McAfee Enterprise Security Manager 11.1.x 제품 안내서

Similar documents
Windows 8에서 BioStar 1 설치하기

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

vRealize Automation용 VMware Remote Console - VMware

MF Driver Installation Guide

View Licenses and Services (customer)

MF3010 MF Driver Installation Guide

MF5900 Series MF Driver Installation Guide

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

Microsoft Word - src.doc

IRISCard Anywhere 5

System Recovery 사용자 매뉴얼

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

(Veritas\231 System Recovery 16 Monitor Readme)

Office 365 사용자 가이드

DBMS & SQL Server Installation Database Laboratory

ThinkVantage Fingerprint Software

사용설명서를 읽기 전에 ios용 아이디스 모바일은 네트워크 연결을 통해 ios 플랫폼 기반의 모바일 기기(iOS 버전 6.0 이상의 ipod Touch, iphone 또는 ipad)에서 장치(DVR, 네트워크 비디오 서버 및 네트워크 카메라)에 접속하여 원격으로 영상을

6. 설치가시작되는동안 USB 드라이버가자동으로로드됩니다. USB 드라이버가성공적으로로드되면 Setup is starting( 설치가시작되는중 )... 화면이표시됩니다. 7. 화면지침에따라 Windows 7 설치를완료합니다. 방법 2: 수정된 Windows 7 ISO

Studuino소프트웨어 설치

Microsoft Outlook G Suite 가이드

메뉴얼41페이지-2

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

User Guide

범용프린터드라이버가이드 Brother Universal Printer Driver(BR-Script3) Brother Mono Universal Printer Driver (PCL) Brother Universal Printer Driver (Inkjet) 버전 B K

NTD36HD Manual

McAfee Enterprise Security Manager 10.3.x 제품 안내서

RHEV 2.2 인증서 만료 확인 및 갱신

Operating Instructions

PowerPoint Template

사용설명서를 읽기 전에 안드로이드(Android)용 아이디스 모바일은 네트워크 연결을 통해 안드로이드 플랫폼 기반의 모바일 기기에서 장치 (DVR, NVR, 네트워크 비디오 서버, 네트워크 카메라) 에 접속하여 원격으로 영상을 감시할 수 있는 프로그램입니다. 장치의 사

2 노드

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault

McAfee Enterprise Security Manager 제품 안내서

PathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.

Windows Server 2012

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

SBR-100S User Manual

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

BEA_WebLogic.hwp

ISP and CodeVisionAVR C Compiler.hwp

Install stm32cubemx and st-link utility

[Brochure] KOR_TunA

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

Untitled

설치 순서 Windows 98 SE/Me/2000/XP 1 PC를 켜고 Windows를 시작합니다. 아직 컴퓨터에 프린터를 연결하지 마십시오. 2 PC에 P-S100 CD-ROM(프 린터 드라이버)을 삽입합니다. 3 설치 프로그램을 시작합니다. q CD-ROM의 PS1

Microsoft 을 열면 깔끔한 사용자 중심의 메뉴 및 레이아웃이 제일 먼저 눈에 띕니다. 또한 은 스마트폰, 테블릿 및 클라우드는 물론 가 설치되어 있지 않은 PC 에서도 사용할 수 있습니다. 따라서 장소와 디바이스에 관계 없이 언제, 어디서나 문서를 확인하고 편집

PowerPoint 프레젠테이션

McAfee Enterprise Security Manager 릴리스 정보

Endpoint Protector - Active Directory Deployment Guide

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

tiawPlot ac 사용방법

VPN.hwp

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

PowerPoint 프레젠테이션

제 2 장 기본 사용법

Windows 10 General Announcement v1.0-KO

Cisco FirePOWER 호환성 가이드

1,000 AP 20,000 ZoneDirector IT 5, WLAN. ZoneFlex AP ZoneDirector. WLAN. WLAN AP,,,,,,., Wi-Fi. AP. PSK PC. VLAN WLAN.. ZoneDirector 5000 WLAN L

슬라이드 제목 없음

EEAP - Proposal Template

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

슬라이드 1

Splentec V-WORM Quick Installation Guide Version: 1.0 Contact Information 올리브텍 주소 : 경기도성남시분당구구미로 11 ( 포인트타운 701호 ) URL: E-M

아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다

목 차 1. 드라이버 설치 설치환경 드라이버 설치 시 주의사항 USB 드라이버 파일 Windows XP에서 설치 Windows Vista / Windows 7에서 설치 Windows

Brother 제품을사용하기전에 표기법 본사용자가이드에서는다음과같은기호와표기를사용합니다. 팁아이콘은힌트와보충정보를제공합니다. 상표 BROTHER 는 Brother Industries, Ltd. 의상표또는등록상표입니다. Wi-Fi 및 Wi-Fi Direct 는 Wi-Fi

온라인등록용 메뉴얼

Microsoft Word - release note-VRRP_Korean.doc

DocuPrint P265 dw/M225 dw/M225 z/M265 z AirPrint Guide

쓰리 핸드(삼침) 요일 및 2405 요일 시간, 및 요일 설정 1. 용두를 2의 위치로 당기고 반시계방향으로 돌려 전날로 를 설정합니다. 2. 용두를 시계방향으로 돌려 전날로 요일을 설정합니다. 3. 용두를 3의 위치로 당기고 오늘 와 요일이 표시될 때까지 시계방향으로

ipTIME_A2000U_Manual

PowerPoint 프레젠테이션

왜곡보정버전업그레이드순서 - Windows 판 - 니콘제품을애용해주셔서대단히감사합니다. 여기에서는왜곡보정의버전업그레이드에대해설명하고있습니다. 그리고니콘서비스센터에서의업데이트도받고있으므로사용하시는환경등으로펌웨어를업데이트할수없는사용자는이용하여주십시오. 사용하시는카메라사용법

슬라이드 1

untitled

1

PowerPoint Template

Microsoft PowerPoint - 11주차_Android_GoogleMap.ppt [호환 모드]

server name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지

1. 무선 이미지 유틸리티 설명 1-1. 기능 이 Wireless Image Utility 는 안드로이드용 응용 프로그램입니다. 안드로이드 태블릿 또는 안드로이드 스마트폰에서 사용할 수 있습니다. 안드로이드 기기에 저장된 파일을 프로젝터로 무선 전송 컴퓨터에서 USB

오프라인 사용을 위한 Tekla Structures 라이선스 대여

Nero StartSmart 설명서

리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2.

PowerPoint 프레젠테이션

다른 JSP 페이지호출 forward() 메서드 - 하나의 JSP 페이지실행이끝나고다른 JSP 페이지를호출할때사용한다. 예 ) <% RequestDispatcher dispatcher = request.getrequestdispatcher(" 실행할페이지.jsp");

PowerPoint 프레젠테이션

A SQL Server 2012 설치 A.1 소개 Relational DataBase Management System SQL Server 2012는마이크로소프트사에서제공하는 RDBMS 다. 마이크로소프트사는스탠다드 standard 버전이상의상업용에디션과익스프레스 exp

Microsoft PowerPoint - e pptx

Microsoft PowerPoint - 권장 사양

gcloud storage 사용자가이드 1 / 17

사용자계정관리 1. 사용자계정관리 사용자 (user), 그룹 (group) u 다중사용자시스템 (Multi-User System) - 1 대의시스템을동시에여러사람이접속하여쓸수있게하는시스템 u 사용자 (user) - 시스템관리자 : root (=Super user) -

서비스 구성. 서비스 정의. 심플CRM 주요 기능 구성 0 0. 다운로드 및 설치. 기본 구성 6 6. 제공사양 0 심플CRM 표준형 6 심플CRM 녹취형 7 사용하기. 서비스 신청. 홈페이지 로그인 및 인증 안내 가입자 인증 비밀번호 재설정 비밀번호 찾기

컴퓨터관리2번째시간

CL5 CL3 CL1 QL5 QL1 V4.5 Supplementary Manual

Getting Started With Parallels Desktop¢ç 9

Microsoft Word - Armjtag_문서1.doc

Transcription:

McAfee Enterprise Security Manager 11.1.x 제품안내서

저작권 Copyright 2018 McAfee LLC 상표고지 McAfee 및 McAfee 로고, McAfee Active Protection, epolicy Orchestrator, McAfee epo, Foundstone, McAfee LiveSafe, McAfee QuickClean, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, TrustedSource, VirusScan 은미국및기타국가의 McAfee LLC 또는자회사의상표입니다. 기타마크및브랜드는각소유자의재산으로주장될수있습니다. 사용권정보 사용권계약모든사용자에대한고지사항 : 사용자가구입한사용권에대한올바른법적계약서를주의깊게읽으십시오. 정식소프트웨어의사용에대한일반사항과조건이명시되어있습니다. 구입한사용권의종류를잘모르겠으면, 영업부에문의하시거나기타관련사용권허가서또는소프트웨어포장에포함되어있는구입주문서또는구입의일부로서별도로받은사용권허가서 ( 책자, 제품 CD 에있는파일, 소프트웨어패키지를다운로드한웹사이트에있는파일 ) 를참조하십시오. 여기서설명하는모든조건에동의하지않으면소프트웨어를설치하지마십시오. 이경우, 이제품을 MCAFEE 또는구입처에반환하면전액환불해드립니다. 2 McAfee Enterprise Security Manager 11.1.x 제품안내서

목차 1 제품개요 11 개요....................................... 11 주요기능..................................... 12 작동방식..................................... 13 2 처음해야할일 15 초기설정식별.................................... 15 규칙업데이트에대한자격증명요청............................ 16 규칙업데이트확인.................................. 16 McAfee ESM 개인화................................. 17 미리정의된콘텐츠팩적용............................... 18 3 보안사용자설정 19 사용자보안작동방법................................. 19 사용자추가.................................. 20 사용자설정개인화............................... 21 사용자비활성화또는활성화........................... 21 McAfee epo의사용자자격증명설정........................ 21 사용자그룹구성................................ 22 사용자액세스제한............................... 23 로그온보안구성................................... 23 암호보안구성................................ 24 RADIUS 인증구성............................... 25 CAC 인증구성................................ 26 Active Directory 인증구성............................ 27 LDAP 인증구성................................ 27 4 데이터수집 29 데이터수집작동방법................................. 29 데이터수집설정정의.............................. 29 이벤트전달구성................................ 31 이벤트전달필터설정.............................. 31 이벤트전달형식................................ 32 표준이벤트형식으로이벤트전달.......................... 32 이벤트및플로가져오기............................. 33 집합작동방법.................................... 33 이벤트또는플로집합설정변경.......................... 34 이벤트집합설정에예외를추가합니다......................... 34 집계설정변경................................ 34 이벤트집계예외보기.............................. 35 5 데이터보강 37 데이터보강작동방법................................. 37 데이터보강소스구성.............................. 37 Hadoop HBase 이벤트보강............................ 39 McAfee Enterprise Security Manager 11.1.x 제품안내서 3

목차 Hadoop Pig 를사용하여이벤트보강......................... 39 Active Directory 로 Windows 이벤트보강....................... 40 6 데이터정규화 43 정규화작동방법................................... 43 가져올문자열정규화파일만들기.......................... 44 문자열정규화파일관리............................. 44 7 데이터구문분석 45 고급 syslog 분석기작동방법.............................. 45 syslog 심각도및액션매핑............................ 50 Syslog 릴레이지원............................... 51 ASP( 고급 Syslog 분석기 ) 규칙이작동하는방법........................ 52 사용자지정고급 Syslog 분석기규칙추가....................... 53 ASP 및필터규칙순서정의............................ 55 ASP( 고급 Syslog 분석기 ) 규칙에시간형식추가..................... 55 로그샘플가져오기............................... 56 8 데이터상호연결 57 상관작동방법.................................... 57 위험상관점수추가............................... 58 위험상관관리자추가.............................. 58 상관관리자추가................................ 59 상관에사용할데이터유형선택.......................... 59 기록상관작동방법.................................. 59 기록상관활성화................................ 60 기록상관이벤트보기.............................. 60 상관규칙작동방법.................................. 61 상관데이터소스작동방법............................ 61 이벤트필드를비교하는상관규칙설정........................ 61 사용자지정상관규칙구성............................ 62 상관규칙구성요소재정의............................ 63 상관규칙을가져올때의충돌........................... 63 상관규칙또는구성요소에매개변수추가....................... 64 상관규칙이트리거된원인식별.......................... 64 상관이벤트의소스이벤트보기.......................... 65 9 위협찾기 67 대시보드작동방법.................................. 67 보기구성요소설명............................... 68 대시보드보기열기............................... 69 대시보드위젯바인딩.............................. 69 사용자지정대시보드보기추가.......................... 70 McAfee ESM 보기구성............................. 70 이벤트시간보기................................ 71 세션상세정보보기............................... 71 이벤트둘러보기................................ 72 IP 주소이벤트상세정보보기........................... 72 플로보기.................................. 72 필터작동방법.................................... 73 문자열필터작동방법.............................. 73 contains 및 regex를지원하는필드......................... 75 대시보드보기필터링.............................. 76 정규화된 ID로필터링.............................. 77 컴플라이언스 ID로필터링............................ 77 보기필터링.................................. 78 4 McAfee Enterprise Security Manager 11.1.x 제품안내서

목차 스트리밍이벤트보기.............................. 78 IP 주소이벤트상세정보보기........................... 79 사용자지정유형작동방법............................... 79 사용자지정유형만들기............................. 81 쿼리작동방법.................................... 82 쿼리관리.................................. 82 값비교작동방법............................... 82 그래프값비교................................ 82 스택배포설정................................ 83 로그검색작동방법.................................. 83 신속하게로그데이터검색............................ 83 향상된이벤트로그검색수행........................... 84 로그검색및무결성체크정의......................... 85 정규식을사용하여 ELM 데이터쿼리......................... 85 SFTP를사용하여로그검색............................ 86 McAfee Active Response 검색작동방법.......................... 86 McAfee Active Response를사용하여검색....................... 87 McAfee Active Response 검색결과보기....................... 87 McAfee Active Response 데이터보강소스추가..................... 87 Cyber Threat 작동방법................................ 88 위협상세정보에액세스............................. 89 도메인에대한 Cyber Threat 피드설정........................ 89 Cyber Threat 관리설정............................. 90 IOC STIX XML 파일업로드오류.......................... 91 10 위협에응답 93 경보작동방법.................................... 93 경보모니터링활성화또는비활성화......................... 94 경보만들기.................................. 94 경보복사.................................. 98 특정경보빌드................................ 98 통보에응답................................. 112 트리거된경보보기및관리............................ 112 경보보고서대기열관리............................. 113 트리거된경보및케이스에대한요약사용자지정.................... 114 케이스작동방법.................................. 114 케이스추가................................. 114 열린케이스검사............................... 115 케이스변경................................. 115 케이스보기................................. 116 이메일케이스................................ 116 케이스관리보고서생성............................. 117 관심목록작동방법................................. 118 관심목록구성................................ 118 관심목록가져오기 / 내보내기........................... 121 사용자가사용하거나변경할수있는관심목록지정................... 121 규칙관심목록구성.............................. 122 관심목록을사용하도록경보구성......................... 123 관심목록을사용하여보기및보고서필터링..................... 123 통보에응답................................. 124 상관규칙이트리거된원인식별.......................... 124 글로벌블랙리스트작동방법.............................. 125 글로벌블랙리스트설정............................. 126 McAfee Network Security Manager에대한블랙리스트항목추가.............. 126 McAfee Network Security Manager의제거된블랙리스트항목관리............. 126 McAfee Enterprise Security Manager 11.1.x 제품안내서 5

목차 11 백업및복원 129 백업및복원작동방법................................ 129 시스템파일이최신인지확인........................... 129 FIPS 모드에서백업및복원........................... 129 데이터백업................................. 130 데이터복원................................. 131 설정백업.................................. 131 설정복원.................................. 132 ELM 설정백업................................ 132 장치구성파일복원.............................. 133 12 구성조정 135 수신기구성.................................... 135 수신기데이터보관설정............................. 135 고가용성수신기설정.............................. 136 IPv6으로고가용성수신기설정.......................... 137 수신기자산추가............................... 137 자동으로데이터소스를만들도록수신기구성..................... 138 데이터소스구성............................... 140 수신기가 SDEE와함께작동하는방법........................ 141 로그장치작동방법................................. 144 ELM과의통신설정.............................. 144 기본로그저장소풀구성............................ 144 로그이벤트유형선택............................. 145 ELM 중복설정................................ 145 ELM 압축설정................................ 146 McAfee Risk Advisor 구성............................ 146 메시지로그및장치통계보기........................... 147 시스템또는장치로그보기............................ 147 Enterprise Log Search(ELS) 구성......................... 147 데이터공유작동방법................................ 149 데이터라우팅사용.............................. 149 데이터스트리밍버스구성............................ 150 메시지전달규칙구성............................. 150 McAfee Application Data Monitor 작동방식......................... 151 McAfee Application Data Monitor 시간대설정..................... 152 세션뷰어에서암호표시............................. 152 McAfee Application Data Monitor 선택규칙관리.................... 153 McAfee Application Data Monitor 규칙구문...................... 153 McAfee Application Data Monitor 규칙조건유형.................... 155 McAfee Application Data Monitor 규칙메트릭참조................... 157 프로토콜별속성............................... 159 프로토콜이상................................ 160 McAfee Application Data Monitor 사전작동방법.................... 160 McAfee Database Event Monitor 작동방식......................... 164 McAfee Database Event Monitor 사용권업데이트.................... 165 McAfee Database Event Monitor 구성........................ 165 McAfee Database Event Monitor 이벤트의액션정의................... 166 McAfee Database Event Monitor 규칙작동방법.................... 172 중요한데이터마스크의작동방식......................... 173 사용자 ID 관리................................ 174 데이터베이스서버작동방법........................... 175 McAfee epo 장치작동방법.............................. 177 McAfee epo에서 McAfee ESM 시작........................ 177 McAfee epo 태그를 IP 주소에할당......................... 178 McAfee epo 장치인증............................. 178 6 McAfee Enterprise Security Manager 11.1.x 제품안내서

목차 McAfee Risk Advisor 데이터취득......................... 178 McAfee Threat Intelligence Exchange (TIE) 통합.................... 179 가상장치작동방법................................. 180 가상장치추가................................ 181 메시지설정작동방법................................ 182 이메일서버연결............................... 182 메시지수신자관리.............................. 182 이메일그룹관리............................... 183 해결서버설정구성.............................. 183 네트워크인터페이스관리............................... 183 네트워크인터페이스구성............................ 184 VLANS 및별칭구성.............................. 185 정적라우트추가............................... 186 네트워크설정구성.............................. 186 네트워크트래픽제어설정............................ 187 IPMI 포트에대한네트워크설정.......................... 188 McAfee ESM 또는장치에서 IPMI 포트설정...................... 188 네트워크트래픽제어설정............................ 188 호스트이름작동방법............................. 189 DHCP( 동적호스트구성프로토콜 ) 설정....................... 190 McAfee Network Security Manager에서수준 7 수집................... 191 취약성평가작동방법................................ 191 McAfee Vulnerability Manager 구성......................... 192 McAfee Vulnerability Manager 자격증명가져오기................... 192 McAfee Vulnerability Manager 검색실행....................... 193 VA 시스템프로파일정의 (eeye REM)........................ 193 VA 소스구성................................. 193 VA 데이터검색................................ 196 SNMP 및 MIB 작동방법................................ 197 McAfee Event Receiver OID........................... 197 SNMP 트랩이데이터소스와함께작동하는방법.................... 200 SNMP 설정구성............................... 200 전원오류통보에대한 SNMP 트랩설정....................... 201 SNMP 통보구성............................... 202 McAfee ESM에서 MIB 꺼내기........................... 203 장치구성..................................... 203 장치를장치트리에추가............................. 203 FIPS 모드에서장치추가............................ 204 장치이름, 링크및설명변경........................... 205 장치별상세정보찾기............................. 205 SSL 인증서설치............................... 206 SSH 키다시생성............................... 206 여러장치관리................................ 206 장치의 URL 관리............................... 207 장치통신설정................................ 207 McAfee ESM과장치동기화........................... 208 장치시작, 중지, 재부팅또는새로고침....................... 208 McAfee ESM 시스템트리의자동새로고침중지.................... 208 공통정보및원격명령에대한프로파일정의..................... 209 중복장치노드삭제.............................. 209 IP 주소마스크................................ 209 기본또는중복장치업그레이드.......................... 210 쿼리관리................................ 210 시스템시간설정............................... 210 CEF( 일반이벤트형식 )............................. 212 McAfee Enterprise Security Manager 11.1.x 제품안내서 7

목차 13 자산관리 215 자산관리자작동방법................................ 215 자산, 위협및위험평가............................. 216 자산구성.................................. 216 이전자산정의................................ 217 자산소스구성................................ 217 알려진위협관리............................... 218 취약성평가소스를관리............................. 218 영역구성.................................. 221 영역설정내보내기.............................. 222 영역설정가져오기.............................. 222 벤치마크그룹구성.............................. 223 성과기록표작동방법................................ 223 성과기록표구성............................... 224 총괄성과기록표보기구성............................ 225 성과기록표데이터필터링............................ 225 성과기록표데이터보고서............................ 226 14 정책및규칙정의 227 McAfee ESM 정책및규칙작동방법........................... 227 정책관리..................................... 228 데이터베이스감사추적설정.............................. 228 변수작동방법................................... 229 변수관리.................................. 230 TCP 프로토콜이상및세션가로채기탐지...................... 231 McAfee ESM 규칙유형................................ 231 McAfee Application Data Monitor 규칙........................ 232 데이터소스규칙............................... 243 필터규칙.................................. 244 트랜잭션추적규칙구성............................. 245 Windows 이벤트규칙.............................. 246 패킷초과구독정의................................. 246 정책업데이트상태보기................................ 246 규칙..................................... 246 규칙관리.................................. 247 규칙가져오기................................ 248 변수가져오기................................ 248 규칙내보내기................................ 248 기존규칙필터링............................... 249 규칙시그니처보기.............................. 250 규칙업데이트검색.............................. 250 업데이트된규칙상태지우기........................... 250 규칙파일비교................................ 251 규칙변경기록보기.............................. 251 태그를규칙또는자산에할당........................... 251 규칙재정의액션구성................................ 252 심각도가중치................................... 252 심각도가중치정의.............................. 253 정책변경기록보기................................. 253 정책변경롤아웃.................................. 254 규칙에대해패킷복사활성화.............................. 254 15 McAfee ESM 보고서사용 255 보고서작동방법.................................. 255 보고서구성................................. 255 보고서레이아웃추가.............................. 256 8 McAfee Enterprise Security Manager 11.1.x 제품안내서

목차 보고서에이미지구성요소추가.......................... 256 PDF 및보고서에이미지포함........................... 257 보고서조건추가............................... 257 보고서에호스트이름표시............................ 257 분기별보고서의시작월설정........................... 257 장치요약보고서보기............................. 258 장치상태보고서............................... 258 McAfee Enterprise Security Manager 11.1.x 제품안내서 9

목차 10 McAfee Enterprise Security Manager 11.1.x 제품안내서

1 1 제품 개요 목차 개요주요기능작동방식 개요 McAfee Security Information Event Management(SIEM) 솔루션의기초로 McAfee Enterprise Security Manager (McAfee ESM) 를사용하면시스템, 네트워크, 데이터베이스및응용프로그램의모든활동을실시간으로볼수있습니다. McAfee 장치를추가하여 McAfee ESM 의전원을증가시킵니다. McAfee Event Receiver 대량의원시보안데이터를수집, 구문분석및정규화합니다 ( 필수 ). McAfee 데이터스트리밍버스 장치상호연결을용이하게하고외부통합을위한스트리밍데이터플랫폼을제공합니다 ( 분산 McAfee ESM 및타사응용프로그램과의공유에필요 ). McAfee Enterprise Log Manager 컴플라이언스준수를위해원시로그를저장합니다 ( 권장 ). McAfee 엔터프라이즈로그검색 포렌직목적으로원시로그를신속하게검색합니다 ( 선택사항 ). McAfee Advanced Correlation Engine (McAfee ACE) 구문분석된데이터를상호연결하여추세및의심스러운활동을식별합니다 ( 권장 ). McAfee Application Data Monitor 암호화되지않은레이어 7 세션데이터를모니터링하여응용프로그램및프로토콜수준에서의심스러운활동을식별합니다 ( 선택사항 ). McAfee Database Event Monitor 데이터베이스트랜잭션을모니터링하고추적하여네트워크의데이터베이스통신에서발생하는의심스러운활동을식별합니다 ( 선택사항 ). McAfee Enterprise Security Manager 11.1.x 제품안내서 11

1 제품개요주요기능 주요기능 McAfee ESM 은보안조직에필요한속도와규모로성능, 실행가능한인텔리전스및솔루션통합을제공합니다. 숨겨진위협에대해신속하게우선순위를지정하고조사하고대응할수있으며컴플라이언스요구사항을충족시킬수있습니다. McAfee ESM 주요기능은다음과같습니다. 분석가중심의대시보드, 보고서, 검토, 규칙및경보 일반적인보안사용사례 ( 예 : 경보, 보기, 보고서, 변수및관심목록 ) 에대한사전패키지된구성 ( 콘텐츠팩이라고함 ) 글로벌규정및제어프레임워크를위해사전정의된대시보드, 감사추적및보고서 사용자지정가능한컴플라이언스보고서, 규칙및대시보드 상황별정보 ( 예 : 개인정보보호솔루션, 위협데이터및평판피드, ID 및액세스관리시스템 ) 로이벤트를풍부하게하는기능 이벤트데이터에대해의심스럽거나확인된위협정보의거의실시간또는기록집계및상관 타사보안공급업체장치및위협인텔리전스피드에서데이터를수집하는기능 12 McAfee Enterprise Security Manager 11.1.x 제품안내서

제품개요작동방식 1 이벤트데이터의장기저장에대한신속한액세스 여러해동안의로그이벤트를수집하고상호연결시키는확장가능한데이터아키텍처 주문형쿼리, 포렌직, 규칙유효성검사및컴플라이언스 작동방식 진화하는보안문제는위협을탐지하고위험을줄이며컴플라이언스를보장하기위한개방적이고협업적인접근방식을필요로합니다. McAfee Enterprise Security Manager (McAfee ESM) 는다른 McAfee 제품과통합하여리소스오버로드없이신속하게위협을해결합니다. McAfee ESM 워크플로란? 1 위협이조직에발생합니다. 2 McAfee Event Receiver 는보안장치, 데이터베이스, 네트워크시스템및응용프로그램에서데이터및이벤트를수집합니다. 3 McAfee Event Receiver 는원시데이터를수집합니다. 4 McAfee Event Receiver 는특정구문규칙에따라데이터를부분및관계로구문분석 ( 또는추출 ) 합니다. 5 McAfee Event Receiver 는수집된값을하나의공통배율로정규화 ( 또는정렬 ) 하고알려진위협을식별하는데사용합니다. 6 McAfee Advanced Correlation Engine (McAfee ACE) 은잠재적인보안위협을식별하기위해정보의패턴을서로상호연결 ( 또는식별 ) 합니다. 7 분석가는대시보드, 경보, 관심목록, 사례및보고서를사용하여위협을모니터링하고식별합니다. 8 분석가는 DXL(Data Exchange Layer), McAfee Advanced Threat Defense, 및 McAfee Threat Intelligence Exchange (TIE) 를사용하여위협을식별합니다. 9 분석가는 McAfee epolicy Orchestrator 를사용하여위협에즉시자동으로대응합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 13

1 제품개요작동방식 14 McAfee Enterprise Security Manager 11.1.x 제품안내서

2 처음 2 해야할일 목차 초기설정식별규칙업데이트에대한자격증명요청규칙업데이트확인 McAfee ESM 개인화미리정의된콘텐츠팩적용 초기설정식별 McAfee ESM 에처음로그온하면 McAfee ESM 이사용자와조직에서작동하는방식에영향을주는초기설정을식별할수있습니다 (FIPS 모드사용여부등 ). 1 클라이언트컴퓨터에서웹브라우저를열고네트워크인터페이스를구성했을때설정한 IP 주소로이동합니다. 2 기본사용자이름및암호를입력한다음시스템언어를선택합니다. 기본사용자이름 : NGCP 기본암호 : security.4u 3 [ 로그온 ] 을클릭하고 [ 최종사용자사용권계약 ] 을읽은다음 [ 동의 ] 를클릭합니다. 4 사용자이름과암호를변경한다음 [ 확인 ] 을클릭합니다. IPMI 를사용할때암호에 `~!@#$%^&*()[]\{} ; : <> 등의특수문자를사용하지마십시오. 5 FIPS 모드사용설정여부를선택합니다. 활성화하면실행취소할수없으므로필요할때만 FIPS 모드를활성화합니다. FIPS 모드가필요한경우시스템에처음로그온할때이를활성화하여 McAfee 장치와의향후이 FIPS 모드에서작동하도록해야합니다. 6 규칙업데이트에액세스하기위해필요한사용자이름및암호를가져오기위한지침을수행합니다. 7 초기 McAfee ESM 구성을수행합니다. a 시스템로그에사용할언어를선택합니다. b 이 ESM이있는시간대및이계정과함께사용할날짜형식을선택하고 [ 다음 ] 을클릭합니다. c [ESM 구성 ] 마법사페이지를사용하여설정을정의합니다. 8 [ 확인 ] 을클릭합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 15

2 처음해야할일규칙업데이트에대한자격증명요청 9 세션을완료한경우다음방법중하나를사용하여로그오프합니다. 열려있는페이지가없는경우페이지의오른쪽상단모서리에있는드롭다운목록에서 [ 로그아웃 ] 을클릭합니다. 페이지가열려있으면브라우저를닫습니다. 규칙업데이트에대한자격증명요청 지속적인정책, 구문분석기및규칙업데이트를받으려면액세스한후 30 일이내에영구자격증명을요청하여유효성을검사해야합니다. 1 영구자격증명을요청하려면다음정보를 Licensing@McAfee.com 에이메일로보냅니다. McAfee 허가 ID 계정이름 주소 연락처이름 연락처이메일주소 2 McAfee 에서고객 ID 와암호를받으면다음중하나를수행합니다. 대시보드에서를클릭하고 [ 시스템속성 시스템정보 규칙업데이트 ] 를선택합니다. 시스템탐색트리에서을클릭하고 [ 시스템정보 규칙업데이트 ] 를선택합니다. 3 [ 자격증명 ] 을클릭한다음고객 ID 및암호를입력합니다. 4 [ 유효성검사 ] 를클릭합니다. 규칙업데이트확인 McAfee 는네트워크트래픽을검사하는데사용되는규칙시그니처를지속적으로업데이트합니다. McAfee 서버에서규칙업데이트를자동또는수동으로다운로드할수있습니다. 시작하기전에 규칙업데이트에대한영구자격증명을요청하고유효성을검사합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 McAfee ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 규칙업데이트 ] 를클릭합니다. 16 McAfee Enterprise Security Manager 11.1.x 제품안내서

처음해야할일 McAfee ESM 개인화 2 4 다음옵션중하나를선택합니다. [ 자동체크간격 ] 은선택하는빈도를사용하여자동으로업데이트를체크하도록시스템을설정합니다. [ 지금체크 ] 는지금업데이트를체크합니다. [ 수동업데이트 ] 는로컬파일에서규칙을업데이트합니다. 5 [ 확인 ] 을클릭합니다. McAfee ESM 개인화 보려는사항만볼수있도록 McAfee ESM과상호작용하는방법을지정합니다. 시작하기전에사용자지정표시유형이만들어졌는지확인합니다. 1 대시보드에서을클릭하고 [ 시스템속성 ] [ 사용자지정설정 ] 을선택합니다. 로그인화면에사용자지정텍스트 ( 예 : 회사보안정책 ) 를추가하려면페이지상단의상자에텍스트를입력하고 [ 로그온화면에텍스트포함 ] 확인란을선택합니다. 사용자지정로고를선택해도아무런효과가없습니다. 시스템트리를 5분마다자동으로새로고칠지와업데이트할때시스템트리를새로고칠지여부를선택합니다. 시스템장치에대한 URL 링크를변경하려면 [ 장치링크 ] 를클릭합니다. 해결이메일서버설정을구성하려면 [ 해결 ] 을클릭합니다. 분기별보고서및보기의시작월을설정하려면드롭다운목록에서월을선택합니다. 2 대시보드에서을클릭하고 [ 시스템속성 ESM 관리 ] 를선택합니다. [ 시스템로캘 ] 을클릭하고상태모니터로그 및장치로그와같은이벤트로그의언어를지정합니다. 3 McAfee ESM 콘솔에서 [ 옵션 ] [ 보기 ] 를클릭합니다. 기본보기를사전정의되었거나사용자지정된 McAfee ESM 보기로변경합니다. 4 대시보드에서을클릭하고 [ 시스템속성 로그인보안 ] 을선택합니다. 현재 McAfee ESM 세션이활동없이열려있는기간을정의합니다. [UI 시간초과값 ] 에서활동없이통과해야하는시간 ( 분 ) 을선택한다음 [ 확인 ] 을클릭합니다. 영 (0) 을선택하는경우콘솔이무기한열려있습니다. 5 사용자지정표시유형을사용하여시스템탐색트리에서장치를구성하는방법을정의합니다. a McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. b 시스템탐색창에서사용할사용자지정표시유형에대한설정을선택합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 17

2 처음해야할일미리정의된콘텐츠팩적용 c 사용자지정유형을그룹으로구성하려는경우그룹을추가한다음디스플레이의장치를해당그룹으로끌어서놓을수있습니다. 장치가표시트리의일부인경우시스템에서복제장치노드가만들어집니다. 그러면시스템트리에서복제본을삭제할수있습니다. d 기존그룹을삭제하려는경우 ( 클릭 ) 시스템은그룹및장치를사용자지정표시에서삭제하지만시스템에 서는삭제하지는않습니다. 미리정의된콘텐츠팩적용 특정위협상황이발생하면위협활동을해결하기위해사용케이스구동상관규칙, 경보, 보기, 보고서, 변수및관심목록을포함하는관련콘텐츠팩을가져와설치하여즉시대응합니다. 사내에서도구를개발하는대신콘텐츠팩을사용하여시간을절약합니다. 시작하기전에 다음권한이있는지확인합니다. 시스템관리 사용자관리 콘텐츠팩요소를사용자지정한경우업데이트프로세스가사용자지정한요소를덮어쓸수있습니다. 1 McAfee 연결카탈로그로이동합니다. 사용가능한콘텐츠팩을찾아보고원하는콘텐츠팩을다운로드합니다. 2 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 3 시스템탐색트리에서 McAfee ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 4 [ 콘텐츠팩 ] 을클릭합니다. 5 [ 찾아보기 ] 를클릭합니다. 6 목록을찾아서원하는콘텐츠팩을선택합니다. 이름이나설명을클릭하면해당콘텐츠팩의상세정보가표시됩니다. 확인란을클릭하여설치할콘텐츠팩을선택합니다. 7 [ 설치 ] 를클릭합니다. 8 콘텐츠팩의상세정보에나열된설치후단계를완료합니다. 18 McAfee Enterprise Security Manager 11.1.x 제품안내서

3 보안 3 사용자설정 목차 사용자보안작동방법로그온보안구성 사용자보안작동방법 McAfee ESM, 장치, 정책및관련권한에사용자및그룹을추가합니다. FIPS 모드인경우 McAfee ESM 에는 [ 사용자 ], [ 고급사용자 ], [ 키및인증서관리자 ] 및 [ 감사관리자 ] 가포함됩니다. FIPS 모드가아닌경우 McAfee ESM 에는 [ 시스템관리자 ] 및 [ 일반사용자 ] 가포함됩니다. McAfee ESM 은다음을나열합니다. [ 사용자 ] 사용자이름, 현재각사용자에게열려있는세션숫자, 이들이속한그룹입니다. [ 그룹 ] 그룹의이름및각그룹에할당된권한입니다. [ 사용자이름 ], [ 세션 ] 또는 [ 그룹이름 ] 을클릭하여표를정렬합니다. 그룹권한 그룹을설정할때그룹의모든구성원에적용되는권한을설정합니다. [ 그룹추가 ]([ 시스템속성 ] [ 그룹추가 ]) 의 [ 권한 ] 페이지에서 [ 이그룹의액세스제한 ] 을선택하면이러한기능에대한액세스가제한됩니다. 액션도구모음 사용자가장치관리, 여러장치관리또는이벤트스트리밍뷰어에액세스할수없습니다. [ 경보 ] 그룹의사용자가경보관리수신자, 파일또는템플릿에액세스할수없습니다. 경보를생성, 편집, 제거, 활성화또는비활성화할수없습니다. [ 자산관리자 ] 및 [ 정책편집기 ] 사용자가다음기능에액세스할수없습니다. [ 케이스관리 ] 사용자가 [ 조직 ] 을제외한모든기능에액세스할수있습니다. [ELM] 사용자가강화된 McAfee Enterprise Log Manager 검색을수행할수있지만저장하거나 McAfee Enterprise Log Manager 장치속성에액세스할수없습니다. [ 필터 ] 사용자가 [ 문자열정규화 ], [Active Directory], [ 자산 ], [ 자산그룹 ] 또는 [ 태그 ] 필터탭에액세스할수없습니다. [ 보고서 ] 사용자가출력을이메일로보내는보고서만실행할수있습니다. [ 시스템속성 ] 사용자가 [ 보고서 ] 및 [ 관심목록 ] 만액세스할수있습니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 19

3 보안사용자설정사용자보안작동방법 [ 관심목록 ] 사용자가동적관심목록을추가할수없습니다. [ 영역 ] 사용자가영역목록에서액세스권한이있는영역만볼수있습니다. 사용자추가 McAfee ESM, 해당장치, 정책및연결된권한에액세스할수있도록사용자를시스템에추가합니다. 추가되면사용자설정을편집하거나제거할수있습니다. 시작하기전에 [ 사용자관리 ] 권한이있는지확인합니다. 1 시스템탐색트리에서 [ 시스템속성 ] [ 사용자및그룹 ] 을선택합니다. 2 암호를입력한다음 [ 확인 ] 을클릭합니다. 3 [ 사용자 ] 섹션에서 [ 추가 ] 를클릭합니다. 4 사용자이름을입력합니다. CAC(Common Access Card) 자격증명을사용하는경우사용자이름으로사용자의 10 자리 EDI-PI 를입력합니다. 5 ( 선택사항 ) 사용자의이름을표시하지않으려는경우별칭을입력합니다. CAC 자격증명을사용중인경우이는사용자이름일수있습니다. 6 계정의고유한암호를입력하고확인한다음 [ 확인 ] 을클릭합니다. 7 (FIPS 모드전용 ) 이사용자에대한역할을선택합니다. 다음과같은옵션이있습니다. [ 사용자 ] [ 고급사용자 ] 권한이있는그룹에사용자를추가할수없습니다. [ 고급사용자 ] 이러한사용자는모든 UCAPL(Unified Capabilities Approved Products List) 목적을위한시스템관리자이지만모든시스템관리권한을가질수는없습니다. 다음권한을가진그룹에할당된모든사용자는 [ 고급사용자 ] 역할을가져야합니다 ( 필수 ). 시스템관리 정책추가 / 삭제 사용자관리 사용자지정규칙및변수 정책관리 글로벌블랙리스트 [ 키및인증서관리자 ] 이역할은키관리기능을수행하기위해필요합니다. 이역할을가진사용자는 [ 고급사용자 ] 권한이있는그룹에추가할수없습니다. [ 감사관리자 ] 이역할은로그를구성하기위해필요합니다. 이역할을가진사용자는 [ 고급사용자 ] 권한이있는그룹에추가할수없습니다. 8 (FIPS 모드가아닌경우 ) 사용자에게관리자권한을부여하려면선택합니다. 액세스그룹을만들고사용자를이러한그룹에할당하여시스템관리자가일반사용자에게권한을부여할수있습니다. 시스템관리자는사용자및그룹영역을포함하여시스템의모든영역에액세스할수있는유일한사용자입니다. 9 McAfee ESM 계정에액세스하지못하도록차단하려는사용자를비활성화합니다. 10 SMS( 문자메시지 ) 주소및이메일주소를추가합니다 ( 사용자가보고서또는경보알림을받지않는경우에는선택사항임 ). 11 사용자가속한그룹을식별합니다. 사용자는그룹의권한을상속합니다. 12 [ 확인 ] 을클릭한다음암호를다시입력합니다. 20 McAfee Enterprise Security Manager 11.1.x 제품안내서

보안사용자설정사용자보안작동방법 3 아이콘은사용할수있는사용자를나타냅니다. 관리자권한이있는사용자를나타냅니다. 사용자설정개인화 McAfee ESM 이시간대, 날짜형식, 암호및기본표시와같은사용자별정보를반영하도록각사용자에대해시스템을개인화합니다. 시작하기전에 사용자관리권한이있는지확인합니다. 사용자에대한특정보기를설정하려면보기가존재하는지확인합니다. 1 대시보드에서사용자 ID 드롭다운을클릭한다음 [ 옵션 ] 을클릭합니다. 2 [ 사용자설정 ] 을선택하고특정사용자에대한설정을선택합니다. 사용자시간대및날짜형식을선택합니다. 표시된기준에따라사용자의암호를변경합니다. 시스템이열릴때표시할기본표시를선택합니다. 시스템트리의비활성화된데이터소스, [ 경보 ] 창및 [ 케이스 ] 창의표시여부를선택합니다. 3 [ 보기 ] 를선택하고특정사용자에대한기본보기를선택합니다. 자동으로보기를새로고치도록선택하고보기를새로고치는빈도를지정합니다. 여러사용자가최소새로고침시간을 10분미만으로설정하면 McAfee ESM 성능에영향을줄수있습니다. 기본시스템보기, 이벤트요약보기및플로요약보기를선택합니다. 사용자비활성화또는활성화 McAfee ESM 사용자를삭제하지않고사용자액세스를일시적으로또는영구적으로차단 ( 비활성화 ) 또는허용 ( 활성화 ) 합니다. 1 시스템탐색트리에서 [ 시스템속성 ] [ 사용자및그룹 ] 을선택합니다. 2 [ 사용자 ] 테이블에서사용자의이름을강조표시한다음 [ 편집 ] 을클릭합니다. 3 [ 계정비활성화 ] 를선택하거나선택취소한다음 [ 확인 ] 을클릭합니다. [ 사용자및그룹 ] 에서사용자이름옆의아이콘이계정상태를반영합니다. McAfee epo 의사용자자격증명설정 McAfee epo 장치에대한액세스를제한하려면사용자자격증명을설정합니다. 시작하기전에 McAfee epo 장치가설정되어있고글로벌사용자인증이필요하지않은지확인합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 21

3 보안사용자설정사용자보안작동방법 1 대시보드에서사용자이름을클릭한다음 [ 옵션 ] 을클릭합니다. 2 [epo 자격증명 ] 을선택합니다. 3 McAfee ESM 에서 McAfee epo 장치를봅니다. 필요하지않음상태가표시되는경우장치가글로벌사용자인증에대해설정된것입니다. 자격증명없음상태가표시되는경우장치가개인사용자인증을요구하도록설정된것입니다. 사용자인증설정을변경하려면 McAfee epo 장치의 [ 속성 ] 으로이동하고 [ 연결 ] 을클릭하여 [ 사용자인증필요 ] 필드의설정을변경합니다. 4 장치를선택한다음 [ 편집 ] 을클릭합니다. 5 사용자이름및암호를입력한다음연결을테스트합니다. 사용자그룹구성 그룹설정을사용하면해당그룹에속한모든사용자에대해사용자설정및액세스권한을한번제어할수있습니다. 시작하기전에사용자관리권한이있는지확인합니다. 1 사용자권한은그룹권한보다우선합니다. 예를들어사용자에게리소스에대한 [ 읽기 ] 액세스권한만있고해당그룹에는 [ 수정 ] 액세스권한이있는경우사용자는선택한항목을 [ 읽기 ] 만할수있습니다. 시스템탐색트리에서 [ 시스템속성 ] [ 사용자및그룹 ] 을클릭한다음암호를입력합니다. 2 그룹권한을선택합니다. 항목의작성자만읽기전용사용자지정항목에대한권한을변경할수있습니다. ( 보기전용 ) - 그룹의사용자는상위폴더에서설정을상속합니다 ( 기본값 ). ( 보고서및관심목록전용 ) - 그룹의사용자는변경설정을상속합니다 ( 기본값 ). 그룹의액세스설정 ([ 읽기전용 ], [ 수정 ] 또는둘다아님 ) 을나타냅니다. [ 읽기전용 ] 또는 [ 수정 ] 을선택하지않으면그룹에거부권한이있습니다. [ 수정 ] 을선택하면시스템에서 [ 읽기전용 ] 이자동으로선택됩니다. 기본값이라는유사그룹이마스터또는관리사용자에대해표시됩니다. 나중에만들어진그룹은이권한을얻습니다. 개별사용자액세스설정 ([ 읽기전용 ], [ 수정 ] 또는둘다아님 ) 을나타냅니다. [ 읽기전용 ] 또는 [ 수정 ] 을선택하지않으면사용자에게거부권한이있습니다. [ 수정 ] 을선택하면시스템에서 [ 읽기전용 ] 이자동으로선택됩니다. 사용자설정은그룹설정보다우선합니다. 예를들어사용자에게리소스에대한 [ 읽기 ] 액세스권한만있고해당그룹에는 [ 수정 ] 액세스권한이있는경우사용자는선택한항목을 [ 읽기 ] 만할수있습니다. 사용자가그룹목록에없는경우시스템은해당사용자의그룹설정을사용합니다. 사용자가그룹목록에있지만 [ 읽기 ] 또는 [ 수정 ] 을선택하지않은경우해당사용자는리소스에대한명시적인거부권한이있습니다. 3 [ 그룹 ] 테이블의오른쪽에 [ 추가 ] 를클릭합니다. 그룹이름과설명을입력합니다. 사용자를그룹에추가합니다. 22 McAfee Enterprise Security Manager 11.1.x 제품안내서

보안사용자설정로그온보안구성 3 그룹의액세스권한을설정합니다. 그룹에 IP 주소필터를적용하여보고서를실행하거나사용자를보고서또는경보수신자로선택할때표시되는데이터를제한합니다. 이그룹에서액세스할수있는이벤트전달대상을선택합니다. 이옵션은사용자가이벤트를전달할수있는장치및전달될수있는이벤트유형을지정하는필터를정의합니다. 이벤트전달대상이액세스그룹에속하지않는경우모든장치에액세스할수있습니다. 이그룹이 McAfee ESM 에액세스할수있을때제한합니다. 사용자는시간이만료되기전에세션이 15 분, 5 분, 1 분의시간이남았다는시각적통보를받습니다. 이그룹이보거나, 변경하거나다른사용자및그룹과공유할수있는보고서, 보기및관심목록을선택합니다. 그룹이보고변경할수있는필터를설정할수도있습니다. 둘이상의보기, 관심목록또는보고서를선택하면 [ 읽기 ] 또는 [ 수정 ] 열의확인란에서충돌이있다는것을나타냅니다. 충돌을해결할때까지페이지를저장하고닫을수없습니다. 선택한모든항목에대한설정을해결하려면확인란을클릭합니다. 4 [ 확인 ] 을클릭한다음암호를다시입력합니다. 사용자액세스제한 그룹을사용하여다음권한에대한사용자액세스를제한합니다. 경보, 케이스관리, McAfee Enterprise Log Manager, 보고서, 관심목록, 자산관리, 정책편집기, 영역, 시스템속성, 필터및액션도구모음다른모든기능이비활성화됩니다. 1 시스템탐색트리에서시스템을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 사용자및그룹 ] 을클릭한다음시스템암호를입력합니다. 3 기존그룹에사용자를추가하거나그룹을만듭니다. 4 [ 권한 ] 을클릭한다음 [ 이그룹의액세스제한 ] 을선택합니다. 대부분의권한은사용할수없습니다. 5 그룹의권한을지정합니다. 6 각탭을클릭하고그룹의나머지설정을정의합니다. 로그온보안구성 로그온시도, 기간및비활성에대한설정을지정하여시스템에대한액세스를제어합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 시스템속성 ] 을선택합니다. 2 [ 로그인보안 ] 을클릭합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 23

