IBM QRadar Network Packet Capturen

Similar documents
아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

View Licenses and Services (customer)

Windows 8에서 BioStar 1 설치하기

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

ThinkVantage Fingerprint Software

MF Driver Installation Guide

User Guide

1,000 AP 20,000 ZoneDirector IT 5, WLAN. ZoneFlex AP ZoneDirector. WLAN. WLAN AP,,,,,,., Wi-Fi. AP. PSK PC. VLAN WLAN.. ZoneDirector 5000 WLAN L

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

PathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.

Microsoft PowerPoint - chap01-C언어개요.pptx

SBR-100S User Manual

QRadar Incident Forensics

810 & 는 소기업 및 지사 애 플리케이션용으로 설계되었으며, 독립 실행형 장치로 구성하거 나 HA(고가용성)로 구성할 수 있습니다. 810은 표준 운영 체제를 실행하는 범용 서버에 비해 가격 프리미엄이 거의 또는 전혀 없기 때문에 화이트박스 장벽 을

1

사용설명서를 읽기 전에 ios용 아이디스 모바일은 네트워크 연결을 통해 ios 플랫폼 기반의 모바일 기기(iOS 버전 6.0 이상의 ipod Touch, iphone 또는 ipad)에서 장치(DVR, 네트워크 비디오 서버 및 네트워크 카메라)에 접속하여 원격으로 영상을

RHEV 2.2 인증서 만료 확인 및 갱신

오프라인 사용을 위한 Tekla Structures 라이선스 대여

슬라이드 1

IRISCard Anywhere 5

Microsoft 을 열면 깔끔한 사용자 중심의 메뉴 및 레이아웃이 제일 먼저 눈에 띕니다. 또한 은 스마트폰, 테블릿 및 클라우드는 물론 가 설치되어 있지 않은 PC 에서도 사용할 수 있습니다. 따라서 장소와 디바이스에 관계 없이 언제, 어디서나 문서를 확인하고 편집

vRealize Automation용 VMware Remote Console - VMware

목 차 1. 드라이버 설치 설치환경 드라이버 설치 시 주의사항 USB 드라이버 파일 Windows XP에서 설치 Windows Vista / Windows 7에서 설치 Windows

쓰리 핸드(삼침) 요일 및 2405 요일 시간, 및 요일 설정 1. 용두를 2의 위치로 당기고 반시계방향으로 돌려 전날로 를 설정합니다. 2. 용두를 시계방향으로 돌려 전날로 요일을 설정합니다. 3. 용두를 3의 위치로 당기고 오늘 와 요일이 표시될 때까지 시계방향으로

QRadar SIEM

설치 순서 Windows 98 SE/Me/2000/XP 1 PC를 켜고 Windows를 시작합니다. 아직 컴퓨터에 프린터를 연결하지 마십시오. 2 PC에 P-S100 CD-ROM(프 린터 드라이버)을 삽입합니다. 3 설치 프로그램을 시작합니다. q CD-ROM의 PS1

라우터

1. 무선 이미지 유틸리티 설명 1-1. 기능 이 Wireless Image Utility 는 안드로이드용 응용 프로그램입니다. 안드로이드 태블릿 또는 안드로이드 스마트폰에서 사용할 수 있습니다. 안드로이드 기기에 저장된 파일을 프로젝터로 무선 전송 컴퓨터에서 USB

사용설명서를 읽기 전에 안드로이드(Android)용 아이디스 모바일은 네트워크 연결을 통해 안드로이드 플랫폼 기반의 모바일 기기에서 장치 (DVR, NVR, 네트워크 비디오 서버, 네트워크 카메라) 에 접속하여 원격으로 영상을 감시할 수 있는 프로그램입니다. 장치의 사

H3250_Wi-Fi_E.book

Salmosa_WebManual_KOR(B)

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

온라인등록용 메뉴얼

소규모 비즈니스를 위한 플레이북 여기서 다룰 내용은 다음과 같습니다. 1. YouTube 소개 2. YouTube에서 비즈니스를 위한 채널 만들기 3. 눈길을 끄는 동영상 만들기 4. 고객의 액션 유도하기 5. 비즈니스에 중요한 잠재고객에게 더 많이 도달하기

© Rohde & Schwarz; R&S®CDS Campus Dashboard Software

회원번호 대표자 공동자 KR000****1 권 * 영 KR000****1 박 * 순 KR000****1 박 * 애 이 * 홍 KR000****2 김 * 근 하 * 희 KR000****2 박 * 순 KR000****3 최 * 정 KR000****4 박 * 희 조 * 제

목차 데모 홖경 및 개요... 3 테스트 서버 설정... 4 DC (Domain Controller) 서버 설정... 4 RDSH (Remote Desktop Session Host) 서버 설정... 9 W7CLIENT (Windows 7 Client) 클라이얶트 설정

CSG_keynote_KO copy.key

Office 365, FastTrack 4 FastTrack. Tony Striefel FastTrack FastTrack

B2B 매뉴얼

온습도 판넬미터(JTH-05) 사양서V1.0

USC HIPAA AUTHORIZATION FOR

특징 찾아보기 열쇠 없이 문을 열 수 있어요! 비밀번호 및 RF카드로도 문을 열 수 있습니다. 또한 비밀번호가 외부인에게 알려질 위험에 대비, 통제번호까지 입력해 둘 수 있어 더욱 안심하고 사용할 수 있습니다. 나만의 비밀번호 및 RF카드를 가질 수 있어요! 다수의 가

- 2 -

지도상 유의점 m 학생들이 어려워하는 낱말이 있으므로 자세히 설명해주도록 한다. m 버튼을 무리하게 조작하면 고장이 날 위험이 있으므로 수업 시작 부분에서 주의를 준다. m 활동지를 보고 어려워하는 학생에게는 영상자료를 접속하도록 안내한다. 평가 평가 유형 자기 평가

2 전원 코드를 연결합니다. 출력 용지함을 기기 밖으로 꺼내고 문서 스토퍼 를 펼칩니다. 중요 아직 USB 케이블을 연결하지 마십시오. 전원 코드를 연결합니다. 경고 접지된 플러그가 기기에 장착되어 있어야 합니다. 2 1 Windows 사용자: 다음으로 3페이지 상단

비디오 / 그래픽 아답터 네트워크 만약에 ArcGolbe를 사용하는 경우, 추가적인 디스크 공간 필요. ArcGlobe는 캐시파일을 생성하여 사용 24 비트 그래픽 가속기 Oepn GL 2.0 이상을 지원하는 비디오카드 최소 64 MB 이고 256 MB 이상을 메모리

슬라이드 1

6. 설치가시작되는동안 USB 드라이버가자동으로로드됩니다. USB 드라이버가성공적으로로드되면 Setup is starting( 설치가시작되는중 )... 화면이표시됩니다. 7. 화면지침에따라 Windows 7 설치를완료합니다. 방법 2: 수정된 Windows 7 ISO

SIGIL 완벽입문

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

U.Tu System Application DW Service AGENDA 1. 개요 4. 솔루션 모음 1.1. 제안의 배경 및 목적 4.1. 고객정의 DW구축에 필요한 메타정보 생성 1.2. 제품 개요 4.2. 사전 변경 관리 1.3. 제품 특장점 4.3. 부품화형

인쇄하기, 내보내기, 이메일로 문서 보내기


Office 365 사용자 가이드

Windows Server 2012

ez-shv manual

[Brochure] KOR_TunA

Microsoft Word - release note-VRRP_Korean.doc

Microsoft Word - src.doc

통합 서버용으로서 보면, Power 740 Express의 성능, 용량, 구성 유연성에 업계 최강의 PowerVM TM 가상화(AIX, IBM i, Linux용)기능이 결합되어 있으 므로 기업은 비용 및 에너지 사용을 더욱 절약할 수 있습니다. Power 740 Exp

컴퓨터관리2번째시간

804NW±¹¹®

메뉴얼41페이지-2

. PC PC 3 [ ] [ ], [ ] [ ] [ ] 3 [ ] [ ], 4 [ ] [ ], 4 [Internet Protocol Version 4 (TCP/IPv4)] 5 [ ] 6 [ IP (O)], [ DNS (B)] 7 [ ] 한국어 -

01

Operating Instructions

2009년 상반기 사업계획

처음에 읽어 주십시오! 본 사용설명서의 내용은 예고 없이 변경할 수 있습니다. 본 사용설명서의 내용은 제조 공정의 각 과정에서 확인했습니다. 문제점이나 잘못된 점 이 있으면 개의치 마시고 당사로 연락해 주십시오. 본 사용설명서의 내용을 복제하는 것은 일부 또는 전부에

161117_EX Phone stick_manual

TOOLS Software Installation Guide

MY19 power meter user manual KO

No Slide Title

IP Cam DDNS 설정설명서(MJPEG) hwp

슬라이드 1

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

안 산 시 보 차 례 훈 령 안산시 훈령 제 485 호 [안산시 구 사무 전결처리 규정 일부개정 규정] 안산시 훈령 제 486 호 [안산시 동 주민센터 전결사항 규정 일부개정 규

2 노드

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

Xcrypt 내장형 X211SCI 수신기 KBS World 채널 설정법

00-TAG.book

Microsoft PowerPoint - chap02-C프로그램시작하기.pptx

PHPoC Debugger Manual > UI 구성 UI 구성 UI 구성 page 2 of 40

Endpoint Protector - Active Directory Deployment Guide

시스템, 네트워크모니터링을통한보안강화 네트워크의미래를제시하는세미나 세미나 NetFocus 2003 : IT 관리자를위한네트워크보안방법론 피지피넷 /

PowerPoint 프레젠테이션

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

Frequently Asked Question 버전 변경 날짜 변경 내용 v /07/22 최초 작성

Cisco FirePOWER 호환성 가이드

무선 설치 설명서

Storage_for_Megapixel_Video01

Microsoft Word - Armjtag_문서1.doc

페일오버 클러스터링 및 Microsoft Cluster Service 설정 - ESXi 6.0

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

Straight Through Communication

The Pocket Guide to TCP/IP Sockets: C Version

Microsoft PowerPoint - L4-7Switch기본교육자료.ppt

슬라이드 제목 없음

번역된 소프트웨어 업데이트 정보 ================================ 이 소프트웨어 업데이트 정보는 다음 언어로 번역되었습니다. --중국어 간체 --중국어 번체 --일본어 --한국어 번역된 소프트웨어 업데이트 정보를 읽으려면 아래 URL 을 복사하

Transcription:

IBM QRadar Network Packet Capture 버전 731 관리 안내서 IBM

참고 이 정보와 이 정보가 지원하는 제품을 사용하기 전에, 43 페이지의 주의사항 에 있는 정보를 확인하십시오 제품 정보 본 문서는 본 문서의 업데이트된 버전에서 달리 대체되지 않는 한, IBM QRadar Security Intelligence Platform V731 및 후속 릴리스에 적용됩니다 Copyright IBM Corporation 2016, 2018

