보낸이벤트레코드의특정데이터를마스크하도록선택할수있습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ESM 관리 ] [ESM 계층 ] 을클릭합니다. 2 데이터를마스크하려는 ESM 에대해 [ 조작 ] 을선택합니다. [ 조작필드선택 ] 페이지가열립니다. 3 마스크할필드를선택합니다. 4 [ 확인 ] 을클릭합니다. 이기능이설정되고상위 ESM 에서하위 ESM 의패킷을요청하는경우선택한데이터가마스크됩니다. McAfee Enterprise Security Manager 제품안내서 211

212 3 ESM 구성 ESM 관리 표 [ 이벤트로그유형지정 ] 유형을선택하거나선택취소하여이 ESM 에서수집하려는이벤트로그유형을지정합니다. 유형을클릭하면설명이표시됩니다. 표 [ 조작가능 ] 목록숨길수있는필드를나열합니다. 이목록에는중요한데이터및모든사용자지정유형을포함할수있는필드가포함됩니다. 목록에서필드를찾으려면검색필드에이름을입력합니다. [ 선택한필드 ] 목록현재숨겨진필드를나열합니다. 화살표한목록에서다른목록으로선택한필드를이동합니다. [ 글로벌조작설정구성 ] 링크 표 시스템의조작설정을추가하거나변경하려면클릭합니다. [ 시드값 ] 매번동일한방식으로조작이수행되는지확인하려면 [ 시드값 ] 필드에시드를입력하거나 [ 생성 ] 을클릭하여임의시드를생성합니다. 이는여러 ESM 간에 IP 주소를조작하고값이계속동기화되도록하려는경우유용합니다. [ 로컬네트워크포함 ] [ 로컬네트워크설정수정 ] 표 로컬네트워크내부및외부의 IP 주소를숨기려면선택합니다. 그러면 IPv4 및 IPv6 주소와같은 IP 사용자지정유형으로확장됩니다. 로컬네트워크에서 IP 주소를편집하려면클릭합니다. 로컬네트워크필드 로컬네트워크에포함된 IP 주소또는서브넷목록을쉼표로구분하여입력합니다. 필드는최대 2,000 자까지허용됩니다. 로컬네트워크가이보다더긴경우 CIDR(Classless Inter-Domain Routing) 표기법을통해여러서브넷을더짧은로컬네트워크로통합할수있습니다. ESM 로깅설정 시스템에 ELM 장치가있는경우생성한내부이벤트데이터가 ELM 장치로전송되도록 ESM 을설정할수있습니다. 그렇게하려면기본로깅풀을구성해야합니다. 시작하기전에 ELM 장치를시스템에추가합니다. 212 McAfee Enterprise Security Manager 제품안내서

213 ESM 구성 ESM 관리 3 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ESM 관리 ] 를클릭합니다. 2 [ 구성 ] 탭에서 [ 로깅 ] 을클릭합니다. 3 요청한선택을한다음 [ 확인 ] 을클릭합니다. 표 [ 로그구성 ] 페이지 [ 로깅 ] 을선택합니다. [ 장치 - ELM 연결 ] 페이지 ELM 을이 ESM 과연결하지않은경우연결할것인지묻습니다.[ 예 ] 를클릭합니다. [ 로깅할 ELM 선택 ] 페이지시스템에둘이상의 ELM 장치가있는경우데이터를저장할 ELM 을선택합니다. 이 ESM 은항상선택한 ELM 에로그온합니다. [ELM IP 주소선택 ] 페이지 ESM 과 ELM 을통신시키려는 IP 주소를선택합니다. 선택한 ELM 이장치에성공적으로연결된경우알려줍니다. [ELM 풀없음 ] 페이지 저장소풀이 ELM 에구성되지않은경우로깅이활성화되려면 ELM 에저장소풀을추가해야한다고알려줍니다. [ELM 로깅 ] 페이지데이터를로깅해야하는저장소풀을선택합니다. 통신키내보내기및복원 시스템의모든장치에대한통신키를단일파일에내보냅니다. 통신키를내보낸다음필요할때복원할수있습니다. 시스템탐색트리에서 [ 시스템속성 ] [ESM 관리 ][ 키관리 ] 탭을클릭합니다. 수행방법... 모든통신키내보내기 1 [ 모든키내보내기 ] 를클릭합니다. 2 키파일의암호를설정한다음 [ 확인 ] 을클릭합니다. 3 위치를선택하여파일을저장한다음 [ 저장 ] 을클릭합니다. 모든통신키복원 1 [ 모든키복원 ] 을클릭합니다. 2 키를내보낼때설정한파일을찾은다음 [ 열기 ] 를클릭합니다. 3 [ 업로드 ] 를클릭한다음설정한암호를입력합니다. 4 복원해야하는장치를선택한다음 [ 확인 ] 을클릭합니다. SSH 키다시생성 모든장치와통신하기위한비공개또는공개 SSH 키쌍을다시생성합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ESM 관리 ] 를클릭합니다. 2 [ 키관리 ] 탭에서 [SSH 다시생성 ] 을클릭합니다. 새키가이전키를바꾼다는경고가표시됩니다. 3 [ 예 ] 를클릭합니다. 키가다시생성되면 ESM 에서관리되는모든장치의이전키쌍을바꿉니다. McAfee Enterprise Security Manager 제품안내서 213

214 3 ESM 구성 ESM 관리 쿼리관리자 관리자또는마스터사용자권한이있는경우 [ 관리자 ] 에액세스하여 ESM 에서실행되는쿼리목록을표시할수있습니다. 여기에서시스템성능에영향을미치는특정쿼리를닫을수있습니다. 오래실행되는쿼리일수록성능에영향을미칠가능성이높습니다. 이기능은쿼리를닫는것이아니라 ESM 런타임문제를해결하는것입니다. 이기능을사용하려면 McAfee 지원에문의하십시오. 포함할관리자의특징 : 시스템에서보고서, 보기, 관심목록, 실행및내보내기, 경보및외부 API 쿼리를닫을수있습니다. 시스템쿼리는닫을수없습니다. 쿼리를클릭하면 [ 쿼리상세정보 ] 영역에상세정보가표시됩니다. 기본적으로 5 초마다자동으로목록을새로고칩니다. 쿼리및목록자동새로고침을선택하면선택항목이유지되고상세정보가업데이트됩니다. 쿼리가완료되면더이상목록에표시되지않습니다. 목록의자동새로고침을수행하지않으려면 [ 목록자동새로고침 ] 을선택취소합니다. 확인되지않은시스템을보려면 [ 시스템숨기기 ] 를선택취소합니다. 테이블의열을정렬할수있습니다. [ 쿼리상세정보 ] 영역에서데이터를선택하고복사할수있습니다. 쿼리를닫을수있는경우마지막열에삭제아이콘이생깁니다. 클릭하면대화상자에서확인을요청합니다. ESM 에서실행되는쿼리관리 [ 관리자 ] 에 ESM 에서실행되는쿼리목록이표시됩니다. 해당상태를보고시스템성능에영향을미치는부분은삭제할수있습니다. 1 시스템탐색트리에서시스템을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ESM 관리 ] 를클릭하고 [ 유지관리 ] 탭을클릭한다음 [ 관리자 ] 를클릭합니다. 3 실행되는쿼리목록을검토하고액션을취합니다. 표 테이블 ESM 에서실행되는쿼리목록을봅니다. 테이블의열을정렬할수있습니다. [ 쿼리상세정보 ] 테이블에서선택하는의상세정보를봅니다. 이텍스트를선택하고복사할수있습니다. [ 시스템숨기기 ] [ 자동새로고침목록 ] 아직식별되지않은인시스템을보려면선택취소합니다. 5 초마다목록을자동으로새로고치는것을원하지않는경우선택취소합니다. 쿼리및목록자동새로고침을선택하면선택항목이유지되고상세정보가업데이트됩니다. 쿼리가완료되면더이상목록에표시되지않습니다. 을중지하려면클릭합니다. 기본또는중복 ESM 업데이트 기본또는중복 ESM 을업데이트하는경우이벤트, 플로및로그데이터손실을방지하려면특정단계를수행해야합니다. 214 McAfee Enterprise Security Manager 제품안내서

215 ESM 구성글로벌블랙리스트사용 3 1 이벤트, 플로및로그수집을비활성화합니다. a 시스템탐색트리에서 [ 시스템정보 ] 를선택한다음 [ 이벤트, 플로및로그 ] 를클릭합니다. b [ 자동확인간격 ] 을선택취소합니다. 2 기본 ESM 을업데이트합니다. 3 중복 ESM 을업데이트합니다. 4 한번더 [ 자동체크간격 ] 을선택하여이벤트, 플로및로그수집을활성화합니다. 업데이트가실패하는경우 " 버전 9.3 으로업데이트 " 를참조하십시오. 글로벌블랙리스트사용 블랙리스트는트래픽이패킷심층분석엔진에의해분석되기전에네트워크장치를통과할때트래픽을차단하는방법입니다. 네트워크장치 [ 블랙리스트 ] 을사용하여 ESM 의개별네트워크장치에대해블랙리스트를설정할수있습니다. [ 글로벌블랙리스트 ] 를사용하여 ESM 에서관리하는모든네트워크장치에적용되는블랙리스트를설정할수있습니다. 이기능은영구블랙리스트항목만허용합니다. 임시항목을설정하려면네트워크장치 [ 블랙리스트 ] 을사용해야합니다. 각네트워크장치는글로벌블랙리스트를사용할수있습니다. 이기능은활성화할때까지모든장치에서비활성화되어있습니다. [ 글로벌블랙리스트편집기 ] 페이지에는세개의탭이있습니다. [ 차단된소스 ] 장치를통과하는트래픽의소스 IP 주소와일치합니다. [ 차단된대상 ] 장치를통과하는트래픽의대상 IP 주소와일치합니다. [ 제외 ] 블랙리스트중하나에자동으로추가되지않도록합니다. 중요한 IP 주소 ( 예를들어 DNS 및다른서버또는시스템관리자의워크스테이션 ) 는제외에추가될수있습니다. 이렇게하면생성할수있는이벤트에관계없이자동으로블랙리스트에절대추가되지않습니다. [ 차단된소스 ] 와 [ 차단된대상 ] 의항목은블랙리스트의효과를특정대상포트로좁히도록구성할수있습니다. 항목을추가하는경우 : [ 추가 ] 는 IP 주소나포트를변경할때활성화됩니다. [ 차단된소스 ] 및 [ 차단된대상 ] 목록의항목은모든포트또는특정포트를블랙리스트에추가하도록구성할수있습니다. McAfee Enterprise Security Manager 제품안내서 215

216 3 ESM 구성글로벌블랙리스트사용 마스크된 IP 주소범위를사용하는항목은임의 (0) 로설정된포트로구성해야하며기간은영구여야합니다. 이러한목록에 IP 주소형식이필요한경우이러한주소에의미를추가하는데도움이되는몇가지도구가포함되어있습니다. [IP 주소 ] 필드에 IP 주소또는호스트이름을입력하면입력한값에따라해당컨트롤옆의단추에 [ 해결 ] 또는 [ 조회 ] 라고표시됩니다. [ 해결 ] 이라고표시되는단추를클릭하면입력된호스트이름을확인하고해당정보로 [IP 주소 ] 필드를채운다음호스트이름을 [ 설명 ] 필드로이동합니다. 그렇지않고 [ 조회 ] 를클릭하면 IP 주소를조회하고해당조회결과로 [ 설명 ] 필드를채웁니다. 일부웹사이트는두개이상의 IP 주소를사용하거나항상동일하지않은 IP 주소를사용합니다. 일부웹사이트를차단하는데이도구를사용하지마십시오. 216 페이지의글로벌블랙리스트설정 글로벌블랙리스트설정 여러장치에동일한정보를입력할필요가없도록선택하는모든장치에공통된글로벌블랙리스트를설정합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 글로벌블랙리스트 ] 를클릭합니다. 2 [ 차단된소스 ], [ 차단된대상 ] 또는 [ 제외 ] 탭을선택한다음블랙리스트항목을관리합니다. 216 McAfee Enterprise Security Manager 제품안내서

217 ESM 구성데이터보강 3 3 글로벌블랙리스트를사용해야하는장치를선택합니다. 4 [ 적용 ] 또는 [ 확인 ] 을클릭합니다. 표 [ 차단된소스 ] 탭 [ 차단된대상 ] 탭 차단하려는소스 IP 주소를관리합니다. 차단하려는대상 IP 주소를관리합니다. [ 제외 ] 탭 DNS 및다른서버또는시스템관리자의워크스테이션과같이자동으로블랙리스트에추가되면안되는 IP 주소목록을관리합니다. [IP 주소 ] 항목을목록에추가할때 IP 주소를입력합니다. [ 조회 ] 입력한 IP 주소에대한설명을조회하려면클릭합니다. [ 추가 ] IP 주소를입력한다음목록에추가하려면클릭합니다. [ 포트 ] 블랙리스트의효과를특정대상포트로좁히려는경우포트번호를입력합니다. 기본설정은영 (0) 이며모든포트를허용합니다. [ 수정 ] 기존블랙리스트항목의설명을변경한다음이을클릭합니다. [ 설명 ] ( 선택사항 ) IP 주소에대한설명을입력하거나 [ 조회 ] 를클릭하여설명을찾습니다. 기존주소의설명을변경하려면변경사항을입력하고 [ 수정 ] 을클릭합니다. [ 관리 ] ESM 에서네트워크장치목록을연다음글로벌블랙리스트를사용해야하는장치를선택하려면클릭합니다. [ 쓰기 ] 아이콘 ESM 에새항목을저장할준비가되면클릭합니다. 변경사항을쓰기전에블랙리스트페이지를종료하는경우저장되지않습니다. [ 읽기 ] 아이콘차단된소스, 차단된대상및제외를업데이트하려면클릭합니다. [ 제거 ] 아이콘블랙리스트에서선택한항목을제거하려면클릭합니다. 상태필드가 [ 다음쓰기시삭제 ] 로변경됩니다. [ 이벤트보기 ] 아이콘 표 잘못된 IP 주소에서이벤트보고서를생성하려면클릭합니다. 보고서가콘솔의보기로표시됩니다. 표 ESM 의네트워크장치목록및각장치에서글로벌블랙리스트의활성화여부를봅니다. [ 활성화됨 ] 열글로벌블랙리스트를사용하는장치를선택합니다. 215 페이지의글로벌블랙리스트사용 데이터보강 이메일주소, 전화번호또는호스트위치정보와같이원래이벤트에없는컨텍스트가포함된업스트림데이터소스로전송된이벤트를보강할수있습니다. 이보강된데이터는구문분석된이벤트의일부가되어원래필드와마찬가지로이벤트와함께저장됩니다. 데이터베이스에연결하고해당데이터베이스의테이블에서하나또는두개의열에액세스하는방법을하여데이터보강소스를설정합니다. 그런다음데이터를받는장치와해당이벤트및플로데이터를보강하는방법을합니다. [ 데이터보강 ] 페이지에서쿼리를실행할수있을뿐만아니라데이터보강소스를편집하거나제거할수도있습니다. McAfee Enterprise Security Manager 제품안내서 217

218 3 ESM 구성데이터보강 ESM 에서트리거하는이벤트는보강되지않습니다. 데이터취득은장치가아닌 ESM 에서발생합니다. Hadoop HBase 의관계형데이터소스에대한커넥터는보강을위해소스의키값쌍을사용합니다. 이벤트를보강하기위해 HBase 의 ID 매핑을정기적으로수신기에가져올수있습니다. 218 페이지의데이터강화소스추가 221 페이지의 Hadoop HBase 데이터강화소스추가 221 페이지의 McAfee Real Time for McAfee epo 데이터강화설정 222 페이지의 Hadoop Pig 데이터보강소스추가 223 페이지의사용자이름에대한 Active Directory 데이터보강추가 데이터강화소스추가 데이터강화소스를추가하고데이터를수신하는장치를합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 데이터강화 ] [ 추가 ] 를클릭합니다. [ 데이터강화마법사 ] 의탭및필드는선택하는강화유형에따라다릅니다. 2 각탭에서필드를완성한후 [ 다음 ] 을클릭합니다. 3 [ 마침 ] 을클릭한다음 [ 쓰기 ] 를클릭합니다. 4 데이터보강규칙을쓰려는장치를선택한다음 [ 확인 ] 을클릭합니다. 표 [ 추가 ] 새데이터강화소스를추가합니다. [ 편집 ] 기존소스를변경합니다. [ 제거 ] 기존소스를제거합니다. [ 지금실행 ] 선택한데이터강화소스에서쿼리를실행합니다. [ 활성화됨 ] 선택한데이터강화소스를활성화하거나비활성화합니다. [ 쓰기 ] 소스를추가하거나편집하는경우 [ 대상 ] 탭에서선택한장치에설정을쓰려면클릭합니다. 표 탭 [ 기본 ] [] 탭 [ 이름 ] 소스의이름을입력합니다. [ 활성화 ] 이소스의활성화여부를선택합니다. [ 조회유형 ] 조회에사용할데이터유형을선택합니다. [ 보강유형 ] 보강할데이터유형을선택합니다. [ 꺼내기빈도 ]/ uicontrol1 이데이터보강소스를실행할빈도를선택합니다. 218 McAfee Enterprise Security Manager 제품안내서

219 ESM 구성데이터보강 3 표 ( 계속 ) 탭 [ 소스 ] 탭 CIFS, NFS, FTP, SFTP 및 SCP 소스유형만보강을위해외부파일을사용할수있습니다. 다른소스유형을사용하려면데이터베이스또는정규표현식에대한쿼리를작성해야합니다. 데이터보강을위해꺼낼파일은 LookupValue=EnrichmentValue 형식이어야합니다. 각항목이별도의줄에표시되어야합니다. 단일열보강의경우조회값항목만필요합니다. 두열보강의경우조회값이보강값에서등호 (=) 로구분되어야합니다. 예를들어호스트이름에대한 IP 주소를사용하는파일은다음과같을수있습니다 =New York =Houston [ 구문분석 ] 탭 [ 유형 ] 소스의데이터베이스드라이버유형입니다. [ 인증 ] [ 기본 ] 이선택되고로그온이필요한경우웹사이트에대한사용자이름및암호입니다. 기본설정은 [ 없음 ] 입니다. [DB 이름 ] 데이터베이스의이름입니다. [ 호스트 ] 데이터베이스를실행하는컴퓨터의이름입니다. [ 잘못된인증서무시 ] 검색을시도하는웹사이트가 https URL 인경우이을선택하여잘못된 SSL 인증서를무시합니다. [IP 주소 ] 데이터베이스의 IP 주소입니다. [ 추적기호스트 ] Apache Hadoop 추적기호스트주소또는 IP 주소입니다. 필수항목이아닙니다. 비어있는경우시스템이노드이름호스트를사용합니다. [ 추적기포트 ] 추적기호스트가수신하는포트입니다. 필요하지않음. 비어있는경우시스템이노드이름호스트를사용합니다. [ 방법 ] [POST] 가선택된경우검색하려는콘텐츠가포함된웹페이지로이동하는데필요할수도있는 POST 콘텐츠또는인수입니다. 기본설정은 [GET] 입니다. [ 마운트지점 ] 파일의디렉터리입니다. [ 노드이름호스트 ] Apache Hadoop 노드이름호스트주소또는 IP 주소입니다. 프로토콜을포함하지마십시오. [ 노드이름포트 ] 노드이름호스트가수신하는포트입니다. 필요하지않음. 비어있는경우시스템이노드이름호스트를사용합니다. [ 암호 ] 데이터베이스에액세스하기위해필요한암호입니다. [ 경로 ] 데이터베이스에대한경로입니다. [ 유형 ] 필드에서 [FTP] 를선택하는경우경로가홈디렉터리에대해상대적입니다. FTP 서버에서절대경로를지정하려면경로처음에추가슬래시 (/) 를삽입합니다. 예를들어 //var/local/path 입니다. [ 포트 ] 데이터베이스의포트입니다. [ 공유이름 ] 파일의디렉터리입니다. [ 사용자이름 ] 데이터베이스에액세스할수있는사용자이름입니다. LDAP 의경우공백없이 FQDN( 정식도메인이름 ) 을입력합니다. 예를들어 uid=bob,ou=users,dc=example,dc=com 또는 administrator@idahoqa.mcafee.com 입니다. [ 원시데이터 ] HTTP/HTTPS 가소스유형으로선택된경우 [ 소스 ] 탭의 [URL] 필드에입력한 URL 에대한처음 200 줄의 HTML 소스코드가표시됩니다. 단지웹사이트의미리보기이지만일치시킬정규표현식을충분히쓸수있습니다. 데이터보강소스의예약된업데이트또는 [ 지금실행 ] 은정규표현식검색과일치하는모든항목을포함합니다. 이기능은 RE2 구문정규표현식 ( 예 : d{1,3}\. \d{1,3}\.\d{1,3}\.\d{1,3}) 을지원합니다. McAfee Enterprise Security Manager 제품안내서 219

220 3 ESM 구성데이터보강 표 ( 계속 ) 탭 [ 건너뛸헤더줄 ] 일반적으로인터넷사이트에는검색할필요가없는헤더코드가있습니다. 검색이헤더데이터를포함하지않도록건너뛰게하려는사이트상단의줄수를지정합니다. [ 새줄구분기호 ] 관심있는값을구분하기위해사이트에서사용되는구분기호를입력합니다. 이필드의기본값은 n 이며새줄이구분기호라는것을나타냅니다. 가장일반적으로사용되는다른구분기호는쉼표입니다. [ 표현식무시 ] 정규표현식검색의결과에서원하지않는값을제거하는정규표현식을입력합니다. [ 정규표현식 ] ( 필수 ) 일치항목을찾는데사용되는논리를입력하고사이트에서값을추출합니다. 가장일반적인사용사례는사이트에나열된알려진악성 IP 주소또는 MD5 합계에서일치할표현식을만드는것입니다. 정규표현식에서두개의일치그룹을제공하면각정규식일치결과를 [ 조회값 ] 또는 [ 보강값 ] 에매핑할수있습니다. [ 쿼리 ] 탭 [ 점수 ] 탭 [ 대상 ] 탭 [ 조회값 ] 또는더많은값을추가하려는 ESM 에서수집한이벤트에서조회할값입니다. [ 대상 ] 탭의 [ 조회필드 ] 로매핑합니다. [ 보강값 ] 조회값에서일치시킬소스이벤트로보강하거나삽입할값입니다. [ 대상 ] 탭의 [ 보강필드 ] 로매핑합니다. Hadoop HBase(REST), Hive, LDAP, MSSQL, MySQL, Oracle, PIG 또는 McAfee Real Time for McAfee epo 유형에대한쿼리를설정합니다. 단일열쿼리에서반환되는각값에대한점수를설정합니다. 점수를지정하려는소스및대상필드를선택한다음 [ 쿼리실행 ] 을클릭합니다. [ 값 ] 반환된값을표시합니다. [ 점수 ] 해당값에위험점수를설정하기위해사용할수있는숫자스텝퍼를표시합니다. 필요한경우변경한다음 [ 목록업데이트 ] 를클릭합니다. 이데이터보강소스가채우는장치에대한필드매핑의장치및규칙을봅니다. [ 추가 ] 장치및규칙을선택합니다. [ 편집 ] 장치또는규칙설정을변경합니다. [ 제거 ] 장치및규칙설정을삭제합니다. 표 [ 조회필드 ] 조회할필드를선택합니다. [ 강화필드 ] 강화할필드를선택합니다. [ 정적값사용 ] 정적값을사용하려는경우선택합니다. [ 강화값 ] [ 정적값사용 ] 을선택한경우강화값을입력해야합니다. [ 심각도수정 ] 심각도를강화필드로사용하려는경우선택한다음증가시키거나감소하려는비율을선택합니다. 220 McAfee Enterprise Security Manager 제품안내서

221 ESM 구성데이터보강 페이지의데이터보강 221 페이지의 Hadoop HBase 데이터강화소스추가 221 페이지의 McAfee Real Time for McAfee epo 데이터강화설정 222 페이지의 Hadoop Pig 데이터보강소스추가 223 페이지의사용자이름에대한 Active Directory 데이터보강추가 McAfee Real Time for McAfee epo 데이터강화설정 [ 데이터강화마법사 ] 에서 McAfee Real Time for McAfee epo 소스를선택할때쿼리를테스트하고 [ 조회 ] 및 [ 강화 ] 를위한열을선택할수있습니다. 1 시스템탐색트리에서시스템을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 데이터강화 ] 를클릭한다음 [ 추가 ] 를클릭하고 [ 기본 ] 탭의정보를입력합니다. 3 [ 소스 ] 탭의 [ 유형 ] 필드에서 [Real Time for epo] 를선택하고장치를선택한다음 [ 쿼리 ] 탭을클릭합니다. 4 요청한정보를추가한다음 [ 테스트 ] 를클릭합니다. 쿼리가필요한정보를생성하지않으면설정을조정합니다. 217 페이지의데이터보강 218 페이지의데이터강화소스추가 221 페이지의 Hadoop HBase 데이터강화소스추가 222 페이지의 Hadoop Pig 데이터보강소스추가 223 페이지의사용자이름에대한 Active Directory 데이터보강추가 Hadoop HBase 데이터강화소스추가 수신기를통해 HBase ID 매핑을꺼내 Hadoop HBase 를데이터강화소스로추가하여이벤트를강화합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 데이터강화 ] 를클릭합니다. 2 [ 데이터강화마법사 ] 의 [ 기본 ] 탭에서필드를입력한다음 [ 소스 ] 탭을클릭합니다. 3 [ 유형 ] 필드에서 [Hadoop HBase(REST)] 를선택한다음호스트이름, 포트, 테이블이름을입력합니다. McAfee Enterprise Security Manager 제품안내서 221

222 3 ESM 구성데이터보강 4 [ 쿼리 ] 탭에서조회열및쿼리정보를입력합니다. a [ 조회열 ] 의형식을패밀리열 : 이름열로지정합니다. b 쿼리를스캐너필터로채웁니다. 여기서값은 Base64 로인코딩되어있습니다. 예를들면다음과같습니다. <Scanner batch="1024"> <filter> { "type": "SingleColumnValueFilter", "op": "EQUAL", "family": " ZW1wbG95ZWVJbmZv", "qualifier": "dxnlcm5hbwu=", "latestversion": true, "comparator": { "type": "BinaryComparator", "value": "c2nhcgvnb2f0" } } </filter> </Scanner> 5 [ 점수 ] 및 [ 대상 ] 탭의정보를입력합니다. 217 페이지의데이터보강 218 페이지의데이터강화소스추가 221 페이지의 Hadoop HBase 데이터강화소스추가 221 페이지의 McAfee Real Time for McAfee epo 데이터강화설정 222 페이지의 Hadoop Pig 데이터보강소스추가 223 페이지의사용자이름에대한 Active Directory 데이터보강추가 Hadoop Pig 데이터보강소스추가 Apache Pig 쿼리결과를이용하면 Hadoop Pig 이벤트를보강할수있습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택합니다. 2 [ 데이터보강 ] 을클릭한다음 [ 추가 ] 를클릭합니다. 3 [ 기본 ] 탭에서필드를입력한다음 [ 소스 ] 탭을클릭합니다. [ 유형 ] 필드에서 [Hadoop Pig] 를선택하고 Namenode 호스트, Namenode 포트, Jobtracker 호스트및 Jobtracker 포트를입력합니다. Jobtracker 정보는필요하지않습니다. Jobtracker 정보가비어있는경우 NodeName 호스트및포트가기본값으로사용됩니다. 4 [ 쿼리 ] 탭에서 [ 기본 ] 모드를선택하고다음정보를입력합니다. a [ 유형 ] 에서 [ 텍스트파일 ] 을선택하고 [ 소스 ] 필드에파일경로를입력합니다 ( 예 : /user/default/file.csv). 또는 [ 하이브 DB] 를선택하고 HCatalog 테이블을입력합니다 ( 예 : sample_07). b [ 열 ] 에서열데이터를보강하는방법을지정합니다. 예를들어텍스트파일에 SSN, 이름, 성, 주소및전화번호가들어있는직원정보가포함된경우 [ 열 ] 필드에 emp_name:2, emp_phone:5 텍스트를입력합니다. 하이브 DB 의경우 HCatalog 테이블에있는열이름을사용합니다. 222 McAfee Enterprise Security Manager 제품안내서

223 ESM 구성데이터보강 3 c d [ 필터 ] 에서 Apache Pig 에내장된표현식을사용하여데이터를필터링할수있습니다. Apache Pig 설명서를참조하십시오. 위의열값을한경우해당열데이터를그룹화하고집계할수있습니다. 소스및열정보가필요합니다. 다른필드는비어있어도괜찮습니다. 집계함수를사용하려면그룹을지정해야합니다. 5 [ 쿼리 ] 탭에서 [ 고급 ] 모드를선택하고 Apache Pig 스크립트를입력합니다. 6 [ 점수 ] 탭에서, 단일열쿼리에서반환된각값에대한점수를설정합니다. 7 [ 대상 ] 탭에서보강을적용할장치를선택합니다. 217 페이지의데이터보강 218 페이지의데이터강화소스추가 221 페이지의 McAfee Real Time for McAfee epo 데이터강화설정 221 페이지의 Hadoop HBase 데이터강화소스추가 223 페이지의사용자이름에대한 Active Directory 데이터보강추가 사용자이름에대한 Active Directory 데이터보강추가 Microsoft Active Directory 를이용하면전체사용자표시이름으로 Windows 이벤트를채울수있습니다. 시작하기전에시스템관리자권한이있는지확인합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택합니다. 2 [ 데이터보강 ] 을클릭한다음 [ 추가 ] 를클릭합니다. 3 [ 기본 ] 탭에서설명적인 [ 보강이름 ] 을 Full_Name_From_User_ID 의형식으로입력합니다. 4 [ 조회유형 ] 과 [ 보강유형 ] 을모두 [ 문자열 ] 로설정합니다. 5 Active Directory 가더자주업데이트되지않는한 [ 꺼내기빈도 ] 를 [ 매일 ] 로설정합니다. 6 [ 다음 ] 또는 [ 소스 ] 탭을클릭합니다. a [ 유형 ] 필드에서 [LDAP] 를선택합니다. b IP 주소, 사용자이름및암호를입력합니다. 7 [ 다음 ] 또는 [ 쿼리 ] 탭을클릭합니다. a [ 조회특성 ] 필드에 samaccountname 을입력합니다. b [ 보강특성 ] 필드에 displayname 을입력합니다. c [ 쿼리 ] 에 (objectclass=person) 을입력하여사람으로분류된 Active Directory 의모든개체목록을반환합니다. d 쿼리를테스트하면실제항목수에관계없이최대 5 개의값을반환합니다. 8 [ 다음 ] 또는 [ 대상 ] 탭을클릭합니다. a [ 추가 ] 를클릭합니다. b Microsoft Windows 데이터소스를선택합니다. McAfee Enterprise Security Manager 제품안내서 223

224 3 ESM 구성데이터보강 c [ 조회필드 ] 에서 [ 소스사용자 ] 필드를선택합니다. 이필드는이벤트에있는값으로조회에대한인덱스로사용됩니다. d [ 보강필드 ] 를선택합니다. 여기서보강값은사용자 _ 별명또는연락처 _ 이름형식으로작성됩니다. 9 [ 마침 ] 을클릭하여저장합니다. 10 보강설정을장치에쓴다음 [ 지금실행 ] 을클릭하여 [ 매일트리거시간 ] 값이발생할때까지데이터소스에서보강값을검색합니다. [ 전체이름 ] 이 [Contact_name] 필드에기록됩니다. 217 페이지의데이터보강 218 페이지의데이터강화소스추가 221 페이지의 McAfee Real Time for McAfee epo 데이터강화설정 221 페이지의 Hadoop HBase 데이터강화소스추가 222 페이지의 Hadoop Pig 데이터보강소스추가 224 McAfee Enterprise Security Manager 제품안내서

225 4 대시보드 4 보기 시각적, 대화형 ESM 대시보드보기를통해조직의위협을한눈에모니터링할수있습니다. ESM 대시보드에는여러보기및대화형탭이포함되어있어서보기사이를빠르게이동할수있습니다. 사전된보기를사용하거나위젯및필터가포함된고유한보기를작성할수있습니다. 목차 대시보드구성요소사전된 ( 기본 ) 보기대시보드보기열기사용자지정대시보드보기추가대시보드위젯바인딩대시보드보기필터링통보에응답열린케이스검사 대시보드구성요소 대시보드보기를구성하는요소를파악한후조직고유의잠재적인위협을조사할수있는대화형보기를작성할수있습니다. 대시보드는가능한위협을빠르게볼수있는양식에데이터를나타내는데사용할수있는시각적도구입니다. McAfee Enterprise Security Manager 제품안내서 225

226 4 대시보드보기사전된 ( 기본 ) 보기 미리된보기또는고유한사용자지정보기로 ESM 대시보드공간을채웁니다. 탭을사용하여보기사이를신속하게탐색합니다. 탭을사용하여별도의탭에서조사를시작한기록컨텍스트를유지하면서여러보기에서잠재적인위협을탐색합니다. 필터리본을사용하여실시간기능을통해쿼리결과에서찾고있는내용을찾습니다. 자동완성은필터쿼리를작성할때결과를반환합니다. 잠재적인위협에대해피벗, 탐색, 조사및대응할수있는여러대시보드보기를작성합니다. 대화형시각적위젯을사용하여신속하게특정데이터를나타내고드릴다운합니다. 대시보드를벗어나지않고열린케이스를조사하여중요한사례상세정보에빠르게액세스합니다. 트리거된미확인경보및시스템통보에응답합니다. 사전된 ( 기본 ) 보기 [ 기본보기 ] 목록은 McAfee ESM 에서제공되는대시보드보기에대한액세스를제공합니다. 대시보드의 [ 보기추가 ] 메뉴에는다음과같은기본보기유형이포함되어있습니다. [ 자산, 위협 & 위험 ] 보기는자산, 위협및위험데이터와시스템에서발생할수있는효과를요약합니다. [ 대시보드보기 ] 는시스템의특정측면에대한개요를제공합니다. [ 장치 ] 보기는선택한장치의상태를표시합니다. [ 이벤트보기 ] 는선택한장치와연결된이벤트에서생성된정보를세분화합니다. [ 플로보기 ] 는각플로 ( 또는연결 ) 에대해기록된정보를세분화합니다. 대시보드보기열기 한번에두개이상의대시보드보기를열고가져오거나내보낼수있습니다. 조직의요구에맞게사전된 ( 기본값 ) 보기를복사하거나사용자지정보기를만들수도있습니다. 시작하기전에 관리자권한이있거나보기관리권한이있는액세스그룹에속해있는지확인합니다. 1 대시보드에서 [ 보기추가 ] 를클릭하고다음중하나의옆에있는슬라이드아웃화살표를클릭합니다. 기존보기를열려면 [ 보기열기 ] 를클릭합니다. Flash 보기를 HTML 대시보드보기로변환하려면 [Flash 보기가져오기 ] 를클릭합니다. HTML 보기를만들려면 [ 새보기만들기 ] 를클릭합니다. 위젯을추가하고보기를저장합니다. 2 보기를저장합니다. 226 McAfee Enterprise Security Manager 제품안내서

227 대시보드보기사용자지정대시보드보기추가 4 사용자지정대시보드보기추가 특정정보를표시하고조작할수있는위젯을추가하고정렬하여고유한대시보드보기를만듭니다. 시작하기전에관리자권한이있거나보기관리권한이있는액세스그룹에속해있는지확인합니다. 1 대시보드에서 [ 보기추가 ] 를클릭합니다. 2 HTML 보기를만들려면 [ 새보기만들기 ] 를클릭합니다. 3 [ 편집 ] 을클릭합니다. 4 [ 위젯추가 ] 를클릭하고다음을수행합니다. 위젯에제목을지정합니다. 사용가능한에서쿼리필드, 필터및정렬값을미리채우는쿼리소스를선택합니다. 기본값을사용하거나값을변경할수있습니다. 선택하는쿼리소스에따라위젯에대해선택할수있는시각화이달라집니다. 위젯의시각화을선택합니다. 가능한은표, 막대도표, 원형도표, 게이지및대화형도넛도표가있습니다. 위젯을다른위젯의데이터에바인딩할수있는지여부를선택합니다. 5 [ 만들기 ] 를클릭합니다. 위젯이대시보드에나타나면크기와배치를변경할수있습니다. 6 대시보드보기에표시된다음위젯을변경하려면을클릭합니다. 하위메뉴의은위젯과해당데이터에따 라달라집니다. 에는 [ 설정 ], [ 시각화 ], [ 상세정보, 액션, 드릴다운, 필터링기준 ] 및 [ 삭제 ] 가있을수있 습니다. 7 [ 저장 ] 을클릭합니다. 대시보드위젯바인딩 대시보드위젯을바인딩하면위젯간데이터를연결합니다. 그런다음상위위젯의데이터를변경하면바인딩된위젯의데이터도변경되어대화식보기가만들어집니다. 예를들어위젯을소스 IP 주소에바인딩한다음상위위젯에서특정 IP 주소를선택하면바인딩된위젯이해당 IP 주소로데이터를필터링합니다. 상위위젯에서선택사항을변경하면하위위젯의데이터가새로고쳐집니다. 시작하기전에 관리자권한이있거나보기관리권한이있는액세스그룹에속해있는지확인합니다. 1 바인딩하려는위젯이있는대시보드보기를열거나만듭니다. 위젯을하나의데이터필드에만바인딩할수있습니다. 2 대시보드보기를편집하려면 [ 편집 ] 을클릭합니다. McAfee Enterprise Security Manager 제품안내서 227

228 4 대시보드보기대시보드보기필터링 3 바인딩하려는위젯에서을클릭합니다. 그런다음 [ 설정 ] 을선택합니다. 4 [ 위젯구성 ] 창에서 [ 바인딩 ] 을켜고위젯에서필터링하거나위젯에연결하려는데이터를선택합니다. 5 [ 저장 ] 을클릭합니다. 아이콘이바인딩된위젯에표시됩니다. 아이콘위로마우스를가져가면위젯이어떤데이터에바인딩되어있는지표시됩니다. 6 [ 저장 ] 을다시클릭하여변경사항을대시보드보기에저장하고 [ 편집 ] 모드를종료합니다. 306 페이지의쿼리마법사 307 페이지의쿼리관리 308 페이지의값비교 309 페이지의그래프값비교 309 페이지의보기및보고서에대한스택배포설정 대시보드보기필터링 보기에서특정상세정보에집중할수있도록대시보드보기를필터링합니다. 시작하기전에보기관리또는데이터보기권한이있는액세스그룹에속하는지확인합니다. 1 필터링하려는대시보드보기를엽니다. 2 보기를필터링하려면다음중하나를수행합니다. [ 필터 ] 막대를클릭하여관련필드및값을추가합니다. [ 필터 ] 막대에서 AND 연산자만사용할수있습니다. 필터에서기본값같음 (=) 연산자를적용합니다. 연산자를같지않음 (!=) 으로변경하려면같음기호 (=) 를클릭합니다. 필터에서필드를제거하려면해당필드에서을클릭합니다. AND 와 OR 연산자를모두사용하여복잡한필터를작성하려면 [ 고급검색 ] 을클릭합니다. 보기에사전된필터세트를적용하려면대시보드의오른쪽상단에있는 [ 필터세트 ] 드롭다운화살표를클릭합니다. 목록에서사전된필터세트를선택합니다. 필터를만들려면 [ 필터세트관리 ] 를클릭합니다. 필터세트를만드는방법에대한자세한내용을보려면 [ 필터세트관리 ] 창에서을클릭합니다. 3 보기를필터링하려면을클릭합니다. 보기가새로고쳐지고입력한값과일치하는레코드만표시됩니다. 228 McAfee Enterprise Security Manager 제품안내서

229 대시보드보기통보에응답 4 통보에응답 대시보드에서트리거된경보에응답합니다. 시스템통보를볼수도있습니다. 시작하기전에관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 1 트리거된경보및시스템통보를대시보드에표시하려면 을클릭합니다. 2 다음중한가지방법으로트리거된경보에응답합니다. 적절한경보를선택하고 을클릭하여트리거된경보를확인합니다. 시스템은 [ 통보 ] 패널에서확인된경보를제거합니다. [ 트리거된경보 ] 보기에서여전히경보를볼수있습니다. 적절한경보를선택하고 을선택하여경보를삭제합니다. 필터막대를사용하여경보를필터링합니다. 그런다음보기를새로고치려면을클릭합니다. 을클릭하여경보를할당합니다. 그런다음적절한경보를선택하고 [ 피할당자 ] 를클릭하여경보에응답할특정사용자를선택합니다. 을클릭하여경보에대한케이스를만듭니다. 그런다음적절한경보를선택하고 [ 케이스만들기 ] 를클릭합니다. 적절한경보를클릭하여트리거된경보설정을편집합니다. 을클릭하여설정을변경합니다. 을클릭하여트리거된경보에대한상세정보를봅니다. 그런후다음중하나를수행합니다. 경보를트리거한이벤트를보려면 [ 트리거한이벤트 ] 탭을클릭합니다. 설명을보려면이벤트를두번클릭합니다. 경보를트리거한조건을보려면 [ 조건 ] 탭을클릭합니다. 트리거된경보의결과로발생한액션을보려면 [ 액션 ] 탭을클릭합니다. 열린케이스검사 대시보드에서열린케이스와관련된을추적할수있습니다. 시작하기전에관리자권한이있거나케이스관리권한이있는액세스그룹에속해있는지확인합니다. 1 대시보드에서열린케이스를보려면을클릭하고 [ 검사패널 ] 을선택합니다. 열린케이스에대한요약이대시보드왼쪽에표시됩니다. 2 드롭다운화살표를사용하여검사하려는케이스를확장합니다. 다음중하나를수행합니다. 대시보드에서케이스상세정보 ( 심각도, 할당대상, 값또는참고 ) 를변경하려면 [ 편집 ] 을클릭합니다. 변경한다음 [ 저장 ] 을클릭합니다. 케이스상세정보를보려면 [ 케이스관리에서보기 ] 를클릭합니다. McAfee Enterprise Security Manager 제품안내서 229

230 4 대시보드보기열린케이스검사 3 [ 검사패널 ] 을닫습니다. 230 McAfee Enterprise Security Manager 제품안내서

231 5 Cyber 5 Threat 관리 McAfee ESM 을사용하면원격소스에서 IOC( 손상표시기 ) 를검색하고해당환경의관련 IOC 활동에신속하게액세스할수있습니다. Cyber Threat 관리를통해관심목록, 경보및보고서를생성하는자동피드를설정하여액션가능한데이터에대한시각화를제공할수있습니다. 예를들어의심스런 IP 주소를관심목록에자동으로추가하는피드를설정하여향후트래픽을모니터링할수있습니다. 해당피드는과거활동을나타내는보고서를생성하고보낼수있습니다. [ 이벤트워크플로보기 > Cyber Threat 표시기 ] 보기를사용하여해당환경의특정이벤트및활동으로신속하게드릴다운할수있습니다. 목차 Cyber Threat 관리설정도메인에대한 Cyber Threat 피드설정 Cyber Threat 피드결과보기지원되는표시기유형 IOC STIX XML 파일의수동업로드시오류 Cyber Threat 관리설정 원격소스에서 IOC( 손상표시기 ), STIX 형식 XML 을검색하기위한피드를설정합니다. 그러면이러한피드를사용하여관심목록, 경보, 보고서를생성하고이들을통해사용자가해당환경의관련 IOC 활동에액세스할수있습니다. 시작하기전에 다음권한이있는지확인합니다. Cyber Threat 관리 사용자가 Cyber Threat 피드를설정할수있습니다. Cyber Threat 사용자 사용자가피드에서생성한데이터를볼수있습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을클릭합니다. 2 [Cyber Threat 피드 ] 를클릭한다음 [ 추가 ] 를클릭합니다. 3 [ 기본 ] 탭에서피드이름을입력합니다. 4 [ 소스 ] 탭에서소스데이터유형및해당연결자격증명을선택합니다. 연결을테스트하려면 [ 연결 ] 을클릭합니다. 지원되는소스에는 McAfee Advanced Threat Defense 및 MITRE Threat Information Exchange(TAXII) 가있습니다. 5 [ 빈도 ] 탭에서피드가 IOC 파일을꺼내는빈도를식별합니다 ( 꺼내기빈도 ). 사용가능한꺼내기빈도는 x 분마다, 매일, 매시간, 매주또는매월이있습니다. 매일트리거시간을지정합니다. McAfee Enterprise Security Manager 제품안내서 231

232 5 Cyber Threat 관리도메인에대한 Cyber Threat 피드설정 6 [ 관심목록 ] 탭에서기존의관심목록에추가할 IOC 파일의속성또는필드를선택합니다. 지원되는속성또는필드에대한관심목록을추가할수있습니다. 필요한관심목록이아직존재하지않는경우 [ 새관심목록만들기 ] 를클릭합니다. 7 [ 역추적 ] 탭에서분석할이벤트 ( 기본값 ) 및플로, 분석할일치데이터, 이피드에대해데이터를다시분석할시간을식별합니다. a 선택하여이벤트, 플로또는둘다를분석합니다. b 이벤트및빈도를다시분석할시간 ( 일단위 ) 을나타냅니다. c 역추적에서데이터일치를발견한경우 ESM 이수행할액션을지정합니다. d 경보의경우피할당자및심각도를선택합니다. 8 [ 기본 ] 탭으로돌아간다음 [ 활성화됨 ] 을선택하여이피드를활성화합니다. 9 [ 마침 ] 을클릭합니다. 프로세스가성공적으로완료되면알림이표시됩니다. 새파일및표시기유효성검사가수동업로드소스유형에추가되었습니다. 이소스유형을선택할때오류메시지가표시되면 "IOC STIX XML 파일의수동업로드시오류 " 를참조하여문제를해결합니다. 233 페이지의 Cyber Threat 피드결과보기 233 페이지의지원되는표시기유형 234 페이지의 IOC STIX XML 파일의수동업로드시오류 도메인에대한 Cyber Threat 피드설정 도메인피드를활성화하려면 IP 주소및도메인데이터를보유할두개의관심목록이있어야합니다. 1 ESM 시스템탐색트리에서 [ 시스템속성 ] [Cyber Threat 피드 ] [ 추가 ] 를선택한다음피드를만듭니다 ("Cyber Threat 관리설정 " 참조 ). 2 [ 관심목록 ] 탭에서 [ 새관심목록만들기 ] 를클릭하고두개의관심목록을추가합니다 (" 관심목록추가 " 참조 ). [ 이름 ]: CyberThreatIP, [ 유형 ]: [IP 주소 ] [ 이름 ]: CyberThreatDomain, [ 유형 ]: [Web_Domain] 3 [ 표시기유형 ] 필드에서 [IPv4] 를선택한다음 [ 관심목록 ] 필드에서 CyberThreatIP 를선택합니다. 4 다음 [ 표시기유형 ] 필드에서 [ 완전한도메인이름 ] 을선택한다음 [ 관심목록 ] 필드에서 CyberThreatDomain 을선택합니다. 5 Cyber Threat 피드설정을완료한다음 [ 마침 ] 을클릭합니다. 232 McAfee Enterprise Security Manager 제품안내서

233 Cyber Threat 관리 Cyber Threat 피드결과보기 5 Cyber Threat 피드결과보기 조직의 Cyber Threat 피드에서식별된외부데이터소스의 IOC( 손상표시기 ) 를봅니다. 각표시기소스에대한위협상세정보, 파일설명및해당이벤트로신속하게드릴다운합니다. 시작하기전에 조직의 Cyber Threat 피드결과를볼수있는 [ 사이버위협사용자 ] 권한이있는지확인합니다. 1 대시보드에서을클릭하고 [ 사이버위협표시기 ] 를선택합니다. 2 ESM 콘솔에서보기목록을클릭한다음 [ 이벤트워크플로보기 ] [Cyber Threat 표시기 ] 를선택합니다. 3 시간프레임목록에서보기에대한기간을선택합니다. 4 피드이름또는지원되는 IOC 데이터유형으로필터링합니다. 5 다음과같은표준보기액션을수행합니다. 관심목록을만들거나관심목록에추가 경보만들기 원격명령실행 케이스만들기 둘러보기또는마지막둘러보기 CSV 또는 HTML 파일에표시기내보내기 6 [ 설명, 상세정보, 소스이벤트 ] 및 [ 소스플로 ] 탭을사용하여위협상세정보로드릴다운합니다. 231 페이지의 Cyber Threat 관리설정 233 페이지의지원되는표시기유형 234 페이지의 IOC STIX XML 파일의수동업로드시오류 지원되는표시기유형 수동업로드 Cyber Threat 피드를추가하는경우 ESM 에서 STIX(Structured Threat Information Expression) 파일을처리될 IOC( 손상표시기 ) 엔진에보냅니다. ESM 에대해정규화된표시기가파일에없으면오류메시지가표시됩니다. 표 5-1 ESM 에대해정규화된표시기유형 표시기유형 이메일주소 파일이름, 파일경로 관심목록유형 ( 플로 ) IPv4, IPv6 IP 주소, 소스 IP, 대상 IP 받는사람, 보낸사람, 숨은참조, 참조, 메일 _ID, 수신자 _ID 파일 _ 경로, 파일이름, 대상 _ 파일이름, 대상 _ 디렉터리, 디렉터리 ( 플로 ) MAC 주소 Mac 주소, 소스 MAC, 대상 MAC 완전한도메인이름, 호스트이름, 도메인이름 IPv4, IPv6 MAC 주소 MD5 해시 호스트, 대상 _ 호스트이름, 외부 _ 호스트이름, 도메인, 웹 _ 도메인 IP 주소, 소스 IP, 대상 IP, 공격자 _IP, 그리드 _ 마스터 _IP, 장치 _IP, 공격대상자 _IP Mac 주소, 소스 MAC, 대상 MAC 파일 _ 해시, 상위 _ 파일 _ 해시 McAfee Enterprise Security Manager 제품안내서 233

234 5 Cyber Threat 관리 IOC STIX XML 파일의수동업로드시오류 표 5-1 ESM 에대해정규화된표시기유형 ( 계속 ) 표시기유형 SHA1 해시 제목 URL 사용자이름 관심목록유형 SHA1 제목 URL 소스사용자, 대상사용자, 사용자 _ 별명 Windows 레지스트리키레지스트리 _ 키, 레지스트리. 키 ( 레지스트리하위유형 ) Windows 레지스트리값레지스트리 _ 값, 레지스트리. 값 ( 레지스트리하위유형 ) 231 페이지의 Cyber Threat 관리설정 233 페이지의 Cyber Threat 피드결과보기 234 페이지의 IOC STIX XML 파일의수동업로드시오류 IOC STIX XML 파일의수동업로드시오류 수동업로드 Cyber Threat 피드를추가하는경우 ESM 에서 STIX(Structured Threat Information Expression) 파일을처리될 IOC( 손상표시기 ) 엔진에보냅니다. 업로드에문제가있는경우다음오류중하나가발생합니다. 표 5-2 Cyper Threat 수동업로드오류 오류설명문제해결 ER328 잘못된 STIX 형식입니다. 파일형식이잘못되었습니다. 업로드한파일은 STIX 파일이어야합니다. 엔진에서는 STIX 버전 1.1 을지원합니다. 스키마가유효한지확인하려면 STIX 설명서를참조하십시오. OASIS(Open Standards for Information Society) STIX 표준을담당하는조직입니다 ( STIX 프로젝트 다양한 STIX 데이터모델, 스카마및 xsd 문서를포함합니다 ( ER329 지원되는 IOC 가없습니다. 업로드한 STIX 파일에 ESM 에대해정규화된표시기가없습니다. 특정표시기를처리할필요가있는경우 ESM 에대해정규화할수있도록 McAfee 지원에문의하십시오. ESM 에서지원되는표시기유형목록에대해서는 " 지원되는표시기유형 " 을참조하십시오. 231 페이지의 Cyber Threat 관리설정 233 페이지의 Cyber Threat 피드결과보기 233 페이지의지원되는표시기유형 234 McAfee Enterprise Security Manager 제품안내서

235 6 콘텐츠 6 팩 특정위협상황이발생하면규칙서버에서관련콘텐츠팩을가져와서설치하여즉시대응합니다. 콘텐츠팩에는특정악성프로그램또는위협활동을해결하기위해사용사례구동상관규칙, 경보, 보기, 보고서, 변수및관심목록이포함되어있습니다. 콘텐츠팩을사용하면처음부터도구를만드느라시간을낭비하는일없이위협에대응할수있습니다. 콘텐츠팩가져오기 McAfee 는상관규칙, 경보, 보기, 보고서, 변수또는관심목록을갖춘사용사례구동콘텐츠팩을만들어특정악성프로그램활동을해결합니다. 시작하기전에 다음권한이있는지확인합니다. 시스템관리 사용자관리 1 서버에서최신규칙업데이트를확인합니다. 온라인사용자는규칙업데이트의일부로사용가능한콘텐츠팩을자동으로받습니다. 오프라인사용자는규칙호스팅사이트에서개별콘텐츠팩을직접다운로드하고가져와야합니다. 2 시스템탐색트리에서시스템속성을클릭합니다. 3 [ 콘텐츠팩 ] 을클릭합니다. 4 새콘텐츠팩을가져오고설치하려면 [ 찾아보기 ] 를클릭합니다. 규칙업데이트를확인하면새콘텐츠팩또는업데이트된콘텐츠팩을자동으로다운로드합니다. a [ 가져오기 ] 를클릭하고가져오려는콘텐츠팩파일을찾습니다. b [ 업로드 ] 를클릭합니다. 메시지가가져오기의상태를나타냅니다. c 콘텐츠팩을클릭하여팩에포함된상세정보를검토합니다. d 원하는팩을선택한다음해당콘텐츠팩을설치하도록선택합니다. McAfee Enterprise Security Manager 제품안내서 235

236 6 콘텐츠팩콘텐츠팩가져오기 5 기존콘텐츠팩을업데이트하거나제거하려면원하는팩을체크하고 [ 업데이트 ] 또는 [ 제거 ] 를클릭합니다. 기존콘텐츠팩을업데이트하는경우주의가필요합니다. 이전에콘텐츠팩요소를사용자지정한경우업데이트가해당사용자지정한요소를덮어쓸수있습니다. 6 기존콘텐츠팩을제거하려면원하는팩을체크하고 [ 제거 ] 를클릭합니다. 236 McAfee Enterprise Security Manager 제품안내서

237 7 7 경보 워크플로 경보워크플로를숙지합니다. 자세한단계별정보에대한관련링크를클릭합니다. 목차 경보빌드준비경보빌드경보에대한모니터및응답경보조정 경보빌드준비 경보를빌드하고경보에대해응답할수있으려면 ESM 환경에경보메시지템플릿, 메시지수신자그룹, 메일서버연결, 경보오디오파일, 경보보고서대기열및대시보드의시각적경보탭등의구성요소가있어야합니다. 시작하기전에 대시보드에서트리거된경보를보려면사용자설정선택 190 페이지의을참조하십시오. 경보환경준비방법에대해자세히알아보려면다음을참조하십시오. 237 페이지의경보메시지설정이메일, SMS(Short Message Services), SNMP(Simple Network Management Protocol) 또는 syslog 를사용하여트리거된경보메시지를보내도록 ESM 을구성합니다. 241 페이지의경보오디오파일관리경보경고에사용할오디오파일을업로드하고다운로드합니다. 경보메시지설정 이메일, SMS(Short Message Services), SNMP(Simple Network Management Protocol) 또는 syslog 를사용하여트리거된경보메시지를보내도록 ESM 을구성합니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. McAfee Enterprise Security Manager 제품안내서 237

238 7 경보워크플로경보빌드준비 238 페이지의경보메시지템플릿만들기이메일, SMS(Short Message Service), SNMP(Simple Network Management Protocol) 또는 syslog 에대한경보메시지템플릿을만듭니다. 그런다음템플릿을특정경보액션및메시지수신자와연결할수있습니다. 239 페이지의소스이벤트를포함할상관경보설정경보결과에소스이벤트정보를포함하려면상관이벤트를일치항목으로사용하는 [ 내부이벤트일치 ] 또는 [ 필드일치 ] 경보를설정합니다. 240 페이지의경보수신자관리경보메시지수신자를식별하고이메일, SMS(Short Message Service), SNMP(Simple Network Management Protocol) 또는 syslog 를사용하여경보메시지를보내는방법을구성합니다. 경보메시지템플릿만들기 이메일, SMS(Short Message Service), SNMP(Simple Network Management Protocol) 또는 syslog 에대한경보메시지템플릿을만듭니다. 그런다음템플릿을특정경보액션및메시지수신자와연결할수있습니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 1 시스템탐색트리에서시스템을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 경보 ] 를클릭합니다. 3 [ 설정 ] 탭을클릭한다음 [ 템플릿 ] 을클릭합니다. 사용자지정템플릿을만들려면 [ 추가 ] 를클릭합니다. 사용자지정템플릿을변경하려면해당템플릿을선택하고 [ 편집 ] 을클릭합니다. 사전된템플릿을편집할수없습니다. 사용자지정템플릿을삭제하려면해당템플릿을선택하고 [ 제거 ] 를클릭합니다. 사전된템플릿을삭제할수없습니다. 기존템플릿을복사하려면해당템플릿을선택하고 [ 복사 ] 를클릭합니다. 복사된템플릿을새이름으로저장합니다. 모든경보메시지에기본값을설정하려면해당메시지를선택하고 [ 기본값으로설정 ] 을클릭합니다. 4 [ 템플릿관리 ] 페이지에서다음정보를추가하거나변경합니다. 설명 [ 유형 ] 이템플릿이이메일메시지용인지 SMS 메시지용인지선택합니다. SMS 메시지는휴대폰에이메일로보내지고통신사에서 SMS 로변환합니다. SMS 메시지는 140 자로제한됩니다. [ 이름 ] 이템플릿의이름을입력합니다. [ 설명 ] 이템플릿이포함하는내용에대한설명을입력합니다. [ 기본값으로설정 ] 메시지를보낼때현재템플릿을기본값으로사용합니다. 238 McAfee Enterprise Security Manager 제품안내서