3 보안사용자설정로그온보안구성 3 [ 표준 ] 탭에서다음옵션을설정합니다. 단일세션에서연속으로로그온실패가허용되는횟수를지정합니다. 값이 0 이면제한되지않은로그온시도를허용합니다. 특정기간동안실패한시도가허용횟수에도달하면대상계정이잠깁니다. 시스템관리자는계정잠금을해제해야합니다. 마스터계정은잠글수없습니다. 연속하여실패한로그온시도를허용할시간간격을 0 분에서 1440 분사이에서지정합니다. 특정기간동안실패한시도가허용횟수에도달하면대상계정이잠깁니다. 계정은설정한시간동안또는시스템관리자가계정잠금을해제할때까지잠긴상태로유지됩니다. 실패한로그온으로인한자동잠금의경우계정잠금기간을지정합니다. 최댓값은 1440 분이며값이 0 이면자동으로잠금해제할수없다는의미입니다. 해당시간이경과하면시스템은자동으로계정잠금을해제합니다. 이설정은수동으로잠긴계정에는영향을미치지않습니다. 관리자는언제든지계정의잠금을해제할수있습니다. 시스템은항상마스터사용자로그온을자동으로잠금해제합니다. 이기간을 0 으로설정하면시스템이일시적으로마스터사용자로그온을 5 분동안잠급니다. 로그온화면이나타나기전에는비활성으로지나가야하는기간을지정합니다. 값이 0 이면제한이없다는것입니다. 시스템이계정을잠그기전에지나갈수있는비활성일수를 0 일에서 365 일사이에서지정합니다. 0 을입력하면기능을비활성화됩니다. 잠금은관리자가계정의잠금을해제할때까지지속됩니다. 단일사용자가한번에열수있는활성세션수를설정합니다. 최댓값은 10 입니다. 0 은제한을비활성화합니다. 마지막으로성공한사용자로그온으로사용자이름필드를채울지여부를선택합니다. 시스템에액세스할수있는허용된 IP 주소또는차단된 IP 주소의목록을설정하려면선택합니다. 4 [ 확인 ] 또는 [ 적용 ] 을클릭합니다. 24 페이지의암호보안구성사용자암호에대한보안설정을지정하여시스템에대한액세스를제어합니다. 25 페이지의 RADIUS 인증구성 RADIUS 서버에사용자를인증하도록 McAfee ESM 을구성합니다. 26 페이지의 CAC 인증구성사용자이름과암호로로그온하지않고브라우저에서 CAC(Common Access Card) 자격증명을사용하여 McAfee ESM 에액세스하도록사용자를구성합니다. CAC 설정에는서버인증서가웹사이트를식별하는방식과유사하게사용자를식별하는클라이언트인증서가포함되어있습니다. CAC 를사용하기전에 CAC 및 CAC 와연관된 EDI-PI( 전자데이터교환개인식별자 ) 를지원하는브라우저를식별합니다. 27 페이지의 Active Directory 인증구성 McAfee ESM 이시스템관리자를제외한사용자를 Active Directory 로인증하는방법을정의합니다. 인증을비활성화하면 Active Directory 인증에대해설정된사용자는시스템에액세스할수없습니다. 27 페이지의 LDAP 인증구성 McAfee ESM 이 LDAP 서버에사용자를인증하는방법을정의합니다. 암호보안구성 사용자암호에대한보안설정을지정하여시스템에대한액세스를제어합니다. 시작하기전에 시스템관리자권한이있는지확인합니다. 24 McAfee Enterprise Security Manager 11.1.x 제품안내서

보안사용자설정로그온보안구성 3 1 McAfee ESM 대시보드에서을클릭하고 [ 시스템속성 ] 을선택합니다. 2 [ 로그인보안 ] 을클릭합니다. 3 [ 암호 ] 탭에서다음옵션을설정합니다. 다음암호요구사항을식별합니다. 15 자 소문자 2 개 숫자 2 개 대문자 2 개 문장부호또는기호 2 개 4 번이상연속으로반복되는문자를포함할수없음 사용자가암호를변경해야하는간격을지정합니다 (0-365 일 ). 0 을입력하면암호가만료되지않습니다. 사용자에게암호가만료되기며칠전에암호를변경하도록알려줄지그일수를선택합니다 (1-30 일 ). 사용자의암호가만료된후시스템이계정을잠그기까지사용자가계속로그온할수있는시간을선택합니다. 그런다음관리자만계정을잠금해제할수있습니다. 시스템이계정을잠그기전에사용자가지정된유예기간에로그온할수있는횟수를선택합니다. 그런다음관리자만계정을잠금해제할수있습니다. 암호기록을저장할지여부와저장할사용자암호개수를 0-100 암호사이에서지정합니다. 사용자가암호를변경하면시스템에서기존암호기록을확인합니다. 0 으로설정하면시스템에암호기록이저장되지않습니다. 암호가고유하지않은경우오류가표시되고시스템은암호를업데이트하지않습니다. 암호가고유한경우암호가변경되고기록항목이추가됩니다. 저장한도에도달한경우가장오래된암호가삭제됩니다. 지정된기간동안사용자가암호를변경할수있는빈도를제한합니다. 예를들어 12 를선택하면사용자는 12 시간내에두번이상암호를변경할수없습니다. 4 [ 적용 ] 또는 [ 확인 ] 을클릭합니다. RADIUS 인증구성 RADIUS 서버에사용자를인증하도록 McAfee ESM 을구성합니다. FIPS 규정을준수해야하는경우이 RADIUS 인증을사용하지않습니다. RADIUS 는 FIPS 컴플라이언트가아닙니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 시스템속성 ] 을선택합니다. 2 [ 로그인보안 ] 을클릭합니다. 3 [RADIUS] 탭을선택한다음 RADIUS 서버의특성 (IP 주소, 서버포트및공유암호 ) 을지정합니다. 보조서버는선택사항입니다. 그런다음 [ 확인 ] 또는 [ 적용 ] 을클릭합니다. RADIUS 서버를활성화하면시스템관리자를제외한모든사용자가 RADIUS 서버로인증을받습니다. 인증을비활성화하면 RADIUS 인증에대해설정된사용자는 McAfee ESM 에액세스할수없습니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 25

3 보안사용자설정로그온보안구성 CAC 인증구성 사용자이름과암호로로그온하지않고브라우저에서 CAC(Common Access Card) 자격증명을사용하여 McAfee ESM 에액세스하도록사용자를구성합니다. CAC 설정에는서버인증서가웹사이트를식별하는방식과유사하게사용자를식별하는클라이언트인증서가포함되어있습니다. CAC 를사용하기전에 CAC 및 CAC 와연관된 EDI-PI( 전자데이터교환개인식별자 ) 를지원하는브라우저를식별합니다. ActivClient 는 Windows 에서유일하게지원되는 CAC 미들웨어입니다. Internet Explorer 를사용하는 Windows 의 McAfee ESM 에서 CAC 인증을사용하려면클라이언트컴퓨터에 ActivClient 를설치해야합니다. ActivClient 가설치되면 Windows 의기본스마트카드관리자대신 CAC 자격증명을관리하기위해사용됩니다. 시스템관리자를통해 ActivClient 가환경에설치되어있는지확인합니다. 응용프로그램신뢰성에대해 CAC 유효성검사를사용하는경우시스템보안은 CA( 인증서발급기관 ) 의보안에의해결정됩니다. CA 가손상되면 CAC 활성로그온도손상됩니다. CAC 로그온을설정하려면 CA 루트인증서를업로드하고, CAC 로그온을활성화하고, 사용자이름을카드홀더의 FQDN( 정규화된고유이름 ) 으로설정하여 CAC 사용자를활성화합니다. 그러면카드홀더가사용자이름또는암호를묻는메시지를표시하지않고 CAC 활성브라우저에서 McAfee ESM 에액세스할수있습니다. McAfee ESM 은 Gem alto 및 Oberthur ID One 카드판독기를지원합니다. 1 CA 루트인증서를업로드합니다. a 컴퓨터제어판에서 [ 인터넷옵션 ] [ 내용 ] [ 인증서 ] [ 신뢰할수있는루트인증기관 ] 을클릭합니다. b 현재의루트 CA를선택한다음 [ 내보내기 ] 를클릭합니다. c [ 인증서내보내기마법사 ] 에서 [ 다음 ] 을클릭한다음 [Base 64 로인코딩된 X.509] 를선택하고 [ 다음 ] 을클릭합니다. d 내보내는파일의위치및이름을입력하고 [ 다음 ] 을클릭한다음 [ 마침 ] 을클릭합니다. e McAfee ESM 콘솔의시스템탐색트리에서 [ 시스템속성 ] 에액세스하고 [ 로그인보안 ] 을클릭한다음 [CAC] 탭을선택합니다. f [ 업로드 ] 를클릭한다음 McAfee ESM 에내보내고업로드할파일을찾습니다. 2 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 3 시스템탐색트리에서 McAfee ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 4 [ 로그인보안 ] 을클릭한다음 [CAC] 탭을선택합니다. 5 CAC 모드선택 : [ 해제 ] 기본설정입니다. CAC 로그온이비활성화되므로사용자는 McAfee ESM 로그온프롬프트를사용하여로그온해야합니다. [ 옵션 ] CAC 인증을사용할수있지만사용자가인증서를제공하지않는경우마치 CAC 모드가해제된것처럼 McAfee ESM 로그온프롬프트가나타납니다. [ 필수 ] CAC 사용로그온만시스템에액세스할수있습니다. 로그온프롬프트가표시되지않습니다. [IPv4( 모드보안 PIN) 필요 ] 에보안 PIN 을입력합니다. 시스템에서사용자가잠긴경우 LCD 패널에 PIN 을입력하여 CAC 모드를 [ 옵션 ] 으로전환합니다. LCD 패널은 PIN 을 IPv4 형식 (10.0.0.0) 으로인식합니다. 인증서및인증서권한은만료되므로 [ 필수 ] 모드에서는잠재적으로모든사용자를 McAfee ESM 에서잠글수있습니다. 페일세이프단추는 McAfee ESM 앞의 LCD 패널에있으며 CAC 모드를 [ 옵션 ] 으로다시전환합니다. 6 CA 루트인증서체인을업로드합니다. 인증서파일을보거나선택하는위치에다운로드할수있습니다. 26 McAfee Enterprise Security Manager 11.1.x 제품안내서

보안사용자설정로그온보안구성 3 7 CRL( 인증서해지목록 ) 은해지된인증서를식별합니다. CRL 파일이포함된.zip 파일을수동으로업로드합니다. 해지한인증서목록을업로드하거나선택한위치에다운로드합니다. 8 McAfee ESM 이해지파일업데이트에대해폴링하는빈도및 URL 주소를입력하여자동검색일정을설정합니다. 9 각 CAC 사용자를활성화합니다. a [ 시스템속성 ] 에서 [ 사용자및그룹 ] 을클릭한다음시스템암호를입력합니다. b [ 사용자 ] 테이블에서사용자의이름을강조표시한다음 [ 편집 ] 을클릭합니다. c [ 사용자이름 ] 필드의이름을 FQDN 으로바꿉니다. d ( 선택사항 ) [ 사용자별칭 ] 필드에사용자이름을입력합니다. Active Directory 인증구성 McAfee ESM 이시스템관리자를제외한사용자를 Active Directory 로인증하는방법을정의합니다. 인증을비활성화하면 Active Directory 인증에대해설정된사용자는시스템에액세스할수없습니다. 시작하기전에 McAfee ESM 의 Active Directory 설정 McAfee ESM 에대한액세스권한이있는 Active Directory 그룹과동일한이름으로그룹을만듭니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 시스템속성 ] 을선택합니다. 2 [ 로그인보안 ] 을클릭합니다. 3 [Active Directory] 탭을클릭한다음 [Active Directory 인증활성화 ] 를선택합니다. 4 [ 추가 ] 를클릭하여 Active Directory 연결을설정합니다. 그런다음 [ 확인 ] 을클릭합니다. 5 이도메인을기본값으로사용하려는경우선택합니다. 도메인이름을입력합니다. 시스템에로그온하는경우이도메인이름을사용자이름으로사용합니다. 사용자이름을사용하여로그온하는경우기본값으로지정된도메인이사용됩니다. 6 Active Directory 에사용되는 IP 주소를추가합니다. 관리서버의주소인경우선택합니다. 그렇지않은경우선택취소합니다. 입력하는주소중하나에서관리자서버가실행되는호스트를확인해야합니다. 필요한경우 [ 포트 ] 및 [LDAP 포트 ] 기본값을변경합니다. 데이터에대해 TLS 암호화프로토콜을사용하려면선택합니다. LDAP 인증구성 McAfee ESM이 LDAP 서버에사용자를인증하는방법을정의합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 시스템속성 ] 을선택합니다. 2 [ 로그인보안 ] 을클릭합니다. 3 [LDAP] 탭을클릭합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 27

3 보안사용자설정로그온보안구성 4 LDAP 인증을활성화합니다. 활성화되면시스템관리자를제외한모든사용자가 LDAP 서버로인증을받아야합니다. LDAP 가비활성화된경우 LDAP 인증에대해설정된사용자는시스템에액세스할수없습니다. LDAP 서버의 IP 주소를입력합니다. 필요한경우서버포트를변경합니다. 암호화프로토콜 (TLS 또는 SSL) 사용여부를선택합니다. 자격증명에대해확인할도메인을입력합니다. 사용자그룹정보가저장되는특성입니다. 일반적으로이필드는변경할필요가없습니다. 사용자또는그룹정보를수집하는데사용할필터를선택합니다. 검색결과에서특정그룹또는사용자를포함하거나제외할수있습니다. 28 McAfee Enterprise Security Manager 11.1.x 제품안내서

4 데이터 4 수집 목차 데이터수집작동방법집합작동방법 데이터수집작동방법 McAfee Event Receiver 는이벤트및플로데이터를수집하여여러공급업체에서관리할수있는단일보기로정규화할수있습니다. 수집된데이터유형은다음과같습니다. 이벤트 - 시스템규칙의결과로장치가기록한활동입니다. 플로 - IP 주소간의연결레코드로, 적어도하나는 HOME_NET 에있습니다. 로그 - 장치에발생하는이벤트레코드입니다. 이벤트및플로에는소스및대상 IP 주소, 포트, MAC(Media Access Control) 주소, 프로토콜및첫번째시간과마지막시간이있습니다. 하지만이벤트와플로사이에는여러가지차이가있습니다. 플로는비정상적또는악의적인트래픽을나타내지않으므로플로는이벤트보다더일반적입니다. 이벤트는규칙시그니처 (SigID) 와연결되고플로는그렇지않습니다. 플로는경보, 삭제및거부와같은이벤트액션과연결되어있지않습니다. 플로에는소스및대상바이트, 소스및대상패킷과같은고유한데이터가있습니다. 소스바이트및패킷은플로의소스에서전송된패킷및바이트수를나타냅니다. 대상바이트및패킷은플로의대상에서전송된패킷및바이트수를나타냅니다. 플로에는방향이있습니다. 인바운드플로는 HOME_NET 외부에서발생합니다. 아웃바운드플로는 HOME_NET 에서발생합니다. 대시보드보기를사용하여시스템에서생성된이벤트및플로를볼수있습니다. 로그는시스템또는각장치의 [ 속성 ] 페이지에서액세스한 [ 시스템로그 ] 또는 [ 장치로그 ] 에나열되어있습니다. 데이터수집설정정의 McAfee ESM 장치에서이벤트, 플로및로그데이터를수집하는방법을정의합니다. 시작하기전에다음권한이있는지확인합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 29

4 데이터수집데이터수집작동방법 [ 정책관리자 ] 및 [ 장치관리 ] 또는 [ 정책관리자 ] 및 [ 사용자지정규칙 ] 이벤트, 플로및로그를자동으로확인하도록선택하거나수동으로확인할수있습니다. 확인하는속도는시스템의활동수준및상태업데이트를수신하려는빈도에따라달라집니다. 또한각정보유형을확인하는장치를지정하고 McAfee ESM 에서관리하는장치의비활성임계값설정을지정할수있습니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. McAfee Application Data Monitor 및 McAfee Event Receiver 장치는이벤트, 플로및로그를수집합니다. [ 이벤트, 플로및로그 ] 를클릭합니다. McAfee ACE 및 McAfee Database Event Monitor 장치는이벤트및로그를수집합니다. [ 이벤트및로그 ] 를클릭합니다. McAfee Enterprise Log Manager 및 McAfee Enterprise Log Search 장치는로그를수집합니다. [ 로그 ] 를클릭합니다. 3 장치별로다른데이터수집설정을정의합니다. McAfee ESM 이규칙서버에서규칙을자동으로다운로드하는경우다운로드한규칙을장치에자동으로롤아웃하려면선택합니다. 이벤트, 플로또는로그를자동으로확인하거나 [ 가져오기 ] 를클릭하여지금확인합니다. McAfee ESM 이각장치에서데이터를꺼내고각장치가 McAfee Enterprise Log Manager 로데이터를전송하는일일시간을예약합니다. 사용량이많은시간에네트워크사용을피하는시간을예약하여다른응용프로그램이대역폭을사용할수있도록합니다. 이벤트, 플로및로그데이터수집을예약하면데이터가손실되고데이터배달이지연될수있습니다. 취약성평가소스데이터와일치하는이벤트, 취약성이벤트가되는이벤트및로컬 McAfee ESM 에서경보를생성하는이벤트를추가하려면선택합니다. [ 정책편집기 ] 속성은이러한각이벤트에대해동일하며변경될수없습니다 ( 예 : 심각도는항상 100). 시스템이장치의이벤트또는플로를마지막으로검색한시간, 프로세스가성공적인지여부및검색된이벤트또는플로수를확인합니다. 검색한마지막이벤트, 문자열또는플로레코드의날짜및시간을표시합니다. 이값을변경하면이벤트, 문자열또는플로를검색하려는날짜및시간을설정할수있습니다. 예를들어 20xx 년 11 월 13 일오전 10 시 30 분을 [ 마지막으로다운로드한이벤트레코드 ] 필드에입력하는경우 [ 적용 ] 을클릭한다음 [ 이벤트가져오기 ] 를클릭하면 McAfee ESM 에서해당시간부터날짜까지이장치의모든이벤트를검색합니다. 해당장치가지정된기간동안이벤트또는플로를수신하지않을때시스템이사용자에게통보하도록장치비활성임계값을정의합니다. 설정한임계값에도달하면노란색상태플래그가시스템탐색트리의장치노드옆에표시됩니다. 각장치에대한지리적위치및 ASN 데이터의저장여부를정의합니다. McAfee ESM 은소스및대상의지리적위치데이터와 ASN 데이터를수집하여위협의물리적위치를식별합니다. 지리적위치는인터넷에연결된컴퓨터의지리적위치를제공합니다. 자치시스템번호 (ASN) 는자치시스템에할당되어인터넷에서각네트워크를고유하게식별하는번호입니다. 30 McAfee Enterprise Security Manager 11.1.x 제품안내서

데이터수집데이터수집작동방법 4 이벤트전달구성 이벤트전달을사용하여 Syslog 또는 SNMP 를통해 ( 활성화된경우 ) McAfee ESM 의이벤트를다른장치또는기능으로보낼수있습니다. 대상을정의하고패킷을포함시키고 IP 주소데이터를조작합니다. 이벤트데이터를전달하기전에필터링할수있습니다. 사용중인이벤트전달대상수는 McAfee ESM 에서검색하는이벤트의비율및수와함께전체 McAfee ESM 성능에영향을미칠수있습니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 McAfee ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 이벤트전달 ] 을클릭하고이벤트데이터를 syslog 또는 SNMP 서버로전달하도록대상을구성합니다. UDP 또는 TCP 전송프로토콜을선택합니다. UDP 는 syslog 의기반이되는프로토콜표준입니다. TCP 를통한 syslog 를사용하여전송된패킷은기능, 심각도및메시지를포함하여 UDP 대응과정확하게동일한형식이지정됩니다. 유일한예외는메시지끝에추가되는새줄구분문자 (ASCII 문자코드 10) 입니다. 연결없이작동하는프로토콜인 UDP 와달리 TCP 연결은 McAfee ESM 과전달된이벤트를수신하는서버사이에설정되어야합니다. 연결을설정하거나삭제할수없는경우 McAfee ESM 은마지막으로성공적으로전달된이벤트를추적합니다. 그런다음연결다시설정을시도합니다. 다시설정되면 McAfee ESM 은중단된지점의전달이벤트를선택합니다. UDP 를선택하면 [ 모드 ] 필드에서 SSH 나 TLS 를선택할수없습니다. syslog 이벤트전달의헤더에대한시간형식을선택합니다. [ 레거시 ] 를선택하면형식은 GMT 입니다. [ 표준 ] 을선택하면이벤트전달로그를보낼때사용할표준시간대를선택할수있습니다. 정책에서패킷을복사하는경우 Base 64 인코딩에서 syslog 메시지끝에패킷정보 ( 가능한경우 ) 를전달하도록 [ 패킷보내기 ] 옵션을선택합니다. 메시지에대한보안모드를선택합니다. SSH 를선택한경우나머지정보를입력합니다. TCP( 프로토콜 ) 를통한 syslog 를사용하도록선택한경우 SSH 또는 TLS 를사용하는 TCP 연결을설정할지를선택합니다. syslog 는암호화되지않은프로토콜이므로 SSH 또는 TLS 를사용하면이벤트전달메시지가다른당사자에의해검사되지않습니다. FIPS 모드를사용하는경우 TLS 를사용하여로그데이터를전달할수있습니다. SSH 연결의 McAfee ESM 측에서사용할로컬릴레이포트를입력합니다. SSH 서버가 SSH 연결의다른측을수신하는포트를입력합니다. SSH 연결을설정하는 SSH 사용자이름을입력합니다. 공개 DSA 인증키를입력합니다. 이키는 SSH 인증에사용되며 SSH 서버를실행하는시스템에서 authorized_keys 파일또는그와동등한파일에추가됩니다. 이벤트전달필터설정 McAfee ESM 의 syslog 또는 SNMP 서버에전달된이벤트데이터를제한합니다. 시작하기전에필터에서장치에액세스할수있는권한이있는지확인합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 McAfee ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 31

4 데이터수집데이터수집작동방법 3 [ 이벤트전달 ] 을클릭합니다. 4 [ 추가 ] 를클릭한다음 [ 이벤트필터 ] 를클릭합니다. 5 필터필드에입력합니다 : 특정장치로필터링하려면을클릭하고장치를선택합니다. 대상또는소스 IP 주소별로필터링하려면단일 IP 주소 (161.122.15.13) 또는 IP 주소범위 (192.168.0.0/16) 를입력합니다. 대상포트별로필터링합니다 (1 개포트허용 ). 프로토콜별로필터링합니다 (1 개프로토콜허용 ). 장치유형별로필터링합니다 ( 최대 10 개장치유형 ). 정규화된 ID 로필터링합니다. 이벤트심각도로필터링하려면 [ 크거나같음 ] 과 0 에서 100 사이의심각도숫자를선택합니다. 이벤트전달형식 다음은이벤트전달형식및형식이전달될때패킷내에포함된정보입니다. 형식 Syslog( 감사로그 ) Syslog( 일반이벤트형식 ) Syslog( 표준이벤트형식 ) 목차 시간 (epoch 이후의초 ), 상태플래그, 사용자이름, 로그범주이름 (8.2.0 의경우비어있음, 8.3.0+ 의경우채워짐 ), 장치그룹이름, 장치이름, 로그메시지. 현재날짜및시간, McAfee ESM IP 주소, CEF 버전 0, 공급업체 = McAfee, 제품 = /etc/mcafee Nitro/ ipsmodel 의 McAfee ESM 모델, 버전 = /etc/buildstamp 의 McAfee ESM 버전, 시그니처 ID, 시그니처메시지, 심각도 (0-10), 이름 / 값쌍, devicetranslatedaddress <#>YYYY-MM-DDTHH:MM:SS.S [IP 주소 ] McAfee_SIEM: { "source": { "id": 144120685667549200, "name": "McAfee Email Gateway (ASP)", "subnet": "::ffff: 10.75.126.2/128" }, "fields": { "packet": { "encoding": "BASE64" } }, "data": { "unique_id": 1, "alert_id": 1, "thirdpartytype": 49, "sig": { "id": 5000012, "name": "Random String Custom Type" }, "norm_sig": { "id": 1343225856, "name": "Misc Application Event" }, "action": "5", "src_ip": "65.254.48.200", "dst_ip": "0.0.0.0", "src_port": 38129, "dst_port": 0, "protocol": "n/a", "src_mac": "00:00:00:00:00:00", "dst_mac": "00:00:00:00:00:00", "src_asn_geo": 1423146310554370000, "firsttime": "2014-05-09T20:43:30Z", "lasttime": "2014-05-09T20:43:30Z", "writetime": "2014-05-09T20:44:01Z", "src_guid": "", "dst_guid": "", "total_severity": 25, "severity": 25, "eventcount": 1, "flow": "0", "vlan": "0", "sequence": 0, "trusted": 2, "session_id": 0, "compression_level": 10, "reviewed": 0, "a1_ran_string_cf1": "This is data for custom field 1", "packet": "PDE0PjA5MDUyMDE0IDIwOjE4OjQ0fDIxfDY1LjI1NC40OC4yMDAtMzgxMjl8MXwxMDJ8U3 BhbSBNZXNzYWdlIHR5cGU6IFRydXN0ZWRTb3VyY2UgU2lnbmF0dXJlIENvbmZpZGVuY2 UgPSBISUdILiBDb25uZWN0aW9uOiA2NS4yNTQuNDguMjAwLTM4MTI5KElQLVBvcnQpfF RoaXMgaXMgZGF0YSBm b3igy3vzdg9tigzpzwxkidf8w10a" 표준이벤트형식으로이벤트전달 SEF( 표준이벤트형식 ) 는일반이벤트데이터를나타내기위한 JSON(Java Script Object Notation) 기반이벤트형식입니다. SEF 형식은이벤트를 McAfee ESM 에서다른 McAfee ESM 의수신기로, McAfee ESM 에서타사제품으로전달할수있습니다. 또한데이터소스를만들때 SEF 를데이터형식으로선택하면 SEF 를사용하여타사제품에서수신기로이벤트를보낼수있습니다. 하나의 McAfee ESM 에서다른 McAfee ESM 으로 SEF 를사용하여이벤트전달을설정하는경우다음단계를완료합니다. 1 이벤트를전달하는 McAfee ESM 에서데이터소스, 사용자지정유형및사용자지정규칙을내보냅니다. 2 이벤트를전달하는수신기가있는 McAfee ESM 에서, 내보낸데이터소스, 사용자지정유형및사용자지정규칙을가져옵니다. 32 McAfee Enterprise Security Manager 11.1.x 제품안내서

데이터수집집합작동방법 4 3 다른 McAfee ESM 으로부터이벤트를수신하는 McAfee ESM 에서 McAfee ESM 데이터소스를추가합니다. 4 송신 McAfee ESM 에서다음과같이이벤트전달대상을추가합니다. McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 시스템탐색트리에서 McAfee ESM을선택한다음 [ 속성 ] 아이콘을클릭합니다. [ 이벤트전달 ] 을클릭한다음 [ 추가 ] 를클릭합니다. [ 이벤트전달대상추가 ] 페이지의 [ 형식 ] 필드에서 [syslog( 표준이벤트형식 )] 를선택한다음, 전달하는 McAfee ESM 의정보로나머지필드를입력하고 [ 확인 ] 을클릭합니다. 이벤트및플로가져오기 1 보기도구모음에서 [ 새로고침 ] [ 이벤트및플로가져오기 ] 를선택합니다. 2 상단표에서검색할이벤트및플로를선택한다음 [ 시작 ] 을클릭합니다. 검색상태는 [ 상태 ] 열에반영됩니다. 상단표에서선택한장치에대한상세정보가하단표에표시됩니다. 3 다운로드가완료되면이이벤트및플로를표시할보기를선택한다음보기도구모음에서 [ 새로고침 ] 을클릭합니다. 집합작동방법 이벤트또는플로는잠재적으로수천번생성될수있습니다. 수천개의동일한이벤트를살펴보는대신, 발생한횟수를나타내는수와함께이들을단일이벤트또는플로로볼수있습니다. 집합을사용하면장치와 McAfee ESM 의디스크공간을모두사용하여각패킷을저장할필요가없어지기때문에보다효율적입니다. 이기능은 [ 정책편집기 ] 에서집합이활성화된규칙에만적용됩니다. 소스 IP 및대상 IP 주소 값또는집계된값이 설정되지않은 소스 IP 주소및대상 IP 주소는모든결과집합에서 "0.0.0.0" 대신 "::" 으로나타납니다. 예 : ::ffff:10.0.12.7 은 0:0:0:0:0:FFFF:A00:C07 로삽입됩니다 (A00:C07 은 10.0.12.7 임 ). ::0000:10.0.12.7 은 10.0.12.7 이됩니다. 집계이벤트및플로 집계이벤트및플로는처음, 마지막및총필드를사용하여집계의양및시간을나타냅니다. 예를들어동일한이벤트가정오이후처음 10 분동안 30 번발생하면 [ 처음 ] 은 12:00( 이벤트의첫번째인스턴스시간 ) [ 마지막 ] 은 12:10( 이벤트의마지막인스턴스시간 ) [ 합계 ] 는 30 이됩니다. 장치에대한기본이벤트또는플로집계설정을전체적으로변경할수있습니다. 이벤트의경우개별규칙의장치설정에대한예외를추가할수있습니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 33

4 데이터수집집합작동방법 집계에서이벤트, 플로및로그검색설정에따라레코드를검색합니다. 자동검색에대해설정된경우 McAfee ESM 에서처음으로레코드를꺼낼때까지만장치가레코드를압축합니다. 수동검색에대해설정된경우최대 24 시간또는새레코드를수동으로꺼낼때까지중빠른시간까지레코드가압축됩니다. 압축시간이 24 시간제한에도달하면새레코드를꺼내고해당새레코드에서압축이시작됩니다. 이벤트또는플로집합설정변경 이벤트및플로집계는기본적으로활성화되어있으며 [ 중간고위험 ] 으로설정되어있습니다. 필요에따라설정을변경할수있습니다. 각설정의성능에대한설명은 [ 집계 ] 페이지에있습니다. 시작하기전에 이러한설정을변경하려면 [ 정책관리자 ] 및 [ 장치관리 ] 또는 [ 정책관리자 ] 및 [ 사용자지정규칙 ] 권한이있어야합니다. 이벤트집계는 ADM 장치, 수신기및수신기의플로집계에대해서만사용할수있습니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 이벤트집합 ] 또는 [ 플로집합 ] 을클릭합니다. 4 설정을정의한다음 [ 확인 ] 을클릭합니다. 이벤트집합설정에예외를추가합니다. 집합설정이장치에서생성된모든이벤트에적용됩니다. 일반설정이해당규칙에서생성되는이벤트에적용되지않는경우개별규칙에대한예외를만들수있습니다. 1 보기창에서예외를추가하려는규칙에서생성된이벤트를선택합니다. 2 [ 메뉴 ] 아이콘을클릭한다음 [ 집합설정수정 ] 을선택합니다. 3 [ 필드 2] 및 [ 필드 3] 드롭다운목록에서집계할필드유형을선택합니다. [ 필드 2] 및 [ 필드 3] 에서선택하는필드는유형이달라야하며그렇지않은경우오류가발생합니다. 이러한필드유형을선택하는경우각집합수준에대한설명이선택사항을반영하도록변경됩니다. 각수준에대한시간제한은장치에대해정의하는이벤트집합설정에따라다릅니다. 4 [ 확인 ] 을클릭하여설정을저장한다음 [ 예 ] 를클릭하여계속진행합니다. 5 변경사항을롤아웃하지않으려는경우장치를선택취소합니다. 6 변경사항을선택한장치로롤아웃하려면 [ 확인 ] 을클릭합니다. 변경사항이롤아웃되면 [ 상태 ] 열에업데이트상태가표시됩니다. 집계설정변경 집계는기본이벤트및집계된이벤트에일치하는필드가있기때문에설정됩니다. 장치에서생성된모든이벤트에대해집계유형을선택할수있습니다. 그런다음개별규칙의집계설정을변경할수있습니다. 34 McAfee Enterprise Security Manager 11.1.x 제품안내서

데이터수집집합작동방법 4 1 [ 정책편집기 ] 의 [ 규칙유형 ] 창에서규칙유형을선택합니다. 2 집계설정을변경하려는규칙을선택합니다. 3 도구모음에서 [ ] 을클릭하고 [ 집합설정수정 ] 을선택합니다. 4 [ 필드 2] 및 [ 필드 3] 드롭다운목록에서집계할필드유형을선택합니다. 선택하는필드는다른유형또는오류결과여야합니다. 수준 1, 수준 2 및수준 3 집계에대한설명은선택항목에따라변경됩니다. 5 [ 확인 ] 을클릭하여설정을저장합니다. 6 장치가집계하는방식에영향을주는사항을변경하는경우변경사항을롤아웃할지묻는메시지가표시됩니다. 다음을수행합니다. a [ 예 ] 를클릭합니다. [ 집합예외롤아웃 ] 페이지에서이변경사항으로인해영향을받는장치의상태를표시합니다. 오래된모든장치가선택됩니다. b 필요한경우변경사항을적용하지않으려는장치의확인표시를선택취소합니다. c 변경사항을롤아웃하려면 [ 확인 ] 을클릭합니다. 변경사항이롤아웃되면 [ 상태 ] 열에업데이트상태가반영됩니다. 이벤트집계예외보기 시스템에추가된이벤트집합예외목록을볼수있습니다. 또한예외를편집하거나제거할수도있습니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 이벤트집합 ] 을클릭한다음화면맨아래에서 [ 보기 ] 를클릭합니다. 4 필요한사항을변경한다음 [ 닫기 ] 를클릭합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 35

4 데이터수집집합작동방법 36 McAfee Enterprise Security Manager 11.1.x 제품안내서

5 데이터 5 보강 데이터보강작동방법 이메일주소, 전화번호또는호스트위치정보와같이원래이벤트에없는컨텍스트가포함된업스트림데이터소스로전송된이벤트를보강합니다. 이보강된데이터는구문분석된이벤트의일부가되어원래필드와마찬가지로이벤트와함께저장됩니다. 데이터베이스에연결하고해당데이터베이스의테이블에서하나또는두개의열에액세스하는방법을정의하여데이터보강소스를설정합니다. 그런다음데이터를받는장치와해당이벤트및플로데이터를보강하는방법을정의합니다. 데이터보강소스를편집하거나제거하고쿼리를실행할수도있습니다. McAfee ESM 에서트리거하는이벤트는보강되지않습니다. 데이터취득은장치가아닌 McAfee ESM 에서발생합니다. Hadoop HBase 의관계형데이터소스에대한커넥터는보강을위해소스의키값쌍을사용합니다. 이벤트를보강하기위해 HBase 의 ID 매핑을정기적으로수신기에가져올수있습니다. 데이터보강소스구성 McAfee ESM 장치는데이터보강소스에서정보를수신할수있습니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 시스템속성 ] 을선택합니다. 2 [ 데이터보강 ] [ 추가 ] 를클릭합니다. [ 데이터보강마법사 ] 의탭및필드는선택하는보강유형에따라다릅니다. 3 [ 기본 ] 탭에서소스정보를식별합니다. 4 [ 소스 ] 탭 : CIFS, NFS, FTP, SFTP 및 SCP 소스유형만보강을위해외부파일을사용할수있습니다. 다른소스유형을사용하려면데이터베이스또는정규표현식에대한쿼리를작성해야합니다. 각항목이별도의줄에표시되어야합니다. 데이터보강을위해꺼낼파일은 LookupValue=EnrichmentValue 형식이어야합니다. 단일열보강에는조회값항목만있어야합니다. 2 열로된보강의경우보강값에서조회값을등호 (=) 를사용하여구분합니다. 예를들어호스트이름에 IP 주소를사용하는파일은다음과같습니다. 10.5.2.3=New York 10.5.2.4=Houston 소스데이터베이스드라이버를입력합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 37

5 데이터보강데이터보강작동방법 기본인증은 [ 없음 ] 입니다. [ 기본 ] 이선택되고로그온이필요한경우웹사이트에대한사용자이름및암호를입력합니다. https 웹사이트의경우 [ 잘못된인증서무시 ] 를선택하여잘못된 SSL 인증서를무시합니다. Apache Hadoop Job Tracker Host 주소또는 IP 주소를입력합니다 ( 필수는아님 ). 비어있는경우시스템이노드이름호스트를사용합니다. Job Tracker Host 가수신하는포트를입력합니다 ( 필수는아님 ). 비어있는경우시스템이노드이름호스트를사용합니다. 기본 [ 메서드 ] 는 [GET] 입니다. [POST] 를선택한경우검색하려는콘텐츠가포함된웹페이지로이동하는데필요할수도있는 POST 콘텐츠또는인수입니다. 파일에대한디렉터리를선택합니다. Apache Hadoop 노드이름호스트주소또는 IP 주소를입력합니다. 프로토콜을포함하지마십시오. 노드이름호스트가수신하는포트를입력합니다 ( 필수는아님 ). 비어있는경우시스템이노드이름호스트를사용합니다. 데이터베이스경로를입력합니다. [ 유형 ] 필드에서 [FTP] 를선택하는경우경로가홈디렉터리에대해상대적입니다. FTP 서버에서절대경로를지정하려면경로처음에추가슬래시 (/) 를삽입합니다. 예를들어 //var/local/ path 입니다. 데이터베이스에액세스할수있는사용자를식별합니다. LDAP 의경우공백없이정식도메인이름을입력합니다. 예를들어 uid=bob,ou=users,dc=example,dc=com 또는 administrator@idahoqa.mcafee.com 입니다. 5 [ 구문분석 ] 탭 : 소스유형으로 HTTP/HTTPS 를선택한경우 [ 소스 ] 탭의 [URL] 필드에입력한 URL 에대한처음 200 줄의 HTML 소스코드가표시됩니다. 단지웹사이트의미리보기이지만일치시킬정규표현식을충분히쓸수있습니다. 데이터보강소스의예약된업데이트또는 [ 지금실행 ] 은정규표현식검색과일치하는모든항목을포함합니다. 이기능은 RE2 구문정규표현식 ( 예 : d{1,3}. d{1,3}. d{1,3}. d{1,3}) 을지원합니다. 일반적으로인터넷사이트에는검색할필요가없는헤더코드가있습니다. 검색이헤더데이터를포함하지않도록건너뛰게하려는사이트상단의줄수를지정합니다. 관심있는값을구분하는값을입력합니다. 이필드의기본값은 \n 이며줄바꿈이구분기호라는것을나타냅니다. 가장일반적으로사용되는다른구분기호는쉼표입니다. 정규표현식검색의결과에서원하지않는값을제거하는정규표현식을입력합니다. ( 필수 ) 일치항목을찾는데사용되는논리를입력하고사이트에서값을추출합니다. 가장일반적인사용사례는사이트에나열된알려진악성 IP 주소또는 MD5 합계에서일치할표현식을만드는것입니다. 정규표현식에서두개의일치그룹을제공하면각정규식일치결과를 [ 조회값 ] 또는 [ 보강값 ] 에매핑할수있습니다. 조회값또는보강값을사용합니다. 더많은값을추가하려는 McAfee ESM 에서수집한이벤트에 [ 조회값 ] 을사용합니다. [ 대상 ] 탭의 [ 조회필드 ] 로매핑합니다. 조회값에서일치시킬소스이벤트로보강하거나삽입할값에 [ 보강값 ] 을사용합니다. [ 대상 ] 탭의 [ 보강필드 ] 로매핑합니다. 6 [ 쿼리 ] 탭에서 Hadoop HBase(REST), Hive, LDAP, MSSQL, MySQL, Oracle 또는 PIG 유형에대한쿼리를설정합니다. 7 [ 점수 ] 탭에서단일열쿼리에서반환되는각값에대한점수를설정합니다. 점수를지정하려는소스및대상필드를선택한다음 [ 쿼리실행 ] 을클릭합니다. 해당값에위험점수를설정하기위해사용할수있는반환된값및숫자스텝퍼를표시합니다. 8 [ 대상 ] 탭에서이데이터보강소스가채우는장치에대한필드매핑의장치및규칙을봅니다. 38 McAfee Enterprise Security Manager 11.1.x 제품안내서

데이터보강데이터보강작동방법 5 9 [ 마침 ] 을클릭한다음 [ 쓰기 ] 를클릭합니다. 10 보강하려는장치를선택하고해당장치에대한필드매핑규칙을만듭니다. 그런다음 [ 확인 ] 을클릭합니다. 정적값사용을선택할경우보강값을입력해야합니다. Hadoop HBase 이벤트보강 Hadoop HBase를사용하여이벤트를보강하도록 McAfee Event Receiver를통해 HBase ID 매핑을꺼냅니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 데이터보강 ] 을클릭합니다. 2 [ 데이터보강마법사 ] 의 [ 기본 ] 탭에서필드를입력한다음 [ 소스 ] 탭을클릭합니다. 3 [ 유형 ] 필드에서 [Hadoop HBase(REST)] 를선택한다음호스트이름, 포트, 테이블이름을입력합니다. 4 [ 쿼리 ] 탭에서조회열및쿼리정보를입력합니다. a [ 조회열 ] 의형식을패밀리열 : 이름열로지정합니다. b 쿼리를스캐너필터로채웁니다. 여기서값은 Base64로인코딩되어있습니다. 예를들면다음과같습니다. <Scanner batch="1024"> <filter> { type": "SingleColumnValueFilter", op": "EQUAL", family": " ZW1wbG95ZWVJbmZv", qualifier": "dxnlcm5hbwu=", latestversion": true, comparator": { type": "BinaryComparator", value": "c2nhcgvnb2f0" } } </filter> </Scanner> 5 [ 점수 ] 및 [ 대상 ] 탭을완료합니다. Hadoop Pig 를사용하여이벤트보강 Apache Pig 쿼리결과를사용하여 Hadoop Pig 이벤트를보강합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택합니다. 2 [ 데이터보강 ] 을클릭한다음 [ 추가 ] 를클릭합니다. 3 [ 기본 ] 탭에서필드를입력한다음 [ 소스 ] 탭을클릭합니다. [ 유형 ] 필드에서 [Hadoop Pig] 를선택하고 Namenode 호스트, Namenode 포트, Jobtracker 호스트및 Jobtracker 포트를입력합니다. Jobtracker 정보는필요하지않습니다. Jobtracker 정보가비어있는경우 NodeName 호스트및포트가기본값으로사용됩니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 39

5 데이터보강데이터보강작동방법 4 [ 쿼리 ] 탭에서 [ 기본 ] 모드를선택하고다음정보를입력합니다. a [ 유형 ] 에서 [ 텍스트파일 ] 을선택하고 [ 소스 ] 필드에파일경로를입력합니다 ( 예 : /user/default/file.csv). 또는 [ 하이브 DB] 를선택하고 HCatalog 테이블을입력합니다 ( 예 : sample_07). b [ 열 ] 에서열데이터를보강하는방법을지정합니다. 예를들어텍스트파일에 SSN, 이름, 성, 주소및전화번호가들어있는직원정보가포함된경우 [ 열 ] 필드에 emp_name:2, emp_phone:5 텍스트를입력합니다. 하이브 DB 의경우 HCatalog 테이블에있는열이름을사용합니다. c d [ 필터 ] 에서 Apache Pig 에내장된표현식을사용하여데이터를필터링할수있습니다. Apache Pig 설명서를참조하십시오. 위의열값을정의한경우해당열데이터를그룹화하고집계할수있습니다. 소스및열정보가필요합니다. 다른필드는비어있어도괜찮습니다. 집계함수를사용하려면그룹을지정해야합니다. 5 [ 쿼리 ] 탭에서 [ 고급 ] 모드를선택하고 Apache Pig 스크립트를입력합니다. 6 [ 점수 ] 탭에서단일열쿼리로부터반환된각값에대한점수를설정합니다. 7 [ 대상 ] 탭에서보강을적용할장치를선택합니다. Active Directory 로 Windows 이벤트보강 Microsoft Active Directory를사용하여전체사용자표시이름으로 Windows 이벤트를채웁니다. 시작하기전에시스템관리자권한이있는지확인합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택합니다. 2 [ 데이터보강 ] 을클릭한다음 [ 추가 ] 를클릭합니다. 3 [ 기본 ] 탭에서설명적인 [ 보강이름 ] 을 Full_Name_From_User_ID의형식으로입력합니다. 4 [ 조회유형 ] 과 [ 보강유형 ] 을모두 [ 문자열 ] 로설정합니다. 5 Active Directory가더자주업데이트되지않는한 [ 꺼내기빈도 ] 를 [ 매일 ] 로설정합니다. 6 [ 다음 ] 또는 [ 소스 ] 탭을클릭합니다. a [ 유형 ] 필드에서 [LDAP] 를선택합니다. b IP 주소, 사용자이름및암호를입력합니다. 7 [ 다음 ] 또는 [ 쿼리 ] 탭을클릭합니다. a [ 조회특성 ] 필드에 samaccountname을입력합니다. b [ 보강특성 ] 필드에표시이름을입력합니다. c [ 쿼리 ] 에 (objectclass=person) 을입력하여사람으로분류된 Active Directory의모든개체목록을반환합니다. d 쿼리를테스트하면실제항목수에관계없이최대 5개의값을반환합니다. 8 [ 다음 ] 또는 [ 대상 ] 탭을클릭합니다. a [ 추가 ] 를클릭합니다. b Microsoft Windows 데이터소스를선택합니다. 40 McAfee Enterprise Security Manager 11.1.x 제품안내서

데이터보강데이터보강작동방법 5 c [ 조회필드 ] 에서 [ 소스사용자 ] 필드를선택합니다. 이필드는이벤트에있는값으로조회에대한인덱스로사용됩니다. d [ 보강필드 ] 를선택합니다. 여기서보강값은사용자 _ 별명또는연락처 _ 이름형식으로작성됩니다. 9 [ 마침 ] 을클릭하여저장합니다. 10 보강설정을장치에쓴다음 [ 지금실행 ] 을클릭하여 [ 매일트리거시간 ] 값이발생할때까지데이터소스에서보강값을검색합니다. [ 전체이름 ] 이 [Contact_name] 필드에기록됩니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 41

5 데이터보강데이터보강작동방법 42 McAfee Enterprise Security Manager 11.1.x 제품안내서

6 데이터 6 정규화 정규화작동방법 규칙이름은공급업체에따라다를수있으므로이벤트정보를수집하기가어렵습니다. McAfee ESM 은사용자가이벤트정보를구성할수있도록정규화된규칙 ID 목록을지속적으로컴파일합니다. 정규화된이벤트 ID 를사용하여쿼리결과를원형도표, 막대도표및목록또는필터대시보드보기로볼수있습니다. 정규화 ID 정규화된 ID 를사용하여다음을수행합니다. 단일 ID 를사용하여필터링 Ctrl 또는 Shift 키를사용하여한번에여러폴더또는 ID 로필터링하여선택합니다. 첫번째수준의폴더필터링 마스크 (ID 끝에있는첫번째수준폴더의경우 /5) 는 McAfee ESM 이선택된하위폴더 ID 로이벤트를필터링한다는것을의미합니다. 두번째또는세번째수준의폴더필터링 마스크 (ID 끝에있는두번째수준폴더의경우 /12, 세번째수준폴더의경우 /18) 는 McAfee ESM 이선택된하위폴더 ID 로이벤트를필터링한다는것을의미합니다. 네번째수준에는마스크가없습니다. 문자열정규화 문자열정규화를사용하여다음을수행합니다. 문자열값을별칭값과연결 정규화된문자열값의.csv 파일가져오기또는내보내기 문자열및해당별칭별로쿼리필터링 예를들어사용자이름문자열 John Doe 는기본문자열이 John Doe 인문자열정규화파일을다음별칭으로정의합니다. DoeJohn JDoe john.doe@gmail.com JohnD 그런다음 John Doe 를사용자별명으로사용하여쿼리를만들고문자열정규화로필터링할수있습니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 43

