McAfee Enterprise Security Manager 10.3.x 제품안내서
저작권 Copyright 2018 McAfee LLC 상표고지 McAfee 및 McAfee 로고, McAfee Active Protection, epolicy Orchestrator, McAfee epo, Foundstone, McAfee LiveSafe, McAfee QuickClean, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, TrustedSource, VirusScan 은미국및기타국가의 McAfee LLC 또는자회사의상표입니다. 기타마크및브랜드는각소유자의재산으로주장될수있습니다. 사용권정보 사용권계약모든사용자에대한고지사항 : 사용자가구입한사용권에대한올바른법적계약서를주의깊게읽으십시오. 정식소프트웨어의사용에대한일반사항과조건이명시되어있습니다. 구입한사용권의종류를잘모르겠으면, 영업부에문의하시거나기타관련사용권허가서또는소프트웨어포장에포함되어있는구입주문서또는구입의일부로서별도로받은사용권허가서 ( 책자, 제품 CD 에있는파일, 소프트웨어패키지를다운로드한웹사이트에있는파일 ) 를참조하십시오. 여기서설명하는모든조건에동의하지않으면소프트웨어를설치하지마십시오. 이경우, 이제품을 MCAFEE 또는구입처에반환하면전액환불해드립니다. 2 McAfee Enterprise Security Manager 10.3.x 제품안내서
목차 1 제품개요 9 개요........................................ 9 주요기능...................................... 9 작동방법..................................... 10 McAfee ESM 리소스................................. 13 2 McAfee ESM 시작하기 15 로그온및로그오프.................................. 15 로그온페이지사용자지정............................... 16 이벤트로그의언어변경................................ 16 현지화된정보찾기.................................. 17 콘솔시간제한값설정................................. 17 ESM 소프트웨어업데이트............................... 18 규칙업데이트자격증명가져오기및추가.......................... 18 규칙업데이트확인.................................. 19 McAfee ESM 장치연결................................ 19 ESM 콘솔에장치추가.............................. 20 장치이름, 링크및설명변경............................ 20 ESM에장치연결................................ 21 McAfee ESM과장치동기화............................ 21 표시유형선택................................ 22 사용자지정표시유형구성............................ 22 시스템에 McAfee 액세스권한부여......................... 23 3 McAfee ESM 구성 25 장치키...................................... 25 장치에키지정................................ 25 SSH 키관리................................. 26 장치구성..................................... 26 장치정보보기................................ 27 여러장치관리................................ 33 네트워크트래픽제어설정............................ 35 SNMP 통보구성................................ 36 ELM과의통신설정............................... 37 기본로깅풀설정............................... 38 장치시작, 중지, 재부팅또는새로고침........................ 38 사용자지정표시유형구성............................ 38 시스템에 McAfee 액세스권한부여......................... 39 McAfee ESM 장치구성................................ 39 McAfee Event Receiver............................. 40 McAfee Enterprise Log Search(ELS)......................... 76 McAfee Enterprise Log Manager(ELM)........................ 78 McAfee Advanced Correlation Engine(ACE)...................... 96 McAfee Application Data Monitor.......................... 101 McAfee Database Event Monitor(DEM)....................... 115 McAfee Enterprise Security Manager 10.3.x 제품안내서 3
목차 분산 ESM(DESM)............................... 128 epolicy Orchestrator.............................. 129 McAfee Vulnerability Manager........................... 132 McAfee Network Security Manager......................... 134 DAS를할당하여일체형 ESM의데이터를저장합니다................... 135 보조 McAFee ESM 서비스구성............................. 136 일반시스템정보............................... 136 해결서버설정구성.............................. 136 McAfee ESM 시스템트리의자동새로고침중지.................... 137 메시지설정정의............................... 137 NTP( 네트워크시간프로토콜 ) 설정......................... 139 네트워크설정구성.............................. 140 시스템시간설정............................... 147 SSL 인증서설치............................... 148 시스템프로파일관리.............................. 149 SNMP 구성................................. 151 중복 ESM 설정................................... 157 ESM 중복설정................................ 157 중복 ESM 제거................................ 158 공유된쿼리사용및사용안함.......................... 158 중복 ESM을기본 ESM으로변경.......................... 159 동기화상세정보............................... 159 McAfee ESM 데이터베이스관리............................. 159 데이터저장소설정.............................. 160 VM 데이터저장소설정............................. 160 누적장치인덱스증가............................. 160 데이터보존제한설정............................. 161 데이터할당제한정의............................. 161 누적장치인덱싱관리............................. 161 데이터베이스메모리사용보기.......................... 161 사용자및그룹................................. 162 사용자추가................................. 162 사용자설정정의............................... 164 로그온보안정의............................... 165 암호보안정의................................ 165 RADIUS 인증설정정의............................. 166 액세스제어목록설정............................. 167 CAC(Common Access Card) 설정......................... 167 CAC(Common Access Card) 로그온구성....................... 167 Active Directory 인증설정구성.......................... 168 McAfee epo의사용자자격증명설정........................ 169 사용자비활성화또는활성화........................... 170 LDAP 서버에대해사용자인증.......................... 170 사용자그룹설정............................... 170 제한된액세스를사용하여그룹추가........................ 172 시스템설정백업및복원............................... 173 McAfee ESM 설정및시스템데이터백업....................... 173 McAfee ESM 설정복원............................. 174 백업한구성파일복원............................. 174 파일유지관리................................ 175 McAfee ESM 관리.................................. 175 McAfee ESM 로그관리............................. 176 IP 주소마스크................................ 176 McAfee ESM 로깅설정............................. 176 SSH 키다시생성............................... 177 쿼리관리................................ 177 4 McAfee Enterprise Security Manager 10.3.x 제품안내서
목차 기본또는중복장치업그레이드.......................... 178 글로벌블랙리스트작동방법.............................. 178 글로벌블랙리스트설정............................. 179 데이터보강.................................... 179 데이터강화소스추가............................. 179 Hadoop HBase 데이터강화소스추가........................ 181 Hadoop Pig 데이터보강소스추가......................... 182 사용자이름에대한 Active Directory 데이터보강추가.................. 183 4 McAfee ESM 대시보드 185 McAfee ESM 대시보드.............................. 185 사전정의된 ( 기본 ) 보기................................ 186 성과기록표작동방법................................ 186 성과기록표구성............................... 188 총괄성과기록표보기구성............................ 189 성과기록표데이터필터링............................ 189 성과기록표데이터보고서............................ 189 대시보드보기열기................................. 190 대시보드위젯바인딩................................. 190 대시보드보기필터링................................. 191 사용자지정대시보드보기추가............................. 192 보기구성요소에대한설명............................... 193 통보에응답.................................... 194 열린케이스검사.................................. 194 McAfee ESM 보기................................ 195 McAfee ESM 보기관리............................. 195 세션상세정보보기.............................. 196 보기필터링................................. 196 플로보기.................................. 198 [ 고급 ELM 검색 ] 보기.............................. 199 구성요소보기................................ 200 쿼리마법사............................... 202 5 McAfee ESM으로위협모니터링 207 Cyber Threat 관리.................................. 207 Cyber Threat 관리설정............................. 207 도메인에대한 Cyber Threat 피드설정........................ 208 Cyber Threat 피드결과보기........................... 209 지원되는 IOC 유형............................... 209 IOC STIX XML 파일의수동업로드시오류...................... 210 McAfee ESM 경보작동방법.............................. 210 경보빌드준비................................ 210 경보빌드.................................. 214 경보에대한모니터및응답............................ 219 경보조정.................................. 221 케이스작동방법.................................. 234 케이스추가................................. 234 케이스변경................................. 235 케이스보기................................. 235 이메일케이스................................ 236 케이스관리보고서생성............................. 237 콘텐츠팩작동방법................................. 238 콘텐츠팩가져오기.............................. 238 콘텐츠팩설치................................ 238 콘텐츠팩변경................................ 239 McAfee Enterprise Security Manager 10.3.x 제품안내서 5
목차 6 McAfee ESM 관심목록 241 McAfee ESM 관심목록작동방법............................ 241 McAfee GTI 관심목록................................ 241 관심목록추가................................... 242 규칙관심목록만들기................................ 244 관심목록에규칙추가................................ 245 IOC 위협관심목록만들기............................... 245 Hadoop HBase 관심목록추가............................. 245 McAfee Active Response 관심목록만들기......................... 246 관심목록, 보고서및보기공유............................. 247 7 McAfee ESM 이벤트 249 McAfee ESM 이벤트작동방법............................. 249 이벤트, 플로및로그다운로드설정......................... 250 데이터의수집시간제한............................. 251 비활성임계값설정정의............................. 251 이벤트및플로가져오기............................. 251 이벤트, 플로및로그확인............................ 252 위치및 ASN 설정정의............................. 252 이벤트또는플로집계............................. 252 이벤트전달구성............................... 254 보고서관리................................. 258 contains 및 regex 필터설명.............................. 262 사용자지정유형.................................. 265 사용자지정유형만들기............................. 267 McAfee Active Response 검색............................. 268 McAfee Active Response 검색실행......................... 268 McAfee Active Response 검색결과보기....................... 269 McAfee Active Response 데이터강화소스추가.................... 269 8 McAfee ESM 자산관리자 271 자산관리자작동방법................................ 271 자산관리..................................... 272 이전자산정의................................... 274 자산소스관리................................... 274 취약성평가소스를관리................................ 275 영역관리..................................... 278 영역관리.................................. 278 영역추가.................................. 279 영역설정내보내기.............................. 279 영역설정가져오기.............................. 279 알려진위협관리.................................. 280 자산, 위협및위험평가................................ 280 9 McAfee ESM 정책및규칙 283 McAfee ESM 정책및규칙작동방법........................... 283 정책관리..................................... 284 데이터베이스감사추적설정.............................. 284 정규화작동방법.................................. 285 McAfee ESM 규칙유형................................ 286 McAfee ESM 규칙유형............................. 286 McAfee Application Data Monitor 규칙........................ 287 ASP( 고급 Syslog 분석기 ) 규칙.......................... 302 상관규칙.................................. 307 데이터소스규칙............................... 310 McAfee Database Event Monitor(DEM) 규칙...................... 311 6 McAfee Enterprise Security Manager 10.3.x 제품안내서
목차 필터규칙.................................. 312 트랜잭션추적규칙관리............................. 314 변수.................................... 314 Windows 이벤트규칙.............................. 316 패킷초과구독정의................................. 316 정책업데이트상태보기................................ 316 규칙관리..................................... 317 규칙가져오기................................ 318 변수가져오기................................ 319 규칙내보내기................................ 319 기존규칙필터링............................... 320 규칙시그니처보기.............................. 321 규칙업데이트검색.............................. 321 업데이트된규칙상태지우기........................... 321 규칙파일비교................................ 322 규칙변경기록보기.............................. 322 태그를규칙또는자산에할당........................... 322 집계설정변경................................... 323 다운로드한규칙의재정의액션을정의합니다......................... 323 심각도가중치................................... 324 심각도가중치정의.............................. 325 정책변경기록보기................................. 325 정책변경롤아웃.................................. 325 규칙에대해패킷복사활성화.............................. 325 10 FIPS 모드에서 327 FIPS 모드정보................................... 327 FIPS 모드에서장치추가............................... 329 FIPS 모드에서장치정보백업및복원........................ 329 FIPS 모드에서여러장치와의통신활성화...................... 330 FIPS 무결성체크.................................. 331 FIPS 모드문제해결................................. 332 McAfee Enterprise Security Manager 10.3.x 제품안내서 7
목차 8 McAfee Enterprise Security Manager 10.3.x 제품안내서
1 제품 1 개요 목차 개요주요기능작동방법 McAfee ESM 리소스 개요 McAfee Enterprise Security Manager (McAfee ESM) 는시스템, 네트워크, 데이터베이스및응용프로그램의모든활동을실시간으로볼수있는 SIEM( 보안정보및이벤트관리 ) 솔루션입니다. McAfee SIEM 솔루션의기초로 McAfee ESM 은다음을수행합니다. 보안장치, 네트워크인프라, 데이터베이스및응용프로그램에서이벤트데이터를수집하고집계합니다. 사용자, 자산, 취약성및위협에대해문맥에맞는정보와결합하여해당데이터에지능을적용합니다. 정보를상호연결하여잠재적위협인시던트를찾습니다. 대화형사용자지정대시보드를사용하여인시던트를조사하고대응할수있습니다. 참고항목 : 10 페이지의작동방법 9 페이지의주요기능 13 페이지의 McAfee ESM 리소스 주요기능 McAfee ESM 은보안조직에필요한속도와규모로성능, 실행가능한인텔리전스및솔루션통합을제공합니다. 숨겨진위협에대해신속하게우선순위를지정하고조사하고대응할수있으며컴플라이언스요구사항을충족시킬수있습니다. McAfee ESM 주요기능은다음과같습니다. 분석가중심의대시보드, 보고서, 보기, 규칙및경보 일반적인보안사용케이스를위해미리패키지된구성 ( 예 : 규칙집합, 경보, 트리거, 자동교정, 보기, 보고서, 변수및관심목록 ) 을갖춘콘텐츠팩 글로벌규정및제어프레임워크를위해사전정의된대시보드, 감사추적및보고서 사용자지정가능한컴플라이언스보고서, 규칙및대시보드 McAfee Enterprise Security Manager 10.3.x 제품안내서 9
1 제품개요작동방법 상황별정보 ( 예 : 개인정보보호솔루션, 위협데이터및평판피드, ID 및액세스관리시스템 ) 로이벤트를풍부하게하는기능 이벤트데이터에대해의심스럽거나확인된위협정보의거의실시간또는기록집계및상관 타사보안공급업체장치및위협인텔리전스피드에서데이터를수집하는기능 이벤트데이터의장기저장에대한신속한액세스 여러해동안의로그이벤트를수집하고상호연결시키는확장가능한데이터아키텍처 주문형쿼리, 포렌직, 규칙유효성검사및컴플라이언스 참고항목 : 9 페이지의개요 10 페이지의작동방법 13 페이지의 McAfee ESM 리소스 작동방법 아래다이어그램에 McAfee ESM 워크플로가나와있습니다. 1 위협이조직에발생합니다. 2 McAfee Event Receiver 는보안장치, 데이터베이스, 네트워크시스템및응용프로그램에서데이터및이벤트를수집합니다. 3 McAfee Event Receiver 는원시데이터를수집합니다. 4 McAfee Event Receiver 는특정구문규칙에따라데이터를부분및관계로구문분석 ( 또는추출 ) 합니다. 5 McAfee Event Receiver 는수집된값을하나의공통배율로정규화 ( 또는정렬 ) 하고알려진위협을식별하는데사용합니다. 6 McAfee Advanced Correlation Engine(McAfee ACE) 는잠재적인보안위협을식별하기위해정보의패턴을상호연결 ( 식별 ) 합니다. 7 분석가는 McAfee ESM 대시보드, 경보, 관심목록, 케이스및보고서를사용하여위협을모니터링하고식별할수있습니다. 8 DXL(Data Exchange Layer), McAfee Advanced Threat Defense(ATD) 및 McAfee Threat Intelligence Exchange (TIE) 를사용하여위협을식별합니다. 9 McAfee epolicy Orchestrator 를사용하여위협에즉시자동으로대응합니다. 10 McAfee Enterprise Security Manager 10.3.x 제품안내서
제품개요작동방법 1 다음다이어그램에는 McAfee ESM 장치가서로어떤방식으로작동하는지나와있습니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 11
1 제품개요작동방법 참고항목 : 9 페이지의개요 9 페이지의주요기능 13 페이지의 McAfee ESM 리소스 12 McAfee Enterprise Security Manager 10.3.x 제품안내서
제품개요 McAfee ESM 리소스 1 McAfee ESM 리소스 McAfee ESM 리소스를연결하여이에대한전문성을최대화합니다. McAfee ESM 리소스 : 콘텐츠팩찾기 (McAfee Connect) 현지화된정보찾기17페이지의 McAfee 제품다운로드 알려진문제찾기 데이터소스구성방법학습 ( 데이터소스구성참조 ) 지원되는데이터소스찾기연락처 : 기술지원 고객서비스 전문서비스 판매 파트너 지원 : 지식센터검색 SNS(Support Notification Service) 메시지구독 최신릴리스정보찾기 기술지원서비스포털등록 학습 : McAfee ESM YouTube 비디오시청 강사강의및 e-learning 클래스등록 McAfee 인증서얻기 보고서, 백서, 솔루션요약, 데이터시트읽기 커뮤니티 : Knowledge Center 방문 Expert Center 방문 McAfee SIEM(Security Information and Event Management) 커뮤니티방문 참고항목 : 9 페이지의개요 10 페이지의작동방법 9 페이지의주요기능 McAfee Enterprise Security Manager 10.3.x 제품안내서 13
1 제품개요 McAfee ESM 리소스 14 McAfee Enterprise Security Manager 10.3.x 제품안내서
2 McAfee 2 ESM 시작하기 목차 로그온및로그오프로그온페이지사용자지정이벤트로그의언어변경현지화된정보찾기콘솔시간제한값설정 ESM 소프트웨어업데이트규칙업데이트자격증명가져오기및추가규칙업데이트확인 McAfee ESM 장치연결 로그온및로그오프 장치를설치하고설정한다음처음으로 ESM 콘솔에로그온할수있습니다. 1 클라이언트컴퓨터에서웹브라우저를열고네트워크인터페이스를구성했을때설정한 IP 주소로이동합니다. 2 기본사용자이름및암호를입력한다음시스템언어를선택합니다. 기본사용자이름 : NGCP 기본암호 : security.4u 3 [ 로그온 ] 을클릭하고 [ 최종사용자사용권계약 ] 을읽은다음 [ 동의 ] 를클릭합니다. 4 사용자이름과암호를변경한다음 [ 확인 ] 을클릭합니다. IPMI를사용할때암호에 `~!@#$%^&*()[]\{} ; : <> 등의특수문자를사용하지마십시오. 5 FIPS 모드활성화여부를선택합니다. FIPS 모드가필요한경우시스템에처음로그온할때이를활성화하여 McAfee 장치와의향후이 FIPS 모드에서작동하도록해야합니다. 활성화하면실행취소할수없으므로필요할때만 FIPS 모드를활성화합니다. 6 규칙업데이트에액세스하기위해필요한사용자이름및암호를가져오기위한지침을수행합니다. 7 초기 ESM 구성을수행합니다. a 시스템로그에사용할언어를선택합니다. b 이 ESM이있는시간대및이계정과함께사용할날짜형식을선택하고 [ 다음 ] 을클릭합니다. c [ESM 구성 ] 마법사페이지를사용하여설정을정의합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 15
2 McAfee ESM 시작하기로그온페이지사용자지정 8 [ 확인 ] 을클릭합니다. 9 세션을완료한경우다음방법중하나를사용하여로그오프합니다. 열려있는페이지가없는경우페이지의오른쪽상단모서리에있는드롭다운목록에서 [ 로그아웃 ] 을클릭합니다. 페이지가열려있으면브라우저를닫습니다. 참고항목 : 16 페이지의로그온페이지사용자지정 17 페이지의콘솔시간제한값설정 로그온페이지사용자지정 로그인및인쇄설정을사용자지정하고, 시스템장치링크를편집하고, 해결이메일서버의설정을구성합니다. 사용자지정로고를선택해도아무런효과가없습니다. 1 [ 사용자지정설정 ] 을표시하려면다음중하나를수행합니다. 대시보드에서을클릭하고 [ 시스템속성 ] [ 사용자지정설정 ] 을선택합니다. 시스템탐색트리에서을클릭하고 [ 사용자지정설정 ] 을선택합니다. 2 다음중하나를수행합니다. 로그인화면에사용자지정텍스트 ( 예 : 회사보안정책 ) 를추가하려면페이지상단의상자에텍스트를입력하고 [ 로그인화면에텍스트포함 ] 확인란을선택합니다. 시스템트리를 5 분마다자동으로새로고칠지와업데이트할때시스템트리를새로고칠지여부를선택합니다. 시스템장치에대한 URL 링크를변경하려면 [ 장치링크 ] 를클릭합니다. 해결이메일서버설정을구성하려면 [ 해결 ] 을클릭합니다. 분기별보고서및보기의시작월을설정하려면드롭다운목록에서월을선택합니다. 참고항목 : 15 페이지의로그온및로그오프 17 페이지의콘솔시간제한값설정 이벤트로그의언어변경 ESM 에처음로그온하는경우상태모니터로그및장치로그와같은이벤트로그에사용되는언어를선택합니다. 이언어설정을변경할수있습니다. 1 다음중하나를수행합니다. 대시보드에서을클릭하고 [ 시스템속성 ESM 관리 ] 를선택합니다. 시스템탐색트리에서을클릭하고 [ESM 관리 ] 를선택합니다. 2 [ 시스템로캘 ] 을클릭하고드롭다운목록에서언어를선택한다음 [ 확인 ] 을클릭합니다. 16 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 시작하기현지화된정보찾기 2 참고항목 : 17 페이지의현지화된정보찾기 현지화된정보찾기 현지화된 ( 번역된 ) McAfee ESM 릴리스정보, 도움말, 제품안내서및설치안내서를제공합니다. 중국어 ( 간체 ) 중국어 ( 번체 ) 영어 프랑스어 독일어 일본어 한국어 포르투갈어 ( 브라질 ) 스페인어 Knowledge Center 에서현지화된제품안내서를찾습니다. 1 Knowledge Center 를방문하십시오. 2 다음매개변수를사용하여현지화된제품설명서를검색합니다. 검색어 제품안내서, 설치안내서또는릴리스정보 제품 McAfee Enterprise Security Manager 버전 릴리스버전을선택합니다. 3 검색결과에서관련문서제목을클릭합니다. 4 PDF 아이콘이있는페이지의오른쪽에서언어링크가보일때까지아래로스크롤합니다. 관련언어를클릭합니다. 5 제품문서의현지화된버전을열려면 PDF 링크를클릭합니다. 참고항목 : 16 페이지의이벤트로그의언어변경 콘솔시간제한값설정 ESM 콘솔의현재세션이활동없이열려있는기간을정의합니다. 1 다음중하나를수행합니다. 대시보드에서을클릭하고 [ 시스템속성 로그인보안 ] 을선택합니다. 시스템탐색트리에서을클릭하고 [ 로그인보안 ] 을선택합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 17
2 McAfee ESM 시작하기 ESM 소프트웨어업데이트 2 [UI 시간초과값 ] 에서활동이없이지나야하는시간 ( 분 ) 을선택한다음 [ 확인 ] 을클릭합니다. 영 (0) 을선택하는경우콘솔이무기한열려있습니다. 참고항목 : 15 페이지의로그온및로그오프 16 페이지의로그온페이지사용자지정 ESM 소프트웨어업데이트 업데이트서버또는보안엔지니어가소프트웨어업데이트에액세스한다음 ESM 에업로드합니다. 1 [ESM 관리 ] 를표시하려면다음중하나를수행합니다. 대시보드에서을클릭하고 [ 시스템속성 ] [ESM 관리 ] 를선택합니다. 시스템탐색트리에서을클릭하고 [ESM 관리 ] 를선택합니다. 2 [ 유지관리 ] 탭에서 [ESM 업데이트 ] 를클릭합니다. 3 다음중하나를수행합니다. ESM 을업데이트하기위해사용하려는파일을선택한다음 [ 확인 ] 을클릭합니다. McAfee ESM 규칙및업데이트서버에서가져온소프트웨어업데이트파일을찾습니다. [ 업로드 ] 를클릭한다음경고페이지에서 [ 예 ] 를클릭합니다. 업데이트를설치하는동안 ESM 이재부팅되고모든현재세션연결이끊어집니다. 참고항목 : 18 페이지의규칙업데이트자격증명가져오기및추가 19 페이지의규칙업데이트확인 규칙업데이트자격증명가져오기및추가 McAfee ESM 은유지관리계약의일부로정책, 분석기및규칙업데이트를제공합니다. 영구자격증명을요구하기전에 30 일간액세스할수있습니다. 1 다음정보를사용하여이메일메시지를 Licensing@McAfee.com 으로보내자격증명을가져옵니다. McAfee 허가 ID 계정이름 주소 연락처이름 연락처이메일주소 18 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 시작하기규칙업데이트확인 2 2 McAfee 에서고객 ID 와암호를받으면다음중하나를수행합니다. 대시보드에서를클릭하고 [ 시스템속성 시스템정보 규칙업데이트 ] 를선택합니다. 시스템탐색트리에서를클릭하고 [ 시스템정보 규칙업데이트 ] 를선택합니다. 3 [ 자격증명 ] 을클릭한다음고객 ID 와암호를입력합니다. 4 [ 유효성검사 ] 를클릭합니다. 참고항목 : 18 페이지의 ESM 소프트웨어업데이트 19 페이지의규칙업데이트확인 규칙업데이트확인 McAfee 는네트워크트래픽을검사하는데사용되는규칙시그니처를지속적으로업데이트합니다. McAfee 서버에서규칙업데이트를자동또는수동으로다운로드할수있습니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 규칙업데이트 ] 를클릭합니다. 4 다음옵션중하나를선택합니다. [ 자동체크간격 ] 은선택하는빈도를사용하여자동으로업데이트를체크하도록시스템을설정합니다. [ 지금체크 ] 는지금업데이트를체크합니다. [ 수동업데이트 ] 는로컬파일에서규칙을업데이트합니다. 5 [ 확인 ] 을클릭합니다. 참고항목 : 18 페이지의 ESM 소프트웨어업데이트 18 페이지의규칙업데이트자격증명가져오기및추가 McAfee ESM 장치연결 목차 ESM 콘솔에장치추가장치이름, 링크및설명변경 ESM 에장치연결 McAfee ESM 과장치동기화표시유형선택사용자지정표시유형구성시스템에 McAfee 액세스권한부여 McAfee Enterprise Security Manager 10.3.x 제품안내서 19
2 McAfee ESM 시작하기 McAfee ESM 장치연결 ESM 콘솔에장치추가 물리적장치및가상장치를설정하고설치한다음에는 ESM 콘솔에추가합니다. 시작하기전에 장치를설정하고설치합니다. 여러 ESM 장치가있는복잡한 ESM 설치의경우에만다음단계를완료합니다. ESM 조합을사용하는단순한 ESM 설치의경우에는이을수행하지않습니다. 1 시스템탐색트리에서 [ 로컬 ESM] 또는그룹을클릭합니다. 2 을클릭합니다. 3 추가하려는장치유형을선택하고 [ 다음 ] 을클릭합니다. 4 [ 장치이름 ] 필드에이그룹에서고유한이름을입력한후 [ 다음 ] 을클릭합니다. 5 요청된정보를제공합니다. McAfee epo 장치 수신기를선택하고웹인터페이스에로그온하는데필요한자격증명을입력한후 [ 다음 ] 을클릭합니다. 데이터베이스와통신하는데사용할설정을입력합니다. 장치의사용자이름및암호를가진사용자에대한액세스를제한하려면 [ 사용자인증필요 ] 를선택합니다. 다른모든장치 장치에대한 IP 주소또는 URL 을입력합니다. 6 장치에서 NTP(Network Time Protocol) 설정사용여부를선택하고 [ 다음 ] 을클릭합니다. 7 이장치의암호를입력하고 [ 다음 ] 을클릭합니다. ESM 은연결상태에서장치통신및보고서를테스트합니다. 참고항목 : 22 페이지의표시유형선택 20 페이지의장치이름, 링크및설명변경 21 페이지의 ESM 에장치연결 21 페이지의 McAfee ESM 과장치동기화 22 페이지의사용자지정표시유형구성 장치이름, 링크및설명변경 시스템트리에장치를추가하는경우트리에표시되는이름을제공합니다. 장치이름, 시스템이름, URL 및설명을변경할수있습니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 이름및설명 ] 을클릭하여이름, 시스템이름, URL 및설명을변경하거나 [ 장치 ID] 번호를봅니다. 참고항목 : 20 페이지의 ESM 콘솔에장치추가 22 페이지의표시유형선택 21 페이지의 ESM 에장치연결 21 페이지의 McAfee ESM 과장치동기화 22 페이지의사용자지정표시유형구성 20 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 시작하기 McAfee ESM 장치연결 2 ESM 에장치연결 ESM 에장치를연결하는경우장치와 ESM 간에통신도설정해야합니다. 시작하기전에 보조장치의 IP 주소를변경한후분산 ESM 에키를지정하는경우 ESM 에다시연결되도록해당포트 443 이열려있어야합니다. 연결설정변경은 ESM 이장치와통신하는방식에만영향을미칩니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 연결 ] 을클릭합니다. 옵션 정의 [ 대상 IP 주소 / 이름 ] ESM 이장치와통신하기위해사용하는 IP 주소또는호스트이름입니다. [ 대상포트 ] 통신을시도하기위해사용되는포트입니다 ( 기본포트는 22). [ 이장치를비활성화됨으로표시 ] ESM 에대한 SSH 통신을중지합니다. 시스템탐색트리에서이장치에대한아이콘은장치가비활성화되었다는것을나타냅니다. [ 상태 ] ESM 에대한연결을확인합니다. 참고항목 : 20 페이지의 ESM 콘솔에장치추가 22 페이지의표시유형선택 20 페이지의장치이름, 링크및설명변경 21 페이지의 McAfee ESM 과장치동기화 22 페이지의사용자지정표시유형구성 McAfee ESM 과장치동기화 McAfee ESM 을교체해야하는경우동기화하여설정을복원합니다. 현재데이터베이스백업이없는경우꺼내기이벤트를계속할수있도록데이터소스, 가상장치및데이터베이스서버설정도 McAfee ESM 과동기화해야합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [< 장치레이블 > 구성 ] [ 장치동기화 ] 를클릭합니다. 4 동기화가완료되면 [ 확인 ] 을클릭합니다. 참고항목 : 20페이지의 ESM 콘솔에장치추가 22페이지의표시유형선택 20페이지의장치이름, 링크및설명변경 21페이지의 ESM에장치연결 22페이지의사용자지정표시유형구성 McAfee Enterprise Security Manager 10.3.x 제품안내서 21
2 McAfee ESM 시작하기 McAfee ESM 장치연결 표시유형선택 시스템탐색트리에서장치를표시하려는방법을선택합니다. 시작하기전에사용자지정표시유형을만듭니다. 1 시스템탐색창에서표시유형필드의드롭다운화살표를클릭합니다. 2 표시유형중하나를선택합니다. 탐색트리의장치구성이현재세션에대해선택한유형을반영하도록변경됩니다. 참고항목 : 20페이지의 ESM 콘솔에장치추가 20페이지의장치이름, 링크및설명변경 21페이지의 ESM에장치연결 21페이지의 McAfee ESM과장치동기화 22페이지의표시유형선택 22페이지의사용자지정표시유형구성 사용자지정표시유형구성 사용자지정표시유형에서그룹을사용하여장치를논리그룹으로구성할수있습니다. 시작하기전에사용자지정표시유형이만들어졌는지확인합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색창에서표시유형드롭다운목록을클릭한다음사용자지정표시를선택합니다. 3 사용자지정표시를선택하고다음중하나를수행합니다. 시스템또는그룹노드를클릭한다음 [ 그룹추가 ] 아이콘을클릭합니다. 필드를입력한다음 [ 확인 ] 을클릭합니다. 장치를그룹에추가하려면표시에끌어다놓습니다. 장치가표시트리의일부인경우시스템에서복제장치노드가만들어집니다. 그러면시스템트리에서복제본을삭제할수있습니다. 그룹을선택한다음 [ 속성 ] 아이콘을클릭하여속성을변경합니다. 그룹을선택한다음 [ 그룹삭제 ] 아이콘을클릭합니다. 시스템은그룹및장치를사용자지정표시에서삭제하지만시스템에서는삭제하지는않습니다. 참고항목 : 20 페이지의 ESM 콘솔에장치추가 22 페이지의표시유형선택 20 페이지의장치이름, 링크및설명변경 21 페이지의 ESM 에장치연결 21 페이지의 McAfee ESM 과장치동기화 22 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 시작하기 McAfee ESM 장치연결 2 시스템에 McAfee 액세스권한부여 McAfee 에지원을요청하는경우기술지원엔지니어가시스템을볼수있도록액세스권한을부여해야할수있습니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ESM 관리 ] 를클릭하고 [ 유지관리 ] 탭을선택합니다. 4 [ 연결 ] 을클릭합니다. 단추가 [ 연결끊기 ] 로변경되고시스템이 IP 주소를표시합니다. 5 기술지원엔지니어에게 IP 주소를제공합니다. 지원부서에서암호와같은추가정보를요청할수있습니다. 6 연결을종료하려면 [ 연결끊기 ] 를클릭합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 23
2 McAfee ESM 시작하기 McAfee ESM 장치연결 24 McAfee Enterprise Security Manager 10.3.x 제품안내서
3 McAfee ESM 구성 목차 장치키장치구성 McAfee ESM 장치구성보조 McAFee ESM 서비스구성중복 ESM 설정 McAfee ESM 데이터베이스관리사용자및그룹시스템설정백업및복원 McAfee ESM 관리글로벌블랙리스트작동방법데이터보강 장치키 ESM 이장치와통신하려면장치에키를지정할때만들어진키를사용하여통신을암호화합니다. 모든설정은 ESM 에저장됩니다. 즉, ESM 콘솔은 ESM 에서유지관리되는키를인식합니다. 장치관리자는다른 ESM 에서장치에대한설정을덮어쓸수있습니다. 단일 ESM 을사용하여연결된장치를관리합니다. 분산 ESM(DESM) 은다른 ESM 에연결된장치에서데이터수집을처리할수있습니다. 참고항목 : 26 페이지의 SSH 키관리 25 페이지의장치에키지정 장치에키지정 ESM 에장치를추가한다음통신을활성화하려면장치에키를지정합니다. 장치에키를지정하면장치가 ESM 과만통신하도록하여보안을향상시킵니다. 시작하기전에 하위의 IP 주소를변경한후분산 ESM 에키를지정하는경우 ESM 에다시연결되도록해당포트 443 이열려있어야합니다. 다음문자는장치이름에사용할수없습니다.! @ # $ % ^ & * ) ( ] [ } { : ; " ' > < >, /? ` ~ + = \ McAfee Enterprise Security Manager 10.3.x 제품안내서 25
3 McAfee ESM 구성장치구성 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ESM 관리 ] 를클릭하고 [ 키관리 ] 탭을선택합니다. 장치에연결이설정되고 ESM 과통신할수있으면 [ 장치에키지정마법사 ] 가열립니다. 4 장치에새암호를입력하고 [ 다음 ] 을클릭합니다. 5 [ 마침 ] 을클릭합니다. 참고항목 : 25 페이지의장치키 26 페이지의 SSH 키관리 SSH 키관리 McAfee ESM과통신하는 SSH 지원장치의키를보거나삭제합니다. 1 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 키관리 ] 를클릭한다음 [SSH 키관리 ] 를클릭합니다. a [ 인증된키 ] 는 McAfee ESM 과통신하기위해 SSH 를사용하는장치를나열합니다. b [ 알려진호스트 ] 는 McAfee ESM 과통신한 SSH 지원장치를나열합니다. known_hosts 파일 (root/.ssh/ known_hosts) 에서사용할수있는호스트데이터로채워진 IP 주소, 장치이름및지문을봅니다. c [ 장치의지문 ] 은장치의공개 SSH 키에서생성된 McAfee ESM 지문을나열합니다. 3 장치와의통신을중지하려면 ID 를강조표시하고 [ 삭제 ] 를클릭한다음 [ 확인 ] 을클릭하여삭제를확인합니다. 참고항목 : 25 페이지의장치키 25 페이지의장치에키지정 장치구성 시스템탐색트리에시스템의장치가나열됩니다. 표시방법을선택할수있습니다. 시스템의장치수를늘릴때해야하는장치를찾을수있도록논리적으로구성하는것이좋습니다. 예를들어여러위치에사무실이있는경우영역에따라사무실을표시할수있습니다. 사전정의된표시를사용할수있으며사용자지정표시를설계할수있습니다. 각사용자지정표시에그룹을추가하면장치를더구성할수있습니다. 참고항목 : 27 페이지의장치정보보기 33 페이지의여러장치관리 33 페이지의가상장치작동방법 26 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성장치구성 3 장치정보보기 장치특성을알아야할때이정보를사용합니다. 예를들어기술지원에서문제를해결할때이정보를요청할수있습니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 액션도구모음에서 [ 장치새로고침 ] 아이콘을클릭합니다. 장치에대한정보는 McAfee ESM 과동기화됩니다. 3 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 옵션 정의 [ 시스템 ID ] 장치 ID 번호입니다. 시스템을다시활성화해야하는경우 McAfee 지원은올바른파일을보내기위해이번호를사용합니다. [ 일련번호 ] 장치일련번호 [ 모델 ] 장치모델번호 [ 버전 ] 장치에서현재실행되는소프트웨어버전입니다. [ 빌드 ] 소프트웨어버전의빌드번호 [ 시계 (GMT)] 장치가마지막으로열리거나새로고친날짜및시간 [ 장치시계동기화 ] 이장치의시계를 McAfee ESM 의시계와동기화합니다. [ 영역 ] 장치가할당된경우할당된영역입니다. [ 영역 ] 을클릭하면 [ 영역정책관리자 ] 가열립니다. [ 정책 ] 이장치에있는정책의현재상태입니다. [ 정책 ] 을클릭하면 [ 정책편집기 ] 가열립니다. [ 상태 ] 장치의프로세스상태및 FIPS 자체테스트를실행한다음 FIPS 상태 ( 장치가 FIPS 모드에서실행되는경우 ) 입니다. 28 페이지의장치의 URL 관리장치의 [ 이벤트분석 ] 및 [ 플로분석 ] 보기의링크에서열려고하는 URL 을설정할수있습니다. 28 페이지의장치통계보기장치별 CPU, 메모리, 대기열등을봅니다. 29 페이지의장치요약보고서보기장치요약보고서를보고 McAfee ESM 의장치유형과수를확인하고각장치가이벤트를수신하는시기를확인합니다. 보고서를 CSV( 쉼표로구분된값 ) 형식으로내보낼수있습니다. 30 페이지의시스템또는장치로그보기시스템및장치로그는 McAfee ESM 장치의내부이벤트를추적합니다. 장치또는 McAfee ESM 에대한자세한이벤트목록을보려면로그를확인합니다. 31 페이지의장치상태보고서상태보고서를사용할수있는경우흰색 ( 정보 ), 노란색 ( 비활성또는장치상태 ) 또는빨간색 ( 위험 ) 상태플 래그가시스템탐색트리의시스템, 그룹또는장치노드옆에나타납니다. 플래그를클릭하면 [ 장치상태경보 ] 페이지에서정보를보고문제를해결하기위한옵션을제공합니다. 32 페이지의메시지로그및장치통계보기시스템에서생성된메시지를보거나, 장치의성능에대한통계를보거나, 장치상태정보가포함된.tgz 파일을다운로드할수있습니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 27
3 McAfee ESM 구성장치구성 참고항목 : 26 페이지의장치구성 28 페이지의장치의 URL 관리 28 페이지의장치통계보기 29 페이지의장치요약보고서보기 30 페이지의시스템또는장치로그보기 31 페이지의장치상태보고서 32 페이지의메시지로그및장치통계보기 33 페이지의여러장치관리 33 페이지의가상장치작동방법 장치의 URL 관리 장치의 [ 이벤트분석 ] 및 [ 플로분석 ] 보기의링크에서열려고하는 URL 을설정할수있습니다. 시작하기전에 URL 이작동하는지확인합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 사용자지정설정 ] [ 장치링크 ] 를클릭합니다. 4 [ 사용자지정장치링크 ] 페이지에서장치를선택한다음 [ 편집 ] 을클릭합니다. 5 URL( 최대 512 자 ) 을입력합니다. 6 URL 에타사응용프로그램주소가포함되어있고 URL 에변수를추가해야하는경우변수를삽입할위치를클릭한다음변수아이콘을클릭하고변수를선택합니다. 7 장치의 [ 이벤트분석 ] 및 [ 플로분석 ] 보기의하단에있는 [ 장치 URL 시작 ] 아이콘을클릭하면정보페이지에액 세스할수있습니다. 참고항목 : 27 페이지의장치정보보기 28 페이지의장치통계보기 29 페이지의장치요약보고서보기 30 페이지의시스템또는장치로그보기 31 페이지의장치상태보고서 32 페이지의메시지로그및장치통계보기 장치통계보기 장치별 CPU, 메모리, 대기열등을봅니다. 시작하기전에 장치관리권한이있는지확인합니다. 28 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성장치구성 3 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [< 장치 > 관리 ] 를클릭한다음 [ 통계보기 ] 를클릭합니다. 옵션 정의 [ 날짜범위 ] 통계를보려는시간입니다. [ 메트릭 ] 보려는메트릭유형입니다. [ 새로고침 ] 선택한메트릭에대한통계를사용하여그래프및표를채웁니다. 그래프그래프형식으로선택한통계를표시합니다. 표표형식으로선택한통계를표시합니다. [ 그룹 ] 열메트릭그룹의유형을나열합니다. [ 메트릭 ] 열메트릭그룹의하위범주인메트릭을나열합니다. [ 표시됨 ] 열현재그래프로보여준메트릭을나타냅니다. 매트릭을선택하거나선택취소할수있고그래프는변경사항을반영합니다. [ 배율 ] 열해당메트릭의배율을나타냅니다. [ 색상 ] 열각메트릭을표시하는그래프의줄색상을나타냅니다. 그래프가해당장치에대한통계를표시하고 10 분마다새로고침을수행합니다. 데이터를표시하려면최소 30 분의데이터가필요합니다. 각메트릭유형에는여러메트릭이포함되어있으며일부는기본적으로활성화되어있습니다. 참고항목 : 27 페이지의장치정보보기 28 페이지의장치의 URL 관리 29 페이지의장치요약보고서보기 30 페이지의시스템또는장치로그보기 31 페이지의장치상태보고서 32 페이지의메시지로그및장치통계보기 장치요약보고서보기 장치요약보고서를보고 McAfee ESM 의장치유형과수를확인하고각장치가이벤트를수신하는시기를확인합니다. 보고서를 CSV( 쉼표로구분된값 ) 형식으로내보낼수있습니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 시스템정보 ] 를선택한다음 [ 보고서보기 ] 를클릭합니다. 4 장치목록을보거나내보내려면 [ 장치유형개수 ] 탭또는 [ 이벤트시간 ] 보고서를선택합니다. 5 장치시계에서시간을비교하려면 [ 이벤트시간 ] 탭을선택합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 29
3 McAfee ESM 구성장치구성 참고항목 : 27 페이지의장치정보보기 28 페이지의장치통계보기 28 페이지의장치의 URL 관리 30 페이지의시스템또는장치로그보기 31 페이지의장치상태보고서 32 페이지의메시지로그및장치통계보기 시스템또는장치로그보기 시스템및장치로그는 McAfee ESM 장치의내부이벤트를추적합니다. 장치또는 McAfee ESM 에대한자세한이벤트목록을보려면로그를확인합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템로그를봅니다. a 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. b [ 시스템속성 ] 에서 [ 시스템로그 ] 를클릭합니다. c 시간범위를설정하고보관된파티션을포함할지여부를선택한다음 [ 보기 ] 를클릭합니다. [ 시스템로그 ] 페이지에서데이터선택을세분화하거나일반텍스트파일로데이터를내보낼수있습니다. 3 장치로그를봅니다. a 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘 을클릭합니다. b [ 장치로그 ] 를클릭합니다. c 시간범위를설정하고아카이브된파티션을포함할지여부를선택한다음 [ 보기 ] 를클릭합니다. [ 장치로그 ] 페이지에서데이터선택을세분화하거나일반텍스트파일로데이터를내보낼수있습니다. 참고항목 : 27 페이지의장치정보보기 28 페이지의장치통계보기 29 페이지의장치요약보고서보기 28 페이지의장치의 URL 관리 31 페이지의장치상태보고서 32 페이지의메시지로그및장치통계보기 30 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성장치구성 3 장치상태보고서 상태보고서를사용할수있는경우흰색 ( 정보 ), 노란색 ( 비활성또는장치상태 ) 또는빨간색 ( 위험 ) 상태플래그가시스템탐색트리의시스템, 그룹또는장치노드옆에나타납니다. 플래그를클릭하면 [ 장치상태경보 ] 페이지에서정보를보고문제를해결하기위한옵션을제공합니다. 플래그가있는노드유형... 시스템또는그룹 장치 열리는페이지... [ 장치상태경보요약 ] 페이지가열리며, 이는시스템또는그룹과연결된장치의상태경보에대한요약입니다. 이페이지에는다음과같은상태경보가표시될수있습니다. [ 드라이브공간 ] 하드드라이브가꽉찼거나공간이부족합니다. 여기에는 ESM, 중복 ESM 또는원격마운트지점의하드드라이브가포함될수있습니다. [ 위험 ] 장치가제대로작동하지않습니다. [ 경고 ] 장치의어떤부분이제대로작동하지않습니다. [ 정보 ] 장치가제대로작동하지만장치상태수준이변경되었습니다. [ 비동기 ] ESM 의가상장치, 데이터소스또는데이터베이스서버설정이실제로장치에있는설정과동기화되지않습니다. [ 롤오버 ] 이장치에대한로그테이블의공간이부족하여롤오버되었습니다. 즉, 새로운로그가이전로그를덮어쓴다는의미입니다. [ 비활성 ] 장치가비활성임계값기간내에이벤트또는플로를생성하지못했습니다. [ 알수없음 ] ESM 이장치에연결할수없습니다. [ 드라이브공간 ], [ 롤오버 ] 및 [ 정보 ] 플래그는플래그옆의상자를선택하고 [ 선택지우기 ] 또는 [ 모두지우기 ] 를클릭하여해결할수있습니다. [ 장치상태경보 ] 페이지가열리며, 문제를해결할수있는위치로연결되는단추가있습니다. 다음과같은단추가있습니다. [ 로그 ] [ 시스템로그 ]( 로컬 ESM) 또는 [ 장치로그 ] 페이지에는시스템이나장치에서발생한모든액션에대한요약이표시됩니다. [ 가상장치 ], [ 데이터소스 ], [VA 소스 ] 또는 [ 데이터베이스서버 ] 시스템에있는이유형의장치를나열하여문제를확인할수있습니다. [ 비활성 ] [ 비활성임계값 ] 페이지에는모든장치에대한임계값설정이표시됩니다. 이플래그는장치가지정된간격으로이벤트를생성하지못했음을나타냅니다. 정보플래그는하위시스템이경고나위험상태에서복구될때마다나타납니다. 다음은각유형의정보플래그에대한설명입니다. 상태 바이패스모드 깊은패킷검사기가실행중이아님 방화벽경보프로그램 (ngulogd) 이실행중이아님 데이터베이스가실행중이아님 제어채널이실행중이아님 설명및지침 NIC( 네트워크인터페이스컨트롤러 ) 가바이패스모드입니다. 가능한이유로는중요한시스템프로세스의오류, 장치를수동으로바이패스모드로설정또는기타오류가있습니다. 장치를바이패스모드에서해제하려면장치 [ 속성 ] [ 구성 ] [ 인터페이스 ] 로이동하십시오. DPI( 깊은패킷검사기 ) 가제대로작동하지않았습니다. 사용자개입없이복구할수있습니다. 그렇지않을경우장치를다시시작하십시오. FAA( 방화벽경보집합 ) 가제대로작동하지않았습니다. 사용자개입없이복구할수있습니다. 그렇지않을경우장치를다시시작하십시오. McAfee EDB(Extreme Database) 서버가제대로작동하지않았습니다. 장치를다시시작하면문제가해결되지만데이터베이스를다시빌드해야할수있습니다. ESM 에통신채널을제공하는프로세스가실패했습니다. 장치재부팅으로문제를해결할수있습니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 31
3 McAfee ESM 구성장치구성 상태 RDEP 또는 Syslog 프로그램이실행중이아님 시스템로거가실행중이아님 하드드라이브파티션의사용가능한공간부족 팬속도경보 온도경보 네트워크오류 설명및지침 타사데이터소스를처리하는하위시스템 ( 예 : syslog 또는 SNMP) 이제대로작동하지않을경우위험경보가발생합니다. 수집기가특정시간내에타사데이터소스에서데이터를수신하지못한경우경고수준경보가발생합니다. 즉, 데이터소스가다운되었거나예상대로수신기에데이터를보내지않고있음을나타냅니다. 시스템로거가응답하지않습니다. 장치재부팅으로문제를해결할수있습니다. 사용가능한디스크공간이매우부족합니다. 팬이매우느리게회전하거나전혀회전하지않습니다. 팬을교체할수있을때까지손상을방지하기위해공기가조절되는공간에장치를보관하십시오. 중요한구성요소의온도가특정임계값보다높습니다. 영구적인손상을방지하려면공기가조절되는공간에장치를보관하십시오. 장치를통과하는공기흐름을차단하는물건이있는지확인하십시오. 네트워크오류가있거나네트워크에과도한충돌이있습니다. 원인은대규모충돌도메인이나불량네트워크케이블일수있습니다. 원격마운트지점문제원격마운트지점에문제가있습니다. 원격마운트지점사용가능한디스크공간부족 모든데이터소스수신기가 10 분이상동안데이터소스로부터통신을수신하지못함 데이터소스수집기가실행중이아님 상태모니터가하위시스템에서유효한상태를가져올수없음 경고또는위험상태에서하위시스템복구 참고항목 : 27 페이지의장치정보보기 28 페이지의장치통계보기 29 페이지의장치요약보고서보기 30 페이지의시스템또는장치로그보기 28 페이지의장치의 URL 관리 32 페이지의메시지로그및장치통계보기 메시지로그및장치통계보기 원격마운트지점의사용가능한디스크공간이부족합니다. 수신기가 10 분이상동안데이터소스로부터통신을수신하지못했습니다. 특정타사데이터소스를처리하는하위시스템 ( 예 : syslog 또는 SNMP) 이제대로작동하지않습니다. 수집기가특정시간동안타사데이터소스로부터데이터를수신하지못했습니다. 데이터소스가다운되었거나예상대로수신기에데이터를보내지않을수있습니다. 상태모니터가하위시스템에서유효한상태를가져올수없습니다. 상태모니터가시작되고중지될때정보경보가생성됩니다. 상태모니터가장치의다른하위시스템과통신하는데문제가있을경우에도경보가생성됩니다. 이벤트로그를보면경고및위험경보의원인에대해세부정보를확인할수있습니다. 시스템에서생성된메시지를보거나, 장치의성능에대한통계를보거나, 장치상태정보가포함된.tgz 파일을다운로드할수있습니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [< 장치 > 관리 ] 를클릭합니다. 32 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성장치구성 3 4 옵션을선택합니다. 시스템메시지를보려면 [ 로그보기 ] 를클릭한다음 [ 전체파일다운로드 ] 를클릭하여데이터를다운로드합니다. 이더넷인터페이스, ifconfig 및 iptables 필터등의장치성능에대한통계를보려면 [ 통계보기 ] 를클릭합니다. 장치상태데이터가포함된.tgz 파일을다운로드하려면 [ 장치데이터 ] 를클릭합니다. 참고항목 : 27 페이지의장치정보보기 28 페이지의장치통계보기 29 페이지의장치요약보고서보기 30 페이지의시스템또는장치로그보기 31 페이지의장치상태보고서 28 페이지의장치의 URL 관리 여러장치관리 한번에여러장치에서소프트웨어를시작, 중지, 다시시작또는업데이트합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 Ctrl+ 클릭및 Shift+ 클릭을사용하여관리하려는장치를선택합니다. 3 액션도구모음에서 [ 여러장치관리 ] 아이콘을클릭합니다. 4 수행하려는및이이수행될장치를선택한다음 [ 시작 ] 을클릭합니다. 35 페이지의중복장치노드삭제시스템탐색트리에중복장치노드가표시될수있습니다. 혼동되지않도록중복장치노드를삭제합니다. 참고항목 : 26 페이지의장치구성 27 페이지의장치정보보기 33 페이지의가상장치작동방법 가상장치작동방법 트래픽모니터링, 트래픽패턴비교및보고를위해가상장치를사용합니다. 목적및이점 가상장치를사용하여다음을수행합니다. 규칙집합과트래픽패턴비교. 예를들어웹트래픽포트를보고다른규칙을활성화또는비활성화할수있는정책을설정하도록가상장치를설정합니다. 보고. 이런방식으로사용하면자동필터설정과유사합니다. 트래픽의여러경로를한번에모니터링. 가상장치를사용하면각트래픽경로에대해별도의정책을설정하고다른트래픽을다른정책으로정렬할수있습니다. McAfee Application Data Monitor 에추가할수있는가상장치수는모델에따라다릅니다. McAfee ESM 에서선택규칙사용방식 McAfee ESM 에서선택규칙은가상장치에서처리하는패킷을결정하는필터로사용됩니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 33
3 McAfee ESM 구성장치구성 패킷이선택규칙과일치하려면해당규칙에정의된모든필터기준이일치해야합니다. 패킷의정보가단일선택규칙에대한모든필터기준과일치하는경우일치하는선택규칙을포함하는가상장치에서처리됩니다. 그렇지않으면순서대로다음가상장치로전달됩니다. 가상장치에서선택규칙이일치하지않으면 McAfee Application Data Monitor 자체가기본값으로처리합니다. IPv4 가상장치와관련하여주의해야할사항 : 시스템에서단일연결에대한모든패킷은연결의첫번째패킷에따라서만정렬됩니다. 연결의첫번째패킷이목록의세번째가상장치에대한선택규칙과일치하면해당연결의모든후속패킷은세번째가상장치로이동합니다. 이는패킷이목록에서더높은가상장치와일치하는경우에도그렇습니다. 시스템에서잘못된패킷 ( 연결을설정하지않거나설정된연결의일부가아닌패킷 ) 은기본장치로정렬됩니다. 예를들어소스또는대상포트가 80 인패킷을검색하는가상장치가있다고가정합니다. 잘못된패킷이포트 80 을통과하면시스템에서포트 80 트래픽을검색하는가상장치대신기본장치로정렬됩니다. 따라서기본장치에서가상장치로이동해야할것같은이벤트를볼수있습니다. 처음으로패킷이규칙과일치하면시스템에서해당패킷이해당가상장치로자동으로라우팅되어처리되므로시스템에서선택규칙이나열되는순서가중요합니다. 예를들어네개의선택규칙을추가하면순서에서네번째규칙이가장일반적으로트리거되는필터가됩니다. 이런식으로이가상장치에대한다른필터가가장일반적으로트리거된선택규칙에도달하기전에각패킷에의해전달되어야합니다. 처리를효율적으로하려면가장일반적으로트리거된필터를순서에서마지막이아닌첫번째가되도록합니다. 가상장치의순서 시스템에서 McAfee Application Data Monitor 장치로오는패킷은가상장치가설정된순서대로각가상장치에대한선택규칙과비교됩니다. 그러므로시스템에서가상장치를확인하는순서가중요합니다. 패킷은첫번째장치의선택규칙과일치하지않는경우에만두번째가상장치에대한선택규칙과비교됩니다. McAfee Application Data Monitor 가상장치 McAfee Application Data Monitor 가상장치는인터페이스에서트래픽을모니터링합니다. 시스템에는최대네개의 McAfee Application Data Monitor 인터페이스필터가있을수있습니다. 각필터는한번에하나의 McAfee Application Data Monitor 가상장치에만적용할수있습니다. 필터가 McAfee Application Data Monitor 가상장치에할당된경우해당장치에서제거될때까지사용가능한필터목록에나타나지않습니다. 참고항목 : 26 페이지의장치구성 33 페이지의여러장치관리 27 페이지의장치정보보기 ADM 선택규칙관리 시스템에서선택규칙은가상장치에서처리하는패킷을결정하는필터로사용됩니다. 선택규칙을추가, 편집및삭제할수있습니다. 순서에서대부분의패킷과처음일치하는규칙을배치합니다. 이렇게하면패킷의구문이분석되는평균횟수가줄어들어 CPU 사용률이줄어듭니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 34 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성장치구성 3 3 [ 가상장치 ] 를클릭한다음 [ 추가 ] 를클릭합니다. 4 표에서선택규칙의순서를추가, 편집, 제거또는변경합니다. 최대 4 개의 McAfee Application Data Monitor 인터페이스필터가있을수있습니다. 각필터는한번에하나의 McAfee Application Data Monitor 가상장치에만적용할수있습니다. 가상장치추가 가상장치를 McAfee Application Data Monitor 장치에추가하여각장치에서처리할패킷을결정하는규칙을설정할수있습니다. 시작하기전에 McAfee Application Data Monitor 장치가가상장치를지원하는지확인합니다. 1 시스템탐색트리에서 McAfee Application Data Monitor 장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 가상장치 ] [ 추가 ] 를클릭합니다. 3 요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 설정한경우가상장치의이름을지정하고이가상장치의정보를볼수있는 URL 주소를입력합니다. 변수를주소에추가해야하는경우 [ 변수 ] 아이콘을클릭합니다. 장치를활성화합니다. 시스템에 ELM이있고이가상장치에서받은데이터를 ELM에로깅하려면저장소풀을선택합니다. 영역이있는경우이장치의영역을선택합니다. 장치에대한선택규칙순서를정의하고결정합니다. 4 [ 쓰기 ] 를클릭하여장치에설정을추가합니다. 중복장치노드삭제시스템탐색트리에중복장치노드가표시될수있습니다. 혼동되지않도록중복장치노드를삭제합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색창에서표시유형드롭다운목록을클릭합니다. 3 중복장치가포함된표시옆의 [ 편집 ] 아이콘을선택합니다. 4 중복장치중하나를선택취소한다음 [ 확인 ] 을클릭합니다. 네트워크트래픽제어설정 네트워크및마스크에대한최대데이터출력값을정의하여각 ESM 장치에아웃바운드트래픽을보내는속도를제어합니다. 트래픽을제한하면데이터가손실될수있습니다. 1 시스템탐색트리에서시스템을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 네트워크설정 ] 을클릭하고 [ 트래픽 ] 탭을클릭합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 35
3 McAfee ESM 구성장치구성 3 장치에대해컨트롤을추가하려면 [ 추가 ] 를클릭하고네트워크주소및마스크를입력하고속도를킬로비트 (KB), 메가비트 ( 메가바이트 ) 또는기가비트 (GB) 로설정한다음트래픽을전송할초당속도를선택하고 [ 확인 ] 을클릭합니다. 마스크를 0 으로설정하면전송된모든데이터가제어됩니다. 4 [ 적용 ] 을클릭합니다. SNMP 통보구성 장치에서생성된 SNMP 통보를구성하려면보낼트랩및해당대상을정의해야합니다. HA( 고가용성 ) 수신기에서 SNMP 를설정하는경우기본수신기에대한트랩이공유 IP 주소를통해나갑니다. 따라서수신기를설정할때공유 IP 주소에대해하나를설정합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [SNMP 구성 ] 을클릭합니다. 36 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성장치구성 3 4 [SNMP 요청 ] 탭을선택하고설정을구성합니다. 표 3-1 옵션정의 옵션 정의 [SNMP 요청 ] [ 요청포트 ] [ 동의 ] 요청을수락하도록설정합니다. [SNMPv1 허용 ] SNMP 버전 1 및버전 2 트래픽을허용하고커뮤니티문자열을설정합니다. [ SNMPv3 허용 ] SNMP 버전 3 트래픽을허용하고보안수준, 인증프로토콜및개인정보보호프로토콜을선택합니다. [ 신뢰할수있는 IP 주소 ] 장치가신뢰할수있다고간주하거나허용하는 IP 주소를보여줍니다. 새주소를추가하고기존주소를편집하거나제거할수있습니다. IP 주소는마스크를포함할수있습니다. 신뢰할수있는 IP 주소가있어야합니다. [MIB 보기 ] 각개체의 OID( 개체식별자 ) 나관심있는특징을정의하는 McAfee MIB 를봅니다. 5 [SNMP 트랩 ] 탭을선택하고설정을구성합니다. 옵션 정의 [ 트랩포트 ] 콜드 / 웜트랩트래픽, 블랙리스트항목및링크실행 / 링크정지트래픽이통과하는포트를설정합니다. [ 링크실행 / 정지트랩 ] 링크실행및링크정지트랩을보냅니다. 이기능을선택하고여러인터페이스를사용하는경우인터페이스가정지되고다시실행될때알려줍니다. 콜드 / 웜트랩트래픽이자동으로허용됩니다. 강제종료또는강제재설정이어려운경우콜드스타트트랩이생성됩니다. 시스템을재부팅하는경우웜스타트트랩이생성됩니다. [ 데이터베이스실행 / 정지트랩 ] [ 보안로그오류트랩 ] 데이터베이스 (cpservice, IPSDBServer) 가실행되거나정지될때 SNMP 트랩을보냅니다. 로그표에로그를쓰지않았을때 SNMP 트랩을보냅니다. [ 대상 ] 통보를보내려는시스템의프로파일이름을설정합니다. 시스템에서사용가능한모든 SNMP 트랩프로파일이표에표시됩니다. [ 프로파일편집 ] 을클릭하면이목록을편집할수있습니다. ELM 과의통신설정 이장치에서 ELM으로데이터를보내려는경우 ELM IP 주소를확인하고장치를 ELM과동기화해야합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 IP 를할당하거나장치를동기화합니다. [< 장치 > 구성 ] 을클릭하고 [ELM IP] 를클릭한다음새 IP 를입력합니다. 장치또는 ELM 이교체된경우 [ 장치동기화 ] 를클릭합니다. ELM 을동기화하면이전설정이적용된새장치의키를사용하여두장치간의 SSH 통신이다시설정됩니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 37
3 McAfee ESM 구성장치구성 기본로깅풀설정 기본로깅풀을구성하여 ELM 에이벤트데이터를보내도록장치를설정합니다. 장치는해당집계기간이만료될때까지이벤트를 ELM 에보내지않습니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 구성 ] [ 로깅 ] 을클릭합니다. 옵션 정의 [ 로그구성 ] 활성화하려면 [ 로깅 ] 을선택합니다. [ 로깅 ] [ELM 로깅옵션 ] 에액세스하려면클릭합니다. [ELM 로깅옵션 ] 페이지 데이터를로깅할 ELM에서저장소풀을선택합니다. [ 장치 - ELM 연결 ] 데이터를로깅할 ELM을선택하지않은경우이을수행할지확인합니다. 이연결을만든후에는변경할수없습니다. [ 로깅할 ELM 선택 ] 페이지시스템에두개이상의 ELM 이있는경우데이터를로깅할 ELM 을선택합니다. [ELM IP 주소선택 ] 페이지장치를 ELM 과통신하려는 IP 주소를선택합니다. [ELM 풀없음 ] ELM 저장소풀이없는경우 [ELM 속성 ] [ 저장소풀 ] 로이동하여추가합니다. 장치시작, 중지, 재부팅또는새로고침 이러한액션은유지관리또는문제해결중에유용할수있습니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [< 장치 > 정보 ] 를선택합니다. 4 [ 시작 ], [ 중지 ], [ 재부팅 ] 또는 [ 새로고침 ] 을클릭합니다. 사용자지정표시유형구성 사용자지정표시유형에서그룹을사용하여장치를논리그룹으로구성할수있습니다. 시작하기전에사용자지정표시유형이만들어졌는지확인합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색창에서표시유형드롭다운목록을클릭한다음사용자지정표시를선택합니다. 38 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 3 사용자지정표시를선택하고다음중하나를수행합니다. 시스템또는그룹노드를클릭한다음 [ 그룹추가 ] 아이콘을클릭합니다. 필드를입력한다음 [ 확인 ] 을클릭합니다. 장치를그룹에추가하려면표시에끌어다놓습니다. 장치가표시트리의일부인경우시스템에서복제장치노드가만들어집니다. 그러면시스템트리에서복제본을삭제할수있습니다. 그룹을선택한다음 [ 속성 ] 아이콘을클릭하여속성을변경합니다. 그룹을선택한다음 [ 그룹삭제 ] 아이콘을클릭합니다. 시스템은그룹및장치를사용자지정표시에서삭제하지만시스템에서는삭제하지는않습니다. 참고항목 : 20 페이지의 ESM 콘솔에장치추가 22 페이지의표시유형선택 20 페이지의장치이름, 링크및설명변경 21 페이지의 ESM 에장치연결 21 페이지의 McAfee ESM 과장치동기화 시스템에 McAfee 액세스권한부여 McAfee 에지원을요청하는경우기술지원엔지니어가시스템을볼수있도록액세스권한을부여해야할수있습니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ESM 관리 ] 를클릭하고 [ 유지관리 ] 탭을선택합니다. 4 [ 연결 ] 을클릭합니다. 단추가 [ 연결끊기 ] 로변경되고시스템이 IP 주소를표시합니다. 5 기술지원엔지니어에게 IP 주소를제공합니다. 지원부서에서암호와같은추가정보를요청할수있습니다. 6 연결을종료하려면 [ 연결끊기 ] 를클릭합니다. McAfee ESM 장치구성 목차 McAfee Event Receiver McAfee Enterprise Log Search(ELS) McAfee Enterprise Log Manager(ELM) McAfee Advanced Correlation Engine(ACE) McAfee Application Data Monitor McAfee Database Event Monitor(DEM) 분산 ESM(DESM) epolicy Orchestrator McAfee Vulnerability Manager McAfee Enterprise Security Manager 10.3.x 제품안내서 39
3 McAfee ESM 구성 McAfee ESM 장치구성 McAfee Network Security Manager DAS 를할당하여일체형 ESM 의데이터를저장합니다. McAfee Event Receiver McAfee Event Receiver 는방화벽, VPN( 가상사설망 ), 라우터, NetFlow, sflow 등을비롯한여러공급업체소스에서보안이벤트및네트워크플로데이터의수집을활성화합니다. McAfee Event Receiver 는이벤트및플로데이터를단일관리가능한솔루션으로수집및정규화하여여러공급업체에서단일보기를제공합니다. 고가용성수신기 ( 수신기 -HA) 는기본모드및보조모드에서사용할수있으며서로에대한백업역할을합니다. 보조수신기 (B) 는기본수신기 (A) 를지속적으로모니터링하고새구성또는정책정보는두장치에모두전송됩니다. 수신기 B 에서수신기 A 의실패를확인하면수신기 B 가네트워크에서수신기 A 의데이터소스 NIC 연결을끊고새로운기본수신기역할을담당합니다. 수신기 A 를기본수신기로복원하기위해수동으로개입할때까지수신기 B 가기본수신기로유지됩니다. 참고항목 : 40 페이지의스트리밍이벤트보기 40 페이지의고가용성수신기 46 페이지의수신기보관설정정의 47 페이지의상관이벤트의소스이벤트보기 48 페이지의수신기처리량통계보기 48 페이지의수신기데이터소스 75 페이지의수신기자산소스추가 스트리밍이벤트보기 선택한 McAfee epo, McAfee Network Security Manager, 수신기, 데이터소스, 하위데이터소스또는클라이언트에서생성된이벤트스트림을봅니다. 목록을필터링하고이벤트를선택하여보기에표시할수있습니다. 1 시스템탐색트리에서보려는장치를선택한다음액션도구모음에서 [ 스트리밍이벤트보기 ] 아이콘을클릭합 니다. 2 스트리밍을시작하려면 [ 시작 ] 을클릭하고중지하려면 [ 중지 ] 를클릭합니다. 3 뷰어에서사용가능한액션을선택합니다. 4 [ 닫기 ] 를클릭합니다. 참고항목 : 40 페이지의 McAfee Event Receiver 40 페이지의고가용성수신기 46 페이지의수신기보관설정정의 47 페이지의상관이벤트의소스이벤트보기 48 페이지의수신기처리량통계보기 48 페이지의수신기데이터소스 75 페이지의수신기자산소스추가 고가용성수신기 고가용성수신기는기본및보조모드로사용되어기본수신기가실패할경우보조수신기가기능을수행할수있으므로단일수신기에서제공하는것보다훨씬더우수한데이터수집을제공합니다. FIPS 규정을준수해야하는경우이기능을사용하지마십시오. 고가용성수신기는 FIPS 컴플라이언트가아닙니다. 40 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 고가용성수신기를설정할때는두개의수신기가필요합니다. 하나는기본또는선호되는기본이고다른하나는기본을계속모니터링하기위한보조역할을합니다. 보조수신기에서기본수신기가실패한것을확인하면기본수신기를중지시키고그기능을인수합니다. IPMI 카드는실패한수신기를종료하여두 DS NIC 가공유된 IP 주소와 MAC 를동시에사용할가능성을제거합니다. IPMI 카드는크로스오버또는다이렉트 (straight-through) 케이블을사용하여다른수신기에연결됩니다. 수신기는크로스오버또는다이렉트 (straight-through) 케이블을사용하여하트비트 NIC 에연결됩니다. ESM 과의통신을위한관리 NIC 와데이터수집을위한데이터소스 NIC 가있습니다. 기본수신기가제대로실행되고보조수신기가보조모드인경우다음과같은상황이발생합니다. 수신기는전용하트비트 NIC 와관리 NIC 를통해지속적으로통신합니다. OPSEC 또는 Estreamer 와같이수신되는모든인증서는쌍으로다른수신기에전달됩니다. 모든데이터소스는데이터소스 NIC 를사용합니다. 각수신기는자체상태를모니터링하고보고합니다. 여기에는디스크오류, 데이터베이스작동중단및 NIC 의손실된링크와같은내부상태항목이포함됩니다. McAfee ESM 은정기적으로수신기와통신하여상태를확인합니다. 모든새로운구성정보는기본수신기와보조수신기둘다로전송됩니다. McAfee ESM 은기본수신기와보조수신기둘다로정책을전송합니다. 중지 / 재부팅 / 집으로전화걸기는각수신기에독립적으로적용됩니다. 기본수신기오류 기본수신기오류확인은보조수신기에서담당합니다. 데이터유출을최소화하려면해당오류를신속하고정확하게확인해야합니다. 페일오버시기본수신기가마지막으로 McAfee ESM 및 ELM 으로데이터를전송한이후의모든데이터가손실됩니다. 손실된데이터의양은수신기의처리량및 McAfee ESM 이수신기에서데이터를꺼내는속도에따라달라집니다. 데이터가용성을최적화하려면이러한충돌하는프로세스가균형을이루어야합니다. 정전이나 CPU 오류와같이기본수신기가완전히실패하면기본수신기와의하트비트통신이없습니다. Corosync 는통신의손실을인식하고기본수신기를실패로표시합니다. 보조수신기의 Pacemaker 는기본수신기의 IPMI 카드에서기본수신기를종료하도록요청합니다. 그러면보조수신기는공유된 IP 주소및 MAC 주소를가정하고모든수집기를시작합니다. 보조수신기오류 보조수신기오류프로세스는보조수신기가하트비트통신에더이상응답하지않는경우수행됩니다. 즉, 시스템이관리및하트비트인터페이스를사용하여일정시간동안보조수신기와통신을시도한후보조수신기와통신할수없음을의미합니다. 기본수신기에서하트비트및무결성신호를받을수없으면 corosync 는보조수신기를실패로표시하고 pacemaker 는보조수신기의 IPMI 카드를사용하여종료합니다. 기본상태문제 기본수신기의상태가심각하게손상될수있습니다. 심각하게손상된상태에는응답하지않는데이터베이스, 응답하지않는데이터소스인터페이스및과도한디스크오류가포함됩니다. 기본수신기가이러한상태에대해 healthmon 경보를통지하면 corosync 및 pacemaker 프로세스를중지하고 healthmon 경보를설정합니다. 이러한프로세스를중지하면데이터수집이보조수신기로전송됩니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 41
3 McAfee ESM 구성 McAfee ESM 장치구성 보조상태문제 보조수신기의상태가심각하게손상되면다음과같은상황이발생합니다. 보조수신기가쿼리될때상태문제를 McAfee ESM 에보고하고 corosync 및 pacemaker 프로세스를중지합니다. 보조수신기가아직클러스터의일부인경우클러스터에서자체적으로제거되어기본수신기오류시사용할수없습니다. 상태문제를분석하고복구를시도합니다. 상태문제가해결되면수신기는 " 서비스로돌아가기 " 절차를사용하여정상작동상태로돌아갑니다. 상태문제가해결되지않으면 " 실패한수신기교체 " 프로세스가시작됩니다. 서비스모드로돌아가기 정전후다시시작, 하드웨어복구또는네트워크복구처럼수신기가오류후서비스모드로돌아가면다음과같은상황이발생합니다. 고가용성모드의수신기는시작시데이터수집을시작하지않습니다. 이들수신기는기본으로설정되기전까지는보조모드입니다. 선호되는기본장치는기본의역할을가정하여공유데이터소스 IP 주소를사용하고데이터를수집하기시작합니다. 선호되는기본장치가없는경우기본인장치가공유데이터소스사용을시작하고데이터를수집합니다. 수신기 -HA 업그레이드 수신기 -HA 업그레이드프로세스에서는보조수신기부터시작하여두수신기를순차적으로업그레이드합니다. 다음과같이발생합니다. 1 업그레이드 tarball 파일이 McAfee ESM 에업로드되어보조수신기에적용됩니다. 2 " 수신기 -HA 역할전환 " 프로세스를사용하여기본수신기와보조수신기의역할을전환합니다. 그러면업그레이드된수신기가기본수신기가되고아직업그레이드되지않은수신기가보조수신기가됩니다. 3 업그레이드 tarball 이새로운보조수신기에적용됩니다. 4 " 수신기 -HA 역할전환 " 프로세스를사용하여기본수신기와보조수신기의역할을다시한번전환합니다. 그러면원래수신기역할이다시한번가정됩니다. 업그레이드시선호되는기본수신기를지정하지않는것이좋습니다. 수신기 -HA 가선호되는기본으로설정된경우업그레이드하기전에설정을변경하는것이좋습니다. [HA 수신기 ] 탭에서 [ 선호되는기본장치 ] 필드에서 [ 없음 ] 을선택합니다. 그러면선호되는기본설정에서사용할수없는 [ 페일오버 ] 옵션을사용할수있습니다. 두수신기가모두업그레이드된다음선호되는기본설정을다시적용할수있습니다. 참고항목 : 43 페이지의고가용성수신기설정 43 페이지의고가용성보조수신기다시초기화 43 페이지의 IPv6 으로고가용성수신기설정 44 페이지의고가용성장치재설정 45 페이지의고가용성수신기역할전환 45 페이지의실패한수신기바꾸기 40 페이지의 McAfee Event Receiver 40 페이지의스트리밍이벤트보기 46 페이지의수신기보관설정정의 47 페이지의상관이벤트의소스이벤트보기 48 페이지의수신기처리량통계보기 75 페이지의수신기자산소스추가 42 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 고가용성수신기설정 고가용성수신기의설정을정의합니다. 기본장치로사용되는수신기를추가합니다. 3 개이상의 NICS 가있어야합니다. 시작하기전에 FIPS 규정을준수해야하는경우이기능을사용하지마십시오. 고가용성수신기는 FIPS 컴플라이언트가아닙니다. 1 시스템탐색트리에서기본고가용성장치가될수신기를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 수신기구성 ] 을클릭한다음 [ 인터페이스 ] 를클릭합니다. 3 [HA 수신기 ] 탭을클릭한다음 [ 고가용성설정 ] 을선택합니다. 4 요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 그러면두번째수신기의키를지정하는프로세스가초기화되고데이터베이스가업데이트되고 globals.conf 가적용되고두개의수신기가동기화됩니다. 참고항목 : 40 페이지의고가용성수신기 43 페이지의고가용성보조수신기다시초기화 43 페이지의 IPv6 으로고가용성수신기설정 44 페이지의고가용성장치재설정 45 페이지의고가용성수신기역할전환 45 페이지의실패한수신기바꾸기 고가용성보조수신기다시초기화 어떤이유로든보조수신기의서비스가중단된경우다시설치하면다시초기화합니다. 1 시스템탐색트리에서기본수신기의 [ 수신기속성 ] 을선택한다음 [ 수신기구성 ] [ 인터페이스 ] [HA 수신기 ] 를클릭합니다. 2 올바른 IP 주소가 [ 보조관리 IP] 필드에있는지확인합니다. 3 [ 보조다시초기화 ] 를클릭합니다. 참고항목 : 40 페이지의고가용성수신기 43 페이지의고가용성수신기설정 43 페이지의 IPv6 으로고가용성수신기설정 44 페이지의고가용성장치재설정 45 페이지의고가용성수신기역할전환 45 페이지의실패한수신기바꾸기 IPv6 으로고가용성수신기설정 LCD 를사용하여 IPv6 주소를수동으로설정할수없으므로 IPV6 으로고가용성을설정합니다. 시작하기전에 McAfee ESM 이수동또는자동 IPv6 을사용중인지확인 ([ 시스템속성 ] [ 네트워크설정 ]) 합니다. 네트워크관리자가만드는공유 IP 주소를확인합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 43
3 McAfee ESM 구성 McAfee ESM 장치구성 1 고가용성쌍의두수신기에서다음을수행합니다. a 수신기를켠다음 LCD 를사용하여 IPv6 을활성화합니다. b [Mgt IP Configr( 관리 IP 구성 )] [Mgt1] [IPv6] 으로이동하여관리 IP 주소를적습니다. 이은네트워크지연으로인해시간이다소소요될수있습니다. 2 이러한수신기중하나를 McAfee ESM 에추가합니다. [ 이름 ] 고가용성쌍의이름입니다. [ 대상 IP 주소또는 URL] 적어둔이고가용성수신기에대한관리 IPv6 주소입니다. 3 시스템탐색트리에서새로추가한장치를선택한다음 [ 수신기속성 ] [ 수신기구성 ] [ 인터페이스 ] 를클릭합니다. 4 [IPv6 모드 ] 필드에서 [ 수동 ] 을선택합니다 ( 고가용성에유일하게지원되는모드 ). 5 1 번인터페이스옆의 [ 설정 ] 을클릭하고 [IPv6] 필드에공유 IP 주소를입력한다음 [ 확인 ] 을클릭합니다. 이주소는고가용성설정동안공유인터페이스에할당됩니다. 이이완료되지않으면고가용성은제대로페일오버되지않습니다. 6 [ 수신기속성 ] 에서 [ 연결 ] 을클릭하고 [ 대상 IP 주소 / 이름 ] 에공유 IPv6 주소를입력한다음 [ 확인 ] 을클릭합니다. 7 HA 설정프로세스를계속진행합니다. 참고항목 : 40 페이지의고가용성수신기 43 페이지의고가용성수신기설정 43 페이지의고가용성보조수신기다시초기화 44 페이지의고가용성장치재설정 45 페이지의고가용성수신기역할전환 45 페이지의실패한수신기바꾸기 고가용성장치재설정 고가용성장치로설정하기전에있었던상태로고가용성수신기를재설정하려면 McAfee ESM 콘솔에서재설정하거나, 수신기와의통신이실패하는경우 LCD 메뉴에서재설정할수있습니다. 다음중하나를수행합니다. McAfee ESM 에서수신기재설정 5 분의시간제한이지나면두수신기가다시시작하고 MAC 주소를원래값으로되돌립니다. 1 시스템탐색트리에서 [ 수신기속성 ] 을클릭한다음 [ 수신기구성 ] [ 인터페이스 ] 를클릭합니다. 2 [ 고가용성설정 ] 을선택취소한다음 [ 확인 ] 을클릭합니다. 3 경고페이지에서 [ 예 ] 를클릭한다음 [ 닫기 ] 를클릭합니다. LCD 메뉴에서기본또는보조수신기재설정 1 수신기의 LCD 메뉴에서 [X] 를누릅니다. 4 기본수신기를다시설정하려면체크표시를 누릅니다. 2 [HA 비활성화 ] 가보일때까지아래쪽화살표를누릅니다. 5 보조수신기를다시설정하려면아래쪽화살표를한번누른다음체크표시를누릅니다. 3 LCD 화면에서 [ 기본비활성화 ] 를표시하려면오른쪽화살표를한번누릅니다. 44 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 참고항목 : 40 페이지의고가용성수신기 43 페이지의고가용성수신기설정 43 페이지의고가용성보조수신기다시초기화 43 페이지의 IPv6 으로고가용성수신기설정 45 페이지의실패한수신기바꾸기 45 페이지의고가용성수신기역할전환 고가용성수신기역할전환 사용자가시작한전환프로세스를통해기본수신기와보조수신기역할을전환할수있습니다. 수신기를업그레이드하거나, 수신기를제조업체로반환할준비를하거나, 수신기에서케이블을이동하는경우이옵션을수행해야할수있습니다. 이전환으로손실되는데이터양이최소화됩니다. 수집기 (McAfee epo 장치포함 ) 가수신기 -HA 와연결되고수신기 -HA 가페일오버된경우수집기가수신기 -HA 와통신하려면둘간의스위치가페일오버된수신기의새로운 MAC 주소를공유 IP 주소에연결해야합니다. 이은현재네트워크구성에따라몇분에서최대며칠까지걸릴수있습니다. 1 시스템탐색트리에서수신기 -HA 장치를선택하고 [ 속성 ] 아이콘을클릭합니다. 2 [ 고가용성 ] [ 페일오버 ] 를선택합니다. 다음이수행됩니다. McAfee ESM 은보조수신기에공유데이터소스 IP 주소를사용하여데이터수집을시작하도록지시합니다. 보조수신기는 CRM(Cluster Resource Manager) 명령을실행하여공유 IP 주소및 MAC 을전환하고수집기를시작합니다. McAfee ESM 이기본수신기에서모든경보및플로데이터를꺼냅니다. McAfee ESM 은보조수신기를기본으로선택하고기본수신기를보조로선택합니다. 참고항목 : 40 페이지의고가용성수신기 43 페이지의고가용성수신기설정 43 페이지의고가용성보조수신기다시초기화 43 페이지의 IPv6 으로고가용성수신기설정 45 페이지의실패한수신기바꾸기 44 페이지의고가용성장치재설정 실패한수신기바꾸기 보조수신기에해결할수없는상태문제가있는경우수신기를바꿔야할수있습니다. 새수신기를받으면설치합니다. IP 주소를설정하고케이블을꽂으면수신기를다시고가용성클러스터로연결할수있습니다. 1 시스템탐색트리에서고가용성수신기에대한 [ 수신기속성 ] 을선택한다음 [ 수신기구성 ] [ 인터페이스 ] 를클릭합니다. 2 [HA 수신기 ] 탭을클릭한다음 [ 고가용성설정 ] 이선택되었는지확인합니다. 3 IP 주소가올바른지확인한다음 [ 보조다시초기화 ] 를클릭합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 45
3 McAfee ESM 구성 McAfee ESM 장치구성 4 어떤이유로든고가용성수신기가중단되면데이터소스, 글로벌설정, 집계설정등의쓰기가실패한것으로나타나고 SSH 오류가표시됩니다. 설정은여전히작동하는수신기로롤아웃되지만, 중지된수신기와동기화할수없기때문에오류가표시됩니다. 그러나정책은롤아웃되지않습니다. 다음중하나를수행합니다. 보조수신기가사용가능하게되고동기화될때까지정책롤아웃을보류합니다. HA 모드에서수신기를제거합니다. 그러면이벤트가수집되지않는동안 HA 클러스터가 2-5 분동안중지됩니다. 참고항목 : 40 페이지의고가용성수신기 43 페이지의고가용성수신기설정 43 페이지의고가용성보조수신기다시초기화 43 페이지의 IPv6 으로고가용성수신기설정 44 페이지의고가용성장치재설정 45 페이지의고가용성수신기역할전환 수신기보관설정정의 원시데이터백업을장기간저장하기위해저장장치에전달하려면수신기를구성합니다. 시작하기전에 CIFS 공유연결을활성화하려면 CIFS 공유가있는시스템에서포트 445 를열어야합니다. SMB 연결을활성화하려면 SMB 공유가있는시스템에서포트 135 를열어야합니다. McAfee ESM 에서지원하는저장소유형은 SMB/CIFS(Server Message Block/Common Internet File System), NFS(Network File System), Syslog 전달입니다. SMB/CIFS 및 NFS 는 email, estream, http, SNMP, SQL, syslog 및원격에이전트프로토콜을사용하는데이터소스를통해수신기에전송된모든원시데이터백업을데이터파일형식으로저장합니다. 시스템은이러한데이터파일을 5 분간격으로보관에보냅니다. Syslog 전달은 syslog 프로토콜의원시데이터를결합된 syslog 의연속스트림으로장치에보냅니다. 수신기는한번에한개의저장소유형에만전달할수있습니다. 세가지유형을모두구성할수있지만데이터를보관하기위해한가지유형만활성화할수있습니다. 이기능은 NetFlow, sflow 및 IPFIX 데이터소스유형을지원하지않습니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 46 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 3 [ 수신기구성 ] [ 데이터보관 ] 을클릭합니다. 4 공유유형을선택하고연결구성정보를입력합니다. 공유유형옵션정의 [SMB/CIFS] [ 공유유형 ] 공유유형을 [SMB] 또는 [CIFS] 로설정합니다. [IP 주소 ] 공유의 IP 주소입니다. [ 공유이름 ] 공유에적용된레이블입니다. [ 경로 ] 보관된데이터를저장해야하는공유의하위디렉터리입니다 ( 예 : TMP/Storage). 저장소가공유의루트디렉터리에있는경우경로가필요하지않습니다. [ 사용자이름및암호 ] [NFS] [IP 주소 ] 공유의 IP 주소입니다. 공유에연결하기위해필요한자격증명입니다. [ 마운트지점 ] 공유의마운트지점이름입니다. SMB/CIFS 공유에연결할때암호에쉼표를사용하지마십시오. [ 경로 ] 보관된데이터를저장할공유위치입니다 ( 예 : TMP/Storage). 저장소가공유의루트디렉터리에있는경우경로가필요하지않습니다. [Syslog 전달 ] [ 주소 ] 공유의 IP 주소입니다. [ 포트 ] 데이터보관에사용되는포트입니다. 참고항목 : 40 페이지의 McAfee Event Receiver 40 페이지의스트리밍이벤트보기 40 페이지의고가용성수신기 47 페이지의상관이벤트의소스이벤트보기 48 페이지의수신기처리량통계보기 48 페이지의수신기데이터소스 75 페이지의수신기자산소스추가 상관이벤트의소스이벤트보기 [ 이벤트분석 ] 보기에서상관이벤트의소스이벤트를볼수있습니다. 시작하기전에 McAfee ESM 에상관데이터소스가있는지확인합니다. 1 시스템탐색트리에서수신기를확장한다음 [ 상관엔진 ] 을클릭합니다. 2 보기목록에서 [ 이벤트보기 ] 를클릭한다음 [ 이벤트분석 ] 을선택합니다. 3 [ 이벤트분석 ] 보기에서상관이벤트의첫번째열에있는더하기기호 (+) 를클릭합니다. 더하기기호는상관이벤트에소스이벤트가있는경우에만나타납니다. 참고항목 : 40 페이지의 McAfee Event Receiver 40 페이지의스트리밍이벤트보기 46 페이지의수신기보관설정정의 40 페이지의고가용성수신기 48 페이지의수신기처리량통계보기 48 페이지의수신기데이터소스 75 페이지의수신기자산소스추가 McAfee Enterprise Security Manager 10.3.x 제품안내서 47