239 경보워크플로경보빌드준비 7 설명 [ 제목 ] 이메일템플릿의경우메시지의제목을선택합니다. [ 필드삽입 ] 아이콘을클릭하고메시지의제목줄에포함하려는정보를선택합니다. [ 메시지본문 ] 메시지본문에포함하려는필드를선택합니다. Syslog 메시지템플릿의경우메시지본문은 950 바이트미만으로제한됩니다. ESM 는 950 바이트를초과하는 syslog 메시지를보낼수없습니다. 메시지에포함하지않으려는경우기본적으로포함된필드중하나를삭제합니다. 데이터필드를삽입하려는본문에커서의위치를지정합니다. [ 제목 ] 필드위의 [ 필드삽입 ] 아이콘을클릭합니다. 그런다음이필드를표시하려는정보유형을선택합니다. [ 반복블록 ] 을선택하는경우 ESM 에서레코드를반복하기위해필요한구문을추가합니다. [$REPEAT_START] 와 [$REPEAT_END] 표시자사이의각레코드에대해포함하려는필드를삽입합니다. 그러면 ESM 이최대 10 개레코드에대해메시지에이정보를포함합니다. 소스이벤트를포함할상관경보설정 239 페이지의상관이벤트를일치항목으로사용하는경보에소스이벤트를포함하려면 [ 필드삽입 ] 아이콘을클릭하고 [ 소스이벤트블록 ] 을선택합니다. [ 내부이벤트일치 ] 또는 [ 필드일치 ] 를경보유형으로선택한경우 ESM 이이벤트필드를이메일에포함시킵니다. ESM 이아닌수신기에서실행되는데이터소스중심경보에대해 [ 필드일치 ] 를선택합니다. ESM 에서실행되며경보빈도가만료될때마다쿼리가실행되도록하는경보의경우 [ 내부이벤트일치 ] 를선택합니다. 155 페이지의메시지설정 239 페이지의소스이벤트를포함할상관경보설정 240 페이지의경보수신자관리 소스이벤트를포함할상관경보설정 경보결과에소스이벤트정보를포함하려면상관이벤트를일치항목으로사용하는 [ 내부이벤트일치 ] 또는 [ 필드일치 ] 경보를설정합니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 1 시스템탐색트리에서시스템을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 경보 ] 를클릭합니다. 3 [ 설정 ] 탭을클릭한다음 [ 템플릿 ] 을클릭합니다. 4 [ 템플릿관리 ] 페이지에서 [ 추가 ] 를클릭한다음요청한정보를입력합니다. 5 [ 메시지본문 ] 섹션에서태그를삽입하려는위치에커서를놓은다음 [ 필드삽입 ] 아이콘을클릭하고 [ 소스이벤 트블록 ] 을선택합니다. 6 태그안에커서를놓고 [ 필드삽입 ] 아이콘을다시클릭한다음상관경보가트리거될때포함할정보를선택합니다. 다음예는이벤트의소스 IP 주소, 대상 IP 주소및심각도에대해필드를삽입할때의경보메시지템플릿형식을보여줍니다. McAfee Enterprise Security Manager 제품안내서 239

240 7 경보워크플로경보빌드준비 경보 : [$Alarm Name] 피할당자 : [$Alarm Assignee] 트리거날짜 : [$Trigger Date] 요약 : [$Alarm Summary] [$REPEAT_START] 상관 SigID: [$Signature ID] 상호관련된마지막시간 : [$Last Time] [$SOURCE_EVENTS_START] 소스이벤트상세정보 : 마지막시간 : [$Last Time] SigID: [$Signature ID] 규칙메시지 : [$Rule Message] 중요도 : [$Average Severity] 소스사용자 : [$%UserIDSrc] 소스 IP: [$Source IP] 소스포트 : [$Source Port] 대상사용자 : [$%UserIDDst] 대상 IP: [$Destination IP] 대상포트 : [$Destination Port] 호스트 : [$%HostID] 명령 : [$%CommandID] 응용프로그램 : [$%AppID] 패킷 : [$Packet Data] [$SOURCE_EVENTS_END] [$REPEAT_END] 상관이벤트가경보를트리거하지않으면메시지에데이터가포함되지않습니다. 155 페이지의메시지설정 238 페이지의경보메시지템플릿만들기 240 페이지의경보수신자관리 경보수신자관리 경보메시지수신자를식별하고이메일, SMS(Short Message Service), SNMP(Simple Network Management Protocol) 또는 syslog 를사용하여경보메시지를보내는방법을구성합니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 사용하려는프로파일이있는지확인합니다. SNMP 구성 176 페이지의및프로파일구성 174 페이지의을참조하십시오. 1 시스템탐색트리에서시스템을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 경보 ] 를클릭합니다. 3 [ 설정 ] 탭을클릭한다음 [ 수신자 ] 를클릭합니다. 개인수신자에대한이메일주소를보거나업로드하려면 [ 이메일 ] 을클릭합니다. 사용자이름및이메일주소를보려면 [ 사용자 ] 를클릭합니다. SMS 수신자및주소를보거나업데이트하려면 [SMS] 를클릭합니다. 다음 SNMP 정보를보거나업데이트하려면 [SNMP] 를클릭합니다. 설명 [ 프로파일 ] 드롭다운목록에서기존 SNMP 수신자프로파일을선택합니다. 프로파일을추가하려면 [ 프로파일 ] 을클릭합니다. [ 특정트랩유형 ] [ 엔터프라이즈 OID] 특정트랩유형을선택합니다. 일반트랩유형은항상 6, 엔터프라이즈별로설정됩니다. 보낼트랩에대한전체엔터프라이즈 OID( 개체식별자 ) 를입력합니다. 엔터프라이즈내의하위트리를비롯하여처음 1 부터엔터프라이즈번호까지모든항목을포함합니다. 240 McAfee Enterprise Security Manager 제품안내서

241 경보워크플로경보빌드준비 7 설명 [ 콘텐츠 ] [ 정보데이터바인딩포함 ] 처리된보고서의줄번호, 트랩의소스를식별하는문자열, 트랩을생성한통보이름및트랩을보내는 ESM 의 ID 를비롯하여변수바인딩정보가트랩에포함됩니다. [ 보고서데이터만포함 ] 추가변수바인딩이트랩에포함되지않습니다. [ 형식 ] 보고서에서생성된각 SNMP 트랩에해당보고서의한줄데이터가포함되어있습니다. [ 각보고서줄을현재대로보내기 ] 단일변수바인딩에서보고서줄의데이터를현재대로보냅니다. 시스템은엔터프라이즈 OID, 특정트랩유형및번호 1 로시작하여자동증가하는번호를연결하여데이터바인딩 OID 를구성합니다. [ 결과구문분석및다음바인딩 OID 사용 ] 시스템이보고서줄을구문분석하고별도의데이터바인딩으로각필드를전송합니다. [ 바인딩 OID 목록 ] [ 결과구문분석및다음바인딩 OID 사용 ] 사용자지정데이터바인딩 OID 를지정합니다. 이을선택하는경우 [ 추가 ] 를클릭하고바인딩 OID 값을입력합니다. 보고서에서모든데이터필드에변수 OID 를지정하지않은경우 ESM 이목록에서지정된마지막 OID 부터증가하기시작합니다. 4 [Syslog] 를클릭하여다음 syslog 정보를보거나업데이트합니다. 설명 [ 호스트 IP] 및 [ 포트 ] 각수신자의호스트 IP 주소및포트를입력합니다. [ 기능 ] 및 [ 심각도 ] 메시지의기능및심각도를선택합니다. 155 페이지의메시지설정 238 페이지의경보메시지템플릿만들기 239 페이지의소스이벤트를포함할상관경보설정 경보오디오파일관리 경보경고에사용할오디오파일을업로드하고다운로드합니다. 시작하기전에관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 1 시스템탐색트리에서시스템을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 설정 ] 탭을클릭한다음 [ 오디오 ] 를클릭합니다. 3 오디오파일을다운로드, 업로드, 제거또는재생한다음 [ 닫기 ] 를클릭합니다. ESM 에는 3 개의사전설치된사운드파일이있습니다. 사용자지정오디오파일을업로드할수있습니다. McAfee Enterprise Security Manager 제품안내서 241

242 7 경보워크플로경보빌드 경보빌드 경보는특정위협이벤트에대한응답으로액션을수행합니다. 자주트리거하는경보를너무많거나너무적게빌드하면집중을방해하는소음이만들어질수있습니다. 최선의방법은조직에중요한이벤트를에스컬레이션할경보를빌드하는것입니다. McAfee ESM 을사용하여경보를빌드하면사전에빌드된경보를활성화하거나기존경보를복사해서변경하거나조직에고유한경보를만들수있습니다. 경보빌드방법에대해자세히알아보려면다음을참조하십시오. 242 페이지의경보모니터링활성화또는비활성화전체시스템또는개별경보에대해경보모니터링을토글하여설정하거나해제합니다. ESM 경보모니터링은기본적으로설정 ( 활성화 ) 되어있습니다. 243 페이지의경보복사기존경보를복사하고다른이름으로저장하여새경보의템플릿으로사용합니다. 243 페이지의경보만들기된조건이충족될때트리거되도록경보를만듭니다. 경보모니터링활성화또는비활성화 전체시스템또는개별경보에대해경보모니터링을토글하여설정하거나해제합니다. ESM 경보모니터링은기본적으로설정 ( 활성화 ) 되어있습니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 시스템에대해경보모니터링을비활성화하면 ESM 은경보를생성하지않습니다. 1 시스템탐색트리에서시스템을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 경보 ] 를클릭합니다. 3 전체시스템에대해경보모니터링을활성화또는비활성화하려면 [ 설정 ] 탭을클릭한다음 [ 비활성화 ] 또는 [ 활성화 ] 를클릭합니다. 4 개별경보를활성화또는비활성화하려면 [ 경보 ] 탭을클릭합니다. [ 상태 ] 열에경보의상태가활성화됨또는비활성화됨으로표시됩니다. 특정경보를활성화 ( 설정 ) 하려면해당경보를강조표시하고 [ 활성화됨 ] 을선택합니다. 특정경보를비활성화 ( 해제 ) 하려면해당경보를강조표시하고 [ 활성화됨 ] 을선택취소합니다. ESM 이더이상이경보를생성하지않습니다. 5 [ 확인 ] 을클릭합니다. 243 페이지의경보복사 243 페이지의경보만들기 242 McAfee Enterprise Security Manager 제품안내서

243 경보워크플로경보빌드 7 경보복사 기존경보를복사하고다른이름으로저장하여새경보의템플릿으로사용합니다. 시작하기전에관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 1 시스템탐색트리에서시스템을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 경보 ] 를클릭합니다. 3 활성화된경보를선택한다음 [ 복사 ] 를클릭합니다. [ 경보이름 ] 페이지에현재경보의이름뒤에 _ 복사가붙은이름이표시됩니다. 활성화된경보만을복사할수있습니다. 비활성화된경보는복사할수없습니다. 4 이름을변경한다음 [ 확인 ] 을클릭합니다. 5 경보설정을변경하려면복사한경보를선택한다음 [ 편집 ] 을클릭합니다. 6 필요에따라설정을변경합니다. 242 페이지의경보모니터링활성화또는비활성화 243 페이지의경보만들기 경보만들기 된조건이충족될때트리거되도록경보를만듭니다. 시작하기전에관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 1 시스템탐색트리에서시스템을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 경보 ] 를클릭하고 [ 추가 ] 를클릭합니다. 3 [ 요약 ] 탭을클릭하여일반경보설정을합니다. 경보의이름을지정합니다. [ 피할당자 ] 목록에서이경보를할당할사람또는그룹을선택합니다. 이목록은 [ 경보관리 ] 권한으로모든사용자및그룹을포함합니다. [ 심각도 ] 에서경보로그의경보우선순위 ( 높음 , 중간 33 65, 낮음 1 32) 를선택합니다. [ 활성화됨 ] 을선택하면이경보가설정되고, 선택취소하면경보가해제됩니다. 4 [ 조건 ] 탭에서경보를트리거하는조건을식별합니다. McAfee Enterprise Security Manager 제품안내서 243

244 7 경보워크플로경보빌드 조건 [ 확인비율 ] 설명 시스템에서이조건을확인하는빈도를선택합니다. [ 편차 ] 기준위로체크하려는백분율임계값과기준아래로확인하려는다른백분율을지정합니다. [ 쿼리 ] 쿼리하고있는데이터유형을선택합니다. [ 필터 ] 아이콘 이경보에대한데이터를필터링할값을선택합니다. [ 시간프레임 ] 숫자필드에서선택한마지막기간을쿼리할지, 이전기간을쿼리할지를선택합니다. [ 값이다음과같은경우트리거 ] ESM 이경보를트리거하려면기준에서위아래로편차가얼마나나야하는지선택합니다. [ 이벤트비율 ] [ 필드일치 ] [ 이벤트개수 ] ESM 이경보를트리거하기전에발생해야하는이벤트수를입력합니다. [ 필터 ] 아이콘 데이터를필터링할값을선택합니다. [ 시간프레임 ] ESM 이경보를트리거하기전에선택한이벤트수가발생해야하는간격을입력합니다. [ 오프셋 ] 집합에의해만들어진끝에서경보가갑자기증가하지않도록오프셋의길이를선택합니다. 예를들어 ESM 에서 5 분마다이벤트를꺼내는경우검색된이벤트의마지막 1 분에는집계된이벤트가포함됩니다. 해당기간을기준으로시간프레임을오프셋하여마지막 1 분이데이터측정에포함되지않도록합니다. 이렇게하지않으면 ESM 이집계된데이터의값을이벤트개수에포함하여잘못된긍정을발생시킵니다. 1 경보조건에대한논리를설정하기위해 [AND] 또는 [OR] 아이콘을끌어놓습니다. 2 [ 구성요소일치 ] 아이콘을논리요소로끌어놓은다음 [ 필터필드추가 ] 페이지를완료합니다. 3 [ 최대조건트리거빈도 ] 를설정하여수신하는통보수를제한합니다. 각트리거에는트리거빈도기간내에발생한이벤트가아닌트리거조건과일치하는첫번째소스이벤트만포함합니다. 트리거조건과일치하는새이벤트는최대트리거빈도기간이지날때까지경보가다시트리거되지않도록합니다. 예를들어빈도를 10 분으로설정한경우경보가 10 분내에 5 번트리거하면 ESM 은단일통지로 5 개의경보를포함하여보냅니다. 0 으로간격을설정하면조건에일치하는모든이벤트가경보를트리거합니다. 높은빈도의경보의경우에는간격이 0 이면많은경보를발생할수있습니다. [ 상태모니터상태 ] [ 내부이벤트일치 ] 장치상태변경의유형을선택합니다. 예를들어 [ 위험 ] 만선택한경우 [ 경고 ] 수준에서상태모니터상태변경이있을경우통보하지않습니다. [ 값이일치하지않는경우트리거 ] 값이설정과일치하지않는경우경보를트리거하도록선택합니다. [ 관심목록사용 ] 이경보에대한값을관심목록에포함하려면선택합니다. 쉼표를포함하는값은관심목록에있거나따옴표로묶어야합니다. [ 필드 ] 이경보에서모니터링하는데이터유형을선택합니다. 상태모니터이벤트가생성될때트리거되는경보용입니다. [ 값 ] [ 필드 ] 에서선택한유형의특정값을입력합니다 (1,000 자로제한됨 ). 예를들어 [ 소스 IP] 에대해서는이경보가트리거될실제소스 IP 주소를입력합니다. [ 최대조건트리거빈도 ] 통보가넘쳐나는것을방지하기위해각조건사이에허용하는시간양을선택합니다. 244 McAfee Enterprise Security Manager 제품안내서

245 경보워크플로경보빌드 7 조건 [ 임계값 ] 설명 이벤트델타조건유형만 경보가트리거하기전에분석한이벤트에대해허용된최대델타를선택합니다. [ 유형 ] 경보유형을선택합니다. 이에따라입력해야하는필드가결정됩니다. 5 [ 장치탭 ] 에서이경보를모니터링할장치를선택합니다. 6 [ 액션 ] 탭에서경보가트리거될때발생할액션을식별합니다. 액션 [ 로그이벤트 ] [ 자동인식경보 ] [ 시각적경보 ] [ 케이스만들기 ] 설명 ESM 에이벤트를만듭니다. 트리거직후자동으로경보를인식합니다. 그러면경보가 [ 경보 ] 창에는나타나지않지만시스템이 [ 트리거된경보 ] 보기에경보를추가합니다. 콘솔의오른쪽아래에경보통보를생성합니다. 오디오통보를포함하려면 [ 구성 --> 사운드재생 ] 을클릭한다음오디오파일을선택합니다. 선택한사람또는그룹에대해케이스를만듭니다. [ 구성 ] 을클릭하여케이스소유자를식별하고케이스요약에포함할필드를선택합니다. 경보를에스컬레이션하려면케이스를만들지마십시오. [ 관심목록업데이트 ] 최대 10 개의경보트리거이벤트에포함된정보에따라값을추가하거나제거하여관심목록을변경합니다. [ 구성 ] 을클릭하고트리거하는이벤트에서선택한관심목록에추가하거나제거할필드를선택합니다. 이러한설정에따라관심목록이수정되면 [ 트리거된경보 ] 보기의 [ 액션 ] 탭에변경사항이표시됩니다. 이액션은조건유형으로 [ 내부이벤트일치 ] 를필요로합니다. [ 메시지보내기 ] 이메일또는 SMS 메시지를선택한수신자에게보냅니다. [ 수신자추가 ] 를클릭한다음메시지수신자를선택합니다. [ 구성 ] 을클릭하여템플릿 ( 이메일, SMS, SNMP 또는 syslog 메시지 ) 과메시지에사용할시간대및날짜형식을선택합니다. SMS 메시지를보낼때경보이름으로쉼표 (,), 따옴표 ("), 괄호 ( ), 슬래시또는역슬래시 (/ \), 세미콜론 (;), 물음표 기호, 대괄호 ([ ]), 부등호 (< >) 및등호 (=) 문자를사용하면문제가발생할수있습니다. [ 보고서생성 ] 보고서, 보기또는쿼리를생성합니다. [ 구성 ] 을클릭한다음 [ 보고서구성 ] 페이지에서보고서를선택하거나 [ 추가 ] 를클릭하여새보고서를설계합니다. 보고서를첨부하여이메일을보내려면메일관리자에게첨부파일의최대크기에대해체크합니다. 이메일첨부파일이크면보고서를보내지못할수있습니다. [ 원격명령실행 ] McAfee 의 ESM 장치를제외하고 SSH 연결을허용하는모든장치에서원격명령을실행합니다. [ 구성 ] 을클릭하여명령유형및프로파일 ( 시간대및날짜형식 ) 그리고 SSH 연결을위해호스트, 포트, 사용자이름, 암호및명령문자열을선택합니다. 경보조건이 [ 내부이벤트일치 ] 인경우특정이벤트를추적할수있습니다. [ 변수삽입 ] 아이콘클릭하고변수를선택합니다. 을 [ 해결로보내기 ] 트리거된경보당최대 10 개이벤트를해결로보냅니다. [ 구성 ] 을클릭하여해결과통신하는데필요한 [ 처음 ] 및 [ 끝 ] 데이터, 접두사, 키워드, 사용자 ID(EUID) 정보를설정합니다. 이벤트를해결로보내면 ESM 이 [ 트리거된경보 ] 보기의 [ 액션 ] 탭에 [ 해결로이벤트보냄 ] 을추가합니다. 이액션은조건유형으로 [ 내부이벤트일치 ] 를필요로합니다. McAfee Enterprise Security Manager 제품안내서 245

246 7 경보워크플로경보빌드 액션 [epo 로태그할당 ] 설명 이경보를트리거하는 IP 주소에 McAfee epolicy Orchestrator 태그를적용합니다. [ 구성 ] 을클릭하고다음정보를선택합니다. [epo 장치선택 ] 태그지정에사용할장치 [ 이름 ] 적용하려는태그 ( 목록에나타난선택한장치에사용가능한태그만 ) [ 필드선택 ] 태그지정에기준이되는필드 [ 클라이언트웨이크업 ] 태그를즉시적용 이액션은조건유형으로 [ 내부이벤트일치 ] 를필요로합니다. [Real Time for epo 액션 ] [ 블랙리스트 ] 선택한 McAfee Real Time for McAfee epo 장치의 McAfee epo 에서액션을수행합니다. 이을수행하려면 McAfee Real Time for McAfee epo 플러그인 ( 버전 이상 ) 이필요하고 McAfee epo 서버에서해당장치를엔드포인트중하나로인식해야합니다. 경보가트리거될때블랙리스트에올릴 IP 주소를선택합니다. [ 구성 ] 을클릭하고다음정보를선택합니다. [ 필드 ] 블랙리스트에올릴 IP 주소유형을선택합니다. [IP 주소 ] 의경우소스및대상 IP 주소모두블랙리스트에올립니다. [ 장치 ] IP 주소를블랙리스트에올리려는장치를선택합니다. [ 글로벌 ] 에서는장치를 [ 글로벌블랙리스트 ] 에추가합니다. [ 기간 ] IP 주소를블랙리스트에올리는기간을선택합니다. 이액션은조건유형으로 [ 내부이벤트일치 ] 를필요로합니다. [ 사용자지정경보요약 ] [ 필드일치 ] 또는 [ 내부이벤트일치 ] 경보요약에포함되는필드를사용자지정합니다. 7 [ 에스컬레이션 ] 탭에서특정시간안에경보를인식하지못할때에스컬레이션하는방법을식별합니다. 에스컬레이션 [ 다음이후에에스컬레이션 ] [ 에스컬레이션된피할당자 ] [ 에스컬레이션된심각도 ] 설명 경보를에스컬레이션하려는시간을입력합니다. 에스컬레이션된통보를받을사람또는그룹을선택합니다. 에스컬레이션된경우경보의심각도를선택합니다. [ 로그이벤트 ] 이에스컬레이션을이벤트로로깅할지선택합니다. [ 시각적경보 ] 통보가시각적경보인지를선택합니다. 시각적통보와함께사운드를발생시키려는경우 [ 사운드재생 ] 을클릭한다음파일을선택합니다. [ 메시지보내기 ] 메시지를피할당자에게보낼지를선택합니다. [ 수신자추가 ] 를클릭하고메시지유형을선택한다음수신자를선택합니다. [ 보고서생성 ] 보고서를생성할지선택합니다. [ 구성 ] 을클릭하여보고서를선택합니다. [ 원격명령실행 ] SSH 연결을허용하는장치에서스크립트를실행할지선택합니다. [ 구성 ] 을클릭한다음호스트, 포트, 사용자이름, 암호및명령문자열을입력합니다. 242 페이지의경보모니터링활성화또는비활성화 243 페이지의경보복사 246 McAfee Enterprise Security Manager 제품안내서

247 경보워크플로경보에대한모니터및응답 7 경보에대한모니터및응답 대시보드보기, 경보상세정보, 필터및보고서를사용하여트리거된경보를보고, 확인하며, 삭제합니다. 트리거된경보를모니터링하고응답하는방법에대해자세히알아보려면다음을참조하십시오. 트리거된경보보기 대시보드의 [ 경보 ] 로그창에심각도에따라경보의총개수가나열됩니다. 기호 심각도 범위 높음 중간 낮음 1 32 트리거된경보확인 시스템이 [ 경보 ] 창에서제거합니다. 확인된경보는트리거된경보보기에남아있습니다. 트리거된경보삭제 시스템이 [ 경보 ] 창및 [ 트리거된경보 ] 보기에서제거합니다. 시각적경보를사용하고트리거된경보를닫거나, 확인하거나, 삭제하지않는경우시각적경보는 30 초후에닫힙니다. 오디오경보는트리거된경보를닫거나, 확인하거나, 삭제할때까지재생되며오디오아이콘을클릭하면경보가중지됩니다. 247 페이지의트리거된경보를보고관리합니다. 아직삭제되지않은트리거된경보를보고응답합니다. 248 페이지의경보보고서대기열관리경보액션이보고서를생성하면생성된보고서의대기열을보고하나이상을취소할수있습니다. 트리거된경보를보고관리합니다. 아직삭제되지않은트리거된경보를보고응답합니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 콘솔이 [ 경보 ] 로그창을표시할수있도록설정되어있는지관리자와함께확인합니다. 1 다음 ESM 위치중하나에서트리거된경보에액세스합니다. 대시보드에서 을클릭합니다. 콘솔에서 [ 경보 ] 창을보려면 을클릭하고 [ 경보 ] 를선택합니다. 경보가트리거될때팝업경보가열립니다. 2 다음중하나를수행합니다. 수행방법... 경보확인 경보를확인하려면확인하려는트리거된경보의첫번째열에서확인란을클릭합니다. 여러항목을확인하려면항목을강조표시하고을클릭합니다. 시스템에서확인한경보는 [ 경보 ] 창에서제거되지만 [ 트리거된경보 ] 보기에는남아있습니다. 경보삭제 삭제하려는트리거된경보를선택한다음을클릭합니다. McAfee Enterprise Security Manager 제품안내서 247

248 7 경보워크플로경보에대한모니터및응답 수행방법... 경보필터링 [ 필터 ] 창에서필터로사용하려는정보를입력한다음을클릭합니다. 경보의피할당자변경 1 경보상세정보를표시하려면을클릭합니다. 2 경보를선택한다음 [ 피할당자 ] 를클릭하고새피할당자를선택합니다. 경보에대한케이스만들기 1 경보상세정보를표시하려면을클릭합니다. 2 경보를선택한다음 [ 케이스만들기 ] 를클릭하고필요한사항을선택합니다. 경보에대한상세정보보기 1 경보상세정보를표시하려면을클릭합니다. 2 경보를선택하고다음중하나를수행합니다. 선택한경보를트리거한이벤트를보려면 [ 트리거한이벤트 ] 탭을클릭합니다. 설명을보려면이벤트를두번클릭합니다. 단일이벤트가경보조건을충족하지못하는경우 [ 트리거한이벤트 ] 탭이나타나지않을수있습니다. [ 조건 ] 탭을클릭하여이벤트를트리거한조건을봅니다. [ 액션 ] 탭을클릭하여경보의결과로발생한액션및이벤트에할당한 epolicy Orchestrator 태그를봅니다. 트리거된경보설정편집 1 트리거된경보를클릭한다음을클릭합니다. [ 경보편집 ] 을선택합니다. 2 [ 경보설정 ] 페이지에서변경한다음 [ 마침 ] 을클릭합니다. 248 페이지의경보보고서대기열관리 경보보고서대기열관리 경보액션이보고서를생성하면생성된보고서의대기열을보고하나이상을취소할수있습니다. 시작하기전에관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 1 시스템탐색트리에서시스템을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 경보 ] 를클릭합니다. 3 [ 설정 ] 탭을클릭합니다. 4 실행대기중인경보보고서를보려면 [ 보기 ] 를클릭합니다. ESM 은동시에최대다섯개의보고서를실행합니다. 경보를통해생성된보고서를봅니다. 특정보고서의실행을중지하려면해당보고서를선택하고 [ 취소 ] 를클릭합니다. 나머지보고서가대기열로이동합니다. 관리자또는마스터사용자인경우이목록에 ESM 에서실행대기중인모든보고서가포함되어어떤보고서라도취소할수있습니다. 248 McAfee Enterprise Security Manager 제품안내서

249 경보워크플로경보조정 7 5 목록에서보고서다운로드, 업로드, 제거또는새로고침여부를선택할 [ 파일 ] 을클릭합니다. 6 [ 닫기 ] 를클릭합니다. 표 7-1 테이블 ESM 에서생성되어실행대기중인보고서를봅니다. [ 취소 ] 선택한보고서가실행되지않도록하려면클릭합니다. 선택한보고서가취소되고나머지보고서가대기열의위로이동합니다. 표 7-2 테이블생성된보고서파일목록을봅니다. [ 다운로드 ] 선택한보고서를다른위치에저장합니다. [ 업로드 ] 보고서를목록에추가합니다. [ 제거 ] 보고서를목록에서삭제합니다. [ 새로고침 ] 목록을새로고쳐변경된내용을반영합니다. 247 페이지의트리거된경보를보고관리합니다. 249 페이지의보고서보기페이지 보고서보기페이지 생성되어현재실행중이거나실행대기중인보고서대기열을봅니다. 표 7-3 테이블 ESM 에서생성되어실행대기중인보고서를봅니다. [ 취소 ] 선택한보고서가실행되지않도록하려면클릭합니다. 선택한보고서가취소되고나머지보고서가대기열의위로이동합니다. 248 페이지의경보보고서대기열관리 경보조정 조직에대한모범사례에따라경보를세분화하고조정합니다. 경보조정방법에대해자세히알아보려면다음을참조하십시오. 이러한에서경보의특정유형을만드는방법이설명됩니다. McAfee Enterprise Security Manager 제품안내서 249

250 7 경보워크플로경보조정 250 페이지의 UCAPL 경보만들기 UCAPL( 통합기능승인제품목록 ) 요구사항을충족하는경보를만듭니다. 252 페이지의상태모니터이벤트경보추가 상태모니터이벤트에따라경보를만들어서 [ 상태모니터이벤트요약 ] 보고서를생성할수있습니다. 259 페이지의필드일치경보추가 [ 필드일치 ] 경보는이벤트의여러필드에서일치하며장치가이벤트를받고구문분석할때트리거됩니다. 260 페이지의트리거된경보및케이스에대한요약사용자지정 경보요약및 [ 필드일치 ] 와 [ 내부이벤트일치 ] 경보에대한케이스요약에포함할데이터를선택합니다. 261 페이지의규칙에경보추가 이벤트가특정규칙에서생성되는경우통보하려면경보를해당규칙에추가할수있습니다. 261 페이지의 SNMP 트랩을경보액션으로만들기 SNMP 트랩을경보액션으로보냅니다. 262 페이지의전원오류통보경보추가 ESM 전원장치중하나에오류가발생하는경우사용자에게통보하는경보를추가합니다. 262 페이지의동기화되지않은데이터소스관리 동기화되지않은데이터소스가이벤트를생성할때알려주는경보를설정하여데이터소스목록을보고, 해당설정을편집하고, 목록을내보낼수있습니다. UCAPL 경보만들기 UCAPL( 통합기능승인제품목록 ) 요구사항을충족하는경보를만듭니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 경보만들기 243 페이지의단계를검토합니다. 다음을적용할경보유형을설정합니다. 경보유형 실패한로그온에대한조정가능한임계값에도달함 설명 동일한사용자에대해여러실패한로그온이조정가능한임계값에도달한경우경보를트리거합니다. 1 [ 시그니처 ID] 에일치하는 [ 내부이벤트일치 ] 경보를만듭니다 의값을입력합니다. 없음에대한임계값에도달함 없음임계값에도달해서사용자계정이잠긴경우경보를트리거합니다. 1 [ 시그니처 ID] 에일치하는 [ 내부이벤트일치 ] 경보를만듭니다 의값을입력합니다. 허용된동시세션에도달함 허용된동시세션수에도달한후사용자가시스템에로그온하려고시도하는경우경보를트리거합니다. 1 [ 시그니처 ID] 에일치하는 [ 내부이벤트일치 ] 경보를만듭니다 의값을입력합니다. 250 McAfee Enterprise Security Manager 제품안내서

251 경보워크플로경보조정 7 경보유형 실패한시스템파일무결성체크 설명 시스템파일무결성체크가실패한경우경보를트리거합니다. 1 [ 시그니처 ID] 에일치하는 [ 내부이벤트일치 ] 경보를만듭니다 의값을입력합니다. 인증서가만료될예정임 CAC(Common Access Card) 또는웹서버인증서가곧만료되는경우경보를트리거합니다. 1 [ 시그니처 ID] 에일치하는 [ 내부이벤트일치 ] 경보를만듭니다 , , , 의값을입력합니다. 경보가인증서만료 60 일전에트리거된후매주트리거됩니다. 일수를변경할수없습니다. 시스템상태가승인되지않은경우 SNMP 트랩보냄 시스템이더이상승인된상태나보안상태로작동되지않음을탐지할경우경보가 NMS 로트랩을보내도록 SNMP 트랩을구성합니다. 1 모든조건에일치하는경보를만든다음 [ 액션 ] 탭으로이동하여 [ 메시지보내기 ] 를선택합니다. 2 [ 수신자추가 ] [SNMP] 를클릭하고수신자를선택한다음 [ 확인 ] 을클릭합니다. 3 [ 메시지보내기 ] 필드에서 [ 구성 ] 을클릭한다음 [ 템플릿 ] 을클릭하고 [ 추가 ] 를클릭합니다. 4 [ 유형 ] 필드에서 [SNMP 템플릿 ] 을선택하고메시지의텍스트를입력한다음 [ 확인 ] 을클릭합니다. 5 [ 템플릿관리 ] 페이지에서새템플릿을선택한다음 [ 확인 ] 을클릭합니다. 6 나머지경보설정을완료합니다. 시스템상태가승인되지않은경우 Syslog 메시지보냄 시스템이더이상승인된상태나보안상태로작동되지않음을탐지할경우경보가 NMS 로 syslog 메시지를보내도록 syslog 메시지를구성합니다. 1 모든조건에일치하는경보를만든다음 [ 액션 ] 탭으로이동하여 [ 메시지보내기 ] 를선택합니다. 2 [ 수신자추가 ] [syslog] 를클릭하고수신자를선택한다음 [ 확인 ] 을클릭합니다. 3 [ 메시지보내기 ] 필드에서 [ 구성 ] 을클릭한다음 [ 템플릿 ] 을클릭하고 [ 추가 ] 를클릭합니다. 4 [ 유형 ] 필드에서 [Syslog 템플릿 ] 을선택하고메시지의텍스트를입력한다음 [ 확인 ] 을클릭합니다. 5 [ 템플릿관리 ] 페이지에서새템플릿을선택한다음 [ 확인 ] 을클릭합니다. 6 나머지경보설정을완료합니다. 보안로그에서필요한이벤트를기록하지못함 보안로그에서필요한이벤트를기록하지못할경우경보가 30 초내에적절한 NOC(Network Operation Center) 에통보하도록 SNMP 트랩을구성합니다. 1 [ 시스템속성 ] [SNMP 구성 ] [SNMP 트랩 ] 또는 [ 장치속성 ] [ 장치구성 ] [SNMP] 로이동합니다. 2 보안로그오류트랩을선택한다음트랩을보낼프로파일을하나이상구성하고 [ 적용 ] 을클릭합니다. ESM 이 SNMP 트랩을보안로그에기록하지못했습니다라는메시지와함께 SNMP 프로파일수신자에게보냅니다. McAfee Enterprise Security Manager 제품안내서 251

252 7 경보워크플로경보조정 경보유형 감사기능시작또는종료 각관리역할에대한세션이있음 설명 감사기능 ( 예 : 데이터베이스, cpservice, IPSDBServer) 이시작되거나종료될때경보가통보하는 SNMP 트랩을구성하고 [SNMP 트랩 ] 또는 [SNMP 설정 ] 에액세스하고 [ 데이터베이스실행 / 정지트랩 ] 을선택합니다. 트랩을보낼프로파일을하나이상구성하고 [ 적용 ] 을클릭합니다. 각각의된관리역할에대해관리세션이존재하는경우경보를트리거합니다. 1 [ 시그니처 ID] 에일치하는 [ 내부이벤트일치 ] 경보를만듭니다. 2 감사관리자의경우값 , 암호화관리자의경우 , 고급사용자의경우 을입력합니다. 별도의경보를설정할수도있습니다. 상태모니터이벤트경보추가 상태모니터이벤트에따라경보를만들어서 [ 상태모니터이벤트요약 ] 보고서를생성할수있습니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 사용가능한상태모니터시그니처 ID253 페이지의를검토합니다. 경보만들기 243 페이지의단계를검토합니다. 1 상태모니터이벤트가생성되기전에경보를설정하려면 a [ 내부이벤트일치 ] 유형으로경보 [ 조건 ] 을설정합니다. b [ 필드 ] 줄에서 [ 시그니처 ID] 를선택합니다. c [ 값 ] 필드에서상태모니터규칙의시그니처 ID 를입력합니다. d 경보의나머지설정을입력합니다. 2 상태모니터이벤트가있는경우경보를설정하려면 a 시스템탐색트리에서시스템의기본장치 를클릭한다음상태모니터이벤트 ([ 이벤트분석 ] 또는 [ 기본요약 ]) 를표시하는보기를선택합니다. b 이벤트를클릭한다음 [ 메뉴 ] 아이콘을클릭합니다. c [ 액션 ] [ 다음에서새경보만들기 ] 를선택한다음 [ 시그니처 ID] 를클릭합니다. d 경보의나머지설정을입력합니다. 253 페이지의상태모니터시그니처 ID 252 McAfee Enterprise Security Manager 제품안내서

253 경보워크플로경보조정 7 상태모니터시그니처 ID 다음규칙을사용하여상태모니터규칙이벤트가생성될때통보되는경보를만듭니다. 이목록은상태모니터규칙및해당시그니처 ID, 유형, 장치및심각도를설명합니다. 규칙이름 시그니처 ID 설명 유형 장치 심각 도 물리적네트워크인터페이스연결을만들거나제거했습니다. RAID 오류가발생했습니다. 비활성때문에계정이비활성화됨 최대로그온실패로인해계정이비활성화됨 SSH 세션을통해네트워크인터페이스설정이변경되었습니다. 소프트웨어모니터 RAID 오류가발생했습니다. 하드웨어모 니터 비활성때문에사용자계정이비활성화되었습니다 최대로그온실패로인해사용자계정이비활성화되었습니다. 원격명령추가 / 편집 경보원격명령이추가되었거나삭제되 었습니다. 고급 Syslog 분석기수집기상태변경경보 ASP 분석기가중지되었거나시작되었습니다. ADM Distiller 프로세스 ADM PDF/DOC 텍스트추출엔진이중 지되었거나시작되었습니다. 승인된구성불일치 네트워크탐색장치변경이승인되었습 니다. 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 보관구성변경 ESM 보관설정이변경되었습니다. 소프트웨어 모니터 보관프로세스상태변경경보 이벤트에취약한자산 , 감사관리자사용자로그온 수신기보관프로세스가중지되었거나시작되었습니다. 취약성이벤트가만들어졌습니다. 소프트웨어모니터 소프트웨어모니터 UCAPL 이벤트, 감사관리자로그온 소프트웨어 모니터 백업구성변경 ESM 백업구성설정이변경되었습니다. 소프트웨어 모니터 백업이수행됨 시스템에서백업이수행되었습니다. 소프트웨어 모니터 Blue Martini 분석기경보 Blue Martini 분석기가중지되었거나시 작되었습니다. 바이패스 NIC 상태경보 NIC 가바이패스상태를시작했거나끝냈 습니다. 소프트웨어모니터 소프트웨어모니터 CAC 인증서가만료됨 ESM CAC 인증서가만료되었습니다. 소프트웨어 모니터 CAC 인증서가곧만료됨 ESM CAC 인증서가곧만료됩니다. 소프트웨어 모니터 케이스가변경됨 케이스가변경되었습니다. 소프트웨어 모니터 케이스상태가추가됨 / 수정됨 / 삭제됨 케이스상태가변경되었습니다. 소프트웨어 모니터 통신채널상태변경경보 제어채널이중지되었거나시작되었습니 다. 소프트웨어모니터 구성캡처실패 ( 장치오류 ) 네트워크탐색장치오류입니다. 소프트웨어 모니터 ESM 모두 ESM ESM ESM 수신기 ADM ESM ESM 중간 높음 중간 높음 낮음 중간 중간 낮음 낮음 ADM/REC/ 중간 DBM ESM ESM ESM ESM 수신기 IPA/ ADM ESM ESM ESM ESM 모두 ESM 낮음 낮음 낮음 낮음 중간 중간 높음 중간 낮음 낮음 중간 낮음 McAfee Enterprise Security Manager 제품안내서 253

254 7 경보워크플로경보조정 규칙이름 시그니처 ID 설명 유형 장치 심각 도 구성캡처실패 ( 장치접근불가 ) 네트워크탐색장치가접근불가합니다. 소프트웨어 모니터 구성이캡처됨 네트워크탐색구성을성공적으로체크 했습니다. 소프트웨어모니터 구성정책오류 시스템에서사용되지않습니다. 소프트웨어 모니터 구성정책통과 시스템에서사용되지않습니다. 소프트웨어 모니터 데이터할당구성변경 ESM 데이터할당설정이변경되었습니 다. 데이터파티션의사용가능한디스크공간경보 각파티션의사용가능한공간이부족합니다 ( 예 : hada_hd 에 10% 의사용가능한공간이있음 ). 데이터보존구성변경 ESM 데이터보존구성이변경되었습니 다. 데이터베이스탐지서비스상태경보 깊은패킷검사기상태변경경보 DBM 자동탐지서비스가중지되었거나시작되었습니다 ADM 의패킷심층분석엔진이중지되었거나시작되었습니다. 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 원격명령삭제 경보원격명령이제거되었습니다. 소프트웨어 모니터 삭제된이벤트 사용자가삭제한 ESM 이벤트입니다. 소프트웨어 모니터 삭제된플로 사용자가삭제한 ESM 플로입니다. 소프트웨어 모니터 장치추가 새장치가시스템에추가되었습니다. 소프트웨어 모니터 장치삭제 시스템에서기존장치가삭제되었습니 다. 장치가중단되었을수있음 장치가중단되었을수있음을나타내는네트워크탐색이벤트입니다. 장치접근불가 ESM 에추가된네트워크탐색장치가접 근불가합니다. 디스크드라이브오류경보 ELM 보관프로세스상태변경경보 모든하드디스크의무결성을체크하고확인합니다 ( 내부또는 DAS) ELM 압축엔진이중지되었거나시작되었습니다. ELM EDS FTP ELM SFTP 프로그램이중지되었거나시 작되었습니다. ELM 파일프로세스 ELM 재삽입엔진이중지되었거나시작 되었습니다. 어떤이유로로그가실패하는경우다시삽입을시도합니다. 재삽입프로세스가실패하는경우이규칙이트리거됩니다. 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 하드웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 ESM ESM ESM ESM ESM 모두 ESM 모두 모두 ESM ESM ESM ESM ESM ESM ESM 모두 낮음 낮음 낮음 낮음 높음 중간 높음 중간 중간 낮음 낮음 낮음 낮음 낮음 낮음 낮음 높음 ADM/REC/ 중간 DBM ELM ELM 중간 중간 ELM 마운트지점상태변경경보 ELM 원격저장소 (CIFS, NFS, ISCSI, SAN) 가중지되었거나시작되었습니다. 소프트웨어모니터 ELM 중간 ELM 쿼리엔진상태변경경보 ELM 프로세스 - ELM (ELM 쿼리, 삽입등 ) 이중지되었거나시작되었습니다. 소프트웨어모니터 ELM 중간 254 McAfee Enterprise Security Manager 제품안내서

255 경보워크플로경보조정 7 규칙이름 시그니처 ID 설명 유형 장치 심각 도 ELM 중복저장소 ELM 미러링이중지되었거나시작되었습 니다. ELM 시스템데이터베이스오류 이메일수집기상태변경경보 ELM 데이터베이스가중지되었거나시작되었습니다 Cisco MARS 수집기가중지되었거나시작되었습니다. 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 EPO 태그가적용됨 McAfee epo 태그가적용되었습니다. 소프트웨어 모니터 ELM 과통신하는동안오류발생 ELM 과의통신이실패했습니다. 소프트웨어 모니터 SSH 통신오류 버전차이, 키변경과같은장치문제입니 다. 소프트웨어모니터 ESM 재부팅 ESM 이재부팅되었습니다. 소프트웨어 모니터 ESM 종료 ESM 이종료되었습니다. 소프트웨어 모니터 estreamer 수집기경보 estreamer 수집기가중지되었거나시작 되었습니다. estreamer 수집기상태변경경보 estreamer 수집기가중지되었거나시작되었습니다. 소프트웨어모니터 소프트웨어모니터 원격명령실행 경보원격명령이실행되었습니다. 소프트웨어 모니터 최대동시세션에도달했기때문에로그온하지못함 SAN 장치를포맷하지못함 최대동시세션에도달했기때문에사용자가로그온하지못했습니다 ELM 의 SAN 을포맷하지못했습니다. 사용자가재시도해야합니다. 소프트웨어모니터 하드웨어모니터 사용자가로그온하지못함 사용자가로그온하지못했습니다. 소프트웨어 모니터 파일수집기상태변경경보 mountcollector 프로그램이중지되었거나시작되었습니다. 소프트웨어모니터 파일이삭제됨 추가하거나제거할수있는파일 소프트웨어 모니터 필터프로세스상태변경경보 방화벽경보집계상태변경경보 장치의필터프로그램이중지되었거나시작되었습니다 ( 필터규칙 ) ADM 의방화벽집계가중지되었거나시작되었습니다. VA 데이터가져오기오류 ESM 이 VA 데이터를가져오지못했습니 다. 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 VA 데이터를가져옴 ESM 이 VA 데이터를가져왔습니다. 소프트웨어 모니터 상태모니터내부경보 상태모니터프로세스가중지되었거나 시작되었습니다. HTTP 수집기상태변경경보 HTTP 수집기가중지되었거나시작되었습니다. 소프트웨어모니터 소프트웨어모니터 인덱싱구성변경 ESM 인덱싱설정이변경되었습니다. 소프트웨어 모니터 ELM ELM 수신기 ESM 중간 높음 중간 낮음 ADM/REC/ 높음 DBM 모두 ESM ESM 수신기 수신기 ESM ESM ESM ESM 수신기 ESM 수신기 ADM ESM ESM 모두 수신기 ESM 높음 중간 중간 중간 중간 낮음 높음 높음 중간 중간 낮음 중간 중간 중간 낮음 중간 중간 중간 McAfee Enterprise Security Manager 제품안내서 255

256 7 경보워크플로경보조정 규칙이름 시그니처 ID 설명 유형 장치 심각 도 잘못된 SSH 키 ELM 과통신하는동안발생하는장치문 제 ( 예 : 버전차이, 키변경 ) 입니다. IPFIX 수집기상태변경경보 키및인증서관리자사용자로그온 로그파티션의사용가능한디스크공간경보 McAfee EDB 데이터베이스서버상태변경경보 IPFIX( 플로 ) 수집기가중지되었거나시작되었습니다. 소프트웨어모니터 소프트웨어모니터 UCAPL 이벤트, 암호화관리자로그온 소프트웨어 모니터 로그파티션 (/var) 의사용가능한공간이부족합니다 데이터베이스가중지되었거나시작되었습니다. McAfee epo 수집기경보 McAfee epo 수집기가중지되었거나시 작되었습니다. McAfee Event Format 상태변경경보 McAfee SIEM 장치통신오류 Microsoft Forefront Threat Management Gateway 경보 MS-SQL 검색기상태변경경보 McAfee Event Format 수집기가중지되었거나시작되었습니다. 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 ESM 이다른장치와통신할수없습니다. 소프트웨어모니터 Forefront Threat Management Gateway 수집기가중지되었거나시작되었습니다 Microsoft SQL 수집기가중지되었거나시작되었습니다 (Microsoft SQL 의데이터소스 ). 다중이벤트로그경보 j 수집기가중지되었거나시작되었 습니다. 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 MVM 검색이시작됨 MVM 검색이시작되었습니다. 소프트웨어 모니터 NetFlow 수집기상태변경경보 NetFlow( 플로 ) 수집기가중지되었거나시작되었습니다. 소프트웨어모니터 새사용자계정 새사용자가시스템에추가되었습니다. 소프트웨어 모니터 NFS/CIFS 수집기상태변경경보 NitroFlow 수집기상태변경경보 NFS 또는 CIFS 의원격마운트가중지되었거나시작되었습니다 NitroFlow( 장치의플로 ) 가중지되었거나시작되었습니다. SSH 키가없음 ELM 과통신하는동안발생하는장치문 제 ( 예 : 버전차이, 키변경 ) 입니다. NSM 블랙리스트추가 / 편집 NSM 블랙리스트항목이편집되거나추가되었습니다. NSM 블랙리스트삭제 NSM 블랙리스트항목이삭제되었습니 다. OPSEC 검색기상태변경경보 OPSEC 검색기상태변경경보 OPSEC(Check Point) 수집기가중지되었거나시작되었습니다 OPSEC(Check Point) 수집기가중지되었거나시작되었습니다. Oracle IDM 수집기경보 Oracle IDM 수집기가중지되었거나시작 되었습니다. 초과구독경보 ADM 이초과구독모드를시작했거나끝 냈습니다. 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 모두 수신기 ESM 모두 모두 수신기 수신기 ESM 수신기 수신기 수신기 ESM 수신기 ESM 수신기 수신기 모두 ESM ESM 수신기 수신기 수신기 ADM 높음 중간 낮음 중간 중간 중간 중간 높음 중간 중간 중간 낮음 중간 낮음 중간 중간 높음 낮음 낮음 중간 중간 중간 중간 256 McAfee Enterprise Security Manager 제품안내서

257 경보워크플로경보조정 7 규칙이름 시그니처 ID 설명 유형 장치 심각 도 플러그인수집기 / 분석기경보 플러그인수집기 / 분석기가중지되었거나시작되었습니다. 소프트웨어모니터 정책추가 정책이시스템에추가되었습니다. 소프트웨어 모니터 정책삭제 정책이시스템에서삭제되었습니다. 소프트웨어 모니터 정책변경 시스템에서정책이변경되었습니다. 소프트웨어 모니터 이전구성불일치 네트워크탐색장치구성이변경되었습 니다. 수신기 HA HA 프로세스가중지되었거나시작되었 습니다 (Corosync, HA 컨트롤스크립트 ). 소프트웨어모니터 소프트웨어모니터 수신기 HA Opsec 구성 사용하고있지않습니다. 소프트웨어 모니터 중복 ESM 비동기 중복 ESM 이동기화되지않았습니다. 소프트웨어 모니터 원격 NFS 마운트지점상태변경경보 원격공유 / 마운트지점사용가능한디스크공간경보 원격 SMB/CIFS 공유상태변경경보 NFS ELM 마운트가중지되었거나시작되었습니다 원격마운트지점의사용가능한공간이부족합니다 원격 SMB/CIFS 마운트지점이중지되었거나시작되었습니다. 위험상관상태변경경보 위험상관엔진이중지되었거나시작되 었습니다. 루트파티션의사용가능한디스크공간경보 루트파티션의사용가능한공간이부족합니다. 규칙추가 규칙이시스템에추가되었습니다 ( 예 : ASP, 필터또는상관 ). 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 규칙삭제 규칙이시스템에서삭제되었습니다. 소프트웨어 모니터 규칙변경 시스템에서규칙이변경되었습니다. 소프트웨어 모니터 규칙업데이트오류 ESM 규칙을업데이트하지못했습니다. 소프트웨어 모니터 SDEE 검색기상태변경경보 sflow 수집기상태변경경보 SNMP 수집기상태변경경보 SQL 수집기상태변경경보 Symantec AV 수집기상태변경경보 Syslog 수집기상태변경경보 SDEE 수집기가중지되었거나시작되었습니다 sflow( 플로 ) 수집기가중지되었거나시작되었습니다 SNMP 수집기가중지되었거나시작되었습니다 SQL 수집기 ( 이전 NFX) 가중지되었거나시작되었습니다 Symantec AV 수집기가중지되었거나시작되었습니다 Syslog 수집기가중지되었거나시작되었습니다. 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 수신기 ESM ESM ESM ESM 수신기 수신기 ESM ELM ESM 수신기 ACE 모두 ESM ESM ESM ESM 수신기 수신기 수신기 수신기 수신기 수신기 중간 낮음 낮음 낮음 낮음 중간 낮음 높음 중간 중간 중간 중간 중간 낮음 낮음 낮음 중간 중간 중간 중간 중간 중간 중간 McAfee Enterprise Security Manager 제품안내서 257

258 7 경보워크플로경보조정 규칙이름 시그니처 ID 설명 유형 장치 심각 도 시스템관리사용자로그온 시스템관리자가시스템에로그온했습니다. 시스템무결성체크오류 시스템에서실행되는비 ISO 외부프로그 램또는프로세스에플래그가지정되었 습니다. 시스템로거상태변경경보 시스템로깅프로세스가중지되었거나시작되었습니다. 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 ( 쿼리 ) 이닫힘 관리자이닫혔습니다. 소프트웨어 모니터 임시파티션의사용가능한디스크공간경보 텍스트로그분석기상태변경경보 디스크공간에임시 (/tmp) 파티션이부족합니다 텍스트분석기가중지되었거나시작되었습니다. 소프트웨어모니터 소프트웨어모니터 사용자계정변경 사용자계정이변경되었습니다. 소프트웨어 모니터 사용자장치가로그온하지못함 SSH 사용자가로그온하지못했습니다. 소프트웨어 모니터 사용자장치로그온 시스템에서사용되지않습니다. 소프트웨어 모니터 사용자장치로그아웃 SSH 사용자가로그아웃했습니다. 소프트웨어 모니터 사용자로그온 사용자가시스템에로그온했습니다. 소프트웨어 모니터 사용자로그아웃 사용자가시스템에서로그아웃했습니다. 소프트웨어 모니터 VA 데이터엔진상태경보 VA(vaded.pl) 엔진이중지되었거나시작 되었습니다. 소프트웨어모니터 변수추가 정책변수가추가되었습니다. 소프트웨어 모니터 변수삭제 정책변수가삭제되었습니다. 소프트웨어 모니터 변수변경 정책변수가변경되었습니다. 소프트웨어 모니터 웹서버인증서가만료됨 ESM 웹서버인증서가만료되었습니다. 소프트웨어 모니터 웹서버인증서가곧만료됨 ESM 웹서버인증서가곧만료됩니다. 소프트웨어 모니터 Websense 수집기경보 Websense 수집기가중지되었거나시작 되었습니다. WMI 이벤트로그수집기상태변경경보 252 페이지의상태모니터이벤트경보추가 WMI 수집기가중지되었거나시작되었습니다. 소프트웨어모니터 소프트웨어모니터 ESM 모두 모두 ESM 모두 수신기 ESM ESM ESM ESM ESM ESM 수신기 ESM ESM ESM ESM ESM 수신기 수신기 낮음 높음 중간 낮음 중간 중간 낮음 낮음 낮음 낮음 낮음 낮음 중간 낮음 낮음 낮음 높음 중간 중간 중간 258 McAfee Enterprise Security Manager 제품안내서

259 경보워크플로경보조정 7 필드일치경보추가 [ 필드일치 ] 경보는이벤트의여러필드에서일치하며장치가이벤트를받고구문분석할때트리거됩니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 논리적요소를사용하는방법을검토합니다. 1 시스템탐색트리에서시스템을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 경보 ] 를클릭합니다. 3 [ 추가 ] 를클릭하고경보이름을입력하고피할당자를선택한다음 [ 조건 ] 탭을클릭합니다. 4 [ 유형 ] 필드에서 [ 필드일치 ] 를선택한다음경보의조건을설정합니다. a 경보조건에대한논리를설정하기위해 [AND] 또는 [OR] 를끌어놓습니다. b [ 구성요소일치 ] 아이콘을논리요소로끌어놓은다음 [ 필터필드추가 ] 페이지를완료합니다. c [ 최대조건트리거빈도 ] 필드에서통보가넘쳐나는것을방지하기위해각조건사이에허용할시간양을선택합니다. 각트리거에는트리거빈도기간내에발생한이벤트가아닌트리거조건과일치하는첫번째소스이벤트만포함합니다. 트리거조건과일치하는새이벤트는최대트리거빈도기간이지날때까지경보가다시트리거되지않도록합니다. 0 으로간격을설정하면조건에일치하는모든이벤트가경보를트리거합니다. 높은빈도의경보의경우에는간격이 0 이면많은경보를발생할수있습니다. 5 [ 다음 ] 을클릭하고이경보로모니터링할장치를선택합니다. 이경보유형은수신기, 로컬수신기 -ELM(Enterprise Log Manager), 수신기 /ELM 콤보, ACE 및 ADM(Application Data Monitors) 을지원합니다. 6 [ 액션 ] 및 [ 에스컬레이션 ] 탭을클릭하고설정을합니다. 7 [ 마침 ] 을클릭합니다. 경보를장치에기록합니다. 표 7-4 경보를장치에기록하지못한경우동기화되지않은플래그가시스템탐색트리의장치옆에나타납니다. 플래그를클릭한다음 [ 경보동기화 ] 를클릭합니다. 라디오버튼논리적요소유형을변경합니다. 이기능은여러계층의논리적요소가포함된규칙또는구성요소가있고논리다이어그램을시작할때요소유형중하나가달라야하는것을인식하는경우유용합니다. [ 조건 ] 둘이상의조건이포함된 [SET] 에대해충족해야하는조건수를선택합니다. [ 시퀀스 ] 규칙을트리거하기위해 AND 또는 SET 논리적요소조건이 [ 상관논리 ] 필드에배치하는시퀀스로발생하도록하려는경우선택합니다. [ 임계값 ] 규칙을트리거하기위해조건이발생해야하는횟수를설정합니다. [ 기간 ] 규칙을트리거하기위해임계값이발생해야하는시간제한을설정합니다. McAfee Enterprise Security Manager 제품안내서 259