목차 QRadar Network Packet Capture 제품 관리 소 개 1 관리자를 위한 QRadar Network Packet Capture V731의 새로운 기능 1 2 QRadar Network Packet Capture 관리 3 QRadar Network Packet Capture 사용자 계정 및 인증 설정 3 새 로컬 사용자 작성 3 로컬 사용자 비밀번호 변경 4 사용자 인증을 위한 Actie Directory 또는 LDAP 서버 구성 4 시작 중 데이터 일관성 검사 6 날짜 및 시간 구성(NTP) 6 위치 이름 및 담당자 구성 9 패킷 캡처 시작 또는 중지 10 원격 syslog 설정 구성 10 syslog 보기 11 SNMP 설정 구성 11 X509 구성 12 가속기 구성 12 사전 필터 구성 13 로컬 재전송 설정 14 통계 또는 검색 지우기 14 어플라이언스 다시 시작 및 출하 상태로 재설 정 수행 14 SSH 구성 15 활성 검색 검색 히스토리 검색 삭제 NTQL 20 21 22 23 5 그룹화된 QRadar Network Packet Capture 어플라이언스 그룹 액세스 그룹 작성 및 수정 QRadar Network Packet Capture 그룹 설정 27 27 28 28 6 QRadar Network Packet Capture 어플라이언스 스태킹의 혜택 성능 고려사항 스택 작성 스택 구성 활성 스택에 어플라이언스 추가 스택에서 어플라이언스 제거 기존 스택 노드 유지보수 스태킹 31 31 32 32 34 37 37 38 7 외부 LED를 사용한 문제점 해결 41 주의사항 상표 제품 문서의 이용 약관 IBM 온라인 개인정보처리방침 43 45 45 46 3 QRadar Network Packet Capture 및 패킷 캡처 모니터링 17 4 QRadar Network Packet Capture 검색 및 조회 19 큐에 대기 중인 검색 20 Copyright IBM Corp 2016, 2018 iii

i IBM QRadar Network Packet Capture: 관리 안내서

QRadar Network Packet Capture 제품 관리 소개 관리자는 IBM QRadar Network Packet Capture를 사용하여 대시보드를 관리합니다 대상 독자 이 안내서는 네트워크 보안 조사 및 관리를 담당하는 모든 QRadar Network Packet Capture 사용자 를 대상으로 합니다 이 안내서는 사용자에게 QRadar Network Packet Capture 액세스 권한이 있고 회사 네트워크 및 네트워킹 기술에 대한 지식이 있다고 가정합니다 기술 문서 QRadar 제품 라이브러리에서 IBM Security QRadar 제품 문서를 찾으려면 IBM 보안 문서 기술 노 트 액세스(wwwibmcom/support/dociewwss?rs=0&uid=swg21614644)를 참조하십시오 고객 지원 문의 고객 지원 문의에 대한 정보는 지원 및 기술 노트 다운로드(http://wwwibmcom/support/ dociewwss?uid=swg21616144)를 참조하십시오 우수 보안 관리제도에 대한 설명 IT 시스템 보안은 귀사 내/외부로부터의 부적절한 접근을 방지, 감지, 대응함으로써 시스템과 정보를 보호하는 일을 포함합니다 부적절한 접근은 정보의 변경, 파괴 또는 유용을 초래하거나, 타 시스템에 대한 공격을 포함한 귀사 시스템에 대한 피해나 오용을 초래할 수 있습니다 어떠한 IT 시스템이나 제 품도 완벽하게 안전할 수 없으며, 단 하나의 제품이나 보안 조치만으로는 부적절한 접근을 완벽하게 방 지하는 데 효과적이지 않을 수 있습니다 IBM 시스템과 제품은 합법적이며 종합적인 보안 접근방법의 일부로서 고안되며, 이러한 접근방법은 필연적으로 추가적인 실행절차를 수반하며 가장 효과적이기 위 해서는 다른 시스템, 제품 또는 서비스가 필요할 수도 있습니다 IBM은 시스템과 제품이 임의의 당사 자의 악의적 또는 불법적 행위로부터 영향을 받지 않는다는 것을 보장하지는 않습니다 참고: 본 프로그램의 사용은 개인 정보, 정보 보호, 고용, 전기 통신 및 저장과 관련된 법률 또는 규정을 포 함하여 다양한 법률 또는 규정과 연관될 수 있습니다 IBM Security QRadar는 합법적인 목적과 합법 적인 방법으로만 사용될 수 있습니다 고객은 적용되는 법률, 규정 또는 정책에 의거하여 본 프로그램 을 사용하고, 적용되는 법률, 규정 또는 정책을 준수할 모든 책임이 있다는 것에 동의합니다 라이센스 사용자는 IBM Security QRadar의 합법적인 사용이 가능하게 하기 위해 필요한 모든 동의, 허가 및 라이센스를 이미 취득했거나 취득할 것임을 진술하고 보증합니다 Copyright IBM Corp 2016, 2018

i IBM QRadar Network Packet Capture: 관리 안내서

1 관리자를 위한 QRadar Network Packet Capture V731의 새 로운 기능 IBM QRadar Network Packet Capture V731은 스태킹과 SSH 지원을 제공합니다 Packet Capture 데이터 스태킹을 위한 확장 스토리지 데이터 캡처에 사용 가능한 스토리지를 확장할 수 있도록 QRadar Network Packet Capture 스태킹 을 사용하여 여러 QRadar Network Packet Capture 어플라이언스에 연결합니다 예를 들어 이제 최 대 16개의 QRadar Network Packet Capture 스토리지 디바이스를 스태킹하여 데이터 보존 시간을 늘릴 수 있습니다 QRadar Network Packet Capture 스태킹에 대해 자세히 보기 자세한 정보는 IBM QRadar Network Packet Capture 사용자 안내서를 참조하십시오 QRadar Network Packet Capture SSH 지원 특정 QRadar Network Packet Capture 사용자가 SSH 명령 프롬프트에 액세스할 수 있도록 SSH 위 젯을 구성하십시오 SSH 명령행 액세스를 사용하여 문제점 해결 및 디버깅에 도움을 받으십시오 QRadar Network Packet Capture 문제점 해결에 대해 자세히 보기 자세한 정보는 IBM QRadar Network Packet Capture 사용자 안내서를 참조하십시오 Copyright IBM Corp 2016, 2018 1

2 IBM QRadar Network Packet Capture: 관리 안내서

2 QRadar Network Packet Capture 관리 패킷 캡처 태스크를 수행하는 경우 관리자로 로그인해야 합니다 QRadar Network Packet Capture 사용자 계정 및 인증 설정 IBM QRadar Network Packet Capture 어플라이언스에서 사용자 인증은 2단계 프로세스를 거칩니 다 사용자가 로그인하려고 시도하면 인증이 로컬에서 수행됩니다 인증에 실패하는 경우, 사용자는 구 성된 Actie Directory 또는 LDAP(Lightweight Directory Access Protocol) 서버에 대해 인증됩니 다 두 유형의 인증이 모두 실패하면 사용자에게 액세스 권한이 부여되지 않습니다 참고: QRadar Network Packet Capture 어플라이언스가 QRadar Network Packet Capture 그룹의 멤버인 경우 사용자 계정과 인증 구성이 전체 그룹에 자동으로 동기화됩니다 새 로컬 사용자 작성 작은 사용자 베이스를 가지고 있고 Actie Directory 또는 LDAP 서버와 같은 인증 제공자가 필요하 지 않는 경우 IBM QRadar Network Packet Capture 어플라이언스에 대한 액세스 권한이 필요한 각 사용자에 대해 로컬 논리 계정을 작성하십시오 시작하기 전에 QRadar Network Packet Capture 어플라이언스에 관리자로 로그인하십시오 QRadar Network Packet Capture 장치는 Microsoft Actie Directory 또는 LDAP 서비스를 구성 하여 지정된 전체 사용자 인증도 지원합니다 4 페이지의 사용자 인증을 위한 Actie Directory 또 는 LDAP 서버 구성 의 내용을 참조하십시오 프로시저 1 QRadar Network Packet Capture에서 관리 탭을 클릭하십시오 2 계정 위젯으로 이동하여 새 사용자의 사용자 및 비밀번호 필드에 값을 입력하십시오 3 사용자 레벨을 선택하십시오 최상위 레벨의 액세스 권한이 필요하고 구성을 변경할 수 있는 관리자의 경우 관리자를 선택하 십시오 검색 및 조회와 같은 운영 용도로 QRadar Network Packet Capture 어플라이언스를 사용해 야 하는 사용자의 경우 운영자를 선택하십시오 QRadar Network Packet Capture 어플라이언스에서만 결과만 모니터해야 하는 사용자의 경 우 모니터를 선택하십시오 다음 정보를 사용하여 필요한 사용자 레벨을 판별하십시오 Copyright IBM Corp 2016, 2018 3

활동 모니터 레벨 운영자 레벨 관리자 레벨 디바이스에서 통계 정보 얻기 X X X 현재 그룹 설정에 대한 정보 얻기 X X X 장치에서 데이터 검색 및 조회 시작 X X 진행 중인 검색 취소 X X 사용자 계정 추가 또는 제거를 포함하여 디바이스에 대한 구성 변경 X 장치의 통계 정보 재설정/지우기 X 로그 및 지원 아카이브를 포함하여 디바이스에서 지원 정 보 얻기 X 데이터 구성 시작 및 중지 X 그룹 설정 변경 X 4 계정 추가를 클릭하십시오 로컬 사용자 비밀번호 변경 보안을 이유로 계정 위젯을 사용하여 사용자의 비밀번호를 변경해야 합니다 이 태스크 정보 비밀번호를 변경하면 로컬 사용자가 자동으로 로그아웃됩니다 사용자는 새 비밀번호로 다시 로그인해 야 합니다 관리자가 비밀번호를 변경하는 경우에도 다시 로그인해야 합니다 프로시저 1 QRadar Network Packet Capture에서 관리 탭을 클릭하십시오 2 계정 위젯으로 이동하여 사용자 필드에 해당 사용자 이름을 입력하십시오 3 비밀번호 필드에 새 비밀번호를 입력하고 계정 업데이트를 클릭하십시오 확인 메시지가 표시되고 새 비밀번호가 즉시 적용됩니다 사용자 인증을 위한 Actie Directory 또는 LDAP 서버 구성 IBM QRadar Network Packet Capture는 기존 인증 제공자를 사용하여 사용자 보안 인프라에 통합 됩니다 인증 및 권한 부여 위젯을 사용하여 Actie Directory 및 LDAP을 구성합니다 QRadar Network Packet Capture는 Microsoft Actie Directory 서비스 또는 LDAP 서버에 지정된 전체 사용자 인증을 지원합니다 인증 소스로서의 Microsoft Actie Directory 및 LDAP 서버는 기본적 으로 사용 안함으로 설정됩니다 시작하기 전에 QRadar Network Packet Capture 장치에 관리자로 로그인하십시오 프로시저 1 관리 탭을 클릭하여 인증 및 권한 부여 위젯으로 이동하십시오 4 IBM QRadar Network Packet Capture: 관리 안내서