3 McAfee ESM 구성 McAfee ESM 장치구성 수신기처리량통계보기 마지막 10 분, 마지막 1 시간, 마지막 24 시간동안의수신 ( 수집기 ) 및송신 ( 구문분석 ) 데이터소스속도가포함된수신기사용통계를봅니다. 시작하기전에 장치관리자권한이있는지확인합니다. 1 시스템탐색트리에서수신기를선택한다음속성아이콘를클릭합니다. 2 [ 수신기관리 ] [ 통계보기 ] [ 처리량 ] 을클릭합니다. 3 수신기통계를봅니다. 수신속도가출력속도를 15 퍼센트초과하는경우시스템이해당행에위험 ( 마지막 24 시간 ) 또는경고 ( 마지막 1 시간 ) 로플래그를지정합니다. 4 모두, 위험또는경고옵션을선택하여데이터소스를필터링합니다. 5 메트릭을표시하는측정단위를킬로바이트 (KB) 또는레코드수로선택합니다. 6 10 초마다자동으로데이터를새로고치려면 [ 자동새로고침 ] 확인란을선택합니다. 7 관련열제목을클릭하여데이터를정렬합니다. 참고항목 : 40 페이지의 McAfee Event Receiver 40 페이지의스트리밍이벤트보기 46 페이지의수신기보관설정정의 47 페이지의상관이벤트의소스이벤트보기 40 페이지의고가용성수신기 48 페이지의수신기데이터소스 75 페이지의수신기자산소스추가 수신기데이터소스 McAfee Event Receiver 는방화벽, VPN( 가상사설망 ), 라우터, NetFlow, sflow 등을비롯한여러공급업체소스에서보안이벤트및네트워크플로데이터의수집을활성화합니다. 데이터소스는로그및이벤트데이터가수신기에서수집되는방법을제어하는데사용됩니다. 필요한데이터를수집하기위해데이터소스를추가하고해당설정을정의해야합니다. [ 데이터소스 ] 페이지는수신기장치의데이터소스를관리하기위한시작지점입니다. 여기서데이터소스를추가, 편집및삭제, 가져오기, 내보내기, 마이그레이션하기위한방법을제공합니다. 또한하위및클라이언트데이터소스를추가할수있습니다. 참고항목 : 40 페이지의 McAfee Event Receiver 40 페이지의스트리밍이벤트보기 46 페이지의수신기보관설정정의 47 페이지의상관이벤트의소스이벤트보기 48 페이지의수신기처리량통계보기 49 페이지의데이터소스관리 52 페이지의취약성평가작동방법 58 페이지의데이터소스자동생성 61 페이지의클라이언트데이터소스 62 페이지의다른시스템으로데이터소스이동 66 페이지의고급 syslog 분석기작동방법 75 페이지의수신기자산소스추가 48 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 데이터소스관리 수신기는방화벽, VPN(Virtual Private Network), 라우터, NetFlow, sflow 등을비롯한여러소스에서로그및이벤트데이터를수집하는방법을제어합니다. 필요한데이터를수집하기위해데이터소스를추가하고해당설정을정의합니다. 시작하기전에 이데이터소스의수신기가시스템탐색트리에나열되어있는지확인합니다. 데이터소스구성참조에설명된대로데이터소스가구성되었는지확인합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서수신기를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 수신기속성 ] 페이지에서 [ 데이터소스 ] 를클릭합니다. 테이블은기존데이터소스 ( 하위및클라이언트데이터소스포함 ) 를나열하고데이터소스가데이터를처리하는방법을식별합니다. - [SNMP 트랩 ] 이선택되어있으면데이터소스가 SNMP 트랩을보내는기능이있는관리가가능한네트워크장치의표준 SNMP 트랩을허용합니다. 표준트랩은인증실패, 콜드스타트, EGP 인접라우터손실, 링크정지, 링크가동및웜스타트를포함합니다. McAfee ESM 이이러한트랩을수신하면데이터소스의이벤트를생성합니다. Ipv6 을통해 SNMP 트랩을보내거나받으려면 IPv6 주소를 IPv4 변환주소로나타냅니다. 예를들어 10.0.2.84 를 IPv6 으로변환하면다음과같이보입니다. 2001:470:B:654:0:0:10.0.2.84 또는 2001:470:B:654::A000:0254. 4 다음중하나를수행합니다. 새데이터소스를추가하려면 [ 추가 ] 를클릭합니다. 하위데이터소스를기존데이터소스에추가하려면 [ 하위추가 ] 를클릭합니다. 기존데이터소스를편집하려면데이터소스를선택하고 [ 편집 ] 을클릭합니다. 5 데이터소스를구성합니다. 옵션 [ 시스템프로파일사용 ] [ 데이터소스공급업체 ], [ 데이터소스모델 ] 정의 프로필은 SNMP 및 syslog 프로토콜기반장치만미리채웁니다. 선택한공급업체및모델에따라데이터소스에입력하는정보가달라집니다. UTF-8 인코딩없이데이터를생성하는 ASP( 고급 syslog 분석기 ) 데이터소스의경우공급업체로 [ 일반 ] 을선택하고모델로 [ 고급 Syslog 분석기 ] 를선택합니다. [ 데이터형식 ] 구문분석방법입니다. [ 데이터검색 ] 데이터수집방법입니다. [SCP] 의경우 LANG 환경변수를 [lang=c] 로설정합니다. [SCP 파일소스 ] 는관련경로를지원하지않습니다. 전체위치를정의합니다. [CIFS 파일소스 ] 또는 [NFS 파일소스 ] 의경우수집방법을선택합니다. [ 활성화됨 ] 수신기가데이터를처리하는방법입니다. 나머지필드 공급업체및장치모델, 데이터검색방법또는선택한장치모델의프로토콜에따라다릅니다. 데이터소스가탐색트리의수신기아래나타납니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 49
3 McAfee ESM 구성 McAfee ESM 장치구성 50 페이지의하위데이터소스추가 하위데이터소스를추가하여데이터소스를구성합니다. 50 페이지의다른인코딩으로 ASP 데이터소스추가 McAfee ESM 은 UTF-8 인코딩데이터를읽습니다. 다른인코딩으로데이터를생성하는 ASP 데이터소스를포맷하면수신기가해당데이터를읽을수있습니다. 51 페이지의데이터소스에대한날짜형식설정 데이터소스에포함된날짜형식을선택합니다. 참고항목 : 48 페이지의수신기데이터소스 52 페이지의취약성평가작동방법 58 페이지의데이터소스자동생성 61 페이지의클라이언트데이터소스 62 페이지의다른시스템으로데이터소스이동 66 페이지의고급 syslog 분석기작동방법 50 페이지의하위데이터소스추가 50 페이지의다른인코딩으로 ASP 데이터소스추가 51 페이지의데이터소스에대한날짜형식설정 51 페이지의 SIEM Collector 하위데이터소스추가하위데이터소스를추가하여데이터소스를구성합니다. 1 시스템탐색트리에서 [ 수신기속성 ] 을선택한다음 [ 데이터소스 ] 를클릭합니다. 2 데이터소스테이블에서데이터소스를추가할기본데이터소스를선택합니다. 3 [ 하위추가 ] 를클릭한다음상위데이터소스에대한것과마찬가지로필드를입력합니다. 4 [ 확인 ] 을클릭합니다. 참고항목 : 49 페이지의데이터소스관리 50 페이지의다른인코딩으로 ASP 데이터소스추가 51 페이지의데이터소스에대한날짜형식설정 51 페이지의 SIEM Collector 다른인코딩으로 ASP 데이터소스추가 McAfee ESM 은 UTF-8 인코딩데이터를읽습니다. 다른인코딩으로데이터를생성하는 ASP 데이터소스를포맷하면수신기가해당데이터를읽을수있습니다. 1 시스템탐색트리에서수신기를클릭한다음 [ 데이터소스추가 ] 아이콘을클릭합니다. 2 [ 데이터소스공급업체 ] 필드에서 [ 일반 ] 을선택한다음 [ 데이터소스모델 ] 필드에서 [ 고급 Syslog 분석기 ] 를선택합니다. 3 요청한정보를입력한다음 [ 인코딩 ] 필드에서올바른인코딩을선택합니다. 50 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 참고항목 : 49 페이지의데이터소스관리 50 페이지의하위데이터소스추가 51 페이지의데이터소스에대한날짜형식설정 51 페이지의 SIEM Collector 데이터소스에대한날짜형식설정데이터소스에포함된날짜형식을선택합니다. 1 시스템탐색트리에서수신기를선택한다음 [ 데이터소스추가 ] 아이콘을클릭합니다. 2 [ 고급 ] 을클릭한다음 [ 날짜순서 ] 필드에서선택합니다. [ 기본 ] - 기본날짜순서를사용합니다 ( 월다음일 ). 클라이언트데이터소스를사용할때이설정을사용하는클라이언트는상위데이터소스의날짜순서를상속받습니다. [ 월다음일 ] - 월이일앞에나옵니다 (04/23/2014). [ 일다음월 ] - 일이월앞에나옵니다 (23/04/2014). 3 [ 확인 ] 을클릭합니다. 참고항목 : 49 페이지의데이터소스관리 50 페이지의하위데이터소스추가 50 페이지의다른인코딩으로 ASP 데이터소스추가 51 페이지의 SIEM Collector SIEM Collector SIEM Collector 는암호화된연결을사용하여 Windows 이벤트로그를수신기에보냅니다. SIEM Collector 가없으면 Windows 이벤트모음이 WMI 프로토콜또는타사에이전트사용으로제한됩니다. 여러환경에서보안정책은사용자가 WMI 를사용할수없도록시스템에대한액세스를잠급니다. WMI 트래픽은일반텍스트이며 Windows 이벤트로그에쓴로그에만액세스할수있습니다. DNS, DHCP 및 IIS 같은다른서비스또는다른타사에이전트를사용하여만든로그파일에는액세스할수없습니다. SIEM Collector 를독립실행형또는기존 McAfee epolicy Orchestrator 구현의일부로사용하면기존 McAfee 에이전트에 WMI 기능을추가할수있습니다. 또한 SIEM Collector 를허브로사용하면 SIEM Collector 패키지를모든시스템에추가하지않고 RPC 를통해다른시스템에서로그를수집할수있습니다. 다음과같은다른기능이있습니다. 사용자정의 SQL 데이터베이스수집을위한플러그인 (SQL Server 및 Oracle 지원 ).evt 또는.evtx 형식으로내보낸 Windows 이벤트를구문분석하기위한플러그인 SQL Server C2 감사를지원하기위한플러그인 (.trc 형식 ) 참고항목 : 49 페이지의데이터소스관리 50 페이지의하위데이터소스추가 50 페이지의다른인코딩으로 ASP 데이터소스추가 51 페이지의데이터소스에대한날짜형식설정 McAfee Enterprise Security Manager 10.3.x 제품안내서 51
3 McAfee ESM 구성 McAfee ESM 장치구성 취약성평가작동방법 DEM 및수신기에대한 VA( 취약성평가 ) 를통해여러 VA 공급업체에서검색할수있는데이터를통합할수있습니다. 여러가지방법으로 VA 데이터를사용할수있습니다. 해당이벤트에대해엔드포인트의알려진취약성에따라이벤트의심각도를표시합니다. 자동으로자산및해당특성을파악 ( 운영체제및서비스탐지 ) 하도록시스템을설정합니다. 사용자정의자산그룹의구성원을만들고조작합니다. 네트워크자산에대한요약및드릴다운정보에액세스합니다. 자산이 MySQL 실행을탐색한경우 MySQL 시그니처설정과같은정책편집기구성을변경합니다. 미리정의된보기또는사용자지정보기를사용하여시스템에서생성된 VA 데이터에액세스합니다. 총취약성수, 개수또는계기판구성요소가포함된보기를만드는경우취약성개수가폭등한것을볼수있습니다. 그이유는 MTIS(McAfee Threat Intelligence Services) 피드가 VA 소스가보고된원래취약성을기반으로위협을추가하기때문입니다. McAfee 는 VIN 에대한 McAfee sigid 를 CVE(Common Vulnerabilities and Exposure) ID, BugTraq ID, OSVDB(Open Source Vulnerability Database) ID 또는 Secunia ID 에대한참조에매핑하는규칙을유지합니다. 이러한공급업체는해당취약성의 CVE 및 BugTraq ID 를보고합니다. 참고항목 : 48 페이지의수신기데이터소스 49 페이지의데이터소스관리 58 페이지의데이터소스자동생성 61 페이지의클라이언트데이터소스 62 페이지의다른시스템으로데이터소스이동 66 페이지의고급 syslog 분석기작동방법 52 페이지의 VA 시스템프로파일정의 (eeye REM) 53 페이지의 VA 소스추가 56 페이지의 VA 데이터검색 57 페이지의사용가능한 VA 공급업체 VA 시스템프로파일정의 (eeye REM) VA( 취약성평가 ) 프로파일을정의하여 eeye REM 소스추가를사용합니다. 1 시스템탐색트리에서 DEM 또는수신기장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 취약성평가 ] [ 추가 ] 를클릭합니다. 3 [VA 소스유형 ] 필드에서 [eeye REM] 을선택합니다. 4 [ 시스템프로파일사용 ] 을클릭합니다. 5 [ 추가 ] 를클릭한다음 [ 프로파일유형 ] 필드에서 [ 취약성평가 ] 를선택합니다. 6 [ 프로파일에이전트 ] 필드에서이프로파일의 SNMP 버전을선택합니다. 페이지의필드는선택한버전에따라활성화됩니다. 7 요청한정보를입력한다음 [ 확인 ] 을클릭합니다. Qualys QualysGuard 로그파일은 2GB 로제한됩니다. 52 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 참고항목 : 52 페이지의취약성평가작동방법 53 페이지의 VA 소스추가 56 페이지의 VA 데이터검색 57 페이지의사용가능한 VA 공급업체 VA 소스추가 VA( 취약성평가 ) 소스와통신하려면시스템에소스를추가하고, VA 공급업체에대한통신매개변수를추가하고, 데이터가검색되는빈도를지정하는매개변수를예약하고, 심각도계산을변경합니다. 1 시스템탐색트리에서 DEM 또는수신기장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 취약성평가 ] 를클릭합니다. 3 VA 소스를추가, 편집, 제거또는검색하고장치에변경사항을씁니다. 옵션 정의 [ 클라이언트 ID] Frontline 클라이언트 ID 번호를입력합니다. 이필드는 Digital Defense Frontline 에필요합니다. [ 회사이름 ] FusionVM 의경우검색해야하는회사의이름입니다. 이필드를비워둘경우시스템은사용자가속한모든회사를검색합니다. 여러회사이름은쉼표로구분합니다. [ 데이터검색 ] (Qualys QualysGuard) VA 데이터를검색하는방법을선택합니다. [HTTP/HTTPS] 가기본값입니다. 옵션은 [SCP], [FTP], [NFS], [CIFS] 및 [ 수동업로드 ] 입니다. Qualys QualysGuard 로그파일을수동으로업로드할때파일크기는 2GB 로제한됩니다. [ 도메인 ] Windows 시스템의도메인을입력합니다 ( 선택사항, 도메인컨트롤러나서버가도메인내에없는경우 ). [ 내보낸검색파일디렉터리 ] [ 내보낸검색파일형식 ] 내보낸검색파일이있는디렉터리입니다. 내보낸검색파일형식 (XML, NBE) 입니다. [ 설치디렉터리 ] 서버에서 Saint 가설치된위치입니다. Saint 어플라이언스스캐너의설치디렉터리는 /usr/local/sm/ 입니다. [IP 주소 ] eeye REM 의경우 : 트랩정보를보내는 eeye 서버의 IP 주소입니다. eeye Retina 의경우 : 내보낸검색파일 (.rtd) 을보관하고있는클라이언트의 IP 주소입니다. Nessus, OpenVAS, LanGuard 및 Rapid7 Metasploit Pro 의경우 : 내보낸검색파일을보관하고있는클라이언트의 IP 주소입니다. NGS 의경우 : Squirrel 보고서를저장하고있는컴퓨터의 IP 주소입니다. Rapid7, Lumension, ncircle 및 Saint 의경우 : 각서버의 IP 주소입니다. [ 마운트디렉터리 ] [ 방법 ] 필드에서 [nfs] 를선택하는경우시스템은 [ 마운트디렉터리 ] 필드를추가합니다. [nfs] 를구성한경우마운트디렉터리집합을입력합니다. [ 방법 ] 내보낸검색파일을검색하는데사용할방법 ([SCP], [FTP], [NFS] 또는 [CIFS] 마운트 ) 입니다. LanGuard 는항상 [CIFS] 를사용합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 53
3 McAfee ESM 구성 McAfee ESM 장치구성 옵션 정의 [ 암호 ] Nessus, OpenVAS, LanGuard 및 Rapid7 Metasploit Pro 의경우 : SCP 또는 FTP 의암호입니다. NGS 의경우 : SCP 및 FTP 방법의암호입니다. Qualys 및 FusionVM 의경우 : Qualys Front Office 또는 FusionVM 사용자이름의암호입니다. Rapid7 Nexpose, Lumension, ncircle 및 Saint 의경우 : 웹서버에연결할때사용할암호입니다. Digital Defense Frontline 의경우 : 웹인터페이스암호입니다. [ 포트 ] Rapid7 Nexpose, Lumension, ncircle 또는 Saint 웹서버가수신중인포트입니다. 기본값은 Rapid7 Nexpose 의경우 3780, Lumension 의경우 205, ncircle 의경우 443, Saint 의경우 22 입니다. [ 프로젝트 / 영역이름 ] 특정프로젝트또는영역의이름이며, 모든프로젝트또는영역을가져오려면비워둡니다. [ 프록시 IP 주소 ] HTTP 프록시의 IP 주소입니다. [ 프록시암호 ] 프록시사용자이름에대한암호입니다. [ 프록시포트 ] HTTP 프록시가수신중인포트입니다. [ 프록시사용자이름 ] [Qualys 또는 FusionVM 서버 URL ] [ 원격경로및공유이름 ] 프록시의사용자이름입니다. 쿼리할 Qualys 또는 FusionVM 서버의 URL 입니다. CIFS 방법의경우 Nessus, OpenVAS, eeye Retina, Metasploit Pro, LanGuard 및 NGS 입니다. 경로이름에백슬래시나슬래시를사용할수있습니다 ( 예 : 또는 Program Files\CIFS\va /Program Files/CIFS/va) [ 수신기 ] 또는 [DEM 데이터검색예약 ] 수신기또는 DEM에서 VA 데이터를검색할빈도를나타냅니다. [ 매일 ] 매일데이터를검색할시간을선택합니다. [ 매주 ] 데이터검색할요일과그날의시간을선택합니다. [ 매월 ] 데이터를검색할날짜와그날의시간을선택합니다. 미리설정된시간에데이터를검색하지않으려면 [ 비활성화됨 ] 을선택합니다. eeye REM 에서는소스에서데이터를검색할수없으므로수신기또는 DEM 에서데이터를검색해야합니다. [VA 데이터검색예약 ] VA 소스에서 VA 데이터를검색할빈도를나타냅니다. [ 세션 ] Saint: 데이터를수집하는세션입니다. 모든세션을포함하려면 [ 모두 ] 를입력합니다. [SNMP 인증암호 ] [SNMP 인증프로토콜 ] [SNMP 보안수준 ] 필드에서 [authnopriv] 또는 [authpriv] 를선택하는경우이필드가활성화됩니다. [SNMP 인증프로토콜 ] 필드에서선택한인증프로토콜의암호를입력합니다. [SNMP 보안수준 ] 필드에서 [authnopriv] 또는 [authpriv] 를선택하는경우이필드가활성화됩니다. 이소스의프로토콜유형 [MD5] 또는 [SHA1](SHA1 및 SHA 는동일한프로토콜유형을나타냄 ) 을선택합니다. REM Events Server 구성이선택과일치하는지확인하십시오. 54 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 옵션 정의 [SNMP 커뮤니티 ] REM Events Server 를구성할때설정된 SNMP 커뮤니티입니다. [SNMP 개인정보암호 ] [SNMP 개인정보보호프로토콜 ] [SNMP 보안수준 ] 필드에서 [authpriv] 를선택하는경우이필드가활성화됩니다. DES 또는 AES 개인정보보호프로토콜의암호를입력합니다. FIPS 모드에서는 [AES] 옵션만사용할수있습니다. [SNMP 보안수준 ] 필드에서 [authpriv] 를선택하는경우이필드가활성화되며 DES 또는 AES 를선택할수있습니다. FIPS 모드에서는 [AES] 옵션만사용할수있습니다. [SNMP 보안수준 ] 이소스의보안수준입니다. [SNMP 사용자이름 ] [noauthnopriv] 인증프로토콜및개인정보보호프로토콜이없음 [authnopriv] 인증프로토콜은있지만개인정보보호프로토콜은없음 [authpriv] 인증프로토콜및개인정보보호프로토콜둘다있음. SNMP 인증및개인정보필드는선택한보안수준에따라활성화됩니다. REM Events Server 구성이선택과일치하는지확인하십시오. [REM Events Server 구성 ] 의보안이름입니다. [SNMP 버전 ] 소스의 SNMP 버전입니다. SNMP 필드는선택하는버전에따라활성화됩니다. [SNMPv3 엔진 ID] ( 선택사항 ) SNMPv3 프로파일을사용하는경우트랩보낸사람의 SNMPv3 엔진 ID 입니다. [Sudo 암호 ] ( 선택사항 ) Saint 설치디렉터리에액세스하는데필요한암호를입력합니다. [ 시간초과 ] 소스에대한기본시간초과값을사용하거나특정시간초과값을제공할수있습니다. 시간초과값을늘려더많은 VA 데이터검색시간을허용할수있습니다. 값을제공할경우모든통신에사용됩니다. [ 토큰 ] ( 선택사항 ) Metasploit 글로벌설정에서설정할수있는인증토큰입니다. [URL] Digital Defense Frontline 서버의 URL 입니다. [HTTP 프록시사용 ] HTTP 프록시를사용하도록선택하면 [ 프록시 IP 주소 ], [ 프록시포트 ], [ 프록시사용자이름 ] 및 [ 프록시암호 ] 필드가활성화됩니다. [ 수동모드사용 ] [ 방법 ] 필드에서 [ftp] 를선택하는경우이필드가활성화됩니다. 그런다음수동모드를사용할시기를선택합니다. [sudo 사용 ] [ 시스템프로파일사용 ](eeye REM) Saint 설치디렉터리에액세스할수있는경우이액세스를사용하려면이옵션을선택합니다. 이전에정의한프로파일을사용할지여부를선택합니다. 이옵션은모든 SNMP 필드를비활성화합니다. 기존시스템프로파일중하나를선택하면필드가선택한프로파일의정보로채워집니다. [ 사용자이름 ] SQL Server 에 Windows 인증모드를사용하는경우 Windows 제품의사용자이름을입력합니다. 그렇지않을경우 SQL Server 의사용자이름을입력합니다. Nessus, OpenVAS 및 Rapid7 Metasploit Pro 의경우 : SCP 또는 FTP 의사용자이름입니다. NGS 의경우 : SCP 및 FTP 방법의사용자이름입니다. Qualys 또는 FusionVM 의경우 : 인증할 Front Office 또는 FusionVM 사용자이름입니다. Rapid7 Nexpose, Lumension, ncircle 및 Saint 의경우 : 웹서버에연결할때사용할사용자이름입니다. Digital Defense Frontline 의경우 : 웹인터페이스사용자이름입니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 55
3 McAfee ESM 구성 McAfee ESM 장치구성 옵션 정의 [VA 소스이름 ] 이소스의이름입니다. [ 와일드카드표현식 ] 4 [ 적용 ] 또는 [ 확인 ] 을클릭합니다. 내보낸검색파일의이름을설명하는데사용된와일드카드표현식입니다. 와일드카드표현식은파일이름에서와일드카드의표준정의에별표 (*) 나물음표 (?) 를사용할수있습니다. NBE 파일과 XML 파일이둘다있을경우이필드에서 NBE 파일을원하는지 XML 파일을원하는지를지정합니다 ( 예 : *.NBE 또는 *.XML). 별표 (*) 만사용할경우오류가발생합니다. 참고항목 : 52 페이지의취약성평가작동방법 52 페이지의 VA 시스템프로파일정의 (eeye REM) 56 페이지의 VA 데이터검색 57 페이지의사용가능한 VA 공급업체 VA 데이터검색예정된시간에또는즉시데이터소스의 VA( 취약성평가 ) 데이터를검색할수있습니다. eeye REM 데이터검색은즉시수행할수없으며예약해야합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 DEM 또는 [ 수신기 ] 를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 취약성평가 ] 를클릭합니다. 4 VA 소스를선택하고다음옵션중하나를선택합니다. 즉시검색하려면 [ 검색 ] 을클릭합니다. 은백그라운드로실행되며검색이성공한경우사용자에게알림이표시됩니다. 검색을예약하려면 [ 편집 ] 을클릭합니다. 빈도를선택한다음장치에변경사항을기록하도록선택합니다. 5 [ 확인 ] 을클릭합니다. 6 VA 데이터를검색할수없는경우다음을확인합니다. 리소스 Nessus, OpenVAS 및 Rapid7 Metasploit Pro Qualys, FusionVM 및 Rapid7 Nexpose Nessus 발생할수있는문제 빈디렉터리. 설정에서오류가발생합니다. 디렉터리의데이터가이미검색되었으므로데이터가최신상태가아닙니다. 디렉터리의데이터가이미검색되었으므로데이터가최신상태가아닙니다. 새 Nessus 파일을 FTP 사이트에업로드할때기존 Nessus 파일을다시쓴경우파일의날짜가동일하게유지됩니다. 따라서 VA 검색을수행하는경우데이터가이전데이터로인식되기때문에데이터가반환되지않습니다. 이상황을방지하려면새 Nessus 파일을업로드하기전에 FTP 사이트에서이전 Nessus 파일을삭제하거나업로드하는파일에대해다른이름을사용합니다. 7 데이터를보려면 [ 자산관리자 ] 아이콘을클릭한다음 [ 취약성평가 ] 탭을선택합니다. 56 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 참고항목 : 52 페이지의취약성평가작동방법 52 페이지의 VA 시스템프로파일정의 (eeye REM) 53 페이지의 VA 소스추가 57 페이지의사용가능한 VA 공급업체 사용가능한 VA 공급업체 McAfee ESM 은다음 VA 공급업체와통합할수있습니다. VA 공급업체 버전 Digital Defense Frontline 5.1.1.4 eeye REM(REM 이벤트서버 ) 3.7.9.1721 eeye Retina eeye Retina VA 소스는 Nessus 데이터소스와같습니다..rtd 파일을가져오기위해 scp, ftp, nfs 또는 cifs 를사용할수있습니다. 가져오려면수동으로.rtd 파일을 scp, ftp 또는 nfs 공유에복사해야합니다..rtd 파일은일반적으로 Retina Scans 디렉터리에있습니다. 5.13.0, 감사 : 2400 McAfee Vulnerability Manager 6.8, 7.0 Critical Watch FusionVM 4-2011.6.1.48 LanGuard 10.2 Lumension ncircle 6.8.1.6 Nessus NGS OpenVAS 3.0, 4.0 Qualys Rapid7 Nexpose 권장 VA 파트너공급업체 Rapid7 Metasploit Pro 권장 VA 파트너공급업체 Rapid7 VA 소스를동일한수신기에추가하면이름 Nexpose 로시작하는 Metasploit 공격의심각도를추론할수있습니다. 추론할수없는경우기본심각도는 100 입니다. PatchLink Security Management Console 6.4.5 이상지원 Tenable Nessus 버전 3.2.1.1 및 4.2 및파일형식 NBE,.nessus(XMLv2),.nessus(XMLv1), OpenNessus 3.2.1 XML 형식지원 4.1.4- 업데이트 1, 파일형식 XML Saint GFI LanGuard NGS SQuirrel 참고항목 : 52 페이지의취약성평가작동방법 52 페이지의 VA 시스템프로파일정의 (eeye REM) 53 페이지의 VA 소스추가 56 페이지의 VA 데이터검색 McAfee Enterprise Security Manager 10.3.x 제품안내서 57
3 McAfee ESM 구성 McAfee ESM 장치구성 데이터소스자동생성 수신기에서제공하는표준규칙또는직접만든규칙을사용하여데이터소스를자동으로만들도록수신기를설정합니다. 시작하기전에 [ 시스템속성 ] [ 이벤트, 플로및로그 ] 에서자동확인을선택하거나액션도구모음에서 [ 이벤트및플로 가져오기 ] 아이콘을클릭하여이벤트또는플로를꺼냅니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서수신기를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 수신기속성 ] 페이지에서 [ 데이터소스 ] [ 자동학습 ] 을클릭합니다. 4 [ 자동학습 ] 페이지에서 [ 구성 ] 을클릭합니다. 5 [ 자동추가규칙편집기 ] 페이지에서 [ 데이터소스의자동생성활성화 ] 를확인합니다. 6 [ 추가 ] 를클릭한다음수신기에서데이터소스를자동으로만드는데사용할자동추가규칙을선택합니다. 7 선택한규칙을기존의자동학습데이터에적용하려면 [ 지금실행 ] 을클릭합니다. 58 페이지의자동생성규칙관리수신자가데이터소스를자동으로만드는데사용하는사용자지정규칙을만들고, 편집및정렬합니다. 59 페이지의데이터소스자동학습을설정합니다. 데이터소스 IP 주소를자동으로학습하도록 McAfee ESM 수신기를설정합니다. 참고항목 : 48 페이지의수신기데이터소스 49 페이지의데이터소스관리 52 페이지의취약성평가작동방법 61 페이지의클라이언트데이터소스 62 페이지의다른시스템으로데이터소스이동 66 페이지의고급 syslog 분석기작동방법 58 페이지의자동생성규칙관리 59 페이지의데이터소스자동학습을설정합니다. 자동생성규칙관리수신자가데이터소스를자동으로만드는데사용하는사용자지정규칙을만들고, 편집및정렬합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서수신기를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 수신기속성 ] 페이지에서 [ 데이터소스 ][ 자동학습 ] [ 구성 ] 을클릭합니다. 4 데이터소스의자동생성을켜려면 [ 활성화 ] 를선택합니다. 58 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 5 규칙을만들거나변경하려면 [ 추가 ] 를클릭하거나규칙을선택하고 [ 편집 ] 을클릭합니다. a [ 자동추가규칙구성 ] 페이지에서설정을구성합니다. 범주옵션정의 상단창 [ 설명 ] 사용자가규칙이수행하는내용을식별하는데도움이되는텍스트레 이블입니다. [ 일치하는조건자동학습 ] [ 데이터소스 / 클라이언트생성매개변수 ] b [ 확인 ] 을클릭합니다. [ 유형 ] 만들규칙입니다. [ 활성화됨 ] 규칙을설정하거나해제합니다. [IP/CIDR 및호스트이름 ] 규칙을트리거하기위해트래픽이시작되어야하는네트워크위치및호스트이름입니다. [ 포트 ] 규칙을트리거하기위해트래픽이발생해야하는포트입니다. [ 공급업체및모델 ] 이규칙은트래픽이이공급업체및장치모델에서발생한경우에만트리거됩니다. [ 이름 ] 데이터소스의이름입니다. 이필드는 IP 주소, 모델및호스트이름을나타내는변수를지원합니다. 예를들어데이터소스 - {MODEL}_{HOST}_{IP} 를입력합니다. [ 데이터소스유형 ] 새데이터소스를 [ 데이터소스 ] 또는 [ 클라이언트 ] 로설정합니다. [ 상위 ] 새로운데이터소스의상위역할을할장치를할당합니다. [ 클라이언트유형 ] [ 공급업체및모델 ] 새로운데이터소스에클라이언트유형을할당합니다. 새데이터소스는이공급업체및모델이있는시스템에표시됩니다. [ 시간대 ] 데이터소스에할당할시간대입니다. [ 영역 ] ( 선택사항 ) 새로운데이터소스가나타나는영역입니다. [ 저장소풀 ] 데이터소스 ( 클라이언트가아님 ) 에서생성되는데이터를 ELM 에저장하려는경우 [ 저장소풀 ] 을클릭하고저장소풀을선택합니다. 6 [ 자동추가규칙편집기 ] 페이지에서, 화살표를사용하여원하는순서대로규칙을정렬합니다. 7 [ 지금실행 ] 을클릭하여현재자동학습결과에규칙을적용합니다. McAfee ESM 에의해수동으로또는자동으로수신기에서경보를꺼내올때마다자동생성이발생합니다. 참고항목 : 58 페이지의데이터소스자동생성 59 페이지의데이터소스자동학습을설정합니다. 데이터소스자동학습을설정합니다. 데이터소스 IP 주소를자동으로학습하도록 McAfee ESM 수신기를설정합니다. 시작하기전에 Syslog, MEF 및플로에대한포트를정의합니다. 수신기포트는데이터를보내고있는소스와일치해야합니다. 그렇지않으면자동학습이수행되지않습니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 59
3 McAfee ESM 구성 McAfee ESM 장치구성 수신기의방화벽이지정한시간에열리므로시스템은알수없는 IP 주소세트를학습할수있습니다. 그런다음데이터소스로시스템에추가할수있습니다. McAfee ESM 을업그레이드하면자동학습결과가삭제됩니다. 업그레이드후자동학습을실행하여자동학습결과를다시수집합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서수신기를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 수신기속성 ] 페이지에서 [ 데이터소스 ] [ 자동학습 ] 을클릭합니다. 4 자동학습설정구성 a 적절한 [ 시간 ] 필드에서자동학습을수행할시간을선택한다음 [ 활성화 ] 을클릭합니다. MEF 에자동학습을사용하는경우에는호스트 ID 를사용하여자동학습되는데이터소스를추가할수없습니다. 시간이만료되면자동학습기능이비활성화되고테이블이검색된 IP 주소로채워집니다. b 자동학습을중지하려면 [ 사용안함 ] 을클릭합니다. 5 자동학습된 IP 주소를데이터소스로추가합니다. a 추가하려는유형과동일한유형의 IP 주소를선택한후 [ 추가 ] 를클릭합니다. b [ 자동학습된소스 ] 페이지에서다음옵션중하나를선택합니다. 선택한 IP 주소에연결된이름이없는경우선택한주소에접두사를추가할지를묻는메시지가표시됩니다. [ 아니요 ] 를클릭하면 IP 주소가이러한데이터소스의이름으로사용됩니다. [ 예 ] 를클릭하고접두사이름을입력한다음 [ 확인 ] 을클릭합니다. 이러한데이터소스의이름은추가한이름과 IP 주소로구성됩니다. 선택한 IP 주소에이름이있으면데이터소스가목록에추가됩니다. 옵션 [ 클라이언트유형일치 ] [ 클라이언트 IP 일치 ] 정의 선택한 IP 주소와일치하는기존데이터소스가있는경우항목이데이터소스에유형별일치클라이언트데이터소스로추가됩니다. 선택한 IP 주소와일치하는데이터소스가존재하지않는경우에는데이터소스가만들어집니다. 나머지항목은유형별일치클라이언트데이터소스로추가됩니다. 이옵션에서이 IP 주소를클라이언트로추가하려는데이터소스를선택할수있습니다. 일치하는데이터소스가나열됩니다. 하나도없는경우사용가능한유일한옵션은 [ 없음 새데이터소스만들기 ] 입니다. 이 IP 주소를클라이언트로추가하려는데이터소스를선택한다음 [ 확인 ] 을클릭합니다. 6 데이터소스의이름을변경하려면 [ 이름편집 ] 을클릭합니다. 최대 50 자를사용하고이름이목록의데이터소스에지정되어있지않은지확인합니다. 7 선택한 IP 주소의유형을변경하려면 [ 유형변경 ] 을클릭합니다. 시스템에서제안한유형이잘못된경우유형을변경합니다. 패킷을보면올바른유형을더쉽게결정할수있습니다. 참고항목 : 58 페이지의데이터소스자동생성 58 페이지의자동생성규칙관리 60 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 클라이언트데이터소스 클라이언트데이터소스를추가하여수신기에서허용된데이터소스수를확장합니다. syslog, ASP, CEF, MEF, NPP 및 WMI 수집기가포함된데이터소스의경우최대 32,766 개의데이터소스클라이언트를추가할수있습니다. 데이터소스가이미상위나하위인경우또는 WMI 데이터소스및 [RPC 사용 ] 이선택된경우에는이옵션을사용할수없습니다. 동일한 IP 주소를가진둘이상의클라이언트데이터소스를사용할수있으며이데이터소스를구분하는데포트번호를사용할수있습니다. 예를들어각데이터유형에서로다른포트를사용하여데이터를분리한다음데이터가수신된동일한포트를사용하여해당데이터를전달할수있습니다. 클라이언트데이터소스를추가할때상위데이터소스포트를사용할지또는다른포트를사용할지선택합니다. 클라이언트데이터소스에는다음과같은특징이있습니다. VIPS, Policy 또는 Agent 권한이없습니다. 시스템탐색트리에나타나지만 [ 데이터소스 ] 테이블에는나타나지않습니다. 상위데이터소스와정책및권한을공유합니다. 상위의구성을사용하기때문에동일한시간대에있어야합니다. 클라이언트 WMI 데이터소스는 WMI 서버에전송된쿼리가시간대를결정하므로독립시간대를가질수있습니다. 참고항목 : 48 페이지의수신기데이터소스 49 페이지의데이터소스관리 52 페이지의취약성평가작동방법 58 페이지의데이터소스자동생성 62 페이지의다른시스템으로데이터소스이동 66 페이지의고급 syslog 분석기작동방법 61 페이지의클라이언트데이터소스추가 62 페이지의데이터소스클라이언트찾기 클라이언트데이터소스추가수신기에허용된데이터소스수를늘리려면기존데이터소스에클라이언트를추가합니다. 시작하기전에 수신기에데이터소스를추가합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서수신기를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 데이터소스 ] 를클릭합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 61
3 McAfee ESM 구성 McAfee ESM 장치구성 4 클라이언트를추가하려는데이터소스를선택한다음 [ 클라이언트 ] 를클릭합니다. 5 [ 추가 ] 를클릭하고요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 옵션 정의 [ 이름 ] 클라이언트이름 [ 시간대 ] 클라이언트시간대 [ 날짜순서 ] 날짜형식 : 월다음일또는일다음월 [IP 주소 ], [ 호스트이름 ] 클라이언트 IP 주소또는호스트이름 - 동일한 IP 주소를가진클라이언트데이터소스가둘이상있을수있습니다. 포트는이러한데이터소스를구별합니다. [syslog TLS 필요 ] syslog 에대해 TLS(Transport Layer Security) 암호화프로토콜을선택합니다. [ 포트 ] 클라이언트에대해상위또는나열된다른포트와동일한포트를사용할지여부를선택합니다. [ 유형일치 ] 선택하면유형별로클라이언트를일치시킨다음이클라이언트의공급업체및모델을선택합니다. 이벤트가좀더구체적인데이터소스 ( 상위또는클라이언트 ) 로이동합니다. 한 IP 주소가 1.1.1.1 이고두번째 IP 주소가 1.1.1.0/24( 범위에해당 ) 인두개의클라이언트데이터소스가있는예를들어보겠습니다. 둘다동일한유형입니다. 이벤트가 1.1.1.1 과일치하는경우더구체적이기때문에첫번째클라이언트로이동합니다. 참고항목 : 61 페이지의클라이언트데이터소스 62 페이지의데이터소스클라이언트찾기 데이터소스클라이언트찾기 65,000 개이상의클라이언트를보유할수있습니다. 특정데이터소스클라이언트를찾으려면검색을사용합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서수신기를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 데이터소스 ] [ 클라이언트 ] 를클릭합니다. 4 [ 검색 ] 필드에서검색하려는정보를입력한다음 [ 검색 ] 을클릭합니다. 참고항목 : 61 페이지의클라이언트데이터소스 61 페이지의클라이언트데이터소스추가 데이터소스이동 목차 다른시스템으로데이터소스이동데이터소스를수신기로마이그레이션데이터소스목록가져오기다른시스템으로데이터소스이동보안수신기에서서로다른시스템의보안되지않은위치의수신기로데이터소스를이동합니다. 이동할데이터소스를선택하고해당소스및해당원시데이터를원격위치에저장한다음다른수신기로데이터소스를가져올수있습니다. 시작하기전에 두수신기모두에대해장치관리권한이있는지확인합니다. 62 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 데이터소스정보를내보낼때제한이있습니다. 플로데이터소스 ( 예 : IPFIX, NetFlow 또는 sflow) 를전송할수없습니다. 상호연결된이벤트의소스이벤트가표시되지않습니다. 두번째수신기에서상관규칙을변경한경우상관엔진이해당규칙을처리하지않습니다. 상관데이터를전송할때시스템은파일에서해당이벤트를삽입합니다. 1 시스템탐색트리에서 [ 수신기속성 ] 을선택합니다. 2 데이터소스및원격위치를선택하려면다음을수행합니다. a 데이터소스를선택한다음 [ 편집 ] 을클릭합니다. b [ 고급 ] 을클릭한다음 [NitroFile 로내보내기 ] 를선택합니다. 데이터를원격위치로내보내고프로파일을사용하여구성됩니다. 이제시스템이이데이터소스에의해생성된원시데이터를원격공유위치로복사합니다. 3 원시데이터파일을만들려면다음을수행합니다. a 원시데이터가저장된원격공유위치에액세스합니다. b 두번째수신기로파일을이동할수있는위치에생성된원시데이터를저장합니다 ( 예 : 안전하지않은위치로이동할수있는점프드라이브 ). 4 데이터소스를설명하는파일을만들려면다음을수행합니다. a 데이터소스를선택한다음 [ 가져오기 ] 를클릭합니다. b 이동한데이터소스파일을찾고 [ 업로드 ] 를클릭합니다. c [ 원격공유프로파일 ] 목록에서원시데이터파일을저장한위치를선택합니다. 프로파일이나열되지않는경우 [ 원격공유프로파일 ] 을클릭하고프로파일을추가합니다. 데이터소스가두번째수신기에추가되고원격공유프로파일을통해원시데이터에액세스합니다. 5 원시데이터및데이터소스파일을가져오려면다음을수행합니다. a 두번째수신기시스템탐색트리에서 [ 데이터소스 ] 에액세스한다음 [ 가져오기 ] 를클릭합니다. b 이동한데이터소스파일을찾고 [ 업로드 ] 를클릭합니다. c [ 원격공유프로파일 ] 목록에서원시데이터파일을저장한위치를선택합니다. 프로파일이나열되지않는경우 [ 원격공유프로파일 ] 을클릭하고프로파일을추가합니다. 6 [ 확인 ] 을클릭합니다. 참고항목 : 48 페이지의수신기데이터소스 49 페이지의데이터소스관리 52 페이지의취약성평가작동방법 58 페이지의데이터소스자동생성 61 페이지의클라이언트데이터소스 66 페이지의고급 syslog 분석기작동방법 64 페이지의데이터소스를수신기로마이그레이션 64 페이지의데이터소스목록가져오기 McAfee Enterprise Security Manager 10.3.x 제품안내서 63
3 McAfee ESM 구성 McAfee ESM 장치구성 데이터소스를수신기로마이그레이션동일한시스템에있는수신기간에데이터소스를재할당하거나재배포합니다. 데이터소스를새수신기로마이그레이션하고수신기간에데이터소스의균형을조정합니다. 또는수신기를바꾸면현재수신기의데이터소스를새수신기로전송할수있습니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서수신기를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 데이터소스 ] 를클릭합니다. 4 마이그레이션할데이터소스를선택한다음 [ 마이그레이션 ] 을클릭합니다. 5 [ 대상수신기 ] 필드에서새수신기를선택한다음 [ 확인 ] 을클릭합니다. 참고항목 : 62 페이지의다른시스템으로데이터소스이동 64 페이지의데이터소스목록가져오기 데이터소스목록가져오기 csv 형식의데이터소스목록을가져오면개별적으로각데이터소스를추가, 편집또는제거할필요가없어집니다. 다음상황에서이옵션을사용합니다. 안전한위치의수신기에서안전하지않은위치의수신기로복사된원시데이터소스데이터를가져오려는경우 데이터소스를기존목록에추가하거나, 기존데이터소스를편집하거나, 기존데이터소스를제거하여수신기에서데이터소스를편집하려는경우이을수행해야하는경우다음단계를수행합니다. 1 수신기의현재데이터소스목록을내보냅니다. a 시스템탐색트리에서 [ 수신기속성 ] 을선택한다음 [ 데이터소스 ] 를클릭합니다. b [ 내보내기 ] 를클릭한다음 [ 예 ] 를클릭하여다운로드를확인합니다. c 다운로드의위치를선택하고필요한경우파일이름을변경한다음 [ 저장 ] 을클릭합니다. d 이파일에액세스하여엽니다. 2 목록에서데이터소스를추가, 편집또는제거합니다. a A 열에서데이터소스를추가, 편집또는제거할지여부를지정합니다. b 데이터소스를추가하거나편집하는경우스프레드시트열에정보를입력합니다. 데이터소스의이름또는정책을편집할수없습니다. c 스프레드시트에대한변경사항을저장합니다. 클라이언트데이터소스의데이터소스로만들거나다른방식으로데이터소스를편집할수없습니다. 3 수신기로목록을가져옵니다. a 시스템탐색트리에서 [ 수신기속성 ] 을선택한다음 [ 데이터소스 ] 를클릭합니다. b [ 가져오기 ] 를클릭한다음파일을선택하고 [ 업로드 ] 를클릭합니다. 데이터소스의이름또는정책을변경할수없습니다. 64 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 c 변경사항을가져오려면 [ 확인 ] 을클릭합니다. d 변경사항의형식지정에오류가있는경우 [ 메시지로그 ] 에서오류를설명합니다. e [ 전체파일다운로드 ] 를클릭한다음 [ 예 ] 를클릭합니다. f 저장할다운로드의위치를선택하고필요한경우파일이름을변경한다음 [ 저장 ] 을클릭합니다. g 다운로드한파일을엽니다. h 오류를수정한다음파일을저장하고닫습니다. i [ 메시지로그 ] 및 [ 데이터소스가져오기 ] 를닫은다음 [ 가져오기 ] 를클릭하고저장한파일을선택합니다. j [ 확인 ] 을클릭합니다. 참고항목 : 62 페이지의다른시스템으로데이터소스이동 64 페이지의데이터소스를수신기로마이그레이션 파일테일데이터소스수집방법선택 데이터소스를추가할때데이터검색을위해 [NFS 파일소스 ] 또는 [CIFS 파일소스 ] 를선택하면수집방법을선택해야합니다. 수집방법은다음과같습니다. 파일복사 원격공유에서처리될수신기로전체로그가복사됩니다. 로그파일이크고새정보로자주업데이트되지않는경우전체로그파일복사는비효율적이고시간낭비입니다. 파일테일 로그를원격으로새이벤트만읽습니다. 로그를읽을때마다이전에중지한위치에서부터읽습니다. 파일이대폭변경되었음이탐지되면전체파일을처음부터다시읽습니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서수신기를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 액션도구모음에서 [ 데이터소스추가 ] 아이콘을클릭합니다. 4 요청한정보를제공하고 [ 데이터검색 ] 필드에서 [CIFS 파일소스 ] 또는 [NFS 파일소스 ] 를선택합니다. 5 [ 수집방법 ] 필드에서 [ 파일테일 ] 을선택한다음이필드를입력합니다. [ 구분된다중선이벤트 ] 이벤트가동적길이를갖는지지정하려면선택합니다. [ 이벤트구분기호 ] 이벤트의끝과또다른이벤트의시작을표시하는문자열을입력합니다. 이러한구분기호는매우다양하고로그파일의유형에따라다릅니다. [ 구분기호가정규식임 ] [ 이벤트구분기호 ] 필드의값이고정값이아닌정규표현식으로구분분석되는경우선택합니다. [ 테일모드 ] 처음실행시발생되는파일을완전히구문분석하려면 [ 시작 ] 을선택하거나파일크기를참고하고새이벤트만수집하려면 [ 끝 ] 을선택합니다. [ 하위디렉터리의재귀적사용 ] 자식디렉터리 ( 하위디렉터리 ) 에서수집을읽으려면선택하고와일드카드표현식필드와일치하는항목을찾습니다. 선택하지않은경우상위디렉터리파일만찾습니다. 6 나머지필드를입력한다음 [ 확인 ] 을클릭합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 65
3 McAfee ESM 구성 McAfee ESM 장치구성 상관데이터소스 상관데이터소스는 McAfee ESM 데이터를분석하여의심스러운패턴을탐지하고상관경보를생성하며상관경보는수신기경보데이터베이스에삽입됩니다. syslog 또는 OPSEC 를구성하는것과유사한방식으로수신기당하나의상관데이터소스만구성할수있습니다. 의심스러운패턴은상관정책규칙에서해석한데이터에의해나타나며이는사용자가생성하고변경할수있습니다. 상관데이터소스를구성한후다음을수행할수있습니다. 상관기본정책롤아웃 정책롤아웃 이상관기본정책의기본규칙편집 각규칙활성화또는비활성화 사용자지정규칙및구성요소추가 각규칙의사용자정의가능한매개변수의값을설정 상관데이터소스를추가하는경우 [McAfee] 를공급업체로, [ 상관엔진 ] 을모델로선택합니다. 상관데이터소스를사용하면 McAfee ESM 에서수신기상관엔진에경보를보낼수있습니다. 고급 syslog 분석기작동방법 ASP( 고급 Syslog 분석기 ) 는사용자정의규칙에따라 syslog 메시지의데이터를분석합니다. 규칙을정의하여메시지를인식하는방법및시그니처 ID, IP 주소, 포트, 사용자이름, 액션등의메시지에이벤트데이터가상주하는위치를 ASP 에알립니다. syslog 장치가식별되지않거나소스별 pparser 가메시지를올바르게해석하지않거나수신된이벤트와관련된데이터포인트를완전히해석하지않는경우 ASP 를사용합니다. 또한 ASP 를사용하여 Linux 및 UNIX 서버등복잡한로그소스를정렬할수있습니다. 사용중인 Linux 또는 UNIX 환경에맞게구성된규칙을작성해야합니다. Syslog 를공급업체로선택하여수신기에 ASP 데이터소스를추가합니다. 이을완료했으면장치제조업체의지시에따라 syslog 데이터를수신기의 IP 주소로보내도록 syslog 장치를구성합니다. ASP 소스를추가하는경우이벤트데이터를수집하기전에정책을적용해야합니다. [ 일반 Syslog 지원 ] 을활성화한경우규칙이없는정책을적용하고일반적으로이벤트데이터수집을시작할수있습니다. Linux 및 UNIX 서버를포함한일부데이터소스는수신기가유사한이벤트발생을함께제대로그룹화할수없도록하는균일하지않은많은데이터를생성할수있습니다. 따라서실제로동일한이벤트가단순하게반복되지만다양한 syslog 데이터가수신기로전송되는경우서로다른이벤트가광범위하게나타날수있습니다. ASP 는 Snort 와매우유사한형식을사용합니다. ACTION Protocol Src_ip Src_port -> Dst_ip Dst_port (keyword: option; keyword: option;...;) 버전 9.0.0 이상에서리터럴값을 PCRE 하위캡처로연결하려는경우리터럴에공백이나다른문자가포함되어있으면리터럴을개별적으로따옴표에넣고 PCRE 하위캡처참조는따옴표로묶지않은상태로유지합니다. 다음과같이규칙을정의합니다. 66 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 섹션필드설명 규칙헤더 규칙헤더에는 Alert 액션과 any any any 형식이포함됩니다. 규칙은다음과같습니다. ALERT any any any -> any any [ 액션 ] 일치가발생할경우이벤트로수행할옵션입니다. ALERT 이벤트를로깅함 DROP 이벤트를로깅하지만전달하지않음 SDROP 이벤트를로깅하거나전달하지않음 PASS 정의된경우전달하지만로깅하지않음 규칙본문 [ 프로토콜 ] 이벤트에서프로토콜을정의한경우프로토콜에따라유효일치를필터링합니다. [ 소스 / 대상 IP] [ 소스 / 대상포트 ] [msg] [content] [procname] [adsid] [sid] 이벤트에서소스나대상 IP 주소를정의한경우해당주소에따라유효일치를필터링합니다. 이벤트에서소스나대상포트를정의한경우해당포트에따라유효일치를필터링합니다. 규칙본문은대부분의일치기준을포함하며데이터를구문분석하고 ESM 데이터베이스에로깅하는방법을정의합니다. 규칙본문의요소는키워드 - 옵션쌍으로정의됩니다. 일부키워드에는다음옵션이없습니다. ( 필수 ) 이규칙에연결할메시지입니다. pcre/setparm 탐지메시지 ( 아래참조 ) 로재정의되지않는한보고용으로 ESM Thin Client 에표시되는문자열입니다. msg 의첫번째은범주이름과그다음에오는실제메시지입니다 (msg: " 범주규칙메시지 "). ( 선택사항 하나이상 ) content 키워드는규칙세트를통과할때이벤트를사전필터링하는와일드카드가아닌텍스트한정자이며, 공백을포함할수있습니다. 예를들어 content: "search 1"; content "something else" 형식입니다. 많은 UNIX 및 Linux 시스템에서는프로세스이름 ( 및프로세스 ID) 이표준화된 syslog 메시지헤더의일부입니다. procname 키워드를사용하여규칙에서이벤트일치를필터링할수있습니다. Linux 또는 UNIX 서버의두프로세스에유사하거나동일한메시지텍스트가있는이벤트일치를제외하거나필터링하는데사용됩니다. 사용할데이터소스 ID 입니다. 이값은데이터소스편집기의 [ 기본규칙할당 ] 을재정의합니다. 규칙의시그니처 ID 입니다. pcre/setparm 탐지된 sid 로재정의되지않은경우 ESM Thin Client 에서사용되는일치 ID 입니다. [rev] 규칙교정입니다. 변경사항을추적하는데사용됩니다. [severity] [pcre] 규칙과일치하는이벤트에할당된 1( 거의심각하지않음 ) 에서 100( 가장심각함 ) 사이의값입니다. PCRE 키워드는들어오는이벤트에대한 Perl 호환정규표현식일치입니다. PCRE 는따옴표로구분되며모든 "/" 발생이일반문자로처리됩니다. 괄호안의콘텐츠는 setparm 키워드사용을위해유지됩니다. nocase, nomatch, raw 및 setparm 키워드를사용하여 PCRE 키워드를변경할수있습니다. [nocase] 케이스일치여부에관계없이 PCRE 콘텐츠가일치되도록합니다. [nomatch] PCRE 일치를반전합니다 (Perl 의!~ 와동일 ). [raw] 헤더데이터 ( 기능, 데몬, 날짜, 호스트 /IP, 프로세스이름및프로세스 ID) 를포함한전체 syslog 메시지와 PCRE 를비교합니다. 일반적으로헤더는 PCRE 일치에서사용되지않습니다. [setparm] 두번이상발생할수있습니다. PCRE 의각괄호세트에발생순서대로번호가할당됩니다. 이번호는데이터태그에할당할수있습니다 ( 예 : setparm:username=1). 이필드는첫번째괄호세트에서캡처된텍스트를가져와사용자이름데이터태그에할당합니다. 인식된태그는아래표에나열되어있습니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 67
3 McAfee ESM 구성 McAfee ESM 장치구성 태그 설명 * sid 이캡처된매개변수는일치하는규칙의 sid 를재정의합니다. * msg 이캡처된매개변수는일치하는규칙의메시지또는이름을재정의합니다. * action 이캡처된매개변수는타사장치가수행한액션을나타냅니다. * protocol * src_ip 이매개변수는이벤트의기본소스 IP 주소인 syslog 소스의 IP 주소를대체합니다. * src_port * dst_ip * dst_port * src_mac * dst_mac * dst_mac * genid 이매개변수는데이터베이스에저장된대로 sid 를수정하는데사용되며, snort 전처리기의비 McAfee snort 일치에사용됩니다. * url 예약되어있지만아직사용되지않습니다. * src_username 첫번째 / 소스사용자이름입니다. * username src_username 의대체이름입니다. * dst_username 두번째 / 대상사용자이름입니다. * domain * hostname * application * severity 정수여야합니다. * action map 제품의특정액션을 McAfee 액션에매핑할수있습니다. action map 은대 / 소문자를구분합니다. 예 : alert any any any -> any any (msg:"openssh Accepted Password"; content:"accepted password for "; action_map:accepted=8, Blocked=3; pcre:"(accepted)\s+password\s+for\s+(\s+) \s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)"; setparm:action=1; sid:31; rev:1;)). 자세한내용은 " 심각도및액션맵 " 을참조하십시오. * severity map 제품의특정심각도를 McAfee 심각도에매핑할수있습니다. action map 과마찬가지로 severity map 도대 / 소문자를구분합니다. 예 : alert any any any -> any any (msg:"openssh Accepted Password"; content:"accepted password for "; severity_map:high=99, Low=25, 10=99, 1=25; pcre:"(accepted)\s+password\s+for\s+(\s+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d+)"; setparm:action=1; sid:31; rev:1;))pri(?:\x3d \x3a)\s*(?:p\x5f)?([^\x2c]+). 자세한내용은 " 심각도및액션맵 " 을참조하십시오. 68 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 태그 설명 * var setparms 를사용하는다른방법입니다. 유용한사용방법은여러 PCRE 의여러캡처에서하나의값을만드는것입니다. 캡처가여러개인하나의큰 PCRE 가아니라문자열의작은부분만캡처하는둘이상의 PCRE 를만들수있습니다. 다음은사용자이름, 도메인을캡처하고이메일주소를만들어 objectname 필드에저장하는예입니다. * sessionid 정수입니다. Syntax = var:field=${pcre:capture} PCRE = 실제 PCRE 가아니라 pcre 의수입니다. 규칙에두개의 PCRE 가있는경우 PCRE 는 1 또는 2 입니다. Capture = 실제캡처가아니라수 ( 첫번째, 두번째또는세번째캡처 [1,2,3]) 입니다. 샘플메시지 : A man named Jim works for McAfee. PCRE: (Jim).*?(McAfee) 규칙 : alert any any any -> any any (msg:"var User Jim"; content:"jim"; pcre:"(jim)"; pcre:"(mcafee)"; var:src_username=${1:1}; var:domain=${2:1}; var:objectname=${1:1}@ ${2:1}.com raw; classtype:unknown; adsid:190; sev:25; sid:610061000; rev:1; normid: 1209008128; gensys:t;) 매핑된소스사용자 : Jim 매핑된도메인 : McAfee * commandname 문자열값입니다. * objectname 문자열값입니다. 매핑된 objectname: Jim@McAfee.com * event_action 이태그는기본액션을설정하는데사용됩니다. event_action 과 action_map 을동일한규칙에사용할수없습니다. 예를들어 Successful Login 에대한이벤트가있는경우 event_action 태그를사용하고 action 기본값을 success 로설정할수있습니다 ( 예 : event_action:8;). McAfee Enterprise Security Manager 10.3.x 제품안내서 69
3 McAfee ESM 구성 McAfee ESM 장치구성 태그 설명 * firsttime_fmt 첫번째이벤트시간을설정하는데사용됩니다. 형식목록을참조하십시오. * lasttime_fmt 마지막이벤트시간을설정하는데사용됩니다. 형식목록을참조하십시오. setparm 또는 var 과함께사용할수있습니다 (var:firsttime="${1:1}" 또는 setparm:lasttime="1"). 예 : alert any any any -> any any (msg:"ssh Login Attempt"; content:"content"; firsttime_fmt:"%y-%m-%dt%h:%m:%s.%f"; lasttime_fmt:"%y-%m-%dt%h:%m:%s.%f" pcre:"pcre goes here; raw; setparm:firsttime=1; setparm:lasttime=1; adsid:190; rev:1;) 지원되는현재형식에대한자세한내용은 http://pubs.opengroup.org/onlinepubs/009695399/ functions/strptime.html 을참조하십시오. %Y - %d - %m %H : %M : %S %m - %d - %Y %H : %M : %S %b %d %Y %H : %M : %S %b %d %Y %H - %M - %S %b %d %H : %M : %S %Y %b %d %H - %M - %S %Y %b %d %H : %M : %S %b %d %H - %M - %S %Y %H : %M : %S %Y %H - %M - %S %m - %d - %Y %H : %M : %S %H - %M - %S %Y 는 4 자리연도입니다. %m 은월번호 (1-12) 입니다. %d 는날짜 (1-31) 입니다. %H 는시간 (1-24) 입니다. %M 은분 (0-60) 입니다. %S 는초 (0-60) 입니다. %b 는월약어 (jan, feb) 입니다. 다음은 OpenSSH 로그온에따라암호를식별하고이벤트의소스 IP 주소, 소스포트및사용자이름에서가져오는규칙의예입니다. alert any any any -> any any (msg:"openssh Accepted Password";content:"Accepted password for ";pcre:"accepted \s+password\s+for\s+(\s+)\s+from\s+(\d+\.\d+\.\d+\.\d+)\s+port\s+(\d +)";setparm:username=1;setparm:src_ip=2;setparm:src_port=3;sid:31;rev:1;) 참고항목 : 48 페이지의수신기데이터소스 49 페이지의데이터소스관리 52 페이지의취약성평가작동방법 58 페이지의데이터소스자동생성 61 페이지의클라이언트데이터소스 62 페이지의다른시스템으로데이터소스이동 71 페이지의 syslog 심각도및액션매핑 72 페이지의 Syslog 릴레이지원 70 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 syslog 심각도및액션매핑 syslog 메시지심각도및액션값을시스템의스키마에맞는값에매핑할수있습니다. severity_map 심각도는규칙과일치하는이벤트에할당된 1( 거의심각하지않음 ) 에서 100( 가장심각함 ) 사이의값으로표시됩니다. 메시지를보내는장치의심각도는숫자 1 10 이나텍스트 ( 고위험, 중간, 저위험 ) 로표시될수있습니다. 이런경우심각도로캡처할수없으므로매핑을만들어야합니다. 예를들어다음은심각도를텍스트형식으로표시하는 McAfee IntruShield 에서생성되는메시지입니다. <113>Apr 21 07:16:11 SyslogAlertForwarder: Attack NMAP: XMAS Probe (Medium)\000 심각도매핑을사용하는규칙구문은다음과같습니다 ( 심각도매핑은강조를위해굵게표시함 ): alert any any any -> any any (msg:"mcafee Traffic"; content:"syslogalertforwarder"; severity_map:high=99,medium=55,low=10; pcre:"(syslogalertforwarder)\x3a\s+attack\s+([^\x27]+)\x27([^\x28]+) \x28"; raw; setparm:application=1; setparm:msg=2; setparm:severity=3; adsid:190; rev:1;) severity_map : High=99,Medium=55,Low=10. 텍스트를사용할수있는형식의숫자로매핑합니다. setparm : severity=3. 세번째캡처를사용하고심각도와동일하게설정한다는의미입니다. 모든 setparm 수정자는이런방식으로작동합니다. action_map 심각도와마찬가지로사용됩니다. 액션은타사장치에서수행한액션을나타냅니다. 액션의목표는최종사용자에게유용한매핑을만드는것입니다. 예를들어다음은 OpenSSH 의실패한로그인메시지입니다. Dec 6 10:27:03 nina sshd[24259]: Failed password for root from 10.0.12.20 port 49547 ssh2 alert any any any -> any any (msg:"ssh Login Attempt"; content:"sshd"; action_map:failed=9,accepted=8; pcre:"sshd\x5b\d+\x5d\x3a\s+((failed Accepted)\s+password)\s+for\s+((invalid illegal)\s+user\s+)?(\s+)\s+from\s+ (\S+)(\s+(\S+)\s+port\s+(\d+))?"; raw; setparm:msg=1; setparm:action=2; setparm:username=5; setparm:src_ip=6; adsid:190; rev:1;) 액션 (Failed) 이숫자로매핑됩니다. 이숫자는시스템에서사용할수있는다른액션을나타냅니다. 다음은사용가능한전체액션유형목록입니다. 0 = Null 20 = 중지 1 = 통과 21 = 통지 2 = 거부 22 = 신뢰할수있음 3 = 삭제 23 = 신뢰할수없음 4 = sdrop 24 = 잘못된긍정 5 = 경보 25 = 경보 - 거부 6 = 기본값 26 = 경보 - 삭제 7 = 오류 27 = 경보 -sdrop 8 = 성공 28 = 다시시작 9 = 실패 29 = 차단 10 = 긴급 30 = 치료 11 = 위험 31 = 치료 - 실패 12 = 경고 32 = 계속 13 = 정보 33 = 감염됨 14 = 디버그 34 = 이동 McAfee Enterprise Security Manager 10.3.x 제품안내서 71
3 McAfee ESM 구성 McAfee ESM 장치구성 15 = 상태 35 = 이동 - 실패 16 = 추가 36 = 검역 17 = 변경사항 37 = 겸역 - 실패 18 = 제거 38 = 제거 - 실패 19 = 시작 39 = 거부됨 이예제에서 Failed 는 syslog 메시지에서 9 로매핑되며, 시스템에서 Failure 로보고합니다. 다음은규칙의구조에대한분석입니다. Alert any any any -> any any (msg: Login Attempt ; content: sshd ; action_map or severity_map (if you need it); pcre: your regular expression goes here ; raw; setparm:data_tag_goes_here; adsid:190; rev:1;) 참고항목 : 66 페이지의고급 syslog 분석기작동방법 72 페이지의 Syslog 릴레이지원 Syslog 릴레이지원 syslog 릴레이서버를통해다양한장치의이벤트를수신기로전달하려면추가단계가필요합니다. 데이터스트림및추가데이터소스를허용하려면단일 syslog 릴레이데이터소스를추가해야합니다. 그러면수신기에서데이터스트림을원래데이터소스로분할할수있습니다. Sylog-ng 및 Splunk 가지원됩니다. 다음다이어그램은이시나리오를설명합니다. 1 Cisco ASA 장치 5 데이터소스 1 Syslog 릴레이 2 SourceFire Snort 장치 6 데이터소스 2 Cisco ASA 3 TippingPoint 장치 7 데이터소스 3 SourceFire Snort 4 Syslog 릴레이 8 데이터소스 4 TippingPoint 이시나리오를예로사용하면, syslog 릴레이 (4) 에서데이터스트림을받으려면 syslog 릴레이데이터소스 (5) 를설정해야합니다. [Syslog 릴레이 ] 필드에서 [syslog] 를선택합니다. syslog 릴레이데이터소스가설정된다음개별장치 (6, 7 및 8) 에대한데이터소스를추가합니다. 이장치는시스템릴레이서버가아니므로 [Syslog 릴레이 ] 필드에서 [ 없음 ] 을선택합니다. [Syslog 메시지업로드 ] 기능은 syslog 릴레이설정에서작동하지않습니다. Syslog 의헤더는다음예처럼보이도록구성해야합니다. 1 <123> 345 Oct 7 12:12:12 2012 mcafee.com httpd[123] 설명 : 72 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 1 = syslog 버전 ( 선택사항 ) 345 = syslog 길이 ( 선택사항 ) <123> = 기능 ( 선택사항 ) Oct 7 12:12:12 2012 = 날짜 ; 수백가지의형식이지원됩니다 ( 필수 ) mcafee.com 호스트이름또는 IP 주소 (ipv4 또는 ipv6)( 필수 ) httpd = 응용프로그램이름 ( 선택사항 ) [123] 응용프로그램 pid( 선택사항 ) : = 콜론 ( 선택사항 ) 호스트이름과데이터필드는어떤순서로든표시될수있습니다. IPv6 주소는괄호 [ ] 로묶을수있습니다. 참고항목 : 66 페이지의고급 syslog 분석기작동방법 71 페이지의 syslog 심각도및액션매핑 보안장치이벤트교환 (SDEE) SDEE(Security Device Event Exchange) 형식은다양한유형의보안장치에서생성된이벤트를나타내는방법을설명합니다. SDEE 사양은 HTTP 또는 HTTPS 프로토콜을사용하여 SDEE 이벤트가전송된다는것을나타냅니다. 클라이언트에이벤트정보를제공하기위해 SDEE 를사용하는 HTTP 서버를 SDEE 공급자라고하는반면 HTTP 요청개시자는 SDEE 클라이언트라고합니다. Cisco 는 SDEE 표준에일부확장을정의했는데이를 CIDEE 표준이라고합니다. 수신기는 Cisco 침입방지시스템에서생성한 CIDEE 데이터를요청하는 SDEE 클라이언트역할을수행할수있습니다. SDEE 는꺼내기모델을사용합니다. 이는정기적으로수신기가 SDEE 공급자에게연결하여마지막이벤트가요청된시간이후생성된이벤트를요청한다는의미입니다. 수신기가 SDEE 공급자로부터이벤트를요청할때마다시스템은 McAfee ESM 검색을즉시수행할수있도록이러한이벤트를처리하여수신기의이벤트데이터베이스에저장합니다. Cisco 를공급업체로선택하고 IOS IPS(SDEE) 를데이터소스모델로선택하여 SDEE 공급자를데이터소스로수신기에추가합니다. 수신기는 SDEE/CIDEE 이벤트에서다음을추출합니다. 소스및대상 IP 주소 소스및대상포트 프로토콜 이벤트시간 이벤트개수 (CIDEE 는수신기가따르는이벤트집합형식제공 ) 시그니처 ID 및하위 ID McAfee ESM 이벤트 ID 는 ESMI ID = (SDEE ID * 1000) + CIDEE sub-id 수식을사용하여 SDEE 시그니처 ID 와 CIDEE 하위시그니처 ID 로부터계산됩니다. SDEE 시그니처 ID 가 2000 이고 CIDEE 하위시그니처 ID 가 123 인경우 McAfee ESM 이벤트 ID 는 2000123 입니다. VLan 심각도 이벤트설명 패킷컨텐츠 ( 사용가능한경우 ). McAfee Enterprise Security Manager 10.3.x 제품안내서 73
3 McAfee ESM 구성 McAfee ESM 장치구성 수신기가처음으로 SDEE 공급자에게연결된경우현재날짜및시간이요청하는이벤트의시작지점으로사용됩니다. 이후의연결은마지막으로꺼내기를성공한이후의모든이벤트를요청합니다. CEF( 일반이벤트형식 ) ArcSight 는현재스마트커넥터를사용하여 270 개데이터소스에서이벤트를 CEF( 일반이벤트형식 ) 으로변환합니다. CEF 는이벤트또는로그생성장치의상호운용성표준입니다. 이메시지는막대 ( ) 문자로구분된필드로구성되는공통접두사를사용하여형식을지정합니다. 이접두사는필수이며지정한필드가모두있어야합니다. 추가필드는확장에서지정합니다. 형식은다음과같습니다. CEF: 버전 장치공급업체 장치제품 장치버전 장치이벤트클래스 Id 이름 심각도 확장 메시지의확장부분은추가필드의자리표시자입니다. 다음은접두사필드에대한정의입니다. [ 버전 ] - CEF 형식의버전을식별하는정수입니다. 이벤트소비자는이정보를사용하여필드가나타내는항목을확인합니다. 현재유일한버전 0 이위의형식으로설정됩니다. [ 장치공급업체 ], [ 장치제품 ] 및 [ 장치버전 ] - 보내는장치의유형을고유하게식별하는문자열입니다. 두제품에서동일한장치 - 공급업체및장치 - 제품쌍을사용할수없습니다. 이벤트생성자가고유한이름쌍이할당되도록해야합니다. [DeviceEventClassId] - 이벤트유형별고유식별자입니다 ( 문자열또는정수 ). DeviceEventClassId 는보고된이벤트의유형을식별합니다. 특정을탐지하는각시그니처또는규칙에는고유한 deviceeventclassid 가할당되어있습니다. 또한이필드는다른유형의장치에대한요구사항이며상관엔진이이벤트를처리하는데도움을줍니다. [ 이름 ] - 포트검색등이벤트를설명하는문자열입니다. [ 심각도 ] - 이벤트중요도를반영하는정수입니다 (0-10 사이, 10: 가장중요한이벤트 ). [ 확장 ] - 키 - 값쌍모음이며여기서키는미리정의된집합의일부입니다. 이벤트에는키 - 값쌍이개수에관계없이공백으로구분되어임의의순서로포함될수있습니다. 파일이름과같이필드에공백이있는경우에도문제가되지않으며정확히해당방식으로로깅할수있습니다. 예를들어 filename=c:\program Files\ArcSight 는유효한토큰입니다. 샘플메시지모양은다음과같습니다. Sep 19 08:26:10 zurich CEF:0 security threatmanager 1.0 100 worm successfully stopped 10 src=10.0.0.1 dst=2.1.2.2 spt=1232 NetWitness 를사용하는경우수신기로 CEF 를보내도록장치를올바르게구성해야합니다. 기본적으로 NetWitness 를사용하는경우의 CEF 형식은다음과같습니다. CEF:0 Netwitness Informer 1.6 {name} {name} Medium externalid={#sessionid} proto={#ip.proto} categorysignificance=/normal categorybehavior=/authentication/verify categorydevicegroup=/os categoryoutcome=/attempt categoryobject=/host/application/service act={#action} devicedirection=0 shost={#ip.host} src={#ip.src} spt={#tcp.srcport} dhost={#ip.host} dst={#ip.dst} dport={#tcp.dstport} duser={#username} dproc=27444 filetype=security cs1={#did} cs2={#password} cs3=4 cs4=5 cn1={#rid} cn2=0 cn3=0 올바른형식에서는위의 dport 를 dpt 로변경해야합니다. 74 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 McAfee 규칙세트 다음표에는외부데이터소스 ID와함께 McAfee 규칙집합이나와있습니다. 데이터소스 ID 표시이름 해당 RSID 규칙범위 50201 방화벽 0 2,000,000 2,099,999 50202 사용자지정방화벽 0 2,200,000 2,299,999 50203 사용자지정시그니처 0 5,000,000 5,999,999 50204 내부 0 3,000,000 3,999,999 50205 취약성및공격 2 해당없음 50206 감사콘텐츠 5 해당없음 50207 채팅 8 해당없음 50208 정책 11 해당없음 50209 피어투피어 14 해당없음 50210 멀티미디어 17 해당없음 50211 알파 25 해당없음 50212 바이러스 28 해당없음 50213 경계보안응용프로그램 31 해당없음 50214 게이트웨이 33 해당없음 50215 악성프로그램 35 해당없음 50216 SCADA 40 해당없음 50217 MCAFEESYSLOG 41 해당없음 수신기자산소스추가 자산은 IP 주소를가진네트워크의장치입니다. [ 자산관리자 ] 에서자산만들기, 태그변경, 자산그룹만들기, 자산소스추가및그룹에자산할당을수행할수있습니다. ESM 은자산소스를하나만가질수있습니다. 수신기는여러자산소스를가질수있습니다. 두개의자산탐색소스가동일한자산을찾는경우우선순위가가장높은탐색방법이탐색한자산을표에추가합니다. 두탐색소스의우선순위가동일한경우나중에자산을탐색한소스가먼저탐색한소스보다우선합니다. 1 시스템탐색트리에서 [ 수신기속성 ] 을선택한다음 [ 자산소스 ] 를클릭합니다. 2 [ 추가 ] 를클릭한다음요청한정보를입력합니다. 옵션 정의 [ 활성화됨 ] 자동검색기능을활성화하려면선택합니다. 확인란을선택하지않으면 [ 검색 ] 을클릭하여자산소스의데이터를수동으로검색할수도있습니다. 확인란을선택할경우시스템은 [ 데이터검색 ] 필드에서지정된간격으로데이터를검색합니다. [ 유형 ] 자산소스의유형을선택합니다. 나머지필드는선택하는유형에따라다릅니다. [ 이름 ] 이자산소스의이름을입력합니다. [ 영역 ] 이자산소스를영역에할당하려는경우영역을선택합니다. [ 우선순위 ] 취약성평가또는네트워크탐색과동시에자산을발견하는경우이자산소스에부여하려는우선순위를선택합니다. 옵션은 1 에서 5 까지이며 1 이가장높은우선순위입니다. [IP 주소 ], [ 포트 ] [TLS 사용 ], [SSL 사용 ] 자산소스의 IP 주소및포트를입력합니다. TLS 암호화프로토콜 (Active Directory 의경우 ) 또는 SSL(Altiris 의경우 ) 을사용하려면선택합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 75
3 McAfee ESM 구성 McAfee ESM 장치구성 옵션 [ 사용자이름 ], [ 암호 ] 정의 자산에액세스하는데필요한사용자이름및암호를입력합니다. [ 검색기반 ] 도메인컨트롤러의적절한이름을입력합니다 ( 예 : dc=mcafee,dc=com). [ 프록시활성화 ] Altiris 의경우프록시서버활성화여부를선택합니다. 활성화하면프록시정보를입력합니다. 프록시서버 IP 주소 프록시가수신하는포트 프록시사용자의이름 프록시서버용암호 [ 데이터검색 ] 데이터를자동으로검색하려는경우검색할빈도를선택합니다. [ 연결 ] 연결을테스트합니다. 3 [ 확인 ] 을클릭한다음 [ 자산소스 ] 에서 [ 쓰기 ] 를클릭합니다. 참고항목 : 40 페이지의 McAfee Event Receiver 40 페이지의스트리밍이벤트보기 46 페이지의수신기보관설정정의 47 페이지의상관이벤트의소스이벤트보기 48 페이지의수신기처리량통계보기 40 페이지의고가용성수신기 48 페이지의수신기데이터소스 McAfee Enterprise Log Search(ELS) McAfee Enterprise Log Search(ELS) 는특정기간동안압축되지않은로그데이터를보존하므로 ESM 대시보드에서 ELS 데이터를신속하게검색할수있습니다. ELS 를구성하기전에다음정보를식별합니다. 저장장치 - 압축되지않은데이터를보존하려면추가저장소공간이필요합니다. 팀과협력하여추가하드드라이브또는네트워크저장소같이환경에적합한저장소요구사항을결정합니다. 보존정책 - ELS 장치에서압축되지않은특정데이터를보존하려는기간을결정합니다. 년 (365 일 ), 분기 (90 일 ) 또는월 (30 일 ) 단위기간으로보존정책을최대 6 개까지추가할수있습니다. 데이터소스 - ELS 와연결할데이터소스를식별합니다. 데이터소스를 ELS 또는 ELM 과연결할수있지만둘모두와연결할수는없습니다. 참고항목 : 76 페이지의 ELS 구성 78 페이지의 ELS 데이터검색 ELS 구성 McAfee Enterprise Log Search(ELS) 데이터를검색하려면 ELS 장치를콘솔에추가하고 ELS 저장소및보존정책을설정하고데이터소스를특정보존정책과연결합니다. 시작하기전에 가상장치또는물리적장치를설정하고설치합니다. 76 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 1 을클릭한다음 [ 구성 ] 을클릭합니다. 2 콘솔에 ELS 장치를추가합니다. a 액션도구모음에서을클릭하고 [McAfee Enterprise Log Search] 를선택합니다. [ 다음 ] 을클릭합니다. b 고유한 [ 장치이름 ] 을입력하고 [ 다음 ] 을클릭합니다. c 장치의대상 IP 주소또는 URL, 대상 SSH 포트번호및 NTP(Network Time Protocol) 설정을입력합니다. [ 다음 ] 을클릭합니다. d 이장치의암호를입력하고 [ 다음 ] 을클릭합니다. 3 저장소를설정합니다. 압축되지않은데이터를유지하면 ELS 검색기능이빨라집니다. 그러나하드드라이브나네트워크저장소같은추가저장소공간이필요합니다. a [ELS] 를선택하고을클릭한다음 [ 데이터저장소 ] 를클릭합니다. b iscsi, DAS, SAN 또는가상로컬드라이브를사용하는경우상위그리드에정보를입력합니다. c SAN, 가상로컬, NFS, iscsi 또는 CIFS 를사용하는경우하위그리드에서 [ 추가 ] 를클릭합니다. d 올바른매개변수를입력한다음 [ 확인 ] 을클릭합니다. 4 보존정책을추가합니다 (6 개이하로제한 ). ELS 로그데이터를검색하려면하나이상의보존정책이있어야합니다. 시스템은첫번째로만든보존정책을기본값으로설정합니다. 정책이하나만존재하는경우변경할수있지만삭제할수는없습니다. ELS 는첫번째보존정책을만들때 6 개월이전의데이터는허용할수없습니다. a [ELS] 를선택하고을클릭한다음 [ 보존정책 ] 을클릭합니다. b [ 추가 ] 를클릭합니다. c 보존정책의이름및기간을지정하고 [ 확인 ] 을클릭합니다. 시스템은기간을일단위로저장합니다. 기간을년 (365 일 ), 분기 (90 일 ) 또는월 (30 일 ) 단위로설정할수있습니다. 5 데이터소스를보존정책과연결합니다. 데이터소스를 ELS 또는 ELM 과연결할수있지만둘모두와연결할수는없습니다. a 데이터소스장치 ( 예 : 수신기 ) 를선택하고을클릭합니다. b [ 데이터소스 ] 를클릭합니다. c [ 로깅 ] 열에서관련확인란을선택하여 [ 로그데이터옵션 ] 화면을표시합니다. d 이데이터소스와연결하려는보존정책을선택하고 [ 확인 ] 을클릭합니다. 참고항목 : 76 페이지의 McAfee Enterprise Log Search(ELS) 78 페이지의 ELS 데이터검색 McAfee Enterprise Security Manager 10.3.x 제품안내서 77
3 McAfee ESM 구성 McAfee ESM 장치구성 ELS 데이터검색 McAfee ESM 대시보드에서특정기간의압축되지않은로그데이터를신속하게검색합니다. 대시보드에서을클릭하고 [ELS 검색 ] 을선택합니다. [ 필터 ] 막대에서찾으려는정보를입력합니다. 검색을시작하려면을클릭합니다. but, be, with, such, then, for, no, with, not, are, and, their, if, this, on, into, a, or, there, in, that, they, was, is, it, an, the, as, at, these, by, to, of 와같은단어는무시됩니다. [ 검색설정 ] 을클릭하여고급검색을만듭니다. [ 검색기록 ] 을클릭하여이전검색을보고다시실행합니다. 참고항목 : 76 페이지의 McAfee Enterprise Log Search(ELS) 76 페이지의 ELS 구성 McAfee Enterprise Log Manager(ELM) McAfee Enterprise Log Manager(ELM) 은로그데이터의저장, 관리, 액세스및보고를지원합니다. ELM 에서받은데이터가각각저장장치로구성된저장소풀에구성됩니다. 보존시간은각저장소풀과관련되어있으며지정된기간동안데이터가풀에보존됩니다. 정부, 업계및회사규정에서로그를서로다른기간동안저장할것을요청합니다. ELM 에서검색및무결성체크을설정할수있습니다. 각은저장된로그에액세스하고에서정의하는데이터를검색하거나확인합니다. 그러면결과를보고정보를내보낼수있습니다. ELM 을구성하려면다음을알아야합니다. ELM 에서로그를저장하는소스 필요한저장소풀및해당데이터보존시간 데이터를저장하기위해필요한저장장치 일반적으로필요한저장소풀및 ELM 에로그를저장하는소스는알고있습니다. 데이터를저장하는데필요한저장장치는모릅니다. 이불확실성을해결하는가장좋은방법은다음과같습니다. 1 저장소요구사항을보수적인추정치로설정합니다. ELM 저장소풀은오버헤드를미러링하기위해 10% 의할당된공간이필요합니다. 필요한공간을계산할때 10% 를고려합니다. 2 예상한요구사항을충족하도록 ELM 저장장치를구성합니다. 3 단기간에 ELM에서로그를검토합니다. 4 ELM 저장소통계정보를사용하여실제데이터저장소요구사항을수용하도록저장장치구성을변경합니다. 참고항목 : 79페이지의 ELM에데이터저장준비 80페이지의 ELM 저장소설정 88페이지의 ELM 중복 90페이지의 ELM 압축관리 91페이지의 ELM 설정백업 93페이지의 ELM 데이터검색 78 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 ELM 에데이터저장준비 데이터를저장하도록 ELM 을구성하려면여러단계를수행해야합니다. 단계 액션 1 데이터보존시간정의 설명 ELM 설치요구사항에따라다양한데이터보존시간수를정의합니다. 일반데이터보존시간은다음과같습니다. SOX 7 년 PCI 1 년 GLBA 6 년 EU DR Directive 2 년 Basel II 7 년 HIPAA 6 년또는 7 년 NERC 3 년 FISMA 3 년 2 로그데이터의소스정의 3 저장소풀정의 4 저장소풀크기요구사항예상 5 초기저장장치만들기 6 저장소풀만들기 이단계의목표는 ELM 에저장되는로그의모든소스를정의하고각각에대해일별생성되는평균로그바이트크기및로그를예측하는것입니다. 이는단지예상이어야합니다. 소스유형에대해일별로생성되는평균로그바이트크기및로그를예측하고각유형에대한소스수를예측하는것이더쉬울수있습니다. 다음단계에서는각소스를 1 단계에서정의한보존기간과연관시켜야합니다. 소스유형을예측할때이점을고려해야합니다 ( 예 : SOX Firewall, PCI DEM). ELM 설치요구사항에따라로그의각소스또는소스를데이터보존시간과연결하여 ELM 설치에필요한저장소풀세트를정의합니다. 각저장소풀에대해다음방정식중하나를사용하여저장소요구사항을예측합니다. 개별소스사용 : IRSGB = 0.1*(DRTD*SUM(DSAB*DSALPD))/(1024*1024*1024) 설명 IRSGB= GB 단위의필요한초기저장소 DRTD = 일단위의데이터보존시간 SUM() = 모든데이터소스에대한합계 DSAB = 로그당데이터소스평균바이트 DSALPD = 일당데이터소스평균로그 소스유형사용 : IRSGB = 0.1*(DRTD*SUM(NDS*DSTAB*DSTALPD))/(1024*1024*1024) 설명 IRSGB= GB 단위의필요한초기저장소 DRTD = 일단위의데이터보존시간 NDS = 데이터소스유형의데이터소스수 SUM() = 모든데이터소스유형에대한합계 DSTAB = 로그당데이터소스유형평균바이트 DSTALPD = 일당데이터소스유형평균로그 각 IRSGB 크기의데이터를저장할만큼충분히크도록 ELM 저장장치를하나이상만듭니다 (" 저장장치추가 " 참조 ). 3 단계에서저장한각저장소풀에대해다음을사용하여 ELM 저장소풀을만듭니다. 1 단계의연관된보존시간 4 단계의연관된 IRSGB 값 5 단계의연관된저장장치 (" 저장소풀추가 " 참조 ) McAfee Enterprise Security Manager 10.3.x 제품안내서 79
3 McAfee ESM 구성 McAfee ESM 장치구성 단계 액션 7 데이터로깅시작 8 저장소풀크기요구사항예상세분화 9 저장장치변경또는만들기 10 저장소풀변경 설명 ELM 으로로그를보내도록소스를구성하고 1 일이나 2 일동안로그를보내도록합니다. 6 단계에서만든각저장소풀에대해다음방정식을사용하여저장소요구사항예상을세분화합니다. RSGB = 1.1*DRTD*SPABRPD/(1024*1024*1024) 설명 : RSGB = 필요한저장소 ( 기가바이트 ) DRTD = 일단위의데이터보존시간 SPABRPD = 해당통계보고서의저장소풀일일 평균바이트비율 " 값 8 단계의각 RSGB 값에대해 RSGB 크기의데이터를저장할만큼충분히크도록 ELM 저장장치를변경하거나만듭니다. 필요한경우 9 단계에서만든저장장치를추가하여 6 단계에서만든각저장소풀을변경하거나기존저장장치할당을늘립니다. 참고항목 : 78 페이지의 McAfee Enterprise Log Manager(ELM) 80 페이지의 ELM 저장소설정 88 페이지의 ELM 중복 90 페이지의 ELM 압축관리 91 페이지의 ELM 설정백업 93 페이지의 ELM 데이터검색 ELM 저장소설정 로그를저장하려면 ELM(Enterprise Log Manager) 에서최소한하나의저장장치에액세스해야합니다. ELM 설치의저장소요구사항은데이터소스수, 로깅특징및데이터보존시간요구사항의기능입니다. 모든요구사항이 ELM 설치기간중에변경될수있으므로저장소요구사항은시간에따라달라집니다. ELM 저장소용어 ELM 저장소를사용하려면다음용어를검토하십시오. 저장장치 ELM 에액세스할수있는데이터저장장치입니다. 일부 ELM 모델은온보드저장장치를제공하고, 일부는 SAN 연결기능을제공하며, 일부는둘다를제공합니다. 모든 ELM 모델은 NAS 연결기능을제공합니다. 저장소할당 특정저장장치에있는데이터저장소의특정양입니다 ( 예 : NAS 저장장치의 1TB). 데이터보존시간 로그가저장되는시간입니다. 저장소풀 하나이상의저장소할당이며, 로그가저장될최대일수를지정하는데이터보존시간과함께총저장소의양을지정합니다. 로그소스 ELM 에서저장하는로그의소스입니다. ELM 저장장치유형 ELM 에저장장치를추가할때장치의유형을선택해야합니다. 장치를추가하거나편집할때기억해야할몇가지사항이있습니다. 80 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 장치유형 NFS 세부정보 ELM 관리데이터베이스가있는저장장치의원격마운트지점을편집하려면 [DB 마이그레이션 ] 옵션을사용하여데이터베이스를다른저장장치로이동합니다. 그런다음원격마운트지점필드를안전하게변경하고데이터베이스를업데이트된저장장치로다시이동할수있습니다. CIFS Samba Server 3.2 이후버전에서 CIFS 공유유형을사용하면데이터가유출될수있습니다. CIFS 공유에연결할때는암호에쉼표를사용하지마십시오. iscsi iscsi 공유에연결할때는암호에쉼표를사용하지마십시오. 여러장치를하나의 IQN에연결하려고하면데이터가유실되고다른구성문제가발생할수있습니다. SAN 가상로컬 SAN 옵션은 SAN 카드가 ELM 에설치되어있고 SAN 볼륨을사용할수있는경우에만사용할수있습니다. 이옵션은가상로컬장치가가상 ELM 에추가되었을때만사용가능합니다. 장치를저장소로사용하려면먼저포맷해야합니다. 참고항목 : 78 페이지의 McAfee Enterprise Log Manager(ELM) 79 페이지의 ELM 에데이터저장준비 88 페이지의 ELM 중복 90 페이지의 ELM 압축관리 91 페이지의 ELM 설정백업 93 페이지의 ELM 데이터검색 82 페이지의저장소풀에저장장치링크 83 페이지의저장소풀관리 83 페이지의저장소풀이동 84 페이지의저장소할당크기줄이기 HomeGroup 파일공유비활성화 Windows 7 은 HomeGroup 파일공유를사용해야하며이는다른 Windows 7 컴퓨터에서는작동하지만 Samba 에서는작동하지않습니다. Windows 7 컴퓨터를 CIFS 공유로사용하려면 HomeGroup 파일공유를비활성화해야합니다. 1 Windows 7 [ 제어판 ] 을연다음 [ 네트워크및공유센터 ] 를선택합니다. 2 [ 고급공유설정변경 ] 을클릭합니다. 3 [ 홈또는 ] 프로파일을클릭하고현재프로파일로레이블이지정되었는지확인합니다. 4 네트워크탐색, 파일및프린터공유및공용폴더를설정합니다. 5 CIFS 를사용하여공유하려는폴더로이동한다음 ( 공용폴더먼저설정 ) 마우스오른쪽버튼으로클릭합니다. 6 [ 속성 ] 을선택한다음 [ 공유 ] 탭을클릭합니다. 7 [ 고급공유 ] 를클릭한다음 [ 이폴더공유 ] 를선택합니다. 8 ( 선택사항 ) 공유이름을변경하고 [ 권한 ] 을클릭합니다. 원하는대로권한을설정했는지확인합니다 ( 변경에서확인표시 = 쓰기가능 ). 암호로보호된공유를사용하는경우권한에 Ubuntu 사용자가포함되도록설정을업데이트합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 81
3 McAfee ESM 구성 McAfee ESM 장치구성 저장소풀에저장장치링크저장장치를추가하면저장소풀에링크할수있습니다. 시작하기전에저장장치를설정합니다. 저장장치를편집할때크기를늘릴수있지만줄일수는없습니다. 데이터를저장하는경우장치를삭제할수없습니다. 1 시스템탐색트리에서 [ELM 속성 ] 을선택한다음 [ 저장소풀 ] 을클릭합니다. 2 [ 추가 ] 를클릭합니다. 3 [ 저장장치추가 ] 에서요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 옵션 정의 [ 장치유형 ] 저장장치의유형을선택합니다. ELM 데이터베이스를마이그레이션하려면최소 506GB 의사용가능한디스크공간이필요합니다. [ 이름 ] 저장장치의이름을입력합니다. [ 최대크기 ] 이장치에할당하려는최대저장소공간크기를선택합니다. 원격저장장치를 ELM 에추가할때 [ 최대크기 ] 의기본값은 4GB 로지정됩니다. 원격저장소관리를위해 1% 저장소공간이예약됩니다. 가상로컬저장장치를추가할때 [ 최대크기 ] 의기본값은장치의전체저장소용량으로지정됩니다. 가상저장소관리를위해 6GB 의저장공간이예약됩니다. 이필드를조정할수없습니다. [IP 주소 ], [ 원격마운트지점 ], [ 원격경로 ] [IP 주소 ], [ 원격공유이름 ], [ 경로 ], [ 사용자이름 ], [ 암호 ] NFS 장치에대해이정보를입력합니다. CIFS 장치에대해이정보를입력합니다. [iscsi 장치 ] 추가한장치를선택합니다. [iscsi IQN] IQN 을선택합니다. [SAN] 추가한 SAN 볼륨을선택합니다. [ 가상로컬볼륨 ] 가상로컬저장장치를선택합니다. 이옵션은장치유형이 [ 가상로컬 ] 일때만사용가능합니다. 4 데이터보존을위해저장소풀에서사용되는저장장치의연결매개변수를정의합니다. 옵션 정의 [ 데이터저장장치 ] 추가할장치를선택합니다. 한번에두개이상의풀에장치를할당할수있습니다. [ 저장소공간 ] 데이터를저장하기위해이장치에최대공간크기를선택합니다. 시스템은저장소공간의 10% 를오버헤드에사용합니다. 예를들어저장소공간필드에서 4GB 를선택하는경우데이터를저장하는데 3.6GB 를사용할수있습니다. [ 미러링된데이터저장장치 ] 이저장장치의데이터를다른장치와미러링하려면두번째저장장치를선택합니다. 82 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 참고항목 : 80 페이지의 ELM 저장소설정 83 페이지의저장소풀관리 83 페이지의저장소풀이동 84 페이지의저장소할당크기줄이기 저장소풀관리 저장소풀에는하나이상의저장소할당및데이터보존시간이포함됩니다. ELM(Enterprise Log Manager) 로그가저장되는위치및보존해야하는기간을정의하려면 ELM 에추가합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ELM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 저장소풀 ] 을클릭합니다. 4 맨아래표에서 [ 추가 ] 를클릭하거나저장소풀을선택한다음 [ 편집 ] 을클릭하고저장소풀을구성합니다. 5 [ 확인 ] 을클릭합니다. 네트워크프로토콜 (CIFS, NFS 및 iscsi) 을사용하는미러링된할당이안정적으로작동하려면동일한스위치에있음, 대기시간이낮음등특정구성이필요합니다. 권장되는네트워크사양은다음과같습니다. 총지연 ( 서버와네트워크 ) - 10ms 총처리량 ( 서버와네트워크 ) - 20Mb/ 초 미러링은공유를 100% 사용가능하다고가정합니다. 저장소풀장치할당은할당별로 1 테라바이트로제한됩니다. 1 테라바이트가넘는풀을만들려면여러 1 테라바이트장치를추가해야합니다. 저장소풀및저장소풀에할당된장치가데이터를저장하지않으면저장소풀을삭제합니다. 참고항목 : 80페이지의 ELM 저장소설정 82페이지의저장소풀에저장장치링크 83페이지의저장소풀이동 84페이지의저장소할당크기줄이기저장소풀이동한장치에서다른장치로저장소풀을이동할수있습니다. 시작하기전에저장소풀을이동하려는저장장치를풀을현재보유하는장치의미러로설정합니다. 1 시스템탐색트리에서저장소풀을보유하는 ELM 장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 저장소풀 ] 을클릭합니다. 3 이동할풀아래에나열된미러링된장치를클릭합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 83
3 McAfee ESM 구성 McAfee ESM 장치구성 4 [ 편집 ] 을클릭하고 [ 데이터저장장치 ] 드롭다운목록에서이동할저장소풀을미러링하는장치를선택합니다. 현재기본데이터저장장치입니다. 5 새데이터저장장치를미러링하려면 [ 미러링된데이터저장장치 ] 드롭다운목록에서장치를선택한다음 [ 확인 ] 을클릭합니다. 참고항목 : 80 페이지의 ELM 저장소설정 82 페이지의저장소풀에저장장치링크 83 페이지의저장소풀관리 84 페이지의저장소할당크기줄이기 저장소할당크기줄이기 저장소풀에할당된공간으로인해저장장치가꽉찬경우각할당에정의된공간크기를줄여서더많은저장소풀에대해이장치의공간을할당할수있습니다. 할당크기감소가데이터에영향을주는경우공간이사용가능하면시스템이데이터를풀의다른할당으로옮깁니다. 공간을사용할수없는경우시스템은가장오래된데이터를삭제합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ELM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 저장소풀 ] 을클릭합니다. 4 맨아래테이블에서, 줄이려는풀을선택한다음 [ 크기줄이기 ] 를클릭합니다. 5 저장소를줄이려는크기를입력한다음 [ 확인 ] 을클릭합니다. 참고항목 : 80 페이지의 ELM 저장소설정 82 페이지의저장소풀에저장장치링크 83 페이지의저장소풀관리 83 페이지의저장소풀이동 ELM 데이터저장소미러링 두번째 ELM 저장장치를설정하여기본장치에서수집한데이터를미러링합니다. 기본장치가중단되면백업장치에서데이터가들어올때계속저장합니다. 기본장치가다시온라인상태가되면자동으로백업장치와동기화된다음데이터가도착하는대로다시저장하기시작합니다. 기본장치가영구적으로중단되는경우백업장치가 McAfee ESM 의기본장치가되도록재할당한다음미러링을위한다른장치를지정할수있습니다. 장치중하나가중단되면상태플래그가시스템탐색트리의 ELM 장치옆에표시됩니다. 미러링된저장소풀과저장장치의연결이끊어질수있습니다. 다음과같은원인으로연결이끊어질수있습니다. 파일서버또는 ELM 과파일서버간의네트워크가실패했습니다. 파일서버또는네트워크가유지관리를위해종료되었습니다. 할당파일이우연히삭제되었습니다. 미러링에문제가있는경우저장장치에서 [ 저장소풀 ] 테이블에경고아이콘용하여복구합니다. 을표시합니다. [ 다시빌드 ] 기능을사 84 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 참고항목 : 85페이지의미러링된 ELM 데이터저장소추가 85페이지의미러링된저장소풀다시빌드 85페이지의미러링장치비활성화미러링된 ELM 데이터저장소추가저장장치를사용하여 ELM(Enterprise Log Manager) 저장장치에저장된데이터를미러링할수있습니다. 시작하기전에서로미러링하기위해사용하려는두개의장치를 McAfee ESM에추가합니다. 1 시스템탐색트리에서 [ELM 속성 ] 을선택한다음 [ 저장소풀 ] 을클릭합니다. 2 [ 추가 ] 를클릭합니다. 3 요청한정보를입력한다음 [ 추가 ] 를클릭하여저장장치및미러링장치를선택합니다. 한번에두개이상의풀에장치를할당할수있습니다. 4 [ 확인 ] 을두번클릭합니다. 참고항목 : 84페이지의 ELM 데이터저장소미러링 85페이지의미러링된저장소풀다시빌드 85페이지의미러링장치비활성화미러링된저장소풀다시빌드미러링된저장소풀이해당저장장치와의연결이끊어진경우 [ 다시빌드 ] 기능을사용하여복구합니다. 1 시스템탐색트리에서 [ELM 속성 ] 을선택한다음 [ 저장소풀 ] 을클릭합니다. 2 경고아이콘이있는미러링된장치위에마우스를놓습니다. 도구설명에서 ELM 할당이다시구성중이라거나미러링된장치를다시빌드해야한다고알려줍니다. 3 장치를클릭한다음 [ 다시빌드 ] 를클릭합니다. 참고항목 : 84페이지의 ELM 데이터저장소미러링 85페이지의미러링된 ELM 데이터저장소추가 85페이지의미러링장치비활성화미러링장치비활성화장치를저장소풀미러링장치로사용하는것을중지하려면다른장치를선택하여바꾸거나 [ 없음 ] 을선택합니다. 1 시스템탐색트리에서시스템탐색트리에현재미러링저장소풀이있는 ELM(Enterprise Log Manager) 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 저장소풀 ] 을클릭한다음 [ 저장소풀 ] 테이블에서미러링된장치를선택한다음 [ 편집 ] 을클릭합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 85