260 7 경보워크플로경보조정 260 페이지의트리거된경보및케이스에대한요약사용자지정 260 페이지의논리적요소 논리적요소 ADM(Application Data Monitor), 데이터베이스및상관규칙또는구성요소를추가할때 [ 표현식논리 ] 또는 [ 상관논리 ] 를사용하여규칙의프레임워크를구성합니다. 요소 설명 AND 컴퓨터언어의논리연산자와동일한기능입니다. 조건이참이되려면이논리적요소아래그룹화된모든조건이참이어야합니다. 이논리적요소아래의모든조건이충족되면규칙을트리거하려는경우이을사용합니다. OR SET 컴퓨터언어의논리연산자와동일한기능입니다. 이조건이 true 가되려면이요소아래그룹화된조건중한가지만 true 여야합니다. 한가지조건만충족된다음규칙을트리거하려는경우이요소를사용합니다. 상관규칙또는구성요소의경우 SET 을통해조건을하고참인조건의수를선택하여규칙을트리거합니다. 예를들어설정에있는 3 개의조건중에 2 개의조건이충족되면규칙을트리거하는경우설정이 2/3" 로표시됩니다. 이러한각요소의메뉴에는다음중 2 가지이상이있습니다. [ 편집 ] 기본설정을편집할수있습니다 (" 논리적요소기본설정편집 " 참조 ). [ 논리적요소제거 ] 선택한논리적요소를삭제할수있습니다. 하위요소가있는경우삭제되지않고계층에서위로이동합니다. 이는루트요소 ( 계층의첫번째요소 ) 에는적용되지않습니다. 루트요소를제거하면모든하위요소도제거됩니다. [ 논리적요소및모든해당하위제거 ] 선택한요소및계층의모든하위를삭제할수있습니다. 규칙의논리를설정할때구성요소를추가하여규칙의조건을해야합니다. 상관규칙의경우실행될때규칙또는구성요소의동작을제어하기위한매개변수를추가할수도있습니다. 259 페이지의필드일치경보추가 355 페이지의논리적요소편집 트리거된경보및케이스에대한요약사용자지정 경보요약및 [ 필드일치 ] 와 [ 내부이벤트일치 ] 경보에대한케이스요약에포함할데이터를선택합니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 1 시스템탐색트리에서시스템을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 경보 ] 를클릭하고 [ 추가 ] 를클릭합니다. 3 [ 조건 ] 탭에서 [ 필드일치 ] 또는 [ 내부이벤트일치 ] 유형을선택합니다. 4 [ 액션 ] 탭을클릭하고 [ 다음에대한케이스만들기 ] 를클릭하고변수아이콘 을클릭한다음케이스요약에포함 시킬필드를선택합니다. 260 McAfee Enterprise Security Manager 제품안내서

261 경보워크플로경보조정 7 5 [ 트리거된경보요약사용자지정 ] 을클릭하고변수아이콘을클릭한다음트리거된경보의요약에포함시킬필 드를선택합니다. 6 요청한정보를입력하여경보를만든다음 [ 마침 ] 을클릭합니다. 259 페이지의필드일치경보추가 규칙에경보추가 이벤트가특정규칙에서생성되는경우통보하려면경보를해당규칙에추가할수있습니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 1 시스템탐색트리의액션도구모음에서 [ 정책편집기 ] 아이콘을클릭합니다. 2 [ 규칙유형 ] 창에서규칙유형을선택합니다. 3 규칙표시영역에서하나이상의규칙을선택합니다. 4 [ 경보 ] 아이콘을클릭합니다. 5 경보를만듭니다. SNMP 트랩을경보액션으로만들기 SNMP 트랩을경보액션으로보냅니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. SNMP 트랩수신기를준비합니다 (SNMP 트랩수신기가없는경우에만필요 ). 1 SNMP 트랩을보낼 ESM 에알리기위해 SNMP 프로파일을만듭니다. a 시스템탐색트리에서시스템을선택한다음 [ 속성 ] 아이콘을클릭합니다. b [ 프로파일관리 ] 를클릭한다음 [ 프로파일유형 ] 필드에서 [SNMP 트랩 ] 을선택합니다. c 나머지필드를입력한다음 [ 적용 ] 을클릭합니다. 2 ESM 에 SNMP 를구성합니다. a [ 시스템속성 ] 에서 [SNMP 구성 ] 을클릭한다음 [SNMP 트랩 ] 탭을클릭합니다. b 포트를선택하고, 보낼트랩유형을선택한다음 1 단계에서추가한프로파일을선택합니다. c [ 적용 ] 을클릭합니다. McAfee Enterprise Security Manager 제품안내서 261

262 7 경보워크플로경보조정 3 [SNMP 트랩 ] 을사용하는경보를액션으로합니다. a [ 시스템속성 ] 에서 [ 경보 ] 를클릭한다음 [ 추가 ] 를클릭합니다. b [ 요약 ], [ 조건 ] 및 [ 장치 ] 탭에요청된정보를입력하고, [ 내부이벤트일치 ] 를조건유형으로선택한다음 [ 액션 ] 탭을클릭합니다. c [ 메시지보내기 ] 를선택한다음 [ 구성 ] 을클릭하여 SNMP 메시지의템플릿을선택하거나만듭니다. d [SNMP] 필드에서 [ 기본 SNMP 템플릿 ] 을선택하거나 [ 템플릿 ] 을클릭하고기존템플릿을선택하거나 [ 추가 ] 를클릭하여새템플릿을합니다. e [ 경보설정 ] 페이지로돌아간다음경보설정을계속합니다. 전원오류통보경보추가 ESM 전원장치중하나에오류가발생하는경우사용자에게통보하는경보를추가합니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 전원오류통보에대한 SNMP 트랩설정 178 페이지의 1 시스템탐색트리에서시스템을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 경보 ] 를클릭합니다. 3 [ 추가 ] 를클릭하고 [ 요약 ] 탭에서요청한데이터를입력한다음 [ 조건 ] 탭을클릭합니다. 4 [ 유형 ] 필드에서 [ 내부이벤트일치 ] 를선택합니다. 5 [ 필드 ] 필드에서 [ 시그니처 ID] 를선택한다음 [ 값 ] 필드에 을입력합니다. 6 필요한대로각탭에서남은정보를입력한다음 [ 마침 ] 을클릭합니다. 전원공급장치에오류가발생하면경보가트리거됩니다. 동기화되지않은데이터소스관리 동기화되지않은데이터소스가이벤트를생성할때알려주는경보를설정하여데이터소스목록을보고, 해당설정을편집하고, 목록을내보낼수있습니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 이진단도구는데이터소스가과거또는향후의이벤트를수집하는시기를식별하여빨간색플래그를수신기에표시할수있습니다. 262 McAfee Enterprise Security Manager 제품안내서

263 경보워크플로경보조정 7 1 시스템탐색트리에서시스템을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 ESM 과동기화되지않은데이터소스에서생성된이벤트가수신기로들어올때통보하도록경보를설정합니다. a [ 경보 ] [ 추가 ] 를클릭하고 [ 요약 ] 탭에서요청한정보를입력한다음 [ 조건 ] 탭을클릭합니다. b [ 유형 ] 필드에서 [ 이벤트델타 ] 를선택하고 ESM 이동기화되지않은데이터소스를체크해야하는빈도를선택하고경보를트리거하기위해있어야하는시간차이를선택합니다. c 나머지탭의정보를완료합니다. 3 동기화되지않은데이터소스를보거나, 편집하거나, 내보냅니다. a 시스템탐색트리에서수신기를클릭한다음 [ 속성 ] 아이콘을클릭합니다. b [ 수신기관리 ] 를클릭하고 [ 시간델타 ] 를클릭합니다. 263 페이지의동기화되지않은데이터소스 동기화되지않은데이터소스 여러가지가능한설결과로데이터소스에대한시간이 ESM 과동기화되지않을수있습니다. 동기화되지않은데이터소스가이벤트를생성하면시스템탐색트리의수신기옆에빨간색플래그가나타납니다. 이이벤트가발생하면사용자에게통보할경보를설정할수있습니다. 그런다음 [ 시간델타 ] 페이지에액세스하여동기화되지않은데이터소스를관리할수있습니다 (" 동기화되지않은데이터소스관리 " 참조 ). 동기화되지않은이벤트는이전이벤트일수도있고이후이벤트일수도있습니다. 데이터소스가 ESM 과동기화되지않을수있는몇가지이유가있습니다. 1 ESM 에잘못된시간대설정이있습니다 (" 사용자설정선택 " 참조 ). 4 의도적으로시스템을그런식으로설정했습니다. 2 데이터소스를추가할때시간을잘못된영역으로설정했습니다 (" 데이터소스추가 " 참조 ). 3 시스템이오랫동안설정된상태에서동기화되지않은시간누수가있습니다. 5 시스템이인터넷에연결되어있지않습니다. 6 이벤트가수신기로들어올때동기화되지않았습니다. 표 7-5 표이벤트의시간델타, 데이터소스, IP 주소또는호스트이름, 데이터소스유형을나열합니다. [ 편집 ] 선택한데이터소스에대한 [ 데이터소스편집 ] 을엽니다. 시간대설정을변경하면데이터소스가올바른시간을사용하여이벤트를생성할수있습니다. [ 내보내기 ] 표의목록을내보냅니다. [ 새로고침 ] 최근변경사항을반영하도록표의정보를업데이트합니다. [ 간격 ] 데이터베이스이벤트가다시분석되는시간을결정합니다. 262 페이지의동기화되지않은데이터소스관리 McAfee Enterprise Security Manager 제품안내서 263

264 7 경보워크플로경보조정 264 McAfee Enterprise Security Manager 제품안내서

265 8 이벤트 8 ESM 을사용하면수십억개의이벤트및플로를식별, 수집, 처리, 상관및저장할수있고쿼리, 포렌직, 규칙유효성검사및컴플라이언스에사용가능한모든정보를유지합니다. 목차 이벤트, 플로및로그보고서관리 contains 및 regex 필터설명 ESM 보기사용자지정유형필터 McAfee Active Response 검색 이벤트, 플로및로그 이벤트, 플로및로그는장치에서발생하는여러가지유형의을기록합니다. 이벤트는시스템에서규칙의결과로장치에의해기록된입니다. 플로는최소한개가 HOME_NET 에있는 IP 간에만들어진연결레코드입니다. 로그는시스템의장치에발생한이벤트레코드입니다. 이벤트및플로에는소스및대상 IP 주소, 포트, MAC(Media Access Control) 주소, 프로토콜및첫번째시간과마지막시간이있습니다. 하지만이벤트와플로사이에는여러가지차이가있습니다. 플로는비정상적또는악의적인트래픽의표시가아니므로플로는이벤트보다더일반적입니다. 플로는이벤트처럼규칙시그니처 (SigID) 와연결되어있지않습니다. 플로는경보, 삭제및거부와같은이벤트액션과연결되어있지않습니다. 소스및대상바이트, 소스및대상패킷을비롯하여특정데이터는플로에고유합니다. 소스바이트및패킷은플로의소스에서전송된패킷및바이트수를나타냅니다. 대상바이트및패킷은플로의대상에서전송된패킷및바이트수를나타냅니다. 플로에는방향이있습니다. 인바운드플로는 HOME_NET 외부에서발생하는플로로됩니다. 아웃바운드플로는 HOME_NET 에서발생합니다. 시스템에서생성되는이벤트및플로는보기목록에서선택할수있는보기에서볼수있습니다. 로그는시스템또는각장치의 [ 속성 ] 페이지에서액세스한 [ 시스템로그 ] 또는 [ 장치로그 ] 에나열되어있습니다. 266 페이지의이벤트, 플로및로그다운로드설정 267 페이지의데이터의수집시간제한 267 페이지의비활성임계값설정 268 페이지의이벤트및플로가져오기 269 페이지의이벤트, 플로및로그확인 270 페이지의위치및 ASN 설정 McAfee Enterprise Security Manager 제품안내서 265

266 8 이벤트이벤트, 플로및로그 이벤트, 플로및로그다운로드설정 이벤트, 플로및로그를수동으로확인하거나자동으로확인하도록장치를설정합니다. 1 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 이벤트, 플로및로그 ], [ 이벤트및로그 ] 또는 [ 로그 ] 를클릭합니다. 3 다운로드를설정한다음 [ 적용 ] 을클릭합니다. 표 8-1 [ 규칙자동업데이트 ] ESM 이규칙서버에서자동으로규칙을다운로드하는경우다운로드한규칙을이장치에롤아웃하려면이을선택합니다. [ 자동다운로드... ] ESM 이이벤트, 플로또는로그를자동으로확인하려는경우선택합니다. [ 가져오기...] ESM 에서이벤트, 플로또는로그를지금체크하려는경우클릭합니다. 이러한의상태를보려면 " 이벤트및플로가져오기 " 를참조하십시오. [ 일일데이터꺼내기시간범위 ] ESM 이각장치에서데이터를꺼내오고각장치에서 ELM 으로데이터를전송하는일일시간범위를예약하도록선택합니다 (" 데이터수집시간제한 " 참조 ). 이벤트, 플로및로그수집을예약하면데이터가손실될수있으므로이기능을구성할때주의해야합니다. [ 취약성생성이벤트 ] [ 마지막이벤트 ] 또는 [ 플로다운로드프로세스 ] [ 마지막으로다운로드한이벤트 ], [ 문자열 ] 또는 [ 플로레코드 ] [ 데이터베이스설정 ] 취약성평가소스데이터와일치하는이벤트가시스템에추가되도록하고 (" 취약성평가 " 참조 ), 취약성이벤트가되고, 로컬 ESM 에서경보를생성하려면선택합니다. [ 정책편집기 ] 의정책속성은이러한각이벤트에대해동일하며변경될수없습니다 ( 예 : 심각도는항상 100). 장치에서검색된마지막이벤트또는플로, 프로세스가성공적인지여부및검색된이벤트또는플로수를표시합니다. 검색한마지막이벤트, 문자열또는플로레코드의날짜및시간을표시합니다. 이값을변경하면이벤트, 문자열또는플로를검색하려는날짜및시간을설정할수있습니다. 예를들어 [ 마지막으로다운로드한이벤트레코드 ] 필드에 2016 년 11 월 13 일, 오전 10:30:00 을입력한경우 [ 적용 ] 을클릭한다음 [ 이벤트가져오기 ] 를클릭하면 ESM 에서해당시간부터날짜까지이장치의모든이벤트를검색합니다. ESM 에서데이터베이스인덱스설정을관리하려면클릭합니다. [ 비활성설정 ] ESM 에서관리하는각장치의비활성임계값설정을보고변경합니다 (" 비활성임계값설정 " 참조 ). [ 지리적위치 ] 각장치의지리적위치및 ASN 데이터를로깅하도록 ESM 을설정합니다 (" 지리적위치및 ASN 설정 " 참조 ). 265 페이지의이벤트, 플로및로그 267 페이지의데이터의수집시간제한 267 페이지의비활성임계값설정 268 페이지의이벤트및플로가져오기 269 페이지의이벤트, 플로및로그확인 270 페이지의위치및 ASN 설정 266 McAfee Enterprise Security Manager 제품안내서

267 이벤트이벤트, 플로및로그 8 데이터의수집시간제한 ESM 이각장치에서데이터를꺼내고각장치에서 ELM 으로데이터를전송하는시간을제한할일일시간범위를예약할수있습니다. 이기능을사용하면사용량이많은시간에네트워크사용을피하여다른응용프로그램이대역폭을사용할수있습니다. 이렇게하면 ESM 및 ELM 에데이터전달이지연되므로이지연이환경에허용가능한지확인합니다. 이벤트, 플로및로그수집을예약하면데이터가손실될수있으므로이기능을구성할때주의해야합니다. 1 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 다음중하나를선택합니다. [ 이벤트, 플로및로그 ] [ 이벤트및로그 ] [ 로그 ] 3 [ 일일데이터꺼내기시간범위 ] 를선택한다음시간범위에대해시작시간및끝시간을설정합니다. 한시간범위동안 ESM 이장치에서데이터를수집하고로깅을위해장치가데이터를 ELM 에보냅니다. ELM 에이를설정하면 ESM 이 ELM 에서데이터를수집하는시간및로깅을위해 ESM 이 ELM 에데이터를보내는시간을합니다. 265 페이지의이벤트, 플로및로그 266 페이지의이벤트, 플로및로그다운로드설정 267 페이지의비활성임계값설정 268 페이지의이벤트및플로가져오기 269 페이지의이벤트, 플로및로그확인 270 페이지의위치및 ASN 설정 비활성임계값설정 장치의비활성임계값을설정하면지정된기간에이벤트또는플로가생성되지않는경우알려줍니다. 임계값에도달하면노란색상태플래그가시스템탐색트리의장치노드옆에표시됩니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 시스템정보 ] 가선택되었는지확인한다음 [ 이벤트, 플로및로그 ] 를클릭합니다. 2 [ 비활성설정 ] 을클릭합니다. McAfee Enterprise Security Manager 제품안내서 267

268 8 이벤트이벤트, 플로및로그 3 장치를강조표시한다음 [ 편집 ] 을클릭합니다. 4 설정을변경한다음 [ 확인 ] 을클릭합니다. 표 8-2 [ 장치 ] 열시스템의모든장치를나열합니다. [ 임계값 ] 열각장치의임계값을표시합니다. [ 상속 ] 열하위장치가상위의임계값설정을상속하는경우표시합니다. 설정을변경하려면선택하거나선택취소합니다. [ 편집 ] 임계값설정을변경할수있도록 [ 비활성임계값편집 ] 페이지를엽니다. 265 페이지의이벤트, 플로및로그 266 페이지의이벤트, 플로및로그다운로드설정 267 페이지의데이터의수집시간제한 268 페이지의이벤트및플로가져오기 269 페이지의이벤트, 플로및로그확인 270 페이지의위치및 ASN 설정 이벤트및플로가져오기 시스템탐색트리에서선택하는장치의이벤트및플로를검색합니다. 268 McAfee Enterprise Security Manager 제품안내서

269 이벤트이벤트, 플로및로그 8 1 시스템탐색트리에서시스템, 그룹또는장치를선택한다음액션도구모음에서 [ 이벤트및플로가져오기 ] 아이콘을클릭합니다. 2 상단표에서검색할이벤트및플로를선택한다음 [ 시작 ] 을클릭합니다. 검색상태는 [ 상태 ] 열에반영됩니다. 상단표에서강조표시한장치에대한자세한정보가하단표에표시됩니다. 3 다운로드가완료되면이이벤트및플로를표시할보기를선택한다음보기도구모음에서 [ 현재보기새로고침 ] 아이콘을클릭합니다. 표 8-3 이벤트또는플로를계속검색하는동안 [ 이벤트및플로가져오기 ] 페이지를최소화합니다. 상단표 [ 장치이름 ] 열시스템탐색트리에서선택한사항에따라이벤트또는플로를검색할수있는장치를봅니다. 하나이상의장치를선택해서하단표에서상세정보를볼수있습니다. [ 이벤트 ] 열이벤트를검색하려는장치를선택합니다. [ 플로 ] 열플로를검색하려는장치를선택합니다. [ 상태 ] 열검색을시작한다음검색상태를봅니다. 장치에대해실행되는삽입및가져오기의수와창을열때의마지막가져오기을나열합니다. 2 초마다새로고쳐집니다. [ 시작 ] 검색을시작하려면클릭합니다. 이을활성화하려면하나이상의확인란을선택해야합니다. [ 취소 ] 시작한프로세스를취소합니다. 현재이완료되면프로세스가중단됩니다. 하단표 [ 장치이름 ] 열상단표에서선택된장치이름을봅니다. [ ] 열장치에서수행되는현재을봅니다. [ 시작시간 ] 열을만든시간을봅니다. 이는이 ESM 에서처리하기시작한시간을필요로하지않습니다. [ 상태 ] 열상태를봅니다. [ 새로고침 ] 표를업데이트합니다. 5 초마다자동으로새로고쳐집니다. 265 페이지의이벤트, 플로및로그 266 페이지의이벤트, 플로및로그다운로드설정 267 페이지의데이터의수집시간제한 267 페이지의비활성임계값설정 269 페이지의이벤트, 플로및로그확인 270 페이지의위치및 ASN 설정 이벤트, 플로및로그확인 이벤트, 플로및로그를자동으로확인하도록 ESM 을설정하거나수동으로확인할수있습니다. 확인하는속도는시스템의활동수준및상태업데이트를수신하려는빈도에따라달라집니다. 또한각정보유형을확인해야하는장치를지정하고 ESM 에서관리하는장치의비활성임계값설정을지정합니다. McAfee Enterprise Security Manager 제품안내서 269

270 8 이벤트이벤트, 플로및로그 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 이벤트, 플로및로그 ] 를클릭합니다. 2 선택하고이벤트, 플로및로그검색을변경합니다. 3 [ 확인 ] 을클릭합니다. 표 8-4 [ 자동확인간격 ] 시스템이이벤트, 플로및로그를자동으로확인하려는경우선택합니다. 을수행하려는빈도를설정합니다. [ 지금확인 ] 지금이벤트, 플로및로그를확인합니다. [ 장치표시 ] 각장치의이벤트, 플로및로그에대한자동다운로드설정을선택합니다. [ 비활성설정 ] 장치가일정기간동안이벤트또는플로를생성하지않은경우통보를받으려면이을선택하고장치를강조표시한다음 [ 편집 ] 을클릭합니다. 표 8-5 [ 장치이름 ] 열시스템의모든장치를나열합니다. [ 이벤트 ] 열자동으로이벤트를다운로드하려는장치를선택합니다. [ 플로 ] 열자동으로플로를다운로드하려는장치를선택합니다. [ 로그 ] 열자동으로로그를다운로드하려는장치를선택합니다. 265 페이지의이벤트, 플로및로그 266 페이지의이벤트, 플로및로그다운로드설정 267 페이지의데이터의수집시간제한 267 페이지의비활성임계값설정 268 페이지의이벤트및플로가져오기 270 페이지의위치및 ASN 설정 위치및 ASN 설정 지리적위치는인터넷에연결된컴퓨터의지리적위치를제공합니다. ASN(Autonomous System Number) 은자율적인시스템에할당되어인터넷에서각네트워크를고유하게식별하는번호입니다. 이러한두데이터유형을통해위협의실제적위치를식별할수있습니다. 이벤트에대해소스및대상위치데이터를수집할수있습니다. 1 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 이벤트, 플로및로그 ] 또는 [ 이벤트및로그 ] 를클릭한다음 [ 지리적위치 ] 를클릭합니다. 3 필요한정보를생성하려면선택한다음 [ 확인 ] 을클릭합니다. 이정보를사용하여이벤트데이터를필터링할수있습니다. 270 McAfee Enterprise Security Manager 제품안내서

271 이벤트이벤트, 플로및로그 8 표 8-6 [ 위치데이터수집 ] 이벤트또는플로의위치데이터를수집하려는경우이을선택합니다. [ 소스데이터 ], [ 대상데이터 ] [ 위치데이터수집 ] 을클릭한경우이들중하나또는둘다를수집할지여부를선택합니다. [ASN 데이터수집 ] 이벤트또는플로의 ASN 데이터를수집하려는경우이을선택합니다. [ 소스데이터 ], [ 대상데이터 ] [ASN 데이터수집 ] 을클릭한경우이들중하나또는둘다를수집할지여부를선택합니다. [ 해제 ] 이벤트또는플로의위치또는 ASN 데이터수집을중지하려는경우선택합니다. [ 새로고침 ] 현재장치설정으로돌아가려면클릭합니다. 265 페이지의이벤트, 플로및로그 266 페이지의이벤트, 플로및로그다운로드설정 267 페이지의데이터의수집시간제한 267 페이지의비활성임계값설정 268 페이지의이벤트및플로가져오기 269 페이지의이벤트, 플로및로그확인 이벤트또는플로집계 이벤트또는플로는잠재적으로수천번생성될수있습니다. 수천개의동일한이벤트를살펴보는대신, 발생한횟수를나타내는수와함께이들을단일이벤트또는플로로볼수있습니다. 집합을사용하면장치와 ESM 의디스크공간을모두사용하여각패킷을저장할필요가없어지기때문에보다효율적입니다. 이기능은 [ 정책편집기 ] 에서집합이활성화된규칙에만적용됩니다. 소스 IP 및대상 IP 주소 값또는집계된값이 설정되지않은 소스 IP 주소및대상 IP 주소는모든결과집합에서 " " 대신 "::" 으로나타납니다. 예 : ::ffff: 은 0:0:0:0:0:FFFF:A00:C07 로삽입됩니다 (A00:C07 은 임 ). ::0000: 은 이됩니다. 집계이벤트및플로 집계이벤트및플로는처음, 마지막및총필드를사용하여집계의양및시간을나타냅니다. 예를들어동일한이벤트가정오이후처음 10 분동안 30 번발생하면 [ 처음 ] 필드에 12:00( 이벤트의첫번째인스턴스시간 ) 가표시되고, [ 마지막 ] 필드에는 12:10( 이벤트의마지막인스턴스시간 ) 이표시되고, [ 합계 ] 필드값에는 30 이표시됩니다. 장치에대한기본이벤트또는플로집계설정을전체적으로변경할수있습니다. 이벤트의경우개별규칙의장치설정에대한예외를추가할수있습니다. 집계에서이벤트, 플로및로그검색설정에따라레코드를검색합니다. 자동검색에대해설정된경우 ESM 에서처음으로레코드를꺼낼때까지만장치가레코드를압축합니다. 수동검색에대해설정된경우최대 24 시간또는새레코드를수동으로꺼낼때까지중빠른시간까지레코드가압축됩니다. 압축시간이 24 시간제한에도달하면새레코드를꺼내고해당새레코드에서압축이시작됩니다. McAfee Enterprise Security Manager 제품안내서 271

272 8 이벤트이벤트, 플로및로그 표 8-7 [ 규칙자동업데이트 ] ESM 이규칙서버에서자동으로규칙을다운로드하는경우다운로드한규칙을이장치에롤아웃하려면이을선택합니다. [ 자동다운로드... ] ESM 이이벤트, 플로또는로그를자동으로확인하려는경우선택합니다. [ 가져오기...] ESM 에서이벤트, 플로또는로그를지금체크하려는경우클릭합니다. 이러한의상태를보려면 " 이벤트및플로가져오기 " 를참조하십시오. [ 일일데이터꺼내기시간범위 ] ESM 이각장치에서데이터를꺼내오고각장치에서 ELM 으로데이터를전송하는일일시간범위를예약하도록선택합니다 (" 데이터수집시간제한 " 참조 ). 이벤트, 플로및로그수집을예약하면데이터가손실될수있으므로이기능을구성할때주의해야합니다. [ 취약성생성이벤트 ] [ 마지막이벤트 ] 또는 [ 플로다운로드프로세스 ] [ 마지막으로다운로드한이벤트 ], [ 문자열 ] 또는 [ 플로레코드 ] [ 데이터베이스설정 ] 취약성평가소스데이터와일치하는이벤트가시스템에추가되도록하고 (" 취약성평가 " 참조 ), 취약성이벤트가되고, 로컬 ESM 에서경보를생성하려면선택합니다. [ 정책편집기 ] 의정책속성은이러한각이벤트에대해동일하며변경될수없습니다 ( 예 : 심각도는항상 100). 장치에서검색된마지막이벤트또는플로, 프로세스가성공적인지여부및검색된이벤트또는플로수를표시합니다. 검색한마지막이벤트, 문자열또는플로레코드의날짜및시간을표시합니다. 이값을변경하면이벤트, 문자열또는플로를검색하려는날짜및시간을설정할수있습니다. 예를들어 [ 마지막으로다운로드한이벤트레코드 ] 필드에 2016 년 11 월 13 일, 오전 10:30:00 을입력한경우 [ 적용 ] 을클릭한다음 [ 이벤트가져오기 ] 를클릭하면 ESM 에서해당시간부터날짜까지이장치의모든이벤트를검색합니다. ESM 에서데이터베이스인덱스설정을관리하려면클릭합니다. [ 비활성설정 ] ESM 에서관리하는각장치의비활성임계값설정을보고변경합니다 (" 비활성임계값설정 " 참조 ). [ 지리적위치 ] 각장치의지리적위치및 ASN 데이터를로깅하도록 ESM 을설정합니다 (" 지리적위치및 ASN 설정 " 참조 ). 272 페이지의이벤트또는플로집합설정변경 273 페이지의이벤트집합설정에예외를추가합니다. 274 페이지의이벤트집합예외관리 이벤트또는플로집합설정변경 이벤트및플로집계는기본적으로활성화되어있으며 [ 중간고위험 ] 으로설정되어있습니다. 필요에따라설정을변경할수있습니다. 각설성능에대한설명은 [ 집계 ] 페이지에있습니다. 시작하기전에 이러한설정을변경하려면 [ 정책관리자 ] 및 [ 장치관리 ] 또는 [ 정책관리자 ] 및 [ 사용자지정규칙 ] 권한이있어야합니다. 이벤트집계는 ADM, 수신기장치, 수신기장치의플로집계에대해서만사용할수있습니다. 272 McAfee Enterprise Security Manager 제품안내서

273 이벤트이벤트, 플로및로그 8 1 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 이벤트집합 ] 또는 [ 플로집합 ] 을클릭합니다. 3 설정을한다음 [ 확인 ] 을클릭합니다. 표 8-8 [ 새로고침 ] 장치에서현재집계설정을읽으려면클릭합니다. 그러면집계율을사용합니다. 차등제 차등제에서 [ 사용자지정 ] 설정 식별자화살표를클릭하여설정까지끕니다. 수준 2 와 3 에대한설명이변경되어선택하는설정을반영합니다. 수준 2 와수준 3 값을설정합니다. [ 적용 ] 이화면의모든설정을사용하여장치를업데이트합니다. [ 보기 ]( 이벤트만해당 ) [ 이벤트집합예외 ] 페이지를엽니다 (" 예외를이벤트집합설정에추가 " 참조 ). [ 포트 ]( 플로만해당 ) 유지해야하는플로포트집합값을구성합니다 (" 플로포트집합값구성 " 참조 ). 271 페이지의이벤트또는플로집계 273 페이지의이벤트집합설정에예외를추가합니다. 274 페이지의이벤트집합예외관리 이벤트집합설정에예외를추가합니다. 집합설정이장치에서생성된모든이벤트에적용됩니다. 일반설정이해당규칙에서생성되는이벤트에적용되지않는경우개별규칙에대한예외를만들수있습니다. 1 보기창에서예외를추가하려는규칙에서생성된이벤트를선택합니다. 2 [ 메뉴 ] 아이콘을클릭한다음 [ 집합설정수정 ] 을선택합니다. 3 [ 필드 2] 및 [ 필드 3] 드롭다운목록에서집계할필드유형을선택합니다. [ 필드 2] 및 [ 필드 3] 에서선택하는필드는유형이달라야하며그렇지않은경우오류가발생합니다. 이러한필드유형을선택하는경우각집합수준에대한설명이선택사항을반영하도록변경됩니다. 각수준에대한시간제한은장치에대해하는이벤트집합설정에따라다릅니다. 4 [ 확인 ] 을클릭하여설정을저장한다음 [ 예 ] 를클릭하여계속진행합니다. 5 변경사항을롤아웃하지않으려는경우장치를선택취소합니다. 6 변경사항을선택한장치로롤아웃하려면 [ 확인 ] 을클릭합니다. 변경사항이롤아웃되면 [ 상태 ] 열에업데이트상태가표시됩니다. McAfee Enterprise Security Manager 제품안내서 273

274 8 이벤트이벤트, 플로및로그 표 8-9 [ 편집 ] 선택한예외를변경하려면클릭합니다. [ 제거 ] 선택한예외를삭제합니다. [ 롤아웃 ] 변경사항을장치에롤아웃합니다. 표 8-10 [ 장치 ] 열시스템의장치를봅니다. 두번째열변경사항을롤아웃하려는장치를선택합니다. [ 상태 ] 열각장치의롤아웃상태를봅니다. 271 페이지의이벤트또는플로집계 272 페이지의이벤트또는플로집합설정변경 274 페이지의이벤트집합예외관리 이벤트집합예외관리시스템에추가된이벤트집합예외목록을볼수있습니다. 또한예외를편집하거나제거할수도있습니다. 1 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 이벤트집합 ] 을클릭한다음화면맨아래에서 [ 보기 ] 를클릭합니다. 3 필요한사항을변경한다음 [ 닫기 ] 를클릭합니다. 271 페이지의이벤트또는플로집계 272 페이지의이벤트또는플로집합설정변경 273 페이지의이벤트집합설정에예외를추가합니다. 이벤트전달설정 이벤트전달을통해 Syslog 또는 SNMP 에의해 ( 활성화된경우 ) ESM 의이벤트를다른장치또는기능으로보낼수있습니다. 대상을해야하고패킷포함및 IP 데이터를조작할지여부를선택할수있습니다. 필터를추가하면이벤트데이터를전달하기전에필터링할수있습니다. 사용자환경의각장치에서디지털로서명된로그의전체집합이아니기때문에이이로그관리를대신할수없습니다. 274 McAfee Enterprise Security Manager 제품안내서

275 이벤트이벤트, 플로및로그 페이지의이벤트전달에이전트 280 페이지의표준이벤트형식으로이벤트보내기및전달 275 페이지의이벤트전달구성 275 페이지의이벤트전달대상추가 278 페이지의이벤트전달활성화또는비활성화 278 페이지의모든이벤트전달대상에대한설정수정 278 페이지의이벤트전달필터추가 279 페이지의이벤트전달필터설정편집 이벤트전달구성 이벤트전달대상을설정하면이벤트데이터를 syslog 또는 SNMP 서버에전달할수있습니다. 사용중인이벤트전달대상수는 ESM 에서검색되는이벤트의비율및수와함께전체 ESM 성능에영향을미칠수있습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 이벤트전달 ] 을클릭합니다. 2 [ 이벤트전달대상 ] 페이지에서 [ 추가 ], [ 편집 ] 또는 [ 제거 ] 를선택합니다. 3 대상을추가또는편집하도록선택한경우설정을합니다. 4 [ 적용 ] 또는 [ 확인 ] 을클릭합니다. 표 8-11 [ 이벤트전달대상 ] 시스템에추가한대상을봅니다. [ 추가 ] 대상을시스템에추가합니다. [ 편집 ] 선택한대상의설정을변경합니다. [ 제거 ] 시스템에서대상을삭제합니다. [ 설정 ] 모든이벤트전달대상에적용되는설정을지정합니다. 274 페이지의이벤트전달설정 277 페이지의이벤트전달에이전트 280 페이지의표준이벤트형식으로이벤트보내기및전달 275 페이지의이벤트전달대상추가 278 페이지의이벤트전달활성화또는비활성화 278 페이지의모든이벤트전달대상에대한설정수정 278 페이지의이벤트전달필터추가 279 페이지의이벤트전달필터설정편집 이벤트전달대상추가 이벤트전달대상을 ESM 에추가하여이벤트데이터를 syslog 또는 SNMP 서버에전달합니다. McAfee Enterprise Security Manager 제품안내서 275

276 8 이벤트이벤트, 플로및로그 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 이벤트전달 ] 을클릭합니다. 2 [ 추가 ] 를클릭한다음요청한정보를입력합니다. 3 [ 확인 ] 을클릭합니다. 표 8-12 [ 이름 ] 이대상의이름을입력합니다. [ 활성화됨 ] 이대상으로이벤트전달을활성화하려면선택합니다. [ 시스템프로파일사용 ] 기존프로파일을사용할지를선택한다음드롭다운목록에서프로파일을선택하거나 [ 시스템프로파일사용 ] 을클릭하여새프로파일을추가합니다. [ 형식 ] 드롭다운목록에서형식을선택합니다. 자세한에이전트목록및패킷내에포함된정보는 " 이벤트전달이벤트 " 를참조하십시오. [ 대상 IP 주소 ] syslog 의대상 IP 주소를입력합니다. [ 대상포트 ] syslog 에서수신중인대상포트를선택합니다. [ 프로토콜 ] UDP 또는 TCP 전송프로토콜을선택합니다. UDP 는 syslog 의기반이되는프로토콜표준입니다. TCP 를통한 syslog 를통해전송된패킷의형식은정확하게기능, 심각도및메시지를포함하는 UDP 처럼지정됩니다. 단, 메시지끝에추가된새줄문자 (ASCII 문자코드 10) 는제외됩니다. 연결없이작동하는프로토콜인 UDP 와달리 TCP 연결은 ESM 과전달된이벤트를수신하는서버사이에설정되어야합니다. 연결을설정할수없거나연결이삭제되면 ESM 은성공적으로전달된마지막이벤트를추적하고몇분후에다시연결을설정하려고합니다. 연결이다시설정되면 ESM 은중단된부분에서전달이벤트를선택합니다. UDP 를선택하면 [ 모드 ] 필드에서 SSH 나 TLS 를선택할수없습니다. [ 기능 ] syslog 패킷의기능을선택합니다. [ 심각도 ] syslog 패킷의심각도를선택합니다. [ 시간형식 ] syslog 이벤트전달의헤더에대한시간형식을선택합니다. [ 레거시 ] 를선택하면형식이 GMT 였던 이전버전과동일합니다. [ 표준 ] 을선택하면시간대를선택할수있습니다. [ 시간대 ] [ 표준 ] 을선택한경우이벤트전달로그를보낼때사용할시간대를선택합니다. [ 데이터조작 ] 이대상에전달된데이터에포함된선택한데이터를마스크하려면선택합니다. 데이터를선택하려면 [ 구성 ] 을클릭합니다. [ 패킷보내기 ] 패킷을복사하도록정책을설정한경우패킷정보를전달하려면이을선택합니다. 패킷을사용할수있으면이정보가 Base 64 인코딩의 syslog 메시지끝에포함됩니다. [ 이벤트필터 ] syslog 에전달되는이벤트데이터에필터를적용하려면클릭합니다. [ 모드 ] 메시지에대한보안모드를선택합니다. SSH 를선택한경우나머지정보를입력합니다. TCP( 프로토콜 ) 를통한 syslog 를사용하도록선택한경우 SSH 또는 TLS 를사용하는 TCP 연결을설정할지를선택합니다. syslog 는암호화되지않은프로토콜이므로 SSH 또는 TLS 를사용하면이벤트전달메시지가다른당사자에의해검사되지않도록합니다. FIPS 모드를사용하는경우 TLS 를사용하여로그데이터를전달할수있습니다. [ 로컬릴레이포트 ] [ 원격 SSH 포트 ] SSH 연결의 ESM 측에서사용할포트를입력합니다. SSH 서버가 SSH 연결의다른측을수신중인포트를입력합니다. 276 McAfee Enterprise Security Manager 제품안내서

277 이벤트이벤트, 플로및로그 8 표 8-12 ( 계속 ) [SSH 사용자이름 ] SSH 연결을설정하는데사용된 SSH 사용자이름을입력합니다. [SSH DSA 키 ] SSH 인증에사용된공개 DSA 인증키를입력합니다. 이필드의콘텐츠는 SSH 서버를실행중인컴퓨터에서 authorized_keys 파일이나그와동등한파일에추가해야합니다. 274 페이지의이벤트전달설정 277 페이지의이벤트전달에이전트 280 페이지의표준이벤트형식으로이벤트보내기및전달 275 페이지의이벤트전달구성 278 페이지의이벤트전달활성화또는비활성화 278 페이지의모든이벤트전달대상에대한설정수정 278 페이지의이벤트전달필터추가 279 페이지의이벤트전달필터설정편집 이벤트전달에이전트 다음은이벤트전달에이전트및에이전트가전달될때패킷내에포함된정보입니다. [ 이벤트전달대상추가 ] 페이지의 [ 형식 ] 필드에서에이전트를선택합니다. 에이전트 Syslog( 감사로그 ) Syslog( 일반이벤트형식 ) Syslog( 표준이벤트형식 ) 콘텐츠 시간 (epoch 이후의초 ), 상태플래그, 사용자이름, 로그범주이름 (8.2.0 의경우비어있음, 의경우채워짐 ), 장치그룹이름, 장치이름, 로그메시지. 현재날짜및시간, ESM IP, CEF 버전 0, 공급업체 = McAfee, 제품 = /etc/esm Nitro/ipsmodel 의 McAfee 모델, 버전 = /etc/buildstamp 의 ESM 버전, 시그니처 ID, 시그니처메시지, 심각도 (0-10), 이름 / 값쌍, devicetranslatedaddress <#>YYYY-MM-DDTHH:MM:SS.S [IP 주소 ] McAfee_SIEM: { "source": { "id": , "name": "McAfee Gateway (ASP)", "subnet": "::ffff: /128" }, "fields": { "packet": { "encoding": "BASE64" } }, "data": { "unique_id": 1, "alert_id": 1, "thirdpartytype": 49, "sig": { "id": , "name": "Random String Custom Type" }, "norm_sig": { "id": , "name": "Misc Application Event" }, "action": "5", "src_ip": " ", "dst_ip": " ", "src_port": 38129, "dst_port": 0, "protocol": "n/a", "src_mac": "00:00:00:00:00:00", "dst_mac": "00:00:00:00:00:00", "src_asn_geo": , "firsttime": " T20:43:30Z", "lasttime": " T20:43:30Z", "writetime": " T20:44:01Z", "src_guid": "", "dst_guid": "", "total_severity": 25, "severity": 25, "eventcount": 1, "flow": "0", "vlan": "0", "sequence": 0, "trusted": 2, "session_id": 0, "compression_level": 10, "reviewed": 0, "a1_ran_string_cf1": "This is data for custom field 1", "packet": "PDE0PjA5MDUyMDE0IDIwOjE4OjQ0fDIxfDY1LjI1NC40OC4yMDAtMzgxMjl8MXwxMDJ8U3 BhbSBNZXNzYWdlIHR5cGU6IFRydXN0ZWRTb3VyY2UgU2lnbmF0dXJlIENvbmZpZGVuY2 UgPSBISUdILiBDb25uZWN0aW9uOiA2NS4yNTQuNDguMjAwLTM4MTI5KElQLVBvcnQpfF RoaXMgaXMgZGF0YSBm b3igy3vzdg9tigzpzwxkidf8w10a" 274 페이지의이벤트전달설정 280 페이지의표준이벤트형식으로이벤트보내기및전달 275 페이지의이벤트전달구성 275 페이지의이벤트전달대상추가 278 페이지의이벤트전달활성화또는비활성화 278 페이지의모든이벤트전달대상에대한설정수정 278 페이지의이벤트전달필터추가 279 페이지의이벤트전달필터설정편집 McAfee Enterprise Security Manager 제품안내서 277

278 8 이벤트이벤트, 플로및로그 이벤트전달활성화또는비활성화 ESM 에서이벤트전달을활성화또는비활성화합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 이벤트전달 ] 을클릭합니다. 2 [ 설정 ] 을클릭한다음 [ 이벤트전달활성화됨 ] 을선택하거나선택취소합니다. 3 [ 확인 ] 을클릭합니다. 274 페이지의이벤트전달설정 277 페이지의이벤트전달에이전트 280 페이지의표준이벤트형식으로이벤트보내기및전달 275 페이지의이벤트전달구성 275 페이지의이벤트전달대상추가 278 페이지의모든이벤트전달대상에대한설정수정 278 페이지의이벤트전달필터추가 279 페이지의이벤트전달필터설정편집 모든이벤트전달대상에대한설정수정 기존의모든이벤트전달대상의몇가지설정을한번에변경합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 이벤트전달 ] 을클릭합니다. 2 [ 설정 ] 을클릭한다음을설정합니다. 3 [ 확인 ] 을클릭합니다. 274 페이지의이벤트전달설정 277 페이지의이벤트전달에이전트 280 페이지의표준이벤트형식으로이벤트보내기및전달 275 페이지의이벤트전달구성 275 페이지의이벤트전달대상추가 278 페이지의이벤트전달활성화또는비활성화 278 페이지의이벤트전달필터추가 279 페이지의이벤트전달필터설정편집 이벤트전달필터추가 ESM 의 syslog 또는 SNMP 서버에전달된이벤트데이터를제한하기위해필터를설정합니다. 278 McAfee Enterprise Security Manager 제품안내서

279 이벤트이벤트, 플로및로그 8 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 이벤트전달 ] 을클릭합니다. 2 [ 추가 ] 를클릭한다음 [ 이벤트필터 ] 를클릭합니다. 3 필터필드를입력한다음 [ 확인 ] 을클릭합니다. 표 8-13 [ 장치 ] 필터아이콘을클릭하고필터링할장치를선택한다음 [ 확인 ] 을클릭합니다. [ 대상 IP ] 필터링기준이되는개별대상 IP 주소 ( ) 또는 IP 주소범위 ( /16) 를입력합니다. [ 대상포트 ] 필터포트를입력합니다. 하나가허용됩니다. [ 프로토콜 ] 필터프로토콜을입력합니다. 하나가허용됩니다. [ 소스 IP] 필터링기준이되는개별소스 IP 주소또는 IP 주소범위를입력합니다. [ 장치유형 ] 필터아이콘을클릭하고최대 10 개의장치유형을선택한다음 [ 확인 ] 을클릭합니다. [ 정규화된 ID] 필터링할정규화된 ID 를선택합니다 (" 정규화된 ID " 참조 ). [ 심각도 ] 이벤트심각도로필터링하려면 [ 크거나같음 ] 과 0 에서 100 사이의심각도숫자를선택합니다. 274 페이지의이벤트전달설정 277 페이지의이벤트전달에이전트 280 페이지의표준이벤트형식으로이벤트보내기및전달 275 페이지의이벤트전달구성 275 페이지의이벤트전달대상추가 278 페이지의이벤트전달활성화또는비활성화 278 페이지의모든이벤트전달대상에대한설정수정 279 페이지의이벤트전달필터설정편집 이벤트전달필터설정편집 이벤트전달에대한필터설정을저장한후해당설정을변경합니다. 시작하기전에 장치필터를편집할때필터의모든장치에대한액세스권한이있어야합니다. 장치에대한액세스를활성화하려면 " 사용자그룹설정 " 을참조하십시오. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 이벤트전달 ] 을클릭합니다. 2 [ 편집 ] 을클릭한다음 [ 이벤트필터 ] 를클릭합니다. 3 설정을변경한다음 [ 확인 ] 을클릭합니다. McAfee Enterprise Security Manager 제품안내서 279

280 8 이벤트이벤트, 플로및로그 274 페이지의이벤트전달설정 277 페이지의이벤트전달에이전트 280 페이지의표준이벤트형식으로이벤트보내기및전달 275 페이지의이벤트전달구성 275 페이지의이벤트전달대상추가 278 페이지의이벤트전달활성화또는비활성화 278 페이지의모든이벤트전달대상에대한설정수정 278 페이지의이벤트전달필터추가 표준이벤트형식으로이벤트보내기및전달 SEF( 표준이벤트형식 ) 는일반이벤트데이터를나타내기위한 JSON(Java Script Object Notation) 기반이벤트형식입니다. SEF 형식은이벤트를 ESM 에서다른 ESM 의수신기로, ESM 에서타사제품으로전달합니다. 또한데이터소스를만들때 SEF 를데이터형식으로선택하면 SEF 를사용하여타사제품에서수신기로이벤트를보낼수있습니다. ESM 에서 ESM 으로 SEF 를사용하는이벤트전달을설정하는경우 4 단계를수행해야합니다. 1 이벤트를전달하는 ESM 에서데이터소스, 사용자지정유형및사용자지정규칙을내보냅니다. 데이터소스를내보내려면 " 데이터소스를다른시스템으로이동 " 의지침을수행합니다. 사용자지정유형을내보내려면 [ 시스템속성 ] 을열고 [ 사용자지정유형 ] 을클릭한다음 [ 내보내기 ] 를클릭합니다. 사용자지정규칙을내보내려면 " 규칙내보내기 " 의지침을수행합니다. 2 ESM 에서전달하는수신기를사용하여방금내보낸데이터소스, 사용자지정유형및사용자지정규칙을가져옵니다. 데이터소스를가져오려면 " 데이터소스를다른시스템으로이동 " 의지침을수행합니다. 사용자지정유형을가져오려면 [ 시스템속성 ] 을열고 [ 사용자지정유형 ] 을클릭한다음 [ 가져오기 ] 를클릭합니다. 사용자지정규칙을가져오려면 " 규칙가져오기 " 의지침을수행합니다. 3 다른 ESM 으로부터이벤트를받는 ESM 에서 ESM 데이터소스를추가합니다. 시스템탐색트리에서데이터소스를추가하려는수신기장치를클릭한다음 [ 데이터소스추가 ] 아이콘을클릭합니다. [ 데이터소스추가 ] 페이지의 [ 데이터소스공급업체 ] 필드에서 [McAfee] 를선택한다음 [ 데이터소스모델 ] 필드에서 [Enterprise Security Manager(SEF)] 를선택합니다. 요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 4 보내는 ESM 에서이벤트전달대상을추가합니다. 시스템탐색트리에서시스템을클릭한다음 [ 속성 ] 아이콘을클릭합니다. [ 이벤트전달 ] 을클릭한다음 [ 추가 ] 를클릭합니다. [ 이벤트전달대상추가 ] 페이지의 [ 형식 ] 필드에서 [syslog( 표준이벤트형식 )] 를선택한다음, 전달하는 ESM 의정보로나머지필드를입력하고 [ 확인 ] 을클릭합니다. 280 McAfee Enterprise Security Manager 제품안내서

281 이벤트보고서관리 페이지의이벤트전달설정 277 페이지의이벤트전달에이전트 275 페이지의이벤트전달구성 275 페이지의이벤트전달대상추가 278 페이지의이벤트전달활성화또는비활성화 278 페이지의모든이벤트전달대상에대한설정수정 278 페이지의이벤트전달필터추가 279 페이지의이벤트전달필터설정편집 보고서관리 보고서에서 ESM 에서관리되는이벤트및플로의데이터를표시합니다. 자체보고서를설계하거나사전된보고서중하나를실행하여 PDF, HTML 또는 CSV 형식으로보냅니다. 사전된보고서 사전된보고서는다음범주로나누어집니다. 컴플라이언스 McAfee Database Activity Monitoring (DAM) 총괄 McAfee DEM McAfee ADM McAfee Event Reporter 이벤트에따라데이터를생성합니다. 사용자된보고서 보고서를생성할때 [ 보고서레이아웃 ] 편집기에서방향, 크기, 글꼴, 여백, 헤더및푸터를선택하여레이아웃을설계합니다. 또한구성요소를포함시켜원하는대로데이터를표시하도록설정할수있습니다. 모든레이아웃이저장되고여러보고서에사용할수있습니다. 보고서를추가하면새레이아웃설계, 기존레이아웃을있는그대로사용또는기존레이아웃을템플릿으로사용, 해당기능편집이제공됩니다. 또한보고서레이아웃이더이상필요하지않으면제거할수있습니다. 281 페이지의분기별보고서의시작월설정 282 페이지의보고서추가 284 페이지의보고서레이아웃추가 287 페이지의 PDF 및보고서에이미지포함 287 페이지의보고서조건추가 288 페이지의보고서에호스트이름표시 분기별보고서의시작월설정 분기별로보고서를실행하는경우먼저 1 분기의첫번째월을지정해야합니다. 이것을하고시스템테이블에저장하면보고서가해당시작일에따라분기별로실행됩니다. McAfee Enterprise Security Manager 제품안내서 281

282 8 이벤트보고서관리 1 ESM 콘솔의 [ 시스템속성 ] 을선택한다음 [ 사용자지정설정 ] 을클릭합니다. 2 [ 보기및보고를위한첫번째 ] 필드에서월을선택합니다. 3 [ 적용 ] 을클릭하여설정을저장합니다. 281 페이지의보고서관리 282 페이지의보고서추가 284 페이지의보고서레이아웃추가 287 페이지의 PDF 및보고서에이미지포함 287 페이지의보고서조건추가 288 페이지의보고서에호스트이름표시 보고서추가 보고서를추가하고한간격으로정기적으로보고서를실행하거나수동으로선택할때실행합니다. 기존보고서레이아웃을선택하거나 [ 보고서레이아웃 ] 편집기를사용하여보고서레이아웃을만들수있습니다. 1 대시보드에서을클릭하고 [ 보고서 ] 를선택합니다. 2 [ 추가 ] 를클릭한다음 [ 보고서추가 ] 페이지의설정을합니다. 3 [ 저장 ] 을클릭합니다. 보고서가 [ 보고서 ] 페이지의표에추가되고 [ 조건 ] 필드에서한대로실행됩니다. 표 8-14 [ 보고서 ] 테이블 ESM 에서현재설정된보고서를봅니다. [ 추가 ] 새보고서에대한설정을하고 ESM 에추가합니다. [ 편집 ] 기존보고서의설정을변경합니다. [ 제거 ] ESM 에서기존보고서를삭제합니다. [ 지금실행 ] 이제선택한보고서를실행합니다. [ 공유 ] 선택한보고서를선택한그룹또는사용자와공유합니다. [ 가져오기 ] 이전에내보낸보고서를가져옵니다. [ 내보내기 ] 보고서를내보냅니다. [ 활성화됨 ] 테이블에서선택한보고서를활성화합니다. [ 활성화 ] 또는 [ 비활성화 ] 단추 보고기능을활성화하거나비활성화합니다. 비활성화한경우목록의보고서가생성되지않습니다. [ 조건 ] 보고서에사용할수있는조건유형을관리합니다. [ 수신자 ] ESM 에서된수신자를관리합니다. [ 보기 ] 필요한경우보고서를실행하고취소하기위해현재대기열에있는보고서를봅니다. [ 파일 ] 생성된보고서파일을관리합니다. 282 McAfee Enterprise Security Manager 제품안내서

283 이벤트보고서관리 8 표 8-15 [ 보고서이름 ] 보고서의이름을입력합니다. [ 설명 ] 보고서에서생성하는정보에대한설명을입력합니다. [ 조건 ] 목록에서이보고서를실행할시기를선택합니다. 목록에조건을추가하려면 [ 조건편집 ] 을클릭합니다. [ 시간대 ] 쿼리를실행하는데사용되어야하는시간대를선택합니다. [ 날짜형식 ] 날짜에사용할형식을선택합니다. [ 형식 ] 보고서를생성할형식을선택합니다. 새보고서를디자인하고있는경우은 PDF 또는 HTML 입니다. 보고서에보기를포함하려면 [PDF 보기 ] 를선택합니다. 쿼리결과의 CSV 파일을생성하려면 [CSV 쿼리 ] 를선택합니다. [ 사용자또는그룹에이메일을보냄 ] [ 파일이 ESM 에저장됨 ] [ 파일이저장된원격위치 ] [ 기존레이아웃을선택하거나새레이아웃을만들어 ] 사용자또는그룹에보고서를보낼지를선택한다음 [ 수신자추가 ] 를클릭하여선택합니다. 보고서형식이 [ 보고서 HTML] 또는 [CSV 쿼리 ] 인경우보고서를이메일첨부파일로보낼지인라인으로보낼지를선택합니다. 보고서를 ESM 에파일로저장할지를선택합니다. [ 접두사 ] 에는파일이름에대한기본접두사가표시되며, 변경할수있습니다. 파일이생성된다음에는 [ 보고서 ] 페이지에서 [ 파일 ] 을클릭하여보고서를봅니다. 보고서를원격위치에저장할지를선택합니다. 드롭다운목록에서위치를선택합니다. 위치가나열되지않으면 [ 위치관리...] 를클릭한다음원격위치프로파일을추가합니다. PDF 또는 HTML 형식을선택한경우기존레이아웃을선택하거나새레이아웃을만듭니다. 레이아웃을관리할수도있습니다. [ 기존레이아웃을선택 ] 목록에서레이아웃을찾은다음클릭합니다. [ 추가 ] [ 보고서레이아웃 ] 편집기를열고새레이아웃을만들려면클릭합니다. [ 편집 ] 기존레이아웃을변경합니다. [ 폴더추가 ] 폴더를추가하여레이아웃을구성할수있습니다. 그런다음폴더에새레이아웃을추가하거나, 기존레이아웃을폴더로끌어놓거나, 하위폴더를추가할수있습니다. [ 가져오기 ] 레이아웃을가져오려면가져올파일을클릭하여이동합니다. 현재 ESM 에있는이미지가가져올레이아웃에포함되어있으면 [ 보고서레이아웃가져오기 ] 가열려이충돌에대해알리고다음선택사항을제공합니다. [ 로컬유지 ] ESM 의이미지를유지하고보고서레이아웃에서이미지를삭제합니다. ESM 의이미지가해당레이아웃에사용됩니다. [ 로컬바꾸기 ] ESM 의이미지를보고서레이아웃의이미지로바꿉니다. ESM 에서삭제하려는이미지를현재사용하고있는모든레이아웃에서이제레이아웃과함께가져온이미지를사용합니다. [ 이름바꾸기 ] 보고서레이아웃에있는이미지의이름을자동으로바꾸고새이름의이미지를사용하여레이아웃을가져옵니다. [ 내보내기 ] 레이아웃을내보내려면클릭합니다. [ 보고서에필터요약포함 ] 이보고서에대해된글로벌및개별구성요소필터에대한요약을포함하려면선택합니다. 사용된필터는보고서맨아래에나열됩니다. 이은보고서의데이터에대해된제한을알려는경우유용합니다. [ 보기를선택합니다 ] [PDF 보기 ] 를형식으로선택한경우드롭다운목록에서보기에포함할보기를선택합니다. McAfee Enterprise Security Manager 제품안내서 283