6 데이터정규화정규화작동방법 결과보기에서 John Doe 및별칭과관련된모든이벤트를표시하고소스 IP 가일치하지만사용자이름은일치하지않는로그온불일치를확인할수있습니다. 가져올문자열정규화파일만들기 별칭.csv 파일을만드는경우필터로사용할수있도록 [ 문자열정규화 ] 페이지에서해당파일을가져올수있습니다. 1 텍스트또는스프레드시트프로그램에서다음형식을사용하여별칭을입력합니다. 명령, 기본문자열, 별칭가능한명령은 add( 추가 ), modify( 수정 ) 및 delete( 삭제 ) 입니다. 2.CSV 파일로저장한다음파일을가져옵니다. 문자열정규화파일관리 문자열정규화파일을사용하려면먼저 McAfee ESM에추가해야합니다. 1 [ 필터 ] 창에서 [ 문자열정규화관리자실행 ] 아이콘을클릭합니다. 2 사용할수있는액션을수행한다음 [ 닫기 ] 를클릭합니다. 44 McAfee Enterprise Security Manager 11.1.x 제품안내서

7 7 데이터 구문분석 목차 고급 syslog 분석기작동방법 ASP( 고급 Syslog 분석기 ) 규칙이작동하는방법 고급 syslog 분석기작동방법 ASP( 고급 Syslog 분석기 ) 는사용자정의규칙에따라 syslog 메시지의데이터를분석합니다. 규칙을정의하여메시지를인식하는방법및시그니처 ID, IP 주소, 포트, 사용자이름, 액션등의메시지에이벤트데이터가상주하는위치를 ASP 에알립니다. syslog 장치가식별되지않거나소스별 pparser 가메시지를올바르게해석하지않거나수신된이벤트와관련된데이터포인트를완전히해석하지않는경우 ASP 를사용합니다. 또한 ASP 를사용하여 Linux 및 UNIX 서버등복잡한로그소스를정렬할수있습니다. 사용중인 Linux 또는 UNIX 환경에맞게구성된규칙을작성해야합니다. Syslog 를공급업체로선택하여수신기에 ASP 데이터소스를추가합니다. 이을완료했으면장치제조업체의지시에따라 syslog 데이터를수신기의 IP 주소로보내도록 syslog 장치를구성합니다. ASP 소스를추가하는경우이벤트데이터를수집하기전에정책을적용해야합니다. [ 일반 Syslog 지원 ] 을활성화한경우규칙이없는정책을적용하고일반적으로이벤트데이터수집을시작할수있습니다. Linux 및 UNIX 서버를포함한일부데이터소스는수신기가유사한이벤트발생을함께제대로그룹화할수없도록하는균일하지않은많은데이터를생성할수있습니다. 따라서실제로동일한이벤트가단순하게반복되지만다양한 syslog 데이터가수신기로전송되는경우서로다른이벤트가광범위하게나타날수있습니다. ASP 는 Snort 와매우유사한형식을사용합니다. ACTION Protocol Src_ip Src_port -> Dst_ip Dst_port( 키워드 : 옵션 ; 키워드 : 옵션 ;...;) 버전 9.0.0 이상에서리터럴값을 PCRE 하위캡처로연결하려는경우리터럴에공백이나다른문자가포함되어있으면리터럴을개별적으로따옴표에넣고 PCRE 하위캡처참조는따옴표로묶지않은상태로유지합니다. 다음과같이규칙을정의합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 45

7 데이터구문분석고급 syslog 분석기작동방법 섹션필드설명 규칙헤더 규칙헤더에는 Alert 액션과 any any any 형식이포함됩니다. 규칙은다음과같습니다. ALERT any any any -> any any [ 액션 ] 일치가발생할경우이벤트로수행할옵션입니다. ALERT 이벤트를로깅함 DROP 이벤트를로깅하지만전달하지않음 SDROP 이벤트를로깅하거나전달하지않음 PASS 정의된경우전달하지만로깅하지않음 규칙본문 [ 프로토콜 ] 이벤트에서프로토콜을정의한경우프로토콜에따라유효일치를필터링합니다. [ 소스 / 대상 IP] [ 소스 / 대상포트 ] [msg] [content] [procname] [adsid] [sid] 이벤트에서소스나대상 IP 주소를정의한경우해당주소에따라유효일치를필터링합니다. 이벤트에서소스나대상포트를정의한경우해당포트에따라유효일치를필터링합니다. 규칙본문은대부분의일치기준을포함하며데이터를구문분석하고데이터베이스에로깅해야하는방법을정의합니다. 규칙본문의요소는키워드 - 옵션쌍으로정의됩니다. 일부키워드에는다음옵션이없습니다. ( 필수 ) 이규칙에연결할메시지입니다. pcre/setparm 탐지메시지 ( 아래참조 ) 로재정의되지않는한보고용으로 McAfee ESM Thin Client 에표시되는문자열입니다. msg 의첫번째은범주이름과그다음에오는실제메시지입니다 (msg: " 범주규칙메시지 "). ( 선택사항 하나이상 ) content 키워드는규칙세트를통과할때이벤트를사전필터링하는와일드카드가아닌텍스트한정자이며, 공백을포함할수있습니다. 예를들어 content: "search 1"; content "something else" 형식입니다. 많은 UNIX 및 Linux 시스템에서는프로세스이름 ( 및프로세스 ID) 이표준화된 syslog 메시지헤더의일부입니다. procname 키워드를사용하여규칙에서이벤트일치를필터링할수있습니다. Linux 또는 UNIX 서버의두프로세스에유사하거나동일한메시지텍스트가있는이벤트일치를제외하거나필터링하는데사용됩니다. 사용할데이터소스 ID 입니다. 이값은데이터소스편집기의 [ 기본규칙할당 ] 을재정의합니다. 규칙의시그니처 ID 입니다. pcre/setparm 탐지된 sid 로재정의되지않은경우 McAfee ESM Thin Client 에서사용되는일치 ID 입니다. [rev] 규칙교정입니다. 변경사항을추적하는데사용됩니다. [severity] [pcre] 규칙과일치하는이벤트에할당된 1( 거의심각하지않음 ) 에서 100( 가장심각함 ) 사이의값입니다. PCRE 키워드는들어오는이벤트에대한 Perl 호환정규표현식일치입니다. PCRE 는따옴표로구분되며모든 "/" 발생이일반문자로처리됩니다. 괄호안의콘텐츠는 setparm 키워드사용을위해유지됩니다. nocase, nomatch, raw 및 setparm 키워드를사용하여 PCRE 키워드를변경할수있습니다. [nocase] 케이스일치여부에관계없이 PCRE 콘텐츠가일치되도록합니다. [nomatch] PCRE 일치를반전합니다 (Perl 의!~ 와동일 ). [raw] 헤더데이터 ( 기능, 데몬, 날짜, 호스트 /IP, 프로세스이름및프로세스 ID) 를포함한전체 syslog 메시지와 PCRE 를비교합니다. 일반적으로헤더는 PCRE 일치에서사용되지않습니다. [setparm] 두번이상발생할수있습니다. PCRE 의각괄호세트에발생순서대로번호가할당됩니다. 이번호는데이터태그에할당할수있습니다 ( 예 : setparm:username=1). 이필드는첫번째괄호세트에서캡처된텍스트를가져와사용자이름데이터태그에할당합니다. 인식된태그는아래표에나열되어있습니다. 46 McAfee Enterprise Security Manager 11.1.x 제품안내서

데이터구문분석고급 syslog 분석기작동방법 7 태그 설명 * sid 이캡처된매개변수는일치하는규칙의 sid 를재정의합니다. * msg 이캡처된매개변수는일치하는규칙의메시지또는이름을재정의합니다. * action 이캡처된매개변수는타사장치가수행한액션을나타냅니다. * protocol * src_ip 이매개변수는이벤트의기본소스 IP 주소인 syslog 소스의 IP 주소를대체합니다. * src_port * dst_ip * dst_port * src_mac * dst_mac * dst_mac * genid 이매개변수는데이터베이스에저장된대로 sid 를수정하는데사용되며, snort 전처리기의비 McAfee snort 일치에사용됩니다. * url 예약되어있지만아직사용되지않습니다. * src_username 첫번째 / 소스사용자이름입니다. * username src_username 의대체이름입니다. * dst_username 두번째 / 대상사용자이름입니다. * domain * hostname * application * severity 정수여야합니다. * action map 제품의특정액션을 McAfee 액션에매핑할수있습니다. action map 은대 / 소문자를구분합니다. 예 : alert any any any -> any any (msg:"openssh Accepted Password"; content:"accepted password for "; action_map:accepted=8, Blocked=3; pcre:"(accepted) s+password s+for s+ ( S+) s+from s+( d+. d+. d+. d+) s+port s+( d+)"; setparm:action=1; sid:31; rev:1;)). 자세한내용은 " 심각도및액션맵 " 을참조하십시오. * severity map 제품의특정심각도를 McAfee 심각도에매핑할수있습니다. action map 과마찬가지로 severity map 도대 / 소문자를구분합니다. 예 : alert any any any -> any any (msg:"openssh Accepted Password"; content:"accepted password for "; severity_map:high=99, Low=25, 10=99, 1=25; pcre:"(accepted) s+password s+for s+( S+) s+from s+( d+. d+. d+. d+) s +port s+( d+)"; setparm:action=1; sid:31; rev:1;))pri(?: x3d x3a) s*(?:p x5f)?([^ x2c]+). 자세한내용은 " 심각도및액션맵 " 을참조하십시오. McAfee Enterprise Security Manager 11.1.x 제품안내서 47

7 데이터구문분석고급 syslog 분석기작동방법 태그 설명 * var setparms 를사용하는다른방법입니다. 유용한사용방법은여러 PCRE 의여러캡처에서하나의값을만드는것입니다. 캡처가여러개인하나의큰 PCRE 가아니라문자열의작은부분만캡처하는둘이상의 PCRE 를만들수있습니다. 다음은사용자이름, 도메인을캡처하고이메일주소를만들어 objectname 필드에저장하는예입니다. * sessionid 정수입니다. 구문 = var:field=${pcre:capture} PCRE = 실제 PCRE 가아니라 pcre 의수입니다. 규칙에두개의 PCRE 가있는경우 PCRE 는 1 또는 2 입니다. Capture = 실제캡처가아니라수 ( 첫번째, 두번째또는세번째캡처 [1,2,3]) 입니다. 샘플메시지 : A man named Jim works for McAfee. PCRE: (Jim).*?(McAfee) 규칙 : alert any any any -> any any (msg:"var User Jim"; content:"jim"; pcre:"(jim)"; pcre:"(mcafee)"; var:src_username=${1:1}; var:domain=${2:1}; var:objectname=${1:1}@ ${2:1}.com raw; classtype:unknown; adsid:190; sev:25; sid:610061000; rev:1; normid: 1209008128; gensys:t;) 매핑된소스사용자 : Jim 매핑된도메인 : McAfee * commandname 문자열값입니다. * objectname 문자열값입니다. 매핑된 objectname: Jim@McAfee.com * event_action 이태그는기본액션을설정하는데사용됩니다. event_action 과 action_map 을동일한규칙에사용할수없습니다. 예를들어 Successful Login 에대한이벤트가있는경우 event_action 태그를사용하고 action 기본값을 success 로설정할수있습니다 ( 예 : event_action:8;). 48 McAfee Enterprise Security Manager 11.1.x 제품안내서

데이터구문분석고급 syslog 분석기작동방법 7 태그 설명 * firsttime_fmt 첫번째이벤트시간을설정하는데사용됩니다. 형식목록을참조하십시오. * lasttime_fmt 마지막이벤트시간을설정하는데사용됩니다. 형식목록을참조하십시오. setparm 또는 var 과함께사용할수있습니다 (var:firsttime="${1:1}" 또는 setparm:lasttime="1"). 예 : alert any any any -> any any (msg:"ssh Login Attempt"; content:"content"; firsttime_fmt:"%y-%m-%dt%h:%m:%s.%f"; lasttime_fmt:"%y-%m-%dt%h:%m:%s.%f" pcre:"pcre goes here; raw; setparm:firsttime=1; setparm:lasttime=1; adsid:190; rev:1;) 지원되는현재형식에대한자세한내용은 http://pubs.opengroup.org/onlinepubs/009695399/ functions/strptime.html 을참조하십시오. %Y - %d - %m %H : %M : %S %m - %d - %Y %H : %M : %S %b %d %Y %H : %M : %S %b %d %Y %H - %M - %S %b %d %H : %M : %S %Y %b %d %H - %M - %S %Y %b %d %H : %M : %S %b %d %H - %M - %S %Y %H : %M : %S %Y %H - %M - %S %m - %d - %Y %H : %M : %S %H - %M - %S %Y 는 4 자리연도입니다. %m 은월번호 (1-12) 입니다. %d 는날짜 (1-31) 입니다. %H 는시간 (1-24) 입니다. %M 은분 (0-60) 입니다. %S 는초 (0-60) 입니다. %b 는월약어 (jan, feb) 입니다. 다음은 OpenSSH 로그온에따라암호를식별하고이벤트의소스 IP 주소, 소스포트및사용자이름에서가져오는규칙의예입니다. alert any any any -> any any (msg:"openssh Accepted Password";content:"Accepted password for ";pcre:"accepted s+password s+for s+( S+) s+from s+( d+. d+. d+. d+) s+port s+( d +)";setparm:username=1;setparm:src_ip=2;setparm:src_port=3;sid:31;rev:1;) McAfee Enterprise Security Manager 11.1.x 제품안내서 49

7 데이터구문분석고급 syslog 분석기작동방법 syslog 심각도및액션매핑 syslog 메시지심각도및액션값을시스템의스키마에맞는값에매핑할수있습니다. severity_map 심각도는규칙과일치하는이벤트에할당된 1( 거의심각하지않음 ) 에서 100( 가장심각함 ) 사이의값으로표시됩니다. 메시지를보내는장치의심각도는숫자 1 10 이나텍스트 ( 고위험, 중간, 저위험 ) 로표시될수있습니다. 이런경우심각도로캡처할수없으므로매핑을만들어야합니다. 예를들어다음은심각도를텍스트형식으로표시하는 McAfee IntruShield 에서생성되는메시지입니다. <113>Apr 21 07:16:11 SyslogAlertForwarder: Attack NMAP: XMAS Probe (Medium)\000 심각도매핑을사용하는규칙구문은다음과같습니다 ( 심각도매핑은강조를위해굵게표시함 ): alert any any any -> any any (msg:"mcafee Traffic"; content:"syslogalertforwarder"; severity_map:high=99,medium=55,low=10; pcre:"(syslogalertforwarder)\x3a\s+attack\s+([^\x27]+)\x27([^\x28]+) \x28"; raw; setparm:application=1; setparm:msg=2; setparm:severity=3; adsid:190; rev:1;) severity_map : High=99,Medium=55,Low=10. 텍스트를사용할수있는형식의숫자로매핑합니다. setparm : severity=3. 세번째캡처를사용하고심각도와동일하게설정한다는의미입니다. 모든 setparm 수정자는이런방식으로작동합니다. action_map 심각도와마찬가지로사용됩니다. 액션은타사장치에서수행한액션을나타냅니다. 액션의목표는최종사용자에게유용한매핑을만드는것입니다. 예를들어다음은 OpenSSH 의실패한로그인메시지입니다. Dec 6 10:27:03 nina sshd[24259]: Failed password for root from 10.0.12.20 port 49547 ssh2 alert any any any -> any any (msg:"ssh Login Attempt"; content:"sshd"; action_map:failed=9,accepted=8; pcre:"sshd\x5b\d+\x5d\x3a\s+((failed Accepted)\s+password)\s+for\s+((invalid illegal)\s+user\s+)?(\s+)\s+from\s+ (\S+)(\s+(\S+)\s+port\s+(\d+))?"; raw; setparm:msg=1; setparm:action=2; setparm:username=5; setparm:src_ip=6; adsid:190; rev:1;) 액션 (Failed) 이숫자로매핑됩니다. 이숫자는시스템에서사용할수있는다른액션을나타냅니다. 다음은사용가능한전체액션유형목록입니다. 0 = Null 20 = 중지 1 = 통과 21 = 통지 2 = 거부 22 = 신뢰할수있음 3 = 삭제 23 = 신뢰할수없음 4 = sdrop 24 = 잘못된긍정 5 = 경보 25 = 경보 - 거부 6 = 기본값 26 = 경보 - 삭제 7 = 오류 27 = 경보 -sdrop 8 = 성공 28 = 다시시작 9 = 실패 29 = 차단 10 = 긴급 30 = 치료 11 = 위험 31 = 치료 - 실패 12 = 경고 32 = 계속 13 = 정보 33 = 감염됨 14 = 디버그 34 = 이동 50 McAfee Enterprise Security Manager 11.1.x 제품안내서

데이터구문분석고급 syslog 분석기작동방법 7 15 = 상태 35 = 이동 - 실패 16 = 추가 36 = 검역 17 = 변경사항 37 = 겸역 - 실패 18 = 제거 38 = 제거 - 실패 19 = 시작 39 = 거부됨 이예제에서 Failed 는 syslog 메시지에서 9 로매핑되며, 시스템에서 Failure 로보고합니다. 다음은규칙의구조에대한분석입니다. Alert any any any -> any any (msg: Login Attempt ; content: sshd ; action_map or severity_map (if you need it); pcre: your regular expression goes here ; raw; setparm:data_tag_goes_here; adsid:190; rev:1;) Syslog 릴레이지원 syslog 릴레이서버를통해다양한장치의이벤트를수신기로전달하려면추가단계가필요합니다. 데이터스트림및추가데이터소스를허용하려면단일 syslog 릴레이데이터소스를추가해야합니다. 그러면수신기에서데이터스트림을원래데이터소스로분할할수있습니다. Sylog-ng 및 Splunk 가지원됩니다. 다음다이어그램은이시나리오를설명합니다. 1 Cisco ASA 장치 5 데이터소스 1 Syslog 릴레이 2 SourceFire Snort 장치 6 데이터소스 2 Cisco ASA 3 TippingPoint 장치 7 데이터소스 3 SourceFire Snort 4 Syslog 릴레이 8 데이터소스 4 TippingPoint 이시나리오를예로사용하면, syslog 릴레이 (4) 에서데이터스트림을받으려면 syslog 릴레이데이터소스 (5) 를설정해야합니다. [Syslog 릴레이 ] 필드에서 [syslog] 를선택합니다. syslog 릴레이데이터소스가설정된다음개별장치 (6, 7 및 8) 에대한데이터소스를추가합니다. 이장치는시스템릴레이서버가아니므로 [Syslog 릴레이 ] 필드에서 [ 없음 ] 을선택합니다. [Syslog 메시지업로드 ] 기능은 syslog 릴레이설정에서작동하지않습니다. Syslog의헤더는다음예처럼보이도록구성해야합니다. 1 <123> 345 Oct 7 12:12:12 2012 mcafee.com httpd[123] 설명 : 1 = syslog 버전 ( 선택사항 ) 345 = syslog 길이 ( 선택사항 ) McAfee Enterprise Security Manager 11.1.x 제품안내서 51

7 데이터구문분석 ASP( 고급 Syslog 분석기 ) 규칙이작동하는방법 <123> = 기능 ( 선택사항 ) Oct 7 12:12:12 2012 = 날짜 ; 수백가지의형식이지원됩니다 ( 필수 ) mcafee.com 호스트이름또는 IP 주소 (ipv4 또는 ipv6)( 필수 ) httpd = 응용프로그램이름 ( 선택사항 ) [123] 응용프로그램 pid( 선택사항 ) : = 콜론 ( 선택사항 ) 호스트이름과데이터필드는어떤순서로든표시될수있습니다. IPv6 주소는괄호 [ ] 로묶을수있습니다. ASP( 고급 Syslog 분석기 ) 규칙이작동하는방법 ASP( 고급 Syslog 분석기 ) 는사용자정의규칙에따라 syslog 메시지의데이터를추출 ( 구문분석 ) 합니다. ASP 는시그니처 ID, IP 주소, 포트, 사용자이름, 액션등의메시지관련이벤트에데이터가상주하는위치를식별하는규칙을사용합니다. 시스템이 ASP 로그를수신할때로그의시간형식이 ASP 규칙에지정된형식과비교됩니다. 시간형식이일치하지않는경우시스템에서로그를처리하지않습니다. 시간형식의일치가능성을높이려면다양한사용자지정시간형식을추가합니다. [ 정책관리자 ] 권한을사용하여 ASP 규칙실행순서를정의할수있습니다. 사용자지정 ASP 규칙 복잡한로그소스분석을정렬하는규칙을작성할수있습니다. 이기능을사용하려면정규식사용에대한지식이있어야합니다. 첫번째정규표현식은메시지를구문분석할지결정하므로규칙을분석할모든메시지에있는패턴을검색하도록첫번째규칙을작성합니다. 메시지에서값을캡처하여 McAfee ESM 의사용자지정유형에매핑하도록추가정규표현식을작성할수있습니다. 후속정규표현식은규칙일치를결정하지않으므로구문분석용으로만사용됩니다. McAfee ESM 콘솔자체에서일부로그줄의정규표현식을테스트할수있지만그래픽도구를사용하는것이좋습니다. 독립실행형설치도구외에도다양한무료웹기반도구를사용할수있습니다. 경우에따라다른유용한도구가정규표현식검색을지원하는텍스트편집기가됩니다. 정규표현식테스트에사용되는모든도구는 PCRE 표현식을지원해야합니다. 정규표현식은효율성을최대화하도록작성해야합니다. 효율성이떨어지는표현식은분석성능에좋지않은영향을미칠수있습니다. 규칙을최적화하려면 로그가조직에제공할수있는값을완전히이해합니다. 캡처된값이특정사용자지정유형필드의원하는용도에맞는지확인합니다. 고유한임의의또는많은카디널리티데이터 ( 예 : URL) 를포함하는필드를인덱싱하지않습니다. 52 McAfee Enterprise Security Manager 11.1.x 제품안내서

데이터구문분석 ASP( 고급 Syslog 분석기 ) 규칙이작동하는방법 7 규칙이로그에서직접이벤트메시지를매핑하도록하면고유한, 임의의또는많은카디널리티문자열을메시지로매핑하지않습니다. McAfee ESM 은각고유이벤트메시지에대해데이터소스규칙을만들고많은고유문자열은 McAfee ESM 성능을저해할수있습니다. 정규화된범주를규칙에추가하여이벤트를범주화합니다. 구문분석규칙에의해생성된데이터소스규칙은기본구문분석규칙에할당된정규화를상속합니다. 기본구문분석규칙이 범주화되지않음 으로정규화되면구문분석된이벤트또한 " 범주화되지않음 " 으로정규화되고 " 범주화되지않음 " 이벤트를검색하면구문분석된이벤트가부정확하게됩니다. 사용자지정고급 Syslog 분석기규칙추가 사용자지정규칙을추가하여 ASP 로그데이터를구문분석합니다. 시작하기전에관리자권한이있거나사용자관리권한이있는액세스그룹에속해있는지확인합니다. Perl 호환정규표현식사용에대해알고있어야합니다. ASP 구문을알고있는고급사용자인경우각탭에서설정을정의하지않고 ASP 규칙텍스트를직접추가할수있습니다. 1 [ 정책편집기 ] 에서 [ 수신기 ] [ 고급 Syslog 분석기 ] 를선택합니다. 2 [ 새로만들기 ] 를클릭한다음 [ 고급 Syslog 분석기규칙 ] 을클릭합니다. 3 [ 일반 ] 탭 : 규칙을설명하는고유한이름을입력합니다. 이이름은규칙이로그와일치할때 McAfee ESM 보기에나타납니다 ( 메시지가규칙의로그텍스트에서직접매핑되지않는경우 ). 규칙에태그를할당하면정책편집기에서지정된장치또는응용프로그램을위해만들어진규칙집합을찾고그룹화할수있습니다. 규칙에태그를지정하면 McAfee ESM 에서태그가지정된특정규칙집합을활성화한모든정책에규칙이자동으로포함됩니다. 보기, 상관규칙및보고서가필터로사용할수있는기본정규화된 ID 를선택합니다. 시스템이심각도값없이메시지를로그하도록할당할수있는기본심각도값을입력합니다. 기본값은 25 이고유효한값은 1-100 입니다 (1 이가장낮은심각도 ). 다른데이터소스에서이벤트를분리하고특정제품에대해이벤트를보고하도록허용하여지원되는제품별로구문분석규칙을그룹화합니다. 4 [ 구문분석 ] 탭 : 프로세스이름을선택합니다 ( 콘텐츠문자열필터와유사하지만 SYSLOG 헤더에있는프로세스이름에만적용됨 ). Syslog 헤더형식은상당히다르므로가능하면콘텐츠문자열을사용합니다. 로그에서항상고정문자열이발견될경우이문자열을콘텐츠문자열로추가합니다. ASP 규칙의콘텐츠문자열은각로그를식별합니다. 규칙실행속도를높이려면하나이상의콘텐츠문자열을각 ASP 규칙에포함합니다. 최적화를위한사전필터로제공되고정규표현식에서지정한콘텐츠문자열과일치하는로그만일치및구문분석에고려합니다. 로그는정의된모든콘텐츠문자열을포함해야합니다. 콘텐츠필드섹션에값이하나이상있어야합니다. 콘텐츠문자열은 3 개이상의문자로구성되고특정이벤트에대해가능한고유해야합니다. 고유하게로그를식별할수있도록일치하는콘텐츠를충분히포함합니다. ASP 규칙에하나이상의콘텐츠필드를사용하면 McAfee Event Receiver 에서일치및구문분석프로세스를향상시킬수있습니다. 예를들어로그항목형식이 <180>Jan 1 00:00:00 testhost ftpd[4325]: FTP LOGIN FROM test.org [192.168.1.1], anonymous 인경우 ftpd 및 FTP LOGIN FROM 에대해콘텐츠필드를추가합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 53

7 데이터구문분석 ASP( 고급 Syslog 분석기 ) 규칙이작동하는방법 첫번째정규표현식은 ASP 규칙이로그와일치하는지를결정합니다. 시스템은추가표현식을사용하여로그의값을캡처합니다. [ 캡처이름 ] 을사용하여캡처그룹을식별할수있습니다. 캡처이름에사용되는레이블은문자, 숫자및밑줄문자로구성할수있지만숫자로시작하거나공백을포함할수없습니다. 캡처이름에대한정규표현식구문은 (? P<NAME> 정규표현식캡처 ) 입니다. 예를들어호스트이름이캡처그룹에할당된이름인캡처이름은 Host \x3d(?p< 호스트이름 >\S+) 입니다. 캡처이름을사용할경우아래와같이정책편집기에서 [ 구문분석 ] 탭오른쪽에캡처번호대신캡처이름이표시됩니다. 구문분석할샘플로그항목을붙여넣습니다. 정규표현식과일치하는로그부분이파란색으로강조표시됩니다. ASP 는특정로깅형식을사전처리하여데이터매핑을단순화할수있습니다. 다음형식을사용할수있습니다. 일반 - ( 기본 ) 로그가사용가능한다른형식과일치하지않는경우사용됩니다. CEF( 일반이벤트형식 ) - 각캡처에대해정규표현식을만들지않아도되고로그에있는 CEF 키이름을사용하여데이터를매핑할수있습니다. JSON - CEF 와마찬가지로각캡처에대해정규표현식을만들지않아도되고로그에있는 JSON 키이름을사용하여데이터를매핑할수있습니다. XML( 기본, 단순또는위치 ) - ASP 가 XML 형식의로그를구문분석하고분석된데이터를할당할수있습니다. XML 형식은로그에있는 XML 유형에따라선택할수있습니다. XML 기본 : 반복되는요소가없는 XML 입니다. XML 단순 : 특성이있는단일노드또는중첩이없는비반복단일요소집합의 XML 입니다. XML 위치 : 특성이있는다중노드및중첩이있는여러반복요소를가질수있는 XML 입니다. 키 / 값 정규표현식이로그샘플에서구문분석하는것을표시합니다. 키는콜론으로구분된 2 개의숫자를표시합니다. 첫번째수는사용된정규표현식을나타내고두번째수는해당정규표현식에서캡처그룹을나타냅니다. 캡처된값이정의된세번째정규표현식의네번째캡처인경우키는 3:4 가표시됩니다. 분석기는비교를위해정규표현식대신콘텐츠문자열을사용합니다. 정규표현식은메시지구문분석에만사용됩니다. 로그에대문자또는소문자가포함되어있으면같은형태의문자 ( 대문자또는소문자 ) 로표현식을쓴다음 [ 대 / 소문자구분안함 ] 옵션을사용합니다. 이는구문분석규칙에정의된모든정규표현식에대 / 소문자구분안함을활성화합니다. 5 [ 필드할당 ] 탭 : a 오른쪽의값을왼쪽의 [ 필드 ] 열옆에있는 [ 표현식 ] 열로끌어서놓습니다. b 필요한필드가표시되지않는경우 [ 샘플값 ] 열위의 + 를클릭하면모든사용자지정유형필드가표시됩니다. c 원하는필드를선택한다음 [ 확인 ] 을클릭합니다. 6 [ 매핑 ] 탭 : [ 시간형식 ] 변수를사용하여로그메시지의날짜 / 타임스탬프를구문분석할수있습니다. McAfee ESM 은여러표준날짜 / 타임스탬프를자동으로인식하지만다르게표시되는날짜 / 타임스탬프는인식하지못할수있습니다. 이섹션에서구문분석시시간이적절한형식으로표시되도록지정할수있습니다. 사용가능한 McAfee ESM 에매핑되는액션이로그에있는경우 [ 액션매핑 ] 옵션을사용합니다. 심각도매핑은로그의값을 1-100 의심각도로매핑합니다. 예를들어공급업체는심각도를해당로그에낮음, 중간또는높음으로정의할수있습니다. 심각도맵섹션에서심각도값을낮음 :25, 중간 :50, 높음 :75 로매핑할수있습니다. 7 [ 마침 ] 을클릭합니다. 8 [ 정책편집기 ] 창에서새규칙을선택합니다. 54 McAfee Enterprise Security Manager 11.1.x 제품안내서

데이터구문분석 ASP( 고급 Syslog 분석기 ) 규칙이작동하는방법 7 9 [ 비활성화됨 ] 을클릭한다음 [ 활성화됨 ] 을선택합니다. 10 창의오른쪽상단모서리에있는 [ 롤아웃 ] 아이콘을클릭합니다. 11 규칙을저장할지묻는메시지가표시되면 [ 예 ] 를클릭합니다. 12 [ 롤아웃 ] 창에서 [ 확인 ] 을클릭합니다. ASP 및필터규칙순서정의 필요한데이터를생성하도록필터규칙또는 ASP( 고급 Syslog 분석기 ) 규칙을실행하는순서를설정합니다. 시작하기전에정책관리권한이있는지확인합니다. 1 McAfee ESM 콘솔에서 [ 정책편집기 ] 아이콘을클릭합니다. 2 [ ] 메뉴에서 [ASP 규칙순서지정 ] 또는 [ 필터규칙순서지정 ] 을선택한다음 [ 데이터소스유형 ] 필드에서데이터소스를선택합니다. 순서를지정할수있는규칙이왼쪽에표시되고순서가지정된규칙이오른쪽에표시됩니다. 3 [ 표준규칙 ] 또는 [ 사용자지정규칙 ] 탭에서끌어서놓기또는화살표를사용하여왼쪽에서오른쪽으로규칙을이동하여 [ 순서가지정되지않은규칙 ] 의위또는아래로규칙을배치합니다. [ 순서가지정되지않은규칙 ] 은왼쪽에있는모든규칙이며, 기본순서상태입니다. 4 화살표를사용하여규칙의순서를다시지정한다음 [ 확인 ] 을클릭하여변경사항을저장합니다. ASP( 고급 Syslog 분석기 ) 규칙에시간형식추가 ASP 로그의시간형식으로동기화할수있도록 ASP( 고급 Syslog 분석기 ) 규칙에사용자지정시간형식을추가합니다. 1 대시보드에서 [ 정책편집기 ] 아이콘을클릭합니다. 2 [ 규칙유형 ] 창에서수신기를선택한다음 [ 고급 Syslog 분석기 ] 를클릭합니다. 3 규칙을선택한다음 [ 편집 ] [ 수정 ] 을클릭합니다. 4 [ 매핑 ] 탭을선택한다음 [ 시간형식 ] 표위의더하기 (+) 아이콘을클릭합니다. 5 [ 시간형식 ] 필드를클릭한다음시간형식을선택합니다. 6 이형식을사용하려는시간필드를선택합니다. [ 처음 ] 및 [ 마지막 ] 은이벤트가생성된처음및마지막시간을참조합니다. 추가된 [ 사용자지정유형 ] 시간필드도나타납니다. 7 [ 확인 ] 을클릭한다음나머지정보를완료합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 55

7 데이터구문분석 ASP( 고급 Syslog 분석기 ) 규칙이작동하는방법 로그샘플가져오기 샘플로그를사용하여새규칙을테스트합니다. 시작하기전에최소한하나의샘플로그 ( 일반텍스트형식 ) 를사용할수있어야합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 탐색트리에서데이터소스를선택한다음속성아이콘을클릭합니다. 3 [ 업로드 ] 를클릭합니다. 4 로그샘플파일로이동하고선택합니다. 5 [ 업로드 ] 를클릭합니다. 6 [ 닫기 ] 를클릭합니다. 7 [ 이벤트및플로가져오기 ] 를클릭합니다. 8 [ 이벤트 ] 를선택한다음 [ 시작 ] 을클릭합니다. 9 대시보드에서이벤트를찾아새로만든 ASP 규칙이예상대로구문분석하는지확인합니다. 56 McAfee Enterprise Security Manager 11.1.x 제품안내서

8 데이터 8 상호연결 목차 상관작동방법기록상관작동방법상관규칙작동방법 상관작동방법 McAfee Advanced Correlation Engine (McAfee ACE) 은규칙기반논리와위험기반논리를모두사용하여실시간으로위협이벤트를식별하고점수를생성합니다. 중요한정보 ( 사용자또는그룹, 응용프로그램, 특정서버또는서브넷 ) 를식별하고자산이위협받게되는경우 McAfee ACE 가사용자에게경고합니다. 감사추적및기록재생을통해포렌직, 컴플라이언스및규칙조정을지원합니다. 실시간모드또는기록모드를사용하여 McAfee ACE 를구성합니다. 실시간모드 즉각적으로위협및위험을탐지하기위해이벤트가수집될때마다분석합니다. 기록모드 기록위협및위험을탐지하기위해상관엔진의어느한쪽또는양쪽에서수집한사용가능데이터를재생합니다. McAfee ACE 에서새로운제로데이공격을탐색하면서브제로데이위협이있는지탐지하기위해조직이과거에해당공격에노출되었는지확인합니다. McAfee ACE 장치는두개의전용상관엔진을제공하여 McAfee ESM 의기존이벤트상관기능을보완합니다. 각 McAfee ACE 장치를고유한정책, 연결, 이벤트및로그검색설정및위험관리자로구성합니다. 위험상관 규칙없는상관을사용하여위험점수를생성합니다. 규칙기반상관은알려진위협패턴만탐지하기때문에지속적으로시그니처를조정하고업데이트해야제대로작동합니다. 규칙없는상관은한번의구성으로탐지시그니처를대체합니다. 비즈니스에중요한정보 ( 예 : 특정서비스나응용프로그램, 사용자그룹또는특정유형의데이터 ) 를식별합니다. 그러면위험상관에서해당항목과관련된모든활동을추적하여실시간활동에따라올라가거나내려가는동적위험점수를작성합니다. 위험점수가특정임계값을초과하게되면 McAfee ACE 가이벤트를생성하고위협이증가하는상황에대해사용자에게경고합니다. 또는기존의규칙기반상관엔진에서더큰인시던트의조건으로이벤트를사용할수있습니다. McAfee ACE 는위험점수의전체감사추적을유지관리하여시간에따른위협상황을전체적으로분석하고조사할수있습니다. 규칙기반상관 기존의규칙기반이벤트상관을통해수집된정보를실시간으로분석하여위협을탐지합니다. McAfee ACE 는모든로그, 이벤트및네트워크플로를 ID, 역할, 취약성등의문맥정보와상호연관시켜더큰위협을나타내는패턴을탐지합니다. McAfee Event Receiver 는네트워크수준의규칙기반상관을지원합니다. McAfee ACE 는이기능을보충하고전용처리리소스를제공하여훨씬더많은양의데이터를상호연결함으로써기존상관보고서를보완하거나완전히오프로딩합니다. 각 McAfee ACE 장치를고유한정책, 연결, 이벤트및로그검색설정및위험관리자로구성합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 57

8 데이터상호연결상관작동방법 위험상관점수추가 대상필드에점수를할당하는조건문을추가해야합니다. 1 시스템탐색트리에서 [ACE 속성 ] 을선택한다음 [ 위험상관점수 ] 를클릭합니다. 2 [ 추가 ] 를클릭하여요청한정보를입력합니다. 조건문을활성화합니다. 조건문에표시하려는데이터유형을선택합니다. 이벤트, 플로또는둘다를선택할수있습니다. 원하는점수를받고소스유형을일치시킬필드를검색합니다. 비교할소스유형을선택합니다. 선택한소스유형에일치값과함께점수값이포함되어있으면시스템에서해당점수를적용합니다. 비교하는값을선택합니다. 사용가능한옵션은이전열에서선택한소스유형에따라다릅니다. 선택한 [ 점수필드 ] 에적용할점수를입력합니다. 그리드에여러규칙을입력할때복합적점수가점수필드에적용될수있습니다. 또한조건문의복합적점수에대한가중치를입력할수도있습니다 (100% 를초과할수없음 ). 선택된필드가조건행의결과에따라달라지는점수필드로지정될수있는점수범위입니다. 위험상관관리자추가 지정하는필드의위험수준을계산할상관관리자를추가합니다. 시작하기전에 McAfee ESM에 McAfee Enterprise Log Manager 장치가있는지확인합니다. 저장소풀이 McAfee Enterprise Log Manager에있는지확인합니다. 영역이있어야합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 McAfee ACE 를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 위험상관관리 ] 를클릭합니다. 4 [ 추가 ] 를클릭합니다. 5 기본탭에서관리자이름을입력하고활성화합니다. 이벤트또는플로데이터의사용여부를나타냅니다. 플로데이터를사용하려면 [ACE 속성 ] [ACE 구성 ] [ 데이터 ] 로이동하여 [ 플로데이터 ] 를선택해야합니다. McAfee Enterprise Log Manager 에서로그를저장하려면 [ 로깅 ] 을선택합니다. 시스템에서로그를저장하려는 McAfee Enterprise Log Manager 에서저장소풀을식별합니다. 데이터를영역에할당하려는경우드롭다운목록에서선택합니다. ([ 규칙상관 ] 에만해당 ) - 규칙상관에서순서가잘못된이벤트를허용하는시간을선택합니다. 예를들어 60 분으로설정하면 59 분늦은이벤트도사용됩니다. 58 McAfee Enterprise Security Manager 11.1.x 제품안내서

데이터상호연결기록상관작동방법 8 6 [ 필드 ] 탭에서이벤트를상호연결하기위해이관리자가사용하는필드를선택합니다 ( 관리자당최대 5 개 ). 각필드에적용할백분율 ( 총 100%) 을선택합니다. 위험상태가 100 퍼센트미만인경우위험업데이트는 FYI, 보통, 경고, 중요및위험으로정의한조건에따라위험상태를보고합니다 ([ 임계값 ] 탭참조 ). 예를들어 FYI 의개념이위험상태가 50% 일때위험상태값의 50% 라면, 심각도는 50 이아닌 20 입니다. 고유성을결정하는데필드를사용하지않으려는경우선택합니다. 높은메모리요구사항으로인해여러가지의많은카디널리티필드를상호연결시키지않습니다. 생성되는위험줄수는상호연결된모든필드의고유한조합수에따라다릅니다. 7 [ 임계값 ] 탭에서각중요도수준에대해이벤트가트리거할점수임계값을설정합니다. 점수가감소되는비율을설정합니다. 기본 - 점수가버킷에있고 120 초간격으로 5 점이될때까지점수가 10% 씩감소하는것입니다. 그런다음고유한필드값에대한버킷이삭제됩니다. 8 [ 필터 ] 탭에서논리요소및구성요소를사용하여필터를설정합니다. 9 [ 마침 ] 을클릭한다음 [ 쓰기 ] 를클릭하여관리자가장치에쓰도록합니다. 상관관리자추가 규칙또는위험상관을사용하려면규칙또는위험상관관리자를추가해야합니다. 시작하기전에 McAfee Advanced Correlation Engine (McAfee ACE) 장치가있는지확인합니다. 1 시스템탐색트리에서 [ACE 속성 ] 을선택합니다. 2 [ 상관관리 ] 를클릭한다음 [ 추가 ] 를클릭합니다. 3 만들려는관리자유형을선택한다음 [ 확인 ] 을클릭합니다. 4 요청한정보를입력한다음 [ 마침 ] 을클릭합니다. 상관에사용할데이터유형선택 McAfee ESM 은이벤트및플로데이터를수집합니다. McAfee ACE(Advanced Correlation Engine) 에전송할데이터를선택합니다. 기본값은이벤트데이터만입니다. 1 시스템탐색트리에서 [ACE 속성 ] 을선택한다음 [ACE 구성 ] 을클릭합니다. 2 [ 데이터 ] 를클릭한다음 [ 이벤트데이터 ], [ 플로데이터 ] 또는둘다를선택합니다. 3 [ 확인 ] 을클릭합니다. 기록상관작동방법 기록상관을사용하여과거이벤트를상호연결합니다. 시스템에서새로운취약성이발견되면기록이벤트및로그를확인하여과거에조직이악용되었는지여부를확인합니다. [ 위험상관 ] 규칙없는상관엔진및표준규칙기반이벤트상관엔진을사용하여기록이벤트를재생합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 59

8 데이터상호연결기록상관작동방법 이러한상황에서오늘날의위협상황에대한기록이벤트를조사합니다. 특정이벤트가트리거되는동안상관이설정되지않았습니다. 이러한이벤트를상호연결시키면유용한정보를얻을수있습니다. 과거에트리거된이벤트를기반으로새로운상관을설정하고새로운상관을테스트하여결과를확인합니다. 기록상관을사용하는경우다음사항에유의해야합니다. 기록상관을비활성화할때까지실시간상관을실행할수없습니다. 이벤트집계가위험분포를왜곡합니다. Risk Manager 를다시실시간상관으로전환할때임계값을조정합니다. 기록상관을설정하고실행하려면다음을수행해야합니다. 1 기록상관필터를추가합니다. 2 기록상관을실행합니다. 3 상관된기록이벤트를다운로드하고봅니다. 기록상관활성화 기록상관을활성화하면이벤트를검토하고필터를적용하고적용할이벤트를패키지로묶습니다. 1 시스템탐색트리에서 [ACE 속성 ] 을선택한다음 [ 기록 ] 을클릭합니다. 2 [ 추가 ] 를클릭하고요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 3 [ 기록상관활성화 ] 를선택한다음 [ 적용 ] 을클릭합니다. 기록상관을비활성화할때까지실시간상관이중단됩니다. 4 실행하려는필터를선택한다음 [ 지금실행 ] 을클릭합니다. 기록상관이벤트보기 기록상관을실행한후에는생성된이벤트를볼수있습니다. 1 시스템탐색트리에서 [ACE 속성 ] 을선택한다음 [ 이벤트및로그 ] [ 이벤트가져오기 ] 를클릭합니다. 기록상관실행의결과로발생한이벤트가 McAfee ESM에다운로드됩니다. 2 [ACE 속성 ] 을닫습니다. 3 데이터를보려면 : a 시스템탐색트리에서기록상관을방금실행한 ACE(Advanced Correlation Engine) 장치를선택합니다. b 기간드롭다운목록에서실행을설정할때지정한기간을선택합니다. 60 McAfee Enterprise Security Manager 11.1.x 제품안내서

데이터상호연결상관규칙작동방법 8 상관규칙작동방법 상관규칙은데이터의패턴결과를해석합니다. 상관은데이터를분석하여데이터흐름의패턴을탐지하고이러한패턴에대해경보를생성하여 McAfee Event Receiver 경보데이터베이스에경보를삽입합니다. 상관규칙은해당동작을지정하는특성이있는표준규칙및방화벽과분리된규칙입니다. 각 McAfee Event Receiver 는 McAfee ESM( 배포된상관규칙집합 ) 에서상관규칙집합을가져오며이는사용자정의매개변수값이포함된 0 개이상의상관규칙집합으로구성되어있습니다. McAfee ESM 에는기준상관규칙집합이포함되어있으며규칙업데이트서버에서업데이트됩니다. 규칙업데이트서버의규칙은기본값을포함합니다. 기준상관엔진규칙집합을업데이트하는경우네트워크를제대로나타낼수있도록이러한기본값을사용자지정합니다. 기본값을변경하지않고이러한규칙을배포하는경우잘못된긍정또는잘못된부정을생성할수있습니다. 데이터소스를구성할때상관을사용하도록설정합니다. syslog 또는 OPSEC 를구성하는것과유사한방식으로 McAfee Event Receiver 당하나의상관데이터소스만구성할수있습니다. 상관데이터소스를구성한후 [ 상관규칙편집기 ] 로기준상관규칙집합을편집하여배포된상관규칙집합을만들수있습니다. 각상관규칙을활성화하거나비활성화하고각규칙의사용자정의가능매개변수값을설정할수있습니다. 또한사용자지정규칙을만들고상관구성요소를상관규칙에추가할수도있습니다. 상관데이터소스작동방법 상관데이터소스는 McAfee ESM 데이터를분석하여의심스러운패턴을탐지하고상관경보를생성하며상관경보는수신기경보데이터베이스에삽입됩니다. syslog 또는 OPSEC 를구성하는것과유사한방식으로수신기당하나의상관데이터소스만구성할수있습니다. 의심스러운패턴은상관정책규칙에서해석한데이터에의해나타나며이는사용자가생성하고변경할수있습니다. 상관데이터소스를구성한후다음을수행할수있습니다. 상관기본정책롤아웃 정책롤아웃 이상관기본정책의기본규칙편집 각규칙활성화또는비활성화 사용자지정규칙및구성요소추가 각규칙의사용자정의가능한매개변수의값을설정 상관데이터소스를추가하는경우 [McAfee] 를공급업체로, [ 상관엔진 ] 을모델로선택합니다. 상관데이터소스를사용하면 McAfee ESM 에서수신기상관엔진에경보를보낼수있습니다. 이벤트필드를비교하는상관규칙설정 이벤트필드를비교하는상관규칙을설정합니다 ( 예 : 소스와대상사용자가동일한지비교 ). 소스 IP 주소및대상 IP 주소가다른지확인하는규칙을설정할수도있습니다. 1 McAfee ESM 콘솔에서 [ 정책편집기 ] 아이콘을클릭합니다. 2 [ 규칙유형 ] 창에서 [ 상관 ] 을선택하고필드를비교하려는규칙을클릭한다음 [ 편집 ] [ 수정 ] 을클릭합니다. 3 논리구성요소의메뉴아이콘을클릭한다음 [ 편집 ] 을클릭합니다. 4 필터영역에서 [ 추가 ] 를클릭하거나기존필터를선택하고 [ 편집 ] 을클릭합니다. 5 [ 기본값편집기 ] 아이콘을클릭하여값을입력하고 [ 추가 ] 를클릭한다음 [ 필드 ] 탭에서필드를선택하고 [ 추가 ] 를클릭합니다. 숫자필드의경우보다큼 (>), 보다작음 (<), 크거나같음 (>=) 및작거나같음 (<=) 연산자가지원됩니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 61