3 McAfee ESM 구성 McAfee ESM 장치구성 3 다음중하나를수행합니다. [ 미러링된데이터저장장치 ] 에서선택한장치가비활성화하려는장치인경우해당필드의드롭다운화살표를클릭하고데이터저장장치를미러링할다른장치를선택하거나 [ 없음 ] 을선택합니다. [ 데이터저장장치 ] 에서선택한장치가비활성화하려는장치인경우해당필드의드롭다운화살표를클릭하고데이터저장장치역할을할다른장치를선택합니다. 4 [ 확인 ] 을클릭합니다. 장치가더이상미러링장치가아니지만 [ 저장장치 ] 테이블에계속표시됩니다. 참고항목 : 84 페이지의 ELM 데이터저장소미러링 85 페이지의미러링된 ELM 데이터저장소추가 85 페이지의미러링된저장소풀다시빌드 외부데이터저장소설정 ELM 데이터를저장하기위해외부저장소 (iscsi, SAN, DAS 및가상로컬 ) 를설정할수있습니다. 외부저장소유형을 ELM(Enterprise Log Manager) 에연결하면 ELM 의데이터를저장하도록해당유형을설정할수있습니다. 1 시스템탐색트리에서 [ELM 속성 ] 을선택한다음 [ 데이터저장소 ] 를클릭합니다. 시스템이적절한탭에사용가능한모든저장소장치를반환합니다. 2 [iscsi], [SAN], [DAS] 또는 [ 가상로컬 ] 탭을클릭한다음필요한단계를수행합니다. 3 [ 적용 ] 또는 [ 확인 ] 을클릭합니다. 참고항목 : 86 페이지의 iscsi 장치추가 87 페이지의 SAN 저장장치포맷 87 페이지의 DAS 를할당하여일체형 ESM 의데이터를저장합니다. 88 페이지의데이터를저장할가상로컬드라이브설정 iscsi 장치추가 ELM(Enterprise Log Manager) 저장소에대해 iscsi 장치를추가하고장치에대한연결을구성해야합니다. 1 시스템탐색트리에서 [ELM 속성 ] 을선택한다음 [ 데이터저장소 ] 를클릭합니다. 2 [iscsi] 탭에서 [ 추가 ] 를클릭합니다. 3 요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 연결이성공하면장치및해당 IQN 이 [ 저장장치추가 ] 의 [ 장치유형 ] 목록및 [iscsi 구성 ] 목록에추가됩니다. IQN 이 ELM 로그를저장하기시작하면 iscsi 대상을삭제할수없습니다. 이제한으로인해 ELM 저장소에대해충분한공간을사용하여 iscsi 대상을설정합니다. 4 ELM 저장소에대해 IQN 을사용하기전에목록에서선택한다음 [ 형식 ] 을클릭합니다. 5 형식을지정할때상태를확인하려면 [ 상태확인 ] 을클릭합니다. 6 IQN 을탐색하거나다시탐색하려면 iscsi 장치를클릭한다음 [ 탐색 ] 을클릭합니다. 두개이상의장치를 IQN 에할당하려고시도하면데이터가유실될수있습니다. 86 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 참고항목 : 86페이지의외부데이터저장소설정 87페이지의 SAN 저장장치포맷 87페이지의 DAS를할당하여일체형 ESM의데이터를저장합니다. 88페이지의데이터를저장할가상로컬드라이브설정 SAN 저장장치포맷시스템에 SAN 카드가있는경우이를사용하여 ELM 데이터를저장할수있습니다. 시작하기전에시스템에 SAN 카드가있는지확인합니다. 1 시스템탐색트리에서 [ELM 속성 ] 을선택한다음 [ 데이터저장소 ] 를클릭합니다. 2 [SAN] 탭을클릭한다음탐지된 SAN 볼륨상태를확인합니다. [ 포맷필요 ] 볼륨이포맷되어야하고 [ 저장장치추가 ] 페이지의사용가능한볼륨목록에표시되지않습니다. [ 포맷중 ] 볼륨이포맷중이며사용가능한볼륨목록에표시되지않습니다. [ 준비 ] 볼륨이포맷되어인식가능한파일시스템이있습니다. 이러한볼륨은 ELM 데이터를저장하기위해사용할수있습니다. 3 볼륨이포맷되어있지않고이볼륨에데이터를저장하려는경우클릭한다음 [ 포맷 ] 을클릭합니다. 볼륨을포맷하면저장된모든데이터가삭제됩니다. 4 포맷이완료되었는지확인하려면 [ 새로고침 ] 을클릭합니다. 포맷이완료되면시스템이상태를 [ 준비 ] 로바꿉니다. 5 페이지하단에있는볼륨의상세정보를보려면볼륨을클릭합니다. 참고항목 : 86페이지의외부데이터저장소설정 86페이지의 iscsi 장치추가 87페이지의 DAS를할당하여일체형 ESM의데이터를저장합니다. 88페이지의데이터를저장할가상로컬드라이브설정 DAS를할당하여일체형 ESM의데이터를저장합니다. 시작하기전에 DAS 장치를설정합니다. 1 시스템탐색트리에서 McAfee ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 데이터베이스 ] 를클릭한다음 [ 데이터저장소 ] 를클릭합니다. 3 테이블에서할당되지않은장치중하나를클릭하여 McAfee ESM 데이터를저장합니다. 4 [ 할당 ] 을클릭한다음 [ 예 ] 를클릭합니다. 장치를할당하면변경할수없습니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 87
3 McAfee ESM 구성 McAfee ESM 장치구성 참고항목 : 86 페이지의외부데이터저장소설정 86 페이지의 iscsi 장치추가 87 페이지의 SAN 저장장치포맷 88 페이지의데이터를저장할가상로컬드라이브설정 데이터를저장할가상로컬드라이브설정 가상 ELM(Enterprise Log Manager) 에서가상저장장치를탐지하고포맷합니다. 그러면데이터베이스마이그레이션및저장소풀로사용할수있습니다. 시작하기전에가상환경에서가상로컬저장장치를가상 ELM 에추가합니다. 저장소를추가하려면가상시스템환경에대한설명서를참조하십시오. 지원되는가상환경 VMware KVM Amazon Web Service 지원되는드라이브형식 SCSI SATA IDE 는지원되지않습니다. 1 시스템탐색트리에서가상 ELM 을선택하고 [ 속성 ] 아이콘을클릭한다음 [ 데이터저장소 ] 를클릭합니다. 루트및부팅파티션은실행가능한저장소옵션으로사용할수없습니다. 2 [ 가상로컬 ] 탭을클릭한다음사용가능한가상장치목록에서장치를선택합니다. [ 가상로컬 ] 탭은시스템이가상저장소를탐지하는경우에만사용가능합니다. 3 [ 상태 ] 열에 [ 포맷필요 ] 로표시되면 [ 포맷 ] 을클릭하여 ext4 파일형식으로장치를포맷합니다. 상태가 [ 준비 ] 로변경됩니다. 참고항목 : 86 페이지의외부데이터저장소설정 86 페이지의 iscsi 장치추가 87 페이지의 SAN 저장장치포맷 87 페이지의 DAS 를할당하여일체형 ESM 의데이터를저장합니다. ELM 중복 대기 ELM 을시스템의현재독립실행형 ELM 에추가하여로깅에대한중복을제공할수있습니다. 중복을사용하려면 IP 주소및다른네트워크정보를두 ELM 에서정의합니다. 대기 ELM 에활성 ELM 의저장소에맞는, 충분히결합된공간이있는저장장치가있어야합니다. 설정되면두 ELM 의구성이동기화되고대기 ELM 이두장치간의데이터동기화를유지관리합니다. ELM 중복시전환, 서비스로돌아가기, 일시중단, 제거, 상태보기등몇가지액션을수행해야합니다. 모든액션은 [ELM 속성 ] [ELM 중복 ] 에서사용가능합니다. 88 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 전환 기본 ELM 이정지되거나교체할필요가있는경우 [ELM 전환 ] 을선택합니다. 대기 ELM 이활성화되고시스템이모든로깅장치를대기 ELM 에연결합니다. 로깅및구성액션은전환프로세스동안잠깁니다. 서비스로돌아가기 대기 ELM 이정지된경우백업상태가될때대기 ELM 을서비스로되돌려야합니다. 구성파일에대한변경사항이없음을탐지하면이전과같이중복이계속됩니다. 파일에서차이점을탐지하면문제가없는저장소풀에대해중복이계속되지만, 오류상태가반환되고하나이상의풀이이전구성임을사용자에게알립니다. 이러한풀은수동으로수정해야합니다. 대기 ELM 을교체하거나재구성하면시스템이이를탐지하고대기 ELM 의키를다시지정하라는메시지를표시합니다. 그런다음활성 ELM 이모든구성파일을대기 ELM 과동기화하고이전과같이중복을계속합니다. 일시중단 어떤이유로든중지되었거나중지되려는경우대기 ELM 과의통신을일시중단할수있습니다. 모든통신이중지되고중복에대한오류통지가마스크됩니다. 대기 ELM 이백업상태가될때서비스로돌아가기프로세스를진행합니다. ELM 에서중복비활성화 [ 제거 ] 를선택하여 ELM 중복을비활성화할수있습니다. 활성 ELM 에서중복구성파일의사본을저장합니다. ELM 중복을활성화할때이백업파일이발견되면저장된구성파일을복구할것인지묻는메시지가표시됩니다. 상태보기 [ 상태 ] 를선택하여활성및대기 ELM 간에데이터동기화상태에대한상세정보를볼수있습니다. 참고항목 : 78 페이지의 McAfee Enterprise Log Manager(ELM) 80 페이지의 ELM 저장소설정 79 페이지의 ELM 에데이터저장준비 90 페이지의 ELM 압축관리 91 페이지의 ELM 설정백업 93 페이지의 ELM 데이터검색 89 페이지의 ELM 중복설정 ELM 중복설정 시스템에독립실행형 ELM 이있는경우대기 ELM 을추가하여로깅에대한중복을제공할수있습니다. 시작하기전에 독립실행형 ELM 을설치하고 McAfee ESM 에추가합니다. 또한대기 ELM 도설치해야하지만콘솔에추가해서는안됩니다. 대기 ELM 에는데이터가없어야합니다. 공장기본값재설정을수행하려면지원팀에문의하십시오. 1 시스템탐색트리에서 ELM 을클릭한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ELM 속성 ] 페이지에서 [ELM 중복 ] 을클릭한다음 [ 활성화 ] 를클릭합니다. 3 대기 ELM에대한 IP 주소및암호를입력한다음 [ 확인 ] 을클릭합니다. 4 [ELM 속성 ] 페이지에서 [ 저장소풀 ] 을클릭하고 [ 활성 ] 탭이선택되어있는지확인합니다. 5 저장소장치를활성 ELM에추가합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 89
3 McAfee ESM 구성 McAfee ESM 장치구성 6 [ 대기 ] 탭을클릭한다음활성 ELM 의저장소에맞는, 충분히결합된공간이있는저장장치를추가합니다. 7 하나이상의저장소풀을각 ELM 에추가합니다. 이제두 ELM 의구성이동기화되고대기 ELM 이두장치간의데이터동기화를유지관리합니다. 옵션 정의 ELM 중복이활성화되지않은경우에만사용가능합니다. [ 활성화 ] 대기 ELM 데이터를추가하여 ELM 중복을활성화하려면클릭합니다. ELM 중복이활성화된경우에만사용가능합니다. [ 제거 ] ELM 에서중복을비활성화하려면클릭합니다. [ELM 전환 ] 대기 ELM 이기본 ELM 이되도록 ELM 을전환하려면클릭합니다. 시스템은모든로깅장치를여기에연결합니다. 로깅및구성액션은전환프로세스동안잠깁니다. [ 일시중단 ] 대기 ELM 에문제가발생하는경우대기 ELM 과의통신을일시중단하려면클릭합니다. 모든통신이중지되고중복에대한오류통지가마스크됩니다. 대기 ELM 이다시실행되면 [ 서비스로돌아가기 ] 를클릭합니다. [ 상태 ] 활성및대기 ELM 간에데이터동기화상태에대한상세정보를보려면클릭합니다. [ 서비스로돌아가기 ] 복구되거나대체된대기 ELM 을서비스로되돌리려면클릭합니다. 시스템이 ELM 을다시실행하고구성파일에대한변경사항이없음을탐지하면이전과같이중복이계속됩니다. 시스템이차이점을탐지하면저장소풀에대한중복프로세스가문제없이계속되고하나이상의풀이이전구성임을사용자에게알립니다. 이러한풀은수동으로수정합니다. 대기 ELM 을교체하거나재구성하면시스템이이를탐지하고키를다시지정하라는메시지를표시합니다. 그런다음활성 ELM 이모든구성파일을대기 ELM 과동기화하고이전과같이중복프로세스를계속합니다. 참고항목 : 88 페이지의 ELM 중복 ELM 압축관리 디스크공간을절약하거나초당더많은로그를처리하려면 ELM(Enterprise Log Manager) 으로들어오는데이터를압축합니다. 세가지옵션은 [ 저위험 ]( 기본값 ), [ 중간 ] 및 [ 고위험 ] 입니다. 다음테이블은각수준에대한상세정보를보여줍니다. 수준압축률최대압축비율초당처리되는최대로그비율 [ 저위험 ] 14:1 72% 100% [ 중간 ] 17:1 87% 75% [ 고위험 ] 20:1 100% 50% 실제압축률은로그콘텐츠에따라다릅니다. 디스크공간을절약하려면높은압축률을선택합니다. 초당더많은로그를처리하려면낮은압축률을선택합니다. 참고항목 : 78페이지의 McAfee Enterprise Log Manager(ELM) 80페이지의 ELM 저장소설정 88페이지의 ELM 중복 79페이지의 ELM에데이터저장준비 91페이지의 ELM 설정백업 93페이지의 ELM 데이터검색 91페이지의 ELM 압축설정 90 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 ELM 압축설정 ELM 으로들어오는데이터의압축수준을선택하여디스크공간을절약하거나더많은로그를처리합니다. 1 시스템탐색트리에서 [ELM 속성 ] 을선택한다음 [ELM 구성 ] [ 압축 ] 을클릭합니다. 2 ELM 압축수준을선택한다음 [ 확인 ] 을클릭합니다. 참고항목 : 90 페이지의 ELM 압축관리 ELM 백업및복원 목차 ELM 설정백업 ELM 데이터복원 ELM 설정백업 시스템오류또는데이터유출이발생하는경우복원할수있도록 ELM(Enterprise Log Manager) 의현재설정을백업합니다. ELM 로깅데이터베이스를비롯한모든구성설정이저장됩니다. ELM 에저장된실제로그는백업되지않습니다. 시작하기전에 ELM 에서로그데이터를저장하는장치를미러링하고 ELM 관리데이터베이스를미러링합니다. 미러링기능은실시간로그데이터백업을제공합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ELM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ELM 정보 ] 를선택한다음 [ 백업및복원 ] 을클릭합니다. 4 백업빈도및위치를지정합니다. 그런다음연결을테스트합니다. 참고항목 : 78페이지의 McAfee Enterprise Log Manager(ELM) 80페이지의 ELM 저장소설정 88페이지의 ELM 중복 90페이지의 ELM 압축관리 79페이지의 ELM에데이터저장준비 93페이지의 ELM 데이터검색 91페이지의 ELM 데이터복원 ELM 데이터복원 ELM(Enterprise Log Manager) 을바꾸려면관리데이터베이스및로그데이터를새 ELM에복원합니다. 시작하기전에 ELM 데이터베이스및로그데이터가미러링되어야합니다. 이전 ELM 에서새 ELM 으로데이터를복원하려면 [ 장치추가 ] 마법사를사용하여 ELM 을만들지마십시오. McAfee Enterprise Security Manager 10.3.x 제품안내서 91
3 McAfee ESM 구성 McAfee ESM 장치구성 1 시스템탐색트리에서바꿔야하는 ELM 의 [ELM 속성 ] 을선택합니다. 경고페이지에서시스템이 ELM 을찾을수없다는것을알려줍니다. 2 경고페이지를닫은다음 [ 연결 ] 을클릭합니다. 3 새 ELM 의 IP 주소를입력한다음 [ 키관리 ] [ 키장치 ] 를클릭합니다. 4 이장치에연결하려는암호를입력한후 [ 다음 ] 을클릭합니다. 5 [ELM 정보 ] [ 백업및복원 ] [ELM 복원 ] 을클릭합니다. 6 각장치의 [ 속성 ] [ 구성 ] 에서 [ELM 동기화 ] 를클릭하여각장치로깅을 ELM 과다시동기화합니다. ELM 관리데이터베이스및데이터저장소를새로운 ELM 으로복원하는데몇시간이걸릴수있습니다. 참고항목 : 91 페이지의 ELM 설정백업 대체저장소위치정의 ELM( 이아닌위치에 ELM(Enterprise Log Manager) 관리데이터베이스레코드를저장하려면대체저장소위치를정의합니다. 또한저장된레코드를미러링할두번째장치를선택할수있습니다. 1 시스템탐색트리에서 [ELM 속성 ] 을선택한다음 [ELM 구성 ] [DB 마이그레이션 ] 을클릭합니다. 2 관리데이터베이스를저장할위치및데이터저장소장치를미러링할두번째저장소위치를선택합니다. 처음으로기존장치미러링을선택하면해당프로세스시간이늘어날수있습니다. 3 [ 확인 ] 을클릭합니다. ELM 저장소사용률보기장치의공간할당을확인하는데도움이되는 ELM(Enterprise Log Manager) 저장소사용량을봅니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ELM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ELM 관리 ] 를클릭합니다. 4 [ 통계보기 ] 를클릭하고 [ELM 사용 ] 탭을선택합니다. ELM 데이터베이스마이그레이션 ELM(Enterprise Log Manager) 관리데이터베이스는 ELM 으로보낸로그를추적하는레코드를저장합니다. 관리데이터베이스를저장하기위해 ELM 장치에서사용가능한디스크공간양은모델에따라다릅니다. 처음장치를추가하는경우시스템에서레코드를저장하기위한디스크공간이충분한지확인합니다. 시스템에서관리데이터베이스저장소를위한대체위치를정의하라는메시지가표시될수있습니다. 장치에충분한디스크공간이있지만대체위치에데이터베이스를저장하려는경우 [ELM 속성 ] 페이지의 [DB 마이그레이션 ] 을사용하여해당위치를설정할수있습니다. 92 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 [DB 마이그레이션 ] 은언제든지사용할수있습니다. 하지만관리데이터베이스를마이그레이션하는경우레코드가포함되어있으면포함된레코드수에따라마이그레이션이완료될때까지 ELM 세션이몇시간동안보류됩니다. ELM 장치를처음설정할때이대체위치를정의하는것이좋습니다. 참고항목 : 93 페이지의 ELM 의미러링된관리데이터베이스바꾸기 ELM 의미러링된관리데이터베이스바꾸기 미러링된관리데이터베이스저장소 ELM 장치에문제가있는경우바꿔야할수있습니다. 1 시스템탐색트리에서문제가발생하는관리데이터베이스저장장치가포함된 ELM 장치를선택한다음 [ 속성 ] 아 이콘을클릭합니다. 2 [ELM 구성 ] 을클릭한다음 [DB 마이그레이션 ] 을선택합니다. 3 [ 데이터저장장치 ] 의 [ 미러링된데이터저장장치 ] 드롭다운목록에나열된장치를선택합니다. 4 [ 미러링된데이터저장장치 ] 에서새장치를선택하거나 [ 없음 ] 을선택하여미러링을중지합니다. 장치가드롭다운목록에없는경우먼저장치를 [ 저장장치 ] 테이블에추가합니다. 참고항목 : 92 페이지의 ELM 데이터베이스마이그레이션 ELM 데이터검색 ELM(Enterprise Log Manager) 에서데이터를검색하려면검색및무결성체크을만들어야합니다. 무결성체크을실행하여정의한파일이원래저장된이후변경되었는지확인합니다. 이를통해중요한시스템또는콘텐츠파일의인증되지않은변경에대해경보를생성할수있습니다. 이체크결과에서변경된파일을보여줍니다. 어떤파일도변경되지않은경우체크가성공적이라고알려줍니다. 한번에최대 50 개의검색및무결성체크을완료할수있습니다. 50 개보다많은이시스템에있는경우검색을수행할수없다는알림이표시됩니다. 시스템에서새로운검색을수행할수있도록시스템에서기존검색을삭제할수있습니다. 시스템관리자와협력하여기존검색또는무결성체크을삭제하여검색을수행합니다. 오랜시간동안복잡한검색을실행하면검색프로세스가작동하지않을수있습니다. 이러한검색을더작은시간범위로나누는것이좋습니다. 검색을시작하면검색이끝나거나설정된제한에도달할때까지계속실행됩니다. 참고항목 : 78 페이지의 McAfee Enterprise Log Manager(ELM) 80 페이지의 ELM 저장소설정 88 페이지의 ELM 중복 90 페이지의 ELM 압축관리 91 페이지의 ELM 설정백업 79 페이지의 ELM 에데이터저장준비 94 페이지의 ELM 검색및무결성체크정의 94 페이지의검색또는무결성체크결과보기 94 페이지의정규식을사용하여 ELM 데이터쿼리 95 페이지의 SFTP 를사용하여 ELM 로그검색 McAfee Enterprise Security Manager 10.3.x 제품안내서 93
3 McAfee ESM 구성 McAfee ESM 장치구성 ELM 검색및무결성체크정의 조건과일치하는파일의 ELM(Enterprise Log Manager) 을검색하려면검색의매개변수를정의합니다. 또한무결성체크를정의하여 ELM(Enterprise Log Manager) 의파일이원래저장된이후변경되었는지파악할수도있습니다. 1 시스템탐색트리에서 ELM 을선택한다음속성아이콘을클릭합니다. 2 [ 데이터 ] 를선택합니다. [ 로그및파일검색 ] 탭에서검색매개변수를구성합니다. [ 무결성체크 ] 탭에서체크매개변수를구성합니다. 3 [ 검색 ] 을클릭합니다. 오랜시간동안복잡한검색을실행하면검색프로세스가작동하지않을수있습니다. 이러한검색을더작은시간범위로나누는것이좋습니다. 참고항목 : 93페이지의 ELM 데이터검색 94페이지의검색또는무결성체크결과보기 94페이지의정규식을사용하여 ELM 데이터쿼리 95페이지의 SFTP를사용하여 ELM 로그검색검색또는무결성체크결과보기검색또는무결성체크이완료되면결과를볼수있습니다. 시작하기전에결과를생성하는검색또는무결성체크을실행합니다. 1 시스템탐색트리에서 ELM 을선택한다음속성아이콘을클릭합니다. 2 [ 데이터 ] 를클릭한다음 [ 로그및파일검색 ] 또는 [ 무결성체크 ] 탭을선택합니다. 3 [ 검색결과 ] 테이블에서보려는을강조표시한다음 [ 보기 ] 를클릭합니다. [ELM 검색결과 ] 페이지에서결과를표시합니다. ESM 에서한번에두개이상의추가 VM 드라이브를제거하는경우모든 ELM 검색이손상될수있습니다. 결과가손상되지않도록하려면 ELM 검색결과를내보냅니다. 참고항목 : 93 페이지의 ELM 데이터검색 94 페이지의 ELM 검색및무결성체크정의 94 페이지의정규식을사용하여 ELM 데이터쿼리 95 페이지의 SFTP 를사용하여 ELM 로그검색 정규식을사용하여 ELM 데이터쿼리 ELM(Enterprise Log Manager) 은블룸인덱스를사용하여쿼리를최적화합니다. 대부분의 PCRE(Perl Compatible Regular Expressions) 는 ELM 검색에사용할수있지만일부 PCRE 만블룸을사용하는데최적화될수있습니다. 블룸정규식최적화프로그램은최적화된검색을제공하기위해사전조정을수행하지만여러가지사항을유의하면쿼리에서더좋은성능을얻을수있습니다. 94 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 블룸필터링의경우정규표현식의필수부분만사용할수있습니다. 블룸필터는모든일치문자열에있는정규표현식의하위문자열만사용합니다. 한가지예외사항은 (seth matt scott steve) 와같이한수준깊이또는그룹화를사용하는것입니다. 정규표현식에서 4 자보다짧은필수부분은사용할수없습니다. 예를들어 seth.*grover 는 seth 및블룸과함께 grover 를사용하지만 tom.*wilson 은 wilson 만사용하는데이는 tom 이너무짧기때문입니다. 비상수하위문자열또는너무짧은하위문자열이포함된또는그룹화는사용할수없습니다. 예를들어 (start \w\d + ending) 은사용할수없는데이는또는목록의중간항목이블룸에서검색될수있는상수가아니기때문입니다. 다른예로, (seth tom steve) 는 tom 이너무짧아사용할수없는반면 (seth matt steve) 는사용할수있습니다. 데이터베이스의최적화프로세스는정규식 - 블룸쿼리를실행합니다. 최적화프로그램은정규식을해체하고필수상수하위문자열을찾습니다. 예를들어다음은원래정규표현식입니다. \ \ (626 629 4725 4722)\ \.*\ \ (bbphk)\ \ 이예제에서블룸이사용하는부분은 bbphk 뿐입니다. 이렇게변경하면 100 만개의파일에서 2 만개의파일로검색집합을줄입니다. 다음방식으로정규표현식을더욱최적화할수있습니다. (\ \ 626\ \ \ \ 629\ \ \ \ 4725\ \ \ \ 4722\ \ ).*\ \ bbphk\ \ 이예제에서 \ \ 는첫번째그룹전후에서그룹의각요소앞뒤로이동되었습니다. 이렇게하면다음두가지가수행됩니다. 파이프문자를포함할수있습니다. 3 자만있어서무시되었던첫번째그룹의요소가 4 자보다길어져사용될수있습니다. 또한 bbphk 주위의괄호는새하위그룹인블룸필터에필요하지않고나타나지않으므로제거되었습니다. 정규표현식에서이러한유형을수동으로조정하면검색을단지약 2 천개파일로효과적으로더줄일수있습니다. 오랜시간동안복잡한검색을실행하면검색프로세스가작동하지않을수있습니다. 장기간검색을더작은시간범위로나누는것을고려합니다. 참고항목 : 93 페이지의 ELM 데이터검색 94 페이지의 ELM 검색및무결성체크정의 94 페이지의검색또는무결성체크결과보기 95 페이지의 SFTP 를사용하여 ELM 로그검색 SFTP 를사용하여 ELM 로그검색 SFTP 가 ELM(Enterprise Log Manager) 로그를검색하기위해액세스할수있도록 ELM 을구성합니다. 시작하기전에 [ELM SFTP 액세스 ] 권한이있어야합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 95
3 McAfee ESM 구성 McAfee ESM 장치구성 1 WinSCP 5.11, Filezilla, CoreFTP LE 또는 FireFTP와같은 SFTP 클라이언트를엽니다. 2 IP 주소와구성된 SFTP 포트를사용하여 ELM에연결합니다. 날짜는시스템이로그를 ELM에삽입한시기를나타냅니다. 파일은 1) 데이터소스및데이터, 2) 날짜및데이터소스두가지방법으로표시됩니다. 3 로그를선택하고전송합니다. 이을수행하는단계는사용중인 SFTP 클라이언트에따라달라집니다. SFTP 전송을위한최대파일수는 20,000 입니다. 참고항목 : 93 페이지의 ELM 데이터검색 94 페이지의 ELM 검색및무결성체크정의 94 페이지의검색또는무결성체크결과보기 94 페이지의정규식을사용하여 ELM 데이터쿼리 McAfee Advanced Correlation Engine(ACE) McAfee ACE(Advanced Correlation Engine) 는규칙기반논리와위험기반논리를모두사용하여실시간으로위협이벤트를식별하고점수를생성합니다. 중요한정보 ( 사용자또는그룹, 응용프로그램, 특정서버또는서브넷 ) 를식별하고자산이위협받게되는경우 ACE 가사용자에게경고합니다. 감사추적및기록재생을통해포렌직, 컴플라이언스및규칙조정을지원합니다. 실시간모드또는기록모드를사용하여 ACE 를구성합니다. 실시간모드 즉각적으로위협및위험을탐지하기위해이벤트가수집될때마다분석합니다. 기록모드 기록위협및위험을탐지하기위해상관엔진의어느한쪽또는양쪽에서수집한사용가능데이터를재생합니다. ACE 에서새로운제로데이공격을탐색하면서브제로데이위협이있는지탐지하기위해조직이과거에해당공격에노출되었는지확인합니다. ACE 장치는두개의전용상관엔진을제공하여 ESM 의기존이벤트상관기능을보완합니다. 각 ACE 장치를고유한정책, 연결, 이벤트및로그검색설정및위험관리자로구성합니다. 위험상관 규칙없는상관을사용하여위험점수를생성합니다. 규칙기반상관은알려진위협패턴만탐지하기때문에지속적으로시그니처를조정하고업데이트해야제대로작동합니다. 규칙없는상관은한번의구성으로탐지시그니처를대체합니다. 비즈니스에중요한정보 ( 예 : 특정서비스나응용프로그램, 사용자그룹또는특정유형의데이터 ) 를식별합니다. 그러면 [ 위험상관 ] 에서해당항목과관련된모든활동을추적하여실시간활동에따라올라가거나내려가는동적위험점수를작성합니다. 위험점수가특정임계값을초과하게되면 ACE 가이벤트를생성하고위협이증가하는상황에대해사용자에게경고합니다. 또는기존의규칙기반상관엔진에서더큰인시던트의조건으로이벤트를사용할수있습니다. ACE 는위험점수의전체감사추적을유지관리하여시간에따른위협상황을전체적으로분석하고조사할수있습니다. 규칙기반상관 기존의규칙기반이벤트상관을통해수집된정보를실시간으로분석하여위협을탐지합니다. ACE 는모든로그, 이벤트및네트워크플로를 ID, 역할, 취약성등의문맥정보와상호연관시켜더큰위협을나타내는패턴을탐지합니다. Event Receiver 는네트워크수준의규칙기반상관을지원합니다. ACE 는이기능을보충하고전용처리리소스를제공하여훨씬더많은양의데이터를상호연결함으로써기존상관보고서를보완하거나완전히오프로딩합니다. 각 ACE 장치를고유한정책, 연결, 이벤트및로그검색설정및위험관리자로구성합니다. 96 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 참고항목 : 97 페이지의상관에사용할데이터유형선택 97 페이지의위험상관관리자추가 99 페이지의위험상관점수추가 99 페이지의기록상관작동방법 100 페이지의기록상관활성화 100 페이지의기록상관이벤트보기 상관에사용할데이터유형선택 McAfee ESM 은이벤트및플로데이터를수집합니다. McAfee ACE(Advanced Correlation Engine) 에전송할데이터를선택합니다. 기본값은이벤트데이터만입니다. 1 시스템탐색트리에서 [ACE 속성 ] 을선택한다음 [ACE 구성 ] 을클릭합니다. 2 [ 데이터 ] 를클릭한다음 [ 이벤트데이터 ], [ 플로데이터 ] 또는둘다를선택합니다. 3 [ 확인 ] 을클릭합니다. 참고항목 : 96 페이지의 McAfee Advanced Correlation Engine(ACE) 97 페이지의위험상관관리자추가 99 페이지의위험상관점수추가 위험상관관리자추가 지정하는필드의위험수준을계산할상관관리자를추가합니다. 시작하기전에 ELM(Event Log Manager) 장치가 McAfee ESM 에있어야합니다. 저장소풀이 ELM 에있어야합니다. 영역이있어야합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 McAfee ACE 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 위험상관관리 ] 를클릭합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 97
3 McAfee ESM 구성 McAfee ESM 장치구성 4 [ 추가 ] 를클릭한다음각탭에서요청한정보를작성합니다. 5 [ 마침 ] 을클릭한다음 [ 쓰기 ] 를클릭하여관리자가장치에쓰도록합니다. 탭옵션정의 [ 기본 ] [ 이름 ] 관리자이름 [ 활성화 ] 관리자를비활성화하려면선택취소합니다. [ 이벤트데이터사용 ], [ 플로데이터사용 ] 하나또는둘다선택하여사용하려는데이터유형을나타냅니다. [ 플로데이터사용 ] 을선택하는경우 [ACE 속성 ] [ACE 구성 ] [ 데이터 ] 로이동하여 [ 플로데이터 ] 를선택해야합니다. [ 로깅 ], [ 저장소풀 ] ELM(Event Log Manager) 에서로그를저장하려면 [ 로깅 ] 을선택합니다. 로그를저장할 ELM 의저장소풀을선택합니다. [ 영역 ] 데이터를영역에할당하려는경우드롭다운목록에서선택합니다. [ 시간순서허용치 ] ([ 규칙상관 ] 만해당 ) 규칙상관에서순서가잘못된이벤트를허용하는시간을선택합니다. 예를들어 60 분으로설정하면 59 분늦은이벤트도사용됩니다. [ 필드 ] [ 필드 ] 이벤트를상호연결하기위해이관리자가사용하는필드를선택합니다 ( 관리자당최대 5 개 ). [ 백분율 ] 각필드가차지할백분율을선택합니다. 결합된백분율은총 100 퍼센트여야합니다. 위험상태가 100 퍼센트미만인경우위험업데이트는 FYI, 보통, 경고, 중요및위험으로정의한조건에따라위험상태를보고합니다 ([ 임계값 ] 탭참조 ). 예를들어 FYI 의개념이위험상태가 50% 일때위험상태값의 50% 라면, 심각도는 50 이아닌 20 입니다. [ 상관 ] 고유성을결정하는데필드를사용하지않으려는경우선택합니다. 높은메모리요구사항으로인해여러가지의많은카디널리티필드를상호연결시키지않습니다. 생성되는위험줄수는상호연결된모든필드의고유한조합수에따라다릅니다. [ 임계값 ] 상단섹션각위험상태수준에대해이벤트가트리거할때점수임계값을설정합니다. 하단섹션점수가감소되는비율을설정합니다. 기본설정은점수가버킷에있고 120 초간격으로 5 점이될때까지점수가 10% 씩감소하는것입니다. 그런다음고유한필드값에대한버킷이삭제됩니다. [ 필터 ] [ 논리 AND], [ 논리 OR] [ 필터필드구성요소 ] 논리적요소를사용하여필터의프레임워크를설정합니다. [ 구성요소일치 ] 아이콘을논리적요소로끌어놓은다음 [ 필터필드추가 ] 페이지를완료합니다. 논리적요소에추가후구성요소의조건을편집하려면해당구성요소에대해 [ 메뉴 ] 아이 콘을클릭하고 [ 편집 ] 을선택합니다. 그러면설정을변경할수있습니다. 참고항목 : 96 페이지의 McAfee Advanced Correlation Engine(ACE) 97 페이지의상관에사용할데이터유형선택 99 페이지의위험상관점수추가 98 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 위험상관점수추가 대상이지정된필드에점수를할당하는조건문을추가해야합니다. 1 시스템탐색트리에서 [ACE 속성 ] 을선택한다음 [ 위험상관점수 ] 를클릭합니다. 2 [ 추가 ] 를클릭한다음요청한정보를입력하고 [ 확인 ] 을클릭합니다. 옵션 정의 [ 활성화된점수 ] 조건문을활성화합니다. [ 데이터유형 ] 조건문에표시하려는데이터유형을선택합니다. 이벤트, 플로또는둘다를선택할수있습니다. [ 점수필드 ] 원하는점수를받을필드를검색합니다. [ 조회필드 ] 소스유형을일치시킬필드를검색합니다. [ 소스유형 ] 비교에사용할소스유형을선택합니다. 선택한소스유형에일치하는값외에점수값이포함된경우에는적용되는점수또는수동으로입력된점수는 [ 점수사용 ] 열의확인란을선택하여지정할수있습니다. [ 값 ] 비교하는값을입력하거나선택합니다. 이열의사용가능한옵션은이전열에서선택한소스유형에따라다릅니다. [ 점수사용 ] 수동으로입력한점수를사용하려면확인란을선택합니다. [ 점수 ] 선택된 [ 점수필드 ] 에지정된점수입니다. 그리드에여러규칙을입력할때복합적점수가점수필드에적용될수있습니다. [ 가중치 ] 조건문의복합적점수에대해해당행또는소스유형에지정된가중치입니다 (100 퍼센트를초과할수없음 ). [ 행추가 ] 단추새조건행을전체조건문에추가하려면클릭합니다. [ 총가중치 ] 가중치열아래에있는각행또는소스유형의합계입니다. [ 현재위험점수범위 ] 참고항목 : 선택된필드가조건행의결과에따라달라지는점수필드로지정될수있는점수범위입니다. 96 페이지의 McAfee Advanced Correlation Engine(ACE) 97 페이지의상관에사용할데이터유형선택 97 페이지의위험상관관리자추가 기록상관작동방법 기록상관을사용하여과거이벤트를상호연결합니다. 시스템에서새로운취약성이발견되면기록이벤트및로그를확인하여과거에조직이악용되었는지여부를확인합니다. [ 위험상관 ] 규칙없는상관엔진및표준규칙기반이벤트상관엔진을사용하여기록이벤트를재생합니다. 이러한상황에서오늘날의위협상황에대한기록이벤트를조사합니다. 특정이벤트가트리거되는동안상관이설정되지않았습니다. 이러한이벤트를상호연결시키면유용한정보를얻을수있습니다. 과거에트리거된이벤트를기반으로새로운상관을설정하고새로운상관을테스트하여결과를확인합니다. 기록상관을사용하는경우다음사항에유의해야합니다. 기록상관을비활성화할때까지실시간상관을실행할수없습니다. 이벤트집계가위험분포를왜곡합니다. Risk Manager 를다시실시간상관으로전환할때임계값을조정합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 99
3 McAfee ESM 구성 McAfee ESM 장치구성 기록상관을설정하고실행하려면다음을수행해야합니다. 1 기록상관필터를추가합니다. 2 기록상관을실행합니다. 3 상관된기록이벤트를다운로드하고봅니다. 참고항목 : 96 페이지의 McAfee Advanced Correlation Engine(ACE) 100 페이지의기록상관활성화 100 페이지의기록상관이벤트보기 기록상관활성화 기록상관을활성화하면이벤트를검토하고필터를적용하고적용할이벤트를패키지로묶습니다. 1 시스템탐색트리에서 [ACE 속성 ] 을선택한다음 [ 기록 ] 을클릭합니다. 2 [ 추가 ] 를클릭하고요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 3 [ 기록상관활성화 ] 를선택한다음 [ 적용 ] 을클릭합니다. 기록상관을비활성화할때까지실시간상관이중단됩니다. 4 실행하려는필터를선택한다음 [ 지금실행 ] 을클릭합니다. 참고항목 : 96 페이지의 McAfee Advanced Correlation Engine(ACE) 99 페이지의기록상관작동방법 100 페이지의기록상관이벤트보기 기록상관이벤트보기 기록상관을실행한후에는생성된이벤트를볼수있습니다. 1 시스템탐색트리에서 [ACE 속성 ] 을선택한다음 [ 이벤트및로그 ] [ 이벤트가져오기 ] 를클릭합니다. 기록상관실행의결과로발생한이벤트가 McAfee ESM 에다운로드됩니다. 2 [ACE 속성 ] 을닫습니다. 3 데이터를보려면 : a 시스템탐색트리에서기록상관을방금실행한 ACE(Advanced Correlation Engine) 장치를선택합니다. b 기간드롭다운목록에서실행을설정할때지정한기간을선택합니다. 참고항목 : 96 페이지의 McAfee Advanced Correlation Engine(ACE) 99 페이지의기록상관작동방법 100 페이지의기록상관활성화 100 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 McAfee Application Data Monitor McAfee Application Data Monitor 는네트워크에서중요한데이터사용을추적하여기본프로토콜, 세션무결성및응용프로그램콘텐츠를분석합니다. McAfee Application Data Monitor 는위반을탐지하면컴플라이언스감사요구사항또는인시던트응답및포렌직에서사용하기위해해당응용프로그램세션의모든상세정보를보존합니다. 동시에 McAfee Application Data Monitor 는합법적응용프로그램으로가장하는위협에대한가시성을제공합니다. McAfee Application Data Monitor 는중요한정보가이메일첨부파일, 인스턴트메시지, 파일전송, HTTP POST 또는기타응용프로그램내에서전송되는시점을탐지할수있습니다. 중요한기밀정보에대한자체사전을정의하여 McAfee Application Data Monitor 의탐지기능을사용자지정합니다. 그런다음 McAfee Application Data Monitor 가이러한중요데이터유형을탐지하고, 관련담당자에게알리고, 위반사항을기록하여감사추적을유지관리할수있습니다. McAfee Application Data Monitor 는다음과같은응용프로그램프로토콜에서이상을모니터링, 디코드및탐지합니다. 파일전송 : FTP, HTTP, SSL( 설치및인증서전용 ) 이메일 : SMTP, POP3, NNTP, MAPI 채팅 : MSN, AIM/Oscar, Yahoo, Jabber, IRC 웹메일 : Hotmail, Hotmail DeltaSync, Yahoo mail, AOL Mail, Gmail P2P: Gnutella, bittorrent 셸 : SSH( 탐지전용 ), Telnet McAfee Application Data Monitor 는규칙표현식을허용하고모니터링된트래픽을테스트하여트리거된각규칙에대한데이터베이스의이벤트테이블에레코드를삽입합니다. ADM 은규칙을트리거한패킷을이벤트테이블의패킷필드에저장합니다. 또한응용프로그램수준메타데이터를트리거된모든규칙에대한 dbsession 및데이터베이스쿼리테이블에추가합니다. 프로토콜스택의텍스트표현을쿼리테이블의패킷필드에저장합니다. McAfee Application Data Monitor 는다음과같은유형의이벤트를생성할수있습니다. 메타데이터 - McAfee Application Data Monitor 는네트워크에서발생하는각트랜잭션에대해하나의메타데이터이벤트를생성하며여기에는주소, 프로토콜, 파일형식, 파일이름등의상세정보가포함됩니다. McAfee Application Data Monitor 가메타데이터이벤트를쿼리테이블에배치하고세션테이블전체의이벤트를그룹화합니다. 예를들어하나의 FTP 세션이세개의파일을전송하는경우 McAfee Application Data Monitor 는이들을함께그룹화합니다. 프로토콜이상 - 프로토콜이상은프로토콜모듈로하드코드되며너무짧아서유효한헤더를포함할수없는 TCP(Transmission Control Protocol) 패킷및잘못된응답코드를반환하는 SMTP(Simple Mail Transfer Protocol) 서버와같은이벤트를포함합니다. 프로토콜이상이벤트는드물게발생되며 McAfee Application Data Monitor 가이들을이벤트테이블에배치합니다. 규칙트리거 규칙표현식을통해규칙트리거이벤트가생성되며 ICE(Internet Communications Engine) 에의해생성된메타데이터의이상을탐지합니다. 이러한이벤트는정상적인시간이외에사용되는프로토콜이나예기치않게 FTP 와통신하는 SMTP 서버와같은이상을포함할수있습니다. 규칙트리거이벤트는드물게발생되며 McAfee Application Data Monitor 가이들을이벤트테이블에배치합니다. 이벤트테이블에는탐지된각프로토콜이상이나규칙트리거이벤트에대해하나의레코드가포함됩니다. 이벤트레코드는 sessionid 를통해세션및쿼리테이블에연결됩니다. 여기에서이벤트를트리거한네트워크전송 ( 메타데이터이벤트 ) 에대한상세정보를확인할수있습니다. 또한각이벤트는이벤트를트리거한패킷에대한원시패킷데이터를사용할수있는패킷테이블에연결됩니다. 세션테이블에는관련된네트워크전송그룹 ( 예 : 동일한세션에서발생하는 FTP 파일전송그룹 ) 각각에대한하나의레코드가포함됩니다. 세션레코드는 sessionid 를통해쿼리테이블에연결됩니다. 여기에서개별네트워크전송 ( 메타데이터이벤트 ) 에대한상세정보를확인할수있습니다. 또한세션내전송으로인해프로토콜이상이발생하거나규칙이트리거될경우이벤트테이블에대한링크가있습니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 101
3 McAfee ESM 구성 McAfee ESM 장치구성 쿼리테이블에는각메타데이터이벤트 ( 네트워크에서발생하는콘텐츠전송 ) 에대해하나의레코드가포함됩니다. 쿼리레코드는 sessionid 를통해세션테이블에연결됩니다. 레코드가나타내는네트워크전송으로프로토콜이상이나규칙이트리거될경우이벤트테이블에대한링크가있습니다. 또한전체프로토콜이나콘텐츠스택의텍스트표현이있는텍스트필드를사용하는패킷테이블에대한링크도있습니다. 참고항목 : 102 페이지의 McAfee Application Data Monitor 시간대설정 102 페이지의세션뷰어에서암호표시 103 페이지의 McAfee Application Data Monitor 사전작동방법 McAfee Application Data Monitor 시간대설정 시스템은 McAfee Application Data Monitor(McAfee Application Data Monitor) 에대해설정한시간대를사용하여규칙을평가합니다. 기본 (McAfee Application Data Monitor) 시간대는 GMT 로설정되어있지만 McAfee Application Data Monitor 코드에서는사용중인시간대로장치가설정되어야합니다. 규칙에서 GMT 시간대가아니라사용중인시간트리거를사용하도록시간대를해당시간대로설정합니다. 1 시스템탐색트리에서 [ADM 속성 ] 을선택한다음 [ADM 구성 ] 을클릭합니다. 2 [ 시간대 ] 를클릭한다음사용중인시간대를선택합니다. 3 [ 확인 ] 을클릭합니다. 참고항목 : 101 페이지의 McAfee Application Data Monitor 102 페이지의세션뷰어에서암호표시 103 페이지의 McAfee Application Data Monitor 사전작동방법 세션뷰어에서암호표시 세션뷰어에서세션의최신 25,000 개의 McAfee Application Data Monitor(McAfee Application Data Monitor) 쿼리상세정보를볼수있습니다. 일부이벤트규칙은암호와관련되어있을수있습니다. 세션뷰어에서암호표시여부를선택할수있습니다. 1 시스템탐색트리에서 [ADM 속성 ] 을선택한다음 [ADM 구성 ] 을클릭합니다. 기본적으로암호는표시되지않습니다. 2 [ 암호 ] 를클릭하고 [ 암호로깅활성화 ] 를선택한다음 [ 확인 ] 을클릭합니다. 참고항목 : 101 페이지의 McAfee Application Data Monitor 102 페이지의 McAfee Application Data Monitor 시간대설정 103 페이지의 McAfee Application Data Monitor 사전작동방법 102 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 McAfee Application Data Monitor 사전작동방법 McAfee Application Data Monitor(McAfee Application Data Monitor) 규칙을작성할때사전을사용하여네트워크에서캡처된키를정의된값으로변환하거나, 키가있는경우부울 true 로기본설정된값이없는키를나열할수있습니다. McAfee Application Data Monitor 사전을사용하여각단어에대해개별규칙을작성할필요없이신속하게파일키를지정할수있습니다. 예를들어특정단어가포함된이메일을선택하고, 외설스런단어가포함된사전을컴파일하고, 해당사전을가져오는규칙을설정합니다. 사전의단어를포함하는콘텐츠가있는이메일을확인하려면다음과같은규칙을만들수있습니다. protocol == email && naughtywords[objcontent] McAfee Application Data Monitor 규칙편집기를사용하여규칙을작성하는경우규칙이참조할사전을선택할수있습니다. 사전은최대수백만개의항목을지원합니다. 사전을규칙에추가하는에는다음단계가포함됩니다. 1 키및값 ( 필요한경우 ) 이나열된사전을설정하고저장합니다. 2 McAfee ESM 에서사전을관리합니다. 3 규칙에사전을할당합니다. 참고항목 : 101 페이지의 McAfee Application Data Monitor 102 페이지의 McAfee Application Data Monitor 시간대설정 102 페이지의세션뷰어에서암호표시 107 페이지의 McAfee Application Data Monitor 규칙구문 109 페이지의 McAfee Application Data Monitor 규칙조건유형 111 페이지의 McAfee Application Data Monitor 규칙메트릭참조 McAfee Application Data Monitor 사전설정 사전은한줄에한항목으로구성된일반텍스트파일입니다. 단일열사전과이중열사전이있습니다. 이중열에는키와값이있습니다. 키는 IPv4, MAC, 숫자, 정규표현식및문자열일수있습니다. 값유형은부울, IPv4, IPv6, MAC, 숫자및문자열입니다. 값은선택사항이며없는경우부울 true 로기본설정됩니다. 단일또는이중열사전의값은지원되는 McAfee Application Data Monitor 유형 ( 문자열, 정규표현식, 숫자, IPv4, IPv6 또는 MAC) 중하나여야합니다. McAfee Application Data Monitor 사전은다음의형식지정지침을따라야합니다. 유형구문규칙예일치하는컨텐츠 문자열 문자열은이중따옴표로묶어야함 Bad Content Bad Content 문자열안의이중따옴표는각따옴표앞에백슬래시문자를사용하여이스케이프해야함 He said, \ Bad Content\ He said, Bad Content 정규표현식 정규표현식은단일슬래시로묶여있음 정규표현식내의슬래시및예약된정규표현식문자는백슬래시문자로이스케이프해야함 /[Aa]pple/ /apple/i / [0 9]{1,3}\.[0 9]{1,3}\.[0 9]\.[0 9]/ /1\/2 of all/ Apple 또는 apple Apple 또는 apple IP 주소 : 1.1.1.1 127.0.0.1 1/2 of all McAfee Enterprise Security Manager 10.3.x 제품안내서 103
3 McAfee ESM 구성 McAfee ESM 장치구성 유형구문규칙예일치하는컨텐츠 숫자 10 진수값 (0-9) 16 진수값 (0x0-9a-f) 8 진수값 (0-7) 10 진수값 16 진수값 8 진수값 123 0x12ab 0127 부울 참또는거짓일수있음 부울리터럴 참 모든소문자 거짓 IPv4 표준 4 분표기법으로쓸수있음 192.168.1.1 192.168.1.1 CIDR 표기로쓸수있음 192.168.1.0/24 192.168.1.[0-255] 전체마스크가포함된긴형식으로쓸수있음 192.168.1.0/255.255.255.0 192.168.1.[0-255] 다음은사전에대해참입니다. 목록 ( 각괄호로둘러싸인쉼표로구분된여러값 ) 은사전에서허용되지않습니다. 열은단일지원 McAfee Application Data Monitor 유형으로만구성될수있습니다. 이는단일 McAfee Application Data Monitor 사전파일내에서여러유형 ( 문자열, 정규식, Ipv4) 을사용할수없다는의미입니다. 설명을포함할수있습니다. 파운드문자 (#) 로시작하는모든줄은 McAfee Application Data Monitor 사전에서설명으로간주됩니다. 이름은영숫자및밑줄만으로구성될수있으며총길이는 20 자이하여야합니다. 목록은지원되지않습니다. 선택한텍스트편집기를사용하여 ESM 외부에서편집하거나만들어야합니다. ESM 에서가져오거나내보내면 McAfee Application Data Monitor 사전을쉽게변경하거나만들수있습니다. McAfee Application Data Monitor 사전참조 McAfee Application Data Monitor 사전을 McAfee ESM 으로가져오는경우규칙을작성할때참조하십시오. 시작하기전에 McAfee Application Data Monitor 사전을 McAfee ESM 으로가져옵니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 McAfee Application Data Monitor 장치를선택한다음 [ 정책편집기 ] 를엽니다. 3 [ 규칙유형 ] 에서 [ 정책편집기 ] [ADM] 을선택합니다. 4 [ 새 ] [ADM 규칙 ] 을클릭합니다. 5 요청한정보를추가하고논리적요소를 [ 표현식논리 ] 영역으로끌어놓습니다. 6 [ 표현식구성요소 ] 아이콘을논리적요소로끌어서놓습니다. 7 표현식구성요소를구성하고 McAfee Application Data Monitor [ 사전 ] 을선택합니다. 104 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 McAfee Application Data Monitor 사전예 McAfee Application Data Monitor(McAfee Application Data Monitor) 는개체콘텐츠나기타메트릭또는속성을단일열사전과비교하여참또는거짓 ( 사전에있는경우또는사전에없는경우 ) 으로나타낼수있습니다. 표 3-2 단일열사전예 사전유형 예 일반스팸단어가포함된문자열사전 시알리스 시알리스 비아그라 비아그라 성인웹 성인웹 지금당장하세요! 주저하지마세요! 인증키단어에대한정규표현식사전 알려진잘못된실행파일에대한해시값이포함된문자열사전 /(password passwd pwd)[^a-z0-9]{1,3}(admin login password user)/i /(customer client)[^a-z0-9]{1,3}account[^a-z0-9]{1,3}number/i /fund[^a-z0-9]{1,3}transaction/i /fund[^a-z0-9]{1,3}transfer[^a-z0-9]{1,3}[0 9,.]+/i "fec72ceae15b6f60cbf269f99b9888e9" "fed472c13c1db095c4cb0fc54ed28485" "feddedb607468465f9428a59eb5ee22a" "ff3cb87742f9b56dfdb9a49b31c1743c" "ff45e471aa68c9e2b6d62a82bbb6a82a" "ff669082faf0b5b976cec8027833791c" "ff7025e261bd09250346bc9efdfc6c7c" 위험자산의 IP 주소 192.168.1.12 192.168.2.0/24 192.168.3.0/255.255.255.0 192.168.4.32/27 192.168.5.144/255.255.255.240 McAfee Enterprise Security Manager 10.3.x 제품안내서 105
3 McAfee ESM 구성 McAfee ESM 장치구성 표 3-3 이중열사전예 사전유형 일반스팸단어및범주가포함된문자열사전 인증키단어및범주에대한정규표현식사전 알려진잘못된실행파일및범주의해시값이포함된문자열사전 예 시알리스 제약 시알리스 제약 비아그라 제약 비아그라 제약 성인웹 성인 성인웹 성인 지금당장하세요! 주저하지마세요! 스캠 /(password passwd pwd)[^a-z0-9]{1,3}(admin login password user)/i 인증 /(customer client)[^a-z0-9]{1,3}account[^a-z0-9]{1,3}number/i pii /fund[^a-z0-9]{1,3}transaction/i sox /fund[^a-z0-9]{1,3}transfer[^a-z0-9]{1,3}[0 9,.]+/i sox fec72ceae15b6f60cbf269f99b9888e9" 트로이목마 "fed472c13c1db095c4cb0fc54ed28485" 악성프로그램 "feddedb607468465f9428a59eb5ee22a" 바이러스 "ff3cb87742f9b56dfdb9a49b31c1743c" 악성프로그램 "ff45e471aa68c9e2b6d62a82bbb6a82a" 애드웨어 ff669082faf0b5b976cec8027833791c" 트로이목마 "ff7025e261bd09250346bc9efdfc6c7c" 바이러스 위험자산및그룹의 IP 주소 192.168.1.12 위험자산 192.168.2.0/24 LAN 192.168.3.0/255.255.255.0 LAN 192.168.4.32/27 DMZ 192.168.5.144/255.255.255.240 위험자산 McAfee Application Data Monitor 사전관리 McAfee Application Data Monitor(McAfee Application Data Monitor) 사전을설정하고저장한후에는 McAfee ESM 으로가져와야합니다. 또한사전을내보내고편집하고삭제할수있습니다. 1 [ 정책편집기 ] 에서 [ 도구 ] 를클릭한다음 [ADM 사전관리자 ] 를선택합니다. [ADM 사전관리 ] 에기본사전 (botnet, foullanguage, icd9_desc 및 spamlist) 과시스템에가져온모든사전이나열됩니다. 2 사용할수있는액션을수행한다음 [ 닫기 ] 를클릭합니다. 사전을삭제하는경우이사전을참조하는규칙이포함된규칙집합을롤아웃하는시도를컴파일하지못합니다. 이사전이규칙에할당되어있으면사전을참조하지않도록규칙을다시쓰거나삭제를수행하지마십시오. 키유형과값유형필드에서선택한내용과파일이포함하는내용에차이가있는경우시스템에서데이터가잘못되었다고알려줍니다. 106 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 McAfee Application Data Monitor 규칙구문 McAfee Application Data Monitor 규칙은 C 표현식과비슷한리터럴집합 ( 숫자, 문자열, 정규표현식, IP 주소, MAC 주소및부울 ) 을제공합니다. 문자열조건을문자열및정규식리터럴과비교하여콘텐츠를테스트할수있지만숫자와비교하여길이를테스트할수도있습니다. 숫자, IP 주소및 MAC 주소조건은동일한유형의리터럴값과만비교할수있습니다. 유일한예외는모든항목을부울로처리하여존재를테스트할수있다는점입니다. 일부조건에는여러개의값이있을수있습니다. 예를들어.zip 파일내 PDF 파일에대해 type = = application/zip && type = = application/pdf 규칙이트리거됩니다. 표 3-4 연산자 연산자설명예 && 논리적 AND protocol = = http && type = = image/gif 논리적 OR time.hour < 8 time.hour > 18 ^ ^ 논리적 XOR email.from = = "a@b.com" ^^email.to = = "a@b.com"! 단항 NOT! (protocol = = http protocol = = ftp) = = 같음 type = = application/pdf! = 같지않음 srcip! = 192.168.0.0/16 > 보다큼 objectsize > 100M > = 크거나같음 time.weekday > = 1 < 보다작음 objectsize < 10K < = 작거나같음 time.hour < = 6 표 3-5 리터럴 리터럴 숫자 문자열 정규식 예 1234, 0x1234, 0777, 16K, 10M, 2G "a string" /[A-Z] [a-z]+/ IPv4 1.2.3.4, 192.168.0.0/16, 192.168.1.0/255.255.255.0 MAC 부울 aa:bb:cc:dd:ee:ff true, false 표 3-6 유형연산자호환성 유형연산자참고 숫자 = =,! =, >, > =, <, < = 문자열 = =,! = 문자열 >, > =, <, <= 문자열의내용을문자열 / 정규식과비교 문자열의길이비교 IPv4 = =,! = MAC = =,! = 부울 = =,! = 참 / 거짓과비교, 참으로내포된비교도지원, 예를들어 email.bcc는 email.bcc 조건이 있는지테스트 McAfee Enterprise Security Manager 10.3.x 제품안내서 107
3 McAfee ESM 구성 McAfee ESM 장치구성 표 3-7 McAfee Application Data Monitor 정규식문법기본연산자 교체 ( 또는 ) * 0개이상 + 1개이상? 0 또는 1 ( ) 그룹화 (a b) { } 반복범위 {x} 또는 {,x} 또는 {x,} 또는 {x,y} [ ] 범위 [0-9a-z] [abc] [^ ] 제외범위 [^abc] [^0-9]. 모든문자 이스케이프문자 이스케이프 d 숫자 [0-9] D 숫자제외 [^0-9] e 이스케이프 (0x1B) f 용지공급 (0x0C) n 줄바꿈 (0x0A) r 캐리지리턴 (0x0D) s 공백 S 공백제외 t 탭 (0x09) v 세로탭 (0x0B) w 단어 [A-Za-z0-9_] W 단어제외 x00 16진수표현 0000 8진수표현 ^ S 줄시작 줄끝 줄시작및줄끝앵커 (^ 및 $) 는 objcontent 에적용되지않습니다. 108 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 POSIX 문자클래스 [:alunum:] [:alpha:] [:ascii:] [:blank:] [:cntrl:] [:digit:] [:graph:] [:lower:] [:print:] [:punct:] [:space:] [:upper:] [:word:] [:xdigit:] 숫자및문자모든문자 ASCII 문자공백및탭제어문자숫자표시문자소문자표시문자및공백문장부호및기호모든공백문자대문자단어문자 16진수숫자 참고항목 : 103 페이지의 McAfee Application Data Monitor 사전작동방법 109 페이지의 McAfee Application Data Monitor 규칙조건유형 111 페이지의 McAfee Application Data Monitor 규칙메트릭참조 McAfee Application Data Monitor 규칙조건유형 McAfee Application Data Monitor 규칙에는조건이있으며조건은 IP 주소, MAC 주소, 숫자, 문자열또는부울이될수있습니다. 또한정규표현식과목록이라는두가지추가리터럴유형이있습니다. 특정유형의조건은동일한유형의리터럴이나동일한유형의리터럴목록 ( 또는목록의목록...) 에대해서만비교할수있습니다. 이규칙에대한예외는다음과같습니다. 문자열조건은숫자리터럴과비교하여길이를테스트할수있습니다. 암호가 8 자보다작은경우 ( 암호가문자열조건인경우 ) 다음규칙이트리거됩니다. Password < 8 문자열조건은정규표현식과비교할수있습니다. 암호에소문자만포함된경우다음규칙이트리거됩니다. Password == /^[a-z]+$/ 모든조건은부울리터럴에대해테스트하여발생여부를테스트할수있습니다. 이메일에참조주소가포함된경우 (email.cc 가문자열조건인경우 ) 다음규칙이트리거됩니다. email.cc == 참 McAfee Enterprise Security Manager 10.3.x 제품안내서 109
3 McAfee ESM 구성 McAfee ESM 장치구성 유형 형식설명 IP 주소 IP 주소리터럴은표준표기법인점으로구분된 4 개의숫자로기록되며따옴표로묶지않습니다. 192.168.1.1 IP 주소에는표준 CIDR 표기법으로작성된마스크가있을수있으며주소와마스크사이에공백이있으면안됩니다. 192.168.1.0/24 IP 주소에는긴형식으로작성된마스크가있을수도있습니다. 192.168.1.0/255.255.255.0 MAC 주소 숫자 문자열 MAC 주소리터럴은 IP 주소와마찬가지로표준표기법을사용하여작성되며따옴표로묶지않습니다. aa:bb:cc:dd:ee:ff McAfee Application Data Monitor 규칙의모든숫자는 32 비트정수입니다. 이러한숫자는 10 진수로작성할수있습니다. 1234 또한 16 진수로작성할수있습니다. 0xabcd 8 진수로작성할수도있습니다. 0777 1024(K), 1048576(M) 또는 1073741824(G) 와곱하여승수를추가할수있습니다. 10M 문자열은큰따옴표로묶습니다. "this is a string" 문자열은표준 C 이스케이프시퀀스를사용할수있습니다. "\tthis is a \"string\" containing\x20escape sequences\n" 조건을문자열과비교할경우전체조건이문자열과일치해야합니다. 이메일메시지의보낸사람주소가 someone@somewhere.com 일경우다음규칙이트리거되지않습니다. email.from == @somewhere.com 조건의일부만일치시키려면정규표현식리터럴을대신사용합니다. 문자열리터럴이보다효율적이므로가능하면문자열리터럴을사용해야합니다. 모든이메일주소및 URL 조건은일치되기전에정규화되므로이메일주소에설명과같은항목을고려할필요가없습니다. 부울 부울리터럴은참과거짓입니다. 110 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 유형 정규표현식 형식설명 정규표현식리터럴은 JavaScript 및 Perl과같은언어와동일한표기법을사용하며, 정규표현식은슬래시로묶습니다. /[a-z]+/ 정규표현식다음에는표준수정자플래그가올수있지만현재 "i" 만인식되며대 / 소문자를구분하지않습니다. /[a-z]+/i 정규표현식리터럴에 POSIX 확장구문을사용합니다. 현재 Perl 확장은콘텐츠조건을제외한모든조건에서작동하지만이후버전에서는변경될수있습니다. 조건을정규표현식과비교할경우정규표현식에서앵커연산자가적용되지않으면정규표현식이조건의하위문자열과일치합니다. 이메일이 someone@somewhere.com 주소로표시되면다음규칙이트리거됩니다. email.from == /@somewhere.com/ 목록 목록리터럴은대괄호로묶고쉼표로구분한하나이상의리터럴로구성됩니다. [1, 2, 3, 4, 5] 목록에는다른목록을포함하여모든종류의리터럴이포함될수있습니다. [192.168.1.1, [10.0.0.0/8, 172.16.128.0/24]] 목록에는하나의리터럴만포함되어야하며문자열과숫자, 문자열과정규표현식, IP 주소와 MAC 주소를혼합할수없습니다. 목록이같지않음 (!=) 이아닌다른관계형연산자와함께사용될경우표현식은조건이목록의리터럴과일치하면참입니다. 소스 IP 주소가목록의 IP 주소와일치할경우다음규칙이트리거됩니다. Srcip == [192.168.1.1, 192.168.1.2, 192.168.1.3] 이규칙은다음과동일합니다. Srcip == 192.168.1.1 srcip == 192.168.1.2 srcip == 192.168.1.3 같지않음 (!=) 연산자와함께사용될경우표현식은조건이목록의모든리터럴과일치하지않으면참입니다. 소스 IP 주소가 192.168.1.1 또는 192.168.1.2 가아닐경우다음규칙이트리거됩니다. Srcip!= [192.168.1.1, 192.168.1.2] 이규칙은다음과동일합니다. Srcip!= 192.168.1.1 && srcip!= 192.168.1.2 목록은다른관계형연산자와함께사용할수도있지만적합하지않은경우가많습니다. 개체크기가 100 보다크거나개체크기가 200 보다클경우다음규칙이트리거됩니다. objectsize > [100, 200] 이규칙은다음과동일합니다. objectsize > 100 objectsize > 200 참고항목 : 103 페이지의 McAfee Application Data Monitor 사전작동방법 107 페이지의 McAfee Application Data Monitor 규칙구문 111 페이지의 McAfee Application Data Monitor 규칙메트릭참조 McAfee Application Data Monitor 규칙메트릭참조 McAfee Application Data Monitor 규칙추가시다음메트릭참조를사용합니다. 일반속성및일반이상의경우각각에대해입력할수있는매개변수 - 유형값이메트릭참조다음의괄호안에표시됩니다. 일반속성 속성또는용어 프로토콜 ( 숫자 ) 개체콘텐츠 ( 문자열 ) 설명 응용프로그램프로토콜 (HTTP, FTP, SMTP) 개체의콘텐츠 ( 문서내텍스트, 이메일메시지, 채팅메시지 ). 이진데이터에는콘텐츠일치를사용할수없습니다. 그러나이진개체는개체유형 (objtype) 을사용하여탐지할수있습니다. 개체유형 ( 숫자 ) McAfee Application Data Monitor 에의해결정된콘텐츠의유형 (Office 문서, 메시지, 비디오, 오디오, 이미지, 보관파일, 실행파일 ) 을지정합니다. 개체크기 ( 숫자 ) 개체의크기입니다. 숫자다음에숫자승수 K, M, G 를추가할수있습니다 (10K, 10M, 10G). 개체해시 ( 문자열 ) 콘텐츠의해시 ( 현재 MD5) 입니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 111
3 McAfee ESM 구성 McAfee ESM 장치구성 속성또는용어 설명 개체소스 IP 주소 ( 숫자 ) 콘텐츠의소스 IP 주소입니다.IP 주소는 192.168.1.1, 192.168.1.0/24, 192.168.1.0/255.255.255.0 으로지정할수있습니다. 개체대상 IP 주소 ( 숫자 ) 콘텐츠의대상 IP 주소입니다. IP 주소는 192.168.1.1, 192.168.1.0/24, 192.168.1.0/255.255.255.0 으로지정할수있습니다. 개체소스포트 ( 숫자 ) 콘텐츠의소스 TCP/UDP 포트입니다. 개체대상포트 ( 숫자 ) 콘텐츠의대상 TCP/UDP 포트입니다. 개체소스 IP 주소 v6 주소 ( 숫자 ) 콘텐츠의소스 IPv6 주소입니다. 개체대상 IPv6 주소 ( 숫자 ) 콘텐츠의대상 IPv6 주소입니다. 개체소스 MAC 주소 (Mac 이름 ) 개체대상 MAC 주소 (Mac 이름 ) 콘텐츠의소스 MAC 주소 (aa:bb:cc:dd:ee:ff) 입니다. 콘텐츠의대상 MAC 주소 (aa:bb:cc:dd:ee:ff) 입니다. 플로소스 IP 주소 (IPv4) 플로의소스 IP 주소입니다. IP 주소는 192.168.1.1, 192.168.1.0/24, 192.168.1.0/255.255.255.0 으로지정할수있습니다. 플로대상 IP 주소 (IPv4) 플로의대상 IP 주소입니다. IP 주소는 192.168.1.1, 192.168.1.0/24, 192.168.1.0/255.255.255.0 으로지정할수있습니다. 플로소스포트 ( 숫자 ) 플로의소스 TCP/UDP 포트입니다. 플로대상포트 ( 숫자 ) 플로의대상 TCP/UDP 포트입니다. 플로소스 IPv6 주소 ( 숫자 ) 플로의소스 IPv6 주소입니다. 플로대상 IPv6 주소 ( 숫자 ) 플로의대상 IPv6 주소입니다. 플로소스 MAC 주소 (Mac 이름 ) 플로대상 MAC 주소 (Mac 이름 ) 플로의소스 MAC 주소입니다. 플로의대상 MAC 주소입니다. VLAN( 숫자 ) 가상 LAN ID 입니다. 요일 ( 숫자 ) 요일입니다. 유효한값은 1~7 이며, 1 은월요일입니다. 시간 ( 숫자 ) GMT 로설정된시간입니다. 유효한값은 0-23 입니다. 선언된콘텐츠유형 ( 문자열 ) 서버에지정된콘텐츠의유형입니다. 이론적으로개체유형 (objtype) 은항상실제유형이며선언된콘텐츠유형 (content-type) 은서버 / 응용프로그램에서스푸핑될수있으므로신뢰할수없습니다. 암호 ( 문자열 ) 응용프로그램에서인증에사용하는암호입니다. URL( 문자열 ) 웹사이트 URL 입니다. HTTP 프로토콜에만적용됩니다. 파일이름 ( 문자열 ) 전송할파일의이름입니다. 표시이름 ( 문자열 ) 호스트이름 ( 문자열 ) DNS 조회에지정된호스트이름입니다. 일반이상 사용자로그오프함 ( 부울 ) 인증오류 ( 부울 ) 인증성공 ( 부울 ) 인증실패 ( 부울 ) 112 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 참고항목 : 103 페이지의 McAfee Application Data Monitor 사전작동방법 107 페이지의 McAfee Application Data Monitor 규칙구문 109 페이지의 McAfee Application Data Monitor 규칙조건유형 프로토콜별속성 대부분의프로토콜에서공통된속성을제공하는것외에, McAfee Application Data Monitor 는 McAfee Application Data Monitor 규칙과함께사용할수있는프로토콜별속성도제공합니다. 프로토콜별속성의예 이러한속성이다음테이블에적용됩니다. * 탐지전용 ** 암호해독없음, X.509 인증서및암호화된데이터캡처 *** RFC822 모듈을통해 표 3-8 파일전송프로토콜모듈 FTP HTTP SMB* SSL** 표시이름파일이름호스트이름 URL 표시이름파일이름호스트이름 Referrer URL 모든 HTTP 헤더 표시이름파일이름호스트이름 표시이름파일이름호스트이름 표 3-9 이메일프로토콜모듈 DeltaSync MAPI NNTP POP3 SMTP 숨은참조 *** 숨은참조 숨은참조 *** 숨은참조 *** 숨은참조 *** 참조 *** 참조 참조 *** 참조 *** 참조 *** 표시이름 표시이름 표시이름 표시이름 표시이름 보낸사람 *** 보낸사람 보낸사람 *** 보낸사람 *** 보낸사람 *** 호스트이름 호스트이름 호스트이름 호스트이름 호스트이름 제목 *** 제목 제목 *** 제목 *** 받는사람 *** 받는사람 *** 받는사람 받는사람 *** 받는사람 *** 제목 *** 사용자이름 사용자이름 McAfee Enterprise Security Manager 10.3.x 제품안내서 113
3 McAfee ESM 구성 McAfee ESM 장치구성 표 3-10 웹메일프로토콜모듈 AOL Gmail Hotmail Yahoo 첨부파일이름 첨부파일이름 첨부파일이름 첨부파일이름 숨은참조 *** 숨은참조 *** 숨은참조 *** 숨은참조 *** 참조 *** 참조 *** 참조 *** 참조 *** 표시이름 표시이름 표시이름 표시이름 파일이름 파일이름 파일이름 파일이름 호스트이름 호스트이름 호스트이름 호스트이름 보낸사람 *** 보낸사람 *** 보낸사람 *** 보낸사람 *** 제목 *** 제목 *** 제목 *** 제목 *** 받는사람 *** 받는사람 *** 받는사람 *** 받는사람 *** 참고항목 : 114 페이지의프로토콜이상 프로토콜이상 공통속성및프로토콜별속성외에 McAfee Application Data Monitor 은낮은수준의수백가지이상, 전송및응용프로그램프로토콜도탐지합니다. 모든프로토콜이상속성은부울유형으로, McAfee Application Data Monitor 규칙을추가할때 [ 표현식구성요소 ] 페이지에서사용할수있습니다. 표 3-11 IP 용어 설명 ip.too-small IP 패킷이너무작아유효한헤더를포함하지못합니다. ip.bad-offset IP 데이터오프셋이패킷끝을지나갑니다. ip.fragmented IP 패킷이조각화되었습니다. ip.bad-checksum IP 패킷체크섬이데이터와일치하지않습니다. ip.bad-length IP 패킷 totlen 필드가패킷끝을지나갑니다. 표 3-12 TCP 용어 설명 tcp.too-small TCP 패킷이너무작아유효한헤더를포함하지못합니다. tcp.bad-offset TCP 패킷의데이터오프셋이패킷끝을지나갑니다. tcp.unexpected-fin 설정되지않은상태의 TCP FIN 플래그집합입니다. tcp.unexpected-syn 설정된상태의 TCP SYN 플래그집합입니다. tcp.duplicate-ack 이미 ACK 된 TCP 패킷 ACK 데이터입니다. tcp.segment-outsidewindow TCP 패킷은창밖에있습니다 (TCP 모듈의작은창으로실제창이아님 ). tcp.urgent-nonzero-withouturg- flag TCP 긴급필드가 0 이아니지만 URG 플래그가설정되지않았습니다. 114 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 표 3-13 DNS 용어 설명 dns.too-small DNS 패킷이너무작아유효한헤더를포함하지못합니다. dns.question-name-past-end DNS 질문이름이패킷끝을지나갑니다. dns.answer-name-past-end DNS 대답이름이패킷끝을지나갑니다. dns.ipv4-address-length-wrong DNS 응답의 IPv4 주소길이가 4바이트가아닙니다. dns.answer-circular-reference DNS 대답에는원형참조가들어있습니다. 참고항목 : 113 페이지의프로토콜별속성 McAfee Database Event Monitor(DEM) McAfee Database Event Monitor(DEM) 가데이터베이스을중앙감사리포지토리로통합하고해당의정규화, 상관, 분석및보고기능을제공합니다. 네트워크또는데이터베이스서버이악성데이터액세스를나타내는알려진패턴과일치하는경우 DEM 에서경보가생성됩니다. 또한컴플라이언스에서사용하도록모든트랜잭션이로깅됩니다. DEM 을통해분석및보고기능을제공하는것과동일한인터페이스에서데이터베이스모니터링규칙을관리, 편집및조정할수있으므로특정데이터베이스모니터링프로파일 ( 실시되는규칙, 로깅되는트랜잭션 ) 을쉽게조정하여잘못된긍정을줄이고전체보안을향상시킬수있습니다. DEM 은침입탐지시스템과유사한네트워크패킷을모니터링하여침입을받지않고데이터베이스와사용자및응용프로그램의상호작용을감사합니다. 네트워크를통해모든데이터베이스서버의을모니터링할수있도록네트워킹, 보안, 컴플라이언스및데이베이스팀과초기 DEM 배포를조정합니다. 네트워크팀은스위치의 SPAN 포트, 네트워크탭또는허브를사용하여데이터베이스트래픽을복제합니다. 이프로세스를통해데이터베이스서버에서트래픽을수신하거나모니터링하고감사로그를만들수있습니다. 운영체제데이터베이스 DEM 어플라이언스 Windows( 모든버전 ) Microsoft SQL Server¹ MSSQL 7, 2000, 2005, 2008, 2012 Windows, UNIX/Linux( 모든버전 ) Oracle² Oracle 8.x, 9.x, 10 g, 11 g (c), 11 g R2³ Sybase 11.x, 12.x, 15.x DB2 8.x, 9.x, 10.x Informix(8.4.0 이상에서사용가능 ) 11.5 Windows, UNIX/Linux( 모든버전 ) MySQL 예, 4.x, 5.x, 6.x PostgreSQL 7.4.x, 8.4.x, 9.0.x, 9.1.x Teradata 12.x, 13.x, 14.x InterSystems Cache 2011.1.x UNIX/Linux( 모든버전 ) Greenplum 8.2.15 Vertica 5.1.1-0 Mainframe DB2/zOS 모든버전 McAfee Enterprise Security Manager 10.3.x 제품안내서 115
3 McAfee ESM 구성 McAfee ESM 장치구성 운영체제 데이터베이스 DEM 어플라이언스 AS400 DB2 모든버전 1 Microsoft SQL Server의패킷암호해독지원은버전 8.3.0 이상에서사용가능합니다. 2 Oracle의패킷암호해독지원은버전 8.4.0 이상에서사용가능합니다. 3 Oracle 11 g는버전 8.3.0 이상에서사용가능합니다. 다음은이러한서버및버전에적용됩니다. 32 비트및 64 비트버전의운영체제및데이터베이스플랫폼이모두지원됩니다. MySQL 은 Windows 32 비트플랫폼에서만지원됩니다. 패킷암호해독은 MSSQL 및 Oracle 에서지원됩니다. 참고항목 : 117 페이지의고급 DEM 설정구성 118 페이지의 DEM 이벤트의액션정의 DEM 라이센스업데이트 McAfee DEM(Database Event Monitor) 장치에는기본사용권이함께제공됩니다. DEM 기능을변경하는경우 McAfee 는이메일메시지로새사용권을보내고사용자는업데이트해야합니다. 1 시스템탐색트리에서 [DEM 속성 ] 을선택한다음 [DEM 구성 ] 을클릭합니다. 2 [ 라이센스 ] [ 라이센스업데이트 ] 를클릭한다음 McAfee 에서보낸정보를필드에붙여넣습니다. 3 [ 확인 ] 을클릭합니다. 시스템에서라이센스를업데이트하고완료되면알려줍니다. 4 DEM 에정책을롤아웃합니다. DEM 구성파일동기화 McAfee DEM(Database Event Montiro) 구성파일이 DEM 장치와동기화되지않은경우구성파일을 DEM 에써야합니다. 1 시스템탐색트리에서 [DEM 속성 ] 을선택한다음 [DEM 구성 ] 을클릭합니다. 2 [ 파일동기화 ] 를클릭합니다. 116 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 고급 DEM 설정구성 McAfee Database Event Monitor(DEM) 의부하가클경우 DEM 성능을변경또는증대시킵니다. 1 시스템탐색트리에서 [DEM 속성 ] 을선택한다음 [DEM 구성 ] 을클릭합니다. 2 [ 고급 ] 을클릭한후다음설정을정의합니다. 옵션 [ 로그파일세부정보수준 ] 정의 DEM 에이전트에서 DEM 관리자로보낸로그정보의상세정보수준 ([ 정보 ], [ 경고 ] 및 [ 디버그 ]) 을설정합니다. [ 디버그 ] 를선택할경우정보가세부적이며많은디스크공간을사용할수있습니다. [ 에이전트레지스트리포트 ] 및 [ 에이전트서비스포트 ] 기본에이전트레지스트리및서비스포트를변경합니다. 이러한포트는에이전트와통신하는데사용됩니다. [ 암호화사용 ] DEM 에이전트에서 DEM 관리자로보내는정보를암호화하거나암호화하지않도록선택합니다. 이로그는수신될때암호해독됩니다. [Kerberos 서버 IP] Windows 통합보안을사용한데이터베이스인증을위해 Kerberos 프로토콜분석에서사용자이름을검색하려는경우 Kerberos 서버 IP 주소를입력합니다. IP; 포트 ;VLAN;IP; 포트 ( 예 : 10.0.0.1;88;11,10.0.0.2;88;12) 형식을사용하여여러 IP, 포트및 VLAN 설정을지정할수있습니다. IPv6 도동일한형식을사용하여지원됩니다. [ 공유메모리 ] DEM 에서데이터베이스이벤트를처리하는데사용하는버퍼의크기를선택합니다. 버퍼의크기를늘리면성능이향상됩니다. [ 이벤트리포지토리 ] 3 다음옵션중하나를선택취소합니다. 이벤트가검색되는위치를선택합니다. [ 파일 ] 을선택할경우로컬 DEM 의파일을읽고해당이벤트를구문분석합니다. [EDB] 를선택할경우이벤트가데이터베이스에서수집됩니다. 옵션 정의 [McAfee Firewall 패킷캡처 ] DEM 에데이터베이스데이터를구문분석하는더빠른방법을제공합니다. [ 트랜잭션추적 ] 데이터베이스트랜잭션을추적하고변경사항을자동조정합니다. DEM 속도를향상시키려면선택취소합니다. [ 사용자 ID 추적 ] 데이터베이스에액세스할때일반사용자이름을사용하므로사용자 ID 가데이터베이스로전파되지않을경우사용자 ID 를추적합니다. DEM 속도를향상시키려면선택취소합니다. [ 중요한데이터마스크 ] 중요한정보를마스크라는일반사용자정의문자열로바꿔중요한데이터를무단으로볼수없도록합니다. DEM 속도를향상시키려면선택취소합니다. [ 로컬호스트감사 ] 로컬호스트를감사하여알수없는데이터베이스액세스경로를추적하고실시간으로이벤트를보냅니다. DEM 속도를향상시키려면선택취소합니다. [ 쿼리구문분석 ] 쿼리분석을수행합니다. DEM 속도를향상시키려면선택취소합니다. [ 첫번째결과행캡처 ] [Bind 변수지원 ] 4 [ 확인 ] 을클릭합니다. 참고항목 : 이벤트에대한패킷을검색할때 Select 문의심각도가 95 보다작은값으로설정된경우쿼리의첫번째결과행을볼수있습니다. DEM 속도를향상시키려면선택취소합니다. 실행될때마다명령을재분석하는오버헤드를발생시키지않고 Oracle bind 변수를반복해서재사용합니다. 115 페이지의 McAfee Database Event Monitor(DEM) 118 페이지의 DEM 이벤트의액션정의 McAfee Enterprise Security Manager 10.3.x 제품안내서 117
3 McAfee ESM 구성 McAfee ESM 장치구성 DEM 구성설정적용 DEM(Database Event Monitor) 구성설정을 DEM 장치에적용합니다. 1 시스템탐색트리에서 [DEM 속성 ] 을선택한다음 [DEM 구성 ] 을클릭합니다. 2 [ 적용 ] 을클릭합니다. DEM 이벤트의액션정의 DEM 이규칙및데이터액세스정책을필터링하는데사용하는이벤트에대한 DEM(Database Event Monitor) 액션및을정의합니다. 기본액션및사용자지정액션에대한을설정합니다. DEM 은다음기본액션및을제공합니다. [ 없음 ] [ 스크립트 ] [ 무시 ] [ 재설정 ] [ 삭제 ] [ 스크립트 ] 를으로선택하는경우별칭이름 (SCRIPT ALIAS) 이필요하며중요도이벤트가발생하는경우실행해야하는실제스크립트 (SCRIPT NAME) 를선택합니다. 두개의환경변수, ALERT_EVENT 및 ALERT_REASON. ALERT_EVENT 로전달되는스크립트에는콜론으로구분된메트릭목록이포함됩니다. DEM 은샘플배시스크립트 / home/auditprobe/conf/sample/process_alerts.bash 를제공하여스크립트에서중요도액션을캡처할수있는방법을보여줍니다. 액션및을수행할때다음사항을고려합니다. 액션은우선순위의순서에따라표시됩니다. 경보액션으로지정하지않으면이벤트가 SNMP 트랩또는페이지호출기알림보내기와같은액션을수행하지않습니다. 규칙이둘이상의경보수준에해당되는경우가장높은경보수준만실행가능합니다. 이벤트는액션에관계없이이벤트파일에작성됩니다. 유일한예외는 [ 삭제 ] 입니다. 참고항목 : 115 페이지의 McAfee Database Event Monitor(DEM) 117 페이지의고급 DEM 설정구성 118 페이지의 DEM 액션추가 DEM 액션추가 [ 정책편집기 ] 에서규칙에 DEM(Database Event Monitor) 액션을선택합니다. 1 시스템탐색트리에서 [ 정책편집기 ] 아이콘을클릭한다음 [ 도구 ] [DEM 액션관리자 ] 를클릭합니다. 기존 DEM 액션은우선순위의순서에따라표시됩니다. 기본액션의우선순위순서를변경할수없습니다. 사용자지정액션의기본은 [ 없음 ] 입니다. 2 [ 추가 ] 를클릭한다음이액션의이름및설명을입력합니다. 사용자지정액션을추가하면삭제할수없습니다. 3 [ 확인 ] 을클릭합니다. 118 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 참고항목 : 118 페이지의 DEM 이벤트의액션정의 DEM 사용자지정액션편집 DEM(Database Event Monitor) 액션관리목록에액션을추가하면이름또는우선순위를변경할수있습니다. 1 시스템탐색트리에서 [ 정책편집기 ] 아이콘을클릭한다음 [ 도구 ] [DEM 액션관리자 ] 를클릭합니다. 2 변경할사용자지정액션을클릭하고다음중하나를수행합니다. 우선순위순서를변경하려면올바른위치까지위로화살표또는아래로화살표를클릭합니다. 이름또는설명을변경하려면 [ 편집 ] 을클릭합니다. 3 [ 확인 ] 을클릭하여설정을저장합니다. DEM 액션의설정 모든규칙액션에는기본이있습니다. 사용자지정 DEM(Database Event Monitor) 액션을추가하는경우기본은 [ 없음 ] 입니다. 액션을 [ 무시 ], [ 삭제 ], [ 스크립트 ] 또는 [ 재설정 ] 으로변경할수있습니다. 1 시스템탐색트리에서 [DEM 속성 ] 을선택한다음 [ 액션관리 ] 를클릭합니다. 2 액션을강조표시한다음 [ 편집 ] 을클릭합니다. 사용자지정액션을삭제하거나기본액션의우선순위를변경할수없습니다. 3 규칙액션의을다음과같이변경합니다. 옵션 정의 [ ] 규칙이이벤트를트리거하는경우이액션이수행할을선택합니다. 옵션은다음과같습니다. [ 없음 ] 아무도수행하지않습니다. [ 무시 ] 데이터베이스에이벤트를보관하지만사용자인터페이스에는표시하지않습니다. [ 삭제 ] 데이터베이스에이벤트를보관하지않거나사용자인터페이스에표시하지않습니다. [ 스크립트 ] 정의하는스크립트를실행합니다. [ 재설정 ] TCP RST 패킷을클라이언트및서버에보내데이터베이스연결을해제하려고시도합니다. [ 스크립트이름 ] [ 스크립트 ] 를으로선택한경우스크립트이름을설정합니다. 드롭다운목록에스크립트가없는경우 [ 스크립트파일관리 ] 페이지에서 [ 스크립트이름 ] 을클릭하고스크립트를선택합니다. 4 [ 확인 ] 을클릭합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 119
3 McAfee ESM 구성 McAfee ESM 장치구성 DEM 규칙메트릭참조 다음은 DEM 규칙표현식에대한메트릭참조목록으로, DEM 규칙을추가할때 [ 표현식구성요소 ] 페이지에서사용할수있습니다. 이름정의데이터베이스유형 [ 응용프로그램이름 ] 규칙이적용되는데이터베이스유형을식별하는이름입니다. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PIServer, InterSystems Cache [ 시작시간 ] 쿼리의시작타임스탬프입니다. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache [ 시작시간차이 ] 서버시계시간차이를캡처합니다. MSSQL, Oracle, DB2, Sybase, MySQL, PostgreSQL, Teradata, PIServer, InterSystems Cache [ 클라이언트 IP] 클라이언트의 IP 주소입니다. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache [ 클라이언트이름 ] 클라이언트시스템의이름입니다. MSSQL, Oracle, DB2, Sybase, Informix, PIServer, InterSystems Cache [ 클라이언트 PID] 운영체제에서클라이언트프로세스에할당한프로세스 ID입니다. MSSQL, DB2, Sybase, MySQL [ 클라이언트포트 ] 클라이언트소켓연결의포트번호입니다. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache [ 명령이름 ] MySQL 명령의이름입니다. MSSQL, Oracle, DB2, Sybase, Informix [ 명령유형 ] MySQL 명령의유형 ( 예 : DDL, DML, 표시또는복제 ) 입니다. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache [ 인바운드데이터 ] [ 아웃바운드데이터 ] 인바운드쿼리패킷의총바이트수입니다. 아웃바운드결과패킷의총바이트수입니다. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache 120 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 이름정의데이터베이스유형 [ 데이터베이스이름 ] 액세스할데이터베이스의이름입니다. MSSQL, DB2, Sybase, MySQL, Informix, PostgreSQL, PIServer, InterSystems Cache [ 종료시간 ] 완료타임스탬프쿼리의종료입니다. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache [ 오류메시지 ] 요청한 SQL 문의성공또는실패에대한정보를제공하는 SQLCA(SQL Communication Area) 데이터구조의 SQLCODE 및 SQLSTATE 변수와관련된메시지텍스트를포함합니다. DB2, Informix [ 메시지번호 ] 데이터베이스서버에서각오류에할당한고유한메시지번호입니다. MSSQL, Oracle, Sybase, MySQL, Informix, PostgreSQL, Teradata, InterSystems Cache [ 메시지심각도 ] 10 에서 24 사이의심각도수준번호로, 문제의유형및심각도를나타냅니다. MSSQL, Sybase, Informix [ 메시지텍스트 ] 메시지의전체텍스트입니다. MSSQL, Oracle, Sybase, MySQL, Informix, PostgreSQL, Teradata, InterSystems Cache [ 네트워크시간 ] 결과세트를클라이언트로다시보내는데걸린시간 (response_time - server_response_time) 입니다. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache [NT 클라이언트이름 ] 사용자가로그인한 Windows 시스템이름입니다. MSSQL [NT 도메인이름 ] 사용자가로그인한 Windows 도메인이름입니다. MSSQL [NT 사용자이름 ] Windows 사용자로그인이름입니다. MSSQL [ 개체이름 ] MSSQL, Oracle, DB2, Sybase, MySQL, Informix [OSS 사용자이름 ] [ 패키지이름 ] 패키지에는 SQL 문을실행하는데사용된제어구조가포함됩니다. 패키지는프로그램준비중에생성되며 DB2 하위명령 BIND PACKAGE 를사용하여만듭니다. Oracle DB2 [ 인바운드패킷 ] 쿼리를구성하는패킷수입니다. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache [ 아웃바운드패킷 ] 반환결과세트를구성하는패킷수입니다. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache McAfee Enterprise Security Manager 10.3.x 제품안내서 121
3 McAfee ESM 구성 McAfee ESM 장치구성 이름정의데이터베이스유형 [ 암호 ] MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, InterSystems Cache [ 암호길이 ] MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, InterSystems Cache [ 쿼리블록크기 ] 쿼리블록은쿼리및결과세트데이터의기본전송단위입니다. 쿼리블록크기를지정하면리소스가제한될수있는요청자가한번에반환되는데이터의양을제어할수있습니다. DB2, Informix [ 쿼리종료상태 ] 쿼리의종료상태입니다. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, InterSystems Cache [ 쿼리번호 ] AuditProbe 모니터링에이전트에서각쿼리에할당한고유한번호로, 첫번째쿼리에대한 0 부터시작하여 1 씩증가합니다. MSSQL, Oracle, DB2, Sybase, MySQL, PostgreSQL, Teradata, PIServer, InterSystems Cache [ 쿼리텍스트 ] 클라이언트에서보낸실제 SQL 쿼리입니다. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache [ 쿼리유형 ] 다른유형의쿼리에할당된정수입니다. MSSQL, Oracle, Sybase [ 실제사용자이름 ] 클라이언트사용자로그인이름입니다. [ 응답콘텐츠 ] MSSQL, Oracle, DB2, Sybase, MySQL, Informix [ 응답시간 ] 쿼리의엔드투엔드응답시간 (server_response_time + network_time) 입니다. MSSQL, Oracle, Sybase, MySQL, Informix, PostgreSQL, Teradata, InterSystems Cache [ 행반환 ] 반환결과세트의행수입니다. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache. [ 보안플래그 ] 관리자가지정한액세스정책파일기준을충족하는경우값이 1(TRUSTED) 또는 2(UNTRUSTED) 로설정되는보안플래그메트릭입니다. 값 3 은정책파일기준이충족되지않았음을나타냅니다. 값 0 은보안모니터링이설정되지않았음을나타냅니다. MSSQL, Oracle, DB2, Sybase, MYSQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems [ 심각도메커니즘 ] 사용자 ID 의유효성을검사하는데사용되는보안메커니즘 ( 예 : 사용자 ID 및암호 ) 입니다. DB2 122 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 이름정의데이터베이스유형 [ 서버 IP] 데이터베이스서버호스트의 IP 주소입니다. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, InterSystems Cache [ 서버이름 ] 서버의이름입니다. 기본적으로호스트이름이서버이름으로할당됩니다. MSSQL, Oracle, DB2, Sybase, Informix, PIServer, InterSystems Cache [ 서버포트 ] 서버의포트번호입니다. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, InterSystems Cache [ 서버응답시간 ] 클라이언트쿼리에대한데이터베이스서버의초기응답입니다. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache [ 심각도코드 ] DB2 [SID] Oracle 시스템식별자입니다. Oracle, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache [SPID] [SQL 코드 ] 고유한각연결 / 세션에할당된데이터베이스시스템프로세스 ID 입니다. SQL 문이실행될때마다클라이언트는 SQL 오류또는경고에대한 DB2 관련정보를추가로제공하는반환코드인 SQLCODE 를수신합니다. SQLCODE EQ 0 은실행에성공했음을나타냅니다. SQLCODE GT 0 은실행에성공했지만경고가표시됨을나타냅니다. SQLCODE LT 0 은실행에성공하지못했음을나타냅니다. SQLCODE EQ 100 은데이터가없음을나타냅니다. 0 과 100 이아닌다른 SQLCODE 의의미는 SQL 을구현하는특정제품에따라달라집니다. MSSQL, Sybase [SQL 명령 ] SQL 명령의유형입니다. [SQL 상태 ] DB2 SQLSTATE 는 IBM 관계형데이터베이스시스템에서발견된일반오류조건에대한일반반환코드를응용프로그램에제공하는추가반환코드입니다. DB2 [ 사용자이름 ] 데이터베이스사용자로그인이름입니다. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache McAfee Enterprise Security Manager 10.3.x 제품안내서 123
3 McAfee ESM 구성 McAfee ESM 장치구성 중요한데이터마스크 중요한정보를마스크라는일반문자열로바꾸면중요한데이터마스크가중요한데이터의무단보기를방지합니다. DEM 장치를추가하면 ESM 데이터베이스에중요한표준데이터마스크가추가됩니다. 마스크를추가하거나변경할수도있습니다. 표준마스크는다음과같습니다. 중요한마스크이름 : 신용카드번호마스크 표현식 : ((4\d{3}) (5[1-5]\d{2}) (6011))-?\d{4}-?\d{4}-?\d{4} 3[4,7]\d{13} 하위문자열인덱스 : \0 마스크패턴 : ####-####-####-#### 중요한마스크이름 : SSN 의마스크처음 5 자 표현식 : (\d\d\d-\d\d)-\d\d\d\d 하위문자열인덱스 : \1 마스크패턴 : ###-## 중요한마스크이름 : SQL Stmt 의마스크사용자암호 표현식 : create\s+user\s+(\w+)\s+identified\s+by\s+(\w+) 하위문자열인덱스 : \2 마스크패턴 : ******** 중요한데이터마스크관리 중요한 McAfee ESM 정보를보호하려면중요한데이터마스크를추가, 변경또는제거합니다. 1 시스템탐색트리에서 [DEM 속성 ] 을선택한다음 [ 중요한데이터마스크 ] 를클릭합니다. 2 옵션을선택한다음요청한정보를입력합니다. 중요한데이터마스크의이름을지정합니다. PCRE(Perl-Compatible Regular Expression) 구문을준수하는 REGEX 표현식을입력합니다. 옵션을선택합니다. 표현식에사용되는괄호 () 숫자에따라옵션이추가됩니다. 한세트의괄호가있는경우옵션은 \0 과 \1 입니다. \0 을선택하면전체문자열이마스크로바뀝니다. \1 을선택하면문자열만마스크로바뀝니다. 원래값대신나타나야하는마스크패턴을입력합니다. 3 [ 확인 ] 을클릭한다음 [ 쓰기 ] 를클릭하여 DEM 에설정을추가합니다. 124 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 사용자 ID 관리정규식패턴을사용하여실제사용자이름이쿼리어딘가에존재하는경우캡처합니다. DEM 장치를추가하면시스템에서정의된식별자규칙을 McAfee ESM 데이터베이스에추가합니다. 식별자규칙이름 : SQL Stmt에서사용자이름가져오기표현식 : select s+username=(\w+) 응용프로그램 : Oracle 하위문자열인덱스 : \1 식별자규칙이름 : 저장프로시저에서사용자이름가져오기표현식 : sessionstart\s+@appname='(\w+)', @username='(\w+)', 응용프로그램 : MSSQL 하위문자열인덱스 : \2 DEM, 응용프로그램, 웹서버, 시스템및 ID 와액세스관리로그온을 McAfee ESM 에상호연결하면고급사용자상관이가능해집니다. 사용자식별자규칙추가 데이터베이스쿼리를개인과연결하려면기존사용자식별자규칙을사용하거나규칙을추가합니다. 1 시스템탐색트리에서 [DEM 속성 ] 을선택한다음 [ 식별자관리 ] 를클릭합니다. 2 [ 추가 ] 를클릭한다음요청한정보를입력합니다. 식별자규칙의이름을입력합니다. PCRE 구문을준수하는정규표현식을입력합니다. 정규식연산자는 Perl 5 와동일한의미를사용하는패턴일치를위해 PCRE 라이브러리를구현합니다. 일반구문은 <" 메트릭이름 "> 정규식 <" 패턴 "> 입니다. 정보를관찰할응용프로그램 ( 데이터베이스유형 ) 을선택합니다. 하위문자열을선택합니다. 표현식에사용되는괄호 () 숫자에따라옵션이추가됩니다. 한세트의괄호가있는경우옵션은 \0 과 \1 입니다. 3 [ 확인 ] 을클릭한다음 [ 쓰기 ] 를클릭하여 DEM 에설정을씁니다. 데이터베이스서버정보 데이터베이스서버는데이터베이스을모니터링합니다. 데이터베이스서버에표시된이악의적인데이터액세스를나타내는알려진패턴과일치하는경우경보가생성됩니다. 각 DEM 은최대 255 개의데이터베이스서버를모니터링할수있습니다. DEM 은현재다음데이터베이스서버및버전을지원합니다. OS 데이터베이스 DEM 어플라이언스 Windows( 모든버전 ) Microsoft SQL Server¹ MSSQL 7, 2000, 2005, 2008, 2012 Windows UNIX/Linux( 모든버전 ) Oracle² Oracle 8.x, 9.x, 10g, 11g³, 11g R2 Sybase 11.x, 12.x, 15.x McAfee Enterprise Security Manager 10.3.x 제품안내서 125