284 8 이벤트보고서관리 표 8-15 ( 계속 ) [ 사전된쿼리를선택합니다 ] [ 필터링할값을입력합니다 ] [CSV 쿼리 ] 를선택한경우사전된쿼리를선택합니다. 이보고서의모든구성요소에적용할필터를선택합니다 ("[ 쿼리필터 ] 페이지 " 참조 ). 이러한필드에서 contains 및 regex 필터를사용할수있습니다 ("contains 및 regex 필터에대한설명 " 참조 ). 281 페이지의보고서관리 281 페이지의분기별보고서의시작월설정 284 페이지의보고서레이아웃추가 287 페이지의 PDF 및보고서에이미지포함 287 페이지의보고서조건추가 288 페이지의보고서에호스트이름표시 보고서레이아웃추가 사전된레이아웃이요구사항에맞지않는경우보고서의레이아웃을설계합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 보고서 ] 를클릭합니다. 2 [ 추가 ] 를클릭하여 [ 보고서추가 ] 페이지를연다음섹션 1, 2 및 3 을입력합니다. 3 섹션 4 에서 [ 보고서 PDF] 또는 [ 보고서 HTML] 을선택합니다. 4 섹션 5 에서 [ 추가 ] 를클릭하여 [ 보고서레이아웃 ] 편집기를엽니다. 5 레이아웃을설정하여보고서에서생성된데이터를표시합니다. 레이아웃이저장되면다른보고서에대해사용하거나편집할수있는템플릿으로사용할수있습니다. 표 8-16 [ ] 표시기를앞뒤로밀어편집기페이지의크기를조정합니다. 편집기페이지의너비를페이지너비에맞추려면선택합니다. 284 McAfee Enterprise Security Manager 제품안내서

285 이벤트보고서관리 8 표 8-16 ( 계속 ) [ 문서속성 ] 레이아웃의기본형식설정을합니다. [ 이름 ] 및 [ 설명 ] 레이아웃의이름과기능에대한설명을입력합니다. 이름은필수입니다. [ 방향 ] 보고서를인쇄하기위해페이지를세로로설정할지가로로설정할지를선택합니다. [ 크기 ] 보고서페이지의기본크기는 8.5 x 11 입니다. 이크기를변경하려면드롭다운목록에서올바른크기를선택합니다. 편집기페이지에변경사항이반영됩니다. [ 기본글꼴 ] 보고서에있는텍스트의글꼴유형, 크기및색상을선택합니다. 이설정을변경하면편집기페이지의텍스트에변경사항이반영됩니다. 텍스트를굵게, 기울임꼴, 밑줄, 가운데맞춤또는페이지오른쪽정렬로설정할지를선택할수도있습니다. [ 여백 ] 보고서각가장자리의여백을선택합니다. [ 헤더및푸터 ] 보고서에헤더및푸터를설정하려면선택합니다. [ 헤더속성 ] 편집기페이지에서헤더영역을클릭하고 [ 헤더속성 ] 섹션에서다음을수행합니다. [ 보고서이름글꼴 ] 헤더의레이아웃이름에사용할글꼴을선택합니다. [ 포함된항목 ] 헤더에포함할항목을선택합니다. 이러한항목의글꼴을변경하려면 [ 문서속성 ] 으로이동합니다. [ 로고 ] 헤더에로고를설정하려면선택합니다. 선택한경우헤더의오른쪽이나왼쪽에설정할지를선택하고 [ 파일 ] 필드의링크를클릭하여이미지를선택합니다. [ 푸터속성 ] 편집기페이지에서푸터영역을클릭합니다. [ 푸터속성 ] 섹션에서포함할항목을선택합니다. [ 저장 ] 레이아웃을저장하려면클릭합니다. 하지않은필수속성이있을경우통보를받습니다. [ 다른이름으로저장 ] 새파일이름으로레이아웃을저장합니다. [ 복사 ] 레이아웃에서선택한구성요소를복사하려면클릭합니다. 복사된구성요소의유형을보여주는클립보드아이콘이왼쪽에추가됩니다. 그러면다음두가지방법중하나로붙여넣을수있습니다. 구성요소를추가할위치로아이콘을끌어놓습니다. 레이아웃에서구성요소를강조표시하고 [ 붙여넣기 ] 를클릭합니다. 복사한구성요소가강조표시한구성요소아래에삽입됩니다. McAfee Enterprise Security Manager 제품안내서 285

286 8 이벤트보고서관리 표 8-16 ( 계속 ) 구성요소속성편집기페이지에서 [ 텍스트 ], [ 이미지 ], [ 테이블 ], [ 막대도표 ], [ 원형도표 ] 또는 [ 분포도표 ] 구성요소를끌어놓고다음과같이설정을합니다. [ 쿼리마법사 ] 선택한구성요소에대한쿼리를합니다. [ 글꼴 ] 글꼴유형, 크기및색상을설정하고굵게, 기울임꼴또는밑줄을설정할지및왼쪽, 가운데또는오른쪽맞춤할지를설정합니다. [ 이미지 ] [ 이미지선택기 ] 페이지에서이미지를선택합니다. [ 제목 ] 필요한경우제목을변경하고제목의글꼴을설정하며양쪽맞춤을선택합니다. [ 쿼리 ] 필요한경우쿼리를변경하고테이블에표시할최대결과수를선택합니다. 보고서가소스및대상 IP 주소에대한 DNS 확인을사용하도록하려면 [ 테이블 ], [ 막대도표 ] 또는 [ 원형도표 ] 구성요소에서 [IP 를호스트이름으로확인 ] 을선택합니다. [ 테이블헤더 ] 테이블의헤더행에대한글꼴을설정합니다. [ 테이블 ] 테이블에있는데이터에대한글꼴을설정합니다. [ 테두리 ] 텍스트상자, 이미지또는테이블주위에테두리를설정할지를선택하고설정할경우두께및색상을선택합니다. [ 대체행색상 ] 테이블의대체행을다른색상으로표시하려면사용할색상을두개선택합니다. [ 열 ] 열이름과테이블의각열에대한형식을설정합니다. [ 소계구성 ] 테이블에소계를표시할지를선택합니다. [ 기타 ] 원형도표에서레이블및범례를표시할지를선택합니다. 구성요소의크기를조정하려면편집기페이지에서구성요소를클릭하 고테두리를나타내는노란색사각형크기로끕니다. 중하나를클릭한다음원하는 [ 페이지구분선 ] 페이지구분선을삽입할위치로끌어놓습니다. 굵은검은색줄은페이지구분선이들어갈위치를나타냅니다. 281 페이지의보고서관리 281 페이지의분기별보고서의시작월설정 282 페이지의보고서추가 287 페이지의 PDF 및보고서에이미지포함 287 페이지의보고서조건추가 288 페이지의보고서에호스트이름표시 보고서에이미지구성요소추가 보고서본문에추가할이미지를구성요소로선택합니다. 시작하기전에이미지파일이이미 ESM 에추가되었거나 ESM 에서액세스할수있는위치에있는지확인합니다. 286 McAfee Enterprise Security Manager 제품안내서

287 이벤트보고서관리 8 1 시스템탐색트리에서 [ 시스템속성 ] [ 보고서 ] [ 추가 ] 를선택한다음섹션 1-4 를완료합니다. 2 섹션 5 에서 [ 추가 ] 를클릭하여새보고서레이아웃을설계하거나기존레이아웃을선택하고 [ 편집 ] 을클릭합니다. 3 [ 보고서레이아웃 ] 페이지의레이아웃본문섹션에 [ 이미지 ] 아이콘을끌어놓습니다. 4 [ 이미지선택기 ] 페이지에서 [ 추가 ] 를클릭하여새이미지를업로드하고선택하거나목록에서이미지를선택합니다. 5 [ 확인 ] 을클릭하여보고서레이아웃에이미지를추가합니다. PDF 및보고서에이미지포함 내보낸 PDF 및인쇄된보고서가 [ 로그인 ] 화면에표시된이미지를포함하도록 ESM 을설정할수있습니다. 시작하기전에 [ 사용자지정설정 ] 페이지에이미지를추가합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 사용자지정설정 ] 을클릭합니다. 2 [ 보기에서내보낸 PDF 파일이나인쇄된보고서에이미지포함 ] 을선택합니다. 3 [ 확인 ] 을클릭합니다. 표 8-17 [ 이미지선택기 ] 테이블 ESM 에있는이미지를봅니다. 하나를선택한다음 [ 확인 ] 을클릭합니다. [ 추가 ] 새이미지를 ESM 에추가합니다. [ 이름바꾸기 ] ESM 에현재있는이미지이름을변경합니다. 목록의각이미지이름은고유해야합니다. [ 삭제 ] ESM 에서이미지를제거합니다. 281 페이지의보고서관리 281 페이지의분기별보고서의시작월설정 282 페이지의보고서추가 284 페이지의보고서레이아웃추가 287 페이지의보고서조건추가 288 페이지의보고서에호스트이름표시 보고서조건추가 보고서를설정할때사용할수있도록조건을추가합니다. McAfee Enterprise Security Manager 제품안내서 287

288 8 이벤트보고서관리 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 보고서 ] 를클릭합니다. 2 [ 조건 ] 을클릭한다음요청한정보를입력합니다. 3 [ 확인 ] 을클릭하여설정을저장합니다. 이이보고서의조건을선택할때사용가능한조건목록에표시됩니다. 표 8-18 [ 조건 ] 테이블기존조건을봅니다. [ 추가 ] 새조건에대한설정을지정합니다. [ 편집 ] 기존조건의설정을변경합니다. [ 제거 ] 기존조건을삭제합니다. 표 8-19 [ 이름 ] 이조건의이름을입력합니다. [ 유형 ] 조건을트리거하려는빈도를선택합니다. [ 참고 ] 이조건이수행하는을설명하는참고를입력합니다. [ 속성 ] 트리거시간의세부정보를합니다. 은선택한유형에따라다릅니다. 281 페이지의보고서관리 281 페이지의분기별보고서의시작월설정 282 페이지의보고서추가 284 페이지의보고서레이아웃추가 287 페이지의 PDF 및보고서에이미지포함 288 페이지의보고서에호스트이름표시 보고서에호스트이름표시 보고서에서소스및대상 IP 주소에대해 DNS 확인을사용하도록보고서를구성할수있습니다. 1 시스템탐색트리에서시스템을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 보고서 ] 를클릭한다음 [ 추가 ] 를클릭하고섹션 1-4 에요청한정보를입력합니다. 3 섹션 5 에서 [ 추가 ] 를클릭한다음 [ 테이블 ], [ 막대도표 ] 또는 [ 원형도표 ] 구성요소를끌어놓고 [ 쿼리마법사 ] 를완료합니다. 4 [ 보고서레이아웃 ] 편집기의 [ 속성 ] 창 [ 쿼리 ] 섹션에서 [IP 를호스트이름으로확인 ] 을선택합니다. 보고서에나타나는것외에 [ 호스트 ] 테이블 ([ 시스템속성 ] [ 호스트 ]) 에서 DNS 조회결과를볼수있습니다. 288 McAfee Enterprise Security Manager 제품안내서

289 이벤트 contains 및 regex 필터설명 페이지의보고서관리 281 페이지의분기별보고서의시작월설정 282 페이지의보고서추가 284 페이지의보고서레이아웃추가 287 페이지의 PDF 및보고서에이미지포함 287 페이지의보고서조건추가 contains 및 regex 필터설명 contains 및 regex 필터는인덱스문자열데이터및인덱싱되지않은문자열데이터둘다와일드카드기능을제공합니다. 이러한필터는구문요구사항이있습니다. 이러한명령은텍스트또는문자열데이터를허용하는필드에서사용할수있습니다. 대부분의텍스트필드는필터필 드이름옆에대 / 소문자구분안함아이콘이표시되어있습니다. contains 를허용하는다른필드는이아이콘이없습니다. 필드전체목록은 "contains 기능을지원하는필드 " 섹션을참조하십시오. 구문및예 contains 의기본구문은 contains(somevalue) 이고 regex 는 regex(someregularexpression) 입니다. 대 / 소문자를구분하지않으려면아이콘을클릭하거나 regex(/somevalue/i) 와같이 /i 정규표현식표기법을포함합니다. 검색하면대 / 소문자에관계없이 somevalue 가포함된모든값을반환합니다. NOT 및 OR 아이콘이 regex 및 contains 값에적용됩니다. 결과에어떤값을표시하지않게하려면해당값을입력하고 NOT 아이콘을클릭합니다. 결과에하나의값또는또다른값을표시하게하려면해당값을입력하고 OR 아이콘을클릭합니다. 예 #1 단순검색 인덱싱된필드 : 인덱싱되지않은필드 : contains(stra), regex(stra) stra 결과 : administrator, gmestrad 또는 straub 와같이 stra 가포함된모든문자열을반환합니다. 예 #2 - OR 검색 인덱싱된필드 : 인덱싱되지않은필드 : admin,ngcp 결과 : contains(admin,ngcp), regex((admin NGCP)) admin 또는 NGCP 를포함하는필드안의모든문자열을반환합니다. 정규식 OR 가작동하려면추가괄호세트가필요합니다. 예 #3 서비스계정등에서특수문자검색 달러기호 : 인덱싱된필드 : 인덱싱되지않은필드 : $ 결과 : contains($), regex(\x24) 또는 regex(\$) 이들중하나가 $ 를포함하는필드내의모든문자열을반환합니다. 해당문자의 HEX 값목록을보려면 로이동하십시오. McAfee Enterprise Security Manager 제품안내서 289

290 8 이벤트 contains 및 regex 필터설명 정규식에서 $ 를이스케이프하지않고사용하면결과세트에서빈값을반환합니다. PCRE 이스케이프시퀀스가사용하는데더좋은검색방법입니다. 백분율기호 : 인덱싱된필드 : 인덱싱되지않은필드 : % contains(%), regex(\x25) 또는 regex(\%) 백슬래시 : 인덱싱된필드 : contains(\), regex(\x5c) 또는 regex(\\) 인덱싱되지않은필드 : \ 이중백슬래시 인덱싱된필드 : 인덱싱되지않은필드 : contains(\\), regex(\x5c\x5c) 또는 regex(\\\) 일부경우정규식에서 HEX 값또는슬래시를사용하지않으면 " 잘못된정규표현식 (ER5-0015)" 오류가발생할수있습니다. 예 #4 - * 와일드카드를사용하여검색 인덱싱된필드 : contains (ad*) 인덱싱되지않은필드 : ad* 결과 : administrator 및 address 와같이 ad 로시작하는모든문자열을반환합니다. 예 #5 정규표현식을사용하여검색 이러한도메인은 Microsoft DNS 이벤트에서가져온것입니다. regex(nitroguard\x28[3-4]\x29[com info}+) (3)www(10)nitroguard(3)com(0) (3)www(10)nitroguard(4)info(0) (3)www(10)nitroguard(3)gov(0) (3)www(10)nitroguard(3)edu(0) (3)www(10)nitroguard(7)oddball(0) 결과 : 이정규표현식은특수문자열을선택합니다. 이경우 nitroguard, 3 자리또는 4 자리기본도메인및 com 또는 info 입니다. 이정규식은처음두개의표현식과일치하지만나머지는그렇지않습니다. 이들은정규식을해당기능과함께사용할수있는방법을보여주는예입니다. 사용자의표현식은이와매우다를수있습니다. 290 McAfee Enterprise Security Manager 제품안내서

291 이벤트 contains 및 regex 필터설명 8 경고 3 개미만의문자값이있는 regex 를사용하면오버헤드가높아지고쿼리성능이느려집니다. 모든쿼리에 4 개이상의문자를사용하는것이좋습니다. 이필터는상관규칙또는경보에서사용할수없습니다. 유일한예외는이름 / 값사용자지정유형과함께상관규칙에서사용할수있다는것입니다. NOT 과함께 contains 또는 regex 를사용하면오버헤드가높아지고쿼리성능이느려질수있습니다. 블룸필터설명 블룸필터에대한자세한내용은 를참조하십시오. contains 및 regex 기능을지원하는필드 Access_Resource File_Operation_Succeeded Referer Application File_Path Registry_Key Application_Protocol File_Type Registry_Value Area Filename Request_Type Authoritative_Answer Forwarding_Status Response_Code Bcc From Return_Code Caller_Process From_Address RTMP_Application Catalog_Name FTP_Command Sensor_Name Category Host Sensor_Type Cc HTTP_Req_Cookie Sensor_UUID Client_Version HTTP_Req_Host Session_Status Command HTTP_Req_Method Signature ID Contact_Name HTTP_Req_Referer Signature_Name Contact_Nickname HTTP_Req_URL SNMP_Error_Code Cookie HTTP_User_Agent SNMP_Item Creator_Name Incomtin_ID SNMP_Item_Type Database_ID Interface SNMP_Operation Database_Name Interface_Dest SNMP_Version Datacenter_ID Job_Name Source User Datacenter_Name Job_Type Source_Context DB2_Plan_Name Language Source_Logon_ID Delivery_ID Local_User_Name Source_Network Description Logical_Unit_Name Source_UserID Destination User Logon_Type Source_Zone Destination_Directory LPAR_DB2_Subsystem SQL_Command Destination_Filename Mail_ID SQL_Statement Destination_Hostname Mailbox Step_Count Destination_Logo_ID Mainframe_Job_Name Step_Name Destination_Network Malware_Insp_Action Subject Destination_UserID Malware_Insp_Result SWF_URL McAfee Enterprise Security Manager 제품안내서 291

292 8 이벤트 ESM 보기 Destination_Zone Management_Server Table_Name Detection_Method Message_ID Target_Class Device_Action Message_Text Target_Context Direction Method Target_Process_Name Directory NTP_Client_Mode TC_URL DNS_Class NTP_Opcode Threat_Category DNS_Name NTP_Request Threat_Handled DNS_Type NTP_Server_Mode Threat_Name Domain Object To Event_Class Object_Type To_Address External_Application Operating_System URL External_DB2_Server Policy_Name URL_Category External_Hostname Privileged_User User_Agent External_SessionID Process_Name User_Nickname Facility Query_Response Version File_Operation Reason Virtual_Machine_ID Virtual_Machine_Name 다음사용자지정유형은 contains 및 regex 를사용할수있습니다. 보기 문자열 임의문자열 이름 / 값 해시된문자열 케이스관리 참고 요약 기록 ESM 보기 ESM 은장치에서로그된이벤트, 플로, 자산및취약성에대한정보를검색합니다. 정보가서로연관되고 McAfee Security Event Aggregation and Correlation(MSEAC) 엔진에삽입됩니다. 목차 보기관리세션상세정보보기보기필터링감시목록플로보기 [ 고급 ELM 검색 ] 보기구성요소보기쿼리마법사 보기관리 보기관리는한번에둘이상의보기를복사, 가져오거나내보내기위한빠른방법을제공합니다. 보기목록에포함할보기를선택하고개별보기에액세스할수있도록특정사용자또는그룹에대한권한을할당합니다. 292 McAfee Enterprise Security Manager 제품안내서

293 이벤트 ESM 보기 8 1 ESM 콘솔에서 [ 보기관리 ] 아이콘을클릭합니다. 2 사용할수있는을수행한다음 [ 확인 ] 을클릭합니다. 표 8-20 테이블보기목록에서표시할보기를선택합니다. 폴더가선택되면모든하위폴더및보기가선택됩니다. 폴더확인란이검은색인경우일부하위폴더및보기가선택됩니다. [ 폴더추가 ] 사용자지정폴더를만들어보기를구성합니다. 추가되면보기를폴더로끌어놓을수있습니다. [ 이름바꾸기 ] 선택한폴더또는보기이름을바꿉니다. 읽기전용보기는이름을변경할수없습니다. [ 삭제 ] 선택한사용자지정폴더또는보기를삭제합니다. 읽기전용보기는삭제할수없습니다. [ 복사 ] 보기를복사하고보기목록에추가합니다. 보기를복사하면다른폴더로끌어놓을수있습니다. [ 공유 ] 액세스하기위해권한이있어야하는사용자또는그룹을선택하고선택된보기를수정합니다. [ 가져오기 ] ESM 으로보기파일을가져옵니다. [ 내보내기 ] 다른 ESM 과공유하거나백업으로파일을유지할수있도록사용자지정보기파일을내보냅니다. 읽기전용보기는내보낼수없습니다. [ 내기본보기로설정 ] 특정보기를선택하여보기창에서기본보기가되도록합니다. 이렇게하려면보기를클릭하고이을선택합니다. 세션상세정보보기 [ 세션뷰어 ] 에서세션 ID 를사용하여이벤트상세정보를보고 csv 파일에저장할수있습니다. 세션 ID 를가지려면이벤트가세션내에있어야합니다. 세션은소스와대상간의연결결과입니다. 장치또는 ESM 내부에있는이벤트는세션 ID 가없습니다. 1 보기드롭다운목록에서확인해야하는세션이있는보기를선택합니다. 2 이벤트를선택하고구성요소제목표시줄에서메뉴아이콘을클릭한다음 [ 이벤트드릴다운 ] [ 이벤트 ] 를선택합니다. 3 이벤트를클릭하고 [ 고급상세정보 ] 탭을클릭한다음 [ 세션 ID] 필드옆의 [ 세션데이터보기 ] 아이콘을클릭합 니다. [ 세션뷰어 ] 가열리고세션상세정보가표시됩니다. 보기필터링 기본 ESM 콘솔에있는필터창에서보기에적용할필터를설정할수있습니다. 보기에적용되는필터가열려있는다음보기로전달됩니다. 처음 ESM 에로그온할때기본필터창에 [ 소스사용자 ], [ 대상사용자 ], [ 소스 IP] 및 [ 대상 IP] 필터필드가포함되어있습니다. 필터필드추가및삭제, 필터세트저장, 기본설정변경, 모든필터관리및문자열정규화관리자시작을수행할수있습니다. 필터가보기에적용될때알려줄수있도록주황색깔때기아이콘이보기창의오른쪽상단모서리에표시됩니다. 이주황색아이콘을클릭하면모든필터가지워지고쿼리가다시실행됩니다. McAfee Enterprise Security Manager 제품안내서 293

294 8 이벤트 ESM 보기 변수, 글로벌필터, 로컬필터, 정규화된문자열또는보고서필터와같이쉼표로구분된필터가있는어디서나이들이관심목록의일부가아닌경우따옴표를사용해야합니다. 값이 Smith,John 인경우 "Smith,John" 을입력해야합니다. 값에따옴표가있는경우따옴표안에따옴표로묶어야합니다. 값이 Smith,"Boy"John 인경우 "Smith,""Boy""John" 으로입력해야합니다. contains 및 regex 필터를사용할수있습니다 ([contains 및 regex 필터에대한설명 ] 참조 ). 294 페이지의보기필터링 315 페이지의 UCF 및 Windows 이벤트 ID 필터추가 295 페이지의정규화된 ID 선택 보기필터링 필터를사용하면보기에서선택한항목에대한세부정보를볼수있습니다. 필터를입력하고보기를새로고치면보기의데이터에추가한필터가반영됩니다. 1 ESM 콘솔에서, 보기의목록에서필터링하려는보기를선택합니다. 2 [ 필터 ] 창에서다음방법중하나를사용하여필터링하려는데이터를필드에입력합니다. 적절한필드에필터정보를입력합니다. 예를들어현재보기를필터링하여소스 IP 주소가 인데이터만표시하려면 [ 소스 IP] 필드에 IP 주소를입력합니다. contains 또는 regex 필터를입력합니다 ("contains 및 regex 필터에대한설명 " 참조 ). 필드옆에있는 [ 필터목록표시 ] 아이콘을클릭하고필터링할변수나관심목록을선택합니다. 보기에서필터로사용하려는데이터를선택한다음 [ 필터 ] 창에서필드를클릭합니다. 필드가비어있으면선택한데이터로자동으로채워집니다. [ 평균심각도 ] 의경우콜론 (:) 을사용하여범위를입력합니다. 예를들어 60:80 은 60 에서 80 사이의심각도범위입니다. 3 다음중하나를수행합니다.... 수행방법... 둘이상의필터와일치하는데이터보기 각필드에값을입력합니다. 일부필터값과일치하고다른값은제외하는데이터보기 일반및 OR 필터와일치하는데이터보기 1 포함하고제외하려는필터값을입력합니다. 2 제외하려는필드옆에있는 [NOT] 아이콘을클릭합니다. 1 일반및 [OR] 필드에필터값을입력합니다. 2 [OR] 값이있는필드옆에있는 [OR] 아이콘을클릭합니다. 보기에는 [OR] 이표시되지않은필드의값과일치하는데이터와 [OR] 이표시된필드의값중하나와일치하는데이터가포함됩니다. 이필터가작동하려면둘이상의필드에 [OR] 이표시되어야합니다. 294 McAfee Enterprise Security Manager 제품안내서

295 이벤트 ESM 보기 8... 수행방법... 필터값이대 / 소문자를구분하지않도록설정 정규화된문자열을해당별칭으로바꾸기 적절한필터필드옆에있는 [ 대 / 소문자구분안함 ] 아이콘을클릭합니다. 적절한필터필드옆에있는문자열정규화아이콘을클릭합니다. 4 [ 쿼리실행 ] 아이콘을클릭합니다. 보기가새로고쳐지고입력한값과일치하는레코드가보기에표시됩니다. 주황색필터아이콘이보기창의오른쪽위에나타나보기의데이터가필터의결과임을나타냅니다. 이아이콘을클릭하면필터가지워지고보기에모든데이터가표시됩니다. 표 8-21 표 ESM 에추가된필터세트 (" 필터창 " 참조 ) 및가능한모든필터를표시합니다. 폴더를추가하고폴더에필터세트를놓아이목록을구성할수있습니다. [ 폴더추가 ] 새폴더를추가하여필터를구성할수있습니다. 추가되면필터세트를새폴더로끌어놓을수있습니다. [ 필터세트추가 ], [ 필터세트편집 ] 새필터세트를가능한필터목록에추가하거나기존필터를편집합니다. [ 이름바꾸기 ] 선택한폴더또는필터세트이름을변경합니다. [ 삭제 ] 목록에서폴더또는필터를삭제합니다. [ 복사 ] 기존필터를복사합니다. 이름을바꾼다음목록하단에추가됩니다. 그런다음템플릿으로사용하고 [ 필터세트편집 ] 을사용하여설정을변경할수있습니다. [ 공유 ] 선택한폴더또는필터세트를시스템의다른사용자또는그룹과공유합니다. 293 페이지의보기필터링 315 페이지의 UCF 및 Windows 이벤트 ID 필터추가 295 페이지의정규화된 ID 선택 정규화된 ID 선택 새보기를만들거나보기에필터를추가할때정규화된 ID 를사용하여데이터를필터링하도록선택할수있습니다. 1 ESM 콘솔에서다음중하나를수행합니다. 새보기를만드는경우 [ 쿼리마법사 ] 의두번째페이지에서 [ 필터 ] 를클릭합니다 (" 보기또는보고서구성요소설정 " 참조 ). 보기에필터를추가하는경우필터를추가할보기를선택합니다. 화면오른쪽에 [ 필터 ] 창이있습니다. 2 [ 정규화된 ID] 필드를찾은다음 [ 필터 ] 아이콘을클릭합니다. 3 ID 를선택한다음 [ 확인 ] 을클릭합니다. [ 정규화된 ID] 필드에선택한 ID 번호가추가됩니다. McAfee Enterprise Security Manager 제품안내서 295

296 8 이벤트 ESM 보기 293 페이지의보기필터링 294 페이지의보기필터링 315 페이지의 UCF 및 Windows 이벤트 ID 필터추가이벤트시간보기수신기데이터베이스에이벤트가삽입된정확한시간을봅니다. 시작하기전에다음권한이있어야합니다. 이벤트를가져와서이벤트시간을볼수있는 [ 데이터보기 ] 보기를만들수있는 [ 보기관리 ] 이벤트를변경할수있는 [ 이벤트관리 ] 1 ESM 콘솔에서 [ 장치시간 ] 필드를포함하는이벤트표보기를추가합니다. a 보기창도구모음에있는 [ 새보기만들기 ] 아이콘을클릭합니다. b [ 보기편집도구모음 ] 에서 [ 표 ] 구성요소를클릭하고끕니다. c [ 쿼리마법사 ] 에서 [ 다음 ] 을클릭한다음 [ 필드 ] 를클릭합니다. d 왼쪽목록에서 [ 장치시간 ] 을클릭하고오른쪽목록으로이동시킵니다. e [ 필드 ] 페이지에서 [ 확인 ] 을클릭한다음 [ 마침 ] 을클릭합니다. f [ 보기편집도구모음 ] 에서 [ 다른이름으로저장 ] 을클릭하고보기의이름을입력한다음 [ 확인 ] 을클릭합니다. g [ 보기편집도구모음 ] 을닫습니다. 보기의드롭다운목록에이보기가추가됩니다. 2 이러한방법중하나로 [ 장치시간 ] 을봅니다. 해결로이벤트를보내는경우 (" 해결이메일보내기 " 참조 ) 해당이벤트에대한장치시간이손실됩니다. 추가한보기의이벤트표에서 [ 장치시간 ] 열을봅니다. 표아래의도구모음에서 [ 데이터상세정보보기 ] 아이콘치시간 ] 필드를봅니다. 을클릭하고 [ 고급상세정보 ] 탭을클릭한다음 [ 장 감시목록 감시목록은특정유형의정보그룹으로, 필터또는경보조건으로사용할수있습니다. 글로벌이거나특정사용자또는그룹과공유될수있으며정적또는동적일수있습니다. 정적관심목록은입력하거나가져올수있는특정값으로구성됩니다. 동적관심목록은한정규표현식이나문자열검색기준에서생성된값으로구성됩니다. 관심목록은최대 1,000,000 개의값을포함할수있습니다. [ 관심목록추가 ] 또는 [ 관심목록편집 ] 페이지의값목록은최대 25,000 개의값을표시할수있습니다. 더있는경우표시할값이너무많다는통보를받게됩니다. 총수를 25,000 개가넘도록늘리는값을추가하여관심목록을편집하려는경우기존목록을로컬파일에내보내고새값을추가한다음새목록을가져와야합니다. 296 McAfee Enterprise Security Manager 제품안내서

297 이벤트 ESM 보기 8 정적관심목록에서만료할값을설정할수있습니다. 각값에는시간이표시되고새로고치지않는한지정한기간에도달하면만료됩니다. 경보가값을트리거하고관심목록에추가하면값이새로고쳐집니다. 보기구성요소의메뉴에서 [ 관심목록에추가 ] 을사용하여목록에추가하면만료하도록설정된값을새로고칠수있습니다 (" 구성요소메뉴 " 참조 ). 동적관심목록에서정기적으로업데이트할값을설정할수있습니다. 지정된데이터를사용하여소스를쿼리하고지정된시간에값이새로고쳐집니다. 297 페이지의관심목록추가 300 페이지의 McAfee GTI 관심목록 300 페이지의인터넷에서위협또는 IOC 피드관심목록만들기 300 페이지의 Hadoop HBase 관심목록추가 관심목록추가 관심목록을필터또는경보조건으로사용합니다. 1 다음방법중하나로 [ 관심목록 ] 페이지에액세스합니다. 대시보드에서을클릭하고 [ 관심목록 ] 을선택합니다. 시스템탐색트리에서 [ 시스템속성 ] 을클릭한다음 [ 관심목록 ] 을클릭합니다. [ 내부이벤트일치 ] 경보에서 [ 액션 ] 탭을클릭하고 [ 관심목록업데이트 ] 를선택한다음 [ 구성 ] 을클릭합니다. [ 관심목록 ] 표에서시스템의모든관심목록을표시합니다. [GTI 악의적인 IP] 및 [GTI 의심스러운 IP] 가표에나타나지만 McAfee 에서 McAfee GTI 사용권을구입하지않은경우데이터는포함되지않습니다. 사용권을구입하려면 McAfee 영업기술자또는 McAfee 지원에문의하십시오. 2 [ 추가 ] 또는 [ 새관심목록추가 ] 를클릭한다음요청한정보를입력합니다. 3 [ 관심목록 ] 표에새관심목록을추가하려면 [ 확인 ] 을클릭합니다. 표 8-22 탭 [ 기본 ] [] [ 이름 ] 관심목록의이름을입력합니다. [ 정적 ] 또는 [ 동적 ] 관심목록이동적인지또는정적인지를선택합니다. 정적관심목록은지정하는값으로구성됩니다. 동적관심목록은한정규표현식이나문자열검색기준에서생성된값으로구성됩니다. [ 값만료 ] ( 정적 ) 관심목록의각값에타임스탬프를지정하여지정된시간에만료되도록하려면선택합니다. 지정한기간에도달한경우새로고치지않는한만료됩니다. 경보가트리거되어관심목록에값을추가하면값이새로고쳐집니다. 만료하도록설정된값을새로고치려면보기구성요소의메뉴에서 [ 관심목록에추가 ] 를사용하여목록에추가합니다. [ 기간 ] ( 정적 ) 값을유지할시간을선택합니다. 범위는 1 시간에서 365 일사이입니다. 해당시간이경과하면새로고치지않은경우에도값이관심목록에서삭제됩니다. [ 자동업데이트활성화 ] ( 동적 ) 이목록을지정한시간에자동으로업데이트하려면선택합니다. [ 업데이트 ] 검색이업데이트되는빈도를선택합니다. 검색이실행될때마다기존값목록이대체됩니다. [ 소스 ] 검색소스유형을선택합니다. 이페이지의나머지필드는선택한유형에따라다릅니다. 이들대부분은자체적으로설명됩니다. McAfee Enterprise Security Manager 제품안내서 297

298 8 이벤트 ESM 보기 표 8-22 ( 계속 ) 탭 [ESM 문자열 ] [] 이벤트에서검색된문자열이포함된 StringMap 표를검색합니다. [ 검색 ] 필드에정규표현식또는문자열검색기준을입력합니다. 검색은기본적으로대 / 소문자를구분합니다. 대 / 소문자를구분하지않는검색을수행하려면 /Exploit/i 와같이검색문자열이나정규표현식을슬래시로둘러싸고그뒤에 i 를추가합니다. [ESM 규칙이름 ] 규칙에대한간단한설명이포함된 [ 규칙 ] 표에서규칙메시지를검색합니다. [ 검색 ] 필드에정규표현식또는문자열검색기준을입력합니다. 검색은기본적으로대 / 소문자를구분합니다. 대 / 소문자를구분하지않는검색을수행하려면 /Exploit/i 와같이검색문자열이나정규표현식을슬래시로둘러싸고그뒤에 i 를추가합니다. [HTTP/HTTPS] 다음필드를입력합니다. [ 인증 ] 웹사이트에서로그온하기위해사용자이름및암호를요구하는경우 [ 기본 ] 을선택합니다. 기본설정은 [ 없음 ] 입니다. [ 잘못된인증서무시 ] 검색을시도하는웹사이트가 https URL 인경우이을선택하여잘못된 SSL 인증서를무시합니다. [ 방법 ] 검색하려는웹사이트가포스트콘텐츠또는인수를요구하는경우 POST 를선택합니다. 기본설정은 [GET] 입니다. Active Response 다음필드를입력합니다. [ 수집기 ] 데이터를꺼내는데사용할수집기를선택합니다. [ 값 ] 관심목록에포함할검색된데이터열을선택합니다. [ 또는 ] 또는 [ 그리고 ] 모든필터를데이터에적용 ([ 그리고 ]) 하거나적용된필터중하나를데이터에적용 ([ 또는 ]) 하려는경우선택합니다. 둘이상의필터를사용하는경우에만적용됩니다. [ 필터 ] 검색을적용할필터입니다. [ 필터추가 ] 다른필터줄을추가하려면클릭합니다. 최대 5 개의필터를사용할수있습니다. 필터를제거하려면필터오른쪽에있는삭제아이콘을클릭합니다. [ 구문분석 ] [ 원시데이터 ] HTTP/HTTPS 가소스유형으로선택된경우 [ 소스 ] 탭의 [URL] 필드에서처음 200 줄의소스코드를확인합니다. 단지웹사이트의미리보기이지만일치시킬정규표현식을충분히쓸수있습니다. 관심목록의예약된업데이트또는 [ 지금실행 ] 은정규표현식검색과일치하는모든항목을포함합니다. 이기능은 RE2 구문정규표현식 ( 예 : d{1,3}\.\d{1,3}\. \d{1,3}\.\d{1,3}) 을지원합니다. [ 건너뛸헤더줄 ] 일반적으로인터넷사이트에는검색할필요가없는헤더코드가있습니다. 검색이헤더데이터를포함하지않도록건너뛰게하려는사이트상단의줄수를지정합니다. [ 새줄구분기호 ] 값을구분하기위해사이트에서사용되는구분기호를입력합니다. 이필드의기본값은 n 이며새줄이구분기호라는것을나타냅니다. 가장일반적으로사용되는다른구분기호는쉼표입니다. [ 표현식무시 ] 정규표현식검색의결과에서원하지않는값을제거하는정규표현식을입력합니다. [ 정규표현식 ] ( 필수 ) 일치항목을찾는데사용되는논리를입력하고사이트에서값을추출합니다. 사이트에나열된알려진악성 IP 주소또는 MD5 합계의목록과일치하는표현식을만드는데사용합니다. [ 일치하는그룹 ] 정규표현식에여러일치그룹이포함된경우이드롭다운목록에서그룹을선택합니다. 298 McAfee Enterprise Security Manager 제품안내서

299 이벤트 ESM 보기 8 표 8-22 ( 계속 ) 탭 [ 값 ] [ 유형 ] 검색결과를필드유형에할당하는유형을선택합니다. 이유형은필터나경보의경우처럼시스템전체에서관심목록을사용할수있도록합니다. 기존관심목록에서이설정을변경할수있습니다. 25,000 개보다적은값이있는경우 ESM 은이전유형과새유형이호환되는지확인하고호환되지않는경우오류를반환합니다. 25,000 개보다많은값이있는경우호환성의유효성을검사해야합니다. 동적관심목록인경우 [ 문자열 ] 을소스로선택하면응용프로그램이선택한유형으로검색을필터링하지않습니다. 대신검색에서모든일치하는문자열을반환합니다. [ 값 ] 정적관심목록인경우새줄로구분된형식으로값파일을가져오거나줄당하나씩값을입력합니다. 정적및동적관심목록은둘다최대 1,000,000 개의값으로제한됩니다. 동적관심목록인경우검색이실행될때마다값표가값으로채워집니다. 감시목록에 25,000 개보다많은값이있는경우 [ 값 ] 필드에표시할수있는값이더있다고나타납니다. 사용자이름은데이터베이스에액세스할수있는사람을식별합니다. LDAP 의경우사용자이름은다음과같이공백이없는정식도메인이름이어야합니다. uid=bob,ou=users,dc=example,dc=com 또는 administrator@company.com [ 값지우기 ] [ 값 ] 목록에서모든항목을삭제하려면클릭합니다. [ 가져오기 ] 가져온값을 [ 값 ] 목록에추가하려면클릭합니다. 가져온값이 25,000 개를초과하는경우일부가져온값을표시할수없다는메시지가표시됩니다. [ 내보내기 ] 값목록을내보내려면클릭합니다. [ 지금실행 ] 지금쿼리를실행하려면클릭합니다. 결과가 [ 값 ] 상자를채웁니다. 296 페이지의감시목록 300 페이지의 McAfee GTI 관심목록 300 페이지의인터넷에서위협또는 IOC 피드관심목록만들기 300 페이지의 Hadoop HBase 관심목록추가 경고데이터로관심목록업데이트 트리거된경보당최대 10 개의경보이벤트로생성된트리거이벤트데이터를추가하거나제거하여관심목록을업데이트하도록경보를설정할수있습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을클릭한다음 [ 경보 ] [ 추가 ] 를클릭합니다. 2 [ 경보설정 ] 페이지에서 [ 조건 ] 탭을클릭한다음 [ 유형 ] 필드에서 [ 내부이벤트일치 ] 또는 [ 필드일치 ] 를선택합니다. 3 [ 액션 ] 탭을클릭하고 [ 관심목록업데이트 ] 를선택한다음 [ 구성 ] 을클릭합니다. 4 수행할액션, 추가하거나제거할트리거이벤트의필드, 업데이트할관심목록을선택한다음 [ 확인 ] 을클릭합니다. McAfee Enterprise Security Manager 제품안내서 299

300 8 이벤트 ESM 보기 McAfee GTI 관심목록 McAfee GTI 관심목록에는 McAfee 에서수집한 1 억 3 천만개이상의의심스러운 IP 및악성 IP 주소와그심각도가포함되어있습니다. 이러한관심목록은경보를트리거하고, 규칙상관의필터및 ACE 에서위험상관관리자를위한점수지정소스로보고서및보기의데이터를필터링하는데사용할수있습니다. 시스템에목록의데이터를추가하려면 McAfee 에서 McAfee GTI 사용권을구입해야합니다. 그러면다음에규칙을다운로드할때목록이시스템에추가됩니다. 이프로세스는데이터베이스크기로인해몇시간이걸릴수있습니다. 목록을다운로드하려면인터넷에연결되어있어야합니다. 오프라인일때다운로드할수없습니다. 이러한목록을보거나편집할수없지만 [ 감시목록 ] 테이블 ([ 시스템속성 ] [ 감시목록 ]) 에서목록이활성 ( 값포함 ) 인지비활성 ( 값을포함하지않음 ) 인지나타냅니다. McAfee GTI 사용권을구입하려면 McAfee 영업기술자또는 McAfee 지원에문의하십시오. 296 페이지의감시목록 297 페이지의관심목록추가 300 페이지의인터넷에서위협또는 IOC 피드관심목록만들기 300 페이지의 Hadoop HBase 관심목록추가 인터넷에서위협또는 IOC 피드관심목록만들기 정기적으로새로고칠수있는관심목록을만들면인터넷에서 IOC( 손상표시기 ) 피드또는위협을자동으로꺼낼수있습니다. 이관심목록에서 HTTP 요청을통해검색되는데이터를미리볼수있고이데이터를필터링하는정규표현식을추가할수있습니다. 1 시스템탐색트리에서시스템을클릭한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 관심목록 ] 을클릭한다음 [ 추가 ] 를클릭합니다. 3 [ 기본 ] 탭을완료하고 [ 동적 ] 을선택합니다. 4 [ 소스 ] 탭을클릭하고 [ 유형 ] 필드에서 [HTTP/HTTPS] 를선택합니다. 5 [ 소스 ], [ 구문분석 ] 및 [ 값 ] 탭에서요청한정보를완료합니다. [ 구문분석 ] 탭의 [ 원시데이터 ] 필드가 html 소스코드의처음 200 줄로채워집니다. 단지웹사이트의미리보기이지만일치시킬정규표현식을충분히쓸수있습니다. 관심목록의예약된업데이트또는 [ 지금실행 ] 은정규표현식검색과일치하는모든항목을포함합니다. 이기능은 RE2 구문정규표현식 ( 예 : IP 주소와일치하는 (\d{1,3}\.\d{1,3}\. \d{1,3}\.\d{1,3}) 을지원합니다. 296 페이지의감시목록 297 페이지의관심목록추가 300 페이지의 McAfee GTI 관심목록 300 페이지의 Hadoop HBase 관심목록추가 Hadoop HBase 관심목록추가 Hadoop HBase 를사용하여관심목록을소스로추가합니다. 300 McAfee Enterprise Security Manager 제품안내서

301 이벤트 ESM 보기 8 1 시스템탐색트리에서시스템을선택하고 [ 속성 ] 아이콘을클릭한다음 [ 관심목록 ] 을클릭합니다. 2 [ 관심목록추가 ] 마법사의 [ 기본 ] 탭에서 [ 동적 ] 을선택하고요청된정보를입력한다음 [ 소스 ] 탭을클릭합니다. 3 [ 유형 ] 필드에서 [Hadoop HBase(REST)] 를선택한다음호스트이름, 포트, 테이블이름을입력합니다. 4 [ 쿼리 ] 탭에서조회열및쿼리정보를입력합니다. a [ 조회열 ] 의형식을패밀리열 : 이름열로지정합니다. b 쿼리를스캐너필터로채웁니다. 여기서값은 Base64 로인코딩되어있습니다. 예 : <Scanner batch="1024"> <filter> { "type": "SingleColumnValueFilter", "op": "EQUAL", "family": " ZW1wbG95ZWVJbmZv", "qualifier": "dxnlcm5hbwu=", "latestversion": true, "comparator": { "type": "BinaryComparator", "value": "c2nhcgvnb2f0" } } </filter> </Scanner> 5 [ 값 ] 탭을클릭하고값유형을선택한다음 [ 지금실행 ] 단추를클릭합니다. 296 페이지의감시목록 297 페이지의관심목록추가 300 페이지의 McAfee GTI 관심목록 300 페이지의인터넷에서위협또는 IOC 피드관심목록만들기 플로보기 플로는장치를통해만든연결레코드입니다. 플로분석이활성화되면각플로또는연결에대한데이터가기록됩니다. 플로에는소스및대상 IP 주소, 포트, Mac 주소, 프로토콜및처음및마지막 ( 연결이시작되고종료되는사이의기간 ) 이있습니다. 플로는비정상적또는악의적인트래픽이있다는것을나타내지않으므로이벤트보다더많은플로가있습니다. 플로는이벤트처럼규칙시그니처 (SigID) 와연결되어있지않습니다. 플로는경보, 삭제및거부와같은이벤트액션과연결되어있지않습니다. 소스및대상바이트, 소스및대상패킷을비롯하여특정데이터는플로에고유합니다. 소스바이트및패킷은플로의소스에서전송된바이트및패킷수를나타냅니다. 대상바이트및패킷은플로의대상에서전송된바이트및패킷수를나타냅니다. 플로에는방향이있습니다. 인바운드플로는 HOME_NET 외부에서발생하는플로로됩니다. 아웃바운드플로는 HOME_NET 내부에서발생합니다. 플로데이터를보려면시스템을활성화하여플로데이터를로깅해야합니다. 그러면 [ 플로분석 ] 보기에서플로를볼수있습니다. 302 페이지의 [ 고급 ELM 검색 ] 보기 302 페이지의고급 ELM 검색수행 McAfee Enterprise Security Manager 제품안내서 301

302 8 이벤트 ESM 보기 [ 고급 ELM 검색 ] 보기 [ 고급 ELM 검색 ] 보기는시스템에최소한개의 ELM 장치가있는경우사용할수있습니다. 하나이상의 ELM 에서로그검색을수행할때더자세한검색을수행하고실시간검색진행률추적및결과를제공합니다. 이보기는 ELM 의보관통계보고기능을이용하여검색해야하는데이터양에대한실시간정보를제공함으로써쿼리를제한하여검색할파일수를최소화할수있습니다. 검색을처리하는동안그래프가예상되는결과를표시합니다. [ 결과시간배포 ] 그래프 시간배포에따라추정치및결과를표시합니다. 시간프레임드롭다운목록에서선택한내용에따라하단축이변경됩니다. [ 데이터소스결과 ] 그래프 시스템탐색트리에서선택한장치의데이터소스에따라데이터소스당추정치및결과를표시합니다. [ 장치유형결과 ] 그래프 시스템탐색트리에서선택한장치에따라장치유형당추정치및결과를표시합니다. 검색이시작하기전에이러한그래프가채워지고결과를찾으면업데이트됩니다. [ 데이터소스결과 ] 또는 [ 장치유형결과 ] 그래프에서하나이상의막대를선택하거나 [ 결과시간배포 ] 그래프의섹션을강조표시합니다. 결과가들어오기시작하면 [ 필터적용 ] 을클릭하여검색범위를좁힙니다. 이를통해검색결과를자세히보고검색해야하는데이터양을제한할수있습니다. 검색이완료되면이러한그래프에실제결과가표시됩니다. 301 페이지의플로보기 302 페이지의고급 ELM 검색수행 고급 ELM 검색수행 한정보의경우하나이상의 ELM 장치에서로그를검색합니다. 1 보기창의드롭다운목록에서 [ 고급 ELM 검색 ] 을선택합니다. 2 시스템에둘이상의 ELM 장치가있는경우텍스트필드옆의드롭다운목록에서검색할장치를선택합니다. 3 텍스트필드에일반텍스트검색또는정규표현식을입력합니다. 4 [ 현재날짜 ] 이외의시간프레임을원하는경우드롭다운목록에서선택합니다. 5 시스템탐색트리에서검색하려는장치를선택합니다. 6 필요한경우다음에서하나이상선택합니다. [ 대 / 소문자구분안함 ] 대 / 소문자를구분하지않고검색합니다. [ 정규표현식 ] 검색필드의용어를정규표현식으로처리합니다. [ 검색어포함안함 ] 검색필드의용어가포함되지않은항목을반환합니다. 302 McAfee Enterprise Security Manager 제품안내서

303 이벤트 ESM 보기 8 7 [ 검색 ] 을클릭합니다. 결과가보기의 [ 검색결과 ] 섹션에표시됩니다. 8 검색중이거나검색이완료된후다음중하나를수행합니다. [ 검색저장 ] 보기를떠나탐색하는경우에도이검색결과를저장합니다. 저장된검색을 [ELM 속성 ] [ 데이터 ] 페이지에서볼수있습니다. [ 검색결과파일다운로드 ] 지정한위치에결과를다운로드합니다. [ 선택한항목을클립보드에복 사 ] [ 데이터세부정보보기 ] 301 페이지의플로보기 302 페이지의 [ 고급 ELM 검색 ] 보기 선택한항목을클립보드에복사하므로문서에붙여넣을수있습니다. [ 검색결과 ] 테이블에서선택하는로그의세부정보를표시합니다. 구성요소보기 가장유용한방식으로이벤트, 플로, 자산및취약성데이터를표시하도록사용자지정보기를만듭니다. 각보기는 [ 보기편집도구모음 ] 에서선택하는구성요소로구성되고데이터를표시하도록설정됩니다. 구성요소를선택하면 [ 쿼리마법사 ] 가열려구성요소에표시된데이터에대한상세정보를할수있습니다. 이벤트둘러보기 [ 이벤트분석 ] 보기에서선택한시간프레임내의이벤트에서하나이상의필드와일치하는이벤트를찾을수있습니다. 1 ESM 콘솔에서보기목록을클릭한다음 [ 이벤트보기 ] [ 이벤트분석 ] 을선택합니다. 2 이벤트를클릭하고메뉴아이콘을클릭한다음 [ 둘러보기 ] 를클릭합니다. 3 시스템에서일치를검색하려는이벤트전후시간 ( 분 ) 을선택합니다. 4 [ 필터선택 ] 을클릭하고검색을일치시키려는필드를선택한다음값을입력합니다. 결과가 [ 둘러보기결과 ] 보기에표시됩니다. 이보기에서떠났다가나중에돌아오려면 [ 이벤트분석 ] 메뉴에서 [ 마지막둘러보기 ] 메뉴를클릭합니다. 표 8-23 [ 시간프레임 ] 시스템에서일치를검색하려는선택한이벤트전후시간 ( 분 ) 을선택합니다. [ 필터선택 ] 필드유형을선택하고검색하려는값을입력합니다. 하나의필드를입력하는경우다른필드가추가되어필요한만큼필터를추가할수있습니다. 필터필드중하나를삭제하려면클릭합니다. McAfee Enterprise Security Manager 제품안내서 303

304 8 이벤트 ESM 보기 이벤트의 IP 주소상세정보보기 McAfee 의 McAfee Global Threat Intelligence (McAfee GTI) 사용권이있으면 [IP 주소상세정보 ] 조회를수행할때새 [ 위협상세정보 ] 탭에액세스할수있습니다. 이을선택하면위험심각도및지리적위치데이터를포함하여 IP 주소에대한상세정보가반환됩니다. 시작하기전에 McAfee GTI 사용권을구입합니다 ("McAfee GTI 관심목록 " 참조 ). McAfee GTI 사용권이만료되면 McAfee 영업기술자또는 McAfee 지원에문의하십시오. 1 ESM 콘솔에서표구성요소를포함할보기를선택합니다. 예 : [ 이벤트보기 ] [ 이벤트분석 ]. 2 IP 주소를클릭하고구성요소에서메뉴아이콘을클릭한다음 [IP 주소상세정보 ] 를클릭합니다. [ 위협상세정보 ] 탭에선택한 IP 주소에대한데이터가나열됩니다. 시스템클립보드에데이터를복사할수있습니다. [IP 주소상세정보 ] 이컨텍스트메뉴에있는 [WHOIS 조회 ] 을대체했습니다. 하지만 [IP 주소상세정보 ] 페이지에는이정보를표시하는 [WHOIS 조회 ] 탭이포함되어있습니다. 해결이메일보내기 해결시스템을설정하는경우시스템에해결이필요한이벤트를통보하는이메일메시지를보낼수있습니다. 이프로세스를수행하면이벤트레코드에추가할해결케이스번호를받습니다. 1 이벤트보기에서해결액션이필요한이벤트를강조표시합니다. 2 [ 케이스또는해결에이벤트할당 ] 아이콘을클릭한다음 [ 해결로이벤트보내기 ] 를선택합니다. 3 [ 접두사 ], [ 키워드 ] 및 [ 엔터프라이즈사용자 ID] 를추가합니다. 4 ( 선택사항 ) [ 세부정보 ] 에있는정보를추가합니다. 여기에는이벤트에대해시스템에서생성한정보가들어있습니다. 5 [ 보내기 ] 를클릭합니다. WHOIS 또는 ASN 조회수행 표구성요소에서 WHOIS 조회를수행하여소스또는대상 IP 주소에대한정보를찾을수있습니다. [ASN 조회 ] 는 ASN 데이터가있는표의플로레코드및막대도표의 ASN 쿼리에서사용가능하며 ASN 식별자를사용하여 WHOIS 레코드를검색합니다. 1 테이블구성요소에나열된 ASN 데이터또는막대도표구성요소의 ASN 쿼리막대를사용하여 IP 주소또는플로레코드를선택합니다. 2 메뉴를클릭한다음 [IP 주소상세정보 ] 또는 [ASN 조회 ] 를선택합니다. 304 McAfee Enterprise Security Manager 제품안내서

305 이벤트 ESM 보기 8 3 다른 IP 주소또는식별자를조회하려면 : [WHOIS] 탭페이지의목록에서 IP 주소를선택하고호스트이름을입력합니다. [ASN 조회 ] 페이지에서숫자를입력하거나목록에서선택합니다. 표 8-24 [ 호스트이름 ] IP 주소에대한호스트이름이있는경우입력합니다. [IP 주소 ] 호스트이름을입력한경우이필드에 IP 주소가있습니다. 호스트이름이없는경우 IP 주소를입력합니다. [ 조회 ] DNS 조회를시작하여 WHOIS 레코드를검색하려면클릭합니다. [WHOIS 레코드 ] 조회결과를봅니다. 305 페이지의이벤트레코드에해결케이스 ID 추가 305 페이지의구성요소내보내기 이벤트레코드에해결케이스 ID 추가 해결시스템에이벤트이메일을보내면케이스 ID 번호를받게됩니다. 참고용으로이 ID 를이벤트레코드에추가할수있습니다. 1 [ 이벤트분석 ] 보기에서이벤트를강조표시한다음메뉴를클릭합니다. 2 [ 해결케이스 ID 설정 ] 을선택하고번호를입력한다음 [ 확인 ] 을클릭합니다. 표 8-25 [ 이벤트 ID ] 보기에서이벤트를선택하여이페이지에액세스한경우이벤트의 ID 번호가이필드에나타납니다. [ 해결케이스 ID ] 받은 ID 를입력합니다 (" 해결이메일보내기 " 참조 ). 304 페이지의 WHOIS 또는 ASN 조회수행 305 페이지의구성요소내보내기 구성요소내보내기 ESM 보기구성요소의데이터를내보낼수있습니다. 도표구성요소는텍스트또는 PDF 형식으로내보내고표구성요소는쉼표구분값 (CSV) 또는 HTML 로내보낼수있습니다. 보기에서도표, 배포또는표구성요소의현재페이지를내보내면내보낸데이터가내보내기를초기화할때확인한항목과정확하게일치합니다. 둘이상의페이지를내보내면데이터를내보낼때쿼리가다시실행되어구성요소에서본항목과다를수있습니다. McAfee Enterprise Security Manager 제품안내서 305