2 적절한 서버 유형을 선택하고 적용을 클릭하십시오 구성하는 매개변수는 인증 서버 유형에 따라 다릅니다 참고: 사용자가 인증을 요청할 때 기본 인증 및 권한 부여 서버에 액세스할 수 없는 경우 DNS 이 름에 대해 서비스 레코드(SRV) 검색이 수행됩니다 확인된 SRV IP 주소 목록이 보조 인증 서버 로 사용됩니다 중요사항: Actie Directory를 사용하는 경우 사용자 이름은 완전한 도메인 이름이어야 합니다(예 : \\[도메인]\[사용자 이름] 또는 [사용자 이름]@[도메인]) 다음 표에서 올바른 서버 유형을 선택하고 구성하십시오 매개변수 서버 유형 Actie Directory 또는 LDAP 서버 모두 와의 통신을 위한 프로토콜 설명 기본값 프로토콜 및 암호화 메소드 가능한 값: LDAP LDAP LDAP + TLS LDAP + SSL Actie Directory 또는 LDAP 서버 모두 의 호스트 이름 또는 IP 주소 해당사항 없음 Actie Directory 또는 LDAP 서버 모두 에 연결할 포트 번호 389 Actie Directory 또는 LDAP 서버 모두 에 대한 연결 제한시간(초) 25초 기본 도메인 이름 모두 조회가 시작되어야 하는 구별 이름 해당사항 없음 관리자 레벨 그룹 모두 관리자 레벨 권한을 식별하는 데 사용되는 해당사항 없음 그룹 이름 운영자 레벨 그룹 모두 운영자 레벨 권한을 식별하는 데 사용되는 해당사항 없음 그룹 이름 모니터 레벨 그룹 모두 모니터 레벨 권한을 식별하는 데 사용되는 해당사항 없음 그룹 이름 필터 LDAP 항목이 일치해야 하는 조건 해당사항 없음 필터 범위 LDAP 가능한 값: 서브트리 기본 한 개 레벨 서브트리 사용자에게 그룹을 지정하는 데 사 LDAP 용되는 속성 이름 그룹 이름을 포함하는 리턴된 오브젝트 속 성 이름 2 QRadar Network Packet Capture 관리 5

매개변수 서버 유형 LDAP 서버에 바인딩할 때 사용되 LDAP 는 LDAP 사용자 기반 설명 기본값 짧은 사용자 이름으로 로그인할 수 있도록 인증 정보를 지정하십시오 예를 들어, 다음과 같이 지정할 수 있습니 다 cn={},dc=company,dc=com 여기서 {}는 사용자 이름(예: admin)을 나 타내고 companycom은 사용자 도메인을 나 타냅니다 다른 예제는 다음과 같습니다 uid={},ou=people, dc=company,dc=com 이 USERBASE 필드를 설정하면 사용자가 완 전한 도메인 이름을 지정할 필요 없이 짧 은 사용자 이름(예: admin)을 사용하여 로 그온할 수 있습니다 시작 중 데이터 일관성 검사 IBM QRadar Network Packet Capture 어플라이언스 시작 중에 저장된 데이터의 무결성과 일관성 이 검사됩니다 QRadar Network Packet Capture에 로그인하면 서비스가 초기화되고 있음을 나타내는 메시지가 표 시됩니다 창의 맨 위에 있는 상태 표시줄은 초기화 진행상태를 보여 줍니다 일관성 검사의 지속 시간은 QRadar Network Packet Capture 어플라이언스에 저장된 데이터 양에 따라 다릅니다 날짜 및 시간 구성(NTP) 캡처 데이터의 시간소인이 올바르게 되어 있는지 확인하려면 QRadar Network Packet Capture가 사 용하는 날짜와 시간을 구성해야 합니다 QRadar Network Packet Capture에 대한 로컬 날짜 및 시 간을 구성하거나, NTP(Network Time Protocol) 또는 PTP(Precision Time Protocol)를 사용으로 설 정하여 외부 소스의 날짜 및 시간을 동기화할 수 있습니다 시작하기 전에 PTP 케이블이 QRadar Network Packet Capture 장치에 연결되어 있지 않아야 합니다 이전 설정에서 시간 시스템을 수정하는 경우 업데이트를 설치하기 전에 데이터 캡처를 껐는지 확인하 십시오 6 IBM QRadar Network Packet Capture: 관리 안내서

상당한 시간 점프(1분 이상)가 예상되는 경우 업데이트 후에 QRadar Network Packet Capture 장치 를 다시 시작하여 모든 서브시스템이 동기화되도록 하십시오 부정적인 시간 점프가 예상되는 경우 업데이트하기 전에 모든 캡처 데이터를 지워 시간소인 문제를 방 지하십시오 프로시저 1 관리 탭을 클릭하여 NTP 설정 위젯으로 이동하십시오 2 QRadar Network Packet Capture 관리 7

그림 1 시간 프로토콜 설정 위젯 2 로컬 시간 및 날짜를 구성하려면 날짜 및 시간 필드에 설명된 형식으로 날짜와 시간을 입력하십시 오 3 사용자 요구사항을 기반으로 시간 서비스 유형을 선택하십시오 표 1 시간 서비스 유형 구성 시간 서비스 유형 설명 NTP 날짜와 시간을 외부 서버와 동기화합니다 RDate 네트워크 서버의 현재 날짜와 시간을 동기화합니다 8 IBM QRadar Network Packet Capture: 관리 안내서

표 1 시간 서비스 유형 구성 (계속) 시간 서비스 유형 설명 수동 ISO8601 또는 dd/mm/yyyy h:m:s 형식을 사용하여 날짜와 시간을 입 력하십시오 4 날짜 및 시간 소스와 관련된 서버 주소를 선택하십시오 5 적용을 클릭하여 완료하십시오 결과 QRadar Network Packet Capture의 가속기가 해당 시간을 운영 체제 시간과 자동으로 동기화합니 다 위치 이름 및 담당자 구성 QRadar Network Packet Capture 어플라이언스를 보다 쉽게 식별하려면 인식 가능한 이름을 지정해 야 합니다 프로시저 1 관리 탭을 클릭하십시오 2 다음 그림과 같이 일반 설정 위젯을 스크롤 다운하십시오 그림 2 일반 설정 위젯 3 위치 이름과 선택적으로 담당자 이름을 입력하십시오 4 적용을 클릭하십시오 2 QRadar Network Packet Capture 관리 9

패킷 캡처 시작 또는 중지 어플라이언스가 캡처하는 레코딩 수를 제어할 수 있습니다 프로시저 1 QRadar Network Packet Capture에서 관리 탭을 클릭하십시오 2 제어 위젯으로 이동하십시오 3 트래픽 캡처를 켜기 또는 끄기로 설정하십시오 그림 3 트래픽 캡처 기본적으로 패킷 캡처는 켜져 있습니다 QRadar Network Packet Capture가 패킷을 캡처하지 않 는 경우 트래픽 캡처가 켜기로 설정됩니다 QRadar Network Packet Capture가 패킷을 캡처하 는 경우 트래픽 캡처가 끄기로 설정됩니다 원격 syslog 설정 구성 원격 SYSLOG 설정 위젯을 사용하여 원격 시스템 로깅을 사용으로 설정하고 프로토콜 세부사항을 구 성합니다 프로시저 1 QRadar Network Packet Capture에서 관리 탭을 클릭하십시오 2 원격 SYSLOG 설정 위젯으로 이동하십시오 3 원격 Syslog 사용 선택란을 선택하여 시스템 로깅을 사용으로 설정하십시오 10 IBM QRadar Network Packet Capture: 관리 안내서

그림 4 원격 Syslog 설정 4 설정에 따라 UDP 또는 TCP 프로토콜을 선택하십시오 5 원격 Syslog 서버 포트에 포트 번호를 지정하고 원격 Syslog 서버 필드에 IP 주소를 지정하십시 오 6 적용을 클릭하십시오 syslog 보기 SYSLOGS를 사용하여 디바이스의 문제를 해결합니다 기본적으로 SYSLOGS 위젯은 IBM QRadar Network Packet Capture 어플라이언스에 있는 마지막 500개의 syslog를 표시합니다 Syslog 레벨 및 로그 행 제어를 사용하여 표시되는 행 수를 필터링하고 조정할 수 있습니다 SNMP 설정 구성 GUI SNMP 설정 위젯을 사용하여 QRadar Network Packet Capture 어플라이언스에 대한 SNMP 를 설정합니다 SNMP 트랩을 전송할 대상 IP 주소를 포함시킬 수 있습니다 2 QRadar Network Packet Capture 관리 11

SNMP 트랩에 대한 자세한 정보를 보려면 Dell OpenManage SNMP 참조 안내서 버전 72를 참조 하거나 선호하는 검색 엔진에서 Dell OpenManage SNMP를 검색해 보십시오 X509 구성 X509 설정 위젯을 사용하여 IBM QRadar Network Packet Capture 어플라이언스를 인증하기 위해 HTTPS에서 사용하는 새 X509 인증서를 설치합니다 사용자가 설치한 인증서가 없는 경우 디바이스별로 고유한 출하 시 설치된 인증서가 사용됩니다 인증 서는 자체 서명됩니다 가속기 구성 가속기 설정 위젯을 사용하여 가속기 포트 설정, 패킷 처리 및 사전 필터를 구성합니다 포트 설정 SFP 또는 SFP+ 모듈이 포트에 설치된 경우 기본적으로 사용으로 설정됩니다 가속기 설정 위젯에서 모듈을 수동으로 사용 안함으로 설정할 수 있습니다 기본적으로 각 포트는 모듈 속도를 자동으로 감 지합니다 그러나 듀얼 등급 모듈을 사용하는 경우 단일 선택 단추를 사용하여 수동으로 속도를 1G 또 는 10G로 설정할 수 있습니다 다음 표는 각 포트에 대한 기능 구성을 설명합니다 표 2 포트 설정의 기능 구성 포트 기능 설정 설명 캡처 기본 설정 패킷이 캡처됩니다 사용 안함 패킷 캡처가 꺼지고 패킷이 캡처되지 않습니다 링에서 재전송 패킷이 다른 로컬 포트로 전송됩니다 패킷을 재전송할 포트를 선택하 십시오 ETS 재전송 ETS(Encapsulated Time Stamp)가 모든 패킷에 추가되고 모든 패킷 이 다른 로컬 포트로 재전송됩니다 12 IBM QRadar Network Packet Capture: 관리 안내서

그림 5 가속기 설정 사전 필터 구성 가속기 설정 위젯을 사용하여 캡처 및 저장된 패킷의 크기를 줄이기 위해 캡처되는 패킷을 필터링합니 다 프로시저 1 QRadar Network Packet Capture에서 관리 탭을 클릭하십시오 2 가속기 설정 위젯으로 이동하십시오 3 사전 필터를 구성하십시오 4 a 사전 필터 필드에 명령문을 입력하십시오 b 적용을 클릭하십시오 패킷 처리를 설정하십시오 a 사전 필터 필드에 명령문을 입력하십시오 b 슬라이싱 사용을 선택하여 슬라이싱을 사용하도록 오프셋을 설정하십시오 슬라이싱 오프셋은 모든 패킷이 분할되도록 정적 오프셋과 함께 동적 오프셋으로 구성됩니다 c 적용을 클릭하십시오 2 QRadar Network Packet Capture 관리 13