3 McAfee ESM 구성 McAfee ESM 장치구성 OS 데이터베이스 DEM 어플라이언스 DB2 8.x, 9.x, 10.x Informix( 참고 4 참조 ) 11.5 MySQL 예, 4.x, 5.x, 6.x PostgreSQL 7.4.x, 8.4.x, 9.0.x, 9.1.x Teradata 12.x, 13.x, 14.x InterSystem Cache 2011.1.x UNIX/Linux( 모든버전 ) Greenplum 8.2.15 Vertica 5.1.1-0 Mainframe DB2/zOS 모든버전 AS 400 DB2 모든버전 1 Microsoft SQL Server에대한패킷암호해독지원은버전 8.3.0 이상에서사용가능합니다. 2 Oracle에대한패킷암호해독지원은버전 8.4.0 이상에서사용가능합니다. 3 Oracle 11g는버전 8.3.0 이상에서사용가능합니다. 4 Informix 지원은버전 8.4.0 이상에서사용가능합니다. OS 및데이터베이스플랫폼의 32 비트와 64 비트버전이지원됩니다. MySQL 은 Windows 32 비트플랫폼에서만지원됩니다. 패킷암호해독이 MSSQL 및 Oracle 에대해지원됩니다. 데이터베이스서버관리 DEM(Database Event Monitor) 장치의모든데이터베이스서버에대한설정을관리합니다. 각 DEM 장치에최대 255 개의데이터베이스서버를연결할수있습니다. 1 시스템탐색트리에서 [DEM 속성 ] 을선택한다음 [ 데이터베이스서버 ] 를클릭합니다. 2 사용가능한옵션중하나를선택합니다. 옵션 정의 [ 활성화됨 ] DEM 에서이데이터베이스서버의데이터를처리하도록할지를선택합니다. 비활성화된경우나중에사용하도록구성설정이 ESM 에저장됩니다. [ 저장소풀 ] 수신한데이터를 ELM 장치로보내려면저장소풀을클릭하여선택합니다. [ 영역 ] 시스템에정의된영역이있는경우이데이터베이스서버를할당할영역을선택합니다. 영역을시스템에추가하려면 [ 영역 ] 을클릭합니다. [ 데이터베이스유형 ] 데이터베이스의유형을선택합니다. 나머지필드는이필드에서선택한항목에따라달라집니다. DEM 은 PI 시스템에연결하기위해 PI JDBC 드라이버를구현합니다. PI SQL DAS(Data Access Server) 는 PI JDBC 드라이버와 PI OLEDB 사이의게이트웨이역할을합니다. 또한 PI JDBC 에보안네트워크통신 (https) 을제공하며 PI OLEDB 소비자 ( 클라이언트 ) 로쿼리를실행합니다. 126 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 옵션 [ 데이터베이스서버이름 ] 정의 이데이터베이스서버의이름을입력합니다. [ 데이터베이스유형 ] 필드에서 PIServer 를선택한경우이필드는 [DAS 데이터소스이름 ] 이되며, DAS(Data Access Server) 게이트웨이에서액세스하는 PI 서버의이름입니다. 이필드는 DAS 구성에서지정한것과정확하게일치해야합니다. DAS 서버가 PI 서버와동일한호스트에설치된경우 DAS 호스트이름과동일할수있습니다. [ 장치 URL] 사용가능한주소가있을경우데이터베이스서버정보를볼수있는 URL 주소를입력합니다. [IP 주소 ] 입력한 URL 주소에타사응용프로그램의주소가포함된경우변수아이콘 URL 주소에변수를추가합니다. 을클릭하여 이데이터베이스서버또는 DAS 의단일 IP 주소를 IP 주소필드에입력합니다. 이필드는 IPv4 점표기법의단일 IP 주소를허용합니다. 마스크는이러한 IP 주소에사용할수없습니다. [ 우선순위그룹 ] 데이터베이스서버를우선순위그룹에할당합니다. 따라서 DEM 에서처리한데이터의부하를조정할수있습니다. [ 데이터베이스서버 ] 테이블에서데이터베이스서버목록및해당데이터베이스서버가속한우선순위그룹을볼수있습니다. [ 가상 LAN ID] 필요한경우가상 LAN ID 를입력합니다. "0" 값을입력하면모든 VLAN 을나타냅니다. [ 인코딩옵션 ] 사용가능한없음, UTF8 및 BIG5 옵션중하나를선택합니다. [ 특수옵션선택 ] 다음중하나를선택합니다 ( 사용가능한옵션은선택한데이터베이스유형에따라달라짐 ). Windows 플랫폼에서실행되는 Oracle 서버를모니터링하는경우 [ 포트리디렉션 ] 을지정해야합니다. 데이터베이스서버에서명명된파이프 SMB 프로토콜을사용하는경우 [ 서버에서명명된파이프사용 ] 을선택해야합니다. MSSQL 의기본파이프이름은 \\.\pipe\sql\query 이고기본포트는 445 입니다. 데이터베이스서버에서 TCP 동적포트를활성화한경우 [ 동적포트 ] 를선택해야합니다. 데이터베이스서버또는 DAS 의포트번호를 [ 포트 ] 필드에입력합니다. 포트는연결을수신하고있는데이터베이스서버의서비스포트입니다. 공통기본포트번호는 MSSQL(Microsoft SQL Server) 의경우 1433, Oracle 의경우 1521, MySQL 의경우 3306, DAS(Data Access Server) 의경우 5461, DB2/UDB 의경우 50000 입니다. [Kerberos 인증 ] SQL Server 에서 Kerberos 인증을수행하도록하려면선택합니다. [RSA 암호화유형 ] [RSA 암호화수준 ] [RSA 키 ] [ 없음 ] 또는 [RSA] 를선택합니다. 강제암호화에서선택한사항에따라적절한옵션을선택합니다. [ 강제암호화 ] 가아니요인경우 [ 로그인패킷암호해독 ], [ 강제암호화 ] 가예인경우 [ 모든패킷암호해독 ] 을선택합니다. [ 찾아보기 ] 를클릭하고 [RSA 키 ] 파일을선택하거나파일의키를복사하여 [RSA 키 ] 필드에붙여넣습니다. ESM 콘솔은암호가없는.pem 파일형식의 RSA 인증서만허용합니다. [ 사용자이름 ] PI DAS 로그온에대한사용자이름을입력합니다. PI DAS 는 Windows 에설치되므로 Windows 통합보안을사용합니다. 사용자이름을도메인 \ 로그인으로지정해야합니다. [ 암호 ] DAS 사용자이름의암호를입력합니다. [ 보관로그검색 ] PI 서버보관에서모든지점의변경사항을폴링하도록하려면선택합니다. [ 모니터링할지점 ] 3 [ 확인 ] 을클릭합니다. 쉼표로구분된지점목록을입력하여해당지점만모니터링합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 127
3 McAfee ESM 구성 McAfee ESM 장치구성 데이터베이스탐색통보관리 DEM(Database Event Monitor) 은모니터링되지않는데이터베이스서버의예외목록을검색하여환경의데이터베이스서버와데이터베이스의데이터에액세스하기위해열리는불법적인수신기포트를검색할수있도록합니다. 활성화되면알림을받고시스템에서모니터링되는데이터베이스서버에서버를추가할지여부를선택합니다. 1 시스템탐색트리에서 [DEM 속성 ] 을선택한다음 [ 데이터베이스서버 ] [ 활성화 ] 를클릭합니다. 2 [DEM 속성 ] 을닫으려면 [ 확인 ] 을클릭합니다. 3 통보를보려면시스템탐색트리에서 DEM 장치를클릭한다음 [ 이벤트보기 ] [ 이벤트분석 ] 을클릭합니다. 4 시스템에서버를추가하려면 [ 이벤트분석 ] 보기를선택한다음 [ 메뉴 ] 아이콘을클릭하고 [ 서버추가 ] 를선택합니 다. 분산 ESM(DESM) 분산 ESM(DESM) 은분산아키텍처를제공하여이를통해기본 ESM 에서최대 100 개의보조장치에연결하고해당장치에서데이터를수집할수있습니다. ESM 장치에서생성되어유지되는데이터로원활하게드릴다운할수있습니다. [ 계층적 ESM 승인 ] 을클릭하면기본 ESM 이 DESM 에서사용할수있는통신유형을선택할수있습니다. 보조장치의 IP 주소를변경한후분산 ESM 에키를지정하는경우기본 ESM 에다시연결되도록해당포트 443 이열려있어야합니다. 기본 ESM 기본 ESM 은정의한필터에따라보조장치에서데이터를꺼냅니다. 기본 ESM 이이벤트를꺼낼수있으려면 DESM 이이를승인해야합니다. 기본장치에서필터를설정하고데이터소스를동기화하고사용자지정유형을푸시할수있습니다. 승인된경우에만 DESM 에서규칙또는이벤트를가져올수있습니다. 기본 ESM 은 ESM 장치에속하는장치를관리하지않습니다. 기본 ESM 이직접연결된 ESM 장치의시스템트리를표시하지만보조 ESM 장치를표시하거나여기에서이벤트를꺼내지않습니다. 보조 DESM 장치에는도구모음이나타나지않습니다. 기본 ESM 은 ESM 장치에있는데이터를관리하지않습니다. 대신정의한필터에따라 ESM 장치데이터의하위집합이전송되고기본 ESM 에저장됩니다. DESM 필터추가 ESM 장치에서기본분산 ESM(DESM) 으로전송된데이터는사용자정의필터에따라다릅니다. ESM 장치에서필터를적용하듯이필터를저장하므로적절한해시또는비트세트가생성될수있습니다. DESM 필터를사용하여 ESM 장치에서데이터를수집합니다. 1 시스템탐색트리에서 [DESM 속성 ] 을선택한다음 [ 필터 ] 를클릭합니다. 2 요청된데이터를입력한다음 [ 확인 ] 을클릭합니다. 128 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 epolicy Orchestrator epolicy Orchestrator 장치를 McAfee ESM 에추가할수있으며이장치의응용프로그램이시스템탐색트리의보조장치로나열됩니다. 인증되면 McAfee ESM 의기능에액세스하고 epolicy Orchestrator 태그를경보에서생성한이벤트및소스또는대상 IP 주소에직접할당할수있습니다. epolicy Orchestrator 는이벤트를 epolicy Orchestrator 가아닌수신기에서가져오기때문에수신기와연결되어야합니다. epolicy Orchestrator 를사용하려면마스터데이터베이스및 epolicy Orchestrator 데이터베이스에대한읽기권한이있어야합니다. McAfee epo 장치에 McAfee Threat Intelligence Exchange (TIE) 서버가있는경우 McAfee epo 장치를 McAfee ESM 에추가할때시스템에서이서버를자동으로추가합니다. McAfee epo 에서 McAfee ESM 시작 McAfee epolicy Orchestrator 에 McAfee epo McAfee ESM 장치또는데이터소스가있고 McAfee epo IP 주소가로컬네트워크에있는경우 McAfee epo 에서 McAfee ESM 를시작할수있습니다. 시작하기전에 McAfee epo 장치또는데이터소스를 McAfee ESM 에추가합니다. 1 대시보드에서보기를엽니다. 2 소스 IP 주소또는대상 IP 주소를반환하는결과를선택합니다. 3 구성요소의메뉴에서 [ 액션 ] [epo 실행 ] 을클릭합니다. 시스템에 McAfee epo 장치또는데이터소스가한개만있고소스 IP 주소또는대상 IP 주소를선택한경우 McAfee epo 가시작됩니다. 시스템에여러개의 McAfee epo 장치또는데이터소스가있는경우액세스하려는장치를선택하면 McAfee epo 가시작됩니다. McAfee epo 장치인증 McAfee epo 태그지정또는액션을사용하려면인증이필요합니다. 다음두가지유형의인증이있습니다. 단일글로벌계정 McAfee epo 장치에대한액세스권한이있는그룹에속한경우글로벌자격증명을입력한다음이러한기능을사용할수있습니다. 사용자당각장치에대한별도의계정 장치트리에서장치를보려면권한이필요합니다. 액션또는태그를사용하는경우선택한인증방법을사용합니다. 시스템에서유효한자격증명을입력하라는메시지가표시되며장치와나중에통신하려면자격증명을저장해야합니다. 별도의계정인증설정 기본설정은글로벌계정인증입니다. 개별계정인증을설정하려면다음두가지를수행해야합니다. 1 McAfee ESM 에 McAfee epo 장치를추가하거나연결설정을지정할때 [ 사용자인증필요 ] 가선택되어있는지확인합니다. 2 자격증명을입력합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 129
3 McAfee ESM 구성 McAfee ESM 장치구성 McAfee epo 인증자격증명추가 McAfee epolicy Orchestrator(McAfee epo) 태그지정또는액션을사용하기전에인증자격증명을 McAfee ESM 에추가해야합니다. 시작하기전에 McAfee epo 장치를 McAfee ESM 에설치합니다. 장치에사용자이름및암호가없는경우시스템관리자에게문의하십시오. 1 시스템탐색막대에서 [ 옵션 ] 을클릭한다음 [epo 자격증명 ] 을클릭합니다. 2 장치를클릭한다음 [ 편집 ] 을클릭합니다. 3 사용자이름및암호를입력한다음 [ 테스트연결 ] 을클릭합니다. 4 [ 확인 ] 을클릭합니다. McAfee epolicy Orchestrator(McAfee epo) 태그를 IP 주소에할당 McAfee epo 태그를경고에의해생성된이벤트에할당하고경고에 McAfee epo 태그가있는지확인합니다. 또한한개이상의태그를선택하여 IP 주소에적용할수도있습니다. 시작하기전에 다음 McAfee epo 권한이있는지확인합니다. [ 태그적용, 제외및지우기 ] 및 [ 에이전트웨이크업 ; 에이전트로그보기 ] 1 시스템탐색트리에서 [epo 속성 ] 을선택한다음 [ 태그지정 ] 을클릭합니다. 2 요청한정보를완료한다음 [ 할당 ] 을클릭합니다. 호스트이름또는 IP 주소 ( 쉼표로구분된목록지원 ) 를입력한다음태그목록에서하나이상의태그를선택합니다. 즉시태그를적용하기위해응용프로그램을웨이크업하려면선택합니다. 선택한태그를 IP 주소에적용하려면 [ 할당 ] 을클릭합니다. McAfee Risk Advisor 데이터취득 McAfee Risk Advisor 데이터를취득할여러 McAfee epo 서버를지정할수있습니다. McAfee epo SQL Server 데이터베이스의데이터베이스쿼리를통해데이터를취득합니다. IP 및평판점수목록의데이터베이스쿼리결과와낮은평판및높은평판값의상수값이제공됩니다. 이시스템은모든 McAfee epo 와 McAfee Risk Advisor 를병합하며중복 IP 가가장높은점수를받습니다. 시스템은 SrcIP 및 DstIP 필드의점수매기기에사용되는 McAfee Advanced Correlation Engine(ACE) 장치에낮은값과높은값이있는병합된목록을보냅니다. McAfee epo 를추가하면시스템에서 McAfee Risk Advisor 데이터를구성할지여부를묻는메시지가표시됩니다. [ 예 ] 를클릭하면시스템은데이터강화소스와두개의 ACE 점수매기기규칙 ( 해당되는경우 ) 을만들고롤아웃합니다. 점수규칙을사용하려는경우위험상관관리자를만들어야합니다. 130 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 McAfee Risk Advisor 데이터취득활성화 McAfee epo 에서 McAfee Risk Advisor 데이터취득을활성화하면시스템에서점수목록을생성하고 SrcIP 및 DstIP 필드채점에사용되는 McAfee ACR(Advanced Correlation Engine) 로보냅니다. 1 시스템탐색트리에서 [epo 속성 ] [ 장치관리 ] 를선택한다음 [ 활성화 ] 을클릭합니다. 2 [ 확인 ] 을클릭합니다. 옵션 [ ELM 로깅관리 ] 정의 선택한장치의기본로깅풀을구성합니다. 이옵션은 McAfee ESM 에 McAfee ELM(Enterprise Log Manager) 이있는경우에만사용할수있습니다. [ 영역 ] McAfee epo 를영역에할당하거나현재설정을변경합니다. [ 수동장치새로고침 ] [ 마지막새로고침시간 ] McAfee epo 장치의응용프로그램목록을새로고치고각응용프로그램에대해클라이언트데이터소스를작성합니다. 응용프로그램을마지막으로새로고친시간을표시합니다. [MRA 활성화 ] McAfee Risk Advisor 데이터취득을활성화합니다. [ 우선순위 ] 동일한자산또는위협을수신하도록설정된여러 McAfee epo, 자산소스또는취약성평가장치가있을수있습니다. 이경우다른장치에서동일한정보를수신할때를대비하여이 McAfee epo 장치에서데이터의우선순위를선택합니다. [ 응용프로그램새로고침예약 ] 예를들어 epo-1 과 VA-1 둘다시스템을모니터링합니다. epo-1 은시스템에서소프트웨어및하드웨어정보를수집하고 VA-1 은 Windows 를설치했다는사실을수집합니다. epo-1 이 VA-1 보다더높은우선순위를갖도록설정하면 VA-1 이수집하는정보가 epo-1 이수집하는정보를덮어쓸수없습니다. McAfee epo 장치에서응용프로그램목록을자동으로새로고치려면드롭다운목록에서빈도를선택합니다. McAfee Threat Intelligence Exchange (TIE) 통합 McAfee Threat Intelligence Exchange (TIE) 는이파일에연결된엔드포인트에서실행가능한프로그램의평판을확인합니다. McAfee epo 장치를 McAfee ESM 에추가하는경우 TIE 서버가장치에연결되면시스템이자동으로탐지합니다. 그러면 McAfee ESM 이 DXL 및로깅이벤트에대한수신을시작합니다. McAfee ESM 을 DXL 에연결할때지연이발생할수있습니다. TIE 서버가탐지되면 TIE 관심목록, 데이터보강및상관규칙이자동으로추가되고 TIE 경보가활성화됩니다. 변경사항요약에대한링크가포함된시각적통보를받습니다. 장치가 McAfee ESM 에추가된후 TIE 서버가 McAfee epo 서버에추가되는경우에도알려줍니다. TIE 가이벤트를생성하면해당실행기록을보고악의적인데이터로인해수행되는액션을선택합니다. 상관규칙 시스템이 TIE 데이터에대한상관규칙을최적화합니다. 이러한규칙은사용자가검색하고정렬할수있는이벤트를생성합니다. TIE McAfee GTI 평판이클린에서더티로변경됨 TIE 여러악의적인파일이단일호스트에서발견됨 TIE 악의적인파일 (SHA-1) 이점점더많은호스트에서발견됨 TIE 악의적인파일이름이점점더많은호스트에서발견됨 TIE TIE 평판이클린에서더티로변경됨 TIE 악의적인파일의증가가모든호스트에서발견됨 McAfee Enterprise Security Manager 10.3.x 제품안내서 131
3 McAfee ESM 구성 McAfee ESM 장치구성 경보 McAfee ESM 에는중요한 TIE 이벤트가탐지된경우시스템이트리거할수있는두가지경보가있습니다. [TIE 잘못된파일임계값이초과됨 ] 은상관규칙 [TIE 악의적인파일 (SHA-1) 이점점더많은호스트에서발견됨 ] 에서트리거됩니다. [TIE 알수없는파일이실행됨 ] 은특정 TIE 이벤트에서트리거되고정보를 [TIE 데이터소스 IP] 관심목록에추가합니다. 관심목록 [TIE 데이터소스 IP] 관심목록은 [TIE 알수없는파일이실행됨 ] 경보를트리거한시스템목록을유지합니다. 만료날짜가없는정적관심목록입니다. TIE 실행기록 TIE 이벤트에대한실행기록을볼수있습니다. 여기에는파일을실행하려고시도한 IP 주소목록이들어있습니다. 항목을선택하고다음액션을수행합니다. 관심목록만들기 정보를블랙리스트에추가합니다. 정보를관심목록에추가합니다. 정보를.csv 파일에내보냅니다. 경보를만듭니다. Threat Intelligence Exchange 실행기록보기및액션설정 McAfee Threat Intelligence Exchange (TIE) 실행기록에는선택한이벤트와관련된파일을실행한시스템이표시됩니다. 시작하기전에 McAfee ESM 에연결된 Threat Intelligence Exchange 서버가있는 McAfee epolicy Orchestrator 장치가존재해야합니다. 1 시스템탐색트리에서 McAfee epolicy Orchestrator 장치를클릭합니다. 2 보기드롭다운목록에서 [ 이벤트보기 ] [ 이벤트분석 ] 을선택한다음이벤트를클릭합니다. 3 을클릭한다음 [ 액션 ] [TIE 실행기록 ] 을선택합니다. 4 Threat Intelligence Exchange 파일을실행한시스템을봅니다. 5 이데이터를워크플로에추가하려면 [ 액션 ] 드롭다운목록을클릭한다음옵션을선택하여 McAfee ESM 장치를엽니다. 6 선택한액션을설정합니다. McAfee Vulnerability Manager 목차 McAfee Vulnerability Manager 자격증명가져오기 McAfee Vulnerability Manager 검색실행 McAfee Vulnerability Manager 연결설정 132 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 McAfee Vulnerability Manager 자격증명가져오기 McAfee Vulnerability Manager 를 McAfee ESM 에연결하려면 McAfee Vulnerability Manager 자격증명 ( 예 : 인증서및패스프레이즈 ) 을가져와야합니다. 1 Foundstone Certificate Manager 를실행하는서버에서 Foundstone Certificate Manager.exe 를실행합니다. 2 [SSL 인증서만들기 ] 탭을클릭합니다. 3 [ 호스트주소 ] 필드에 McAfee Vulnerability Manager 의웹인터페이스를호스팅하는시스템의 IP 주소또는호스트이름을입력한다음 [ 확인 ] 을클릭합니다. 4 [ 공통이름을사용하여인증서만들기 ] 를클릭하여암호및.zip 파일을생성합니다. 5.zip 파일을업로드하고생성된암호를복사합니다. McAfee Vulnerability Manager 검색실행 McAfee Vulnerability Manager 취약성검색을실행하도록 McAfee ESM 을설정합니다. API 는로그온자격증명을확인하고 60 초마다해당자격증명을기반으로검색목록을채웁니다. 1 시스템탐색트리에서 [MVM 속성 ] 을선택한다음 [ 검색 ] 을클릭합니다. 2 [ 새검색 ] 을클릭한다음요청한정보를입력합니다. 옵션 [ IP 주소 / 범위 ] 정의 검색할 IP 주소, 범위또는 URL 을입력합니다. [ 검색이름 ] ( 선택사항 ) 검색이름을입력합니다. 이름을입력하지않으면 McAfee Vulnerability Manager 는기본이름인 QuickScan_nn(nn = 사용자이름 ) 을사용합니다. [ 템플릿 ] ( 선택사항 ) 기존검색구성의이름인검색템플릿을선택합니다. 선택하지않으면기본값이사용됩니다. [ 엔진 ] ( 선택사항 ) 검색엔진을선택합니다. 선택하지않으면기본값이사용됩니다. 3 [ 확인 ] 을클릭합니다. McAfee Vulnerability Manager 연결설정 McAfee Vulnerability Manager 에서취약성평가데이터를꺼내려면이를장치로 McAfee ESM 에연결해야합니다. 그런다음 McAfee ESM 이수신기로부터 McAfee Vulnerability Manager 이벤트를꺼낼수있도록수신기와연결합니다. 시작하기전에 McAfee Vulnerability Manager 로그온자격증명얻기 이러한설정을변경해도장치자체에는영향을미치지않습니다. 장치가 McAfee ESM 과통신하는방식에만영향을미칩니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 133
3 McAfee ESM 구성 McAfee ESM 장치구성 1 시스템탐색트리에서 [ MVM 속성 ] 을선택한다음 [ 연결 ] 을클릭합니다. 2 요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 옵션 정의 [ 연결된수신기 ] 이 McAfee Vulnerability Manager 와연결된수신기를선택합니다. 이수신기에대한상세정보를보려면링크를클릭합니다. [ 아래에데이터베이스로그인매개변수를입력합니다 ] 요청한대로매개변수를입력합니다. [ 도메인 ] 은선택사항입니다. [ 연결 ] 데이터베이스에대한연결을테스트하려면클릭합니다. [ 아래에웹사이트 UI 자격증명을입력합니다 ] [MVM 서버인증서를업로드하고패스프레이즈를입력합니다 ] 웹자격증명을입력합니다. 데이터베이스및웹응용프로그램의방화벽은 McAfee ESM 이연결할포트를허용해야합니다. McAfee Vulnerability Manager 자격증명을입력한다음 [ 업로드 ] 를클릭하여.zip 파일을탐색합니다. [ 연결 ] 웹사이트에대한연결을테스트합니다. McAfee Network Security Manager 목차 McAfee Network Security Manager 에대한블랙리스트항목추가 McAfee Network Security Manager 의제거된블랙리스트항목관리 McAfee Network Security Manager 에서수준 7 수집 McAfee Network Security Manager 에대한블랙리스트항목추가 McAfee Network Security Manager 가센서를통해블랙리스트를적용합니다. 시작하기전에 블랙리스트기능을사용하려면수퍼사용자여야합니다. 1 시스템탐색트리에서 [NSM 속성 ] 을선택하고 [ 블랙리스트 ] 를클릭한다음센서를선택합니다. 2 이센서에글로벌블랙리스트항목을적용하려면 [ 글로벌블랙리스트포함 ] 을선택합니다. 중복 IP 주소가있는경우글로벌블랙리스트주소가 McAfee Network Security Manager 주소를덮어씁니다. 이옵션을선택하면수동으로만항목을삭제할수있습니다. 3 [ 추가 ] 를클릭하고요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 기간이만료되면항목이블랙리스트에표시됩니다. McAfee Network Security Manager 의제거된블랙리스트항목관리 아직만료되지않았지만 McAfee Network Security Manager 를쿼리하는블랙리스트항목을반환하지않는, McAfee ESM 에서시작된항목은 [ 제거됨 ] 상태및플래그아이콘과함께표시됩니다. 항목을제거했지만 McAfee ESM 에서제거를시작하지않으면이상태가발생합니다. 이항목은블랙리스트에추가하거나블랙리스트에서삭제할수있습니다. 134 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 장치구성 3 1 시스템탐색트리에서 [NSM 속성 ] 을선택한다음 [ 블랙리스트 ] 를클릭합니다. 2 블랙리스트항목목록에서제거된항목을선택한다음 [ 추가 ] 또는 [ 삭제 ] 를클릭합니다. 3 [ 적용 ] 또는 [ 확인 ] 을클릭합니다. McAfee Network Security Manager 에서수준 7 수집 해당데이터베이스에 NSM 이벤트를기록한후 McAfee Network Security Manager 데이터베이스에계층 7 데이터를채웁니다. 이벤트의일부로시스템에들어오지않습니다. NSM 에서계층 7 정보를꺼내기위해계층 7 데이터를포함하도록이벤트를꺼내는시기를지연시킬수있습니다. 이지연은계층 7 데이터와관련된이벤트뿐만아니라모든 NSM 이벤트에적용됩니다. NSM 과관련된 3 가지다른액션을수행할때이지연을설정할수있습니다. McAfee NSM 장치를콘솔에추가 NSM 장치구성 NSM 데이터소스추가 McAfee Network Security Manager 장치추가 McAfee Network Security Manager 장치를 McAfee ESM 에추가하는경우 [ 계층 7 수집활성화 ] 를선택하고 [ 장치추가마법사 ] 에서지연을설정할수있습니다. McAfee Network Security Manager 장치구성 McAfee Network Security Manager 장치를 McAfee ESM 에추가한후장치의연결설정을구성합니다. [ 계층 7 수집활성화 ] 를선택하고지연을설정할수있습니다. McAfee Network Security Manager 데이터소스추가 McAfee Network Security Manager 데이터소스를수신기에추가하려면 [ 데이터소스공급업체 ] 에서 McAfee 를선택하고 [ 데이터소스모델 ] 에서 [Network Security Manager - SQL Pull(ASP)] 을선택합니다. [ 계층 7 수집활성화 ] 를선택하고지연을설정할수있습니다. DAS 를할당하여일체형 ESM 의데이터를저장합니다. 시작하기전에 DAS 장치를설정합니다. 1 시스템탐색트리에서 McAfee ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 데이터베이스 ] 를클릭한다음 [ 데이터저장소 ] 를클릭합니다. 3 테이블에서할당되지않은장치중하나를클릭하여 McAfee ESM 데이터를저장합니다. 4 [ 할당 ] 을클릭한다음 [ 예 ] 를클릭합니다. 장치를할당하면변경할수없습니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 135
3 McAfee ESM 구성보조 McAFee ESM 서비스구성 참고항목 : 86 페이지의외부데이터저장소설정 86 페이지의 iscsi 장치추가 87 페이지의 SAN 저장장치포맷 88 페이지의데이터를저장할가상로컬드라이브설정 보조 McAFee ESM 서비스구성 목차 일반시스템정보해결서버설정구성 McAfee ESM 시스템트리의자동새로고침중지메시지설정정의 NTP( 네트워크시간프로토콜 ) 설정네트워크설정구성시스템시간설정 SSL 인증서설치시스템프로파일관리 SNMP 구성 일반시스템정보 시스템에대한일반정보및다양한기능의상태가 [ 시스템속성 ] [ 시스템정보 ] 에표시됩니다. 시스템또는장치에서발생한이벤트를볼수있습니다. [ 시스템 ], [ 고객 ID], [ 하드웨어 ] 및 [ 일련번호 ] 에서시스템및해당상태에대한정보를제공합니다. [ 데이터베이스상태 ] 는데이터베이스가다른기능 ( 예 : 데이터베이스재구성또는배경재구성 ) 을수행하는시기및해당기능상태를표시합니다. [ 정상 ] 상태는데이터베이스가정상적으로작동한다는것을의미합니다. [ 시스템시계 ] 는 [ 시스템속성 ] 이마지막으로열리거나새로고침을수행한날짜및시간을표시합니다. [ 규칙업데이트 ] 는규칙이마지막으로업데이트된시간을표시합니다. FIPS 모드에있는경우, [FIPS 자체테스트 ] 및 [ 상태 ] 는마지막으로 FIPS 자체테스트가수행된시간및해당상태를표시합니다. [ 보고서보기 ] 는 [ 장치유형개수 ] 및 [ 이벤트시간 ] 보고서를표시합니다. 해결서버설정구성 해결시스템을설정한경우 McAfee ESM과통신할수있도록해결설정을구성해야합니다. 시작하기전에해결시스템을설정합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 136 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성보조 McAFee ESM 서비스구성 3 3 [ 사용자지정설정 ] [ 해결 ] 을클릭합니다. 4 [ 해결구성 ] 페이지에서해결시스템에정보를입력한다음 [ 확인 ] 을클릭합니다. 옵션 정의 [ 호스트 ] 해결시스템의호스트를입력합니다. [ 포트 ] 필요한경우포트번호를변경합니다. [TLS 사용 ] TLS를암호화프로토콜로사용하려는경우선택합니다. [ 사용자이름및암호 ] 필요한경우해결시스템의자격증명을입력합니다. [ 받는사람주소및보낸사람주소 ] 해결을보내는사람및받는사람의이메일주소를입력합니다. McAfee ESM 시스템트리의자동새로고침중지 McAfee ESM 시스템트리는 5분마다자동으로새로고쳐집니다. 필요한경우자동새로고침을중지할수있습니다. 시작하기전에이설정을변경하려면 [ 시스템관리 ] 권한이있어야합니다. 1 시스템트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 새로고치는동안은트리에서장치를선택할수없습니다. 2 [ 사용자지정설정 ] 을클릭한다음 [ 시스템트리의자동새로고침 ] 을선택취소합니다. 시스템트리액션도구모음에서 [ 장치새로고침 ] 아이콘다. 을클릭하여수동으로시스템트리를새로고칠수있습니 메시지설정정의 이메일, SNS( 문자메시지 ), SNMP 또는 syslog 를통해메시지를보내려면먼저 McAfee ESM 을메일서버에연결해야합니다. 연결후메시지수신자를식별할수있습니다. McAfee ESM 이 SNMP v1 프로토콜을사용하여경보통보를보냅니다. SNMP 는관리자와에이전트사이에서데이터를전달하기위한전송프로토콜인 UDP(User Datagram Protocol) 를사용합니다. SNMP 설정에서 McAfee ESM 과같은에이전트는트랩이라는데이터패킷을사용하여이벤트를 SNMP 서버 (NMS(Network Management Station) 라고함 ) 에전달합니다. 네트워크에있는다른에이전트는통보를수신하는방법과동일하게이벤트보고서를수신할수있습니다. SNMP 트랩패킷의크기제한으로인해 McAfee ESM 이보고서의각줄을별도의트랩으로전송합니다. 또한 Syslog 를통해 McAfee ESM 에서생성된 CSV 보고서가전송될수있습니다. Syslog 를통해 syslog 메시지마다한줄씩쿼리 CSV 보고서가전송되며쿼리결과각줄의데이터는쉼표로구분된필드에정렬됩니다. 이메일서버에 McAfee ESM 연결 경보및보고서메시지를전달할수있도록메일서버에 McAfee ESM 을연결하는설정을구성합니다. 시작하기전에 관리자권한이있거나사용자관리권한이있는액세스그룹에속해있는지확인합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 137
3 McAfee ESM 구성보조 McAFee ESM 서비스구성 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 이메일설정 ] 을클릭하고요청한정보를입력하여메일서버에연결합니다. 옵션 설명 [ 호스트 ] 및 [ 포트 ] 메일서버의호스트및포트를입력합니다. [TLS 사용 ] TLS 암호화프로토콜을사용할지선택합니다. [ 사용자이름 ] 및 [ 암호 ] 메일서버에액세스하는데필요한사용자이름및암호를입력합니다. [ 제목 ] 메시지를생성하는 ESM 장치를식별하도록 ESM IP 주소같이메일서버에서보낸모든이메일메시지에일반제목을입력합니다. [ 보낸사람 ] 이름을입력합니다. [ 수신자구성 ] 메시지수신자추가, 편집또는제거 4 테스트이메일을보내서설정을확인합니다. 5 [ 적용 ] 또는 [ 확인 ] 을클릭하여설정을저장합니다. 메시지수신자관리 경보또는보고서메시지의수신자를정의하고이메일주소를그룹화하여한번에여러수신자에게메시지를보낼수있습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 이메일설정 ] 을클릭합니다. 2 [ 수신자구성 ] 을클릭한다음추가하려는탭을선택합니다. 3 [ 추가 ] 를클릭한다음요청한정보를추가합니다. 4 [ 확인 ] 을클릭합니다. 이메일그룹관리 이메일수신자를그룹화하여한번에여러수신자에게하나의메시지를보낼수있습니다. 시작하기전에 수신자와해당이메일주소가있는지확인합니다. 1 시스템탐색트리에서시스템을클릭한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 이메일설정 ] 을클릭하고 [ 수신자구성 ] [ 이메일그룹 ] 을클릭합니다. 3 [ 추가 ], [ 편집 ] 또는 [ 제거 ] 를클릭하여수신자그룹목록을관리합니다. 4 요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 138 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성보조 McAFee ESM 서비스구성 3 NTP( 네트워크시간프로토콜 ) 설정 장치에대한 NTP( 네트워크시간프로토콜 ) 서버를관리하고시간동기화에 NTP 서버를사용할것인지여부를나타냅니다. 1 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 구성 ] [NTP] 를클릭합니다. 3 요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 옵션 정의 [ 시간동기화에 NTP 서버사용 ] 시스템시계를사용하지않고 NTP 서버를사용하여장치의시간을동기화하려면이옵션을선택합니다. 표기본 NTP 서버및장치에추가된모든항목을봅니다. [NTP 서버열 ] 이열을클릭하여장치에추가하려는 NTP 서버의 IP 주소를추가합니다. 최대 10 개의서버를추가할수있습니다. IPS 클래스장치의 NTP 서버주소는 IP 주소여야합니다. [ 인증키 ] 및 [ 키 ID] 열 각 NTP 서버의인증키및키 ID 를입력합니다 ( 모르는경우네트워크관리자에게문의하십시오 ). [ 상태 ] 목록에서 NTP 서버의상태를보려면클릭합니다. 서버목록을변경한경우 [ 확인 ] 을클릭하여변경사항을저장하고페이지를닫고다시페이지를연다음 [ 상태 ] 를클릭합니다. 139페이지의 NTP(Network Time Protocol) 서버의상태보기 McAfee ESM에서 NTP(Network Time Protocol) 서버의상태를봅니다. NTP(Network Time Protocol) 서버의상태보기 McAfee ESM에서 NTP(Network Time Protocol) 서버의상태를봅니다. 시작하기전에 McAfee ESM 또는장치에 NTP 서버를추가합니다. 변경사항을표시하는데최대 10 분이소요될수있습니다. 1 시스템탐색트리에서다음중하나를수행합니다. [ 시스템속성 ] [ 시스템정보 ] 를선택한다음 [ 시스템시계 ] 를클릭합니다. 시스템탐색트리에서장치를선택하고 [ 속성 ] 아이콘을클릭한다음 [ 구성 ] [NTP] 를클릭합니다. 2 NTP 서버데이터를보려면 [ 상태 ] 를클릭합니다. [ NTP 서버 ] 열 : * 현재참조중인서버 x 소스 false 표시기 + 선택됨, 최종세트에포함됨. 후보목록의끝에서선택됨 # 선택됨, 거리가최댓값을초과함 - 클러스터알고리즘에의해삭제됨 o 선택됨, PPS(Pulse Per Second) 사용됨 McAfee Enterprise Security Manager 10.3.x 제품안내서 139
3 McAfee ESM 구성보조 McAFee ESM 서비스구성 [ 연결가능 ] 열 : 예 서버에연결할수있음 아니요 서버에연결할수없음 [ 인증 ] 열 : 없음 자격증명이없음 불량 잘못된자격증명 예 올바른자격증명 [ 조건 ] 열 ( 조건은 [NTP 서버 ] 열의표시에해당 ): 후보자 가능한선택 sys.peer 현재선택 거부 연결할수없음모든서버에 [ 거부 ] 가선택되면 NTP 구성이다시시작되는중일수있습니다. 네트워크설정구성 McAfee ESM 서버게이트웨이및 DNS 서버 IP 주소추가, 프록시서버설정정의, SSH 설정및정적라우트추가를통해 McAfee ESM 이네트워크에연결하는방식을구성합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 네트워크설정 ] 을클릭합니다. 4 [ 기본 ] 탭에서설정을구성합니다. 옵션 [ 인터페이스 1], [ 인터페이스 2] 정의 사용가능한인터페이스를정의합니다. 최소하나의인터페이스를활성화해야합니다. [ 로컬네트워크 ] IP 주소또는서브넷을포함하여로컬네트워크를정의합니다. 값은쉼표로구분됩니다. [SSH 활성화 ] (FIPS 모드에서사용할수없음 ) SSH 를통한보안통신을활성화합니다. McAfee ESM 및장치는 SSH 의 FIPS 사용가능버전을사용합니다. SSH 클라이언트 OpenSSH, Putty, dropbear, Cygwin ssh, WinSCP 및 TeraTerm 은테스트되었으며작동하는것으로알려져있습니다. Putty 를사용하는경우버전 0.62 가호환되며 http://www.chiark.greenend.org.uk/ ~sgtatham/putty/download.html 에서다운로드할수있습니다. [SSH 포트 ] SSH 연결에사용되는포트입니다. [SSH 키관리 ] SSH 연결을활성화한경우나열된시스템이 SSH 포트를통해통신할수있습니다. 목록에서시스템 ID 를삭제하면통신할수없습니다. [IPv6 설정 ] [ 해제 ] IPv6 모드가비활성화됩니다. [ 자동 ] [ 기본 ] 및 [ 보조 IPv6] 필드가비활성화됩니다. 각호스트는수신된사용자광고의콘텐츠에서주소를확인합니다. IEEE EUI-64 표준을사용하여주소의네트워크 ID 부분을정의합니다. [ 수동 ] [ 기본 ] 및 [ 보조 IPv6] 필드가활성화됩니다. 5 [ 고급 ] 탭을선택한다음 ICMP(Internet Control Message Protocol) 메시지및 IPMI(Intelligent Platform Management Interface) 를설정합니다. 140 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성보조 McAFee ESM 서비스구성 3 옵션 [ICMP 메시지 ] [IPMI 설정 ] 정의 [ 리디렉션 ] McAfee ESM 에서리디렉션메시지를무시합니다. [ 대상에연결할수없음 ] 정체이외의다른이유로대상에패킷을전달할수없는경우 McAfee ESM 에서메시지를생성합니다. [ 핑활성화 ] IPv6 멀티캐스트 / 애니캐스트주소로보낸에코요청메시지에대한응답으로 McAfee ESM 에서에코회신메시지를보냅니다. IPMI NIC 가스위치에연결되어있는경우 McAfee ESM 장치를관리하도록 IPMI 카드를설정합니다. [IPMI 설정사용 ] IPMI 명령에액세스할수있습니다. [VLAN], [IP 주소 ], [ 넷마스크 ], [ 게이트웨이 ] IPMI 포트에대한네트워크를구성합니다. 6 네트워크에서프록시서버를사용하는경우 [ 프록시 ] 탭을선택한다음 McAfee ESM 에대한연결을설정합니다. 옵션 [IPv4] 또는 [IPv6] [IP 주소 ], [ 포트 ], [ 사용자이름 ], [ 암호 ] 정의 장치에서 IPv6 주소를사용하는인터페이스가있는경우 IPv6 을선택할수있습니다. 그렇지않은경우 IPv4 가선택됩니다. 프록시서버에연결하기위해필요한정보입니다. [ 기본인증 ] 기본인증검사를구현합니다. 7 [ 트래픽 ] 탭을선택한다음 [ 추가 ] 를클릭하고네트워크및마스크에대한최대데이터출력값을정의하여아웃바운드트래픽을보내는속도를제어합니다. 옵션 정의 [ 네트워크 ] 열아웃바운드트래픽을제어하는네트워크의주소를표시합니다. [ 마스크 ] 열 ( 선택사항 ) 네트워크주소의마스크를표시합니다. [ 최대처리량 ] 열각네트워크에대해정의한최대처리량을표시합니다. 8 정적라우트를추가또는편집하려면 [ 정적라우트 ] 탭을선택한다음 [ 추가 ] 또는 [ 편집 ] 을클릭합니다. 정적라우트는기본게이트웨이를통해사용할수없는네트워크또는호스트에도달하는방법에대한지정된지침세트입니다. 정적라우트를추가하는경우변경사항이 ESM 으로푸시되고 [ 적용 ] 을클릭하면즉시적용됩니다. 변경사항이적용되면 McAfee ESM 이다시초기화되어모든현재세션이손실됩니다. 옵션 정의 [IPv4] 또는 [IPv6] 이정적라우트에서 IPv4 또는 IPv6 트래픽을볼지여부를결정합니다. [ 네트워크 ] 이라우트의네트워크 IP 주소입니다. [ 마스크 ] 네트워크마스크입니다. [ 게이트웨이 ] 이라우트의게이트웨이 IP 주소입니다. 145 페이지의 McAfee ESM 또는장치에서 IPMI 포트설정 McAfee ESM 또는해당장치에서 IPMI 를설정하려면 IPMI 포트에대해네트워크를구성합니다. 145 페이지의네트워크트래픽제어설정네트워크및마스크에대한최대데이터출력값을정의하여아웃바운드트래픽을보내는속도를제어합니다. 옵션으로는초당킬로비트 (KB), 메가비트 (MB) 및기가비트 (GB) 가있습니다. 147 페이지의 DHCP( 동적호스트구성프로토콜 ) 설정 IP 네트워크에서 DHCP( 동적호스트구성프로토콜 ) 를사용하여네트워크구성매개변수 ( 예 : 인터페이스및서비스의 IP 주소 ) 를동적으로배포합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 141
3 McAfee ESM 구성보조 McAFee ESM 서비스구성 네트워크인터페이스관리 장치와통신할때트래픽경로의공용및개인인터페이스를사용합니다. 이는장치가 IP 주소를요구하지않기때문에네트워크에서보이지않는다는것입니다. 관리인터페이스 또는네트워크관리자가 McAfee ESM 과장치간의통신을위해 IP 주소로관리인터페이스를구성할수있습니다. 다음장치기능은관리인터페이스를사용해야합니다. 바이패스네트워크카드완전제어 NTP 시간동기화사용 장치생성 syslog SNMP 통보 장치에는최소한개의관리인터페이스가설치되며여기서장치에 IP 주소를제공합니다. IP 주소를사용하면다른대상 IP 주소또는호스트이름에통신을연결하지않고 McAfee ESM 에서장치에직접액세스할수있습니다. 관리네트워크인터페이스를공용네트워크에연결하면해당인터페이스가공용네트워크에표시되어보안이손상될수있기때문에공용네트워크에연결하지마십시오. McAfee ESM 인터페이스결합 McAfee ESM 은동일한 IP 주소를사용하는두관리인터페이스를탐지하면결합된 NIC 모드를자동으로활성화하려고시도합니다. 결합된모드가활성화되면두인터페이스가동일한 IP 주소및 MAC 주소가할당됩니다. 사용되는결합모드는모드 0( 라운드로빈 ) 으로오류허용치를제공합니다. NIC 결합을비활성화하려면하나의인터페이스 IP 주소를변경하여다른인터페이스 IP 와더이상일치하지않도록합니다. 그러면시스템이결합된 NIC 모드를자동으로비활성화합니다. 네트워크인터페이스설정 McAfee ESM 이각장치에연결하는방법을결정하는인터페이스설정을정의합니다. 1 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 장치 [ 구성 ] 옵션을클릭한다음 [ 인터페이스 ] 를클릭합니다. 3 요청된데이터를입력한다음 [ 적용 ] 을클릭합니다. 모든변경사항이장치에푸시되고즉시적용됩니다. 변경사항이적용되면장치가다시초기화되어모든현재세션이손실됩니다. 옵션 [ 바이패스 NIC 구성 ] 정의 장치에서악성인경우에도모든트래픽을통과시키도록바이패스 NIC 를설정합니다. IDS 모드의장치에는바이패스기능이없으므로상태가 [ 정상작동 ] 입니다. [ 플로수집 ] ( 선택사항 ) 트래픽을장치로보내고받는플로를수집하려면선택합니다. 142 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성보조 McAFee ESM 서비스구성 3 옵션 [ ELM EDS SFTP] 정의 [ELM SFTP 액세스 ] 사용자권한이있는경우장치에대해저장된 ELM 로그파일을보고다운로드할수있습니다. [ 장치관리 ] 권한이있는경우포트를변경하여 [ELM EDS SFTP] 필드에서이러한필드에액세스할수있습니다. 1, 22, 111, 161, 695, 1333, 1334, 10617 또는 13666 포트를사용하지마십시오. WinSCP 5.11, FileZilla, CoreFTP LE 또는 FireFTP 와같은 FTP 클라이언트중하나에서이설정을사용합니다. [HOME_NET ] 장치에서수집하고있는플로트래픽의방향을결정하는조직소유의 IP 주소를입력합니다. [ 인터페이스 ] 사용할인터페이스를선택하고 IPv4 또는 IPv6 유형의 IP 주소를입력합니다. IPv4 주소를입력하는경우넷마스크주소도추가합니다. IPv6 주소를입력하는경우주소에넷마스크를포함합니다. 그렇지않으면오류가표시됩니다. 여러네트워크에서장치를사용할수있도록하려면 ( 관리 1 < 기본인터페이스 > 및관리 2 < 첫번째드롭다운인터페이스 > 로만제한 ) 인터페이스를추가합니다. NIC 결합을활성화하려면첫번째필드에서 [ 관리 ] 를선택한다음동일한 IP 주소및넷마스크를기본 NIC 로입력합니다 ( 대화상자의첫번째줄 ). [IPv6 모드 ] IPv6 모드활성화여부를선택합니다. [ 해제 ]: IPv6 모드가활성화되지않습니다. IPv6 필드가비활성화됩니다. [ 자동 ]: IPv6 모드가활성화됩니다. 각호스트는수신된사용자광고의콘텐츠에서주소를확인합니다. IEEE EUI-64 표준을사용하여주소의네트워크 ID 부분을정의합니다. IPv6 필드가비활성화됩니다. [ 수동 ]: IPv6 모드가활성화됩니다. IPv6 필드가활성화됩니다. [SSH 포트 ] McAfee ESM 과장치간의액세스가허용되는포트를선택합니다. 4 선택한장치의고급네트워크설정을정의합니다 ( 필드는선택한장치에따라다름 ). 옵션 [][ICMP 메시지 ] [IPMI 설정 ] 정의 ICMP 에다음옵션중하나를선택합니다. [ 리디렉션 ] 선택하면 McAfee ESM 에서리디렉션메시지를무시합니다. [ 대상에연결할수없음 ] 선택하면정체이외의다른이유로대상에패킷을전달할수없는경우 McAfee ESM 에서메시지를생성합니다. [ 핑활성화 ] 선택하면 IPv6 멀티캐스트 / 애니캐스트주소로보낸에코요청메시지에대한응답으로 McAfee ESM 에서에코회신메시지를보냅니다. IPMI NIC 가스위치에연결되어있을때 IPMI 카드를통해원격으로 McAfee ESM 장치를관리하려면 IPMI 설정을추가합니다. [IPMI 설정사용 ] IPMI 명령에액세스하려면선택합니다. [VLAN], [IP 주소 ], [ 넷마스크 ], [ 게이트웨이 ] IPMI 포트에대한네트워크를구성하도록설정을입력합니다. VLAN 및별칭추가 VLAN(Virtual Local Area Network) 및별칭을 ACE 또는 ELM 인터페이스에추가합니다. 두개이상의 IP 주소를가진네트워크장치가있는경우추가한 IP 주소및넷마스크쌍에별칭이할당됩니다. 1 시스템탐색트리에서장치를선택하고 [ 속성 ] 아이콘을클릭한다음장치 [ 구성 ] 을클릭합니다. 2 [ 네트워크 ] 탭의 [ 인터페이스 ] 섹션에서 [ 설정 ] 을클릭한다음 [ 고급 ] 을클릭합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 143
3 McAfee ESM 구성보조 McAFee ESM 서비스구성 3 [VLAN 추가 ] 를클릭하고요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 옵션 정의 [VLAN] 시스템에서 VLAN 을식별하는숫자입니다. [DHCP] 클라우드가아닌환경에대해 DHCP 서비스를사용합니다. DHCP 는네트워크의 IP 주소를재설정해야하는경우유용합니다. 중복 ELM 을사용하고있는경우중복장치의 IP 주소가변경되면중복성작동이중지됩니다. [IPv4] 또는 [IPv6] 기본적으로 IPv4 가선택되어있습니다. IPv6 을 [ 네트워크설정 ] 페이지에서 [ 수동 ] 또는 [ 자동 ] 으로설정한경우 [IPv6] 옵션이활성화됩니다. [IP 주소 ] VLAN 의 IP 주소입니다. [ 넷마스크 ] [IPv4] 넷마스크입니다 (IP 주소가 IPv6 형식인경우비활성화됨 ). 4 별칭을추가하려는 VLAN 을선택한다음 [ 별칭추가 ] 를클릭합니다. 옵션 [VLAN] 정의 이별칭이있는 VLAN 입니다. 이필드는이별칭이추가되는 VLAN 숫자로미리채워집니다. [ 태그가지정되지않은 ] VLAN 인경우이숫자는 0 입니다. [ IP 버전 ] IP 주소가 IPv4 형식인지 IPv6 형식인지표시합니다. [IP 주소 ] 별칭의 IP 주소입니다. [ 넷마스크 ] 넷마스크입니다 ( 주소가 IPv4 형식인경우 ). 5 요청한정보를입력한다음 [ 확인 ] 를클릭합니다. 정적라우트추가 정적라우트는기본게이트웨이를통해사용할수없는네트워크또는호스트에도달하는방법에대한지침세트입니다. 1 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 구성 ] [ 인터페이스 ] 를클릭합니다. 3 [ 정적라우트 ] 테이블옆의 [ 추가 ] 를클릭합니다. 4 정보를입력한다음 [ 확인 ] 을클릭합니다. IPMI 포트에대한네트워크설정 McAfee ESM 또는장치에서 IPMI 포트를설정하여다음액션을수행합니다. IPMI 소프트웨어에서사용할수있도록 IPMI NIC( 네트워크인터페이스컨트롤러 ) 를스위치에꽂습니다. IPMI 기반 KVM( 커널기반가상시스템 ) 에액세스합니다. 기본사용자의 IPMI 암호를설정합니다. 전원켜기및전원상태와같은 IPMI 명령에액세스합니다. IPMI 카드를재설정합니다. 웜재설정및콜드재설정을수행합니다. 144 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성보조 McAFee ESM 서비스구성 3 McAfee ESM 또는장치에서 IPMI 포트설정 McAfee ESM 또는해당장치에서 IPMI를설정하려면 IPMI 포트에대해네트워크를구성합니다. 시작하기전에시스템에 IPMI NIC가있어야합니다. 1 시스템탐색트리에서시스템또는장치를선택한다음 [ 시스템속성 ] 아이콘을클릭합니다. 2 [ 네트워크설정 ] [ 고급 ] 탭에액세스합니다. McAfee ESM 에서 [ 네트워크설정 ] [ 고급 ] 을클릭합니다. 장치에서장치의 [ 구성 ] 옵션을클릭한다음 [ 인터페이스 ] [ 고급 ] 을클릭합니다. 3 [IPMI 설정사용 ] 을선택한다음 IPMI 의 VLAN, IP 주소, 넷마스크및게이트웨이를입력합니다. [IPMI 설정사용 ] 이장치 BIOS 에서회색으로표시되는경우시스템 BIOS 를업데이트해야합니다. 장치에대해 SSH 를수행하고 /etc/areca/system_bios_update/contents README.txt 파일을엽니다. 4 [ 적용 ] 또는 [ 확인 ] 을클릭합니다. 장치를업그레이드할때암호를변경하거나장치에키를다시지정하여 IPMI 를구성할것을권장하는메시지가표시될수있습니다. 네트워크트래픽제어설정 네트워크및마스크에대한최대데이터출력값을정의하여아웃바운드트래픽을보내는속도를제어합니다. 옵션으로는초당킬로비트 (KB), 메가비트 (MB) 및기가비트 (GB) 가있습니다. 트래픽을제한하면데이터가손실될수있습니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 네트워크설정 ] 을클릭하고 [ 트래픽 ] 탭을클릭합니다. 표에기존컨트롤이나열됩니다. 4 장치에대한컨트롤을추가합니다. a [ 추가 ] 를클릭합니다. b 네트워크주소, 마스크및처리속도를설정합니다. 마스크를 0으로설정하면전송된모든데이터가제어됩니다. 호스트이름 장치호스트이름을해당 IP 주소에연결합니다. 호스트이름을추가, 편집, 제거, 조회, 업데이트및가져올수있을뿐만아니라자동학습된호스트이름이만료되는시간을설정할수있습니다. 이벤트데이터를볼때보기구성요소의하단에있는 [ 호스트이름표시 ] 아이콘결된호스트이름을표시할수있습니다. 을클릭하여이벤트에 IP 주소와연 McAfee Enterprise Security Manager 10.3.x 제품안내서 145
3 McAfee ESM 구성보조 McAFee ESM 서비스구성 기존이벤트가호스트이름으로태그가지정되지않은경우시스템이 McAfee ESM 에서호스트표를검색하고해당호스트이름으로 IP 주소의태그를지정합니다. IP 주소가호스트표에나타나지않는경우시스템은 DNS(Domain Name System) 조회를수행하여호스트이름을찾습니다. 그러면검색결과가보기에표시되고호스트표에추가됩니다. 호스트표에서이데이터는 [ 자동학습됨 ] 으로선택되고 [ 시스템속성 ] [ 호스트 ] 의호스트표아래있는 [ 다음이후에항목만료 ] 필드에지정된기간이후에만료됩니다. 데이터가만료되면다른 DNS 조회가보기에서 [ 호스트이름표시 ] 를선택한다음에수행됩니다. 호스트표에자동학습되고추가된호스트이름및해당 IP 주소가나열됩니다. 개별적으로호스트이름및 IP 주소를입력하거나탭으로구분된호스트이름및 IP 주소목록을가져와서수동으로호스트표에정보를추가할수있습니다. 이방식으로입력하는데이터가많을수록 DNS 조회에소요되는시간이줄어듭니다. 수동으로호스트이름을입력하면만료되지는않지만편집하거나제거할수는있습니다. 호스트이름관리 추가, 편집, 가져오기, 제거또는조회등호스트이름을관리하기위해필요한액션을수행합니다. 또한자동학습된호스트의만료시간을설정할수있습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 호스트 ] 를클릭합니다. 2 옵션을선택하고요청한정보를입력합니다. 호스트를추가할때최대 100 자의호스트이름을입력하고마스크를포함하여유효한 IPv4 또는 IPv6 표기법의 IP 주소를입력할수있습니다. 기존호스트이름을변경하거나삭제합니다. 내부네트워크에대한정보를설정하면 IP 주소의호스트이름을조회할수있습니다. 탭으로구분된 IP 주소및호스트이름목록을가져옵니다. 자동학습된호스트이름을표에유지하려는시간을설정합니다. 만료되게하지않으려면모든필드에서영 (0) 을선택합니다. 3 [ 적용 ] 또는 [ 확인 ] 을클릭합니다. 호스트이름목록가져오기 IP 주소및해당호스트이름을포함하는텍스트파일을가져옵니다. 시작하기전에 탭으로구분된 IP 주소및호스트이름파일을만듭니다. 파일의각레코드가별도의줄에나열되어야하며 IP 주소가 IPv4 또는 IPv6 표기법으로먼저나와야합니다. 예 : 102.54.94.97 rhino.acme.com 08c8:e6ff:0100::02ff x.acme.com 146 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성보조 McAFee ESM 서비스구성 3 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 호스트 ] [ 가져오기 ] 를클릭합니다. 2 텍스트파일을찾은다음 [ 업로드 ] 를클릭합니다. 파일에현재호스트표의 IP 주소가다른호스트이름으로포함된경우 [ 중복 ] 페이지에중복된레코드가나열됩니다. 표의호스트이름을텍스트파일의호스트이름으로변경하려면 [ 사용 ] 열에서선택한다음 [ 확인 ] 을클릭합니다. 기존호스트데이터를유지하려면확인란을선택하지않고 [ 확인 ] 을클릭합니다. 수동으로입력한데이터는만료되지않습니다. 시스템이호스트테이블에새호스트데이터를추가합니다. 이데이터에대한 [ 자동학습됨 ] 열에 [ 아니요 ] 가표시됩니다. DHCP( 동적호스트구성프로토콜 ) 설정 IP 네트워크에서 DHCP( 동적호스트구성프로토콜 ) 를사용하여네트워크구성매개변수 ( 예 : 인터페이스및서비스의 IP 주소 ) 를동적으로배포합니다. 클라우드에서배포할 McAfee ESM 을설정하면자동으로 DHCP 가활성화되고 IP 주소가할당됩니다. 클라우드에서사용하지않는경우장치관리권한이있으면 McAfee ESM, 비 HA 수신기, ACE 및 ELM 에서 DHCP 서비스를활성화및비활성화할수있습니다. 이기능은네트워크에대한 IP 주소를재설정해야하는경우유용합니다. DHCP 가활성화되면별칭이비활성화됩니다. 1 시스템탐색트리에서 ESM 또는장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 다음중하나를수행합니다. McAfee ESM의경우 [ 네트워크설정 ] 을클릭한다음 [ 기본 ] 탭을클릭합니다. 장치의경우장치의 [ 구성 ] 옵션을선택하고 [ 인터페이스 ] 를클릭한다음 [ 네트워크 ] 탭을클릭합니다. 3 [ 인터페이스 1] 필드에대해 [ 설정 ] 을클릭한다음 [DHCP] 를선택합니다. 수신기가아닌장치의경우 McAfee ESM 서버를다시시작해야합니다. 4 [VLAN 추가 ] 를클릭하고 [VLAN] 번호를입력한다음 [DHCP] 를선택합니다. 5 [ 확인 ] 을클릭한다음 [ 적용 ] 을클릭합니다. 수신기가아닌장치의경우 McAfee ESM 서버를다시시작해야합니다. 시스템시간설정 시스템타임스탬프활동은 McAfee ESM 및해당장치에의해생성됩니다. 시스템이타임스탬프를동기화하기위해일정한시간참조를사용하도록하려면시스템시계또는 NTP 서버를선택합니다. 시작하기전에 NTP 서버를사용하여시스템시간을동기화하려면서버가존재하고인증키와키 ID 가있는지확인합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 147
3 McAfee ESM 구성보조 McAFee ESM 서비스구성 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 시스템정보 ] 가선택되었는지확인합니다. 2 [ 시스템시계 (GMT)] 를클릭하고설정을정의한다음 [ 확인 ] 을클릭합니다. 옵션 [ESM 시스템시간 (GMT) 을다음으로설정 ] [ 시간동기화에 NTP 서버사용 ] 정의 NTP 서버와동기화하는대신 GMT( 그리니치표준시 ) 로시스템시계를설정하려면이옵션을선택합니다. 시스템시계를사용하지않고 NTP 서버를사용하여시스템의시간을동기화하려면이옵션을선택합니다. [ NTP 서버 ] 열 NTP 서버의 IP 주소를추가합니다. 최대 10 개의서버를추가할수있습니다. ADM 또는 DBM 장치의 NTP 서버주소는 IP 주소여야합니다. [ 인증키 ] 및 [ 키 ID] 열 각 NTP 서버의인증키및키 ID 를입력합니다. [ 상태 ] 목록에서 NTP 서버의상태를보려면클릭합니다. 서버목록을변경한경우 [ 확인 ] 을클릭하여변경사항을저장하고페이지를닫습니다. 그런다음다시페이지를열고 [ 상태 ] 를클릭합니다. 148 페이지의장치시계동기화다양한시스템에서생성된데이터가동일한타임스탬프를반영하도록장치시계를 McAfee ESM 시스템시간과동기화합니다. 장치시계동기화 다양한시스템에서생성된데이터가동일한타임스탬프를반영하도록장치시계를 McAfee ESM 시스템시간과동기화합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 또는장치 [ 속성 ] 을선택한다음 [ 장치시계동기화 ] 필드에서 [ 동기화 ] 를클릭합니다. 2 [ 시스템정보 ] 또는장치 [ 정보 ] 의데이터를업데이트하려면 [ 새로고침 ] 을클릭합니다. SSL 인증서설치 McAfee ESM 은 esm.mcafee.local 에대해자체서명된기본보안인증서 (SSL) 와함께제공됩니다. 대부분의웹브라우저는인증서의진위여부를확인할수없다는경고를할수없습니다. McAfee ESM 에대한 SSL 키인증서쌍을가져온다음설치해야합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ESM 관리 ] 를클릭합니다. 2 [ 키관리 ] 탭에서 [ 인증서 ] 를클릭합니다. 3 선택한다음 [ 닫기 ] 를클릭합니다. 148 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성보조 McAFee ESM 서비스구성 3 옵션 정의 [ 인증서업로드 ] 인증서, 키및선택체인파일 ( 있는경우 ) 을설치합니다. 시스템에서.crt 파일,.key 파일, 체인파일을순서대로업로드하라는메시지가표시됩니다. [ 자체서명된인증서 ] McAfee ESM 에대한자체서명된보안인증서를생성하고설치합니다. [ 생성 ] 을클릭한다음 [ 인증서관리 ] 에정보를입력한다음 [ 확인 ] 을클릭합니다. [ 생성 ] 을클릭합니다. [ 서명된인증서요청 ] [ 기본 McAfee 인증서를다시생성합니다 ] 시그니처를위해인증서발급기관에보내는인증서요청을생성합니다. [ 생성 ] 을클릭한다음 [ 인증서관리 ] 에정보를입력한다음 [ 확인 ] 을클릭합니다..crt 및.key 파일이있는.zip 파일을다운로드합니다..crt 파일의압축을푼다음인증서발급기관에보냅니다. 원래인증서를다시생성합니다. 시스템프로파일관리 이벤트전달, 데이터소스구성, 네트워크탐색, 취약성평가, SNMP 트랩및원격공유에서사용할수있도록시스템프로파일을관리합니다. syslog 기반트래픽에대한프로파일을정의하여일반정보를공유하는설정을재사용할수있습니다. 또한원격명령프로파일 (URL 또는스크립트 ) 을추가하고보기및경보에서사용할수있습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 프로파일관리 ] 를클릭합니다. 2 프로파일을추가하려면 [ 시스템프로파일 ] 탭에서 [ 추가 ] 를클릭한다음프로파일데이터를입력합니다. 옵션 정의 [ 인증암호 ] [ 보안수준 ] 에서 [authnopriv] 또는 [authpriv] 를선택하는경우이필드가활성화됩니다. [ 인증프로토콜 ] 필드에서선택한인증프로토콜의암호를입력합니다. [ 인증프로토콜 ] [ 보안수준 ] 에서 [authnopriv] 또는 [authpriv] 를선택하는경우이필드가활성화됩니다. 이소스의프로토콜유형 MD5 또는 SHA1(SHA1 및 SHA 는동일한프로토콜유형참조 ) 을선택합니다. [ 커뮤니티이름 ] SNMP 트랩의커뮤니티문자열을입력합니다. [ 압축 ] 원격공유 SCP 에대해압축을사용하려면선택합니다. [ 암호화 ] 원격공유 SCP 에대해암호화를사용하려면선택합니다. [ 엔진 ID] ( 선택사항 ) 트랩보낸사람의 SNMPv3 엔진 ID 를입력합니다. [ 이벤트로그 ] 기본 WMI 이벤트로그는 SYSTEM, APPLICATION 및 SECURITY 이지만다른로그도지원합니다. 추가이름은대소문자를구분하며쉼표로구분되며그사이에는공백이없습니다. 로그를읽으려면액세스권한이있어야합니다. 관리자만보안로그를꺼낼수있습니다. WMI 데이터소스로그가올바로설정되어있다면관리자권한없이꺼낼수있습니다. [ 기능 ] 이벤트전달메시지를보낼기능을선택합니다. [ 간격 ] 수신자가새이벤트의 WMI 공급자를확인해야하는간격을분단위로선택합니다. [IP 주소 ] [SNMP 트랩 ]: 트랩정보를보내는 eeye 서버의 IP 주소를입력합니다. [ 이벤트전달 ]: 이벤트가전달되는 IP 주소를입력합니다. [ 암호 ] WMI 공급자에게연결하기위해사용하는암호입니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 149
3 McAfee ESM 구성보조 McAFee ESM 서비스구성 옵션 [ 개인정보보호프로토콜 ] 정의 SNMP [ 보안수준 ] 에서 [authpriv] 를선택하는경우이필드가활성화됩니다. [DES] 또는 [AES] 를선택합니다. FIPS 모드에서는 [AES] 옵션만사용할수있습니다. [ 프로파일에이전트 ] [ 프로파일이름 ] [ 프로파일유형 ] 이프로파일의에이전트를선택합니다. 나머지필드는이필드에서선택한사항에따라다릅니다. 이프로파일을설명하는이름을입력합니다. 프로파일유형을선택합니다. 나머지필드는이필드에서선택한사항에따라다릅니다. 이들대부분은자체적으로설명됩니다. [ 포트 ] 기본값이올바르지않은경우연결포트를변경합니다. [ 프로토콜 ] 전송프로토콜을선택합니다. [ 원격 IP 주소, 원격마운트지점, 원격경로 ] [CIFS] 또는 [NFS] 를프로파일에이전트로선택한경우저장장치에이정보를입력합니다. [ 보안수준 ] 이 SNMPv3 프로파일의보안수준을선택합니다. [noauthnopriv] 인증프로토콜및개인정보보호프로토콜이없음 [authnopriv] 인증프로토콜은있지만개인정보보호프로토콜은없음 [authpriv] 인증프로토콜및개인정보보호프로토콜둘다있음 [ 인증 ] 및 [ 개인정보보호 ] 필드는선택하는보안수준에따라활성화됩니다. [ 패킷보내기 ] 이벤트패킷을보내려는경우선택합니다. [ 심각도 ] 전달되는정보의심각도를선택합니다. [ 사용자이름 ] WMI 공급자에게연결하는데사용되는사용자이름입니다. 도메인사용자의경우도메인 \ 사용자로사용자이름을입력합니다. 3 보기또는경보에서실행할수있도록원격명령프로파일을관리합니다. 스크립트는쿼리또는이벤트의변수를참조할수있습니다. 프로파일을추가하는경우원격명령을추가해야할때마다액세스할수있습니다. 원격명령을추가하려면 [ 원격명령 ] 탭을클릭한다음요청한정보를입력합니다. ESM 의 McAfee 장치를제외하고 SSH 연결을허용하는장치에서명령을실행하려면원격명령설정을사용합니다. 옵션 정의 [ 이름 ] 이원격명령프로파일의이름을입력합니다. [ 설명 ] 이명령이수행하는내용을설명합니다. [ 유형 ] 원격명령유형을선택합니다. [ 시간대 ] 사용할시간대를선택합니다. [ 날짜형식 ] 날짜에사용할형식을선택합니다. [ 호스트 ], [ 포트 ], [ 사용자이름 ], [ 암호 ] SSH 연결에대한정보를입력합니다. [ 명령문자열 ] SSH 연결의명령문자열을입력합니다. 변수를명령문자열에삽입하려면 [ 변수삽입 ] 4 [ 확인 ] 을클릭합니다. 아이콘을클릭하고변수를선택합니다. 150 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성보조 McAFee ESM 서비스구성 3 SNMP 구성 McAfee ESM 과각장치에서링크실행 / 정지및콜드 / 웜시작트랩을보내도록 McAfee ESM 에서사용하는설정을구성합니다. MIB(Management Information Base)-II 시스템및인터페이스표를검색하면 snmpwalk 명령을통해 McAfee ESM 을탐색할수있습니다. SNMPv3 은 NoAuthNoPriv, AuthNoPriv 및 AuthPriv 옵션과함께지원되며, MD5 또는 SHA(Secure Hash Algorithm) 를인증에사용하고 DES(Data Encryption Standard) 또는 AES(Advanced Encryption Standard) 를암호화에사용합니다. MD5 및 DES 는 FIPS 컴플라이언스모드에서사용할수없습니다. ESM 및수신기, 상태정보의경우 McAfee ESM 에 SNMP 요청이만들어질수있습니다. 하나이상관리되는장치의블랙리스트에추가하기위해 SNMPv3 트랩이 McAfee ESM 에전송될수있습니다. 또한링크트랩및부트트랩을선택한대상에보내도록모든 McAfee 장치를구성할수있습니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 151
3 McAfee ESM 구성보조 McAFee ESM 서비스구성 SNMP 설정구성 McAfee ESM 에서인바운드및아웃바운드 SNMP 트래픽에사용하는설정을정의합니다. 사용자이름에공백이없는사용자만 SNMP 쿼리를수행할수있습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [SNMP 구성 ] 을클릭합니다. 2 요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 탭옵션정의 [SNMP 요청 ] [SNMP 트랩 ] [ 요청포트 ] 트래픽이통과하는포트를선택합니다. [ 동의 ] 허용할트랩유형을선택합니다. [ SNMPv1/2c 허용 ] SNMP 버전 1 및버전 2 트래픽을허용하려면선택하고커뮤니티유형을입력합니다. [ SNMPv3 허용 ] SNMP 버전 3 트래픽을허용하려면선택하고보안수준, 인증프로토콜및개인정보보호프로토콜을선택합니다. [ 신뢰할수있는 IP 주소 ] McAfee ESM 이신뢰할수있다고간주하거나허용하는 IP 주소를봅니다. 새주소를추가하고기존주소를편집하거나제거할수있습니다. IP 주소는마스크를포함할수있습니다. [ 장치 ID 보기 ] SNMP 요청을보낼때사용할수있는장치 ID 목록을봅니다. [MIB 보기 ] 각개체의 OID( 개체식별자 ) 나관심있는특징을정의하는 McAfee MIB 를봅니다. [ 트랩포트 ] [SNMP 트랩 ] 탭에서콜드 / 웜트랩트래픽, 블랙리스트항목및링크실행 / 링크정지트래픽이통과하는포트를설정합니다. [ 링크실행 / 정지트랩 ] 링크실행및링크정지트랩을보내려면선택합니다. 이기능을선택하고여러인터페이스를사용하는경우인터페이스가정지되거나다시실행될때알려줍니다. 콜드 / 웜트랩트래픽이자동으로허용됩니다. SNMP 서비스를다시시작할때마다콜드시작트랩이생성됩니다. SNMP 구성변경, 사용자변경, 그룹변경, 원격인증으로사용자로그온, ESM 재부팅, cpservice 재시작및기타상황이후 SNMP 서비스가다시시작합니다. 시스템을다시시작하면웜시작트랩이생성됩니다. [ 데이터베이스실행 / 정지트랩 ] [ 보안로그오류트랩 ] 데이터베이스 (cpservice, IPSDBServer) 가실행되거나정지될때 SNMP 트랩을보내려는경우선택합니다. 로그테이블에로그를쓰지않았을때 SNMP 트랩을보내려는경우선택합니다. [ 일반하드웨어오류 ] ESM 전원공급장치중하나가실패하는경우통보를받으려면선택합니다 ( 일반하드웨어또는 DAS). 그러면전원오류로인한시스템종료를방지할수있습니다. [ 대상 ] 통보를보내려는시스템의프로파일이름을선택합니다. 표에시스템에서사용가능한모든 SNMP 트랩프로파일이나와있습니다. 이목록을편집하려면 [ 프로파일편집 ] 을클릭하고 [ 프로파일관리자 ] 목록에서프로파일을추가, 편집또는제거합니다. 152 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성보조 McAFee ESM 서비스구성 3 전원오류통보에대한 SNMP 트랩설정 SNMP 트랩을선택하면하드웨어및 DAS 전원오류를알려주므로전원오류로인해시스템이종료되는것을방지할수있습니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. SNMP 트랩수신기를준비합니다 (SNMP 트랩수신기가아직없는경우필요 ). 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [SNMP 구성 ] 을클릭한다음 [SNMP 트랩 ] 탭을클릭합니다. 4 [ 트랩포트 ] 에서 162를입력한다음 [ 일반하드웨어오류 ] 를선택하고 [ 프로파일편집 ] 을클릭합니다. 5 [ 추가 ] 를클릭한다음요청한정보를다음과같이입력합니다. [ 프로파일유형 ] [SNMP 트랩 ] 을선택합니다. [IP 주소 ] 트랩을보내려는주소를입력합니다. [ 포트 ] 162를입력합니다. [ 커뮤니티이름 ] 공개를입력합니다. [ 포트 ] 및 [ 커뮤니티이름 ] 필드에입력한사항을기억하십시오. 6 [ 확인 ] 을클릭한다음 [ 프로파일관리자 ] 페이지에서 [ 닫기 ] 를클릭합니다. 프로파일이 [ 대상 ] 표에추가됩니다. 7 [ 사용 ] 열에서프로파일을선택한다음 [ 확인 ] 을클릭합니다. 전원공급장치에오류가발생하면 SNMP 트랩이전송되고시스템탐색트리에서장치옆에상태플래그가나타납니다. SNMP 및 McAfee MIB 여러측면의 McAfee 제품군은 SNMP 를통해액세스할수있습니다. McAfee MIB 는각개체의 OID( 개체식별자 ) 나관심있는특징을정의합니다. MIB 는다음에대해개체그룹을정의합니다. 경보 McAfee ESM 에서이벤트전달을사용하여경보트랩을생성하고전송할수있습니다. 수신기에서는 McAfee SNMP 데이터소스를구성하여경보트랩을수신할수있습니다. 플로 수신기에서 McAfee SNMP 데이터소스를구성하여플로트랩을수신할수있습니다. ESM 상태요청 McAfee ESM 은자체및 ESM 에서관리하는장치에대한상태요청을수신하고응답할수있습니다. 블랙리스트 McAfee ESM 에서블랙리스트및검역목록에대한항목을정의하는트랩을수신한다음관리하는장치에적용할수있습니다. McAfee MIB 에서도다음을포함하는값에대해텍스트표기형식 ( 열거된유형 ) 을정의합니다. 경보를받았을때수행되는액션 플로방향및상태 McAfee Enterprise Security Manager 10.3.x 제품안내서 153
3 McAfee ESM 구성보조 McAFee ESM 서비스구성 데이터소스유형 블랙리스트액션 McAfee MIB 는구문적으로 SNMPv2 SMI(Structure of Management Information) 와컴플라이언트됩니다. SNMP 를사용하는 McAfee 제품은인증및액세스제어를포함하여 SNMPv1, SNMPv2c 및 SNMPv3 에서작동하도록구성할수있습니다. 상태는 SNMP GET 을사용하여요청됩니다. SNMP GET 은 SNMP 관리자응용프로그램이 SNMP 에이전트 ( 이경우 McAfee ESM) 에서유지관리하는관리되는개체에서값을검색하는데사용됩니다. 일반적으로장치는 McAfee ESM 의호스트이름과 OID 를특정인스턴스 OID 와함께제공하여 SNMP GET 요청을수행합니다. McAfee ESM 은상태요청의결과로 OID 바인딩을채워응답합니다. 다음표에서는 McAfee ESM 과수신기 OID 의의미를보여줍니다. 표 3-14 McAfee ESM 상태 요청및응답 OID 단위응답값의미 1.3.6.1.4.1.23128.1.3.1.1 백분율 4 결합된즉각적인 CPU 로드백분율 1.3.6.1.4.1.23128.1.3.1.2 MB 3518 총 RAM 1.3.6.1.4.1.23128.1.3.1.3 MB 25 사용가능한 RAM 1.3.6.1.4.1.23128.1.3.1.4 MB 1468006 McAfee ESM 데이터베이스에파티션된총 HDD 공간 1.3.6.1.4.1.23128.1.3.1.5 MB 1363148 McAfee ESM 데이터베이스에사용할수있는 HDD 공간 1.3.6.1.4.1.23128.1.3.1.6 1970-1-1 00:00:0.0(GMT) 이후초 1283888714 McAfee ESM 의현재시스템시간 1.3.6.1.4.1.23128.1.3.1.7 8.4.2 McAfee ESM 버전및 buildstamp 1.3.6.1.4.1.23128.1.3.1.8 4EEE:6669 McAfee ESM 의시스템 ID 1.3.6.1.4.1.23128.1.3.1.9 McAfee ESM McAfee ESM 모델번호 표 3-15 수신기상태 요청및응답 OID 단위응답값의미 1.3.6.1.4.1.23128.1.3.3.1.x 수신기수신기이름 1.3.6.1.4.1.23128.1.3.3.2.x 2689599744 수신기의 McAfee ESM 고유식별자 1.3.6.1.4.1.23128.1.3.3.3.x 1 수신기와의통신을사용할수있거 나 (1) 사용할수없음 (0) 을나타냄 1.3.6.1.4.1.23128.1.3.3.4.x 확인수신기의상태를나타냄 1.3.6.1.4.1.23128.1.3.3.5.x 백분율 2 결합된즉각적인 CPU 로드백분율 1.3.6.1.4.1.23128.1.3.3.6.x MB 7155 총 RAM 1.3.6.1.4.1.23128.1.3.3.7.x MB 5619 사용가능한 RAM 1.3.6.1.4.1.23128.1.3.3.8.x MB 498688 수신기데이터베이스에파티션된총 HDD 공간 1.3.6.1.4.1.23128.1.3.3.9.x MB 472064 수신기데이터베이스에사용할수 있는 HDD 공간 154 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성보조 McAFee ESM 서비스구성 3 표 3-15 수신기상태 ( 계속 ) 요청및응답 OID 단위응답값의미 1.3.6.1.4.1.23128.1.3.3.10.x 1970-1-1 00:00:0.0(GMT) 이후초 1.3.6.1.4.1.23128.1.3.3.11.x 1283889234 수신기의현재시스템시간 7.1.3 20070518091421a 수신기버전및 buildstamp 1.3.6.1.4.1.23128.1.3.3.12.x 5EEE:CCC6 수신기의시스템 ID 1.3.6.1.4.1.23128.1.3.3.13.x Receiver 수신기모델번호 1.3.6.1.4.1.23128.1.3.3.14.x 분당경보 1 지난 10분동안의분당경보비율 1.3.6.1.4.1.23128.1.3.3.15.x 분당플로 2 지난 10분동안의분당플로비율 x = 장치 ID. 장치 ID 목록에액세스하려면 [ 시스템속성 SNMP 구성 ] 으로이동한다음 [ 장치 ID 보기 ] 를클릭합니다. 이벤트, 플로및블랙리스트항목은 SNMP 트랩을사용하여전송되거나요청을알립니다. 이벤트전달을수행하도록구성된 McAfee ESM 에서전송된경보트랩은다음과같이표시됩니다. OID 값의미 1.3.6.1.4.1.23128.1.1.1 780 McAfee ESM 경보 ID 1.3.6.1.4.1.23128.1.1.2 6136598 장치경보 ID 1.3.6.1.4.1.23128.1.1.4 2 장치 ID 1.3.6.1.4.1.23128.1.1.5 10.0.0.69 소스 IP 주소 1.3.6.1.4.1.23128.1.1.6 27078 소스포트 1.3.6.1.4.1.23128.1.1.7 AB:CD:EF:01:23:45 소스 MAC 1.3.6.1.4.1.23128.1.1.8 10.0.0.68 대상 IP 주소 1.3.6.1.4.1.23128.1.1.9 37258 대상포트 1.3.6.1.4.1.23128.1.1.10 01:23:45:AB:CD:EF 대상 MAC 1.3.6.1.4.1.23128.1.1.11 17 프로토콜 1.3.6.1.4.1.23128.1.1.12 0 VLAN 1.3.6.1.4.1.23128.1.1.13 1 Flow 방향 1.3.6.1.4.1.23128.1.1.14 20 이벤트개수 1.3.6.1.4.1.23128.1.1.15 1201791100 처음 1.3.6.1.4.1.23128.1.1.16 1201794638 마지막 1.3.6.1.4.1.23128.1.1.17 288448 마지막 ( 마이크로초 ) 1.3.6.1.4.1.23128.1.1.18 2000002 시그니처 ID 1.3.6.1.4.1.23128.1.1.19 ANOMALY Inbound High to High 시그니처설명 1.3.6.1.4.1.23128.1.1.20 5 취한액션 McAfee Enterprise Security Manager 10.3.x 제품안내서 155
3 McAfee ESM 구성보조 McAFee ESM 서비스구성 OID 값의미 1.3.6.1.4.1.23128.1.1.21 1 심각도 1.3.6.1.4.1.23128.1.1.22 201 데이터소스유형또는결과 1.3.6.1.4.1.23128.1.1.23 0 정규화된시그니처 ID 1.3.6.1.4.1.23128.1.1.24 0:0:0:0:0:0:0:0 IPv6 소스 IP 주소 1.3.6.1.4.1.23128.1.1.25 0:0:0:0:0:0:0:0 IPv6 대상 IP 주소 1.3.6.1.4.1.23128.1.1.26 응용프로그램 1.3.6.1.4.1.23128.1.1.27 도메인 1.3.6.1.4.1.23128.1.1.28 호스트 1.3.6.1.4.1.23128.1.1.29 사용자 ( 소스 ) 1.3.6.1.4.1.23128.1.1.30 사용자 ( 대상 ) 1.3.6.1.4.1.23128.1.1.31 명령 1.3.6.1.4.1.23128.1.1.32 개체 1.3.6.1.4.1.23128.1.1.33 시퀀스번호 1.3.6.1.4.1.23128.1.1.34 신뢰할수있는환경에서생성되었는지신뢰할수없는환경에서생성되었는지를나타냄 1.3.6.1.4.1.23128.1.1.35 경보를생성한세션의 ID 숫자의의미 : 1.3.6.1.4.1.23128 McAfee IANA 에서할당한엔터프라이즈번호 마지막숫자 (1 35) 다양한특징의경보보고용 McAfee MIB 정의에대한전체정보는 https://x.x.x.x/browsereference/nitrosecurity-base-mib.txt 를참조하십시오. 여기서 x.x.x.x 는 McAfee ESM 의 IP 주소입니다. SNMP 트랩이데이터소스와함께작동하는방법 SNMP 트랩기능을사용하면데이터소스가 SNMP 트랩을보내는기능이있는관리가가능한네트워크장치의표준 SNMP 트랩을허용합니다. 표준 SNMP 트랩은다음을포함합니다. 인증실패 링크정지 콜드스타트 링크실행및웜스타트 EGP 인접라우터손실 IPv6 을통해 SNMP 트랩을보내려면 IPv6 주소를 IPv4 변환주소로나타내야합니다. 예를들어 10.0.2.84 를 IPv6 으로변환하면다음과같이보입니다. 2001:470:B:654:0:0:10.0.2.84 또는 2001:470:B:654::A000:0254 156 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성중복 ESM 설정 3 McAfee ESM에서 MIB 꺼내기 McAfee ESM과연결한개체및통보를봅니다. 이 MIB에정의된개체및통보는요청을다음대상에보내는데사용됩니다. ESM 자체또는수신기장치에대해상태정보를요청하는 McAfee ESM 상태정보를요청하는장치 1 시스템탐색트리에서 ESM을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [SNMP 요청 ] 탭을선택한다음 [MIB 보기 ] 를클릭합니다. 중복 ESM 설정 시스템오류또는데이터유실의경우 ESM 설정을기본 ESM 으로변환할수있는다른 ESM 에저장합니다. ESM 중복기능은 McAfee Event ReceiverSMREC 콤보장치에서사용할수없습니다. ESM 중복설정 시스템설정을중복 ESM 에저장하려면서로통신할수있도록각 ESM 을설정해야합니다. 시스템설정은 5 분마다동기화됩니다. 기본 ESM 을데이터테이블이동기화되도록설정하면이이수행됩니다. 시작하기전에 기본및각중복 ESM 이설치되고구성되어야합니다. 보조 ESM 설정이기본 ESM 에이미설정된것과일치하는지확인합니다. ([ 시스템속성 ] [ 데이터베이스 ] [ 데이터할당및데이터보존 ]) 현재사용자에게관리권한이있어야합니다. ([ 시스템속성 ] [ 사용자및그룹 ] [ 편집 ]) 각 ESM 은 SSH 를사용하도록설정해야합니다. ([ 시스템속성 ] [ 네트워크설정 ] [SSH 사용 ]) 1 기본 ESM 에로그온합니다. 2 [ 시스템속성 ] 에서 [ESM 관리 ] [ 구성탭 ] [ 중복 ] 을클릭합니다. 3 특별히사용하지않아야할이유가없으면 [ 공유된쿼리 ] 를선택합니다. 4 데이터테이블의전체동기화반복을예약하려면 [ 동기화예약 ] 을선택한다음 [ 동기화시간 ] 필드에서동기화할시간을선택합니다. [ 동기화예약 ] 은기본및중복 ESM 간의차이를확인하고수정합니다. 하루에한번씩실행하면기본및중복 ESM 이동기화상태로유지됩니다. 각 ESM 은동일한데이터를수신합니다. 5 [SSH 포트 ] 필드에서장치가통신하는데사용하는 SSH 포트를선택합니다. 중복그룹의모든 ESM 은동일한 SSH 포트를사용해야합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 157
3 McAfee ESM 구성중복 ESM 설정 6 중복 ESM을기본 ESM에추가합니다. 최대 5개의중복 ESM을추가할수있습니다. a [ 추가 ] 를클릭한다음중복 ESM의이름을입력합니다. b 중복 ESM의 IP 주소, 사용자이름및암호를입력하고 [ 다음 ] 을클릭합니다. 기본 ESM은중복 ESM과의통신을시도하고상태메시지를표시합니다. 화면이새로고침되지않습니다. 업데이트된데이터를보려면화면을닫았다가다시엽니다. c [ 마침 ] 을클릭합니다. 7 [ 확인 ] 을클릭합니다. 기본및중복 ESM 이동기화를시작합니다. 시스템설정은 5 분마다동기화됩니다. 중복 ESM 제거 기본 ESM과통신하는중복 ESM 목록에서 ESM을제거합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 아이콘을클릭한다음 [ESM 관리 ] [ 구성탭 ] [ 중복 ] 을클릭합니다. 2 중복 ESM 의표에서제거할 ESM 상태가 [ 중복확인 ] 또는 [ 연결이끊어짐 ] 인지확인합니다. 상태가 [ 동기화 ] 인경우중복 ESM 을제거하지마십시오. 3 ESM 을선택한다음 [ 제거 ] 를클릭합니다. 중복 ESM 이목록에서제거되어더이상기본 ESM 에서백업데이터를받을수없습니다. 목록의다른 ESM 은기본 ESM 과계속동기화됩니다. 공유된쿼리사용및사용안함 공유된쿼리기능을사용하면중복시스템에서기본 ESM 의부하를줄일수있습니다. 쿼리의지정된날짜범위가쿼리데이터가중복 ESM 에있음을나타내는경우중복 ESM 에서쿼리를실행하여부하를줄일수있습니다. 이기능은중복 ESM 에서제공하는리소스를효과적으로사용합니다. [ 공유된쿼리 ] 가활성화되어있을때요청된데이터가 30 일을넘거나쿼리시작시간이 12 시간을초과하는경우중복 ESM 에쿼리를보냅니다. 이러한쿼리결과는항상기본 ESM 에반환됩니다. [ 공유된쿼리 ] 는기본적으로사용하도록설정되어있습니다. 이전모델 ESM 은쿼리를처리하는데시간이더걸릴수있습니다. 처리시간을줄이려면이기능을사용하지않도록설정합니다. 1 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ESM 관리 ] [ 구성탭 ] [ 중복 ] 을클릭합니다. 3 [ 중복구성 ] 페이지에서 [ 공유된쿼리 ] 를선택해제한다음 [ 확인 ] 을클릭합니다. CPService 가재시작됩니다. 158 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 데이터베이스관리 3 중복 ESM 을기본 ESM 으로변경 기본 ESM이실패하거나비활성화해야하는경우중복 ESM을기본으로변경합니다. 1 탐색트리에서중복 ESM을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ESM 관리 ] [ 구성탭 ] [ 중복 ] 을클릭합니다. 3 중복 ESM을선택한다음 [ 페일오버 ] 를클릭합니다. 변경이완료되면상태메시지가표시됩니다. 4 메시지가표시되면기본 ESM으로변경되는중복 ESM의암호를입력합니다. 동기화상세정보 ESM 중복성은여러단계에서얻을수있습니다. 처음중복 ESM 을추가할때시스템은다음단계를수행합니다. 1 중복 ESM 에서모든비설정데이터 ( 경보및플로 ) 를제거합니다. 2 라이브데이터가기본 ESM 과병렬로삽입되도록중복 ESM 에데이터를삽입합니다. 3 콜드파티션은마지막 60 초동안데이터가삽입되지않은파티션입니다. 웜파티션은현재기본및중복 ESM 모두에서독립적으로생성되어현재사용되는파티션입니다. 중복 ESM 으로복사하기위해기본 ESM 에서콜드데이터파티션을식별합니다. 콜드데이터가되면시스템에서일관성을검사합니다. 4 가장오래된것부터순서대로기본 ESM 에서중복 ESM 으로파티션을복사합니다. 3 단계및 4 단계를세번반복합니다. 이후의동기화에서다음단계를세번반복합니다. 1 기본및중복 ESM 모두에서확인을위해콜드파티션을식별합니다. 2 동일한파티션이두 ESM 에모두존재하면시스템에서이를무시합니다. 파티션이다른경우중복 ESM 의파티션을기본 ESM 의파티션으로바꿉니다. 각 ESM 이독립적으로삽입되면동일한데이터가두 ESM 모두에존재하지만다른파티션으로구성됩니다. 시스템에서후속동기화를수행할때차이를식별하고필요한경우기본 ESM 의권한있는파티션이중복 ESM 의파티션을바꿉니다. 각 ESM 의총이벤트수를비교할때워크로드, 현재이벤트처리속도, 사용가능한디스크공간및장치별내부이벤트로인해이벤트가약간달라질수있습니다. 두 ESM 에서쿼리를실행하는경우정의된시간프레임 ( 예 : 이전날짜 ) 및특정수신기 / 데이터소스를지정하여이러한차이를최소화합니다. McAfee ESM 데이터베이스관리 시스템의기능을설정할때정보및설정을제공하도록 McAfee ESM 데이터베이스를관리합니다. 다음을수행할수있습니다. 이벤트및플로의데이터보존정책및공간할당구성 이벤트의데이터베이스메모리사용에대한정보를보고인쇄합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 159
3 McAfee ESM 구성 McAfee ESM 데이터베이스관리 VM 에 5 개이상의 CPU 가있는경우시스템저장소, 데이터저장소, 고성능저장소의추가저장소공간을사용할수있습니다. McAfee ESM VM 에서한번에둘이상의드라이브를제거하는경우이전의모든 ELM(Enterprise Log Manager) 검색이손상될수있습니다. 손상되지않도록하려면 ELM 검색결과를내보낸다음장치를제거합니다. 데이터저장소설정 iscsi(internet Small Computer System Interface), SAN(Storage Area Network) 또는 McAfee ESM 에연결된 DAS(Direct-attached storage) 장치가있는경우데이터저장소에대해설정할수있습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 데이터베이스 ] [ 보관 ] 을클릭합니다. 2 데이터저장장치탭을클릭하고액션을선택한다음장치 IP 주소, 이름및포트를채웁니다. 사용가능한탭은 McAfee ESM 에연결된저장소유형에따라다릅니다. 3 페이지를닫으려면 [ 취소 ] 를클릭합니다. VM 데이터저장소설정 McAfee ESM VM 에 5 개이상의 CPU 가있는경우 VM 의시스템저장소, 데이터저장소, 고성능저장소의추가저장소를사용할수있습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 데이터베이스 ] [VM 데이터 ] 를클릭합니다. 2 각필드에서데이터를저장하려는드라이브를선택합니다. 각드라이브는한번만선택할수있습니다. 3 [ 확인 ] 을클릭합니다. 누적장치인덱스증가 McAfee ESM 의활성표준인덱스수로인해 5 개의인덱스만누적장치필드에추가할수있습니다. 5 개보다더필요한경우현재사용하지않는표준인덱스 (sessionid, src/dst mac, src/dst 포트, src/dst 영역, src/dst 지리적위치 ) 를최대 42 개까지비활성화할수있습니다. McAfee ESM 은쿼리, 보고서, 경보및보기를생성할때표준인덱스를사용합니다. 인덱스가비활성화된경우, McAfee ESM 은비활성화된인덱스로인해쿼리, 보고서, 경보또는보기를생성할수없을때사용자에게알리지만어떤인덱스가비활성화되어있는지식별하지않습니다. 이러한제한때문에필요한경우가아니면표준인덱스를비활성화하지마십시오. 1 대시보드에서 을클릭하고 [ 구성 ] 을선택합니다. 2 [ 데이터베이스 ] 를클릭합니다. 3 [ 설정 ] 을클릭한다음 [ 누적장치인덱싱 ] 탭을클릭합니다. 4 [ 사용가능 ] 목록에서 [ 표준인덱스 ] 를클릭한다음 [ 표준인덱스표시 ] 를선택합니다. 5 비활성화할표준인덱스를클릭한다음화살표를클릭하여 [ 사용가능 ] 영역으로이동시킵니다. 페이지의오른쪽상단모서리에있는 [ 나머지 ] 문의숫자가비활성화하는각표준인덱스만큼늘어납니다. 이제선택한누적장치필드에대해 6개이상의누적장치인덱스를활성화할수있습니다. 160 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 데이터베이스관리 3 데이터보존제한설정 구성이기록데이터를시스템에보내면이벤트및플로를보존할기간과기록데이터를제한할지여부를선택합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 데이터베이스 ] [ 데이터보존 ] 을클릭합니다. 2 보존할최대이벤트및플로수를선택하고기록데이터를제한할지여부를선택합니다. 3 [ 확인 ] 을클릭합니다. 데이터할당제한정의 시스템에서유지되는이벤트및플로레코드의최대수는고정된값입니다. 데이터할당을통해각각에할당하는공간및검색할레코드수를설정하여쿼리를최적화할수있습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 데이터베이스 ] [ 데이터할당 ] 을클릭합니다. 2 숫자행의마커를클릭하여원하는숫자로끌어놓거나 [ 이벤트 ] 및 [ 플로 ] 필드의화살표를클릭합니다. 3 [ 확인 ] 을클릭합니다. 누적장치인덱싱관리 소스의숫자데이터를꺼내는사용자지정필드가있는경우여러이벤트를함께누적하여값을평균화하거나추세값을생성할수있습니다. 시작하기전에 사용자지정유형이존재하는지확인합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 데이터베이스 ] 를클릭한다음 [ 설정 ] 을클릭합니다. 4 사용가능드롭다운목록에서누적장치필드를선택합니다. 5 필드를선택하고 [ 활성화됨 ] 으로옮깁니다. 6 현재시간에서누적할지아니면지정한날짜에서과거데이터를다시작성할지선택합니다. 데이터베이스메모리사용보기 시스템에서데이터베이스메모리를사용하는방법을자세히설명하는테이블을보고인쇄합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 데이터베이스 ] [ 메모리사용 ] 을클릭합니다. [ 이벤트 ] 및 [ 플로 ] 테이블에데이터베이스의메모리사용이나열됩니다. 2 보고서를인쇄하려면 [ 인쇄 ] 아이콘을클릭합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 161