306 8 이벤트 ESM 보기 1 보기에서내보내려는구성요소에대해메뉴를클릭한다음 [ 내보내기 ] 를클릭합니다. 2 다음형식중하나를선택합니다. [ 텍스트 ] 데이터를텍스트형식으로내보냅니다. [PDF] 데이터및이미지를내보냅니다. [ 이미지를 PDF 로 ] 이미지만내보냅니다. [CSV] 쉼표로구분되는형식으로목록을내보냅니다. [HTML] 데이터를테이블로내보냅니다. 3 [ 내보내기 ] 페이지에서내보낼데이터를지정합니다. [ 텍스트 ] 또는 [PDF] 를선택한경우현재데이터페이지만또는 1 페이지부터시작해서최대페이지번호까지내보낼수있습니다. [ 이미지를 PDF 로 ] 를선택한경우이미지가생성됩니다. [CSV] 또는 [HTML] 을선택한경우현재데이터페이지또는 1 페이지부터시작해서최대페이지번호까지선택한항목을내보낼수있습니다. 4 [ 확인 ] 을클릭합니다. 내보내기파일이생성되고결과파일을다운로드하라는메시지가표시됩니다. 표 8-26 [ 선택한항목만 ] 내보낼항목을강조표시한다음이을선택합니다. [ 현재페이지만 ] 현재보기에서볼수있는항목을내보냅니다. 내보낸데이터는내보내기를초기화할때표시되는데이터와정확히일치합니다. [ 최대페이지수 ] 내보낼최대페이지수를선택합니다. 데이터를내보낼때쿼리가다시실행되므로구성요소에서본항목과다를수있습니다. 304 페이지의 WHOIS 또는 ASN 조회수행 305 페이지의이벤트레코드에해결케이스 ID 추가 쿼리마법사 ESM 의각보고서또는보기는각구성요소의쿼리설정에따라데이터를수집합니다. 보기또는보고서를추가하거나편집할때포함시키려는쿼리유형, 쿼리, 필드및사용하려는필터를선택하여 [ 쿼리마법사 ] 에서각구성요소의쿼리설정을합니다. 시스템의모든쿼리 ( 사전된쿼리와사용자지정쿼리 ) 가마법사에나열되므로구성요소로수집하려는데이터를선택할수있습니다. 또한쿼리를편집하거나제거하고기존쿼리를복사하여새쿼리를설정하는템플릿으로사용할수있습니다. 307 페이지의쿼리관리 227 페이지의대시보드위젯바인딩 308 페이지의값비교 309 페이지의그래프값비교 309 페이지의보기및보고서에대한스택배포설정 306 McAfee Enterprise Security Manager 제품안내서

307 이벤트 ESM 보기 8 쿼리관리 ESM 은보고서또는보기를추가하거나편집할때 [ 쿼리마법사 ] 에서선택할수있는사전된쿼리와함께제공됩니다. 이러한쿼리에서일부설정을편집하고사용자지정쿼리를추가하고제거할수있습니다. 1 [ 쿼리마법사 ] 에액세스하려면다음중하나를수행합니다. 수행방법... 보기추가 1 보기도구모음에있는 [ 새보기만들기 ] 아이콘을클릭합니다. 2 [ 보기편집도구모음 ] 에서구성요소를보기창으로끌어놓습니다. [ 쿼리마법사 ] 가열립니다. 기존보기편집 1 편집할보기를선택합니다. 2 보기도구모음에있는 [ 현재보기편집 ] 아이콘을클릭합니다. 3 편집하려는구성요소를클릭합니다. 4 [ 속성 ] 창에서 [ 쿼리편집 ] 을클릭합니다. 두번째페이지에서 [ 쿼리마법사 ] 가열립니다. 새보고서의레이아웃설계 1 [ 시스템속성 ] 에서 [ 보고서 ] 를클릭합니다. 2 [ 추가 ] 를클릭합니다. 3 [ 보고서추가 ] 페이지의섹션 5 에서 [ 추가 ] 를클릭합니다. 4 보고서레이아웃섹션에서구성요소를끌어놓습니다. [ 쿼리마법사 ] 가열립니다. 기존보고서의레이아웃편집 1 [ 시스템속성 ] 에서 [ 보고서 ] 를클릭합니다. 2 편집하려는보고서를선택한다음 [ 편집 ] 을클릭합니다. 3 [ 보고서편집 ] 페이지의섹션 5 에서기존레이아웃을선택한다음 [ 편집 ] 을클릭합니다. 4 보고서레이아웃섹션에서구성요소를클릭한다음 [ 속성 ] 섹션에서 [ 쿼리편집 ] 을클릭합니다. 두번째페이지에서 [ 쿼리마법사 ] 가열립니다. 2 [ 쿼리마법사 ] 에서다음중하나를수행합니다. 수행방법... 쿼리추가 1 템플릿으로사용하려는쿼리를선택한다음 [ 복사 ] 를클릭합니다. 2 새쿼리의이름을입력한다음 [ 확인 ] 을클릭합니다. 3 쿼리목록에서추가한쿼리를클릭하고 [ 다음 ] 을클릭합니다. 4 마법사의두번째페이지에서버튼을클릭하여설정을변경합니다. 사용자지정쿼리편집 1 편집하려는사용자지정쿼리를선택한다음 [ 편집 ] 을클릭합니다. 2 마법사의두번째페이지에서버튼을클릭하여설정을변경합니다. 사용자지정쿼리제거제거하려는사용자지정쿼리를선택한다음 [ 제거 ] 를클릭합니다. 3 [ 마침 ] 을클릭합니다. McAfee Enterprise Security Manager 제품안내서 307

308 8 이벤트 ESM 보기 표 8-27 쿼리유형 선택한구성요소에대해사용할수있는쿼리유형을나열합니다. 이벤트, 플로, 기타, 자산및취약성, 위험상태를포함할수있습니다. 스택은 [ 수집비율 ] 또는 [ 평균 ]( 예 : [ 경보당평균심각도 ] 또는 [ 플로당평균기간 ]) 배포쿼리에사용할수없습니다. 쿼리 선택한유형에대해사용할수있는사전된쿼리및사용자지정쿼리를나열합니다. 사용자지정유형을추가한경우이들도포함됩니다. 목록에서사용자지정쿼리를편집, 복사및제거할수있습니다. [ 필드 ] 구성요소에포함된정보를표시합니다. 마법사의두번째페이지에서테이블구성요소에대해이러한설정을변경할수있습니다. 1 [ 필드 ] 를클릭합니다. 2 [ 쿼리필드 ] 에서좌우화살표를사용하여오른쪽의목록에포함시키려는필드를이동합니다. 3 위로및아래로화살표를사용하여테이블에표시하려는순서로필드를놓은다음 [ 확인 ] 을클릭합니다. [ 필터 ] 쿼리에설정된필터값을표시합니다. 마법사의두번째페이지에서쿼리에대해이러한설정을변경할수있습니다. [ 정렬기준 ] 쿼리의결과가나열되는순서를표시합니다. 마법사의두번째페이지에서대부분의쿼리에대해이러한설정을변경할수있습니다. [ 비교 ] 이벤트및플로의시간배포에대해기존필터파일의고유한숫자값을비교하기위한방법을제공합니다. 배포구성요소에서만사용할수있습니다 (" 값비교 " 및 " 그래프값비교 " 참조 ). [ 스택 ] 특정필드와관련된이벤트분포를볼수있도록배포구성요소에막대, 선및영역도표를스택할수있습니다. [CIDR 마스크 ] 그룹 IP 주소에사용되는 CIDR 마스크를추가할수있습니다. 이은 [ 막대도표 ] 구성요소에서 [ 소스 IP] 또는 [ 대상 IP] 쿼리를선택하는경우에만사용할수있습니다. [ 수준 ] 쿼리에대해정규화된 ID 마스크수준을지정할수있습니다 (" 정규화 " 참조 ). [ 정규화된이벤트요약 ] 쿼리를선택하는경우원형도표, 막대도표및목록구성요소에서사용할수있습니다. 306 페이지의쿼리마법사 227 페이지의대시보드위젯바인딩 308 페이지의값비교 309 페이지의그래프값비교 309 페이지의보기및보고서에대한스택배포설정 값비교 배포그래프에는현재그래프의맨위에추가변수를중첩할수있는이있습니다. 이방법으로두값을비교하여쉽게관계 ( 예 : 총이벤트와평균심각도 ) 를표시할수있습니다. 이기능은시간에따른중요한데이터비교를한눈에볼수있도록제공합니다. 또한이기능은결과를하나의배포그래프로결합함으로써큰보기를구성할때화면공간을절약하는데도유용합니다. 비교는선택한쿼리와동일한유형으로제한됩니다. 예를들어이벤트쿼리를선택하면플로또는자산및취약성테이블이아닌이벤트테이블의필드와만비교할수있습니다. 쿼리매개변수를배포도표에적용하면해당쿼리를정상적으로실행합니다. 비교필드가활성화되면보조쿼리가해당데이터에대해동시에실행됩니다. 배포구성요소는동일한그래프에두데이터세트의데이터를표시하지만별개의두세로축을사용합니다. 도표유형 ( 구성요소의오른쪽하단모서리 ) 을변경해도두데이터세트는계속표시됩니다. 308 McAfee Enterprise Security Manager 제품안내서

309 이벤트 ESM 보기 페이지의쿼리마법사 307 페이지의쿼리관리 227 페이지의대시보드위젯바인딩 309 페이지의그래프값비교 309 페이지의보기및보고서에대한스택배포설정 그래프값비교 배포그래프의데이터를선택하는변수와비교할수있습니다. 1 [ 새보기만들기 ] 아이콘또는 [ 현재보기편집 ] 아이콘을선택합니다. 2 [ 배포 ] 아이콘을클릭한다음보기에끌어놓아 [ 쿼리마법사 ] 를엽니다. 3 쿼리유형및쿼리를선택하고 [ 다음 ] 을클릭합니다. 4 [ 비교 ] 를클릭한다음선택한쿼리와비교하려는필드를선택합니다. 5 [ 확인 ] 을클릭한다음 [ 마침 ] 을클릭합니다. 6 구성요소를보기의올바른위치로이동하고다음을수행합니다. 구성요소를기존보기에추가하는경우 [ 저장 ] 을클릭합니다. 새보기를만드는경우 [ 다른이름으로저장 ] 을클릭하고보기의이름을추가합니다. 306 페이지의쿼리마법사 307 페이지의쿼리관리 227 페이지의대시보드위젯바인딩 308 페이지의값비교 309 페이지의보기및보고서에대한스택배포설정 보기및보고서에대한스택배포설정 특정필드와관련된이벤트의배포를볼수있도록보기또는보고서에대한배포구성요소를설정합니다. 구성요소를보기또는보고서에추가하는경우스택에추가할필드를선택할수있습니다. 보기에액세스할때설정을변경하고, 간격을설정하고, 도표유형및상세정보를설정할수있습니다. [ 스택 ] 과 [ 비교 ] 기능을동일한쿼리에서사용할수없습니다. 1 [ 배포 ] 구성요소를보기 (" 사용자지정보기추가 " 참조 ) 또는보고서 (" 보고서레이아웃추가 " 참조 ) 에끌어놓은다음쿼리유형을선택합니다. 스택은 [ 수집비율 ] 또는 [ 평균 ]( 예 : [ 경보당평균심각도 ] 또는 [ 플로당평균기간 ]) 배포쿼리에사용할수없습니다. 2 [ 쿼리마법사 ] 의두번째페이지에서 [ 스택 ] 을클릭한다음을선택합니다. 3 [ 스택 ] 페이지에서 [ 확인 ] 을클릭하고 [ 쿼리마법사 ] 에서 [ 마침 ] 을클릭합니다. 보기가추가됩니다. [ 도표 ] 아이콘을클릭하면설정을변경하고간격및도표유형을설정할수있습니다. McAfee Enterprise Security Manager 제품안내서 309

310 8 이벤트 ESM 보기 표 8-28 [ 막대세그먼트를그룹화할필드기준 ] [ 막대당막대세그먼트수 ] [' 기타 ' 값표시 ] 데이터를기록할필드를선택합니다. 막대에서데이터를보고자하는개별항목수를선택합니다. 예를들어 [ 시그니처 ID] 와 [10] 을선택하는경우선택한기간동안가장많이받은 10 개의시그니처 ID 를각막대에서보여줍니다. 구성요소에 [ 기타 ] 막대를포함시킬지여부를선택합니다. 위의예의경우받은다른시그니처 ID 수를표시합니다. [ 범례표시 ] 범례를보기에포함시킬지여부를선택합니다. 보고서에서는항상포함됩니다. [ 시간간격 ] ( 보기에서 [ 도표 ] 아이콘을클릭할때만사용가능 ) 도표의각막대가나타내려는시간간격을선택합니다. [ 도표 ] ( 보기에서 [ 도표 ] 아이콘을클릭할때만사용가능 ) 도표유형을선택한다음데이터상세정보섹션을보기에표시할지여부를선택합니다. 306 페이지의쿼리마법사 307 페이지의쿼리관리 227 페이지의대시보드위젯바인딩 308 페이지의값비교 309 페이지의그래프값비교 기본보기변경 ESM 콘솔에처음로그온하면기본적으로 [ 기본요약 ] 보기가보기창에나타납니다. 이기본보기를 ESM 에서사전된보기또는사용자지정보기로변경할수있습니다. 1 ESM 콘솔탐색막대에서 [ ] 을클릭한다음 [ 보기 ] 를선택합니다. 2 [ 기본시스템보기 ] 드롭다운목록에서새기본보기를선택한다음 [ 확인 ] 을클릭합니다. 문자열정규화 문자열정규화를사용하여별칭값과연결할수있는문자열값을설정하고문자열정규화값의.csv 파일을가져오거나내보냅니다. 그러면 [ 필터 ] 창의적절한필드옆의문자열정규화아이콘을선택하여문자열및별칭을필터링할수있습니다. John Doe 라는사용자이름문자열의경우, 기본문자열은 John Doe 이고별칭은예를들면 DoeJohn, JDoe, john.doe@gmail.com 및 JohnD 인문자열정규화파일을합니다. 그런다음 [User_Nickname] 필터필드에 John Doe 를입력하고필드옆의문자열정규화필터아이콘을선택하고쿼리를새로고칠수있습니다. 결과보기에서 John Doe 및별칭과관련된모든이벤트를표시하고소스 IP 가일치하지만사용자이름은일치하지않는로그인불일치를확인할수있습니다. 또한이기능을통해권한있는사용자을보고해야하는규정을충족할수있습니다. 310 페이지의문자열정규화파일관리 311 페이지의가져올문자열정규화파일만들기 문자열정규화파일관리 문자열정규화파일을사용하려면먼저 ESM 에추가해야합니다. 310 McAfee Enterprise Security Manager 제품안내서

311 이벤트사용자지정유형필터 8 1 [ 필터 ] 창에서 [ 문자열정규화관리자실행 ] 아이콘을클릭합니다. 2 사용할수있는액션을수행한다음 [ 닫기 ] 를클릭합니다. 표 8-29 [ 추가 ] 정규화된문자열을추가하려면클릭합니다. [ 편집 ] 선택한정규화된문자열을변경합니다. [ 제거 ] 선택한정규화된문자열을삭제합니다. [ 가져오기 ] 별칭의.csv 파일을문자열정규화목록으로가져옵니다 (" 가져올파일만들기 " 참조 ). [ 내보내기 ] 문자열정규화목록에서선택한항목을내보내려면클릭합니다. 이파일은명령을포함하지않습니다. 이파일을가져오려는경우파일의각별칭에명령을추가해야합니다. 310 페이지의문자열정규화 311 페이지의가져올문자열정규화파일만들기 가져올문자열정규화파일만들기 별칭.csv 파일을만드는경우필터로사용할수있도록 [ 문자열정규화 ] 페이지에서해당파일을가져올수있습니다. 1 텍스트또는스프레드시트프로그램에서다음형식을사용하여별칭을입력합니다. 명령, 기본문자열, 별칭 가능한명령은 add( 추가 ), modify( 수정 ) 및 delete( 삭제 ) 입니다. 2.CSV 파일로저장한다음파일을가져옵니다. 310 페이지의문자열정규화 310 페이지의문자열정규화파일관리 사용자지정유형필터 사용자지정유형필드를보기및보고서에대한필터로사용할수있으며사용자지정규칙을만들어가장관련있는데이터를한다음액세스할수있습니다. 이러한사용자지정유형필드에의해생성되는데이터는 [ 이벤트분석 ] 또는 [ 플로분석 ] 보기의 [ 상세정보 ] 섹션에서볼수있습니다. 사용자지정유형을추가, 편집또는제거할뿐만아니라사용자지정유형을내보내고가져올수있습니다. [ 편집 ] 페이지에서이름을변경할수있습니다. 사용자지정데이터유형인경우하위유형설정을변경할수도있습니다. McAfee Enterprise Security Manager 제품안내서 311

312 8 이벤트사용자지정유형필터 사용자지정유형내보내기또는가져오기 사용자지정유형을내보내면모든유형을선택한위치로내보냅니다. 사용자지정유형의파일을가져오면가져온데이터가시스템의현재사용자지정유형을대체합니다. 사용자지정쿼리 보기에대해사용자지정쿼리를설정하면사전된사용자지정유형이쿼리에대한필드를선택할때으로나타납니다. 사용자지정유형을쿼리의필드로추가하면필터역할을합니다. 쿼리하고있는정보에해당사용자지정유형의데이터가없으면쿼리테이블에서결과를반환하지않습니다. 이러한문제가발생하지않도록하려면사용자지정유형을사용하는대신필요한결과를반환하는사용자필드 ( 테이블의 [ 이벤트필드 ] 열에있는사용자지정필드 1-10) 를선택합니다. 예를들어소스사용자데이터가있는경우쿼리결과에해당데이터를포함하려는경우등이있습니다. [ 소스사용자 ] 를쿼리필드로선택하면필터역할을하며, 쿼리하고있는정보에소스사용자데이터가없으면쿼리에서결과를반환하지않습니다. 그러나소스사용자에대한사용자필드로지정되는사용자필드 7 을선택하면필터역할을하지않으며결과테이블에열로나타납니다. 소스사용자데이터가있으면이열에나타납니다. 이필드에대한데이터가없으면사용자필드 7 열은비어있지만다른열은채워집니다. 사용자지정데이터유형 [ 데이터유형 ] 필드에서 [ 사용자지정 ] 을선택하면여러필드로그에서각필드의의미를할수있습니다. 예를들어로그 ( ) 에는세개의필드 (100, , 1) 가있습니다. 사용자지정하위유형에서는이러한필드 ( 정수, 10 진수, 부울 ) 를각각지정할수있습니다. 예 : 초기로그 개의하위유형 Integer decimal boolean 사용자지정하위유형 하위유형에는최대 8 바이트 (64 비트 ) 의데이터가포함될수있습니다. [ 공간사용 ] 에는사용된바이트및비트수가표시됩니다. 최대값을초과하면이필드는빨간색으로표시되어공간을초과했음을나타냅니다. 예를들어공간사용 : 9/8 바이트, 72/64 비트로표시됩니다. 이름 / 값사용자지정유형 [ 이름 / 값그룹 ] 데이터유형을선택하는경우지정하는이름 / 값쌍그룹이포함된사용자지정유형을추가할수있습니다. 그러면이쌍에따라보기및쿼리를필터링하고, 필드일치경보에서사용할수있습니다. 다음은이기능의몇가지특징입니다. 이름 / 값그룹필드는정규표현식으로필터링해야합니다. [ 상관규칙편집기 ] 에서선택할수있도록이쌍을상호연결할수있습니다. 쌍의값부분은 ASP(Advanced Syslog Parser) 를통해서만수집할수있습니다. 이사용자지정유형의최대크기는이름을포함하여 512 자입니다. 이보다더크면수집할때잘립니다. McAfee 이름크기및개수를제한하는것이좋습니다. 이름은세개이상의문자로구성해야합니다. 이름 / 값사용자지정유형은이름을최대 50 개까지가질수있습니다. 이름 / 값그룹의각이름이글로벌필터에서 < 그룹이름 > - < 이름 > 으로표시됩니다. 인덱싱되지않은사용자지정유형의정규표현식형식 인덱싱되지않은문자열및인덱싱된문자열, 임의문자열및해시된문자열사용자지정유형은다음의형식지정을따릅니다. 312 McAfee Enterprise Security Manager 제품안내서

313 이벤트사용자지정유형필터 8 contains(<regular expression>) 구문을사용하거나인덱싱되지않은임의문자열또는해시된문자열필드에값을입력한다음사용자지정유형을필터링할수있습니다. regex() 구문을사용할수있습니다. contains() 에서쉼표로구분된필터를인덱싱되지않은사용자지정유형필드에넣으면 (Tom,John,Steve), 시스템이정규표현식을수행합니다. 포함또는인덱싱되지않은임의문자열또는해시된문자열필드에서쉼표와별표는막대 ( ) 및별표가뒤에붙은마침표 (.*) 역할을합니다. 별표 (*) 같은문자를입력하는경우별표가뒤에붙은마침표 (.*) 로대체됩니다. 정규표현식이잘못되었거나여는괄호또는닫는괄호가누락되면정규표현식이잘못되었음을알리는오류가발생할수있습니다. 인덱싱되지않은문자열및인덱싱된문자열, 임의문자열및해시된문자열사용자지정유형필터필드에서는단일 regex() 또는 contains() 만사용할수있습니다. 이제시그니처 ID 필드에서 contains(< 규칙메시지일부또는모두 >) 및 regex(< 규칙메시지일부 >) 를허용합니다. contains 의공통검색필터는단일값이거나앞뒤에.* 가있는단일값이아닌값입니다. 다음은몇가지공통검색필터입니다. 단일값 정규표현식으로변환되는쉼표로구분된여러값.* 처럼작동하는 * 가포함된 contains 문 regex() 구문을사용할수있는고급정규표현식 "contains 및 regex 필터에대한설명 " 을참조하십시오. 315 페이지의이름 / 값사용자지정유형 313 페이지의사용자지정유형만들기 314 페이지의시간사용자지정유형추가 315 페이지의이름 / 값그룹사용자지정유형추가 314 페이지의사전된사용자지정유형테이블 사용자지정유형만들기 관리자권한이있는경우필터로사용할사용자지정유형을추가합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 사용자지정유형 ] 을클릭합니다. 2 [ 추가 ] 를클릭한다음요청한정보를완성합니다. 3 [ 확인 ] 을클릭하여사용자지정유형을저장합니다. 표 8-30 [ 추가 ] 사용자지정데이터에대한를만듭니다. [ 편집 ] 만들어진사용자지정유형의설정을변경합니다. 사전된사용자지정유형을편집할수없습니다. [ 내보내기 ] 시스템의모든사용자지정유형과관련된파일을내보냅니다. McAfee Enterprise Security Manager 제품안내서 313

314 8 이벤트사용자지정유형필터 표 8-30 ( 계속 ) [ 가져오기 ] 사용자지정유형파일을가져와시스템의기존목록을바꿉니다. [ 제거 ] 만들어진사용자지정유형을삭제합니다. 311 페이지의사용자지정유형필터 315 페이지의이름 / 값사용자지정유형 314 페이지의시간사용자지정유형추가 315 페이지의이름 / 값그룹사용자지정유형추가 314 페이지의사전된사용자지정유형테이블 사전된사용자지정유형테이블 관리자권한이있는경우사용자지정유형테이블 ([ 시스템속성 ] [ 사용자지정유형 ]) 에서사전된사용자지정유형목록을볼수있습니다. 관리자권한이없는경우 Intel 지식센터에사전된사용자지정유형목록을참조하십시오. 311 페이지의사용자지정유형필터 315 페이지의이름 / 값사용자지정유형 313 페이지의사용자지정유형만들기 314 페이지의시간사용자지정유형추가 315 페이지의이름 / 값그룹사용자지정유형추가 시간사용자지정유형추가 시간데이터를저장할수있는사용자지정유형을추가할수있습니다. [ 시간 초정밀도 ] 는시간데이터를초로저장합니다. [ 시간 나노초정밀도 ] 는시간을나노초로저장합니다. 나노초를나타내는 9 개의정밀도값이있는부동소수점숫자가포함됩니다. 이사용자지정유형을추가할때 [ 인덱스 ] 를선택하면필드가쿼리, 보기및필터에서필터로표시됩니다. 이는배포구성요소에나타나지않고데이터강화, 관심목록또는경보에서사용할수없습니다. 1 시스템탐색트리에서시스템을선택한다음 [ 속성 ] 아이콘을클릭한다음 [ 사용자지정유형 ] [ 추가 ] 를클릭합 니다. 2 [ 데이터유형 ] 필드에서 [ 시간 초정밀도 ] 또는 [ 시간 나노초정밀도 ] 를클릭하고나머지정보를입력한다음 [ 확인 ] 을클릭합니다. 311 페이지의사용자지정유형필터 315 페이지의이름 / 값사용자지정유형 313 페이지의사용자지정유형만들기 315 페이지의이름 / 값그룹사용자지정유형추가 314 페이지의사전된사용자지정유형테이블 314 McAfee Enterprise Security Manager 제품안내서

315 이벤트사용자지정유형필터 8 이름 / 값사용자지정유형 이름 / 값사용자지정유형은지정하는이름 / 값쌍그룹으로구성됩니다. 이쌍에따라보기및쿼리를필터링하고 [ 내부이벤트일치 ] 경보에서사용할수있습니다. 다음은이기능의몇가지특징입니다. 이름 / 값그룹필드는정규표현식으로필터링해야합니다. [ 상관규칙편집기 ] 에서선택할수있도록상호연결할수있습니다. 쌍의값부분은 ASP 를통해서만수집할수있습니다. 이사용자지정유형의최대크기는이름을포함하여 512 자입니다. 512 자를초과하는문자는수집할때잘립니다. McAfee 이름크기및개수를제한하는것이좋습니다. 이름은세개이상의문자로구성해야합니다. 이름 / 값사용자지정유형은이름을최대 50 개까지가질수있습니다. 이름 / 값그룹의각이름이글로벌필터에서 < 그룹이름 > - < 이름 > 으로표시됩니다. 311 페이지의사용자지정유형필터 313 페이지의사용자지정유형만들기 314 페이지의시간사용자지정유형추가 315 페이지의이름 / 값그룹사용자지정유형추가 314 페이지의사전된사용자지정유형테이블 이름 / 값그룹사용자지정유형추가 이름 / 값쌍그룹을추가하는경우이쌍에따라보기및쿼리를필터링하고 [ 내부이벤트일치 ] 경보에서사용할수있습니다. 1 시스템탐색트리에서시스템을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 사용자지정유형 ] 을클릭한다음 [ 추가 ] 를클릭합니다. 3 [ 데이터유형 ] 필드에서 [ 이름 / 값그룹 ] 을클릭하고나머지정보를입력한다음 [ 확인 ] 을클릭합니다. 311 페이지의사용자지정유형필터 315 페이지의이름 / 값사용자지정유형 313 페이지의사용자지정유형만들기 314 페이지의시간사용자지정유형추가 314 페이지의사전된사용자지정유형테이블 UCF 및 Windows 이벤트 ID 필터추가 규정컴플라이언스를어렵게만드는요인중하나가끊임없이변하는규특성입니다. UCF(Unified Compliance Framework) 는각규사양을표준화된제어 ID 에매핑하는조직입니다. 규정이변경되면이러한 ID 가업데이트되고 ESM 으로푸시됩니다. 컴플라이언스 ID 또는 Windows 이벤트 ID 로필터링하여필요한컴플라이언스또는특정하위구성요소를선택할수있습니다. McAfee Enterprise Security Manager 제품안내서 315

316 8 이벤트 McAfee Active Response 검색 수행방법... UCF 필터추가 1 [ 필터 ] 창에서 [ 컴플라이언스 ID] 필드옆의필터아이콘을클릭합니다. 2 필터로사용하려는컴플라이언스값을선택한다음 [ 확인 ] [ 쿼리실행 ] 을클릭합니다. Windows 이벤트 ID 필터추가 1 [ 시그니처 ID] 옆의필터아이콘을클릭합니다. 2 [ 필터변수 ] 에서 [Windows] 탭을선택합니다. 3 텍스트필드에 Windows 이벤트 ID( 쉼표로구분 ) 를입력하거나목록에서필터기준으로사용할값을선택합니다. 293 페이지의보기필터링 294 페이지의보기필터링 295 페이지의정규화된 ID 선택 McAfee Active Response 검색 McAfee Active Response 가엔드포인트에가시성및유용한정보를계속제공하므로위반이발생하면식별할수있습니다. 이를통해보안전문가가현재보안상황을쿼리하고, 위협탐지를개선하며, 상세한분석및포렌식조사를수행할수있습니다. Active Response 가 ESM 에추가한 McAfee epo 장치에확장으로설치된경우 ESM 에서 Active Response 검색을실행할수있습니다. 검색을실행하면현재엔드포인트데이터목록이생성되어다음을수행할수있습니다. 검색결과목록보기 검색결과로채워진데이터보강소스추가 검색결과로채워진관심목록만들기 검색데이터내보내기 기존관심목록에 Active Response 검색데이터추가 검색은 DXL 을통해전송되므로 McAfee epo 속성의 [ 연결 ] 페이지에서활성화되어있어야합니다 ("Active Response 검색실행 " 참조 ). ESM 에서 Active Response 를사용하는경우다음사항을유의해야합니다. DXL 은 HA 수신기에서지원되지않습니다. 검색날짜형식은 T23:10:14.263Z 이며 ESM 날짜형식으로변환되지않습니다. 데이터를관심목록에추가하는경우데이터의유효성을검사하지않습니다. 즉, 형식이일치하지않는데이터를관심목록에추가할수있습니다. 316 페이지의 Active Response 검색실행 317 페이지의 Active Response 검색결과관리 319 페이지의 Active Response 관심목록추가 Active Response 검색실행 ESM 에서 Active Response 검색을실행할수있습니다. 검색을실행하면검색조건에충족하는현재엔드포인트데이터목록이생성됩니다. 시작하기전에 Active Response 가있는 McAfee epo 장치를 ESM 에추가합니다. 316 McAfee Enterprise Security Manager 제품안내서

317 이벤트 McAfee Active Response 검색 8 1 검색하려면 McAfee epo 장치를설정해야합니다. a ESM 콘솔에서 McAfee epo [ 속성 ] 을클릭한다음 [ 연결 ] 을클릭합니다. b [DXL 사용 ] 이선택되었고 [ 에이전트웨이크업포트 ] 가지정 ( 기본값 8081) 되었는지확인합니다. 2 ESM 콘솔에서 [ 표 ] 구성요소를사용하는보기 ( 예 : [ 이벤트분석 ]) 를선택합니다. 3 이벤트를클릭한다음구성요소에서 [ 메뉴 ] 아이콘을클릭합니다. 4 [ 액션 ] [Active Response 검색실행 ] 을선택한다음사전된검색유형을선택합니다. 설명 이름, MD5 또는 SHA-1 의전체파일정보소스및대상 IP 주소에대한파일상세정보 ( 예 : OS, 이름 ) 를나열합니다. 사용자상세정보검색사용자에대한상세정보를나열합니다. 원본 IP 주소및시간의프로세스정보연결된장치에대한소스 IP 주소프로세스상세정보를나열합니다. 대상 IP 주소및시간의프로세스정보연결된장치에대한대상 IP 주소프로세스상세정보를나열합니다. IP 주소용 CurrentFlow 동일한소스또는대상 IP 주소로연결된장치를나열합니다. 표에검색을위한적절한필드가없는경우검색유형이회색으로표시됩니다. 데이터가검색되어 [Active Response 상세정보 ] 페이지에나열됩니다. 316 페이지의 McAfee Active Response 검색 317 페이지의 Active Response 검색결과관리 319 페이지의 Active Response 관심목록추가 Active Response 검색결과관리 Active Response 검색을실행한후생성된데이터를관리하기위해수행할수있는액션이있습니다. 시작하기전에 Active Response 검색결과를확인해야합니다 ("Active Response 검색실행 " 참조 ). 1 Active Response[ 상세정보 ] 페이지 ("Active Response 검색실행 " 참조 ) 에서표의행을검색한다음 [ 메뉴 ] 아이콘을클릭합니다. 2 중하나를선택합니다. [ 다음에서새관심목록만들기 ] 드롭다운목록에서선택한열에서관심목록을만듭니다. 표에서둘이상의행을선택할수있습니다. McAfee Enterprise Security Manager 제품안내서 317

318 8 이벤트 McAfee Active Response 검색 [ 다음에서관심목록에추가 ] 기존관심목록에선택한열의값을추가합니다. 표에서둘이상의행을선택할수있습니다. 이표에서선택한데이터의유효성은검사되지않습니다. [ 내보내기 ] - 현재표를 CSV 파일로내보냅니다. Active Response[ 검색 ] 선택한행의데이터에서다른 Active Response 검색을수행합니다. 결과가반환되면새결과가현재데이터집합을대체합니다. 표 8-31 액션 표 Active Response 검색결과를나열합니다 ("Active Response 검색실행 " 참조 ). [ 메뉴 ] 아이콘 [ 다음에서새관심목록만들기 ] [ 다음에서관심목록에추가 ] 선택한열에서값의새정적관심목록을만듭니다 ("Active Response 검색결과관리 " 참조 ). 여러행을선택할수있습니다. 선택한기존관심목록에선택한열의값을추가합니다 ("Active Response 검색결과 " 참조 ). 여러행을선택할수있습니다. 이표에서선택한데이터의유효성은검사되지않습니다. [ 내보내기 ] 데이터를.csv 파일로내보냅니다. [Active Response 검색 ] 316 페이지의 McAfee Active Response 검색 316 페이지의 Active Response 검색실행 317 페이지의 Active Response 검색결과관리 319 페이지의 Active Response 관심목록추가 표에서선택한행에서다른 Active Response 검색을수행합니다. 결과가있으면새데이터가현재데이터를대체합니다. Active Response 데이터보강소스추가 Active Response 가 ESM 에추가한 McAfee epo 장치에설치되면 Active Response 검색결과로채워진데이터보강소스를추가할수있습니다. 시작하기전에 Active Response 확장이있는 McAfee epo 장치를 ESM 에추가합니다. 1 시스템탐색트리에서시스템을클릭한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 데이터보강 ] 을클릭한다음 [ 추가 ] 를클릭합니다. 3 [ 기본 ] 탭에서요청된정보를완료합니다. 4 [ 소스 ] 탭의 [ 유형 ] 필드에서 Active Response 를선택한다음요청된정보를입력합니다. 5 나머지탭의정보를완료한다음 [ 마침 ] 을클릭합니다. 소스가추가되고지정된데이터가 Active Response 데이터로보강됩니다. ESM 이 DXL 을통해 Active Response 수집기를꺼내지못하면 Active Response 유형이나열되지않습니다. 318 McAfee Enterprise Security Manager 제품안내서

319 이벤트 McAfee Active Response 검색 8 Active Response 관심목록추가 Active Response 가 ESM 에추가된 McAfee epo 장치에설치되면 Active Response 검색결과로채워진동적관심목록을설정할수있습니다. 시작하기전에 Active Response 확장이있는 McAfee epo 장치를 ESM 에추가합니다. 1 시스템탐색트리에서시스템을클릭한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 관심목록 ] 을클릭한다음 [ 추가 ] 를클릭합니다. 3 [ 기본 ] 탭을완료하고 [ 동적 ] 을선택합니다. 4 [ 소스 ] 탭의 [ 유형 ] 필드에서 Active Response 를선택한다음요청된정보를입력합니다. 5 나머지탭의정보를완료한다음 [ 마침 ] 을클릭합니다. 관심목록이추가되고 Active Response 검색에서지정된데이터를수집합니다. ESM 이 DXL 을통해 Active Response 수집기를꺼내지못하면 Active Response 유형이나열되지않습니다. 316 페이지의 McAfee Active Response 검색 316 페이지의 Active Response 검색실행 317 페이지의 Active Response 검색결과관리 McAfee Enterprise Security Manager 제품안내서 319

320 8 이벤트 McAfee Active Response 검색 320 McAfee Enterprise Security Manager 제품안내서

321 9 9 케이스 관리 ESM 케이스관리자를사용하여항목을할당및추적하고네트워크이벤트와관련된티켓을지원합니다. 이기능에액세스하려면사용자가 [ 케이스관리사용자 ] 권한이활성화된그룹에속해야합니다. 다음다섯가지방법으로케이스를추가합니다. [ 케이스관리 ] 보기에서 경보를설정할때추가 [ 케이스 ] 창에서이벤트에연결하지않고추가 트리거된경보통보에서추가 [ 이벤트분석 ] 보기에서이벤트에연결하여추가 목차 케이스추가이벤트에서케이스만들기기존케이스에이벤트추가케이스편집또는닫기케이스세부정보보기케이스상태수준추가이메일케이스모든케이스보기케이스관리보고서생성 케이스추가 네트워크이벤트의결과로생성된을추적하는첫번째단계는케이스를케이스관리시스템에추가하는것입니다. 1 [ 케이스 ] 창에서 [ 케이스추가 ] 아이콘을클릭합니다. 2 요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 케이스가해당케이스가할당된사용자의 [ 케이스 ] 창에추가됩니다. [ 케이스이메일로보내기 ] 를선택하면이메일도전송됩니다 (" 케이스이메일로보내기 " 참조 ). McAfee Enterprise Security Manager 제품안내서 321

322 9 케이스관리이벤트에서케이스만들기 322 페이지의이벤트에서케이스만들기 322 페이지의기존케이스에이벤트추가 324 페이지의케이스편집또는닫기 325 페이지의케이스세부정보보기 326 페이지의케이스상태수준추가 327 페이지의이메일케이스 327 페이지의모든케이스보기 328 페이지의케이스관리보고서생성 이벤트에서케이스만들기 [ 이벤트분석 ] 보기에서이벤트를추적하려면사례를만듭니다. 그러면워크플로추적이활성화됩니다. 1 보기목록에서 [ 이벤트보기 ] [ 이벤트분석 ] 을클릭합니다. 2 이벤트를클릭하고메뉴아이콘을클릭한다음 [ 액션 ] [ 새케이스만들기 ] 를클릭합니다. 3 요청한정보를입력한다음 [ 확인 ] 을클릭하여케이스를저장합니다. 새케이스는 [ 메시지 ] 테이블의이벤트데이터를포함합니다. 321 페이지의케이스추가 322 페이지의기존케이스에이벤트추가 324 페이지의케이스편집또는닫기 325 페이지의케이스세부정보보기 326 페이지의케이스상태수준추가 327 페이지의이메일케이스 327 페이지의모든케이스보기 328 페이지의케이스관리보고서생성 기존케이스에이벤트추가 이벤트에대한응답으로수행한액션을추적하려면하나이상의이벤트를기존케이스에추가합니다. 1 보기창의보기목록에서 [ 이벤트보기 ] 를선택한다음 [ 이벤트분석 ] 을클릭합니다. 2 이벤트를선택하고다음중하나를수행합니다. [ 케이스또는해결에이벤트할당 ] 아이콘을클릭하고 [ 케이스에이벤트추가 ] 를선택합니다. [ 메뉴 ] 아이콘을클릭하고 [ 액션 ] 을강조표시한다음 [ 케이스에이벤트추가 ] 를클릭합니다. 3 케이스를선택하고 [ 추가 ] 를클릭합니다. [ 케이스상세정보 ] 페이지의 [ 메시지 ] 테이블에이벤트 ID 가나열되어있습니다. 322 McAfee Enterprise Security Manager 제품안내서

323 케이스관리기존케이스에이벤트추가 9 4 [ 확인 ] 을클릭한다음 [ 닫기 ] 를클릭합니다. 표 9-1 [ 요약 ] 케이스에대한간략한설명요약입니다. [ 케이스 ] 창에표시됩니다. 최대 255 자를입력합니다. [ 케이스 ID] 케이스가추가된다음케이스에제공된시스템에서생성한고유한숫자입니다. 이숫자는변경할수없습니다. [ 피할당자 ] 케이스가할당된사용자또는그룹입니다. 케이스관리권한이있는모든사용자및사용자그룹을나열합니다 (" 사용자그룹설정 " 참조 ). 목록에서사용자또는그룹을선택합니다. [ 가져오기 ] 이케이스를사용자자신에게재할당하려면클릭합니다. [ 심각도 ] 케이스의심각도입니다 = 녹색 = 파란색 = 노란색 = 밤색 = 빨간색 이케이스의심각도수준을선택합니다. [ 조직 ] ( 선택사항 ) 케이스가할당된조직입니다. [ 조직 ] 을클릭한다음 [ 추가 ] 를클릭하여조직을추가할수있습니다. [ 상태 ] 케이스의상태입니다. 케이스관리자는 [ 열림 ]( 기본값 ) 과 [ 닫힘 ] 의두가지상태가제공됩니다. 케이스를할당할수있는상태를더많이추가하려면 [ 상태 ] 를클릭한다음 [ 추가 ] 를클릭하고요청한정보를입력합니다. [ 만든날짜 ] 케이스가만들어진날짜입니다. [ 마지막업데이트날짜 ] 케이스가변경된마지막시간입니다. [ 참고 ] 케이스에대한변경사항과취한액션및추가한참고를기록합니다. 케이스를추가한후다음액션및변경사항이자동으로이섹션에기록됩니다. 열린케이스 닫힌케이스 요약에대한변경사항 케이스가재할당됨 심각도가변경됨 조직이변경됨 이벤트가변경됨 참고에는취한액션유형또는변경사항, 날짜및시간, 사용자의이름이포함됩니다. 변경한경우기존값및새값을표시합니다. 예 : :39 에변경된심각도이전 : 저위험현재 : 고위험 [ 기록 ] 케이스에액세스한사용자를나열합니다. [ 메시지 ] 테이블 [ 케이스이메일로보내기 ] 케이스와연결된이벤트를나열합니다. 이벤트상세정보를보려면테이블에서이벤트를클릭한다음 [ 상세정보표시 ] 를클릭합니다. 지정한주소에케이스를이메일로보낼수있습니다. McAfee Enterprise Security Manager 제품안내서 323

324 9 케이스관리케이스편집또는닫기 321 페이지의케이스추가 322 페이지의이벤트에서케이스만들기 324 페이지의케이스편집또는닫기 325 페이지의케이스세부정보보기 326 페이지의케이스상태수준추가 327 페이지의이메일케이스 327 페이지의모든케이스보기 328 페이지의케이스관리보고서생성 케이스편집또는닫기 [ 케이스관리관리자 ] 권한이있는경우시스템에서케이스를수정할수있습니다. [ 케이스관리사용자 ] 권한이있는경우할당된케이스만수정할수있습니다. 1 다음방법중하나로 [ 케이스상세정보 ] 에액세스합니다. 유형... 수행방법... 할당된케이스 1 [ 케이스 ] 창에서케이스를선택합니다. 2 [ 케이스편집 ] 아이콘을클릭합니다. 할당되지않은케이스 1 [ 케이스 ] 창에서 [ 열린케이스관리 ] 아이콘을클릭합니다. 2 수정할케이스를선택합니다. 3 보기하단에있는 [ 케이스편집 ] 아이콘을클릭합니다. 2 [ 상태 ] 필드에서케이스를닫거나설정을편집합니다. 3 [ 확인 ] 을클릭하여변경사항을저장합니다. 변경사항은 [ 케이스세부정보 ] 페이지의 [ 참고 ] 섹션에기록됩니다. 케이스를닫으면 [ 케이스 ] 창에더이상나타나지않지만상태가 [ 닫힘 ] 으로변경되어 [ 케이스관리 ] 목록에남아있습니다. 321 페이지의케이스추가 322 페이지의이벤트에서케이스만들기 322 페이지의기존케이스에이벤트추가 325 페이지의케이스세부정보보기 326 페이지의케이스상태수준추가 327 페이지의이메일케이스 327 페이지의모든케이스보기 328 페이지의케이스관리보고서생성 324 McAfee Enterprise Security Manager 제품안내서

325 케이스관리케이스세부정보보기 9 케이스세부정보보기 케이스에대한액션을취합니다. 시작하기전에관리자권한이있거나케이스관리권한이있는액세스그룹에속해있는지확인합니다. 1 대시보드에서을클릭하고 [ 검사패널 ] 을선택합니다. 열린케이스에대한요약이대시보드왼쪽에표시됩니다. 2 드롭다운화살표를사용하여보려는케이스를확장하고 [ 케이스관리에서보기 ] 를클릭합니다. [ 케이스관리 ] 보기가열리고시스템의모든케이스가나열됩니다. 3 [ 참고 ] 및 [ 소스이벤트 ] 탭의데이터를검토합니다. 4 자세한내용을보려면케이스를두번클릭한다음 [ 케이스상세정보 ] 페이지의정보를검토합니다. 표 9-2 [ 요약 ] 케이스에대한간략한설명요약입니다. [ 케이스 ] 창에표시됩니다. 최대 255 자를입력합니다. [ 케이스 ID] 케이스가추가된다음케이스에제공된시스템에서생성한고유한숫자입니다. 이숫자는변경할수없습니다. [ 피할당자 ] 케이스가할당된사용자또는그룹입니다. 케이스관리권한이있는모든사용자및사용자그룹을나열합니다 (" 사용자그룹설정 " 참조 ). 목록에서사용자또는그룹을선택합니다. [ 가져오기 ] 이케이스를사용자자신에게재할당하려면클릭합니다. [ 심각도 ] 케이스의심각도입니다 = 녹색 = 파란색 = 노란색 = 밤색 = 빨간색 이케이스의심각도수준을선택합니다. [ 조직 ] ( 선택사항 ) 케이스가할당된조직입니다. [ 조직 ] 을클릭한다음 [ 추가 ] 를클릭하여조직을추가할수있습니다. [ 상태 ] 케이스의상태입니다. 케이스관리자는 [ 열림 ]( 기본값 ) 과 [ 닫힘 ] 의두가지상태가제공됩니다. 케이스를할당할수있는상태를더많이추가하려면 [ 상태 ] 를클릭한다음 [ 추가 ] 를클릭하고요청한정보를입력합니다. [ 만든날짜 ] 케이스가만들어진날짜입니다. [ 마지막업데이트날짜 ] 케이스가변경된마지막시간입니다. McAfee Enterprise Security Manager 제품안내서 325

326 9 케이스관리케이스상태수준추가 표 9-2 ( 계속 ) [ 참고 ] 케이스에대한변경사항과취한액션및추가한참고를기록합니다. 케이스를추가한후다음액션및변경사항이자동으로이섹션에기록됩니다. 열린케이스 닫힌케이스 요약에대한변경사항 케이스가재할당됨 심각도가변경됨 조직이변경됨 이벤트가변경됨 참고에는취한액션유형또는변경사항, 날짜및시간, 사용자의이름이포함됩니다. 변경한경우기존값및새값을표시합니다. 예 : :39 에변경된심각도이전 : 저위험현재 : 고위험 [ 기록 ] 케이스에액세스한사용자를나열합니다. [ 메시지 ] 테이블 [ 케이스이메일로보내기 ] 케이스와연결된이벤트를나열합니다. 이벤트상세정보를보려면테이블에서이벤트를클릭한다음 [ 상세정보표시 ] 를클릭합니다. 지정한주소에케이스를이메일로보낼수있습니다. 321 페이지의케이스추가 322 페이지의이벤트에서케이스만들기 322 페이지의기존케이스에이벤트추가 324 페이지의케이스편집또는닫기 326 페이지의케이스상태수준추가 327 페이지의이메일케이스 327 페이지의모든케이스보기 328 페이지의케이스관리보고서생성 케이스상태수준추가 케이스관리자는 [ 열림 ] 과 [ 닫힘 ] 의두가지상태수준으로제공됩니다. 케이스를할당할수있는다른상태를추가할수있습니다. 1 [ 케이스 ] 창에서 [ 열린케이스관리 ] 아이콘을클릭합니다. 2 [ 케이스관리 ] 보기의맨아래도구모음에서 [ 케이스관리설정 ] 아이콘을클릭한다음 [ 추가 ] 를클릭합니다. 3 상태의이름을입력한다음이상태를새케이스의기본값으로할것인지선택합니다. 4 이상태의케이스를 [ 케이스 ] 창에표시할지선택한다음 [ 확인 ] 을클릭합니다. 326 McAfee Enterprise Security Manager 제품안내서

327 케이스관리이메일케이스 페이지의케이스추가 322 페이지의이벤트에서케이스만들기 322 페이지의기존케이스에이벤트추가 324 페이지의케이스편집또는닫기 325 페이지의케이스세부정보보기 328 페이지의케이스관리보고서생성 이메일케이스 케이스가추가되거나다시할당될때마다케이스가할당되는사람또는그룹에게자동으로이메일메시지를보내도록시스템을설정할수있습니다. 시작하기전에 [ 케이스관리관리자 ] 권한이있어야합니다. 또한케이스통보를이메일로수동으로보내고여기에케이스참고및이벤트상세정보를포함할수도있습니다. 수행방법... 자동으로케이스이메일로보내기 1 [ 케이스 ] 창에서 [ 열린케이스관리 ] 아이콘을클릭합니다. 2 [ 케이스관리설정 ] 아이콘을클릭합니다. 3 [ 케이스가할당되면이메일보내기 ] 를선택한다음 [ 닫기 ] 를클릭합니다. 사용자의이메일주소는 ESM 에있어야합니다 (" 사용자설정 " 참조 ). 수동으로기존케이스이메일보내기 1 [ 케이스 ] 창에서이메일로보내려는케이스를선택한다음 [ 케이스편집 ] 아이콘을클릭합니다. 2 [ 케이스세부정보 ] 에서 [ 케이스이메일보내기 ] 를클릭한다음 [ 보낸사람 ] 및 [ 받는사람 ] 필드를입력합니다. 3 참고를포함하고이벤트세부정보의 CSV 파일을첨부할지여부를선택합니다. 4 이메일메시지에포함하려는참고사항을입력한다음 [ 보내기 ] 를클릭합니다. 321 페이지의케이스추가 322 페이지의이벤트에서케이스만들기 322 페이지의기존케이스에이벤트추가 324 페이지의케이스편집또는닫기 325 페이지의케이스세부정보보기 328 페이지의케이스관리보고서생성 모든케이스보기 현재열려있든지닫혀있든지관계없이시스템의모든케이스를관리합니다. 시작하기전에관리자권한이있거나케이스관리권한이있는액세스그룹에속해있는지확인합니다. McAfee Enterprise Security Manager 제품안내서 327

328 9 케이스관리케이스관리보고서생성 1 대시보드에서을클릭하고 [ 검사패널 ] 을선택합니다. 열린케이스에대한요약이대시보드왼쪽에표시됩니다. 2 드롭다운화살표를사용하여보려는케이스를확장하고 [ 케이스관리에서보기 ] 를클릭합니다. [ 케이스관리 ] 보기가열리고시스템의모든케이스가나열됩니다. 3 다음중하나를수행합니다. 방법... 케이스추가보기맨아래에있는도구모음에서 [ 케이스추가 ] 아이콘을클릭합니다. 선택한케이스를보거나편집합니다. 보기맨아래에있는도구모음에서 [ 케이스편집 ] 아이콘을클릭합니다. 선택한케이스이메일로보내기보기맨아래에있는도구모음에서 [ 케이스이메일로보내기 ] 아이콘을클릭합니다. 케이스가추가되거나변경되는경우이메일을보내도록케이스설정 케이스에사용가능한상태추가또는편집 선택한케이스에대한참고, 기록및소스이벤트보기 보기맨아래에있는도구모음에서 [ 케이스관리설정 ] 아이콘을클릭합니다. [ 케이스관리설정 ] 아이콘을클릭하고 [ 추가 ], [ 편집 ] 또는 [ 삭제 ] 를클릭합니다. [ 참고 ], [ 기록 ] 또는 [ 소스이벤트 ] 를클릭합니다. [ 소스이벤트 ] 를클릭하면 [ 소스이벤트상세정보 ] 탭이열립니다. 탭이표시되지않거나탭이표시되지만탭을숨기려는 경우보기의맨아래에있는도구모음에서 [ 소스이벤트상세정보보기 ] 아이콘을클릭합니다. [ 기록 ] 탭에는사용자가케이스를볼때마다기록됩니다. 동일한사용자가 5 분내에두번이상케이스를보면매번레코드가업데이트되지않습니다. [ 소스이벤트 ] 열변경 [ 소스이벤트 ] 탭을클릭한다음 [ 소스이벤트탭에서표시가능한열편집 ] 을클릭합니다. 케이스필터링 [ 필터 ] 창에서케이스를필터링할데이터를선택하거나입력한다음 [ 쿼리실행 ] 아이 콘다. 321 페이지의케이스추가 322 페이지의이벤트에서케이스만들기 322 페이지의기존케이스에이벤트추가 324 페이지의케이스편집또는닫기 325 페이지의케이스세부정보보기 328 페이지의케이스관리보고서생성 을클릭합니다. 케이스목록이필터조건에맞는케이스만표시되도록바뀝니 케이스관리보고서생성 ESM 에서는 6 가지케이스관리보고서를사용할수있습니다. 328 McAfee Enterprise Security Manager 제품안내서

329 케이스관리케이스관리보고서생성 9 1 [ 시스템속성 ] 페이지에서 [ 보고서 ] [ 추가 ] 를클릭합니다. 2 섹션 1, 2 및 3 을완료합니다. 3 섹션 4 에서 [CSV 쿼리 ] 를선택합니다. 4 섹션 5 에서실행할케이스관리보고서를선택합니다. [ 케이스관리요약 ] 케이스 ID 번호, 케이스에할당된심각도, 해당상태, 케이스가할당된사용자, 케이스가할당된조직 ( 있는경우 ), 케이스가추가된날짜및시간, 케이스가업데이트된날짜및시간 ( 있는경우 ), 케이스요약을포함합니다. [ 케이스관리세부정보 ] [ 케이스관리요약 ] 보고서의모든정보, 케이스에연결된이벤트의 ID 번호, 케이스의참고섹션에포함된정보를포함합니다. [ 케이스해결시간 ] 상태변경사이에걸리는시간길이를표시합니다 ( 예 : [ 열림 ] 시간스탬프와 [ 닫힘 ] 시간스탬프사이의차이 ). 기본적으로 [ 케이스 ID] 번호별로 [ 닫힘 ] 상태및심각도, 조직, [ 만든날짜 ], 마지막업데이트, 요약및시간차이와함께케이스를나열합니다. [ 피할당자별케이스 ] 사용자또는그룹에할당된케이스수를포함합니다. [ 조직별케이스 ] 조직별케이스수를포함합니다. [ 상태별케이스 ] 상태유형별케이스수를포함합니다. 5 섹션 6 을완료한다음 ("contain 및 regex 필터 " 에대한설명참조 ) [ 저장 ] 을클릭합니다. 보고서가저장되고 [ 보고서 ] 목록에추가됩니다. 321 페이지의케이스추가 322 페이지의이벤트에서케이스만들기 322 페이지의기존케이스에이벤트추가 324 페이지의케이스편집또는닫기 325 페이지의케이스세부정보보기 326 페이지의케이스상태수준추가 327 페이지의이메일케이스 327 페이지의모든케이스보기 McAfee Enterprise Security Manager 제품안내서 329

330 9 케이스관리케이스관리보고서생성 330 McAfee Enterprise Security Manager 제품안내서

331 10 자산관리자 자산관리자는자산을탐색하고, 수동으로만들고, 가져올수있는중앙위치를제공합니다. 목차 [ 자산관리자 ] 작동방식자산소스취약성평가소스를관리영역관리자산, 위협및위험평가알려진위협관리 [ 자산관리자 ] 작동방식 [ 자산관리자 ] 는자산을탐색하고, 수동으로만들고, 가져올수있는중앙위치를제공합니다. [ 자산 ] 탭에서하나이상의자산을포함하는그룹을만들수있습니다. 전체그룹에서다음을수행할수있습니다. 그룹에있는모든자산의특성을변경합니다. 이변경은영구적이아닙니다. 자산을변경된그룹에추가하는경우이전설정을자동으로상속하지않습니다. 끌어놓기을사용합니다. 필요한경우그룹의이름을바꿉니다. 자산그룹을통해자산태그지정에서사용할수없는방식으로자산을범주화할수있습니다. 예를들어캠퍼스의각빌딩에대한자산그룹을만들려는경우입니다. 자산은 IP 주소와태그모음으로구성됩니다. 태그는자산이실행되는운영체제및자산이담당하는서비스모음을설명합니다. 자산태그는다음두가지방법중한가지로됩니다. 시스템이자산을검색하는경우 사용자가자산을추가하거나편집하는경우 시스템이태그를설정하는경우태그가변경되면자산이검색될때마다업데이트됩니다. 사용자가태그를설정하는경우태그가변경되어도자산이검색될때시스템에서태그를업데이트하지않습니다. 자산의태그를추가하거나편집하지만자산이검색될때시스템에서업데이트되도록하려면 [ 재설정 ] 을클릭합니다. 태그설정을변경할때마다이액션을완료해야합니다. 구성관리는 PCI, HIPPA 및 SOX 와같은표준컴플라이언스규일부입니다. 라우터및스위치의구성에수행한변경사항을모니터링할수있으므로시스템취약성을방지할수있습니다. ESM 에서구성관리기능을사용하여다음을수행할수있습니다. 장치가폴링되어야하는빈도를설정합니다. 구성을확인할탐색장치를선택합니다. McAfee Enterprise Security Manager 제품안내서 331