로컬 재전송 설정 로컬에서 트래픽을 재전송하여 하나의 네트워크 인터페이스(물리적 포트)에 받은 패킷을 하나 이상의 네트워크 인터페이스로 보낼 수 있습니다 예를 들어, 포트 1에서 받은 모든 패킷을 포트 2로 재전송 할 수 있습니다 기존 네트워크 TAP와 네트워크 디바이스 사이에 QRadar Network Packet Capture 장치를 삽입하 십시오 로컬 재전송을 사용으로 설정하면 모든 트래픽을 QRadar Network Packet Capture 장치로 받고 모든 트래픽을 연결된 네트워크 디바이스로 전달할 수도 있습니다 패킷 재전송은 패킷 캡처에 영향을 주지 않습니다 QRadar Network Packet Capture 장치는 트래픽을 선택된 포트로 재전송합니다 통계 또는 검색 지우기 제어 위젯을 사용하여 진행 중이고 큐에 대기 중인 모든 검색을 지웁니다 프로시저 1 QRadar Network Packet Capture에서 관리 탭을 클릭하십시오 2 제어 위젯으로 이동하십시오 3 히스토리 데이터를 지우려면 통계 지우기를 통계 지우기로 설정하십시오 4 최근 검색을 모두 지우려면 모든 검색 지우기를 검색 지우기로 설정하십시오 그림 6 통계 또는 검색 지우기 어플라이언스 다시 시작 및 출하 상태로 재설정 수행 제어 위젯을 사용하여 IBM QRadar Network Packet Capture 전원 설정에 액세스합니다 프로시저 1 QRadar Network Packet Capture 어플라이언스를 다시 시작하거나 시스템 종료하려면 다음을 수 행하십시오 14 a QRadar Network Packet Capture에서 관리 탭을 클릭하십시오 b 제어 위젯으로 이동하십시오 IBM QRadar Network Packet Capture: 관리 안내서

c 전원 제어를 재부팅 또는 시스템 종료로 설정하십시오 그림 7 전원 제어 2 네트워크 패킷을 지우고 출하 상태로 재설정하려면 다음을 수행하십시오 a QRadar Network Packet Capture에서 관리 탭을 클릭하십시오 b 제어 위젯으로 이동하십시오 c RAID 디스크 어레이에서 네트워크 패킷을 지우려면 캡처된 모든 데이터 지우기에서 슬레이트 정리를 선택하십시오 참고: 이 조치는 데이터를 지우지만 완전한 삭제는 아닙니다 이는 여러 단계를 수행하지 않고, 완전 정리 알고리즘이 포함되지도 않습니다 d QRadar Network Packet Capture 어플라이언스를 재설정하려면 전원 제어에서 출하 상태로 재설정을 선택하십시오 참고: 출하 상태로 재설정은 캡처한 모든 데이터를 지우고, 네트워크 구성을 제외한 모든 설정 을 재설정합니다 그림 8 전원 제어 SSH 구성 SSH 명령행 액세스를 사용하여 문제점 해결 및 디버깅에 도움을 받을 수 있습니다 지원 로그인(SSH) 위젯을 사용하여 특정 사용자에게 액세스를 제공합니다 SSH 지원은 기본적으로 사용 안함으로 설정 됩니다 SSH 지원을 허용하기 위해 고객 지원에서 제공하는 키 인증서가 필요합니다 2 QRadar Network Packet Capture 관리 15

프로시저 1 QRadar Network Packet Capture에서 관리 탭을 클릭하십시오 2 제어 위젯에서 지원 > 지원 로그인(SSH) 사용을 선택하십시오 SSH 지원을 사용하는 경우 키 인증서와 비밀번호를 가진 사용자가 활성 시스템의 시스템에 액세 스할 수 있습니다(또는 지원 > 지원 로그인 사용(SSH)을 선택하여 SSH를 사용 안함으로 설정할 때까지) 호스트를 재부팅하면 SSH가 자동으로 사용 안함으로 설정되므로 사용자가 SSH를 다시 사용으로 설정해야 합니다 3 다음 단계를 수행하여 지원 로그인(SSH) 위젯에서 SSH 액세스를 특정 IP 주소로 제한할 수 있습 니다 a 관리 탭을 클릭하십시오 b 지원 로그인(SSH) 위젯으로 이동하십시오 c 한 번에 한 IP 주소를 입력하고 추가를 클릭하십시오 결과 SSH 동작이 다음과 같이 변경됩니다 특정한 주소만 시스템에 대한 액세스 권한을 부여받습니다 SSH 지원은 해당 주소에 대해 영구적으로 사용하도록 설정됩니다 따라서 어플라이언스를 재시작 한 후에도 SSH 액세스가 기본적으로 사용으로 설정됩니다 16 IBM QRadar Network Packet Capture: 관리 안내서

3 QRadar Network Packet Capture 및 패킷 캡처 모니터링 대시보드에서 모니터링 위젯을 사용하여 그룹에 있는 하나 이상의 IBM QRadar Network Packet Capture 어플라이언스에 대한 전체 상태를 볼 수 있습니다 QRadar Network Packet Capture 그룹은 별도의 네트워크 TAP에서 데이터를 캡처하는 물리적으로 분리된 어플라이언스로 구성되어 있습니다 그룹화를 사용하여 보다 쉽게 관리하고 검색할 수 있는 하 나의 논리 엔티티를 만드십시오 그룹은 최대 QRadar Network Packet Capture개의 어플라이언스로 구성될 수 있습니다 그룹 보기 각 QRadar Network Packet Capture 어플라이언스는 다음 모니터링 구성요로소 구성됩니다 표 3 모니터링 구성요소 아이콘 설명 가속기 시스템 스토리지 트래픽 구성요소의 상태는 색상(밝은 회색, 노란색 및 빨간색)으로 표시됩니다 그룹 목록 보기 그룹 목록 보기 위젯을 사용하여 그룹에 있는 각 QRadar Network Packet Capture 어플라이언스의 상태를 모니터링합니다 장치 보기 장치 보기를 사용하여 그룹 보기 위젯에서 선택된 IBM QRadar Network Packet Capture 어플라이 언스에 대한 자세한 정보를 확인합니다 Copyright IBM Corp 2016, 2018 17

장치 보기는 QRadar Network Packet Capture 어플라이언스의 보존 및 어플라이언스 상태에 대한 개요 정보를 표시합니다 자세한 정보는 가속기, 시스템 및 스토리지에 대한 정보를 표시합니다 CPU 사용률 CPU 사용률 위젯을 사용하여 각 하이퍼스레드 코어에 대한 CPU 사용량을 개별적으로 모니터링합니 다 표시되는 CPU 모델과 속도를 사용하여 CPU를 식별합니다 트래픽 트래픽 위젯을 사용하여 QRadar Network Packet Capture 어플라이언스가 수신하는 패킷 캡처 트래 픽의 히스토리를 모니터링합니다 차트는 주기적으로 업데이트되고 오른쪽으로 스크롤하여 히스토리 데이터의 마지막 기간만 표시합니다 패킷 분배 패킷 분배 위젯을 사용하여 통계 데이터를 마지막으로 재설정한 이후 IBM QRadar Network Packet Capture 어플라이언스가 수신하는 브로드캐스트, 멀티캐스트 및 유니캐스트 간의 분배를 모니터링합 니다 패킷 크기 분배 패킷 크기 분배 위젯을 사용하여 통계 데이터를 마지막으로 재설정한 이후 QRadar Network Packet Capture 어플라이언스가 수신하는 프레임의 패킷 크기 분배를 모니터링합니다 18 IBM QRadar Network Packet Capture: 관리 안내서

4 QRadar Network Packet Capture 검색 및 조회 특정 포트에서 특정 시간 범위 내의 특정 패킷을 검색하려면 검색 탭을 사용하십시오 소스 IP, 대상 IP, 소스 포트, 대상 포트 또는 프로토콜 필드의 조합을 지정하는 경우 NTQL(QRadar Network Packet Capture Query Language) 문자열이 생성됩니다 NTQL 문자열을 수정하거나 검색에서 사용자 NTQL 표현식을 작성할 수 있습니다 예를 들어, NTQL을 최적화하려면 소스 IP와 대상 IP 주소 간에 dst host를 host로 변경하거나 and 표현식을 or 표현식으로 변경하십시오 검색 결과 제한 검색 결과를 제한하고 검색 결과를 전달하는 데 걸리는 시간을 줄이려면 다음 필터 중 하나를 사용하 여 검색 범위를 추가하십시오 시간 간격 수신 포트(선택된 포트) QRadar Network Packet Capture 어플라이언스의 그룹에서 검색하는 경우 로컬 어플라이언스에 로 그온한 경우에만 검색 조회를 제출해야 합니다 그렇지 않으면 검색 결과에 대한 검색 성능이 저하됩 니다 검색 출력의 형식은 표준 PCAP 형식 또는 PCAP-NG 형식입니다 QRadar Network Packet Capture 어플라이언스 그룹에 대한 검색인 경우에도 PCAP-NG 형식에는 포트 번호 정보가 포함됩니다 그룹 의 각 서버에 대해 트래픽을 검색할 수신 포트를 지정할 수도 있습니다 FCS(Frame Check Sequence) 정보도 이 검색 출력에 리턴됩니다 이 정보는 패킷 데이터와 함께 전 송됩니다 검색을 제출하기 전에 검색 엔진이 사용 중인 경우 검색을 큐에 대기시킬 수 있습니다 검색이 완료되 는 즉시 출력을 자동으로 다운로드할지 여부를 선택하고 다른 검색의 우선순위를 지정할 수 있습니다 NTQL과 BPF 간의 차이점 NTQL을 사용하여 캡처 중에 빌드된 색인을 기반으로 검색 속도를 높일 수 있습니다 NTQL 필터는 BPF(Berkeley Packet Filter)와 다르게 작동합니다 다음 예에서는 NTQL 필터가 작동 하는 방식을 설명합니다 IP 주소를 검색하는 경우 VLAN, MPLS 또는 ISL 태그 지정 또는 캡슐화와 관계 없이 이 IP 주소 가 있는 모든 패킷이 리턴됩니다 특정 TCP 또는 UDP 포트를 검색하는 경우 리턴되는 결과에는 확장 헤더가 있는 IP6 패킷이 포 함됩니다 Copyright IBM Corp 2016, 2018 19