3 McAfee ESM 구성사용자및그룹 사용자및그룹 McAfee ESM, 장치, 정책및관련권한에사용자및그룹을추가합니다. FIPS 모드인경우 McAfee ESM 에는 [ 사용자 ], [ 고급사용자 ], [ 키및인증서관리자 ] 및 [ 감사관리자 ] 가포함됩니다. FIPS 모드가아닌경우 McAfee ESM 에는 [ 시스템관리자 ] 및 [ 일반사용자 ] 가포함됩니다. McAfee ESM 은다음을나열합니다. [ 사용자 ] 사용자이름, 현재각사용자에게열려있는세션숫자, 이들이속한그룹입니다. [ 그룹 ] 그룹의이름및각그룹에할당된권한입니다. [ 사용자이름 ], [ 세션 ] 또는 [ 그룹이름 ] 을클릭하여표를정렬합니다. 그룹권한 그룹을설정할때그룹의모든구성원에적용되는권한을설정합니다. [ 그룹추가 ]([ 시스템속성 ] [ 그룹추가 ]) 의 [ 권한 ] 페이지에서 [ 이그룹의액세스제한 ] 을선택하면이러한기능에대한액세스가제한됩니다. 액션도구모음 사용자가장치관리, 여러장치관리또는이벤트스트리밍뷰어에액세스할수없습니다. [ 경보 ] 그룹의사용자가경보관리수신자, 파일또는템플릿에액세스할수없습니다. 경보를생성, 편집, 제거, 활성화또는비활성화할수없습니다. [ 자산관리자 ] 및 [ 정책편집기 ] 사용자가다음기능에액세스할수없습니다. [ 케이스관리 ] 사용자가 [ 조직 ] 을제외한모든기능에액세스할수있습니다. [ELM] 사용자가강화된 ELM 검색을수행할수있지만 ELM 검색을저장하거나 ELM 장치속성에액세스할수없습니다. [ 필터 ] 사용자가 [ 문자열정규화 ], [Active Directory], [ 자산 ], [ 자산그룹 ] 또는 [ 태그 ] 필터탭에액세스할수없습니다. [ 보고서 ] 사용자가출력을이메일로보내는보고서만실행할수있습니다. [ 시스템속성 ] 사용자가 [ 보고서 ] 및 [ 관심목록 ] 만액세스할수있습니다. [ 관심목록 ] 사용자가동적관심목록을추가할수없습니다. [ 영역 ] 사용자가영역목록에서액세스권한이있는영역만볼수있습니다. 사용자추가 McAfee ESM, 해당장치, 해당정책및연결된권한에액세스할수있도록시스템에사용자를추가합니다. 추가되면사용자설정을편집하거나제거할수있습니다. 시작하기전에 [ 사용자관리 ] 권한이있는지확인합니다. 1 시스템탐색트리에서 [ 시스템속성 ] [ 사용자및그룹 ] 을선택합니다. 2 암호를입력한다음 [ 확인 ] 을클릭합니다. 3 [ 사용자 ] 섹션에서 [ 추가 ] 를클릭한다음요청한정보를입력합니다. 162 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성사용자및그룹 3 옵션 [ 사용자이름 ] [ 사용자별칭 ] 정의 사용자이름을입력합니다. CAC 설정을사용중인경우사용자이름은사용자의 10 자리 EDI-PI 입니다. ( 선택사항 ) 사용자의이름을표시하지않으려는경우별칭을입력합니다. CAC 설정을사용중인경우이는사용자이름일수있습니다. [ 암호 ] [ 암호설정 ] 을클릭하고계정의고유한암호를입력하고확인한다음 [ 확인 ] 을클릭합니다. [ 역할 ](FIPS 모드전용 ) 이사용자의역할을선택합니다. 옵션은다음과같습니다. [ 사용자 ] [ 고급사용자 ] 권한이있는그룹에사용자를추가할수없습니다. [ 고급사용자 ] 이러한사용자는모든 UCAPL(Unified Capabilities Approved Products List) 목적을위한시스템관리자이지만시스템관리자의일부권한은없을수있습니다. 이역할은다음권한이있는그룹에할당될사용자에게필요합니다. 시스템관리 사용자관리 정책관리 정책추가 / 삭제 사용자지정규칙및변수 글로벌블랙리스트 [ 키및인증서관리자 ] 이역할은키관리기능을수행하기위해필요합니다. 이역할을가진사용자는 [ 고급사용자 ] 권한이있는그룹에추가할수없습니다. [ 감사관리자 ] 이역할은로그를구성하기위해필요합니다. 이역할을가진사용자는 [ 고급사용자 ] 권한이있는그룹에추가할수없습니다. [ 관리자권한 ] (FIPS 모드가아님 ) [ 계정비활성화 ] [ 이메일주소 ] [ 모바일 SMS] [ 사용자의소속그룹 ] 사용자가관리자권한을갖도록하려는경우선택합니다. 액세스그룹을만들고사용자를이러한그룹에할당하여시스템관리자가일반사용자에게권한을부여할수있습니다. 시스템관리자는사용자및그룹영역을포함하여시스템의모든영역에액세스할수있는유일한사용자입니다. 사용자가 McAfee ESM 의계정에액세스하지못하도록차단하려는경우선택합니다. 사용자의이메일주소를추가합니다. 이는사용자가보고서또는경보통보를받지않는경우선택사항입니다. 이메일주소가이미시스템에있는경우 [ 이메일주소 ] 드롭다운목록에서선택합니다. 주소가시스템에없는경우 [ 이메일주소 ] 를클릭하고주소를시스템에추가합니다. 사용자의 SMS( 문자메시지 ) 주소를추가합니다. SMS( 문자메시지 ) 숫자가이미시스템에있는경우 [ 모바일 SMS] 드롭다운목록에서선택합니다. 주소가시스템에없는경우 [ 모바일 SMS] 를클릭하고주소를시스템에추가합니다. 이사용자가속해야하는그룹을선택합니다. 4 [ 확인 ] 을클릭한다음암호를다시입력합니다. 사용자는자신이속한그룹에할당된권한으로시스템에추가됩니다. 사용자이름이 [ 사용자및그룹 ] 페이지의 [ 사용자 ] 섹션에표시됩니다. 아이콘이각사용자이름옆에표시되며이는계정의활성화여부를나타냅니다. 사용자에게 관리자권한이있는경우다른아이콘이해당이름옆에표시됩니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 163
3 McAfee ESM 구성사용자및그룹 사용자설정정의 시간대, 날짜형식, 암호및기본표시등사용자설정을정의합니다. 1 대시보드에서사용자 ID를클릭한다음 [ 옵션 ] 을클릭합니다. 2 [ 사용자설정 ] 을선택합니다. 3 적절한시간대및날짜형식을선택합니다. 명시적으로다르게지정하지않는한보기, 쿼리, 설정은선택한표준시간대및날짜형식을기준으로이벤트, 흐름및로그데이터를표시합니다. 시간대를변경하면잘못된데이터가생성될수있습니다. 가장좋은방법은시간대를 GMT( 그리니치표준시 ) 로설정하는것입니다. 4 시스템이열릴때나타날기본시스템탐색트리표시를선택합니다. 5 비활성화된데이터소스, [ 경보 ] 탭및 [ 케이스 ] 탭의표시여부를선택합니다. 164 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성사용자및그룹 3 로그온보안정의 시스템의일반적인로그온보안설정을정의합니다. 예를들면특정기간의로그온시도횟수, 시스템이비활성화될수있는시간, 마지막으로로그온한사용자 ID 의표시여부등입니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 로그인보안 ] 을클릭합니다. 2 [ 표준 ] 탭에서옵션을설정한다음 [ 확인 ] 또는 [ 적용 ] 을클릭합니다. 3 [ 확인 ] 또는 [ 적용 ] 을클릭합니다. 옵션 [ 허용된실패한로그인시도횟수 ] 정의 단일세션에서연속으로로그온실패가허용되는횟수를지정합니다. 값이 0 이면로그온시도가무한정허용된다는것입니다. 지정된시간동안이횟수를초과하면계정이잠깁니다. 시스템관리자는계정 [ 사용자및그룹 ] 을사용하여잠금을해제해야합니다. 마스터계정은잠글수없습니다. [ 실패한로그인시도시간프레임 ] [ 실패한로그인잠금기간 ] [UI 시간초과값 ] [ 다음이후에비활성계정자동잠금 ] 실패한로그온시도기간 (1-1440 분 ) 을정의합니다. 이필드는 [ 허용된실패한로그인시도횟수 ] 와함께작동합니다. 특정기간동안실패한시도가허용횟수에도달하면대상계정이잠깁니다. [ 실패한로그인잠금기간 ] 필드에서설정한시간동안또는시스템관리자에의해잠금이해제되기전까지잠겨있습니다. 실패한로그온으로인한자동잠금의경우계정잠금기간을지정합니다. 최대값은 1440 분이며값이 0 이면자동으로잠금해제할수없다는의미입니다. 이시간이후계정잠금이자동으로해제됩니다. 이는수동으로잠긴계정에영향을미치지않습니다. 관리자는언제든지계정의잠금을해제할수있습니다. 현재세션이로그온화면에강제적용되기전의비활성기간을지정합니다. 값이 0 이면제한이없다는것입니다. 예를들어이값을 30 분으로설정할경우비활성상태로 30 분이지나면자동으로로그인화면이표시되고사용자가다시로그인해야만을재개할수있습니다. 비활성상태로특정한일수가지나면관리자권한이없는사용자계정을잠그도록 McAfee ESM 을설정합니다. 최대값은 365 일입니다. 최소값은 0 으로, 기능이비활성화됩니다. 잠금은관리자가계정의잠금을해제할때까지지속됩니다. [ 한명의사용자에의한활성세션 ] [ 로그인시마지막사용자 ID 표시 ] 단일사용자가한번에가질수있는활성세션수를설정합니다. 최대값은 10 입니다. 0 은제한을비활성화합니다. 사용자이름필드를마지막으로성공한로그온에사용된이름으로채울것인지선택합니다. [ACL 설정 ] 시스템에액세스할수있거나시스템에서차단된 IP 주소목록을설정하려는경우선택합니다. 암호보안정의 사용자암호에대한보안설정을정의합니다. 시작하기전에시스템관리자권한이있는지확인합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 165
3 McAfee ESM 구성사용자및그룹 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 로그인보안 ] 을클릭합니다. 2 [ 암호 ] 탭을클릭하고선택한다음 [ 적용 ] 또는 [ 확인 ] 을클릭합니다. 옵션 [ 고급암호필요 ] 정의 암호요구사항을식별합니다. 다음은최소요구사항입니다. 15 자 숫자 2 개 문장부호또는기호 2 개 소문자 2 개 대문자 2 개 4 번이상연속으로반복되는문자를포함할수없음 이러한요구사항을충족하지않는암호는허용되지않습니다. [ 암호만료 ] 사용자가암호를변경해야하는간격을지정합니다 (0-365 일 ). 0 을선택한경우암호가만료되지않습니다. [ 암호만료이전통보 ] 사용자에게암호가만료되기며칠전에암호를변경하도록알려줄지그일수를선택합니다 (1-30 일 ). [ 암호만료유예기간 ] [ 유예기간로그인 ] [ 암호기록수 ] 사용자의암호가만료된후사용자가여전히로그온할수있는기간을선택합니다. 유예기간이끝나면계정이잠기고관리자가잠금을해제해야합니다. 암호만료후지정한기간에사용자가로그온할수있는횟수를선택합니다. 유예로그온후에는시스템계정이잠기고관리자만잠금을해제할수있습니다. 각사용자의암호기록을저장할지여부와저장할암호개수를지정합니다 (0-100 개 ) 0 으로설정하면암호기록이저장되지않습니다. 사용자가암호를변경하면시스템에서기존암호기록을확인합니다. 암호가고유하지않은경우오류가표시되고암호는업데이트되지않습니다. 암호가고유한경우암호가변경되고기록항목이추가됩니다. 저장한도에도달한경우가장오래된암호가삭제됩니다. [ 암호변경제한최대간격 ] 사용자가암호를변경할수있는간격을제한합니다. 예를들어 12 를선택하면사용자는 12 시간내에두번이상암호를변경할수없습니다. RADIUS 인증설정정의 RADIUS 서버에사용자를인증하도록 McAfee ESM 을구성합니다. 시작하기전에 RADIUS 는 FIPS 컴플라이언트가아닙니다. FIPS 규정을준수해야하는경우이기능을사용하지않습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 로그인보안 ] 을클릭합니다. 2 [RADIUS] 탭을선택한다음기본서버에해당하는필드를입력합니다 ( 예 : RADIUS 서버의 IP 주소, 서버포트및공유암호 ). 보조서버는선택사항입니다. 그런다음 [ 확인 ] 또는 [ 적용 ] 을클릭합니다. 서버가활성화하면시스템관리자를제외한모든사용자가 RADIUS 서버로인증을받습니다. 인증을비활성화하면 RADIUS 인증에대해설정된사용자는 McAfee ESM 에액세스할수없습니다. 166 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성사용자및그룹 3 액세스제어목록설정 McAfee ESM에대한액세스를허용하거나차단할수있는 IP 주소목록을설정합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 로그인보안 ] 을클릭하고 [ 표준 ] 탭을선택합니다. 4 [ACL 설정 ] 을클릭한다음 IP 주소를목록에추가합니다. CAC(Common Access Card) 설정 사용자이름및암호를입력하지않고브라우저를통해 CAC(Common Access Card) 자격증명을제공하여 McAfee ESM 에대해인증합니다. CAC 설정에는서버인증서가웹사이트를식별하는방식과유사하게사용자를식별하는클라이언트인증서가포함되어있습니다. CAC 를사용하기전에 CAC 및 CAC 와연관된 EDI-PI( 전자데이터교환개인식별자 ) 를지원하는브라우저를식별합니다. CRL( 인증서해지목록 ) 은해지된인증서를식별합니다. 사용자는 CRL 파일이포함된.zip 파일을수동으로업로드할수있습니다. ActivClient 는 Windows 에서유일하게지원되는 CAC 미들웨어입니다. Internet Explorer 를사용하는 Windows 의 McAfee ESM 에서 CAC 인증을사용하려면클라이언트컴퓨터에 ActivClient 를설치해야합니다. ActivClient 가설치되면 Windows 의기본스마트카드관리자대신 CAC 자격증명을관리하기위해사용됩니다. 클라이언트가다른 CAC 활성웹사이트에액세스하는경우 ActivClient 소프트웨어가이미설치되어있을가능성이높습니다. 시스템관리자를통해 ActivClient 가환경에설치되어있는지확인합니다. 응용프로그램신뢰성에대해 CAC 유효성검사를사용하는경우시스템보안은 CA( 인증서발급기관 ) 의보안에의해결정됩니다. CA 가손상되면 CAC 활성로그온도손상됩니다. CAC(Common Access Card) 로그온구성 CAC(Common Access Card) 로그온을설정하려면 CA 루트인증서를업로드하고, CAC 로그온기능을활성화하고, 사용자이름을카드홀더의 FQDN( 정규화된고유이름 ) 으로설정하여 CAC 사용자를활성화합니다. 그러면카드홀더가사용자이름또는암호를묻는메시지를표시하지않고 CAC 활성브라우저에서 McAfee ESM 에액세스할수있습니다. McAfee ESM 은 Gemalto 및 Oberthur ID One 카드판독기를지원합니다. 1 CA 루트인증서를업로드합니다. a 컴퓨터제어판에서 [ 인터넷옵션 ] [ 내용 ] [ 인증서 ] [ 신뢰할수있는루트인증기관 ] 을클릭합니다. b 현재의루트 CA를선택한다음 [ 내보내기 ] 를클릭합니다. c [ 인증서내보내기마법사 ] 에서 [ 다음 ] 을클릭한다음 [Base 64 로인코딩된 X.509] 를선택하고 [ 다음 ] 을클릭합니다. d 내보내는파일의위치및이름을입력하고 [ 다음 ] 을클릭한다음 [ 마침 ] 을클릭합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 167
3 McAfee ESM 구성사용자및그룹 e McAfee ESM 콘솔의시스템탐색트리에서 [ 시스템속성 ] 에액세스하고 [ 로그인보안 ] 을클릭한다음 [CAC] 탭을선택합니다. f [ 업로드 ] 를클릭한다음 McAfee ESM 에내보내고업로드할파일을찾습니다. 2 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 3 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 4 [ 로그인보안 ] 을클릭한다음 [CAC] 탭을선택합니다. 옵션 [ CAC 모드가현재다음으로설정되어있음 ] 정의 CAC(Common Access Card) 모드를선택합니다. 옵션은다음과같습니다. [ 해제 ] 기본설정입니다. CAC 로그온이비활성화되므로사용자는 McAfee ESM 로그온프롬프트를사용하여로그온해야합니다. [ 옵션 ] CAC 인증을사용할수있지만사용자가인증서를제공하지않는경우마치 CAC 모드가해제된것처럼 McAfee ESM 로그온프롬프트가표시됩니다. [ 필수 ] CAC 사용로그온만시스템에액세스할수있습니다. 로그온프롬프트가표시되지않습니다. 이옵션을선택하는경우 [ 모드보안 PIN(IPv4) 필요 ] 에보안 PIN 을입력합니다. 이는 CAC 모드를 [ 옵션 ] 으로전환해야하는경우모든사용자가시스템에서잠겨있을때 LCD 패널에입력하는 PIN 입니다. LCD 패널은 PIN 을 IPv4 형식 (10.0.0.0) 으로인식합니다. 인증서및인증서권한은만료되므로 [ 필수 ] 모드에서는잠재적으로모든사용자를 McAfee ESM 에서잠글수있습니다. 페일세이프단추는 McAfee ESM 앞의 LCD 패널에있으며 CAC 모드를 [ 옵션 ] 으로다시전환합니다. [ 인증서자격증명 ] CA 루트인증서체인을업로드하여 McAfee ESM 이액세스할수있도록합니다. 인증서파일을보거나선택하는위치에다운로드할수있습니다. [ 인증서해지목록 ] 해지한인증서목록을업로드하거나선택한위치에다운로드합니다. [ 검색일정설정 ] McAfee ESM 이해지파일업데이트에대해폴링하는빈도및 URL 주소를입력하여자동검색일정을설정합니다. 5 각 CAC 사용자를활성화합니다. a [ 시스템속성 ] 에서 [ 사용자및그룹 ] 을클릭한다음시스템암호를입력합니다. b [ 사용자 ] 테이블에서사용자의이름을강조표시한다음 [ 편집 ] 을클릭합니다. c [ 사용자이름 ] 필드의이름을 FQDN 으로바꿉니다. d ( 선택사항 ) [ 사용자별칭 ] 필드에사용자이름을입력합니다. Active Directory 인증설정구성 시스템관리자를제외한사용자를 Active Directory 로인증하도록 McAfee ESM 을구성합니다. 인증을비활성화하면 Active Directory 인증에대해설정된사용자는시스템에액세스할수없습니다. 시작하기전에 McAfee ESM 의 Active Directory 설정 McAfee ESM 에대한액세스권한이있는 Active Directory 그룹과동일한이름으로그룹을만듭니다. 예를들어그룹의이름을 McAfee 사용자라고지정하려면 McAfee 사용자라는그룹을추가해야합니다. 168 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성사용자및그룹 3 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 로그인보안 ] 을클릭합니다. 2 [Active Directory] 탭을클릭한다음 [Active Directory 인증활성화 ] 를선택합니다. 3 [ 추가 ] 를클릭한다음요청한정보를추가하여연결을설정합니다. 4 [Active Directory 연결 ] 페이지에서 [ 확인 ] 을클릭합니다. 옵션 [ 기본값으로사용 ] [ 도메인이름 ] 정의 이도메인을기본값으로사용하려는경우선택합니다. 도메인이름을입력합니다. 시스템에로그온하는경우이도메인이름을사용자이름으로사용할수있습니다. 사용자이름을사용하여로그온하는경우기본값으로지정된도메인이사용됩니다. [ 추가 ] 단추 Active Directory에사용되는 IP 주소를추가합니다. [ 관리서버 ] 관리서버의주소인경우선택합니다. 그렇지않은경우선택취소합니다. 입력하는주소중하나에서관리자서버가실행되는호스트를확인해야합니다. [IP 주소 ] Active Directory에사용되는 IP 주소를입력합니다 []. [ 포트 ] 및 [LDAP 포트 ] 필요한경우기본값을변경합니다. [TLS 사용 ] 데이터에대해 TLS 암호화프로토콜을사용하려면선택합니다. [ 편집 ] 단추기존 IP 주소설정을변경합니다. [ 삭제 ] 단추기존 IP 주소를삭제합니다. McAfee epo 의사용자자격증명설정 McAfee epo 장치에대한액세스를제한하려면사용자자격증명을설정합니다. 시작하기전에 McAfee epo 장치가설정되어있고글로벌사용자인증이필요하지않은지확인합니다. 1 대시보드에서사용자이름을클릭한다음 [ 옵션 ] 을클릭합니다. 2 [epo 자격증명 ] 을선택합니다. 3 McAfee ESM 에서 McAfee epo 장치를봅니다. 필요하지않음상태가표시되는경우장치가글로벌사용자인증에대해설정된것입니다. 자격증명없음상태가표시되는경우장치가개인사용자인증을요구하도록설정된것입니다. 사용자인증설정을변경하려면 McAfee epo 장치의 [ 속성 ] 으로이동하고 [ 연결 ] 을클릭하여 [ 사용자인증필요 ] 필드의설정을변경합니다. 4 장치를선택한다음 [ 편집 ] 을클릭합니다. 5 사용자이름및암호를입력한다음연결을테스트합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 169
3 McAfee ESM 구성사용자및그룹 사용자비활성화또는활성화 McAfee ESM 사용자를삭제하지않고사용자액세스를일시적으로또는영구적으로차단 ( 비활성화 ) 또는허용 ( 활성화 ) 합니다. 1 시스템탐색트리에서 [ 시스템속성 ] [ 사용자및그룹 ] 을선택합니다. 2 [ 사용자 ] 테이블에서사용자의이름을강조표시한다음 [ 편집 ] 을클릭합니다. 3 [ 계정비활성화 ] 를선택하거나선택취소한다음 [ 확인 ] 을클릭합니다. [ 사용자및그룹 ] 에서사용자이름옆의아이콘이계정상태를반영합니다. LDAP 서버에대해사용자인증 LDAP 서버에사용자를인증하도록 McAfee ESM을구성합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 로그인보안 ] 을클릭합니다. 2 [LDAP] 탭을클릭합니다. 3 데이터암호화프로토콜, 특성및필터등필드를입력한다음 [ 적용 ] 또는 [ 확인 ] 을클릭합니다. 사용자그룹설정 권한, 정책및장치, 보고서, 경보데이터에대한액세스와같은그룹설정을정의합니다. 그런다음해당그룹에속한모든사용자는그룹설정을상속받습니다. 시작하기전에 사용자관리권한이있는지확인합니다. 1 시스템탐색트리에서 [ 시스템속성 ] [ 사용자및그룹 ] 을클릭한다음암호를입력합니다. 2 이그룹에대한권한을선택합니다. 읽기전용인사용자지정항목에대한권한은항목의작성자만변경할수있습니다. 옵션 ( 보기전용 )[ 상위폴더에서권한상속 ] ( 보고서및관심목록전용 ) [ 수정설정상속 ] 정의 ( 기본값 ) 권한을상속하지않으려는경우이옵션을선택취소합니다. ( 기본값 ) 사용자가권한을상속합니다. 기본설정을변경하려는경우이옵션을선택취소합니다. 170 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성사용자및그룹 3 옵션 정의 [ 그룹 ] 탭선택한항목에대한액세스권한이있는그룹을나타냅니다. [ 읽기전용 ], [ 수정 ] 을선택하거나둘다선택하지않을수있습니다. 이들중하나도선택하지않는경우그룹에거부권한이있습니다. [ 수정 ] 을선택하면 [ 읽기전용 ] 이자동으로선택됩니다. 기본값이라는유사그룹이 [ 마스터 ] 또는 [ 관리 ] 사용자에대해표시됩니다. 나중에만들어진그룹은이권한을얻습니다. [ 사용자 ] 탭구성원으로있는그룹을기반으로, 액세스권한이있는모든사용자가나열됩니다. 선택한항목에액세스권한이있어야하는사용자를나타냅니다. [ 읽기전용 ], [ 수정 ] 을선택하거나둘다선택하지않을수있습니다. 이들중하나도선택하지않는경우사용자에게거부권한이있습니다. [ 수정 ] 을선택하면 [ 읽기전용 ] 이자동으로선택됩니다. 사용자권한이그룹권한보다우선합니다. 예를들어사용자에게리소스에대한 [ 읽기 ] 액세스권한만주어지고해당그룹에는 [ 수정 ] 액세스권한이주어지는경우사용자는선택한항목을 [ 읽기 ] 만할수있습니다. 사용자를목록에추가하거나제거할수있습니다. 1 [ 추가 ] 를클릭하고사용자를클릭한다음 [ 확인 ] 을클릭합니다. 2 각사용자에대해 [ 읽기 ] 또는 [ 수정 ] 을선택한다음 [ 확인 ] 을클릭합니다. 사용자가목록에없는경우시스템은해당사용자의그룹권한을사용합니다. 사용자가목록에있지만 [ 읽기 ] 또는 [ 수정 ] 을선택하지않은경우해당사용자는리소스에대한명시적인거부권한이있습니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 171
3 McAfee ESM 구성사용자및그룹 3 [ 그룹 ] 표의오른쪽에있는 [ 추가 ] 를클릭한다음각탭에서요청한정보를작성합니다. 옵션 [ 이름및설명 ] 정의 이그룹의이름과설명을입력합니다. [ 사용자 ] 이그룹에속할사용자를선택합니다. [ 권한 ] 이그룹과연결된권한을선택합니다. [ 장치 ] 사용자가액세스할수있는장치를선택합니다. 모든장치를선택하면새장치가시스템에추가될때사용자가새장치에도액세스할수있습니다. [ 정책 ] 사용자가사용하고변경할수있는정책을선택합니다. [IP 주소필터 ] 그룹에 IP 주소필터를적용하여보고서를실행하거나사용자를보고서또는경보수신자로선택할때표시되는데이터를제한합니다. [ 영역 ] 사용자가액세스하고변경할수있는영역을선택합니다. [ 이벤트전달 ] 이그룹에서액세스할수있는이벤트전달대상을선택합니다. 이옵션은사용자가이벤트를전달할수있는장치및전달될수있는이벤트유형을지정하는필터를정의합니다. 이벤트전달대상이액세스그룹에속하지않는경우모든장치에액세스할수있습니다. [ 그룹시간제한 ] 이그룹이 McAfee ESM 에액세스할수있는요일과시간을제한합니다. 사용자는시간이만료되기전에세션이 15 분, 5 분, 1 분의시간이남았다는시각적통보를받습니다. [ 보고서 ] 이그룹이보고변경할수있는보고서를선택합니다. 또한보고서와공유할그룹또는사용자를선택할수있습니다. [ 보기 ] 이그룹의사용자가보고변경할수있는보기를선택합니다. 또한다른사용자및그룹과가시성을공유할수있습니다. [ 관심목록 ] 이그룹의사용자가보고변경할수있는관심목록을선택합니다. 또한다른사용자및그룹과가시성을공유할수있습니다. [ 필터 ] 이그룹의사용자가보고변경할수있는필터세트를선택합니다. 둘이상의보기, 관심목록또는보고서를선택한경우 [ 그룹 ] 또는 [ 사용자 ] 탭의 [ 읽기 ] 또는 [ 수정 ] 열에있는확인란에서충돌이있다는것을나타냅니다. 충돌을해결할때까지페이지를저장하고닫을수없습니다. 선택한모든항목에대한설정을해결하려면확인란을클릭합니다. 4 [ 확인 ] 을클릭한다음암호를다시입력합니다. 제한된액세스를사용하여그룹추가 McAfee ESM 의기능에대해특정사용자의액세스를제한하려면해당사용자를포함하는그룹을만듭니다. 이옵션은경보, 케이스관리, ELM, 보고서, 관심목록, 자산관리, 정책편집기, 영역, 시스템속성, 필터및액션도구모음에대한액세스를제한합니다. 다른모든기능이비활성화됩니다. 1 시스템탐색트리에서시스템을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 사용자및그룹 ] 을클릭한다음시스템암호를입력합니다. 3 다음중하나를수행합니다. 그룹이이미설정된경우 [ 그룹 ] 테이블에서선택한다음 [ 편집 ] 을클릭합니다. 그룹을추가하는경우 [ 그룹 ] 테이블옆의 [ 추가 ] 를클릭한다음이름및설명을입력하고사용자를선택합니다. 4 [ 권한 ] 을클릭한다음 [ 이그룹의액세스제한 ] 을선택합니다. 대부분의권한이비활성화됩니다. 172 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성시스템설정백업및복원 3 5 나머지권한목록에서이그룹에할당할권한을선택합니다. 6 각탭을클릭하고그룹의나머지설정을정의합니다. 시스템설정백업및복원 시스템장애또는데이터유출시복원할수있도록현재시스템구성설정을자동또는수동으로저장합니다. 표준백업은정책, SSH, 네트워크및 SNMP 파일에대한설정을포함하여모든구성설정을저장합니다. ESM 장치를추가할때 7 일마다백업하도록 [ 백업및복원 ] 이사용됩니다. 시스템에서수신하는이벤트, 플로및로그를백업할수있습니다. 이벤트, 플로또는로그데이터를처음으로백업하면현재날짜시작지점부터의데이터만저장합니다. 후속백업은마지막으로백업한때부터데이터를저장합니다. 시스템을복원하려면 McAfee ESM, 로컬컴퓨터또는원격위치에서백업파일을선택하여설정및데이터를이전상태로되돌리면됩니다. 백업이만들어진이후의설정에대한모든변경사항은손실됩니다. 예를들어일상적인백업을수행하고마지막 3 일간의데이터를복원하려면마지막백업파일 3 개를선택합니다. 백업파일의이벤트, 플로및로그가현재 McAfee ESM 의이벤트, 플로및로그에추가됩니다. 그러면시스템에서모든설정을가장최근백업의설정으로덮어씁니다. McAfee ESM 설정및시스템데이터백업 시작하기전에 데이터유출을방지하려면주버전업데이트전에전체백업을완료합니다. 전체백업에는다음이포함됩니다. ESM, ERC, DEM, ADM 및 ACE 장치에대한설정이포함됩니다. ELM 전체백업은구성설정만포함합니다. 데이터베이스설정은별도로백업해야하며그러지않은경우로컬공유, 원격공유및 SAN 에대한모든데이터베이스연결이끊어집니다. CPService 다음 DBServer 를중지하고 /usr/local/ess/data/, /etc/nitroguard 및원격공유에있는다른폴더의콘텐츠복사본을만듭니다. 업데이트중에문제가발생할경우다음을수행할수있습니다. 기존버전에소프트웨어를다시설치합니다. 백업파일을다시설치합니다. 다음버전으로다시업데이트를시도합니다. 백업은현재 ESM 장치버전과만호환됩니다. 업데이트된 ESM 장치에이전버전의백업을설치할수없습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ESM 관리 ] [ 유지관리 ] [ 백업 ] 을클릭합니다. 2 백업설정을정의한다음 [ 확인 ] 을클릭합니다. 옵션 [ 백업빈도 ] [ 다음에대한데이터백업 ] 정의 새 ESM 장치를시스템에추가하면 7 일마다백업을수행할수있도록 [ 백업및복원 ] 기능이활성화됩니다. 빈도를변경할수도있고백업을비활성화할수도있습니다. 백업에포함할내용을선택합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 173
3 McAfee ESM 구성시스템설정백업및복원 옵션 [ 백업위치 ] 정의 백업을저장하려는위치를선택합니다. [ESM] McAfee ESM 에저장되고 [ 파일유지관리 ] 페이지에서액세스합니다. [ 원격위치 ] 활성화되는필드에서정의하는위치에저장됩니다. 수동으로모든시스템데이터및 ESM 복사본을저장하는경우이옵션을선택해야합니다. CIFS 공유를백업할때원격경로필드에슬래시 (/) 를사용합니다. [ 지금백업 ] 수동으로 ESM 설정및이벤트, 플로및로그를백업합니다 ( 선택한경우 ). 백업이성공적으로완료된경우 [ 닫기 ] 를클릭합니다. [ 지금전체백업 ] 수동으로시스템데이터및장치설정복사본을저장합니다. 이는 McAfee ESM 에저장할수없으므로 [ 백업위치 ] 필드에서 [ 원격위치 ] 를선택하고위치정보를입력해야합니다. Samba Server 3.2 보다높은버전에서 CIFS(Common Internet File System) 공유유형을사용하면데이터가유실될수있습니다. McAfee ESM 설정복원 시스템오류또는데이터손실이발생한경우백업파일을선택하여 McAfee ESM 을이전상태로복원할수있습니다. 시작하기전에 데이터베이스에허용된최대레코드가포함되어있고복원되는레코드가 McAfee ESM 의현재데이터범위밖에있는경우레코드가복원되지않습니다. 해당범위밖의데이터를저장하고액세스하려면비활성파티션보관을설정해야합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ESM 관리 ] [ 유지관리 ] [ 백업복원 ] 을클릭합니다. 2 수행해야하는복원유형을선택합니다. 3 원격위치의정보를복원하거나입력하려는파일을선택한다음 [ 확인 ] 을클릭합니다. 백업복원은복원파일의크기에따라시간이오래걸릴수있습니다. 전체복원이완료될때까지 McAfee ESM 은오프라인상태입니다. 이기간중 McAfee ESM 은 5 분마다다시연결하려고시도합니다. 프로세스가완료되면 [ 로그인 ] 페이지가표시됩니다. 백업한구성파일복원 각장치에대해 McAfee ESM에서백업한 SSH, 네트워크, SNMP 및기타구성파일을복원할수있습니다. 시작하기전에 McAfee ESM에서구성파일을복원합니다. 1 시스템탐색트리에서장치를클릭한다음 [ 속성 ] 아이콘을클릭합니다. 2 장치의 [ 구성 ] 옵션을클릭하고 [ 구성복원 ] 을클릭한다음 [ 예 ] 를클릭합니다. 174 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 관리 3 파일유지관리 McAfee ESM 에서백업, 소프트웨어업데이트, 경보로그및보고서로그파일을저장합니다. 이러한각목록의파일을다운로드, 업로드및제거할수있습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 파일유지관리 ] 를클릭합니다. 2 [ 파일유형선택 ] 필드에서 [ 백업파일 ], [ 소프트웨어업데이트파일 ], [ 경보로그파일 ] 또는 [ 보고서파일 ] 을선택합니다. 3 파일을선택한다음옵션중하나를클릭합니다. 4 [ 적용 ] 또는 [ 확인 ] 을클릭합니다. McAfee ESM 관리 McAfee ESM 로그, 인증서, 기능파일및통신키를관리할수있습니다. 탭옵션정의 [ 구성 ] [ 키관리 ] [ 유지관리 ] [ 로그관리 ] 이벤트로그에로깅되는이벤트유형을구성합니다. [ESM 계층 ] 계층 ESM 장치에서하는경우데이터옵션을구성합니다. [ 조작 ] 이벤트전달에서보내거나기본 ESM 으로보낸경보레코드에서선택한데이터를마스크하기위한글로벌설정을정의합니다. [ 로깅 ] 내부이벤트를저장소의 ELM 에보냅니다. 이데이터는감사용으로사용할수있습니다. [ 시스템로캘 ] 상태모니터및장치로그와같은이벤트로깅에사용되는시스템언어를선택합니다. [ 이름맵 ] 포트및프로토콜을선택취소하여이름대신원시숫자를표시하도록합니다. 예를들어 [ 소스포트 ] 또는 [ 대상포트 ] 를선택취소하면 http:80 이 80 으로표시됩니다. 프로토콜을선택하면원시숫자 17 이 udp 로표시됩니다. [ 로컬네트워크 ] 로컬네트워크에포함된 IP 주소또는서브넷목록을추가합니다. [ 인증서 ] 새 SSL(Secure Socket Layer) 인증서를설치합니다. [SSH 다시생성 ] [ESM 업데이트 ] 모든장치와통신하기위한비공개또는공개 SSH 키쌍을다시생성합니다. ESM 규칙및업데이트서버또는 McAfee 보안엔지니어에서 McAfee 소프트웨어를업데이트합니다. [ESM 데이터 ] ESM 상태에대한정보가포함된.tgz 파일을다운로드합니다. 이상태는 McAfee 지원에서문제를해결하는데도움을줄수있습니다. [ 관리자 ] McAfee ESM 에서실행되는쿼리를보고필요한경우중지합니다. [ 종료 ] ESM 을종료합니다. 이액션으로인해모든사용자가 ESM 과통신이끊어진다는경고가표시됩니다. [ 재부팅 ] McAfee ESM 을중지하고다시시작합니다. 그러면 McAfee ESM 과모든사용자의통신이끊어집니다. [ 기능가져오기 ] 추가기능을구입한경우 ESM 에서지원되는기능에대한정보가포함된암호화된파일을다운로드하여 McAfee ESM 에서새기능을활성화합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 175
3 McAfee ESM 구성 McAfee ESM 관리 탭 옵션 정의 [ 기능설정 ] [ 기능가져오기 ] 로다운로드한파일을설치합니다. [ 연결 ] 지원을요청하는경우 McAfee 지원에시스템에대한액세스권한을제공하십시오. 이옵션은 FIPS 컴플라이언트가아니므로 FIPS 모드에서작동하는경우사용할수없습니다. [ 통계보기 ] 다음과같은 ESM 장치정보에액세스합니다. 메모리및스왑공간사용통계 CPU 사용 시스템전환 입력 / 출력및전송속도통계 대기열길이및로드평균 McAfee ESM 로그관리 이벤트로그에저장하려는내부이벤트를선택합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ESM 관리 ] 를클릭합니다. 2 [ 로그관리 ] 를클릭한다음로깅하려는이벤트유형을선택합니다. IP 주소마스크 이벤트전달에서보내거나기본 ESM 으로보낸이벤트레코드의특정데이터를마스크합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ESM 관리 ] [ESM 계층 ] 을클릭합니다. 2 데이터를마스크하려는 ESM 에대해 [ 조작 ] 을선택합니다. 3 마스크할필드를선택합니다. 4 로컬네트워크의설정을선택합니다. 매번동일한방식으로조작이발생하도록하려면시드값필드에시드를입력하거나생성을클릭하여임의시드를생성합니다. 이는여러 ESM 장치간에 IP 주소를조작하고값이계속동기화되도록하려는경우유용합니다. 로컬네트워크내부및외부의 IP 주소를숨기려면선택합니다. 그러면 IPv4 및 IPv6 주소와같은 IP 사용자지정유형으로확장됩니다. 로컬네트워크에포함된 IP 주소또는서브넷목록을쉼표로구분하여입력합니다 ( 최대 2,000 자 ). 로컬네트워크가 2,000 자보다더긴경우 CIDR(Classless Inter-Domain Routing) 표기법을통해여러서브넷을더짧은로컬네트워크로통합합니다. 5 [ 확인 ] 을클릭합니다. 이를설정한후기본 ESM 이보조 ESM 의패킷을요청하면시스템은선택한데이터를마스킹합니다. McAfee ESM 로깅설정 시스템에 ELM(Enterprise Log Manager) 장치가있는경우 McAfee ESM 이 ELM 장치에생성하는내부이벤트데이터를보내도록기본로깅풀을구성합니다. 시작하기전에 ELM 장치를시스템에추가합니다. 176 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성 McAfee ESM 관리 3 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ESM 관리 ] 를클릭합니다. 2 [ 구성 ] 탭에서 [ 로깅 ] 을클릭합니다. 3 내부이벤트데이터를저장할기본로깅옵션및저장소풀을선택한다음 [ 확인 ] 을클릭합니다. 시스템에둘이상의 ELM 장치가있는경우데이터를저장할 ELM 을선택합니다. 이 McAfee ESM 장치는항상선택한 ELM 에로그온합니다. McAfee ESM 이 ELM 과통신할 IP 주소를선택합니다. 선택한 ELM 이장치에성공적으로연결된경우알려줍니다. 저장소풀이 ELM 에구성되지않은경우로깅을활성화하려면 ELM 에저장소풀을추가해야한다고알려줍니다. SSH 키다시생성 모든장치와통신하기위한비공개또는공개 SSH 키쌍을다시생성합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ESM 관리 ] 를클릭합니다. 2 [ 키관리 ] 탭에서 [SSH 다시생성 ] 을클릭합니다. 3 [ 예 ] 를클릭합니다. 시스템에서새키를다시생성하면 McAfee ESM에서관리되는모든장치의이전키쌍을바꿉니다. 쿼리관리 [ 관리자 ] 에 ESM 에서실행되는쿼리목록이표시됩니다. 해당상태를보고시스템성능에영향을미치는부분은삭제할수있습니다. 1 시스템탐색트리에서시스템을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ESM 관리 ] 를클릭하고 [ 유지관리 ] 탭을클릭한다음 [ 관리자 ] 를클릭합니다. 3 다음을수행할수있습니다. 시스템에서보고서, 보기, 관심목록, 실행및내보내기, 경보및외부 API 쿼리를닫습니다. 시스템쿼리는닫을수없습니다. 기본적으로 5 초마다자동으로목록을새로고칩니다. 쿼리및목록자동새로고침을선택하면선택항목은유지되지만상세정보는새로고쳐집니다. 완료된쿼리는목록에표시되지않습니다. [ 쿼리상세정보 ] 영역에서데이터를선택하고복사합니다. 표의열을정렬합니다. 삭제아이콘은닫을수있는쿼리를식별합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 177
3 McAfee ESM 구성글로벌블랙리스트작동방법 기본또는중복장치업그레이드 기본또는중복장치를업그레이드합니다. 1 이벤트, 플로및로그수집을비활성화합니다. a 시스템탐색트리에서 [ 시스템정보 ] 를선택한다음 [ 이벤트, 플로및로그 ] 를클릭합니다. b [ 자동확인간격 ] 을선택취소합니다. 2 기본장치를업데이트합니다. 3 중복장치를업데이트합니다. 4 한번더 [ 자동확인간격 ] 을선택하여이벤트, 플로및로그수집을활성화합니다. 글로벌블랙리스트작동방법 블랙리스트는트래픽이패킷심층분석엔진에의해분석되기전에네트워크장치를통과할때트래픽을차단합니다. 글로벌블랙리스트는 McAfee ESM 에서관리되는모든네트워크장치에적용됩니다. McAfee ESM 에서개인네트워크장치에대한블랙리스트를설정할수있습니다. 글로벌블랙리스트는영구블랙리스트항목만허용합니다. 임시항목을설정하려면네트워크장치 [ 블랙리스트 ] 옵션을사용합니다. 각네트워크장치는글로벌블랙리스트를사용할수있습니다. 이기능은활성화할때까지모든장치에서비활성화되어있습니다. [ 글로벌블랙리스트편집기 ] 를통해다음을수행할수있습니다. [ 차단된소스 ] 장치를통과하는트래픽의소스 IP 주소와일치합니다. [ 차단된대상 ] 장치를통과하는트래픽의대상 IP 주소와일치합니다. [ 제외 ] 블랙리스트중하나에자동으로추가되지않도록합니다. 중요한 IP 주소 ( 예 : DNS 및다른서버또는시스템관리자의워크스테이션 ) 를제외에추가하여생성할수있는이벤트에관계없이자동으로블랙리스트에추가되지않도록할수있습니다. [ 차단된소스 ] 와 [ 차단된대상 ] 의항목은블랙리스트의효과를특정대상포트로좁히도록구성할수있습니다. 항목을추가하는경우 : 178 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성데이터보강 3 차단된소스와대상의항목을모든포트또는특정포트에서블랙리스트에추가하도록구성할수있습니다. 마스크된 IP 주소범위를사용하는항목은임의 (0) 로설정된포트로구성해야하며기간은영구여야합니다. IP 주소또는호스트이름을입력하면입력한값에따라해당컨트롤옆의단추에 [ 확인 ] 또는 [ 조회 ] 라고표시됩니다. [ 확인 ] 이라고표시되는단추를클릭하면입력된호스트이름을확인하고해당정보로 [IP 주소 ] 필드를채운다음호스트이름을 [ 설명 ] 필드로이동합니다. 그렇지않고 [ 조회 ] 를클릭하면 IP 주소를조회하고해당조회결과로 [ 설명 ] 필드를채웁니다. 일부웹사이트는두개이상의 IP 주소를사용하거나항상동일하지않은 IP 주소를사용합니다. 일부웹사이트를차단하는데이도구를사용하지마십시오. 글로벌블랙리스트설정 블랙리스트를지원하는모든네트워크장치의특정트래픽을차단하도록글로벌블랙리스트를설정합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 글로벌블랙리스트 ] 를클릭합니다. 2 [ 차단된소스 ], [ 차단된대상 ] 또는 [ 제외 ] 탭을선택한다음블랙리스트항목을관리합니다. [ 제외 ] 의경우 DNS 및다른서버또는시스템관리자의워크스테이션과같이자동으로블랙리스트에추가되면안되는 IP 주소목록을관리합니다. 기본값은영 (0) 이며모든포트를허용합니다. 블랙리스트의효과를특정대상포트로좁히려는경우포트번호를입력합니다. 3 글로벌블랙리스트를지원하는네트워크장치를선택합니다. 데이터보강 이메일주소, 전화번호또는호스트위치정보와같이원래이벤트에없는컨텍스트가포함된업스트림데이터소스로전송된이벤트를보강합니다. 이보강된데이터는구문분석된이벤트의일부가되어원래필드와마찬가지로이벤트와함께저장됩니다. 데이터베이스에연결하고해당데이터베이스의테이블에서하나또는두개의열에액세스하는방법을정의하여데이터보강소스를설정합니다. 그런다음데이터를받는장치와해당이벤트및플로데이터를보강하는방법을정의합니다. 데이터보강소스를편집하거나제거하고쿼리를실행할수도있습니다. McAfee ESM 에서트리거하는이벤트는보강되지않습니다. 데이터취득은장치가아닌 McAfee ESM 에서발생합니다. Hadoop HBase 의관계형데이터소스에대한커넥터는보강을위해소스의키값쌍을사용합니다. 이벤트를보강하기위해 HBase 의 ID 매핑을정기적으로수신기에가져올수있습니다. 데이터강화소스추가 데이터강화소스를추가하고데이터를수신하는장치를정의합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 데이터강화 ] [ 추가 ] 를클릭합니다. [ 데이터강화마법사 ] 의탭및필드는선택하는강화유형에따라다릅니다. 2 각탭에서필드를완성한후 [ 다음 ] 을클릭합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 179
3 McAfee ESM 구성데이터보강 탭옵션정의 [ 기본 ] [] 탭 [ 소스 ] 탭 [ 이름 ] 소스의이름을입력합니다. [ 활성화 ] 이소스의활성화여부를선택합니다. [ 조회유형 ] 조회에사용할데이터유형을선택합니다. [ 보강유형 ] 보강할데이터유형을선택합니다. [ 꺼내기빈도 ] 이데이터보강소스를실행할빈도를선택합니다. CIFS, NFS, FTP, SFTP 및 SCP 소스유형만보강을위해외부파일을사용할수있습니다. 다른소스유형을사용하려면데이터베이스또는정규표현식에대한쿼리를작성해야합니다. 데이터보강을위해꺼낼파일은 LookupValue=EnrichmentValue 형식이어야합니다. 각항목이별도의줄에표시되어야합니다. 단일열보강의경우조회값항목만필요합니다. 두열보강의경우조회값이보강값에서등호 (=) 로구분되어야합니다. 예를들어호스트이름에대한 IP 주소를사용하는파일은다음과같을수있습니다. 10.5.2.3=New York 10.5.2.4=Houston [ 유형 ] 소스의데이터베이스드라이버유형입니다. [ 인증 ] 기본값은 [ 없음 ] 입니다. [ 기본 ] 이선택되고로그온이필요한경우웹사이트에대한사용자이름및암호를입력합니다. [DB 이름 ] 데이터베이스의이름입니다. [ 호스트 ] 데이터베이스를실행하는컴퓨터의이름입니다. [ 잘못된인증서무시 ] 검색을시도하는웹사이트가 https URL 인경우이옵션을선택하여잘못된 SSL 인증서를무시합니다. [IP 주소 ] 데이터베이스의 IP 주소입니다. [ 추적기호스트 ] [ 추적기포트 ] [ 방법 ] 기본설정은 [GET] 입니다. ( 필요하지않음 ) Apache Hadoop 추적기호스트주소또는 IP 주소입니다. 비어있는경우시스템이노드이름호스트를사용합니다. ( 필요하지않음 ) 추적기호스트가수신하는포트입니다. 비어있는경우시스템이노드이름호스트를사용합니다. 기본값은 [GET] 입니다. [POST] 가선택된경우검색하려는콘텐츠가포함된웹페이지로이동하는데필요할수도있는 POST 콘텐츠또는인수입니다. [ 마운트지점 ] 파일의디렉터리입니다. [ 노드이름호스트 ] Apache Hadoop 노드이름호스트주소또는 IP 주소입니다. 프로토콜을포함하지마십시오. [ 노드이름포트 ] ( 필요하지않음 ) 노드이름호스트가수신하는포트입니다. 비어있는경우시스템이노드이름호스트를사용합니다. [ 암호 ] 데이터베이스에액세스하기위해필요한암호입니다. [ 경로 ] 데이터베이스에대한경로입니다. [ 유형 ] 필드에서 [FTP] 를선택하는경우경로가홈디렉터리에대해상대적입니다. FTP 서버에서절대경로를지정하려면경로처음에추가슬래시 (/) 를삽입합니다. 예를들어 //var/local/path 입니다. [ 포트 ] 데이터베이스의포트입니다. [ 공유이름 ] 파일의디렉터리입니다. 180 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성데이터보강 3 탭옵션정의 [ 구문분석 ] 탭 [ 사용자이름 ] 데이터베이스에액세스할수있는사용자이름입니다. LDAP 의경우공백없이정식도메인이름을입력합니다. 예를들어 uid=bob,ou=users,dc=example,dc=com 또는 administrator@idahoqa.mcafee.com 입니다. [ 원시데이터 ] HTTP/HTTPS 가소스유형으로선택된경우 [ 소스 ] 탭의 [URL] 필드에입력한 URL 에대한처음 200 줄의 HTML 소스코드가표시됩니다. 단지웹사이트의미리보기이지만일치시킬정규표현식을충분히쓸수있습니다. 데이터보강소스의예약된업데이트또는 [ 지금실행 ] 은정규표현식검색과일치하는모든항목을포함합니다. 이기능은 RE2 구문정규표현식 ( 예 : d{1,3}\.\d{1,3}\. \d{1,3}\.\d{1,3}) 을지원합니다. [ 건너뛸헤더줄 ] 일반적으로인터넷사이트에는검색할필요가없는헤더코드가있습니다. 검색이헤더데이터를포함하지않도록건너뛰게하려는사이트상단의줄수를지정합니다. [ 새줄구분기호 ] 관심있는값을구분하기위해사이트에서사용되는구분기호를입력합니다. 이필드의기본값은 \n 이며새줄이구분기호라는것을나타냅니다. 가장일반적으로사용되는다른구분기호는쉼표입니다. [ 표현식무시 ] 정규표현식검색의결과에서원하지않는값을제거하는정규표현식을입력합니다. [ 정규표현식 ] ( 필수 ) 일치항목을찾는데사용되는논리를입력하고사이트에서값을추출합니다. 가장일반적인사용사례는사이트에나열된알려진악성 IP 주소또는 MD5 합계에서일치할표현식을만드는것입니다. 정규표현식에서두개의일치그룹을제공하면각정규식일치결과를 [ 조회값 ] 또는 [ 보강값 ] 에매핑할수있습니다. [ 쿼리 ] 탭 [ 점수 ] 탭 [ 대상 ] 탭 [ 조회값 ] 또는더많은값을추가하려는 ESM 에서수집한이벤트에서조회할값입니다. [ 대상 ] 탭의 [ 조회필드 ] 로매핑합니다. [ 보강값 ] 조회값에서일치시킬소스이벤트로보강하거나삽입할값입니다. [ 대상 ] 탭의 [ 보강필드 ] 로매핑합니다. Hadoop HBase(REST), Hive, LDAP, MSSQL, MySQL, Oracle 또는 PIG 유형에대한쿼리를설정합니다. 단일열쿼리에서반환되는각값에대한점수를설정합니다. 점수를지정하려는소스및대상필드를선택한다음 [ 쿼리실행 ] 을클릭합니다. [ 값 ] 반환된값을표시합니다. [ 점수 ] 해당값에위험점수를설정하기위해사용할수있는숫자스텝퍼를표시합니다. 이데이터보강소스가채우는장치에대한필드매핑의장치및규칙을봅니다. [ 추가 ] 장치및규칙을선택합니다. [ 편집 ] 장치또는규칙설정을변경합니다. [ 제거 ] 장치및규칙설정을삭제합니다. 3 [ 마침 ] 을클릭한다음 [ 쓰기 ] 를클릭합니다. 4 강화하려는장치를선택하고해당장치에대한필드매핑규칙을만듭니다. 그런다음 [ 확인 ] 을클릭합니다. 정적값사용을선택할경우강화값을입력해야합니다. Hadoop HBase 데이터강화소스추가 수신기를통해 HBase ID 매핑을꺼내 Hadoop HBase를데이터강화소스로추가하여이벤트를강화합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 데이터강화 ] 를클릭합니다. 2 [ 데이터강화마법사 ] 의 [ 기본 ] 탭에서필드를입력한다음 [ 소스 ] 탭을클릭합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 181
3 McAfee ESM 구성데이터보강 3 [ 유형 ] 필드에서 [Hadoop HBase(REST)] 를선택한다음호스트이름, 포트, 테이블이름을입력합니다. 4 [ 쿼리 ] 탭에서조회열및쿼리정보를입력합니다. a [ 조회열 ] 의형식을패밀리열 : 이름열로지정합니다. b 쿼리를스캐너필터로채웁니다. 여기서값은 Base64로인코딩되어있습니다. 예를들면다음과같습니다. <Scanner batch="1024"> <filter> { "type": "SingleColumnValueFilter", "op": "EQUAL", "family": " ZW1wbG95ZWVJbmZv", "qualifier": "dxnlcm5hbwu=", "latestversion": true, "comparator": { "type": "BinaryComparator", "value": "c2nhcgvnb2f0" } } </filter> </Scanner> 5 [ 점수 ] 및 [ 대상 ] 탭을완료합니다. Hadoop Pig 데이터보강소스추가 Apache Pig 쿼리결과를사용하여 Hadoop Pig 이벤트를보강합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택합니다. 2 [ 데이터보강 ] 을클릭한다음 [ 추가 ] 를클릭합니다. 3 [ 기본 ] 탭에서필드를입력한다음 [ 소스 ] 탭을클릭합니다. [ 유형 ] 필드에서 [Hadoop Pig] 를선택하고 Namenode 호스트, Namenode 포트, Jobtracker 호스트및 Jobtracker 포트를입력합니다. Jobtracker 정보는필요하지않습니다. Jobtracker 정보가비어있는경우 NodeName 호스트및포트가기본값으로사용됩니다. 4 [ 쿼리 ] 탭에서 [ 기본 ] 모드를선택하고다음정보를입력합니다. a [ 유형 ] 에서 [ 텍스트파일 ] 을선택하고 [ 소스 ] 필드에파일경로를입력합니다 ( 예 : /user/default/file.csv). 또는 [ 하이브 DB] 를선택하고 HCatalog 테이블을입력합니다 ( 예 : sample_07). b [ 열 ] 에서열데이터를보강하는방법을지정합니다. 예를들어텍스트파일에 SSN, 이름, 성, 주소및전화번호가들어있는직원정보가포함된경우 [ 열 ] 필드에 emp_name:2, emp_phone:5 텍스트를입력합니다. 하이브 DB 의경우 HCatalog 테이블에있는열이름을사용합니다. c d [ 필터 ] 에서 Apache Pig 에내장된표현식을사용하여데이터를필터링할수있습니다. Apache Pig 설명서를참조하십시오. 위의열값을정의한경우해당열데이터를그룹화하고집계할수있습니다. 소스및열정보가필요합니다. 다른필드는비어있어도괜찮습니다. 집계함수를사용하려면그룹을지정해야합니다. 5 [ 쿼리 ] 탭에서 [ 고급 ] 모드를선택하고 Apache Pig 스크립트를입력합니다. 6 [ 점수 ] 탭에서, 단일열쿼리에서반환된각값에대한점수를설정합니다. 7 [ 대상 ] 탭에서보강을적용할장치를선택합니다. 182 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 구성데이터보강 3 사용자이름에대한 Active Directory 데이터보강추가 Microsoft Active Directory를사용하여전체사용자표시이름으로 Windows 이벤트를채웁니다. 시작하기전에시스템관리자권한이있는지확인합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택합니다. 2 [ 데이터보강 ] 을클릭한다음 [ 추가 ] 를클릭합니다. 3 [ 기본 ] 탭에서설명적인 [ 보강이름 ] 을 Full_Name_From_User_ID 의형식으로입력합니다. 4 [ 조회유형 ] 과 [ 보강유형 ] 을모두 [ 문자열 ] 로설정합니다. 5 Active Directory 가더자주업데이트되지않는한 [ 꺼내기빈도 ] 를 [ 매일 ] 로설정합니다. 6 [ 다음 ] 또는 [ 소스 ] 탭을클릭합니다. a [ 유형 ] 필드에서 [LDAP] 를선택합니다. b IP 주소, 사용자이름및암호를입력합니다. 7 [ 다음 ] 또는 [ 쿼리 ] 탭을클릭합니다. a [ 조회특성 ] 필드에 samaccountname 을입력합니다. b [ 보강특성 ] 필드에 displayname 을입력합니다. c [ 쿼리 ] 에 (objectclass=person) 을입력하여사람으로분류된 Active Directory 의모든개체목록을반환합니다. d 쿼리를테스트하면실제항목수에관계없이최대 5 개의값을반환합니다. 8 [ 다음 ] 또는 [ 대상 ] 탭을클릭합니다. a [ 추가 ] 를클릭합니다. b Microsoft Windows 데이터소스를선택합니다. c [ 조회필드 ] 에서 [ 소스사용자 ] 필드를선택합니다. 이필드는이벤트에있는값으로조회에대한인덱스로사용됩니다. d [ 보강필드 ] 를선택합니다. 여기서보강값은사용자 _ 별명또는연락처 _ 이름형식으로작성됩니다. 9 [ 마침 ] 을클릭하여저장합니다. 10 보강설정을장치에쓴다음 [ 지금실행 ] 을클릭하여 [ 매일트리거시간 ] 값이발생할때까지데이터소스에서보강값을검색합니다. [ 전체이름 ] 이 [Contact_name] 필드에기록됩니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 183
3 McAfee ESM 구성데이터보강 184 McAfee Enterprise Security Manager 10.3.x 제품안내서
4 4 McAfee ESM 대시보드 목차 McAfee ESM 대시보드사전정의된 ( 기본 ) 보기성과기록표작동방법대시보드보기열기대시보드위젯바인딩대시보드보기필터링사용자지정대시보드보기추가보기구성요소에대한설명통보에응답열린케이스검사 McAfee ESM 보기 McAfee ESM 대시보드 대시보드는가능한위협을빠르게볼수있는양식에데이터를나타내는데사용할수있는시각적도구입니다. McAfee ESM 대시보드를구성하는요소를파악한후조직고유의잠재적인위협을조사할수있는대화형보기를작성할수있습니다. McAfee ESM 대시보드에는여러보기및대화형탭이포함되어있어서보기사이를빠르게이동할수있습니다. 사전정의된보기를사용하거나위젯및필터가포함된고유한보기를작성할수있습니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 185
4 McAfee ESM 대시보드사전정의된 ( 기본 ) 보기 미리정의된보기또는고유한사용자지정보기로 ESM 대시보드공간을채웁니다. 탭을사용하여보기사이를신속하게탐색합니다. 탭을사용하여별도의탭에서조사를시작한기록컨텍스트를유지하면서여러보기에서잠재적인위협을탐색합니다. 필터리본을사용하여실시간기능을통해쿼리결과에서찾고있는내용을찾습니다. 자동완성은필터쿼리를작성할때결과를반환합니다. 잠재적인위협에대해피벗, 탐색, 조사및대응할수있는여러대시보드보기를작성합니다. 대화형시각적위젯을사용하여신속하게특정데이터를나타내고드릴다운합니다. 대시보드를벗어나지않고열린케이스를조사하여중요한사례상세정보에빠르게액세스합니다. 트리거된미확인경보및시스템통보에응답합니다. 사전정의된 ( 기본 ) 보기 [ 기본보기 ] 목록은 McAfee ESM에서제공되는대시보드보기에대한액세스를제공합니다. 대시보드의 [ 보기추가 ] 메뉴에는다음과같은기본보기유형이포함되어있습니다. [ 자산, 위협 & 위험 ] 보기는자산, 위협및위험데이터와시스템에서발생할수있는효과를요약합니다. [ 대시보드보기 ] 는시스템의특정측면에대한개요를제공합니다. [ 장치 ] 보기는선택한장치의상태를표시합니다. [ 이벤트보기 ] 는선택한장치와연결된이벤트에서생성된정보를세분화합니다. [ 플로보기 ] 는각플로 ( 또는연결 ) 에대해기록된정보를세분화합니다. 성과기록표작동방법 McAfee ESM 성과기록표는조직의구성요구사항 ( 벤치마크 ) 을충족시키는자산 ( 엔드포인트 ) 을보여줍니다. 186 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 대시보드성과기록표작동방법 4 1 시스템자산 ( 엔드포인트 ) 을감사하도록 McAfee epo 와함께 McAfee Policy Auditor 를구성합니다. 2 벤치마크는자산이필요한구성을충족하는지여부를결정하는규칙을포함합니다. McAfee Policy Auditor 는자산을감사하는데사용할벤치마크및빈도를정의합니다. McAfee Policy Auditor 는감사결과를 McAfee epo 로보냅니다. 3 McAfee Event Receiver 는 McAfee epo 에서감사결과를꺼냅니다. 4 McAfee Event Receiver 는 McAfee ESM 과감사데이터를공유합니다. 5 McAfee ESM 성과기록표에는다음사항이표시됩니다. 조직의자산 ( 엔드포인트 ) 에대한총괄개요및벤치마크결과 특정자산또는벤치마크결과데이터를기준으로필터링된성과기록표데이터 자산이전달한벤치마크의백분율 평균벤치마크점수통계 점수가나타내는자산수 McAfee Enterprise Security Manager 10.3.x 제품안내서 187
4 McAfee ESM 대시보드성과기록표작동방법 시간에따른추세 추세선은두개이상의데이터점이있는경우에만표시되며약 2 주간의데이터입니다. 자산과벤치마크의바인딩방식 성과기록표구성 성과기록표에표시할데이터를정의합니다. 시작하기전에 McAfee epo를실행하여 McAfee Policy Auditor가설치되었는지확인합니다. 1 McAfee ESM 대시보드에서 을클릭하고 [ 성과기록표 ] 를선택합니다. 2 성과기록표에표시할자산및벤치마크를선택합니다. a [ 벤치마크그룹 ] 또는 [ 자산그룹 ] 창에서을클릭합니다. b [ 설정 ] 을클릭한다음표시할항목을선택합니다. 성과기록표데이터를선택할때데이터의양과성능에미치는영향을고려합니다. 벤치마크는일련의규칙을포함하며여러규칙에대해하나의데이터점을표시합니다. 규칙은많은양의데이터를표시할수있습니다. 3 성과기록표에데이터가표시되는방식을정의합니다. 시간에따른추세를계산하려면 1 주에서 12 개월사이의기간을선택합니다. 변동이심한추세를식별하려면짧은기간을사용합니다. 표준벤치마크와의편차를식별하려면더긴기간을사용합니다. 자산과벤치마크사이의바인딩방향을토글하려면을클릭합니다. 기본적으로벤치마크데이터는자산에바인딩됩니다. 188 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 대시보드성과기록표작동방법 4 텍스트보기와그래프보기간에토글하려면해시또는막대차트아이콘을클릭합니다. 특정규칙또는자산으로드릴다운하려면그룹이름옆에있는화살표를클릭합니다. 특정규칙, 그룹또는자산에대한데이터를보려면해당규칙, 그룹또는자산을선택합니다. 선택한규칙, 그룹또는자산에대한데이터만바운드테이블에표시됩니다. 총괄성과기록표보기구성 조직의자산또는벤치마크를시각적으로요약하여표시할항목을정의합니다. 시작하기전에 McAfee Policy Auditor를실행하여 McAfee epo가설치되었는지확인합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 성과기록표 ] 를선택합니다. 2 [ 성과기록표보기 ] 드롭다운에서벤치마크별또는자산별 [ 총괄보기 ] 를선택합니다. 3 을클릭하여해당보기에표시할그룹을선택합니다. 최대 12 개의그룹을표시할수있습니다. 4 심각도임계값을지정하여보기에규칙컴플라이언스수준을표시합니다. 성과기록표데이터필터링 성과기록표데이터를필터링하여보고싶은자산또는벤치마크상세정보만표시합니다. 시작하기전에 McAfee Policy Auditor를실행하여 McAfee epo가설치되었는지확인합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 성과기록표 ] 를선택합니다. 2 필터막대를클릭하고필터링할필드또는값을추가합니다. 필터막대는다음연산자를지원합니다. 및, 같음, 같지않음, 포함, 포함하지않음 3 을클릭합니다. 4 보기데이터를새로고치려면을클릭합니다. 5 필터를제거하고데이터를새로고치려면 [ 지우기및새로고침 ] 을선택합니다. 성과기록표데이터보고서 성과기록표데이터를 CSV 파일로내보낸다음조직의벤치마크및자산에대한보고서로사용할수있습니다. 시작하기전에 McAfee Policy Auditor를사용하여 McAfee epo에서감사결과를성과기록표로가져왔는지확인합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 189
4 McAfee ESM 대시보드대시보드보기열기 1 McAfee ESM 대시보드에서을클릭하고 [ 성과기록표 ] 를선택합니다. 2 필요에따라성과기록표데이터를필터링합니다. 시스템은선택된그룹및적용된필터와연관된데이터로 CSV 파일을생성합니다. 특정필드나값으로필터링하려면필터막대를사용합니다. 특정그룹에대한데이터를표시하려면해당벤치마크또는자산그룹을마우스오른쪽단추로클릭합니다. 특정자산과관련된이벤트를표시하려면특정자산을마우스오른쪽단추로클릭하고 [ 요약기준 ] 옵션을선택합니다. 3 [ 내보내기 ] 를클릭합니다. 4 보고요구사항을반영하도록 CSV 파일형식을지정합니다. 대시보드보기열기 한번에두개이상의대시보드보기를열고가져오거나내보낼수있습니다. 조직의요구에맞게사전정의된 ( 기본값 ) 보기를복사하거나사용자지정보기를만들수도있습니다. 시작하기전에 관리자권한이있거나보기관리권한이있는액세스그룹에속해있는지확인합니다. 1 대시보드에서 [ 보기추가 ] 를클릭하고다음옵션중하나의옆에있는슬라이드아웃화살표를클릭합니다. 기존보기를열려면 [ 보기열기 ] 를클릭합니다. Flash 보기를 HTML 대시보드보기로변환하려면 [Flash 보기가져오기 ] 를클릭합니다. HTML 보기를만들려면 [ 새보기만들기 ] 를클릭합니다. 위젯을추가하고보기를저장합니다. 2 보기를저장합니다. 대시보드위젯바인딩 대시보드위젯을바인딩하면위젯간데이터를연결합니다. 그런다음상위위젯의데이터를변경하면바인딩된위젯의데이터도변경되어대화식보기가만들어집니다. 예를들어위젯을소스 IP 주소에바인딩한다음상위위젯에서특정 IP 주소를선택하면바인딩된위젯이해당 IP 주소로데이터를필터링합니다. 상위위젯에서선택사항을변경하면하위위젯의데이터가새로고쳐집니다. 시작하기전에 관리자권한이있거나보기관리권한이있는액세스그룹에속해있는지확인합니다. 1 바인딩하려는위젯이있는대시보드보기를열거나만듭니다. 위젯을하나의데이터필드에만바인딩할수있습니다. 2 대시보드보기를편집하려면 [ 편집 ] 을클릭합니다. 190 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 대시보드대시보드보기필터링 4 3 바인딩하려는위젯에서을클릭합니다. 그런다음 [ 설정 ] 을선택합니다. 4 [ 위젯구성 ] 창에서 [ 바인딩 ] 을켜고위젯에서필터링하거나위젯에연결하려는데이터를선택합니다. 5 [ 저장 ] 을클릭합니다. 아이콘이바인딩된위젯에표시됩니다. 아이콘위로마우스를가져가면위젯이어떤데이터에바인딩되어있는지표시됩니다. 6 [ 저장 ] 을다시클릭하여변경사항을대시보드보기에저장하고 [ 편집 ] 모드를종료합니다. 대시보드보기필터링 보기에서특정상세정보에집중할수있도록대시보드보기를필터링합니다. 시작하기전에보기관리또는데이터보기권한이있는액세스그룹에속하는지확인합니다. 1 필터링하려는대시보드보기를엽니다. 2 보기를필터링하려면다음중하나를수행합니다. [ 필터 ] 막대를클릭하여관련필드및값을추가합니다. [ 필터 ] 막대에서 AND 연산자만사용할수있습니다. 필터에서기본값같음 (=) 연산자를적용합니다. 연산자를같지않음 (!=) 으로변경하려면같음기호 (=) 를클릭합니다. 필터에서필드를제거하려면해당필드에서을클릭합니다. AND 와 OR 연산자를모두사용하여복잡한필터를작성하려면 [ 고급검색 ] 을클릭합니다. 보기에대한시간프레임을지정하려면필터리본에서시계아이콘을클릭한다음시간프레임을선택합니다. 보관된파티션을쿼리하려면레거시 Flash 인터페이스를사용하여 [ 사용자지정시간 ] 을설정합니다. 보기에사전정의된필터세트를적용하려면대시보드의오른쪽상단에있는 [ 필터세트 ] 드롭다운화살표를클릭합니다. 목록에서사전정의된필터세트를선택합니다. 필터를만들려면 [ 필터세트관리 ] 를클릭합니다. 필터세트를만드는방법에대한자세한내용을보려면 [ 필터세트관리 ] 창에서을클릭합니다. 3 보기를필터링하려면을클릭합니다. 보기가새로고쳐지고입력한값과일치하는레코드만표시됩니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 191
4 McAfee ESM 대시보드사용자지정대시보드보기추가 사용자지정대시보드보기추가 특정정보를표시하고조작할수있는위젯을추가하고정렬하여고유한대시보드보기를만듭니다. 시작하기전에관리자권한이있거나보기관리권한이있는액세스그룹에속해있는지확인합니다. 1 대시보드에서 [ 탭추가 ] 를클릭한다음 [ 새보기만들기 ] 를선택합니다. 2 [ 위젯추가 ] 를클릭한다음위젯을구성합니다. a 위젯에제목을지정합니다. b 사용가능한옵션에서쿼리필드, 필터및정렬값을미리채우는쿼리소스를선택합니다. 기본값을사용하거나값을변경할수있습니다. 선택하는쿼리소스에따라위젯에대해선택할수있는시각화옵션이달라집니다. c 위젯의시각화옵션을선택합니다. 옵션에는표, 막대도표, 원형도표, 목록도표, 게이지및대화형도넛도표가있습니다. d 위젯을다른위젯의데이터에바인딩할수있는지여부를선택합니다. 3 [ 만들기 ] 를클릭합니다. 위젯이대시보드에나타나면크기와배치를변경할수있습니다. 4 대시보드보기에표시된다음위젯을변경하려면을클릭합니다. 하위메뉴의옵션은위젯과해당데이터에따 라달라집니다. 옵션에는 [ 설정 ], [ 시각화 ], [ 상세정보, 액션, 드릴다운, 필터링기준 ] 및 [ 삭제 ] 가있을수있 습니다. 5 [ 저장 ] 을클릭합니다. 192 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 대시보드보기구성요소에대한설명 4 보기구성요소에대한설명 사용자지정보기에추가할수있는 12 개의다른구성요소가있습니다. 이들을사용하여데이터를최상의형식으로표시하도록보기를설정할수있습니다. 구성요소 [ 제어다이얼 ] 설명 데이터개요가표시됩니다. 동적이며콘솔의다른구성요소로링크될수있습니다. ESM 콘솔과상호작용할때업데이트됩니다. 각다이얼에는기준표시기 ( ) 가있습니다. 다이얼외부가장자리주위의그라데이션은기준표시기위에서빨간색으로바뀝니다. 경우에따라전체다이얼색상이변경되어이상동작을나타낼수있습니다. 기준의특정임계값내에있으면노란색으로바뀌거나임계값을초과하면빨간색으로바뀝니다. [ 비율 ] 옵션을사용하면보고있는데이터의비율을조정할수있습니다. 예를들어 [ 현재날짜 ] 및 [ 총이벤트 ] 를보고있는경우비율을시간으로변경하면지정된날짜의시간당이벤트수가표시됩니다. 이옵션은 [ 평균심각도 ] 나 [ 평균바이트 ] 와같이보고있는쿼리의평균을이미계산한경우비활성화됩니다. [ 소스및대상그래프 ] [ 원형도표 ] 이벤트또는플로 IP 주소에대한개요을표시합니다. 이벤트옵션을사용하면 IP 주소를지정하고지정한 IP 주소에서수행된모든공격을볼뿐만아니라지정한 IP 주소가다른 IP 주소에서수행한모든공격을볼수있습니다. 플로옵션을사용하면 IP 주소를지정하고해당 IP 주소에연결된모든 IP 주소를볼뿐만아니라 IP 주소에서설정한연결을볼수있습니다. 이그래프에는구성요소맨아래의열기필드가포함되어있어특정 IP 주소의소스및대상이벤트또는플로를볼수있습니다. 필드에주소를입력하거나이전에사용한주소를선택한다음 [ 새로고 침 ] 아이콘을클릭하십시오. 쿼리된정보를원형그래프에표시합니다. 보려는범주 ( 예 : 프로토콜또는액션쿼리 ) 가더적은경우에유용합니다. [ 표 ] 쿼리정보를여러개의열에표시합니다. 이구성요소는이벤트및플로데이터를가장세부적으로표시하는데유용합니다. [ 막대도표 ] 쿼리된정보를막대그래프에표시하여지정된시간범위에있는각결과의크기를비교할수있습니다. [ 목록 ] 선택한쿼리데이터를목록형식으로표시합니다. 이구성요소는더작은공간에서보다세부적인항목목록을보려는경우에유용합니다. [ 배포 ] 특정기간동안의이벤트및플로배포를표시합니다. 특정시간조각을볼간격을설정하여데이터를구성할수있습니다. [ 참고영역 ] 텍스트기반참고에사용되는빈구성요소입니다. 이구성요소를사용하여현재보기와관련된참고를쓸수있습니다. [ 개수 ] 특정보기에대해쿼리된총이벤트, 자산, 취약성또는플로를표시합니다. [ 제목 ] 보기의제목을만들수있습니다. 제목은보기의어디에나배치할수있습니다. [ 지리적위치맵 ] [ 필터목록 ] 경보및플로의대상및소스위치를지리적위치맵에표시합니다. 이구성요소의옵션을사용하면구 / 군 / 시, 시 / 도, 국가및지역표시를전환하고, 확대 / 축소하며, Ctrl 및 Shift 키를사용하여위치를선택할수있습니다. 사용자및그룹목록을 Active Directory 에표시합니다. [ 필터목록 ] 구성요소를추가하면 [ 쿼리마법사 ] 에서 [ 소스사용자 ] 또는 [ 대상사용자 ] 필터필드의아래쪽화살표를클릭하고 [Active Directory 목록에바인딩 ] 을선택하여다른구성요소를바인딩할수있습니다. 메뉴아이콘을클릭하여 [Active Directory] 와연결된이벤트및플로데이터를볼수도있습니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 193
4 McAfee ESM 대시보드통보에응답 통보에응답 대시보드에서트리거된경보에응답합니다. 시스템통보를볼수도있습니다. 시작하기전에관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 1 트리거된경보및시스템통보를대시보드에표시하려면 을클릭합니다. 2 다음중한가지방법으로트리거된경보에응답합니다. 적절한경보를선택하고 을클릭하여트리거된경보를확인합니다. 시스템은 [ 통보 ] 패널에서확인된경보를제거합니다. [ 트리거된경보 ] 보기에서여전히경보를볼수있습니다. 적절한경보를선택하고 을선택하여경보를삭제합니다. 필터막대를사용하여경보를필터링합니다. 그런다음보기를새로고치려면을클릭합니다. 을클릭하여경보를할당합니다. 그런다음적절한경보를선택하고 [ 피할당자 ] 를클릭하여경보에응답할특정사용자를선택합니다. 을클릭하여경보에대한케이스를만듭니다. 그런다음적절한경보를선택하고 [ 케이스만들기 ] 를클릭합니다. 적절한경보를클릭하여트리거된경보설정을편집합니다. 을클릭하여설정을변경합니다. 을클릭하여트리거된경보에대한상세정보를봅니다. 그런후다음중하나를수행합니다. 경보를트리거한이벤트를보려면 [ 트리거한이벤트 ] 탭을클릭합니다. 설명을보려면이벤트를두번클릭합니다. 경보를트리거한조건을보려면 [ 조건 ] 탭을클릭합니다. 트리거된경보의결과로발생한액션을보려면 [ 액션 ] 탭을클릭합니다. 열린케이스검사 대시보드에서열린케이스와관련된을추적할수있습니다. 시작하기전에관리자권한이있거나케이스관리권한이있는액세스그룹에속해있는지확인합니다. 1 대시보드에서열린케이스를보려면을클릭하고 [ 검사패널 ] 을선택합니다. 열린케이스에대한요약이대시보드왼쪽에표시됩니다. 2 드롭다운화살표를사용하여검사하려는케이스를확장합니다. 다음중하나를수행합니다. 대시보드에서케이스상세정보 ( 심각도, 할당대상, 값또는참고 ) 를변경하려면 [ 편집 ] 을클릭합니다. 변경한다음 [ 저장 ] 을클릭합니다. 케이스상세정보를보려면 [ 케이스관리에서보기 ] 를클릭합니다. 194 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 대시보드 McAfee ESM 보기 4 3 [ 검사패널 ] 을닫습니다. McAfee ESM 보기 목차 McAfee ESM 보기관리세션상세정보보기보기필터링플로보기 [ 고급 ELM 검색 ] 보기구성요소보기쿼리마법사 McAfee ESM 보기관리 McAfee ESM 보기관리는한번에둘이상의보기를복사, 가져오거나내보내기위한빠른방법을제공합니다. 보기목록에포함할보기를선택하고개별보기에액세스할수있도록특정사용자또는그룹에대한권한을할당합니다. 1 McAfee ESM 콘솔에서 [ 보기관리 ] 아이콘을클릭합니다. 2 사용할수있는옵션을수행한다음 [ 확인 ] 을클릭합니다. 옵션 정의 보기목록보기목록에서표시할보기를선택합니다. 폴더가선택되면모든하위폴더및보기가선택됩니다. 폴더확인란이검은색인경우일부하위폴더및보기가선택됩니다. [ 폴더추가 ] 보기를구성하려면사용자지정폴더를만듭니다. 보기를사용자지정폴더로끌어서놓을수있습니다. [ 이름바꾸기 ] 선택한폴더또는보기이름을바꿉니다. 읽기전용보기는이름을변경할수없습니다. [ 삭제 ] 선택한사용자지정폴더또는보기를삭제합니다. 읽기전용보기는삭제할수없습니다. [ 복사 ] 보기를복사하고보기목록에추가합니다. 보기를다른폴더로끌어서놓을수있습니다. [ 공유 ] 선택한보기를액세스하고변경할수있는사용자및그룹을선택합니다. [ 가져오기 ] 보기파일을 McAfee ESM으로가져옵니다. [ 내보내기 ] 사용자지정보기를내보내다른 McAfee ESM과공유하거나파일을백업으로유지합니다. 읽기전용보기는내보낼수없습니다. [ 내기본보기로설정 ] 보기창에기본보기를지정합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 195
4 McAfee ESM 대시보드 McAfee ESM 보기 세션상세정보보기 [ 세션뷰어 ] 에서세션 ID 를사용하여이벤트상세정보를보고 csv 파일에저장할수있습니다. 세션 ID 를가지려면이벤트가세션내에있어야합니다. 세션은소스와대상간의연결결과입니다. 장치또는 McAfee ESM 내부에있는이벤트는세션 ID 가없습니다. 1 보기드롭다운목록에서확인해야하는세션이있는보기를선택합니다. 2 이벤트를선택하고구성요소제목표시줄에서메뉴아이콘을클릭한다음 [ 이벤트드릴다운 ] [ 이벤트 ] 를선택합니다. 3 이벤트를클릭하고 [ 고급상세정보 ] 탭을클릭한다음 [ 세션 ID] 필드옆의 [ 세션데이터보기 ] 아이콘을클릭합 니다. [ 세션뷰어 ] 가열리고세션상세정보가표시됩니다. 보기필터링 필터창에서필터필드추가및삭제, 필터세트저장, 기본설정변경, 모든필터관리, 문자열정규화관리자시작을수행할수있습니다. 보기에적용되는필터가열려있는다음보기로전달됩니다. 처음 McAfee ESM 에로그온할때기본필터창에 [ 소스사용자 ], [ 대상사용자 ], [ 소스 IP] 및 [ 대상 IP] 필터필드가포함되어있습니다. 필터가보기에적용되었음을알려주는주황색깔때기아이콘이보기창의오른쪽상단모서리에표시됩니다. 이주황색아이콘을클릭하면필터가지워지고쿼리가다시실행됩니다. 변수, 글로벌필터, 로컬필터, 정규화된문자열또는보고서필터와같이쉼표로구분된필터가있는어디서나이들이관심목록의일부가아닌경우따옴표를사용해야합니다. 값이 Smith,John 인경우 "Smith,John" 을입력해야합니다. 값에따옴표가있는경우따옴표안에따옴표로묶어야합니다. 값이 Smith,"Boy"John 인경우 "Smith,""Boy""John" 으로입력해야합니다. contains 및 regex 필터를사용할수있습니다. 보기필터링 필터를사용하면보기에서선택한항목에대한세부정보를볼수있습니다. 필터를입력하고보기를새로고치면보기의데이터에추가한필터가반영됩니다. 1 McAfee ESM 콘솔에서필터링하려는보기를선택합니다. 2 [ 필터 ] 창의다음방법중하나로보기를필터링합니다. 적절한필드에필터정보를입력합니다. 예를들어보기를필터링하여소스 IP 주소가 161.122.15.13 인데이터만표시하려면 [ 소스 IP] 필드에 IP 주소를입력합니다. contains 및 regex 필터를입력합니다. 필드옆에있는 [ 필터목록표시 ] 아이콘을클릭하고필터링할변수나관심목록을선택합니다. 보기에서필터로사용하려는데이터를선택한다음 [ 필터 ] 창에서필드를클릭합니다. 필드가비어있으면선택한데이터로자동으로채워집니다. [ 평균심각도 ] 의경우콜론 (:) 을사용하여범위를입력합니다. 예를들어 60:80 은 60 에서 80 사이의심각도범위입니다. 3 다음중하나를수행합니다. 196 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 대시보드 McAfee ESM 보기 4... 수행방법... 둘이상의필터와일치하는데이터보기 각필드에값을입력합니다. 일부필터값과일치하고다른값은제외하는데이터보기 일반및 OR 필터와일치하는데이터보기 1 포함하고제외하려는필터값을입력합니다. 2 제외하려는필드옆에있는 [NOT] 아이콘을클릭합니다. 1 일반및 [OR] 필드에필터값을입력합니다. 2 [OR] 값이있는필드옆에있는 [OR] 아이콘을클릭합니다. 보기에는 [ 또는 ] 이선택되지않은필드의값과일치하는데이터와 [ 또는 ] 이선택된필드의값중하나와일치하는데이터가포함됩니다. 이필터가작동하려면둘이상의필드에 [ 또는 ] 이선택되어야합니다. 필터값이대 / 소문자를구분하지않도록설정 정규화된문자열을해당별칭으로바꾸기 적절한필터필드옆에있는 [ 대 / 소문자구분안함 ] 아이콘을클릭합니다. 적절한필터필드옆에있는문자열정규화아이콘을클릭합니다. 4 [ 쿼리실행 ] 아이콘을클릭합니다. McAfee ESM 에서보기를새로고칩니다. 주황색필터아이콘이보기창의오른쪽위에나타나보기의데이터가필터의결과임을나타냅니다. 이아이콘을클릭하면필터가선택취소되고보기에모든데이터가표시됩니다. 정규화된 ID 선택 보기를만들거나보기에필터를추가할때정규화된 ID 를사용하여데이터를필터링할수있습니다. 1 McAfee ESM 콘솔에서다음중하나를수행합니다. 보기를만드는경우 [ 쿼리마법사 ] 의두번째페이지에서 [ 필터 ] 를클릭합니다. 보기에필터를추가하려면필터를추가할보기를선택합니다. 화면오른쪽에 [ 필터 ] 창이있습니다. 2 [ 정규화된 ID] 필드를찾은다음 [ 필터 ] 아이콘을클릭합니다. 3 ID를선택한다음 [ 확인 ] 을클릭합니다. [ 정규화된 ID] 필드에선택한 ID 번호가추가됩니다. 이벤트시간보기수신기데이터베이스에이벤트가삽입된정확한시간을봅니다. 시작하기전에다음권한이있는지확인합니다. 이벤트를가져와서이벤트시간을볼수있는 [ 데이터보기 ] 보기를만들수있는 [ 보기관리 ] 이벤트를변경할수있는 [ 이벤트관리 ] McAfee Enterprise Security Manager 10.3.x 제품안내서 197
4 McAfee ESM 대시보드 McAfee ESM 보기 1 McAfee ESM 콘솔에서 [ 장치시간 ] 필드를포함하는이벤트표보기를추가합니다. a 보기창도구모음에있는 [ 새보기만들기 ] 아이콘을클릭합니다. b [ 표 ] 구성요소를클릭하여끌고 [ 다음 ] 을클릭합니다. c [ 필드 ] 를클릭합니다. d 왼쪽목록에서 [ 장치시간 ] 을클릭하고오른쪽목록으로이동시킵니다. e [ 필드 ] 페이지에서 [ 확인 ] 을클릭한다음 [ 마침 ] 을클릭합니다. f [ 보기편집도구모음 ] 에서 [ 다른이름으로저장 ] 을클릭하고보기의이름을입력한다음 [ 확인 ] 을클릭합니다. g [ 보기편집도구모음 ] 을닫습니다. 보기의드롭다운목록에이보기가추가됩니다. 2 이러한방법중하나로 [ 장치시간 ] 을봅니다. 해결할이벤트를보내는경우해당이벤트에대한장치시간이손실됩니다. 추가한보기의이벤트표에서 [ 장치시간 ] 열을봅니다. 표하단에있는 [ 데이터상세정보보기 ] 아이콘을클릭합니다. [ 고급상세정보 ] 탭을클릭한다음 [ 장치시간 ] 필드를봅니다. 컴플라이언스 ID 로필터링 UCF(Unified Compliance Framework) 는각규정의사양을표준화된제어 ID 에매핑하는조직입니다. 규정이변경되면이러한 ID 가업데이트되고 McAfee ESMMcAfee ESM 으로푸시됩니다. 필요한컴플라이언스또는특정하위구성요소를선택하기위해컴플라이언스 ID 로필터링하거나 Windows 이벤트 ID 로필터링할수있습니다. 수행방법... UCF 필터추가 1 [ 필터 ] 창에서 [ 컴플라이언스 ID] 필드옆의필터아이콘을클릭합니다. 2 필터로사용하려는컴플라이언스값을선택한다음 [ 확인 ] [ 쿼리실행 ] 을클릭합니다. Windows 이벤트 ID 필터추가 1 [ 시그니처 ID] 옆의필터아이콘을클릭합니다. 2 [ 필터변수 ] 에서 [Windows] 탭을선택합니다. 3 텍스트필드에 Windows 이벤트 ID( 쉼표로구분 ) 를입력하거나목록에서필터기준으로사용할값을선택합니다. 플로보기 플로는장치를통해만든연결레코드입니다. 플로분석이활성화되면각플로또는연결에대한데이터가기록됩니다. 플로에는소스및대상 IP 주소, 포트, Mac 주소, 프로토콜및처음및마지막 ( 연결이시작되고종료되는사이의기간 ) 이있습니다. 플로는비정상적또는악의적인트래픽이있다는것을나타내지않으므로이벤트보다더많은플로가있습니다. 플로는이벤트처럼규칙시그니처 (SigID) 와연결되어있지않습니다. 플로는경보, 삭제및거부와같은이벤트액션과연결되어있지않습니다. 198 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 대시보드 McAfee ESM 보기 4 소스및대상바이트, 소스및대상패킷을비롯하여특정데이터는플로에고유합니다. 소스바이트및패킷은플로의소스에서전송된바이트및패킷수를나타냅니다. 대상바이트및패킷은플로의대상에서전송된바이트및패킷수를나타냅니다. 플로에는방향이있습니다. 인바운드플로는 HOME_NET 외부에서발생하는플로로정의됩니다. 아웃바운드플로는 HOME_NET 내부에서발생합니다. 플로데이터를보려면시스템을활성화하여플로데이터를로깅해야합니다. 그러면 [ 플로분석 ] 보기에서플로를볼수있습니다. [ 고급 ELM 검색 ] 보기 [ 고급 ELM 검색 ] 보기는시스템에최소한개의 ELM 장치가있는경우사용할수있습니다. 하나이상의 ELM 에서로그검색을수행할때더자세한검색을수행하고실시간검색진행률추적및결과를제공합니다. 이보기는 ELM 의보관통계보고기능을이용하여검색해야하는데이터양에대한실시간정보를제공함으로써쿼리를제한하여검색할파일수를최소화할수있습니다. 검색을처리하는동안그래프가예상되는결과를표시합니다. [ 결과시간배포 ] 그래프 시간배포에따라추정치및결과를표시합니다. 시간프레임드롭다운목록에서선택한내용에따라하단축이변경됩니다. [ 데이터소스결과 ] 그래프 시스템탐색트리에서선택한장치의데이터소스에따라데이터소스당추정치및결과를표시합니다. [ 장치유형결과 ] 그래프 시스템탐색트리에서선택한장치에따라장치유형당추정치및결과를표시합니다. 검색이시작하기전에이러한그래프가채워지고결과를찾으면업데이트됩니다. [ 데이터소스결과 ] 또는 [ 장치유형결과 ] 그래프에서하나이상의막대를선택하거나 [ 결과시간배포 ] 그래프의섹션을강조표시합니다. 결과가들어오기시작하면 [ 필터적용 ] 을클릭하여검색범위를좁힙니다. 이를통해검색결과를자세히보고검색해야하는데이터양을제한할수있습니다. 검색이완료되면이러한그래프에실제결과가표시됩니다. 고급 ELM 검색수행 정의한정보의경우하나이상의 ELM 장치에서로그를검색합니다. 1 보기창의드롭다운목록에서 [ 고급 ELM 검색 ] 을선택합니다. 2 시스템에둘이상의 ELM 장치가있는경우텍스트필드옆의드롭다운목록에서검색할장치를선택합니다. 3 텍스트필드에일반텍스트검색또는정규표현식을입력합니다. 4 [ 현재날짜 ] 이외의시간프레임을원하는경우드롭다운목록에서선택합니다. 5 시스템탐색트리에서검색하려는장치를선택합니다. 6 필요한경우다음옵션에서하나이상선택합니다. [ 대 / 소문자구분안함 ] 대 / 소문자를구분하지않고검색합니다. [ 정규표현식 ] 검색필드의용어를정규표현식으로처리합니다. [ 검색어포함안함 ] 검색필드의용어가포함되지않은항목을반환합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 199
4 McAfee ESM 대시보드 McAfee ESM 보기 7 [ 검색 ] 을클릭합니다. 결과가보기의 [ 검색결과 ] 섹션에표시됩니다. 8 검색중이거나검색이완료된후다음중하나를수행합니다. 옵션 [ 검색저장 ] 정의 보기를떠나탐색하는경우에도이검색결과를저장합니다. 저장된검색을 [ELM 속성 ] [ 데이터 ] 페이지에서볼수있습니다. [ 검색결과파일다운로드 ] 지정한위치에결과를다운로드합니다. [ 선택한항목을클립보드에복 사 ] [ 데이터세부정보보기 ] 선택한항목을클립보드에복사하므로문서에붙여넣을수있습니다. [ 검색결과 ] 테이블에서선택하는로그의세부정보를표시합니다. 구성요소보기 가장유용한방식으로이벤트, 플로, 자산및취약성데이터를표시하도록사용자지정보기를만듭니다. 각보기는 [ 보기편집도구모음 ] 에서선택하는구성요소로구성되고데이터를표시하도록설정됩니다. 구성요소를선택하면 [ 쿼리마법사 ] 가열려구성요소에표시된데이터에대한상세정보를정의할수있습니다. 이벤트둘러보기 [ 이벤트분석 ] 보기에서선택한시간프레임내의이벤트에서하나이상의필드와일치하는이벤트를찾을수있습니다. 1 ESM 콘솔에서보기목록을클릭한다음 [ 이벤트보기 ] [ 이벤트분석 ] 을선택합니다. 2 이벤트를클릭하고메뉴아이콘을클릭한다음 [ 둘러보기 ] 를클릭합니다. 3 시스템에서일치를검색하려는이벤트전후시간 ( 분 ) 을선택합니다. 4 [ 필터선택 ] 을클릭하고검색을일치시키려는필드를선택한다음값을입력합니다. 결과가 [ 둘러보기결과 ] 보기에표시됩니다. 이보기에서떠났다가나중에돌아오려면 [ 이벤트분석 ] 메뉴에서 [ 마지막둘러보기 ] 메뉴를클릭합니다. 이벤트의 IP 주소상세정보보기 McAfee 의 McAfee Global Threat Intelligence (McAfee GTI) 사용권이있으면 [IP 주소상세정보 ] 조회를수행할때새 [ 위협상세정보 ] 탭에액세스할수있습니다. 이옵션을선택하면위험심각도및지리적위치데이터를포함하여 IP 주소에대한상세정보가반환됩니다. 시작하기전에 McAfee GTI 사용권을구입합니다 ("McAfee GTI 관심목록 " 참조 ). McAfee GTI 사용권이만료되면 McAfee 영업기술자또는 McAfee 지원에문의하십시오. 1 ESM 콘솔에서표구성요소를포함할보기를선택합니다. 예 : [ 이벤트보기 ] [ 이벤트분석 ]. 2 IP 주소를클릭하고구성요소에서메뉴아이콘을클릭한다음 [IP 주소상세정보 ] 를클릭합니다. 200 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 대시보드 McAfee ESM 보기 4 [ 위협상세정보 ] 탭에선택한 IP 주소에대한데이터가나열됩니다. 시스템클립보드에데이터를복사할수있습니다. [IP 주소상세정보 ] 옵션이컨텍스트메뉴에있는 [WHOIS 조회 ] 옵션을대체했습니다. 하지만 [IP 주소상세정보 ] 페이지에는이정보를표시하는 [WHOIS 조회 ] 탭이포함되어있습니다. 해결이메일보내기 해결시스템을설정하는경우시스템에해결이필요한이벤트를통보하는이메일메시지를보낼수있습니다. 이프로세스를수행하면이벤트레코드에추가할해결케이스번호를받습니다. 1 이벤트보기에서해결액션이필요한이벤트를강조표시합니다. 2 [ 케이스또는해결에이벤트할당 ] 아이콘을클릭한다음 [ 해결로이벤트보내기 ] 를선택합니다. 3 [ 접두사 ], [ 키워드 ] 및 [ 엔터프라이즈사용자 ID] 를추가합니다. 4 ( 선택사항 ) [ 세부정보 ] 에있는정보를추가합니다. 여기에는이벤트에대해시스템에서생성한정보가들어있습니다. 5 [ 보내기 ] 를클릭합니다. WHOIS 또는 ASN 조회수행 표구성요소에서 WHOIS 조회를수행하여소스또는대상 IP 주소에대한정보를찾을수있습니다. [ASN 조회 ] 는 ASN 데이터가있는표의플로레코드및막대도표의 ASN 쿼리에서사용가능하며 ASN 식별자를사용하여 WHOIS 레코드를검색합니다. 1 테이블구성요소에나열된 ASN 데이터또는막대도표구성요소의 ASN 쿼리막대를사용하여 IP 주소또는플로레코드를선택합니다. 2 메뉴를클릭한다음 [IP 주소상세정보 ] 또는 [ASN 조회 ] 를선택합니다. 3 다른 IP 주소또는식별자를조회하려면 : [WHOIS] 탭페이지의목록에서 IP 주소를선택하고호스트이름을입력합니다. [ASN 조회 ] 페이지에서숫자를입력하거나목록에서선택합니다. 이벤트레코드에해결케이스 ID 추가 해결시스템에이벤트이메일을보내면케이스 ID 번호를받게됩니다. 참고용으로이 ID 를이벤트레코드에추가할수있습니다. 1 [ 이벤트분석 ] 보기에서이벤트를강조표시한다음메뉴를클릭합니다. 2 [ 해결케이스 ID 설정 ] 을선택하고번호를입력한다음 [ 확인 ] 을클릭합니다. 구성요소내보내기 ESM 보기구성요소의데이터를내보낼수있습니다. 도표구성요소는텍스트또는 PDF 형식으로내보내고표구성요소는쉼표구분값 (CSV) 또는 HTML 로내보낼수있습니다. 보기에서도표, 배포또는표구성요소의현재페이지를내보내면내보낸데이터가내보내기를초기화할때확인한항목과정확하게일치합니다. 둘이상의페이지를내보내면데이터를내보낼때쿼리가다시실행되어구성요소에서본항목과다를수있습니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 201
4 McAfee ESM 대시보드 McAfee ESM 보기 1 보기에서내보내려는구성요소에대해메뉴를클릭한다음 [ 내보내기 ] 를클릭합니다. 2 다음형식중하나를선택합니다. [ 텍스트 ] 데이터를텍스트형식으로내보냅니다. [PDF] 데이터및이미지를내보냅니다. [ 이미지를 PDF 로 ] 이미지만내보냅니다. [CSV] 쉼표로구분되는형식으로목록을내보냅니다. [HTML] 데이터를테이블로내보냅니다. 3 [ 내보내기 ] 페이지에서내보낼데이터를지정합니다. [ 텍스트 ] 또는 [PDF] 를선택한경우현재데이터페이지만또는 1 페이지부터시작해서최대페이지번호까지내보낼수있습니다. [ 이미지를 PDF 로 ] 를선택한경우이미지가생성됩니다. [CSV] 또는 [HTML] 을선택한경우현재데이터페이지또는 1 페이지부터시작해서최대페이지번호까지선택한항목을내보낼수있습니다. 4 [ 확인 ] 을클릭합니다. 쿼리마법사 ESM 의각보고서또는보기는각구성요소의쿼리설정에따라데이터를수집합니다. 보기또는보고서를추가하거나편집할때포함시키려는쿼리유형, 쿼리, 필드및사용하려는필터를선택하여 [ 쿼리마법사 ] 에서각구성요소의쿼리설정을정의합니다. 시스템의모든쿼리 ( 사전정의된쿼리와사용자지정쿼리 ) 가마법사에나열되므로구성요소로수집하려는데이터를선택할수있습니다. 또한쿼리를편집하거나제거하고기존쿼리를복사하여새쿼리를설정하는템플릿으로사용할수있습니다. 쿼리관리 ESM 은보고서또는보기를추가하거나편집할때 [ 쿼리마법사 ] 에서선택할수있는사전정의된쿼리와함께제공됩니다. 이러한쿼리에서일부설정을편집하고사용자지정쿼리를추가하고제거할수있습니다. 1 [ 쿼리마법사 ] 에액세스하려면다음중하나를수행합니다. 수행방법... 보기추가 1 보기도구모음에있는 [ 새보기만들기 ] 아이콘을클릭합니다. 2 [ 보기편집도구모음 ] 에서구성요소를보기창으로끌어놓습니다. [ 쿼리마법사 ] 가열립니다. 기존보기편집 1 편집할보기를선택합니다. 2 보기도구모음에있는 [ 현재보기편집 ] 아이콘을클릭합니다. 3 편집하려는구성요소를클릭합니다. 4 [ 속성 ] 창에서 [ 쿼리편집 ] 을클릭합니다. 두번째페이지에서 [ 쿼리마법사 ] 가열립니다. 202 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 대시보드 McAfee ESM 보기 4 수행방법... 새보고서의레이아웃설계 1 [ 시스템속성 ] 에서 [ 보고서 ] 를클릭합니다. 2 [ 추가 ] 를클릭합니다. 3 [ 보고서추가 ] 페이지의섹션 5 에서 [ 추가 ] 를클릭합니다. 4 보고서레이아웃섹션에서구성요소를끌어놓습니다. [ 쿼리마법사 ] 가열립니다. 기존보고서의레이아웃편집 1 [ 시스템속성 ] 에서 [ 보고서 ] 를클릭합니다. 2 편집하려는보고서를선택한다음 [ 편집 ] 을클릭합니다. 3 [ 보고서편집 ] 페이지의섹션 5 에서기존레이아웃을선택한다음 [ 편집 ] 을클릭합니다. 4 보고서레이아웃섹션에서구성요소를클릭한다음 [ 속성 ] 섹션에서 [ 쿼리편집 ] 을클릭합니다. 두번째페이지에서 [ 쿼리마법사 ] 가열립니다. 2 [ 쿼리마법사 ] 에서다음중하나를수행합니다. 수행방법... 쿼리추가 1 템플릿으로사용하려는쿼리를선택한다음 [ 복사 ] 를클릭합니다. 2 새쿼리의이름을입력한다음 [ 확인 ] 을클릭합니다. 3 쿼리목록에서추가한쿼리를클릭하고 [ 다음 ] 을클릭합니다. 4 마법사의두번째페이지에서버튼을클릭하여설정을변경합니다. 사용자지정쿼리편집 1 편집하려는사용자지정쿼리를선택한다음 [ 편집 ] 을클릭합니다. 2 마법사의두번째페이지에서버튼을클릭하여설정을변경합니다. 사용자지정쿼리제거제거하려는사용자지정쿼리를선택한다음 [ 제거 ] 를클릭합니다. 3 [ 마침 ] 을클릭합니다. 값비교 배포그래프에는현재그래프의맨위에추가변수를중첩할수있는옵션이있습니다. 이방법으로두값을비교하여쉽게관계 ( 예 : 총이벤트와평균심각도 ) 를표시할수있습니다. 이기능은시간에따른중요한데이터비교를한눈에볼수있도록제공합니다. 또한이기능은결과를하나의배포그래프로결합함으로써큰보기를구성할때화면공간을절약하는데도유용합니다. 비교는선택한쿼리와동일한유형으로제한됩니다. 예를들어이벤트쿼리를선택하면플로또는자산및취약성테이블이아닌이벤트테이블의필드와만비교할수있습니다. 쿼리매개변수를배포도표에적용하면해당쿼리를정상적으로실행합니다. 비교필드가활성화되면보조쿼리가해당데이터에대해동시에실행됩니다. 배포구성요소는동일한그래프에두데이터세트의데이터를표시하지만별개의두세로축을사용합니다. 도표유형 ( 구성요소의오른쪽하단모서리 ) 을변경해도두데이터세트는계속표시됩니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 203
4 McAfee ESM 대시보드 McAfee ESM 보기 그래프값비교배포그래프의데이터를선택하는변수와비교할수있습니다. 1 [ 새보기만들기 ] 아이콘또는 [ 현재보기편집 ] 아이콘을선택합니다. 2 [ 배포 ] 아이콘을클릭한다음보기에끌어놓아 [ 쿼리마법사 ] 를엽니다. 3 쿼리유형및쿼리를선택하고 [ 다음 ] 을클릭합니다. 4 [ 비교 ] 를클릭한다음선택한쿼리와비교하려는필드를선택합니다. 5 [ 확인 ] 을클릭한다음 [ 마침 ] 을클릭합니다. 6 구성요소를보기의올바른위치로이동하고다음을수행합니다. 구성요소를기존보기에추가하는경우 [ 저장 ] 을클릭합니다. 새보기를만드는경우 [ 다른이름으로저장 ] 을클릭하고보기의이름을추가합니다. 보기및보고서에대한스택배포설정 특정필드와관련된이벤트의배포를볼수있도록보기또는보고서에대한배포구성요소를설정합니다. 구성요소를보기또는보고서에추가하는경우스택에추가할필드를선택할수있습니다. 보기에액세스할때설정을변경하고, 간격을설정하고, 도표유형및상세정보를설정할수있습니다. [ 스택 ] 과 [ 비교 ] 기능을동일한쿼리에서사용할수없습니다. 1 [ 배포 ] 구성요소를보기 (" 사용자지정보기추가 " 참조 ) 또는보고서 (" 보고서레이아웃추가 " 참조 ) 에끌어놓은다음쿼리유형을선택합니다. 스택은 [ 수집비율 ] 또는 [ 평균 ]( 예 : [ 경보당평균심각도 ] 또는 [ 플로당평균기간 ]) 배포쿼리에사용할수없습니다. 2 [ 쿼리마법사 ] 의두번째페이지에서 [ 스택 ] 을클릭한다음옵션을선택합니다. 3 [ 스택옵션 ] 페이지에서 [ 확인 ] 을클릭하고 [ 쿼리마법사 ] 에서 [ 마침 ] 을클릭합니다. 보기가추가됩니다. [ 도표옵션 ] 아이콘을클릭하면설정을변경하고간격및도표유형을설정할수있습니다. 기본보기변경 ESM 콘솔에처음로그온하면기본적으로 [ 기본요약 ] 보기가보기창에나타납니다. 이기본보기를 ESM 에서사전정의된보기또는사용자지정보기로변경할수있습니다. 1 ESM 콘솔탐색막대에서 [ 옵션 ] 을클릭한다음 [ 보기 ] 를선택합니다. 2 [ 기본시스템보기 ] 드롭다운목록에서새기본보기를선택한다음 [ 확인 ] 을클릭합니다. 문자열정규화 문자열정규화를사용하여별칭값과연결할수있는문자열값을설정하고문자열정규화값의.csv 파일을가져오거나내보냅니다. 그러면 [ 필터 ] 창의적절한필드옆의문자열정규화아이콘을선택하여문자열및별칭을필터링할수있습니다. John Doe 라는사용자이름문자열의경우, 기본문자열은 John Doe 이고별칭은예를들면 DoeJohn, JDoe, john.doe@gmail.com 및 JohnD 인문자열정규화파일을정의합니다. 그런다음 [User_Nickname] 필터필드에 John 204 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 대시보드 McAfee ESM 보기 4 Doe 를입력하고필드옆의문자열정규화필터아이콘을선택하고쿼리를새로고칠수있습니다. 결과보기에서 John Doe 및별칭과관련된모든이벤트를표시하고소스 IP 가일치하지만사용자이름은일치하지않는로그인불일치를확인할수있습니다. 또한이기능을통해권한있는사용자을보고해야하는규정을충족할수있습니다. 문자열정규화파일관리 문자열정규화파일을사용하려면먼저 ESM 에추가해야합니다. 1 [ 필터 ] 창에서 [ 문자열정규화관리자실행 ] 아이콘을클릭합니다. 2 사용할수있는액션을수행한다음 [ 닫기 ] 를클릭합니다. 가져올문자열정규화파일만들기별칭.csv 파일을만드는경우필터로사용할수있도록 [ 문자열정규화 ] 페이지에서해당파일을가져올수있습니다. 1 텍스트또는스프레드시트프로그램에서다음형식을사용하여별칭을입력합니다. 명령, 기본문자열, 별칭가능한명령은 add( 추가 ), modify( 수정 ) 및 delete( 삭제 ) 입니다. 2.CSV 파일로저장한다음파일을가져옵니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 205
4 McAfee ESM 대시보드 McAfee ESM 보기 206 McAfee Enterprise Security Manager 10.3.x 제품안내서
5 McAfee 5 ESM 으로위협모니터링 목차 Cyber Threat 관리 McAfee ESM 경보작동방법케이스작동방법콘텐츠팩작동방법 Cyber Threat 관리 McAfee ESM 을사용하면원격소스에서 IOC( 손상표시기 ) 를검색하고해당환경의관련 IOC 활동에신속하게액세스할수있습니다. Cyber Threat 관리를통해관심목록, 경보및보고서를생성하는자동피드를설정하여액션가능한데이터에대한시각화를제공할수있습니다. 예를들어의심스런 IP 주소를관심목록에자동으로추가하는피드를설정하여향후트래픽을모니터링할수있습니다. 해당피드는과거활동을나타내는보고서를생성하고보낼수있습니다. [ 이벤트워크플로보기 ] [Cyber Threat 표시기 ] 보기를사용하여해당환경의특정이벤트및활동으로신속하게드릴다운할수있습니다. 목차 Cyber Threat 관리설정도메인에대한 Cyber Threat 피드설정 Cyber Threat 피드결과보기지원되는 IOC 유형 IOC STIX XML 파일의수동업로드시오류 Cyber Threat 관리설정 원격소스에서 IOC( 손상표시기 ), STIX 형식 XML 을검색하기위한피드를설정합니다. 그러면이러한피드를사용하여관심목록, 경보, 보고서를생성하고이들을통해사용자가해당환경의관련 IOC 활동에액세스할수있습니다. 시작하기전에 다음권한이있는지확인합니다. Cyber Threat 관리 사용자가 Cyber Threat 피드를설정할수있습니다. Cyber Threat 사용자 사용자가피드에서생성한데이터를볼수있습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을클릭합니다. 2 [Cyber Threat 피드 ] 를클릭한다음 [ 추가 ] 를클릭합니다. 3 [ 기본 ] 탭에서피드이름을입력합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 207