8 데이터상호연결상관규칙작동방법 사용자지정상관규칙구성 McAfee ESM 이 Windows 시스템의단일소스에서 5 번의로그온시도실패를탐지한후 10 분내에로그온이성공하면사용자지정상관규칙을사용하여경보를생성합니다. 1 [ 정책편집기 ] 의 [ 규칙유형 ] 창에서 [ 상관 ] 을클릭합니다. 2 [ 새로만들기 ] 를클릭하고 [ 상관규칙 ] 을선택합니다. 3 설명적인이름을입력한다음심각도설정을선택합니다. 이규칙으로생성된이벤트는인증되지않은사람이시스템에액세스했음을나타낼수있으므로적절한심각도설정은 80 입니다. 4 [ 인증 ] 또는 [ 인증 ] [ 로그인 ] 일수있는정규화 ID 를선택한다음 [AND] 논리요소를끌어놓습니다. 두가지유형의액션이필요하기때문에 [AND] 를선택합니다 ( 로그온시도후성공한로그온 ). 5 [ 메뉴 ] 아이콘을클릭한다음 [ 편집 ] 을선택합니다. 6 [ 시퀀스 ] 를선택하여액션이순서대로발생되어야함 ( 첫번째로 5 번의실패한로그온시도및두번째로성공한로그온 ) 을나타낸다음이시퀀스가발생되어야하는횟수, 즉 1 을설정합니다. 7 액션이발생되어야하는기간을설정한다음 [ 확인 ] 을클릭합니다. 시간기간이필요한두가지액션이있기때문에둘사이에 10 분의간격이있어야합니다. 이예에서는각액션에 5 분을지정합니다. 실패한시도가 5 분내에발생하면시스템은다음 5 분내에동일한소스 IP 주소에서성공한로그온을수신하기시작합니다. 8 [ 그룹화기준 ] 필드에서아이콘을클릭하고 [ 소스 IP] 옵션을왼쪽에서오른쪽으로이동 ( 모든액션이동일한소스 IP 주소에서발생해야함을나타냄 ) 한다음 [ 확인 ] 을클릭합니다. 9 이규칙또는구성요소에대한논리를정의합니다. 이벤트를식별하는필터를지정합니다 ( 이경우, Windows 시스템에서여러번실패한로그온시도 ). 1 [ 필터 ] 아이콘을끌어 AND 논리적요소에놓습니다. 2 [ 필터필드구성요소 ] 페이지에서 [ 추가 ] 를클릭합니다. 3 [ 정규화규칙 ] [ 포함 ] 을선택하고다음을선택합니다. [ 정규화 ] [ 호스트로그인 ] [ 인증 ] [Windows 호스트에서여러번실패한로그인시도 ] [ 로그인 ] 4 [ 확인 ] 을클릭합니다. 로그온실패가발생되어야하는횟수및기간을설정합니다. 1 [AND] 논리적요소를 [ 필터 ] 막대에끌어놓습니다. 5 번의시도가별도로발생되어야하므로 [AND] 요소가사용됩니다. 이요소를사용하여로그인실패가발생되어야하는횟수및기간을설정할수있습니다. 62 McAfee Enterprise Security Manager 11.1.x 제품안내서

데이터상호연결상관규칙작동방법 8 2 방금추가한 [AND] 요소에대한 [ 메뉴 ] 아이콘을클릭한다음 [ 편집 ] 을클릭합니다. 3 [ 임계값 ] 필드에 [5] 를입력하고기존의다른값을제거합니다. 4 [ 기간 ] 필드를 [5] 로설정합니다. 5 [ 확인 ] 을클릭합니다. 발생되어야하는두번째필터유형인성공한로그온을정의합니다. 1 [ 필터 ] 아이콘을첫번째 [AND] 논리적요소각괄호의아래쪽끝으로끌어놓습니다. 2 [ 구성요소일치 ] 페이지에서 [ 추가 ] 를클릭합니다. 3 필드에서 [ 정규화규칙 ] [ 포함 ] 을선택하고다음을선택합니다. [ 정규화 ] [ 인증 ] [ 로그인 ] [ 호스트로그인 ] 4 [ 확인 ] 을클릭하여 [ 구성요소일치 ] 페이지로돌아갑니다. 5 성공 을정의하려면 [ 추가 ] 를클릭하고 [ 이벤트하위유형 ] [ 포함 ] 을선택한다음 [ 변수 ] 아이콘을클릭하고 [ 이벤트하위유형 ] [ 성공 ] [ 추가 ] 를클릭합니다. 6 [ 확인 ] 을클릭하여 [ 정책편집기 ] 로돌아갑니다. 상관규칙구성요소재정의 특정필드별로그룹화하는상관규칙을설정한경우다른필드에서일치하도록규칙의구성요소를재정의할수있습니다. 예를들어소스 IP 주소에대한상관규칙에서 [ 그룹화기준 ] 필드를설정한경우대상 IP 주소를사용하도록규칙의구성요소를재정의할수있습니다. 즉, 재정의한구성요소와일치하는이벤트를제외한모든이벤트는소스 IP 주소가동일합니다. 이러한이벤트는다른이벤트의소스 IP 주소와동일한대상 IP 주소를갖습니다. 특정대상에서이동하는단일이벤트뒤에해당대상에서발생하는또다른이벤트를찾도록규칙구성요소를재정의합니다. 1 McAfee ESM 콘솔에서 [ 정책편집기 ] 아이콘을클릭합니다. 2 [ 규칙유형 ] 창에서 [ 상관 ] 을클릭하고규칙을선택한다음 [ 편집 ] [ 수정 ] 을클릭합니다. 3 [ 상관논리 ] 영역에서 [ 구성요소일치 ] 논리요소를끌어놓은다음메뉴아이콘을클릭하거나 [ 상관논리 ] 영 역에서기존 [ 구성요소일치 ] 요소의메뉴아이콘을클릭합니다. 4 [ 편집 ] 을선택하고 [ 고급옵션 ] 을클릭한다음 [ 그룹화기준재정의 ] 를선택하고 [ 구성 ] 을클릭합니다. 5 [ 그룹화기준재정의구성 ] 페이지에서재정의필드를선택한다음 [ 확인 ] 을클릭합니다. 상관규칙을가져올때의충돌 상관규칙을내보낼때규칙데이터가포함된파일을만듭니다. 하지만이규칙이사용할수있는변수, 영역, 관심목록, 사용자지정유형및자산등의참조항목은포함하지않습니다. 가져오기시스템에없는참조규칙항목을사용하여파일을가져오는경우가져오기오류가발생할수있습니다. 예를들어규칙 1 이변수 $abc 를참조하는데, 가져오는시스템에이름이 $abc 인변수가정의되지않은경우규칙에충돌로표시합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 63

8 데이터상호연결상관규칙작동방법 충돌을방지하려면필요한참조항목을만들거나 ( 수동으로또는가능한경우가져오기를통해 ) 상관규칙및규칙참조를변경합니다. 가져오기직후충돌상태인규칙 ( 느낌표로표시됨 ) 또는실패한규칙목록이나열됩니다. 이목록에서규칙충돌상세정보를보고변경할수있습니다. 상관규칙또는구성요소에매개변수추가 매개변수를사용하여상관규칙실행시동작방식을제어할수있습니다. 매개변수는선택사항입니다. 1 [ 상관규칙 ] 또는 [ 상관구성요소 ] 페이지에서 [ 매개변수 ] 를클릭합니다. 2 [ 추가 ] 를클릭한다음매개변수의이름을입력합니다. 3 이에대해원하는매개변수유형을선택한다음값을선택하거나선택취소합니다. [ 목록 ] 및 [ 범위 ] 값은동시에사용할수없습니다. 목록값은범위 (1 6, 8, 10, 13) 를포함할수없습니다. 올바로쓰는방법은 1, 2, 3, 4, 5, 6, 8, 10, 13 입니다. 4 매개변수에대해기본값을선택하려면 [ 기본값편집기 ] 아이콘을클릭합니다. 5 매개변수가외부에서보이지않도록하려면 [ 외부에표시 ] 를선택취소합니다. 매개변수는규칙범위에로컬입니다. 6 이매개변수의설명을입력합니다. 그러면매개변수가강조표시될때 [ 규칙매개변수 ] 페이지의 [ 설명 ] 텍스트상자에표시됩니다. 7 [ 확인 ] 을클릭한다음 [ 닫기 ] 를클릭합니다. 상관규칙이트리거된원인식별 규칙이트리거된원인을파악하고잘못된긍정을조정합니다. 시작하기전에 관리자권한이있거나정책관리권한이있는액세스그룹에속해있는지확인합니다. 상세정보는요청시항상수집됩니다. 그러나종종변경될수있는다른값또는동적관심목록을사용하는규칙의경우트리거직후상세정보를볼수있도록규칙을설정할수있습니다. 그러면상세정보를사용할수없게될가능성이줄어듭니다. 1 대시보드에서을클릭하고 [ 상관 ] 을선택합니다. 2 상세정보를즉시볼수있도록규칙을설정합니다. a McAfee ESM 콘솔에서 [ 정책편집기 ] 아이콘을클릭한다음 [ 규칙유형 ] 창에서 [ 상관 ] 을클릭합니다. b 규칙의 [ 상세정보 ] 열을클릭하고 [ 설정 ] 을선택합니다. 한번에둘이상의규칙을선택할수있습니다. 3 상세정보를봅니다. a 시스템탐색트리의 McAfee ACE 장치에서 [ 규칙상관 ] 을클릭합니다. b 보기목록에서 [ 이벤트보기 ] [ 이벤트분석 ] 을선택한다음보려는이벤트를클릭합니다. c [ 상관상세정보 ] 탭을클릭하여상세정보를봅니다. 64 McAfee Enterprise Security Manager 11.1.x 제품안내서

데이터상호연결상관규칙작동방법 8 상관이벤트의소스이벤트보기 [ 이벤트분석 ] 보기에서상관이벤트의소스이벤트를볼수있습니다. 시작하기전에 McAfee ESM에상관데이터소스가있는지확인합니다. 1 시스템탐색트리에서수신기를확장한다음 [ 상관엔진 ] 을클릭합니다. 2 보기목록에서 [ 이벤트보기 ] 를클릭한다음 [ 이벤트분석 ] 을선택합니다. 3 [ 이벤트분석 ] 보기에서상관이벤트의첫번째열에있는더하기기호 (+) 를클릭합니다. 더하기기호는상관이벤트에소스이벤트가있는경우에만나타납니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 65

8 데이터상호연결상관규칙작동방법 66 McAfee Enterprise Security Manager 11.1.x 제품안내서

9 9 위협 찾기 목차 대시보드작동방법필터작동방법사용자지정유형작동방법쿼리작동방법로그검색작동방법 McAfee Active Response 검색작동방법 Cyber Threat 작동방법 대시보드작동방법 McAfee ESM 대시보드는가능한위협을신속하게찾을수있는양식의데이터를나타내는시각적도구입니다. McAfee ESM 대시보드를구성하는요소를파악한후조직고유의잠재적인위협을조사하는대화형보기를작성할수있습니다. McAfee ESM 대시보드에는여러보기및대화형탭이포함되어있어서보기사이를빠르게이동할수있습니다. 사전정의된보기를사용하거나위젯및필터가포함된고유한보기를작성할수있습니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 67

9 위협찾기대시보드작동방법 1 미리정의된보기또는고유한사용자지정보기로 McAfee ESM 대시보드공간을채웁니다. 2 탭을사용하여보기사이를신속하게탐색합니다. 탭을사용하여별도의탭에서조사를시작한기록컨텍스트를유지하면서여러보기에서잠재적인위협을탐색합니다. 3 필터리본을사용하여실시간기능을통해쿼리결과에서찾고있는내용을찾습니다. 자동완성은필터쿼리를작성할때결과를반환합니다. 4 잠재적인위협에대해피벗, 탐색, 조사및대응할수있는여러대시보드보기를작성합니다. 5 대화형시각적위젯을사용하여신속하게특정데이터를나타내고드릴다운합니다. 6 대시보드를벗어나지않고열린케이스를조사하여중요한사례상세정보에빠르게액세스합니다. 7 트리거된미확인경보및시스템통보에응답합니다. 보기구성요소설명 사용자지정보기에서특정보기구성요소를사용하여데이터를표시할수있습니다. 구성요소 [ 제어다이얼 ] 설명 데이터개요가표시됩니다. 동적이며콘솔의다른구성요소로링크될수있습니다. McAfee ESM 과상호작용할때업데이트됩니다. 각다이얼에는기준표시기 ( ) 가있습니다. 다이얼외부가장자리주위의그라데이션은기준표시기위에서빨간색으로바뀝니다. 경우에따라전체다이얼색상이변경되어이상동작을나타낼수있습니다. 기준의특정임계값내에있으면노란색으로바뀌거나임계값을초과하면빨간색으로바뀝니다. [ 비율 ] 옵션을사용하면보고있는데이터의비율을조정할수있습니다. 예를들어 [ 현재날짜 ] 및 [ 총이벤트 ] 를보고있는경우비율을시간으로변경하면지정된날짜의시간당이벤트수가표시됩니다. 이옵션은 [ 평균심각도 ] 나 [ 평균바이트 ] 와같이보고있는쿼리의평균을이미계산한경우비활성화됩니다. [ 소스및대상그래프 ] 이벤트또는플로 IP 주소에대한개요을표시합니다. 이벤트옵션을사용하면 IP 주소를지정하고지정한 IP 주소에서수행된모든공격을보고지정한 IP 주소가다른 IP 주소에서수행한모든공격을볼수있습니다. 플로옵션을사용하면 IP 주소를지정하고해당 IP 주소에연결된모든 IP 주소를보고 IP 주소에서설정한연결을볼수있습니다. 이그래프에는구성요소맨아래의열기필드가포함되어있어특정 IP 주소의소스및대상이벤트또는플로를볼수있습니다. 필드에주소를입력하거나이전에사용한주소를선택한다음 [ 새로고 침 ] 아이콘을클릭하십시오. [ 원형도표 ] 쿼리된정보를원형그래프에표시합니다. 보려는범주 ( 예 : 프로토콜또는액션쿼리 ) 가더적은경우에유용합니다. [ 표 ] 쿼리정보를여러개의열에표시합니다. 이구성요소는이벤트및플로데이터를가장세부적으로표시하는데유용합니다. [ 막대도표 ] 쿼리된정보를막대그래프에표시하여지정된시간범위에있는각결과의크기를비교할수있습니다. [ 목록 ] 선택한쿼리데이터를목록형식으로표시합니다. 이구성요소는더작은공간에서보다세부적인항목목록을보려는경우에유용합니다. [ 배포 ] 일정기간동안의이벤트및플로배포를표시합니다. 특정시간조각을볼간격을설정하여데이터를구성할수있습니다. [ 참고영역 ] 텍스트기반참고에사용되는빈구성요소입니다. 이구성요소를사용하여현재보기와관련된참고를쓸수있습니다. 68 McAfee Enterprise Security Manager 11.1.x 제품안내서

위협찾기대시보드작동방법 9 구성요소 설명 [ 개수 ] 특정보기에대해쿼리된총이벤트, 자산, 취약성또는플로를표시합니다. [ 제목 ] 보기의제목을만들수있습니다. 보기의어디에나배치할수있습니다. [ 지리적위치맵 ] [ 목록필터링 ] 경보및플로의대상및소스위치를지리적위치맵에표시합니다. 이구성요소의옵션을사용하면구 / 군 / 시, 시 / 도, 국가및지역선택을전환하고, 확대 / 축소하며, Ctrl 및 Shift 키를사용하여위치를선택할수있습니다. 사용자및그룹목록을 Active Directory 에표시합니다. [ 목록필터링 ] 구성요소를추가하면 [ 쿼리마법사 ] 의 [ 소스사용자 ] 또는 [ 대상사용자 ] 필터필드에서다른구성요소를바인딩하고 [Active Directory 목록에바인딩 ] 을선택할수있습니다. 메뉴아이콘을클릭하여 [Active Directory] 와연결된이벤트및플로데이터를볼수도있습니다. 대시보드보기열기 한번에두개이상의대시보드보기를열고가져오거나내보낼수있습니다. 조직의요구에맞게사전정의된 ( 기본값 ) 보기를복사하거나사용자지정보기를만들수도있습니다. 시작하기전에 관리자권한이있거나보기관리권한이있는액세스그룹에속해있는지확인합니다. 1 대시보드에서 [ 보기추가 ] 를클릭하고다음옵션중하나의옆에있는슬라이드아웃화살표를클릭합니다. 기존보기를열려면 [ 보기열기 ] 를클릭합니다. Flash 보기를 HTML 대시보드보기로변환하려면 [Flash 보기가져오기 ] 를클릭합니다. HTML 보기를만들려면 [ 새보기만들기 ] 를클릭합니다. 위젯을추가하고보기를저장합니다. 2 보기를저장합니다. 대시보드위젯바인딩 대시보드위젯을바인딩하면위젯간데이터를연결합니다. 그런다음상위위젯의데이터를변경하면바인딩된위젯의데이터도변경되어대화식보기가만들어집니다. 예를들어위젯을소스 IP 주소에바인딩한다음상위위젯에서특정 IP 주소를선택하면바인딩된위젯이해당 IP 주소로데이터를필터링합니다. 상위위젯에서선택사항을변경하면하위위젯의데이터가새로고쳐집니다. 시작하기전에 관리자권한이있거나보기관리권한이있는액세스그룹에속해있는지확인합니다. 1 바인딩하려는위젯이있는대시보드보기를열거나만듭니다. 위젯을하나의데이터필드에만바인딩할수있습니다. 2 대시보드보기를편집하려면 [ 편집 ] 을클릭합니다. 3 바인딩하려는위젯에서을클릭합니다. 그런다음 [ 설정 ] 을선택합니다. 4 [ 위젯구성 ] 창에서 [ 바인딩 ] 을켜고위젯에서필터링하거나위젯에연결하려는데이터를선택합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 69

9 위협찾기대시보드작동방법 5 [ 저장 ] 을클릭합니다. 아이콘이바인딩된위젯에표시됩니다. 아이콘위로마우스를가져가면위젯이어떤데이터에바인딩되어있는지표시됩니다. 6 [ 저장 ] 을다시클릭하여변경사항을대시보드보기에저장하고 [ 편집 ] 모드를종료합니다. 사용자지정대시보드보기추가 특정정보를표시하고조작할수있는위젯을추가하고정렬하여고유한대시보드보기를만듭니다. 시작하기전에관리자권한이있거나보기관리권한이있는액세스그룹에속해있는지확인합니다. 1 대시보드에서 [ 탭추가 ] [ 새보기만들기 ] [ 위젯추가 ] 를클릭합니다. 2 위젯을구성합니다. a 위젯에제목을지정합니다. b 사용가능한옵션에서쿼리필드, 필터및정렬값을미리채우는쿼리소스를선택합니다. 기본값을사용하거나값을변경할수있습니다. 선택하는쿼리소스에따라위젯에대해선택할수있는시각화옵션이달라집니다. c 위젯의시각화옵션을선택합니다. 옵션에는표, 막대도표, 원형도표, 목록도표, 게이지및대화형도넛도표가있습니다. d 위젯을다른위젯의데이터에바인딩할수있는지여부를선택합니다. 3 [ 만들기 ] 를클릭합니다. 위젯이대시보드에나타나면크기와배치를변경할수있습니다. 4 대시보드보기에표시된다음위젯을변경하려면을클릭합니다. 하위메뉴의옵션은위젯과해당데이터에따 라달라집니다. 옵션에는 [ 설정 ], [ 시각화 ], [ 상세정보, 액션, 드릴다운, 필터링기준 ] 및 [ 삭제 ] 가있을수있 습니다. 5 [ 저장 ] 을클릭합니다. McAfee ESM 보기구성 특정사용자또는그룹에대해표시할 McAfee ESM 보기를식별합니다. 1 McAfee ESM 콘솔에서을클릭하여보기를구성합니다. 2 보기목록에서표시할보기를선택합니다. 폴더가선택되면모든하위폴더및보기가선택됩니다. 폴더확인란이검은색인경우일부하위폴더및보기가선택됩니다. 3 보기를구성하려면사용자지정폴더를만듭니다. 보기를사용자지정폴더로끌어서놓고복사한보기를다른폴더로끌어서놓을수있습니다. 4 선택한폴더또는보기를삭제하거나해당이름을바꿉니다. 읽기전용보기는삭제할수없습니다. 70 McAfee Enterprise Security Manager 11.1.x 제품안내서

위협찾기대시보드작동방법 9 5 선택한보기를액세스하고변경할수있는사용자및그룹을선택합니다. 6 보기파일을 McAfee ESM 으로가져옵니다. 사용자지정보기를내보내다른 McAfee ESM 과공유하거나파일을백업으로유지합니다. 읽기전용보기는내보낼수없습니다. 7 보기창에기본보기를지정합니다. 이벤트시간보기 수신기데이터베이스에이벤트가삽입된정확한시간을봅니다. 시작하기전에다음권한이있는지확인합니다. 이벤트를가져와서이벤트시간을볼수있는 [ 데이터보기 ] 보기를만들수있는 [ 보기관리 ] 이벤트를변경할수있는 [ 이벤트관리 ] 1 McAfee ESM 콘솔에서 [ 장치시간 ] 필드를포함하는이벤트표보기를추가합니다. a 보기창도구모음에있는 [ 새보기만들기 ] 아이콘을클릭합니다. b [ 표 ] 구성요소를클릭하여끌고 [ 다음 ] 을클릭합니다. c [ 필드 ] 를클릭합니다. d 왼쪽목록에서 [ 장치시간 ] 을클릭하고오른쪽목록으로이동시킵니다. e [ 필드 ] 페이지에서 [ 확인 ] 을클릭한다음 [ 마침 ] 을클릭합니다. f [ 보기편집도구모음 ] 에서 [ 다른이름으로저장 ] 을클릭하고보기의이름을입력한다음 [ 확인 ] 을클릭합니다. g [ 보기편집도구모음 ] 을닫습니다. 보기의드롭다운목록에이보기가추가됩니다. 2 이러한방법중하나로 [ 장치시간 ] 을봅니다. 해결할이벤트를보내는경우해당이벤트에대한장치시간이손실됩니다. 추가한보기의이벤트표에서 [ 장치시간 ] 열을봅니다. 표하단에있는 [ 데이터상세정보보기 ] 아이콘을클릭합니다. [ 고급상세정보 ] 탭을클릭한다음 [ 장치시간 ] 필드를봅니다. 세션상세정보보기 [ 세션뷰어 ] 에서세션 ID 를사용하여이벤트상세정보를보고 csv 파일에저장할수있습니다. 세션 ID 를가지려면이벤트가세션내에있어야합니다. 세션은소스와대상간의연결결과입니다. 장치또는 McAfee ESM 내부에있는이벤트는세션 ID 가없습니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 71

9 위협찾기대시보드작동방법 1 보기드롭다운목록에서확인해야하는세션이있는보기를선택합니다. 2 이벤트를선택하고구성요소제목표시줄에서메뉴아이콘을클릭한다음 [ 이벤트드릴다운 ] [ 이벤트 ] 를선택합니다. 3 이벤트를클릭하고 [ 고급상세정보 ] 탭을클릭한다음 [ 세션 ID] 필드옆의 [ 세션데이터보기 ] 아이콘을클릭합 니다. [ 세션뷰어 ] 가열리고세션상세정보가표시됩니다. 이벤트둘러보기 [ 이벤트분석 ] 보기에서선택한시간프레임내의이벤트에서하나이상의필드와일치하는이벤트를찾을수있습니다. 1 McAfee ESM 에서보기목록을클릭한다음 [ 이벤트보기 ] [ 이벤트분석 ] 을선택합니다. 2 이벤트를클릭하고메뉴아이콘을클릭한다음 [ 둘러보기 ] 를클릭합니다. 3 시스템에서일치를검색하려는이벤트전후시간 ( 분 ) 을선택합니다. 4 [ 필터선택 ] 을클릭하고검색을일치시키려는필드를선택한다음값을입력합니다. 결과가 [ 둘러보기결과 ] 보기에표시됩니다. 이보기를종료한다음나중에돌아온경우 [ 이벤트분석 ] [ 마지막둘러보기 ] 를클릭합니다. IP 주소이벤트상세정보보기 McAfee 의 McAfee Global Threat Intelligence (McAfee GTI) 사용권이있으면 [IP 주소상세정보 ] 조회를수행할때새 [ 위협상세정보 ] 탭에액세스할수있습니다. 이옵션을선택하면위험심각도및지리적위치데이터를포함하여 IP 주소에대한상세정보가반환됩니다. 시작하기전에 현재 McAfee GTI 사용권이있는지확인합니다. 1 McAfee ESM 콘솔에서표구성요소를포함할보기 ( 예 : [ 이벤트보기 ] [ 이벤트분석 ]) 를선택합니다. 2 IP 주소를클릭하고구성요소에서을클릭한다음 [IP 주소상세정보 ] 를클릭합니다. 플로보기 플로는장치를통해만든연결레코드입니다. 플로분석이활성화되면각플로또는연결에대한데이터가기록됩니다. 플로에는소스및대상 IP 주소, 포트, Mac 주소, 프로토콜및처음및마지막 ( 연결이시작되고종료되는사이의기간 ) 이있습니다. 플로는비정상적또는악의적인트래픽이있다는것을나타내지않으므로이벤트보다더많은플로가있습니다. 플로는이벤트처럼규칙시그니처 (SigID) 와연결되어있지않습니다. 플로는경보, 삭제및거부와같은이벤트액션과연결되어있지않습니다. 72 McAfee Enterprise Security Manager 11.1.x 제품안내서

위협찾기필터작동방법 9 소스및대상바이트, 소스및대상패킷을비롯하여특정데이터는플로에고유합니다. 소스바이트및패킷은플로의소스에서전송된바이트및패킷수를나타냅니다. 대상바이트및패킷은플로의대상에서전송된바이트및패킷수를나타냅니다. 플로에는방향이있습니다. 인바운드플로는 HOME_NET 외부에서발생하는플로로정의됩니다. 아웃바운드플로는 HOME_NET 내부에서발생합니다. 플로데이터를보려면시스템을활성화하여플로데이터를로깅해야합니다. 그러면 [ 플로분석 ] 보기에서플로를볼수있습니다. 필터작동방법 필터창에서필터필드추가및삭제, 필터세트저장, 기본설정변경, 모든필터관리, 문자열정규화관리자시작을수행할수있습니다. 보기에적용되는필터가열려있는다음보기로전달됩니다. 처음 McAfee ESM 에로그온할때기본필터창에 [ 소스사용자 ], [ 대상사용자 ], [ 소스 IP] 및 [ 대상 IP] 필터필드가포함되어있습니다. 필터가보기에적용되었음을알려주는주황색깔때기아이콘이보기창의오른쪽상단모서리에표시됩니다. 이주황색아이콘을클릭하면필터가지워지고쿼리가다시실행됩니다. 변수, 글로벌필터, 로컬필터, 정규화된문자열또는보고서필터와같이쉼표로구분된필터가있는어디서나이들이관심목록의일부가아닌경우따옴표를사용해야합니다. 값이 Smith,John 인경우 "Smith,John" 을입력해야합니다. 값에따옴표가있는경우따옴표안에따옴표로묶어야합니다. 값이 Smith,"Boy"John 인경우 "Smith,""Boy""John" 으로입력해야합니다. contains 및 regex 필터를사용할수있습니다. 문자열필터작동방법 contains 및 regex 필터는인덱스문자열데이터및인덱싱되지않은문자열데이터둘다와일드카드기능을제공합니다. 이러한필터는구문요구사항이있습니다. 텍스트또는문자열필드에서 contains 및 regex 필터를사용합니다. 필터필드이름옆에대 / 소문자구분안함아이콘 은텍스트필드를나타냅니다. contains 필터를허용하는다른필드는이아이콘이없습니다. 구문예제 contains의구문은 contains(somevalue) 이고 regex는 regex(someregularexpression) 입니다. 필터에서대 / 소문자를구분하지않으려면 을클릭하거나 regex(/somevalue/i) 와같이 /i 정규표현식표기법을포함 합니다. 검색결과대 / 소문자에관계없이 somevalue가포함된모든값을반환합니다. NOT 및 OR 아이콘이 contains 및 regex 값에적용됩니다. 검색결과에하나의값을제외한값을표시하게하려 면해당값을입력하고 아이콘을클릭합니다. 결과에하나의값또는또다른값을표시하게하려면해당값을입력 하고 아이콘을클릭합니다. 예 #1 단순검색 인덱싱된필드 : contains(stra), regex(stra) 인덱싱되지않은필드 : stra 결과 : administrator, gmestrad 또는 straub와같이 stra가포함된문자열을반환합니다. 예 #2 OR 검색 McAfee Enterprise Security Manager 11.1.x 제품안내서 73

9 위협찾기필터작동방법 인덱싱된필드 : 인덱싱되지않은필드 : admin,ngcp 결과 : contains(admin,ngcp), regex((admin NGCP)) admin 또는 NGCP 를포함하는필드내의문자열을반환합니다. 정규식 OR 가작동하려면추가괄호세트가필요합니다. 예 #3 서비스계정등에서특수문자검색 달러기호 : 인덱싱된필드 : 인덱싱되지않은필드 : $ contains($), regex(\x24) 또는 regex(\$) 결과 : 각문은 $ 를포함하는필드내의문자열을반환합니다. 정규식에서 $ 를이스케이프하지않고사용하면결과세트에서빈값을반환합니다. PCRE 이스케이프시퀀스가사용하는데더좋은검색방법입니다. 백분율기호 : 인덱싱된필드 : 인덱싱되지않은필드 : % contains(%), regex(\x25) 또는 regex(\%) 백슬래시 : 인덱싱된필드 : contains(\), regex(\x5c) 또는 regex(\\) 인덱싱되지않은필드 : \ 이중백슬래시 인덱싱된필드 : contains(\\), regex(\x5c\x5c) 또는 regex(\\\) 인덱싱되지않은필드 : 정규식에서 HEX 값또는슬래시를사용하지않으면 " 잘못된정규표현식 (ER5-0015)" 오류가발생할수있습니다. 예 #4 * 와일드카드를사용하여검색인덱싱된필드 : contains (ad*) 인덱싱되지않은필드 : ad* 결과 : administrator 및 address와같이 ad로시작하는모든문자열을반환합니다. 예 #5 정규표현식을사용하여검색이러한도메인은 Microsoft DNS 이벤트에서가져온것입니다. regex(nitroguard\x28[3-4]\x29[com info}+) (3)www(10)nitroguard(3)com(0) (3)www(10)nitroguard(4)info(0) (3)www(10)nitroguard(3)gov(0) (3)www(10)nitroguard(3)edu(0) 74 McAfee Enterprise Security Manager 11.1.x 제품안내서

위협찾기필터작동방법 9 (3)www(10)nitroguard(7)oddball(0) 결과 : 이정규표현식은특수문자열을선택합니다. 이경우 nitroguard, 3 자리또는 4 자리기본도메인및 com 또는 info 입니다. 이정규식은처음두개의표현식과일치하지만나머지는그렇지않습니다. 이들은정규식을해당기능과함께사용할수있는방법을보여주는예입니다. 경고 오버헤드가높아지고쿼리성능이느려지는것을방지하려면 3 개이상의문자값이있는 regex 를사용합니다. 이필터는상관규칙또는경보에서사용할수없습니다. 유일한예외는이름 / 값사용자지정유형과함께상관규칙에서사용할수있다는것입니다. NOT 과함께 contains 또는 regex 를사용하면오버헤드가높아지고쿼리성능이느려질수있습니다. 블룸필터를잘알고있으면좋습니다. contains 및 regex 를지원하는필드 어떤텍스트또는문자열필드가 contains 및 regex 필터를지원하는지알아봅니다. Access_Resource File_Path Registry_Value Application File_Type Request_Type Application_Protocol Filename Response_Code Area Forwarding_Status Return_Code Authoritative_Answer From RTMP_Application Bcc From_Address Sensor_Name Caller_Process FTP_Command Sensor_Type Catalog_Name Host Sensor_UUID Category HTTP_Req_Cookie Session_Status Cc HTTP_Req_Host Signature ID Client_Version HTTP_Req_Method Signature_Name Command HTTP_Req_Referer SNMP_Error_Code Contact_Name HTTP_Req_URL SNMP_Item Contact_Nickname HTTP_User_Agent SNMP_Item_Type Cookie Incomtin_ID SNMP_Operation Creator_Name Interface SNMP_Version Database_ID Interface_Dest Source User Database_Name Job_Name Source_Context Datacenter_ID Job_Type Source_Logon_ID Datacenter_Name Language Source_Network DB2_Plan_Name Local_User_Name Source_UserID Delivery_ID Logical_Unit_Name Source_Zone Description Logon_Type SQL_Command Destination User LPAR_DB2_Subsystem SQL_Statement Destination_Directory Mail_ID Step_Count Destination_Filename Mailbox Step_Name Destination_Hostname Mainframe_Job_Name Subject Destination_Logo_ID Malware_Insp_Action SWF_URL McAfee Enterprise Security Manager 11.1.x 제품안내서 75

9 위협찾기필터작동방법 Destination_Network Malware_Insp_Result Table_Name Destination_UserID Management_Server Target_Class Destination_Zone Message_ID Target_Context Detection_Method Message_Text Target_Process_Name Device_Action Method TC_URL Direction NTP_Client_Mode Threat_Category Directory NTP_Opcode Threat_Handled DNS_Class NTP_Request Threat_Name DNS_Name NTP_Server_Mode To DNS_Type Object To_Address Domain Object_Type URL Event_Class Operating_System URL_Category External_Application Policy_Name User_Agent External_DB2_Server Privileged_User User_Nickname External_Hostname Process_Name Version External_SessionID Query_Response Virtual_Machine_ID Facility Reason Virtual_Machine_Name File_Operation Referrer File_Operation_Succeeded Registry_Key 대시보드보기필터링 보기에서특정상세정보에집중할수있도록대시보드보기를필터링합니다. 시작하기전에보기관리또는데이터보기권한이있는액세스그룹에속하는지확인합니다. 1 필터링하려는대시보드보기를엽니다. 2 보기를필터링하려면다음중하나를수행합니다. [ 필터 ] 막대를클릭하여관련필드및값을추가합니다. [ 필터 ] 막대에서 AND 연산자만사용할수있습니다. 필터에서기본값같음 (=) 연산자를적용합니다. 연산자를같지않음 (!=) 으로변경하려면같음기호 (=) 를클릭합니다. 필터에서필드를제거하려면해당필드에서을클릭합니다. AND 와 OR 연산자를모두사용하여복잡한필터를작성하려면 [ 고급검색 ] 을클릭합니다. 보기에대한시간프레임을지정하려면필터리본에서시계아이콘을클릭한다음시간프레임을선택합니다. 보관된파티션을쿼리하려면레거시 Flash 인터페이스를사용하여 [ 사용자지정시간 ] 을설정합니다. 76 McAfee Enterprise Security Manager 11.1.x 제품안내서

위협찾기필터작동방법 9 보기에사전정의된필터세트를적용하려면대시보드의오른쪽상단에있는 [ 필터세트 ] 드롭다운화살표를클릭합니다. 목록에서사전정의된필터세트를선택합니다. 필터세트를만들려면 [ 필터세트관리 ] 를클릭합니다. 필터세트를만드는방법에대한자세한내용을보려면 [ 필터세트관리 ] 창에서을클릭합니다. 3 보기를필터링하려면을클릭합니다. 보기가새로고쳐지고입력한값과일치하는레코드만표시됩니다. 참고항목 : 123 페이지의관심목록을사용하여보기및보고서필터링 정규화된 ID 로필터링 보기를만들거나보기에필터를추가할때정규화된 ID를사용하여데이터를필터링할수있습니다. 1 McAfee ESM 콘솔에서보기를만들거나필터를보기에추가합니다. 보기를만드는경우 [ 쿼리마법사 ] 의두번째페이지에서 [ 필터 ] 를클릭합니다. 보기에필터를추가하려면필터를추가할보기를선택합니다. 화면오른쪽에 [ 필터 ] 창이있습니다. 2 [ 정규화된 ID] 필드를찾은다음 [ 필터 ] 아이콘을클릭합니다. 3 ID 를선택한다음 [ 확인 ] 을클릭합니다. [ 정규화된 ID] 필드에선택한 ID 번호가추가됩니다. 컴플라이언스 ID 로필터링 UCF(Unified Compliance Framework) 는각규정의사양을표준화된제어 ID 에매핑하는조직입니다. 규정이변경되면이러한 ID 가업데이트되고 McAfee ESM 으로푸시됩니다. 1 UCF 필터를추가하려면 [ 컴플라이언스 ID] 필드옆에있는필터아이콘을클릭하고필터로사용할컴플라이언스 값을선택합니다. 그런다음 [ 확인 ] [ 쿼리실행 ] 을클릭합니다. 2 Windows 이벤트 ID 필터를추가하려면 [ 시그니처 ID] 옆에있는필터아이콘을클릭하고 [ 필터변수 ] 에서 Windows 탭을선택합니다. 그런다음텍스트필드에 Windows 이벤트 ID( 쉼표로구분 ) 를입력하거나목록에서필터링할값을선택합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 77

9 위협찾기필터작동방법 보기필터링 필터를사용하면보기에서선택한항목에대한상세정보를볼수있습니다. 필터를입력하고보기를새로고치면보기의데이터에추가한필터가반영됩니다. 1 McAfee ESM 콘솔에서필터링하려는보기를선택합니다. 2 [ 필터 ] 창의다음방법중하나로보기를필터링합니다. 적절한필드에필터정보를입력합니다. 예를들어보기를필터링하여소스 IP 주소가 161.122.15.13 인데이터만표시하려면 [ 소스 IP] 필드에 IP 주소를입력합니다. contains 및 regex 필터를입력합니다. 필드옆에있는 [ 필터목록표시 ] 아이콘을클릭하고필터링할변수나관심목록을선택합니다. 보기에서필터로사용하려는데이터를선택한다음 [ 필터 ] 창에서필드를클릭합니다. 필드가비어있으면선택한데이터로자동으로채워집니다. [ 평균심각도 ] 의경우콜론 (:) 을사용하여범위를입력합니다. 예를들어 60:80 은 60 에서 80 사이의심각도범위입니다. 3 보기에서데이터를필터링하는방법을지정합니다. 보기에서데이터를포함하거나제외합니다. 정규필터및 OR 필터를사용합니다. 이필터가작동하려면둘이상의필드에 [OR] 가선택되어야합니다. 케이스별로데이터를필터링하려면을클릭합니다. 정규화된문자열을해당별칭으로바꾸려면을클릭합니다. 4 쿼리를실행하려면을클릭합니다. McAfee ESM 에서보기를새로고칩니다. 주황색필터아이콘이보기창의오른쪽위에나타나보기의데이터가필터의결과임을나타냅니다. 아이콘을클릭하면시스템이필터를제거하고보기에모든데이터가표시됩니다. 스트리밍이벤트보기 선택한 McAfee epo, McAfee Network Security Manager, 수신기, 데이터소스, 하위데이터소스또는클라이언트에서생성된이벤트스트림을봅니다. 목록을필터링하고이벤트를선택하여보기에표시할수있습니다. 1 시스템탐색트리에서보려는장치를선택한다음액션도구모음에서 [ 스트리밍이벤트보기 ] 아이콘을클릭합 니다. 2 스트리밍을시작하려면 [ 시작 ] 을클릭하고중지하려면 [ 중지 ] 를클릭합니다. 3 뷰어에서사용가능한액션을선택합니다. 4 [ 닫기 ] 를클릭합니다. 78 McAfee Enterprise Security Manager 11.1.x 제품안내서

위협찾기사용자지정유형작동방법 9 IP 주소이벤트상세정보보기 McAfee 의 McAfee Global Threat Intelligence (McAfee GTI) 사용권이있으면 [IP 주소상세정보 ] 조회를수행할때새 [ 위협상세정보 ] 탭에액세스할수있습니다. 이옵션을선택하면위험심각도및지리적위치데이터를포함하여 IP 주소에대한상세정보가반환됩니다. 시작하기전에 현재 McAfee GTI 사용권이있는지확인합니다. 1 McAfee ESM 콘솔에서표구성요소를포함할보기 ( 예 : [ 이벤트보기 ] [ 이벤트분석 ]) 를선택합니다. 2 IP 주소를클릭하고구성요소에서을클릭한다음 [IP 주소상세정보 ] 를클릭합니다. 사용자지정유형작동방법 사용자지정유형필드를사용하여보기및보고서를필터링하고사용자지정규칙을만듭니다. 사용자지정유형을추가, 편집또는제거할뿐만아니라사용자지정유형을내보내고가져올수있습니다. 사용자지정유형내보내기또는가져오기 사용자지정유형을특정위치로내보낼수있습니다. 사용자지정유형을가져오면시스템의현재사용자지정유형이바뀌게되므로주의합니다. 사용자지정쿼리 보기에대해쿼리를설정하면사전정의된사용자지정유형을사용하여쿼리를필터링할수있습니다. 특정사용자지정유형에대해데이터가없는경우반환되는쿼리결과가없습니다. 이러한결과가발생하지않도록하려면사용자지정유형을사용하는대신필요한결과를반환하는사용자필드 ( 테이블의 [ 이벤트필드 ] 열에있는사용자지정필드 1-10) 를선택합니다. 예를들어쿼리결과에소스사용자데이터를포함하려면 [ 소스사용자 ] 를쿼리필드로선택합니다. 해당필드가필터역할을하며정보에소스사용자데이터가없으면쿼리에서결과를반환하지않습니다. 그러나사용자필드 7( 소스사용자에대한사용자필드 ) 을선택하면해당필드가결과테이블에열로나타나고데이터를필터링하지않습니다. 소스사용자데이터가있으면이열에나타납니다. 이필드에대한데이터가없으면사용자필드 7 열은비어있지만다른열은채워집니다. 사용자지정데이터유형 [ 데이터유형 ] 필드에서 [ 사용자지정 ] 을선택하면여러필드로그에서각필드의의미를정의할수있습니다. 예를들어로그 (100300.351) 에는세개의필드 (100, 300.35, 1) 가있습니다. 사용자지정하위유형에서는이러한필드 ( 정수, 10 진수, 부울 ) 를각각지정할수있습니다. 예 : McAfee Enterprise Security Manager 11.1.x 제품안내서 79

9 위협찾기사용자지정유형작동방법 초기로그 100300.351 3 개의하위유형 Integer decimal boolean 사용자지정하위유형 100 300.35 1 하위유형에는최대 8 바이트 (64 비트 ) 의데이터가포함될수있습니다. [ 공간사용 ] 에는사용된바이트및비트수가표시됩니다. 데이터가최대공간을초과하면이필드는빨간색으로표시되어공간을초과했음을나타냅니다. 예를들어공간사용 : 9/8 바이트, 72/64 비트로표시됩니다. 이름 / 값사용자지정유형 [ 이름 / 값그룹 ] 데이터유형을선택하는경우지정한이름 / 값쌍그룹이포함된사용자지정유형을추가할수있습니다. 그런다음이러한이름이지정된쌍에따라보기및쿼리를필터링하고 [ 내부이벤트일치 ] 경보에서사용할수있습니다. 다음과같은특징이있습니다. 정규표현식을사용하여이름 / 값그룹필드를필터링합니다. [ 상관규칙편집기 ] 에서선택할수있도록이쌍을상호연결할수있습니다. ASP( 고급 Syslog 분석기 ) 는쌍의값부분을수집합니다. 이름 / 값사용자지정유형의최대크기는이름을포함하여 512 자입니다. 512 자를초과하는값은수집할때잘립니다. 이름의크기및개수를제한합니다. 이름은세개이상의문자로구성해야합니다. 이름 / 값사용자지정유형은이름을최대 50 개까지가질수있습니다. 이름 / 값그룹의각이름은글로벌필터에서다음과같이표시됩니다. < 그룹이름 > - < 이름 > 인덱싱되지않은사용자지정유형의정규표현식형식 인덱싱되지않은문자열및인덱싱된문자열, 임의문자열및해시된문자열사용자지정유형은다음의형식지정을따릅니다. contains(<regular expression>) 구문을사용하거나인덱싱되지않은임의문자열또는해시된문자열필드에값을입력한다음사용자지정유형을필터링합니다. regex() 구문을사용합니다. contains() 에서쉼표로구분된필터를인덱싱되지않은사용자지정유형필드에넣으면 (Tom,John,Steve), 시스템이정규표현식을수행합니다. 포함또는인덱싱되지않은임의문자열또는해시된문자열필드에서쉼표와별표및마침표와별표는막대 ( ) 역할을합니다. 별표 (*) 같은문자를입력하는경우별표가뒤에붙은마침표 (.*) 로대체됩니다. 정규표현식이잘못되었거나여는괄호또는닫는괄호가누락되면잘못된정규표현식오류가발생할수있습니다. 인덱싱되지않은문자열및인덱싱된문자열, 임의문자열및해시된문자열사용자지정유형필터필드에서는단일 regex() 또는 contains() 만사용할수있습니다. 시그니처 ID 필드에서 contains(< 규칙메시지일부또는모두 >) 및 regex(< 규칙메시지일부 >) 를허용합니다. contains 의공통검색필터는단일값이거나앞뒤에.* 가있는단일값이아닌값입니다. 검색필터에는다음값이포함됩니다. 80 McAfee Enterprise Security Manager 11.1.x 제품안내서

위협찾기사용자지정유형작동방법 9 단일값 정규표현식으로변환되는쉼표로구분된여러값.* 처럼작동하는 * 가포함된 contains 문 regex() 구문을사용할수있는고급정규표현식 사용자지정유형만들기 필터로사용할사용자지정유형을추가합니다. 시작하기전에 관리자권한이있거나사용자관리권한이있는액세스그룹에속해있는지확인합니다. 관리자권한이있는경우 [ 시스템속성 ] [ 사용자지정유형 ] 에서사전정의된사용자지정유형을확인합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 McAfee ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 사용자지정유형 ] 을클릭합니다. 4 [ 추가 ] 를클릭합니다 : 드롭다운목록에서데이터유형을선택합니다. [ 시간 초정밀도 ] 는시간데이터를초로저장합니다. [ 시간 나노초정밀도 ] 는시간을나노초로저장합니다. 나노초를나타내는 9 개의정밀도값이있는부동소수점숫자가포함됩니다. 이사용자지정유형을추가할때 [ 인덱스 ] 를선택하면필드가쿼리, 보기및필터에서필터로표시됩니다. 이는배포구성요소에나타나지않고데이터보강, 관심목록또는경보에서사용할수없습니다. 각이벤트또는플로에대한사용자지정유형의슬롯을선택합니다. 이사용자지정유형에따라필터링하려면 [ 인덱스데이터 ] 를선택합니다. 그러면보기, 보고서및규칙에사용할수있는필터목록에사용자지정유형이추가됩니다. 사용자지정유형은배포구성요소에나타나지않고데이터보강, 관심목록또는경보에서사용할수없습니다. 이옵션을선택하지않으면이사용자지정유형은정규표현식으로만필터링할수있습니다. [ 데이터유형 ] 필드에서 [Long 사용자지정 ] 또는 [Short 사용자지정 ] 을선택할경우사용자지정하위유형을추가할수있습니다. [ 하위유형수 ] 테이블에추가하려는하위유형수를선택합니다. [ 이름 ] 열 각하위유형을클릭한다음이름을입력합니다. [ 데이터유형 ] 열 각하위유형을클릭한다음각하위유형에대한데이터유형을선택합니다. [ 부울 ] 을선택하는경우유효성검사에서이들이 8 개의하위유형그룹에표시되는지확인합니다. [ 길이 ] 열 [ 데이터유형 ] 열에서 [ 정수 ] 또는 [ 부호없는정수 ] 를선택한경우데이터길이를바이트단위로선택합니다. 정수의길이는 1, 2, 4 또는 8 이어야합니다. [ 인덱싱관리 ] [ 데이터유형 ] 필드에서 [ 누적장치값 ] 을선택한경우각누적장치필드의인덱스를활성화하려면클릭합니다. [ 이름 / 값그룹 ] 데이터유형을선택하는경우텍스트필드에값쌍이름을추가합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 81