BPF 포트 필터링은 전체 BPF 구문을 기반으로 합니다 BPF 표현식을 작성하면 이 BPF 사후 필터링 은 지정된 NTQL 필터를 통과한 패킷만 필터링합니다 BPF 필터는 NTQL에서와 다르게 작동하며 NTQL 필터에서 찾은 패킷을 제거할 수 있습니다 관련 개념: 23 페이지의 NTQL 27 페이지의 5, 그룹화된 QRadar Network Packet Capture 어플라이언스 큐에 대기 중인 검색 실행하려는 검색이 여러 개인 경우 큐에 대기 중인 검색이 사용됩니다 한 번에 하나의 검색만 실행할 수 있지만 큐에서 대기한 다음 우선순위에 따라 실행되는 여러 개의 검 색을 실행할 수 있습니다 큐에 대기 중인 검색은 검색 큐 위젯에 표시됩니다 다음 이미지는 큐에 대기 중이고 우선순위에 따라 실행 예정인 검색 큐를 보여줍니다 그림 9 검색 큐 위젯 검색을 제출하기 전에 시스템 준비 시 자동 다운로드 옵션을 선택하십시오 검색이 완료되면 검색 결 과가 자동으로 다운로드됩니다 자동 다운로드 설정을 클릭하여 이 동작을 변경할 수 있습니다 활성 검색 활성 검색 위젯을 사용하여 활성 상태의 진행 중인 검색을 표시합니다 다음 이미지는 활성 검색 조회를 보여 줍니다 20 IBM QRadar Network Packet Capture: 관리 안내서

그림 10 활성 검색 위젯 검색 히스토리 검색 히스토리 위젯을 사용하여 IBM QRadar Network Packet Capture 어플라이언스에서 검색 히 스토리를 표시합니다 다음 이미지는 완료된 검색 조회의 검색 히스토리를 보여 줍니다 4 QRadar Network Packet Capture 검색 및 조회 21

그림 11 검색 히스토리 위젯 검색 템플리트 검색 히스토리 위젯을 사용하여 이전에 실행된 검색을 다음 검색을 위한 템플리트로 사용할 수 있습니 다 검색 템플리트로 사용을 클릭하고 검색 위젯으로 이동하여 필요에 따라 템플리트를 수정하십시오 검색 삭제 검색 큐 위젯에서 큐 지정된 항목 취소를 클릭하여 큐 지정된 검색을 중지할 수 있습니다 활성 검색 위젯에서 검색 취소를 클릭하여 활성 검색을 중지할 수 있습니다 22 IBM QRadar Network Packet Capture: 관리 안내서

NTQL NTQL(QRadar Network Packet Capture Query Language)을 사용하여 캡처되는 패킷에서 데이터 를 검색합니다 예를 들어, 다음 유형의 정보를 위해 NTQL을 사용할 수 있습니다 IP4 호스트 주소(소스, 대상 또는 둘 중 하나) IP6 호스트 주소(소스, 대상 또는 둘 중 하나) TCP 또는 UDP 포트 번호(소스, 대상 또는 둘 중 하나) 이더넷 프레임에 의해 전송되는 계층 3 프로토콜 IP 패키지에 의해 전송되는 계층 4 프로토콜 논리 AND 및 OR를 사용한 조합 참고: NTQL은 대소문자를 구분합니다 모두 일치 비어 있는 NTQL 문자열은 모든 패킷과 일치하며, 일치 수가 제한된 경우에 유용합니다 호스트 주소 검색 특정 호스트로 전송된 패킷을 검색하려면 다음 문자열을 입력하십시오 src host <IP_address> 호스트에서 전송된 패킷을 검색하려면 다음 문자열을 입력하십시오 dst host <IP_address> 포트 번호 검색 TCP 또는 UDP 포트로 또는 해당 포트로부터 전송된 패킷을 검색하려면 다음 문자열을 입력하십시 오 port <number> 포트 번호가 없는 프로토콜을 사용하여 전송된 패킷은 이 검색에서 제외됩니다 특정 포트에서 전송된 패킷으로 검색 결과를 축소하려면 다음 문자열을 입력하십시오 src port <number> 특정 포트로 전송된 패킷을 검색하려면 다음 문자열을 입력하십시오 dst port <number> 계층 3 프로토콜 검색 특정 계층 3 프로토콜을 사용하는 패킷을 검색하려면 다음 문자열을 입력하십시오 l3proto <protocol> 4 QRadar Network Packet Capture 검색 및 조회 23

여기서 <protocol>은 프로토콜 번호 또는 이름입니다 다음은 지원되는 프로토콜 이름입니다 ip ip4 ip4 arp ip6 ip6 lldp ptp ip가 프로토콜로 지정되면 IP4가 사용됩니다 계층 4 프로토콜 검색 특정 계층 4 프로토콜을 사용하는 패킷을 검색하려면 다음 문자열을 입력하십시오 l4proto <protocol> 여기서 <protocol>은 프로토콜 번호 또는 이름입니다 다음 목록은 지원되는 이름입니다 3pc, ah, argus, aris, ax25, bbn-rcc-mon, bna, br-sat-mon, cbt, cftp, chaos compaq-peer, cphb, cpnx, crtp, crudp, dccp, dcn-meas, ddp, ddx, dgp, egp, eigrp emcon, encap, esp, etherip, fc, fire, ggp, gmtp, gre, hip, hmp, hopopt, i-nlsp, iatp icmp, idpr, idpr-cmtp, idrp, ifmp, igmp, igp, il, ip-in-ip, ipcomp, ipcu, ipip, iplt, ippc, iptm, ip6, ip6-frag, ip6-icmp, ip6-nonxt, ip6-opts, ip6-route, ipx-in-ip, irtp, iso-ip, iso-tp4, kryptolan, l2tp, larp, leaf-1, leaf-2, manet, merit-inp, mfe-nsp mhrp, micp, mobile, mobility header, mpls-in-ip, mtp, mux, narp, netblt, nsfnet-igp, np-ii ospf, pgm, pim, pipe, pnni, prm, ptp, pup, pp, qnx, rdp, rohc, rsp, rsp-e2e-ignore, rd, sat-expak, sat-mon, scc-sp, scps, sctp, sdrp, secure-mtp, shim6, skip, sm, smp, snp, sprite-rpc sps, srp, sscopmce, st, stp, sun-nd, swipe, tcf, tcp, tlsp, trunk-1, trunk-2, ttp, udp, udplite uti, ines, isa, mtp, rrp, wb-expak, wb-mon, wesp, wsn, xnet, xns-idp, 검색어 조합 이러한 검색어를 AND와 OR 키워드를 사용하여 더 복잡한 표현식으로 조합할 수 있습니다 예를 들어, 1111 또는 2222 중에 OR로 패킷을 검색하려면 다음 문자열을 입력하십시오 host 1111 or host 2222 1111 또는 2222 둘 다 AND로 패킷을 검색하려면 다음 문자열을 입력하십시오 host 1111 and host 2222 이러한 키워드는 왼쪽 연관 법칙입니다 예를 들어, 다음 구문을 고려해 보십시오 port 42 and host 1111 or host 2222 24 IBM QRadar Network Packet Capture: 관리 안내서

이 표현식은 다음과 같이 평가됩니다 포트 42를 대상으로 송수신되고 호스트 1111을 대상으로 송수신됨 또는 호스트 2222를 대상으로 포트 번호에 상관 없이 송수신됨 다음 예에서와 같이 괄호를 사용하여 왼쪽 연관 법칙을 변경할 수 있습니다 port 42 and (host 1111 or host 2222) 이 표현식은 호스트 1111 또는 2222를 대상으로 송수신되고 포트 42를 대상으로 송수신되는 패킷 을 찾도록 평가됩니다 관련 개념: 19 페이지의 4, QRadar Network Packet Capture 검색 및 조회 4 QRadar Network Packet Capture 검색 및 조회 25

26 IBM QRadar Network Packet Capture: 관리 안내서

5 그룹화된 QRadar Network Packet Capture 어플라이언스 IBM QRadar Network Packet Capture 그룹화 기능을 통해 여러 개의 물리적 어플라이언스를 함께 그룹화하여 관리와 검색을 위한 단일 논리 엔티티로 만듭니다 그룹화 기능을 사용하여 여러 TAP 지 점과 여러 QRadar Network Packet Capture 어플라이언스가 한 어플라이언스처럼 액세스되고 작동 할 수 있습니다 QRadar Network Packet Capture 그룹은 별도의 네트워크 TAP에서 데이터를 캡처할 수 있습니다 관리 네트워크 인터페이스의 모든 QRadar Network Packet Capture 그룹 멤버에 액세스하도록 모든 QRadar Network Packet Capture 어플라이언스를 구성해야 하며 네트워크에 DNS 서버가 있어야 합 니다 QRadar Network Packet Capture 어플라이언스를 그룹화하면 단일 데이터 조회로 모든 그룹 멤버 데이터를 검색할 수 있습니다 검색 결과는 모든 그룹 멤버에서 병합된 데이터가 있는 단일 PCAP 파 일입니다 전체 그룹에 액세스하려면 멤버 중 하나에만 로그인하면 됩니다 이 단일 로그인을 통해 QRadar Network Packet Capture 그룹의 모든 멤버와 프록시로 통신할 수 있습니다 프록시 기능은 주로 원격 어플라이언스의 관리, 구성 및 디버깅을 위한 것입니다 사용자가 프록시 메 소드를 통해 원격 QRadar Network Packet Capture에 있는 동안 전체 그룹에 대해 검색이 시작되면 관리 네트워크에서 상당한 양의 중복 트래픽이 전송됩니다 이는 관리 네트워크의 대역폭과 대기 시간 에 따라 검색 성능에 영향을 줍니다 따라서 QRadar Network Packet Capture 그룹에 대한 검색은 허브나 프록시가 없이 항상 기본 또는 로컬 머신에서 시작되어야 합니다 관련 개념: 19 페이지의 4, QRadar Network Packet Capture 검색 및 조회 그룹 액세스 그룹에 있는 IBM QRadar Network Packet Capture 어플라이언스에 액세스하는 경우 일부 기능이 다르게 작동합니다 다음과 같은 방식에서는 그룹으로 지정되는 어플라이언스가 다릅니다 대시보드 탭의 그룹 보기 위젯에서 QRadar Network Packet Capture 어플라이언스(그룹) 수가 표 시됩니다 전환 대상 버튼은 대시보드의 그룹 보기에서 전환되는 어플라이언스에 해당합니다 사용자 계정을 수정하고 Actie Directory를 설정하는 경우 모든 그룹 멤버에 업데이트가 자동으 로 전파됩니다 Copyright IBM Corp 2016, 2018 27