5 McAfee ESM 으로위협모니터링 Cyber Threat 관리 4 [ 소스 ] 탭에서소스데이터유형및해당연결자격증명을선택합니다. 연결을테스트하려면 [ 연결 ] 을클릭합니다. 지원되는소스에는 McAfee Advanced Threat Defense 및 MITRE Threat Information Exchange(TAXII) 가있습니다. 5 [ 빈도 ] 탭에서피드가 IOC 파일을꺼내는빈도를식별합니다 ( 꺼내기빈도 ). 사용가능한꺼내기빈도는 x 분마다, 매일, 매시간, 매주또는매월이있습니다. 매일트리거시간을지정합니다. 6 [ 관심목록 ] 탭에서기존의관심목록에추가할 IOC 파일의속성또는필드를선택합니다. 지원되는속성또는필드에대한관심목록을추가할수있습니다. 필요한관심목록이아직존재하지않는경우 [ 새관심목록만들기 ] 를클릭합니다. 7 [ 역추적 ] 탭에서분석할이벤트 ( 기본값 ) 및플로, 분석할일치데이터, 이피드에대해데이터를다시분석할시간을식별합니다. a 선택하여이벤트, 플로또는둘다를분석합니다. b 이벤트및빈도를다시분석할시간 ( 일단위 ) 을나타냅니다. c 역추적에서데이터일치를발견한경우 ESM 이수행할액션을지정합니다. d 경보의경우피할당자및심각도를선택합니다. 8 [ 기본 ] 탭으로돌아간다음 [ 활성화됨 ] 을선택하여이피드를활성화합니다. 9 [ 마침 ] 을클릭합니다. 프로세스가성공적으로완료되면알림이표시됩니다. 도메인에대한 Cyber Threat 피드설정 도메인피드를활성화하려면 IP 주소및도메인데이터를보유할두개의관심목록이있어야합니다. 시작하기전에다음권한이있는지확인합니다. Cyber Threat 관리 사용자가 Cyber Threat 피드를설정할수있습니다. Cyber Threat 사용자 사용자가피드에서생성한데이터를볼수있습니다. 1 ESM 시스템탐색트리에서 [ 시스템속성 ] [Cyber Threat 피드 ] [ 추가 ] 를선택한다음피드를만듭니다. 2 [ 관심목록 ] 탭에서 [ 새관심목록만들기 ] 를클릭하고두개의관심목록을추가합니다. [ 이름 ]: CyberThreatIP, [ 유형 ]: [IP 주소 ] [ 이름 ]: CyberThreatDomain, [ 유형 ]: [Web_Domain] 3 [ 표시기유형 ] 필드에서 [IPv4] 를선택한다음 [ 관심목록 ] 필드에서 CyberThreatIP 를선택합니다. 4 다음 [ 표시기유형 ] 필드에서 [ 완전한도메인이름 ] 을선택한다음 [ 관심목록 ] 필드에서 CyberThreatDomain 을선택합니다. 5 Cyber Threat 피드설정을완료한다음 [ 마침 ] 을클릭합니다. 208 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 으로위협모니터링 Cyber Threat 관리 5 Cyber Threat 피드결과보기 조직의 Cyber Threat 피드에서식별된외부데이터소스의 IOC( 손상표시기 ) 를봅니다. 각표시기소스에대한위협상세정보, 파일설명및해당이벤트로신속하게드릴다운합니다. 시작하기전에 조직의 Cyber Threat 피드결과를볼수있는 [ 사이버위협사용자 ] 권한이있는지확인합니다. 1 대시보드에서을클릭하고 [ 사이버위협표시기 ] 를선택합니다. 2 ESM 콘솔에서보기목록을클릭한다음 [ 이벤트워크플로보기 ] [Cyber Threat 표시기 ] 를선택합니다. 3 시간프레임목록에서보기에대한기간을선택합니다. 4 피드이름또는지원되는 IOC 데이터유형으로필터링합니다. 5 다음과같은표준보기액션을수행합니다. 관심목록을만들거나관심목록에추가 경보만들기 원격명령실행 케이스만들기 둘러보기또는마지막둘러보기 CSV 또는 HTML 파일에표시기내보내기 6 [ 설명, 상세정보, 소스이벤트 ] 및 [ 소스플로 ] 탭을사용하여위협상세정보로드릴다운합니다. 지원되는 IOC 유형 수동업로드 Cyber Threat 피드를추가하는경우 McAfee ESM 에서 STIX(Structured Threat Information expression) 파일을처리될 IOC( 손상표시기 ) 엔진에보냅니다. McAfee ESM 에대해정규화된 IOC 가파일에없으면오류메시지가표시됩니다. 표 5-1 McAfee ESM 에대해정규화된표시기유형 표시기유형 이메일주소 파일이름, 파일경로 관심목록유형 ( 플로 ) IPv4, IPv6 IP 주소, 소스 IP, 대상 IP 받는사람, 보낸사람, 숨은참조, 참조, 메일 _ID, 수신자 _ID 파일 _ 경로, 파일이름, 대상 _ 파일이름, 대상 _ 디렉터리, 디렉터리 ( 플로 ) MAC 주소 Mac 주소, 소스 MAC, 대상 MAC 정규화된도메인이름, 호스트이름, 도메인이름 IPv4, IPv6 MAC 주소 MD5 해시 SHA1 해시 제목 URL 사용자이름 호스트, 대상 _ 호스트이름, 외부 _ 호스트이름, 도메인, 웹 _ 도메인 IP 주소, 소스 IP, 대상 IP, 공격자 _IP, 그리드 _ 마스터 _IP, 장치 _IP, 공격대상자 _IP Mac 주소, 소스 MAC, 대상 MAC 파일 _ 해시, 상위 _ 파일 _ 해시 SHA1 제목 URL 소스사용자, 대상사용자, 사용자 _ 별명 McAfee Enterprise Security Manager 10.3.x 제품안내서 209
5 McAfee ESM 으로위협모니터링 McAfee ESM 경보작동방법 표 5-1 McAfee ESM에대해정규화된표시기유형 ( 계속 ) 표시기유형 관심목록유형 Windows 레지스트리키 레지스트리 _ 키, 레지스트리. 키 ( 레지스트리하위유형 ) Windows 레지스트리값 레지스트리 _ 값, 레지스트리. 값 ( 레지스트리하위유형 ) IOC STIX XML 파일의수동업로드시오류 수동업로드 Cyber Threat 피드를추가하는경우 McAfee ESM 에서 STIX(Structured Threat Information expression) 파일을처리될 IOC( 손상표시기 ) 엔진에보냅니다. 업로드에문제가있는경우다음오류중하나가발생합니다. 표 5-2 Cyper Threat 수동업로드오류 오류설명문제해결 ER328 잘못된 STIX 형식입니다. 파일형식이잘못되었습니다. 업로드한파일은 STIX 파일이어야합니다. 엔진에서는 STIX 버전 1.1 을지원합니다. 스키마가유효한지확인하려면 STIX 설명서를참조하십시오. OASIS(Open Standards for Information Society) STIX 표준을담당하는조직입니다 (https://www.oasis-open.org/). STIX 프로젝트 다양한 STIX 데이터모델, 스카마및 xsd 문서를포함합니다 (https://stixproject.github.io/). ER329 지원되는 IOC 가없습니다. 업로드한 STIX 파일에 ESM 에대해정규화된표시기가없습니다. 특정표시기를처리할필요가있는경우 ESM 에대해정규화할수있도록 McAfee 지원에문의하십시오. McAfee ESM 경보작동방법 목차 경보빌드준비경보빌드경보에대한모니터및응답경보조정 경보빌드준비 경보를빌드하고경보에대해응답할수있으려면 ESM 환경에경보메시지템플릿, 메시지수신자그룹, 메일서버연결, 경보오디오파일, 경보보고서대기열및대시보드의시각적경보탭등의구성요소가있어야합니다. 시작하기전에대시보드에서트리거된경보를보려면사용자설정정의 164 페이지의을참조하십시오. 경보환경준비방법에대해자세히알아보려면다음을참조하십시오. 211 페이지의경보메시지설정이메일, SMS( 문자메시지 ), SNMP(Simple Network Management Protocol) 또는 syslog 를사용하여트리거된경보메시지를보내도록 ESM 을구성합니다. 214 페이지의경보오디오파일관리경보경고에사용할오디오파일을업로드하고다운로드합니다. 210 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 으로위협모니터링 McAfee ESM 경보작동방법 5 경보메시지설정 이메일, SMS( 문자메시지 ), SNMP(Simple Network Management Protocol) 또는 syslog 를사용하여트리거된경보메시지를보내도록 ESM 을구성합니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 211 페이지의경보메시지템플릿만들기이메일, SMS( 문자메시지 ), SNMP(Simple Network Management Protocol) 또는 syslog 에대한경보메시지템플릿을만듭니다. 그런다음템플릿을특정경보액션및메시지수신자와연결할수있습니다. 212 페이지의소스이벤트를포함할상관경보설정경보결과에소스이벤트정보를포함하려면상관이벤트를일치항목으로사용하는 [ 내부이벤트일치 ] 또는 [ 필드일치 ] 경보를설정합니다. 213 페이지의경보수신자관리경보메시지수신자를식별하고이메일, SMS( 문자메시지 ), SNMP(Simple Network Management Protocol) 또는 syslog 를사용하여경보메시지를보내는방법을구성합니다. 경보메시지템플릿만들기 이메일, SMS( 문자메시지 ), SNMP(Simple Network Management Protocol) 또는 syslog 에대한경보메시지템플릿을만듭니다. 그런다음템플릿을특정경보액션및메시지수신자와연결할수있습니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 경보 ] 를클릭합니다. 4 [ 설정 ] 탭을클릭한다음 [ 템플릿 ] 을클릭합니다. 사용자지정템플릿을만들려면 [ 추가 ] 를클릭합니다. 사용자지정템플릿을변경하려면해당템플릿을선택하고 [ 편집 ] 을클릭합니다. 사전정의된템플릿을편집할수없습니다. 사용자지정템플릿을삭제하려면해당템플릿을선택하고 [ 제거 ] 를클릭합니다. 사전정의된템플릿을삭제할수없습니다. 기존템플릿을복사하려면해당템플릿을선택하고 [ 복사 ] 를클릭합니다. 복사된템플릿을새이름으로저장합니다. 모든경보메시지에기본값을설정하려면해당메시지를선택하고 [ 기본값으로설정 ] 을클릭합니다. 5 [ 추가 ] 를클릭합니다. 6 [ 템플릿추가 ] 페이지에서템플릿을구성합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 211
5 McAfee ESM 으로위협모니터링 McAfee ESM 경보작동방법 옵션 설명 [ 유형 ] 이템플릿이이메일메시지용인지문자메시지용인지선택합니다. 문자메시지 (140 자로제한됨 ) 는휴대폰에이메일로보내진다음통신사에서문자메시지로변환합니다. [ 이름 ] 이템플릿의이름을입력합니다. [ 설명 ] 이템플릿이포함하는내용에대한설명을입력합니다. [ 기본값으로설정 ] 메시지를보낼때현재템플릿을기본값으로사용합니다. [ 제목 ] 이메일템플릿의경우메시지의제목을선택합니다. [ 필드삽입 ] 아이콘을클릭하고메시지의제목줄에포함하려는정보를선택합니다. [ 메시지본문 ] 메시지본문에포함하려는필드를선택합니다. Syslog 메시지템플릿의경우메시지본문은 950 바이트미만으로제한됩니다. ESM 는 950 바이트를초과하는 syslog 메시지를보낼수없습니다. 메시지에포함하지않으려는경우기본적으로포함된필드중하나를삭제합니다. 데이터필드를삽입하려는본문에커서의위치를지정합니다. [ 제목 ] 필드위의 [ 필드삽입 ] 아이콘을클릭합니다. 그런다음이필드를표시하려는정보유형을선택합니다. [ 반복블록 ] 을선택하는경우 ESM 에서레코드를반복하기위해필요한구문을추가합니다. [$REPEAT_START] 와 [$REPEAT_END] 표시자사이의각레코드에대해포함하려는필드를삽입합니다. 그러면 ESM 이최대 10 개레코드에대해메시지에이정보를포함합니다. 소스이벤트를포함할상관경보설정 212 페이지의상관이벤트를일치항목으로사용하는경보에소스이벤트를포함하려면 [ 필드삽입 ] 아이콘을클릭하고 [ 소스이벤트블록 ] 을선택합니다. [ 내부이벤트일치 ] 또는 [ 필드일치 ] 를경보유형으로선택한경우 ESM 이이벤트필드를이메일에포함시킵니다. ESM 이아닌수신기에서실행되는데이터소스중심경보에대해 [ 필드일치 ] 를선택합니다. ESM 에서실행되며경보빈도가만료될때마다쿼리가실행되도록하는경보의경우 [ 내부이벤트일치 ] 를선택합니다. 소스이벤트를포함할상관경보설정 경보결과에소스이벤트정보를포함하려면상관이벤트를일치항목으로사용하는 [ 내부이벤트일치 ] 또는 [ 필드일치 ] 경보를설정합니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 경보 ] 를클릭합니다. 4 [ 설정 ] 탭을클릭한다음 [ 템플릿 ] 을클릭합니다. 5 [ 템플릿관리 ] 페이지에서 [ 추가 ] 를클릭한다음요청한정보를입력합니다. 212 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 으로위협모니터링 McAfee ESM 경보작동방법 5 6 [ 메시지본문 ] 섹션에서태그를삽입하려는위치에커서를놓은다음 [ 필드삽입 ] 아이콘을클릭하고 [ 소스이벤 트블록 ] 을선택합니다. 7 태그안에커서를놓고 [ 필드삽입 ] 아이콘을다시클릭한다음상관경보가트리거될때포함할정보를선택합니다. 다음예는이벤트의소스 IP 주소, 대상 IP 주소및심각도에대해필드를삽입할때의경보메시지템플릿형식을보여줍니다. 경보 : [$Alarm Name] 피할당자 : [$Alarm Assignee] 트리거날짜 : [$Trigger Date] 요약 : [$Alarm Summary] [$REPEAT_START] 상관 SigID: [$Signature ID] 상호관련된마지막시간 : [$Last Time] [$SOURCE_EVENTS_START] 소스이벤트상세정보 : 마지막시간 : [$Last Time] SigID: [$Signature ID] 규칙메시지 : [$Rule Message] 중요도 : [$Average Severity] 소스사용자 : [$%UserIDSrc] 소스 IP: [$Source IP] 소스포트 : [$Source Port] 대상사용자 : [$%UserIDDst] 대상 IP: [$Destination IP] 대상포트 : [$Destination Port] 호스트 : [$%HostID] 명령 : [$%CommandID] 응용프로그램 : [$%AppID] 패킷 : [$Packet Data] [$SOURCE_EVENTS_END] [$REPEAT_END] 상관이벤트가경보를트리거하지않으면메시지에데이터가포함되지않습니다. 경보수신자관리 경보메시지수신자를식별하고이메일, SMS( 문자메시지 ), SNMP(Simple Network Management Protocol) 또는 syslog 를사용하여경보메시지를보내는방법을구성합니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 사용하려는프로파일이있는지확인합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 경보 ] 를클릭합니다. 4 [ 설정 ] 탭을클릭한다음 [ 수신자 ] 를클릭합니다. 개인수신자에대한이메일주소를보거나업로드하려면 [ 이메일 ] 을클릭합니다. 사용자이름및이메일주소를보려면 [ 사용자 ] 를클릭합니다. 문자메시지수신자및주소를보거나업데이트하려면 [SMS] 를클릭합니다. 다음 SNMP 정보를보거나업데이트하려면 [SNMP] 를클릭합니다. 옵션 [ 프로파일 ] [ 특정트랩유형 ] [ 엔터프라이즈 OID] 설명 드롭다운목록에서기존 SNMP 수신자프로파일을선택합니다. 프로파일을추가하려면 [ 프로파일 ] 을클릭합니다. 특정트랩유형을선택합니다. 일반트랩유형은항상 6, 엔터프라이즈별로설정됩니다. 보낼트랩에대한전체엔터프라이즈 OID( 개체식별자 ) 를입력합니다. 엔터프라이즈내의하위트리를비롯하여처음 1 부터엔터프라이즈번호까지모든항목을포함합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 213
5 McAfee ESM 으로위협모니터링 McAfee ESM 경보작동방법 옵션 설명 [ 콘텐츠 ] [ 정보데이터바인딩포함 ] 처리된보고서의줄번호, 트랩의소스를식별하는문자열, 트랩을생성한통보이름및트랩을보내는 ESM 의 ID 를비롯하여변수바인딩정보가트랩에포함됩니다. [ 보고서데이터만포함 ] 추가변수바인딩이트랩에포함되지않습니다. [ 형식 ] 보고서에서생성된각 SNMP 트랩에해당보고서의한줄데이터가포함되어있습니다. [ 각보고서줄을현재대로보내기 ] 단일변수바인딩에서보고서줄의데이터를현재대로보냅니다. 시스템은엔터프라이즈 OID, 특정트랩유형및번호 1 로시작하여자동증가하는번호를연결하여데이터바인딩 OID 를구성합니다. [ 결과구문분석및다음바인딩 OID 사용 ] 시스템이보고서줄을구문분석하고별도의데이터바인딩으로각필드를전송합니다. [ 바인딩 OID 목록 ] [ 결과구문분석및다음바인딩 OID 사용 ] 사용자지정데이터바인딩 OID 를지정합니다. 이옵션을선택하는경우 [ 추가 ] 를클릭하고바인딩 OID 값을입력합니다. 보고서에서모든데이터필드에변수 OID 를지정하지않은경우 ESM 이목록에서지정된마지막 OID 부터증가하기시작합니다. 5 [Syslog] 를클릭하여다음 syslog 정보를보거나업데이트합니다. 옵션 설명 [ 호스트 IP] 및 [ 포트 ] 각수신자의호스트 IP 주소및포트를입력합니다. [ 기능 ] 및 [ 심각도 ] 메시지의기능및심각도를선택합니다. 경보오디오파일관리경보경고에사용할오디오파일을업로드하고다운로드합니다. 시작하기전에관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 경보 ] 를클릭합니다. 4 [ 설정 ] 탭을선택한다음 [ 오디오 ] 를클릭합니다. 5 오디오파일을다운로드, 업로드, 제거또는재생합니다. ESM 에는 3 개의사전설치된사운드파일이있습니다. 사용자지정오디오파일을업로드할수있습니다. 경보빌드 경보는특정위협이벤트에대한응답으로액션을수행합니다. 자주트리거하는경보를너무많거나너무적게빌드하면집중을방해하는소음이만들어질수있습니다. 최선의방법은조직에중요한이벤트를에스컬레이션할경보를빌드하는것입니다. McAfee ESM 을사용하여경보를빌드하면사전에빌드된경보를활성화하거나기존경보를복사해서변경하거나조직에고유한경보를만들수있습니다. 경보빌드방법에대해자세히알아보려면다음을참조하십시오. 214 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 으로위협모니터링 McAfee ESM 경보작동방법 5 215 페이지의경보모니터링활성화또는비활성화전체시스템또는개별경보에대해경보모니터링을토글하여설정하거나해제합니다. ESM 경보모니터링은기본적으로설정 ( 활성화 ) 되어있습니다. 215 페이지의경보복사기존경보를복사하고다른이름으로저장하여새경보의템플릿으로사용합니다. 216 페이지의경보만들기정의된조건이충족될때트리거되도록경보를만듭니다. 경보모니터링활성화또는비활성화 전체시스템또는개별경보에대해경보모니터링을토글하여설정하거나해제합니다. ESM 경보모니터링은기본적으로설정 ( 활성화 ) 되어있습니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 시스템에대해경보모니터링을비활성화하면 ESM 은경보를생성하지않습니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 경보 ] 를클릭합니다. 4 전체시스템에대해경보모니터링을활성화또는비활성화하려면 [ 설정 ] 탭을클릭한다음 [ 비활성화 ] 또는 [ 활성화 ] 를클릭합니다. 5 개별경보를활성화또는비활성화하려면 [ 경보 ] 탭을클릭합니다. [ 상태 ] 열에경보의상태가활성화됨또는비활성화됨으로표시됩니다. 특정경보를활성화 ( 설정 ) 하려면해당경보를강조표시하고 [ 활성화됨 ] 을선택합니다. 특정경보를비활성화 ( 해제 ) 하려면해당경보를강조표시하고 [ 활성화됨 ] 을선택취소합니다. ESM 이더이상이경보를생성하지않습니다. 6 [ 확인 ] 을클릭합니다. 경보복사 기존경보를복사하고다른이름으로저장하여새경보의템플릿으로사용합니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 경보 ] 를클릭합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 215
5 McAfee ESM 으로위협모니터링 McAfee ESM 경보작동방법 4 활성화된경보를선택한다음 [ 복사 ] 를클릭합니다. [ 경보이름 ] 페이지에현재경보의이름뒤에 _ 복사가붙은이름이표시됩니다. 활성화된경보만을복사할수있습니다. 비활성화된경보는복사할수없습니다. 5 이름을변경한다음 [ 확인 ] 을클릭합니다. 6 경보설정을변경하려면복사한경보를선택하고 [ 편집 ] 을클릭합니다. 경보만들기정의된조건이충족될때트리거되도록경보를만듭니다. 시작하기전에관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 경보 ] 를클릭하고 [ 추가 ] 를클릭합니다. 4 [ 요약 ] 탭을클릭하여일반경보설정을정의합니다. 경보의이름을지정합니다. [ 피할당자 ] 목록에서이경보를할당할사람또는그룹을선택합니다. 이목록은 [ 경보관리 ] 권한으로모든사용자및그룹을포함합니다. [ 심각도 ] 에서경보로그의경보우선순위 ( 높음 66 100, 중간 33 65, 낮음 1 32) 를선택합니다. [ 활성화됨 ] 을선택하면이경보가설정되고, 선택취소하면경보가해제됩니다. 5 [ 조건 ] 탭에서경보를트리거하는조건을식별합니다. 조건 [ 확인비율 ] 설명 시스템에서이조건을확인하는빈도를선택합니다. [ 편차 ] 기준위로체크하려는백분율임계값과기준아래로확인하려는다른백분율을지정합니다. [ 쿼리 ] 쿼리하고있는데이터유형을선택합니다. [ 필터 ] 아이콘 이경보에대한데이터를필터링할값을선택합니다. [ 시간프레임 ] 숫자필드에서선택한마지막기간을쿼리할지, 이전기간을쿼리할지를선택합니다. [ 값이다음과같은경우트리거 ] ESM 이경보를트리거하려면기준에서위아래로편차가얼마나나야하는지선택합니다. 216 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 으로위협모니터링 McAfee ESM 경보작동방법 5 조건 [ 이벤트비율 ] [ 필드일치 ] 설명 [ 이벤트개수 ] ESM 이경보를트리거하기전에발생해야하는이벤트수를입력합니다. [ 필터 ] 아이콘 데이터를필터링할값을선택합니다. [ 시간프레임 ] ESM 이경보를트리거하기전에선택한이벤트수가발생해야하는간격을입력합니다. [ 오프셋 ] 집합에의해만들어진끝에서경보가갑자기증가하지않도록오프셋의길이를선택합니다. 예를들어 ESM 에서 5 분마다이벤트를꺼내는경우검색된이벤트의마지막 1 분에는집계된이벤트가포함됩니다. 해당기간을기준으로시간프레임을오프셋하여마지막 1 분이데이터측정에포함되지않도록합니다. 이렇게하지않으면 ESM 이집계된데이터의값을이벤트개수에포함하여잘못된긍정을발생시킵니다. 1 경보조건에대한논리를설정하기위해 [AND] 또는 [OR] 아이콘을끌어놓습니다. 2 [ 구성요소일치 ] 아이콘을논리요소로끌어놓은다음 [ 필터필드추가 ] 페이지를완료합니다. 3 [ 최대조건트리거빈도 ] 를설정하여수신하는통보수를제한합니다. 각트리거에는트리거빈도기간내에발생한이벤트가아닌트리거조건과일치하는첫번째소스이벤트만포함합니다. 트리거조건과일치하는새이벤트는최대트리거빈도기간이지날때까지경보가다시트리거되지않도록합니다. 예를들어빈도를 10 분으로설정한경우경보가 10 분내에 5 번트리거하면 ESM 은단일통지로 5 개의경보를포함하여보냅니다. 0 으로간격을설정하면조건에일치하는모든이벤트가경보를트리거합니다. 높은빈도의경보의경우에는간격이 0 이면많은경보를발생할수있습니다. [ 상태모니터상태 ] [ 내부이벤트일치 ] 장치상태변경의유형을선택합니다. 예를들어 [ 위험 ] 만선택한경우 [ 경고 ] 수준에서상태모니터상태변경이있을경우통보하지않습니다. [ 값이일치하지않는경우트리거 ] 값이설정과일치하지않는경우경보를트리거하도록선택합니다. [ 관심목록사용 ] 이경보에대한값을관심목록에포함하려면선택합니다. [ 최대조건트리거빈도 ] [ 임계값 ] 쉼표를포함하는값은관심목록에있거나따옴표로묶어야합니다. [ 필드 ] 이경보에서모니터링하는데이터유형을선택합니다. 상태모니터이벤트가생성될때트리거되는경보용입니다. [ 값 ] [ 필드 ] 에서선택한유형의특정값을입력합니다 (1,000 자로제한됨 ). 예를들어 [ 소스 IP] 에대해서는이경보가트리거될실제소스 IP 주소를입력합니다. 통보가넘쳐나는것을방지하기위해각조건사이에허용하는시간양을선택합니다. 이벤트델타조건유형만 경보가트리거하기전에분석한이벤트에대해허용된최대델타를선택합니다. [ 유형 ] 경보유형을선택합니다. 이에따라입력해야하는필드가결정됩니다. 6 [ 장치탭 ] 에서이경보를모니터링할장치를선택합니다. 7 [ 액션 ] 탭에서경보가트리거될때발생할액션을식별합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 217
5 McAfee ESM 으로위협모니터링 McAfee ESM 경보작동방법 액션 [ 로그이벤트 ] [ 자동인식경보 ] [ 시각적경보 ] [ 케이스만들기 ] 설명 ESM 에이벤트를만듭니다. 트리거직후자동으로경보를인식합니다. 그러면경보가 [ 경보 ] 창에는나타나지않지만시스템이 [ 트리거된경보 ] 보기에경보를추가합니다. 콘솔의오른쪽아래에경보통보를생성합니다. 오디오통보를포함하려면 [ 구성 --> 사운드재생 ] 을클릭한다음오디오파일을선택합니다. 선택한사람또는그룹에대해케이스를만듭니다. [ 구성 ] 을클릭하여케이스소유자를식별하고케이스요약에포함할필드를선택합니다. 경보를에스컬레이션하려면케이스를만들지마십시오. [ 관심목록업데이트 ] 최대 10 개의경보트리거이벤트에포함된정보에따라값을추가하거나제거하여관심목록을변경합니다. [ 구성 ] 을클릭하고트리거하는이벤트에서선택한관심목록에추가하거나제거할필드를선택합니다. 이러한설정에따라관심목록이수정되면 [ 트리거된경보 ] 보기의 [ 액션 ] 탭에변경사항이표시됩니다. 이액션은조건유형으로 [ 내부이벤트일치 ] 를필요로합니다. [ 메시지보내기 ] 이메일또는문자메시지를선택한수신자에게보냅니다. [ 수신자추가 ] 를클릭한다음메시지수신자를선택합니다. [ 구성 ] 을클릭하여템플릿 ( 이메일, 문자메시지, SNMP 또는 syslog 메시지 ) 과메시지에사용할시간대및날짜형식을선택합니다. 문자메시지를보낼때경보이름으로쉼표 (,), 따옴표 ("), 괄호 ( ), 슬래시또는역슬래시 (/ \), 세미콜론 (;), 물음표 (?), @ 기호, 대괄호 ([ ]), 부등호 (< >) 및등호 (=) 문자메시지를사용하면문제가발생할수있습니다. [ 보고서생성 ] 보고서, 보기또는쿼리를생성합니다. [ 구성 ] 을클릭한다음 [ 보고서구성 ] 페이지에서보고서를선택하거나 [ 추가 ] 를클릭하여새보고서를설계합니다. 보고서를첨부하여이메일을보내려면메일관리자에게첨부파일의최대크기에대해체크합니다. 이메일첨부파일이크면보고서를보내지못할수있습니다. [ 원격명령실행 ] McAfee 의 ESM 장치를제외하고 SSH 연결을허용하는모든장치에서원격명령을실행합니다. [ 구성 ] 을클릭하여명령유형및프로파일 ( 시간대및날짜형식 ) 그리고 SSH 연결을위해호스트, 포트, 사용자이름, 암호및명령문자열을선택합니다. 경보조건이 [ 내부이벤트일치 ] 인경우특정이벤트를추적할수있습니다. [ 변수삽입 ] 아이콘클릭하고변수를선택합니다. 을 [ 해결로보내기 ] [epo 로태그할당 ] 트리거된경보당최대 10 개이벤트를해결로보냅니다. [ 구성 ] 을클릭하여해결과통신하는데필요한 [ 처음 ] 및 [ 끝 ] 데이터, 접두사, 키워드, 사용자 ID(EUID) 정보를설정합니다. 이벤트를해결로보내면 ESM 이 [ 트리거된경보 ] 보기의 [ 액션 ] 탭에 [ 해결로이벤트보냄 ] 을추가합니다. 이액션은조건유형으로 [ 내부이벤트일치 ] 를필요로합니다. 이경보를트리거하는 IP 주소에 McAfee epolicy Orchestrator 태그를적용합니다. [ 구성 ] 을클릭하고다음정보를선택합니다. [epo 장치선택 ] 태그지정에사용할장치 [ 이름 ] 적용하려는태그 ( 목록에나타난선택한장치에사용가능한태그만 ) [ 필드선택 ] 태그지정에기준이되는필드 [ 클라이언트웨이크업 ] 태그를즉시적용 이액션은조건유형으로 [ 내부이벤트일치 ] 를필요로합니다. 218 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 으로위협모니터링 McAfee ESM 경보작동방법 5 액션 [ 블랙리스트 ] 설명 경보가트리거될때블랙리스트에올릴 IP 주소를선택합니다. [ 구성 ] 을클릭하고다음정보를선택합니다. [ 필드 ] 블랙리스트에올릴 IP 주소유형을선택합니다. [IP 주소 ] 의경우소스및대상 IP 주소모두블랙리스트에올립니다. [ 장치 ] IP 주소를블랙리스트에올리려는장치를선택합니다. [ 글로벌 ] 에서는장치를 [ 글로벌블랙리스트 ] 에추가합니다. [ 기간 ] IP 주소를블랙리스트에올리는기간을선택합니다. 이액션은조건유형으로 [ 내부이벤트일치 ] 를필요로합니다. [ 사용자지정경보요약 ] [ 필드일치 ] 또는 [ 내부이벤트일치 ] 경보요약에포함되는필드를사용자지정합니다. 8 [ 에스컬레이션 ] 탭에서특정시간안에경보를인식하지못할때에스컬레이션하는방법을식별합니다. 에스컬레이션 [ 다음이후에에스컬레이션 ] [ 에스컬레이션된피할당자 ] [ 에스컬레이션된심각도 ] 설명 경보를에스컬레이션하려는시간을입력합니다. 에스컬레이션된통보를받을사람또는그룹을선택합니다. 에스컬레이션된경우경보의심각도를선택합니다. [ 로그이벤트 ] 이에스컬레이션을이벤트로로깅할지선택합니다. [ 시각적경보 ] 통보가시각적경보인지를선택합니다. 시각적통보와함께사운드를발생시키려는경우 [ 사운드재생 ] 을클릭한다음파일을선택합니다. [ 메시지보내기 ] 메시지를피할당자에게보낼지를선택합니다. [ 수신자추가 ] 를클릭하고메시지유형을선택한다음수신자를선택합니다. [ 보고서생성 ] 보고서를생성할지선택합니다. [ 구성 ] 을클릭하여보고서를선택합니다. [ 원격명령실행 ] SSH 연결을허용하는장치에서스크립트를실행할지선택합니다. [ 구성 ] 을클릭한다음호스트, 포트, 사용자이름, 암호및명령문자열을입력합니다. 경보에대한모니터및응답 대시보드보기, 경보상세정보, 필터및보고서를사용하여트리거된경보를보고, 확인하며, 삭제합니다. 트리거된경보를모니터링하고응답하는방법에대해자세히알아보려면다음을참조하십시오. 트리거된경보보기 대시보드의 [ 경보 ] 로그창에심각도에따라경보의총개수가나열됩니다. 기호 심각도 범위 높음 66 100 중간 33 65 낮음 1 32 트리거된경보확인 시스템이 [ 경보 ] 창에서제거합니다. 확인된경보는트리거된경보보기에남아있습니다. 트리거된경보삭제 시스템이 [ 경보 ] 창및 [ 트리거된경보 ] 보기에서제거합니다. 시각적경보를사용하고트리거된경보를닫거나, 확인하거나, 삭제하지않는경우시각적경보는 30 초후에닫힙니다. 오디오경보는트리거된경보를닫거나, 확인하거나, 삭제할때까지재생되며오디오아이콘을클릭하면경보가중지됩니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 219
5 McAfee ESM 으로위협모니터링 McAfee ESM 경보작동방법 220 페이지의트리거된경보를보고관리합니다. 아직삭제되지않은트리거된경보를보고응답합니다. 221 페이지의경보보고서대기열관리경보액션이보고서를생성하면생성된보고서의대기열을보고하나이상을취소할수있습니다. 트리거된경보를보고관리합니다. 아직삭제되지않은트리거된경보를보고응답합니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 콘솔이 [ 경보 ] 로그창을표시할수있도록설정되어있는지관리자와함께확인합니다. 1 다음 ESM 위치중하나에서트리거된경보에액세스합니다. 대시보드에서 을클릭합니다. 콘솔에서 [ 경보 ] 창을보려면 을클릭하고 [ 경보 ] 를선택합니다. 경보가트리거될때팝업경보가열립니다. 2 다음중하나를수행합니다. 수행방법... 경보확인 경보를확인하려면확인하려는트리거된경보의첫번째열에서확인란을클릭합니다. 여러항목을확인하려면항목을강조표시하고을클릭합니다. 시스템에서확인한경보는 [ 경보 ] 창에서제거되지만 [ 트리거된경보 ] 보기에는남아있습니다. 경보삭제 삭제하려는트리거된경보를선택한다음을클릭합니다. 경보필터링 [ 필터 ] 창에서필터로사용하려는정보를입력한다음을클릭합니다. 경보의피할당자변경 1 경보상세정보를표시하려면을클릭합니다. 2 경보를선택한다음 [ 피할당자 ] 를클릭하고새피할당자를선택합니다. 경보에대한케이스만들기 1 경보상세정보를표시하려면을클릭합니다. 2 경보를선택한다음 [ 케이스만들기 ] 를클릭하고필요한사항을선택합니다. 220 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 으로위협모니터링 McAfee ESM 경보작동방법 5 수행방법... 경보에대한상세정보보기 1 경보상세정보를표시하려면을클릭합니다. 2 경보를선택하고다음중하나를수행합니다. 선택한경보를트리거한이벤트를보려면 [ 트리거한이벤트 ] 탭을클릭합니다. 설명을보려면이벤트를두번클릭합니다. 단일이벤트가경보조건을충족하지못하는경우 [ 트리거한이벤트 ] 탭이나타나지않을수있습니다. [ 조건 ] 탭을클릭하여이벤트를트리거한조건을봅니다. [ 액션 ] 탭을클릭하여경보의결과로발생한액션및이벤트에할당한 epolicy Orchestrator 태그를봅니다. 트리거된경보설정편집 1 트리거된경보를클릭한다음을클릭합니다. [ 경보편집 ] 을선택합니다. 2 [ 경보설정 ] 페이지에서변경한다음 [ 마침 ] 을클릭합니다. 경보보고서대기열관리경보액션이보고서를생성하면생성된보고서의대기열을보고하나이상을취소할수있습니다. 시작하기전에관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 경보 ] 를클릭합니다. 4 [ 설정 ] 탭을클릭합니다. 5 실행대기중인경보보고서를보려면 [ 보기 ] 를클릭합니다. ESM 은동시에최대다섯개의보고서를실행합니다. 경보를통해생성된보고서를봅니다. 특정보고서의실행을중지하려면해당보고서를선택하고 [ 취소 ] 를클릭합니다. 나머지보고서가대기열로이동합니다. 관리자또는마스터사용자인경우이목록에 ESM 에서실행대기중인모든보고서가포함되어어떤보고서라도취소할수있습니다. 6 목록에서보고서다운로드, 업로드, 제거또는새로고침여부를선택할 [ 파일 ] 을클릭합니다. 7 [ 닫기 ] 를클릭합니다. 경보조정 조직에대한모범사례에따라경보를세분화하고조정합니다. 경보조정방법에대해자세히알아보려면다음을참조하십시오. 이러한에서경보의특정유형을만드는방법이설명됩니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 221
5 McAfee ESM 으로위협모니터링 McAfee ESM 경보작동방법 222 페이지의 UCAPL 경보만들기 UCAPL( 통합기능승인제품목록 ) 요구사항을충족하는경보를만듭니다. 224 페이지의상태모니터이벤트경보추가상태모니터이벤트에따라경보를만들어서 [ 상태모니터이벤트요약 ] 보고서를생성할수있습니다. 230 페이지의필드일치경보추가여러이벤트필드에서일치하며장치가이벤트를받고구문분석할때알리는경보를설정합니다. 231 페이지의트리거된경보및케이스에대한요약사용자지정경보요약및 [ 필드일치 ] 와 [ 내부이벤트일치 ] 경보에대한케이스요약에포함할데이터를선택합니다. 232 페이지의정책규칙에경보추가경보가있는정책규칙을설정하여규칙에서이벤트가생성될때알릴수있습니다. 232 페이지의 SNMP 트랩을경보액션으로만들기 SNMP 트랩을경보액션으로보냅니다. 233 페이지의전원오류통보경보추가 ESM 전원장치가고장나면경보를통해사용자에게알릴수있습니다. 233 페이지의이벤트델타경보추가동기화되지않은데이터소스는시간문제가있는이벤트를생성할수있습니다. 이벤트델타경보를설정하여이벤트시간문제발생가능성을알릴수있습니다. UCAPL 경보만들기 UCAPL( 통합기능승인제품목록 ) 요구사항을충족하는경보를만듭니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 경보만들기 216 페이지의단계를검토합니다. 다음을적용할경보유형을설정합니다. 경보유형 실패한로그온에대한조정가능한임계값에도달함 설명 동일한사용자에대해여러실패한로그온이조정가능한임계값에도달한경우경보를트리거합니다. 1 [ 시그니처 ID] 에일치하는 [ 내부이벤트일치 ] 경보를만듭니다. 2 306-36 의값을입력합니다. 없음에대한임계값에도달함 없음임계값에도달해서사용자계정이잠긴경우경보를트리거합니다. 1 [ 시그니처 ID] 에일치하는 [ 내부이벤트일치 ] 경보를만듭니다. 2 306-35 의값을입력합니다. 허용된동시세션에도달함 허용된동시세션수에도달한후사용자가시스템에로그온하려고시도하는경우경보를트리거합니다. 1 [ 시그니처 ID] 에일치하는 [ 내부이벤트일치 ] 경보를만듭니다. 2 306-37 의값을입력합니다. 실패한시스템파일무결성체크 시스템파일무결성체크가실패한경우경보를트리거합니다. 1 [ 시그니처 ID] 에일치하는 [ 내부이벤트일치 ] 경보를만듭니다. 2 306-50085 의값을입력합니다. 222 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 으로위협모니터링 McAfee ESM 경보작동방법 5 경보유형 인증서가만료될예정임 설명 CAC(Common Access Card) 또는웹서버인증서가곧만료되는경우경보를트리거합니다. 1 [ 시그니처 ID] 에일치하는 [ 내부이벤트일치 ] 경보를만듭니다. 2 306-50081, 306-50082, 306-50083, 306-50084 의값을입력합니다. 경보가인증서만료 60 일전에트리거된후매주트리거됩니다. 일수를변경할수없습니다. 시스템상태가승인되지않은경우 SNMP 트랩보냄 시스템이더이상승인된상태나보안상태로작동되지않음을탐지할경우경보가 NMS 로트랩을보내도록 SNMP 트랩을구성합니다. 1 모든조건에일치하는경보를만든다음 [ 액션 ] 탭으로이동하여 [ 메시지보내기 ] 를선택합니다. 시스템상태가승인되지않은경우 Syslog 메시지보냄 보안로그에서필요한이벤트를기록하지못함 2 [ 수신자추가 ] [SNMP] 를클릭하고수신자를선택한다음 [ 확인 ] 을클릭합니다. 3 [ 메시지보내기 ] 필드에서 [ 구성 ] 을클릭한다음 [ 템플릿 ] 을클릭하고 [ 추가 ] 를클릭합니다. 4 [ 유형 ] 필드에서 [SNMP 템플릿 ] 을선택하고메시지의텍스트를입력한다음 [ 확인 ] 을클릭합니다. 5 [ 템플릿관리 ] 페이지에서새템플릿을선택한다음 [ 확인 ] 을클릭합니다. 6 나머지경보설정을완료합니다. 시스템이더이상승인된상태나보안상태로작동되지않음을탐지할경우경보가 NMS 로 syslog 메시지를보내도록 syslog 메시지를구성합니다. 1 모든조건에일치하는경보를만든다음 [ 액션 ] 탭으로이동하여 [ 메시지보내기 ] 를선택합니다. 2 [ 수신자추가 ] [syslog] 를클릭하고수신자를선택한다음 [ 확인 ] 을클릭합니다. 3 [ 메시지보내기 ] 필드에서 [ 구성 ] 을클릭한다음 [ 템플릿 ] 을클릭하고 [ 추가 ] 를클릭합니다. 4 [ 유형 ] 필드에서 [Syslog 템플릿 ] 을선택하고메시지의텍스트를입력한다음 [ 확인 ] 을클릭합니다. 5 [ 템플릿관리 ] 페이지에서새템플릿을선택한다음 [ 확인 ] 을클릭합니다. 6 나머지경보설정을완료합니다. 보안로그에서필요한이벤트를기록하지못할경우경보가 30 초후적절한 NOC(Network Operation Center) 에통보하도록 SNMP 트랩을구성합니다. 1 [ 시스템속성 ] [SNMP 구성 ] [SNMP 트랩 ] 또는 [ 장치속성 ] [ 장치구성 ] [SNMP] 로이동합니다. 2 보안로그오류트랩을선택한다음트랩을보낼프로파일을하나이상구성하고 [ 적용 ] 을클릭합니다. ESM 이 SNMP 트랩을보안로그에기록하지못했습니다라는메시지와함께 SNMP 프로파일수신자에게보냅니다. 감사기능시작또는종료 각관리역할에대한세션이있음 감사기능 ( 예 : 데이터베이스, cpservice, IPSDBServer) 이시작되거나종료될때경보가통보하는 SNMP 트랩을구성하고 [SNMP 트랩 ] 또는 [SNMP 설정 ] 에액세스하고 [ 데이터베이스실행 / 정지트랩 ] 을선택합니다. 트랩을보낼프로파일을하나이상구성하고 [ 적용 ] 을클릭합니다. 각각의정의된관리역할에대해관리세션이존재하는경우경보를트리거합니다. 1 [ 시그니처 ID] 에일치하는 [ 내부이벤트일치 ] 경보를만듭니다. 2 감사관리자의경우값 306 38, 암호화관리자의경우 306 39, 고급사용자의경우 306 40 을입력합니다. 별도의경보를설정할수도있습니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 223
5 McAfee ESM 으로위협모니터링 McAfee ESM 경보작동방법 상태모니터이벤트경보추가상태모니터이벤트에따라경보를만들어서 [ 상태모니터이벤트요약 ] 보고서를생성할수있습니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 사용가능한상태모니터시그니처 ID224페이지의를검토합니다. 경보만들기216페이지의단계를검토합니다. 1 상태모니터이벤트가생성되기전에경보를설정하려면 a [ 내부이벤트일치 ] 유형으로경보 [ 조건 ] 을설정합니다. b [ 필드 ] 줄에서 [ 시그니처 ID] 를선택합니다. c [ 값 ] 필드에서상태모니터규칙의시그니처 ID를입력합니다. d 경보의나머지설정을입력합니다. 2 상태모니터이벤트가있는경우경보를설정하려면 a 시스템탐색트리에서 를클릭합니다. 그런다음상태모니터이벤트 ([ 이벤트분석 ] 또는 [ 기 본요약 ]) 를표시하는보기를선택합니다. b 이벤트를클릭한다음을클릭합니다. c [ 액션 ] [ 다음에서새경보만들기 ] 를선택한다음 [ 시그니처 ID] 를선택합니다. d 경보의나머지설정을입력합니다. 상태모니터시그니처 ID 다음규칙을사용하여상태모니터규칙이벤트가생성될때통보되는경보를만듭니다. 이목록은상태모니터규칙및해당시그니처 ID, 유형, 장치및심각도를설명합니다. 규칙이름 시그니처 ID 설명 유형 장치 심각 도 물리적네트워크인터페이스연결을만들거나제거했습니다. RAID 오류가발생했습니다. 비활성때문에계정이비활성화됨 최대로그온실패로인해계정이비활성화됨 306-50080 SSH 세션을통해네트워크인터페이스설정이변경되었습니다. 소프트웨어모니터 306-50054 RAID 오류가발생했습니다. 하드웨어모 니터 306-35 비활성때문에사용자계정이비활성화되었습니다. 306-36 최대로그온실패로인해사용자계정이비활성화되었습니다. 원격명령추가 / 편집 306-60 경보원격명령이추가되었거나삭제되었 습니다. 고급 Syslog 분석기수집기상태변경경보 306-50029 ASP 분석기가중지되었거나시작되었습니다. ADM Distiller 프로세스 306-50066 ADM PDF/DOC 텍스트추출엔진이중지 되었거나시작되었습니다. 승인된구성불일치 146-7 네트워크탐색장치변경이승인되었습니 다. 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 ESM 모두 ESM ESM ESM 수신기 ADM ESM 중간 높음 중간 높음 낮음 중간 중간 낮음 224 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 으로위협모니터링 McAfee ESM 경보작동방법 5 규칙이름 시그니처 ID 설명 유형 장치 심각 도 보관구성변경 306-3 ESM 보관설정이변경되었습니다. 소프트웨어 모니터 보관프로세스상태변경경보 이벤트에취약한자산 146-10, 306-10 306-50051 수신기보관프로세스가중지되었거나시작되었습니다. 취약성이벤트가만들어졌습니다. 소프트웨어모니터 소프트웨어모니터 감사관리자사용자로그온 306-38 UCAPL 이벤트, 감사관리자로그온 소프트웨어 모니터 백업구성변경 306-1 ESM 백업구성설정이변경되었습니다. 소프트웨어 모니터 백업이수행됨 306-2 시스템에서백업이수행되었습니다. 소프트웨어 모니터 Blue Martini 분석기경보 306-50071 Blue Martini 분석기가중지되었거나시작 되었습니다. 바이패스 NIC 상태경보 306-50001 NIC가바이패스상태를시작했거나끝냈 습니다. 소프트웨어모니터 소프트웨어모니터 CAC 인증서가만료됨 306-50082 ESM CAC 인증서가만료되었습니다. 소프트웨어 모니터 CAC 인증서가곧만료됨 306-50081 ESM CAC 인증서가곧만료됩니다. 소프트웨어 모니터 케이스가변경됨 306-70 케이스가변경되었습니다. 소프트웨어 모니터 케이스상태가추가됨 / 수정됨 / 삭제됨 306-73 케이스상태가변경되었습니다. 소프트웨어 모니터 통신채널상태변경경보 306-50013 제어채널이중지되었거나시작되었습니 다. 소프트웨어모니터 구성캡처실패 ( 장치오류 ) 146-4 네트워크탐색장치오류입니다. 소프트웨어 모니터 구성캡처실패 ( 장치접근불가 ) 146-3 네트워크탐색장치가접근불가합니다. 소프트웨어 모니터 구성이캡처됨 146-5 네트워크탐색구성을성공적으로체크했 습니다. 소프트웨어모니터 구성정책오류 146-8 시스템에서사용되지않습니다. 소프트웨어 모니터 구성정책통과 146-9 시스템에서사용되지않습니다. 소프트웨어 모니터 데이터할당구성변경 306-7 ESM 데이터할당설정이변경되었습니 다. 데이터파티션의사용가능한디스크공간경보 306-50005 각파티션의사용가능한공간이부족합니다 ( 예 : hada_hd 에 10% 의사용가능한공간이있음 ). 데이터보존구성변경 306-6 ESM 데이터보존구성이변경되었습니 다. 데이터베이스탐지서비스상태경보 깊은패킷검사기상태변경경보 306-50036 DBM 자동탐지서비스가중지되었거나시작되었습니다. 306-50008 ADM 의패킷심층분석엔진이중지되었거나시작되었습니다. 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 ESM ADM/R EC/DB M ESM ESM ESM ESM 수신기 IPA/AD M ESM ESM ESM ESM 모두 ESM ESM ESM ESM ESM ESM 모두 ESM 모두 모두 낮음 중간 낮음 낮음 낮음 낮음 중간 중간 높음 중간 낮음 낮음 중간 낮음 낮음 낮음 낮음 낮음 높음 중간 높음 중간 중간 McAfee Enterprise Security Manager 10.3.x 제품안내서 225
5 McAfee ESM 으로위협모니터링 McAfee ESM 경보작동방법 규칙이름 시그니처 ID 설명 유형 장치 심각 도 원격명령삭제 306-61 경보원격명령이제거되었습니다. 소프트웨어 모니터 삭제된이벤트 306-74 사용자가삭제한 ESM 이벤트입니다. 소프트웨어 모니터 삭제된플로 306-75 사용자가삭제한 ESM 플로입니다. 소프트웨어 모니터 장치추가 306-18 새장치가시스템에추가되었습니다. 소프트웨어 모니터 장치삭제 306-19 시스템에서기존장치가삭제되었습니다. 소프트웨어 모니터 장치가중단되었을수있음 146-2 장치가중단되었을수있음을나타내는 네트워크탐색이벤트입니다. 장치접근불가 146-1 ESM에추가된네트워크탐색장치가접 근불가합니다. 디스크드라이브오류경보 306-50018 모든하드디스크의무결성을체크하고 확인합니다 ( 내부또는 DAS). ELM 보관프로세스상태변경경보 306-50045 ELM 압축엔진이중지되었거나시작되었습니다. ELM EDS FTP 306-50074 ELM SFTP 프로그램이중지되었거나시 작되었습니다. ELM 파일프로세스 306-50065 ELM 재삽입엔진이중지되었거나시작되 었습니다. 어떤이유로로그가실패하는경우다시삽입을시도합니다. 재삽입프로세스가실패하는경우이규칙이트리거됩니다. 소프트웨어모니터 소프트웨어모니터 하드웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 ESM ESM ESM ESM ESM ESM ESM 모두 ADM/R EC/DB M ELM ELM 낮음 낮음 낮음 낮음 낮음 낮음 낮음 높음 중간 중간 중간 ELM 마운트지점상태변경경보 ELM 쿼리엔진상태변경경보 306-50053 ELM 원격저장소 (CIFS, NFS, ISCSI, SAN) 가중지되었거나시작되었습니다. 306-50046 ELM 프로세스 - ELM (ELM 쿼리, 삽입등 ) 이중지되었거나시작되었습니다. ELM 중복저장소 306-50063 ELM 미러링이중지되었거나시작되었습 니다. ELM 시스템데이터베이스오류 이메일수집기상태변경경보 306-50044 ELM 데이터베이스가중지되었거나시작되었습니다. 306-50040 Cisco MARS 수집기가중지되었거나시작되었습니다. 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 EPO 태그가적용됨 306-28 McAfee epo 태그가적용되었습니다. 소프트웨어 모니터 ELM 과통신하는동안오류발생 306-50047 ELM과의통신이실패했습니다. 소프트웨어 모니터 SSH 통신오류 306-50077 버전차이, 키변경과같은장치문제입니 다. 소프트웨어모니터 ESM 재부팅 306-32 ESM이재부팅되었습니다. 소프트웨어 모니터 ESM 종료 306-33 ESM이종료되었습니다. 소프트웨어 모니터 ELM ELM ELM ELM 수신기 ESM ADM/R EC/DB M 모두 ESM ESM 중간중간중간높음중간낮음높음높음중간중간 226 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 으로위협모니터링 McAfee ESM 경보작동방법 5 규칙이름 시그니처 ID 설명 유형 장치 심각 도 estreamer 수집기경보 306-50070 estreamer 수집기가중지되었거나시작 되었습니다. estreamer 수집기상태변경경보 306-50041 estreamer 수집기가중지되었거나시작되었습니다. 소프트웨어모니터 소프트웨어모니터 원격명령실행 306-62 경보원격명령이실행되었습니다. 소프트웨어 모니터 최대동시세션에도달했기때문에로그온하지못함 306-37 최대동시세션에도달했기때문에사용자가로그온하지못했습니다. SAN 장치를포맷하지못함 306-50057 ELM의 SAN을포맷하지못했습니다. 사 용자가재시도해야합니다. 소프트웨어모니터 하드웨어모니터 사용자가로그온하지못함 306-31 사용자가로그온하지못했습니다. 소프트웨어 모니터 파일수집기상태변경경보 306-50049 mountcollector 프로그램이중지되었거나시작되었습니다. 소프트웨어모니터 파일이삭제됨 306-50 추가하거나제거할수있는파일 소프트웨어 모니터 필터프로세스상태변경경보 방화벽경보집계상태변경경보 306-50050 장치의필터프로그램이중지되었거나시작되었습니다 ( 필터규칙 ). 306-50009 ADM 의방화벽집계가중지되었거나시작되었습니다. VA 데이터가져오기오류 306-52 ESM이 VA 데이터를가져오지못했습니 다. 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 VA 데이터를가져옴 306-51 ESM이 VA 데이터를가져왔습니다. 소프트웨어 모니터 상태모니터내부경보 306-50027 상태모니터프로세스가중지되었거나시 작되었습니다. HTTP 수집기상태변경경보 306-50039 HTTP 수집기가중지되었거나시작되었습니다. 소프트웨어모니터 소프트웨어모니터 인덱싱구성변경 306-8 ESM 인덱싱설정이변경되었습니다. 소프트웨어 모니터 잘못된 SSH 키 306-50075 ELM과통신하는동안발생하는장치문 제 ( 예 : 버전차이, 키변경 ) 입니다. IPFIX 수집기상태변경경보 키및인증서관리자사용자로그온 로그파티션의사용가능한디스크공간경보 McAfee EDB 데이터베이스서버상태변경경보 306-50055 IPFIX( 플로 ) 수집기가중지되었거나시작되었습니다. 소프트웨어모니터 소프트웨어모니터 306-39 UCAPL 이벤트, 암호화관리자로그온 소프트웨어 모니터 306-50004 로그파티션 (/var) 의사용가능한공간이부족합니다. 306-50010 데이터베이스가중지되었거나시작되었습니다. McAfee epo 수집기경보 306-50069 McAfee epo 수집기가중지되었거나시 작되었습니다. McAfee Event Format 상태변경경보 McAfee SIEM 장치통신오류 306-50031 McAfee Event Format 수집기가중지되었거나시작되었습니다. 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 306-26 ESM이다른장치와통신할수없습니다. 소프트웨어 모니터 수신기 수신기 ESM ESM ESM ESM 수신기 ESM 수신기 ADM ESM ESM 모두 수신기 ESM 모두 수신기 ESM 모두 모두 수신기 수신기 ESM 중간 중간 낮음 높음 높음 중간 중간 낮음 중간 중간 중간 낮음 중간 중간 중간 높음 중간 낮음 중간 중간 중간 중간 높음 McAfee Enterprise Security Manager 10.3.x 제품안내서 227
5 McAfee ESM 으로위협모니터링 McAfee ESM 경보작동방법 규칙이름 시그니처 ID 설명 유형 장치 심각 도 Microsoft Forefront Threat Management Gateway 경보 MS-SQL 검색기상태변경경보 306-50068 Forefront Threat Management Gateway 수집기가중지되었거나시작되었습니다. 306-50035 Microsoft SQL 수집기가중지되었거나시작되었습니다 (Microsoft SQL 의데이터소스 ). 다중이벤트로그경보 306-50062 jemail 수집기가중지되었거나시작되었 습니다. 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 MVM 검색이시작됨 306-27 MVM 검색이시작되었습니다. 소프트웨어 모니터 NetFlow 수집기상태변경경보 306-50024 NetFlow( 플로 ) 수집기가중지되었거나시작되었습니다. 소프트웨어모니터 새사용자계정 306-13 새사용자가시스템에추가되었습니다. 소프트웨어 모니터 NFS/CIFS 수집기상태변경경보 NitroFlow 수집기상태변경경보 306-50048 NFS 또는 CIFS 의원격마운트가중지되었거나시작되었습니다. 306-50026 NitroFlow( 장치의플로 ) 가중지되었거나시작되었습니다. SSH 키가없음 306-50076 ELM과통신하는동안발생하는장치문 제 ( 예 : 버전차이, 키변경 ) 입니다. NSM 블랙리스트추가 / 편집 306-29 NSM 블랙리스트항목이편집되거나추 가되었습니다. NSM 블랙리스트삭제 306-30 NSM 블랙리스트항목이삭제되었습니 다. OPSEC 검색기상태변경경보 306-50034 OPSEC(Check Point) 수집기가중지되었거나시작되었습니다. Oracle IDM 수집기경보 306-50072 Oracle IDM 수집기가중지되었거나시작 되었습니다. 초과구독경보 306-50012 ADM이초과구독모드를시작했거나끝 냈습니다. 플러그인수집기 / 분석기경보 306-50073 플러그인수집기 / 분석기가중지되었거나시작되었습니다. 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 정책추가 306-15 정책이시스템에추가되었습니다. 소프트웨어 모니터 정책삭제 306-17 정책이시스템에서삭제되었습니다. 소프트웨어 모니터 정책변경 306-16 시스템에서정책이변경되었습니다. 소프트웨어 모니터 이전구성불일치 146-6 네트워크탐색장치구성이변경되었습니 다. 수신기 HA 306-50058 HA 프로세스가중지되었거나시작되었습 니다 (Corosync, HA 컨트롤스크립트 ). 소프트웨어모니터 소프트웨어모니터 수신기 HA Opsec 구성 306-50059 사용하고있지않습니다. 소프트웨어 모니터 원격 NFS 마운트지점상태변경경보 원격공유 / 마운트지점사용가능한디스크공간경보 306-50020 NFS ELM 마운트가중지되었거나시작되었습니다. 306-50021 원격마운트지점의사용가능한공간이부족합니다. 소프트웨어모니터 소프트웨어모니터 수신기 수신기 수신기 ESM 수신기 ESM 수신기 수신기 모두 ESM ESM 수신기 수신기 ADM 수신기 ESM ESM ESM ESM 수신기 수신기 ELM ESM 중간 중간 중간 낮음 중간 낮음 중간 중간 높음 낮음 낮음 중간 중간 중간 중간 낮음 낮음 낮음 낮음 중간 낮음 중간 중간 228 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 으로위협모니터링 McAfee ESM 경보작동방법 5 규칙이름 시그니처 ID 설명 유형 장치 심각 도 원격 SMB/CIFS 공유상태변경경보 306-50019 원격 SMB/CIFS 마운트지점이중지되었거나시작되었습니다. 위험상관상태변경경보 306-50061 위험상관엔진이중지되었거나시작되었 습니다. 루트파티션의사용가능한디스크공간경보 307-50002 루트파티션의사용가능한공간이부족합니다. 규칙추가 306-20 규칙이시스템에추가되었습니다 ( 예 : ASP, 필터또는상관 ). 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 규칙삭제 306-22 규칙이시스템에서삭제되었습니다. 소프트웨어 모니터 규칙변경 306-21 시스템에서규칙이변경되었습니다. 소프트웨어 모니터 규칙업데이트오류 306-9 ESM 규칙을업데이트하지못했습니다. 소프트웨어 모니터 SDEE 검색기상태변경경보 sflow 수집기상태변경경보 SNMP 수집기상태변경경보 SQL 수집기상태변경경보 306-50038 Symantec AV 수집기상태변경경보 Syslog 수집기상태변경경보 306-50033 SDEE 수집기가중지되었거나시작되었습니다. 306-50025 sflow( 플로 ) 수집기가중지되었거나시작되었습니다. 306-50023 SNMP 수집기가중지되었거나시작되었습니다. SQL 수집기 ( 이전 NFX) 가중지되었거나시작되었습니다. 306-50056 Symantec AV 수집기가중지되었거나시작되었습니다. 306-50037 Syslog 수집기가중지되었거나시작되었습니다. 시스템관리사용자로그온 306-40 시스템관리자가시스템에로그온했습니 다. 시스템무결성체크오류 306-50085 시스템에서실행되는비ISO 외부프로그 램또는프로세스에플래그가지정되었습 니다. 시스템로거상태변경경보 306-50014 시스템로깅프로세스가중지되었거나시작되었습니다. 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 ( 쿼리 ) 이닫힘 306-54 관리자이닫혔습니다. 소프트웨어 모니터 임시파티션의사용가능한디스크공간경보 텍스트로그분석기상태변경경보 306-50003 디스크공간에임시 (/tmp) 파티션이부족합니다. 306-50052 텍스트분석기가중지되었거나시작되었습니다. 소프트웨어모니터 소프트웨어모니터 사용자계정변경 306-14 사용자계정이변경되었습니다. 소프트웨어 모니터 사용자장치가로그온하지못함 306-50079 SSH 사용자가로그온하지못했습니다. 소프트웨어 모니터 사용자장치로그온 306-50017 시스템에서사용되지않습니다. 소프트웨어 모니터 사용자장치로그아웃 306-50078 SSH 사용자가로그아웃했습니다. 소프트웨어 모니터 수신기 ACE 모두 ESM ESM ESM ESM 수신기 수신기 수신기 수신기 수신기 수신기 ESM 모두 모두 ESM 모두 수신기 ESM ESM ESM ESM 중간 중간 중간 낮음 낮음 낮음 중간 중간 중간 중간 중간 중간 중간 낮음 높음 중간 낮음 중간 중간 낮음 낮음 낮음 낮음 McAfee Enterprise Security Manager 10.3.x 제품안내서 229
5 McAfee ESM 으로위협모니터링 McAfee ESM 경보작동방법 규칙이름 시그니처 ID 설명 유형 장치 심각 도 사용자로그온 306-11 사용자가시스템에로그온했습니다. 소프트웨어 모니터 사용자로그아웃 306-12 사용자가시스템에서로그아웃했습니다. 소프트웨어 모니터 VA 데이터엔진상태경보 306-50043 VA(vaded.pl) 엔진이중지되었거나시작 되었습니다. 소프트웨어모니터 변수추가 306-23 정책변수가추가되었습니다. 소프트웨어 모니터 변수삭제 306-25 정책변수가삭제되었습니다. 소프트웨어 모니터 변수변경 306-24 정책변수가변경되었습니다. 소프트웨어 모니터 웹서버인증서가만료됨 306-50084 ESM 웹서버인증서가만료되었습니다. 소프트웨어 모니터 웹서버인증서가곧만료됨 306-50083 ESM 웹서버인증서가곧만료됩니다. 소프트웨어 모니터 Websense 수집기경보 306-50067 Websense 수집기가중지되었거나시작 되었습니다. WMI 이벤트로그수집기상태변경경보 306-50030 WMI 수집기가중지되었거나시작되었습니다. 소프트웨어모니터 소프트웨어모니터 ESM ESM 수신기 ESM ESM ESM ESM ESM 수신기 수신기 낮음 낮음 중간 낮음 낮음 낮음 높음 중간 중간 중간 필드일치경보추가여러이벤트필드에서일치하며장치가이벤트를받고구문분석할때알리는경보를설정합니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 논리적요소를사용하는방법을검토합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 경보 ] 를클릭합니다. 4 [ 추가 ] 를클릭하고경보이름을입력하고피할당자를선택한다음 [ 조건 ] 탭을클릭합니다. 5 [ 유형 ] 필드에서 [ 필드일치 ] 를선택한다음경보의조건을설정합니다. a 경보조건에대한논리를설정하기위해 [AND] 또는 [OR] 를끌어놓습니다. b [ 구성요소일치 ] 아이콘을논리요소로끌어놓은다음 [ 필터필드추가 ] 페이지를완료합니다. c [ 최대조건트리거빈도 ] 필드에서통보가넘쳐나는것을방지하기위해각조건사이에허용할시간양을선택합니다. 각트리거에는트리거빈도기간내에발생한이벤트가아닌트리거조건과일치하는첫번째소스이벤트만포함합니다. 트리거조건과일치하는새이벤트는최대트리거빈도기간이지날때까지경보가다시트리거되지않도록합니다. 0 으로간격을설정하면조건에일치하는모든이벤트가경보를트리거합니다. 높은빈도의경보의경우에는간격이 0 이면많은경보를발생할수있습니다. 230 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 으로위협모니터링 McAfee ESM 경보작동방법 5 6 [ 다음 ] 을클릭하고이경보로모니터링할장치를선택합니다. 이경보유형은수신기, 로컬수신기 -ELM(Enterprise Log Manager), 수신기 /ELM 콤보, ACE 및 ADM(Application Data Monitors) 을지원합니다. 7 [ 액션 ] 및 [ 에스컬레이션 ] 탭을클릭하고설정을정의합니다. 8 [ 마침 ] 을클릭합니다. 경보를장치에기록합니다. 경보를장치에기록하지못한경우동기화되지않은플래그가시스템탐색트리의장치옆에나타납니다. 플래그를클릭한다음 [ 경보동기화 ] 를클릭합니다. 논리적요소 ADM(Application Data Monitor), 데이터베이스및상관규칙또는구성요소를추가할때 [ 표현식논리 ] 또는 [ 상관논리 ] 를사용하여규칙의프레임워크를구성합니다. 요소 설명 AND 컴퓨터언어의논리연산자와동일한기능입니다. 조건이참이되려면이논리적요소아래그룹화된모든조건이참이어야합니다. 이논리적요소아래의모든조건이충족되면규칙을트리거하려는경우이옵션을사용합니다. OR SET 컴퓨터언어의논리연산자와동일한기능입니다. 이조건이 true 가되려면이요소아래그룹화된조건중한가지만 true 여야합니다. 한가지조건만충족된다음규칙을트리거하려는경우이요소를사용합니다. 상관규칙또는구성요소의경우 SET 을통해조건을정의하고참인조건의수를선택하여규칙을트리거합니다. 예를들어설정에있는 3 개의조건중에 2 개의조건이충족되면규칙을트리거하는경우설정이 2/3" 로표시됩니다. 이러한각요소의메뉴에는다음옵션중 2 가지이상이있습니다. [ 편집 ] 기본설정을편집할수있습니다 (" 논리적요소기본설정편집 " 참조 ). [ 논리적요소제거 ] 선택한논리적요소를삭제할수있습니다. 하위요소가있는경우삭제되지않고계층에서위로이동합니다. 이는루트요소 ( 계층의첫번째요소 ) 에는적용되지않습니다. 루트요소를제거하면모든하위요소도제거됩니다. [ 논리적요소및모든해당하위제거 ] 선택한요소및계층의모든하위를삭제할수있습니다. 규칙의논리를설정할때구성요소를추가하여규칙의조건을정의해야합니다. 상관규칙의경우실행될때규칙또는구성요소의동작을제어하기위한매개변수를추가할수도있습니다. 트리거된경보및케이스에대한요약사용자지정경보요약및 [ 필드일치 ] 와 [ 내부이벤트일치 ] 경보에대한케이스요약에포함할데이터를선택합니다. 시작하기전에관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 경보 ] 를클릭한다음 [ 추가 ] 또는 [ 편집 ] 을클릭합니다. 4 [ 조건 ] 탭에서 [ 필드일치 ] 또는 [ 내부이벤트일치 ] 유형을선택합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 231
5 McAfee ESM 으로위협모니터링 McAfee ESM 경보작동방법 5 [ 액션 ] 탭, [ 케이스만들기 ], [ 구성 ] 을차례로클릭합니다. 그런다음케이스요약에포함할필드를선택합니다. 6 [ 트리거된경보요약사용자지정 ] 을클릭하고 을클릭한다음트리거된경보의요약에포함시킬필드를선택합 니다. 7 요청한정보를입력하여경보를만든다음 [ 마침 ] 을클릭합니다. 정책규칙에경보추가 경보가있는정책규칙을설정하여규칙에서이벤트가생성될때알릴수있습니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리도구모음에서 [ 정책편집기 ] 아이콘을클릭합니다. 3 [ 규칙유형 ] 창에서규칙유형을선택합니다. 4 규칙표시영역에서하나이상의규칙을선택합니다. 5 를클릭하고경보를만듭니다. SNMP 트랩을경보액션으로만들기 SNMP 트랩을경보액션으로보냅니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. SNMP 트랩수신기를준비합니다 (SNMP 트랩수신기가없는경우에만필요 ). 1 SNMP 트랩을보낼 ESM 에알리기위해 SNMP 프로파일을만듭니다. a 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. b 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. c [ 프로파일관리 ] 를클릭한다음 [ 추가 ] 를클릭합니다. d [SNMP 트랩 ] 을 [ 프로파일유형 ] 으로선택합니다. e 나머지필드를입력한다음 [ 적용 ] 을클릭합니다. 2 ESM에 SNMP를구성합니다. a [ 시스템속성 ] [SNMP 구성 ] 에서 [SNMP 트랩 ] 탭을클릭합니다. b 포트를선택하고, 보낼트랩유형을선택한다음 1단계에서추가한프로파일을선택합니다. c [ 적용 ] 을클릭합니다. 232 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 으로위협모니터링 McAfee ESM 경보작동방법 5 3 [SNMP 트랩 ] 을사용하는경보를액션으로정의합니다. a [ 시스템속성 ] [ 경보 ] 에서 [ 추가 ] 를클릭합니다. b [ 요약 ], [ 조건 ] 및 [ 장치 ] 탭에요청된정보를입력하고, [ 내부이벤트일치 ] 를조건유형으로선택합니다. 그런다음 [ 액션 ] 탭을클릭합니다. c [ 메시지보내기 ] [ 구성 ] 을선택하여 SNMP 메시지의템플릿을선택하거나만듭니다. d [SNMP] 필드에서 [ 기본 SNMP 템플릿 ] 을선택하거나 [ 템플릿 ] 을클릭합니다. 그런다음기존템플릿을선택하거나 [ 추가 ] 를클릭하여새템플릿을정의합니다. e [ 경보설정 ] 페이지로돌아간다음경보설정을계속합니다. 전원오류통보경보추가 ESM 전원장치가고장나면경보를통해사용자에게알릴수있습니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 전원오류통보에대한 SNMP 트랩설정153페이지의 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 경보 ] 를클릭합니다. 4 [ 추가 ] 를클릭하고 [ 요약 ] 탭에서요청한데이터를입력한다음 [ 조건 ] 탭을클릭합니다. 5 [ 유형 ] 필드에서 [ 내부이벤트일치 ] 를선택합니다. 6 [ 필드 ] 필드에서 [ 시그니처 ID] 를선택한다음 [ 값 ] 필드에 306-50086 을입력합니다. 7 필요한대로각탭에서남은정보를입력한다음 [ 마침 ] 을클릭합니다. 전원공급장치에오류가발생하면경보가트리거됩니다. 이벤트델타경보추가 동기화되지않은데이터소스는시간문제가있는이벤트를생성할수있습니다. 이벤트델타경보를설정하여이벤트시간문제발생가능성을알릴수있습니다. 시작하기전에 여러가지원인으로이벤트시간문제가생길수있습니다. McAfee ESM 또는데이터소스에대해잘못된시간영역이설정되어있습니다. McAfee ESM 이오랫동안설정된상태에서동기화되지않은시간누수가있습니다. McAfee ESM 이인터넷에연결되어있지않습니다. 이벤트가수신기로들어올때동기화되지않았습니다. 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 동기화되지않은데이터소스가이벤트를생성하면시스템탐색트리의수신기옆에빨간색플래그가나타납니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 233
5 McAfee ESM 으로위협모니터링케이스작동방법 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 동기화되지않은데이터소스가이벤트를생성할경우경보를설정합니다. a [ 경보 ] [ 추가 ] 를클릭하고 [ 요약 ] 탭에서요청한정보를입력한다음 [ 조건 ] 탭을클릭합니다. b [ 유형 ] 필드에서 [ 이벤트델타 ] 를선택합니다. c McAfee ESM의동기화되지않은데이터소스검사빈도를선택합니다. d 알람이트리거되는시간차를선택합니다. e 나머지탭의정보를완료합니다. 4 동기화되지않은데이터소스를보거나편집하거나내보냅니다. a 시스템탐색트리에서수신기를클릭한다음 [ 속성 ] 아이콘을클릭합니다. b [ 수신기관리 ] [ 시간델타 ] 를클릭합니다. 케이스작동방법 케이스를사용하여잠재적위협을조사하는을추적합니다. 대시보드보기에서조사하려는이벤트를기반으로케이스를만듭니다. 케이스참고에상황별상세정보및이벤트를추가하고조사을추적할수있습니다. 문제가해결되면케이스를닫고이경우밝혀진정보를적용하는경보를작성합니다. 목차 케이스추가케이스변경케이스보기이메일케이스케이스관리보고서생성 케이스추가 이벤트에대한응답으로추적액션을수행합니다. 시작하기전에관리자권한이있거나케이스관리권한이있는액세스그룹에속해있어야합니다. 1 케이스관리또는컨텍스트메뉴를사용하여새케이스를만듭니다. 대시보드에서을클릭하고케이스관리를클릭한다음 [ 케이스추가 ] 아이콘을클릭합니다. 대시보드에서이벤트를선택하고메뉴아이콘을클릭한다음 [ 액션 ] [ 새케이스만들기 ] 를클릭합니다. 열린케이스에대한요약이대시보드왼쪽에표시됩니다. 2 요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 234 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 으로위협모니터링케이스작동방법 5 케이스변경 케이스상세정보를변경하거나케이스를닫을수있습니다. 변경은케이스참고에기록됩니다. 케이스를닫으면 [ 케이스 ] 창에더이상나타나지않지만상태가닫힘으로변경되어 [ 케이스관리 ] 목록에표시됩니다. 시작하기전에 다음케이스권한중하나가있어야합니다. 시스템의모든케이스를변경할수있는 [ 케이스관리관리자 ] 권한. 할당된케이스만변경할수있는 [ 케이스관리사용자 ] 권한. 1 대시보드에서을클릭한다음 [ 케이스관리 ] 를선택합니다. 2 다음방법중하나로 [ 케이스상세정보 ] 에액세스합니다. 할당된케이스를선택하려면 [ 케이스 ] 창에서선택한다음 [ 케이스편집 ] 아이콘을클릭합니다. 할당되지않은케이스를선택하려면 [ 케이스관리열기 ] 아이콘을클릭하고관련케이스를선택합니다. 그런다음 [ 케이스편집 ] 아이콘을클릭합니다. 3 다음과같이케이스를변경할수있습니다. [ 케이스또는해결에이벤트할당 ] 아이콘을클릭하고 [ 케이스에이벤트추가 ] 를선택합니다. [ 메뉴 ] 아이콘을클릭하고 [ 액션 ] 을강조표시한다음 [ 케이스에이벤트추가 ] 를클릭합니다. 기본케이스상태를설정하려면 [ 추가 ] 또는 [ 편집 ] 을클릭한다음 [ 기본값 ] 을클릭하고기본상태를선택합니다. 대시보드에서 [ 케이스 ] 창에표시할케이스를선택합니다. 4 [ 확인 ] 을클릭하여변경사항을저장합니다. 케이스보기 현재열려있든지닫혀있든지관계없이모든케이스를관리합니다. 시작하기전에관리자권한이있거나케이스관리권한이있는액세스그룹에속해있는지확인합니다. 1 대시보드에서을클릭하고 [ 검사패널 ] 을선택합니다. 열린케이스에대한요약이대시보드왼쪽에표시됩니다. 2 드롭다운화살표를사용하여보려는케이스를확장하고 [ 케이스관리에서보기 ] 를클릭합니다. [ 케이스상세정보 ] 보기가열리고시스템의모든케이스가나열됩니다. 3 데이터를검토합니다. 옵션 정의 [ 요약 ] 케이스를요약합니다 ( 최대 255 자 ). [ 케이스 ID] 케이스가추가되면케이스에제공된고유시스템생성번호 ( 변경할수없음 ) 를나열합니다. [ 피할당자 ] 케이스가할당된사용자또는그룹을나열합니다. 케이스관리권한이있는모든사용자및사용자그룹을나열합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 235
5 McAfee ESM 으로위협모니터링케이스작동방법 옵션 정의 [ 가져오기 ] 케이스를사용자자신에게재할당할수있습니다. [ 심각도 ] 케이스심각도를나열합니다. 1-20 = 녹색 21-40 = 파란색 41-60 = 노란색 61-80 = 밤색 81-100 = 빨간색 [ 조직 ] ( 선택사항 ) 케이스가할당된조직을나열합니다. [ 조직 ] 을클릭한다음 [ 추가 ] 를클릭하여조직을추가할수있습니다. [ 상태 ] 현재케이스상태를나열합니다. 미리정의된상태에는 [ 열림 ]( 기본값 ) 및 [ 닫힘 ] 이있습니다. 상태를추가할수있습니다. [ 만든날짜 ] 케이스가만들어진날짜를나열합니다. [ 마지막업데이트 ] 케이스가변경된날짜를나열합니다. [ 참고 ] 수행한액션유형또는변경사항, 날짜및시간, 사용자의이름을포함하여수행한액션을추적합니다. 변경사항에대해이전값과새값이모두기록됩니다. 예 : ---- 2009-04-22 09:39 에변경된심각도이전 : 저위험현재 : 고위험 다음액션이자동으로기록됩니다. 열린케이스 닫힌케이스 요약에대한변경사항 케이스가재할당됨 심각도가변경됨 조직이변경됨 이벤트가변경됨 [ 기록 ] 케이스에액세스한사용자를나열합니다. [ 메시지 ] 테이블 [ 케이스이메일로보내기 ] 케이스와연결된이벤트를나열합니다. 이벤트상세정보를보려면테이블에서이벤트를클릭한다음 [ 상세정보표시 ] 를클릭합니다. 지정한주소에케이스를이메일로보낼수있습니다. 이메일케이스 케이스가추가되거나다시할당될때마다케이스할당자에게자동으로이메일메시지를보내도록시스템을설정합니다. 또한케이스통보를이메일로수동으로보내고여기에케이스참고및이벤트상세정보를포함할수도있습니다. 시작하기전에 [ 케이스관리관리자 ] 권한이있는지확인합니다. McAfee ESM 의이메일주소설정 236 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 으로위협모니터링케이스작동방법 5 수행방법... 자동으로케이스이메일로보내기 1 [ 케이스 ] 창에서 [ 열린케이스관리 ] 아이콘을클릭합니다. 2 [ 케이스관리설정 ] 아이콘을클릭합니다. 3 [ 케이스가할당되면이메일보내기 ] 를선택한다음 [ 닫기 ] 를클릭합니다. 사용자의이메일주소는 ESM 에있어야합니다 (" 사용자설정 " 참조 ). 수동으로기존케이스이메일보내기 1 [ 케이스 ] 창에서이메일로보내려는케이스를선택한다음 [ 케이스편집 ] 아이콘을클릭합니다. 2 [ 케이스세부정보 ] 에서 [ 케이스이메일보내기 ] 를클릭한다음 [ 보낸사람 ] 및 [ 받는사람 ] 필드를입력합니다. 3 참고를포함하고이벤트세부정보의 CSV 파일을첨부할지여부를선택합니다. 4 이메일메시지에포함하려는참고사항을입력한다음 [ 보내기 ] 를클릭합니다. 케이스관리보고서생성 McAfee ESM에서 6개의표준케이스관리보고서를제공합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 보고서 ] [ 추가 ] 를클릭합니다. 4 섹션 1, 2 및 3 을완료합니다. 5 섹션 4 에서 [CSV 쿼리 ] 를선택합니다. 6 섹션 5 에서실행할케이스관리보고서를선택합니다. [ 케이스관리요약 ] 케이스 ID 번호, 케이스에할당된심각도, 해당상태, 케이스가할당된사용자, 케이스가할당된조직 ( 있는경우 ), 케이스가추가된날짜및시간, 케이스가업데이트된날짜및시간 ( 있는경우 ), 케이스요약을포함합니다. [ 케이스관리상세정보 ] [ 케이스관리요약 ] 보고서의모든정보, 케이스에연결된이벤트의 ID 번호, 케이스의참고섹션에포함된정보를포함합니다. [ 케이스해결시간 ] 상태변경사이에걸리는시간길이를표시합니다 ( 예 : [ 열림 ] 시간스탬프와 [ 닫힘 ] 시간스탬프사이의차이 ). 기본적으로 [ 케이스 ID] 번호및심각도, 조직, [ 만든날짜 ], 마지막업데이트, 요약및시간차이별로 [ 닫힘 ] 상태와함께케이스를나열합니다. [ 피할당자별케이스 ] 사용자또는그룹에할당된케이스수를포함합니다. [ 조직별케이스 ] 조직별케이스수를포함합니다. [ 상태별케이스 ] 상태유형별케이스수를포함합니다. 7 섹션 6 을완료한다음 [ 저장 ] 을클릭합니다. 선택한보고서가 [ 보고서 ] 목록에표시됩니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 237
5 McAfee ESM 으로위협모니터링콘텐츠팩작동방법 콘텐츠팩작동방법 특정위협상황이발생하면특정악성프로그램또는위협활동을해결하기위해사용케이스구동상관규칙, 경보, 보기, 보고서, 변수및관심목록을포함하는관련콘텐츠팩을가져와설치하여즉시대응합니다. 사내에서도구를개발하는대신콘텐츠팩을사용하여시간을절약합니다. McAfee 연결카탈로그를검색합니다. 목차 콘텐츠팩가져오기콘텐츠팩설치콘텐츠팩변경 콘텐츠팩가져오기 콘텐츠팩은일반적으로자동규칙업데이트의일부로다운로드됩니다. ESM 이자동으로규칙및콘텐츠팩을다운로드하지않으면이수동프로세스를사용합니다. 시작하기전에 다음권한이있는지확인합니다. 시스템관리 사용자관리 1 McAfee 연결로이동합니다. 2 사용가능한콘텐츠팩을찾아보고원하는콘텐츠팩을다운로드합니다. 3 ESM에콘텐츠팩을설치합니다. 콘텐츠팩설치 콘텐츠팩을선택하고배포합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 콘텐츠팩 ] 을클릭합니다. 4 [ 찾아보기 ] 를클릭합니다. [ 콘텐츠팩찾아보기 ] 창이열립니다. 5 목록을찾아서원하는콘텐츠팩을선택합니다. 이름이나설명을클릭하면해당콘텐츠팩의상세정보가표시됩니다. 확인란을클릭하여설치할콘텐츠팩을선택합니다. 6 [ 설치 ] 를클릭합니다. 7 콘텐츠팩의상세정보에나열된설치후단계를완료합니다. 238 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 으로위협모니터링콘텐츠팩작동방법 5 콘텐츠팩변경 콘텐츠팩을업데이트또는제거합니다. 콘텐츠팩요소를사용자지정한경우업데이트프로세스가사용자지정한요소를덮어쓸수있습니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 콘텐츠팩 ] 을클릭합니다. 설치된콘텐츠팩의목록이나타납니다. 4 사용가능한업데이트목록을찾습니다. 최신버전의콘텐츠팩을사용할수있는경우상태가 [ 사용가능한업데이트 ] 로표시됩니다. 5 콘텐츠팩을업데이트하려면콘텐츠팩을선택한다음 [ 업데이트 ] 를클릭합니다. 6 콘텐츠팩을제거하려면콘텐츠팩을선택한다음 [ 제거 ] 를클릭합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 239
5 McAfee ESM 으로위협모니터링콘텐츠팩작동방법 240 McAfee Enterprise Security Manager 10.3.x 제품안내서
6 McAfee 6 ESM 관심목록 목차 McAfee ESM 관심목록작동방법 McAfee GTI 관심목록관심목록추가규칙관심목록만들기관심목록에규칙추가 IOC 위협관심목록만들기 Hadoop HBase 관심목록추가 McAfee Active Response 관심목록만들기관심목록, 보고서및보기공유 McAfee ESM 관심목록작동방법 관심목록은특정정보그룹으로, 필터또는경보조건으로사용할수있습니다. 글로벌이거나특정사용자또는그룹과공유될수있으며정적또는동적일수있습니다. 정적관심목록은입력하거나가져올수있는특정값으로구성됩니다. 동적관심목록은정의한정규표현식이나문자열검색기준에서생성된값으로구성됩니다. 관심목록은최대 1,000,000 개의값을포함할수있지만 McAfee ESM 은 25,000 개의값만표시합니다. 값이더있는경우 McAfee ESM 에서표시할값이너무많다고알려줍니다. 관심목록에 25,000 개가넘는값을추가하려면기존목록을로컬파일에내보내고새값을추가한다음새목록을가져와야합니다. 정적관심목록에서만료할값을설정할수있습니다. 각값에는시간이표시되고새로고치지않는한지정한기간에도달하면만료됩니다. 경보가값을트리거하고관심목록에추가하면값이새로고쳐집니다. 보기구성요소의메뉴에서 [ 관심목록에추가 ] 옵션을사용하여목록에추가하면만료하도록설정된값을새로고칠수있습니다. 동적관심목록에서정기적으로업데이트할값을설정할수있습니다. 지정된데이터를사용하여소스를쿼리하고지정된시간에값이새로고쳐집니다. McAfee GTI 관심목록 McAfee Global Threat Intelligence (McAfee GTI) 관심목록에는 McAfee 에서수집한 1 억 3 천만개이상의의심스러운 IP 및악성 IP 주소와그심각도가포함되어있습니다. 이러한관심목록은경보를트리거하고, 규칙상관의필터및 McAfee Enterprise Security Manager 10.3.x 제품안내서 241
6 McAfee ESM 관심목록관심목록추가 McAfee ACE 에서위험상관관리자를위한점수지정소스로보고서및보기의데이터를필터링하는데사용할수있습니다. 관심목록에 [GTI 악의적인 IP] 및 [GTI 의심스러운 IP] 를채우려면 McAfee Global Threat Intelligence (McAfee GTI) 에대한사용권을구입해야합니다. 그런다음규칙을다운로드하면 McAfee GTI 목록이시스템에추가됩니다. 목록을다운로드하려면인터넷이연결되어있어야합니다. 오프라인에서는다운로드할수없습니다. 데이터베이스크기로인해다운로드하는데몇시간이걸릴수있습니다. McAfee GTI 목록은보거나편집할수없지만목록이활성 ( 값포함 ) 인지비활성 ( 값을포함하지않음 ) 인지는나타냅니다. 관심목록추가 관심목록을필터또는경보조건으로사용합니다. 시작하기전에 관심목록에 [GTI 악의적인 IP] 및 [GTI 의심스러운 IP] 를채우려면 McAfee Global Threat Intelligence (McAfee GTI) 사용권을구입해야합니다. 1 다음방법중하나로 [ 관심목록 ] 페이지에액세스합니다. 대시보드에서을클릭하고 [ 관심목록 ] 을선택합니다. 시스템탐색트리에서 [ 시스템속성 ] 을클릭한다음 [ 관심목록 ] 을클릭합니다. [ 내부이벤트일치 ] 경보에서 [ 액션 ] 탭을클릭하고 [ 관심목록업데이트 ] 를선택한다음 [ 구성 ] 을클릭합니다. 2 [ 추가 ] 또는 [ 새관심목록추가 ] 를클릭합니다. 탭옵션정의 [ 기본 ] [] [ 소스 ] [ 이름 ] 관심목록의이름을입력합니다. [ 정적 ] 또는 [ 동적 ] 정적관심목록은지정하는값으로구성됩니다. 동적관심목록은정의한정규표현식이나문자열검색기준에서생성된값으로구성됩니다. [ 값만료 ] 정적 - 관심목록의각값에타임스탬프를지정하여지정된시간에만료되도록하려면선택합니다. 지정한기간에도달한경우새로고치지않는한만료됩니다. 경보가값을트리거하고관심목록에추가하면값이새로고쳐집니다. 만료하도록설정된값을새로고치려면보기구성요소의메뉴에서 [ 관심목록에추가 ] 를사용하여목록에추가합니다. [ 기간 ] 정적 - 값을유지할시간을선택합니다. 범위는 1 시간에서 365 일사이입니다. 해당시간이경과하면새로고치지않은경우에도값이관심목록에서삭제됩니다. [ 자동업데이트활성화 ] 동적 - 이목록을지정한시간에자동으로업데이트하려면선택합니다. [ 업데이트 ] 검색이업데이트되는빈도를선택합니다. 검색이실행될때마다기존값목록이대체됩니다. 검색소스유형을선택합니다. 이페이지의나머지필드는선택한유형에따라다릅니다. [ESM 문자열 ] [] 이벤트에서검색된문자열이포함된 StringMap 표를검색합니다. [ 검색 ] 필드에정규표현식또는문자열검색기준을입력합니다. 검색은기본적으로대 / 소문자를구분합니다. 대 / 소문자를구분하지않는검색을수행하려면 /Exploit/i 와같이검색문자열이나정규표현식을슬래시로둘러싸고그뒤에 i 를추가합니다. 242 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 관심목록관심목록추가 6 탭옵션정의 [ESM 규칙이름 ] 규칙에대한간단한설명이포함된 [ 규칙 ] 표에서규칙메시지를검색합니다. [ 검색 ] 필드에정규표현식또는문자열검색기준을입력합니다. 검색은기본적으로대 / 소문자를구분합니다. 대 / 소문자를구분하지않는검색을수행하려면 /Exploit/i 와같이검색문자열이나정규표현식을슬래시로둘러싸고그뒤에 i 를추가합니다. [HTTP/HTTPS] 다음필드를입력합니다. [ 인증 ] 웹사이트에서로그온하기위해사용자이름및암호를요구하는경우 [ 기본 ] 을선택합니다. 기본설정은 [ 없음 ] 입니다. [ 잘못된인증서무시 ] 검색을시도하는웹사이트가 https URL 인경우이옵션을선택하여잘못된 SSL 인증서를무시합니다. [ 방법 ] 검색하려는웹사이트가포스트콘텐츠또는인수를요구하는경우 POST 를선택합니다. 기본설정은 [GET] 입니다. Active Response 다음필드를입력합니다. [ 수집기 ] 데이터를꺼내는데사용할수집기를선택합니다. [ 값 ] 관심목록에포함할검색된데이터열을선택합니다. [ 또는 ] 이나 [ 그리고 ] 모든필터를데이터에적용 ([ 그리고 ]) 하거나적용된필터중하나를데이터에적용 ([ 또는 ]) 하려는경우선택합니다. 둘이상의필터를사용하는경우에만적용됩니다. [ 필터 ] 검색을적용할필터입니다. [ 필터추가 ] 다른필터줄을추가하려면클릭합니다. 최대 5 개의필터를사용할수있습니다. [ 구문분석 ] [ 원시데이터 ] HTTP/HTTPS 가소스유형으로선택된경우 [ 소스 ] 탭의 [URL] 필드에서처음 200 줄의소스코드를확인합니다. 단지웹사이트의미리보기이지만일치시킬정규표현식을충분히쓸수있습니다. 관심목록의예약된업데이트또는 [ 지금실행 ] 은정규표현식검색과일치하는모든항목을포함합니다. 이기능은 RE2 구문정규표현식 ( 예 : \d{1,3}\. \d{1,3}\.\d{1,3}\.\d{1,3}) 을지원합니다. [ 건너뛸헤더줄 ] [ 새줄구분기호 ] 일반적으로인터넷사이트에는검색할필요가없는헤더코드가있습니다. 검색이헤더데이터를포함하지않도록건너뛰게하려는사이트상단의줄수를지정합니다. 값을구분하기위해사이트에서사용되는구분기호를입력합니다. 이필드의기본값은 \n 이며새줄이구분기호라는것을나타냅니다. 가장일반적으로사용되는다른구분기호는쉼표입니다. [ 표현식무시 ] 정규표현식검색의결과에서원하지않는값을제거하는정규표현식을입력합니다. [ 정규표현식 ] ( 필수 ) 일치항목을찾는데사용되는논리를입력하고사이트에서값을추출합니다. 사이트에나열된알려진악성 IP 주소또는 MD5 합계의목록과일치하는표현식을만드는데사용합니다. [ 일치하는그룹 ] 정규표현식에여러일치그룹이포함된경우이드롭다운목록에서그룹을선택합니다. [ 값 ] [ 유형 ] 검색결과를필드유형에할당하는유형을선택합니다. 이유형은필터나경보의경우처럼시스템전체에서관심목록을사용할수있도록합니다. 기존관심목록에서이설정을변경할수있습니다. 25,000개보다적은값이있는경우 ESM은이전유형과새유형이호환되는지확인하고호환되지않는경우오류를반환합니다. 25,000개보다많은값이있는경우호환성의유효성을검사해야합니다. 동적관심목록인경우 [ 문자열 ] 을소스로선택하면응용프로그램이선택한유형으로검색을필터링하지않습니다. 대신검색에서모든일치하는문자열을반환합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 243
6 McAfee ESM 관심목록규칙관심목록만들기 탭옵션정의 [ 값 ] 정적관심목록인경우새줄로구분된형식으로값파일을가져오거나줄당하나씩값을입력합니다. 정적및동적관심목록은둘다최대 1,000,000 개의값으로제한됩니다. 동적관심목록인경우검색이실행될때마다값표가값으로채워집니다. 관심목록에 25,000 개보다많은값이있는경우 [ 값 ] 필드에표시할수있는값이더있다고나타납니다. 사용자이름은데이터베이스에액세스할수있는사람을식별합니다. LDAP 의경우사용자이름은다음과같이공백이없는정식도메인이름이어야합니다. uid=bob,ou=users,dc=example,dc=com 또는 administrator@company.com [ 값지우기 ] [ 값 ] 목록에서모든항목을삭제하려면클릭합니다. [ 가져오기 ] 가져온값을 [ 값 ] 목록에추가하려면클릭합니다. 가져온값이 25,000 개를초과하는경우일부가져온값을표시할수없다는메시지가표시됩니다. [ 내보내기 ] 값목록을내보내려면클릭합니다. [ 지금실행 ] 지금쿼리를실행하려면클릭합니다. 결과가 [ 값 ] 상자를채웁니다. 3 [ 관심목록 ] 표에새관심목록을추가하려면 [ 확인 ] 을클릭합니다. 규칙관심목록만들기 관심목록을사용하여필터로사용할수있는규칙또는이벤트에서규칙이발생될때통보하는경보조건으로사용할수있는규칙을그룹화합니다. 이들관심목록은글로벌일수도있고 ESM 사용자또는그룹으로한정될수도있습니다. 1 [ 정책편집기 ] 의 [ 규칙유형 ] 창에서규칙유형을선택한다음이관심목록에서사용하려는규칙을선택합니다. 2 [ ] 을클릭한다음 [ 새관심목록만들기 ] 옵션을선택합니다. 3 이름을입력한다음 [ 정적 ] 옵션이선택되었는지확인합니다. 4 이감시목록이감시하는데이터유형을선택하고피할당자를선택합니다. 관리자권한이있는사용자는시스템의사용자또는그룹에감시목록을할당할수있습니다. 관리자권한이없는경우사용자본인및사용자가속한그룹에만감시목록을할당할수있습니다. 5 관심목록에값을더추가하려면다음중하나를수행합니다. 새줄로구분된값형식으로값파일을가져오려면 [ 가져오기 ] 를클릭한다음파일을선택합니다. 개별값을추가하려면 [ 값 ] 상자의각줄에한개의값을입력합니다. 최대숫자값은 1000입니다. 6 생성된이벤트에이관심목록의값이포함될경우경보를받으려면 [ 경보만들기 ] 를클릭합니다. 7 [ 확인 ] 을클릭합니다. 244 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 관심목록관심목록에규칙추가 6 관심목록에규칙추가 관심목록을만든후 [ 관심목록에추가 ] 옵션을사용하여규칙값을추가할수있습니다. 1 [ 정책편집기 ] 의 [ 규칙유형 ] 창에서규칙유형을선택합니다. 2 규칙표시창의감시목록에추가하려는규칙을선택합니다. 3 [ ] 메뉴를클릭한다음 [ 감시목록에추가 ] 를선택합니다. 4 규칙을추가하려는감시목록을선택한다음 [ 확인 ] 을클릭합니다. IOC 위협관심목록만들기 인터넷에서위협또는 IOC( 손상표시기 ) 피드를꺼낼수있는관심목록을만듭니다. HTTP 요청을통해데이터를미리보고정규표현식을사용하여데이터를필터링할수있습니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 관심목록 ] 을클릭한다음 [ 추가 ] 를클릭합니다. 4 [ 기본 ] 탭을완료하고 [ 동적 ] 을선택합니다. 5 [ 소스 ] 탭을클릭하고 [ 유형 ] 필드에서 [HTTP/HTTPS] 를선택합니다. 6 [ 소스 ], [ 구문분석 ] 및 [ 값 ] 탭에서요청한정보를완료합니다. Html 소스코드의처음 200 줄이 [ 구문분석 ] 탭의 [ 원시데이터 ] 필드에채워집니다. 단지웹사이트의미리보기이지만일치시킬정규표현식을충분히쓸수있습니다. 관심목록의예약된업데이트또는 [ 지금실행 ] 은정규표현식검색과일치하는모든항목을포함합니다. 이기능은 RE2 구문정규표현식 ( 예 : IP 주소와일치하는 (\d{1,3}\.\d{1,3}\. \d{1,3}\.\d{1,3}) 을지원합니다. Hadoop HBase 관심목록추가 Hadoop HBase를사용하여관심목록을소스로추가합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 관심목록 ] 을클릭한다음 [ 추가 ] 를클릭합니다. 4 [ 기본 ] 탭에서 [ 동적 ] 을선택하고요청된정보를입력합니다. 5 [ 소스 ] 탭의 [ 유형 ] 필드에서 [Hadoop HBase(REST)] 를선택합니다. 그런다음호스트이름, 포트및테이블이름을입력합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 245
6 McAfee ESM 관심목록 McAfee Active Response 관심목록만들기 6 [ 쿼리 ] 탭에서조회열및쿼리정보를입력합니다. a [ 조회열 ] 의형식을패밀리열 : 이름열로지정합니다. b 쿼리를스캐너필터로채웁니다. 여기서값은 Base64 로인코딩되어있습니다. 예 : <Scanner batch="1024"> <filter> { "type": "SingleColumnValueFilter", "op": "EQUAL", "family": " ZW1wbG95ZWVJbmZv", "qualifier": "dxnlcm5hbwu=", "latestversion": true, "comparator": { "type": "BinaryComparator", "value": "c2nhcgvnb2f0" } } </filter> </Scanner> 7 [ 값 ] 탭을클릭하고값유형을선택한다음 [ 지금실행 ] 단추를클릭합니다. McAfee Active Response 관심목록만들기 McAfee Active Response 검색결과로채워진동적관심목록을설정합니다. 시작하기전에 McAfee Active Response가있는 McAfee epo 장치를 McAfee ESM에추가합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 관심목록 ] 을클릭한다음 [ 추가 ] 를클릭합니다. 4 [ 기본 ] 탭을완료하고 [ 동적 ] 을선택합니다. 5 [ 소스 ] 탭의 [ 유형 ] 필드에서 McAfee Active Response 를선택한다음요청된정보를입력합니다. 6 나머지탭의정보를완료한다음 [ 마침 ] 을클릭합니다. 관심목록이추가되고 McAfee Active Response 검색에서지정된데이터를수집합니다. McAfee ESM 이 DXL 을통해 McAfee Active Response 수집기를꺼내지못하면 McAfee Active Response 유형이나열되지않습니다. 246 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 관심목록관심목록, 보고서및보기공유 6 관심목록, 보고서및보기공유 보기, 관심목록또는보고서를보거나변경하기위해사용자및그룹에권한을할당합니다. 1 관심목록, 보고서또는보기에대한 [ 권한 ] 페이지를엽니다. 시스템속성페이지에서 [ 관심목록 ] 을클릭하고관심목록을선택한다음 [ 공유 ] 를클릭합니다. 시스템속성페이지에서 [ 보고서 ] 를클릭하고보고서를선택한다음 [ 공유 ] 를클릭합니다. 콘솔에서 [ 보기관리 ] 를클릭하고보기를선택한다음 [ 공유 ] 를클릭합니다. 2 설정의상속여부를선택합니다. 3 설정이상속되지않는경우선택한항목을보거나변경할수있는그룹또는사용자를선택합니다. [ 수정 ] 을선택하면 [ 읽기 ] 가자동으로선택됩니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 247
6 McAfee ESM 관심목록관심목록, 보고서및보기공유 248 McAfee Enterprise Security Manager 10.3.x 제품안내서
7 McAfee 7 ESM 이벤트 목차 McAfee ESM 이벤트작동방법 contains 및 regex 필터설명사용자지정유형 McAfee Active Response 검색 McAfee ESM 이벤트작동방법 McAfee Event Receiver 는이벤트및플로데이터를수집하여여러공급업체에서관리할수있는단일보기로정규화할수있습니다. 수집된데이터유형은다음과같습니다. 이벤트 - 시스템규칙의결과로장치가기록한활동입니다. 플로 - IP 주소간의연결레코드로, 적어도하나는 HOME_NET 에있습니다. 로그 - McAfee ESM 장치에서발생하는내부을기록합니다. 네트워크에서수집되는로그와달리, McAfee ESM 로그는 McAfee ESM 장치에서발생한상황 ( 예 : 로그온시도 ) 을기록하고 McAfee ESM 장치의상태를모니터링하는데도움을줍니다. 시스템로그및장치로그 ( 각장치 [ 속성 ] 페이지에서액세스할수있음 ) 에는다른기본필터가적용된동일한데이터가포함되어있습니다. 이벤트및플로에는소스및대상 IP 주소, 포트, MAC(Media Access Control) 주소, 프로토콜및첫번째시간과마지막시간이있습니다. 하지만이벤트와플로사이에는여러가지차이가있습니다. 플로는비정상적또는악의적인트래픽을나타내지않으므로플로는이벤트보다더일반적입니다. 이벤트는규칙시그니처 (SigID) 와연결되고플로는그렇지않습니다. 플로는경보, 삭제및거부와같은이벤트액션과연결되어있지않습니다. 플로에는소스및대상바이트, 소스및대상패킷과같은고유한데이터가있습니다. 소스바이트및패킷은플로의소스에서전송된패킷및바이트수를나타냅니다. 대상바이트및패킷은플로의대상에서전송된패킷및바이트수를나타냅니다. 플로에는방향이있습니다. 인바운드플로는 HOME_NET 외부에서발생합니다. 아웃바운드플로는 HOME_NET에서발생합니다. 대시보드보기를사용하여시스템에서생성된이벤트및플로를볼수있습니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 249