9 위협찾기쿼리작동방법 쿼리작동방법 McAfee ESM 에는보고서또는보기에대한데이터를수집하는미리정의된쿼리가포함되어있습니다. 보기또는보고서를추가하거나편집할때포함시키려는쿼리유형, 쿼리, 필드및사용하려는필터를선택하여각구성요소의쿼리설정을정의합니다. 구성요소로수집하려는데이터를선택합니다. 또한쿼리를편집하거나제거하고기존쿼리를복사하여새쿼리를설정하는템플릿으로사용할수있습니다. 쿼리관리 McAfee ESM 에는보고서또는보기에대한데이터를수집하는미리정의된쿼리가제공됩니다. 이러한쿼리에서일부설정을편집하고사용자지정쿼리를추가하고제거할수있습니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 시스템속성 ] 을선택합니다. 2 [ 보고서 ] 를클릭한다음보고서를추가하거나편집하여 [ 쿼리마법사 ] 에액세스합니다. 3 [ 쿼리마법사 ] 에서기존쿼리를복사하여새쿼리의템플릿으로사용합니다. 또한사용자지정쿼리를편집하거나삭제할수있습니다. 4 [ 마침 ] 을클릭합니다. 값비교작동방법 배포그래프에는현재그래프의맨위에다른변수를중첩할수있는옵션이있습니다. 이방법으로두값을비교하여쉽게관계 ( 예 : 총이벤트와평균심각도 ) 를표시할수있습니다. 이기능은시간에따른중요한데이터비교를한눈에볼수있도록제공합니다. 또한이기능은결과를하나의배포그래프로결합함으로써큰보기를구성할때화면공간을절약하는데도유용합니다. 비교는선택한쿼리와동일한유형으로제한됩니다. 예를들어이벤트쿼리를선택하면플로또는자산및취약성테이블이아닌이벤트테이블의필드와만비교할수있습니다. 쿼리매개변수를배포도표에적용하면해당쿼리를정상적으로실행합니다. 비교필드가활성화되면보조쿼리가해당데이터에대해동시에실행됩니다. 배포구성요소는동일한그래프에두데이터세트의데이터를표시하지만별개의두세로축을사용합니다. 도표유형을변경해도두데이터세트는계속표시됩니다. 그래프값비교 배포그래프의데이터를선택하는변수와비교할수있습니다. 1 [ 새보기만들기 ] 아이콘또는 [ 현재보기편집 ] 아이콘을선택합니다. 2 [ 배포 ] 아이콘을클릭한다음보기에끌어놓아 [ 쿼리마법사 ] 를엽니다. 3 쿼리유형및쿼리를선택하고 [ 다음 ] 을클릭합니다. 4 [ 비교 ] 를클릭한다음선택한쿼리와비교하려는필드를선택합니다. 5 [ 확인 ] 을클릭한다음 [ 마침 ] 을클릭합니다. 6 구성요소를보기의올바른위치로이동하고다음을수행합니다. 구성요소를기존보기에추가하는경우 [ 저장 ] 을클릭합니다. 새보기를만드는경우 [ 다른이름으로저장 ] 을클릭하고보기의이름을추가합니다. 82 McAfee Enterprise Security Manager 11.1.x 제품안내서

위협찾기로그검색작동방법 9 스택배포설정 특정필드와관련된이벤트배포를보려면보기또는보고서에배포구성요소를설정합니다. 보기또는보고서에구성요소를추가할때배포를스택하는방법을선택합니다. 보기에액세스할때설정을변경하고, 간격을설정하고, 도표유형및상세정보를설정할수있습니다. [ 스택 ] 과 [ 비교 ] 를동일한쿼리에서사용할수없습니다. 1 보기또는보고서에 [ 배포 ] 구성요소를끌어다놓은다음쿼리유형을선택합니다. 스택은 [ 수집비율 ] 또는 [ 평균 ]( 예 : [ 경보당평균심각도 ] 또는 [ 플로당평균기간 ]) 배포쿼리에사용할수없습니다. 2 [ 쿼리마법사 ] 의두번째페이지에서 [ 스택 ] 을클릭한다음옵션을선택합니다. 3 [ 스택옵션 ] 페이지에서 [ 확인 ] 을클릭하고 [ 쿼리마법사 ] 에서 [ 마침 ] 을클릭합니다. 4 [ 도표옵션 ] 아이콘을클릭하면설정을변경하고간격및도표유형을설정할수있습니다. 로그검색작동방법 시스템에 McAfee Enterprise Log Manager 가하나이상있는경우로그검색보기를사용하여로그데이터를검색합니다. 하나이상의 McAfee Enterprise Log Manager 에서로그검색을수행할때더자세한검색을수행하고실시간검색진행률추적및결과를제공합니다. 이보기는검색해야하는데이터양에대한실시간정보를제공함으로써쿼리를제한하여검색할파일수를최소화할수있습니다. 검색하는동안그래프가예상되는결과를표시합니다. 결과시간배포그래프 시간배포에따라추정치및결과를표시합니다. 시간프레임드롭다운목록에서선택한내용에따라하단축이변경됩니다. 데이터소스결과그래프 시스템탐색트리에서선택한장치의데이터소스에따라데이터소스당추정치및결과를표시합니다. 장치유형결과그래프 시스템탐색트리에서선택한장치에따라장치유형당추정치및결과를표시합니다. 시스템은검색이시작되기전에이그래프를채우고결과가발견되면그래프를업데이트합니다. 데이터소스결과또는장치유형결과그래프에서하나이상의막대를선택하거나결과시간배포그래프의섹션을강조표시합니다. 결과가들어오기시작하면 [ 필터적용 ] 을클릭하여검색범위를좁힙니다. 이를통해검색결과를자세히보고검색해야하는데이터양을제한할수있습니다. 검색이완료되면이러한그래프에실제결과가표시됩니다. 신속하게로그데이터검색 McAfee Enterprise Log Search를사용하여 McAfee ESM 대시보드에서압축되지않은로그데이터를검색합니다. 시작하기전에 McAfee Enterprise Log Search가구성되었는지확인합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 83

9 위협찾기로그검색작동방법 1 대시보드에서을클릭하고 [ELS 검색 ] 을선택합니다. 2 [ 필터 ] 모음에서찾을정보를입력한다음을클릭하여검색을시작합니다. 시스템은다음단어를무시합니다. but, be, with, such, then, for, no, with, not, are, and, their, if, this, on, into, a, or, there, in, that, they, was, is, it, an, the, as, at, these, by, to, of 3 다음과같이검색결과를세분화합니다. [ 검색설정 ] 을클릭하여고급검색을만듭니다. [ 검색기록 ] 을클릭하여이전검색을보고다시실행합니다. 을클릭하여검색결과를새로고칩니다. 드롭다운화살표를클릭하여시간또는날짜별로검색결과를필터링합니다. 검색범위를좁히려면검색결과에있는정보를입력하고을클릭합니다. 향상된이벤트로그검색수행 정의한정보의경우 McAfee Enterprise Log Manager 장치에서로그를검색합니다. 1 보기창의드롭다운목록에서 [ 향상된 ELM 검색 ] 을선택합니다. 2 시스템에둘이상의 McAfee Enterprise Log Manager 장치가있는경우텍스트필드옆의드롭다운목록에서검색할장치를선택합니다. 3 텍스트필드에일반텍스트검색또는정규표현식을입력합니다. 4 [ 현재날짜 ] 이외의시간프레임을원하는경우드롭다운목록에서선택합니다. 5 시스템탐색트리에서검색하려는장치를선택합니다. 6 필요한경우다음옵션에서하나이상선택합니다. [ 대 / 소문자구분안함 ] 대 / 소문자를구분하여검색합니다. [ 정규표현식 ] 검색필드의용어를정규표현식으로처리합니다. [ 검색어포함안함 ] 검색필드에용어가포함되지않은항목을반환합니다. 7 [ 검색 ] 을클릭합니다. 8 검색결과를복사, 다운로드또는저장합니다. 9 저장된검색을보려면 [ELM 속성 ] [ 데이터 ] 를클릭합니다. 84 McAfee Enterprise Security Manager 11.1.x 제품안내서

위협찾기로그검색작동방법 9 로그검색및무결성체크정의 조건과일치하는파일의 McAfee Enterprise Log Manager 를검색하려면검색의매개변수를정의합니다. 또한무결성체크를정의하여 McAfee Enterprise Log Manager 의파일이원래저장된이후변경되었는지파악할수도있습니다. 1 시스템탐색트리에서 McAfee Enterprise Log Manager 를선택한다음을클릭합니다. 2 [ 데이터 ] 를선택합니다. [ 로그및파일검색 ] 탭에서검색매개변수를구성합니다. [ 무결성체크 ] 탭에서체크매개변수를구성합니다. 3 [ 검색 ] 을클릭합니다. 오랜시간동안복잡한검색을실행하면검색프로세스가작동하지않을수있습니다. 이러한검색을더작은시간범위로나누는것이좋습니다. 정규식을사용하여 ELM 데이터쿼리 ELM(Enterprise Log Manager) 은블룸인덱스를사용하여쿼리를최적화합니다. 대부분의 PCRE(Perl Compatible Regular Expressions) 는 ELM 검색에사용할수있지만일부 PCRE 만블룸을사용하는데최적화될수있습니다. 블룸정규식최적화프로그램은최적화된검색을제공하기위해사전조정을수행하지만여러가지사항을유의하면쿼리에서더좋은성능을얻을수있습니다. 블룸필터링의경우정규표현식의필수부분만사용할수있습니다. 블룸필터는모든일치문자열에있는정규표현식의하위문자열만사용합니다. 한가지예외사항은 (seth matt scott steve) 와같이한수준깊이또는그룹화를사용하는것입니다. 정규표현식에서 4 자보다짧은필수부분은사용할수없습니다. 예를들어 seth.*grover 는 seth 및블룸과함께 grover 를사용하지만 tom.*wilson 은 wilson 만사용하는데이는 tom 이너무짧기때문입니다. 비상수하위문자열또는너무짧은하위문자열이포함된또는그룹화는사용할수없습니다. 예를들어 (start \w\d + ending) 은사용할수없는데이는또는목록의중간항목이블룸에서검색될수있는상수가아니기때문입니다. 다른예로, (seth tom steve) 는 tom 이너무짧아사용할수없는반면 (seth matt steve) 는사용할수있습니다. 데이터베이스의최적화프로세스는정규식 - 블룸쿼리를실행합니다. 최적화프로그램은정규식을해체하고필수상수하위문자열을찾습니다. 예를들어다음은원래정규표현식입니다. \ \ (626 629 4725 4722)\ \.*\ \ (bbphk)\ \ 이예제에서블룸이사용하는부분은 bbphk 뿐입니다. 이렇게변경하면 100 만개의파일에서 2 만개의파일로검색집합을줄입니다. 다음방식으로정규표현식을더욱최적화할수있습니다. (\ \ 626\ \ \ \ 629\ \ \ \ 4725\ \ \ \ 4722\ \ ).*\ \ bbphk\ \ 이예제에서 \ \ 는첫번째그룹전후에서그룹의각요소앞뒤로이동되었습니다. 이렇게하면다음두가지가수행됩니다. 파이프문자를포함할수있습니다. 3 자만있어서무시되었던첫번째그룹의요소가 4 자보다길어져사용될수있습니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 85

9 위협찾기 McAfee Active Response 검색작동방법 또한 bbphk 주위의괄호는새하위그룹인블룸필터에필요하지않고나타나지않으므로제거되었습니다. 정규표현식에서이러한유형을수동으로조정하면검색을단지약 2 천개파일로효과적으로더줄일수있습니다. 오랜시간동안복잡한검색을실행하면검색프로세스가작동하지않을수있습니다. 장기간검색을더작은시간범위로나누는것을고려합니다. SFTP 를사용하여로그검색 SFTP 액세스가로그를검색할수있도록 McAfee Enterprise Log Manager를구성합니다. 시작하기전에 [ELM SFTP 액세스 ] 권한이있어야합니다. 1 WinSCP 5.11, Filezilla, CoreFTP LE 또는 FireFTP와같은 SFTP 클라이언트를엽니다. 2 IP 주소와구성된 SFTP 포트를사용하여 McAfee Enterprise Log Manager에연결합니다. 날짜는시스템이로그를 McAfee Enterprise Log Manager에삽입한시기를나타냅니다. 파일은두가지방법, 즉 1) 데이터소스이후데이터, 2) 날짜이후데이터소스로표시됩니다. 3 로그를선택하고전송합니다. 이을수행하는단계는사용중인 SFTP 클라이언트에따라달라집니다. SFTP 전송을위한최대파일수는 20,000 입니다. McAfee Active Response 검색작동방법 McAfee Active Response 가엔드포인트에가시성및유용한정보를계속제공하므로위반이발생하면식별할수있습니다. 이를통해보안전문가가현재보안상황을쿼리하고, 위협탐지를개선하며, 상세한분석및포렌직조사를수행할수있습니다. McAfee Active Response 가 McAfee ESM 에추가된 McAfee epo 장치에확장으로설치된경우 McAfee Active Response 를사용하여 McAfee ESM 에서검색할수있습니다. 검색을실행하면현재엔드포인트데이터목록이생성되어다음을수행할수있습니다. 검색결과목록보기 검색결과로채워진데이터보강소스추가 검색결과로채워진관심목록만들기 검색데이터내보내기 기존관심목록에 McAfee Active Response 검색데이터추가 McAfee Active Response 로검색할때는 McAfee Data Exchange Layer (DXL) 를사용합니다. McAfee ESM 에서 McAfee Active Response 를사용할때다음사항에유의합니다. HA( 고가용성 ) 수신기는 McAfee Data Exchange Layer (DXL) 를지원하지않습니다. McAfee Active Response 검색의날짜형식은 2018-11-05T23:10:14.263Z 로반환되며 McAfee ESM 날짜형식으로변환되지않습니다. McAfee Active Response 데이터를관심목록에추가하는경우시스템이데이터의유효성을검사하지않습니다. 즉, 형식이일치하지않는데이터를관심목록에추가할수있습니다. 86 McAfee Enterprise Security Manager 11.1.x 제품안내서

위협찾기 McAfee Active Response 검색작동방법 9 McAfee Active Response 를사용하여검색 McAfee Active Response 를사용하여현재엔드포인트데이터를검색합니다. 시작하기전에 McAfee epo 가있는 McAfee Active Response 장치를 McAfee ESM 에추가합니다. 1 McAfee epo 장치에대한검색설정을정의합니다. a McAfee ESM 대시보드에서을클릭하고 [ 시스템속성 ] 을선택합니다. b 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. c McAfee epo [ 속성 ] 을클릭한다음 [ 연결 ] 을클릭합니다. d [DXL 사용 ] 을선택하고 [ 에이전트웨이크업포트 ]( 기본값 8081) 를지정합니다. 2 McAfee ESM 대시보드에서표위젯을사용하는보기 ( 예 : [ 이벤트분석 ]) 를선택합니다. 3 이벤트를클릭한다음을클릭합니다. 4 [ 액션 ] [Active Response 검색실행 ] 을선택한다음사전정의된검색유형을선택합니다. 표에검색을위한적절한필드가없는경우검색유형이회색으로표시됩니다. 소스및대상 IP 주소에대한파일상세정보 ( 예 : 운영체제, 이름 ) 사용자상세정보 연결된장치에대한소스 IP 주소프로세스상세정보 연결된장치에대한대상 IP 주소프로세스상세정보 동일한소스또는대상 IP 주소로연결된장치 McAfee Active Response 검색결과보기 McAfee Active Response 검색을실행한후생성된데이터를관리하기위해수행할수있는액션이있습니다. 1 McAfee Active Response 검색을실행합니다. 2 결과에서행을선택한다음 [ 메뉴 ] 아이콘을클릭합니다. 선택한열의값을사용하여새로운정적관심목록을만들거나기존관심목록에추가합니다. 이표에서선택한데이터의유효성은검사되지않습니다. 데이터를.csv 파일로내보냅니다. 선택한행에대해다른검색을수행합니다. 결과가있으면새데이터가현재데이터를대체합니다. McAfee Active Response 데이터보강소스추가 McAfee ESM 검색결과로채워진데이터보강소스를 McAfee Active Response 에추가할수있습니다. 시작하기전에 McAfee epo 가있는 McAfee Active Response 장치를 McAfee ESM 에추가합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 87

9 위협찾기 Cyber Threat 작동방법 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 McAfee ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 데이터보강 ] 을클릭한다음 [ 추가 ] 를클릭합니다. 4 [ 기본 ] 탭에서요청된정보를완료합니다. 5 [ 소스 ] 탭의 [ 유형 ] 필드에서 McAfee Active Response 를선택한다음요청된정보를입력합니다. 6 나머지탭의정보를완료한다음 [ 마침 ] 을클릭합니다. 소스가추가되고지정된데이터가 McAfee Active Response 데이터로보강됩니다. McAfee Active Response 이 DXL 을통해 McAfee ESM 수집기를꺼내지못하면 McAfee Active Response 유형이나열되지않습니다. Cyber Threat 작동방법 McAfee ESM 을사용하면원격소스에서 IOC( 손상표시기 ) 를검색하고해당환경의관련 IOC 활동에신속하게액세스할수있습니다. Cyber Threat 관리를통해관심목록, 경보및보고서를생성하는자동피드를설정하여액션가능한데이터에대한시각화를제공할수있습니다. 예를들어의심스런 IP 주소를관심목록에자동으로추가하는피드를설정하여향후트래픽을모니터링할수있습니다. 해당피드는과거활동을나타내는보고서를생성하고보낼수있습니다. [ 이벤트워크플로보기 ] [Cyber Threat 표시기 ] 보기를사용하여해당환경의특정이벤트및활동으로신속하게드릴다운할수있습니다. 지원되는 IOC 유형 수동업로드 Cyber Threat 피드를추가하는경우 McAfee ESM 에서 STIX(Structured Threat Information expression) 파일을처리될 IOC( 손상표시기 ) 엔진에보냅니다. McAfee ESM 에대해정규화된 IOC 가파일에없으면오류메시지가표시됩니다. 표 9-1 McAfee ESM 에대해정규화된표시기유형 표시기유형 이메일주소 파일이름, 파일경로 관심목록유형 ( 플로 ) IPv4, IPv6 IP 주소, 소스 IP, 대상 IP 받는사람, 보낸사람, 숨은참조, 참조, 메일 _ID, 수신자 _ID 파일 _ 경로, 파일이름, 대상 _ 파일이름, 대상 _ 디렉터리, 디렉터리 ( 플로 ) MAC 주소 Mac 주소, 소스 MAC, 대상 MAC 정규화된도메인이름, 호스트이름, 도메인이름 IPv4, IPv6 MAC 주소 MD5 해시 SHA1 해시 주체 URL 호스트, 대상 _ 호스트이름, 외부 _ 호스트이름, 도메인, 웹 _ 도메인 IP 주소, 소스 IP, 대상 IP, 공격자 _IP, 그리드 _ 마스터 _IP, 장치 _IP, 공격대상자 _IP Mac 주소, 소스 MAC, 대상 MAC 파일 _ 해시, 상위 _ 파일 _ 해시 SHA1 주체 URL 88 McAfee Enterprise Security Manager 11.1.x 제품안내서

위협찾기 Cyber Threat 작동방법 9 표 9-1 McAfee ESM에대해정규화된표시기유형 ( 계속 ) 표시기유형 관심목록유형 사용자이름 소스사용자, 대상사용자, 사용자 _ 별명 Windows 레지스트리키 레지스트리 _ 키, 레지스트리. 키 ( 레지스트리하위유형 ) Windows 레지스트리값 레지스트리 _ 값, 레지스트리. 값 ( 레지스트리하위유형 ) 위협상세정보에액세스 Cyber Threat 피드로식별된외부데이터소스에서 IOC( 손상표시기 ) 에대한해당이벤트, 위협상세정보, 파일설명으로신속하게드릴다운합니다. 시작하기전에 조직의 Cyber Threat 피드결과를볼수있는 [ 사이버위협사용자 ] 권한이있는지확인합니다. 1 대시보드에서을클릭하고 [Cyber Threat 표시기 ] 를선택합니다. 2 McAfee ESM 콘솔에서 [ 이벤트워크플로보기 ] [Cyber Threat 표시기 ] 를선택합니다. 3 시간프레임목록에서보기에대한기간을선택합니다. 4 피드이름또는지원되는 IOC 데이터유형으로필터링합니다. 5 다음과같은표준보기액션을수행합니다. 관심목록을만들거나관심목록에추가 경보를만듭니다. 원격명령실행 케이스만들기 둘러보기또는마지막둘러보기 CSV 또는 HTML 파일에표시기내보내기 6 [ 설명, 상세정보, 소스이벤트 ] 및 [ 소스플로 ] 탭을사용하여위협상세정보로드릴다운합니다. 도메인에대한 Cyber Threat 피드설정 도메인피드를활성화하려면 IP 주소및도메인데이터를보유할두개의관심목록이있어야합니다. 시작하기전에다음권한이있는지확인합니다. Cyber Threat 관리 사용자가 Cyber Threat 피드를설정할수있습니다. Cyber Threat 사용자 사용자가피드에서생성한데이터를볼수있습니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 시스템속성 ] 을선택합니다. 2 [Cyber Threat 피드 ] [ 추가 ] 를선택한다음피드를만듭니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 89

9 위협찾기 Cyber Threat 작동방법 3 [ 관심목록 ] 탭에서 [ 새관심목록만들기 ] 를클릭하고두개의관심목록을추가합니다. [ 이름 ]: CyberThreatIP, [ 유형 ]: [IP 주소 ] [ 이름 ]: CyberThreatDomain, [ 유형 ]: [Web_Domain] 4 [ 표시기유형 ] 필드에서 [IPv4] 를선택한다음 [ 관심목록 ] 필드에서 CyberThreatIP 를선택합니다. 5 다음 [ 표시기유형 ] 필드에서 [ 완전한도메인이름 ] 을선택한다음 [ 관심목록 ] 필드에서 CyberThreatDomain 을선택합니다. 6 Cyber Threat 피드설정을완료한다음 [ 마침 ] 을클릭합니다. Cyber Threat 관리설정 원격소스에서 IOC( 손상표시기 ), STIX 형식 XML 을검색하기위한피드를설정합니다. 그러면이러한피드를사용하여관심목록, 경보, 보고서를생성하고이들을통해사용자가해당환경의관련 IOC 활동에액세스할수있습니다. 시작하기전에 다음권한이있는지확인합니다. Cyber Threat 관리 사용자가 Cyber Threat 피드를설정할수있습니다. Cyber Threat 사용자 사용자가피드에서생성한데이터를볼수있습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을클릭합니다. 2 [Cyber Threat 피드 ] 를클릭한다음 [ 추가 ] 를클릭합니다. 3 [ 기본 ] 탭에서피드이름을입력합니다. 4 [ 소스 ] 탭에서소스데이터유형및해당연결자격증명을선택합니다. 연결을테스트하려면 [ 연결 ] 을클릭합니다. 지원되는소스에는 McAfee Advanced Threat Defense 및 MITRE Threat Information Exchange(TAXII) 가있습니다. 5 [ 빈도 ] 탭에서피드가 IOC 파일을꺼내는빈도를식별합니다 ( 꺼내기빈도 ). 사용가능한꺼내기빈도는 x 분마다, 매일, 매시간, 매주또는매월이있습니다. 매일트리거시간을지정합니다. 6 [ 관심목록 ] 탭에서기존의관심목록에추가할 IOC 파일의속성또는필드를선택합니다. 지원되는속성또는필드에대한관심목록을추가할수있습니다. 필요한관심목록이아직존재하지않는경우 [ 새관심목록만들기 ] 를클릭합니다. 7 [ 역추적 ] 탭에서분석할이벤트 ( 기본값 ) 및플로, 분석할일치데이터, 이피드에대해데이터를다시분석할시간을식별합니다. a 선택하여이벤트, 플로또는둘다를분석합니다. b 이벤트및플로를다시분석할시간 ( 일단위 ) 을나타냅니다. c 역추적에서데이터일치를발견한경우수행할액션을지정합니다. d 경보의경우피할당자및심각도를선택합니다. 8 [ 기본 ] 탭으로돌아간다음 [ 활성화됨 ] 을선택하여이피드를활성화합니다. 9 [ 마침 ] 을클릭합니다. 프로세스가성공적으로완료되면알림이표시됩니다. 90 McAfee Enterprise Security Manager 11.1.x 제품안내서

위협찾기 Cyber Threat 작동방법 9 IOC STIX XML 파일업로드오류 수동업로드 Cyber Threat 피드를추가하는경우 McAfee ESM 에서 STIX(Structured Threat Information expression) 파일을처리될 IOC( 손상표시기 ) 엔진에보냅니다. 업로드에문제가있는경우다음오류중하나가발생합니다. 표 9-2 Cyper Threat 수동업로드오류 오류설명문제해결 ER328 잘못된 STIX 형식입니다. 파일형식이잘못되었습니다. 업로드한파일은 STIX 파일이어야합니다. 엔진에서는 STIX 버전 1.1 을지원합니다. 스키마가유효한지확인하려면 STIX 설명서를참조하십시오. OASIS(Open Standards for Information Society) STIX 표준을담당하는조직입니다. STIX 프로젝트 다양한 STIX 데이터모델, 스카마및 xsd 문서를포함합니다. ER329 지원되는 IOC 가없습니다. 업로드한 STIX 파일에 McAfee ESM 에대해정규화된표시기가없습니다. 특정표시기를처리할필요가있는경우정규화할수있도록지원에문의하십시오. McAfee Enterprise Security Manager 11.1.x 제품안내서 91

9 위협찾기 Cyber Threat 작동방법 92 McAfee Enterprise Security Manager 11.1.x 제품안내서

10 위협에응답 목차 경보작동방법케이스작동방법관심목록작동방법글로벌블랙리스트작동방법 경보작동방법 경보는특정위협이벤트에대한응답으로액션을수행합니다. 경보를트리거하는조건과경보가트리거될때발생하는상황을정의할수있습니다. 경보빌드 경보를빌드하고경보에응답하려면환경에다음과같은구성요소가있어야합니다. 경보메시지템플릿 경보오디오파일 메시지수신자그룹 경보보고서대기열 메일서버연결 대시보드의시각적경보창 자주트리거하는경보를너무많거나너무적게빌드하면집중을방해하는소음이만들어질수있습니다. 최선의방법은조직에중요한이벤트를에스컬레이션할경보를빌드하는것입니다. 경보에대한모니터및응답 대시보드보기, 경보상세정보, 필터및보고서를사용하여트리거된경보를보고, 확인하며, 삭제합니다. 트리거된경보보기 대시보드의경보창에심각도에따라경보의총개수가나열됩니다. 기호심각도범위 높음 66-100 중간 33-65 낮음 1-32 트리거된경보확인 시스템이대시보드의경보창에서확인된경보를제거하지만확인된경보는트리거된경보보기에남아있습니다. 트리거된경보삭제 시스템이트리거된경보를경보창및트리거된경보보기에서제거합니다. 시각적경보를사용하고트리거된경보를닫거나, 확인하거나, 삭제하지않는경우시각적경보는 30 초후에닫힙니다. 오디오경보는트리거된경보를닫거나, 확인하거나, 삭제할때까지재생되며오디오아이콘을클릭하면경보가중지됩니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 93

10 위협에응답경보작동방법 조직에대한모범사례에따라경보를세분화하고조정합니다. 경보모니터링활성화또는비활성화 전체시스템또는개별경보에대해경보모니터링을토글하여설정하거나해제합니다. McAfee ESM 경보모니터링은기본적으로설정 ( 활성화 ) 되어있습니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 McAfee ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 경보 ] 를클릭합니다. 4 전체시스템에대해경보모니터링을활성화또는비활성화하려면 [ 설정 ] 탭을클릭한다음 [ 비활성화 ] 또는 [ 활성화 ] 를클릭합니다. 경보모니터링을비활성화하면 McAfee ESM 은경보를생성하지않습니다. 5 개별경보를활성화또는비활성화하려면 [ 경보 ] 탭을클릭합니다. [ 상태 ] 열에경보의상태가활성화됨또는비활성화됨으로표시됩니다. 특정경보를활성화 ( 설정 ) 하려면해당경보를강조표시하고 [ 활성화됨 ] 을선택합니다. 특정경보를비활성화 ( 해제 ) 하려면해당경보를강조표시하고 [ 활성화됨 ] 을선택취소합니다. McAfee ESM 이더이상이경보를생성하지않습니다. 6 [ 확인 ] 을클릭합니다. 경보만들기 정의된조건이충족될때트리거되도록경보를만듭니다. 시작하기전에관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 McAfee ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 경보 ] 를클릭하고 [ 추가 ] 를클릭합니다. 4 [ 요약 ] 탭을클릭하여일반경보설정을정의합니다. 경보의이름을지정합니다. [ 피할당자 ] 목록에서이경보를할당할사람또는그룹을선택합니다. 이목록은 [ 경보관리 ] 권한으로모든사용자및그룹을포함합니다. [ 심각도 ] 에서경보로그의경보우선순위 ( 높음 66 100, 중간 33 65, 낮음 1 32) 를선택합니다. [ 활성화됨 ] 을선택하면이경보가설정되고, 선택취소하면경보가해제됩니다. 94 McAfee Enterprise Security Manager 11.1.x 제품안내서

위협에응답경보작동방법 10 5 [ 조건 ] 탭에서경보를트리거하는조건을식별합니다. 조건 [ 확인비율 ] 설명 시스템에서이조건을확인하는빈도를선택합니다. [ 편차 ] 기준위로체크하려는백분율임계값과기준아래로확인하려는다른백분율을지정합니다. [ 쿼리 ] 쿼리하고있는데이터유형을선택합니다. [ 필터 ] 아이콘 이경보에대한데이터를필터링할값을선택합니다. [ 시간프레임 ] 숫자필드에서선택한마지막기간을쿼리할지, 이전기간을쿼리할지를선택합니다. [ 값이다음과같은경우트리거 ] McAfee ESM 이경보를트리거하려면기준에서위아래로편차가얼마나나야하는지선택합니다. [ 이벤트비율 ] [ 필드일치 ] [ 이벤트개수 ] McAfee ESM 이경보를트리거하기전에발생해야하는이벤트수를입력합니다. [ 필터 ] 아이콘 데이터를필터링할값을선택합니다. [ 시간프레임 ] McAfee ESM 이경보를트리거하기전에선택한이벤트수가발생해야하는간격을입력합니다. [ 오프셋 ] 집합에의해만들어진끝에서경보가갑자기증가하지않도록오프셋의길이를선택합니다. 예를들어 McAfee ESM 에서 5 분마다이벤트를꺼내는경우검색된이벤트의마지막 1 분에는집계된이벤트가포함됩니다. 해당기간을기준으로시간프레임을오프셋하여마지막 1 분이데이터측정에포함되지않도록합니다. 이렇게하지않으면 McAfee ESM 이집계된데이터의값을이벤트개수에포함하여잘못된긍정을발생시킵니다. 1 경보조건에대한논리를설정하기위해 [AND] 또는 [OR] 아이콘을끌어놓습니다. 2 [ 구성요소일치 ] 아이콘을논리요소로끌어놓은다음 [ 필터필드추가 ] 페이지를완료합니다. 3 [ 최대조건트리거빈도 ] 를설정하여수신하는통보수를제한합니다. 각트리거에는트리거빈도기간내에발생한이벤트가아닌트리거조건과일치하는첫번째소스이벤트만포함합니다. 트리거조건과일치하는새이벤트는최대트리거빈도기간이지날때까지경보가다시트리거되지않도록합니다. 예를들어빈도를 10 분으로설정한경우경보가 10 분내에 5 번트리거하면 McAfee ESM 은단일통지로 5 개의경보를포함하여보냅니다. 0 으로간격을설정하면조건에일치하는모든이벤트가경보를트리거합니다. 높은빈도의경보의경우에는간격이 0 이면많은경보를발생할수있습니다. [ 상태모니터상태 ] [ 내부이벤트일치 ] 장치상태변경의유형을선택합니다. 예를들어 [ 위험 ] 만선택한경우 [ 경고 ] 수준에서상태모니터상태변경이있을경우통보하지않습니다. [ 값이일치하지않는경우트리거 ] 값이설정과일치하지않는경우경보를트리거하도록선택합니다. [ 관심목록사용 ] 이경보에대한값을관심목록에포함하려면선택합니다. 쉼표를포함하는값은관심목록에있거나따옴표로묶어야합니다. [ 필드 ] 이경보에서모니터링하는데이터유형을선택합니다. 상태모니터이벤트가생성될때트리거되는경보용입니다. [ 값 ] [ 필드 ] 에서선택한유형의특정값을입력합니다 (1,000 자로제한됨 ). 예를들어 [ 소스 IP] 에대해서는이경보가트리거될실제소스 IP 주소를입력합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 95

10 위협에응답경보작동방법 조건 [ 최대조건트리거빈도 ] [ 임계값 ] 설명 통보가넘쳐나는것을방지하기위해각조건사이에허용하는시간양을선택합니다. 이벤트델타조건유형만 경보가트리거하기전에분석한이벤트에대해허용된최대델타를선택합니다. [ 유형 ] 경보유형을선택합니다. 이에따라입력해야하는필드가결정됩니다. 6 [ 장치탭 ] 에서이경보를모니터링할장치를선택합니다. 7 [ 액션 ] 탭에서경보가트리거될때발생할액션을식별합니다. 액션 [ 로그이벤트 ] [ 자동인식경보 ] [ 시각적경보 ] [ 케이스만들기 ] 설명 McAfee ESM 에이벤트를만듭니다. 트리거직후자동으로경보를인식합니다. 그러면경보가 [ 경보 ] 창에는나타나지않지만시스템이 [ 트리거된경보 ] 보기에경보를추가합니다. 콘솔의오른쪽아래에경보통보를생성합니다. 오디오통보를포함하려면 [ 구성 --> 사운드재생 ] 을클릭한다음오디오파일을선택합니다. 선택한사람또는그룹에대해케이스를만듭니다. [ 구성 ] 을클릭하여케이스소유자를식별하고케이스요약에포함할필드를선택합니다. 경보를에스컬레이션하려면케이스를만들지마십시오. [ 관심목록업데이트 ] 최대 10 개의경보트리거이벤트에포함된정보에따라값을추가하거나제거하여관심목록을변경합니다. [ 구성 ] 을클릭하고트리거하는이벤트에서선택한관심목록에추가하거나제거할필드를선택합니다. 이러한설정에따라관심목록이수정되면 [ 트리거된경보 ] 보기의 [ 액션 ] 탭에변경사항이표시됩니다. 이액션은조건유형으로 [ 내부이벤트일치 ] 를필요로합니다. [ 메시지보내기 ] 이메일또는문자메시지를선택한수신자에게보냅니다. [ 수신자추가 ] 를클릭한다음메시지수신자를선택합니다. [ 구성 ] 을클릭하여템플릿 ( 이메일, 문자메시지, SNMP 또는 syslog 메시지 ) 과메시지에사용할시간대및날짜형식을선택합니다. 문자메시지를보낼때경보이름으로쉼표 (,), 따옴표 ("), 괄호 ( ), 슬래시또는역슬래시 (/ ), 세미콜론 (;), 물음표 (?), @ 기호, 대괄호 ([ ]), 부등호 (< >) 및등호 (=) 문자메시지를사용하면문제가발생할수있습니다. [ 보고서생성 ] 보고서, 보기또는쿼리를생성합니다. [ 구성 ] 을클릭한다음 [ 보고서구성 ] 페이지에서보고서를선택하거나 [ 추가 ] 를클릭하여새보고서를설계합니다. 보고서를첨부하여이메일을보내려면메일관리자에게첨부파일의최대크기에대해확인합니다. 이메일첨부파일이크면보고서를보내지못할수있습니다. [ 원격명령실행 ] McAfee ESM 의 McAfee 장치를제외하고 SSH 연결을허용하는모든장치에서원격명령을실행합니다. [ 구성 ] 을클릭하여명령유형및프로파일 ( 시간대및날짜형식 ) 그리고 SSH 연결을위해호스트, 포트, 사용자이름, 암호및명령문자열을선택합니다. 경보조건이 [ 내부이벤트일치 ] 인경우특정이벤트를추적할수있습니다. [ 변수삽입 ] 아이콘클릭하고변수를선택합니다. 을 96 McAfee Enterprise Security Manager 11.1.x 제품안내서

위협에응답경보작동방법 10 액션 [ 해결로보내기 ] [epo 로태그할당 ] 설명 트리거된경보당최대 10 개이벤트를해결로보냅니다. [ 구성 ] 을클릭하여해결과통신하는데필요한 [ 처음 ] 및 [ 끝 ] 데이터, 접두사, 키워드, 사용자 ID(EUID) 정보를설정합니다. 이벤트를해결로보내면 McAfee ESM 이 [ 트리거된경보 ] 보기의 [ 액션 ] 탭에 [ 해결로이벤트보냄 ] 을추가합니다. 이액션은조건유형으로 [ 내부이벤트일치 ] 를필요로합니다. 이경보를트리거하는 IP 주소에 McAfee epolicy Orchestrator 태그를적용합니다. [ 구성 ] 을클릭하고다음정보를선택합니다. [epo 장치선택 ] 태그지정에사용할장치 [ 이름 ] 적용하려는태그 ( 목록에나타난선택한장치에사용가능한태그만 ) [ 필드선택 ] 태그지정에기준이되는필드 [ 클라이언트웨이크업 ] 태그를즉시적용 이액션은조건유형으로 [ 내부이벤트일치 ] 를필요로합니다. [ 블랙리스트 ] 경보가트리거될때블랙리스트에올릴 IP 주소를선택합니다. [ 구성 ] 을클릭하고다음정보를선택합니다. [ 필드 ] 블랙리스트에올릴 IP 주소유형을선택합니다. [IP 주소 ] 의경우소스및대상 IP 주소모두블랙리스트에올립니다. [ 장치 ] IP 주소를블랙리스트에올리려는장치를선택합니다. [ 글로벌 ] 에서는장치를 [ 글로벌블랙리스트 ] 에추가합니다. [ 기간 ] IP 주소를블랙리스트에올리는기간을선택합니다. 이액션은조건유형으로 [ 내부이벤트일치 ] 를필요로합니다. [ 사용자지정경보요약 ] [ 필드일치 ] 또는 [ 내부이벤트일치 ] 경보요약에포함되는필드를사용자지정합니다. 8 [ 에스컬레이션 ] 탭에서특정시간안에경보를인식하지못할때에스컬레이션하는방법을식별합니다. 에스컬레이션 [ 다음이후에에스컬레이션 ] [ 에스컬레이션된피할당자 ] [ 에스컬레이션된심각도 ] 설명 경보를에스컬레이션하려는시간을입력합니다. 에스컬레이션된통보를받을사람또는그룹을선택합니다. 에스컬레이션된경우경보의심각도를선택합니다. [ 로그이벤트 ] 이에스컬레이션을이벤트로로깅할지선택합니다. [ 시각적경보 ] 통보가시각적경보인지를선택합니다. 시각적통보와함께사운드를발생시키려는경우 [ 사운드재생 ] 을클릭한다음파일을선택합니다. [ 메시지보내기 ] 메시지를피할당자에게보낼지를선택합니다. [ 수신자추가 ] 를클릭하고메시지유형을선택한다음수신자를선택합니다. [ 보고서생성 ] 보고서를생성할지선택합니다. [ 구성 ] 을클릭하여보고서를선택합니다. [ 원격명령실행 ] SSH 연결을허용하는장치에서스크립트를실행할지선택합니다. [ 구성 ] 을클릭한다음호스트, 포트, 사용자이름, 암호및명령문자열을입력합니다. 참고항목 : 123 페이지의관심목록을사용하도록경보구성 McAfee Enterprise Security Manager 11.1.x 제품안내서 97

10 위협에응답경보작동방법 경보복사 기존경보를복사하고다른이름으로저장하여새경보의템플릿으로사용합니다. 시작하기전에관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 McAfee ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 경보 ] 를클릭합니다. 4 활성화된경보를선택한다음 [ 복사 ] 를클릭합니다. [ 경보이름 ] 페이지에현재경보의이름뒤에 _ 복사가붙은이름이표시됩니다. 비활성화된경보는복사할수없습니다. 5 이름을변경한다음 [ 확인 ] 을클릭합니다. 6 경보설정을변경하려면복사한경보를선택하고 [ 편집 ] 을클릭합니다. 특정경보빌드 목차 경보메시지템플릿만들기경보수신자구성경보에대한사용자지정오디오파일얻기소스이벤트를포함할상관경보설정논리적요소 UCAPL 경보만들기필드일치경보추가상태모니터이벤트경보추가상태모니터시그니처 ID 정책규칙에경보추가 SNMP 트랩을경보액션으로만들기전원오류통보경보추가이벤트델타경보추가 경보메시지템플릿만들기 이메일, SMS( 문자메시지 ), SNMP(Simple Network Management Protocol) 또는 syslog 에대한경보메시지템플릿을만듭니다. 그런다음템플릿을특정경보액션및메시지수신자와연결할수있습니다. 시작하기전에관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 McAfee ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 98 McAfee Enterprise Security Manager 11.1.x 제품안내서

위협에응답경보작동방법 10 3 [ 경보 ] 를클릭합니다. 4 [ 설정 ] 탭을클릭한다음 [ 템플릿 ] 을클릭합니다. 사용자지정템플릿을추가, 변경및삭제하고기존템플릿을복사할수있습니다. 사전정의된템플릿을편집하거나삭제할수없습니다. 템플릿이이메일또는텍스트용인지메시지용인지를나타냅니다. 문자메시지 - 140 자로제한됩니다. 시스템에서문자메시지를이메일로휴대폰에보냅니다. 그러면통신사는문자메시지로변환합니다. Syslog 메시지 - 메시지본문은 950 바이트미만으로제한됩니다. McAfee ESM 은 950 바이트를초과하는 syslog 메시지를보낼수없습니다. 메시지에포함하지않을기본필드를삭제합니다. 템플릿에데이터필드를삽입합니다. [ 반복블록 ] 을선택하는경우 McAfee ESM 에서레코드를반복하기위해필요한구문을추가합니다. [$REPEAT_START] 와 [$REPEAT_END] 표시자사이의각레코드에대해포함하려는필드를삽입합니다. 그러면 McAfee ESM 이최대 10 개레코드에대해메시지에이정보를포함합니다. 상관이벤트를일치항목으로사용하는경보에소스이벤트를포함하려면 [ 필드삽입 ] 아이콘을클릭하고 [ 소스이벤트블록 ] 을선택합니다. [ 내부이벤트일치 ] 또는 [ 필드일치 ] 를경보유형으로선택한경우 McAfee ESM 이이벤트필드를이메일에포함시킵니다. McAfee ESM 이아닌 McAfee Event Receiver 에서실행되는데이터소스중심경보에대해 [ 필드일치 ] 를선택합니다. McAfee ESM 에서실행되며경보빈도가만료될때마다쿼리가실행되도록하는경보의경우 [ 내부이벤트일치 ] 를선택합니다. 경보수신자구성 경보수신자를구성하고이메일, SMS( 문자메시지 ), SNMP(Simple Network Management Protocol) 또는 syslog 를사용하여경보메시지를보내는방법을구성합니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 사용하려는프로파일이있는지확인합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 McAfee ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 경보 ] [ 설정 ] 탭을클릭합니다. 4 수신자정보를구성합니다. SNMP 수신자 : 일반트랩유형은항상 6, 엔터프라이즈별로설정됩니다. 보낼트랩에대한전체엔터프라이즈 OID( 개체식별자 ) 를입력합니다. 엔터프라이즈내의하위트리를비롯하여처음 1 부터엔터프라이즈번호까지모든항목을포함합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 99

10 위협에응답경보작동방법 [ 정보데이터바인딩포함 ] 처리된보고서의줄번호, 트랩의소스를식별하는문자열, 트랩을생성한통보이름및트랩을보내는 McAfee ESM 의 ID 를비롯하여변수바인딩정보가포함됩니다. [ 보고서데이터만포함 ] 트랩에는추가변수바인딩이포함되지않습니다. 보고서에서생성된 SNMP 트랩에해당보고서의한줄데이터가포함되어있습니다. [ 각보고서줄을현재대로보내기 ] 단일변수바인딩에서보고서줄의데이터를현재대로보냅니다. 시스템은엔터프라이즈 OID, 특정트랩유형및번호 1 로시작하여자동증가하는번호를연결하여데이터바인딩 OID 를구성합니다. [ 결과구문분석및다음바인딩 OID 사용 ] 시스템이보고서줄을구문분석하고별도의데이터바인딩으로각필드를전송합니다. 사용자지정데이터바인딩 OID 를지정합니다. 이옵션을선택하는경우 [ 추가 ] 를클릭하고바인딩 OID 값을입력합니다. 보고서에서모든데이터필드에변수 OID 를지정하지않은경우 McAfee ESM 이목록에서지정된마지막 OID 부터증가합니다. Syslog 수신자 : 각수신자의호스트 IP 주소, 포트, 기능및메시지심각도를입력합니다. 경보에대한사용자지정오디오파일얻기 McAfee ESM 에는사전설치된 3 개의오디오 ( 사운드 ) 파일이포함되어있습니다. 경보경고에사용할사용자지정오디오파일을얻습니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 McAfee ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 경보 ] [ 설정 ] 탭을클릭합니다. 4 [ 오디오 ] 를클릭하여사용자지정오디오파일을다운로드, 업로드, 삭제또는재생합니다. 소스이벤트를포함할상관경보설정 경보결과에소스이벤트정보를포함하려면상관이벤트를일치항목으로사용하는 [ 내부이벤트일치 ] 또는 [ 필드일치 ] 경보를설정합니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 McAfee ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 경보 ] 를클릭합니다. 4 [ 설정 ] 탭을클릭한다음 [ 템플릿 ] 을클릭합니다. 5 [ 템플릿관리 ] 페이지에서 [ 추가 ] 를클릭한다음요청한정보를입력합니다. 100 McAfee Enterprise Security Manager 11.1.x 제품안내서

위협에응답경보작동방법 10 6 [ 메시지본문 ] 섹션에서태그를삽입하려는위치에커서를놓은다음 [ 필드삽입 ] 아이콘을클릭하고 [ 소스이벤 트블록 ] 을선택합니다. 7 태그안에커서를놓고 [ 필드삽입 ] 아이콘을다시클릭한다음상관경보가트리거될때포함할정보를선택합니다. 다음예는이벤트의소스 IP 주소, 대상 IP 주소및심각도에대해필드를삽입할때의경보메시지템플릿형식을보여줍니다. 경보 : [$Alarm Name] 피할당자 : [$Alarm Assignee] 트리거날짜 : [$Trigger Date] 요약 : [$Alarm Summary] [$REPEAT_START] 상관 SigID: [$Signature ID] 상호관련된마지막시간 : [$Last Time] [$SOURCE_EVENTS_START] 소스이벤트상세정보 : 마지막시간 : [$Last Time] SigID: [$Signature ID] 규칙메시지 : [$Rule Message] 중요도 : [$Average Severity] 소스사용자 : [$%UserIDSrc] 소스 IP: [$Source IP] 소스포트 : [$Source Port] 대상사용자 : [$%UserIDDst] 대상 IP: [$Destination IP] 대상포트 : [$Destination Port] 호스트 : [$%HostID] 명령 : [$%CommandID] 응용프로그램 : [$%AppID] 패킷 : [$Packet Data] [$SOURCE_EVENTS_END] [$REPEAT_END] 상관이벤트가경보를트리거하지않으면메시지에데이터가포함되지않습니다. 논리적요소 McAfee Application Data Monitor, 장치, 데이터베이스및상관규칙또는구성요소를추가할때 [ 표현식논리 ] 또는 [ 상관논리 ] 를사용하여규칙의프레임워크를구성합니다. 요소 및 설명 컴퓨터언어의논리연산자와동일한기능입니다. 조건이참이되려면이논리적요소아래그룹화된모든조건이참이어야합니다. 이논리적요소아래의모든조건이충족되면규칙을트리거하려는경우이옵션을사용합니다. 또는컴퓨터언어의논리연산자와동일한기능입니다. 이조건이 true 가되려면이요소아래그룹화된조건중한가지만 true 여야합니다. 한가지조건만충족된다음규칙을트리거하려는경우이요소를사용합니다. SET 상관규칙또는구성요소의경우 SET 을통해조건을정의하고참인조건의수를선택하여규칙을트리거합니다. 예를들어설정에있는 3 개의조건중에 2 개의조건이충족되면규칙을트리거하는경우설정이 2/3 로표시됩니다. 이러한각요소의메뉴에는다음옵션중 2 가지이상이있습니다. [ 편집 ] 기본설정을편집할수있습니다. [ 논리적요소제거 ] 선택한논리적요소를삭제할수있습니다. 하위요소가있는경우삭제되지않고계층에서위로이동합니다. 이는루트요소 ( 계층의첫번째요소 ) 에는적용되지않습니다. 루트요소를제거하면모든하위요소도제거됩니다. [ 논리적요소및모든해당하위제거 ] 선택한요소및계층의모든하위를삭제할수있습니다. 규칙의논리를설정할때구성요소를추가하여규칙의조건을정의해야합니다. 상관규칙의경우실행될때규칙또는구성요소의동작을제어하기위한매개변수를추가할수도있습니다. UCAPL 경보만들기 UCAPL( 통합기능승인제품목록 ) 요구사항을충족하는경보를만듭니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 101