그룹 작성 및 수정 초기 피어 투 피어 그룹 그룹 요청은 GUI 또는 REST API를 통해 IBM QRadar Network Packet Capture 어플라이언스에 서 초기화됩니다 다음 예제에서 그룹 정보를 요청하는 QRadar Network Packet Capture 어플라이언스를 어플라이언 스 A라고 하고 그룹 요청의 수신 어플라이언스를 어플라이언스 B라고 합니다 예를 들어, A QRadar Network Packet Capture 그룹은 두 멤버로 구성됩니다 다음이 발생합니다 요청 그룹화의 일부로 어플라이언스 B에 대해 관리 레벨 액세스 권한이 있는 사용자 이름과 비밀 번호가 제공됩니다 로컬 계정과 Actie Directory 구성 목록을 어플라이언스 A에서 어플라이언스 B로 내보냅니다 어 플라이언스 B에 대한 이전의 모든 계정 구성과 Actie Directory 구성을 겹쳐씁니다 모든 캡처 데이터는 어플라이언스 A와 어플라이언스 B에서 유지되고 어플라이언스에서 검색될 수 있습니다 기존 그룹의 포함 독립형 QRadar Network Packet Capture 어플라이언스를 기존 그룹에 포함시키도록 하는 요청은 독 립형 어플라이언스 또는 그룹의 멤버에서 시작될 수 있습니다 다음 예제에서 그룹에 포함시킬 독립형 QRadar Network Packet Capture 어플라이언스를 어플라이언스 C라고 합니다 예를 들어, QRadar Network Packet Capture 어플라이언스가 기존 그룹에 포함될 때 다음이 발생합 니다 그룹의 로컬 계정 및 Actie Directory 구성을 어플라이언스 C로 내보냅니다 어플라이언스 C의 이전 계정과 Actie Directory 구성을 겹쳐씁니다 그룹 탈퇴 로컬 계정과 Actie Directory 구성은 QRadar Network Packet Capture 어플라이언스가 그룹에서 제거될 때의 상태대로 남습니다 그룹과의 동기화는 더 이상 발생하지 않습니다 QRadar Network Packet Capture 그룹 설정 여러 QRadar Network Packet Capture 어플라이언스를 한 그룹으로 구성합니다 시작하기 전에 IBM QRadar Network Packet Capture 어플라이언스 그룹화에 대해 확실히 알아보려면 QRadar Network Packet Capture 어플라이언스의 그룹화를 참조하십시오 28 QRadar Network Packet Capture 어플라이언스에 관리자로 로그인합니다 IBM QRadar Network Packet Capture: 관리 안내서

이 태스크 정보 전체 그룹, 선택된 멤버 또는 단일 멤버를 검색할 수 있습니다 검색 결과는 시간소인 순서대로 병합된 단일 스트림에 전달됩니다 각 패킷에는 소스 디바이스 UUID와 PCAP/NG 형식의 수신 포트가 어노 테이션으로 표기됩니다 프로시저 1 관리 탭을 클릭하여 그룹 멤버 위젯으로 이동하십시오 2 원격 QRadar Network Packet Capture 어플라이언스의 DNS 또는 IP 주소를 입력하십시오 3 원격 QRadar Network Packet Capture 어플라이언스의 관리 사용자에 대한 로그인 정보를 입력 하십시오 4 호스트 추가를 클릭하십시오 결과 원격 QRadar Network Packet Capture 어플라이언스가 현재 로그인된 어플라이언스로 그룹화됩니다 다음에 수행할 작업 제거를 클릭하여 그룹에서 QRadar Network Packet Capture 어플라이언스를 제거하십시오 5 그룹화된 QRadar Network Packet Capture 어플라이언스 29

30 IBM QRadar Network Packet Capture: 관리 안내서

6 QRadar Network Packet Capture 스태킹 한 링 토폴로지에 있는 여러 IBM QRadar Network Packet Capture 어플라이언스를 함께 연결하여 스택을 작성함으로써 캡처 데이터에 사용할 수 있는 스토리지를 확장할 수 있습니다 스택을 사용하면 연결된 어플라이언스 각각에 캡처 데이터를 분산시킬 수 있습니다 이는 최대 16개 디바이스까지 연결할 수 있지만 단일 10GB 포트의 한 TAP에서 데이터를 캡처하는 단일 엔티티처럼 표시되고 작동합니다 스택 컨트롤러 스택 컨트롤러는 모니터 중인 트래픽을 수신하는 어플라이언스로서, TAP 포인트라고도 합니다 스택 컨트롤러는 스택의 전체적인 구성을 관리하므로 각 스택에서 하나의 컨트롤러만 될 수 있 습니다 스택 노드 스택 노드는 캡처 데이터를 위한 스토리지로서 사용되는 어플라이언스입니다 한 스택에 최대 15개의 노드까지 있을 수 있습니다 어플라이언스 스태킹의 혜택 스태킹을 통해 스토리지의 크기를 조정하고 데이터 캡처를 위한 보유 시간이 늘어납니다 스택이 활동적으로 데이터를 캡처하는 동안 다음 조치를 완료할 수 있습니다 스택 노드를 개별적으로 오프라인으로 만들고 이를 업그레이드한 후 다시 스택으로 다시 삽입하십 시오 참고: 이 기능은 스택 컨트롤러에는 적용되지 않습니다 어플라이언스를 추가하여 스택의 용량을 확장하십시오 어플라이언스 하드웨어 및 스토리지 크기는 달라질 수 있습니다 스택에서 사용 가능한 모든 스토 리지는 데이터 캡처에 사용됩니다 데이터 스토리지 스택의 링 토폴로지는 캡처 데이터를 보호하는 데 도움이 됩니다 캡처 데이터는 시간 프레임별로 스 택에 저장되고, 어플라이언스는 특정 시간 프레임 동안의 모든 캡처 데이터를 보유하며 가장 오래된 데 이터를 겹쳐씁니다 전체 스택의 시간 프레임은 모든 어플라이언스를 순서대로 연결하여 구축됩니다 예를 들어 세 개의 어 플라이언스가 있는 스택에서 어플라이언스 A는 시간 프레임 0-9의 데이터를 저장하고, 어플라이언스 B는 시간 프레임 10-19의 데이터를 저장하며, 어플라이언스 C는 시간 프레임 20-29의 데이터를 저장 Copyright IBM Corp 2016, 2018 31

합니다 어플라이언스가 데이터로 가득 차면, 가장 오래된 캡처 데이터가 먼저 겹쳐쓰여집니다 어플라 이언스 A는 이제 시간 프레임 0-9의 데이터를 겹쳐쓰며 시간 프레임 30-39의 데이터를 저장합니다 어플라이언스가 오프라인이 되면, 캡처 데이터에서 격차가 발생하지만 격차는 오프라인 어플라이언스 에서 보유하는 데이터의 시간 프레임으로 한정됩니다 스택 예제에서 어플라이언스 A가 오프라인이 되 면, 시간 프레임 10-19의 데이터는 사용할 수 없지만 스택에 있는 다른 모든 캡처 데이터는 사용할 수 있습니다 성능 고려사항 누적형 IBM QRadar Network Packet Capture 어플라이언스를 연결하는 데 사용되는 링 토폴로지 는 연속적인 데이터 캡처의 경우 고가용성을 달성하도록 설계되었습니다 어플라이언스 사이에서 전송되는 각 패킷에는 스택의 상태에 대한 추가 데이터가 포함되어 있습니다 예를 들어 IP 패킷에는 데이터를 저장하는 스택 노드, 스택 노드의 상태와 같은 정보가 포함되며 디바 이스 사이의 연결성을 모니터합니다 사용자 환경에 따라 각 패킷과 함께 전송되는 추가 데이터로 인 해 캡처 성능이 특정 조건에서 10Gps 이하가 될 수 있습니다 예를 들어 시간이 경과함에 따라 소형 패킷의 비율이 높아지는 네트워크 트래픽에서는 캡처 비율이 낮 아집니다 대부분의 배치에서 이러한 상황이 일반적이지 않지만 이러한 상황에서 사용자 배치에 전체 10Gps 캡처가 필요한 경우, QRadar Network Packet Capture 어플라이언스를 스택을 사용하는 대 신 독립형으로 배치하는 것이 좋습니다 스택 작성 실제 신규 QRadar Network Packet Capture 스택을 작성하여 캡처 데이터에 사용 가능한 스토리지 공간을 늘리십시오 시작하기 전에 스택을 작성하기 전에 사용자 환경을 준비하십시오 스택 컨트롤러를 포함하여 최대 16개의 어플라이언스가 스택킹할 수 있습니다 두 어플라이언스 간 의 최대 물리적 케이블링 거리는 10미터입니다 스택에 있는 모든 어플라이언스가 동일한 버전의 QRadar Network Packet Capture 소프트웨어를 실행 중인지 확인하십시오 모든 어플라이언스가 그룹에 있는지 확인하십시오 자세한 정보는 그룹 지정된 어플라이언스를 참 조하십시오 어플라이언스를 상호 연결하여 모든 어플라이언스가 서로 통신할 수 있도록 링을 형성하십시오 예 제 케이블링 다이어그램을 보려면 스태킹 토폴로지를 참조하십시오 참고: 라우팅과 전환이 허용되지 않습니다 피어 투 피어 연결만 허용됩니다 32 IBM QRadar Network Packet Capture: 관리 안내서

프로시저 1 스택 컨트롤러에서 포트 2를 모니터되는 스위치나 SPAN 포트에 연결하십시오 이것이 TAP 지점 입니다 2 옵션: 스택 컨트롤러에서는 포트 3을 QRadar QNI 어플라이언스에 연결하십시오 포트 3은 모든 캡처 데이터를 QNI 어플라이언스로 재전송하는 데 사용됩니다 데이터는 프레임에 임베드된 고밀도 데이터 캡처 시간소인을 가진 특수 형식으로 재전송됩니다 3 스택 노드에서는 포트 0과 포트 1을 연결하여 링을 형성하십시오 참고: 스택 노드의 경우 포트 2와 3을 사용해서는 안됩니다 예 다음 다이어그램은 스택 컨트롤러(어플라이언스 A)와 3개의 스택 노드(어플라이언스 B, C 및 P)가 있 는 샘플 토폴로지를 보여줍니다 NT40E3-4 포트는 포트 0와 1을 사용하여 연결하여 링을 형성합니다 1 어플라이언스 A, 포트 0은 어플라이언스 B, 포트 1에 연결됩니다 2 어플라이언스 B, 포트 0은 어플라이언스 C, 포트 1에 연결됩니다 3 어플라이언스 C, 포트 0은 어플라이언스 A, 포트 1에 연결됩니다 6 QRadar Network Packet Capture 스태킹 33

그림 12 QRadar Network Packet Capture 샘플 토폴로지 스택 구성 스태킹 위젯을 사용하여 스택을 구성합니다 시작하기 전에 어플라이언스에 추가하는 스택과 관련이 없는 캡처 데이터가 포함되는 경우, 스택에 추가하기 전에 어 플라이언스에서 캡처된 데이터를 제거하십시오 34 IBM QRadar Network Packet Capture: 관리 안내서