332 10 자산관리자 [ 자산관리자 ] 작동방식 장치의기본값으로검색된구성파일을식별합니다. 구성데이터를보고, 데이터를파일에다운로드하고, 두장치의구성정보를비교합니다. 목차 자산관리이전자산 자산관리 자산은 IP 주소를가진네트워크의장치입니다. 자산만들기, 태그변경, 자산그룹만들기, 자산소스추가또는자산그룹에자산할당을수행할수있습니다. 또한취약성평가공급업체중하나에서알게된자산을조작할수있습니다. 시작하기전에 관리자권한이있거나장치관리권한이있는액세스그룹에속해있는지확인합니다. 1 대시보드에서을클릭하고 [ 자산관리자 ] 를선택합니다. 2 [ 자산 ] 탭을선택해야합니다. 3 필요에따라자산을관리한다음 [ 확인 ] 을클릭합니다. 표 10-1 [ 자산트리보기 ] [ 정렬가능한단순한 자산목록보기 ] 트리형식으로자산을나열합니다. 정렬가능한단순한목록으로자산을나열합니다. [ 새 ] [ 그룹 ] 자산그룹을추가하려면클릭합니다. 그룹의이름을입력하고중요도를선택합니다. [ 새 ] [ 자산 ] 자산을추가하려면클릭합니다. [ 새 ] [ 필터그룹추가 ] 자산필터그룹을추가하려면클릭합니다. 이은이항목이자산트리에처음으로추가되는항목이거나기존그룹을강조표시하는경우에만액세스할수있습니다. [ 파일 ] [ 파일에서가져오기 ] [ 파일 ] [ 파일로내보내기 ] 자산목록에서선택한위치에.csv 파일을가져오려면클릭합니다. 다음과같이.csv 파일에자산데이터의형식이지정됩니다. Hostname, IPAddress, Mask, ZoneName, UsrSeverity, UseCalcSeverity, TagCount, TagGroupName:TagName 현재보유한 ((TagCount) 태그마다한개의 TagGroupName:TagName 을추가합니다. 각자산은고유한줄에있어야합니다. 선택한자산파일을내보내려면클릭합니다. [ 편집 ] [ 수정 ] 선택한자산또는자산그룹을변경하려면클릭합니다. [ 편집 ] [ 위험계산에서사용 ] 또는 [ 위험계산에서무시 ] 엔터프라이즈에대한전체위험을계산할때사용할자산을선택하려면자산을선택한후다음중하나를클릭합니다. [ 위험계산에서사용 ] 이기본설정입니다. [ 편집 ] [ 삭제 ] 선택한그룹또는자산을삭제하려면클릭합니다. 그룹을선택한경우그룹과해당자산을삭제할것인지또는그룹만삭제할것인지묻습니다. 그룹만선택하는경우자산은 [ 미할당 ] 폴더에재할당됩니다. 332 McAfee Enterprise Security Manager 제품안내서

333 자산관리자 [ 자산관리자 ] 작동방식 10 표 10-1 ( 계속 ) [ 도구 ] [DEM 데이터베이스서버만들기 ] [ 도구 ] [ 수신기데이터소스만들기 ] 자산을선택하고시스템의 DEM 장치에데이터베이스서버로추가합니다. 자산을선택하고시스템의수신기에데이터소스로추가합니다. [ 태그지정 ] 해당속성을하고필터로작동하게하려면태그를선택한자산에추가합니다. 표 10-2 [ 이름 ] 이자산의이름을입력합니다. [ IP 주소 ] 이자산의 IP 주소를입력합니다. [MAC 주소 ] ( 선택사항 ) 이자산의 MAC 주소를입력합니다. [GUID] ( 선택사항 ) 이자산의글로벌고유식별자를입력합니다. [ 운영체제 ] ( 선택사항 ) 이자산의운영체제를선택합니다. [ 영역 ] 이자산의영역을선택합니다. 영역이자산또는자산그룹에할당된경우해당영역에대한권한이없는사용자는해당자산에액세스할수없습니다. [ 중요도 ] 이자산이엔터프라이즈에중요한정도를선택합니다 (1 = 가장낮은중요도, 100 = 가장높은중요도 ). 중요도및위협의심각도는엔터프라이즈에대한전체이벤트심각도를계산하는데사용됩니다. 태그테이블이자산의태그를선택합니다. [ 새범주태그 ] [ 새태그 ] [ 태그편집 ] [ 태그제거 ] 표 10-3 새범주를태그목록에추가합니다. 범주의이름을입력하고이벤트심각도계산에서이범주를사용하려는경우선택합니다. 새태그를추가합니다. 태그의이름을입력하고이벤트심각도계산에서이태그를사용하려는경우선택합니다. 편집하려는태그또는범주를선택한다음이아이콘을클릭합니다. 삭제할사용자지정태그또는범주를선택한다음이아이콘을클릭합니다. [ 이름 ] 필터자산그룹의이름을입력합니다. [IP 주소 / 마스크 ] 이그룹의 IP 주소 / 마스크를입력합니다. [ 영역 ] 이그룹을영역에할당하려면하나를선택합니다. 필요한영역이나열되지않는경우 [ 영역 ] 를클릭하고추가합니다. [ 중요도 ] 이그룹의중요도수준을선택합니다. 이설정으로자산이에중요한정도를나타냅니다. 태그목록 이그룹에필터로적용되는태그를선택합니다. 하나이상의자산태그존재를기반으로필터그룹을할수있습니다. 설정되지않은태그는자산이가져야하는배타적태그세트를하지않습니다. 자산은다른태그를가지면서여전히필터그룹의구성원일수있습니다. [ 새범주태그 ] 범주를태그목록에추가합니다. 범주의이름을입력하고이벤트심각도계산에서이범주를사용하려는경우선택합니다. [ 새태그 ] 태그를추가합니다. 태그의이름을입력하고이벤트심각도계산에서이태그를사용하려는경우선택합니다. McAfee Enterprise Security Manager 제품안내서 333

334 10 자산관리자 [ 자산관리자 ] 작동방식 표 10-3 ( 계속 ) [ 태그편집 ] [ 태그제거 ] 편집하려는태그또는범주를선택한다음이아이콘을클릭합니다. 삭제할사용자지정태그또는범주를선택한다음이아이콘을클릭합니다. 표 10-4 [ 이자산의중요도사용 ] [ 전체계산된중요도사용 ] 이벤트심각도를계산할때할당한자산중요도를항상사용하려는경우이을선택합니다. 이벤트심각도를계산할때가장큰중요도값을항상사용하려는경우이을선택합니다. 이을선택하고 [ 중요도 ] 필드의비율을변경한경우 [ 계산 ] 및 [ 그룹 ] 버튼이활성화됩니다. [ 계산 ] [ 계산 ] 필드에추가된전체심각도를계산하려면클릭합니다. [ 그룹 ] 이자산이속한그룹목록및각그룹의중요도를보려면클릭합니다. [ 재설정 ] 이자산에대해시스템에서자동으로태그가설정되게하려면클릭합니다. 335 페이지의자산소스관리 336 페이지의취약성평가소스를관리 342 페이지의알려진위협관리 334 페이지의이전자산 이전자산 [ 자산관리자 ] 의 [ 이전자산 ] 그룹에서한시간에탐지되지않은자산을저장할수있습니다. 1 [ 자산관리자 ] 빠른실행아이콘을클릭합니다. 2 [ 자산 ] 탭의자산목록에서 [ 이전자산 ] 그룹을두번클릭합니다. 3 자산을 [ 이전자산 ] 폴더로옮겨야되기전에자산이마지막으로탐지된이후의기간 ( 일 ) 을선택한다음 [ 확인 ] 을선택합니다. 332 페이지의자산관리 334 McAfee Enterprise Security Manager 제품안내서

335 자산관리자자산소스 10 자산소스 [Active Directory]( 있는경우 ) 에서데이터를검색하거나, [ 자산소스 ] 를사용하여 Altiris 서버에서데이터를검색할수있습니다. [Active Directory] 를통해 [ 소스사용자 ] 또는 [ 대상사용자 ] 보기쿼리필터필드에서검색된사용자또는그룹을선택하여이벤트데이터를필터링할수있습니다. 이를통해 PCI 와같은요구사항에컴플라이언스데이터를제공하는능력이향상됩니다. Altiris 및 [Active Directory] 는 IP 주소로컴퓨터등의자산을검색하고자산테이블에추가합니다. Altiris 에서자산을검색하려면 Altiris 관리콘솔에 [ 자산관리자 ] 권한이있어야합니다. [Active Directory] 는일반적으로 IP 주소정보를저장하지않습니다. [Active Directory] 에서이름을가져오면시스템이주소에대해쿼리하기위해 DNS 를사용합니다. 컴퓨터의주소를찾을수없는경우 [ 자산 ] 테이블에추가되지않습니다. 이러한이유로시스템의 DNS 서버가 [Active Directory] 컴퓨터의 DNS 정보를포함해야합니다. IP 주소를 [Active Directory] 에추가할수있습니다. 그렇게하는경우시스템이 DNS 를쿼리하지않고해당 IP 주소를사용하도록컴퓨터개체에서 networkaddress 특성을수정합니다. 335 페이지의자산소스관리 자산소스관리 Active Directory 또는 Altiris 서버에서데이터를검색합니다. 1 [ 자산관리자 ] 빠른실행아이콘을클릭한다음 [ 자산소스 ] 탭을클릭합니다. [ 자산소스 ] 트리에시스템에있는 ESM 및수신기와해당하는현재자산소스가표시됩니다. ESM 은자산소스를한개가질수있으며수신기는여러개의자산소스를가질수있습니다. 2 장치를선택한다음사용가능한액션중하나를선택합니다. 표 10-5 테이블시스템및현재자산소스에서 ESM 및수신기를봅니다. [ 추가 ] 새자산소스를 ESM 또는수신기중하나에추가합니다. [ 편집 ] 선택한자산소스를변경합니다. [ 제거 ] 선택한자산소스를삭제합니다. [ 검색 ] 지금데이터를검색합니다. [ 쓰기 ] 자산소스설정을변경한경우장치에변경사항을쓰려면클릭합니다. 표 10-6 [ 활성화됨 ] 자동검색을활성화하려면선택합니다. 선택하지않는경우여전히 [ 자산소스 ] 페이지에서 [ 검색 ] 을클릭하여수동으로데이터를검색할수있습니다. 선택된경우 [ 데이터검색 ] 필드에서지정된간격으로데이터가검색됩니다. [ 유형 ] Active Directory 또는 Altiris 자산소스인경우선택합니다. [ 이름 ] 자산소스의이름을입력합니다. McAfee Enterprise Security Manager 제품안내서 335

336 10 자산관리자취약성평가소스를관리 표 10-6 ( 계속 ) [ 영역 ] 데이터소스를할당하려면영역을선택합니다. [ 우선순위 ] [ 취약성평가 ] 또는 [ 네트워크탐색 ] 과동시에자산을발견하는경우이자산소스가가질우선순위를선택합니다. [IP 주소 ] 이자산소스의 IP 주소를입력합니다. [ 포트 ] 이자산소스의포트를선택합니다. [TLS 사용 ] 또는 [SSL 사용 ] 데이터의암호화프로토콜을사용하려면선택합니다. Active Directory 는 TLS 를사용합니다. Altiris 는 SSL 을사용합니다. [ 사용자이름 ] 자산소스에액세스하는데필요한사용자이름을입력합니다. [ 암호 ] 자산소스에액세스하는데필요한암호를입력합니다. [ 검색기반 ] Active Directory 의경우자산검색을시작하려는개체의고유이름을입력합니다 (dc=mcafee,dc=com). 프록시정보 Altiris 의경우 IP 주소, 수신하는포트, 프록시사용자이름, 프록시서버의암호를입력합니다. [ 데이터검색 ] 자동으로데이터를검색하려면빈도를선택합니다. [ 연결 ] Altiris 서버에대한연결을테스트하려면클릭합니다. 표 10-7 [ 장치 ] 변경사항이적용되는장치를나열합니다. [ 상태 ] 각장치의프로세스상태를표시합니다. 332 페이지의자산관리 336 페이지의취약성평가소스를관리 342 페이지의알려진위협관리 335 페이지의자산소스 취약성평가소스를관리 [ 취약성평가 ] 를사용하여다양한 VA 공급업체에서데이터를검색할수있습니다. 원하는 VA 소스와통신하려면소스를시스템에추가해야합니다. 소스가시스템에추가되면 VA 데이터를검색할수있습니다. 1 [ 자산관리자 ] 빠른실행아이콘을클릭한다음 [ 취약성평가 ] 탭을클릭합니다. 2 VA 소스를추가, 편집, 제거또는검색하고장치에씁니다. 3 [ 확인 ] 을클릭합니다. 336 McAfee Enterprise Security Manager 제품안내서

337 자산관리자영역관리 10 표 10-8 [ 장치 ] 제거되고있는장치를나열합니다. [ 상태 ] 제거되고있는각장치의프로세스상태를표시합니다. 335 페이지의자산소스관리 332 페이지의자산관리 342 페이지의알려진위협관리 영역관리 영역은네트워크의장치및데이터소스를범주화하는데사용할수있습니다. 이를통해생성한장치및이벤트를지리적위치및 IP 주소별로관련된그룹으로구성할수있습니다. 예를들어동해안과서해안에사무실이있고각사무실에서생성한이벤트를함께그룹화하려는경우두영역을추가하고이벤트를각영역에그룹화하려는장치를할당합니다. 특정 IP 주소별로각사무실의이벤트를그룹화하려면각영역에하위영역을추가합니다. 337 페이지의영역관리 338 페이지의영역추가 339 페이지의영역설정내보내기 339 페이지의영역설정가져오기 340 페이지의하위영역추가 영역관리 영역에서지리적위치또는 ASN 별로장치및데이터소스를범주화할수있습니다. 개별적으로또는다른시스템에서내보낸파일을가져와서영역을추가하고장치또는데이터소스를영역에할당해야합니다. 1 [ 자산관리자 ] 빠른실행아이콘을클릭한다음 [ 영역관리 ] 를선택합니다. 2 영역또는하위영역추가, 기존영역을편집하거나제거또는영역설정을가져오거나내보냅니다. 3 변경사항을롤아웃한다음 [ 확인 ] 을클릭합니다. 표 10-9 [ 영역추가 ] 새영역을 ESM 에추가합니다. [ 하위영역추가 ] 하위영역을선택한영역에추가하여 IP 주소로분류합니다. [ 편집 ] 선택한영역또는하위영역의설정을변경합니다. [ 제거 ] 선택한영역또는하위영역을삭제합니다. [ 가져오기 ] 영역파일또는장치를다른 ESM 에서내보낸영역할당파일로가져옵니다. McAfee Enterprise Security Manager 제품안내서 337

338 10 자산관리자영역관리 표 10-9 ( 계속 ) [ 내보내기 ] ESM 에서영역설정을내보냅니다. [ 롤아웃 ] ESM 에대한변경사항을롤아웃합니다. 표 열선택변경사항을롤아웃하려는장치를선택합니다. [ 장치 ] 열시스템의장치를봅니다. [ 상태 ] 열각장치의롤아웃상태를봅니다. 337 페이지의영역관리 338 페이지의영역추가 339 페이지의영역설정내보내기 339 페이지의영역설정가져오기 340 페이지의하위영역추가 영역추가 영역관리의첫번째단계는장치및데이터소스를범주화하는데사용되는영역을추가하는것입니다. [ 영역추가 ] 기능을사용하여개별적으로추가하거나다른시스템에서내보낸파일을가져올수있습니다. 영역이추가되면필요할때설정을편집할수있습니다. 1 [ 자산관리자 ] 빠른실행아이콘을클릭한다음 [ 영역관리 ] 를클릭합니다. 2 요청한정보를입력하고장치를영역에할당한다음 [ 확인 ] 을클릭합니다. 표 [ 이름 ] 이영역의이름을입력합니다. [ 기본영역할당으로사용 ] 이영역할당이해당하위영역중하나에속하지않는, 이영역에할당된장치에서생성된이벤트의기본값이되도록하려면선택합니다. [ 지리적위치 ] 이영역의경계를하기위해지리적위치를사용하려면 [ 필터 ] 아이콘을클릭한다음이영역에포함시키려는위치를선택합니다. [ASN] 인터넷에서각네트워크를고유하게식별하는 ASN 을사용하여이영역의경계를하려면이필드에숫자를입력합니다. [ 할당된장치 ] 이영역에할당하려는장치를선택합니다. 337 페이지의영역관리 337 페이지의영역관리 339 페이지의영역설정내보내기 339 페이지의영역설정가져오기 340 페이지의하위영역추가 338 McAfee Enterprise Security Manager 제품안내서

339 자산관리자영역관리 10 영역설정내보내기 다른 ESM 에가져올수있도록 ESM 에서영역설정을내보낼수있습니다. 1 [ 자산관리자 ] 아이콘을클릭한다음 [ 영역관리 ] 를클릭합니다. 2 [ 내보내기 ] 를클릭한다음내보내려는파일유형을선택합니다. 3 [ 확인 ] 을클릭하고지금다운로드할파일을선택합니다. 표 [ 영역파일내보내기 ] 상위영역과해당하위영역뿐만아니라해당설정에대한모든세부정보가포함된파일을내보냅니다. [ 영역할당파일로장치내보내기 ] 장치및장치가할당된영역이포함된파일을내보냅니다. 337 페이지의영역관리 337 페이지의영역관리 338 페이지의영역추가 339 페이지의영역설정가져오기 340 페이지의하위영역추가 영역설정가져오기 이가져오기기능을통해영역파일을그대로가져오거나데이터를편집한다음가져올수있습니다. 시작하기전에 ESM 에가져올수있도록다른 ESM 에서영역설정파일을내보냅니다. 1 가져오려는영역설정파일을엽니다. 이파일이영역파일가져오기인경우 8 개의열 ( 명령, 영역이름, 상위이름, 지리적위치, ASN, 기본값, IPStart 및 IPStop) 이있습니다. 영역할당파일로장치가져오기인경우 3 개의열 ( 명령, 장치이름및영역이름 ) 이있습니다. 2 [ 명령 ] 열에명령을입력하여가져올때각줄에수행할액션을지정합니다. add 줄의데이터를있는그대로가져옵니다. edit ( 영역파일에서만사용가능 ) 데이터를변경하여데이터를가져옵니다. 하위영역의범위를변경하려면기존범위를제거한다음변경된영역의범위를추가합니다. 직접편집할수는없습니다. remove ESM 에서이줄과일치하는영역을삭제합니다. 3 변경사항을저장한다음파일을닫습니다. 4 [ 자산관리자 ] 빠른실행아이콘을클릭한다음 [ 영역관리 ] 탭을클릭합니다. McAfee Enterprise Security Manager 제품안내서 339

340 10 자산관리자영역관리 5 [ 가져오기 ] 를클릭한다음가져오기유형을선택합니다. 6 [ 확인 ] 을클릭한다음가져올파일을찾고 [ 업로드 ] 를클릭합니다. 파일에서오류가탐지되면시스템에서알려줍니다. 7 오류가있는경우파일에서필요한대로수정하고다시시도합니다. 8 변경사항을롤아웃하여장치를업데이트합니다. 표 [ 영역파일가져오기 ] 상위영역과해당하위영역뿐만아니라해당설정에대한모든상세정보가포함된파일을가져옵니다. 하위영역의범위를변경하려면기존범위를제거한다음변경된영역의범위를추가합니다. 직접편집할수는없습니다. [ 영역할당파일로장치가져오기 ] 장치및장치가할당된영역이포함된파일을가져옵니다. 337 페이지의영역관리 337 페이지의영역관리 338 페이지의영역추가 339 페이지의영역설정내보내기 340 페이지의하위영역추가 하위영역추가 영역을추가한다음하위영역을추가하여 IP 주소별로장치및이벤트를추가로범주화할수있습니다. 시작하기전에 [ 영역관리 ] 탭에서영역을추가합니다. 1 [ 자산관리자 ] 빠른실행아이콘을클릭한다음 [ 영역관리 ] 탭을클릭합니다. 2 영역을선택한다음 [ 하위영역추가 ] 를클릭합니다. 3 요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 표 [ 이름 ] 이하위영역의이름을입력합니다. [ 설명 ] 이하위영역의설명을입력합니다. [ 범위 ] 테이블 이하위영역의 IP 주소범위를봅니다. [ 추가 ] IP 주소범위및이범위의지리적위치또는 ASN 정보를추가합니다. 340 McAfee Enterprise Security Manager 제품안내서

341 자산관리자자산, 위협및위험평가 10 표 ( 계속 ) [ 편집 ] 선택한범위를변경합니다. [ 제거 ] 선택한범위를삭제합니다. 표 [ 시작 IP ] 및 [ 끝 IP] 이범위의시작및끝 IP 주소를입력합니다. [ 지리적위치 ] 이범위가기본값이아닌다른지리적위치를갖도록하려면이필드에서재지리적위치를선택합니다. [ASN] 이범위가기본값이아닌다른 ASN 을갖도록하려면이필드에서재 ASN 을입력합니다. 337 페이지의영역관리 337 페이지의영역관리 338 페이지의영역추가 339 페이지의영역설정내보내기 339 페이지의영역설정가져오기 자산, 위협및위험평가 시스템의 McAfee Threat Intelligence Services(MTIS) 및취약성평가소스가알려진위협목록을생성합니다. 이러한위협의심각도및각자산의중요도는엔터프라이즈의위험수준을계산하는데사용됩니다. 자산관리자 자산을 [ 자산관리자 ](" 자산관리 " 참조 ) 에추가하는경우중요도수준을할당합니다. 이설정으로자산이에중요한정도를나타냅니다. 예를들어엔터프라이즈설정을관리하는한개의시스템이있는상태에서백업이없다면해당시스템의중요도는높습니다. 하지만설정을관리하는시스템이두개이고각각백업이있다면중요도수준은상대적으로낮습니다. [ 자산 ] 탭의 [ 편집 ] 메뉴에서엔터프라이즈에대한위험계산에자산을사용또는무시할지선택할수있습니다. 위협관리 [ 자산관리자 ] 의 [ 위협관리 ] 탭은알려진위협목록, 해당심각도, 공급업체및위험계산시위협사용여부를표시합니다. 특정위협을사용하거나사용하지않도록설정하여위험계산에사용하거나사용하지않을수있습니다. 또한목록에서위협에대한상세정보를볼수있습니다. 이러한상세정보에는사용할수있는대응조치및위협처리를위한권장사항이포함되어있습니다. 사전된보기 3 개의사전된보기 ("ESM 보기 " 참조 ) 는자산, 위협및위험데이터를요약하고표시합니다. [ 자산위협요약 ] 위험점수및위협수준, 위험별위협수준에따라상위자산을표시합니다. [ 최근위협요약 ] 공급업체, 위험, 자산및사용가능한보호제품별로최신위협을표시합니다. [ 취약성요약 ] 위협및자산별로취약성을표시합니다. 이러한보기의개별항목에대한상세정보는구성요소메뉴에서액세스할수있습니다. McAfee Enterprise Security Manager 제품안내서 341

342 10 자산관리자알려진위협관리 사용자지정보기 필요한데이터를표시하는사용자지정보기를설정할수있도록이 [ 쿼리마법사 ] 에추가되었습니다 (" 사용자지정보기추가 " 참조 ). [ 계기판제어 ] 및 [ 개수 ] 구성요소에서평균엔터프라이즈위험및총엔터프라이즈위험점수를표시할수있습니다. [ 원형도표 ], [ 막대도표 ] 및 [ 목록 ] 구성요소에서위험에노출된자산, 제품위협보호, 자산별위협, 위험별위협및공급업체별위협을표시할수있습니다. [ 표 ] 구성요소에서자산, 최신위협, 위험점수별상위자산및위험점수별상위위협을표시할수있습니다. 알려진위협관리 위험계산에서사용할알려진위협을선택합니다. 각위협에는심각도등급이있습니다. 자산에대한이등급및중요도등급은시스템에대한위협의전체심각도를계산하는데사용됩니다. 1 ESM 콘솔에서 [ 자산관리자 ] 빠른실행아이콘을클릭합니다. 2 [ 위협관리 ] 탭을클릭하여알려진위협목록을표시합니다. 3 알려진위협을선택하고다음중하나를수행합니다. [ 위협상세정보 ] 를클릭하여위협에대한상세정보를봅니다. [ 위험계산 ] 열에 [ 예 ] 가표시되었지만위험계산에사용하지않으려는경우 [ 비활성화 ] 를클릭합니다. [ 위험계산 ] 열에 [ 아니오 ] 가표시되었지만위험계산에사용하려는경우 [ 활성화 ] 를클릭합니다. 4 [ 확인 ] 을클릭합니다. 335 페이지의자산소스관리 336 페이지의취약성평가소스를관리 332 페이지의자산관리 342 McAfee Enterprise Security Manager 제품안내서

343 11 정책및규칙관리 정책템플릿및규칙을만들고적용하고봅니다. 목차 정책편집기이해정책트리정책트리에서정책관리데이터베이스감사추적의규칙및보고서설정정규화규칙유형및속성기본정책설정규칙태그를규칙또는자산에할당집합설정수정다운로드된규칙의액션재심각도가중치정책변경기록보기정책변경사항적용패킷복사활성화 정책편집기이해 [ 정책편집기 ] 를통해정책템플릿을만들고개별정책을사용자지정할수있습니다. 장치의정책템플릿및정책설정은그상위에서값을상속할수있습니다. 상속을통해간소성및용이성수준을유지하면서장치에적용되는정책설정을무한대로구성할수있습니다. 모든장치와함께추가된각정책에는 [ 정책트리 ] 의항목이있습니다. FIPS 모드에서중인경우규칙서버를통해규칙을업데이트하지마십시오. 대신수동으로업데이트합니다 (" 규칙업데이트확인 " 참조 ). McAfee 규칙서버에서사전값또는사용법이포함된모든규칙, 변수및전처리기를유지관리합니다. [ 기본정책 ] 은이러한 McAfee 에서유지관리하는설정에서해당값및설정을상속하고다른모든정책의출발점입니다. 다른모든정책및장치에대한설정은기본적으로 [ 기본정책 ] 에서해당값을상속합니다. 편집기를열려면 [ 정책편집기 ] 아이콘을클릭하거나탐색트리의시스템또는장치노드를선택합니다. 그런다음액 션도구모음에서 [ 정책편집기 ] 아이콘을클릭합니다. McAfee Enterprise Security Manager 제품안내서 343

344 11 정책및규칙관리정책트리 1 메뉴막대 4 규칙표시 2 이동경로탐색창 5 태그검색필드 3 규칙유형창 6 필터 / 태그지정창 [ 규칙유형 ] 창에나열된규칙유형은시스템탐색트리에서선택한장치유형에따라다릅니다. 이동경로탐색창에서선택한정책계층을표시합니다. 현재정책을변경하려면이동경로탐색창에서정책이름을클릭합니다. 그런다음 이동경로탐색창에서화살표를클릭하여정책의하위항목을표시합니다. 또는 [ 정책트리 ] 아이콘을클릭합니다. [ 정책트리 ] 의메뉴에는정책에수행할수있는이나열됩니다. [ 규칙유형 ] 창에서유형을선택하면해당유형의모든규칙이규칙표시섹션에나열됩니다. 열에는각규칙에대해조정할수있는특정규칙매개변수가나열됩니다 ([ 변수 ] 및 [ 전처리기 ] 제외 ). 현재설정을클릭하고목록에서새설정을선택하면설정을변경할수있습니다. [ 필터 / 태그지정 ] 창에서 [ 정책편집기 ] 에표시된규칙을필터링합니다. 그런다음기준에맞는규칙만보거나규칙에태그를추가하여해당기능을할수있습니다. 344 페이지의정책트리 349 페이지의규칙유형및속성 345 페이지의정책트리에서정책관리 395 페이지의정책변경사항적용 정책트리 [ 정책트리 ] 는시스템에서정책및장치를나열합니다. [ 정책트리 ] 를통해다음을수행할수있습니다. 344 McAfee Enterprise Security Manager 제품안내서

345 정책및규칙관리정책트리에서정책관리 11 특정정책또는장치의세부사항보기로이동합니다. 이름으로정책또는장치찾기 시스템에정책추가 정책이름바꾸기, 삭제, 복사, 복사및바꾸기, 가져오기또는내보내기 정책또는장치의순서변경 아이콘 설명 정책장치가동기화되지않음장치가준비됨장치가최신상태임 343 페이지의정책편집기이해 349 페이지의규칙유형및속성 345 페이지의정책트리에서정책관리 395 페이지의정책변경사항적용 정책트리에서정책관리 [ 정책트리 ] 에서액션을수행하여시스템에서정책을관리합니다. 시작하기전에관리자권한이있거나정책관리권한이있는액세스그룹에속해있는지확인합니다. 1 대시보드에서을클릭하고 [ 정책편집기 ] 를선택합니다. 2 ESM 콘솔에서 [ 정책편집기 ] 아이콘을클릭한다음 [ 정책트리 ] 아이콘을클릭합니다. 3 다음중하나를수행합니다. 수행방법... 정책규칙보기 정책을다른정책의하위로설정 정책을두번클릭합니다. 규칙이 [ 정책편집기 ] 의규칙표시섹션에나열되어있습니다. 하위를선택한다음상위에끌어놓습니다. 장치만정책으로끌어놓을수있습니다. 정책또는장치찾기 검색필드에이름을입력합니다. 정책추가 1 정책을추가하려는정책을선택한다음 [ 정책트리메뉴항목 ] 아이콘을클릭합니다. 2 [ 새로만들기 ] 를클릭하고정책의이름을입력한다음 [ 확인 ] 을클릭합니다. McAfee Enterprise Security Manager 제품안내서 345

346 11 정책및규칙관리정책트리에서정책관리 수행방법... 정책이름바꾸기 1 이름을바꾸려는정책을선택한다음 [ 정책트리메뉴항목 ] 아이콘을클릭합니다. 2 [ 이름바꾸기 ] 를클릭하고새이름을입력한다음 [ 확인 ] 을클릭합니다. 정책삭제 1 삭제하려는정책을선택한다음 [ 정책트리메뉴항목 ] 아이콘을클릭합니다. 2 [ 삭제 ] 를클릭한다음확인페이지에서 [ 확인 ] 을클릭합니다. 정책복사 1 복사하려는정책을선택한다음 [ 정책트리메뉴항목 ] 아이콘을클릭합니다. 2 [ 복사 ] 를클릭하고새정책의이름을입력한다음 [ 확인 ] 을클릭합니다. 정책에장치이동 정책복사및바꾸기 1 이동해야하는장치를선택한다음 [ 정책트리메뉴항목 ] 아이콘을클릭합니다. 2 [ 이동 ] 을강조표시한다음장치를이동하려는정책을선택합니다. 1 복사하려는정책을선택하고 [ 정책트리메뉴항목 ] 아이콘을클릭한다음 [ 복사및바꾸기 ] 를선택합니다. 2 [ 정책선택 ] 에서바꾸려는정책을선택합니다. 3 [ 확인 ] 을클릭한다음 [ 예 ] 를클릭합니다. 복사한정책설정이바꾼정책에적용되지만이름은동일하게유지됩니다. 정책가져오기 가져오기는현재선택한장치아래에서발생합니다. 1 트리에서새정책을가져올수준을선택하고 [ 정책트리메뉴항목 ] 아이콘을클릭한다음 [ 가져오기 ] 를선택합니다. 2 가져오려는파일을찾아업로드합니다. 오류메시지가나타나는경우솔루션은 " 정책가져오기문제해결 " 을참조하여문제를해결합니다. 3 사용할가져오기을선택한다음 [ 확인 ] 을클릭합니다. 정책내보내기 1 내보낼정책을선택합니다. 내보내기에는계층에서선택한노드와상위노드가포함됩니다. 사용자지정설정을사용하는표준규칙이나사용자지정규칙만내보내므로 [ 내보내기 ] 을활성화하려면이러한규칙하나이상을선택해야합니다. 2 [ 메뉴 ] 를클릭한다음 [ 내보내기 ] 를선택합니다. 3 사용할내보내기을선택하고 [ 확인 ] 을클릭한다음내보낸정책파일을저장할위치를선택합니다. 4 [ 정책트리 ] 를닫으려면정책이나장치를두번클릭하거나닫기아이콘을클릭합니다. 표 11-1 메뉴막대 이동경로탐색막대 이막대의항목에서커서를실행하고사용가능한을선택합니다. 선택한규칙또는규칙유형에따라이변경됩니다. [ 정책트리 ] 아이콘을클릭하면 ESM 의모든정책목록이열립니다. 이동경로목록에할정책이표시됩니다. [ 규칙유형 ] 창규칙표시창에서해당유형의규칙을보려면이창의규칙유형을클릭합니다. 346 McAfee Enterprise Security Manager 제품안내서

347 정책및규칙관리정책트리에서정책관리 11 표 11-1 ( 계속 ) 규칙표시창 규칙표시창의열또는메뉴막대에서사용할수있는액션중하나를수행하거나창의하단에서설명을보려면규칙을클릭합니다. 태그검색필드검색할태그의이름을입력한다음가능한일치항목목록에서태그를선택합니다. [ 필터 / 태그지정 ] 창 [ 경보만들기 ] 아이콘 [ 심각도가중치 ] 아이콘 [ 정책변경기록보기 ] 아이콘 [ 필터 ] 탭에서규칙표시창의규칙을사전순으로또는시간에따라정렬하고목록에서필터링하면선택한조건을충족하는해당규칙만볼수있습니다. [ 태그 ] 탭에서, 규칙표시창에서선택한규칙에태그를추가하면태그에따라규칙을필터링할수있습니다. 사용자지정태그및태그범주를추가, 편집및제거할수있습니다. 선택한규칙에따라이벤트가생성될때알리도록경보를추가합니다. 이벤트심각도를계산할때사용할수있도록자산, 태그, 규칙및취약성에대한심각도를설정합니다. 현재정책에수행한변경사항목록을보고내보냅니다. [ 설정 ] 아이콘경보전용모드및초과구독모드의설정을하고 McAfee 서버에서규칙을업데이트하고정책트리에서장치의업데이트상태요약을봅니다. [ 롤아웃 ] 아이콘 ESM 에정책변경사항을롤아웃합니다. 표 11-2 [ 선택한정책덮어쓰기 ( 이름제외 ) ] [ 선택한정책의하위정책으로삽입 ] 선택하면정책설정을정책트리의현재선택한항목으로가져옵니다. 여러장치를가져오는경우첫번째정책이선택한정책을덮어쓰고모든후속정책이현재노드의하위로삽입되어그계층관계를그대로유지합니다. 이은선택한정책의이름을변경하지않습니다. 선택하면정책을정책트리의현재선택한항목의하위로가져옵니다. 여러정책을가져오는경우모든정책이현재노드에대한하위로삽입되고해당하는계층관계를그대로유지합니다. [ 기존규칙덮어쓰기 ] 선택하면기존규칙을삭제하고가져오는정책의일부인규칙으로덮어씁니다. [ 충돌이있으면새규칙만들기 ] [ 기존규칙이있으면규칙건너뛰기 ] 선택하면두규칙을모두유지하여가져온규칙에대해새 ID 를만듭니다. 선택하면기존규칙을유지하고충돌규칙을가져오지않습니다. [ 정책가져오기 ] 클릭하면정책가져오기를시작합니다. 표 11-3 [ 내보내기방법설정 ] 이내보내기의일부로사용자지정규칙및변수를포함할것인지여부를선택합니다. 사용자지정변수에대한사용자지정규칙의종속가능성으로인해, 사용자지정변수를내보내지않으면사용자지정규칙도내보낼수없습니다. 현재내보내기에대해원하는액션에가장잘맞는사용자지정규칙및변수을선택합니다. [ 고급 ] 내보낼정책수준을선택하려면클릭합니다. [ 현재정책내보내기 ] 해당하는모든계층과함께정책을내보내려면선택합니다. 그러면병합되며이는설정이한수준의정책으로압축된다는의미로, 가장직접적인정책설정이항목기준에따라어떤항목에대해우선권이있습니다. 예를들어장치를선택한경우, 선택한정책위의두정책을모두내보냅니다. 해당하는하위의상위를내보내려는경우하위를선택해야합니다. 또한파일을한정책수준으로압축하는경우선택한정책의설정이상위정책설정보다우선합니다. McAfee Enterprise Security Manager 제품안내서 347

348 11 정책및규칙관리데이터베이스감사추적의규칙및보고서설정 표 11-3 ( 계속 ) [ 상위정책의설정이없는현재정책 ] [ 상위정책이포함된현재정책 ] 선택한정책의설정만내보내려면선택합니다. 선택한정책및해당하는모든상위를계층구조를변경하지않고내보내려면선택합니다. 343 페이지의정책편집기이해 344 페이지의정책트리 349 페이지의규칙유형및속성 395 페이지의정책변경사항적용 데이터베이스감사추적의규칙및보고서설정 [ 권한있는사용자감사추적 ] 보고서를통해데이터베이스에서수정한사항의감사추적을보거나특정데이터베이스이벤트와관련된테이블또는데이터베이스에대한액세스를추적할수있습니다. 이보고서를생성하기위한매개변수가설정되면각이벤트와관련된감사추적을표시하는컴플라언스보고서알림을받습니다. 감사추적이벤트를생성하려면 [ 데이터액세스 ] 규칙및 [ 권한있는사용자감사추적 ] 보고서를추가해야합니다. 1 [ 정책편집기 ] 의 [ 규칙유형 ] 창에서, [DEM] [ 데이터액세스 ] 를선택합니다. 2 규칙표시창에서 [DEM 템플릿규칙 IP 범위에서신뢰할수있는사용자액세스 ] 를강조표시합니다. 3 [ 편집 ] [ 복사 ] 를클릭한다음 [ 편집 ] [ 붙여넣기 ] 를클릭합니다. 4 새규칙의이름및속성을변경합니다. a 새규칙을강조표시한다음 [ 편집 ] [ 수정 ] 을선택합니다. b 규칙의이름을입력한다음사용자이름을입력합니다. c [ 신뢰할수없음 ] 액션유형을선택한다음 [ 확인 ] 을클릭합니다. 5 [ 롤아웃 ] 아이콘을클릭합니다. 6 보고서설정 : a [ 시스템속성 ] 에서 [ 보고서 ] [ 추가 ] 를클릭합니다. b 섹션 1 3 및 6 을입력합니다. c 섹션 4 에서 [ 보고서 PDF] 또는 [ 보고서 HTML] 을선택합니다. d 섹션 5 에서 [ 컴플라이언스 ] [SOX] [ 권한있는사용자감사추적 ( 데이터베이스 )] 를선택합니다. e [ 저장 ] 을클릭합니다. 7 보고서를생성하려면 [ 지금실행 ] 을클릭합니다. 348 McAfee Enterprise Security Manager 제품안내서

349 정책및규칙관리정규화 11 정규화 규칙은각공급업체에서이름을지정하고설명합니다. 그결과동일한규칙유형이종종다른이름을가지게되어, 발생하는이벤트유형의정보를수집하기가어려워집니다. 이벤트가유용한범주로그룹화될수있도록 McAfee 에서규칙을설명하는정규화된 ID 목록을컴파일하고계속업데이트합니다. [ 정책편집기 ] 의 [ 규칙유형 ] 창에서 [ 정규화 ] 를클릭하면이러한 ID, 이름및설명이나열됩니다. 이러한이벤트기능은정규화된 ID 를사용하여이벤트정보를구성하는을제공합니다. 보기구성요소필드 [ 정규화된이벤트요약 ] 은원형도표, 막대도표및목록구성요소의이벤트쿼리에대한필드를할때입니다 (" 쿼리관리 " 참조 ). 보기구성요소필터 새보기를만드는경우정규화된 ID 로구성요소에서이벤트데이터를필터링하도록선택할수있습니다 (" 쿼리관리 " 참조 ). 보기필터 [ 정규화된 ID] 는보기필터목록의입니다 (" 보기필터링 " 참조 ). 보기목록 [ 정규화된이벤트요약 ] 보기는 [ 이벤트보기 ] 목록에서사용가능합니다. [ 이벤트분석 ] 보기의 [ 세부정보 ] 탭에목록에나타나는이벤트의정규화 ID 가나열됩니다. [ 정규화된 ID] 필터를새보기또는기존보기에추가하면다음을수행할수있습니다. 첫번째수준폴더에서정규화된모든 ID 로필터링합니다. 마스크 ( 첫번째수준의폴더의경우 /5) 가 ID 의끝에포함되어이벤트가선택한폴더의하위 ID 로도필터링됨을나타냅니다. 두번째또는세번째수준폴더에서 ID 로필터링합니다. 마스크 ( 두번째수준폴더의경우 /12, 세번째수준폴더의경우 /18) 가 ID 의끝에포함되어이벤트가선택한하위폴더의하위 ID 로필터링됨을나타냅니다. 네번째수준에는마스크가없습니다. 단일 ID 로필터링합니다. Ctrl 또는 Shift 키를사용하여한번에여러폴더또는 ID 로필터링하여선택합니다. 규칙유형및속성 [ 정책편집기 ] 페이지의 [ 규칙유형 ] 창에서는유형별로모든규칙에액세스할수있습니다. 규칙을선택한다음에는가져오기, 내보내기, 추가, 편집등다양한을규칙에서수행할수있습니다. 수행할수있는기능은규칙유형에따라제한됩니다. 모든규칙은각규칙이상위에서사용법을상속하는계층시스템을기반으로합니다. 규칙 ([ 변수 ] 및 [ 전처리기 ] 규칙제외 ) 은사용법상속위치를나타내는아이콘으로표시됩니다. 상속체인이현재행아래의어딘가에서끊어진경우아이콘의왼쪽하단모서리에점이표시됩니다. 아이콘설명 상위설정에따라이항목의사용법이결정됩니다. 대부분의규칙은기본적으로상속되도록설정되지만사용법은변경될수있습니다. 상속체인이이수준에서끊어졌으며상속값이해제되어있음을나타냅니다. 상속체인이끊어진경우현재규칙사용법이사용됩니다. 상속체인이이수준에서끊어졌음을나타냅니다. 이지점아래의항목은더이상체인을상속하지않습니다. 이설정은규칙에서기본값을사용하도록하려는경우유용합니다. 사용자지정값, 즉기본값이아닌다른값으로설정했음을나타냅니다. McAfee Enterprise Security Manager 제품안내서 349

350 11 정책및규칙관리규칙유형및속성 속성 규칙유형을선택하면규칙표시창에시스템에있는해당유형의모든규칙과해당속성설정이표시됩니다. 이러한속성에는 [ 액션 ], [ 심각도 ], [ 블랙리스트 ], [ 집계 ] 및 [ 패킷복사 ] 가포함될수있습니다. 속성... 수행... [ 액션 ] 이규칙에따라수행되는액션을설정합니다. 사용가능한은규칙의유형에따라다릅니다. 블랙리스트항목은대상으로이동할수없습니다. [ 블랙리스트 ] 열에서 [ 통과 ] 를선택하면시스템이자동으로 [ 경보 ] 로바꿉니다. [ 심각도 ] 규칙이트리거될때규칙부분의심각도를선택합니다. 심각도는 1 에서 100 사이를기반으로하며, 100 이가장심각합니다. [ 블랙리스트 ] 장치에서규칙이트리거될때규칙단위로블랙리스트항목을자동으로만듭니다. IP 주소만블랙리스트에추가할지, IP 주소와포트를블랙리스트에추가할지를선택할수있습니다. [ 집계 ] 규칙이트리거될때만들어진이벤트에대해규칙단위집합을설정합니다. [ 이벤트집합 ] 페이지에된집합설정 (" 이벤트또는플로집계 " 참조 ) 은정책편집기에서설정된규칙에만적용됩니다. [ 패킷복사 ] 패킷데이터를 ESM 에복사하며, 통신이손실된경우에유용합니다. 패킷데이터의복사본이있는경우복사본을검색하여정보에액세스할수있습니다. 현재설정을클릭하고다른설정을선택하여이러한설정을변경합니다. 343 페이지의정책편집기이해 344 페이지의정책트리 345 페이지의정책트리에서정책관리 395 페이지의정책변경사항적용 ADM 규칙 McAfee ADM 은 ICE 패킷심층분석 (DPI) 엔진에기반한일련의네트워크어플라이언스입니다. ICE 엔진은소프트웨어라이브러리이자원시네트워크트래픽에서실시간으로콘텐츠를식별하고추출할수있는프로토콜및콘텐츠플러그인모듈모음입니다. 이엔진은응용프로그램수준콘텐츠를완전히재조립하고디코딩하여암호화된네트워크패킷스트림을로컬파일에서읽어온것처럼쉽게읽을수있는콘텐츠로변환할수있습니다. ICE 엔진은고정 TCP 포트번호나파일확장명을사용하지않고도프로토콜및콘텐츠유형을자동으로식별할수있습니다. ICE 엔진은분석및디코딩을수행하는데시그니처를사용하지않으며, 대신해당모듈에서각프로토콜이나콘텐츠유형에대해전체분석기를구현합니다. 따라서콘텐츠를매우정확하게식별하고디코딩할수있으며해당콘텐츠가압축되거나디코딩된경우에도식별하여추출할수있으므로네트워크를통해일반텍스트로전달하지않습니다. 매우정확한식별및디코딩기능을통해 ICE 엔진은네트워크트래픽에대해유일하게깊이있는관점을제공할수있습니다. 예를들어 ICE 엔진은 SOCKS 프록시서버에서보낸 SMTP 이메일의 BASE-64 로인코딩된첨부파일로.zip 파일내에서네트워크를이동한 PDF 문서스트림을수신할수있습니다. 이응용프로그램및문서인식을통해 ADM 은매우중요한보안컨텍스트를제공할수있습니다. 또한다음과같이기존의 IDS 나 IPS 에서쉽게탐지할수없는위협을탐지할수있습니다. 중요한정보및문서의유출또는통신정책위반. 악의적일수있는문서 ( 예 : 문서가확장명이일치하지않는경우 ). 인증되지않은응용프로그램트래픽 ( 예 : Gnutella 를사용하고있는사람 ). 차세대취약성공격 ( 예 : 포함된실행파일이있는 PDF 문서 ). 예기치않은방식으로사용되는응용프로그램 ( 예 : 비표준포트의 HTTPS). 350 McAfee Enterprise Security Manager 제품안내서

351 정책및규칙관리규칙유형및속성 11 또한 ADM 은응용프로그램및전송프로토콜에서이상을탐지하여악성트래픽패턴을탐지합니다 ( 예 : RPC 연결의형식이잘못되거나 TCP 대상포트가 0 인경우 ). 지원되는응용프로그램및프로토콜 ADM 에서이상을모니터링, 디코딩및탐지할수있는지원되는응용프로그램및프로토콜은 500 개가넘습니다. 다음은샘플목록입니다. 낮은수준의네트워크프로토콜 TCP/IP, UDP, RTP, RPC, SOCKS, DNS 등 이메일 MAPI, NNTP, POP3, SMTP, Microsoft Exchange 채팅 MSN, AIM/Oscar, Yahoo, Jabber, IRC 웹메일 AOL Webmail, Hotmail, Yahoo! Mail, Gmail, Facebook 및 MySpace 이메일 P2P Gnutella, bittorrent 셸 SSH( 탐지전용 ), 텔넷 메신저 AOL,ICQ, Jabber, MSN, SIP 및 Yahoo 파일전송프로토콜 FTP, HTTP, SMB 및 SSL 압축및추출프로토콜 BASE64, GZIP, MIME, TAR, ZIP 등 보관파일 RAR 보관, ZIP, BZIP, GZIP, Binhex 및 UU 인코딩보관 설치패키지 Linux 패키지, InstallShield 캐비닛, Microsoft 캐비닛 이미지파일 GIF, JPEG, PNG, TIFF, AutoCAD, Photoshop, Bitmap, Visio, Digital RAW 및 Windows 아이콘 오디오파일 WAV, MIDI, RealAudio, Dolby Digital AC-3, MP3, MP4, MOD, RealAudio, SHOUTCast 등 비디오파일 AVI, Flash, QuickTime, Real Media, MPEG-4, Vivo, DV(Digital Video), Motion JPEG 등 기타응용프로그램및파일 데이터베이스, 스프레드시트, 팩스, 웹응용프로그램, 글꼴, 실행파일, Microsoft Office 응용프로그램, 게임및소프트웨어개발도구 기타프로토콜 네트워크프린터, 셸액세스, VoIP 및피어 - 투 - 피어 주요개념 ADM 의작동방식을이해하는핵심은다음개념을인식하는것입니다. 개체 개체는콘텐츠의개별항목입니다. 이메일은개체이지만메시지본문 ( 또는두개 ) 과첨부파일이있기때문에개체컨테이너이기도합니다. HTML 페이지는이미지와같은추가개체를포함할수있는개체입니다..zip 파일및.zip 파일내의각파일은모두개체입니다. ADM 은컨테이너의압축을해제하고내부의각개체를고유한개체로처리합니다. 트랜잭션 트랜잭션은개체 ( 콘텐츠 ) 전송주위의래퍼입니다. 트랜잭션에는하나이상의개체가포함되지만해당개체가컨테이너일경우 ( 예 :.zip 파일 ) 단일트랜잭션에여러개의개체가포함될수있습니다. 플로 플로는 TCP 또는 UDP 네트워크연결입니다. 플로에는많은트랜잭션이포함될수있습니다. 사용자지정 ADM, DEM 또는상관규칙관리 사전된규칙을복사하고이것을사용자지정규칙의템플릿으로사용합니다. 사용자지정규칙을추가하면설정을편집하거나, 복사하고붙여넣어새사용자지정규칙의템플릿으로사용하거나, 삭제할수있습니다. McAfee Enterprise Security Manager 제품안내서 351

352 11 정책및규칙관리규칙유형및속성 1 [ 정책편집기 ] 에서 [ADM] 또는 [DEM] [ 데이터베이스 ], [ 데이터액세스 ] 또는 [ 트랜잭션추적 ] 을선택합니다. 2 다음중하나를수행합니다. 수행방법... 모든사용자지정 ADM 또는 DEM 규칙보기 1 [ 필터 / 태그지정 ] 창에서 [ 필터 ] 탭을선택합니다. 2 창의하단에있는 [ 고급 ] 막대를클릭합니다. 3 [ 원본 ] 필드에서 [ 사용자 ] 를선택합니다. 4 [ 쿼리실행 ] 을클릭합니다. 선택한유형의사용자지정규칙이규칙표시창에나열됩니다. 규칙복사및붙여넣기 1 사전된규칙또는사용자지정규칙을선택합니다. 2 [ 편집 ] [ 복사 ] 를클릭합니다. 3 [ 편집 ] [ 붙여넣기 ] 를클릭합니다. 복사한규칙이동일한이름으로기존규칙목록에추가됩니다. 4 이름을변경하려면 [ 편집 ] [ 수정 ] 을클릭합니다. 사용자지정규칙수정 1 사용자지정규칙을선택합니다. 2 [ 편집 ] [ 수정 ] 을클릭합니다. 사용자지정규칙삭제 1 사용자지정규칙을선택합니다. 2 [ 편집 ] [ 삭제 ] 를클릭합니다. 사용자지정 ADM, 데이터베이스또는상관규칙추가 사전된 ADM, 데이터베이스또는상관규칙을사용할수있을뿐만아니라논리적표현식및정규표현식을사용하여복잡한규칙을만들수있습니다. 이러한여러가지규칙유형을추가하기위해사용하는편집기는서로매우유사하므로동일한섹션에서설명합니다. 1 [ 정책편집기 ] 의 [ 규칙유형 ] 창에서, [ADM], [DEM] [ 데이터베이스 ] 또는 [ 상관 ] 을선택합니다. 2 [ 새로만들기 ] 를클릭한다음추가하려는규칙유형을선택합니다. 3 요청한정보를입력한다음도구모음에서 [ 표현식논리 ] 영역으로논리적요소및표현식구성요소를끌어다놓고규칙의논리를구성합니다. 4 [ 확인 ] 을클릭합니다. 표 11-4 [ 이름 ] 규칙을설명하는이름을입력합니다. [ 심각도 ] 심각도설정을선택합니다. [ 정규화 ID] 정규화된기본 ID 를변경합니다. 352 McAfee Enterprise Security Manager 제품안내서

353 정책및규칙관리규칙유형및속성 11 표 11-4 ( 계속 ) [ 태그 ] 규칙이속한범주를하는태그를선택합니다. [ 유형 ] 데이터베이스규칙의유형을선택합니다. [ 기본액션 ] 이규칙에의해트리거되는경보액션을선택합니다. 액션을기본액션목록에추가할수있습니다 ("DEM 액션추가 " 참조 ). [ 표현식논리 ] 영역규칙의논리를설정하려면논리적요소및구성요소를이영역에끌어놓습니다. [AND], [OR] 논리적요소규칙의논리를설정하려면 [ 표현식논리 ] 영역에끌어놓습니다. [ 표현식구성요소 ] 아이 콘 논리적요소의세부정보를하려면아이콘을끌어놓습니다. [ 설명 ] 규칙에대한설명을입력합니다. 설명은 [ 정책편집기 ] 를선택할때설명영역에표시됩니다. 표 11-5 [ 이름 ] 규칙을설명하는이름을입력합니다. [ 심각도 ] 심각도설정을선택합니다. [ 정규화 ID] 정규화된기본 ID 를변경합니다. [ 태그 ] 규칙이속한범주를하는태그를선택합니다. [ 유형 ] 데이터베이스규칙의유형을선택합니다. [ 기본액션 ] 이규칙에의해트리거되는경보액션을선택합니다. 액션을기본액션목록에추가할수있습니다 ("DEM 액션추가 " 참조 ). [ 표현식논리 ] 영역규칙의논리를설정하려면논리적요소및구성요소를이영역에끌어놓습니다. [AND], [OR] 논리적요소규칙의논리를설정하려면 [ 표현식논리 ] 영역에끌어놓습니다. [ 표현식구성요소 ] 아이 콘 논리적요소의세부정보를하려면아이콘을끌어놓습니다. [ 설명 ] 규칙에대한설명을입력합니다. 설명은 [ 정책편집기 ] 를선택할때설명영역에표시됩니다. 표 11-6 [ 이름 ] 규칙을설명하는이름을입력합니다. [ 심각도 ] 심각도설정을선택합니다. [ 정규화 ID ] 정규화된기본 ID 를변경합니다. [ 태그 ] 규칙이속한범주를하는태그를선택합니다. [ 그룹화기준 ] 이벤트가상관엔진에진입할때그룹화기준으로사용할수있는필드목록을만듭니다. [ 상관논리 ] 영역규칙의논리를설정하려면이영역에논리적요소및구성요소를끌어놓습니다 (" 사용자지정상관규칙예 " 참조 ). McAfee Enterprise Security Manager 제품안내서 353

354 11 정책및규칙관리규칙유형및속성 표 11-6 ( 계속 ) [ 매개변수 ] 규칙및구성요소재사용의인스턴스를사용자지정합니다 (" 상관규칙또는구성요소에매개변수추가 " 참조 ). [AND], [OR], [SET] 논리적요소 [ 구성요소일치 ], [ 편차구성요소 ], [ 규칙 / 구성요소 ] 아이콘 규칙의논리를설정하려면 [ 상관논리 ] 영역에끌어놓습니다. 논리적요소의세부정보를하려면구성요소를끌어놓습니다. [ 설명 ] 규칙의설명을추가합니다. 설명은 [ 정책편집기 ] 를클릭할때설명영역에표시됩니다. 표 11-7 [ 이벤트 ], [ 플로 ] 필터를적용하려는데이터유형을선택합니다. 둘다선택할수있습니다. [ 추가 ] 이구성요소에대한필터를추가합니다. [ 고급 ] [ 이구성요소를트리거하려면...] 구성요소트리거전에특정필드에특정수의값이발생해야하는경우선택합니다. [ 고유값 ] [ 기본값 ] 아이콘을클릭하여발생해야하는값의수를선택합니다. [ 모니터링된필드 ] [ 기본값 ] 아이콘 합니다. 을클릭하여값이발생해야하는필드를선택 [ 논리적요소수준에서지정한...] [ 그룹화기준재 ] 게이트수준의 [ 기간 ] 필드에서지정된시간안에일치가발생하지않는경우에만구성요소를트리거하려면선택합니다. 상관규칙에서이벤트의그룹화를사용자지정하려면선택합니다. 특정필드별로그룹화하는규칙이있는경우 [ 그룹화기준재구성 ] 페이지에서지정하는필드에일치하도록해당구성요소중하나를재할수있습니다. [ 구성 ] 을클릭하여재필드를설정합니다 (" 재 [ 그룹화기준 ]" 참조 ). 표 11-8 [ 아님 ] 선택한값을제외하려면선택합니다. [ 용어 ] (ADM 및 DEM) 이표현식의메트릭참조를선택합니다. DEM 데이터베이스규칙의설명은 "DEM 규칙메트릭참조 " 를참조하십시오. [ 설명 ] (ADM) 구성요소의설명을입력합니다. [ 사전 ] (ADM) 이규칙이 ESM 에있는 ADM 사전을참조하도록하려면드롭다운목록에서 ADM 사전을선택합니다 ("ADM 사전 " 참조 ). 354 McAfee Enterprise Security Manager 제품안내서