7 McAfee ESM 이벤트 McAfee ESM 이벤트작동방법 이벤트, 플로및로그다운로드설정 이벤트, 플로및로그를수동으로확인하거나자동으로확인하도록장치를설정합니다. 시작하기전에다음권한이있는지확인합니다. [ 정책관리자 ] 및 [ 장치관리 ] 또는 [ 정책관리자 ] 및 [ 사용자지정규칙 ] 장치유형별로옵션이다릅니다. ADM 장치및수신기에는이벤트, 플로및로그가있습니다. ACE 및 DEM 장치에는이벤트및로그가있습니다. DESM 장치에는이벤트가있습니다. ELM 및 ELS 장치에는로그가있습니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 이벤트, 플로및로그 ], [ 이벤트및로그 ] 또는 [ 로그 ] 를클릭합니다. 4 다운로드를설정한다음 [ 적용 ] 을클릭합니다. 옵션 [ 규칙자동업데이트 ] [ 자동다운로드... ] 정의 ESM 이규칙서버에서자동으로규칙을다운로드하는경우다운로드한규칙을이장치에롤아웃하려면이옵션을선택합니다. ESM 이이벤트, 플로또는로그를자동으로확인하려는경우선택합니다. [ 가져오기...] ESM 에서이벤트, 플로또는로그를지금확인하려는경우클릭합니다. 이러한의상태를보려면 " 이벤트및플로가져오기 " 를참조하십시오. [ 일일데이터꺼내기시간범위정의 ] ESM 이각장치에서데이터를꺼내오고각장치에서 ELM 으로데이터를전송하는일일시간범위를예약하도록선택합니다 (" 데이터수집시간제한 " 참조 ). 이벤트, 플로및로그수집을예약하면데이터가손실될수있으므로이기능을구성할때주의해야합니다. [ 취약성생성이벤트 ] [ 마지막이벤트 ] 또는 [ 플로다운로드프로세스 ] [ 마지막으로다운로드한이벤트 ], [ 문자열 ] 또는 [ 플로레코드 ] 취약성평가소스데이터와일치하는이벤트가시스템에추가되도록하고 (" 취약성평가 " 참조 ), 취약성이벤트가되고, 로컬 ESM 에서경보를생성하려면선택합니다. [ 정책편집기 ] 의정책속성은이러한각이벤트에대해동일하며변경될수없습니다 ( 예 : 심각도는항상 100). 장치에서검색된마지막이벤트또는플로, 프로세스가성공적인지여부및검색된이벤트또는플로수를표시합니다. 검색한마지막이벤트, 문자열또는플로레코드의날짜및시간을표시합니다. 이값을변경하면이벤트, 문자열또는플로를검색하려는날짜및시간을설정할수있습니다. 예를들어 [ 마지막으로다운로드한이벤트레코드 ] 필드에 2016 년 11 월 13 일, 오전 10:30:00 을입력한경우 [ 적용 ] 을클릭한다음 [ 이벤트가져오기 ] 를클릭하면 ESM 에서해당시간부터날짜까지이장치의모든이벤트를검색합니다. [ 비활성설정 ] ESM 에서관리하는각장치의비활성임계값설정을보고변경합니다 (" 비활성임계값설정정의 " 참조 ). [ 지리적위치 ] ESM 을설정하여각장치의지리적위치및 ASN 데이터를로그합니다 (" 지리적위치및 ASN 설정정의 " 참조 ). 250 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 이벤트 McAfee ESM 이벤트작동방법 7 데이터의수집시간제한 McAfee ESM 이각장치에서데이터를꺼내고각장치에서 ELM 으로데이터를전송하는시간을제한할일일시간범위를예약할수있습니다. 이기능을사용하면사용량이많은시간에네트워크사용을피하여다른응용프로그램이대역폭을사용할수있습니다. 이렇게하면 McAfee ESM 및 ELM 에데이터전달이지연되므로이지연이환경에허용가능한지확인합니다. 이벤트, 플로및로그수집을예약하면데이터가손실될수있으므로이기능을구성할때주의해야합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 다음중하나를선택합니다. [ 이벤트, 플로및로그 ] [ 이벤트및로그 ] [ 로그 ] 4 [ 일일데이터꺼내기시간범위정의 ] 를선택한다음시간범위에대해시작시간및끝시간을설정합니다. 정의한시간범위동안 McAfee ESM 이장치에서데이터를수집하고로깅을위해장치가데이터를 ELM 에보냅니다. ELM 에이를설정하면 McAfee ESM 이 ELM 에서데이터를수집하는시간및로깅을위해 McAfee ESM 이 ELM 에데이터를보내는시간을정의합니다. 비활성임계값설정정의 장치의비활성임계값을설정하면지정된시간에이벤트또는플로가생성되지않는경우알려줍니다. 임계값에도달하면노란색상태플래그가시스템탐색트리의장치노드옆에표시됩니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 시스템정보 ] 를선택한다음 [ 이벤트, 플로및로그 ] 를클릭합니다. 4 [ 비활성설정 ] 을클릭합니다. 5 장치를강조표시한다음 [ 편집 ] 을클릭합니다. 6 각장치에대해, 장치가지정한시간동안이벤트또는플로를받지않은경우비활성임계값이통보되도록설정합니다. 이벤트및플로가져오기 1 보기도구모음에서 [ 새로고침 ] 드롭다운메뉴를연다음 [ 이벤트및플로가져오기 ] 를선택합니다. 2 상단표에서검색할이벤트및플로를선택한다음 [ 시작 ] 을클릭합니다. 검색상태는 [ 상태 ] 열에반영됩니다. 상단표에서선택한장치에대한상세정보가하단표에표시됩니다. 3 다운로드가완료되면이이벤트및플로를표시할보기를선택한다음보기도구모음에서 [ 새로고침 ] 을클릭합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 251
7 McAfee ESM 이벤트 McAfee ESM 이벤트작동방법 이벤트, 플로및로그확인 이벤트, 플로및로그를자동으로확인하도록 ESM 을설정하거나수동으로확인할수있습니다. 확인하는속도는시스템의활동수준및상태업데이트를수신하려는빈도에따라달라집니다. 또한각정보유형을확인하는장치를지정하고 ESM 에서관리하는장치의비활성임계값설정을지정할수있습니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 이벤트, 플로및로그 ] 를클릭합니다. 4 선택하고이벤트, 플로및로그검색을변경합니다. 5 [ 확인 ] 을클릭합니다. 옵션 [ 자동체크간격 ] 정의 시스템이이벤트, 플로및로그를자동으로확인하려는경우선택합니다. 옵션을수행하려는빈도를설정합니다. [ 지금체크 ] 지금이벤트, 플로및로그를확인합니다. [ 장치표시 ] 각장치의이벤트, 플로및로그에대한자동다운로드설정을선택합니다. [ 비활성설정 ] 장치가일정기간동안이벤트또는플로를생성하지않은경우통보를받으려면이옵션을선택하고장치를강조표시한다음 [ 편집 ] 을클릭합니다. 위치및 ASN 설정정의 McAfee ESM 은소스및대상의지리적위치데이터와 ASN 데이터를수집하여위협의물리적위치를식별합니다. 지리적위치는인터넷에연결된컴퓨터의지리적위치를제공합니다. ASN(Autonomous System Number) 은자율적인시스템에할당되어인터넷에서각네트워크를고유하게식별하는번호입니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 이벤트, 플로및로그 ] 또는 [ 이벤트및로그 ] 를클릭한다음 [ 지리적위치 ] 를클릭합니다. 4 지리적위치또는 ASN 데이터를저장하려면선택합니다. 이벤트또는플로집계 이벤트또는플로는잠재적으로수천번생성될수있습니다. 수천개의동일한이벤트를살펴보는대신, 발생한횟수를나타내는수와함께이들을단일이벤트또는플로로볼수있습니다. 집합을사용하면장치와 ESM 의디스크공간을모두사용하여각패킷을저장할필요가없어지기때문에보다효율적입니다. 이기능은 [ 정책편집기 ] 에서집합이활성화된규칙에만적용됩니다. 소스 IP 및대상 IP 주소 값또는집계된값이 설정되지않은 소스 IP 주소및대상 IP 주소는모든결과집합에서 "0.0.0.0" 대신 "::" 으로나타납니다. 예 : 252 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 이벤트 McAfee ESM 이벤트작동방법 7 ::ffff:10.0.12.7 은 0:0:0:0:0:FFFF:A00:C07 로삽입됩니다 (A00:C07 은 10.0.12.7 임 ). ::0000:10.0.12.7 은 10.0.12.7 이됩니다. 집계이벤트및플로 집계이벤트및플로는처음, 마지막및총필드를사용하여집계의양및시간을나타냅니다. 예를들어동일한이벤트가정오이후처음 10 분동안 30 번발생하면 [ 처음 ] 은 12:00( 이벤트의첫번째인스턴스시간 ) [ 마지막 ] 은 12:10( 이벤트의마지막인스턴스시간 ) [ 합계 ] 는 30 이됩니다. 장치에대한기본이벤트또는플로집계설정을전체적으로변경할수있습니다. 이벤트의경우개별규칙의장치설정에대한예외를추가할수있습니다. 집계에서이벤트, 플로및로그검색설정에따라레코드를검색합니다. 자동검색에대해설정된경우 ESM 에서처음으로레코드를꺼낼때까지만장치가레코드를압축합니다. 수동검색에대해설정된경우최대 24 시간또는새레코드를수동으로꺼낼때까지중빠른시간까지레코드가압축됩니다. 압축시간이 24 시간제한에도달하면새레코드를꺼내고해당새레코드에서압축이시작됩니다. 이벤트또는플로집합설정변경 이벤트및플로집계는기본적으로활성화되어있으며 [ 중간고위험 ] 으로설정되어있습니다. 필요에따라설정을변경할수있습니다. 각설정의성능에대한설명은 [ 집계 ] 페이지에있습니다. 시작하기전에 이러한설정을변경하려면 [ 정책관리자 ] 및 [ 장치관리 ] 또는 [ 정책관리자 ] 및 [ 사용자지정규칙 ] 권한이있어야합니다. 이벤트집계는 ADM 장치, 수신기및수신기의플로집계에대해서만사용할수있습니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 이벤트집합 ] 또는 [ 플로집합 ] 을클릭합니다. 4 설정을정의한다음 [ 확인 ] 을클릭합니다. 이벤트집합설정에예외를추가합니다. 집합설정이장치에서생성된모든이벤트에적용됩니다. 일반설정이해당규칙에서생성되는이벤트에적용되지않는경우개별규칙에대한예외를만들수있습니다. 1 보기창에서예외를추가하려는규칙에서생성된이벤트를선택합니다. 2 [ 메뉴 ] 아이콘을클릭한다음 [ 집합설정수정 ] 을선택합니다. 3 [ 필드 2] 및 [ 필드 3] 드롭다운목록에서집계할필드유형을선택합니다. [ 필드 2] 및 [ 필드 3] 에서선택하는필드는유형이달라야하며그렇지않은경우오류가발생합니다. 이러한필드유형을선택하는경우각집합수준에대한설명이선택사항을반영하도록변경됩니다. 각수준에대한시간제한은장치에대해정의하는이벤트집합설정에따라다릅니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 253
7 McAfee ESM 이벤트 McAfee ESM 이벤트작동방법 4 [ 확인 ] 을클릭하여설정을저장한다음 [ 예 ] 를클릭하여계속진행합니다. 5 변경사항을롤아웃하지않으려는경우장치를선택취소합니다. 6 변경사항을선택한장치로롤아웃하려면 [ 확인 ] 을클릭합니다. 변경사항이롤아웃되면 [ 상태 ] 열에업데이트상태가표시됩니다. 이벤트집계예외보기 시스템에추가된이벤트집합예외목록을볼수있습니다. 또한예외를편집하거나제거할수도있습니다. 1 대시보드에서 을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 이벤트집합 ] 을클릭한다음화면맨아래에서 [ 보기 ] 를클릭합니다. 4 필요한사항을변경한다음 [ 닫기 ] 를클릭합니다. 이벤트전달구성 이벤트전달을사용하여 Syslog 또는 SNMP 를통해 ( 활성화된경우 ) McAfee ESM 의이벤트를다른장치또는기능으로보낼수있습니다. 대상을정의하고패킷을포함시키고 IP 주소데이터를조작합니다. 이벤트데이터를전달하기전에필터링할수있습니다. 사용중인이벤트전달대상수는 McAfee ESM 에서검색하는이벤트의비율및수와함께전체 McAfee ESM 성능에영향을미칠수있습니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 이벤트전달 ] 을클릭합니다. 4 [ 이벤트전달대상 ] 페이지에서 [ 추가 ], [ 편집 ] 또는 [ 제거 ] 를선택합니다. 5 대상을추가또는편집하도록선택한경우설정을정의합니다. 6 [ 적용 ] 또는 [ 확인 ] 을클릭합니다. 255 페이지의이벤트전달대상설정이벤트전달대상을 McAfee ESM 에추가하여이벤트데이터를 syslog 또는 SNMP 서버에전달합니다. 257 페이지의이벤트전달필터설정 McAfee ESM 의 syslog 또는 SNMP 서버에전달된이벤트데이터를제한하기위해필터를설정합니다. 258 페이지의표준이벤트형식으로이벤트전달 SEF( 표준이벤트형식 ) 는일반이벤트데이터를나타내기위한 JSON(Java Script Object Notation) 기반이벤트형식입니다. SEF 형식은이벤트를 McAfee ESM 에서다른 McAfee ESM 의수신기로, ESM 에서타사제품으로전달할수있습니다. 또한데이터소스를만들때 SEF 를데이터형식으로선택하면 SEF 를사용하여타사제품에서수신기로이벤트를보낼수있습니다. 254 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 이벤트 McAfee ESM 이벤트작동방법 7 이벤트전달대상설정이벤트전달대상을 McAfee ESM에추가하여이벤트데이터를 syslog 또는 SNMP 서버에전달합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 255
7 McAfee ESM 이벤트 McAfee ESM 이벤트작동방법 3 [ 이벤트전달 ] 을클릭합니다. 4 [ 추가 ] 를클릭한다음요청한정보를입력합니다. 옵션 정의 [ 이름 ] 이대상의이름을입력합니다. [ 활성화됨 ] 이대상으로이벤트전달을활성화하려면선택합니다. [ 시스템프로파일사용 ] 기존프로파일을사용할지를선택한다음 [ 시스템프로파일사용 ] 을클릭하여새프로파일을추가합니다. [ 형식 ] 드롭다운목록에서형식을선택합니다. 자세한에이전트목록및패킷내에포함된정보는 " 이벤트전달에이전트 " 를참조하십시오. [ 대상 IP 주소 ] syslog 의대상 IP 주소를입력합니다. [ 대상포트 ] syslog 에서수신중인대상포트를선택합니다. [ 프로토콜 ] UDP 또는 TCP 전송프로토콜을선택합니다. UDP 는 syslog 의기반이되는프로토콜표준입니다. TCP 를통한 syslog 를사용하여전송된패킷은기능, 심각도및메시지를포함하여 UDP 대응과정확하게동일한형식이지정됩니다. 유일한예외는메시지끝에추가되는새줄구분문자 (ASCII 문자코드 10) 입니다. 연결없이작동하는프로토콜인 UDP 와달리 TCP 연결은 McAfee ESM 과전달된이벤트를수신하는서버사이에설정되어야합니다. 연결을설정하거나삭제할수없는경우 McAfee ESM 은마지막으로성공적으로전달된이벤트를추적합니다. 그런다음연결설정을다시시도합니다. 연결이다시설정되면 McAfee ESM 은중단된부분에서전달이벤트를선택합니다. UDP 를선택하면 [ 모드 ] 필드에서 SSH 나 TLS 를선택할수없습니다. [ 기능 ] syslog 패킷의기능을선택합니다. [ 심각도 ] syslog 패킷의심각도를선택합니다. [ 시간형식 ] syslog 이벤트전달의헤더에대한시간형식을선택합니다. [ 레거시 ] 를선택하면형식이 GMT 였던 9.3.0 이전버전과동일합니다. [ 표준 ] 을선택하면시간대를선택할수있습니다. [ 시간대 ] [ 표준 ] 을선택한경우이벤트전달로그를보낼때사용할시간대를선택합니다. [ 데이터조작 ] 이대상에전달된데이터에포함된선택한데이터를마스크하려면선택합니다. 데이터를선택하려면 [ 구성 ] 을클릭합니다. [ 패킷보내기 ] 패킷을복사하도록정책을설정한경우패킷정보를전달하려면이옵션을선택합니다. 패킷을사용할수있으면이정보가 Base 64 인코딩의 syslog 메시지끝에포함됩니다. [ 이벤트필터 ] syslog 에전달되는이벤트데이터에필터를적용하려면클릭합니다. [ 모드 ] 메시지에대한보안모드를선택합니다. SSH 를선택한경우나머지정보를입력합니다. TCP( 프로토콜 ) 를통한 syslog 를사용하도록선택한경우 SSH 또는 TLS 를사용하는 TCP 연결을설정할지를선택합니다. syslog 는암호화되지않은프로토콜이므로 SSH 또는 TLS 를사용하면이벤트전달메시지가다른당사자에의해검사되지않습니다. FIPS 모드를사용하는경우 TLS 를사용하여로그데이터를전달할수있습니다. [ 로컬릴레이포트 ] [ 원격 SSH 포트 ] [SSH 사용자이름 ] [SSH DSA 키 ] SSH 연결의 McAfee ESM 측에서사용할포트를입력합니다. SSH 서버가 SSH 연결의다른측을수신중인포트를입력합니다. SSH 연결을설정하는데사용된 SSH 사용자이름을입력합니다. SSH 인증에사용된공개 DSA 인증키를입력합니다. 이필드의콘텐츠는 SSH 서버를실행중인시스템에서 authorized_keys 파일이나그와동등한파일에추가해야합니다. 256 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 이벤트 McAfee ESM 이벤트작동방법 7 이벤트전달에이전트 다음은이벤트전달에이전트및에이전트가전달될때패킷내에포함된정보입니다. 에이전트 Syslog( 감사로그 ) Syslog( 일반이벤트형식 ) Syslog( 표준이벤트형식 ) 콘텐츠 시간 (epoch 이후의초 ), 상태플래그, 사용자이름, 로그범주이름 (8.2.0 의경우비어있음, 8.3.0+ 의경우채워짐 ), 장치그룹이름, 장치이름, 로그메시지. 현재날짜및시간, ESM IP 주소, CEF 버전 0, 공급업체 = McAfee, 제품 = /etc/mcafee Nitro/ipsmodel 의 ESM 모델, 버전 = /etc/buildstamp 의 ESM 버전, 시그니처 ID, 시그니처메시지, 심각도 (0-10), 이름 / 값쌍, devicetranslatedaddress <#>YYYY-MM-DDTHH:MM:SS.S [IP 주소 ] McAfee_SIEM: { "source": { "id": 144120685667549200, "name": "McAfee Email Gateway (ASP)", "subnet": "::ffff: 10.75.126.2/128" }, "fields": { "packet": { "encoding": "BASE64" } }, "data": { "unique_id": 1, "alert_id": 1, "thirdpartytype": 49, "sig": { "id": 5000012, "name": "Random String Custom Type" }, "norm_sig": { "id": 1343225856, "name": "Misc Application Event" }, "action": "5", "src_ip": "65.254.48.200", "dst_ip": "0.0.0.0", "src_port": 38129, "dst_port": 0, "protocol": "n/a", "src_mac": "00:00:00:00:00:00", "dst_mac": "00:00:00:00:00:00", "src_asn_geo": 1423146310554370000, "firsttime": "2014-05-09T20:43:30Z", "lasttime": "2014-05-09T20:43:30Z", "writetime": "2014-05-09T20:44:01Z", "src_guid": "", "dst_guid": "", "total_severity": 25, "severity": 25, "eventcount": 1, "flow": "0", "vlan": "0", "sequence": 0, "trusted": 2, "session_id": 0, "compression_level": 10, "reviewed": 0, "a1_ran_string_cf1": "This is data for custom field 1", "packet": "PDE0PjA5MDUyMDE0IDIwOjE4OjQ0fDIxfDY1LjI1NC40OC4yMDAtMzgxMjl8MXwxMDJ8U3 BhbSBNZXNzYWdlIHR5cGU6IFRydXN0ZWRTb3VyY2UgU2lnbmF0dXJlIENvbmZpZGVuY2 UgPSBISUdILiBDb25uZWN0aW9uOiA2NS4yNTQuNDguMjAwLTM4MTI5KElQLVBvcnQpfF RoaXMgaXMgZGF0YSBm b3igy3vzdg9tigzpzwxkidf8w10a" 이벤트전달필터설정 McAfee ESM의 syslog 또는 SNMP 서버에전달된이벤트데이터를제한하기위해필터를설정합니다. 시작하기전에장치필터를설정하려면필터의장치에대한액세스권한이있는지확인합니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 이벤트전달 ] 을클릭합니다. 4 [ 추가 ] 를클릭한다음 [ 이벤트필터 ] 를클릭합니다. 5 필터필드를입력한다음 [ 확인 ] 을클릭합니다. 옵션 [ 장치 ] 정의 필터아이콘을클릭하고필터링할장치를선택한다음 [ 확인 ] 을클릭합니다. [ 대상 IP ] 필터링기준이되는개별대상 IP 주소 (161.122.15.13) 또는 IP 주소범위 (192.168.0.0/16) 를입력합니다. [ 대상포트 ] 필터포트를입력합니다. 하나가허용됩니다. [ 프로토콜 ] 필터프로토콜을입력합니다. 하나가허용됩니다. [ 소스 IP] 필터링기준이되는개별소스 IP 주소또는 IP 주소범위를입력합니다. [ 장치유형 ] 필터아이콘을클릭하고최대 10 개의장치유형을선택한다음 [ 확인 ] 을클릭합니다. [ 정규화된 ID] 필터링할정규화된 ID 를선택합니다. [ 심각도 ] 이벤트심각도로필터링하려면 [ 크거나같음 ] 과 0 에서 100 사이의심각도숫자를선택합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 257
7 McAfee ESM 이벤트 McAfee ESM 이벤트작동방법 표준이벤트형식으로이벤트전달 SEF( 표준이벤트형식 ) 는일반이벤트데이터를나타내기위한 JSON(Java Script Object Notation) 기반이벤트형식입니다. SEF 형식은이벤트를 McAfee ESM 에서다른 McAfee ESM 의수신기로, ESM 에서타사제품으로전달할수있습니다. 또한데이터소스를만들때 SEF 를데이터형식으로선택하면 SEF 를사용하여타사제품에서수신기로이벤트를보낼수있습니다. 하나의 McAfee ESM 에서다른 ESM 으로 SEF 를사용하여이벤트전달을설정하는경우다음단계를완료합니다. 1 이벤트를전달하는 ESM 에서데이터소스, 사용자지정유형및사용자지정규칙을내보냅니다. 2 이벤트를전달하는수신기가있는 ESM 에서, 내보낸데이터소스, 사용자지정유형및사용자지정규칙을가져옵니다. 3 다른 ESM 으로부터이벤트를수신하는 ESM 에서 ESM 데이터소스를추가합니다. 4 송신 ESM 에서다음과같이이벤트전달대상을추가합니다. 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 시스템탐색트리에서 ESM을선택한다음 [ 속성 ] 아이콘을클릭합니다. [ 이벤트전달 ] 을클릭한다음 [ 추가 ] 를클릭합니다. [ 이벤트전달대상추가 ] 페이지의 [ 형식 ] 필드에서 [syslog( 표준이벤트형식 )] 를선택한다음, 전달하는 ESM 의정보로나머지필드를입력하고 [ 확인 ] 을클릭합니다. 보고서관리 보고서에서 ESM 에서관리되는이벤트및플로의데이터를표시합니다. 자체보고서를설계하거나사전정의된보고서중하나를실행하여 PDF, HTML 또는 CSV 형식으로보냅니다. 사전정의된보고서 사전정의된보고서는다음범주로나누어집니다. 컴플라이언스 McAfee Database Activity Monitoring (DAM) 총괄 McAfee DEM McAfee ADM McAfee Event Reporter 이벤트에따라데이터를생성합니다. 사용자정의된보고서 보고서를생성할때 [ 보고서레이아웃 ] 편집기에서방향, 크기, 글꼴, 여백, 헤더및푸터를선택하여레이아웃을설계합니다. 또한구성요소를포함시켜원하는대로데이터를표시하도록설정할수있습니다. 모든레이아웃이저장되고여러보고서에사용할수있습니다. 보고서를추가하면새레이아웃설계, 기존레이아웃을있는그대로사용또는기존레이아웃을템플릿으로사용, 해당기능편집옵션이제공됩니다. 또한보고서레이아웃이더이상필요하지않으면제거할수있습니다. 258 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 이벤트 McAfee ESM 이벤트작동방법 7 분기별보고서의시작월설정 분기별로보고서를실행하는경우먼저 1 분기의첫번째월을지정해야합니다. 이것을정의하고시스템테이블에저장하면보고서가해당시작일에따라분기별로실행됩니다. 1 ESM 콘솔의 [ 시스템속성 ] 을선택한다음 [ 사용자지정설정 ] 을클릭합니다. 2 [ 보기및보고를위한첫번째 ] 필드에서월을선택합니다. 3 [ 적용 ] 을클릭하여설정을저장합니다. 보고서추가 보고서를추가하고정의한간격으로정기적으로보고서를실행하거나수동으로선택할때실행합니다. 기존보고서레이아웃을선택하거나 [ 보고서레이아웃 ] 편집기를사용하여보고서레이아웃을만들수있습니다. 1 대시보드에서을클릭하고 [ 보고서 ] 를선택합니다. 2 [ 추가 ] 를클릭한다음 [ 보고서추가 ] 페이지의설정을정의합니다. 3 [ 저장 ] 을클릭합니다. 보고서가 [ 보고서 ] 페이지의표에추가되고 [ 조건 ] 필드에서정의한대로실행됩니다. 표 7-1 옵션정의 옵션 정의 [ 보고서 ] 테이블 ESM 에서현재설정된보고서를봅니다. [ 추가 ] 새보고서에대한설정을정의하고 ESM 에추가합니다. [ 편집 ] 기존보고서의설정을변경합니다. [ 제거 ] ESM 에서기존보고서를삭제합니다. [ 지금실행 ] 이제선택한보고서를실행합니다. [ 공유 ] 선택한보고서를선택한그룹또는사용자와공유합니다. [ 가져오기 ] 이전에내보낸보고서를가져옵니다. [ 내보내기 ] 보고서를내보냅니다. [ 활성화됨 ] 테이블에서선택한보고서를활성화합니다. [ 활성화 ] 또는 [ 비활성화 ] 단추 보고기능을활성화하거나비활성화합니다. 비활성화한경우목록의보고서가생성되지않습니다. [ 조건 ] 보고서에사용할수있는조건유형을관리합니다. [ 수신자 ] ESM 에서정의된수신자를관리합니다. [ 보기 ] 필요한경우보고서를실행하고취소하기위해현재대기열에있는보고서를봅니다. [ 파일 ] 생성된보고서파일을관리합니다. 표 7-2 옵션정의 옵션 정의 [ 보고서이름 ] 보고서의이름을입력합니다. [ 설명 ] 보고서에서생성하는정보에대한설명을입력합니다. [ 조건 ] 옵션목록에서이보고서를실행할시기를선택합니다. 옵션목록에조건을추가하려면 [ 조건편집 ] 을클릭합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 259
7 McAfee ESM 이벤트 McAfee ESM 이벤트작동방법 표 7-2 옵션정의 ( 계속 ) 옵션정의 [ 시간대 ] 쿼리를실행하는데사용되어야하는시간대를선택합니다. [ 날짜형식 ] 날짜에사용할형식을선택합니다. [ 형식 ] 보고서를생성할형식을선택합니다. 새보고서를디자인하고있는경우옵션은 PDF 또는 HTML입니다. 보고서에보기를포함하려면 [PDF 보기 ] 를선택합니다. 쿼리결과의 CSV 파일을생성하려면 [CSV 쿼리 ] 를선택합니다. [ 사용자또는그룹에이메일을보냄 ] [ 파일이 ESM 에저장됨 ] [ 파일이저장된원격위치 ] [ 기존레이아웃을선택하거나새레이아웃을만들어 ] 사용자또는그룹에보고서를보낼지를선택한다음 [ 수신자추가 ] 를클릭하여선택합니다. 보고서형식이 [ 보고서 HTML] 또는 [CSV 쿼리 ] 인경우보고서를이메일첨부파일로보낼지인라인으로보낼지를선택합니다. 보고서를 ESM 에파일로저장할지를선택합니다. [ 접두사 ] 에는파일이름에대한기본접두사가표시되며, 변경할수있습니다. 파일이생성된다음에는 [ 보고서 ] 페이지에서 [ 파일 ] 을클릭하여보고서를봅니다. 보고서를원격위치에저장할지를선택합니다. 드롭다운목록에서위치를선택합니다. 위치가나열되지않으면 [ 위치관리...] 를클릭한다음원격위치프로파일을추가합니다. PDF 또는 HTML 형식을선택한경우기존레이아웃을선택하거나새레이아웃을만듭니다. 레이아웃을관리할수도있습니다. [ 기존레이아웃을선택 ] 목록에서레이아웃을찾은다음클릭합니다. [ 추가 ] [ 보고서레이아웃 ] 편집기를열고새레이아웃을만들려면클릭합니다. [ 편집 ] 기존레이아웃을변경합니다. [ 폴더추가 ] 폴더를추가하여레이아웃을구성할수있습니다. 그런다음폴더에새레이아웃을추가하거나, 기존레이아웃을폴더로끌어놓거나, 하위폴더를추가할수있습니다. [ 가져오기 ] 레이아웃을가져오려면가져올파일을클릭하여이동합니다. 현재 ESM 에있는이미지가가져올레이아웃에포함되어있으면 [ 보고서레이아웃가져오기 ] 가열려이충돌에대해알리고다음선택사항을제공합니다. [ 로컬유지 ] ESM 의이미지를유지하고보고서레이아웃에서이미지를삭제합니다. ESM 의이미지가해당레이아웃에사용됩니다. [ 로컬바꾸기 ] ESM 의이미지를보고서레이아웃의이미지로바꿉니다. ESM 에서삭제하려는이미지를현재사용하고있는모든레이아웃에서이제레이아웃과함께가져온이미지를사용합니다. [ 이름바꾸기 ] 보고서레이아웃에있는이미지의이름을자동으로바꾸고새이름의이미지를사용하여레이아웃을가져옵니다. [ 내보내기 ] 레이아웃을내보내려면클릭합니다. [ 보고서에필터요약포함 ] 이보고서에대해정의된글로벌및개별구성요소필터에대한요약을포함하려면선택합니다. 사용된필터는보고서맨아래에나열됩니다. 이옵션은보고서의데이터에대해정의된제한을알려는경우유용합니다. [ 보기를선택합니다 ] [ 사전정의된쿼리를선택합니다 ] [ 필터링할값을입력합니다 ] [PDF 보기 ] 를형식으로선택한경우드롭다운목록에서보기에포함할보기를선택합니다. [CSV 쿼리 ] 를선택한경우사전정의된쿼리를선택합니다. 이보고서의모든구성요소에적용할필터를선택합니다 ("[ 쿼리필터 ] 페이지 " 참조 ). 이러한필드에서 contains 및 regex 필터를사용할수있습니다 ("contains 및 regex 필터에대한설명 " 참조 ). 260 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 이벤트 McAfee ESM 이벤트작동방법 7 보고서레이아웃추가 사전정의된레이아웃이요구사항에맞지않는경우보고서의레이아웃을설계합니다. 1 대시보드에서 을클릭하고 [ 구성 ] 을선택합니다. 2 [ 보고서 ] 를클릭합니다. 3 [ 추가 ] 를클릭하여 [ 보고서추가 ] 페이지를연다음섹션 1, 2 및 3을입력합니다. 4 섹션 4에서 [ 보고서 PDF] 또는 [ 보고서 HTML] 을선택합니다. 5 섹션 5에서 [ 추가 ] 를클릭하여 [ 보고서레이아웃 ] 편집기를엽니다. 6 레이아웃을설정하여보고서에서생성된데이터를표시합니다. 레이아웃이저장되면다른보고서에대해사용하거나편집할수있는템플릿으로사용할수있습니다. 보고서에이미지구성요소추가 보고서본문에추가할이미지를구성요소로선택합니다. 시작하기전에 이미지파일이이미 ESM에추가되었거나 ESM에서액세스할수있는위치에있는지확인합니다. 1 시스템탐색트리에서 [ 시스템속성 ] [ 보고서 ] [ 추가 ] 를선택한다음섹션 1-4 를완료합니다. 2 섹션 5 에서 [ 추가 ] 를클릭하여새보고서레이아웃을설계하거나기존레이아웃을선택하고 [ 편집 ] 을클릭합니다. 3 [ 보고서레이아웃 ] 페이지의레이아웃본문섹션에 [ 이미지 ] 아이콘을끌어놓습니다. 4 [ 이미지선택기 ] 페이지에서 [ 추가 ] 를클릭하여새이미지를업로드하고선택하거나목록에서이미지를선택합니다. 5 [ 확인 ] 을클릭하여보고서레이아웃에이미지를추가합니다. PDF 및보고서에이미지포함 내보낸 PDF 및인쇄된보고서가 [ 로그인 ] 화면에표시된이미지를포함하도록 ESM 을설정할수있습니다. 시작하기전에 [ 사용자지정설정 ] 페이지에이미지를추가합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 사용자지정설정 ] 을클릭합니다. 2 [ 보기에서내보낸 PDF 파일이나인쇄된보고서에이미지포함 ] 을선택합니다. 3 [ 확인 ] 을클릭합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 261
7 McAfee ESM 이벤트 contains 및 regex 필터설명 보고서조건추가 보고서를설정할때사용할수있도록조건을추가합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 보고서 ] 를클릭합니다. 2 [ 조건 ] 을클릭한다음요청한정보를입력합니다. 3 [ 확인 ] 을클릭하여설정을저장합니다. 보고서에호스트이름표시 보고서에서소스및대상 IP 주소에대해 DNS 확인을사용하도록보고서를구성할수있습니다. 1 시스템탐색트리에서시스템을선택한다음 [ 속성 ] 아이콘 을클릭합니다. 2 [ 보고서 ] 를클릭한다음 [ 추가 ] 를클릭하고섹션 1-4 에요청한정보를입력합니다. 3 섹션 5 에서 [ 추가 ] 를클릭한다음 [ 테이블 ], [ 막대도표 ] 또는 [ 원형도표 ] 구성요소를끌어놓고 [ 쿼리마법사 ] 를완료합니다. 4 [ 보고서레이아웃 ] 편집기의 [ 속성 ] 창 [ 쿼리 ] 섹션에서 [IP 를호스트이름으로확인 ] 을선택합니다. 보고서에나타나는것외에 [ 호스트 ] 테이블 ([ 시스템속성 ] [ 호스트 ]) 에서 DNS 조회결과를볼수있습니다. contains 및 regex 필터설명 contains 및 regex 필터는인덱스문자열데이터및인덱싱되지않은문자열데이터둘다와일드카드기능을제공합니다. 이러한필터는구문요구사항이있습니다. 텍스트또는문자열필드에서 contains 및 regex 필터를사용합니다. 필터필드이름옆에대 / 소문자구분안함아이콘 은텍스트필드를나타냅니다. contains 필터를허용하는다른필드는이아이콘이없습니다. 구문및예 contains 의구문은 contains(somevalue) 이고 regex 는 regex(someregularexpression) 입니다. 필터에서대 / 소문자를구분하지않으려면을클릭하거나 regex(/somevalue/i) 와같이 /i 정규표현식표기법을포함합니다. 검색결과대 / 소문자에관계없이 somevalue가포함된모든값을반환합니다. NOT 및 OR 아이콘이 contains 및 regex 값에적용됩니다. 검색결과에하나의값을제외한값을표시하게하려 면해당값을입력하고 하고아이콘을클릭합니다. 예 #1 단순검색 인덱싱된필드 : 인덱싱되지않은필드 : 아이콘을클릭합니다. 결과에하나의값또는또다른값을표시하게하려면해당값을입력 contains(stra), regex(stra) stra 결과 : administrator, gmestrad 또는 straub 와같이 stra 가포함된문자열을반환합니다. 예 #2 - OR 검색 262 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 이벤트 contains 및 regex 필터설명 7 인덱싱된필드 : 인덱싱되지않은필드 : admin,ngcp 결과 : contains(admin,ngcp), regex((admin NGCP)) admin 또는 NGCP 를포함하는필드내의문자열을반환합니다. 정규식 OR 가작동하려면추가괄호세트가필요합니다. 예 #3 서비스계정등에서특수문자검색 달러기호 : 인덱싱된필드 : 인덱싱되지않은필드 : $ 결과 : contains($), regex(\x24) 또는 regex(\$) 각문은 $ 를포함하는필드내의문자열을반환합니다. 해당문자의 HEX 값목록을보려면 http://www.ascii.cl 로이동하십시오. 정규식에서 $ 를이스케이프하지않고사용하면결과세트에서빈값을반환합니다. PCRE 이스케이프시퀀스가사용하는데더좋은검색방법입니다. 백분율기호 : 인덱싱된필드 : 인덱싱되지않은필드 : % contains(%), regex(\x25) 또는 regex(\%) 백슬래시 : 인덱싱된필드 : contains(\), regex(\x5c) 또는 regex(\\) 인덱싱되지않은필드 : \ 이중백슬래시 인덱싱된필드 : contains(\\), regex(\x5c\x5c) 또는 regex(\\\) 인덱싱되지않은필드 : 정규식에서 HEX 값또는슬래시를사용하지않으면 " 잘못된정규표현식 (ER5-0015)" 오류가발생할수있습니다. 예 #4 - * 와일드카드를사용하여검색인덱싱된필드 : contains (ad*) 인덱싱되지않은필드 : ad* 결과 : administrator 및 address와같이 ad로시작하는모든문자열을반환합니다. 예 #5 정규표현식을사용하여검색이러한도메인은 Microsoft DNS 이벤트에서가져온것입니다. regex(nitroguard\x28[3-4]\x29[com info}+) (3)www(10)nitroguard(3)com(0) (3)www(10)nitroguard(4)info(0) (3)www(10)nitroguard(3)gov(0) McAfee Enterprise Security Manager 10.3.x 제품안내서 263
7 McAfee ESM 이벤트 contains 및 regex 필터설명 (3)www(10)nitroguard(3)edu(0) (3)www(10)nitroguard(7)oddball(0) 결과 : 이정규표현식은특수문자열을선택합니다. 이경우 nitroguard, 3 자리또는 4 자리기본도메인및 com 또는 info 입니다. 이정규식은처음두개의표현식과일치하지만나머지는그렇지않습니다. 이들은정규식을해당기능과함께사용할수있는방법을보여주는예입니다. 경고 오버헤드가높아지고쿼리성능이느려지는것을방지하려면 4 개이상의문자값이있는 regex 를사용합니다. 이필터는상관규칙또는경보에서사용할수없습니다. 유일한예외는이름 / 값사용자지정유형과함께상관규칙에서사용할수있다는것입니다. NOT 과함께 contains 또는 regex 를사용하면오버헤드가높아지고쿼리성능이느려질수있습니다. 블룸필터설명 블룸필터에대한자세한내용은 http://en.wikipedia.org/wiki/bloom_filter 를참조하십시오. contains 및 regex를지원하는필드 Access_Resource File_Operation_Succeeded Referrer Application File_Path Registry_Key Application_Protocol File_Type Registry_Value Area Filename Request_Type Authoritative_Answer Forwarding_Status Response_Code Bcc From Return_Code Caller_Process From_Address RTMP_Application Catalog_Name FTP_Command Sensor_Name Category Host Sensor_Type Cc HTTP_Req_Cookie Sensor_UUID Client_Version HTTP_Req_Host Session_Status Command HTTP_Req_Method Signature ID Contact_Name HTTP_Req_Referer Signature_Name Contact_Nickname HTTP_Req_URL SNMP_Error_Code Cookie HTTP_User_Agent SNMP_Item Creator_Name Incomtin_ID SNMP_Item_Type Database_ID Interface SNMP_Operation Database_Name Interface_Dest SNMP_Version Datacenter_ID Job_Name Source User Datacenter_Name Job_Type Source_Context DB2_Plan_Name Language Source_Logon_ID Delivery_ID Local_User_Name Source_Network Description Logical_Unit_Name Source_UserID Destination User Logon_Type Source_Zone Destination_Directory LPAR_DB2_Subsystem SQL_Command Destination_Filename Mail_ID SQL_Statement 264 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 이벤트사용자지정유형 7 Destination_Hostname Mailbox Step_Count Destination_Logo_ID Mainframe_Job_Name Step_Name Destination_Network Malware_Insp_Action Subject Destination_UserID Malware_Insp_Result SWF_URL Destination_Zone Management_Server Table_Name Detection_Method Message_ID Target_Class Device_Action Message_Text Target_Context Direction Method Target_Process_Name Directory NTP_Client_Mode TC_URL DNS_Class NTP_Opcode Threat_Category DNS_Name NTP_Request Threat_Handled DNS_Type NTP_Server_Mode Threat_Name Domain Object To Event_Class Object_Type To_Address External_Application Operating_System URL External_DB2_Server Policy_Name URL_Category External_Hostname Privileged_User User_Agent External_SessionID Process_Name User_Nickname Facility Query_Response Version File_Operation Reason Virtual_Machine_ID Virtual_Machine_Name 다음사용자지정유형은 contains 및 regex를사용할수있습니다. 보기 문자열 임의문자열 이름 / 값 해시된문자열 케이스관리 참고 요약 기록 사용자지정유형 사용자지정유형필드를사용하여보기및보고서를필터링하고사용자지정규칙을만듭니다. 사용자지정유형을추가, 편집또는제거할뿐만아니라사용자지정유형을내보내고가져올수있습니다. 사용자지정유형내보내기또는가져오기 사용자지정유형을특정위치로내보낼수있습니다. 사용자지정유형을가져오면시스템의현재사용자지정유형이바뀌게되므로주의합니다. 사용자지정쿼리 보기에대해쿼리를설정하면사전정의된사용자지정유형을사용하여쿼리를필터링할수있습니다. 특정사용자지정유형에대해데이터가없는경우반환되는쿼리결과가없습니다. 이러한결과가발생하지않도록하려면사용자지정유형을사용하는대신필요한결과를반환하는사용자필드 ( 테이블의 [ 이벤트필드 ] 열에있는사용자지정필드 1-10) 를선택합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 265
7 McAfee ESM 이벤트사용자지정유형 예를들어쿼리결과에소스사용자데이터를포함하려면 [ 소스사용자 ] 를쿼리필드로선택합니다. 해당필드가필터역할을하며정보에소스사용자데이터가없으면쿼리에서결과를반환하지않습니다. 그러나사용자필드 7( 소스사용자에대한사용자필드 ) 을선택하면해당필드가결과테이블에열로나타나고데이터를필터링하지않습니다. 소스사용자데이터가있으면이열에나타납니다. 이필드에대한데이터가없으면사용자필드 7 열은비어있지만다른열은채워집니다. 사용자지정데이터유형 [ 데이터유형 ] 필드에서 [ 사용자지정 ] 을선택하면여러필드로그에서각필드의의미를정의할수있습니다. 예를들어로그 (100300.351) 에는세개의필드 (100, 300.35, 1) 가있습니다. 사용자지정하위유형에서는이러한필드 ( 정수, 10 진수, 부울 ) 를각각지정할수있습니다. 예 : 초기로그 100300.351 3 개의하위유형 Integer decimal boolean 사용자지정하위유형 100 300.35 1 하위유형에는최대 8 바이트 (64 비트 ) 의데이터가포함될수있습니다. [ 공간사용 ] 에는사용된바이트및비트수가표시됩니다. 데이터가최대공간을초과하면이필드는빨간색으로표시되어공간을초과했음을나타냅니다. 예를들어공간사용 : 9/8 바이트, 72/64 비트로표시됩니다. 이름 / 값사용자지정유형 [ 이름 / 값그룹 ] 데이터유형을선택하는경우지정한이름 / 값쌍그룹이포함된사용자지정유형을추가할수있습니다. 그런다음이러한이름이지정된쌍에따라보기및쿼리를필터링하고 [ 내부이벤트일치 ] 경보에서사용할수있습니다. 다음과같은특징이있습니다. 정규표현식을사용하여이름 / 값그룹필드를필터링합니다. [ 상관규칙편집기 ] 에서선택할수있도록이쌍을상호연결할수있습니다. ASP( 고급 Syslog 분석기 ) 는쌍의값부분을수집합니다. 이름 / 값사용자지정유형의최대크기는이름을포함하여 512 자입니다. 512 자를초과하는값은수집할때잘립니다. 이름의크기및개수를제한합니다. 이름은세개이상의문자로구성해야합니다. 이름 / 값사용자지정유형은이름을최대 50 개까지가질수있습니다. 이름 / 값그룹의각이름은글로벌필터에서다음과같이표시됩니다. < 그룹이름 > - < 이름 > 인덱싱되지않은사용자지정유형의정규표현식형식 인덱싱되지않은문자열및인덱싱된문자열, 임의문자열및해시된문자열사용자지정유형은다음의형식지정을따릅니다. contains(<regular expression>) 구문을사용하거나인덱싱되지않은임의문자열또는해시된문자열필드에값을입력한다음사용자지정유형을필터링합니다. regex() 구문을사용합니다. contains() 에서쉼표로구분된필터를인덱싱되지않은사용자지정유형필드에넣으면 (Tom,John,Steve), 시스템이정규표현식을수행합니다. 포함또는인덱싱되지않은임의문자열또는해시된문자열필드에서쉼표와별표및마침표와별표는막대 ( ) 역할을합니다. 별표 (*) 같은문자를입력하는경우별표가뒤에붙은마침표 (.*) 로대체됩니다. 266 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 이벤트사용자지정유형 7 정규표현식이잘못되었거나여는괄호또는닫는괄호가누락되면잘못된정규표현식오류가발생할수있습니다. 인덱싱되지않은문자열및인덱싱된문자열, 임의문자열및해시된문자열사용자지정유형필터필드에서는단일 regex() 또는 contains() 만사용할수있습니다. 시그니처 ID 필드에서 contains(< 규칙메시지일부또는모두 >) 및 regex(< 규칙메시지일부 >) 를허용합니다. contains 의공통검색필터는단일값이거나앞뒤에.* 가있는단일값이아닌값입니다. 검색필터에는다음값이포함됩니다. 단일값 정규표현식으로변환되는쉼표로구분된여러값.* 처럼작동하는 * 가포함된 contains 문 regex() 구문을사용할수있는고급정규표현식 사용자지정유형만들기 필터로사용할사용자지정유형을추가합니다. 시작하기전에 관리자권한이있거나사용자관리권한이있는액세스그룹에속해있는지확인합니다. 관리자권한이있는경우 McAfee ESM([ 시스템속성 ] [ 사용자지정유형 ]) 에서사전정의된사용자지정유형을볼수있습니다. 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 사용자지정유형 ] 을클릭합니다. 4 [ 추가 ] 를클릭합니다. 옵션 정의 [ 이름 ] 이사용자지정유형의이름을입력합니다. [ 데이터유형 ] 드롭다운목록에서데이터유형을선택합니다. [ 시간 초정밀도 ] 는시간데이터를초로저장합니다. [ 시간 나노초정밀도 ] 는시간을나노초로저장합니다. 나노초를나타내는 9 개의정밀도값이있는부동소수점숫자가포함됩니다. 이사용자지정유형을추가할때 [ 인덱스 ] 를선택하면필드가쿼리, 보기및필터에서필터로표시됩니다. 이는배포구성요소에나타나지않고데이터강화, 관심목록또는경보에서사용할수없습니다. [ 이벤트필드 ] 또는 [ 플로필드 ] [ 인덱스데이터 ] 각이벤트또는플로에대한사용자지정유형의슬롯을선택합니다. 이사용자지정유형에따라필터링하려면 [ 인덱스데이터 ] 를선택합니다. 그러면보기, 보고서및규칙에사용할수있는필터목록에사용자지정유형이추가됩니다. 사용자지정유형은배포구성요소에나타나지않고데이터강화, 관심목록또는경보에서사용할수없습니다. 이옵션을선택하지않으면이사용자지정유형은정규표현식으로만필터링할수있습니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 267
7 McAfee ESM 이벤트 McAfee Active Response 검색 옵션 정의 [ 설명 ] 이사용자지정유형의설명을입력합니다. [ 하위유형수지정 ] [ 데이터유형 ] 필드에서 [Long 사용자지정 ] 또는 [Short 사용자지정 ] 을선택할경우사용자지정하위유형을추가할수있습니다. [ 하위유형수 ] 테이블에추가하려는하위유형수를선택합니다. [ 이름 ] 열 각하위유형을클릭한다음이름을입력합니다. [ 데이터유형 ] 열 각하위유형을클릭한다음각하위유형에대한데이터유형을선택합니다. [ 부울 ] 을선택하는경우유효성검사에서이들이 8 개의하위유형그룹에표시되는지확인합니다. [ 길이 ] 열 [ 데이터유형 ] 열에서 [ 정수 ] 또는 [ 부호없는정수 ] 를선택한경우데이터길이를바이트단위로선택합니다. 정수의길이는 1, 2, 4 또는 8 이어야합니다. [ 인덱싱관리 ] [ 데이터유형 ] 필드에서 [ 누적장치값 ] 을선택한경우각누적장치필드의인덱스를활성화하려면클릭합니다. [ 이름 ] 목록 [ 이름 / 값그룹 ] 데이터유형을선택하는경우텍스트필드에값쌍이름을추가합니다. 5 [ 확인 ] 을클릭합니다. McAfee Active Response 검색 McAfee Active Response 가엔드포인트에가시성및유용한정보를계속제공하므로위반이발생하면식별할수있습니다. 이를통해보안전문가가현재보안상황을쿼리하고, 위협탐지를개선하며, 상세한분석및포렌직조사를수행할수있습니다. Active Response 가 McAfee epo 에추가한 ESM 장치에확장으로설치된경우 Active Response 에서 ESM 검색을실행할수있습니다. 검색을실행하면현재엔드포인트데이터목록이생성되어다음을수행할수있습니다. 검색결과목록보기 검색결과로채워진데이터보강소스추가 검색결과로채워진관심목록만들기 검색데이터내보내기 기존관심목록에 Active Response 검색데이터추가 검색은 DXL 을통해전송되므로 McAfee epo 속성의 [ 연결 ] 페이지에서활성화되어있어야합니다. Active Response 에서 ESM 를사용하는경우다음사항을유의해야합니다. HA( 고가용성 ) 수신기는 DXL 을지원하지않습니다. 검색날짜형식은 2018-11-05T23:10:14.263Z 이며 McAfee ESM 날짜형식으로변환되지않습니다. Active Response 데이터를관심목록에추가하는경우데이터의유효성을검사하지않습니다. 즉, 형식이일치하지않는데이터를관심목록에추가할수있습니다. McAfee Active Response 검색실행 McAfee Active Response를사용하여검색조건을충족하는현재끝점데이터를검색합니다. 시작하기전에 McAfee ESM에 McAfee Active Response가포함된 McAfee epo 장치를추가합니다. 268 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 이벤트 McAfee Active Response 검색 7 1 검색할 McAfee epo 장치를설정합니다. a ESM 콘솔에서 McAfee epo [ 속성 ] 을클릭한다음 [ 연결 ] 을클릭합니다. b [DXL 사용 ] 을선택하고 [ 에이전트웨이크업포트 ]( 기본값 8081) 를지정합니다. 2 ESM 콘솔에서 [ 표 ] 구성요소를사용하는보기 ( 예 : [ 이벤트분석 ]) 를선택합니다. 3 이벤트를클릭한다음 [ 메뉴 ] 아이콘을클릭합니다. 4 [ 액션 ] [Active Response 검색실행 ] 을선택한다음사전정의된검색유형을선택합니다. 옵션 설명 이름, MD5 또는 SHA-1 의전체파일정보소스및대상 IP 주소에대한파일상세정보 ( 예 : OS, 이름 ) 를나열합니다. 사용자상세정보검색사용자에대한상세정보를나열합니다. 원본 IP 주소및시간의프로세스정보연결된장치에대한소스 IP 주소프로세스상세정보를나열합니다. 대상 IP 주소및시간의프로세스정보연결된장치에대한대상 IP 주소프로세스상세정보를나열합니다. IP 주소용 CurrentFlow 동일한소스또는대상 IP 주소로연결된장치를나열합니다. 표에검색을위한적절한필드가없는경우검색유형이회색으로표시됩니다. McAfee Active Response 검색결과보기 McAfee Active Response 검색을실행한후생성된데이터를관리하기위해수행할수있는액션이있습니다. 1 McAfee Active Response 검색을실행합니다. 2 결과에서행을선택한다음 [ 메뉴 ] 아이콘을클릭합니다. 옵션액션정의 표 McAfee Active Response 검색결과를나열합니다. [ 메뉴 ] 아이콘 [ 다음에서새관심목록만들기 ] [ 다음에서관심목록에추가 ] 선택한열에서값의새정적관심목록을만듭니다. 여러행을선택할수있습니다. 기존관심목록에선택한열의값을추가합니다. 여러행을선택할수있습니다. 이표에서선택한데이터의유효성은검사되지않습니다. [ 내보내기 ] 데이터를.csv 파일로내보냅니다. [Active Response 검색 ] 표에서선택한행에서다른 McAfee Active Response 검색을수행합니다. 결과가있으면새데이터가현재데이터를대체합니다. McAfee Active Response 데이터강화소스추가 McAfee Active Response 검색결과로채워진데이터보강소스를 McAfee ESM에추가할수있습니다. 시작하기전에 McAfee Active Response가있는 McAfee epo 장치를 McAfee ESM에추가합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 269
7 McAfee ESM 이벤트 McAfee Active Response 검색 1 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 데이터보강 ] 을클릭한다음 [ 추가 ] 를클릭합니다. 4 [ 기본 ] 탭에서요청된정보를완료합니다. 5 [ 소스 ] 탭의 [ 유형 ] 필드에서 Active Response 를선택한다음요청된정보를입력합니다. 6 나머지탭의정보를완료한다음 [ 마침 ] 을클릭합니다. 소스가추가되고지정된데이터가 McAfee Active Response 데이터로보강됩니다. McAfee ESM 이 DXL 을통해 McAfee Active Response 수집기를꺼내지못하면 McAfee Active Response 유형이나열되지않습니다. 270 McAfee Enterprise Security Manager 10.3.x 제품안내서
8 McAfee 8 ESM 자산관리자 목차 자산관리자작동방법자산관리이전자산정의자산소스관리취약성평가소스를관리영역관리알려진위협관리자산, 위협및위험평가 자산관리자작동방법 자산관리자는자산을탐색하고, 수동으로만들고, 가져올수있는중앙위치를제공합니다. 자산은 McAfee ESM 에추가된 IP 주소를가진장치입니다. 자산관리자를사용하면네트워크의자산을관리할수있습니다. 하나이상의자산을포함하는그룹을만들수있습니다. 전체그룹에서다음을수행할수있습니다. 그룹에있는모든자산의특성을변경합니다. 이변경은영구적이아닙니다. 자산을변경된그룹에추가하는경우이전설정을자동으로상속하지않습니다. 끌어놓기을사용합니다. 그룹이름을바꿉니다. 자산그룹을통해자산태그지정에서사용할수없는방식으로자산을범주화할수있습니다. 예를들어캠퍼스의각빌딩에대한자산그룹을만들려는경우입니다. 자산은 IP 주소와태그모음으로구성됩니다. 태그는자산이실행되는운영체제및자산이담당하는서비스모음을설명합니다. 자산태그는다음두가지방법중한가지로정의됩니다. 시스템이자산을검색하는경우 사용자가자산을추가하거나편집하는경우 시스템이태그를설정하는경우태그가변경되면자산이검색될때마다업데이트됩니다. 사용자가태그를설정하는경우태그가변경되어도자산이검색될때시스템에서태그를업데이트하지않습니다. 자산의태그를추가하거나편집하지만자산이검색될때시스템에서업데이트되도록하려면 [ 재설정 ] 을클릭합니다. 태그설정을변경할때마다이액션을완료해야합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 271
8 McAfee ESM 자산관리자자산관리 구성관리는 PCI, HIPPA 및 SOX 와같은표준컴플라이언스규정의일부입니다. 라우터및스위치의구성에수행한변경사항을모니터링할수있으므로시스템취약성을방지할수있습니다. ESM 에서구성관리기능을사용하여다음을수행할수있습니다. 장치가폴링되어야하는빈도를설정합니다. 구성을확인할탐색장치를선택합니다. 장치의기본값으로검색된구성파일을식별합니다. 구성데이터를보고, 데이터를파일에다운로드하고, 두장치의구성정보를비교합니다. 자산관리 자산은 IP 주소를가진네트워크의장치입니다. 자산만들기, 태그변경, 자산그룹만들기, 자산소스추가또는자산그룹에자산할당을수행할수있습니다. 또한취약성평가공급업체에서알게된자산을조작할수있습니다. 시작하기전에 관리자권한이있거나장치관리권한이있는액세스그룹에속해있는지확인합니다. 1 대시보드에서을클릭하고 [ 자산관리자 ] 를선택합니다. 2 [ 자산 ] 탭을선택합니다. 자산목록이표시됩니다. 3 목록을정렬하려면열제목을클릭합니다. 4 자산상세정보를보려면자산을선택한다음자산아이콘을클릭합니다. 5 자산을그룹에할당하려면자산을자산창에서자산그룹으로끌어서놓습니다. 6 자산을구성합니다. 표 8-1 주메뉴옵션 옵션 정의 [ 새 ] [ 그룹 ] 자산그룹을추가합니다. 그룹의이름을입력하고중요도를선택합니다. [ 새 ] [ 자산 ] 자산을추가합니다. [ 새 ] [ 자산필터그룹 ] 자산필터그룹을추가합니다. 이옵션은이항목이자산트리에처음으로추가되는항목이거나기존그룹을강조표시하는경우에만액세스할수있습니다. [ 파일 ] [ 파일에서가져오기 ] [ 파일 ] [ 파일로내보내기 ] 자산목록에서선택한위치에.csv 파일을가져옵니다. 다음과같이.csv 파일에자산데이터의형식이지정됩니다. Hostname, IPAddress, Mask, ZoneName, UsrSeverity, UseCalcSeverity, TagCount, TagGroupName:TagName 현재보유한 (TagCount) 태그마다한개의 TagGroupName:TagName 을추가합니다. 각자산은고유한줄에있어야합니다. 선택한자산파일을내보냅니다. [ 편집 ] [ 수정 ] 선택한자산또는자산그룹을변경합니다. 272 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 자산관리자자산관리 8 표 8-1 주메뉴옵션 ( 계속 ) 옵션 [ 편집 ] [ 위험계산에서사용 ] 또는 [ 위험계산에서무시 ] 정의 엔터프라이즈의전반적인위험을계산할때자산을사용할지여부를설정합니다. [ 위험계산에서사용 ] 이기본설정입니다. [ 편집 ] [ 삭제 ] 선택한그룹또는자산을삭제합니다. 그룹을선택한경우그룹과해당자산을삭제할것인지또는그룹만삭제할것인지묻습니다. 그룹만선택하는경우자산은 [ 미할당 ] 폴더에재할당됩니다. [ 도구 ] [DEM 데이터베이스서버만들기 ] [ 도구 ] [ 수신기데이터소스만들기 ] 자산을데이터베이스서버로시스템의 DEM 장치에추가합니다. 자산을시스템의수신기에데이터소스로추가합니다. [ 태그지정 ] 해당속성을정의하고필터로작동하게하려면태그를선택한자산에추가합니다. 표 8-2 새자산만들기 옵션 정의 [ IP 주소 ] 이자산의 IP 주소입니다. [MAC 주소 ] ( 선택사항 ) 이자산의 MAC 주소를입력합니다. [GUID] ( 선택사항 ) 이자산의글로벌고유식별자입니다. [ 운영체제 ] ( 선택사항 ) 이자산의운영체제입니다. [ 영역 ] 이자산이있는영역입니다. 영역이자산또는자산그룹에할당된경우해당영역에대한권한이없는사용자는해당자산에액세스할수없습니다. [ 중요도 ] 이자산이엔터프라이즈에중요한정도입니다 (1 = 가장낮은중요도, 100 = 가장높은중요도 ). 중요도및위협의심각도는엔터프라이즈에대한전체이벤트심각도를계산하는데사용됩니다. 태그테이블이자산의태그입니다. [ 새범주태그 ] [ 새태그 ] [ 태그편집 ] [ 태그제거 ] 표 8-3 새자산고급설정 새범주를태그목록에추가합니다. 범주의이름을입력하고이벤트심각도계산에서이범주를사용하려는경우선택합니다. 새태그를추가합니다. 태그의이름을입력하고이벤트심각도계산에서이태그를사용하려는경우선택합니다. 편집할수있도록선택한태그를엽니다. 선택한태그를삭제합니다. 옵션 [ 이자산의중요도사용 ] [ 전체계산된중요도사용 ] 정의 이벤트심각도를계산할때할당한자산중요도를항상사용합니다. 이벤트심각도를계산할때가장큰중요도값을항상사용합니다. 이옵션을선택하고 [ 중요도 ] 필드의비율을변경한경우 [ 계산 ] 및 [ 그룹 ] 버튼이활성화됩니다. [ 계산 ] [ 계산 ] 필드에추가된전체심각도를계산합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 273
8 McAfee ESM 자산관리자이전자산정의 표 8-3 새자산고급설정 ( 계속 ) 옵션 정의 [ 그룹 ] 이자산이속한그룹목록및각그룹의중요도를봅니다. [ 재설정 ] 이자산에대해시스템에서자동으로태그가설정되게합니다. 표 8-4 새자산필터그룹만들기 옵션 정의 [ 이름 ] 필터자산그룹의이름입니다. [IP 주소 / 마스크 ] 이그룹의 IP 주소또는주소 / 마스크입니다. [ 영역 ] 이그룹을영역에할당합니다. 필요한영역이나열되지않는경우 [ 영역 ] 을클릭하고추가합니다. [ 중요도 ] 이그룹의중요도수준입니다. 이설정으로자산이에중요한정도를나타냅니다. 태그목록 [ 새범주태그 ] [ 새태그 ] [ 태그편집 ] [ 태그제거 ] 이그룹에필터로적용되는태그입니다. 하나이상의자산태그존재를기반으로필터그룹을정의할수있습니다. 설정되지않은태그는자산이가져야하는배타적태그세트를정의하지않습니다. 자산은다른태그를가지면서여전히필터그룹의구성원일수있습니다. 범주를태그목록에추가합니다. 범주의이름을입력하고이벤트심각도계산에서이범주를사용하려는경우선택합니다. 태그를추가합니다. 태그의이름을입력하고이벤트심각도계산에서이태그를사용하려는경우선택합니다. 선택한태그를편집할수있습니다. 선택한태그를삭제합니다. 이전자산정의 [ 자산관리자 ] 의 [ 이전자산 ] 그룹에서지정시간에탐지되지않은자산을저장할수있습니다. 1 [ 자산관리자 ] 빠른실행아이콘을클릭합니다. 2 [ 자산 ] 탭의자산목록에서 [ 이전자산 ] 그룹을두번클릭합니다. 3 자산을 [ 이전자산 ] 폴더로옮겨야되기전에자산이마지막으로탐지된이후의기간 ( 일 ) 을선택한다음 [ 확인 ] 을선택합니다. 자산소스관리 [Active Directory]( 있는경우 ) 에서데이터를검색하거나 [ 자산소스 ] 를사용하여 Altiris 서버에서데이터를검색합니다. Active Directory 를통해 [ 소스사용자 ] 또는 [ 대상사용자 ] 보기쿼리필터필드에서검색된사용자또는그룹을선택하여이벤트데이터를필터링할수있습니다. 그러면 PCI 와같은요구사항에대한컴플라이언스데이터를제공하는능력이향상됩니다. Altiris 및 Active Directory 는 IP 주소로컴퓨터등의자산을검색하고자산테이블에추가합니다. Active Directory 는일반적으로 IP 주소정보를저장하지않습니다. Active Directory 에서이름을가져오면시스템이주소에대해쿼리하기위해 DNS 를사용합니다. 컴퓨터의주소를찾을수없는경우 [ 자산 ] 테이블에추가되지않습니다. 이러한이유로시스템의 DNS 서버가 Active Directory 컴퓨터의 DNS 정보를포함해야합니다. IP 주소를 Active 274 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 자산관리자취약성평가소스를관리 8 Directory 에추가할수있습니다. 그렇게하는경우시스템이 DNS 를쿼리하지않고해당 IP 주소를사용하도록컴퓨터개체에서 networkaddress 특성을변경합니다. 시작하기전에 Altiris 에서자산을검색하려면 Altiris 관리콘솔에 [ 자산관리자 ] 권한이있어야합니다. 1 [ 자산관리자 ] 빠른실행아이콘을클릭한다음 [ 자산소스 ] 탭을클릭합니다. [ 자산소스 ] 트리에시스템에있는 ESM 및수신기와해당하는현재자산소스가표시됩니다. ESM 은자산소스를한개가질수있으며수신기는여러개의자산소스를가질수있습니다. 2 장치를선택한다음사용가능한액션중하나를선택합니다. 옵션 정의 [ 활성화됨 ] 자동검색을활성화하려면선택합니다. 선택하지않는경우여전히 [ 자산소스 ] 페이지에서 [ 검색 ] 을클릭하여수동으로데이터를검색할수있습니다. 선택한경우 [ 데이터검색 ] 필드에서지정된간격으로데이터가검색됩니다. [ 유형 ] Active Directory 또는 Altiris 자산소스인경우선택합니다. [ 이름 ] 자산소스의이름을입력합니다. [ 영역 ] 데이터소스를할당하려면영역을선택합니다. [ 우선순위 ] [ 취약성평가 ] 또는 [ 네트워크탐색 ] 과동시에자산을발견하는경우이자산소스가가질우선순위를선택합니다. [IP 주소 ] 이자산소스의 IP 주소를입력합니다. [ 포트 ] 이자산소스의포트를선택합니다. [TLS 사용 ] 또는 [SSL 사용 ] 데이터의암호화프로토콜을사용하려면선택합니다. Active Directory 는 TLS 를사용합니다. Altiris 는 SSL 을사용합니다. [ 사용자이름 ] 자산소스에액세스하는데필요한사용자이름을입력합니다. [ 암호 ] 자산소스에액세스하는데필요한암호를입력합니다. [ 검색기반 ] Active Directory 의경우자산검색을시작하려는개체의고유이름을입력합니다 (dc=mcafee,dc=com). [ 프록시정보 ] Altiris 의경우 IP 주소, 수신하는포트, 프록시사용자이름, 프록시서버의암호를입력합니다. [ 데이터검색 ] 자동으로데이터를검색하려면빈도를선택합니다. [ 연결 ] Altiris 서버에대한연결을테스트하려면클릭합니다. 취약성평가소스를관리 취약성평가소스를사용하면 VA 공급업체와통신하여데이터를검색할수있습니다. 1 대시보드에서을클릭하고 [ 자산관리자 ] 를선택합니다. 2 [ 취약성평가 ] 탭을선택합니다. 3 VA 소스를추가, 편집, 제거또는검색하고장치에씁니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 275
8 McAfee ESM 자산관리자취약성평가소스를관리 옵션 정의 [ 클라이언트 ID] Frontline 클라이언트 ID 번호를입력합니다. 이필드는 Digital Defense Frontline 에필요합니다. [ 회사이름 ] FusionVM 의경우검색해야하는회사의이름입니다. 이필드를비워두면사용자가속한모든회사가검색됩니다. 둘이상의회사를입력하는경우쉼표로이름을구분합니다. [ 데이터검색 ] (Qualys QualysGuard) VA 데이터를검색하는방법을선택합니다. [HTTP/HTTPS] 가기본값입니다. 다른옵션은 [SCP], [FTP], [NFS], [CIFS] 및 [ 수동업로드 ] 입니다. Qualys QualysGuard 로그파일을수동으로업로드할때파일크기는 2GB 로제한됩니다. [ 도메인 ] Windows 제품의도메인을입력합니다 ( 선택사항, 도메인컨트롤러나서버가도메인내에없는경우 ). [ 내보낸검색파일디렉터리 ] [ 내보낸검색파일형식 ] 내보낸검색파일이있는디렉터리입니다. 내보낸검색파일형식 (XML, NBE) 입니다. [ 설치디렉터리 ] 서버에서 Saint 가설치된위치입니다. Saint 어플라이언스스캐너의설치디렉터리는 /usr/ local/sm/ 입니다. [IP 주소 ] eeye REM: 트랩정보를보내고있는 eeye 서버의 IP 주소입니다. eeye Retina: 내보낸검색파일 (.rtd) 을보관하고있는클라이언트의 IP 주소입니다. McAfee Vulnerability Manager: 설치될서버의 IP 주소입니다. Nessus, OpenVAS, LanGuard 및 Rapid7 Metasploit Pro: 내보낸검색파일을보관하고있는클라이언트의 IP 주소입니다. NGS: Squirrel 보고서를저장하고있는시스템의 IP 주소입니다. Rapid7, Lumension, ncircle 및 Saint: 각서버의 IP 주소입니다. [ 마운트디렉터리 ] [ 방법 ] 필드에서 [nfs] 를선택하는경우 [ 마운트디렉터리 ] 필드가추가됩니다. [nfs] 를구성한경우마운트디렉터리집합을입력합니다. [ 방법 ] 내보낸검색파일을검색하는데사용할방법 ([SCP], [FTP], [NFS] 또는 [CIFS] 마운트 ) 입니다. LanGuard 는항상 [CIFS] 를사용합니다. [ 암호 ] McAfee Vulnerability Manager: SQL Server 에 Windows 인증모드를사용하고있는경우 Windows 제품의암호입니다. 그렇지않을경우 SQL Server 의암호입니다. Nessus, OpenVAS, LanGuard 및 Rapid7 Metasploit Pro: SCP 또는 FTP 의암호입니다. NGS: SCP 및 FTP 방법의암호입니다. Qualys 및 FusionVM: Qualys Front Office 또는 Fusion VM 사용자이름의암호입니다. Rapid7 Nexpose, Lumension, ncircle 및 Saint: 웹서버에연결할때사용할암호입니다. Digital Defense Frontline: 웹인터페이스암호입니다. [ 포트 ] Rapid7 Nexpose, Lumension, ncircle, McAfee Vulnerability Manager 또는 Saint 웹서버가수신중인포트입니다. 기본값은 Rapid7 Nexpose 의경우 3780, Lumension 의경우 205, ncircle 의경우 443, McAfee Vulnerability Manager 의경우 1433, Saint 의경우 22 입니다. [ 프로젝트 / 영역이름 ] 특정프로젝트또는영역의이름이며, 모든프로젝트또는영역을가져오려면비워둡니다. [ 프록시 IP 주소 ] HTTP 프록시의 IP 주소입니다. [ 프록시암호 ] 프록시사용자이름에대한암호입니다. [ 프록시포트 ] HTTP 프록시가수신중인포트입니다. [ 프록시사용자이름 ] 프록시의사용자이름입니다. 276 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 자산관리자취약성평가소스를관리 8 옵션 [Qualys 또는 FusionVM 서버 URL ] [ 원격경로및공유이름 ] [ 수신기 ] 또는 [DEM 데이터검색예약 ] 정의 쿼리할 Qualys 또는 FusionVM 서버의 URL 입니다. CIFS 방법 Nessus, OpenVAS, eeye Retina, Metasploit Pro, LanGuard 및 NGS 입니다. 경로이름에백슬래시나슬래시를사용할수있습니다 ( 예 : Program Files\CIFS\va 또는 / Program Files/CIFS/va). 수신기또는 DEM 에서 VA 데이터를검색할빈도를나타냅니다. [ 매일 ] 매일데이터를검색할시간입니다. [ 매주 ] 데이터를검색할요일과그날의시간입니다. [ 매월 ] 데이터를검색할날짜와그날의시간입니다. 미리설정된시간에데이터를검색하지않으려면 [ 비활성화됨 ] 을선택합니다. eeye REM 에서는소스에서데이터를검색할수없으므로수신기또는 DEM 에서데이터를검색해야합니다. [VA 데이터검색예약 ] VA 소스에서 VA 데이터를검색할빈도를나타냅니다. [ 세션 ] Saint: 데이터를수집하는세션입니다. 모든세션을포함하려면 [ 모두 ] 를입력합니다. [SNMP 인증암호 ] [SNMP 인증프로토콜 ] [SNMP 보안수준 ] 필드에서 [authnopriv] 또는 [authpriv] 를선택하는경우이필드가활성화됩니다. [SNMP 인증프로토콜 ] 필드에서선택한인증프로토콜의암호를입력합니다. [SNMP 보안수준 ] 필드에서 [authnopriv] 또는 [authpriv] 를선택하는경우이필드가활성화됩니다. 이소스의프로토콜유형 [MD5] 또는 [SHA1](SHA1 및 SHA 는동일한프로토콜유형을나타냄 ) 을선택합니다. REM Events Server 구성이선택과일치하는지확인하십시오. [SNMP 커뮤니티 ] REM Events Server 를구성할때설정된 SNMP 커뮤니티입니다. [SNMP 개인정보암호 ] [SNMP 개인정보보호프로토콜 ] [SNMP 보안수준 ] 필드에서 [authpriv] 를선택하는경우이필드가활성화됩니다. DES 또는 AES 개인정보보호프로토콜의암호를입력합니다. FIPS 모드에서는 [AES] 옵션만사용할수있습니다. [SNMP 보안수준 ] 필드에서 [authpriv] 를선택하는경우이필드가활성화되며 DES 또는 AES 를선택할수있습니다. FIPS 모드에서는 [AES] 옵션만사용할수있습니다. [SNMP 보안수준 ] 이소스에대해설정하려는보안수준입니다. [SNMP 사용자이름 ] [noauthnopriv] 인증프로토콜및개인정보보호프로토콜이없음 [authnopriv] 인증프로토콜은있지만개인정보보호프로토콜은없음 [authpriv] 인증프로토콜및개인정보보호프로토콜둘다있음. SNMP 인증및개인정보필드는선택한보안수준에따라활성화됩니다. REM Events Server 구성이선택과일치하는지확인하십시오. [REM Events Server 구성 ] 의보안이름입니다. [SNMP 버전 ] 소스의 SNMP 버전입니다. SNMP 필드는선택한버전에따라활성화됩니다. [SNMPv3 엔진 ID] ( 선택사항 ) SNMPv3 프로파일이사용된경우트랩보낸사람의 SNMPv3 엔진 ID 입니다. [Sudo 암호 ] ( 선택사항 ) Saint 설치디렉터리에액세스하는데필요한암호를입력합니다. [ 시간초과 ] 이필드를통해소스에대한기본시간초과값을사용하거나특정시간초과값을제공할수있습니다. 이필드는공급업체에서제공한 VA 데이터가많아기본시간초과설정을사용하여데이터의전체또는일부를반환할수없는경우유용합니다. 시간초과값을늘려더많은 VA 데이터검색시간을허용할수있습니다. 값을제공할경우모든통신에사용됩니다. [ 토큰 ] ( 선택사항 ) Metasploit 글로벌설정에서설정할수있는인증토큰입니다. [URL] Digital Defense Frontline 서버의 URL 을입력합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 277
8 McAfee ESM 자산관리자영역관리 옵션 [HTTP 프록시사용 ] 정의 HTTP 프록시를사용하도록선택하면 [ 프록시 IP 주소 ], [ 프록시포트 ], [ 프록시사용자이름 ] 및 [ 프록시암호 ] 필드가활성화됩니다. [ 수동모드사용 ] [ 방법 ] 필드에서 [ftp] 를선택하는경우이필드가활성화됩니다. 수동모드를사용할시기를선택합니다. [sudo 사용 ] Saint 설치디렉터리에액세스할수있는경우이액세스를사용하려면이옵션을선택합니다. [ 시스템프로파일사용 ](eeye REM) 이전에정의한프로파일을사용할지여부를선택합니다. 이옵션을선택하면모든 SNMP 필드가비활성화됩니다. 기존시스템프로파일중하나를선택하면필드가선택한프로파일의정보로채워집니다. [ 사용자이름 ] McAfee Vulnerability Manager 의사용자이름을입력합니다. SQL Server 에 Windows 인증모드를사용하고있는경우 Windows 제품의사용자이름을입력합니다. 그렇지않을경우 SQL Server 의사용자이름입니다. Nessus, OpenVAS 및 Rapid7 Metasploit Pro: SCP 또는 FTP 의사용자이름입니다. NGS: SCP 및 FTP 방법의사용자이름입니다. Qualys 또는 FusionVM: 인증할 Front Office 또는 FusionVM 사용자이름입니다. Rapid7 Nexpose, Lumension, ncircle 및 Saint: 웹서버에연결할때사용할사용자이름입니다. Digital Defense Frontline: 웹인터페이스사용자이름입니다. [VA 소스이름 ] 이소스의이름을입력합니다. [ 와일드카드표현식 ] 내보낸검색파일의이름을설명하는데사용된와일드카드표현식입니다. 와일드카드표현식은파일이름에서 " 와일드카드 " 의표준정의에별표 (*) 나물음표 (?) 를사용할수있습니다. NBE 파일과 XML 파일이둘다있을경우이필드에서 NBE 파일을원하는지 XML 파일을원하는지를지정해야합니다 ( 예 : *.NBE 또는 *.XML). 별표 (*) 만사용할경우오류가발생합니다. 영역관리 영역을사용하여생성한장치및이벤트를지리적위치및 IP 주소별로관련된그룹으로구성할수있습니다. 예를들어동해안과서해안에사무실이있고각사무실에서생성한이벤트를그룹화하려는경우두영역을추가하고이러한이벤트를각영역에그룹화해야하는장치를할당합니다. 특정 IP 주소별로각사무실의이벤트를그룹화하려면각영역에하위영역을추가합니다. 영역관리 영역은지리적위치또는 ASN 을기준으로장치및데이터소스를분류합니다. 개별적으로또는다른시스템에서내보낸파일을가져와서영역을추가합니다. 그런다음장치또는데이터소스를영역에추가합니다. 1 대시보드에서을클릭하고 [ 자산관리자 ] 를선택합니다. 2 [ 영역관리 ] 탭을선택합니다. 3 영역또는하위영역추가, 기존영역을편집하거나제거또는영역설정을가져오거나내보냅니다. 4 변경사항을롤아웃한다음 [ 확인 ] 을클릭합니다. 278 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 자산관리자영역관리 8 영역추가 [ 영역추가 ] 기능을사용하여개별적으로영역을추가하거나다른시스템에서내보낸파일을가져옵니다. 1 대시보드에서을클릭하고 [ 자산관리자 ] 를선택합니다. 2 [ 영역관리 ] 탭을선택합니다. 3 [ 영역추가 ] 를클릭합니다. 4 요청한정보를입력하고장치를영역에할당한다음 [ 확인 ] 을클릭합니다. 옵션 정의 [ 이름 ] 이영역의이름을입력합니다. [ 기본영역할당으로사용 ] 이영역할당이해당하위영역중하나에속하지않는, 이영역에할당된장치에서생성된이벤트의기본값이되도록하려면선택합니다. [ 지리적위치 ] 이영역의경계를정의하기위해지리적위치를사용하려면 [ 필터 ] 아이콘을클릭한다음이영역에포함시키려는위치를선택합니다. [ASN] 인터넷에서각네트워크를고유하게식별하는 ASN 을사용하여이영역의경계를정의하려면이필드에숫자를입력합니다. [ 할당된장치 ] 이영역에할당하려는장치를선택합니다. 5 영역에하위영역을추가하려면관련영역을선택하고 [ 하위영역추가 ] 를클릭합니다. 하위영역의상세정보를입력합니다 ( 예 : 이름, 설명, IP 주소범위및지리적위치또는 ASN 정보 ). 영역설정내보내기 하나의 ESM에서영역설정을내보낸다음다른 ESM으로가져옵니다. 1 대시보드에서을클릭하고 [ 자산관리자 ] 를선택합니다. 2 [ 영역관리 ] 탭을선택합니다. 3 [ 내보내기 ] 를클릭한다음내보내려는파일유형을선택합니다. [ 영역정의파일내보내기 ]- 영역에대한설정및해당하는하위영역을포함합니다. [ 영역할당파일로장치내보내기 ] - 해당장치에할당된장치및영역을포함합니다. 4 [ 확인 ] 을클릭하고다운로드할파일을선택합니다. 영역설정가져오기 파일에서영역설정을있는그대로가져오거나가져오기전에데이터를편집합니다. 시작하기전에다른 ESM에가져올수있도록한 ESM에서영역설정파일을내보냅니다. 1 가져오려는영역설정파일을엽니다. 영역정의파일가져오기인경우 8 개의열 ( 명령, 영역이름, 상위이름, 지리적위치, ASN, 기본값, IPStart 및 IPStop) 이있습니다. 영역할당파일로장치가져오기인경우 3 개의열 ( 명령, 장치이름및영역이름 ) 이있습니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 279
8 McAfee ESM 자산관리자알려진위협관리 2 [ 명령 ] 열에명령을입력하여가져올때각줄에수행할액션을지정합니다. add 줄의데이터를있는그대로가져옵니다. edit ( 영역정의파일에서만사용가능 ) 데이터를변경하여데이터를가져옵니다. 하위영역의범위를변경하려면기존범위를제거한다음변경된영역의범위를추가합니다. 직접하위영역범위를편집할수는없습니다. remove ESM에서이줄과일치하는영역을삭제합니다. 3 변경사항을저장하고파일을닫습니다. 4 대시보드에서 을클릭하고 [ 자산관리자 ] 를선택합니다. 5 [ 영역관리 ] 탭을선택합니다. 6 [ 가져오기 ] 를클릭한다음가져오기파일유형을선택합니다. [ 영역정의파일가져오기 ] - 영역및해당하위영역에대한설정을포함합니다. [ 영역할당파일로장치가져오기 ] - 해당장치에할당된장치및영역을포함합니다. 7 [ 확인 ] 을클릭한다음가져올파일을찾고 [ 업로드 ] 를클릭합니다. 파일에서오류가탐지되면시스템에서알려줍니다. 8 오류가있는경우정보를수정하고다시시도합니다. 9 변경사항을롤아웃하여장치를업데이트합니다. 알려진위협관리 위험계산에서사용할알려진위협을선택합니다. 각위협에는심각도등급이있습니다. 자산에대한이등급및중요도등급은시스템에대한위협의전체심각도를계산하는데사용됩니다. 1 대시보드에서을클릭하고 [ 자산관리자 ] 를선택합니다. 2 [ 위협관리 ] 탭을선택합니다. 3 알려진위협을선택하고다음중하나를수행합니다. [ 위협상세정보 ] 를클릭하여위협에대한상세정보를봅니다. [ 위험계산 ] 열에 [ 예 ] 가표시되었지만위험계산에사용하지않으려는경우 [ 비활성화 ] 를클릭합니다. [ 위험계산 ] 열에 [ 아니오 ] 가표시되었지만위험계산에사용하려는경우 [ 활성화 ] 를클릭합니다. 자산, 위협및위험평가 시스템의 McAfee Threat Intelligence Services(MTIS) 및취약성평가소스가알려진위협목록을생성합니다. McAfee ESM 은위협의심각도및각자산의중요도를사용하여엔터프라이즈의위험수준을계산합니다. 자산관리자 자산을 [ 자산관리자 ] 에추가할때자산이조직에서얼마나중요한지를나타내는중요도수준을할당합니다. 예를들어엔터프라이즈설정을관리하는한개의시스템이있는상태에서백업이없다면해당시스템의중요도는높습니다. 설정을관리하는시스템이두개이고각각백업이있다면중요도수준은상대적으로낮습니다. 280 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 자산관리자자산, 위협및위험평가 8 [ 자산 ] 탭의 [ 편집 ] 메뉴에서엔터프라이즈에대한위험계산에자산을사용또는무시할지선택할수있습니다. 위협관리 [ 자산관리자 ] 의 [ 위협관리 ] 탭은알려진위협목록, 해당심각도, 공급업체및위험계산시위협사용여부를표시합니다. 특정위협을사용하거나사용하지않도록설정하여위험계산에사용하거나사용하지않을수있습니다. 또한목록에서위협에대한상세정보를볼수있습니다. 이러한상세정보에는사용할수있는대응조치및위협처리를위한권장사항이포함되어있습니다. 사전정의된보기사전정의된보기는자산, 위협및위험데이터를요약하고표시합니다. [ 자산위협요약 ] 위험점수및위협수준, 위험별위협수준에따라상위자산을표시합니다. [ 최근위협요약 ] 공급업체, 위험, 자산및사용가능한보호제품별로최신위협을표시합니다. [ 취약성요약 ] 위협및자산별로취약성을표시합니다. 사용자지정보기 [ 쿼리마법사 ] 를사용하여필요한데이터를표시하는사용자지정보기를설정합니다. [ 계기판제어 ] 및 [ 개수 ] 구성요소에서평균엔터프라이즈위험및총엔터프라이즈위험점수를표시할수있습니다. [ 원형도표 ], [ 막대도표 ] 및 [ 목록 ] 구성요소에서위험에노출된자산, 제품위협보호, 자산별위협, 위험별위협및공급업체별위협을표시할수있습니다. [ 표 ] 구성요소에서자산, 최신위협, 위험점수별상위자산및위험점수별상위위협을표시할수있습니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 281
8 McAfee ESM 자산관리자자산, 위협및위험평가 282 McAfee Enterprise Security Manager 10.3.x 제품안내서
9 McAfee 9 ESM 정책및규칙 목차 McAfee ESM 정책및규칙작동방법정책관리데이터베이스감사추적설정정규화작동방법 McAfee ESM 규칙유형패킷초과구독정의정책업데이트상태보기규칙관리집계설정변경다운로드한규칙의재정의액션을정의합니다. 심각도가중치정책변경기록보기정책변경롤아웃규칙에대해패킷복사활성화 McAfee ESM 정책및규칙작동방법 정책을사용하면규칙의매개변수역할을하는악성또는비정상트래픽및변수를탐지할수있습니다. McAfee ESM 장치의동작을안내하려면 [ 정책편집기 ] 를사용하여정책템플릿을만들고개별정책을사용자지정합니다. 정책템플릿및장치정책설정은그상위에서값을상속할수있습니다. 상속을통해간소성및용이성수준을유지하면서장치의정책설정을무한대로구성할수있습니다. 생성된각정책은항목을 [ 정책트리 ] 에추가합니다. FIPS 모드에서중인경우규칙서버를통해규칙을업데이트하지마십시오. 대신수동으로업데이트합니다. 아이콘 설명 정책 동기화되지않은장치 스테이징된장치 최신장치 McAfee 규칙서버에서사전정의값또는사용법으로모든규칙, 변수및전처리기를유지관리합니다. [ 기본정책 ] 은이러한 McAfee 에서유지관리하는설정에서해당값및설정을상속하고다른모든정책의출발점입니다. 다른모든정책및장치에대한설정은기본적으로 [ 기본정책 ] 에서해당값을상속합니다. [ 정책편집기 ] 에나열된규칙유형은시스템탐색트리에서선택한장치에따라다릅니다. 시스템에선택한장치에대한정책계층구조가표시됩니다. 규칙을필터링하여기준에맞는규칙만볼수있습니다. 또는규칙에태그를지정하여해당기능을정의합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 283
9 McAfee ESM 정책및규칙정책관리 정책관리 [ 정책트리 ] 에서액션을수행하여시스템에서정책을관리합니다. 시작하기전에 관리자권한이있거나정책관리권한이있는액세스그룹에속해있는지확인합니다. 1 대시보드에서을클릭하고 [ 정책편집기 ] 를선택합니다. 2 McAfee ESM 콘솔에서 [ 정책편집기 ] 아이콘을클릭한다음 [ 정책트리 ] 아이콘을클릭합니다. 3 [ 정책트리 ] 를사용하여다음을수행할수있습니다. 정책관련규칙보기 정책계층만들기장치만정책으로끌어놓을수있습니다. 필터또는태그를사용하여정책또는장치검색 정책이름바꾸기, 삭제, 복사또는바꾸기 복사된정책설정이바꾼정책에적용되지만이름은동일하게유지됩니다. 다른장치로정책이동 정책가져오기 여러정책을가져오는경우첫번째정책이선택한정책을덮어쓰고후속정책이현재노드의하위로삽입되어그계층관계를그대로유지합니다. 이옵션은선택한정책의이름을변경하지않습니다. 정책내보내기 사용자지정변수에대한사용자지정규칙의종속가능성으로인해, 사용자지정변수를내보내지않으면사용자지정규칙도내보낼수없습니다. 정책계층이병합되며이는설정이한수준의정책으로압축된다는의미로, 가장직접적인정책설정이항목기준에따라어떤항목에대해우선권이있습니다. 예를들어장치를선택하면시스템이두정책을선택한정책위에내보냅니다. 상위정책을내보내려면해당하위를선택해야합니다. 또한파일을한정책수준으로압축하는경우정책설정이상위정책설정보다우선합니다. 데이터베이스감사추적설정 데이터베이스또는특정데이터베이스이벤트와연관된테이블에대한액세스및변경을추적하기위해감사추적을설정합니다. McAfee ESM 컴플라이언스보고서에는각이벤트와관련된감사추적이나열됩니다. 시작하기전에 감사추적이벤트를생성하려면다음을추가해야합니다. 284 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 정책및규칙정규화작동방법 9 데이터액세스규칙 권한있는사용자감사추적보고서 1 대시보드에서 을클릭하고 [ 정책편집기 ] 를선택합니다. 2 [ 규칙유형 ] 창에서 [DEM] [ 데이터액세스 ] 를선택합니다. 3 [DEM - 템플릿규칙 - IP 범위에서신뢰할수있는사용자액세스 ] 를강조표시합니다. 4 [ 편집 ] [ 복사 ] 를클릭한다음 [ 편집 ] [ 붙여넣기 ] 를클릭합니다. 5 새규칙의이름및속성을변경합니다. a 규칙을강조표시한다음 [ 편집 ] [ 수정 ] 을클릭합니다. b 규칙의이름을입력한다음사용자이름을입력합니다. c [ 신뢰할수없음 ] 액션유형을선택한다음 [ 확인 ] 을클릭합니다. 6 [ 롤아웃 ] 아이콘을클릭합니다. 7 보고서설정 : a [ 시스템속성 ] 에서 [ 보고서 ] [ 추가 ] 를클릭합니다. b 섹션 1-3 및 6을입력합니다. c 섹션 4에서 [ 보고서 PDF] 또는 [ 보고서 HTML] 을선택합니다. d 섹션 5에서 [ 컴플라이언스 ] [SOX] [ 권한있는사용자감사추적 ( 데이터베이스 )] 을선택합니다. e [ 저장 ] 을클릭합니다. 8 보고서를생성하려면 [ 지금실행 ] 을클릭합니다. 정규화작동방법 규칙이름은공급업체에따라다를수있으므로이벤트정보를수집하기가어렵습니다. McAfee ESM 은사용자가이벤트정보를구성할수있도록정규화된규칙 ID 목록을지속적으로컴파일합니다. 정규화된이벤트 ID 를사용하여쿼리결과를원형도표, 막대도표및목록또는필터대시보드보기로볼수있습니다. [ 이벤트분석 ] 보기의 [ 세부정보 ] 탭에목록에나타나는이벤트의정규화 ID 가나열됩니다. 정규화된 ID 를사용하여다음을수행합니다. 첫번째수준의폴더필터링 마스크 (ID 끝에있는첫번째수준폴더의경우 /5) 는 McAfee ESM 이선택한하위폴더의하위 ID 로이벤트를필터링한다는것을의미합니다. 두번째또는세번째수준의폴더필터링 마스크 (ID 끝에있는두번째수준폴더의경우 /12, 세번째수준폴더의경우 /18) 는 McAfee ESM 이선택한하위폴더의하위 ID 로이벤트를필터링한다는것을의미합니다. 네번째수준에는마스크가없습니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 285
9 McAfee ESM 정책및규칙 McAfee ESM 규칙유형 단일 ID 를사용하여필터링 Ctrl 또는 Shift 키를사용하여한번에여러폴더또는 ID 로필터링하여선택합니다. McAfee ESM 규칙유형 목차 McAfee ESM 규칙유형 McAfee Application Data Monitor 규칙 ASP( 고급 Syslog 분석기 ) 규칙상관규칙데이터소스규칙 McAfee Database Event Monitor(DEM) 규칙필터규칙트랜잭션추적규칙관리변수 Windows 이벤트규칙 McAfee ESM 규칙유형 McAfee ESM 에는환경을보호할수있는다양한유형의규칙이포함되어있습니다. McAfee Application Data Monitor (McAfee Application Data Monitor) 규칙 - 응용프로그램및전송프로토콜의이상을탐지하여악성트래픽패턴을탐지합니다. ASP( 고급 Syslog 분석기 ) 규칙 - 시그니처 ID, IP 주소, 포트, 사용자이름, 액션등의메시지관련이벤트에데이터가상주하는위치를식별합니다. 상관규칙 - 상호연결된데이터의패턴을해석합니다. 데이터소스규칙 - 수신자에게전송된데이터소스정보관련문제를탐지합니다. DEM(Database Event Monitor) 규칙 - 로그온 / 로그오프, DBA 유형, 의심스러운, 일반적으로컴플라이언스요구사항을충족하는데필요한데이터베이스공격등데이터베이스이벤트를모니터링합니다. ESM 규칙 - ESM 이벤트와관련된감사보고서또는컴플라이언스를생성합니다. 필터규칙 - McAfee Event Receiver 데이터에서수행할액션을지정할수있습니다. 트랜잭션추적규칙 - 트레이드실행의시작과끝을로깅하고명령문을시작하고커밋하여쿼리대신트랜잭션별로보고하는등데이터베이스트랜잭션을추적하고변경사항을자동조정합니다. Windows 이벤트규칙 - Windows 와관련된이벤트를생성합니다. 아이콘은규칙이사용을상속하는위치를나타냅니다. 아이콘 설명 상위의사용을상속받는기본설정을나타냅니다. 이수준에서의중단된상속체인을나타냅니다. 이지점에서상속이해제되었습니다. 상속체인이끊어진경우현재규칙사용법이사용됩니다. 이수준에서의중단된상속체인을나타냅니다. 이지점아래의항목은더이상체인을상속하지않습니다. 사용자지정값, 즉기본값이아닌다른값으로설정했음을나타냅니다. 286 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 정책및규칙 McAfee ESM 규칙유형 9 McAfee Application Data Monitor 규칙 McAfee Application Data Monitor 는 ICE DPI( 패킷심층분석 ) 엔진에기반한일련의네트워크어플라이언스입니다. ICE 엔진은소프트웨어라이브러리이자원시네트워크트래픽에서실시간으로콘텐츠를식별하고추출할수있는프로토콜및콘텐츠플러그인모듈모음입니다. 이엔진은응용프로그램수준콘텐츠를완전히재조립하고디코딩하여암호화된네트워크패킷스트림을로컬파일에서읽어온것처럼쉽게읽을수있는콘텐츠로변환할수있습니다. ICE 엔진은고정 TCP 포트번호나파일확장명을사용하지않고도프로토콜및콘텐츠유형을자동으로식별할수있습니다. ICE 엔진은분석및디코딩을수행하기위해시그니처를사용하지않습니다. 대신해당모듈이각프로토콜또는콘텐츠유형의전체구문을분석하여정확한콘텐츠식별및디코딩을통해콘텐츠압축또는인코딩시콘텐츠를식별및추출할수있도록합니다. 따라서일반텍스트로네트워크를통과하지않습니다. 매우정확한식별및디코딩기능을통해 ICE 엔진은네트워크트래픽에대해유일하게깊이있는견해를제공합니다. 예를들어 ICE 엔진은 SOCKS 프록시서버에서보낸 SMTP 이메일의 BASE-64 로인코딩된첨부파일로.zip 파일내에서네트워크를이동한 PDF 문서스트림을수신할수있습니다. 이응용프로그램및문서인식을통해 McAfee Application Data Monitor 은매우중요한보안컨텍스트를제공할수있습니다. 또한다음과같이기존의 IDS 나 IPS 에서쉽게탐지할수없는위협을탐지할수있습니다. 중요한정보및문서의유출또는통신정책위반 악의적일수있는문서 ( 예 : 문서가확장명이일치하지않는경우 ) 인증되지않은응용프로그램트래픽 ( 예 : Gnutella 를사용하고있는사람 ) 차세대취약성공격 ( 예 : 포함된실행파일이있는 PDF 문서 ) 예기치않은방식으로사용되는응용프로그램 ( 예 : 비표준포트의 HTTPS) McAfee Application Data Monitor 은응용프로그램및전송프로토콜에서이상을탐지하여악성트래픽패턴을탐지합니다 ( 예 : RPC 연결의형식이잘못되거나 TCP 대상포트가 0 인경우 ). 지원되는응용프로그램및프로토콜 McAfee Application Data Monitor 은다음과같은응용프로그램및프로토콜을모니터링하여이상을디코딩하고탐지할수있습니다. 낮은수준의네트워크프로토콜 TCP/IP, UDP, RTP, RPC, SOCKS, DNS 등 이메일 MAPI, NNTP, POP3, SMTP, Microsoft Exchange 채팅 MSN, AIM/Oscar, Yahoo, Jabber, IRC 웹메일 AOL Webmail, Hotmail, Yahoo! Mail, Gmail, Facebook 및 MySpace 이메일 P2P Gnutella, bittorrent 셸 SSH( 탐지전용 ), 텔넷 메신저 AOL,ICQ, Jabber, MSN, SIP 및 Yahoo 파일전송프로토콜 FTP, HTTP, SMB 및 SSL 압축및추출프로토콜 BASE64, GZIP, MIME, TAR, ZIP 등 보관파일 RAR 보관, ZIP, BZIP, GZIP, Binhex 및 UU 인코딩보관 설치패키지 Linux 패키지, InstallShield 캐비닛, Microsoft 캐비닛 이미지파일 GIF, JPEG, PNG, TIFF, AutoCAD, Photoshop, Bitmap, Visio, Digital RAW 및 Windows 아이콘 오디오파일 WAV, MIDI, RealAudio, Dolby Digital AC-3, MP3, MP4, MOD, RealAudio, SHOUTCast 등 비디오파일 AVI, Flash, QuickTime, Real Media, MPEG-4, Vivo, DV(Digital Video), Motion JPEG 등 McAfee Enterprise Security Manager 10.3.x 제품안내서 287
9 McAfee ESM 정책및규칙 McAfee ESM 규칙유형 기타응용프로그램및파일 데이터베이스, 스프레드시트, 팩스, 웹응용프로그램, 글꼴, 실행파일, Microsoft Office 응용프로그램, 게임및소프트웨어개발도구 기타프로토콜 네트워크프린터, 셸액세스, VoIP 및피어 - 투 - 피어 주요개념 개체 콘텐츠의개별항목입니다. 이메일은개체이지만메시지본문 ( 또는두개 ) 과첨부파일이있기때문에개체컨테이너이기도합니다. HTML 페이지는이미지와같은추가개체를포함할수있는개체입니다..zip 파일및.zip 파일내의각파일은모두개체입니다. McAfee Application Data Monitor 은컨테이너의압축을해제하고내부의각개체를고유한개체로처리합니다. 트랜잭션 개체 ( 콘텐츠 ) 전송주위의래퍼입니다. 트랜잭션에는하나이상의개체가포함되지만해당개체가컨테이너일경우 ( 예 :.zip 파일 ) 단일트랜잭션에여러개의개체가포함될수있습니다. 플로 TCP 또는 UDP 네트워크연결입니다. 플로에는많은트랜잭션이포함될수있습니다. 사용자지정규칙구성 논리적인정규표현식또는사전정의된규칙을템플릿으로사용하여 McAfee Application Data Monitor, 데이터베이스또는상관규칙을구성합니다. 1 대시보드에서을클릭하고 [ 정책편집기 ] 를선택합니다. 2 기존사용자지정규칙을봅니다. a [ 필터 / 태그지정 ] [ 필터 ] 탭을선택합니다. b 하단에있는 [ 고급 ] 막대를클릭합니다. c [ 원본 ] 필드에서 [ 사용자정의 ] 를선택합니다. d [ 쿼리실행 ] 을클릭합니다. 3 [ 새로만들기 ] 를클릭한다음데이터베이스및상관규칙을구성합니다. 규칙이름, 설명 ([ 정책편집기 ] 에나타남 ), 심각도설정및규칙유형을식별합니다. 규칙이트리거하는경보액션을선택합니다. 정규화된기본 ID 를변경합니다. 규칙이속한범주를정의하는태그를선택합니다. 규칙논리를설정하려면원하는논리요소와구성요소를끌어서놓습니다. 4 상관규칙을트리거하기위해이벤트에서일치해야하는값을정의합니다. 이벤트데이터, 플로데이터또는둘다에필터를적용합니다. 구성요소트리거전에특정필드에특정수의값이발생해야하는경우선택하려면를클릭합니다. [ 고유값 ] 발생해야하는값의수를선택합니다. [ 모니터링된필드 ] 값이발생해야하는필드를선택합니다. 게이트수준의 [ 기간 ] 필드에서지정된시간안에일치가발생하지않는경우에만구성요소를트리거하려면선택합니다. 상관규칙에서이벤트의그룹화를사용자지정하려면선택합니다. 특정필드별로그룹화하는규칙이있는경우 [ 그룹화기준재정의구성 ] 페이지에서지정하는필드에일치하도록해당구성요소중하나를재정의할수있습니다. [ 구성 ] 을클릭하여재정의필드를설정합니다. 288 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 정책및규칙 McAfee ESM 규칙유형 9 5 표현식구성요소설정을정의합니다. 선택한값을제외하려면선택합니다. 이표현식의메트릭참조를선택합니다. 구성요소설명을입력합니다. 이규칙이 McAfee ESM 에있는 McAfee Application Data Monitor 사전을참조하도록하려면드롭다운목록에서 ADM 사전을선택합니다. 관계연산자를선택합니다. McAfee Application Data Monitor: 같음 = 보다크거나같음 >= 같지않음!= 보다작거나같음 <= 보다큼 > 보다작음 < McAfee Database Event Monitor: EQ 같음 NB 사이에없음 BT 사이 NE 같지않음 GE - 크거나같음 NGT 보다크지않음 GT 보다큼 NLE 보다작지않음 LE - 작거나같음 REGEXP - 정규표현식 LT 보다작음 값이정의된패턴과일치하는경우에규칙을트리거할지또는모든값이패턴과일치하는경우에만트리거할지여부를선택합니다. 선택된변수로필터링 : 변수아이콘이필드옆에있는경우클릭하여변수를선택합니다. 아이콘이없는경우 [ 유효한입력 ] 필드의지침을따라값을입력합니다. [ 값 ] 필드에입력할수있는값에대한힌트를봅니다. 사용자지정규칙추가 논리및정규표현식을사용하여사용자지정 McAfee Application Data Monitor(McAfee Application Data Monitor), 데이터베이스또는상관규칙을추가합니다. 1 대시보드에서을클릭하고 [ 정책편집기 ] 를선택합니다. 2 [ 새로만들기 ] 를클릭한다음추가하려는규칙유형을선택합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 289