이 태스크 정보 스태킹 위젯은 스택의 구성을 표시합니다 다음 이미지는 완전히 구성된 스택과 데이터 캡처를 보여 줍 니다 그림 13 스택 구성 한 번에 하나의 어플라이언스만 데이터를 캡처합니다 어플라이언스가 캡처 데이터로 가득 차면, 스택 에 있는 다른 어플라이언스가 저장 중 어플라이언스가 됩니다 어플라이언스에서 캡처를 사용할 수 있는 순서는 무작위입니다 스태킹 위젯 보기의 디바이스 순서와 물리적 케이블링도 선택 순서에 영향을 주지 않습니다 그러나 스택에 있는 모든 어플라이언스가 캡처 데이터를 보유하면, 다른 캡처 디바이스는 항상 가장 오래된 시간소인을 가진 캡처 데이터가 들어있는 어플라이언스입니다 프로시저 1 ADMIN 탭을 클릭하고 그룹 구성원 위젯을 여십시오 스택의 모든 어플라이언스가 올바르게 그 룹화되어 있는지 확인하십시오 2 스택 컨트롤러를 지정하고 스택을 작성하십시오 a 스태킹 위젯에서는 스택 컨트롤러 목록에서 스택 컨트롤러가 되도록 하려는 어플라이언스를 선 택하십시오 스택 이름은 스택을 고유하게 식별하는 용도로만 사용되고 구성 이외에서는 사용되지 않습니 다 b 새 스택 이름 필드에서는 스택 컨트롤러에 대한 설명적인 이름을 입력하고 새 스택을 클릭하 십시오 새 스택이 작성되어 스태킹 위젯에 새 항목으로 표시됩니다 3 스택에 스택 노드를 추가하십시오 a 추가할 단위 목록 상자에서 스택에 추가하려는 어플라이언스를 선택하십시오 6 QRadar Network Packet Capture 스태킹 35

b 스택 목록에서 어플라이언스를 추가하려는 스택의 이름을 선택하고 스택 노드 추가를 클릭하 십시오 그룹에 여러 스택이 포함된 경우 메뉴에서 올바른 스택 이름을 선택했는지 확인하십시오 c 스택에 추가하려는 각 어플라이언스에 대해 다음 단계를 반복하십시오 모든 어플라이언스가 추가되면 스택 상태가 양호함으로 표시되고 데이터 캡처를 사용할 수 있 게 됩니다 참고: 스택 노드를 추가할 때 스태킹 위젯의 작동 상태가 임시 작동 상태 오류로 표시될 수 있습 니다 이는 모든 스택 노드가 추가될 때까지는 스택 링의 연결이 불완전하기 때문입니다 4 스택 구성을 검증하십시오 a 스택을 선택하고 어플라이언스 목록이 스택에 대해 예상한 것과 같은지 검증하십시오 b 스택의 각 어플라이언스가 동일한 버전 번호를 가지며 다음 값을 표시하는지 확인하십시오 작동 상태 = 확인 상태 = 서비스 중 이제 데이터 캡처를 사용할 준비가 되었습니다 5 데이터 캡처를 켜십시오 a 스택에서 각 스택 노드 옆에 있는 예상을 클릭하여 어플라이언스에서 데이터 캡처를 사용하도 록 설정하십시오 참고: 기본적으로 스택 노드가 처음으로 스택에 추가되면 물리적으로 사용 가능하게 될 때까 지 어플라이언스가 캡처 데이터를 저장하지 못하도록 모든 스택 노드가 예상되지 않음으로 설 정됩니다 b 그룹 구성원 위젯으로 이동하여 관련 스택 컨트롤러의 전환 대상을 클릭하십시오 c 트래픽 캡처로 이동하고 트래픽 캡처를 클릭하여 데이터 캡처링을 시작하십시오 d 스택 컨트롤러의 대시보드 탭을 클릭하여 수신 트래픽을 확인하십시오 스택 컨트롤러의 포트 2는 스택에 대한 TAP 포트입니다 이 포트에 수신 트래픽이 있는 경우 다음과 같습니다 1) 트래픽 패턴이 수신 트래픽과 일치합니다 2) 모든 스택 노드에 대한 스택 컨트롤러 대시보드의 트래픽 패턴은 수신 트래픽 크기의 두 배입니다(64-127바이트 유니캐스트 패킷 수 포함) 참고: 수신 트래픽은 스택의 모든 어플라이언스로 전송되지만 포트 0과 포트 1에서 양방 향(시계방향 및 시계반대방향)으로 전송됩니다 이와 동시에 링을 통해 몇 개의 작은 프레 임을 계속해서 전송하는 독점 스택 프로토콜이 실행 중입니다 6 36 스태킹 위젯에서 캡처 데이터를 확인하십시오 IBM QRadar Network Packet Capture: 관리 안내서

a 스택에서 어플라이언스를 확인하고 캡처 컬럼이 저장 값을 나타내는 어플라이언스를 찾으십시 오 한 번에 하나의 어플라이언스만 데이터를 캡처링하므로, 하나의 어플라이언스만 저장 중을 표 시하고 나머지 모든 어플라이언스는 유휴 상태입니다 b 데이터를 캡처링하는 어플라이언스에서는 첫 번째 패킷과 마지막 패킷 컬럼에서 유효한 시간 소인 값을 표시하는지 확인하십시오 어플라이언스가 캡처 데이터로 채워지면 스택의 다른 어플라이언스가 저장 어플라이언스가 되 고 새 어플라이언스의 첫 번째 패킷과 마지막 패킷 시간소인이 업데이트됩니다 활성 스택에 어플라이언스 추가 스택이 활동적으로 데이터를 캡처하는 동안 어플라이언스를 추가하면 스택의 용량을 확장할 수 있습니 다 프로시저 1 확장하려는 스택의 어플라이언스와 동일한 소프트웨어 버전으로 QRadar Network Packet Capture 어플라이언스를 설치하십시오 2 어플라이언스의 실제 설치를 완료하십시오 이 프로세스에는 공통 관리 네트워크에 어플라이언스를 연결하고, 스택 링을 구분하며 링에 새 어 플라이언스를 케이블링하는 작업이 포함됩니다 스택의 물리적 위치에 새 어플라이언스를 넣을 수 있습니다 자세한 정보는 32 페이지의 스택 작성 의 내용을 참조하십시오 참고: 이 프로세스 도중 스택 링에 대한 연결은 불완전하므로 스태킹 위젯의 운영 상태에서는 임 시 케이블링 오류를 표시할 수 있습니다 3 그룹에 새 어플라이언스를 포함시키고, 스택 노드 추가(3단계)에서 설명한 대로 스택에 추가하십시 오 4 스태킹 위젯을 검사하여 새 어플라이언스의 상태를 확인하십시오 운영 상태에서 확인을 표시하고, 첫 번째 패킷과 마지막 패킷 설정에서 N/A를 표시하며, 케이블링 오류가 남아 있지 않으면 어플라이언스가 완전히 작동하는 것입니다 데이터를 캡처링하는 어플라이언스가 가득 차면 스택은 데이터 캡처를 위해 새로 삽입된 어플라이 언스로 전환됩니다 스택에서 어플라이언스 제거 스택에서 어플라이언스를 제거하는 경우 어플라이언스의 캡처 데이터는 그대로 유지됩니다 어플라이 언스에서 로컬 검색을 실행하여 데이터에 액세스할 수 있습니다 6 QRadar Network Packet Capture 스태킹 37

프로시저 스택에서 어플라이언스를 영구적으로 제거하려면 어플라이언스를 선택하고 스태킹 위젯에서 제거를 클 릭하십시오 참고: 스택에서 모든 스택 노드가 제거될 때까지 스택 컨트롤러를 제거할 수 없습니다 다음에 수행할 작업 어플라이언스에서 케이블링을 물리적으로 제거한 후 스택 링을 다시 케이블링하십시오 스택에 다시 연 결하는 동안 임시로 케이블링 오류가 표시될 수 있습니다 기존 스택 노드 유지보수 스택 노드를 스탠바이 모드로 만들면 나머지 스택이 활성 상태인 동안 업그레이드 및 유지보수가 가능 합니다 이 기능을 사용하면 스택 노드 각각을 업그레이드할 수 있고, 서비스 중인 어플라이언스에서 계속 데이터를 캡처할 수 있습니다 스택 컨트롤러를 업그레이드하기 전에 데이터 캡처를 사용 안함으로 설정하고 전체 스택을 오프라인으 로 만들어야 합니다 시작하기 전에 스택 컨트롤러를 업데이트하기 전에 모든 스택 노드를 업데이트했는지 확인하십시오 이 태스크 정보 어플라이언스가 스탠바이 모드가 되면, 어플라이언스의 운영 체제 및 애플리케이션 소프트웨어를 업그 레이드할 수 있습니다 어플라이언스를 다시 시작할 필요가 없는 경우, 어플라이언스와 스택 링 사이의 연결은 그대로 유지됩니다 스탠바이 모드 상태에서 어플라이언스가 데이터를 캡처하는 경우 캡처 활 성을 위해 스택을 다른 어플라이언스로 즉시 전환합니다 업데이트가 스택 컨트롤러와의 통신에 영향을 주는 경우(예를 들어 프로토콜 업데이트), 스택 노드는 스택 컨트롤러에서 전송되는 명령 및 프로토콜과 역호환되므로 업데이트 프로세스 도중 이를 처리할 수 있습니다 스탠바이 모드의 스택 노드에는 다음 특성이 있습니다 스태킹 위젯의 스택 목록에 계속 표시됩니다 스택 링 연결을 유지보수합니다 그룹 멤버를 유지보수합니다 캡처 데이터를 검색에 포함시킵니다 스택에서 활성 캡처 디바이스로 사용되지 않습니다 새 데이터는 이 어플라이언스에 캡처되지 않습 니다 38 IBM QRadar Network Packet Capture: 관리 안내서

TAP 포트가 있는 유일한 어플라이언스이고 스택에 있는 모든 어플라이언스에 데이터를 분배하므로 서 비스를 중단하지 않으면 스택 컨트롤러를 스탠바이 모드로 만들 수 없습니다 프로시저 1 스태킹 위젯에서는 작업하려는 어플라이언스를 선택하고 스탠바이를 클릭하십시오 참고: 최대 시간 동안 어플라이언스에 업데이트를 적용할 수 있도록 하려면, 최신 첫 번째 패킷 및 마지막 패킷 시간 소인이 있지만 현재 데이터를 캡처링하지는 않는 스택 노드를 선택하십시오 2 스탠바이 어플라이언스에 업데이트를 적용하십시오 3 유지보수가 완료되면, 스태킹 위젯에서 어플라이언스를 선택하고, 서비스 중을 클릭하여 다시 사용 으로 설정하십시오 6 QRadar Network Packet Capture 스태킹 39

40 IBM QRadar Network Packet Capture: 관리 안내서

7 외부 LED를 사용한 문제점 해결 외부 LED의 상태 및 색상을 사용하면 IBM QRadar Network Packet Capture 어플라이언스의 문제 를 해결하는 데 도움이 됩니다 다음 이미지와 표의 정보를 사용하여 여러 외부 LED를 찾고 문제점을 해결합니다 그림 14 외부 LED의 위치 활동 LED 다음 테이블은 활동 LED의 색상으로 표시되는 일반 상태에 대해 설명합니다 표 4 활동 LED 및 어플라이언스의 작동 상태 상태 및 색상 상태 오프 드라이버가 로드되지 않거나 이더넷 링크가 작동 중지되거나 포트 연 결이 끊어져 있습니다 항상 초록색 드라이버가 로드되고 이더넷 링크가 작동되지만 트래픽이 없습니다 초록색으로 깜박임 드라이버라 로드되지만 이더넷 링크에 트래픽이 있습니다 시스템 LED 다음 테이블에서는 시스템 LED의 색상으로 표시되는 일반 상태에 대해 설명합니다 표 5 어플라이언스의 시스템 LED 및 작동 상태 상태 및 색상 상태 오프 전원이 꺼져 있습니다 항상 빨간색 시작하는 동안 전원이 켜지면 가속기가 전원 공급 장치를 검사힙니다 빨간색으로 깜박임 시작하고 전원을 켠 후 복구 불가능한 하드웨어 오류가 있습니다 Copyright IBM Corp 2016, 2018 41