355 정책및규칙관리규칙유형및속성 11 표 11-8 ( 계속 ) [ 연산자 ] 관계연산자를선택합니다. ADM 같음 = 보다크거나같음 >= 같지않음!= 보다작거나같음 <= 보다큼 > 보다작음 < DEM 데이터베이스 EQ 같음 BT 사이 GE - 크거나같음 GT 보다큼 LE - 작거나같음 LT 보다작음 NB 사이에없음 NE 같지않음 NGT 보다크지않음 NLE 보다작지않음 REGEXP - 정규표현식 [ 일치값 ] 값이하는패턴과일치하는경우에규칙을트리거할지또는모든값이패턴과일치하는경우에만트리거할지여부를선택합니다. [ 값 ] (ADM) 필터링할변수를선택합니다. 변수아이콘이필드옆에있는경우클릭하여변수를선택합니다. 아이콘이없는경우 [ 유효한입력 ] 필드의지침을따라값을입력합니다. (DEM) 필터링할변수를입력합니다. [ 유효한입력 ] [ 값 ] 필드에입력할수있는값에대한힌트를봅니다. 논리적요소편집 AND, OR 및 SET 논리적요소에는기본설정이있습니다. 이러한설정은 [ 논리적요소편집 ] 페이지에서변경할수있습니다. 1 규칙편집기에서논리적요소를 [ 표현식논리 ] 또는 [ 상관논리 ] 영역으로끌어다놓습니다. 2 편집하려는요소의 [ 메뉴 ] 아이콘을클릭한다음 [ 편집 ] 을클릭합니다. 3 설정을변경한다음 [ 확인 ] 을클릭합니다. 260 페이지의논리적요소 McAfee Enterprise Security Manager 제품안내서 355

356 11 정책및규칙관리규칙유형및속성 ADM 규칙구문 ADM 규칙은 C 표현식과매우유사합니다. 주요차이점은보다광범위한리터럴집합 ( 숫자, 문자열, 정규표현식, IP 주소, MAC 주소및부울 ) 입니다. 문자열조건은문자열및정규식리터럴과비교하여콘텐츠를테스트할수있지만숫자와비교하여길이를테스트할수도있습니다. 숫자, IP 주소및 MAC 주소조건은동일한유형의리터럴값과만비교할수있습니다. 유일한예외는모든항목을부울로처리하여존재를테스트할수있다는점입니다. 일부조건에는여러개의값이있을수있습니다. 예를들어.zip 파일내 PDF 파일에대해 type = = application/zip && type = = application/pdf 규칙이트리거됩니다. 표 11-9 연산자 연산자설명예 && 논리적 AND protocol = = http && type = = image/gif 논리적 OR time.hour < 8 time.hour > 18 ^ ^ 논리적 XOR .from = = "a@b.com" ^^ .to = = "a@b.com"! 단항 NOT! (protocol = = http protocol = = ftp) = = 같음 type = = application/pdf! = 같지않음 srcip! = /16 > 보다큼 objectsize > 100M > = 크거나같음 time.weekday > = 1 < 보다작음 objectsize < 10K < = 작거나같음 time.hour < = 6 표 리터럴 리터럴 숫자 문자열 정규식 예 1234, 0x1234, 0777, 16K, 10M, 2G "a string" /[A-Z] [a-z]+/ IPv , /16, / MAC 부울 aa:bb:cc:dd:ee:ff true, false 표 유형연산자호환성 유형연산자참고 숫자 = =,! =, >, > =, <, < = 문자열 = =,! = 문자열 >, > =, <, <= 문자열의내용을문자열 / 정규식과비교 문자열의길이비교 IPv4 = =,! = MAC = =,! = 부울 = =,! = 참 / 거짓과비교, 참으로내포된비교도지원, 예를들어 .bcc 는 .bcc 조건이 있는지테스트 356 McAfee Enterprise Security Manager 제품안내서

357 정책및규칙관리규칙유형및속성 11 표 ADM 정규식문법기본연산자 교체 ( 또는 ) * 0 개이상 + 1 개이상? 0 또는 1 ( ) 그룹화 (a b) { } 반복범위 {x} 또는 {,x} 또는 {x,} 또는 {x,y} [ ] 범위 [0-9a-z] [abc] [^ ] 제외범위 [^abc] [^0-9]. 모든문자 이스케이프문자 이스케이프 d 숫자 [0-9] D 숫자제외 [^0-9] e 이스케이프 (0x1B) f 용지공급 (0x0C) n 줄바꿈 (0x0A) r 캐리지리턴 (0x0D) s 공백 S 공백제외 t 탭 (0x09) v 세로탭 (0x0B) w 단어 [A-Za-z0-9_] W 단어제외 x00 16 진수표현 진수표현 ^ S 줄시작 줄끝 줄시작및줄끝앵커 (^ 및 $) 는 objcontent 에적용되지않습니다. McAfee Enterprise Security Manager 제품안내서 357

358 11 정책및규칙관리규칙유형및속성 POSIX 문자클래스 [:alunum:] [:alpha:] [:ascii:] [:blank:] [:cntrl:] [:digit:] [:graph:] [:lower:] [:print:] [:punct:] [:space:] [:upper:] [:word:] [:xdigit:] 숫자및문자모든문자 ASCII 문자공백및탭제어문자숫자표시문자소문자표시문자및공백문장부호및기호모든공백문자대문자단어문자 16 진수숫자 123 페이지의 ADM 규칙참조자료 125 페이지의 ADM 규칙조건유형 127 페이지의 ADM 규칙메트릭참조 129 페이지의프로토콜별속성 130 페이지의프로토콜이상 ADM 사전예 ADM 엔진은개체콘텐츠나기타메트릭또는속성을단일열사전과비교하여참또는거짓 ( 사전에있는경우또는사전에없는경우 ) 으로나타낼수있습니다. 표 단일열사전예 사전유형 예 일반스팸단어가포함된문자열사전 시알리스 시알리스 비아그라 비아그라 성인웹 성인웹 지금당장하세요! 주저하지마세요! 인증키단어에대한정규표현식사전 /(password passwd pwd)[^a-z0-9]{1,3}(admin login password user)/i /(customer client)[^a-z0-9]{1,3}account[^a-z0-9]{1,3}number/i /fund[^a-z0-9]{1,3}transaction/i /fund[^a-z0-9]{1,3}transfer[^a-z0-9]{1,3}[0-9,.]+/i 358 McAfee Enterprise Security Manager 제품안내서

359 정책및규칙관리규칙유형및속성 11 표 단일열사전예 ( 계속 ) 사전유형 알려진잘못된실행파일에대한해시값이포함된문자열사전 예 "fec72ceae15b6f60cbf269f99b9888e9" "fed472c13c1db095c4cb0fc54ed28485" "feddedb f9428a59eb5ee22a" "ff3cb87742f9b56dfdb9a49b31c1743c" "ff45e471aa68c9e2b6d62a82bbb6a82a" "ff669082faf0b5b976cec c" "ff7025e261bd bc9efdfc6c7c" 위험자산의 IP 주소 / / / / 표 이중열사전예 사전유형 일반스팸단어및범주가포함된문자열사전 인증키단어및범주에대한정규표현식사전 알려진잘못된실행파일및범주의해시값이포함된문자열사전 예 시알리스 제약 시알리스 제약 비아그라 제약 비아그라 제약 성인웹 성인 성인웹 성인 지금당장하세요! 주저하지마세요! 스캠 /(password passwd pwd)[^a-z0-9]{1,3}(admin login password user)/i 인증 /(customer client)[^a-z0-9]{1,3}account[^a-z0-9]{1,3}number/i pii /fund[^a-z0-9]{1,3}transaction/i sox /fund[^a-z0-9]{1,3}transfer[^a-z0-9]{1,3}[0-9,.]+/i sox "fec72ceae15b6f60cbf269f99b9888e9" 트로이목마 "fed472c13c1db095c4cb0fc54ed28485" 악성프로그램 "feddedb f9428a59eb5ee22a" 바이러스 "ff3cb87742f9b56dfdb9a49b31c1743c" 악성프로그램 "ff45e471aa68c9e2b6d62a82bbb6a82a" 애드웨어 "ff669082faf0b5b976cec c" 트로이목마 "ff7025e261bd bc9efdfc6c7c" 바이러스 위험자산및그룹의 IP 주소 위험자산 /24 LAN / LAN /27 DMZ / 위험자산 McAfee Enterprise Security Manager 제품안내서 359

360 11 정책및규칙관리규칙유형및속성 118 페이지의 ADM(Application Data Monitor) 사전 119 페이지의 ADM 사전설정 122 페이지의 ADM 사전관리 120 페이지의 ADM 사전참조 ADM 규칙조건유형 ADM 규칙의모든조건에는특정유형이있습니다. 각조건은 IP 주소, MAC 주소, 숫자, 문자열또는부울입니다. 또한정규표현식과목록이라는두가지추가리터럴유형이있습니다. 일반적으로특정유형의조건은동일한유형의리터럴이나동일한유형의리터럴목록 ( 또는목록의목록...) 에대해서만비교할수있습니다. 이규칙에는다음과같은세가지예외가있습니다. 1 문자열조건은숫자리터럴과비교하여길이를테스트할수있습니다. 암호가 8 자보다작은경우 ( 암호가문자열조건인경우 ) 다음규칙이트리거됩니다. 암호 < 8 2 문자열조건은정규표현식과비교할수있습니다. 암호에소문자만포함된경우다음규칙이트리거됩니다. password == /^[a-z]+$/ 3 모든조건은부울리터럴에대해테스트하여발생여부를테스트할수있습니다. 이메일에참조주소가포함된경우 ( .cc 가문자열조건인경우 ) 다음규칙이트리거됩니다. .cc == 참 유형 형식설명 IP 주소 IP 주소리터럴은표준표기법인점으로구분된 4 개의숫자로기록되며따옴표로묶지않습니다 IP 주소에는표준 CIDR 표기법으로작성된마스크가있을수있으며주소와마스크사이에공백이있으면안됩니다 /24 IP 주소에는긴형식으로작성된마스크가있을수도있습니다 / MAC 주소 MAC 주소리터럴은 IP 주소와마찬가지로표준표기법을사용하여작성되며따옴표로묶지않습니다. aa:bb:cc:dd:ee:ff 숫자 ADM 규칙의모든숫자는 32 비트정수입니다. 이러한숫자는 10 진수로작성할수있습니다 또한 16 진수로작성할수있습니다. 0xabcd 8 진수로작성할수도있습니다 (K), (M) 또는 (G) 와곱하여승수를추가할수있습니다. 10M 문자열 문자열은큰따옴표로묶습니다. "this is a string" 문자열은표준 C 이스케이프시퀀스를사용할수있습니다. "\tthis is a \"string\" containing\x20escape sequences\n" 조건을문자열과비교할경우전체조건이문자열과일치해야합니다. 이메일메시지의보낸사람주소가 someone@somewhere.com 일경우다음규칙이트리거되지않습니다. .from 조건의일부만일치시키려면정규표현식리터럴을대신사용해야합니다. 문자열리터럴이보다효율적이므로가능하면문자열리터럴을사용해야합니다. 모든이메일주소및 URL 조건은일치되기전에정규화되므로이메일주소내의설명과같은항목을고려할필요가없습니다. 부울 부울리터럴은참과거짓입니다. 360 McAfee Enterprise Security Manager 제품안내서

361 정책및규칙관리규칙유형및속성 11 유형 정규표현식 형식설명 정규표현식리터럴은 Javascript 및 Perl 과같은언어와동일한표기법을사용하며, 정규표현식은슬래시로묶습니다. /[a-z]+/ 정규표현식다음에는표준수정자플래그가올수있지만현재 "i" 만인식되며대 / 소문자를구분하지않습니다. /[a-z]+/i 정규표현식리터럴은 POSIX 확장구문을사용해야합니다. 현재 Perl 확장은콘텐츠조건을제외한모든조건에서작동하지만이후버전에서는변경될수있습니다. 조건을정규표현식과비교할경우정규표현식내에서앵커연산자가적용되지않으면정규표현식이조건내하위문자열과일치합니다. 이메일이 someone@somewhere.com 주소로표시되면다음규칙이트리거됩니다. .from == /@somewhere.com/ 목록 목록리터럴은대괄호로묶고쉼표로구분한하나이상의리터럴로구성됩니다. [1, 2, 3, 4, 5] 목록에는다른목록을포함하여모든종류의리터럴이포함될수있습니다. [ , [ /8, /24]] 목록에는한종류의리터럴만포함되어야하며문자열과숫자, 문자열과정규표현식, IP 주소와 MAC 주소를혼합할수없습니다. 목록이같지않음 (!=) 이아닌다른관계형연산자와함께사용될경우표현식은조건이목록의리터럴과일치하면참입니다. 소스 IP 주소가목록의 IP 주소와일치할경우다음규칙이트리거됩니다. srcip == [ , , ] 이규칙은다음과동일합니다. srcip == srcip == srcip == 같지않음 (!=) 연산자와함께사용될경우표현식은조건이목록의모든리터럴과일치하지않으면참입니다. 소스 IP 주소가 또는 가아닐경우다음규칙이트리거됩니다. srcip!= [ , ] 이규칙은다음과동일합니다. srcip!= && srcip!= 목록은다른관계형연산자와함께사용할수도있지만적합하지않은경우가많습니다. 개체크기가 100 보다크거나개체크기가 200 보다클경우다음규칙이트리거됩니다. objectsize > [100, 200] 이규칙은다음과동일합니다. objectsize > 100 objectsize > 페이지의 ADM 규칙참조자료 123 페이지의 ADM 규칙구문 127 페이지의 ADM 규칙메트릭참조 129 페이지의프로토콜별속성 130 페이지의프로토콜이상 ADM 규칙메트릭참조 다음은 ADM 규칙표현식에대한메트릭참조목록으로, ADM 규칙을추가할때 [ 표현식구성요소 ] 페이지에서사용할수있습니다. 일반속성및일반이상의경우각각에대해입력할수있는매개변수 - 유형값이메트릭참조다음의괄호안에표시됩니다. 일반속성 속성또는용어프로토콜 ( 숫자 ) 개체콘텐츠 ( 문자열 ) 개체유형 ( 숫자 ) 설명 응용프로그램프로토콜 (HTTP, FTP, SMTP) 개체의콘텐츠 ( 문서내텍스트, 이메일메시지, 채팅메시지 ). 이진데이터에는콘텐츠일치를사용할수없습니다. 그러나이진개체는개체유형 (objtype) 을사용하여탐지할수있습니다. ADM 에의해결정된콘텐츠의유형 (Office 문서, 메시지, 비디오, 오디오, 이미지, 보관, 실행파일 ) 을지정합니다. McAfee Enterprise Security Manager 제품안내서 361

362 11 정책및규칙관리규칙유형및속성 속성또는용어 개체크기 ( 숫자 ) 설명 개체의크기입니다. 숫자다음에숫자승수 K, M, G 를추가할수있습니다 (10K, 10M, 10G). 개체해시 ( 문자열 ) 콘텐츠의해시 ( 현재 MD5) 입니다. 개체소스 IP 주소 ( 숫자 ) 콘텐츠의소스 IP 주소입니다.IP 주소는 , /24, / 으로지정할수있습니다. 개체대상 IP 주소 ( 숫자 ) 콘텐츠의대상 IP 주소입니다.IP 주소는 , /24, / 으로지정할수있습니다. 개체소스포트 ( 숫자 ) 콘텐츠의소스 TCP/UDP 포트입니다. 개체대상포트 ( 숫자 ) 콘텐츠의대상 TCP/UDP 포트입니다. 개체소스 IPv6 주소 ( 숫자 ) 콘텐츠의소스 IPv6 주소입니다. 개체대상 IPv6 주소 ( 숫자 ) 콘텐츠의대상 IPv6 주소입니다. 개체소스 MAC 주소 (mac 이름 ) 개체대상 MAC 주소 (mac 이름 ) 콘텐츠의소스 MAC 주소 (aa:bb:cc:dd:ee:ff) 입니다. 콘텐츠의대상 MAC 주소 (aa:bb:cc:dd:ee:ff) 입니다. 플로소스 IP 주소 (IPv4) 플로의소스 IP 주소입니다. IP 주소는 , /24, / 으로지정할수있습니다. 플로대상 IP 주소 (IPv4) 플로의대상 IP 주소입니다. IP 주소는 , /24, / 으로지정할수있습니다. 플로소스포트 ( 숫자 ) 플로의소스 TCP/UDP 포트입니다. 플로대상포트 ( 숫자 ) 플로의대상 TCP/UDP 포트입니다. 플로소스 IPv6 주소 ( 숫자 ) 플로의소스 IPv6 주소입니다. 플로대상 IPv6 주소 ( 숫자 ) 플로의대상 IPv6 주소입니다. 플로소스 MAC 주소 (mac 이름 ) 플로대상 MAC 주소 (mac 이름 ) 플로의소스 MAC 주소입니다. 플로의대상 MAC 주소입니다. VLAN( 숫자 ) 가상 LAN ID 입니다. 요일 ( 숫자 ) 요일입니다. 유효한값은 1~7 이며, 1 은월요일입니다. 시간 ( 숫자 ) GMT 로설정된시간입니다. 유효한값은 0-23 입니다. 선언된콘텐츠유형 ( 문자열 ) 서버에지정된콘텐츠의유형입니다. 이론적으로개체유형 (objtype) 은항상실제유형이며선언된콘텐츠유형 (content-type) 은서버 / 응용프로그램에서스푸핑될수있으므로신뢰할수없습니다. 암호 ( 문자열 ) 응용프로그램에서인증에사용하는암호입니다. URL( 문자열 ) 웹사이트 URL 입니다. HTTP 프로토콜에만적용됩니다. 파일이름 ( 문자열 ) 전송할파일의이름입니다. 표시이름 ( 문자열 ) 호스트이름 ( 문자열 ) DNS 조회에지정된호스트이름입니다. 일반이상 사용자로그오프함 ( 부울 ) 인증오류 ( 부울 ) 362 McAfee Enterprise Security Manager 제품안내서

363 정책및규칙관리규칙유형및속성 11 인증성공 ( 부울 ) 인증실패 ( 부울 ) 123 페이지의 ADM 규칙참조자료 123 페이지의 ADM 규칙구문 125 페이지의 ADM 규칙조건유형 129 페이지의프로토콜별속성 130 페이지의프로토콜이상 프로토콜별속성 대부분의프로토콜에서공통된속성을제공하는것외에, ADM 은 ADM 규칙과함께사용할수있는프로토콜별속성도제공합니다. 또한모든프로토콜별속성은 ADM 규칙을추가하면 [ 표현식구성요소 ] 페이지에서사용할수있습니다. 프로토콜별속성의예 이러한속성이다음테이블에적용됩니다. * 탐지전용 ** 암호해독없음, X.509 인증서및암호화된데이터캡처 *** RFC822 모듈을통해 표 파일전송프로토콜모듈 FTP HTTP SMB* SSL** 표시이름파일이름호스트이름 URL 표시이름파일이름호스트이름참조페이지 URL 모든 HTTP 헤더 표시이름파일이름호스트이름 표시이름파일이름호스트이름 표 이메일프로토콜모듈 DeltaSync MAPI NNTP POP3 SMTP 숨은참조 *** 숨은참조 숨은참조 *** 숨은참조 *** 숨은참조 *** 참조 *** 참조 참조 *** 참조 *** 참조 *** 표시이름 표시이름 표시이름 표시이름 표시이름 보낸사람 *** 보낸사람 보낸사람 *** 보낸사람 *** 보낸사람 *** 호스트이름 호스트이름 호스트이름 호스트이름 호스트이름 제목 *** 제목 제목 *** 제목 *** 받는사람 *** 받는사람 *** 받는사람 받는사람 *** 받는사람 *** 제목 *** 사용자이름 사용자이름 McAfee Enterprise Security Manager 제품안내서 363

364 11 정책및규칙관리규칙유형및속성 표 웹메일프로토콜모듈 AOL Gmail Hotmail Yahoo 첨부파일이름 첨부파일이름 첨부파일이름 첨부파일이름 숨은참조 *** 숨은참조 *** 숨은참조 *** 숨은참조 *** 참조 *** 참조 *** 참조 *** 참조 *** 표시이름 표시이름 표시이름 표시이름 파일이름 파일이름 파일이름 파일이름 호스트이름 호스트이름 호스트이름 호스트이름 보낸사람 *** 보낸사람 *** 보낸사람 *** 보낸사람 *** 제목 *** 제목 *** 제목 *** 제목 *** 받는사람 *** 받는사람 *** 받는사람 *** 받는사람 *** 123 페이지의 ADM 규칙참조자료 123 페이지의 ADM 규칙구문 125 페이지의 ADM 규칙조건유형 127 페이지의 ADM 규칙메트릭참조 130 페이지의프로토콜이상 프로토콜이상 공통속성및프로토콜별속성외에 ADM 은낮은수준의수백가지이상, 전송및응용프로그램프로토콜도탐지합니다. 모든프로토콜이상속성은부울유형으로, ADM 규칙을추가할때 [ 표현식구성요소 ] 페이지에서사용할수있습니다. 표 IP 용어 설명 ip.too-small IP 패킷이너무작아유효한헤더를포함하지못합니다. ip.bad-offset IP 데이터오프셋이패킷끝을지나갑니다. ip.fragmented IP 패킷이조각화되었습니다. ip.bad-checksum IP 패킷체크섬이데이터와일치하지않습니다. ip.bad-length IP 패킷 totlen 필드가패킷끝을지나갑니다. 표 TCP 용어 설명 tcp.too-small TCP 패킷이너무작아유효한헤더를포함하지못합니다. tcp.bad-offset TCP 패킷의데이터오프셋이패킷끝을지나갑니다. tcp.unexpected-fin 설정되지않은상태의 TCP FIN 플래그집합입니다. tcp.unexpected-syn 설정된상태의 TCP SYN 플래그집합입니다. tcp.duplicate-ack 이미 ACK 된 TCP 패킷 ACK 데이터입니다. tcp.segment-outsidewindow TCP 패킷은창밖에있습니다 (TCP 모듈의작은창으로실제창이아님 ). tcp.urgent-nonzero-withouturg- flag TCP 긴급필드가 0 이아니지만 URG 플래그가설정되지않았습니다. 364 McAfee Enterprise Security Manager 제품안내서

365 정책및규칙관리규칙유형및속성 11 표 DNS 용어 설명 dns.too-small DNS 패킷이너무작아유효한헤더를포함하지못합니다. dns.question-name-past-end DNS 질문이름이패킷끝을지나갑니다. dns.answer-name-past-end DNS 대답이름이패킷끝을지나갑니다. dns.ipv4-address-length-wrong DNS 응답의 IPv4 주소길이가 4 바이트가아닙니다. dns.answer-circular-reference DNS 대답에는원형참조가들어있습니다. 123 페이지의 ADM 규칙구문 125 페이지의 ADM 규칙조건유형 127 페이지의 ADM 규칙메트릭참조 129 페이지의프로토콜별속성 ASP( 고급 Syslog 분석기 ) 규칙 ASP 는사용자규칙에따라 syslog 메시지의데이터를구문분석하는메커니즘을제공합니다. ASP( 고급 Syslog 분석기 ) 는시그니처 ID, IP 주소, 포트, 사용자이름, 액션등의메시지관련이벤트에데이터가상주하는위치를식별하는규칙을사용합니다. 또한 ASP 를사용하여 Linux 및 UNIX 서버에서복잡한로그소스를정렬하는규칙을작성할수있습니다. 이기능을사용하려면정규식사용방법에대한지식이있어야합니다. 시스템이 ASP 로그를수신할때로그의시간형식이 ASP 규칙에지정된형식과비교됩니다. 시간형식이일치하지않는경우시스템에서로그를처리하지않습니다. 시간형식의일치가능성을높이려면다양한사용자지정시간형식을추가합니다 ("ASP 규칙에시간형식추가 " 참조 ). [ 정책관리자 ] 권한이있는경우 ASP 규칙실행순서를할수있습니다 ("ASP 및필터규칙순서설정 " 참조 ). 365 페이지의사용자지정 ASP 규칙추가 366 페이지의 ASP 및필터규칙순서설정 367 페이지의 ASP 규칙에시간형식추가 사용자지정 ASP 규칙추가 [ 고급 Syslog 분석기규칙 ] 편집기를통해 ASP 로그데이터를구문분석하는규칙을만들수있습니다. 1 [ 정책편집기 ] 에서 [ 수신기 ] [ 고급 Syslog 분석기 ] 를클릭합니다. 2 [ 새로만들기 ] 를선택한다음 [ 고급 Syslog 분석기규칙 ] 을클릭합니다. 3 각탭을클릭하고요청한정보를입력합니다. 4 [ 마침 ] 을클릭합니다. 365 페이지의 ASP( 고급 Syslog 분석기 ) 규칙 366 페이지의 ASP 및필터규칙순서설정 367 페이지의 ASP 규칙에시간형식추가 McAfee Enterprise Security Manager 제품안내서 365

366 11 정책및규칙관리규칙유형및속성 ASP 규칙텍스트편집 ASP 구문을알고있는고급사용자인경우 ASP 규칙텍스트를직접추가하면각탭에서설정을하지않아도됩니다. ASP 및필터규칙순서설정 이제 [ 정책관리자 ] 권한이있으면필터또는 ASP 규칙실행순서를설정할수있습니다. 이을통해규칙을효율적으로정렬하여가장필요로하는데이터를제공할수있습니다. 1 ESM 콘솔에서 [ 정책편집기 ] 아이콘을클릭합니다. 2 [ ] 메뉴에서 [ASP 규칙순서지정 ] 또는 [ 필터규칙순서지정 ] 을선택한다음 [ 데이터소스유형 ] 필드에서데이터소스를선택합니다. 순서를지정할수있는규칙으로왼쪽창이채워집니다. 순서가지정된규칙은오른쪽창에있습니다. 3 [ 표준규칙 ] 또는 [ 사용자지정규칙 ] 탭에서끌어서놓기또는화살표를사용하여왼쪽창에서오른쪽창으로규칙을이동하여 [ 순서가지정되지않은규칙 ] 의위또는아래로규칙을배치합니다. [ 순서가지정되지않은규칙 ] 은왼쪽창에있는모든규칙이며, 기본순서상태입니다. 4 화살표를사용하여규칙의순서를다시지정한다음 [ 확인 ] 을클릭하여변경사항을저장합니다. 표 [ 데이터소스유형 ] 왼쪽표 오른쪽표 표사이의화살표 기본순서로되돌리기 이순서가적용되는데이터소스유형을선택합니다. 선택한데이터소스에따라규칙목록이변경됩니다. [ 표준규칙 ] 또는 [ 사용자지정규칙 ] 탭을선택합니다. 각탭에기본순서 ( 알파벳순서 ) 로규칙이나열됩니다. 규칙을지정된순서대로표시합니다. [ 순서가지정되지않은규칙 ] 항목은모든규칙의배치를기본순서로표시합니다. 오른쪽및왼쪽화살표를사용하여한쪽표에서다른쪽표로선택한규칙을이동합니다. 위쪽및아래쪽화살표를사용하여오른쪽표의규칙을올바른순서로배치합니다. 규칙을기본순서로되돌리려면클릭합니다. 이을선택하는경우오른쪽표의모든규칙이왼쪽표로다시이동합니다. 표 왼쪽표 오른쪽표 [ 표준규칙 ] 또는 [ 사용자지정규칙 ] 탭을선택합니다. 각탭에기본순서 ( 알파벳순서 ) 로규칙이나열됩니다. 규칙을지정된순서대로표시합니다. [ 순서가지정되지않은규칙 ] 항목은모든규칙의배치를기본순서로표시합니다. 표사이의화살표오른쪽및왼쪽화살표를사용하여한쪽표에서다른쪽표로선택한규칙을이동합니다. 위쪽및아래쪽화살표를사용하여오른쪽표의규칙을올바른순서로배치합니다. 365 페이지의 ASP( 고급 Syslog 분석기 ) 규칙 365 페이지의사용자지정 ASP 규칙추가 367 페이지의 ASP 규칙에시간형식추가 366 McAfee Enterprise Security Manager 제품안내서

367 정책및규칙관리규칙유형및속성 11 ASP 규칙에시간형식추가시스템이 ASP( 고급 Syslog 분석기 ) 로그를수신할때시간형식은 ASP 규칙에서지정한형식과일치해야합니다. 다양한사용자지정시간형식을추가하면로그의시간형식이제공된형식중하나와일치할가능성이높아집니다. 1 ESM 콘솔에서 [ 정책편집기 ] 아이콘을클릭합니다. 2 [ 규칙유형 ] 창에서 [ 수신기 ] [ 고급 Syslog 분석기 ] 를클릭합니다. 3 ASP 규칙을다운로드한후다음중하나를수행합니다. 기존규칙을편집하려면규칙을클릭한다음 [ 편집 ] [ 수정 ] 을클릭합니다. 새규칙을추가하려면 [ 새로만들기 ] [ 고급 Syslog 분석기규칙 ] 을클릭한다음 [ 일반 ], [ 구문분석 ] 및 [ 필드할당 ] 탭을완료합니다. 4 [ 매핑 ] 탭을클릭한다음 [ 시간형식 ] 표위의더하기 (+) 아이콘을클릭합니다. 5 [ 형식 ] 필드를클릭한다음시간형식을선택합니다. 6 이형식을사용하려는시간필드를선택합니다. [ 처음 ] 및 [ 마지막 ] 은이벤트가생성된처음및마지막시간을참조합니다. ESM 에추가한 [ 사용자지정유형 ] 시간필드 (" 사용자지정유형필터 " 참조 ) 도나열되어있습니다. 7 [ 확인 ] 을클릭한다음 [ 매핑 ] 탭에서나머지정보를완료합니다. 표 탭 [ 파일 ] 규칙을저장하려는경우클릭한다음 [ 저장 ] 또는 [ 다른이름으로저장 ] 을선택합니다. [ 도구 ] [ASP 규칙텍스트편집 ] 을선택하여각탭의설정을하지않고직접 ASP 규칙텍스트를추가합니다. ASP 구문에대해알고있는고급사용자여야합니다. [ 일반 ] 탭규칙에대한일반설정을합니다. [ 구문분석 ] 탭 [ 이름 ] 규칙의이름을입력합니다. [ 태그 ] [ 선택 ] 을클릭하여규칙이속한범주를하는태그를추가합니다. 규칙을저장하려면각 ASP 규칙에하나이상의태그가필요합니다. [ 기본정규화 ID] 기본 ID 는 으로, 이는분류되어있지않고들어오는로그에 ID 가없을경우 에사용됩니다. 이 ID 를변경하려면아이콘합니다. 을클릭하고이규칙에연결할 ID 를선택 [ 기본심각도 ] 필요한경우이규칙의심각도를변경합니다. 이심각도는들어오는로그데이터에심각도가없는경우에사용됩니다. [ 규칙할당유형 ] [ 고급 Syslog 분석기 ] 에서학습된이벤트데이터를그룹화하고다른데이터소스와구분하는데사용되는기본규칙할당유형을선택합니다. 데이터베이스에서시그니처 ID 충돌을방지하려면다양한규칙유형을사용하여별도로장치를그룹화하는것이좋습니다. 예를들어 Cisco PIX 의이벤트 는 Cisco IOS 의 나 Snort IDS 의 와다른의미를가집니다. [ 설명 ] ( 선택사항 ) 규칙에대한설명을입력합니다. [ 프로세스이름 ] 규칙에대해구문분석을설정합니다. ( 선택사항 ) 들어오는로그데이터의헤더와일치하는프로세스이름을입력합니다. McAfee Enterprise Security Manager 제품안내서 367

368 11 정책및규칙관리규칙유형및속성 표 ( 계속 ) 탭 [ 콘텐츠문자열 ] ( 선택사항 ) 들어오는로그데이터와일치시킬콘텐츠문자열을입력합니다. 문자열을추가하려면 [ 편집 ] [ 추가 ] 를클릭한다음문자열값을입력합니다. 문자열값은따옴표 ( ) 로묶고쉼표 (,) 로구분해야합니다. ESM 이상에서리터럴값을 PCRE 하위캡처로연결하려는경우리터럴에공백이나다른문자가있으면리터럴을개별적으로따옴표에넣습니다. PCRE 하위캡처참조는따옴표로묶지않은상태로유지합니다. [ 구문분석용도로만정규표현식사용 ] [ 대 / 소문자구분안함 ] [ 데이터가일치하지않을경우트리거 ] 기본적으로콘텐츠문자열이나정규표현식이일치하면규칙이트리거됩니다. 콘텐츠문자열이일치하는경우에만규칙을트리거하려면이을선택합니다. 대 / 소문자에관계없이콘텐츠를일치시키려면이을선택합니다. 필드할당및매핑을비활성화하려면이을선택합니다. 규칙이트리거되지만구문분석되는데이터는없습니다. [ 정규표현식 ] 들어오는로그데이터에일치시키는데사용할정규표현식을입력하고로그데이터에서여러일치을수행하는기능을제공합니다. 은다음과같습니다. 추가아이콘다. 은정규표현식을입력할수있는 [ 정규표현식추가 ] 페이지를시작합니 편집아이콘시작합니다. 은선택한정규표현식을변경할수있는 [ 정규표현식편집 ] 페이지를 삭제아이콘은선택한정규표현식을삭제합니다. 이러한표현식은목록의첫번째표현식이실행되고로그데이터에서결과를반환한다음에야실행됩니다. 이표내에서정규표현식값을단일선택한다음 [ 정규표현식일치 ] 표의오른쪽에서항목을선택하여샘플데이터필드내에서해당텍스트일치항목을강조표시할수있습니다. [ 정규표현식일치 ] [ 정규표현식일치항목에 syslog 헤더를포함합니다 ] [ 샘플로그데이터 ] 이테이블에는기본및보조정규표현식에대해실행될때샘플로그데이터에서추출된값이표시됩니다. 전체로그데이터에서정규표현식일치를수행하려면이을선택합니다. 일부샘플로그데이터를복사하고이필드에붙여넣어유효한정규표현식을만들수있습니다. 각로그는한줄에있어야합니다. [ 필드할당 ] 탭 [ 변환된로그데이터 ] 원본샘플로그데이터가 CEF 형식인경우구문분석형식으로변환되고이탭에표시됩니다. 사용자지정필드 ( 예 : cs1... cs1label... cn1... cn1label...) 가없는 CEF 로그는변환하지않아도됩니다. [ 형식 ] [ 샘플로그데이터 ] 문이있는형식을선택합니다. 로그데이터가선택한형식에대한표준을준수하지않는경우키 / 값쌍이추출되지않습니다. [ 키 / 값테이블 ] 이표에는샘플로그데이터에서추출된키 / 값쌍이표시됩니다. 필드할당을설정합니다. 368 McAfee Enterprise Security Manager 제품안내서

369 정책및규칙관리규칙유형및속성 11 표 ( 계속 ) 탭 [ 필드 ] 이열에는일치시킬수있는필드가나열됩니다. 필드이름옆에있는추가아이콘을클릭하여폴백필드를추가할수있습니다. 폴백필드는기본필드가비어있는경우에사용됩니다. 폴백필드는순서대로실행되므로필드를끌어놓아순서를바꿀수있습니다. 폴백필드는최대 10 개까지사용할수있습니다. 폴백필드를추가한다음에는폴백필드이름왼쪽에있는삭제아이콘을클릭하여제거할수있습니다. [ 표현식 ] 이열은필드를로그데이터값에매핑하는데사용됩니다. [ 표현식 ] 열을클릭하고표시되는필드에그룹 ID 를입력합니다. 두값사이에더하기 (+) 기호를입력하여두값을연결할수있습니다. [ 샘플값 ] 이열은특정필드에대한최종출력을시뮬레이션하는데사용됩니다. [ 키 / 값테이블 ] 이테이블에는표현식에대해실행될때 [ 구문분석 ] 탭의 [ 샘플로그데이터 ] 에서추출된값이반영됩니다. 이목록에서값을끌어필드표현식에놓을수있습니다. [ 사용자지정필드추가 ] 아이콘및 [ 사용자지정필드삭제 ] 아이콘 필요한필드가 [ 필드 ] 열에표시되지않는경우 [ 사용자지정필드추가 ] 아이콘을클릭합니다. [ 사용자지정유형 ] 페이지에서추가한유형을포함하여시스템의모든사용자지정유형이나열됩니다. 목록에추가할필드를클릭한다음 [ 확인 ] 을클릭합니다. 필드가표에추가됩니다. 목록에서사용자지정필드를삭제하려면 [ 사용자지정필드삭제 ] 아이콘을클릭하고 [ 예 ] 를클릭하여확인합니다. [ 매핑 ] 탭고유한방식으로매핑하거나구문분석해야하는들어오는로그데이터에대해사용자지정설정을합니다. [ 시작시간 ] 및 [ 중지시간사용자지정형식 ] 시스템이 ASP 로그를수신할때시간형식은 ASP 규칙에서지정한형식과일치해야합니다. 다양한사용자지정시간형식을추가할수있습니다. 로그의시간형식이제공된형식중하나와일치할가능성이높아집니다 ("ASP 규칙에시간형식추가 " 참조 ). 액션표 [ 액션키 ] 열의줄을클릭한다음발생할수있는다른액션을입력합니다. [ 액션값 ] 열에가능한모든액션목록이표시됩니다. 열에서원하는액션을발생할수있는다른종류의액션과일치시킵니다. [ 기본액션 ] [ 액션 ] 테이블에서선택하지않은경우사용할기본액션을설정하려면확인란을클릭하고액션을선택합니다. [ 심각도매핑 ] 추가아이콘 을클릭하여들어오는로그데이터에서매핑하려는값을추가할수있습니 다. [ 기본심각도 ] [ 심각도매핑 ] 표에서선택하지않은경우사용할기본심각도를설정하려면이을선택한다음심각도를선택합니다. 365 페이지의 ASP( 고급 Syslog 분석기 ) 규칙 365 페이지의사용자지정 ASP 규칙추가 366 페이지의 ASP 및필터규칙순서설정 McAfee Enterprise Security Manager 제품안내서 369

370 11 정책및규칙관리규칙유형및속성 상관규칙 상관엔진의기본목적은 ESM 에서데이터흐름을분석하고, 데이터흐름에서관심을끄는패턴을탐지하고, 이러한패턴을나타내는경보를생성하고, 이러한경보를수신기의경보데이터베이스에삽입하는것입니다. 상관데이터소스가구성되면상관엔진이활성화됩니다. 상관엔진에서관심을끄는패턴의데이터는상관규칙에따라해석됩니다. 상관규칙은방화벽또는표준규칙과완전히분리된고유한것으로, 해당동작을지정하는특성이있습니다. 각수신기는 ESM( 배포된상관규칙세트 ) 에서상관규칙세트를가져오며이는사용자매개변수값세트가포함된 0 개이상의상관규칙으로구성되어있습니다. 방화벽및표준규칙세트처럼기본상관규칙세트는모든 ESM( 기준상관규칙세트 ) 에포함되며이규칙세트에대한업데이트는규칙업데이트서버에서 ESM 장치에배포됩니다. 규칙업데이트서버의규칙은기본값을포함합니다. 기준상관엔진규칙세트를업데이트하는경우네트워크를제대로나타낼수있도록이러한기본값을사용자지정해야합니다. 기본값을변경하지않고이러한규칙을배포하는경우잘못된긍정또는잘못된부정을생성할수있습니다. syslog 또는 OPSEC 를구성하는것과유사한방식으로수신기당하나의상관데이터소스만구성할수있습니다. 상관데이터소스가구성되면 [ 상관규칙편집기 ] 로기준상관규칙세트를편집하여배포된상관규칙세트를만들수있습니다. 각상관규칙을활성화하거나비활성화할수도있고각규칙의사용자가능매개변수값을설정할수도있습니다. 상관규칙을활성화하거나비활성화하는것외에도 [ 상관규칙편집기 ] 를사용하면사용자지정규칙을만들고상관규칙에추가할수있는사용자지정상관구성요소를만들수있습니다. 371 페이지의상관규칙상세정보보기 373 페이지의이벤트의두필드를비교하는상관규칙설정 374 페이지의그룹화기준재 사용자지정상관규칙또는구성요소의예 상관규칙또는구성요소를추가합니다. 이예에서추가하려는규칙은 ESM 이 Windows 시스템의단일소스에서 5 번의실패한로그인시도를탐지한다음성공한로그인을탐지하고모든액션이 10 분내에수행될경우경보를생성합니다. 1 [ 정책편집기 ] 의 [ 규칙유형 ] 창에서 [ 상관 ] 을클릭합니다. 2 [ 새로만들기 ] 를클릭한다음 [ 상관규칙 ] 을선택합니다. 3 설명적인이름을입력한다음심각도설정을선택합니다. 이규칙에의해생성된이벤트는인증되지않은사람이시스템에액세스했음을나타내므로적절한심각도설정은 80 입니다. 4 [ 인증 ] 또는 [ 인증 ] [ 로그인 ] 이될수있는정규화 ID 를선택한다음 [AND] 논리적요소를끌어놓습니다. 두가지유형의액션 ( 먼저로그인시도가수행된다음성공한로그인수행 ) 이발생되어야하므로 [AND] 를선택합니다. 5 [ 메뉴 ] 아이콘을클릭한다음 [ 편집 ] 을선택합니다. 6 [ 시퀀스 ] 를선택하여액션이순서대로발생되어야함 ( 첫번째로 5 번의실패한로그인시도및두번째로성공한로그인 ) 을나타낸다음이시퀀스가발생되어야하는횟수, 즉 "1" 을설정합니다. 7 액션이발생되어야하는기간을설정한다음 [ 확인 ] 을클릭합니다. 두가지액션에기간이필요하므로두액션사이에 10 분기간을나눠야합니다. 이예에서는각액션에대한기간이 5 분입니다. 실패한시도가 5 분내에발생하면시스템은다음 5 분내에동일한 IP 소스에서성공한로그인을수신하기시작합니다. 370 McAfee Enterprise Security Manager 제품안내서

371 정책및규칙관리규칙유형및속성 11 8 [ 그룹화기준 ] 필드에서아이콘을클릭하고 [ 소스 IP ] 을왼쪽에서오른쪽으로이동하여모든액션이동일한소스 IP 에서생성됨을나타낸다음 [ 확인 ] 을클릭합니다. 9 이규칙또는구성요소에대한논리를합니다.... 수행방법... 원하는이벤트를식별하는필터유형을지정합니다 ( 이경우 Windows 시스템에서여러번실패한로그인시도 ). 1 [ 필터 ] 아이콘을끌어 AND 논리적요소에놓습니다. 2 [ 필터필드구성요소 ] 페이지에서 [ 추가 ] 를클릭합니다. 3 [ 정규화규칙 ] [ 포함 ] 을선택하고다음을선택합니다. [ 정규화 ] [ 호스트로그인 ] [ 인증 ] [ 로그인 ] 4 [ 확인 ] 을클릭합니다. [Windows 호스트에서여러번실패한로그인시도 ] 로그인실패가발생되어야하는횟수및기간을설정합니다. 1 [AND] 논리적요소를 [ 필터 ] 막대에끌어놓습니다. 5 번의시도가별도로발생되어야하므로 [AND] 요소가사용됩니다. 이요소를사용하여로그인실패가발생되어야하는횟수및기간을설정할수있습니다. 2 방금추가한 [AND] 요소에대한 [ 메뉴 ] 아이콘을클릭한다음 [ 편집 ] 을클릭합니다. 3 [ 임계값 ] 필드에 [5] 를입력하고현재있는다른값을제거합니다. 4 [ 기간 ] 필드를 [5] 로설정합니다. 5 [ 확인 ] 을클릭합니다. 발생되어야하는두번째필터유형인성공한로그인을합니다. 1 [ 필터 ] 아이콘을첫번째 [AND] 논리적요소각괄호의아래쪽끝으로끌어놓습니다. 2 [ 구성요소일치 ] 페이지에서 [ 추가 ] 를클릭합니다. 3 이필드에서 [ 정규화규칙 ] [ 포함 ] 을선택하고다음을선택합니다. [ 정규화 ] [ 인증 ] [ 로그인 ] [ 호스트로그인 ] 4 [ 확인 ] 을클릭하여 [ 구성요소일치 ] 페이지로돌아갑니다. 5 " 성공 " 을하려면 [ 추가 ] 를클릭하고 [ 이벤트하위유형 ] [ 포함 ] 을선택한다음 [ 변수 ] 아이콘을클릭하고 [ 이벤트하위유형 ] [ 성공 ] [ 추가 ] 를클릭합니다. 6 [ 확인 ] 을클릭하여 [ 정책편집기 ] 로돌아갑니다. 새규칙이 [ 정책편집기 ] 의상관규칙목록에추가됩니다. 상관규칙상세정보보기 상관규칙이규칙을트리거하는조건에대한상세정보를표시합니다. 이정보를통해잘못된긍정을조정할수있습니다. 시작하기전에 관리자권한이있거나정책관리권한이있는액세스그룹에속해있는지확인합니다. McAfee Enterprise Security Manager 제품안내서 371

372 11 정책및규칙관리규칙유형및속성 상세정보는요청시항상수집됩니다. 그러나종종변경될수있는다른값또는동적관심목록을사용하는규칙의경우트리거직후상세정보를볼수있도록규칙을설정할수있습니다. 그러면상세정보를사용할수없게될가능성이줄어듭니다. 1 대시보드에서을클릭하고 [ 상관 ] 을선택합니다. 정책편집기에상관규칙목록이표시됩니다. 2 상세정보를즉시볼수있도록각규칙을설정합니다. a ESM 콘솔에서 [ 정책편집기 ] 아이콘을클릭한다음 [ 규칙유형 ] 창에서 [ 상관 ] 을클릭합니다. b 규칙의 [ 상세정보 ] 열을클릭하고 [ 설정 ] 을선택합니다. 한번에둘이상의규칙을선택할수있습니다. 3 상세정보를봅니다. a 시스템탐색트리의 ACE 장치에서 [ 규칙상관 ] 을클릭합니다. b 보기목록에서 [ 이벤트보기 ] [ 이벤트분석 ] 을선택한다음보려는이벤트를클릭합니다. c [ 상관상세정보 ] 탭을클릭하여상세정보를봅니다. 370 페이지의상관규칙 373 페이지의이벤트의두필드를비교하는상관규칙설정 374 페이지의그룹화기준재 상관규칙또는구성요소에매개변수추가 상관규칙또는구성요소의매개변수는규칙또는구성요소의동작이실행되는경우해당동작을제어합니다. 매개변수가필요하지않습니다. 1 [ 상관규칙 ] 또는 [ 상관구성요소 ] 페이지에서 [ 매개변수 ] 를클릭합니다. 2 [ 추가 ] 를클릭한다음매개변수의이름을입력합니다. 3 이에대해원하는매개변수유형을선택한다음값을선택하거나선택취소합니다. [ 목록 ] 및 [ 범위 ] 값은동시에사용할수없습니다. 목록값은범위 (1 6, 8, 10, 13) 를포함할수없습니다. 올바로쓰는방법은 1, 2, 3, 4, 5, 6, 8, 10, 13 입니다. 4 매개변수에대해기본값을선택하려면 [ 기본값편집기 ] 아이콘을클릭합니다. 5 매개변수가외부에서보이지않도록하려면 [ 외부에표시 ] 를선택취소합니다. 매개변수는규칙범위에로컬입니다. 6 이매개변수의설명을입력합니다. 그러면매개변수가강조표시될때 [ 규칙매개변수 ] 페이지의 [ 설명 ] 텍스트상자에표시됩니다. 7 [ 확인 ] 을클릭한다음 [ 닫기 ] 를클릭합니다. 372 McAfee Enterprise Security Manager 제품안내서

373 정책및규칙관리규칙유형및속성 11 표 [ 이름 ] 매개변수의이름을입력합니다. [ 유형 ] 매개변수의유형을선택합니다. [ 이매개변수에가능한 ] 이매개변수에입력할값을선택하거나선택취소합니다. [ 목록 ] 과 [ 범위 ] 값은동시에사용할수없습니다. 목록값은범위 (1-6 8, 10, 13) 를포함할수없습니다. 올바로쓰는방법은 1, 2, 3, 4, 5, 6, 8, 10, 13 입니다. [ 기본값 ] 매개변수에대해기본값을선택하려면 [ 기본값편집기 ] 아이콘을클릭합니다. [ 외부에표시 ] 매개변수가외부에서보이지않도록하려면이을선택취소합니다. 그러면매개변수는규칙범위에로컬입니다. [ 설명 ] 이매개변수의설명을입력합니다. 그러면매개변수를클릭할때 [ 규칙매개변수 ] 페이지의 [ 설명 ] 필드에표시됩니다. 표 테이블현재값및기본값과함께규칙에대한매개변수를나열합니다. [ 편집 ] 값을변경하려면클릭합니다. [ 설명 ] 테이블에서선택한매개변수를설명합니다. [ 기본값복원 ] 기본설정에대한값을복원하려면클릭합니다. 표 [ 테이블 ] 기존매개변수를봅니다. 새규칙또는구성요소인경우는나열되는매개변수가없습니다. [ 추가 ] 규칙또는구성요소에대한새매개변수를추가합니다. [ 편집 ] 기존매개변수의설정을변경합니다. [ 삭제 ] 매개변수를삭제합니다. [ 설명 ] 선택한매개변수에대한설명을봅니다. 표 [ 테이블 ] 참조하려는규칙또는구성요소를선택합니다. [ 설명 ] 선택한규칙또는구성요소에대한설명을표시합니다. 이벤트의두필드를비교하는상관규칙설정 [ 기본값편집기 ] 를사용하여이벤트에서두개의서로다른필드값을비교하는규칙을설정할수있습니다. 예를들어소스사용자및대상사용자가동일하도록규칙을설정할수있습니다. 소스 IP 주소및대상 IP 주소가다른지확인하는규칙을설정할수도있습니다. 숫자필드의경우보다큼 (>), 보다작음 (<), 크거나같음 (>=) 및작거나같음 (<=) 연산자가지원됩니다. 1 ESM 콘솔에서 [ 정책편집기 ] 아이콘을클릭합니다. 2 [ 규칙유형 ] 창에서 [ 상관 ] 을선택하고필드를비교하려는규칙을클릭한다음 [ 편집 ] [ 수정 ] 을클릭합니다. McAfee Enterprise Security Manager 제품안내서 373

374 11 정책및규칙관리규칙유형및속성 3 논리구성요소의메뉴아이콘을클릭한다음 [ 편집 ] 을클릭합니다. 4 필터영역에서 [ 추가 ] 를클릭하여새필터를추가하거나기존필터를선택하여 [ 편집 ] 을클릭합니다. 5 [ 기본값편집기 ] 아이콘을클릭하여값을입력하고 [ 추가 ] 를클릭한다음 [ 필드 ] 탭에서필드를선택하고 [ 추가 ] 를 클릭합니다. 370 페이지의상관규칙 371 페이지의상관규칙상세정보보기 374 페이지의그룹화기준재 그룹화기준재 특정필드별로그룹화하는상관규칙을설정한경우다른필드에서일치하도록규칙의구성요소중하나를재할수있습니다. 예를들어 [ 소스 IP] 에대한상관규칙에서 [ 그룹화기준 ] 필드를설정한경우 [ 대상 IP] 를사용하도록규칙의구성요소를재할수있습니다. 즉, 재한구성요소와일치하는이벤트를제외한모든이벤트는소스 IP 가동일합니다. 이러한이벤트는다른이벤트의소스 IP 와동일한대상 IP 를갖습니다. 이기능은특정대상으로이동하는이벤트뒤에해당대상에서발생하는또다른이벤트를찾는데유용합니다. 1 ESM 콘솔에서 [ 정책편집기 ] 아이콘을클릭합니다. 2 [ 규칙유형 ] 창에서 [ 상관 ] 을클릭하고규칙을선택한다음 [ 편집 ] [ 수정 ] 을클릭합니다. 3 [ 상관논리 ] 영역에서 [ 구성요소일치 ] 논리요소를끌어놓은다음메뉴아이콘을클릭하거나 [ 상관논리 ] 영역에서기존 [ 구성요소일치 ] 요소의메뉴아이콘을클릭합니다. 4 [ 편집 ] 을선택하고 [ 고급 ] 을클릭한다음 [ 그룹화기준재 ] 를선택하고 [ 구성 ] 을클릭합니다. 5 [ 그룹화기준재구성 ] 페이지에서재필드를선택한다음 [ 확인 ] 을클릭합니다. 370 페이지의상관규칙 371 페이지의상관규칙상세정보보기 373 페이지의이벤트의두필드를비교하는상관규칙설정 데이터소스규칙 데이터소스규칙목록에는사전되고자동학습된규칙이들어있습니다. 수신기는수신기와연결된데이터소스에서전송된정보를처리할때데이터소스규칙을자동학습합니다. [ 규칙유형 ] 창의 [ 데이터소스 ] 은시스템탐색트리에서정책, 데이터소스, [ 고급 Syslog 분석기 ] 또는수신기가선택된경우에만표시됩니다. 페이지하단의설명영역에서선택된규칙에대한자세한내용을제공합니다. 모든규칙에는규칙과관련된우선순위를지정하는심각도설정이있습니다. 우선순위는이러한규칙에대해생성된경보가보고용으로표시되는방법에영향을미칩니다. 데이터소스규칙에된기본액션이있습니다. 수신기는이액션을이규칙과연관된이벤트하위유형에할당합니다. 이액션을변경할수있습니다 (" 데이터소스규칙액션설정 " 참조 ). 375 페이지의데이터소스규칙액션설정 375 페이지의자동학습된데이터소스규칙관리 374 McAfee Enterprise Security Manager 제품안내서

375 정책및규칙관리규칙유형및속성 11 데이터액세스규칙추가또는편집 DEM 데이터액세스정책은데이터베이스로의알수없는액세스경로를추적하고실시간으로이벤트를전송하는기능을제공합니다. 적절한데이터액세스정책을만들면응용프로그램로그온 ID 로생산시스템에액세스하는응용프로그램개발자같은데이터베이스환경의일반적인위반은쉽게추적할수있습니다. 1 [ 정책편집기 ] 의 [ 규칙유형 ] 창에서 [DEM] [ 데이터액세스 ] 를선택합니다. 2 다음중하나를수행합니다. 새규칙을추가하려면 [ 새로만들기 ] 를선택한다음 [ 데이터액세스규칙 ] 을클릭합니다. 규칙을편집하려면, 규칙표시창에서규칙을선택한다음 [ 편집 ] [ 수정 ] 을클릭합니다. 3 정보를입력한다음 [ 확인 ] 을클릭합니다. 데이터소스규칙액션설정 데이터소스규칙에된기본액션이있습니다. 수신기는이액션을이규칙과연관된이벤트하위유형에할당합니다. 이액션을변경할수있습니다. 데이터소스규칙별로이벤트하위유형값을설정할수있습니다. 이는선택액세스규칙의결과 ( 허용 / 거부 ) 와같이다른값을사용하는경보, 대시보드, 보고서, 구문분석규칙에대해규칙액션을설정할수있다는것입니다. 1 ESM 콘솔에서 [ 정책편집기 ] 아이콘을클릭한다음 [ 수신기 ] [ 데이터소스 ] 를 [ 규칙유형 ] 창에서선택합니다. 2 변경해야하는규칙에대한 [ 하위유형 ] 열을클릭한다음새액션을선택할수있습니다. [ 활성화 ] 를선택하면이벤트하위유형이기본액션, [ 경보 ] 로채워집니다. 해당규칙에대한이벤트를수집하지않는경우 [ 비활성화 ] 를선택합니다. 다른액션을선택하여이벤트하위유형을해당액션으로채웁니다. 374 페이지의데이터소스규칙 375 페이지의자동학습된데이터소스규칙관리 자동학습된데이터소스규칙관리 자동학습된데이터소스규칙목록을보고편집또는삭제합니다. 1 [ 정책편집기 ] 에서 [ 수신기 ] [ 데이터소스 ] 를선택합니다. 2 [ 필터 / 태그지정 ] 창에서, 창맨아래의 [ 고급 ] 막대를클릭합니다. 3 [ 원본 ] 드롭다운목록에서 [ 사용자 ] 를선택한다음 [ 쿼리실행 ] 아이콘을클릭합니다. 모든자동학습된데이터소스규칙이표시창에나열됩니다. McAfee Enterprise Security Manager 제품안내서 375