10 위협에응답경보작동방법 1 특정트리거에대한 [ 시그니처 ID] 에일치하는 [ 내부이벤트일치 ] 경보를만듭니다 : 동일한사용자에대해실패한여러로그온이조정가능한임계값에도달하면값을 306-36 으로설정합니다. 없음임계값에도달하여사용자계정이잠긴경우값을 306-35 로설정합니다. 허용된동시세션수에도달한후사용자가시스템에로그온하려고시도하면값을 306-37 로설정합니다. 시스템파일무결성체크가실패하면값을 306-50085 로설정합니다. CAC( 일반액세스카드 ) 또는웹서버인증서가만료되면값을 306-50081, 306-50082, 306-50083 또는 306-50084 로설정합니다. 경보가인증서만료 60 일전에트리거된후매주트리거됩니다. 일수를변경할수없습니다. 2 시스템이더이상승인된상태나보안상태로작동되지않음을탐지할경우경보가 NMS 로트랩을보내도록 SNMP 트랩을구성합니다. a 모든조건에일치하는경보를만든다음 [ 액션탭 ] [ 메시지보내기 ] 로이동합니다. b [ 수신자추가 ] [SNMP] 를클릭하고수신자를선택한다음 [ 확인 ] 을클릭합니다. c [ 메시지보내기 ] [ 구성 ] [ 템플릿 ] [ 추가 ] 를클릭합니다. d [ 유형 ] 필드에서 [SNMP 템플릿 ] 을선택하고메시지텍스트를입력한다음 [ 확인 ] 을클릭합니다. e [ 템플릿관리 ] 페이지에서새템플릿을선택한다음 [ 확인 ] 을클릭합니다. f 나머지경보설정을완료합니다. 3 시스템이더이상승인된상태나보안상태로작동되지않음을탐지할경우경보가 NMS 로 syslog 메시지를보내도록 syslog 메시지를구성합니다. a 모든조건에일치하는경보를만들고 [ 액션탭 ] [ 메시지보내기 ] 로이동합니다. b [ 수신자추가 ] [syslog] 를클릭하고수신자를선택한다음 [ 확인 ] 을클릭합니다. c [ 메시지보내기 ] 필드에서 [ 구성 ] [ 템플릿 ] [ 추가 ] 를클릭합니다. d [ 유형 ] 필드에서 [Syslog 템플릿 ] 을선택하고메시지텍스트를입력한다음 [ 확인 ] 을클릭합니다. e [ 템플릿관리 ] 페이지에서새템플릿을선택한다음 [ 확인 ] 을클릭합니다. f 나머지경보설정을완료합니다. 4 보안로그에서필요한이벤트를기록하지못할경우경보가 30 초후적절한 NOC(Network Operation Center) 에통보하도록 SNMP 트랩을구성합니다. a [ 시스템속성 ] [SNMP 구성 ] [SNMP 트랩 ] 또는 [ 장치속성 ] [ 장치구성 ] [SNMP] 로이동합니다. b 보안로그오류트랩을선택한다음트랩을보낼프로파일을하나이상구성하고 [ 적용 ] 을클릭합니다. McAfee ESM 이 SNMP 트랩을보안로그에기록하지못했습니다라는메시지와함께 SNMP 프로파일수신자에게보냅니다. 5 감사기능 ( 예 : 데이터베이스, cpservice, IPSDBServer) 이시작되거나종료될때경보가통보하는 SNMP 트랩을구성하고 [SNMP 트랩 ] 또는 [SNMP 설정 ] 에액세스하고 [ 데이터베이스실행 / 정지트랩 ] 을선택합니다. 트랩을보낼프로파일을하나이상구성하고 [ 적용 ] 을클릭합니다. 102 McAfee Enterprise Security Manager 11.1.x 제품안내서

위협에응답경보작동방법 10 6 각각의정의된관리역할에대해관리세션이존재하는경우경보를트리거합니다. a [ 시그니처 ID] 에일치하는 [ 내부이벤트일치 ] 경보를만듭니다. b 감사관리자의경우값 306 38, 암호화관리자의경우 306 39, 고급사용자의경우 306 40 을입력합니다. 별도의경보를설정할수도있습니다. 필드일치경보추가여러이벤트필드에서일치하며장치가이벤트를받고구문분석할때알리는경보를설정합니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 논리적요소를사용하는방법을검토합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 McAfee ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 경보 ] 를클릭합니다. 4 [ 추가 ] 를클릭하고경보이름을입력하고피할당자를선택한다음 [ 조건 ] 탭을클릭합니다. 5 [ 유형 ] 필드에서 [ 필드일치 ] 를선택한다음경보의조건을설정합니다. a 경보조건에대한논리를설정하기위해 [AND] 또는 [OR] 를끌어놓습니다. b [ 구성요소일치 ] 아이콘을논리요소로끌어놓은다음 [ 필터필드추가 ] 페이지를완료합니다. c [ 최대조건트리거빈도 ] 필드에서통보가넘쳐나는것을방지하기위해각조건사이에허용할시간양을선택합니다. 각트리거에는트리거빈도기간내에발생한이벤트가아닌트리거조건과일치하는첫번째소스이벤트만포함합니다. 트리거조건과일치하는새이벤트는최대트리거빈도기간이지날때까지경보가다시트리거되지않도록합니다. 0 으로간격을설정하면조건에일치하는모든이벤트가경보를트리거합니다. 높은빈도의경보의경우에는간격이 0 이면많은경보를발생할수있습니다. 6 [ 다음 ] 을클릭하고이경보로모니터링할장치를선택합니다. 이경보유형은수신기, 로컬수신기 -ELM(Enterprise Log Manager), 수신기 /ELM 콤보, ACE 및 ADM(Application Data Monitors) 을지원합니다. 7 [ 액션 ] 및 [ 에스컬레이션 ] 탭을클릭하고설정을정의합니다. 8 [ 마침 ] 을클릭합니다. 경보를장치에기록합니다. 경보를장치에기록하지못한경우동기화되지않은플래그가시스템탐색트리의장치옆에나타납니다. 플래그를클릭한다음 [ 경보동기화 ] 를클릭합니다. 상태모니터이벤트경보추가상태모니터이벤트에따라경보를만들어서 [ 상태모니터이벤트요약 ] 보고서를생성할수있습니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 사용가능한상태모니터시그니처 ID를검토합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 103

10 위협에응답경보작동방법 1 상태모니터이벤트가생성되기전에경보를설정하려면 a [ 내부이벤트일치 ] 유형으로경보 [ 조건 ] 을설정합니다. b [ 필드 ] 줄에서 [ 시그니처 ID] 를선택합니다. c [ 값 ] 필드에서상태모니터규칙의시그니처 ID를입력합니다. d 경보의나머지설정을입력합니다. 2 상태모니터이벤트가있는경우경보를설정하려면 a 시스템탐색트리에서 을클릭합니다. 그런다음상태모니터이벤트 ([ 이벤트분석 ] 또는 [ 기 본요약 ]) 를표시하는보기를선택합니다. b 이벤트를클릭한다음을클릭합니다. c [ 액션 ] [ 다음에서새경보만들기 ] 를선택한다음 [ 시그니처 ID] 를선택합니다. d 경보의나머지설정을입력합니다. 상태모니터시그니처 ID 다음규칙을사용하여상태모니터규칙이벤트가생성될때통보되는경보를만듭니다. 이목록은상태모니터규칙및해당시그니처 ID, 유형, 장치및심각도를설명합니다. 규칙이름 시그니처 ID 설명 유형 장치 심각 도 물리적네트워크인터페이스연결을만들거나제거했습니다. RAID 오류가발생했습니다. 비활성때문에계정이비활성화됨 최대로그온실패로인해계정이비활성화됨 306-50080 SSH 세션을통해네트워크인터페이스설정이변경되었습니다. 소프트웨어모니터 306-50054 RAID 오류가발생했습니다. 하드웨어모 니터 306-35 비활성때문에사용자계정이비활성화되었습니다. 306-36 최대로그온실패로인해사용자계정이비활성화되었습니다. 원격명령추가 / 편집 306-60 경보원격명령이추가되었거나삭제되 었습니다. 고급 Syslog 분석기수집기상태변경경보 306-50029 ASP 분석기가중지되었거나시작되었습니다. ADM Distiller 프로세스 306-50066 ADM PDF/DOC 텍스트추출엔진이중 지되었거나시작되었습니다. 보관구성변경 306-3 McAfee ESM 보관설정이변경되었습니 다. 보관프로세스상태변경경보 이벤트에취약한자산 146-10, 306-10 306-50051 수신기보관프로세스가중지되었거나시작되었습니다. 취약성이벤트가만들어졌습니다. 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 감사관리자사용자로그온 306-38 UCAPL 이벤트, 감사관리자로그온 소프트웨어 모니터 백업구성변경 306-1 McAfee ESM 백업구성설정이변경되 었습니다. 소프트웨어모니터 McAfee ESM 모두 McAfee ESM McAfee ESM McAfee ESM 수신기 ADM McAfee ESM ADM/REC /DBM McAfee ESM McAfee ESM McAfee ESM 중간 높음 중간 높음 낮음 중간 중간 낮음 중간 낮음 낮음 낮음 104 McAfee Enterprise Security Manager 11.1.x 제품안내서

위협에응답경보작동방법 10 규칙이름 시그니처 ID 설명 유형 장치 심각 도 백업이수행됨 306-2 시스템에서백업이수행되었습니다. 소프트웨어 모니터 Blue Martini 분석기경보 306-50071 Blue Martini 분석기가중지되었거나시 작되었습니다. 바이패스 NIC 상태경보 306-50001 NIC가바이패스상태를시작했거나끝 냈습니다. CAC 인증서가만료됨 306-50082 McAfee ESM CAC 인증서가만료되었 습니다. CAC 인증서가곧만료됨 306-50081 McAfee ESM CAC 인증서가곧만료됩 니다. 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 케이스가변경됨 306-70 케이스가변경되었습니다. 소프트웨어 모니터 케이스상태가추가됨 / 수정됨 / 삭제됨 306-73 케이스상태가변경되었습니다. 소프트웨어 모니터 통신채널상태변경경보 306-50013 제어채널이중지되었거나시작되었습 니다. 데이터할당구성변경 306-7 McAfee ESM 데이터할당설정이변경 되었습니다. 데이터파티션의사용가능한디스크공간경보 306-50005 각파티션의사용가능한공간이부족합니다 ( 예 : hada_hd 에 10% 의사용가능한공간이있음 ). 데이터보존구성변경 306-6 McAfee ESM 데이터보존구성이변경 되었습니다. 데이터베이스탐지서비스상태경보 깊은패킷검사기상태변경경보 306-50036 DBM 자동탐지서비스가중지되었거나시작되었습니다. 306-50008 ADM 의패킷심층분석엔진이중지되었거나시작되었습니다. 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 원격명령삭제 306-61 경보원격명령이제거되었습니다. 소프트웨어 모니터 삭제된이벤트 306-74 사용자가삭제한 McAfee ESM 이벤트입 니다. 삭제된플로 306-75 사용자가삭제한 McAfee ESM 플로입니 다. 소프트웨어모니터 소프트웨어모니터 장치추가 306-18 새장치가시스템에추가되었습니다. 소프트웨어 모니터 장치삭제 306-19 시스템에서기존장치가삭제되었습니 다. 디스크드라이브오류경보 306-50018 모든하드디스크의무결성을체크하고 확인합니다 ( 내부또는 DAS). ELM 보관프로세스상태변경경보 306-50045 ELM 압축엔진이중지되었거나시작되었습니다. ELM EDS FTP 306-50074 ELM SFTP 프로그램이중지되었거나시 작되었습니다. ELM 파일프로세스 306-50065 ELM 재삽입엔진이중지되었거나시작 되었습니다. 어떤이유로로그가실패하는경우다시삽입을시도합니다. 재삽입프로세스가실패하는경우이규칙이트리거됩니다. 소프트웨어모니터 하드웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 McAfee ESM 수신기 IPA/ADM McAfee ESM McAfee ESM McAfee ESM McAfee ESM 모두 McAfee ESM 모두 McAfee ESM 모두 모두 McAfee ESM McAfee ESM McAfee ESM McAfee ESM McAfee ESM 모두 ADM/REC /DBM ELM ELM 낮음 중간 중간 높음 중간 낮음 낮음 중간 높음 중간 높음 중간 중간 낮음 낮음 낮음 낮음 낮음 높음 중간 중간 중간 McAfee Enterprise Security Manager 11.1.x 제품안내서 105

10 위협에응답경보작동방법 규칙이름 시그니처 ID 설명 유형 장치 심각 도 ELM 마운트지점상태변경경보 ELM 쿼리엔진상태변경경보입니다. 306-50053 ELM 원격저장소 (CIFS, NFS, ISCSI, SAN) 가중지되었거나시작되었습니다. 306-50046 ELM 프로세스 - ELM (ELM 쿼리, 삽입등 ) 이중지되었거나시작되었습니다. ELM 중복저장소 306-50063 ELM 미러링이중지되었거나시작되었 습니다. ELM 시스템데이터베이스오류 이메일수집기상태변경경보 306-50044 ELM 데이터베이스가중지되었거나시작되었습니다. 306-50040 Cisco MARS 수집기가중지되었거나시작되었습니다. 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 EPO 태그가적용됨 306-28 McAfee epo 태그가적용되었습니다. 소프트웨어 모니터 ELM 과통신하는동안오류발생 306-50047 ELM과의통신이실패했습니다. 소프트웨어 모니터 SSH 통신오류 306-50077 버전차이, 키변경과같은장치문제입 니다. 소프트웨어모니터 McAfee ESM 재부팅 306-32 McAfee ESM이재부팅되었습니다. 소프트웨어 모니터 McAfee ESM 종료 306-33 McAfee ESM이종료되었습니다. 소프트웨어 모니터 estreamer 수집기경보 306-50070 estreamer 수집기가중지되었거나시작 되었습니다. estreamer 수집기상태변경경보 306-50041 estreamer 수집기가중지되었거나시작되었습니다. 소프트웨어모니터 소프트웨어모니터 원격명령실행 306-62 경보원격명령이실행되었습니다. 소프트웨어 모니터 최대동시세션에도달했기때문에로그온하지못함 SAN 장치를포맷하지못함 306-50057 306-37 최대동시세션에도달했기때문에사용자가로그온하지못했습니다. ELM 의 SAN 을포맷하지못했습니다. 사용자가재시도해야합니다. 소프트웨어모니터 하드웨어모니터 사용자가로그온하지못함 306-31 사용자가로그온하지못했습니다. 소프트웨어 모니터 파일수집기상태변경경보 306-50049 mountcollector 프로그램이중지되었거나시작되었습니다. 소프트웨어모니터 파일이삭제됨 306-50 추가하거나제거할수있는파일 소프트웨어 모니터 필터프로세스상태변경경보 방화벽경보집계상태변경경보 306-50050 장치의필터프로그램이중지되었거나시작되었습니다 ( 필터규칙 ). 306-50009 ADM 의방화벽집계가중지되었거나시작되었습니다. VA 데이터가져오기오류 306-52 McAfee ESM이 VA 데이터를가져오지 못했습니다. VA 데이터를가져옴 306-51 McAfee ESM이 VA 데이터를가져왔습 니다. 상태모니터내부경보 306-50027 상태모니터프로세스가중지되었거나 시작되었습니다. 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 ELM ELM ELM ELM 수신기 McAfee ESM ADM/REC /DBM 모두 McAfee ESM McAfee ESM 수신기 수신기 McAfee ESM McAfee ESM McAfee ESM McAfee ESM 수신기 McAfee ESM 수신기 ADM McAfee ESM McAfee ESM 모두 중간 중간 중간 높음 중간 낮음 높음 높음 중간 중간 중간 중간 낮음 높음 높음 중간 중간 낮음 중간 중간 중간 낮음 중간 106 McAfee Enterprise Security Manager 11.1.x 제품안내서

위협에응답경보작동방법 10 규칙이름 시그니처 ID 설명 유형 장치 심각 도 HTTP 수집기상태변경경보 306-50039 HTTP 수집기가중지되었거나시작되었습니다. 인덱싱구성변경 306-8 McAfee ESM 인덱싱설정이변경되었습 니다. 잘못된 SSH 키 306-50075 ELM과통신하는동안발생하는장치문 제 ( 예 : 버전차이, 키변경 ) 입니다. IPFIX 수집기상태변경경보 키및인증서관리자사용자로그온 로그파티션의사용가능한디스크공간경보 McAfee EDB 데이터베이스서버상태변경경보 306-50055 IPFIX( 플로 ) 수집기가중지되었거나시작되었습니다. 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 306-39 UCAPL 이벤트, 암호화관리자로그온 소프트웨어 모니터 306-50004 로그파티션 (/var) 의사용가능한공간이부족합니다. 306-50010 데이터베이스가중지되었거나시작되었습니다. McAfee epo 수집기경보 306-50069 McAfee epo 수집기가중지되었거나시 작되었습니다. McAfee Event Format 상태변경경보 McAfee SIEM 장치통신오류 Microsoft Forefront Threat Management Gateway 경보 MS-SQL 검색기상태변경경보 306-50031 McAfee Event Format 수집기가중지되었거나시작되었습니다. 306-26 McAfee ESM 이다른장치와통신할수없습니다. 306-50068 Forefront Threat Management Gateway 수집기가중지되었거나시작되었습니다. 306-50035 Microsoft SQL 수집기가중지되었거나시작되었습니다 (Microsoft SQL 의데이터소스 ). 다중이벤트로그경보 306-50062 jemail 수집기가중지되었거나시작되 었습니다. 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 MVM 검색이시작됨 306-27 MVM 검색이시작되었습니다. 소프트웨어 모니터 NetFlow 수집기상태변경경보 306-50024 NetFlow( 플로 ) 수집기가중지되었거나시작되었습니다. 소프트웨어모니터 새사용자계정 306-13 새사용자가시스템에추가되었습니다. 소프트웨어 모니터 NFS/CIFS 수집기상태변경경보 NitroFlow 수집기상태변경경보 306-50048 NFS 또는 CIFS 의원격마운트가중지되었거나시작되었습니다. 306-50026 NitroFlow( 장치의플로 ) 가중지되었거나시작되었습니다. SSH 키가없음 306-50076 ELM과통신하는동안발생하는장치문 제 ( 예 : 버전차이, 키변경 ) 입니다. NSM 블랙리스트추가 / 편집 306-29 NSM 블랙리스트항목이편집되거나추가되었습니다. NSM 블랙리스트삭제 306-30 NSM 블랙리스트항목이삭제되었습니 다. OPSEC 검색기상태변경경보 306-50034 OPSEC(Check Point) 수집기가중지되었거나시작되었습니다. Oracle IDM 수집기경보 306-50072 Oracle IDM 수집기가중지되었거나시 작되었습니다. 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 수신기 McAfee ESM 모두 수신기 McAfee ESM 모두 모두 수신기 수신기 McAfee ESM 수신기 수신기 수신기 McAfee ESM 수신기 McAfee ESM 수신기 수신기 모두 McAfee ESM McAfee ESM 수신기 수신기 중간 중간 높음 중간 낮음 중간 중간 중간 중간 높음 중간 중간 중간 낮음 중간 낮음 중간 중간 높음 낮음 낮음 중간 중간 McAfee Enterprise Security Manager 11.1.x 제품안내서 107

10 위협에응답경보작동방법 규칙이름 시그니처 ID 설명 유형 장치 심각 도 초과구독경보 306-50012 ADM이초과구독모드를시작했거나끝 냈습니다. 플러그인수집기 / 분석기경보 306-50073 플러그인수집기 / 분석기가중지되었거나시작되었습니다. 소프트웨어모니터 소프트웨어모니터 정책추가 306-15 정책이시스템에추가되었습니다. 소프트웨어 모니터 정책삭제 306-17 정책이시스템에서삭제되었습니다. 소프트웨어 모니터 정책변경 306-16 시스템에서정책이변경되었습니다. 소프트웨어 모니터 수신기 HA 306-50058 HA 프로세스가중지되었거나시작되었 습니다 (Corosync, HA 컨트롤스크립트 ). 소프트웨어모니터 수신기 HA Opsec 구성 306-50059 사용하고있지않습니다. 소프트웨어 모니터 원격 NFS 마운트지점상태변경경보 원격공유 / 마운트지점사용가능한디스크공간경보 원격 SMB/CIFS 공유상태변경경보 306-50020 NFS ELM 마운트가중지되었거나시작되었습니다. 306-50021 원격마운트지점의사용가능한공간이부족합니다. 306-50019 원격 SMB/CIFS 마운트지점이중지되었거나시작되었습니다. 위험상관상태변경경보 306-50061 위험상관엔진이중지되었거나시작되 었습니다. 루트파티션의사용가능한디스크공간경보 307-50002 루트파티션의사용가능한공간이부족합니다. 규칙추가 306-20 규칙이시스템에추가되었습니다 ( 예 : ASP, 필터또는상관 ). 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 규칙삭제 306-22 규칙이시스템에서삭제되었습니다. 소프트웨어 모니터 규칙변경 306-21 시스템에서규칙이변경되었습니다. 소프트웨어 모니터 규칙업데이트오류 306-9 McAfee ESM 규칙을업데이트하지못했 습니다. SDEE 검색기상태변경경보 sflow 수집기상태변경경보 SNMP 수집기상태변경경보 SQL 수집기상태변경경보 Symantec AV 수집기상태변경경보 Syslog 수집기상태변경경보 306-50033 SDEE 수집기가중지되었거나시작되었습니다. 306-50025 sflow( 플로 ) 수집기가중지되었거나시작되었습니다. 306-50023 SNMP 수집기가중지되었거나시작되었습니다. 306-50038 SQL 수집기 ( 이전 NFX) 가중지되었거나시작되었습니다. 306-50056 Symantec AV 수집기가중지되었거나시작되었습니다. 306-50037 Syslog 수집기가중지되었거나시작되었습니다. 시스템관리사용자로그온 306-40 시스템관리자가시스템에로그온했습 니다. 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 소프트웨어모니터 ADM 수신기 McAfee ESM McAfee ESM McAfee ESM 수신기 수신기 ELM McAfee ESM 수신기 ACE 모두 McAfee ESM McAfee ESM McAfee ESM McAfee ESM 수신기 수신기 수신기 수신기 수신기 수신기 McAfee ESM 중간 중간 낮음 낮음 낮음 중간 낮음 중간 중간 중간 중간 중간 낮음 낮음 낮음 중간 중간 중간 중간 중간 중간 중간 낮음 108 McAfee Enterprise Security Manager 11.1.x 제품안내서

위협에응답경보작동방법 10 규칙이름 시그니처 ID 설명 유형 장치 심각 도 시스템무결성체크오류 306-50085 시스템에서실행되는비ISO 외부프로 그램또는프로세스에플래그가지정되 었습니다. 시스템로거상태변경경보 306-50014 시스템로깅프로세스가중지되었거나시작되었습니다. 소프트웨어모니터 소프트웨어모니터 ( 쿼리 ) 이닫힘 306-54 관리자이닫혔습니다. 소프트웨어 모니터 임시파티션의사용가능한디스크공간경보 텍스트로그분석기상태변경경보 306-50003 디스크공간에임시 (/tmp) 파티션이부족합니다. 306-50052 텍스트분석기가중지되었거나시작되었습니다. 소프트웨어모니터 소프트웨어모니터 사용자계정변경 306-14 사용자계정이변경되었습니다. 소프트웨어 모니터 사용자장치가로그온하지못함 306-50079 SSH 사용자가로그온하지못했습니다. 소프트웨어 모니터 사용자장치로그온 306-50017 시스템에서사용되지않습니다. 소프트웨어 모니터 사용자장치로그아웃 306-50078 SSH 사용자가로그아웃했습니다. 소프트웨어 모니터 사용자로그온 306-11 사용자가시스템에로그온했습니다. 소프트웨어 모니터 사용자로그아웃 306-12 사용자가시스템에서로그아웃했습니 다. VA 데이터엔진상태경보 306-50043 VA(vaded.pl) 엔진이중지되었거나시작 되었습니다. 소프트웨어모니터 소프트웨어모니터 변수추가 306-23 정책변수가추가되었습니다. 소프트웨어 모니터 변수삭제 306-25 정책변수가삭제되었습니다. 소프트웨어 모니터 변수변경 306-24 정책변수가변경되었습니다. 소프트웨어 모니터 웹서버인증서가만료됨 306-50084 ESM 웹서버인증서가만료되었습니다. 소프트웨어 모니터 웹서버인증서가곧만료됨 306-50083 ESM 웹서버인증서가곧만료됩니다. 소프트웨어 모니터 Websense 수집기경보 306-50067 Websense 수집기가중지되었거나시작 되었습니다. WMI 이벤트로그수집기상태변경경보 306-50030 WMI 수집기가중지되었거나시작되었습니다. 소프트웨어모니터 소프트웨어모니터 모두 모두 McAfee ESM 모두 수신기 McAfee ESM McAfee ESM McAfee ESM McAfee ESM McAfee ESM McAfee ESM 수신기 McAfee ESM McAfee ESM McAfee ESM McAfee ESM McAfee ESM 수신기 수신기 높음 중간 낮음 중간 중간 낮음 낮음 낮음 낮음 낮음 낮음 중간 낮음 낮음 낮음 높음 중간 중간 중간 정책규칙에경보추가경보가있는정책규칙을설정하여규칙에서이벤트가생성될때알릴수있습니다. 시작하기전에관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 109

10 위협에응답경보작동방법 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리도구모음에서 [ 정책편집기 ] 아이콘을클릭합니다. 3 [ 규칙유형 ] 창에서규칙유형을선택합니다. 4 규칙표시영역에서하나이상의규칙을선택합니다. 5 를클릭하고경보를만듭니다. SNMP 트랩을경보액션으로만들기 SNMP 트랩을경보액션으로보냅니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. SNMP 트랩수신기를준비합니다 (SNMP 트랩수신기가없는경우에만필요 ). 1 SNMP 트랩을보낼 McAfee ESM 에알리기위해 SNMP 프로파일을만듭니다. a McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. b 시스템탐색트리에서 McAfee ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. c [ 프로파일관리 ] 를클릭한다음 [ 추가 ] 를클릭합니다. d [SNMP 트랩 ] 을 [ 프로파일유형 ] 으로선택합니다. e 나머지필드를입력한다음 [ 적용 ] 을클릭합니다. 2 McAfee ESM에 SNMP를구성합니다. a [ 시스템속성 ] [SNMP 구성 ] 에서 [SNMP 트랩 ] 탭을클릭합니다. b 포트를선택하고, 보낼트랩유형을선택한다음 1단계에서추가한프로파일을선택합니다. c [ 적용 ] 을클릭합니다. 3 [SNMP 트랩 ] 을사용하는경보를액션으로정의합니다. a [ 시스템속성 ] [ 경보 ] 에서 [ 추가 ] 를클릭합니다. b [ 요약 ], [ 조건 ] 및 [ 장치 ] 탭에요청된정보를입력하고, [ 내부이벤트일치 ] 를조건유형으로선택합니다. 그런다음 [ 액션 ] 탭을클릭합니다. c [ 메시지보내기 ] [ 구성 ] 을선택하여 SNMP 메시지의템플릿을선택하거나만듭니다. d [SNMP] 필드에서 [ 기본 SNMP 템플릿 ] 을선택하거나 [ 템플릿 ] 을클릭합니다. 그런다음기존템플릿을선택하거나 [ 추가 ] 를클릭하여새템플릿을정의합니다. e [ 경보설정 ] 페이지로돌아간다음경보설정을계속합니다. 110 McAfee Enterprise Security Manager 11.1.x 제품안내서

위협에응답경보작동방법 10 전원오류통보경보추가 McAfee ESM 전원장치가고장나면경보를통해사용자에게알릴수있습니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 전원오류통보에대한 SNMP 트랩을설정합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 McAfee ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 경보 ] 를클릭합니다. 4 [ 추가 ] 를클릭하고 [ 요약 ] 탭에서요청한데이터를입력한다음 [ 조건 ] 탭을클릭합니다. 5 [ 유형 ] 필드에서 [ 내부이벤트일치 ] 를선택합니다. 6 [ 필드 ] 필드에서 [ 시그니처 ID] 를선택한다음 [ 값 ] 필드에 306-50086 을입력합니다. 7 필요한대로각탭에서남은정보를입력한다음 [ 마침 ] 을클릭합니다. 전원공급장치에오류가발생하면경보가트리거됩니다. 이벤트델타경보추가 동기화되지않은데이터소스는시간문제가있는이벤트를생성할수있습니다. 이벤트델타경보를설정하여이벤트시간문제발생가능성을알릴수있습니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 여러가지원인으로이벤트시간문제가생길수있습니다. McAfee ESM 또는데이터소스에대해잘못된시간영역이설정되어있습니다. McAfee ESM 이오랫동안설정된상태에서동기화되지않은시간누수가있습니다. McAfee ESM 이인터넷에연결되어있지않습니다. 이벤트가 McAfee Event Receiver 로들어올때동기화되지않았습니다. 동기화되지않은데이터소스가이벤트를생성하면시스템탐색트리의 McAfee Event Receiver 옆에빨간색플래그가나타납니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 McAfee ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 동기화되지않은데이터소스가이벤트를생성할경우경보를설정합니다. a [ 경보 ] [ 추가 ] 를클릭하고 [ 요약 ] 탭에서요청한정보를입력한다음 [ 조건 ] 탭을클릭합니다. b [ 유형 ] 필드에서 [ 이벤트델타 ] 를선택합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 111

10 위협에응답경보작동방법 c McAfee ESM의동기화되지않은데이터소스검사빈도를선택합니다. d 경보가트리거되는시간차를선택합니다. e 나머지탭의정보를완료합니다. 4 동기화되지않은데이터소스를보거나편집하거나내보냅니다. a 시스템탐색트리에서 McAfee Event Receiver를클릭한다음 [ 속성 ] 아이콘을클릭합니다. b [ 수신기관리 ] [ 시간델타 ] 를클릭합니다. 통보에응답 대시보드에서트리거된경보에응답합니다. 시스템통보를볼수도있습니다. 시작하기전에관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 1 트리거된경보및시스템통보를대시보드에표시하려면을클릭합니다. 2 다음중한가지방법으로트리거된경보에응답합니다. 적절한경보를선택하고을클릭하여트리거된경보를확인합니다. 시스템은 [ 통보 ] 패널에서확인된경보를제거합니다. [ 트리거된경보 ] 보기에서여전히경보를볼수있습니다. 적절한경보를선택하고을선택하여경보를삭제합니다. 필터막대를사용하여경보를필터링합니다. 그런다음보기를새로고치려면을클릭합니다. 을클릭하여경보를할당합니다. 그런다음적절한경보를선택하고 [ 피할당자 ] 를클릭하여경보에응답할특정사용자를선택합니다. 을클릭하여경보에대한케이스를만듭니다. 그런다음적절한경보를선택하고 [ 케이스만들기 ] 를클릭합니다. 적절한경보를클릭하여트리거된경보설정을편집합니다. 을클릭하여설정을변경합니다. 을클릭하여트리거된경보에대한상세정보를봅니다. 그런후다음중하나를수행합니다. 경보를트리거한이벤트를보려면 [ 트리거한이벤트 ] 탭을클릭합니다. 설명을보려면이벤트를두번클릭합니다. 경보를트리거한조건을보려면 [ 조건 ] 탭을클릭합니다. 트리거된경보의결과로발생한액션을보려면 [ 액션 ] 탭을클릭합니다. 트리거된경보보기및관리 아직삭제되지않은트리거된경보를보고응답합니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 콘솔이 [ 경보 ] 로그창을표시할수있도록설정되어있는지관리자와함께확인합니다. 112 McAfee Enterprise Security Manager 11.1.x 제품안내서

위협에응답경보작동방법 10 1 다음 McAfee ESM 위치중하나에서트리거된경보에액세스합니다. 대시보드에서을클릭합니다. 콘솔에서 [ 경보 ] 창을보려면을클릭하고 [ 경보 ] 를선택합니다. 2 경보상세정보를보려면을클릭합니다. 트리거한이벤트, 이벤트를트리거한조건, 경보의결과로발생한액션 및이벤트에할당된 McAfee epo 태그를볼수있습니다. 단일이벤트가경보조건을충족하지못하는경우 [ 트리거한이벤트 ] 탭이나타나지않을수있습니다. 3 트리거된경보에응답합니다. 경보를인식하려면강조표시하고을클릭합니다. 시스템에서확인한경보는 [ 경보 ] 창에서제거되지만 [ 트리거된경보 ] 보기에는남아있습니다. 트리거된경보를삭제하려면강조표시하고을클릭합니다. 경보를필터링하려면 [ 필터 ] 창에정보를입력하고을클릭합니다. 경보를할당하려면을클릭하고피할당자를변경합니다. 경보에대한케이스를만들려면를클릭하고 [ 케이스만들기 ] 를클릭합니다. 트리거된경보설정을편집하려면경보를선택하고을클릭합니다. 경보보고서대기열관리 경보액션이보고서를생성하면생성된보고서의대기열을보고하나이상을취소할수있습니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 McAfee ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 경보 ] 를클릭합니다. 4 [ 설정 ] 탭을클릭합니다. 5 실행대기중인경보보고서를보려면 [ 보기 ] 를클릭합니다. McAfee ESM 은동시에최대다섯개의보고서를실행합니다. 6 특정보고서의실행을중지하려면해당보고서를선택하고 [ 취소 ] 를클릭합니다. 나머지보고서가대기열로이동합니다. 관리자또는마스터사용자인경우이목록에 McAfee ESM 에서실행대기중인모든보고서가포함되어어떤보고서라도취소할수있습니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 113

10 위협에응답케이스작동방법 7 목록에서보고서다운로드, 업로드, 제거또는새로고침여부를선택할 [ 파일 ] 을클릭합니다. 8 [ 닫기 ] 를클릭합니다. 트리거된경보및케이스에대한요약사용자지정 경보요약및 [ 필드일치 ] 와 [ 내부이벤트일치 ] 경보에대한케이스요약에포함할데이터를선택합니다. 시작하기전에관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 McAfee ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 경보 ] 를클릭한다음 [ 추가 ] 또는 [ 편집 ] 을클릭합니다. 4 [ 조건 ] 탭에서 [ 필드일치 ] 또는 [ 내부이벤트일치 ] 유형을선택합니다. 5 [ 액션 ] 탭, [ 케이스만들기 ], [ 구성 ] 을차례로클릭합니다. 그런다음케이스요약에포함할필드를선택합니다. 6 [ 트리거된경보요약사용자지정 ] 을클릭하고을클릭한다음트리거된경보의요약에포함시킬필드를선택합 니다. 7 요청한정보를입력하여경보를만든다음 [ 마침 ] 을클릭합니다. 케이스작동방법 케이스를사용하여잠재적위협을조사하는을추적합니다. 대시보드보기에서조사하려는이벤트를기반으로케이스를만듭니다. 케이스참고에상황별상세정보및이벤트를추가하고조사을추적할수있습니다. 문제가해결되면케이스를닫고이경우밝혀진정보를적용하는경보를작성합니다. 케이스추가 이벤트에대한응답으로추적액션을수행합니다. 시작하기전에 관리자권한이있거나케이스관리권한이있는액세스그룹에속해있어야합니다. 1 케이스관리또는컨텍스트메뉴를사용하여새케이스를만듭니다. 대시보드에서을클릭하고케이스관리를클릭한다음 [ 케이스추가 ] 아이콘을클릭합니다. 대시보드에서이벤트를선택하고메뉴아이콘을클릭한다음 [ 액션 ] [ 새케이스만들기 ] 를클릭합니다. 열린케이스에대한요약이대시보드왼쪽에표시됩니다. 2 요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 114 McAfee Enterprise Security Manager 11.1.x 제품안내서

위협에응답케이스작동방법 10 열린케이스검사 대시보드에서열린케이스와관련된을추적할수있습니다. 시작하기전에관리자권한이있거나케이스관리권한이있는액세스그룹에속해있는지확인합니다. 1 대시보드에서열린케이스를보려면을클릭하고 [ 검사패널 ] 을선택합니다. 열린케이스에대한요약이대시보드왼쪽에표시됩니다. 2 드롭다운화살표를사용하여검사하려는케이스를확장합니다. 다음중하나를수행합니다. 대시보드에서케이스상세정보 ( 심각도, 할당대상, 값또는참고 ) 를변경하려면 [ 편집 ] 을클릭합니다. 변경한다음 [ 저장 ] 을클릭합니다. 케이스상세정보를보려면 [ 케이스관리에서보기 ] 를클릭합니다. 3 [ 검사패널 ] 을닫습니다. 케이스변경 케이스상세정보를변경하거나케이스를닫을수있습니다. 변경은케이스참고에기록됩니다. 케이스를닫으면 [ 케이스 ] 창에더이상나타나지않지만상태가닫힘으로변경되어 [ 케이스관리 ] 목록에표시됩니다. 시작하기전에 다음케이스권한중하나가있어야합니다. 시스템의모든케이스를변경할수있는 [ 케이스관리관리자 ] 권한. 할당된케이스만변경할수있는 [ 케이스관리사용자 ] 권한. 1 대시보드에서을클릭한다음 [ 케이스관리 ] 를선택합니다. 2 다음방법중하나로 [ 케이스상세정보 ] 에액세스합니다. 할당된케이스를선택하려면 [ 케이스 ] 창에서선택한다음 [ 케이스편집 ] 아이콘을클릭합니다. 할당되지않은케이스를선택하려면 [ 케이스관리열기 ] 아이콘을클릭하고관련케이스를선택합니다. 그런 다음 [ 케이스편집 ] 아이콘을클릭합니다. 3 다음과같이케이스를변경할수있습니다. [ 케이스또는해결에이벤트할당 ] 아이콘을클릭하고 [ 케이스에이벤트추가 ] 를선택합니다. [ 메뉴 ] 아이콘을클릭하고 [ 액션 ] 을강조표시한다음 [ 케이스에이벤트추가 ] 를클릭합니다. 기본케이스상태를설정하려면 [ 추가 ] 또는 [ 편집 ] 을클릭한다음 [ 기본값 ] 을클릭하고기본상태를선택합니다. 대시보드에서 [ 케이스 ] 창에표시할케이스를선택합니다. 4 [ 확인 ] 을클릭하여변경사항을저장합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 115

10 위협에응답케이스작동방법 케이스보기 현재열려있든지닫혀있든지관계없이모든케이스를관리합니다. 시작하기전에관리자권한이있거나케이스관리권한이있는액세스그룹에속해있는지확인합니다. 1 대시보드에서을클릭하고 [ 검사패널 ] 을선택합니다. 열린케이스에대한요약이대시보드왼쪽에표시됩니다. 2 드롭다운화살표를사용하여보려는케이스를확장하고 [ 케이스관리에서보기 ] 를클릭합니다. 3 케이스정보를검토합니다. 케이스요약 ( 최대 255자 ) 시스템에서생성된케이스번호 ( 변경할수없음 ) 케이스에할당된사용자또는그룹 ( 케이스관리권한이있는사용자 / 그룹만표시 ) 케이스심각도를나열합니다. 1 20 = 녹색 61 80 = 밤색 21 40 = 파란색 81 100 = 빨간색 41 60 = 노란색 ( 선택사항 ) 케이스가할당된조직 케이스상태 : [ 열림 ]( 기본값 ) 및 [ 닫힘 ] 만들어지거나변경된날짜케이스 수행한액션을나타내는기록 시스템은자동으로다음을기록합니다. 변경사항에대한이전값과새값 ---- 2009-04-22 09:39 에변경된심각도이전 : 저위험현재 : 고위험 열리거나닫히거나재할당된케이스 요약, 심각도, 조직또는이벤트의변경사항 케이스에액세스한사용자의기록 케이스와연결된이벤트 케이스를보낼수있는이메일주소 이메일케이스 케이스가추가되거나다시할당될때마다케이스할당자에게자동으로이메일메시지를보내도록시스템을설정합니다. 또한케이스통보를이메일로수동으로보내고여기에케이스참고및이벤트상세정보를포함할수도있습니다. 시작하기전에 [ 케이스관리관리자 ] 권한이있는지확인합니다. McAfee ESM 의사용자이메일주소를설정합니다. 116 McAfee Enterprise Security Manager 11.1.x 제품안내서

위협에응답케이스작동방법 10 1 자동으로케이스를이메일로보냅니다. a [ 케이스 ] 창에서을클릭합니다. b 을클릭합니다. c [ 케이스가할당되면이메일보내기 ] 를선택한다음 [ 닫기 ] 를클릭합니다. 2 수동으로케이스를이메일로보냅니다. a [ 케이스 ] 창에서이메일로보내려는케이스를선택한다음 을클릭합니다. b [ 케이스상세정보 ] 에서 [ 이메일케이스 ] 를클릭한다음 [ 보낸사람 ] 및 [ 받는사람 ] 필드를입력합니다. c 참고를포함하고이벤트세부정보의 CSV 파일을첨부할지여부를선택합니다. d 이메일메시지에포함하려는참고사항을입력한다음 [ 보내기 ] 를클릭합니다. 케이스관리보고서생성 McAfee ESM에서 6개의표준케이스관리보고서를제공합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 McAfee ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 보고서 ] [ 추가 ] 를클릭합니다. 4 섹션 1, 2 및 3 을완료합니다. 5 섹션 4 에서 [CSV 쿼리 ] 를선택합니다. 6 섹션 5 에서실행할케이스관리보고서를선택합니다. [ 케이스관리요약 ] 케이스 ID 번호, 케이스에할당된심각도, 해당상태, 케이스가할당된사용자, 케이스가할당된조직 ( 있는경우 ), 케이스가추가된날짜및시간, 케이스가업데이트된날짜및시간 ( 있는경우 ), 케이스요약을포함합니다. [ 케이스관리상세정보 ] [ 케이스관리요약 ] 보고서의모든정보, 케이스에연결된이벤트의 ID 번호, 케이스의참고섹션에포함된정보를포함합니다. [ 케이스해결시간 ] 상태변경사이에걸리는시간길이를표시합니다 ( 예 : [ 열림 ] 시간스탬프와 [ 닫힘 ] 시간스탬프사이의차이 ). 기본적으로 [ 케이스 ID] 번호및심각도, 조직, [ 만든날짜 ], 마지막업데이트, 요약및시간차이별로 [ 닫힘 ] 상태와함께케이스를나열합니다. [ 피할당자별케이스 ] 사용자또는그룹에할당된케이스수를포함합니다. [ 조직별케이스 ] 조직별케이스수를포함합니다. [ 상태별케이스 ] 상태유형별케이스수를포함합니다. 7 섹션 6 을완료한다음 [ 저장 ] 을클릭합니다. 선택한보고서가 [ 보고서 ] 목록에표시됩니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 117

10 위협에응답관심목록작동방법 관심목록작동방법 관심목록은대시보드보기및보고서에서정보를필터링하거나상관규칙또는경보를트리거하는조건으로사용할수있는값목록입니다. 관심목록은글로벌일수도있고특정한사용자또는그룹과공유될수도있습니다. 관심목록은최대 1,000,000 개의값을포함할수있습니다. 관심목록워크플로란? 1 McAfee ESM 관심목록을구성합니다. 정적관심목록에는시간에따라변경되지않는값 ( 수동으로가져오거나입력한값 ) 이있습니다. 동적관심목록은쿼리, 정규표현식또는문자열검색기준을통해자동으로변경되는값을포함합니다. 2 관심목록을조건으로사용하는경보및상관규칙을구성합니다. 3 관심목록을사용하여대시보드보기또는보고서를필터링합니다. 4 관심목록을조건으로사용하여경보또는상관규칙을트리거합니다. 경보는관심목록의값과일치하는이벤트를언제든트리거할수있습니다. 상관규칙은관심목록조건을사용하여규칙이트리거되거나트리거되지못하게할수있습니다. 관심목록구성 경보또는상관규칙을트리거하거나보기또는보고서를필터링하는정적또는동적값이있는관심목록을만듭니다. 시작하기전에 관리자권한이있거나관심목록권한이있는액세스그룹에속해있는지확인합니다. 관심목록의 [GTI 악의적인 IP] 및 [GTI 의심스러운 IP] 값을사용하려면 McAfee GTI 사용권이필요합니다. 118 McAfee Enterprise Security Manager 11.1.x 제품안내서

위협에응답관심목록작동방법 10 1 McAfee ESM 대시보드에서을클릭하고 [ 관심목록 ] 을선택합니다. 2 [ 추가 ] 또는 [ 편집 ] 을클릭합니다. 3 [ 기본 ] 을확장합니다. 정적및동적관심목록은둘다최대 1,000,000 개의값으로제한됩니다. 시스템은가져온값을최대 1,000 개까지표시할수있으며가져온값을모두표시하지는않습니다. 관심목록에이름을지정하고정적또는동적관심목록인지여부를나타냅니다. 정적관심목록에는시간이경과해도변경되지않는값 ( 수동으로가져오거나입력한값 ) 이포함됩니다. 정적값이만료되는시간을 1 시간 - 365 일로설정할수있습니다. 각값에는시간이표시되고새로고치지않는한지정한기간에도달하면만료됩니다. 해당기간이지나면시스템은관심목록값을삭제합니다. 경보가트리거되어관심목록에해당값을추가하면관심목록값이새로고쳐질수있습니다. 동적관심목록에는쿼리, 정규표현식또는문자열검색기준을통해자동으로변경되는값이포함됩니다. 동적값을자동으로업데이트할시간을지정할수있습니다. 시스템은지정된데이터를사용하여소스를쿼리하고지정된시간에값을새로고칩니다. 소스를선택하여동적값을채웁니다. [ 소스 ] 필드는선택하는유형에따라다릅니다. 4 [ 소스 ]( 관심목록유형 ) 확장 : 정적관심목록 : 줄바꿈으로구분된형식으로값파일을가져옵니다. 최대 1000 개값까지한줄에하나의값을입력합니다. McAfee GTI McAfee GTI 관심목록을보거나편집할수는없지만관심목록은활성 ( 값포함 ) 또는비활성 ( 값포함안함 ) 여부를나타냅니다. McAfee GTI 관심목록을사용하여경보를트리거하거나, 보고서, 보기또는상관규칙을필터링하거나, McAfee ACE 장치에서위험상관관계관리자에대한점수지정소스로사용합니다. McAfee GTI 관심목록을사용하려면 McAfee GTI 사용권이필요합니다. 목록을다운로드하는데몇시간정도걸릴수있으며인터넷연결이필요합니다 ( 오프라인에서는다운로드할수없음 ). 동적관심목록 필드는관심목록유형에따라다릅니다. 동적관심목록에는사용자가작성하는정규표현식에의해반환되는값으로채워집니다. 이벤트또는규칙메시지 ( 규칙의간단한설명포함 ) 에있는문자열에대한정규표현식또는검색기준을입력합니다. 검색은기본적으로대 / 소문자를구분합니다. 대 / 소문자를구분하지않는검색을수행하려면 /Exploit/i 와같이검색문자열이나정규표현식을슬래시로둘러싸고그뒤에 i 를추가합니다. 문자열 관심목록에는정규표현식과일치하는사용자지정문자열유형의문자열 ( 이벤트에서컴파일됨 ) 목록이포함됩니다. 규칙이름 관심목록에는정규표현식과일치하는 McAfee ESM 규칙이름목록이포함됩니다. HTTP/HTTPS 이동적관심목록을사용하여인터넷에서위협또는 IOC(Indicators of Compromise) 피드를꺼냅니다. HTTP 요청을통해데이터를미리보고정규표현식을사용하여데이터를필터링할수있습니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 119