9 McAfee ESM 정책및규칙 McAfee ESM 규칙유형 3 데이터베이스규칙을정의합니다. 옵션 정의 [ 이름 ] 규칙을설명하는이름을입력합니다. [ 심각도 ] 심각도설정을선택합니다. [ 정규화 ID ] 정규화된기본 ID 를변경합니다. [ 태그 ] 규칙이속한범주를정의하는태그를선택합니다. [ 유형 ] 규칙유형을선택합니다. [ 기본액션 ] 이규칙이트리거되는경보액션을선택합니다. [ 표현식논리 ] 영역규칙의논리를설정하려면논리적요소및구성요소를이영역에끌어놓습니다. [AND], [OR] 논리적요소규칙의논리를설정하려면 [ 표현식논리 ] 영역에끌어놓습니다. [ 표현식구성요소 ] 아이콘 논리적요소의상세정보를정의하려면아이콘을끌어놓습니다. [ 설명 ] [ 정책편집기 ] 에표시할규칙의설명을입력합니다. 4 상관규칙을정의합니다. 옵션 정의 [ 이름 ] 규칙을설명하는이름을입력합니다. [ 심각도 ] 심각도설정을선택합니다. [ 정규화 ID] 정규화된기본 ID 를변경합니다. [ 태그 ] 규칙이속한범주를정의하는태그를선택합니다. [ 그룹화기준 ] 이벤트가상관엔진에진입할때그룹화할필드목록을만듭니다. [ 상관논리 ] 영역규칙의논리를설정하려면논리적요소및구성요소를이영역에끌어놓습니다. [ 매개변수 ] 규칙및구성요소재사용인스턴스를사용자지정합니다. [AND], [OR], [SET] 논리적요소규칙의논리를설정하려면 [ 상관논리 ] 영역에끌어놓습니다. [ 구성요소일치 ], [ 편차구성요소 ], [ 규칙 / 구성요소 ] 아이콘 논리적요소의상세정보를정의하려면구성요소를끌어놓습니다. [ 설명 ] [ 정책편집기 ] 에표시되는규칙설명을추가합니다. 5 상관규칙을트리거하기위해이벤트에서일치해야하는필드및값을정의합니다. 옵션 [ 이벤트 ], [ 플로 ] 정의 필터를적용하려는데이터유형을선택합니다. 둘다선택할수있습니다. [ 추가 ] 이구성요소에대한필터를추가합니다. [ 고급옵션 ] [ 이구성요소를트리거하려면...] 구성요소트리거전에특정필드에특정수의값이발생해야하는경우선택합니다. [ 고유값 ] [ 기본값 ] 아이콘을클릭하여발생해야하는값의수를선택합니다. [ 모니터링된필드 ] [ 기본값 ] 아이콘 합니다. 을클릭하여값이발생해야하는필드를선택 290 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 정책및규칙 McAfee ESM 규칙유형 9 옵션 [ 논리적요소수준에서지정한...] [ 그룹화기준재정의 ] 정의 게이트수준의 [ 기간 ] 필드에서지정된시간안에일치가발생하지않는경우에만구성요소를트리거하려면선택합니다. 상관규칙에서이벤트의그룹화를사용자지정하려면선택합니다. 특정필드별로그룹화하는규칙이있는경우 [ 그룹화기준재정의구성 ] 페이지에서지정하는필드에일치하도록해당구성요소중하나를재정의할수있습니다. [ 구성 ] 을클릭하여재정의필드를설정합니다. 6 표현식구성요소설정을정의합니다. 옵션 정의 [ 아님 ] 선택한값을제외하려면선택합니다. [ 용어 ] (McAfee Application Data Monitor 및 DEM) 이표현식의메트릭참조를선택합니다. [ 설명 ] (McAfee Application Data Monitor) 구성요소의설명을입력합니다. [ 사전 ] (McAfee Application Data Monitor) 이규칙이 ESM 에있는 McAfee Application Data Monitor 사전을참조하도록하려면드롭다운목록에서 ADM 사전을선택합니다. [ 연산자 ] 관계연산자를선택합니다. McAfee Application Data Monitor 같음 = 보다크거나같음 >= 같지않음!= 보다작거나같음 <= 보다큼 > 보다작음 < DEM 데이터베이스 EQ 같음 BT 사이 GE - 크거나같음 GT 보다큼 LE - 작거나같음 LT 보다작음 NB 사이에없음 NE 같지않음 NGT 보다크지않음 NLE 보다작지않음 REGEXP - 정규표현식 [ 일치값 ] 값이정의하는패턴과일치하는경우에규칙을트리거할지또는모든값이패턴과일치하는경우에만트리거할지여부를선택합니다. [ 값 ] (ADM) 필터링할변수를선택합니다. 변수아이콘이필드옆에있는경우클릭하여변수를선택합니다. 아이콘이없는경우 [ 유효한입력 ] 필드의지침을따라값을입력합니다. (DEM) 필터링할변수를입력합니다. [ 유효한입력 ] [ 값 ] 필드에입력할수있는값에대한힌트를봅니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 291
9 McAfee ESM 정책및규칙 McAfee ESM 규칙유형 논리적요소편집 AND, OR 및 SET 논리요소의기본설정을변경할수있습니다. 1 규칙편집기에서논리적요소를 [ 표현식논리 ] 또는 [ 상관논리 ] 영역으로끌어다놓습니다. 2 편집하려는요소의 [ 메뉴 ] 아이콘을클릭한다음 [ 편집 ] 을클릭합니다. 3 설정을변경한다음 [ 확인 ] 을클릭합니다. McAfee Application Data Monitor 규칙구문 McAfee Application Data Monitor 규칙은 C 표현식과비슷한리터럴집합 ( 숫자, 문자열, 정규표현식, IP 주소, MAC 주소및부울 ) 을제공합니다. 문자열조건을문자열및정규식리터럴과비교하여콘텐츠를테스트할수있지만숫자와비교하여길이를테스트할수도있습니다. 숫자, IP 주소및 MAC 주소조건은동일한유형의리터럴값과만비교할수있습니다. 유일한예외는모든항목을부울로처리하여존재를테스트할수있다는점입니다. 일부조건에는여러개의값이있을수있습니다. 예를들어.zip 파일내 PDF 파일에대해 type = = application/zip && type = = application/pdf 규칙이트리거됩니다. 표 9-1 연산자 연산자설명예 && 논리적 AND protocol = = http && type = = image/gif 논리적 OR time.hour < 8 time.hour > 18 ^ ^ 논리적 XOR email.from = = "a@b.com" ^^email.to = = "a@b.com"! 단항 NOT! (protocol = = http protocol = = ftp) = = 같음 type = = application/pdf! = 같지않음 srcip! = 192.168.0.0/16 > 보다큼 objectsize > 100M > = 크거나같음 time.weekday > = 1 < 보다작음 objectsize < 10K < = 작거나같음 time.hour < = 6 표 9-2 리터럴 리터럴 숫자 문자열 정규식 예 1234, 0x1234, 0777, 16K, 10M, 2G "a string" /[A-Z] [a-z]+/ IPv4 1.2.3.4, 192.168.0.0/16, 192.168.1.0/255.255.255.0 MAC 부울 aa:bb:cc:dd:ee:ff true, false 292 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 정책및규칙 McAfee ESM 규칙유형 9 표 9-3 유형연산자호환성 유형연산자참고 숫자 = =,! =, >, > =, <, < = 문자열 = =,! = 문자열 >, > =, <, <= 문자열의내용을문자열 / 정규식과비교 문자열의길이비교 IPv4 = =,! = MAC = =,! = 부울 = =,! = 참 / 거짓과비교, 참으로내포된비교도지원, 예를들어 email.bcc는 email.bcc 조건이 있는지테스트 표 9-4 McAfee Application Data Monitor 정규식문법 기본연산자 교체 ( 또는 ) * 0 개이상 + 1 개이상? 0 또는 1 ( ) 그룹화 (a b) { } 반복범위 {x} 또는 {,x} 또는 {x,} 또는 {x,y} [ ] 범위 [0-9a-z] [abc] [^ ] 제외범위 [^abc] [^0-9]. 모든문자 이스케이프문자 이스케이프 d 숫자 [0-9] D 숫자제외 [^0-9] e 이스케이프 (0x1B) f 용지공급 (0x0C) n 줄바꿈 (0x0A) r 캐리지리턴 (0x0D) s 공백 S 공백제외 t 탭 (0x09) v 세로탭 (0x0B) w 단어 [A-Za-z0-9_] W 단어제외 McAfee Enterprise Security Manager 10.3.x 제품안내서 293
9 McAfee ESM 정책및규칙 McAfee ESM 규칙유형 이스케이프 x00 16 진수표현 0000 8 진수표현 ^ S 줄시작 줄끝 줄시작및줄끝앵커 (^ 및 $) 는 objcontent 에적용되지않습니다. POSIX 문자클래스 [:alunum:] [:alpha:] [:ascii:] [:blank:] [:cntrl:] [:digit:] [:graph:] [:lower:] [:print:] [:punct:] [:space:] [:upper:] [:word:] [:xdigit:] 숫자및문자모든문자 ASCII 문자공백및탭제어문자숫자표시문자소문자표시문자및공백문장부호및기호모든공백문자대문자단어문자 16진수숫자 참고항목 : 103 페이지의 McAfee Application Data Monitor 사전작동방법 109 페이지의 McAfee Application Data Monitor 규칙조건유형 111 페이지의 McAfee Application Data Monitor 규칙메트릭참조 294 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 정책및규칙 McAfee ESM 규칙유형 9 McAfee Application Data Monitor 사전예 McAfee Application Data Monitor(McAfee Application Data Monitor) 는개체콘텐츠나기타메트릭또는속성을단일열사전과비교하여참또는거짓 ( 사전에있는경우또는사전에없는경우 ) 으로나타낼수있습니다. 표 9-5 단일열사전예 사전유형 일반스팸단어가포함된문자열사전 시알리스 예 시알리스 비아그라 비아그라 성인웹 성인웹 지금당장하세요! 주저하지마세요! 인증키단어에대한정규표현식사전 알려진잘못된실행파일에대한해시값이포함된문자열사전 /(password passwd pwd)[^a-z0-9]{1,3}(admin login password user)/i /(customer client)[^a-z0-9]{1,3}account[^a-z0-9]{1,3}number/i /fund[^a-z0-9]{1,3}transaction/i /fund[^a-z0-9]{1,3}transfer[^a-z0-9]{1,3}[0 9,.]+/i "fec72ceae15b6f60cbf269f99b9888e9" "fed472c13c1db095c4cb0fc54ed28485" "feddedb607468465f9428a59eb5ee22a" "ff3cb87742f9b56dfdb9a49b31c1743c" "ff45e471aa68c9e2b6d62a82bbb6a82a" "ff669082faf0b5b976cec8027833791c" "ff7025e261bd09250346bc9efdfc6c7c" 위험자산의 IP 주소 192.168.1.12 192.168.2.0/24 192.168.3.0/255.255.255.0 192.168.4.32/27 192.168.5.144/255.255.255.240 McAfee Enterprise Security Manager 10.3.x 제품안내서 295
9 McAfee ESM 정책및규칙 McAfee ESM 규칙유형 표 9-6 이중열사전예 사전유형 일반스팸단어및범주가포함된문자열사전 인증키단어및범주에대한정규표현식사전 알려진잘못된실행파일및범주의해시값이포함된문자열사전 예 시알리스 제약 시알리스 제약 비아그라 제약 비아그라 제약 성인웹 성인 성인웹 성인 지금당장하세요! 주저하지마세요! 스캠 /(password passwd pwd)[^a-z0-9]{1,3}(admin login password user)/i 인증 /(customer client)[^a-z0-9]{1,3}account[^a-z0-9]{1,3}number/i pii /fund[^a-z0-9]{1,3}transaction/i sox /fund[^a-z0-9]{1,3}transfer[^a-z0-9]{1,3}[0 9,.]+/i sox fec72ceae15b6f60cbf269f99b9888e9" 트로이목마 "fed472c13c1db095c4cb0fc54ed28485" 악성프로그램 "feddedb607468465f9428a59eb5ee22a" 바이러스 "ff3cb87742f9b56dfdb9a49b31c1743c" 악성프로그램 "ff45e471aa68c9e2b6d62a82bbb6a82a" 애드웨어 ff669082faf0b5b976cec8027833791c" 트로이목마 "ff7025e261bd09250346bc9efdfc6c7c" 바이러스 위험자산및그룹의 IP 주소 192.168.1.12 위험자산 192.168.2.0/24 LAN 192.168.3.0/255.255.255.0 LAN 192.168.4.32/27 DMZ 192.168.5.144/255.255.255.240 위험자산 McAfee Application Data Monitor 규칙조건유형 McAfee Application Data Monitor 규칙에는조건이있으며조건은 IP 주소, MAC 주소, 숫자, 문자열또는부울이될수있습니다. 또한정규표현식과목록이라는두가지추가리터럴유형이있습니다. 특정유형의조건은동일한유형의리터럴이나동일한유형의리터럴목록 ( 또는목록의목록...) 에대해서만비교할수있습니다. 이규칙에대한예외는다음과같습니다. 문자열조건은숫자리터럴과비교하여길이를테스트할수있습니다. 암호가 8 자보다작은경우 ( 암호가문자열조건인경우 ) 다음규칙이트리거됩니다. Password < 8 문자열조건은정규표현식과비교할수있습니다. 암호에소문자만포함된경우다음규칙이트리거됩니다. Password == /^[a-z]+$/ 모든조건은부울리터럴에대해테스트하여발생여부를테스트할수있습니다. 이메일에참조주소가포함된경우 (email.cc 가문자열조건인경우 ) 다음규칙이트리거됩니다. email.cc == 참 296 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 정책및규칙 McAfee ESM 규칙유형 9 유형 형식설명 IP 주소 IP 주소리터럴은표준표기법인점으로구분된 4 개의숫자로기록되며따옴표로묶지않습니다. 192.168.1.1 IP 주소에는표준 CIDR 표기법으로작성된마스크가있을수있으며주소와마스크사이에공백이있으면안됩니다. 192.168.1.0/24 IP 주소에는긴형식으로작성된마스크가있을수도있습니다. 192.168.1.0/255.255.255.0 MAC 주소 숫자 문자열 MAC 주소리터럴은 IP 주소와마찬가지로표준표기법을사용하여작성되며따옴표로묶지않습니다. aa:bb:cc:dd:ee:ff McAfee Application Data Monitor 규칙의모든숫자는 32 비트정수입니다. 이러한숫자는 10 진수로작성할수있습니다. 1234 또한 16 진수로작성할수있습니다. 0xabcd 8 진수로작성할수도있습니다. 0777 1024(K), 1048576(M) 또는 1073741824(G) 와곱하여승수를추가할수있습니다. 10M 문자열은큰따옴표로묶습니다. "this is a string" 문자열은표준 C 이스케이프시퀀스를사용할수있습니다. "\tthis is a \"string\" containing\x20escape sequences\n" 조건을문자열과비교할경우전체조건이문자열과일치해야합니다. 이메일메시지의보낸사람주소가 someone@somewhere.com 일경우다음규칙이트리거되지않습니다. email.from == @somewhere.com 조건의일부만일치시키려면정규표현식리터럴을대신사용합니다. 문자열리터럴이보다효율적이므로가능하면문자열리터럴을사용해야합니다. 모든이메일주소및 URL 조건은일치되기전에정규화되므로이메일주소에설명과같은항목을고려할필요가없습니다. 부울 부울리터럴은참과거짓입니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 297
9 McAfee ESM 정책및규칙 McAfee ESM 규칙유형 유형 정규표현식 형식설명 정규표현식리터럴은 JavaScript 및 Perl과같은언어와동일한표기법을사용하며, 정규표현식은슬래시로묶습니다. /[a-z]+/ 정규표현식다음에는표준수정자플래그가올수있지만현재 "i" 만인식되며대 / 소문자를구분하지않습니다. /[a-z]+/i 정규표현식리터럴에 POSIX 확장구문을사용합니다. 현재 Perl 확장은콘텐츠조건을제외한모든조건에서작동하지만이후버전에서는변경될수있습니다. 조건을정규표현식과비교할경우정규표현식에서앵커연산자가적용되지않으면정규표현식이조건의하위문자열과일치합니다. 이메일이 someone@somewhere.com 주소로표시되면다음규칙이트리거됩니다. email.from == /@somewhere.com/ 목록 목록리터럴은대괄호로묶고쉼표로구분한하나이상의리터럴로구성됩니다. [1, 2, 3, 4, 5] 목록에는다른목록을포함하여모든종류의리터럴이포함될수있습니다. [192.168.1.1, [10.0.0.0/8, 172.16.128.0/24]] 목록에는하나의리터럴만포함되어야하며문자열과숫자, 문자열과정규표현식, IP 주소와 MAC 주소를혼합할수없습니다. 목록이같지않음 (!=) 이아닌다른관계형연산자와함께사용될경우표현식은조건이목록의리터럴과일치하면참입니다. 소스 IP 주소가목록의 IP 주소와일치할경우다음규칙이트리거됩니다. Srcip == [192.168.1.1, 192.168.1.2, 192.168.1.3] 이규칙은다음과동일합니다. Srcip == 192.168.1.1 srcip == 192.168.1.2 srcip == 192.168.1.3 같지않음 (!=) 연산자와함께사용될경우표현식은조건이목록의모든리터럴과일치하지않으면참입니다. 소스 IP 주소가 192.168.1.1 또는 192.168.1.2 가아닐경우다음규칙이트리거됩니다. Srcip!= [192.168.1.1, 192.168.1.2] 이규칙은다음과동일합니다. Srcip!= 192.168.1.1 && srcip!= 192.168.1.2 목록은다른관계형연산자와함께사용할수도있지만적합하지않은경우가많습니다. 개체크기가 100 보다크거나개체크기가 200 보다클경우다음규칙이트리거됩니다. objectsize > [100, 200] 이규칙은다음과동일합니다. objectsize > 100 objectsize > 200 참고항목 : 103 페이지의 McAfee Application Data Monitor 사전작동방법 107 페이지의 McAfee Application Data Monitor 규칙구문 111 페이지의 McAfee Application Data Monitor 규칙메트릭참조 McAfee Application Data Monitor 규칙메트릭참조 McAfee Application Data Monitor 규칙추가시다음메트릭참조를사용합니다. 일반속성및일반이상의경우각각에대해입력할수있는매개변수 - 유형값이메트릭참조다음의괄호안에표시됩니다. 일반속성 속성또는용어 프로토콜 ( 숫자 ) 개체콘텐츠 ( 문자열 ) 설명 응용프로그램프로토콜 (HTTP, FTP, SMTP) 개체의콘텐츠 ( 문서내텍스트, 이메일메시지, 채팅메시지 ). 이진데이터에는콘텐츠일치를사용할수없습니다. 그러나이진개체는개체유형 (objtype) 을사용하여탐지할수있습니다. 개체유형 ( 숫자 ) McAfee Application Data Monitor 에의해결정된콘텐츠의유형 (Office 문서, 메시지, 비디오, 오디오, 이미지, 보관파일, 실행파일 ) 을지정합니다. 개체크기 ( 숫자 ) 개체의크기입니다. 숫자다음에숫자승수 K, M, G 를추가할수있습니다 (10K, 10M, 10G). 개체해시 ( 문자열 ) 콘텐츠의해시 ( 현재 MD5) 입니다. 298 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 정책및규칙 McAfee ESM 규칙유형 9 속성또는용어 설명 개체소스 IP 주소 ( 숫자 ) 콘텐츠의소스 IP 주소입니다.IP 주소는 192.168.1.1, 192.168.1.0/24, 192.168.1.0/255.255.255.0 으로지정할수있습니다. 개체대상 IP 주소 ( 숫자 ) 콘텐츠의대상 IP 주소입니다. IP 주소는 192.168.1.1, 192.168.1.0/24, 192.168.1.0/255.255.255.0 으로지정할수있습니다. 개체소스포트 ( 숫자 ) 콘텐츠의소스 TCP/UDP 포트입니다. 개체대상포트 ( 숫자 ) 콘텐츠의대상 TCP/UDP 포트입니다. 개체소스 IP 주소 v6 주소 ( 숫자 ) 콘텐츠의소스 IPv6 주소입니다. 개체대상 IPv6 주소 ( 숫자 ) 콘텐츠의대상 IPv6 주소입니다. 개체소스 MAC 주소 (Mac 이름 ) 개체대상 MAC 주소 (Mac 이름 ) 콘텐츠의소스 MAC 주소 (aa:bb:cc:dd:ee:ff) 입니다. 콘텐츠의대상 MAC 주소 (aa:bb:cc:dd:ee:ff) 입니다. 플로소스 IP 주소 (IPv4) 플로의소스 IP 주소입니다. IP 주소는 192.168.1.1, 192.168.1.0/24, 192.168.1.0/255.255.255.0 으로지정할수있습니다. 플로대상 IP 주소 (IPv4) 플로의대상 IP 주소입니다. IP 주소는 192.168.1.1, 192.168.1.0/24, 192.168.1.0/255.255.255.0 으로지정할수있습니다. 플로소스포트 ( 숫자 ) 플로의소스 TCP/UDP 포트입니다. 플로대상포트 ( 숫자 ) 플로의대상 TCP/UDP 포트입니다. 플로소스 IPv6 주소 ( 숫자 ) 플로의소스 IPv6 주소입니다. 플로대상 IPv6 주소 ( 숫자 ) 플로의대상 IPv6 주소입니다. 플로소스 MAC 주소 (Mac 이름 ) 플로대상 MAC 주소 (Mac 이름 ) 플로의소스 MAC 주소입니다. 플로의대상 MAC 주소입니다. VLAN( 숫자 ) 가상 LAN ID 입니다. 요일 ( 숫자 ) 요일입니다. 유효한값은 1~7 이며, 1 은월요일입니다. 시간 ( 숫자 ) GMT 로설정된시간입니다. 유효한값은 0-23 입니다. 선언된콘텐츠유형 ( 문자열 ) 서버에지정된콘텐츠의유형입니다. 이론적으로개체유형 (objtype) 은항상실제유형이며선언된콘텐츠유형 (content-type) 은서버 / 응용프로그램에서스푸핑될수있으므로신뢰할수없습니다. 암호 ( 문자열 ) 응용프로그램에서인증에사용하는암호입니다. URL( 문자열 ) 웹사이트 URL 입니다. HTTP 프로토콜에만적용됩니다. 파일이름 ( 문자열 ) 전송할파일의이름입니다. 표시이름 ( 문자열 ) 호스트이름 ( 문자열 ) DNS 조회에지정된호스트이름입니다. 일반이상 사용자로그오프함 ( 부울 ) 인증오류 ( 부울 ) 인증성공 ( 부울 ) 인증실패 ( 부울 ) McAfee Enterprise Security Manager 10.3.x 제품안내서 299
9 McAfee ESM 정책및규칙 McAfee ESM 규칙유형 참고항목 : 103 페이지의 McAfee Application Data Monitor 사전작동방법 107 페이지의 McAfee Application Data Monitor 규칙구문 109 페이지의 McAfee Application Data Monitor 규칙조건유형 프로토콜별속성 대부분의프로토콜에서공통된속성을제공하는것외에, McAfee Application Data Monitor 는 McAfee Application Data Monitor 규칙과함께사용할수있는프로토콜별속성도제공합니다. 프로토콜별속성의예 이러한속성이다음테이블에적용됩니다. * 탐지전용 ** 암호해독없음, X.509 인증서및암호화된데이터캡처 *** RFC822 모듈을통해 표 9-7 파일전송프로토콜모듈 FTP HTTP SMB* SSL** 표시이름파일이름호스트이름 URL 표시이름파일이름호스트이름 Referrer URL 모든 HTTP 헤더 표시이름파일이름호스트이름 표시이름파일이름호스트이름 표 9-8 이메일프로토콜모듈 DeltaSync MAPI NNTP POP3 SMTP 숨은참조 *** 숨은참조 숨은참조 *** 숨은참조 *** 숨은참조 *** 참조 *** 참조 참조 *** 참조 *** 참조 *** 표시이름 표시이름 표시이름 표시이름 표시이름 보낸사람 *** 보낸사람 보낸사람 *** 보낸사람 *** 보낸사람 *** 호스트이름 호스트이름 호스트이름 호스트이름 호스트이름 제목 *** 제목 제목 *** 제목 *** 받는사람 *** 받는사람 *** 받는사람 받는사람 *** 받는사람 *** 제목 *** 사용자이름 사용자이름 300 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 정책및규칙 McAfee ESM 규칙유형 9 표 9-9 웹메일프로토콜모듈 AOL Gmail Hotmail Yahoo 첨부파일이름 첨부파일이름 첨부파일이름 첨부파일이름 숨은참조 *** 숨은참조 *** 숨은참조 *** 숨은참조 *** 참조 *** 참조 *** 참조 *** 참조 *** 표시이름 표시이름 표시이름 표시이름 파일이름 파일이름 파일이름 파일이름 호스트이름 호스트이름 호스트이름 호스트이름 보낸사람 *** 보낸사람 *** 보낸사람 *** 보낸사람 *** 제목 *** 제목 *** 제목 *** 제목 *** 받는사람 *** 받는사람 *** 받는사람 *** 받는사람 *** 참고항목 : 114 페이지의프로토콜이상 프로토콜이상 공통속성및프로토콜별속성외에 McAfee Application Data Monitor 은낮은수준의수백가지이상, 전송및응용프로그램프로토콜도탐지합니다. 모든프로토콜이상속성은부울유형으로, McAfee Application Data Monitor 규칙을추가할때 [ 표현식구성요소 ] 페이지에서사용할수있습니다. 표 9-10 IP 용어 설명 ip.too-small IP 패킷이너무작아유효한헤더를포함하지못합니다. ip.bad-offset IP 데이터오프셋이패킷끝을지나갑니다. ip.fragmented IP 패킷이조각화되었습니다. ip.bad-checksum IP 패킷체크섬이데이터와일치하지않습니다. ip.bad-length IP 패킷 totlen 필드가패킷끝을지나갑니다. 표 9-11 TCP 용어 설명 tcp.too-small TCP 패킷이너무작아유효한헤더를포함하지못합니다. tcp.bad-offset TCP 패킷의데이터오프셋이패킷끝을지나갑니다. tcp.unexpected-fin 설정되지않은상태의 TCP FIN 플래그집합입니다. tcp.unexpected-syn 설정된상태의 TCP SYN 플래그집합입니다. tcp.duplicate-ack 이미 ACK 된 TCP 패킷 ACK 데이터입니다. tcp.segment-outsidewindow TCP 패킷은창밖에있습니다 (TCP 모듈의작은창으로실제창이아님 ). tcp.urgent-nonzero-withouturg- flag TCP 긴급필드가 0 이아니지만 URG 플래그가설정되지않았습니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 301
9 McAfee ESM 정책및규칙 McAfee ESM 규칙유형 표 9-12 DNS 용어 설명 dns.too-small DNS 패킷이너무작아유효한헤더를포함하지못합니다. dns.question-name-past-end DNS 질문이름이패킷끝을지나갑니다. dns.answer-name-past-end DNS 대답이름이패킷끝을지나갑니다. dns.ipv4-address-length-wrong DNS 응답의 IPv4 주소길이가 4바이트가아닙니다. dns.answer-circular-reference DNS 대답에는원형참조가들어있습니다. 참고항목 : 113 페이지의프로토콜별속성 ASP( 고급 Syslog 분석기 ) 규칙 ASP 는사용자정의규칙에따라 syslog 메시지의데이터를구문분석하는메커니즘을제공합니다. 고급 Syslog 분석기는시그니처 ID, IP 주소, 포트, 사용자이름, 액션등의메시지관련이벤트에데이터가상주하는위치를식별하는규칙을사용합니다. 시스템이 ASP 로그를수신할때로그의시간형식이 ASP 규칙에지정된형식과비교됩니다. 시간형식이일치하지않는경우시스템에서로그를처리하지않습니다. 시간형식의일치가능성을높이려면다양한사용자지정시간형식을추가합니다. [ 정책관리자 ] 권한을사용하여 ASP 규칙실행순서를정의할수있습니다. 사용자지정규칙 복잡한로그소스분석을정렬하는규칙을작성할수있습니다. 이기능을사용하려면정규식사용에대한지식이있어야합니다. 첫번째정규표현식은메시지를구문분석할지결정하므로규칙을분석할모든메시지에있는패턴을검색하도록첫번째규칙을작성합니다. 메시지에서값을캡처하여 ESM 의사용자지정유형에매핑하도록추가정규표현식을작성할수있습니다. 후속정규표현식은규칙일치를결정하지않으므로구문분석용으로만사용됩니다. ESM 콘솔자체에서일부로그줄의정규표현식을테스트할수있지만그래픽도구를사용하는것이좋습니다. 독립실행형설치도구외에도다양한무료웹기반도구를사용할수있습니다. 경우에따라다른유용한도구가정규표현식검색을지원하는텍스트편집기가됩니다. 정규표현식테스트에사용되는모든도구는 PCRE 표현식을지원해야합니다. 정규표현식은효율성을최대화하도록작성해야합니다. 효율성이떨어지는표현식은분석성능에좋지않은영향을미칠수있습니다. 규칙을최적화하려면 로그가조직에제공할수있는값을완전히이해합니다. 캡처된값이특정사용자지정유형필드의원하는용도에맞는지확인합니다. 고유한임의의또는많은카디널리티데이터 ( 예 : URL) 를포함하는필드를인덱싱하지않습니다. 302 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 정책및규칙 McAfee ESM 규칙유형 9 규칙이로그에서직접이벤트메시지를매핑하도록하면고유한, 임의의또는많은카디널리티문자열을메시지로매핑하지않습니다. ESM 은각고유이벤트메시지에대해데이터소스규칙을만들고많은고유문자열은 ESM 성능을저해할수있습니다. 정규화된범주를규칙에추가하여이벤트를범주화합니다. 구문분석규칙에의해생성된데이터소스규칙은기본구문분석규칙에할당된정규화를상속합니다. 기본구문분석규칙이 범주화되지않음 으로정규화되면구문분석된이벤트또한 " 범주화되지않음 " 으로정규화되고 " 범주화되지않음 " 이벤트를검색하면구문분석된이벤트가부정확하게됩니다. 사용자지정고급 Syslog 분석기규칙추가 사용자지정규칙을추가하여 ASP 로그데이터를구문분석합니다. 시작하기전에 관리자권한이있거나사용자관리권한이있는액세스그룹에속해있는지확인합니다. Perl 호환정규표현식사용에대해알고있어야합니다. ASP 구문을알고있는고급사용자인경우각탭에서설정을정의하지않고 ASP 규칙텍스트를직접추가할수있습니다. 1 [ 정책편집기 ] 에서 [ 수신기 ] [ 고급 Syslog 분석기 ] 를선택합니다. 2 [ 새로만들기 ] 를클릭한다음 [ 고급 Syslog 분석기규칙 ] 을클릭합니다. 3 [ 일반 ] 탭을선택하고정보를입력합니다. 옵션 정의 [ 이름 ] 규칙을설명하는고유한이름을입력합니다. 이텍스트는규칙이로그와일치할때 ESM 보기에나타납니다 ( 메시지가규칙의로그텍스트에서직접매핑되지않는경우 ). [ 태그 ] 태그를규칙에할당합니다. 이규칙이속하는태그를하나이상할당합니다. 이옵션은정책편집기에서지정된장치또는응용프로그램에대해생성된규칙집합을찾아서그룹화하는데도움이됩니다. 규칙에태그를지정하면 ESM 에서태그가지정된특정규칙집합을활성화한모든정책에규칙이자동으로포함됩니다. [ 기본정규화 ID] [ 기본심각도 ] [ 규칙할당 ] 여러보기, 상관규칙및보고서에서이필드를필터로사용합니다. 최대의성능을얻으려면가장관련된값을선택합니다. 로그메시지에심각도가포함되지않은경우여기입력한심각도가이벤트에할당됩니다. 기본값은 25 이고유효한값은 1-100 입니다 (1 이가장낮은심각도 ). 규칙은그룹화할수있습니다. 이풀다운메뉴는이벤트를다른데이터소스와구분하여구문분석규칙을그룹화하도록지원되는제품목록을제공합니다. 이옵션을사용하여특정제품에대한이벤트를보고할수있습니다. [ 설명 ] 규칙의범위및목적을전달하는명확하고완벽한설명을입력합니다. 4 [ 구문분석 ] 탭을선택하고정보를입력합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 303
9 McAfee ESM 정책및규칙 McAfee ESM 규칙유형 옵션 [ 프로세스이름 ] [ 콘텐츠문자열 ] 정의 콘텐츠문자열필터와비슷하지만 SYSLOG 헤더에있는프로세스이름에만적용됩니다. Syslog 헤더형식은상당히다르므로가능하면콘텐츠문자열을사용합니다. 로그에서항상고정문자열이발견될경우이문자열을콘텐츠문자열로추가합니다. ASP 규칙의콘텐츠문자열은각로그를식별해야합니다. 규칙실행속도를높이려면하나이상의콘텐츠문자열을각 ASP 규칙에포함합니다. 최적화를위한사전필터로제공되고정규표현식에서지정한콘텐츠문자열과일치하는로그만일치및구문분석에고려합니다. 로그는정의된모든콘텐츠문자열을포함해야합니다. 콘텐츠필드섹션에값이하나이상있어야합니다. 콘텐츠문자열은 3 개이상의문자로구성되고특정이벤트에대해가능한고유해야합니다. 고유하게로그를식별할수있도록일치하는콘텐츠를충분히포함합니다. ASP 규칙에하나이상의콘텐츠필드를사용하면수신기에서일치및구문분석프로세스를향상시킬수있습니다. 예를들어로그항목형식이 <180>Jan 1 00:00:00 testhost ftpd[4325]: FTP LOGIN FROM test.org [192.168.1.1], anonymous 인경우 "ftpd" 및 FTP LOGIN FROM 에대해콘텐츠필드를추가할수있습니다. [ 정규표현식 ] [ 캡처이름 ] [ 샘플로그데이터 ] 첫번째정규표현식은 ASP 규칙이로그와일치하는지를결정합니다. 시스템은추가표현식을사용하여로그의값을캡처합니다. 캡처이름을사용하여캡처그룹을더쉽게식별할수있습니다. 캡처이름에사용되는레이블은영숫자및밑줄문자로구성할수있지만숫자로시작하거나공백을포함할수없습니다. 캡처이름에대한정규표현식구문은 (?P<NAME>regular expression capture) 입니다. 예를들어호스트이름이캡처그룹에할당된이름인캡처이름은 Host\x3d(?P<hostname>\S+) 입니다. 캡처이름을사용할경우아래와같이정책편집기에서구문분석탭오른쪽에캡처번호대신캡처이름이표시됩니다. 구문분석할샘플로그항목을붙여넣습니다. 정규표현식과일치하는로그부분이파란색으로강조표시됩니다. [ 포맷 ] ASP 는특정로깅형식을사전처리하여데이터매핑을단순화할수있습니다. 다음형식을사용할수있습니다. 일반 - 기본형식이며로그가다른사용가능한형식과일치하지않는경우에사용합니다. CEF( 일반이벤트형식 ) - 이형식은각캡처에대해정규표현식을만들지않아도되고로그에있는 CEF 키이름을사용하여데이터를매핑할수있습니다. JSON - CEF 와마찬가지로각캡처에대해정규표현식을만들지않아도되고로그에있는 JSON 키이름을사용하여데이터를매핑할수있습니다. XML( 기본, 단순또는위치 ) - ASP 가 XML 형식의로그를구문분석하고분석된데이터를할당할수있습니다. XML 형식은로그에있는 XML 유형에따라선택할수있습니다. XML( 기본 ): 반복되는요소가없는 XML 입니다. XML( 단순 ): 특성이있는단일노드또는중첩이없는비반복단일요소집합의 XML 입니다. XML( 위치 ): 특성이있는다중노드및중첩이있는여러반복요소를가질수있는 XML 입니다. [ 구문분석된값 ] [ 구문분석용도로만정규표현식사용 ] [ 대 / 소문자구분안함 ] [ 데이터가일치하지않을경우트리거 ] 오른쪽의키 / 값필드에정규표현식으로로그샘플에서구문분석중인값이표시됩니다. 키는콜론으로구분된 2 개의숫자로표시됩니다. 첫번째수는정규표현식이사용중임을나타내고두번째수는정규표현식에캡처그룹이사용됨을나타냅니다. 캡처된값이정의된세번째정규표현식의네번째캡처인경우키는 3:4 가표시됩니다. 분석기는비교를위해정규표현식대신콘텐츠문자열을사용합니다. 정규표현식은메시지구문분석에만사용됩니다. 일부필드에서로그에대문자또는소문자를포함할수있는경우동일한대 / 소문자로더간단하게표현식을작성하고이옵션을사용할수있습니다. 이를통해구문분석규칙에서정의된모든정규표현식에대 / 소문자구분안함옵션을사용할수있습니다. 정규표현식이로그와일치하지않는경우규칙을트리거합니다. 304 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 정책및규칙 McAfee ESM 규칙유형 9 5 [ 필드할당 ] 탭을선택하고정보를입력합니다. a 오른쪽의값을왼쪽의 [ 필드 ] 열옆에있는 [ 표현식 ] 열로끌어서놓습니다. b 필요한필드가표시되지않는경우 [ 샘플값 ] 열위의 + 를클릭하면모든사용자지정유형필드가표시됩니다. c 원하는필드를선택한다음 [ 확인 ] 을클릭합니다. 6 [ 매핑 ] 탭을선택하고정보를입력합니다. 옵션 [ 시간형식 ] [ 액션매핑 ] [ 심각도매핑 ] 정의 로그메시지의날짜 / 타임스탬프는이필드에서정의된변수를사용하여구문분석할수있습니다. ESM 은여러표준날짜 / 타임스탬프를자동으로인식하지만다르게표시되는날짜 / 타임스탬프는인식하지못할수있습니다. 이섹션에서구문분석시시간이적절한형식으로표시되도록지정할수있습니다. 로그에사용가능한 ESM 에매핑되는액션이있는경우이옵션을사용합니다. 심각도매핑을통해로그의값을 1-100 의심각도로매핑할수있습니다. 예를들어공급업체는심각도를해당로그에낮음, 중간또는높음으로정의할수있습니다. 심각도맵섹션에서심각도값을낮음 : 25, 중간 :50, 높음 :75 로매핑할수있습니다. 7 [ 마침 ] 을클릭합니다. 8 [ 정책편집기 ] 창에서새규칙을선택합니다. 9 [ 비활성화됨 ] 을클릭한다음 [ 활성화됨 ] 을선택합니다. 10 창의오른쪽상단모서리에있는 [ 롤아웃 ] 아이콘을클릭합니다. 11 규칙을저장할지묻는메시지가표시되면 [ 예 ] 를클릭합니다. 12 [ 롤아웃 ] 창에서 [ 확인 ] 을클릭합니다. ASP 및필터규칙순서정의필요한데이터를생성하도록필터규칙또는 ASP( 고급 Syslog 분석기 ) 규칙을실행하는순서를설정합니다. 시작하기전에정책관리권한이있는지확인합니다. 1 ESM 콘솔에서 [ 정책편집기 ] 아이콘을클릭합니다. 2 [ ] 메뉴에서 [ASP 규칙순서지정 ] 또는 [ 필터규칙순서지정 ] 을선택한다음 [ 데이터소스유형 ] 필드에서데이터소스를선택합니다. 순서를지정할수있는규칙이왼쪽에표시되고순서가지정된규칙이오른쪽에표시됩니다. 3 [ 표준규칙 ] 또는 [ 사용자지정규칙 ] 탭에서끌어서놓기또는화살표를사용하여왼쪽에서오른쪽으로규칙을이동하여 [ 순서가지정되지않은규칙 ] 의위또는아래로규칙을배치합니다. [ 순서가지정되지않은규칙 ] 은왼쪽에있는모든규칙이며, 기본순서상태입니다. 4 화살표를사용하여규칙의순서를다시지정한다음 [ 확인 ] 을클릭하여변경사항을저장합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 305
9 McAfee ESM 정책및규칙 McAfee ESM 규칙유형 ASP( 고급 Syslog 분석기 ) 규칙에시간형식추가 ASP 로그의시간형식으로동기화할수있도록 ASP( 고급 Syslog 분석기 ) 규칙에사용자지정시간형식을추가합니다. 1 대시보드에서 [ 정책편집기 ] 아이콘을클릭합니다. 2 [ 규칙유형 ] 창에서수신기를선택한다음 [ 고급 Syslog 분석기 ] 를클릭합니다. 3 규칙을선택한다음 [ 편집 ] [ 수정 ] 을클릭합니다. 4 [ 매핑 ] 탭을선택한다음 [ 시간형식 ] 표위의더하기 (+) 아이콘을클릭합니다. 5 [ 시간형식 ] 필드를클릭한다음시간형식을선택합니다. 6 이형식을사용하려는시간필드를선택합니다. [ 처음 ] 및 [ 마지막 ] 은이벤트가생성된처음및마지막시간을참조합니다. 추가된 [ 사용자지정유형 ] 시간필드도나타납니다. 7 [ 확인 ] 을클릭한다음나머지정보를완료합니다. 로그샘플가져오기샘플로그를사용하여새규칙을테스트합니다. 시작하기전에최소한하나의샘플로그 ( 일반텍스트형식 ) 를사용할수있어야합니다. 1 대시보드에서 을클릭하고 [ 구성 ] 을선택합니다. 2 탐색트리에서데이터소스를선택한다음속성아이콘을클릭합니다. 3 [ 업로드 ] 를클릭합니다. 4 로그샘플파일로이동하고선택합니다. 5 [ 업로드 ] 를클릭합니다. 6 [ 닫기 ] 를클릭합니다. 7 [ 이벤트및플로가져오기 ] 를클릭합니다. 8 [ 이벤트 ] 를선택한다음 [ 시작 ] 을클릭합니다. 9 대시보드에서이벤트를찾아새로만든 ASP 규칙이예상대로구문분석하는지확인합니다. 306 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 정책및규칙 McAfee ESM 규칙유형 9 상관규칙 ESM 상관은데이터를분석하여데이터흐름의패턴을탐지하고이러한패턴에대해경보를생성하여수신기경보데이터베이스에경보를삽입합니다. 상관규칙은데이터의패턴결과를해석합니다. 상관규칙은방화벽또는표준규칙과분리된고유한것으로, 해당동작을지정하는특성이있습니다. 각수신기는 ESM( 배포된상관규칙집합 ) 에서상관규칙집합을가져오며이는사용자정의매개변수값이포함된 0 개이상의상관규칙집합으로구성되어있습니다. ESM 에는기준상관규칙집합이포함되어있으며규칙업데이트서버에서업데이트됩니다. 규칙업데이트서버의규칙은기본값을포함합니다. 기준상관엔진규칙집합을업데이트하는경우네트워크를제대로나타낼수있도록이러한기본값을사용자지정합니다. 기본값을변경하지않고이러한규칙을배포하는경우잘못된긍정또는잘못된부정을생성할수있습니다. 데이터소스를구성할때상관을사용하도록설정합니다. syslog 또는 OPSEC 를구성하는것과유사한방식으로수신기당하나의상관데이터소스만구성할수있습니다. 상관데이터소스를구성한후 [ 상관규칙편집기 ] 로기준상관규칙집합을편집하여배포된상관규칙집합을만들수있습니다. 각상관규칙을활성화하거나비활성화하고각규칙의사용자정의가능매개변수값을설정할수있습니다. 또한사용자지정규칙을만들고상관구성요소를상관규칙에추가할수도있습니다. 사용자지정상관규칙의예 이예에서는 McAfee ESM 이 Windows 시스템의단일소스에서 5 번의로그온시도실패를탐지하고 10 분내에로그온이성공하면상관규칙을통해경보를생성하는방법을보여줍니다. 1 [ 정책편집기 ] 의 [ 규칙유형 ] 창에서 [ 상관 ] 을클릭합니다. 2 [ 새로만들기 ] 를클릭한다음 [ 상관규칙 ] 을선택합니다. 3 설명적인이름을입력한다음심각도설정을선택합니다. 이규칙에의해생성된이벤트는인증되지않은사람이시스템에액세스했음을나타내므로적절한심각도설정은 80 입니다. 4 [ 인증 ] 또는 [ 인증 ] [ 로그인 ] 일수있는정규화 ID 를선택한다음 [AND] 논리요소를끌어놓습니다. 두가지유형의액션이필요하기때문에 [AND] 를선택합니다 ( 로그온시도후성공한로그온 ). 5 [ 메뉴 ] 아이콘을클릭한다음 [ 편집 ] 을선택합니다. 6 [ 시퀀스 ] 를선택하여액션이순서대로발생되어야함 ( 첫번째로 5 번의실패한로그인시도및두번째로성공한로그인 ) 을나타낸다음이시퀀스가발생되어야하는횟수, 즉 "1" 을설정합니다. 7 액션이발생되어야하는기간을설정한다음 [ 확인 ] 을클릭합니다. 시간기간이필요한두가지액션이있기때문에둘사이에 10 분의간격이있어야합니다. 이예에서는각액션에 5 분을지정합니다. 실패한시도가 5 분내에발생하면시스템은다음 5 분내에동일한 IP 소스에서성공한로그인을수신하기시작합니다. 8 [ 그룹화기준 ] 필드에서아이콘을클릭하고 [ 소스 IP ] 옵션을왼쪽에서오른쪽으로이동하여모든액션이동일한소스 IP 에서생성됨을나타낸다음 [ 확인 ] 을클릭합니다. 9 이규칙또는구성요소에대한논리를정의합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 307
9 McAfee ESM 정책및규칙 McAfee ESM 규칙유형... 수행방법... 원하는이벤트를식별하는필터유형을지정합니다 ( 이경우 Windows 시스템에서여러번실패한로그온시도 ). 1 [ 필터 ] 아이콘을끌어 AND 논리적요소에놓습니다. 2 [ 필터필드구성요소 ] 페이지에서 [ 추가 ] 를클릭합니다. 3 [ 정규화규칙 ] [ 포함 ] 을선택하고다음을선택합니다. [ 정규화 ] [ 호스트로그인 ] [ 인증 ] [ 로그인 ] 4 [ 확인 ] 을클릭합니다. [Windows 호스트에서여러번실패한로그인시도 ] 로그온실패가발생되어야하는횟수및기간을설정합니다. 1 [AND] 논리적요소를 [ 필터 ] 막대에끌어놓습니다. 5 번의시도가별도로발생되어야하므로 [AND] 요소가사용됩니다. 이요소를사용하여로그인실패가발생되어야하는횟수및기간을설정할수있습니다. 2 방금추가한 [AND] 요소에대한 [ 메뉴 ] 아이콘을클릭한다음 [ 편집 ] 을클릭합니다. 3 [ 임계값 ] 필드에 [5] 를입력하고현재있는다른값을제거합니다. 4 [ 기간 ] 필드를 [5] 로설정합니다. 5 [ 확인 ] 을클릭합니다. 발생되어야하는두번째필터유형인성공한로그온을정의합니다. 1 [ 필터 ] 아이콘을첫번째 [AND] 논리적요소각괄호의아래쪽끝으로끌어놓습니다. 2 [ 구성요소일치 ] 페이지에서 [ 추가 ] 를클릭합니다. 3 필드에서 [ 정규화규칙 ] [ 포함 ] 을선택하고다음을선택합니다. [ 정규화 ] [ 인증 ] [ 로그인 ] [ 호스트로그인 ] 4 [ 확인 ] 을클릭하여 [ 구성요소일치 ] 페이지로돌아갑니다. 5 " 성공 " 을정의하려면 [ 추가 ] 를클릭하고 [ 이벤트하위유형 ] [ 포함 ] 을선택한다음 [ 변수 ] 아이콘을클릭하고 [ 이벤트하위유형 ] [ 성공 ] [ 추가 ] 를클릭합니다. 6 [ 확인 ] 을클릭하여 [ 정책편집기 ] 로돌아갑니다. 상관규칙상세정보보기 상관규칙상세정보를확인하여규칙이트리거된원인을파악하고잘못된긍정을조정합니다. 시작하기전에 관리자권한이있거나정책관리권한이있는액세스그룹에속해있는지확인합니다. 상세정보는요청시항상수집됩니다. 그러나종종변경될수있는다른값또는동적관심목록을사용하는규칙의경우트리거직후상세정보를볼수있도록규칙을설정할수있습니다. 그러면상세정보를사용할수없게될가능성이줄어듭니다. 308 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 정책및규칙 McAfee ESM 규칙유형 9 1 대시보드에서을클릭하고 [ 상관 ] 을선택합니다. 2 상세정보를즉시볼수있도록규칙을설정합니다. a ESM 콘솔에서 [ 정책편집기 ] 아이콘을클릭한다음 [ 규칙유형 ] 창에서 [ 상관 ] 을클릭합니다. b 규칙의 [ 상세정보 ] 열을클릭하고 [ 설정 ] 을선택합니다. 한번에둘이상의규칙을선택할수있습니다. 3 상세정보를봅니다. a 시스템탐색트리의 McAfee ACE 장치에서 [ 규칙상관 ] 을클릭합니다. b 보기목록에서 [ 이벤트보기 ] [ 이벤트분석 ] 을선택한다음보려는이벤트를클릭합니다. c [ 상관상세정보 ] 탭을클릭하여상세정보를봅니다. 상관규칙또는구성요소에매개변수추가 매개변수를사용하여상관규칙실행시동작방식을제어할수있습니다. 매개변수는선택사항입니다. 1 [ 상관규칙 ] 또는 [ 상관구성요소 ] 페이지에서 [ 매개변수 ] 를클릭합니다. 2 [ 추가 ] 를클릭한다음매개변수의이름을입력합니다. 3 이에대해원하는매개변수유형을선택한다음값을선택하거나선택취소합니다. [ 목록 ] 및 [ 범위 ] 값은동시에사용할수없습니다. 목록값은범위 (1 6, 8, 10, 13) 를포함할수없습니다. 올바로쓰는방법은 1, 2, 3, 4, 5, 6, 8, 10, 13 입니다. 4 매개변수에대해기본값을선택하려면 [ 기본값편집기 ] 아이콘을클릭합니다. 5 매개변수가외부에서보이지않도록하려면 [ 외부에표시 ] 를선택취소합니다. 매개변수는규칙범위에로컬입니다. 6 이매개변수의설명을입력합니다. 그러면매개변수가강조표시될때 [ 규칙매개변수 ] 페이지의 [ 설명 ] 텍스트상자에표시됩니다. 7 [ 확인 ] 을클릭한다음 [ 닫기 ] 를클릭합니다. 이벤트필드를비교하는상관규칙설정 이벤트필드를비교하는상관규칙을설정합니다 ( 예 : 소스와대상사용자가동일한지비교 ). 소스 IP 주소및대상 IP 주소가다른지확인하는규칙을설정할수도있습니다. 1 ESM 콘솔에서 [ 정책편집기 ] 아이콘을클릭합니다. 2 [ 규칙유형 ] 창에서 [ 상관 ] 을선택하고필드를비교하려는규칙을클릭한다음 [ 편집 ] [ 수정 ] 을클릭합니다. 3 논리구성요소의메뉴아이콘을클릭한다음 [ 편집 ] 을클릭합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 309
9 McAfee ESM 정책및규칙 McAfee ESM 규칙유형 4 필터영역에서 [ 추가 ] 를클릭하거나기존필터를선택하고 [ 편집 ] 을클릭합니다. 5 [ 기본값편집기 ] 아이콘을클릭하여값을입력하고 [ 추가 ] 를클릭한다음 [ 필드 ] 탭에서필드를선택하고 [ 추가 ] 를 클릭합니다. 숫자필드의경우보다큼 (>), 보다작음 (<), 크거나같음 (>=) 및작거나같음 (<=) 연산자가지원됩니다. 상관규칙구성요소재정의 특정필드별로그룹화하는상관규칙을설정한경우다른필드에서일치하도록규칙의구성요소를재정의할수있습니다. 예를들어소스 IP 주소에대한상관규칙에서 [ 그룹화기준 ] 필드를설정한경우대상 IP 주소를사용하도록규칙의구성요소를재정의할수있습니다. 즉, 재정의한구성요소와일치하는이벤트를제외한모든이벤트는소스 IP 주소가동일합니다. 이러한이벤트는다른이벤트의소스 IP 주소와동일한대상 IP 주소를갖습니다. 특정대상에서이동하는단일이벤트뒤에해당대상에서발생하는또다른이벤트를찾도록규칙구성요소를재정의합니다. 1 ESM 콘솔에서 [ 정책편집기 ] 아이콘을클릭합니다. 2 [ 규칙유형 ] 창에서 [ 상관 ] 을클릭하고규칙을선택한다음 [ 편집 ] [ 수정 ] 을클릭합니다. 3 [ 상관논리 ] 영역에서 [ 구성요소일치 ] 논리요소를끌어놓은다음메뉴아이콘을클릭하거나 [ 상관논리 ] 영역에서기존 [ 구성요소일치 ] 요소의메뉴아이콘을클릭합니다. 4 [ 편집 ] 을선택하고 [ 고급옵션 ] 을클릭한다음 [ 그룹화기준재정의 ] 를선택하고 [ 구성 ] 을클릭합니다. 5 [ 그룹화기준재정의구성 ] 페이지에서재정의필드를선택한다음 [ 확인 ] 을클릭합니다. 데이터소스규칙 데이터소스규칙에기본액션이정의되어있습니다. McAfee Event Receiver 는이액션을규칙과연관된이벤트하위유형에할당합니다. 데이터소스규칙목록에는사전정의되고자동학습된규칙이들어있습니다. McAfee Event Receiver 는 McAfee Event Receiver 와연결된데이터소스에서전송된정보를처리할때데이터소스규칙을자동학습합니다. [ 규칙유형 ] 창의 [ 데이터소스 ] 옵션은시스템탐색트리에서정책, 데이터소스, [ 고급 Syslog 분석기 ] 또는 McAfee Event Receiver 를선택하는경우에만표시됩니다. 페이지하단의설명영역에서선택된규칙에대한자세한내용을제공합니다. 모든규칙에는규칙과관련된우선순위를지정하는심각도설정이있으며이규칙에대해생성된경보가보고목적으로표시되는방법에영향을미칩니다. 데이터소스규칙액션설정 데이터소스규칙별로이벤트하위유형값을설정할수있습니다. 이는선택액세스규칙의결과 ( 허용 / 거부 ) 와같이다른값을사용하는경보, 대시보드, 보고서, 구문분석규칙에대해기본규칙액션을설정할수있다는것입니다. 1 ESM 콘솔에서 [ 정책편집기 ] 아이콘을클릭한다음 [ 수신기 ] [ 데이터소스 ] 를 [ 규칙유형 ] 창에서선택합니다. 2 변경해야하는규칙에대한 [ 하위유형 ] 열을클릭한다음새액션을선택할수있습니다. [ 활성화 ] 를선택하면이벤트하위유형이기본액션, [ 경보 ] 로채워집니다. 해당규칙에대한이벤트를수집하지않는경우 [ 비활성화 ] 를선택합니다. 다른액션을선택하여이벤트하위유형을해당액션으로채웁니다. 310 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 정책및규칙 McAfee ESM 규칙유형 9 자동학습된데이터소스규칙관리자동학습된데이터소스규칙을보고변경합니다. 1 [ 정책편집기 ] 에서 [ 수신기 ] [ 데이터소스 ] 를선택합니다. 2 [ 필터 / 태그지정 ] 창에서, 창맨아래의 [ 고급 ] 막대를클릭합니다. 3 [ 원본 ] 드롭다운목록에서 [ 사용자정의 ] 를선택한다음 [ 쿼리실행 ] 아이콘을클릭합니다. 4 변경하거나삭제하려는규칙을선택하고 [ 편집 ] 을클릭한다음 [ 수정 ] 또는 [ 자동학습된규칙삭제 ] 를선택합니다. [ 수정 ] 을선택한경우이름, 설명또는정규화된 ID 를변경한다음 [ 확인 ] 을클릭합니다. [ 자동학습된규칙삭제 ] 를선택한경우올바른옵션을선택한다음 [ 확인 ] 을클릭합니다. McAfee Database Event Monitor(DEM) 규칙 McAfee DEM 의강력한기능은네트워크패킷정보를캡처하고정규화하는방식에있습니다. 패턴일치에논리및정규표현식을사용하여 DEM 규칙을만들어잘못된긍정을거의사용하지않고데이터베이스또는응용프로그램메시지를모니터링합니다. 일부응용프로그램프로토콜및메시지가다른응용프로그램프로토콜및메시지보다더풍부하므로정규화된데이터 ( 메트릭 ) 는각응용프로그램에따라달라집니다. 필터표현식을조작할때는구문뿐만아니라메트릭이응용프로그램에대해지원되는지확인하여주의해야합니다. DEM 에는기본규칙집합이포함되어있습니다. 기본컴플라이언스규칙은로그온 / 로그오프, DDL 변경과같은 DBA 유형, 의심스러운, 일반적으로컴플라이언스요구사항을충족하는데필요한데이터베이스공격등중요한데이터베이스이벤트를모니터링합니다. 각기본규칙을활성화하거나비활성화하고각규칙의사용자정의가능한매개변수값을설정할수있습니다. 아래표에서 DEM 규칙유형을설명합니다. 규칙유형 데이터베이스 데이터액세스 설명 DEM 기본규칙세트에는지원되는각데이터베이스유형에대한규칙및 SOX, PCI, HIPAA, FISMA 와같은공통규정이포함됩니다. 각기본규칙을활성화하거나비활성화하고각규칙의사용자정의가능한매개변수값을설정할수있습니다. 일부응용프로그램프로토콜및메시지가다른응용프로그램프로토콜및메시지보다더풍부하므로정규화된데이터 ( 메트릭 ) 는각응용프로그램에따라달라집니다. 규칙은필요에따라복잡하게만들수있으며논리및정규표현식연산자를모두포함할수있습니다. 규칙표현식은응용프로그램에사용할수있는하나이상의메트릭에적용할수있습니다. DEM 의데이터액세스규칙은알수없는데이터베이스액세스경로를추적하고실시간으로경보를보냅니다. 적절한데이터액세스규칙을만들면응용프로그램개발자가응용프로그램로그온 ID 를사용하여프로덕션시스템에액세스하는등데이터베이스환경에서발생하는일반적인위반을쉽게추적할수있습니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 311
9 McAfee ESM 정책및규칙 McAfee ESM 규칙유형 규칙유형 탐색 트랜잭션추적 설명 DEM 의데이터베이스탐색규칙은네트워크에있지만모니터링되지않는, ESM 에서지원하는유형의데이터베이스서버예외목록을제공합니다. 탐색규칙을사용하면보안관리자는환경에추가된새데이터베이스서버와데이터베이스의데이터에액세스하기위해열린잘못된수신기포트를탐색할수있습니다. 탐색규칙 ([ 정책편집기 ] [DEM 규칙유형 ] [ 탐색 ]) 은추가하거나편집할수없는기본규칙입니다. 데이터베이스서버의탐색옵션이활성화된경우 ([DEM 속성 ] [ 데이터베이스서버 ] [ 활성화 ]) 시스템은이규칙을사용하여네트워크에있지만 DEM 장치에나열되지않은데이터베이스서버를검색합니다. 트랜잭션추적규칙을사용하면데이터베이스트랜잭션을추적하고변경을자동조정할수있습니다. 예를들어기존의변경티켓팅시스템에서인증된순서로데이터베이스변경을추적하고조정하는시간이많이걸리는프로세스를완전히자동화할수있습니다. 이기능의사용은다음예를통해가장잘이해할수있습니다. 프로시저상 DBA 는실제로인증된을시작하기전에이수행되는데이터베이스에서시작태그저장프로시저 ( 이예에서는 spchangecontrolstart) 를실행합니다. DBA 는 DEM 의 [ 트랜잭션추적 ] 기능을사용하여선택적문자열매개변수를태그의인수로최대세개까지다음순서로포함할수있습니다. 1 ID 2 이름또는 DBA 이니셜 3 설명 예를들어 spchangecontrolstart 12345, mshakir, reindexing app 와같이포함합니다. DEM 에서실행되는 spchangecontrolstart 프로시저를관찰하면트랜잭션뿐만아니라매개변수 (ID, 이름, 설명 ) 도특별한정보로로깅합니다. 이완료되면 DBA 는끝태그저장프로시저 (spchangecontrolend) 를실행하고선택적으로하나의 ID 매개변수를포함합니다. 이 ID 는시작태그의 ID 와동일해야합니다. DEM 에서끝태그 ( 및 ID) 를살펴볼때시작태그 ( 동일한 ID 포함 ) 와끝태그사이의모든을특별한트랜잭션으로연결할수있습니다. 이제트랜잭션별로보고하고 ID 로검색할수있습니다. 이 ID 는이순서조정예에서변경제어번호일수있습니다. 또한트랜잭션추적을사용하여트레이드실행의시작과끝을로깅하거나명령문을시작하고커밋하여쿼리대신트랜잭션별로보고할수도있습니다. 데이터액세스규칙설정 액세스규칙을설정하여알수없는액세스경로를추적하고실시간으로이벤트를보냅니다. 예를들어응용프로그램개발자가응용프로그램로그온 ID 를사용하여프로덕션시스템에액세스하는등데이터베이스환경에서발생하는일반적인위반을추적합니다. 1 [ 정책편집기 ] 의 [ 규칙유형 ] 창에서 [DEM] [ 데이터액세스 ] 를선택합니다. 2 다음중하나를수행합니다. [ 새로만들기 ] 를선택한다음 [ 데이터액세스규칙 ] 을클릭합니다. 규칙표시창에서규칙을선택한다음 [ 편집 ] [ 수정 ] 을클릭합니다. 3 정보를입력한다음 [ 확인 ] 을클릭합니다. 필터규칙 필터규칙을통해정의하는데이터를수신기에서받을때수행할액션을지정할수있습니다. 데이터순서다음데이터순서로필터규칙을수신기에씁니다. 1 모두비 " 모두탐지 " 규칙 a 중지 = 참및구문분석 = 거짓및로그 = 거짓 312 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 정책및규칙 McAfee ESM 규칙유형 9 b c d 중지 = 참및구문분석 = 참및로그 = 참 중지 = 참및구문분석 = 참및로그 = 거짓 중지 = 참및구문분석 = 거짓및로그 = 참 2 모두 " 모두탐지 " 규칙 규칙순서 [ 정책관리자 ] 권한이있는경우필터규칙을실행할수있는순서를정의할수있습니다. 그러면가장효과적인순서로이규칙이실행되고필요한데이터를생성합니다. 필터규칙추가필터규칙을 [ 정책편집기 ] 에추가합니다. 시작하기전에정책관리자권한이있는지확인합니다. 1 [ 정책편집기 ] 에서 [ 수신기 ] [ 필터 ] 를선택합니다. 2 [ 새로만들기 ] 를선택한다음 [ 필터규칙 ] 을클릭합니다. 3 필드를완료한다음 [ 확인 ] 을클릭합니다. 옵션 정의 [ 태그 ] [ 선택 ] 을클릭하고태그를선택하여이규칙이속하는범주를정의합니다. [ 이름 ] 규칙의이름을입력합니다. [ 정규화된 ID] ( 선택사항 ) [ 정규화된 ID] 아이콘을클릭한다음추가정규화된 ID 를선택합니다. [ 심각도 ] ( 선택사항 ) 규칙의심각도설정을변경합니다. [ 모두일치 ] PCRE 또는콘텐츠문자열없이규칙을쓰려는경우선택합니다. 이옵션을선택하면수신된모든데이터에대해 [ 이규칙으로수행할액션 ] 섹션에서지정하는액션이수행됩니다. [ 콘텐츠문자열 ] [PCRE] [ 대 / 소문자구분안함 ] ( 선택사항 ) 콘텐츠문자열을입력하여수신되는데이터를필터링합니다. 수신된데이터가이러한콘텐츠문자열과일치하는경우지정하는액션이수행됩니다. 문자열을추가하려면 [ 추가 ] 를클릭하고문자열을입력합니다. 문자열을편집하거나제거하려면문자열을선택합니다. ( 선택사항 ) 단일 PCRE 를입력하여수신되는데이터를필터링합니다. 수신된데이터가이 PCRE 와일치하는경우이대화상자에서지정하는액션이수행됩니다. PCRE 콘텐츠가대 / 소문자에관계없이일치하도록대 / 소문자를구분하지않는수정자를추가하려면선택합니다. [ 액션 ] 수신된데이터가 PCRE 및콘텐츠문자열과일치하는경우또는 [ 모두일치 ] 가선택된경우받은모든데이터에대해수행할액션을선택합니다. 필요에따라이러한액션을최대한많이선택할수있습니다. [ 설명 ] ( 선택사항 ) 규칙의설명을입력합니다. 설명은규칙을선택할때 [ 정책편집기 ] 의 [ 설명 ] 필드에표시됩니다. 4 규칙을활성화하려면규칙표시창에서규칙을선택하고 [ 액션 ] 열에서설정을클릭한다음 [ 활성화됨 ] 을클릭합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 313
9 McAfee ESM 정책및규칙 McAfee ESM 규칙유형 트랜잭션추적규칙관리 트랜잭션추적규칙은데이터베이스트랜잭션을추적하고변경사항을자동조정하고트레이드실행의시작과끝을로깅하고명령문을시작하고커밋하여쿼리대신트랜잭션별로보고할수있습니다. 1 [ 정책편집기 ] 에서 [DEM] [ 트랜잭션추적 ] 을선택합니다. 2 다음중하나를수행합니다. [ 새로만들기 ] 를클릭한다음 [ 트랜잭션추적규칙 ] 을클릭합니다. 규칙표시창에서규칙을선택한다음. [ 편집 ] [ 수정 ] 을클릭합니다. 3 정보를입력한다음 [ 확인 ] 을클릭합니다. 옵션 정의 [ 유형 ] 트랜잭션추적규칙의유형을선택합니다. [ 규칙이름 ] 규칙의이름을입력합니다. 이름은고유해야하며영숫자, 밑줄 (_) 및공백만포함할수있습니다. [ 쿼리태그시작 ] [ 쿼리태그중지 ] 데이터베이스를변경하기전에실행할 SQL 쿼리를입력합니다 ( 예 : spchangecontrolstart). 데이터베이스를변경한후실행할 SQL 쿼리를입력합니다 ( 예 : spchangecontrolend). [ 태그 ] [ 선택 ] 을클릭하고이규칙과연결하려는태그를선택한다음 [ 확인 ] 을클릭합니다. [ 정규화된 ID] 기본값을변경하려면아이콘을클릭한다음 ID 를선택합니다. [ 심각도 ] 심각도설정을선택합니다. [ 설명 ] 규칙에대한설명을입력합니다. 변수 변수는사용자와관련되거나사이트와관련된정보의자리표시자또는글로벌설정입니다. 많은규칙에서변수를사용합니다. 변수를추가하거나변경하기전에 Snort 형식에대해광범위하게알고있는것이좋습니다. 변수는특정방식으로규칙이작동하도록하기위해사용되며장치에따라다를수있습니다. ESM 에는여러사전설정된변수가있지만사용자지정변수를추가할수도있습니다. 규칙을추가할때이러한변수는 [ 새변수 ] 페이지의 [ 유형 ] 필드에서선택한필드유형의드롭다운목록에서옵션으로표시됩니다. 각변수에는기본값이있지만각장치의특정환경에해당하는일부값을설정하는것이좋습니다. 변수이름을입력하는경우공백이허용되지않습니다. 공백이필요한경우밑줄 ( _ ) 문자를사용합니다. 장치의효율성을최대화하려면 HOME_NET 변수를특정장치에서보호하는홈네트워크로설정하는것이중요합니다. 이테이블은공통변수및해당기본값목록을표시합니다. 변수이름설명기본값기본값설명 EXTERNAL_NET 보호받는네트워크외부의모든사람!$HOME_NET 포트 80 HOME_NET 로컬보호네트워크주소공간 : (10.0.0.0/80) 임의 HOME_NET 와동일 HTTP_PORTS HTTP_SERVE RS 웹서버포트 : 80 또는 80 에서 90 까지범위의경우 80:90 웹서버의주소 : 192.168.15.4 또는 [192.168.15.4,172.16.61.5] 80 HTTP_PORTS 를제외한포트 $HOME_NET HOME_NET 와동일 314 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 정책및규칙 McAfee ESM 규칙유형 9 변수이름설명기본값기본값설명 SHELLCODE_PORTS 웹서버포트를제외한모두!$HTTP_PORTS HOME_NET 와동일 SMTP 메일서버주소 $HOME_NET HOME_NET 와동일 SMTP_SERVERS 메일서버주소 $HOME_NET HOME_NET 와동일 SQL_SERVERS SQL DB 서버의주소 $HOME_NET HOME_NET 와동일 TELNET_SERVERS 텔넷서버의주소 $HOME_NET HOME_NET 와동일 시스템과함께제공되는변수는변경할수있습니다. 사용자지정변수는추가, 변경또는삭제될수있습니다. 사용자지정변수에유형을할당할수있습니다. 변수유형은보고서의규칙을필터링할때사용되며규칙을추가하거나변경할때사용가능한변수의필드를결정합니다. 변수유형은글로벌이며변경한사항이모든정책의모든수준에반영됩니다. 변수관리 [ 정책편집기 ] 에서변수규칙유형을선택할때사용자지정변수및사전정의된변수모두를관리하기위해몇가지액션을수행할수있습니다. 1 [ 정책편집기 ] 아이콘을클릭합니다. 2 [ 규칙유형 ] 창에서 [ 변수 ] 를선택합니다. 3 다음중하나를수행합니다. [ 새로만들기 ] [ 범주 ] 를선택하여범주를추가합니다. 범주를선택하여사용자지정변수를추가한다음 [ 새로만들기 ] 를클릭하고 [ 변수 ] 를선택한다음요청한설정을정의합니다. 변수를선택하여변수를변경한다음 [ 편집 ] 을선택한다음 [ 수정 ] 또는 [ 삭제 ] 를클릭합니다. 변수유형이 [ 선택된유형없음 ] 외의유형으로설정되어커밋된경우값을변경할수없습니다. [ 파일 ] 을선택하여변수를가져온다음 [ 가져오기 ] [ 변수 ] 를클릭합니다. [ 가져오기 ] 를클릭한다음파일을찾아업로드합니다. 가져오기파일은이형식으로다음정보가포함된.txt 파일이어야합니다. VariableName;VariableValue; CategoryName( 선택사항 ); 설명 ( 선택사항 ). 한개의필드가누락된경우자리표시자역할을위해세미콜론이해당자리에있어야합니다. 4 규칙표시창에서범주를선택한다음 [ 새로만들기 ] 를클릭합니다. 5 [ 변수 ] 를선택한다음요청한설정을정의합니다. TCP 프로토콜이상및세션가로채기탐지 TCP 프로토콜이상을탐지하고경보를발생하며 Stream5 전처리기변수를사용하여 TCP 세션가로채기를확인할수있습니다. 1 ESM 콘솔에서 [ 정책편집기 ] 아이콘을클릭합니다. 2 [ 규칙유형 ] 창에서 [ 변수 ] 를클릭합니다. 3 변수창에서 [ 전처리기 ] 그룹을확장한다음 [STREAM5_TCP_PARAMS] 를두번클릭합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 315
9 McAfee ESM 정책및규칙패킷초과구독정의 4 [ 변수수정 ] 페이지의 [ 값 ] 필드에다음중하나를추가합니다. TCP 프로토콜이상을탐지하고경보를발생시키려면 [ 먼저정책 ] 이후 detect_anomalies 를추가합니다. TCP 세션가로채기를확인하려면 [ 먼저정책 ] 이후 detect_anomalies check_session_hijacking 을추가합니다. Windows 이벤트규칙 Windows 이벤트규칙은 Windows 와관련된이벤트를생성하는데사용됩니다. Windows 이벤트에대한데이터소스규칙이며일반사용케이스이기때문에데이터소스규칙유형과구분됩니다. McAfee 는이러한규칙을정의합니다. 추가, 변경또는삭제할수는없지만속성설정을변경할수는있습니다. 패킷초과구독정의 초과구독은장치용량을초과할경우 McAfee ESM 에서패킷을처리하는방법을정의합니다. 각경우패킷이이벤트로기록됩니다. 경보전용모드또는초과구독모드에서작동하도록기본정책을설정할수있습니다. 또한규칙업데이트상태를보고업데이트를초기화할수있습니다. 1 [ 정책편집기 ] 에서 [ 설정 ] 아이콘을클릭합니다. 2 [ 초과구독모드 ] 필드에서 [ 업데이트 ] 를클릭합니다. 3 [ 값 ] 필드에기능을입력합니다. a 전달 (pass 또는 1) - 삭제될패킷을검색하지않고전달하도록허용합니다. b 삭제 (drop 또는 0) - 장치의용량을초과하는패킷을삭제합니다. c 이벤트를생성하지않고패킷을전달하거나삭제하려면 spass 또는 sdrop 을입력합니다. 4 [ 확인 ] 을클릭합니다. [ 초과구독모드 ] 를변경하면주장치및보조장치 ( 가상장치 ) 에영향을미칩니다. 이변경사항을적용하려면주장치에서모드를변경해야합니다. 정책업데이트상태보기 McAfee ESM 장치에대한정책업데이트상태를검토하여정책업데이트롤아웃시기를결정합니다. 1 [ 정책편집기 ] 에서 [ 설정 ] 아이콘을클릭합니다. 2 [ 상태 ] 필드에서최신상태, 구식, 자동롤아웃에예약된장치번호를봅니다. 3 [ 닫기 ] 를클릭합니다. 316 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 정책및규칙규칙관리 9 규칙관리 [ADM], [DEM], [ 패킷심층분석 ], [ 고급 Syslog 분석기 ] 및 [ 상관 ] 규칙을보고, 복사하고붙여넣을수있습니다. 이러한유형의사용자정의규칙을수정하거나삭제할수있습니다. 표준규칙을수정할수있지만새사용자정의규칙으로저장해야합니다. 1 [ 정책편집기 ] 의 [ 규칙유형 ] 창에서하려는규칙유형을선택합니다. 2 사용자지정규칙을보려면 : a [ 필터 / 태그지정 ] 창에서 [ 필터 ] 탭을선택합니다. b 창하단에서 [ 고급 ] 막대를클릭합니다. c 일반 - 고급 Syslog 분석기규칙을보려면 [ 장치유형 ID] 필드를지웁니다. d [ 원본 ] 필드에서 [ 사용자정의 ] 를선택한다음 [ 쿼리실행 ] 을클릭합니다. 3 규칙을복사하고붙여넣으려면 : a 사전정의된규칙또는사용자지정규칙을선택합니다. b [ 편집 ] [ 복사 ] 를선택한다음 [ 편집 ] [ 붙여넣기 ] 를선택합니다. 복사한규칙이동일한이름과설정으로기존규칙목록에추가됩니다. ASP 및필터규칙의경우규칙순서가복사프로세스의일부로복사됩니다. c 새규칙의순서가데이터구문분석 ([ ] [ASP 규칙순서지정 ]) 또는 ([ ] [ 필터규칙순서지정 ]) 에나쁜영향을주지않는지확인합니다. d 이름을바꾸려면 [ 편집 ] [ 수정 ] 을선택합니다. 4 규칙을수정하려면 : a 보려는규칙을강조표시한다음. [ 편집 ] [ 수정 ] 을선택합니다. b 설정을변경한다음 [ 확인 ] 을클릭합니다. 사용자정의규칙인경우변경내용과함께저장됩니다. 표준규칙인경우새사용자정의규칙으로변경내용을저장하라는메시지가표시됩니다. [ 예 ] 를클릭합니다. 규칙의이름을변경하지않은경우동일한이름과다른 sigid 를사용하여저장됩니다. c 이름을변경하려면규칙을선택한다음 [ 편집 ] [ 수정 ] 을선택합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 317
9 McAfee ESM 정책및규칙규칙관리 318 페이지의규칙가져오기다른 ESM 에서규칙집합을가져와서사용하는 ESM 에저장합니다. 319 페이지의변수가져오기변수파일을가져오고해당유형을변경합니다. 충돌이있으면시스템은새변수의이름을자동으로바꿉니다. 319 페이지의규칙내보내기정책의사용자지정규칙또는모든규칙을내보내면다른 ESM 으로가져올수있습니다. 320 페이지의기존규칙필터링기존규칙을필터링하여기준에맞는규칙만봅니다. 기본적으로특정유형의규칙은사전순으로 [ 정책편집기 ] 에나타납니다. 시간을기준으로나열하거나태그를사용하여규칙을필터링할수있습니다. 321 페이지의규칙시그니처보기 McAfee 온라인시그니처데이터베이스에액세스하는경우규칙의시그니처에대한정보를볼수있습니다. 이옵션은방화벽, 패킷심층분석및데이터소스규칙에대해사용할수있습니다. 321 페이지의규칙업데이트검색네트워크트래픽을검사하기위해장치에서사용하는규칙시그니처는 McAfee 시그니처팀에서계속업데이트하고중앙서버에서다운로드할수있습니다. 이러한규칙업데이트는자동으로또는수동으로검색할수있습니다. 321 페이지의업데이트된규칙상태지우기시스템에규칙을변경또는추가할때업데이트를검토할기회가제공되면이러한표시를선택취소할수있습니다. 322 페이지의규칙파일비교수신기, McAfee Application Data Monitor(ADM) 및 McAfee Database Event Monitor(DEM) 등의장치와규칙파일을비교하면 ( 적용됨, 현재, 롤백또는스테이징됨 ) 현재정책이장치에적용되는경우변경사항을확인할수있습니다. 322 페이지의규칙변경기록보기변경사항이발생한날짜및규칙의요약을포함하여최근규칙변경사항을볼수있습니다. 322 페이지의태그를규칙또는자산에할당태그를규칙에할당하여해당태그에따라규칙을필터링할수있습니다. McAfee ESM 에는사전정의된태그가포함되어있지만조직에고유한태그를만들수도있습니다. 규칙가져오기 다른 ESM 에서규칙집합을가져와서사용하는 ESM 에저장합니다. 1 [ 정책편집기 ] 의 [ 규칙유형 ] 창에서가져오는규칙또는정책유형을클릭합니다. 2 [ 파일 ] [ 가져오기 ] 를클릭한다음 [ 규칙 ] 을선택합니다. 이변경은실행취소할수없습니다. 3 [ 규칙가져오기 ] 를클릭한다음가져오려는파일을찾고 [ 업로드 ] 를선택합니다. 파일이 ESM에업로드됩니다. 4 [ 규칙가져오기 ] 페이지에서가져오는규칙에기존규칙과동일한 ID가있을경우수행할액션을선택합니다. 5 규칙을가져와표시된대로충돌을해결하려면 [ 확인 ] 을클릭합니다. 318 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 정책및규칙규칙관리 9 상관규칙을가져올때의충돌 상관규칙을내보낼때규칙데이터가포함된파일을만듭니다. 하지만이규칙이사용할수있는변수, 영역, 관심목록, 사용자지정유형및자산등의참조항목은포함하지않습니다. 가져오기시스템에없는참조규칙항목을사용하여파일을 ESM 에가져오는경우가져오기오류가발생할수있습니다. 예를들어규칙 1 이변수 $abc 를참조하는데, 가져오는시스템에이름이 $abc 인변수가정의되지않은경우규칙에충돌로표시합니다. 충돌을방지하려면필요한참조항목을만들거나 ( 수동으로또는가능한경우가져오기를통해 ) 상관규칙및규칙참조를변경합니다. 가져오기직후충돌상태인규칙 ( 느낌표로표시됨 ) 또는실패한규칙목록이나열됩니다. 이목록에서규칙충돌상세정보를보고변경할수있습니다. 변수가져오기 변수파일을가져오고해당유형을변경합니다. 충돌이있으면시스템은새변수의이름을자동으로바꿉니다. 시작하기전에변수파일이설정되었는지확인합니다. 1 [ 정책편집기 ] 의 [ 규칙유형 ] 창에서 [ 변수 ] 를클릭합니다. 2 [ 파일 ] [ 가져오기 ] [ 변수 ] 를클릭한다음변수의파일을찾아 [ 업로드 ] 를클릭합니다. 파일에충돌또는오류가있는경우각문제를알려주는 [ 가져오기 오류로그 ] 페이지가열립니다. 3 [ 변수가져오기 ] 페이지에서 [ 편집 ] 을클릭하여선택한변수의 [ 유형 ] 을변경합니다. 4 [ 확인 ] 을클릭합니다. 규칙내보내기 정책의사용자지정규칙또는모든규칙을내보내면다른 ESM으로가져올수있습니다. 1 [ 정책편집기 ] 의 [ 규칙유형 ] 창에서내보낼규칙유형을클릭합니다. 2 선택한유형의사용자지정규칙목록에액세스합니다. a [ 필터 / 태그지정 ] 창에서 [ 필터 ] 탭을선택합니다. b 창의하단에있는 [ 고급 ] 막대를클릭합니다. c [ 원본 ] 드롭다운목록에서 [ 사용자정의 ] 를선택합니다. d [ 쿼리실행 ] 아이콘을클릭합니다. 3 내보내려는규칙을선택한다음 [ 파일 ] [ 내보내기 ] [ 규칙 ] 을클릭합니다. 4 [ 규칙내보내기 ] 페이지에서규칙을내보낼때사용할형식을선택합니다. 5 [ 다운로드 ] 페이지에서 [ 예 ] 를클릭하고위치를선택한다음 [ 저장 ] 을클릭합니다. Microsoft Excel 을사용하여 csv 파일을여는경우일부 UTF-8 문자가손상될수있습니다. 이를수정하려면 Excel 에서 [ 텍스트가져오기마법사 ] 를열고 [ 구분기호로분리됨 ] 및 [ 쉼표 ] 를선택합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 319
9 McAfee ESM 정책및규칙규칙관리 기존규칙필터링 기존규칙을필터링하여기준에맞는규칙만봅니다. 기본적으로특정유형의규칙은사전순으로 [ 정책편집기 ] 에나타납니다. 시간을기준으로나열하거나태그를사용하여규칙을필터링할수있습니다. 1 [ 정책편집기 ] 의 [ 규칙유형 ] 창에서필터링하려는규칙의유형을선택합니다. 2 [ 필터 / 태그지정 ] 창에서 [ 필터 ] 탭을선택합니다. 3 다음중하나를수행합니다. 범주또는태그를선택하여여러태그로필터링한다음 [ 쿼리실행 ] 아이콘을클릭합니다. 둘이상의범주또는태그를선택한다음 [ 또는 ] 아이콘을클릭한다음 [ 쿼리실행 ] 아이콘을클릭합니다. 상속의영향을받는필드 ([ 액션 ], [ 심각도 ], [ 블랙리스트 ], [ 집계 ] 및 [ 패킷복사 ]) 를필터링하는데 [ 또는 ] 아이콘은사용할수없습니다. [ 태그를검색하려면여기에입력하십시오 ] 필드에태그의이름을입력한다음옵션목록에서필요한태그를선택합니다. 도구모음에서 [ 시간으로정렬 ] 아이콘을클릭하여만들어진시간에따라규칙을나열한다음 [ 쿼리실행 ] 아이콘을클릭합니다. 도구모음에서 [ 이름으로정렬 ] 아이콘릭합니다. 을클릭하여사전순으로규칙을나열한다음 [ 쿼리실행 ] 아이콘을클 규칙표시창제목표시줄에서주황색필터아이콘을클릭하여필터링을선택취소합니다. 도구모음에서 [ 모두지우기 ] 아이콘을클릭하여필터태그를선택취소합니다. 태그는선택취소되지만규칙목록은필터링된상태로유지됩니다. [ 필터 ] 창맨아래에있는 [ 고급 ] 막대를클릭하여시그니처 ID 로필터링합니다. 시그니처 ID 를입력한다음 [ 쿼리실행 ] 아이콘을클릭합니다. 이름또는설명으로필터링합니다. [ 고급 ] 창에서이름이나설명을입력합니다. 결과에대해케이스에관계없이 대 / 소문자구분안함아이콘을클릭합니다. 장치유형, 정규화된 ID 또는액션으로필터링합니다. [ 고급 ] 창에서 [ 필터 ] 아이콘 을클릭합니다. [ 필터변수 ] 페이지에서변수를선택합니다. 규칙유형및해당직속기본유형에대한정책기반설정의차이점을비교합니다. [ 고급 ] 창에서 [ 예외보기 ] 를선택한다음 [ 쿼리실행 ] 아이콘을클릭합니다. 각필드의드롭다운목록에서필터를선택하여심각도, 블랙리스트, 집계, 패킷복사, 원본및규칙상태로필터링합니다. 사용자지정규칙만보려면 [ 고급 ] 창의 [ 원본 ] 필드에서 [ 사용자정의 ] 를선택한다음 [ 쿼리실행 ] 아이콘을클릭합니다. 특정기간에만든규칙을보려면 [ 고급 ] 창의 [ 시간 ] 필드옆에있는달력아이콘을클릭합니다. [ 사용자지정시간 ] 페이지에서시작및중지시간을선택하고 [ 확인 ] 을클릭한다음 [ 쿼리실행 ] 아이콘을클릭합니다. 320 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 정책및규칙규칙관리 9 규칙시그니처보기 McAfee 온라인시그니처데이터베이스에액세스하는경우규칙의시그니처에대한정보를볼수있습니다. 이옵션은방화벽, 패킷심층분석및데이터소스규칙에대해사용할수있습니다. 1 [ 정책편집기 ] 의 [ 규칙유형 ] 창에서보려는규칙유형을선택합니다. 2 규칙표시창에서규칙을선택합니다. 3 [ ] 을클릭한다음 [ 참조찾아보기 ] 를선택합니다. 4 시그니처에대한요약을보려면화면의 [ 시그니처 ] 섹션의링크를클릭합니다. 규칙업데이트검색 네트워크트래픽을검사하기위해장치에서사용하는규칙시그니처는 McAfee 시그니처팀에서계속업데이트하고중앙서버에서다운로드할수있습니다. 이러한규칙업데이트는자동으로또는수동으로검색할수있습니다. 시작하기전에 서버에서규칙을검색할때수행한에대한재정의를설정합니다. 1 [ 정책편집기 ] 에서 [ 설정 ] 아이콘을클릭합니다. 2 [ 규칙업데이트 ] 줄에서 [ 업데이트 ] 를클릭합니다. 3 자동으로업데이트를검색하도록 McAfee ESM 을설정하거나지금업데이트를확인합니다. 4 업데이트가수동으로다운로드된경우 [ 롤아웃 ] 아이콘을클릭하여적용합니다. 5 수동업데이트를보려면다음을수행합니다. a [ 필터 / 태그지정 ] 창에서 [ 고급 ] 막대를클릭합니다. b c [ 규칙상태 ] 필드에서 [ 업데이트됨 ], [ 신규 ] 또는 [ 업데이트 / 신규 ] 를선택하여보려는업데이트된규칙유형을나타냅니다. [ 쿼리실행 ] 아이콘을클릭합니다. 업데이트된규칙상태지우기 시스템에규칙을변경또는추가할때업데이트를검토할기회가제공되면이러한표시를선택취소할수있습니다. 1 [ 정책편집기 ] 의 [ 규칙유형 ] 창에서선택취소할규칙유형을선택합니다. 2 다음중하나를수행합니다. [ ] 을클릭한다음 [ 업데이트된규칙상태지우기 ] 를클릭하여모든규칙상태표시를선택취소합니다. [ 모두 ] 를클릭합니다. 선택된규칙을선택취소하려면 [ 필터 / 태그지정 ] 창에서 [ 고급 ] 막대를클릭합니다. [ 규칙상태 ] 필드에서 [ 업데 이트됨 ], [ 신규 ] 또는 [ 업데이트됨 / 신규 ] 를선택하여선택취소할표시유형을나타냅니다. [ 쿼리실행 ] 아이콘을클릭합니다. 선택취소할규칙을선택한다음 [ ] [ 업데이트된규칙상태지우기 ] [ 선택됨 ] 을클릭합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 321
9 McAfee ESM 정책및규칙규칙관리 규칙파일비교 수신기, McAfee Application Data Monitor(ADM) 및 McAfee Database Event Monitor(DEM) 등의장치와규칙파일을비교하면 ( 적용됨, 현재, 롤백또는스테이징됨 ) 현재정책이장치에적용되는경우변경사항을확인할수있습니다. 1 시스템탐색트리에서장치 ( 예 : 수신기, ADM 또는 DEM) 를선택합니다. 2 액션도구모음에서 [ 정책편집기 ] 아이콘을클릭한다음 [ 도구 ] [ 규칙파일비교 ] 를클릭합니다. 두결과파일모두약 15.5MB 보다작은경우 [ 규칙파일비교 ] 표에나타납니다. 두파일중하나라도이보다큰경우두파일을다운로드하라는메시지가표시됩니다. 3 [ 규칙파일비교 ] 페이지에서선택한다음 [ 비교 ] 를클릭합니다. 비교하려는정책상태를선택합니다. 적용됨 장치에롤아웃된정책을표시합니다. 현재 실시간이지만장치에롤아웃되지않은정책을표시합니다. 롤백 이전에중인정책에롤백하려는경우정책의상태를표시합니다. 스테이징됨 나중에적용되는정책을표시합니다. 비교결과를봅니다. 파일간의차이는다음과같이색으로구분됩니다. 파란색 두파일에동일한줄이있지만설정이변경되었습니다. 빨간색 왼쪽파일에줄이있지만오른쪽파일에는없습니다. 녹색 오른쪽파일에줄이있지만왼쪽에는없습니다. 규칙변경기록보기 변경사항이발생한날짜및규칙의요약을포함하여최근규칙변경사항을볼수있습니다. 1 [ 정책편집기 ] 에서 [ 도구 ] [ 규칙변경기록 ] 을클릭합니다. 2 [ 규칙기록 ] 페이지에서규칙에대한모든변경사항을보거나 [ 규칙버전 ] 탭을클릭하여시스템에서규칙이범주화되어있는각장치의최신타임스탬프를볼수있습니다. 이보기에서관리및컴플라이언스규정의각규칙버전을찾을수있습니다. 기본적으로시스템은장치유형을사전순으로이름별로정렬합니다. 시간스탬프로정렬하려면버전열헤더를클릭합니다. 3 [ 닫기 ] 를클릭합니다. 태그를규칙또는자산에할당 태그를규칙에할당하여해당태그에따라규칙을필터링할수있습니다. McAfee ESM 에는사전정의된태그가포함되어있지만조직에고유한태그를만들수도있습니다. 변수, 전처리기또는규칙유형정규화는태그를사용할수없습니다. 1 [ 정책편집기 ] 의 [ 규칙유형 ] 창에서태그를지정하려는규칙유형을선택합니다. 2 [ 필터 / 태그지정 ] 창에서 [ 태그 ] 탭을클릭합니다. 322 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 정책및규칙집계설정변경 9 3 다음중하나를수행합니다. 태그범주를추가하려면 [ 새범주태그 ] 아이콘태그가만들어집니다. 을클릭하고범주의이름을지정합니다. 새범주에대해기본 범주에태그를추가하려면범주를선택한다음 [ 새태그 ] 아이콘을클릭하고태그의이름을지정합니다. 이벤트심각도계산에이태그를사용하려면 [ 이벤트심각도계산에태그사용 ] 을선택한다음 [ 확인 ] 을클릭합니다. 범주또는태그를변경하려면범주나태그를선택한다음 [ 태그편집 ] 아이콘을클릭합니다. 사용자지정태그를삭제하려면 [ 태그제거 ] 아이콘을클릭합니다. 집계설정변경 집계는기본이벤트및집계된이벤트에일치하는필드가있기때문에설정됩니다. 장치에서생성된모든이벤트에대해집계유형을선택할수있습니다. 그런다음개별규칙의집계설정을변경할수있습니다. 1 [ 정책편집기 ] 의 [ 규칙유형 ] 창에서규칙유형을선택합니다. 2 집계설정을변경하려는규칙을선택합니다. 3 도구모음에서 [ ] 을클릭하고 [ 집합설정수정 ] 을선택합니다. 4 [ 필드 2] 및 [ 필드 3] 드롭다운목록에서집계할필드유형을선택합니다. 선택하는필드는다른유형또는오류결과여야합니다. 수준 1, 수준 2 및수준 3 집계에대한설명은선택항목에따라변경됩니다. 5 [ 확인 ] 을클릭하여설정을저장합니다. 6 장치가집계하는방식에영향을주는사항을변경하는경우변경사항을롤아웃할지묻는메시지가표시됩니다. 다음을수행합니다. a [ 예 ] 를클릭합니다. [ 집합예외롤아웃 ] 페이지에서이변경사항으로인해영향을받는장치의상태를표시합니다. 오래된모든장치가선택됩니다. b 필요한경우변경사항을적용하지않으려는장치의확인표시를선택취소합니다. c 변경사항을롤아웃하려면 [ 확인 ] 을클릭합니다. 변경사항이롤아웃되면 [ 상태 ] 열에업데이트상태가반영됩니다. 다운로드한규칙의재정의액션을정의합니다. McAfee 서버에서규칙을다운로드하면규칙의기본액션을완료할수있습니다. 규칙의기본설정에재정의액션을설정할수있습니다. 재정의액션을정의하지않으면규칙은기본액션을수행합니다. 1 [ 정책편집기 ] 에서 [ 도구 ] 를클릭한다음 [ 새규칙구성 ] 을선택합니다. [ 새규칙구성 ] 페이지에 [ 기본정책 ] 에존재하는재정의가나열됩니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 323
9 McAfee ESM 정책및규칙심각도가중치 2 재정의액션설정을지정한다음 [ 닫기 ] 를클릭합니다. 옵션 정의 태그목록이재정의를적용하려는규칙에할당된태그를선택합니다. [ 규칙유형 ] 필드 예를들어 AOL 태그가있는모든필터규칙에대한액션을재정의하려면태그목록에서 [ 현재위협 ] [AOL] 을클릭한다음 [ 규칙유형 ] 필드에서 [ 필터 ] 를선택합니다. 이재정의를적용하려는규칙유형을선택합니다. [ 규칙액션 ] 재정의를활성화하려는경우또는이규칙및태그를비활성화하려는경우이규칙및태그가기본설정을계속사용하도록하려면선택합니다. [ 심각도 ] 이재정의에대한심각도를선택합니다. 기본값은 0 입니다. [ 블랙리스트 ], [ 집계 ], [ 패킷복사 ] 이재정의에대한설정을선택합니다. 이옵션에대한설정이재정의되지않도록하려면 [ 기본값 ] 의설정을유지합니다. 심각도가중치 이벤트심각도는자산, 태그, 규칙및취약성에지정된심각도가중치에따라계산됩니다. 최종계산에서 4 가지심각도에각각가중치가할당됩니다. 이최종계산은각각의 4 개심각도에해당하는개별가중치를곱한합입니다. 설정의합은 100 이어야합니다. 한가지설정을변경하면일부또는다른모든설정이영향을받습니다. 심각도유형 심각도유형 자산 태그 규칙 취약성 설명 자산은 IP 주소이며선택적으로영역내에있습니다. 시스템은다음과같이이벤트의자산심각도를결정합니다. 1 시스템은이벤트의대상 IP 주소와대상영역을모든자산과비교합니다. 일치하는항목이있으면시스템은이이벤트에대해이자산심각도를사용합니다. 2 대상 IP 주소및대상영역일치를찾지못하는경우시스템은이벤트의소스 IP 주소와소스영역을모든자산과비교합니다. 일치하는항목이있으면시스템은이이벤트에대해자산심각도를사용합니다. 3 시스템이일치하는항목을찾지못하면자산심각도는 0 입니다. 태그심각도가 McAfee 와사용자정의된태그를사용하여계산됩니다. 심각도계산에서사용되는태그는이벤트의규칙과자산에대해설정해야합니다. 규칙또는자산에서태그를정의하지않거나일치하는자산이없는경우태그심각도는 0 입니다. 태그심각도를계산하기위해시스템은자산태그및일치하는규칙수에 10 을곱합니다. 태그심각도는 100 으로제한됩니다. 규칙심각도는규칙이만들어질때이벤트에설정한심각도입니다. 이는 [ 정책편집기 ] 에서설정된이벤트의규칙심각도및이벤트의수집기에대해구성된데이터강화에따라다릅니다. VA SVE 정보를이벤트의자산및규칙에사용할수있는경우일치하는모든자산및규칙 VA SVE 의가장높은심각도가취약성심각도에사용되며그렇지않으면 0 이사용됩니다. 324 McAfee Enterprise Security Manager 10.3.x 제품안내서
McAfee ESM 정책및규칙정책변경기록보기 9 심각도가중치정의 자산, 태그, 규칙및취약성의심각도를계산하는데사용되는심각도가중치를정의합니다. 1 [ 정책편집기 ] 에서 [ 심각도가중치 ] 아이콘을클릭합니다. 2 설정을정의한다음 [ 확인 ] 을클릭합니다. 표시자를끌어놓습니다. [ 자산 ], [ 태그 ], [ 규칙 ] 및 [ 취약성 ] 필드에서다음설정을반영합니다. [VA 공급업체제공심각도 ] 또는 [VA 공급업체제공 PCI 심각도 ] 의경우수신데이터에서취약성심각도가계산되는방법을선택합니다. 둘다선택하면심각도값을계산할때두값중더큰값이사용됩니다. 정책변경기록보기 정책에수행한변경사항의로그를보거나내보냅니다. 이로그는최대 1GB 데이터를보유할수있습니다. 이제한에도달하면시스템이필요에따라가장오래된파일을삭제합니다. 1 [ 정책편집기 ] 에서 [ 정책변경기록보기 ] 아이콘을클릭합니다. 2 로그를보거나내보낸다음 [ 닫기 ] 를클릭합니다. 정책변경롤아웃 하나이상의장치에정책변경을롤아웃합니다. 장치에변경사항을롤아웃하면기본정책수준에서적용한변경사항이모든정책에적용됩니다. 1 [ 정책편집기 ] 에서 [ 롤아웃 ] 아이콘을클릭합니다. 2 롤아웃이발생하게하려는방법을선택합니다. 3 [ 확인 ] 을클릭합니다. 각장치가롤아웃을완료하면정책상태에성공한롤아웃이나타납니다. 롤아웃명령이실패하면페이지에실패한명령의목록이표시됩니다. 규칙에대해패킷복사활성화 규칙에대해 [ 패킷복사 ] 를활성화하면시스템이패킷데이터 McAfee ESM 을복사합니다. 활성화되면패킷데이터가 [ 내부이벤트일치 ] 또는 [ 필드일치 ] 경보의소스이벤트데이터에포함됩니다. 1 콘솔에서 [ 정책편집기 ] 아이콘을클릭합니다. 2 [ 규칙유형 ] 창에서액세스하려는규칙유형을클릭한다음규칙표시창에서규칙을찾습니다. 3 [ 패킷복사 ] 열에서현재설정 ( 기본적으로 [ 해제 ]) 을클릭한다음 [ 설정 ] 을클릭합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 325
9 McAfee ESM 정책및규칙규칙에대해패킷복사활성화 326 McAfee Enterprise Security Manager 10.3.x 제품안내서
10 FIPS 모드에서 목차 FIPS 모드정보 FIPS 모드에서장치추가 FIPS 무결성체크 FIPS 모드문제해결 FIPS 모드정보 FIPS 규정으로인해일부 ESM 기능은사용할수없으며, 일부사용가능한기능은컴플라이언트가아니고, 일부기능은 FIPS 모드에서만사용할수있습니다. 이러한기능은문서전체에서언급되며여기에나열되어있습니다. FIPS 기본사항 미국정부에서는컴퓨터시스템에사용되는프로시저, 아키텍처, 알고리즘및기타기술을정의하기위해 FIPS(Federal Information Processing Standards) 를개발했습니다. FIPS 140-2 는전체솔루션의각개별암호화구성요소에개별인증이필요한암호화및암호화모듈에대한정부표준입니다. FIPS(Federal Information Processing Standard) 140-2 는암호화기능을구현하는하드웨어및소프트웨어제품에대한요구사항을지정합니다. FIPS 140-2 는 Public Law 104 106 의 Information Technology Management Reform Act 1996 섹션 5131, 에정의된대로컴퓨터및통신시스템 ( 음성시스템포함 ) 의중요한 ( 기밀은아님 ) 정보를보호하기위해암호화기반보안시스템을사용하는모든연방기관 에적용됩니다. FIPS 140-2 의 -2 는표준의개정을나타냅니다. FIPS 의전체텍스트는 NIST(National Institute of Standards and Technology) 에서온라인으로볼수있습니다. McAfee 는이러한 RSA 암호화모듈을활용하여 FIPS 컴플라이언스에대한요구사항을충족합니다. FIPS 모드 FIPS 모드에서실행되는 McAfee ESM 은 FIPS 컴플라이언트입니다. FIPS 모드에서 McAfee ESM 을실행하기위한결정은설치시이루어지며변경할수없습니다. FIPS 모드에서 ESM 은다음을수행합니다. 허용된보안방법의유형에제약조건을추가합니다. 시작할때추가테스트를수행합니다. FIPS 컴플라이언트장치의연결만허용합니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 327
10 FIPS 모드에서 FIPS 모드정보 McAfee epo 를 FIPS 모드에서사용하는이유 다음범주중하나에속하는경우조직에서 McAfee epo 를 FIPS 모드로사용해야할수있습니다. FISMA 또는기타연방, 주, 지방규정별 FIPS 140-2 컴플라이언트암호화모델을작동해야하는미국정부조직입니다. 조직에서는표준화되고독립적으로평가되는암호화모듈을사용해야합니다. 암호화경계 FIPS 컴플라이언스를사용하려면중요한보안매개변수가암호화모듈에들어오고나가는인터페이스와다른모든인터페이스간에물리적또는논리적구분이필요합니다. ESM 은암호화모듈주변에경계를만들어이구분을만듭니다. 경계내의모듈에액세스하는데승인된인터페이스집합이사용됩니다. FIPS 모드일때이러한모듈에액세스하는다른메커니즘은허용되거나제공되지않습니다. 경계내의모듈은다음프로세스를수행합니다. 암호학수행및해시하는 FIPS 유효성검사보안방법과 McAfee ESM 내에서실행되는관련서비스 FIPS 에서필요한시작및확인테스트 확장및실행가능한시그니처확인 TLS 연결관리 암호화 API 래핑 기능상태 [FIPS 모드에서는사용할수없는기능 ] [ FIPS 모드에서만사용할수있는기능 ] 설명 고가용성수신기 SSH 프로토콜을사용하는장치와통신하는기능 장치콘솔에서루트셸이장치관리메뉴로대체되었습니다. 겹치지않는네가지사용자역할이있습니다. [ 사용자 ], [ 고급사용자 ], [ 감사관리자 ] 및 [ 키및인증서관리자 ]. 모든 [ 속성 ] 페이지에는시스템이 FIPS 모드에서성공적으로작동하고있는지확인할수있는 [ 자체테스트 ] 옵션이있습니다. FIPS 오류가발생하면상태플래그가시스템탐색트리에추가되어이오류를반영합니다. 모든 [ 속성 ] 페이지에는 [ 보기 ] 옵션이있으며, 클릭하면 [FIPS ID 토큰 ] 페이지가열립니다. 여기에는문서의해당섹션에표시된값과비교하여 FIPS 가손상되지않았는지확인해야하는값이표시됩니다. [ 시스템속성 ] [ 사용자및그룹 ] [ 권한 ] [ 그룹편집 ] 의페이지에는 [FIPS 암호화자체테스트 ] 권한이포함되어 FIPS 자체테스트를실행할인증을그룹구성원에게제공합니다. [ 장치추가마법사 ] 에서 TCP 프로토콜은항상포트 22 로설정됩니다. SSH 포트는변경할수있습니다. 참고항목 : 329 페이지의 FIPS 모드에서장치추가 329 페이지의 FIPS 모드에서장치정보백업및복원 330 페이지의 FIPS 모드에서여러장치와의통신활성화 332 페이지의 FIPS 모드문제해결 331 페이지의 FIPS 무결성체크 328 McAfee Enterprise Security Manager 10.3.x 제품안내서
FIPS 모드에서 FIPS 모드에서장치추가 10 FIPS 모드에서장치추가 FIPS 모드에서두가지방법을사용하여이미키가지정된장치를 ESM 에추가할수있습니다. 아래나와있는용어및파일확장명은이러한프로세스를수행할때유용합니다. 용어 [ 장치키 ] ESM 이장치에대해가지는관리권한이포함되어있으며암호화에사용되지않습니다. [ 공개키 ] ESM 공개 SSH 통신키로, 장치의인증된키테이블에저장됩니다. [ 비공개키 ] ESM 비공개 SSH 통신키로, ESM 의 SSH 실행파일에서사용되며장치와함께 SSH 연결을설정합니다. [ 기본 ESM] 장치를등록하는데원래사용된 ESM 입니다. [ 보조 ESM] 장치와통신하는추가 ESM 입니다. 여러내보내기파일의파일확장명.exk 장치키가포함되어있습니다..puk 공개키가포함되어있습니다..prk 비공개키및장치키가포함되어있습니다. 참고항목 : 327 페이지의 FIPS 모드정보 331 페이지의 FIPS 무결성체크 332 페이지의 FIPS 모드문제해결 329 페이지의 FIPS 모드에서장치정보백업및복원 330 페이지의 FIPS 모드에서여러장치와의통신활성화 FIPS 모드에서장치정보백업및복원 이방법은 ESM 에서장치에대한통신정보를백업하고복원하는데사용됩니다. 기본적으로 ESM 교체가필요한오류의이벤트에서사용할수있습니다. 오류가발생하기전에통신정보를내보내지않은경우장치와의통신을다시설정할수없습니다. 이방법은.prk 파일을내보내고가져옵니다. 처음에장치와의통신을설정하기위해기본 ESM 의비공개키가보조 ESM 에서사용됩니다. 통신이설정되면보조 ESM 은공개키를장치의인증된키테이블에복사합니다. 그런다음보조 ESM 에서기본 ESM 의비공개키를지우고고유한공개키또는비공개키쌍으로통신을초기화합니다. 1 기본 ESM 에서.prk 파일을내보냅니다. a 기본 ESM 의시스템탐색트리에서백업하려는통신정보가있는장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. b [ 키관리 ] 를선택한다음 [ 키내보내기 ] 를클릭합니다. c [SSH 비공개키백업 ] 을선택한후 [ 다음 ] 을선택합니다. d 암호를입력하고확인한다음만료날짜를설정합니다. 만료일이지난다음키를가져오는사람은이후의만료일을사용하여다른키를내보낼때까지장치와통신할수없습니다. [ 만료되지않음 ] 을선택하는경우다른 ESM 으로가져오면키가만료되지않습니다. McAfee Enterprise Security Manager 10.3.x 제품안내서 329
10 FIPS 모드에서 FIPS 모드에서장치추가 e [ 확인 ] 을클릭한다음 ESM 에서만든.prk 파일을저장할위치를선택합니다. f 기본 ESM 에서로그아웃합니다. 2 장치를보조 ESM 에추가하고.prk 파일을가져옵니다. a 보조장치의시스템탐색트리에서장치를추가하려는시스템또는그룹수준노드를선택합니다. b 액션도구모음에서 [ 장치추가 ] 를클릭합니다. c 추가하려는장치유형을선택한후 [ 다음 ] 을클릭합니다. d 이그룹에고유한장치이름을입력한후 [ 다음 ] 을클릭합니다. e 장치의대상 IP 주소를입력하고 FIPS 통신포트를입력한후 [ 다음 ] 을클릭합니다. f [ 키가져오기 ] 를클릭하고이전에내보낸.prk 파일을찾은다음 [ 업로드 ] 를클릭합니다. g 이키를처음으로내보낼때지정한암호를입력합니다. h 보조 ESM 에서로그아웃합니다. 참고항목 : 327 페이지의 FIPS 모드정보 329 페이지의 FIPS 모드에서장치추가 330 페이지의 FIPS 모드에서여러장치와의통신활성화 FIPS 모드에서여러장치와의통신활성화.puk 파일을내보내고가져와서여러 ESM 장치가동일한 SIEM 장치와통신하도록허용할수있습니다. 먼저기본 ESM 장치를사용하여보조 ESM 장치에서내보낸.puk 파일을가져오고보조 ESM 공개키를주변장치에보내면두 ESM 장치가해당장치와통신할수있습니다. 1 보조 ESM 에서.puk 파일을내보냅니다. a 보조 ESM 의 [ 시스템속성 ] 페이지에서 [ESM 관리 ] 를선택합니다. b [SSH 내보내기 ] 를클릭한다음.puk 파일을저장할위치를선택합니다. c [ 저장 ] 을클릭한다음로그아웃합니다. 2.puk 파일을기본 ESM 으로가져옵니다. a 기본 ESM 의시스템탐색트리에서구성하려는장치를선택합니다. b [ 속성 ] 아이콘을클릭한다음 [ 키관리 ] 를선택합니다. c [SSH 키관리 ] 를클릭합니다. d [ 가져오기 ] 를클릭하고.puk 파일을선택한다음 [ 업로드 ] 를클릭합니다. e [ 확인 ] 을클릭한다음기본 ESM 에서로그아웃합니다. 참고항목 : 327 페이지의 FIPS 모드정보 329 페이지의 FIPS 모드에서장치추가 329 페이지의 FIPS 모드에서장치정보백업및복원 330 McAfee Enterprise Security Manager 10.3.x 제품안내서
FIPS 모드에서 FIPS 무결성체크 10 FIPS 무결성체크 FIPS 모드에서작동중인경우 FIPS 140-2 에서정기적으로소프트웨어무결성테스트를요구합니다. 시스템및각장치에서이테스트가수행되어야합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택하고 [ 시스템정보 ] 가선택되었는지확인합니다. 2 다음중하나를수행합니다. 필드수행방법... [FIPS 상태 ] [ 테스트 ] 또는 [FIPS 자체테스트 ] [ 보기 ] 또는 [FIPS ID] ESM 에서수행된최신 FIPS 자체테스트결과를봅니다. FIPS 자체테스트를실행하여암호화실행파일에서사용되는알고리즘무결성을테스트합니다. 결과를 [ 메시지로그 ] 에서볼수있습니다. FIPS 자체테스트가실패하면 FIPS 가손상되거나장치오류가발생합니다. McAfee 지원에문의하십시오. [FIPS ID 토큰 ] 페이지를열어전원켜기소프트웨어무결성테스트를수행합니다. 이페이지에표시되는공개키와이값을비교합니다. 이값과공개키가일치하지않는경우 FIPS 가손상됩니다. McAfee 지원에문의하십시오. 참고항목 : 327 페이지의 FIPS 모드정보 329 페이지의 FIPS 모드에서장치추가 332 페이지의 FIPS 모드문제해결 McAfee Enterprise Security Manager 10.3.x 제품안내서 331