376 11 정책및규칙관리규칙유형및속성 4 편집하거나삭제하려는규칙을선택하고 [ 편집 ] 을클릭한다음 [ 수정 ] 또는 [ 자동학습된규칙삭제 ] 를선택합니다. [ 수정 ] 을선택한경우이름, 설명또는정규화된 ID 를변경한다음 [ 확인 ] 을클릭합니다. [ 자동학습된규칙삭제 ] 를선택한경우올바른을선택한다음 [ 확인 ] 을클릭합니다. 표 [ 이데이터소스유형에대해자동학습된모든규칙을삭제합니다 ] 선택한데이터소스에대해자동학습된모든규칙을삭제합니다. [ 선택한자동학습규칙을삭제합니다 ] 규칙표시창에서선택한규칙을삭제합니다. [ 이전에자동학습된모든규칙을삭제합니다 ] 필드에입력하는날짜이전에자동학습된규칙을삭제합니다. [ 시스템보존시간전에자동학습된모든규칙을삭제합니다 ] 374 페이지의데이터소스규칙 375 페이지의데이터소스규칙액션설정 시스템보존시간으로설정한날짜이전에자동학습된규칙을삭제합니다. 데이터보존시간을변경해야하는경우 [ 편집 ] 을클릭합니다. DEM 규칙 McAfee DEM 의강력한기능은네트워크패킷의정보를캡처하고정규화하는방식에있습니다. 또한 DEM 에는패턴일치에논리및정규표현식을사용하여복잡한규칙을만드는기능이있으며, 잘못된긍정을거의사용하지않고데이터베이스또는응용프로그램메시지를모니터링하는기능을제공합니다. 일부응용프로그램프로토콜및메시지가다른응용프로그램프로토콜및메시지보다더풍부하므로정규화된데이터 ( 메트릭 ) 는각응용프로그램에따라달라집니다. 필터표현식을조작할때는구문뿐만아니라메트릭이응용프로그램에대해지원되는지확인하여주의해야합니다. DEM 에는기본규칙세트가포함되어있습니다. 기본컴플라이언스규칙은로그온 / 로그오프, DDL 변경과같은 DBA 유형, 의심스러운, 일반적으로컴플라이언스요구사항을충족하는데필요한데이터베이스공격등중요한데이터베이스이벤트를모니터링합니다. 각기본규칙을활성화하거나비활성화하고각규칙의사용자가능한매개변수값을설정할수있습니다. 다음데이터베이스, 데이터액세스, 탐색및트랜잭션추적규칙은 DEM 규칙의유형입니다. 규칙유형 데이터베이스 데이터액세스 설명 DEM 기본규칙세트에는지원되는각데이터베이스유형에대한규칙및 SOX, PCI, HIPAA, FISMA 와같은공통규정이포함됩니다. 각기본규칙을활성화하거나비활성화하고각규칙의사용자가능한매개변수값을설정할수있습니다. DEM 에포함된규칙을사용할뿐만아니라논리및정규표현식을사용하여복잡한규칙을만들수도있습니다. 이규칙은잘못된긍정을거의사용하지않고데이터베이스또는응용프로그램메시지를모니터링하는기능을제공합니다. 일부응용프로그램프로토콜및메시지가다른응용프로그램프로토콜및메시지보다더풍부하므로정규화된데이터 ( 메트릭 ) 는각응용프로그램에따라달라집니다. 규칙은필요에따라복잡하게만들수있으며논리및정규표현식연산자를모두포함할수있습니다. 규칙표현식은응용프로그램에사용할수있는하나이상의메트릭에적용할수있습니다. DEM 의데이터액세스규칙은알수없는데이터베이스액세스경로를추적하고실시간으로경보를보내는기능을제공합니다. 적절한데이터액세스규칙을만들면응용프로그램개발자가응용프로그램로그온 ID 를사용하여프로덕션시스템에액세스하는등데이터베이스환경에서발생하는일반적인위반을쉽게추적할수있습니다. 376 McAfee Enterprise Security Manager 제품안내서

377 정책및규칙관리규칙유형및속성 11 규칙유형 탐색 트랜잭션추적 설명 DEM 의데이터베이스탐색규칙은네트워크에있지만모니터링되지않는, ESM 에서지원하는유형의데이터베이스서버예외목록을제공합니다. 따라서보안관리자는환경에추가할새데이터베이스서버와데이터베이스의데이터에액세스하기위해연잘못된수신기포트를탐색할수있습니다. 탐색규칙 ([ 정책편집기 ] [DEM 규칙유형 ] [ 탐색 ]) 은추가하거나편집할수없는기본제공규칙입니다. 데이터베이스서버페이지에서탐색을활성화 ([DEM 속성 ] [ 데이터베이스서버 ] [ 활성화 ]) 하면시스템은이러한규칙을사용하여네트워크에있지만시스템탐색트리의 DEM 아래에나열되지않는데이터베이스서버를검색합니다. 트랜잭션추적규칙을사용하면데이터베이스트랜잭션을추적하고변경을자동조정할수있습니다. 예를들어기존의변경티켓팅시스템에서인증된순서로데이터베이스변경을추적하고조정하는시간이많이걸리는프로세스를완전히자동화할수있습니다. 이기능의사용은다음예를통해가장잘이해할수있습니다. 프로시저상 DBA 는실제로인증된을시작하기전에이수행되는데이터베이스에서시작태그저장프로시저 ( 이예에서는 spchangecontrolstart) 를실행합니다. DBA 는 DEM 의 [ 트랜잭션추적 ] 기능을사용하여선택적문자열매개변수를태그의인수로최대세개까지다음순서로포함할수있습니다. 1 ID 2 이름또는 DBA 이니셜 3 설명 예를들어 spchangecontrolstart 12345, mshakir, reindexing app 와같이포함합니다. DEM 에서실행되는 spchangecontrolstart 프로시저를관찰하면트랜잭션뿐만아니라매개변수 (ID, 이름, 설명 ) 도특별한정보로로깅합니다. 이완료되면 DBA 는끝태그저장프로시저 (spchangecontrolend) 를실행하고선택적으로하나의 ID 매개변수를포함합니다. 이 ID 는시작태그의 ID 와동일해야합니다. DEM 에서끝태그 ( 및 ID) 를살펴볼때시작태그 ( 동일한 ID 포함 ) 와끝태그사이의모든을특별한트랜잭션으로연결할수있습니다. 이제트랜잭션별로보고하고 ID 로검색할수있습니다. 이 ID 는이순서조정예에서변경제어번호일수있습니다. 또한트랜잭션추적을사용하여트레이드실행의시작과끝을로깅하거나명령문을시작하고커밋하여쿼리대신트랜잭션별로보고할수도있습니다. ESM 규칙 ESM 규칙은 ESM 과관련된이벤트를생성하기위해사용됩니다. 이유형의모든규칙은 McAfee 에서합니다. 이규칙은 ESM 에서발생한내용을표시하는준수또는감사보고서를생성하기위해사용할수있습니다. 이들은추가, 수정또는삭제할수없습니다. 하지만속성설정은변경할수있습니다 (" 규칙유형및해당속성 " 참조 ). 필터규칙 필터규칙을통해하는데이터를수신기에서받을때수행할액션을지정할수있습니다. 데이터순서 다음데이터순서로필터규칙을수신기에씁니다. 1 모두비 " 모두탐지 " 규칙 a b c d 중지 = 참및구문분석 = 거짓및로그 = 거짓 중지 = 참및구문분석 = 참및로그 = 참 중지 = 참및구문분석 = 참및로그 = 거짓 중지 = 참및구문분석 = 거짓및로그 = 참 2 모두 " 모두탐지 " 규칙 McAfee Enterprise Security Manager 제품안내서 377

378 11 정책및규칙관리규칙유형및속성 규칙순서 [ 정책관리자 ] 권한이있는경우필터규칙을실행할수있는순서를할수있습니다. 그러면가장효과적인순서로이규칙이실행되고필요한데이터를생성합니다 ("ASP 및필터규칙에대한순서설정 " 참조 ). 필터규칙추가 필터규칙을 [ 정책편집기 ] 에추가할수있습니다. 1 [ 정책편집기 ] 에서 [ 수신기 ] [ 필터 ] 를선택합니다. 2 [ 새로만들기 ] 를선택한다음 [ 필터규칙 ] 을클릭합니다. 3 필드를완료한다음 [ 확인 ] 을클릭합니다. 4 규칙을활성화하려면규칙표시창에서규칙을선택하고 [ 액션 ] 열에서설정을클릭한다음 [ 활성화됨 ] 을클릭합니다. 표 [ 태그 ] [ 선택 ] 을클릭하고태그를선택하여이규칙이속하는범주를합니다. [ 이름 ] 규칙의이름을입력합니다. [ 정규화된 ID] ( 선택사항 ) [ 정규화된 ID] 아이콘을클릭한다음추가정규화된 ID 를선택합니다. [ 심각도 ] ( 선택사항 ) 규칙의심각도설정을변경합니다. [ 모두일치 ] PCRE 또는콘텐츠문자열없이규칙을쓰려는경우선택합니다. 이을선택하는경우 [ 이규칙으로수행할액션 ] 섹션에서지정하는액션이수신되는모든데이터에대해수행됩니다. [ 콘텐츠문자열 ] ( 선택사항 ) 콘텐츠문자열을입력하여수신되는데이터를필터링합니다. 수신된데이터가이러한콘텐츠문자열과일치하는경우이대화상자에서지정하는액션이수행됩니다. 문자열을추가하려면 [ 추가 ] 를클릭하고문자열을입력합니다. 문자열을편집하거나제거하려면문자열을선택하고해당버튼을클릭합니다. [PCRE] [ 대 / 소문자구분안함 ] ( 선택사항 ) 단일 PCRE 를입력하여수신되는데이터를필터링합니다. 수신된데이터가이 PCRE 와일치하는경우이대화상자에서지정하는액션이수행됩니다. PCRE 콘텐츠가대 / 소문자에관계없이일치하도록대 / 소문자를구분하지않는수정자를추가하려면선택합니다. [ 액션 ] 수신된데이터가 PCRE 및콘텐츠문자열과일치하는경우또는 [ 모두일치 ] 가선택되는경우받은모든데이터에대해수행할액션을선택합니다. 필요에따라이러한액션을최대한많이선택할수있습니다. [ 설명 ] ( 선택사항 ) 규칙에대한설명을입력합니다. 규칙이선택된경우 [ 정책편집기 ] 의 [ 설명 ] 필드에표시됩니다. 표 필터유형필터링할항목을선택합니다. 필터조건필터조건을선택합니다. 사용가능한은선택한유형에따라다릅니다. 값변수아이콘을클릭한다음이필터의값을선택합니다. 378 McAfee Enterprise Security Manager 제품안내서

379 정책및규칙관리규칙유형및속성 11 트랜잭션추적규칙추가또는편집 트랜잭션추적규칙은데이터베이스트랜잭션을추적하고변경사항을자동조정하고트레이드실행의시작과끝을로깅하고명령문을시작하고커밋하여쿼리대신트랜잭션별로보고할수있습니다. 1 [ 정책편집기 ] 에서 [DEM] [ 트랜잭션추적 ] 을선택합니다. 2 다음중하나를수행합니다. 새규칙을추가하려면 [ 새로만들기 ] 를클릭한다음 [ 트랜잭션추적규칙 ] 을클릭합니다. 규칙을편집하려면규칙표시창에서규칙을선택한다음 [ 편집 ] [ 수정 ] 을클릭합니다. 3 정보를입력한다음 [ 확인 ] 을클릭합니다. 표 [ 유형 ] 트랜잭션추적규칙의유형을선택합니다. [ 규칙이름 ] 규칙의이름을입력합니다. 이름은고유하고설명적이어야하며영숫자, 밑줄 (_) 및공백만포함할수있습니다. [ 쿼리태그시작 ] 데이터베이스를변경하기전에실행할 SQL 쿼리를입력합니다 ( 예 : spchangecontrolstart). [ 쿼리태그중지 ] 데이터베이스를변경한후실행할 SQL 쿼리를입력합니다 ( 예 : spchangecontrolend). [ 태그 ] [ 선택 ] 을클릭하고이규칙과연결하려는태그를선택한다음 [ 확인 ] 을클릭합니다. [ 정규화된 ID] 기본값을변경하려면아이콘을클릭한다음 ID 를선택합니다. [ 심각도 ] 심각도설정을선택합니다. [ 설명 ] 규칙에대한설명을입력합니다. 변수 변수는사용자와관련되거나사이트와관련된정보의자리표시자또는글로벌설정입니다. 많은규칙에서변수를사용합니다. 변수를추가하거나수정하기전에 Snort 형식에대해광범위하게알고있는것이좋습니다. 변수는특정방식으로규칙이작동하도록하기위해사용되며장치에따라다를수있습니다. ESM 에는여러사전설정된변수가있지만사용자지정변수를추가하는기능도제공합니다. 규칙을추가할때이러한변수는 [ 새변수 ] 페이지의 [ 유형 ] 필드에서선택한필드유형의드롭다운목록에서으로표시됩니다. 각변수에는기본값이있지만각장치의특정환경에해당하는일부값을설정하는것이좋습니다. 변수이름을입력하는경우공백이허용되지않습니다. 공백이필요한경우밑줄 ( _ ) 문자를사용합니다. 장치의효율성을최대화하려면 HOME_NET 변수를특정장치에서보호하는홈네트워크로설정하는것이특히중요합니다. 이테이블은공통변수및해당기본값목록을표시합니다. 변수이름설명기본값기본값설명 EXTERNAL_NET 보호받는네트워크외부의모든사람!$HOME_NET 포트 80 HOME_NET 로컬보호네트워크주소공간 : ( /80) 임의 HOME_NET 와동일 HTTP_PORTS 웹서버포트 : 80 또는 80 에서 90 까지범위의경우 80:90 80 HTTP_PORTS 를제외한포트 McAfee Enterprise Security Manager 제품안내서 379

380 11 정책및규칙관리규칙유형및속성 변수이름설명기본값기본값설명 HTTP_SERVE RS 웹서버의주소 : 또는 [ , ] SHELLCODE_PORTS 웹서버포트를제외한모두 $HOME_NET HOME_NET 와동일!$HTTP_PORTS HOME_NET 와동일 SMTP 메일서버주소 $HOME_NET HOME_NET 와동일 SMTP_SERVERS 메일서버주소 $HOME_NET HOME_NET 와동일 SQL_SERVERS SQL DB 서버의주소 $HOME_NET HOME_NET 와동일 TELNET_SERVERS 텔넷서버의주소 $HOME_NET HOME_NET 와동일 시스템과함께제공되는변수는수정할수있습니다. 사용자지정변수는추가, 수정또는삭제될수있습니다. 사용자지정변수에유형을할당할수있습니다. 변수유형은보고서의규칙을필터링할때사용되며규칙을추가하거나수정할때사용가능한변수의필드를결정합니다. 변수유형은글로벌이며변경한사항이모든정책의모든수준에반영됩니다. 380 페이지의변수관리 381 페이지의 TCP 프로토콜이상및세션가로채기탐지 변수관리 [ 정책편집기 ] 에서변수규칙유형을선택할때사용자지정변수및사전된변수모두를관리하기위해몇가지액션을수행할수있습니다. 1 [ 정책편집기 ] 아이콘을클릭합니다. 2 [ 규칙유형 ] 창에서 [ 변수 ] 를선택합니다. 3 다음중하나를수행합니다. 수행방법... 새범주추가 1 [ 새로만들기 ] [ 범주 ] 를선택합니다. 2 새범주의이름을입력한다음 [ 확인 ] 을클릭합니다. 사용자지정변수추가 1 규칙표시창에서범주를선택한다음 [ 새로만들기 ] 를클릭합니다. 2 [ 변수 ] 를선택한다음요청한설정을합니다. 3 [ 확인 ] 을클릭합니다. 변수수정 1 규칙표시창에서수정할변수를선택합니다. 2 [ 편집 ] 을선택한다음 [ 수정 ] 을클릭합니다. 3 값또는설명을수정한다음 [ 확인 ] 을클릭합니다. 사용자지정변수삭제 1 규칙표시창에서제거할변수를선택합니다. 2 [ 편집 ] 을선택한다음 [ 삭제 ] 를클릭합니다. 380 McAfee Enterprise Security Manager 제품안내서

381 정책및규칙관리규칙유형및속성 11 수행방법... 변수가져오기 1 [ 파일 ] 을선택한다음 [ 가져오기 ] [ 변수 ] 를클릭합니다. 2 [ 가져오기 ] 를클릭한다음파일을찾아업로드합니다. 가져오기파일은다음형식으로다음정보가포함된.txt 파일이어야합니다. VariableName;VariableValue; CategoryName( 선택사항 ); 설명 ( 선택사항 ). 한개의필드가누락된경우자리표시자역할을위해세미콜론이해당자리에있어야합니다. 사용자지정변수유형수정 1 사용자지정변수를선택합니다. 2 [ 편집 ] 을클릭한다음 [ 수정 ] 을선택합니다. 3 변수유형을변경합니다. 변수유형이 [ 선택된유형없음 ] 외의유형으로설정되어커밋된경우값을변경할수없습니다. 4 [ 확인 ] 을클릭하여변경사항을저장합니다. 표 [ 이름 ] 새변수의이름을입력합니다. [ 유형 ] 변수의유형을선택합니다. 변수를추가하면이설정을변경할수없습니다. [ 값 ] 변수의유형에대한값을입력합니다. [ 설명 ] ( 선택사항 ) 이변수의설명을입력합니다. 표 [ 이름 ] 이변수의이름입니다. 수정될수없습니다. [ 유형 ] 변수의유형입니다. 수정될수없습니다. [ 값 ] 이변수의값입니다. [ 설명 ] 필드에나와있는값으로변경할수있습니다. [ 설명 ] 변수및에대한설명입니다. 표 [ 가져오기 ] [ 정책편집기 ] 로가져올변수파일을찾습니다. 379 페이지의변수 TCP 프로토콜이상및세션가로채기탐지 TCP 프로토콜이상을탐지하고경보를발생하며 Stream5 전처리기변수를사용하여 TCP 세션가로채기를확인할수있습니다. McAfee Enterprise Security Manager 제품안내서 381

382 11 정책및규칙관리기본정책설정 1 ESM 콘솔에서 [ 정책편집기 ] 아이콘을클릭합니다. 2 [ 규칙유형 ] 창에서 [ 변수 ] 를클릭합니다. 3 규칙표시창에서 [ 전처리기 ] 를클릭한다음 [STREAM5_TCP_PARAMS] 를선택합니다. 4 [ 변수수정 ] 페이지의 [ 값 ] 필드에다음중하나를추가합니다. TCP 프로토콜이상을탐지하고경보를발생시키려면 [ 먼저정책 ] 이후 detect_anomalies 를추가합니다. TCP 세션가로채기를확인하려면 [ 먼저정책 ] 이후 detect_anomalies check_session_hijacking 를추가합니다. 379 페이지의변수 Windows 이벤트규칙 Windows 이벤트규칙은 Windows 와관련된이벤트를생성하는데사용됩니다. Windows 이벤트에대한데이터소스규칙이며일반사용케이스이기때문에데이터소스규칙유형과구분됩니다. 이유형의모든규칙은 McAfee 에서합니다. 규칙을추가, 수정또는삭제할수없지만속성설정은변경할수있습니다. 기본정책설정 경보전용모드또는초과구독모드에서작동하도록기본정책을설정할수있습니다. 또한규칙업데이트상태를보고업데이트를초기화할수있습니다. 초과구독모드설정 [ 초과구독모드 ] 는장치용량을초과할경우패킷을처리하는방법을합니다. 각경우패킷이이벤트로기록됩니다. 1 [ 정책편집기 ] 에서 [ 설정 ] 아이콘을클릭합니다. 2 [ 초과구독모드 ] 필드에서 [ 업데이트 ] 를클릭합니다. 3 [ 값 ] 필드에기능을입력합니다. a 전달 (pass 또는 1) 은삭제될패킷을검색하지않고전달하도록허용합니다. b 삭제 (drop 또는 0) 는장치의용량을초과하는패킷을삭제합니다. c 이벤트를생성하지않고패킷을전달하거나삭제하려면 spass 또는 sdrop 을입력합니다. 4 [ 확인 ] 을클릭합니다. 버전 에서 [ 초과구독모드 ] 를변경하면장치및그하위 ( 가상장치 ) 에영향을줍니다. 이변경사항을적용하려면상위장치에서모드를변경해야합니다. 382 McAfee Enterprise Security Manager 제품안내서

383 정책및규칙관리규칙 11 장치의정책업데이트상태보기 ESM 의모든장치에대한정책업데이트의상태요약을봅니다. 이도움말은업데이트를시스템에롤아웃해야하는시기를결정합니다. 1 [ 정책편집기 ] 에서 [ 설정 ] 아이콘을클릭합니다. 2 [ 상태 ] 필드에서최신상태, 구식, 자동롤아웃에예약된장치번호를봅니다. 3 [ 닫기 ] 를클릭합니다. 규칙 규칙을관리하고필요한정보를생성하기위해규칙에수행할수있는여러이있습니다. 규칙관리 [ADM], [DEM], [ 패킷심층분석 ], [ 고급 Syslog 분석기 ] 및 [ 상관 ] 규칙을보고, 복사하고붙여넣을수있습니다. 이러한유형의사용자규칙을수정하거나삭제할수있습니다. 표준규칙을수정할수있지만새사용자규칙으로저장해야합니다. 1 [ 정책편집기 ] 의 [ 규칙유형 ] 창에서하려는규칙유형을선택합니다. 2 다음중하나를수행합니다.... 수행방법... 사용자규칙보기 1 [ 필터 / 태그지정 ] 창에서 [ 필터 ] 탭을선택합니다. 2 창하단에서 [ 고급 ] 막대를클릭합니다. 3 [ 원본 ] 필드에서 [ 사용자 ] 를선택한다음 [ 쿼리실행 ] 을클릭합니다. 규칙복사및붙여넣기 1 사전된규칙또는사용자규칙을선택합니다. 2 Select [ 편집 ] [ 복사 ] 를선택한다음 [ 편집 ] [ 붙여넣기 ] 를선택합니다. 복사한규칙이동일한이름으로기존규칙목록에추가됩니다. 3 이름을변경하려면 [ 편집 ] [ 수정 ] 을선택합니다. McAfee Enterprise Security Manager 제품안내서 383

384 11 정책및규칙관리규칙... 수행방법... 규칙수정 1 보려는규칙을강조표시한다음 [ 편집 ] [ 수정 ] 을선택합니다. 2 설정을변경한다음 [ 확인 ] 을클릭합니다. 사용자규칙인경우변경내용과함께저장됩니다. 표준규칙인경우새사용자규칙으로변경내용을저장하라는메시지가표시됩니다. [ 예 ] 를클릭합니다. 규칙의이름을변경하지않은경우동일한이름과다른 sigid 를사용하여저장됩니다. 이름을변경하려면규칙을선택한다음 [ 편집 ] [ 수정 ] 을선택하여수행합니다. 사용자지정규칙삭제 사용자지정규칙을선택합니다. [ 편집 ] [ 삭제 ] 를선택합니다. 표 메뉴막대 이동경로탐색막대 이막대의항목에서커서를실행하고사용가능한을선택합니다. 선택한규칙또는규칙유형에따라이변경됩니다. [ 정책트리 ] 아이콘을클릭하면 ESM 의모든정책목록이열립니다. 이동경로목록에할정책이표시됩니다. [ 규칙유형 ] 창규칙표시창에서해당유형의규칙을보려면이창의규칙유형을클릭합니다. 규칙표시창 규칙표시창의열또는메뉴막대에서사용할수있는액션중하나를수행하거나창의하단에서설명을보려면규칙을클릭합니다. 태그검색필드검색할태그의이름을입력한다음가능한일치항목목록에서태그를선택합니다. [ 필터 / 태그지정 ] 창 [ 경보만들기 ] 아이콘 [ 심각도가중치 ] 아이콘 [ 정책변경기록보기 ] 아이콘 [ 필터 ] 탭에서규칙표시창의규칙을사전순으로또는시간에따라정렬하고목록에서필터링하면선택한조건을충족하는해당규칙만볼수있습니다. [ 태그 ] 탭에서, 규칙표시창에서선택한규칙에태그를추가하면태그에따라규칙을필터링할수있습니다. 사용자지정태그및태그범주를추가, 편집및제거할수있습니다. 선택한규칙에따라이벤트가생성될때알리도록경보를추가합니다. 이벤트심각도를계산할때사용할수있도록자산, 태그, 규칙및취약성에대한심각도를설정합니다. 현재정책에수행한변경사항목록을보고내보냅니다. [ 설정 ] 아이콘경보전용모드및초과구독모드의설정을하고 McAfee 서버에서규칙을업데이트하고정책트리에서장치의업데이트상태요약을봅니다. [ 롤아웃 ] 아이콘 ESM 에정책변경사항을롤아웃합니다. 규칙가져오기 다른 ESM 에서내보낸규칙집합을가져와 ESM 에저장할수있습니다. 1 [ 정책편집기 ] 의 [ 규칙유형 ] 창에서가져오는규칙또는정책유형을클릭합니다. 2 [ 파일 ] [ 가져오기 ] 를클릭한다음 [ 규칙 ] 을선택합니다. 이러한변경내용은추적되지않으므로실행취소할수없습니다. 384 McAfee Enterprise Security Manager 제품안내서

385 정책및규칙관리규칙 11 3 [ 규칙가져오기 ] 를클릭한다음가져오려는파일을찾고 [ 업로드 ] 를선택합니다. 파일이 ESM 에업로드됩니다. 4 [ 규칙가져오기 ] 페이지에서가져오는규칙에기존규칙과동일한 ID 가있을경우수행할액션을선택합니다. 5 규칙을가져와표시된대로충돌을해결하려면 [ 확인 ] 을클릭합니다. 선택한파일콘텐츠에따라파일콘텐츠를검토하고적절한이활성화되거나비활성화됩니다. 표 [ 규칙가져오기 ] 규칙파일을선택하여 ESM 에업로드하려면클릭합니다. [ 기존규칙덮어쓰기 ] 가져올때충돌이있는경우기존규칙을삭제하고가져오는정책에속한규칙으로덮어쓰려면이을선택합니다. [ 충돌이있으면새규칙만들기 ] [ 기존규칙이있으면규칙건너뛰기 ] 385 페이지의상관규칙을가져올때의충돌 가져올때충돌이있는경우규칙을둘다유지하고가져오는규칙에새 ID 를만들려면이을선택합니다. 가져올때충돌이있는경우기존규칙을유지하고충돌하는규칙은가져오지않으려는경우이을선택합니다. 상관규칙을가져올때의충돌 상관규칙을내보낼때규칙데이터를포함하는파일이만들어집니다. 하지만이규칙이사용할수있는변수, 영역, 감시목록, 사용자지정유형및자산등의참조항목은포함하지않습니다. 내보내기파일을다른 ESM 으로가져오는경우가져오는시스템에규칙에포함된참조항목이존재하지않으면규칙충돌이발생합니다. 예를들어규칙 1 이변수 $abc 를참조하는데, 가져오는시스템에이름이 $abc 인변수가되지않은경우이상태가충돌입니다. 충돌은기록되고해당규칙이충돌상태로플래그가지정됩니다. 필요한참조항목을만들거나 ( 수동으로또는가능한경우가져오기를통해 ) 상관규칙을편집하고규칙내에서참조변경을통해충돌은해결됩니다. 충돌상태에있는규칙이있는경우, 가져오기프로세스직후규칙이충돌상태에있거나실패했음을나타내는페이지가표시됩니다. 규칙을편집하여해당페이지의충돌을해결하거나페이지를닫을수있습니다. 충돌상태의규칙은해당상태를나타내는느낌표아이콘으로플래그가지정됩니다. 규칙편집기에서충돌한규칙을편집하면충돌단추가나타나며클릭하면해당규칙에대한충돌세부사항이표시됩니다. 384 페이지의규칙가져오기 변수가져오기 변수파일을가져오고해당유형을변경할수있습니다. 충돌이있는경우새변수의이름이자동으로변경됩니다. 시작하기전에가져올파일을설정합니다. McAfee Enterprise Security Manager 제품안내서 385

386 11 정책및규칙관리규칙 1 [ 정책편집기 ] 의 [ 규칙유형 ] 창에서 [ 변수 ] 를클릭합니다. 2 [ 파일 ] [ 가져오기 ] [ 변수 ] 를클릭한다음변수의파일을찾아 [ 업로드 ] 를클릭합니다. 파일에충돌또는오류가있는경우각문제를알려주는 [ 가져오기 오류로그 ] 페이지가열립니다. 3 [ 변수가져오기 ] 페이지에서 [ 편집 ] 을클릭하여선택한변수의 [ 유형 ] 을변경합니다. 4 [ 확인 ] 을클릭합니다. 규칙내보내기 정책의사용자규칙또는모든규칙을내보낸다음다른 ESM 으로가져옵니다. 1 [ 정책편집기 ] 의 [ 규칙유형 ] 창에서내보낼규칙유형을클릭합니다. 2 선택한유형의사용자지정규칙목록에액세스합니다. a [ 필터 / 태그지정 ] 창에서 [ 필터 ] 탭을선택해야합니다. b 창의하단에있는 [ 고급 ] 막대를클릭합니다. c [ 원본 ] 드롭다운목록에서 [ 사용자 ] 를선택합니다. d [ 쿼리실행 ] 아이콘을클릭합니다. 3 내보내려는규칙을선택한다음 [ 파일 ] [ 내보내기 ] [ 규칙 ] 을클릭합니다. 4 [ 규칙내보내기 ] 페이지에서규칙을내보낼때사용할형식을선택합니다. 5 [ 다운로드 ] 페이지에서 [ 예 ] 를클릭하고위치를선택한다음 [ 저장 ] 을클릭합니다. Microsoft Excel 을사용하여 csv 파일을여는경우일부 UTF-8 문자가손상될수있습니다. 이를수정하려면 Excel 에서 [ 텍스트가져오기마법사 ] 를열고 [ 구분기호로분리됨 ] 및 [ 쉼표 ] 를선택합니다. 기존규칙필터링 [ 정책편집기 ] 에서규칙유형을선택하면선택한유형의모든규칙이기본적으로사전순으로나열됩니다. 규칙을시간에따라나열하거나태그를사용하여규칙을필터링하면기준에맞는규칙만볼수있습니다. 1 [ 정책편집기 ] 의 [ 규칙유형 ] 창에서필터링하려는규칙의유형을선택합니다. 2 [ 필터 / 태그지정 ] 창에서 [ 필터 ] 탭이선택되어있는지확인합니다. 3 다음중하나를수행합니다. 386 McAfee Enterprise Security Manager 제품안내서

387 정책및규칙관리규칙 수행방법... 여러태그로필터링 범주또는태그를선택한다음 [ 쿼리실행 ] 아이콘을클릭합니다. 모든필터에맞는규칙만표시됩니다. 선택한필터중하나에맞는규칙보기 1 둘이상의범주나태그를선택합니다. 2 [ 또는 ] 아이콘을클릭한다음 [ 쿼리실행 ] 아이콘을클릭합니다. 상속의영향을받는필드 ([ 액션 ], [ 심각도 ], [ 블랙리스트 ], [ 집합 ] 및 [ 패킷복사 ]) 는 [OR] 아이콘을사용하여필터링할수없습니다. 특정태그검색 1 [ 태그를검색하려면여기에입력하십시오 ] 필드에태그의이름을입력합니다. 2 목록에서필요한태그를선택합니다. 만든시간에따라규칙나열 도구모음에서 [ 시간으로정렬 ] 아이콘다. 을클릭한다음 [ 쿼리실행 ] 아이콘을클릭합니 사전순으로규칙나열 도구모음에서 [ 이름으로정렬 ] 아이콘을클릭한다음 [ 쿼리실행 ] 아이콘을클릭합니다. 필터링지우기 규칙표시창제목표시줄에서주황색필터아이콘을클릭합니다. 필터를지우면모든규칙이규칙표시창에다시한번표시됩니다. 필터태그지우기 도구모음에서 [ 모두지우기 ] 아이콘을클릭합니다. 태그는지워지지만규칙목록은필터링된상태로유지됩니다. 시그니처 ID 로필터링 1 [ 필터 ] 창맨아래에있는 [ 고급 ] 막대를클릭합니다. 2 시그니처 ID 를입력한다음 [ 쿼리실행 ] 아이콘을클릭합니다. 이름또는설명으로필터링 장치유형, 정규화된 ID 또는액션으로필터링 규칙유형및바로상위유형에대한정책기반설차이점비교 심각도, 블랙리스트, 집합, 패킷복사, 원본및규칙상태로필터링 사용자지정규칙만보가 특정기간에만든규칙보기 1 [ 고급 ] 창에서이름이나설명을입력합니다. 2 결과에대해케이스에관계없이대 / 소문자구분안함아이콘을클릭합니다. 1 [ 고급 ] 창에서 [ 필터 ] 아이콘을클릭합니다. 2 [ 필터변수 ] 페이지에서변수를선택합니다. [ 고급 ] 창에서 [ 예외보기 ] 를선택한다음 [ 쿼리실행 ] 아이콘을클릭합니다. 각필드의드롭다운목록에서필터를선택합니다. [ 고급 ] 창의 [ 원본 ] 필드에서 [ 사용자 ] 를선택한다음 [ 쿼리실행 ] 아이콘을클릭합니다. 1 [ 고급 ] 창의 [ 시간 ] 필드옆에있는달력아이콘을클릭합니다. 2 [ 사용자지정시간 ] 페이지에서시작및중지시간을선택하고 [ 확인 ] 을클릭한다음 [ 쿼리실행 ] 아이콘을클릭합니다. McAfee Enterprise Security Manager 제품안내서 387

388 11 정책및규칙관리규칙 규칙의시그니처보기 McAfee 온라인시그니처데이터베이스에액세스하는경우규칙의시그니처에대한정보를볼수있습니다. 이은방화벽, 패킷심층분석및데이터소스규칙에대해사용할수있습니다. 1 [ 정책편집기 ] 의 [ 규칙유형 ] 창에서보려는규칙유형을선택합니다. 2 규칙표시창에서규칙을선택합니다. 3 [ ] 을클릭한다음 [ 참조찾아보기 ] 를선택합니다. [NTAC 취약성요약 ] 화면이브라우저에서열립니다. 4 시그니처에대한요약을보려면화면의 [ 시그니처 ] 섹션의링크를클릭합니다. 규칙업데이트검색 네트워크트래픽을검사하기위해장치에서사용하는규칙시그니처는 McAfee 시그니처팀에서계속업데이트하고중앙서버에서다운로드할수있습니다. 이러한규칙업데이트는자동으로또는수동으로검색할수있습니다. 규칙이서버에서검색되는경우수행할액션에대한재를설정하려면 " 다운로드한규칙에서액션재 " 를참조하십시오. 1 [ 정책편집기 ] 에서 [ 설정 ] 아이콘을클릭합니다. 2 [ 규칙업데이트 ] 줄에서 [ 업데이트 ] 를클릭합니다. 3 자동으로업데이트를검색하도록 ESM 을설정하거나지금업데이트를확인합니다. 4 업데이트가수동으로다운로드된경우 [ 롤아웃 ] 아이콘을클릭하여적용합니다. 5 수동업데이트를보려면다음을수행합니다. a [ 필터 / 태그지정 ] 창에서 [ 고급 ] 막대를클릭합니다. b c [ 규칙상태 ] 필드에서 [ 업데이트됨 ], [ 신규 ] 또는 [ 업데이트 / 신규 ] 를선택하여보려는업데이트된규칙유형을나타냅니다. [ 쿼리실행 ] 아이콘을클릭합니다. 업데이트된규칙은추가되면반짝이는별표아이콘과함께표시되고변경되면느낌표와함께표시됩니다. 표 [ 자동확인간격 ] ESM 에서자동으로업데이트를검색하도록설정하려면선택합니다. 규칙을처음으로업데이트하는경우라면 [ 고객유효성검사 ] 페이지가열립니다. 고객 ID 및암호를입력한다음 [ 유효성검사 ] 를선택합니다. 이정보가기억나지않는경우 McAfee 지원에문의하십시오. [ 시간 ], [ 분 ] 시스템에서업데이트를확인하도록하려는빈도를선택합니다. 388 McAfee Enterprise Security Manager 제품안내서

389 정책및규칙관리규칙 11 표 ( 계속 ) [ 지금확인 ] 규칙업데이트를확인하고지금다운로드합니다. [ 수동업데이트 ] 업로드할업데이트파일을선택하려면클릭합니다. [ 자격증명 ] McAfee 에서제공한자격증명을추가하려면클릭합니다. 업데이트된규칙상태지우기 규칙이수정되거나시스템에추가되는경우입니다. 업데이트를검토한경우이표시를지울수있습니다. 1 [ 정책편집기 ] 의 [ 규칙유형 ] 창에서지우려는규칙유형을선택합니다. 2 다음중하나를수행합니다. 수행방법... 모든규칙상태표시지우기 1 [ ] 을클릭한다음 [ 업데이트된규칙상태지우기 ] 를선택합니다. 2 [ 모두 ] 를클릭합니다. 선택된규칙지우기 1 [ 필터 / 태그지정 ] 창에서 [ 고급 ] 막대를클릭합니다. 2 [ 규칙상태 ] 필드에서 [ 업데이트됨 ], [ 신규 ] 또는 [ 업데이트됨 / 신규 ] 를선택하여지우려는표시유형을나타냅니다. 3 [ 쿼리실행 ] 아이콘을클릭합니다. 선택된표시가있는규칙이규칙표시창에나열됩니다. 4 지울규칙을선택합니다. 5 [ ] [ 업데이트된규칙상태지우기 ] [ 선택됨 ] 을클릭합니다. 규칙파일비교 수신기, ADM 및 DEM 규칙파일의정책상태 ( 적용됨, 현재, 롤백또는스테이징됨 ) 를비교할수있습니다. 이기능은현재정책을장치에적용하는경우변경사항을확인해야하는경우유용합니다. 그런경우현재규칙과적용된규칙을비교할수있습니다. 1 시스템탐색트리에서수신기, ADM 또는 DEM 장치를클릭합니다. 2 액션도구모음에서 [ 정책편집기 ] 아이콘을클릭한다음 [ 도구 ] [ 규칙파일비교 ] 를클릭합니다. 3 [ 규칙파일비교 ] 페이지에서선택한다음 [ 비교 ] 를클릭합니다. 두결과파일모두약 15.5MB 보다작은경우 [ 규칙파일비교 ] 표에나타납니다. 두파일중하나라도큰경우두파일을다운로드하라는메시지가표시됩니다. 규칙변경기록보기 변경되거나업데이트되거나시스템에추가된규칙및각규칙의최신버전을볼수있습니다. McAfee Enterprise Security Manager 제품안내서 389

390 11 정책및규칙관리규칙 1 [ 정책편집기 ] 에서 [ 도구 ] [ 규칙변경기록 ] 을클릭합니다. 2 [ 규칙기록 ] 페이지에서규칙의변경내용을보거나 [ 규칙버전 ] 탭을클릭하여각규칙의최신버전을봅니다. 3 [ 닫기 ] 를클릭합니다. 표 [ 규칙변경기록 ] 최신규칙변경사항을봅니다. 각항목은규칙의요약및규칙이업데이트되거나시스템에추가된날짜를제공합니다. [ 규칙버전 ] 시스템에서규칙이범주화된각장치에대한최신시간스탬프를봅니다. 여기서관리및컴플라이언스규각규칙버전을찾는방법을제공합니다. 기본적으로장치유형은사전순으로이름별로정렬됩니다. 시간스탬프로정렬하려면 [ 버전 ] 열헤더를클릭합니다. [ 모두표시 ] [ 규칙변경기록 ] 탭에서최신규칙만이아니라모든규칙변경사항목록을생성하려면클릭합니다. 규칙의새감시목록만들기 감시목록은특정유형의정보그룹으로, 이들이이벤트에서발생하는경우알림을받도록필터또는경보조건으로사용할수있습니다. 이들감시목록은글로벌일수도있고 ESM 사용자또는그룹으로한정될수도있습니다. 1 [ 정책편집기 ] 의 [ 규칙유형 ] 창에서규칙유형을선택한다음이감시목록에서사용하려는규칙을선택합니다. 2 [ ] 을클릭한다음 [ 새감시목록만들기 ] 을선택합니다. [ 감시목록추가 ] 페이지에선택한규칙이나열됩니다. 3 이름을입력한다음 [ 정적 ] 라디오버튼이선택되었는지확인합니다. 동적감시목록을추가하려면 " 새감시목록추가 " 를참조하십시오. 4 이감시목록이감시하는데이터유형을선택하고피할당자를선택합니다. 관리자권한이있는사용자는시스템의사용자또는그룹에감시목록을할당할수있습니다. 관리자권한이없는경우사용자본인및사용자가속한그룹에만감시목록을할당할수있습니다. 5 관심목록에값을더추가하려면다음방법으로수행할수있습니다. 새줄로구분된값형식으로값파일을가져오려면 [ 가져오기 ] 를클릭한다음파일을선택합니다. 개별값을추가하려면 [ 값 ] 상자의각줄에한개의값을입력합니다. 최대숫자값은 1000 입니다. 6 이벤트가생성될때이관심목록의값을포함하는경보를받으려면 [ 경보만들기 ] 를클릭합니다. 7 [ 확인 ] 을클릭합니다. 감시목록에규칙추가 감시목록을만든다음규칙값을추가해야할수있습니다. [ 감시목록에추가 ] 에서이를위한방법을제공합니다. 390 McAfee Enterprise Security Manager 제품안내서

391 정책및규칙관리태그를규칙또는자산에할당 11 1 [ 정책편집기 ] 의 [ 규칙유형 ] 창에서규칙유형을선택합니다. 2 규칙표시창의감시목록에추가하려는규칙을선택합니다. 3 [ ] 메뉴를클릭한다음 [ 감시목록에추가 ] 를선택합니다. 4 규칙을추가하려는감시목록을선택한다음 [ 확인 ] 을클릭합니다. 표 상단테이블감시목록에추가하기위해선택한규칙의값을나열합니다. 하단테이블값을추가하려는감시목록을선택합니다. 태그를규칙또는자산에할당 태그를규칙에할당하여해당속성을나타낸다음태그에따라규칙을필터링할수있습니다. ESM 에는사전된태그세트도있고새태그및새태그범주를추가하는기능도제공합니다. [ 태그 ] 탭은변수, 전처리기또는정규화규칙유형에사용할수없습니다. 1 [ 정책편집기 ] 의 [ 규칙유형 ] 창에서태그를지정하려는규칙유형을선택합니다. 2 [ 필터 / 태그지정 ] 창에서 [ 태그 ] 탭을클릭합니다. 3 다음중하나를수행합니다. 수행방법... 새태그범주추가 1 [ 새범주태그 ] 아이콘을클릭합니다. 2 범주의이름을입력합니다. 3 이벤트심각도계산에이태그를사용하려는경우 [ 이벤트심각도계산에태그사용 ] 을선택한다음 [ 확인 ] 을클릭합니다. 범주가기본태그와함께추가됩니다. 이범주에새태그를추가할수있습니다. 새태그추가 1 태그를추가하려는범주를클릭한다음 [ 새태그 ] 아이콘을클릭합니다. 2 태그의이름을입력합니다. 3 이벤트심각도계산에이태그를사용하려는경우 [ 이벤트심각도계산에태그사용 ] 을선택한다음 [ 확인 ] 을클릭합니다. McAfee Enterprise Security Manager 제품안내서 391

392 11 정책및규칙관리집합설정수정 수행방법... 기존범주또는태그를편집합니다. 1 편집하려는범주또는태그를클릭한다음 [ 태그편집 ] 아이콘을클릭합니다. 2 이름또는설정을변경한다음 [ 확인 ] 을클릭합니다. 사용자지정태그삭제 1 삭제하려는태그를강조표시한다음 [ 태그제거 ] 아이콘을클릭합니다. 2 확인하려면 [ 예 ] 를클릭합니다. 표 검색필드 특정태그를검색하는경우필드에입력한다음일치하는태그목록에서선택합니다. 태그테이블 시스템에서사용가능한태그를보고검색합니다. 집합설정수정 집계이벤트는일치하는필드를가진이벤트입니다. 기본적으로집합이선택되어있으며각장치의 [ 이벤트집합 ] 페이지에서, 장치에서생성된모든이벤트에사용할집합유형을선택할수있습니다. 개별규칙의집합설정을수정할수있습니다. 1 [ 정책편집기 ] 의 [ 규칙유형 ] 창에서규칙유형을선택합니다. 2 집합설정을수정하려는규칙을선택합니다. 3 도구모음에서 [ ] 을클릭하고 [ 집합설정수정 ] 을선택합니다. 4 [ 필드 2] 및 [ 필드 3] 드롭다운목록에서집계할필드유형을선택합니다. 선택하는필드는다른유형또는오류결과여야합니다. 5 [ 확인 ] 을클릭하여설정을저장합니다. 6 장치가집계하는방식에영향을주는사항을변경하는경우변경사항을롤아웃할지묻는메시지가표시됩니다. 다음을수행합니다. a [ 예 ] 를클릭합니다. [ 집합예외롤아웃 ] 페이지에서이변경사항으로인해영향을받는장치의상태를표시합니다. 오래된모든장치가선택됩니다. b 필요한경우변경사항을적용하지않으려는장치의확인표시를선택취소합니다. c 변경사항을롤아웃하려면 [ 확인 ] 을클릭합니다. 변경사항이롤아웃되면 [ 상태 ] 열에업데이트상태가반영됩니다. 표 [ 필드 2] 및 [ 필드 3] 집계할필드유형을선택합니다. 서로다른유형이어야합니다. 수준 1, 수준 2 및수준 3 집합에대한설명은선택항목에따라변경됩니다. 392 McAfee Enterprise Security Manager 제품안내서

393 정책및규칙관리다운로드된규칙의액션재 11 다운로드된규칙의액션재 McAfee 의중심서버에서규칙을다운로드한경우규칙에할당된기본액션이있습니다. 다운로드될때선택하는유형의규칙에대해재액션을할수있습니다. 재액션을하지않으면규칙이기본액션을수행합니다. 1 [ 정책편집기 ] 에서 [ 도구 ] 를클릭한다음 [ 새규칙구성 ] 을선택합니다. [ 새규칙구성 ] 페이지에 [ 기본정책 ] 에존재하는재가나열됩니다. 2 재액션설정을지정한다음 [ 닫기 ] 를클릭합니다. 표 [ 정책 ] 재를적용하려는규칙에대한정책을선택합니다. 테이블선택한정책의기존재를봅니다. [ 추가 ] 선택한정책에재를추가하려면클릭합니다. [ 편집 ] 선택한재에대한설정을변경합니다. [ 삭제 ] 선택한재를삭제합니다. 표 태그목록이재를적용하려는규칙에할당된태그를선택합니다. 예를들어 AOL 태그가있는모든필터규칙에대한액션을재하려면태그목록에서 [ 현재위협 ] [AOL] 을클릭한다음 [ 규칙유형 ] 필드에서 [ 필터 ] 를선택합니다. [ 규칙유형 ] 필드이재를적용하려는규칙유형을선택합니다. [ 규칙액션 ] 재를활성화하려는경우또는이규칙및태그를비활성화하려는경우이규칙및태그가기본설정을계속사용하도록하려면선택합니다. [ 심각도 ] 이재에대한심각도를선택합니다. 기본값은 0 입니다. [ 블랙리스트 ], [ 집합 ], [ 패킷복사 ] 이재에대한설정을선택합니다. 이에대한설정이재되지않도록하려면 [ 기본값 ] 의설정을유지합니다. 심각도가중치 이벤트심각도는자산, 태그, 규칙및취약성에지정된심각도가중치에따라계산됩니다. 최종계산에서 4 가지심각도에각각가중치가할당됩니다. 이최종계산은각각의 4 개심각도에해당하는개별가중치를곱한합입니다. [ 심각도가중치 ] 페이지에자산, 태그, 규칙및취약성그룹과관련된가중치가표시됩니다. 설합은 100 이어야합니다. 한가지설정을변경하면일부또는다른모든설정이영향을받습니다. 다음은각심각도유형에대한설명입니다. McAfee Enterprise Security Manager 제품안내서 393

394 11 정책및규칙관리정책변경기록보기 심각도유형 설명 자산자산은 IP 주소이며선택적으로영역내에있습니다. 이벤트의자산심각도는다음과같이결정됩니다. 1 이벤트의대상 IP 주소및대상영역을모든자산과비교합니다. 일치를찾으면해당자산의심각도가이이벤트의자산심각도로사용됩니다. 2 대상 IP 주소및대상영역일치를찾지못하는경우이벤트의소스 IP 주소및소스영역을모든자산과비교합니다. 소스 IP 주소및소스영역일치를찾으면자산의심각도가이이벤트의자산심각도로사용됩니다. 3 일치를찾지못하면자산심각도는 0 입니다. 태그 규칙 취약성 태그심각도가 McAfee 와사용자된태그를사용하여계산됩니다. 심각도계산에서사용되는태그는이벤트의규칙과자산에대해설정해야합니다. 규칙또는자산에서태그를하지않거나일치하는자산이없는경우태그심각도는 0 입니다. 태그심각도를계산하려면자산태그및일치하는규칙수에 10 을곱합니다. 태그심각도는 100 으로제한됩니다. 규칙심각도는규칙이만들어질때이벤트에설정한심각도입니다. 이는 [ 정책편집기 ] 에서설정된이벤트의규칙심각도및이벤트의수집기에대해구성된데이터강화에따라다릅니다. VA SVE 정보를이벤트의자산및규칙에사용할수있는경우일치하는모든자산및규칙 VA SVE 의가장높은심각도가취약성심각도에사용되며그렇지않으면 0 이사용됩니다. 394 페이지의심각도가중치설정 심각도가중치설정 이벤트심각도를계산할때자산, 태그, 규칙및취약성심각도에가중치가설정됩니다. 이들심각도를해야합니다. 1 [ 정책편집기 ] 에서 [ 심각도가중치 ] 아이콘을클릭합니다. 2 설정을한다음 [ 확인 ] 을클릭합니다. 표 숫자행 [VA 공급업체제공심각도 ] 또는 [VA 공급업체제공 PCI 심각도 ] 표시자를끌어놓습니다. [ 자산 ], [ 태그 ], [ 규칙 ] 및 [ 취약성 ] 필드에서다음설정을반영합니다. 수신데이터에서취약성심각도가계산되는방법을선택합니다. 둘다선택하면심각도값을계산할때두값중더큰값이사용됩니다. 393 페이지의심각도가중치 정책변경기록보기 정책에수행한변경사항의로그를보거나내보낼수있습니다. 이로그는최대 1GB 데이터를보유할수있습니다. 이제한에도달하면필요에따라가장오래된파일이삭제됩니다. 394 McAfee Enterprise Security Manager 제품안내서

395 정책및규칙관리정책변경사항적용 11 1 [ 정책편집기 ] 에서 [ 정책변경기록보기 ] 아이콘을클릭합니다. 2 로그를보거나내보낸다음 [ 닫기 ] 를클릭합니다. 표 테이블현재정책에수행한변경사항목록을봅니다. [ 보기 ] 선택한로그의세부정보를봅니다. 이러한세부정보를다운로드하려는경우 [ 전체파일다운로드 ] 를클릭합니다. [ 내보내기 ] 선택한로그의세부정보를내보냅니다. 정책변경사항적용 정책을변경하는경우변경사항을적용하려면롤아웃해야합니다. 모든장치에롤아웃하면기본정책수준에서변경한사항이모든정책에적용됩니다. 1 [ 정책편집기 ] 에서 [ 롤아웃 ] 아이콘을클릭합니다. 2 롤아웃이발생하게하려는방법을선택합니다. 3 [ 확인 ] 을클릭합니다. 각장치가롤아웃을완료하면정책상태에성공한롤아웃이나타납니다. 롤아웃명령이실패하면페이지에실패한명령의요약이표시됩니다. 표 한개의장치에정책을롤아웃하려면클릭합니다. [ 지금모든장치에정책롤아웃 ] 모든장치에정책변경사항을롤아웃하려면선택합니다. [ 확인 ] 을클릭합니다. [ 편집 ] 다른롤아웃을선택하려면클릭합니다. 표 [ 나중을위해롤아웃스테이징 ] [ 롤아웃 ] 페이지에서선택한장치의정책을롤아웃하기위해이후의시간을설정하려면선택합니다. 날짜및시간을설정하려면달력아이콘을클릭합니다. [ 지금롤아웃 ] 지금선택한장치에정책을롤아웃하려면선택합니다. [ 이전활성정책으로장치롤백 ] 활성화된경우이전에적용된정책으로돌아가려면선택합니다. [ 스테이징된정책건너뛰기또는지우기 ] 이장치의스테이징된롤아웃을건너뛰려면선택합니다. McAfee Enterprise Security Manager 제품안내서 395

396 11 정책및규칙관리패킷복사활성화 343 페이지의정책편집기이해 344 페이지의정책트리 349 페이지의규칙유형및속성 345 페이지의정책트리에서정책관리 패킷복사활성화 규칙에대해 [ 패킷복사 ] 가활성화되면패킷데이터가 ESM 에복사됩니다. 활성화되면패킷데이터가 [ 내부이벤트일치 ] 또는 [ 필드일치 ] 경보의소스이벤트데이터에포함됩니다. 1 ESM 콘솔에서 [ 정책편집기 ] 아이콘을클릭합니다. 2 [ 규칙유형 ] 창에서액세스하려는규칙유형을클릭한다음규칙표시창에서규칙을찾습니다. 3 [ 패킷복사 ] 열에서현재설정 ( 기본적으로 [ 해제 ]) 을클릭한다음 [ 설정 ] 을클릭합니다. 396 McAfee Enterprise Security Manager 제품안내서

397 A FIPS 모드정보 목차 FIPS 모드정보 FIPS 무결성체크 FIPS 모드에서키가지정된장치추가 FIPS 모드문제해결 FIPS 모드정보 FIPS 규정으로인해일부 ESM 기능은사용할수없으며, 일부사용가능한기능은컴플라이언트가아니고, 일부기능은 FIPS 모드에서만사용할수있습니다. 이러한기능은문서전체에서언급되며여기에나열되어있습니다. 기능상태 설명 [ 제거된기능 ] 고가용성수신기 SSH 프로토콜을사용하는장치와통신하는기능 장치콘솔에서루트셸이장치관리메뉴로대체되었습니다. [ FIPS 모드에서만사용할수있는기능 ] 겹치지않는네가지사용자역할이있습니다. [ 사용자 ], [ 고급사용자 ], [ 감사관리자 ] 및 [ 키및인증서관리자 ]. 모든 [ 속성 ] 페이지에는시스템이 FIPS 모드에서성공적으로작동하고있는지확인할수있는 [ 자체테스트 ] 이있습니다. FIPS 오류가발생하면상태플래그가시스템탐색트리에추가되어이오류를반영합니다. 모든 [ 속성 ] 페이지에는 [ 보기 ] 이있으며, 클릭하면 [FIPS ID 토큰 ] 페이지가열립니다. 여기에는문서의해당섹션에표시된값과비교하여 FIPS 가손상되지않았는지확인해야하는값이표시됩니다. [ 시스템속성 ] [ 사용자및그룹 ] [ 권한 ] [ 그룹편집 ] 의페이지에는 [FIPS 암호화자체테스트 ] 권한이포함되어 FIPS 자체테스트를실행할인증을그룹구성원에게제공합니다. [ 장치추가마법사 ] 에서 TCP 프로토콜은항상포트 22 로설정됩니다. SSH 포트는변경할수있습니다. 398 페이지의 FIPS 무결성체크 399 페이지의 FIPS 모드에서키가지정된장치추가 399 페이지의 FIPS 모드에서장치정보백업및복원 400 페이지의 FIPS 모드에서여러 ESM 장치와의통신활성화 402 페이지의 FIPS 모드문제해결 McAfee Enterprise Security Manager 제품안내서 397

398 A FIPS 모드정보 FIPS 무결성체크 FIPS 무결성체크 FIPS 모드에서작동중인경우 FIPS 에서정기적으로소프트웨어무결성테스트를요구합니다. 시스템및각장치에서이테스트가수행되어야합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택하고 [ 시스템정보 ] 가선택되었는지확인합니다. 2 다음중하나를수행합니다. 필드수행방법... [FIPS 상태 ] [ 테스트 ] 또는 [FIPS 자체테스트 ] [ 보기 ] 또는 [FIPS ID] ESM 에서수행된최신 FIPS 자체테스트결과를봅니다. FIPS 자체테스트를실행하여암호화실행파일에서사용되는알고리즘무결성을테스트합니다. 결과를 [ 메시지로그 ] 에서볼수있습니다. FIPS 자체테스트가실패하면 FIPS 가손상되거나장치오류가발생합니다. McAfee 지원에문의하십시오. [FIPS ID 토큰 ] 페이지를열어전원켜기소프트웨어무결성테스트를수행합니다. 이페이지에표시되는공개키와이값을비교합니다. 이값과공개키가일치하지않는경우 FIPS 가손상됩니다. McAfee 지원에문의하십시오. 397 페이지의 FIPS 모드정보 399 페이지의 FIPS 모드에서키가지정된장치추가 399 페이지의 FIPS 모드에서장치정보백업및복원 400 페이지의 FIPS 모드에서여러 ESM 장치와의통신활성화 402 페이지의 FIPS 모드문제해결 398 McAfee Enterprise Security Manager 제품안내서