10 위협에응답관심목록작동방법 정규표현식검색을작성하는데사용할수있는웹사이트소스코드의처음 200 줄을미리봅니다. 관심목록의예약된업데이트또는 [ 지금실행 ] 은정규표현식검색과일치하는모든항목을포함합니다. 이옵션은 RE2 구문정규표현식 ( 예 : IP 주소와일치하는 (\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}) 을지원합니다. [ 인증 ] 웹사이트에서로그온하기위해사용자이름및암호를요구하는경우 [ 기본 ] 을선택합니다. 기본설정은 [ 없음 ] 입니다. [ 잘못된인증서무시 ] https URL 로웹사이트를검색하려면이옵션을선택하여잘못된 SSL 인증서를무시합니다. [ 방법 ] 게시콘텐츠나인수가필요한웹사이트를검색하려면 POST 를선택합니다. 기본설정은 GET 입니다. 웹사이트검색에서건너뛸코드의헤더줄수를지정합니다. 웹사이트에서값을구분하는데사용하는문자를입력합니다. 기본값은 \n 이며줄바꿈이구분기호라는것을나타냅니다. 가장일반적으로사용되는다른구분기호는쉼표 (,) 입니다. 정규표현식검색의결과에서원하지않는값을제거하는정규표현식을입력합니다. ( 필수 ) 일치항목을찾는데사용되는논리를입력하고사이트에서값을추출합니다. 사이트에나열된알려진악성 IP 주소또는 MD5 합계의목록과일치하는표현식을만드는데사용합니다. McAfee Active Response 동적관심목록값을지정한데이터로채웁니다. McAfee ESM 이 DXL 에있는 McAfee Active Response 를꺼내지못하면 McAfee Active Response 유형이나열되지않습니다. [ 수집기 ] 데이터를꺼내는데사용할수집기를선택합니다. [ 값 ] 관심목록에포함할검색된데이터열을선택합니다. [Or] 또는 [And] 두개이상의필터가있는경우 [And] 를사용하여데이터에모든필터를적용할지 [Or] 를사용하여필터중하나이상을적용할지선택합니다. [ 필터 ] 검색에적용할필터를선택합니다. [ 필터추가 ] 최대 5 개의필터를선택할수있습니다. CIFS, FTP 와같은추가유형의관심목록이지원됩니다. 5 [ 값 ] 을확장합니다. 검색결과를필드유형에할당하는유형을선택합니다. 선택하게되면시스템은관심목록을사용하여보기및보고서를필터링하거나경보및상관규칙을트리거할수있습니다. 기존관심목록에서이설정을변경할수있습니다. 관심목록에 25,000 개보다적은값이있는경우 McAfee ESM 은이전유형과새유형이호환되는지확인하고호환되지않는경우오류를반환합니다. 관심목록에 25,000 개보다많은값이있는경우호환성의유효성을검사해야합니다. 동적관심목록인경우 [ 문자열 ] 을소스로선택하면응용프로그램이선택한유형으로검색을필터링하지않습니다. 대신검색에서모든일치하는문자열을반환합니다. 120 McAfee Enterprise Security Manager 11.1.x 제품안내서

위협에응답관심목록작동방법 10 동적관심목록인경우검색이실행될때마다값표가값으로채워집니다. 관심목록에 25,000 개보다많은값이있는경우 [ 값 ] 필드에표시할수있는값이더있다고나타납니다. 사용자이름은데이터베이스에액세스할수있는사람을식별합니다. LDAP 의경우사용자이름은다음과같이공백이없는정식도메인이름이어야합니다. 또는 uid=bob,ou=users,dc=example,dc=com administrator@company.com 6 변경사항을저장합니다. 참고항목 : 122 페이지의규칙관심목록구성 관심목록가져오기 / 내보내기 관심목록을가져오고내보냄으로조직의여러 McAfee ESM 장치와정적관심목록값을공유합니다. 시작하기전에 관리자권한이있거나관심목록권한이있는액세스그룹에속해있는지확인합니다. 이권한이없으면문자열이나규칙이름이포함된관심목록또는개인관심목록을편집, 내보내기또는제거할수없습니다. [GTI 악의적인 IP] 및 [GTI 의심스러운 IP] 값이포함된관심목록을내보내려면 McAfee GTI 사용권이있어야합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 관심목록 ] 을선택합니다. 2 를클릭하여활성및비활성관심목록을나열합니다. 3 관심목록을내보냅니다. a 기존관심목록을선택하고 [ 내보내기 ] 를클릭합니다. McAfee GTI 관심목록을내보낼수없습니다. b 관심목록파일을내보낼위치를찾습니다. c [ 확인 ] 을클릭합니다. 4 관심목록을가져옵니다. a [ 가져오기 ] 를선택합니다. b 가져올관심목록파일의위치를찾습니다. c [ 확인 ] 을클릭합니다. 사용자가사용하거나변경할수있는관심목록지정 특정관심목록의사용 ([ 읽기 ]) 또는변경 ([ 수정 ]) 이가능한사용자를제어합니다. 시작하기전에관심목록이있는지확인합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 121

10 위협에응답관심목록작동방법 관리자권한이있거나관심목록권한이있는액세스그룹에속해있는지확인합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 관심목록 ] 을선택합니다. 2 원하는관심목록을선택하고을클릭한다음 [ 공유 ] 를클릭합니다. 3 관심목록을공유할그룹또는사용자를지정하려면 [ 수정설정상속 ] 을선택해제합니다. 관리자권한이없는경우사용자본인및사용자가속한그룹에만관심목록을할당할수있습니다. 사용자또는그룹이필터조건이나트리거조건으로관심목록을사용하도록하려면 [ 읽기 ] 를클릭합니다. 사용자또는그룹이관심목록을변경할수있도록하려면 [ 쓰기 ] 를클릭합니다. [ 쓰기 ] 를선택하면시스템이 [ 읽기 ] 를자동으로선택합니다. 4 변경사항을저장합니다. 규칙관심목록구성 관심목록을사용하여필터로사용할수있는규칙또는이벤트에서규칙이발생될때통보하는경보조건으로사용할수있는규칙을그룹화합니다. 이들관심목록은글로벌일수도있고 McAfee ESM 사용자또는그룹으로한정될수도있습니다. 시작하기전에 관리자권한이있거나관심목록권한이있는액세스그룹에속해있는지확인합니다. 1 [ 정책편집기 ] 의 [ 규칙유형 ] 창에서규칙유형을선택한다음이관심목록에서사용하려는규칙을선택합니다. 2 [ ] 을클릭한다음 [ 새관심목록만들기 ] 옵션을선택합니다. 3 이름을입력한다음 [ 정적 ] 옵션이선택되었는지확인합니다. 4 이관심목록이감시하는데이터유형을선택하고피할당자를선택합니다. 관리자권한이있는사용자는시스템의사용자또는그룹에관심목록을할당할수있습니다. 관리자권한이없는경우사용자본인및사용자가속한그룹에만관심목록을할당할수있습니다. 5 관심목록에값을더추가하려면다음중하나를수행합니다. 새줄로구분된값형식으로값파일을가져오려면 [ 가져오기 ] 를클릭한다음파일을선택합니다. 개별값을추가하려면 [ 값 ] 상자의각줄에한개의값을입력합니다. 최대숫자값은 1000입니다. 6 관심목록을구성한후특정관심목록에규칙값을추가할수있습니다. a 관심목록에추가할규칙을선택합니다. b [ ] [ 관심목록에추가 ] 를클릭합니다. c 관심목록을선택하여규칙을추가하고 [ 확인 ] 을클릭합니다. 122 McAfee Enterprise Security Manager 11.1.x 제품안내서

위협에응답관심목록작동방법 10 7 생성된이벤트에이관심목록의값이포함될경우경보를받으려면 [ 경보만들기 ] 를클릭합니다. 8 [ 확인 ] 을클릭합니다. 참고항목 : 118페이지의관심목록구성 관심목록을사용하도록경보구성 관심목록을경보조건으로사용하면시스템이관심목록의값과일치하는이벤트를발견하면경보가트리거됩니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 관리자권한이있거나관심목록권한이있는액세스그룹에속해있는지확인합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 시스템속성 ] 을선택합니다. 2 [ 경보 ] 를클릭한다음경보를추가합니다. 3 [ 조건 ] 탭에서 [ 내부이벤트일치 ] [ 관심목록사용 ] 옵션을찾고관심목록에이경보의값이포함되어있으면선택합니다. 4 [ 액션 ] 탭에서경보조건으로설정한관심목록에어떤일이발생하는지식별합니다. 해당관심목록의값을추가하거나제거할수있습니다. 이액션을수행하려면 [ 내부이벤트일치 ] 조건유형을사용하여관심목록을식별해야합니다. 참고항목 : 94페이지의경보만들기 관심목록을사용하여보기및보고서필터링 관심목록을보기및보고서에적용하여관심목록값과일치하는특정상세정보를중점적으로볼수있습니다. 시작하기전에 보기관리또는데이터보기권한이있는액세스그룹에속하는지확인합니다. 관리자권한이있거나관심목록권한이있는액세스그룹에속해있는지확인합니다. 관심목록이있는지확인합니다. 1 필터링하려는대시보드보기또는보고서를엽니다. 2 필터막대를클릭하고값및필터연산자를선택합니다. [ 관심목록 ] 슬라이드아웃메뉴의모양은선택한값에따라다릅니다. 3 원하는관심목록을선택하고 [ 적용 ] 을클릭합니다. 4 보기또는보고서를필터링하려면을클릭합니다. 참고항목 : 76 페이지의대시보드보기필터링 McAfee Enterprise Security Manager 11.1.x 제품안내서 123

10 위협에응답관심목록작동방법 통보에응답 대시보드에서트리거된경보에응답합니다. 시스템통보를볼수도있습니다. 시작하기전에관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. 1 트리거된경보및시스템통보를대시보드에표시하려면을클릭합니다. 2 다음중한가지방법으로트리거된경보에응답합니다. 적절한경보를선택하고을클릭하여트리거된경보를확인합니다. 시스템은 [ 통보 ] 패널에서확인된경보를제거합니다. [ 트리거된경보 ] 보기에서여전히경보를볼수있습니다. 적절한경보를선택하고을선택하여경보를삭제합니다. 필터막대를사용하여경보를필터링합니다. 그런다음보기를새로고치려면을클릭합니다. 을클릭하여경보를할당합니다. 그런다음적절한경보를선택하고 [ 피할당자 ] 를클릭하여경보에응답할특정사용자를선택합니다. 을클릭하여경보에대한케이스를만듭니다. 그런다음적절한경보를선택하고 [ 케이스만들기 ] 를클릭합니다. 적절한경보를클릭하여트리거된경보설정을편집합니다. 을클릭하여설정을변경합니다. 을클릭하여트리거된경보에대한상세정보를봅니다. 그런후다음중하나를수행합니다. 경보를트리거한이벤트를보려면 [ 트리거한이벤트 ] 탭을클릭합니다. 설명을보려면이벤트를두번클릭합니다. 경보를트리거한조건을보려면 [ 조건 ] 탭을클릭합니다. 트리거된경보의결과로발생한액션을보려면 [ 액션 ] 탭을클릭합니다. 상관규칙이트리거된원인식별 규칙이트리거된원인을파악하고잘못된긍정을조정합니다. 시작하기전에 관리자권한이있거나정책관리권한이있는액세스그룹에속해있는지확인합니다. 상세정보는요청시항상수집됩니다. 그러나종종변경될수있는다른값또는동적관심목록을사용하는규칙의경우트리거직후상세정보를볼수있도록규칙을설정할수있습니다. 그러면상세정보를사용할수없게될가능성이줄어듭니다. 124 McAfee Enterprise Security Manager 11.1.x 제품안내서

위협에응답글로벌블랙리스트작동방법 10 1 대시보드에서을클릭하고 [ 상관 ] 을선택합니다. 2 상세정보를즉시볼수있도록규칙을설정합니다. a McAfee ESM 콘솔에서 [ 정책편집기 ] 아이콘을클릭한다음 [ 규칙유형 ] 창에서 [ 상관 ] 을클릭합니다. b 규칙의 [ 상세정보 ] 열을클릭하고 [ 설정 ] 을선택합니다. 한번에둘이상의규칙을선택할수있습니다. 3 상세정보를봅니다. a 시스템탐색트리의 McAfee ACE 장치에서 [ 규칙상관 ] 을클릭합니다. b 보기목록에서 [ 이벤트보기 ] [ 이벤트분석 ] 을선택한다음보려는이벤트를클릭합니다. c [ 상관상세정보 ] 탭을클릭하여상세정보를봅니다. 글로벌블랙리스트작동방법 블랙리스트는트래픽이패킷심층분석엔진에의해분석되기전에네트워크장치를통과할때트래픽을차단합니다. 글로벌블랙리스트는 McAfee ESM 에서관리되는모든네트워크장치에적용됩니다. McAfee ESM 에서개인네트워크장치에대한블랙리스트를설정할수있습니다. 글로벌블랙리스트는영구블랙리스트항목만허용합니다. 임시항목을설정하려면네트워크장치 [ 블랙리스트 ] 옵션을사용합니다. 각네트워크장치는글로벌블랙리스트를사용할수있습니다. 이기능은활성화할때까지모든장치에서비활성화되어있습니다. [ 글로벌블랙리스트편집기 ] 를통해다음을수행할수있습니다. [ 차단된소스 ] 장치를통과하는트래픽의소스 IP 주소와일치합니다. [ 차단된대상 ] 장치를통과하는트래픽의대상 IP 주소와일치합니다. [ 제외 ] 블랙리스트중하나에자동으로추가되지않도록합니다. 중요한 IP 주소 ( 예 : DNS 및다른서버또는시스템관리자의워크스테이션 ) 를제외에추가하여생성할수있는이벤트에관계없이자동으로블랙리스트에추가되지않도록할수있습니다. [ 차단된소스 ] 와 [ 차단된대상 ] 의항목은블랙리스트의효과를특정대상포트로좁히도록구성할수있습니다. 항목을추가하는경우 : McAfee Enterprise Security Manager 11.1.x 제품안내서 125

10 위협에응답글로벌블랙리스트작동방법 차단된소스와대상의항목을모든포트또는특정포트에서블랙리스트에추가하도록구성할수있습니다. 마스크된 IP 주소범위를사용하는항목은임의 (0) 로설정된포트로구성해야하며기간은영구여야합니다. IP 주소또는호스트이름을입력하면입력한값에따라해당컨트롤옆의단추에 [ 확인 ] 또는 [ 조회 ] 라고표시됩니다. [ 확인 ] 이라고표시되는단추를클릭하면입력된호스트이름을확인하고해당정보로 [IP 주소 ] 필드를채운다음호스트이름을 [ 설명 ] 필드로이동합니다. 그렇지않고 [ 조회 ] 를클릭하면 IP 주소를조회하고해당조회결과로 [ 설명 ] 필드를채웁니다. 일부웹사이트는두개이상의 IP 주소를사용하거나항상동일하지않은 IP 주소를사용합니다. 일부웹사이트를차단하는데이도구를사용하지마십시오. 글로벌블랙리스트설정 블랙리스트를지원하는모든네트워크장치의특정트래픽을차단하도록글로벌블랙리스트를설정합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 글로벌블랙리스트 ] 를클릭합니다. 2 [ 차단된소스 ], [ 차단된대상 ] 또는 [ 제외 ] 탭을선택한다음블랙리스트항목을관리합니다. [ 제외 ] 의경우 DNS 및다른서버또는시스템관리자의워크스테이션과같이자동으로블랙리스트에추가되면안되는 IP 주소목록을관리합니다. 기본값은영 (0) 이며모든포트를허용합니다. 블랙리스트의효과를특정대상포트로좁히려는경우포트번호를입력합니다. 3 글로벌블랙리스트를지원하는네트워크장치를선택합니다. McAfee Network Security Manager 에대한블랙리스트항목추가 McAfee Network Security Manager가센서를통해블랙리스트를적용합니다. 시작하기전에블랙리스트기능을사용하려면수퍼사용자여야합니다. 1 시스템탐색트리에서 [NSM 속성 ] 을선택하고 [ 블랙리스트 ] 를클릭한다음센서를선택합니다. 2 이센서에글로벌블랙리스트항목을적용하려면 [ 글로벌블랙리스트포함 ] 을선택합니다. 중복 IP 주소가있는경우글로벌블랙리스트주소가 McAfee Network Security Manager 주소를덮어씁니다. 이옵션을선택하면수동으로만항목을삭제할수있습니다. 3 [ 추가 ] 를클릭하고요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 기간이만료되면항목이블랙리스트에표시됩니다. McAfee Network Security Manager 의제거된블랙리스트항목관리 아직만료되지않았지만 McAfee Network Security Manager 를쿼리하는블랙리스트항목을반환하지않는, McAfee ESM 에서시작된항목은 [ 제거됨 ] 상태및플래그아이콘과함께표시됩니다. 항목을제거했지만 McAfee ESM 에서제거를시작하지않으면이상태가발생합니다. 이항목은블랙리스트에추가하거나블랙리스트에서삭제할수있습니다. 126 McAfee Enterprise Security Manager 11.1.x 제품안내서

위협에응답글로벌블랙리스트작동방법 10 1 시스템탐색트리에서 [NSM 속성 ] 을선택한다음 [ 블랙리스트 ] 를클릭합니다. 2 블랙리스트항목목록에서제거된항목을선택한다음 [ 추가 ] 또는 [ 삭제 ] 를클릭합니다. 3 [ 적용 ] 또는 [ 확인 ] 을클릭합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 127

10 위협에응답글로벌블랙리스트작동방법 128 McAfee Enterprise Security Manager 11.1.x 제품안내서

11 백업및복원 백업및복원작동방법 소프트웨어업그레이드를시작하기전에정기적으로 McAfee ESM 설정및데이터를백업합니다. 그러면시스템오류또는데이터손실이발생할경우 McAfee ESM 을이전상태로복원할수있습니다. 정책, SSH, 네트워크및 SNMP 파일의시스템설정을로컬또는원격위치에백업할수있습니다. 장치를 McAfee ESM 에추가할때시스템에서자동으로 7 일마다발생하는설정백업을사용할수있습니다. 언제든지설정을위한자동백업의빈도및시기를변경하거나수동백업을완료할수있습니다. 증분데이터를원격위치에백업할수있습니다. 자동데이터백업을구성하고활성화해야하며, 이는 NFS 위치상세정보지정을포함하고있습니다. FIPS 모드의경우백업을통해 McAfee ESM 장치간의통신을다시설정할수있습니다. 백업은현재버전의 McAfee ESM 과만호환됩니다. 업데이트된 McAfee ESM 장치에서이전버전을복원할수없습니다. 시스템은시스템이생성한이름과일치하는파일의백업만복원할수있으므로백업파일의이름을바꾸지마십시오. 시스템파일이최신인지확인 백업, 소프트웨어업데이트, 경보및보고서로그를해당파일유지관리를통해최신상태로유지합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 시스템속성 ] 을선택합니다. 2 [ 파일유지관리 ] 를클릭합니다. 3 파일형식을선택하고해당파일을강조표시합니다. 올바른파일을선택했는지확인하려면 [ 상세정보 ] 를클릭하여파일에대한정보를검토합니다. 4 강조표시된파일을다운로드하거나업로드하거나제거하거나새로고칩니다. FIPS 모드에서백업및복원 FIPS 모드에서 McAfee ESM 장치통신정보백업및복원 주로오류가발생하여 McAfee ESM 교체가필요한경우에사용할수있습니다. 오류가발생하기전에통신정보를내보내지않은경우장치와의통신을다시설정할수없습니다. 이방법은.prk 파일을내보내고가져옵니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 129

11 백업및복원백업및복원작동방법 처음에장치와의통신을설정하기위해기본 McAfee ESM 의비공개키가보조 McAfee ESM 에서사용됩니다. 통신이설정되면보조 McAfee ESM 은공개키를장치의인증된키테이블에복사합니다. 그런다음보조 McAfee ESM 에서기본 McAfee ESM 의비공개키를지우고고유한공개키또는비공개키쌍으로통신을초기화합니다. 1 기본 McAfee ESM 에서.prk 파일을내보냅니다. a 기본 McAfee ESM 의시스템탐색트리에서백업하려는통신정보가있는장치를선택한다음을클릭합니 다. b [ 키관리 ] 를선택한다음 [ 키내보내기 ] 를클릭합니다. c [SSH 비공개키백업 ] 을선택한후 [ 다음 ] 을선택합니다. d 암호를입력하고확인한다음만료날짜를설정합니다. 만료일이지난다음키를가져오는사람은이후의만료일을사용하여다른키를내보낼때까지장치와통신할수없습니다. [ 만료되지않음 ] 을선택하는경우다른 McAfee ESM 으로가져오면키가만료되지않습니다. e [ 확인 ] 을클릭한다음 McAfee ESM 에서만든.prk 파일을저장할위치를선택합니다. f 기본 McAfee ESM 에서로그아웃합니다. 2 장치를보조 McAfee ESM 에추가하고.prk 파일을가져옵니다. a 보조장치의시스템탐색트리에서장치를추가하려는시스템또는그룹수준노드를선택합니다. b 액션도구모음에서 [ 장치추가 ] 를클릭합니다. c 추가하려는장치유형을선택한후 [ 다음 ] 을클릭합니다. d 이그룹에고유한장치이름을입력한후 [ 다음 ] 을클릭합니다. e 장치의대상 IP 주소를입력합니다. FIPS 통신포트를입력하고 [ 다음 ] 을클릭합니다. f [ 키가져오기 ] 를클릭하고이전에내보낸.prk 파일을찾은다음 [ 업로드 ] 를클릭합니다. g 이키를처음으로내보낼때지정한암호를입력합니다. h 보조 McAfee ESM 에서로그아웃합니다. 데이터백업 데이터손실이발생할경우정보를복원할수있도록정기적으로데이터 ( 이벤트, 플로, 로그및패킷과문자열맵테이블 ) 를백업합니다. 시작하기전에 이전 McAfee ESM 버전의백업에서데이터를복원할수없습니다. 백업은현재버전의 McAfee ESM 과만호환됩니다. 더큰백업파일을허용하려면 ext4 를 NFS 서버파일시스템으로사용합니다. 데이터백업은증분백업입니다. 수동또는자동으로새백업을트리거하면시스템은마지막백업이후에생성된데이터만백업합니다. 이전백업이없는경우, 시스템은데이터의전체백업을완료합니다. 130 McAfee Enterprise Security Manager 11.1.x 제품안내서

백업및복원백업및복원작동방법 11 1 McAfee ESM 대시보드에서을클릭하고 [ 시스템속성 ] 을선택합니다. 2 자동백업을예약하려면 [ 데이터베이스 ] [ 데이터백업 ] 을선택합니다. 데이터를백업하는빈도를결정합니다 ( 최대간격 - 2 주 ). 또한백업시간을설정할수도있습니다. 백업파일의크기가초과하지않도록하려면매일백업을구성합니다. 데이터를저장할원격위치를식별합니다. 3 [ 연결 ] 을클릭하여연결을테스트합니다. 4 이제수동백업을완료하려면 [ 지금백업 ] 을클릭합니다. 시스템은시스템이생성한이름과일치하는파일의백업만복원할수있으므로백업파일의이름을바꾸지마십시오. 다른백업또는복원이이미진행중이면데이터를백업 ( 자동또는수동 ) 하거나복원할수없습니다. 데이터복원 데이터손실이발생하면이전데이터백업에서이벤트, 플로및로그데이터를복원할수있습니다. 또한패킷및문자열테이블데이터를복원할수도있습니다. 시작하기전에 시스템에서생성된이름과일치하는파일의백업만복원될수있습니다. 이전 McAfee ESM 버전의백업에서데이터를복원할수없습니다. 백업은현재버전의 McAfee ESM 과만호환됩니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 시스템속성 ] 을선택합니다. 2 [ 데이터베이스 ] [ 백업복원 ] 을선택합니다. 3 복원할데이터의날짜범위 ( 시작및종료날짜 ) 를지정합니다. 4 백업파일이있는원격위치 ( 예 : IP 주소, 원격마운트지점, 경로및로그온자격증명 ) 를식별합니다. 5 연결을테스트하여시스템이원격백업위치에액세스할수있는지확인합니다. 6 [ 확인 ] 을클릭합니다. 다른백업또는복원이이미진행중이면데이터를백업 ( 자동또는수동 ) 하거나복원할수없습니다. 설정백업 정책, SSH, 네트워크및 SNMP 파일에대한구성설정을정기적으로백업하여시스템장애가발생할경우 McAfee ESM 을복원할수있어야합니다. 시작하기전에 백업은현재버전의장치와만호환됩니다. 업데이트된 McAfee ESM 장치에이전버전의백업을설치할수없습니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 131

11 백업및복원백업및복원작동방법 1 McAfee ESM 대시보드에서을클릭하고 [ 시스템속성 ] 을선택합니다. 2 [ESM 관리 ] [ 유지관리 ] 탭을클릭합니다. 3 [ 설정백업 ] 을클릭합니다. 설정을백업하는빈도를결정합니다 ( 빈도및일수 ). 또한백업시간을설정할수도있습니다. 기본적으로 McAfee ESM 은 7 일마다자동으로 McAfee ESM 설정을백업합니다. 기본백업위치는 McAfee ESM 장치에있습니다. 백업파일의크기가초과하지않도록하려면매일백업을구성합니다. 백업설정을저장할위치를나타냅니다 ( 로컬 McAfee ESM 또는원격위치 ). 4 [ 연결 ] 을클릭하여연결을테스트합니다. 5 이제수동백업을완료하려면 [ 지금백업 ] 을클릭합니다. 6 시스템백업설정을정의합니다. 설정복원 시스템실패가발생하면 McAfee ESM 을이전설정백업에서복원할수있습니다. 시작하기전에 백업은현재버전의장치와만호환됩니다. 업데이트된 McAfee ESM 장치에이전버전의백업에서복원할수없습니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 시스템속성 ] 을선택합니다. 2 [ESM 관리 ] [ 유지관리 ] [ 백업복원 ] 을클릭합니다. 3 수행해야하는복원유형을선택합니다. 4 원격위치의정보를복원하거나입력하려는파일을선택한다음 [ 확인 ] 을클릭합니다. 백업복원시간은백업파일의크기에따라오래걸릴수있습니다. 시스템이전체복원을완료할때까지 McAfee ESM 은오프라인상태입니다. 이기간중 McAfee ESM 은 5 분마다다시연결하려고시도합니다. ELM 설정백업 시스템오류또는데이터유출이발생하는경우복원할수있도록 ELM(Enterprise Log Manager) 의현재설정을백업합니다. ELM 로깅데이터베이스를비롯한모든구성설정이저장됩니다. ELM 에저장된실제로그는백업되지않습니다. 시작하기전에 ELM 에서로그데이터를저장하는장치를미러링하고 ELM 관리데이터베이스를미러링합니다. 미러링기능은실시간로그데이터백업을제공합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ELM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 132 McAfee Enterprise Security Manager 11.1.x 제품안내서

백업및복원백업및복원작동방법 11 3 [ELM 정보 ] 를선택한다음 [ 백업및복원 ] 을클릭합니다. 4 백업빈도및위치를지정합니다. 그런다음연결을테스트합니다. 장치구성파일복원 각장치에대해 McAfee ESM에서백업한 SSH, 네트워크, SNMP 및기타구성파일을복원합니다. 시작하기전에 McAfee ESM에서장치구성파일을백업합니다. 1 시스템탐색트리에서장치를클릭한다음 [ 속성 ] 아이콘을클릭합니다. 2 장치의 [ 구성 ] 옵션을클릭하고 [ 구성복원 ] 을클릭한다음 [ 예 ] 를클릭합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 133

11 백업및복원백업및복원작동방법 134 McAfee Enterprise Security Manager 11.1.x 제품안내서

12 구성조정 목차 수신기구성로그장치작동방법데이터공유작동방법 McAfee Application Data Monitor 작동방식 McAfee Database Event Monitor 작동방식 McAfee epo 장치작동방법가상장치작동방법메시지설정작동방법네트워크인터페이스관리취약성평가작동방법 SNMP 및 MIB 작동방법장치구성 수신기구성 McAfee Event Receiver 는방화벽, VPN( 가상사설망 ), 라우터, NetFlow, sflow 등을비롯한여러공급업체소스에서보안이벤트및네트워크플로데이터의수집을활성화합니다. 수신기는이벤트및플로데이터를단일관리가능한솔루션으로수집및정규화하여여러공급업체에서단일보기를제공합니다. 고가용성수신기 ( 수신기 -HA) 는기본모드및보조모드에서사용할수있으며서로에대한백업역할을합니다. 보조수신기 (B) 는기본수신기 (A) 를지속적으로모니터링하고새구성또는정책정보는두장치에모두전송됩니다. 수신기 B 에서수신기 A 의실패를확인하면수신기 B 가네트워크에서수신기 A 의데이터소스 NIC 연결을끊고기본수신기역할을담당합니다. 수신기 A 를기본수신기로복원하기위해수동으로복원할때까지수신기 B 가기본수신기로유지됩니다. 참고항목 : 149 페이지의데이터공유작동방법 수신기데이터보관설정 원시데이터백업을장기간저장하기위해저장장치에전달하려면수신기를구성합니다. 시작하기전에 CIFS 공유연결을활성화하려면 CIFS 공유가있는시스템에서포트 445를열어야합니다. SMB 연결을활성화하려면 SMB 공유가있는시스템에서포트 135를열어야합니다. McAfee ESM 에서지원하는저장소유형은 SMB/CIFS(Server Message Block/Common Internet File System), NFS(Network File System), Syslog 전달입니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 135

12 구성조정수신기구성 SMB/CIFS 및 NFS 는이메일, estream, http, SNMP, SQL, syslog 및원격에이전트프로토콜을사용하는데이터소스를통해수신기에전송된모든원시데이터백업을데이터파일형식으로저장합니다. 시스템은이러한데이터파일을 5 분간격으로보관에보냅니다. Syslog 전달은 syslog 프로토콜의원시데이터를결합된 syslog 의연속스트림으로장치에보냅니다. Syslog 전달은 UDP 패킷만지원합니다. 수신기는한번에한개의저장소유형에만전달할수있습니다. 세가지유형을모두구성할수있지만데이터를보관하기위해한가지유형만활성화할수있습니다. 이기능은 NetFlow, sflow 및 IPFIX 데이터소스유형을지원하지않습니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 수신기구성 ] [ 데이터보관 ] 을클릭합니다. 4 공유유형을선택하고연결구성정보를입력합니다. [SMB/CIFS] [ 공유유형 ] - 공유유형을 [SMB] 또는 [CIFS] 로설정합니다. [IP 주소 ] - 공유의 IP 주소입니다. [ 공유이름 ] - 공유에적용된레이블입니다. [ 경로 ] - 보관된데이터를저장해야하는공유의하위디렉터리입니다 ( 예 : TMP/Storage). 저장소가공유의루트디렉터리에있는경우경로가필요하지않습니다. 사용자이름및암호 - 공유에연결하는데필요한자격증명입니다. SMB/CIFS 공유에연결할때암호에쉼표를사용하지마십시오. [NFS] [IP 주소 ] - 공유의 IP 주소입니다. [ 마운트지점 ] - 공유의마운트지점이름입니다. [ 경로 ] - 보관된데이터를저장해야하는공유의하위디렉터리입니다 ( 예 : TMP/Storage). 저장소가공유의루트디렉터리에있는경우경로가필요하지않습니다. [Syslog 전달 ] [IP 주소 ] - 공유의 IP 주소입니다. [ 포트 ] - 데이터보관에사용되는포트입니다. 고가용성수신기설정 고가용성수신기의설정을정의합니다. 기본장치로작동하는수신기를추가합니다. 3 개이상의 NICS 가있어야합니다. FIPS 규정을준수해야하는경우이기능을사용하지마십시오. 고가용성수신기는 FIPS 컴플라이언트가아닙니다. 1 시스템탐색트리에서기본고가용성장치가될수신기를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 수신기구성 ] 을클릭한다음 [ 인터페이스 ] 를클릭합니다. 3 [HA 수신기 ] 탭을클릭한다음 [ 고가용성설정 ] 을선택합니다. 4 요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 136 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정수신기구성 12 두번째수신기의키를지정하는프로세스가데이터베이스를업데이트하고 globals.conf 를적용하고두개의수신기를동기화합니다. IPv6 으로고가용성수신기설정 LCD 를사용하여 IPv6 주소를수동으로설정할수없으므로 IPV6 으로고가용성을설정합니다. 시작하기전에 McAfee ESM 이 IPv6 을수동으로사용중인지자동으로사용중인지확인합니다 ([ 시스템속성 ] [ 네트워크설정 ]). 네트워크관리자가만드는공유 IP 주소가있는지확인합니다. 1 고가용성쌍의두수신기에서다음을수행합니다. a 수신기를켠다음 LCD 를사용하여 IPv6 을활성화합니다. b [Mgt IP Configr( 관리 IP 구성 )] [Mgt1] [IPv6] 으로이동하여관리 IP 주소를적습니다. 이은네트워크지연으로인해시간이다소소요될수있습니다. 2 이러한수신기중하나를 McAfee ESM 에추가합니다. [ 이름 ] 고가용성쌍의이름입니다. [ 대상 IP 주소또는 URL] 적어둔이고가용성수신기에대한관리 IPv6 주소입니다. 3 시스템탐색트리에서새로추가한장치를선택한다음 [ 수신기속성 ] [ 수신기구성 ] [ 인터페이스 ] 를클릭합니다. 4 [IPv6 모드 ] 필드에서 [ 수동 ] 을선택합니다 ( 고가용성에유일하게지원되는모드 ). 5 1 번인터페이스옆의 [ 설정 ] 을클릭하고 [IPv6] 필드에공유 IP 주소를입력한다음 [ 확인 ] 을클릭합니다. 이주소는고가용성설정동안공유인터페이스에할당됩니다. 이이완료되지않으면고가용성은제대로페일오버되지않습니다. 6 [ 수신기속성 ] 에서 [ 연결 ] 을클릭하고 [ 대상 IP 주소 / 이름 ] 에공유 IPv6 주소를입력한다음 [ 확인 ] 을클릭합니다. 7 HA 설정프로세스를계속진행합니다. 수신기자산추가 자산은 IP 주소를가진네트워크의장치입니다. [ 자산관리자 ] 에서자산만들기, 태그변경, 자산그룹만들기, 자산소스추가및그룹에자산할당을수행할수있습니다. ESM 장치는자산소스를하나만가질수있습니다. 수신기는여러자산소스를가질수있습니다. 두개의자산탐색소스가동일한자산을찾는경우우선순위가가장높은탐색방법이탐색한자산을표에추가합니다. 두탐색소스의우선순위가동일한경우나중에자산을탐색한소스가먼저탐색한소스보다우선합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 137

12 구성조정수신기구성 1 시스템탐색트리에서 [ 수신기속성 ] 을선택한다음 [ 자산소스 ] 를클릭합니다. 2 [ 추가 ] 를클릭한다음자산을구성합니다. a 자동검색기능을활성화하려면 [ 사용 ] 을선택합니다. 확인란을선택하지않으면 [ 검색 ] 을클릭하여자산소스의데이터를수동으로검색할수도있습니다. 확인란을선택할경우시스템은 [ 데이터검색 ] 필드에서지정된간격으로데이터를검색합니다. b 자산소스의 [ 유형 ] 을선택합니다. 나머지필드는선택하는유형에따라다릅니다. c 이자산소스의 [ 이름 ] 을입력합니다. d ( 선택사항 ) 이자산소스의영역을선택합니다. e 취약성평가또는네트워크탐색과동시에자산을발견하는경우이자산소스에부여하려는우선순위를선택합니다. 옵션은 1 에서 5 까지이며 1 이가장높은우선순위입니다. f 자산소스의 IP 주소및포트를입력합니다. g [TLS] 암호화프로토콜 (Active Directory 의경우 ) 또는 [SSL](Altiris 의경우 ) 을사용하려면선택합니다. h 자산에액세스하는데필요한 [ 사용자이름 ] 및 [ 암호 ] 를입력합니다. i j 도메인컨트롤러의적절한이름을입력합니다 ( 예 : dc=mcafee,dc=com). (Altiris 만해당 ) 프록시서버를활성화하려면 [ 사용 ] 을선택하고프록시 IP 주소, 포트및자격증명을입력합니다. k 데이터를자동으로검색하려는경우검색할빈도를선택합니다. l 연결을테스트하려면 [ 연결 ] 을클릭합니다. 3 [ 확인 ] 을클릭한다음 [ 자산소스 ] 에서 [ 쓰기 ] 를클릭합니다. 자동으로데이터소스를만들도록수신기구성 수신기에서제공하는표준규칙또는직접만든규칙을사용하여데이터소스를자동으로만들도록수신기를설정합니다. 1 액션툴바에서 [ 이벤트및플로가져오기 ] 아이콘을클릭하여이벤트또는플로를꺼냅니다. 2 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 3 시스템탐색트리에서수신기를선택한다음 [ 속성 ] 아이콘을클릭합니다. 4 [ 수신기속성 ] 페이지에서 [ 데이터소스 ] [ 자동학습 ] 을클릭합니다. 5 [ 자동학습 ] 페이지에서 [ 구성 ] 을클릭합니다. 6 [ 자동추가규칙편집기 ] 페이지에서 [ 데이터소스의자동생성활성화 ] 를확인합니다. 7 [ 추가 ] 를클릭한다음수신기에서데이터소스를자동으로만드는데사용할자동추가규칙을선택합니다. 8 선택한규칙을기존의자동학습데이터에적용하려면 [ 지금실행 ] 을클릭합니다. 138 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정수신기구성 12 139 페이지의데이터소스자동학습설정데이터소스 IP 주소를자동으로학습하도록 McAfee ESM 수신기를설정합니다. 데이터소스자동학습설정 데이터소스 IP 주소를자동으로학습하도록 McAfee ESM 수신기를설정합니다. 시작하기전에 Syslog, MEF 및플로에대한포트를정의합니다. 수신기포트는데이터를보내고있는소스와일치해야합니다. 그렇지않으면자동학습이수행되지않습니다. 수신기의방화벽이지정한시간에열리므로시스템은알수없는 IP 주소세트를학습할수있습니다. 그런다음데이터소스로시스템에추가할수있습니다. McAfee ESM 을업데이트하면자동학습결과가삭제됩니다. 업데이트후자동학습을실행하여자동학습결과를다시수집합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서수신기를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 수신기속성 ] 페이지에서 [ 데이터소스 ] [ 자동학습 ] 을클릭합니다. 4 자동학습설정구성 a 적절한 [ 시간 ] 필드에서자동학습을수행할시간을선택한다음 [ 활성화 ] 을클릭합니다. MEF 에자동학습을사용하는경우에는호스트 ID 를사용하여자동학습되는데이터소스를추가할수없습니다. 시간이만료되면자동학습기능이비활성화되고테이블이검색된 IP 주소로채워집니다. b 자동학습을중지하려면 [ 사용안함 ] 을클릭합니다. 5 자동학습된 IP 주소를데이터소스로추가합니다. a 추가하려는유형과동일한유형의 IP 주소를선택한후 [ 추가 ] 를클릭합니다. b [ 자동학습된소스 ] 페이지에서다음옵션중하나를선택합니다. 선택한 IP 주소에연결된이름이없는경우선택한주소에접두사를추가할지를묻는메시지가표시됩니다. [ 아니요 ] 를클릭하면 IP 주소가이러한데이터소스의이름으로사용됩니다. [ 예 ] 를클릭하고접두사이름을입력한다음 [ 확인 ] 을클릭합니다. 이러한데이터소스의이름은추가한이름과 IP 주소로구성됩니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 139

12 구성조정수신기구성 선택한 IP 주소에이름이있으면데이터소스가목록에추가됩니다. [ 클라이언트유형일치 ] - 선택한 IP 주소와일치하는기존데이터소스가있는경우항목이데이터소스에유형별일치클라이언트데이터소스로추가됩니다. 선택한 IP 주소와일치하는데이터소스가존재하지않는경우에는데이터소스가만들어집니다. 나머지항목은유형별일치클라이언트데이터소스로추가됩니다. [ 클라이언트 IP 일치 ] - 이를통해 IP 주소를클라이언트로추가하려는데이터소스를선택할수있습니다. 일치하는데이터소스가나열됩니다. 하나도없는경우사용가능한유일한옵션은 [ 없음 새데이터소스만들기 ] 입니다. 이 IP 주소를클라이언트로추가하려는데이터소스를선택한다음 [ 확인 ] 을클릭합니다. 6 데이터소스의이름을변경하려면 [ 이름편집 ] 을클릭합니다. 최대 50 자를사용하고이름이목록의데이터소스에지정되어있지않은지확인합니다. 7 선택한 IP 주소의유형을변경하려면 [ 유형변경 ] 을클릭합니다. 시스템에서제안한유형이잘못된경우유형을변경합니다. 패킷을보면올바른유형을더쉽게결정할수있습니다. 데이터소스구성 수신기는방화벽, VPN(Virtual Private Network), 라우터, NetFlow, sflow 등을비롯한여러소스에서로그및이벤트데이터를수집하는방법을제어합니다. 필요한데이터를수집하기위해데이터소스를추가하고해당설정을정의합니다. 시작하기전에 이데이터소스의수신기가시스템탐색트리에나열되어있는지확인합니다. 데이터소스구성참조에설명된대로데이터소스가구성되었는지확인합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서수신기를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 수신기속성 ] 페이지에서 [ 데이터소스 ] 를클릭합니다. 테이블에기존데이터소스 ( 하위및클라이언트데이터소스포함 ) 가나열되고데이터소스가데이터를처리하는방법이나와있습니다. [SNMP 트랩 ] 이선택되어있으면데이터소스가 SNMP 트랩을보내는기능이있는관리가가능한네트워크장치의표준 SNMP 트랩을허용합니다. McAfee ESM 이이러한트랩을수신하면데이터소스의이벤트를생성합니다. IPv6 을통해 SNMP 트랩을보내거나받으려면 IPv6 주소를 IPv4 변환주소로나타냅니다. 4 다음중하나를수행합니다. 새데이터소스를추가하려면 [ 추가 ] 를클릭합니다. 하위데이터소스를기존데이터소스에추가하려면 [ 하위추가 ] 를클릭합니다. 기존데이터소스를편집하려면데이터소스를선택하고 [ 편집 ] 을클릭합니다. 5 데이터소스를구성합니다. a SNMP 및 syslog 프로토콜기반장치를미리채우려면 [ 시스템프로파일사용 ] 을클릭합니다. b [ 데이터소스공급업체 ] 및 [ 데이터소스모델 ] 을입력합니다. 이는사용자가데이터소스에입력하는정보를결정합니다. UTF-8 인코딩없이데이터를생성하는 ASP( 고급 syslog 분석기 ) 데이터소스의경우공급업체로 [ 일반 ] 을선택하고모델로 [ 고급 Syslog 분석기 ] 를선택합니다. 140 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정수신기구성 12 c 구문분석방법을설정하려면 [ 데이터형식 ] 을선택합니다. d [ 데이터검색 ] 방법을선택합니다. [SCP] 의경우 LANG 환경변수를 [lang=c] 로설정합니다. [SCP 파일소스 ] 는관련경로를지원하지않습니다. 전체위치를정의합니다. [CIFS 파일소스 ] 또는 [NFS 파일소스 ] 의경우수집방법을선택합니다. e 수신기가데이터를처리하는데사용하는방법을활성화합니다. f 공급업체, 장치모델, 데이터검색방법또는장치프로토콜을기반으로하는추가필드를완료합니다. 데이터소스가탐색트리의수신기아래나타납니다. 참고항목 : 149 페이지의데이터공유작동방법 수신기가 SDEE 와함께작동하는방법 SDEE(Security Device Event Exchange) 형식은다양한유형의보안장치에서생성된이벤트를나타내는방법을설명합니다. SDEE 사양은 HTTP 또는 HTTPS 프로토콜을사용하여 SDEE 이벤트가전송된다는것을나타냅니다. 클라이언트에이벤트정보를제공하기위해 SDEE 를사용하는 HTTP 서버를 SDEE 공급자라고하는반면 HTTP 요청게시자는 SDEE 클라이언트라고합니다. Cisco 는 SDEE 표준에일부확장을정의했는데이를 CIDEE 표준이라고합니다. McAfee Event Receiver 는 Cisco 침입방지시스템에서생성한 CIDEE 데이터를요청하는 SDEE 클라이언트역할을수행할수있습니다. SDEE 는꺼내기모델을사용합니다. 이는정기적으로 McAfee Event Receiver 가 SDEE 공급자에게연결하여마지막이벤트가요청된시간이후생성된이벤트를요청한다는의미입니다. McAfee Event Receiver 가 SDEE 공급자로부터이벤트를요청할때마다시스템은 McAfee ESM 검색을즉시수행할수있도록이러한이벤트를처리하여 McAfee Event Receiver 이벤트데이터베이스에저장합니다. Cisco 를공급업체로선택하고 ios IPS(SDEE) 를데이터소스모델로선택하여 SDEE 공급자를데이터소스로수신기에추가합니다. McAfee Event Receiver 는 SDEE/CIDEE 이벤트에서다음을추출합니다. 소스및대상 IP 주소 소스및대상포트 프로토콜 이벤트시간 이벤트개수 (CIDEE 는 McAfee Event Receiver 에서적용하는이벤트집계양식제공 ) 시그니처 ID 및하위 ID McAfee ESM 이벤트 ID 는 ESMI ID = (SDEE ID * 1000) + CIDEE sub-id 수식을사용하여 SDEE 시그니처 ID 와 CIDEE 하위시그니처 ID 로부터계산됩니다. SDEE 시그니처 ID 가 2000 이고 CIDEE 하위시그니처 ID 가 123 인경우 McAfee ESM 이벤트 ID 는 2000123 입니다. VLan 심각도 이벤트설명 패킷콘텐츠 ( 가능한경우 ). McAfee Enterprise Security Manager 11.1.x 제품안내서 141

12 구성조정수신기구성 McAfee Event Receiver 가처음으로 SDEE 공급자에연결될때현재날짜및시간이요청하는이벤트의시작지점으로사용됩니다. 이후의연결은마지막으로꺼내기를성공한이후의모든이벤트를요청합니다. 고가용성보조수신기다시초기화 어떤이유로든보조수신기의서비스가중단된경우다시설치하면다시초기화합니다. 1 시스템탐색트리에서기본수신기의 [ 수신기속성 ] 을선택한다음 [ 수신기구성 ] [ 인터페이스 ] [HA 수신기 ] 를클릭합니다. 2 올바른 IP 주소가 [ 보조관리 IP] 필드에있는지확인합니다. 3 [ 보조다시초기화 ] 를클릭합니다. 고가용성장치재설정 고가용성장치로설정하기전에있었던상태로고가용성수신기를재설정하려면 McAfee ESM 콘솔에서재설정하거나, 수신기와의통신이실패하는경우 LCD 메뉴에서재설정할수있습니다. 다음중하나를수행합니다. McAfee ESM 에서수신기재설정 5 분의시간제한이지나면두수신기가다시시작하고 MAC 주소를원래값으로되돌립니다. 1 시스템탐색트리에서 [ 수신기속성 ] 을클릭한다음 [ 수신기구성 ] [ 인터페이스 ] 를클릭합니다. 2 [ 고가용성설정 ] 을선택취소한다음 [ 확인 ] 을클릭합니다. 3 경고페이지에서 [ 예 ] 를클릭한다음 [ 닫기 ] 를클릭합니다. LCD 메뉴에서기본또는보조수신기재설정 1 수신기의 LCD 메뉴에서 [X] 를누릅니다. 4 기본수신기를다시설정하려면체크표시를 누릅니다. 2 [HA 사용안함 ] 이보일때까지아래쪽화살표를누릅니다. 5 보조수신기를다시설정하려면아래쪽화살표를한번누른다음체크표시를누릅니다. 3 LCD 화면에서 [ 기본사용안함 ] 을표시하려면오른쪽화살표를한번누릅니다. 고가용성수신기역할전환 수신기를업그레이드하거나수신기를제조업체로반환할준비를하거나수신기에서케이블을옮길때기본및보조 McAfee Event Receiver 의역할을전환합니다. 역할전환을통해잠재적인데이터손실을최소화할수있습니다. 수집기 (McAfee epo 장치포함 ) 가수신기 -HA 와연결되고수신기 -HA 가페일오버된경우수집기가수신기 -HA 와통신하려면둘간의스위치가페일오버된수신기의새로운 MAC 주소를공유 IP 주소에연결해야합니다. 이은현재네트워크구성에따라몇분에서최대며칠까지걸릴수있습니다. 142 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정수신기구성 12 1 시스템탐색트리에서수신기 -HA 장치를선택하고 [ 속성 ] 아이콘을클릭합니다. 2 [ 고가용성 ] [ 페일오버 ] 를선택합니다. McAfee ESM 은보조수신기에공유데이터소스 IP 주소를사용하여데이터수집을시작하도록지시합니다. 보조수신기는 CRM(Cluster Resource Manager) 명령을실행하여공유 IP 주소및 MAC 을전환하고수집기를시작합니다. McAfee ESM 이기본수신기에서모든경보및플로데이터를꺼냅니다. McAfee ESM 은보조수신기를기본으로선택하고기본수신기를보조로선택합니다. 실패한수신기바꾸기 보조수신기에해결되지않은상태문제가있는경우보조수신기를바꿔야할수있습니다. 새수신기를받으면설치합니다. IP 주소를설정하고케이블을꽂으면수신기를고가용성클러스터로복원할수있습니다. 1 시스템탐색트리에서고가용성수신기에대한 [ 수신기속성 ] 을선택한다음 [ 수신기구성 ] [ 인터페이스 ] 를클릭합니다. 2 [HA 수신기 ] 탭을클릭한다음 [ 고가용성설정 ] 이선택되었는지확인합니다. 3 IP 주소가올바른지확인한다음 [ 보조다시초기화 ] 를클릭합니다. 어떤이유로든고가용성수신기가중단되면데이터소스, 글로벌설정, 집계설정등의쓰기가실패한것으로나타나고 SSH 오류가표시됩니다. 설정은여전히작동하는수신기로롤아웃되지만, 중지된수신기와동기화할수없기때문에오류가표시됩니다. 그러나정책은롤아웃되지않습니다. 4 다음중하나를수행합니다. 보조수신기가사용가능하게되고동기화될때까지정책롤아웃을보류합니다. HA 모드에서수신기를제거합니다. 그러면이벤트가수집되지않는동안 HA 클러스터가 2-5 분동안중지됩니다. McAfee Event Receiver 처리량통계보기 마지막 10 분, 마지막 1 시간, 마지막 24 시간동안의수신및송신 ( 구문분석됨 ) 데이터소스속도가포함된 McAfee Event Receiver 사용통계를봅니다. 시작하기전에 장치관리자권한이있는지확인합니다. 1 시스템탐색트리에서수신기를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 수신기관리 ] [ 통계보기 ] [ 처리량 ] 탭을클릭합니다. 3 통계를봅니다. 수신속도가출력속도를 15 퍼센트초과하는경우시스템이해당행에위험 ( 마지막 24 시간 ) 또는경고 ( 마지막 1 시간 ) 로플래그를지정합니다. 4 모두, 위험또는경고옵션을선택하여데이터소스를필터링합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 143