표 5 어플라이언스의 시스템 LED 및 작동 상태 (계속) 상태 및 색상 상태 항상 노란색 시작하는 동안 전원이 켜지고 전원 공급 장치가 작동 중입니다 노란색으로 깜박임 하드웨어 로그에 새 항목이 있습니다 항상 초록색 FPGA가 로드되고 시스템이 실행 중입니다 외부 시간 동기화 LED 다음 테이블에서는 외부 시간 동기화 LED의 색상으로 표시되는 일반 상태에 대해 설명합니다 표 6 어플라이언스의 외부 시간 동기화 LED 및 작동 상태 상태 및 색상 상태 오프 드라이버가 로드되지 않거나 PTP(Precision Time Protocol) 포트의 이 더넷 링크가 작동 중지 상태입니다 항상 노란색 PTP 포트의 이더넷 링크가 작동 중입니다 42 IBM QRadar Network Packet Capture: 관리 안내서

주의사항 이 정보는 미국에서 제공되는 제품 및 서비스용으로 작성된 것입니다 IBM은 다른 국가에서 이 책에 기술된 제품, 서비스 또는 기능을 제공하지 않을 수도 있습니다 현재 사용할 수 있는 제품 및 서비스에 대한 정보는 한국 IBM 담당자에게 문의하십시오 이 책에서 IBM 제품, 프로그램 또는 서비스를 언급했다고 해서 해당 IBM 제품, 프로그램 또는 서비스만을 사용할 수 있다는 것을 의미하지는 않습니다 IBM의 지적 재산권을 침해하지 않는 한, 기능상으로 동등한 제품, 프로그램 또는 서비스를 대신 사용할 수도 있습니다 그러나 비IBM 제품, 프로그램 또는 서비스의 운 영에 대한 평가 및 검증은 사용자의 책임입니다 IBM은 이 책에서 다루고 있는 특정 내용에 대해 특허를 보유하고 있거나 현재 특허 출원 중일 수 있 습니다 이 책을 제공한다고 해서 특허에 대한 라이센스까지 부여하는 것은 아닙니다 라이센스에 대한 의문사항은 다음으로 문의하십시오 07326 서울특별시 영등포구 국제금융로 10, 3IFC 한국 아이비엠 주식회사 대표전화서비스: 02-3781-7114 2바이트 문자 세트(DBCS) 정보에 관한 라이센스 문의는 한국 IBM에 문의하거나 다음 주소로 서면 문 의하시기 바랍니다 Intellectual Property Licensing Legal and Intellectual Property Law IBM Japan Ltd 19-21, Nihonbashi-Hakozakicho, Chuo-ku Tokyo 103-8510, Japan IBM은 타인의 권리 비침해, 상품성 및 특정 목적에의 적합성에 대한 묵시적 보증을 포함하여(단, 이에 한하지 않음) 묵시적이든 명시적이든 어떠한 종류의 보증 없이 이 책을 "현상태대로" 제공합니다 일부 국가에서는 특정 거래에서 명시적 또는 묵시적 보증의 면책사항을 허용하지 않으므로, 이 사항이 적용 되지 않을 수도 있습니다 이 정보에는 기술적으로 부정확한 내용이나 인쇄상의 오류가 있을 수 있습니다 이 정보는 주기적으로 변경되며, 변경된 사항은 최신판에 통합됩니다 IBM은 이 책에서 설명한 제품 및/또는 프로그램을 사 전 통지 없이 언제든지 개선 및/또는 변경할 수 있습니다 Copyright IBM Corp 2016, 2018 43

이 정보에서 언급되는 비IBM의 웹 사이트는 단지 편의상 제공된 것으로, 어떤 방식으로든 이들 웹 사 이트를 옹호하고자 하는 것은 아닙니다 해당 웹 사이트의 자료는 본 IBM 제품 자료의 일부가 아니므 로 해당 웹 사이트 사용으로 인한 위험은 사용자 본인이 감수해야 합니다 IBM은 귀하의 권리를 침해하지 않는 범위 내에서 적절하다고 생각하는 방식으로 귀하가 제공한 정보 를 사용하거나 배포할 수 있습니다 (i) 독립적으로 작성된 프로그램과 기타 프로그램(본 프로그램 포함) 간의 정보 교환 및 (ii) 교환된 정 보의 상호 이용을 목적으로 본 프로그램에 관한 정보를 얻고자 하는 라이센스 사용자는 다음 주소로 문의하십시오 07326 서울특별시 영등포구 국제금융로 10, 3IFC 한국 아이비엠 주식회사 대표전화서비스: 02-3781-7114 이러한 정보는 해당 조건(예를 들면, 사용료 지불 등)하에서 사용될 수 있습니다 이 정보에 기술된 라이센스가 부여된 프로그램 및 프로그램에 대해 사용 가능한 모든 라이센스가 부여 된 자료는 IBM이 IBM 기본 계약, IBM 프로그램 라이센스 계약(IPLA) 또는 이와 동등한 계약에 따 라 제공한 것입니다 인용된 성능 데이터와 고객 예제는 예시 용도로만 제공됩니다 실제 성능 결과는 특정 구성과 운영 조 건에 따라 다를 수 있습니다 비IBM 제품에 관한 정보는 해당 제품의 공급업체, 공개 자료 또는 기타 범용 소스로부터 얻은 것입니 다 IBM에서는 이러한 제품들을 테스트하지 않았으므로, 비IBM 제품과 관련된 성능의 정확성, 호환성 또는 기타 청구에 대해서는 확신할 수 없습니다 비IBM 제품의 성능에 대한 의문사항은 해당 제품의 공급업체에 문의하십시오 IBM이 제시하는 방향 또는 의도에 관한 모든 언급은 특별한 통지 없이 변경될 수 있습니다 여기에 나오는 모든 IBM의 가격은 IBM이 제시하는 현 소매가이며 통지 없이 변경될 수 있습니다 실 제 판매가는 다를 수 있습니다 이 정보에는 일상의 비즈니스 운영에서 사용되는 자료 및 보고서에 대한 예제가 들어 있습니다 이들 예제에는 개념을 가능한 완벽하게 설명하기 위하여 개인, 회사, 상표 및 제품의 이름이 사용될 수 있습 니다 이들 이름은 모두 가공의 것이며 실제 인물 또는 기업의 이름과 유사하더라도 이는 전적으로 우 연입니다 44 IBM QRadar Network Packet Capture: 관리 안내서

상표 IBM, IBM 로고 및 ibmcom 은 전세계 여러 국가에 등록된 International Business Machines Corp의 상표 또는 등록상표입니다 기타 제품 및 서비스 이름은 IBM 또는 타사의 상표입니다 현재 IBM 상 표 목록은 웹 "저작권 및 상표 정보"(wwwibmcom/legal/copytradeshtml)에 있습니다 제품 문서의 이용 약관 다음 이용 약관에 따라 이 책을 사용할 수 있습니다 적용성 본 이용 약관은 IBM 웹 사이트의 모든 이용 약관에 추가됩니다 개인적 사용 모든 소유권 사항을 표시하는 경우에 한하여 귀하는 이 책을 개인적, 비상업적 용도로 복제할 수 있습 니다 귀하는 IBM의 명시적 동의 없이 본 발행물 또는 그 일부를 배포 또는 전시하거나 2차적 저작물 을 만들 수 없습니다 상업적 사용 모든 소유권 사항을 표시하는 경우에 한하여 귀하는 이 책을 귀하 기업집단 내에서만 복제, 배포 및 전시할 수 있습니다 귀하는 귀하의 기업집단 외에서는 IBM의 명시적 동의 없이 이 책의 2차적 저작 물을 만들거나 이 책 또는 그 일부를 복제, 배포 또는 전시할 수 없습니다 권한 본 허가에서 명시적으로 부여된 경우를 제외하고, 이 책이나 이 책에 포함된 정보, 데이터, 소프트웨어 또는 기타 지적 재산권에 대한 어떠한 허가나 라이센스 또는 권한도 명시적 또는 묵시적으로 부여되지 않습니다 IBM은 이 책의 사용이 IBM의 이익을 해친다고 판단하거나 위에서 언급된 지시사항이 준수되지 않는 다고 판단하는 경우 언제든지 부여한 허가를 철회할 수 있습니다 귀하는 미국 수출법 및 관련 규정을 포함하여 모든 적용 가능한 법률 및 규정을 철저히 준수하는 경우 에만 본 정보를 다운로드, 송신 또는 재송신할 수 있습니다 IBM은 이 책의 내용과 관련하여 아무런 보장을 하지 않습니다 타인의 권리 비침해, 상품성 및 특정 목적에의 적합성에 대한 묵시적 보증을 포함하여 (단 이에 한하지 않음) 묵시적이든 명시적이든 어떠 한 종류의 보증 없이 현 상태대로 제공합니다 주의사항 45

IBM 온라인 개인정보처리방침 SaaS(Software as a Serice) 솔루션을 포함한 IBM 소프트웨어 제품(이하 "소프트웨어 오퍼링")은 제 품 사용 정보를 수집하거나 일반 사용자의 사용 경험을 개선하거나 일반 사용자와의 상호 작용을 조정 하거나 그 외의 용도로 쿠키나 기타 다른 기술을 사용할 수 있습니다 많은 경우에 있어서, 소프트웨어 오퍼링은 개인 식별 정보를 수집하지 않습니다 IBM의 일부 소프트웨어 오퍼링은 귀하가 개인 식별 정보를 수집하도록 도울 수 있습니다 본 소프트웨어 오퍼링이 쿠키를 사용하여 개인 식별 정보를 수 집할 경우, 본 오퍼링의 쿠키 사용에 대한 특정 정보가 다음에 규정되어 있습니다 본 소프트웨어 오퍼링은 배치된 구성에 따라 세션 관리 및 인증의 용도로 각 사용자의 세션 ID를 수 집하는 세션 쿠키를 사용할 수 있습니다 쿠키를 사용하지 못하도록 할 수 있지만 이 경우 쿠키를 통 해 사용 가능한 기능도 제거됩니다 본 소프트웨어 오퍼링에 배치된 구성이 쿠키 및 기타 기술을 통해 최종 사용자의 개인 식별 정보 수집 기능을 고객인 귀하에게 제공하는 경우, 귀하는 통지와 동의를 위한 요건을 포함하여 이러한 정보 수 집과 관련된 법률 자문을 스스로 구해야 합니다 이러한 목적의 쿠키를 포함한 다양한 기술의 사용에 대한 자세한 정보는 IBM 개인정보처리방침 (http://wwwibmcom/priacy/kr/ko), IBM 온라인 개인정보처리방침(http://wwwibmcom/ priacy/details/kr/ko), "쿠키, 웹 비콘 및 기타 기술" 및 "IBM 소프트웨어 제품 및 SaaS(Softwareas-a-Serice) 개인정보처리방침"(http://wwwibmcom/software/info/product-priacy) 부분을 참 조하십시오 46 IBM QRadar Network Packet Capture: 관리 안내서

IBM