12 구성조정로그장치작동방법 5 메트릭을표시하는측정단위를킬로바이트 (KB) 또는레코드수로선택합니다. 6 10초마다자동으로데이터를새로고치려면 [ 자동새로고침 ] 확인란을선택합니다. 7 관련열제목을클릭하여데이터를정렬합니다. [ 다음시간이지나면기록 ] 열은수집되었지만아직구문분석되지않은이벤트수를나타냅니다. 로그장치작동방법 목차 ELM 과의통신설정기본로그저장소풀구성로그이벤트유형선택 ELM 중복설정 ELM 압축설정 McAfee Risk Advisor 구성메시지로그및장치통계보기시스템또는장치로그보기 Enterprise Log Search(ELS) 구성 ELM 과의통신설정 이장치에서 ELM 으로데이터를보내려는경우 ELM IP 주소를확인하고장치를 ELM 과동기화해야합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 IP 를할당하거나장치를동기화합니다. [< 장치 > 구성 ] 을클릭하고 [ELM IP] 를클릭한다음새 IP 를입력합니다. 장치또는 ELM 이교체된경우 [ 장치동기화 ] 를클릭합니다. ELM 을동기화하면이전설정이적용된새장치의키를사용하여두장치간의 SSH 통신이다시설정됩니다. 기본로그저장소풀구성 로그저장소풀을구성하여이벤트데이터를 McAfee Enterprise Log Manager 로보냅니다. 장치는해당집계기간이만료될때까지이벤트를 McAfee Enterprise Log Manager 에보내지않습니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 McAfee ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 144 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정로그장치작동방법 12 3 [ 구성 ] [ 로깅 ] 을클릭합니다. 로깅을활성화합니다. McAfee Enterprise Log Manager에서로그데이터의저장소풀을설정합니다. 로그데이터에대해 McAfee Enterprise Log Manager를선택하지않은경우이을수행할지확인합니다. 이연결을만든후에는변경할수없습니다. 둘이상의 McAfee Enterprise Log Manager 장치가있는경우로그데이터로사용할장치를식별합니다. McAfee Enterprise Log Manager 와통신할 IP 주소를선택합니다. 로그이벤트유형선택 이벤트로그에저장하려는이벤트를선택합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ESM 관리 ] 를클릭합니다. 2 [ 로그관리 ] 를클릭한다음로깅하려는이벤트유형을선택합니다. ELM 중복설정 시스템에독립실행형 ELM이있는경우대기 ELM을추가하여로깅에대한중복을제공할수있습니다. 시작하기전에 독립실행형 ELM을설치하고 McAfee ESM에추가합니다. 대기 ELM도설치해야하지만콘솔에추가해서는안됩니다. 대기 ELM에는데이터가없어야합니다. 공장기본값재설정을수행하려면지원팀에문의하십시오. 1 시스템탐색트리에서 ELM 을클릭한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ELM 속성 ] 페이지에서 [ELM 중복 ] 을클릭한다음 [ 활성화 ] 를클릭합니다. 3 대기 ELM에대한 IP 주소및암호를입력한다음 [ 확인 ] 을클릭합니다. 4 [ELM 속성 ] 페이지에서 [ 저장소풀 ] 을클릭하고 [ 활성 ] 탭이선택되어있는지확인합니다. 5 저장소장치를활성 ELM에추가합니다. 6 [ 대기 ] 탭을클릭한다음활성 ELM의저장소에맞는, 충분히결합된공간이있는저장장치를추가합니다. 7 하나이상의저장소풀을각 ELM에추가합니다. 이제두 ELM의구성이동기화되고대기 ELM이두장치간의데이터동기화를유지관리합니다. 옵션정의 ELM 중복이활성화되지않은경우에만사용가능합니다. [ 활성화 ] 대기 ELM 데이터를추가하여 ELM 중복을활성화하려면클릭합니다. ELM 중복이활성화된경우에만사용가능합니다. [ 제거 ] ELM에서중복을비활성화하려면클릭합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 145

12 구성조정로그장치작동방법 옵션 [ELM 전환 ] 정의 대기 ELM 이기본 ELM 이되도록 ELM 을전환하려면클릭합니다. 시스템은모든로깅장치를여기에연결합니다. 로깅및구성액션은전환프로세스동안잠깁니다. [ 일시중단 ] 대기 ELM 에문제가발생하는경우대기 ELM 과의통신을일시중단하려면클릭합니다. 모든통신이중지되고중복에대한오류통지가마스크됩니다. 대기 ELM 이다시실행되면 [ 서비스로돌아가기 ] 를클릭합니다. [ 상태 ] 활성및대기 ELM 간에데이터동기화상태에대한상세정보를보려면클릭합니다. [ 서비스로돌아가기 ] 복구되거나대체된대기 ELM 을서비스로되돌리려면클릭합니다. 시스템이 ELM 을다시실행하고구성파일에대한변경사항이없음을탐지하면이전과같이중복이계속됩니다. 시스템이차이점을탐지하면저장소풀에대한중복프로세스가문제없이계속되고하나이상의풀이이전구성임을사용자에게알립니다. 이러한풀은수동으로수정합니다. 대기 ELM 을교체하거나재구성하면시스템이이를탐지하고키를다시지정하라는메시지를표시합니다. 그런다음활성 ELM 이모든구성파일을대기 ELM 과동기화하고이전과같이중복프로세스를계속합니다. ELM 압축설정 ELM 으로들어오는데이터의압축수준을선택하여디스크공간을절약하거나더많은로그를처리합니다. 압축비율을기본값 (14:1) 보다높게설정하면데이터가손실될수있습니다. 1 시스템탐색트리에서 [ELM 속성 ] 을선택한다음 [ELM 구성 ] [ 압축 ] 을클릭합니다. 2 ELM 압축수준을선택한다음 [ 확인 ] 을클릭합니다. McAfee Risk Advisor 구성 McAfee epo 에서 McAfee Risk Advisor 데이터취득을활성화하면시스템에서점수목록을생성하고 SrcIP 및 DstIP 필드채점에사용되는 McAfee Advanced Correlation Engine(ACR) 으로보냅니다. 1 시스템탐색트리에서 [epo 속성 ] [ 장치관리 ] 를선택한다음 [ 활성화 ] 를클릭합니다. 2 구성을완료합니다. a 선택한장치에대한기본로깅풀을구성하려면 [ELM 로깅관리 ] 를클릭합니다. 이옵션은 McAfee ESM 에 McAfee Enterprise Log Manager(ELM) 가있는경우에만사용할수있습니다. b [ 영역 ] 에 McAfee epo 를할당합니다. c [ 수동장치새로고침 ] 을클릭하여 McAfee epo 장치에서응용프로그램목록을새로고치고각응용프로그램에대한클라이언트데이터소스를작성합니다. d McAfee Risk Advisor 데이터획득을활성화하려면 [MRA 사용 ] 을클릭합니다. e f 이장치의데이터에 [ 우선순위 ] 를할당합니다. 여러장치가동일한데이터를보고하는경우우선순위에따라유지하는데이터가다릅니다. McAfee epo 장치에서응용프로그램목록을자동으로새로고치려면 [ 응용프로그램새로고침예약 ] 드롭다운목록에서빈도를선택합니다. 3 [ 확인 ] 을클릭합니다. 146 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정로그장치작동방법 12 메시지로그및장치통계보기 시스템에서생성된메시지를보거나, 장치의성능에대한통계를보거나, 장치상태정보가포함된.tgz 파일을다운로드할수있습니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [< 장치 > 관리 ] 를클릭합니다. 4 옵션을선택합니다. 시스템메시지를보려면 [ 로그보기 ] 를클릭한다음 [ 전체파일다운로드 ] 를클릭하여데이터를다운로드합니다. 이더넷인터페이스, ifconfig 및 iptables 필터등의장치성능에대한통계를보려면 [ 통계보기 ] 를클릭합니다. 장치상태데이터가포함된.tgz 파일을다운로드하려면 [ 장치데이터 ] 를클릭합니다. 시스템또는장치로그보기 시스템및장치로그는장치의이벤트를추적합니다. 장치또는 McAfee ESM 에대한자세한이벤트목록을보려면로그를확인합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템로그를봅니다. a 시스템탐색트리에서 McAfee ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. b [ 시스템속성 ] 에서 [ 시스템로그 ] 를클릭합니다. c 시간범위를설정하고아카이브된파티션을포함할지여부를선택한다음 [ 보기 ] 를클릭합니다. [ 시스템로그 ] 페이지에서데이터선택을세분화하거나일반텍스트파일로데이터를내보낼수있습니다. 3 장치로그를봅니다. a 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. b [ 장치로그 ] 를클릭합니다. c 시간범위를설정하고아카이브된파티션을포함할지여부를선택한다음 [ 보기 ] 를클릭합니다. [ 장치로그 ] 페이지에서데이터선택을세분화하거나일반텍스트파일로데이터를내보낼수있습니다. Enterprise Log Search(ELS) 구성 ELS 데이터를검색하려면 ELS 장치를콘솔에추가하고 ELS 저장소및보존정책을설정하고데이터소스를특정보존정책과연결합니다. 시작하기전에 가상장치또는물리적장치를설정하고설치합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 147

12 구성조정로그장치작동방법 1 대시보드에서을클릭한다음 [ 구성 ] 을클릭합니다. 2 콘솔에 ELS 장치를추가합니다. a 액션도구모음에서을클릭하고 [McAfee Enterprise Log Search] 를선택합니다. [ 다음 ] 을클릭합니다. b 고유한 [ 장치이름 ] 을입력하고 [ 다음 ] 을클릭합니다. c 장치의대상 IP 주소또는 URL, 대상 SSH 포트번호및 NTP(Network Time Protocol) 설정을입력합니다. [ 다음 ] 을클릭합니다. d 이장치의암호를입력하고 [ 다음 ] 을클릭합니다. 3 저장소를설정합니다. 압축되지않은데이터를유지하면 ELS 검색기능이빨라집니다. 그러나하드드라이브나네트워크저장소같은추가저장소공간이필요합니다. a [ELS] 를선택하고을클릭한다음 [ 데이터저장소 ] 를클릭합니다. b iscsi, DAS, SAN 또는가상로컬드라이브를사용하는경우상위그리드에정보를입력합니다. c SAN, 가상로컬, NFS, iscsi 또는 CIFS 를사용하는경우하위그리드에서 [ 추가 ] 를클릭합니다. d 올바른매개변수를입력한다음 [ 확인 ] 을클릭합니다. 4 보존정책을추가합니다 (6 개이하로제한 ). ELS 로그데이터를검색하려면하나이상의보존정책이있어야합니다. 시스템은첫번째로만든보존정책을기본값으로설정합니다. 정책이하나만존재하는경우변경할수있지만삭제할수는없습니다. ELS 는첫번째보존정책을만들때 6 개월이전의데이터는허용할수없습니다. a [ELS] 를선택하고을클릭한다음 [ 보존정책 ] 을클릭합니다. b [ 추가 ] 를클릭합니다. c 보존정책의이름및기간을지정하고 [ 확인 ] 을클릭합니다. 시스템은기간을일단위로저장합니다. 기간을년 (365 일 ), 분기 (90 일 ) 또는월 (30 일 ) 단위로설정할수있습니다. 5 데이터소스를보존정책과연결합니다. a 데이터소스장치 ( 예 : McAfee Event Receiver) 를선택하고을클릭합니다. b [ 데이터소스 ] 를클릭합니다. c [ 로깅 ] 열에서관련확인란을선택하여 [ 로그데이터옵션 ] 화면을표시합니다. d 이데이터소스와연결하려는보존정책을선택하고 [ 확인 ] 을클릭합니다. 148 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정데이터공유작동방법 12 데이터공유작동방법 데이터스트리밍버스에서원시데이터의공개복사본을만들어구문분석되지않은공개데이터를타사응용프로그램과공유합니다. 데이터스트리밍버스에액세스하려면메시지전달규칙에의해생성된인증서및 Apache Kafka 를사용하는방법에대한지식이있어야합니다. 워크플로란? 1 McAfee Event Receiver 와같은장치를구성합니다. 2 데이터소스를구성합니다. 3 데이터스트리밍버스를구성하여수신기를연결합니다. 4 공유하려는데이터소스에대한메시지전달규칙을구성합니다. 5 메시지전달규칙에의해생성된자체 Kafka 소비자및인증서를사용하여데이터스트리밍버스연결을통해공개데이터에액세스합니다. 참고항목 : 135 페이지의수신기구성 140 페이지의데이터소스구성 데이터라우팅사용 McAfee Event Receiver 에연결된 McAfee 엔터프라이즈로그검색장치가없이개발할때데이터라우팅을통해 McAfee Event Receiver 를사용하여구문분석되지않은원시데이터를데이터스트리밍버스로전송할수있습니다. ELS 장치가연결된 McAfee Event Receiver 는메시지전달규칙에서구성한데이터스트리밍버스의원시로그를생성합니다. 그러면타사응용프로그램은인증서및공개항목이름을사용하여공개데이터에액세스할수있습니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서수신기를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 데이터라우팅 ] 을선택합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 149

12 구성조정데이터공유작동방법 4 [ 데이터라우팅사용 ] 옵션을선택하고 [ 확인 ] 을클릭합니다. 5 McAfee Event Receiver 속성페이지에서 [ 데이터소스 ] 를선택합니다. 6 공개된원시데이터를데이터스트리밍버스로보내려는데이터소스에대해 [ 데이터라우팅 ] 을선택합니다. 7 위의데이터소스를포함하도록메시지전달규칙을구성합니다. 데이터스트리밍버스구성 가상장치를설정하여장치간의통신을용이하게하고타사응용프로그램과원시데이터를공유하고분산 / 계층적구성에서 ESM 간구문분석된데이터를공유합니다. 시작하기전에 McAfee ESM 장치를설정하고 IP 주소및암호를기억해둡니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 데이터스트리밍버스 ] 를선택합니다. 2 [+ 추가 ] 를클릭합니다. 하나의데이터스트리밍버스장치만추가할수있습니다. 3 장치를마우스오른쪽단추로클릭하고 [ 설정 ] 을선택하여장치정보 ( 설명, 키관리, 네트워크인터페이스, 연결및관리 ) 를추가하거나변경합니다. 4 데이터스트리밍버스를다른 McAfee ESM 장치에연결합니다. a 데이터스트리밍버스를선택합니다. b 사용할수있는 McAfee ESM 장치를보려면 [ 장치연결 ] 을클릭합니다. c 장치를선택하고 [ 저장 ] 을클릭합니다. 검색상자에검색어를입력하여장치목록을필터링합니다. 메시지전달규칙구성 구문분석되지않은공개데이터를타사응용프로그램과직접공유합니다. 메시지전달규칙은데이터스트리밍버스에원시데이터의공개복사본을만듭니다. 그런다음메시지전달규칙에의해생성된인증서및 Apache Kafka 코드를사용하여원시데이터에액세스할수있습니다. 시작하기전에 공개데이터를타사응용프로그램과공유하는데필요한데이터스트리밍버스장치를구성합니다. McAfee Enterprise Log Search 장치를구성하거나 McAfee Event Receiver 에서데이터소스에대한데이터라우팅을활성화합니다. 엔터프라이즈로그검색장치가없는경우데이터라우팅을활성화해야합니다. 이벤트전달권한이있는지확인합니다. 데이터스트리밍버스의공개데이터에액세스하려면 Apache Kafka 에대한지식이있어야합니다. 150 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정 McAfee Application Data Monitor 작동방식 12 1 McAfee ESM 대시보드에서을클릭합니다. 을클릭하고 [ 메시지전달 ] 을선택합니다. 2 규칙을추가하거나변경합니다. 기존인증서를규칙과연결할수있습니다. 3 규칙에대한새인증서를생성하고다운로드합니다 ( 필요한경우 ). 인증서가생성되면 10 분내에인증서를다운로드할수있습니다. 4 규칙에대한 [ 소스어댑터 ] 를선택합니다. [ELS 원시로그 ] 시스템이 McAfee 엔터프라이즈로그검색장치에서원시데이터를검색합니다. [ 데이터라우팅 ] 데이터스트리밍버스에연결된 McAfee Event Receiver 의데이터소스에대해데이터라우팅을활성화합니다. McAfee 엔터프라이즈로그검색장치가없는경우이소스어댑터를사용해야합니다. 5 Apache Kafka 코드에인증서및공개이름을포함시키면데이터스트리밍버스또는 McAfee 엔터프라이즈로그검색장치의공개데이터에액세스할수있습니다. 인증서는타사응용프로그램에서액세스할수있는데이터를제한합니다. McAfee Application Data Monitor 작동방식 McAfee Application Data Monitor 는네트워크에서중요한데이터사용을추적하여기본프로토콜, 세션무결성및응용프로그램콘텐츠를분석합니다. McAfee Application Data Monitor 는위반을탐지하면컴플라이언스감사요구사항또는인시던트응답및포렌직에서사용하기위해해당응용프로그램세션의모든상세정보를보존합니다. 동시에 McAfee Application Data Monitor 는합법적응용프로그램으로가장하는위협에대한가시성을제공합니다. McAfee Application Data Monitor 는중요한정보가이메일첨부파일, 인스턴트메시지, 파일전송, HTTP POST 또는기타응용프로그램내에서전송되는시점을탐지할수있습니다. 중요한기밀정보에대한자체사전을정의하여 McAfee Application Data Monitor 의탐지기능을사용자지정합니다. 그런다음 McAfee Application Data Monitor 가이러한중요데이터유형을탐지하고, 관련담당자에게알리고, 위반사항을기록하여감사추적을유지관리할수있습니다. McAfee Application Data Monitor 는다음과같은응용프로그램프로토콜에서이상을모니터링, 디코드및탐지합니다. 파일전송 : FTP, HTTP, SSL( 설치및인증서전용 ) 이메일 : SMTP, POP3, NNTP, MAPI 채팅 : MSN, AIM/Oscar, Yahoo, Jabber, IRC 웹메일 : Hotmail, Hotmail DeltaSync, Yahoo mail, AOL Mail, Gmail P2P: Gnutella, bittorrent 셸 : SSH( 탐지전용 ), Telnet McAfee Application Data Monitor 는규칙표현식을허용하고모니터링된트래픽을테스트하여트리거된각규칙에대한데이터베이스의이벤트테이블에레코드를삽입합니다. ADM 은규칙을트리거한패킷을이벤트테이블의패킷필드에저장합니다. 또한응용프로그램수준메타데이터를트리거된모든규칙에대한 dbsession 및데이터베이스쿼리테이블에추가합니다. 프로토콜스택의텍스트표현을쿼리테이블의패킷필드에저장합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 151

12 구성조정 McAfee Application Data Monitor 작동방식 McAfee Application Data Monitor 는다음과같은유형의이벤트를생성할수있습니다. 메타데이터 - McAfee Application Data Monitor 는네트워크에서발생하는각트랜잭션에대해하나의메타데이터이벤트를생성하며여기에는주소, 프로토콜, 파일형식, 파일이름등의상세정보가포함됩니다. McAfee Application Data Monitor 가메타데이터이벤트를쿼리테이블에배치하고세션테이블전체의이벤트를그룹화합니다. 예를들어하나의 FTP 세션이세개의파일을전송하는경우 McAfee Application Data Monitor 는이들을함께그룹화합니다. 프로토콜이상 - 프로토콜이상은프로토콜모듈로하드코드되며너무짧아서유효한헤더를포함할수없는 TCP(Transmission Control Protocol) 패킷및잘못된응답코드를반환하는 SMTP(Simple Mail Transfer Protocol) 서버와같은이벤트를포함합니다. 프로토콜이상이벤트는드물게발생되며 McAfee Application Data Monitor 가이들을이벤트테이블에배치합니다. 규칙트리거 규칙표현식을통해규칙트리거이벤트가생성되며 ICE(Internet Communications Engine) 에의해생성된메타데이터의이상을탐지합니다. 이러한이벤트는정상적인시간이외에사용되는프로토콜이나예기치않게 FTP 와통신하는 SMTP 서버와같은이상을포함할수있습니다. 규칙트리거이벤트는드물게발생되며 McAfee Application Data Monitor 가이들을이벤트테이블에배치합니다. 이벤트테이블에는탐지된각프로토콜이상이나규칙트리거이벤트에대해하나의레코드가포함됩니다. 이벤트레코드는 sessionid 를통해세션및쿼리테이블에연결됩니다. 여기에서이벤트를트리거한네트워크전송 ( 메타데이터이벤트 ) 에대한상세정보를확인할수있습니다. 또한각이벤트는이벤트를트리거한패킷에대한원시패킷데이터를사용할수있는패킷테이블에연결됩니다. 세션테이블에는관련된네트워크전송그룹 ( 예 : 동일한세션에서발생하는 FTP 파일전송그룹 ) 각각에대한하나의레코드가포함됩니다. 세션레코드는 sessionid 를통해쿼리테이블에연결됩니다. 여기에서개별네트워크전송 ( 메타데이터이벤트 ) 에대한상세정보를확인할수있습니다. 또한세션내전송으로인해프로토콜이상이발생하거나규칙이트리거될경우이벤트테이블에대한링크가있습니다. 쿼리테이블에는각메타데이터이벤트 ( 네트워크에서발생하는콘텐츠전송 ) 에대해하나의레코드가포함됩니다. 쿼리레코드는 sessionid 를통해세션테이블에연결됩니다. 레코드가나타내는네트워크전송으로프로토콜이상이나규칙이트리거될경우이벤트테이블에대한링크가있습니다. 또한전체프로토콜이나콘텐츠스택의텍스트표현이있는텍스트필드를사용하는패킷테이블에대한링크도있습니다. McAfee Application Data Monitor 시간대설정 시스템은 McAfee Application Data Monitor 에대해설정한시간대를사용하여규칙을평가합니다. 기본시간대는 GMT 로설정되어있지만 McAfee Application Data Monitor 코드에서는사용중인시간대로장치가설정되어야합니다. 규칙에서 GMT 시간대가아니라사용중인시간트리거를사용하도록시간대를해당시간대로설정합니다. 1 시스템탐색트리에서 [ADM 속성 ] 을선택한다음 [ADM 구성 ] 을클릭합니다. 2 [ 시간대 ] 를클릭한다음사용중인시간대를선택합니다. 3 [ 확인 ] 을클릭합니다. 세션뷰어에서암호표시 세션뷰어에서세션의최신 25,000 개의 McAfee Application Data Monitor 쿼리상세정보를볼수있습니다. 일부이벤트규칙은암호와관련되어있을수있습니다. 세션뷰어에서암호표시여부를선택할수있습니다. 1 시스템탐색트리에서 [ADM 속성 ] 을선택한다음 [ADM 구성 ] 을클릭합니다. 기본적으로암호는표시되지않습니다. 2 [ 암호 ] 를클릭하고 [ 암호로깅활성화 ] 를선택한다음 [ 확인 ] 을클릭합니다. 152 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정 McAfee Application Data Monitor 작동방식 12 McAfee Application Data Monitor 선택규칙관리 시스템에서선택규칙은가상장치에서처리하는패킷을결정하는필터로사용됩니다. 선택규칙을추가, 편집및삭제할수있습니다. 순서에서대부분의패킷과처음일치하는규칙을배치합니다. 이렇게하면패킷의구문이분석되는평균횟수가줄어들어 CPU 사용률이줄어듭니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 가상장치 ] 를클릭한다음 [ 추가 ] 를클릭합니다. 4 표에서선택규칙의순서를추가, 편집, 제거또는변경합니다. 최대 4 개의 McAfee Application Data Monitor 인터페이스필터가있을수있습니다. 각필터는한번에하나의 McAfee Application Data Monitor 가상장치에만적용할수있습니다. McAfee Application Data Monitor 규칙구문 McAfee Application Data Monitor 규칙은 C 표현식과비슷한리터럴집합 ( 숫자, 문자열, 정규표현식, IP 주소, MAC 주소및부울 ) 을제공합니다. 문자열조건을문자열및정규식리터럴과비교하여콘텐츠를테스트할수있지만숫자와비교하여길이를테스트할수도있습니다. 숫자, IP 주소및 MAC 주소조건은동일한유형의리터럴값과만비교할수있습니다. 유일한예외는모든항목을부울로처리하여존재를테스트할수있다는점입니다. 일부조건에는여러개의값이있을수있습니다. 예를들어.zip 파일내 PDF 파일에대해 type = = application/zip && type = = application/pdf 규칙이트리거됩니다. 표 12-1 연산자 연산자설명예 && 논리적 AND protocol = = http && type = = image/gif 논리적 OR time.hour < 8 time.hour > 18 ^ ^ 논리적 XOR email.from = = "a@b.com" ^^email.to = = "a@b.com"! 단항 NOT! (protocol = = http protocol = = ftp) = = 같음 type = = application/pdf! = 같지않음 srcip! = 192.168.0.0/16 > 보다큼 objectsize > 100M > = 크거나같음 time.weekday > = 1 < 보다작음 objectsize < 10K < = 작거나같음 time.hour < = 6 표 12-2 리터럴 리터럴 숫자 예 문자열 " 문자열 " 정규식 1234, 0x1234, 0777, 16K, 10M, 2G /[A-Z] [a-z]+/ McAfee Enterprise Security Manager 11.1.x 제품안내서 153

12 구성조정 McAfee Application Data Monitor 작동방식 표 12-2 리터럴 ( 계속 ) 리터럴 예 IPv4 1.2.3.4, 192.168.0.0/16, 192.168.1.0/255.255.255.0 MAC aa:bb:cc:dd:ee:ff 부울 true, false 표 12-3 유형연산자호환성 유형 연산자 참고 숫자 = =,! =, >, > =, <, < = 문자열 = =,! = 문자열 >, > =, <, <= 문자열의내용을문자열 / 정규식과비교 문자열의길이비교 IPv4 = =,! = MAC = =,! = 부울 = =,! = 참 / 거짓과비교, 참으로내포된비교도지원, 예를들어 email.bcc는 email.bcc 조건이 있는지테스트 표 12-4 정규식문법 기본연산자 교체 ( 또는 ) * 0 개이상 + 1 개이상? 0 또는 1 ( ) 그룹화 (a b) { } 반복범위 {x} 또는 {,x} 또는 {x,} 또는 {x,y} [ ] 범위 [0-9a-z] [abc] [^ ] 제외범위 [^abc] [^0-9]. 모든문자 이스케이프문자 이스케이프 d 숫자 [0-9] D 숫자제외 [^0-9] e 이스케이프 (0x1B) f 용지공급 (0x0C) n 줄바꿈 (0x0A) r 캐리지리턴 (0x0D) s 공백 S 공백제외 154 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정 McAfee Application Data Monitor 작동방식 12 이스케이프 t 탭 (0x09) v 세로탭 (0x0B) w 단어 [A-Za-z0-9_] W 단어제외 x00 16진수표현 0000 8진수표현 ^ S 줄시작 줄끝 줄시작및줄끝앵커 (^ 및 $) 는 objcontent 에적용되지않습니다. POSIX 문자클래스 [:alunum:] [:alpha:] [:ascii:] [:blank:] [:cntrl:] [:digit:] [:graph:] [:lower:] [:print:] [:punct:] [:space:] [:upper:] [:word:] [:xdigit:] 숫자및문자모든문자 ASCII 문자공백및탭제어문자숫자표시문자소문자표시문자및공백문장부호및기호모든공백문자대문자단어문자 16진수숫자 McAfee Application Data Monitor 규칙조건유형 McAfee Application Data Monitor 규칙에는조건이있으며조건은 IP 주소, MAC 주소, 숫자, 문자열또는부울이될수있습니다. 또한정규표현식과목록이라는두가지추가리터럴유형이있습니다. 특정유형의조건은동일한유형의리터럴이나동일한유형의리터럴목록 ( 또는목록의목록...) 에대해서만비교할수있습니다. 이규칙에대한예외는다음과같습니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 155

12 구성조정 McAfee Application Data Monitor 작동방식 문자열조건은숫자리터럴과비교하여길이를테스트할수있습니다. 암호가 8 자보다작은경우 ( 암호가문자열조건인경우 ) 다음규칙이트리거됩니다. Password < 8 문자열조건은정규표현식과비교할수있습니다. 암호에소문자만포함된경우다음규칙이트리거됩니다. Password == /^[a-z]+$/ 모든조건은부울리터럴에대해테스트하여발생여부를테스트할수있습니다. 이메일에참조주소가포함된경우 (email.cc 가문자열조건인경우 ) 다음규칙이트리거됩니다. email.cc == 참 유형 IP 주소 : MAC 주소 숫자 문자열 형식설명 IP 주소리터럴은표준표기법인점으로구분된 4 개의숫자로기록되며따옴표로묶지않습니다. 192.168.1.1 IP 주소에는표준 CIDR 표기법으로작성된마스크가있을수있으며주소와마스크사이에공백이있으면안됩니다. 192.168.1.0/24 IP 주소에는긴형식으로작성된마스크가있을수도있습니다. 192.168.1.0/255.255.255.0 MAC 주소리터럴은 IP 주소와마찬가지로표준표기법을사용하여작성되며따옴표로묶지않습니다. aa:bb:cc:dd:ee:ff McAfee Application Data Monitor 규칙의모든숫자는 32 비트정수입니다. 이러한숫자는 10 진수로작성할수있습니다. 1234 또한 16 진수로작성할수있습니다. 0xabcd 8 진수로작성할수도있습니다. 0777 1024(K), 1048576(M) 또는 1073741824(G) 와곱하여승수를추가할수있습니다. 10M 문자열은큰따옴표로묶습니다. "this is a string" 문자열은표준 C 이스케이프시퀀스를사용할수있습니다. " tthis is a "string " containing x20escape sequences n" 조건을문자열과비교할경우전체조건이문자열과일치해야합니다. 이메일메시지의보낸사람주소가 someone@somewhere.com 일경우다음규칙이트리거되지않습니다. email.from == @somewhere.com 조건의일부만일치시키려면정규표현식리터럴을대신사용합니다. 문자열리터럴이보다효율적이므로가능하면문자열리터럴을사용해야합니다. 모든이메일주소및 URL 조건은일치되기전에정규화되므로이메일주소에설명과같은항목을고려할필요가없습니다. 부울 부울리터럴은참과거짓입니다. 156 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정 McAfee Application Data Monitor 작동방식 12 유형 정규표현식 형식설명 정규표현식리터럴은 JavaScript 및 Perl과같은언어와동일한표기법을사용하며, 정규표현식은슬래시로묶습니다. /[a-z]+/ 정규표현식다음에는표준수정자플래그가올수있지만현재 "i" 만인식되며대 / 소문자를구분하지않습니다. /[a-z]+/i 정규표현식리터럴에 POSIX 확장구문을사용합니다. 현재 Perl 확장은콘텐츠조건을제외한모든조건에서작동하지만이후버전에서는변경될수있습니다. 조건을정규표현식과비교할경우정규표현식에서앵커연산자가적용되지않으면정규표현식이조건의하위문자열과일치합니다. 이메일이 someone@somewhere.com 주소로표시되면다음규칙이트리거됩니다. email.from == /@somewhere.com/ 목록 목록리터럴은대괄호로묶고쉼표로구분한하나이상의리터럴로구성됩니다. [1, 2, 3, 4, 5] 목록에는다른목록을포함하여모든종류의리터럴이포함될수있습니다. [192.168.1.1, [10.0.0.0/8, 172.16.128.0/24]] 목록에는하나의리터럴만포함되어야하며문자열과숫자, 문자열과정규표현식, IP 주소와 MAC 주소를혼합할수없습니다. 목록이같지않음 (!=) 이아닌다른관계형연산자와함께사용될경우표현식은조건이목록의리터럴과일치하면참입니다. 소스 IP 주소가목록의 IP 주소와일치할경우다음규칙이트리거됩니다. Srcip == [192.168.1.1, 192.168.1.2, 192.168.1.3] 이규칙은다음과동일합니다. Srcip == 192.168.1.1 srcip == 192.168.1.2 srcip == 192.168.1.3 같지않음 (!=) 연산자와함께사용될경우표현식은조건이목록의모든리터럴과일치하지않으면참입니다. 소스 IP 주소가 192.168.1.1 또는 192.168.1.2 가아닐경우다음규칙이트리거됩니다. Srcip!= [192.168.1.1, 192.168.1.2] 이규칙은다음과동일합니다. Srcip!= 192.168.1.1 && srcip!= 192.168.1.2 목록은다른관계형연산자와함께사용할수도있지만적합하지않은경우가많습니다. 개체크기가 100 보다크거나개체크기가 200 보다클경우다음규칙이트리거됩니다. objectsize > [100, 200] 이규칙은다음과동일합니다. objectsize > 100 objectsize > 200 McAfee Application Data Monitor 규칙메트릭참조 McAfee Application Data Monitor 규칙추가시다음메트릭참조를사용합니다. 일반속성및일반이상의경우각각에대해입력할수있는매개변수 - 유형값이메트릭참조다음의괄호안에표시됩니다. 일반속성 속성또는용어 프로토콜 ( 숫자 ) 개체콘텐츠 ( 문자열 ) 설명 응용프로그램프로토콜 (HTTP, FTP, SMTP) 개체의콘텐츠 ( 문서내텍스트, 이메일메시지, 채팅메시지 ). 이진데이터에는콘텐츠일치를사용할수없습니다. 그러나이진개체는개체유형 (objtype) 을사용하여탐지할수있습니다. 개체유형 ( 숫자 ) McAfee Application Data Monitor 에의해결정된콘텐츠의유형 (Office 문서, 메시지, 비디오, 오디오, 이미지, 보관파일, 실행파일 ) 을지정합니다. 개체크기 ( 숫자 ) 개체의크기입니다. 숫자다음에숫자승수 K, M, G 를추가할수있습니다 (10K, 10M, 10G). 개체해시 ( 문자열 ) 콘텐츠의해시 ( 현재 MD5) 입니다. 개체소스 IP 주소 ( 숫자 ) 콘텐츠의소스 IP 주소입니다.IP 주소는 192.168.1.1, 192.168.1.0/24, 192.168.1.0/255.255.255.0 으로지정할수있습니다. 개체대상 IP 주소 ( 숫자 ) 콘텐츠의대상 IP 주소입니다. IP 주소는 192.168.1.1, 192.168.1.0/24, 192.168.1.0/255.255.255.0 으로지정할수있습니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 157

12 구성조정 McAfee Application Data Monitor 작동방식 속성또는용어 개체소스포트 ( 숫자 ) 개체대상포트 ( 숫자 ) 개체소스 IP 주소 v6 주소 ( 숫자 ) 설명 콘텐츠의소스 TCP/UDP 포트입니다 콘텐츠의대상 TCP/UDP 포트입니다 콘텐츠의소스 IPv6 주소입니다. 개체대상 IPv6 주소 ( 숫자 ) 콘텐츠의대상 IPv6 주소입니다. 개체소스 MAC 주소 (Mac 이름 ) 개체대상 MAC 주소 (Mac 이름 ) 콘텐츠의소스 MAC 주소 (aa:bb:cc:dd:ee:ff) 입니다. 콘텐츠의대상 MAC 주소 (aa:bb:cc:dd:ee:ff) 입니다. 플로소스 IP 주소 (IPv4) 플로의소스 IP 주소입니다. IP 주소는 192.168.1.1, 192.168.1.0/24, 192.168.1.0/255.255.255.0 으로지정할수있습니다. 플로대상 IP 주소 (IPv4) 플로의대상 IP 주소입니다. IP 주소는 192.168.1.1, 192.168.1.0/24, 192.168.1.0/255.255.255.0 으로지정할수있습니다. 플로소스포트 ( 숫자 ) 플로대상포트 ( 숫자 ) 플로의소스 TCP/UDP 포트입니다 플로의대상 TCP/UDP 포트입니다 플로소스 IPv6 주소 ( 숫자 ) 플로의소스 IPv6 주소입니다. 플로대상 IPv6 주소 ( 숫자 ) 플로의대상 IPv6 주소입니다. 플로소스 MAC 주소 (Mac 이름 ) 플로대상 MAC 주소 (Mac 이름 ) VLAN( 숫자 ) 플로의소스 MAC 주소입니다. 플로의대상 MAC 주소입니다. 가상 LAN ID 요일 ( 숫자 ) 요일입니다. 유효한값은 1~7 이며, 1 은월요일입니다. 시간 ( 숫자 ) GMT 로설정된시간입니다. 유효한값은 0-23 입니다. 선언된콘텐츠유형 ( 문자열 ) 서버에지정된콘텐츠의유형입니다. 이론적으로개체유형 (objtype) 은항상실제유형이며선언된콘텐츠유형 (content-type) 은서버 / 응용프로그램에서스푸핑될수있으므로신뢰할수없습니다. 암호 ( 문자열 ) 응용프로그램에서인증에사용하는암호입니다. URL( 문자열 ) 웹사이트 URL 입니다. HTTP 프로토콜에만적용됩니다. 파일이름 ( 문자열 ) 전송할파일의이름입니다. 표시이름 ( 문자열 ) 호스트이름 ( 문자열 ) DNS 조회에지정된호스트이름입니다. 일반이상 사용자로그오프함 ( 부울 ) 인증오류 ( 부울 ) 인증성공 ( 부울 ) 인증실패 ( 부울 ) 158 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정 McAfee Application Data Monitor 작동방식 12 프로토콜별속성 대부분의프로토콜에서공통된속성을제공하는것외에, McAfee Application Data Monitor 는 McAfee Application Data Monitor 규칙과함께사용할수있는프로토콜별속성도제공합니다. 프로토콜별속성의예 이러한속성이다음테이블에적용됩니다. * 탐지전용 ** 암호해독없음, X.509 인증서및암호화된데이터캡처 *** RFC822 모듈을통해 표 12-5 파일전송프로토콜모듈 FTP HTTP SMB* SSL** 표시이름파일이름호스트이름 URL 표시이름파일이름호스트이름참조페이지 URL 모든 HTTP 헤더 표시이름파일이름호스트이름 표시이름파일이름호스트이름 표 12-6 이메일프로토콜모듈 DeltaSync MAPI NNTP POP3 SMTP 숨은참조 *** 숨은참조 숨은참조 *** 숨은참조 *** 숨은참조 *** 참조 *** 참조 참조 *** 참조 *** 참조 *** 표시이름 표시이름 표시이름 표시이름 표시이름 보내는사람 *** 보내는사람 보내는사람 *** 보내는사람 *** 보내는사람 *** 호스트이름 호스트이름 호스트이름 호스트이름 호스트이름 제목 *** 제목 제목 *** 제목 *** 받는사람 *** 받는사람 *** 받는사람 받는사람 *** 받는사람 *** 제목 *** 사용자이름 사용자이름 표 12-7 웹메일프로토콜모듈 AOL Gmail Hotmail Yahoo 첨부파일이름 첨부파일이름 첨부파일이름 첨부파일이름 숨은참조 *** 숨은참조 *** 숨은참조 *** 숨은참조 *** 참조 *** 참조 *** 참조 *** 참조 *** 표시이름 표시이름 표시이름 표시이름 파일이름 파일이름 파일이름 파일이름 호스트이름 호스트이름 호스트이름 호스트이름 보내는사람 *** 보내는사람 *** 보내는사람 *** 보내는사람 *** 제목 *** 제목 *** 제목 *** 제목 *** 받는사람 *** 받는사람 *** 받는사람 *** 받는사람 *** McAfee Enterprise Security Manager 11.1.x 제품안내서 159

12 구성조정 McAfee Application Data Monitor 작동방식 프로토콜이상 공통속성및프로토콜별속성외에 McAfee Application Data Monitor 은낮은수준의수백가지이상, 전송및응용프로그램프로토콜도탐지합니다. 모든프로토콜이상속성은부울유형으로, McAfee Application Data Monitor 규칙을추가할때 [ 표현식구성요소 ] 페이지에서사용할수있습니다. 표 12-8 IP 주소 기간 설명 ip.too-small IP 주소패킷이너무작아유효한헤더를포함하지못합니다. ip.bad-offset IP 주소데이터오프셋이패킷끝을지나갑니다. ip.fragmented IP 주소패킷이조각화되어있습니다. ip.bad-checksum IP 주소패킷체크섬이데이터와일치하지않습니다. ip.bad-length IP 주소패킷 totlen 필드가패킷끝을지나갑니다. 표 12-9 TCP 기간 설명 tcp.too-small TCP 패킷이너무작아유효한헤더를포함하지못합니다. tcp.bad-offset TCP 패킷의데이터오프셋이패킷끝을지나갑니다. tcp.unexpected-fin 설정되지않은상태의 TCP FIN 플래그집합입니다. tcp.unexpected-syn 설정된상태의 TCP SYN 플래그집합입니다. tcp.duplicate-ack 이미 ACK 된 TCP 패킷 ACK 데이터입니다. tcp.segment-outsidewindow TCP 패킷은창밖에있습니다 (TCP 모듈의작은창으로실제창이아님 ). tcp.urgent-nonzero-withouturg- flag TCP 긴급필드가 0 이아니지만 URG 플래그가설정되지않았습니다. 표 12-10 DNS 기간 설명 dns.too-small DNS 패킷이너무작아유효한헤더를포함하지못합니다. dns.question-name-past-end DNS 질문이름이패킷끝을지나갑니다. dns.answer-name-past-end DNS 대답이름이패킷끝을지나갑니다. dns.ipv4-address-length-wrong DNS 응답의 IPv4 주소길이가 4 바이트가아닙니다. dns.answer-circular-reference DNS 대답에는원형참조가들어있습니다. McAfee Application Data Monitor 사전작동방법 McAfee Application Data Monitor 규칙을작성할때사전을사용하여네트워크에서캡처된키를정의된값으로변환하거나, 키가있는경우부울 true 로기본설정된값이없는키를나열할수있습니다. McAfee Application Data Monitor 사전을사용하여각단어에대해개별규칙을작성할필요없이신속하게파일키를지정할수있습니다. 예를들어특정단어가포함된이메일을선택하고, 외설스런단어가포함된사전을컴파일하고, 해당사전을가져오는규칙을설정합니다. 사전의단어를포함하는콘텐츠가있는이메일을확인하려면다음과같은규칙을만들수있습니다. protocol == email && naughtywords[objcontent] 160 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정 McAfee Application Data Monitor 작동방식 12 McAfee Application Data Monitor 규칙편집기를사용하여규칙을작성하는경우규칙이참조할사전을선택할수있습니다. 사전은최대수백만개의항목을지원합니다. 사전을규칙에추가하는에는다음단계가포함됩니다. 1 키및값 ( 필요한경우 ) 이나열된사전을설정하고저장합니다. 2 McAfee ESM 에서사전을관리합니다. 3 규칙에사전을할당합니다. McAfee Application Data Monitor 사전설정 사전은한줄에한항목으로구성된일반텍스트파일입니다. 단일열사전과이중열사전이있습니다. 이중열에는키와값이있습니다. 키는 IPv4, MAC, 숫자, 정규표현식및문자열일수있습니다. 값유형은부울, IPv4, IPv6, MAC, 숫자및문자열입니다. 값은선택사항이며없는경우부울 true 로기본설정됩니다. 단일또는이중열사전의값은지원되는 McAfee Application Data Monitor 유형 ( 문자열, 정규표현식, 숫자, IPv4, IPv6 또는 MAC) 중하나여야합니다. McAfee Application Data Monitor 사전은다음의형식지정지침을따라야합니다. 유형구문규칙예일치하는컨텐츠 문자열 문자열은이중따옴표로묶어야함 문자열안의이중따옴표는각따옴표앞에백슬래시문자를사용하여이스케이프해야함 잘못된콘텐츠 잘못된콘텐츠 라고말했습니다. 잘못된콘텐츠 잘못된콘텐츠 라고말했습니다. 정규표현식 정규표현식은단일슬래시로묶여있음 정규표현식내의슬래시및예약된정규표현식문자는백슬래시문자로이스케이프해야함 /[Aa]pple/ /apple/i / [0 9]{1,3}.[0 9]{1,3}.[0 9].[0 9]/ / 전체중 1 /2/ Apple 또는 apple Apple 또는 apple IP 주소 : 1.1.1.1 127.0.0.1 전체중 1/2 숫자 10 진수값 (0-9) 16 진수값 (0x0-9a-f) 8 진수값 (0-7) 10 진수값 16 진수값 8 진수값 123 0x12ab 0127 부울 참또는거짓일수있음 부울리터럴 참 모든소문자 거짓 IPv4 표준 4 분표기법으로쓸수있음 192.168.1.1 192.168.1.1 CIDR 표기로쓸수있음 192.168.1.0/24 192.168.1.[0-255] 전체마스크가포함된긴형식으로쓸수있음 192.168.1.0/255.255.255.0 192.168.1.[0-255] 다음은사전에대해참입니다. 목록 ( 각괄호로둘러싸인쉼표로구분된여러값 ) 은사전에서허용되지않습니다. 열은단일지원 McAfee Application Data Monitor 유형으로만구성될수있습니다. 이는단일 McAfee Application Data Monitor 사전파일내에서여러유형 ( 문자열, 정규식, Ipv4) 을사용할수없다는의미입니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 161

12 구성조정 McAfee Application Data Monitor 작동방식 설명을포함할수있습니다. 파운드문자 (#) 로시작하는모든줄은 McAfee Application Data Monitor 사전에서설명으로간주됩니다. 이름은영숫자및밑줄만으로구성될수있으며총길이는 20 자이하여야합니다. 목록은지원되지않습니다. 선택한텍스트편집기를사용하여 McAfee ESM 외부에서편집하거나만들어야합니다. McAfee ESM 에서가져오거나내보내면 McAfee Application Data Monitor 사전을쉽게변경하거나만들수있습니다. McAfee Application Data Monitor 사전참조 McAfee Application Data Monitor 사전을 McAfee ESM으로가져오는경우규칙을작성할때참조하십시오. 시작하기전에 McAfee Application Data Monitor 사전을 McAfee ESM으로가져옵니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 McAfee Application Data Monitor 장치를선택한다음 [ 정책편집기 ] 를엽니다. 3 [ 규칙유형 ] 에서 [ 정책편집기 ] [ADM] 을선택합니다. 4 [ 새 ] [ADM 규칙 ] 을클릭합니다. 5 요청한정보를추가하고논리적요소를 [ 표현식논리 ] 영역으로끌어놓습니다. 6 [ 표현식구성요소 ] 아이콘을논리적요소로끌어서놓습니다. 7 표현식구성요소를구성하고 McAfee Application Data Monitor [ 사전 ] 을선택합니다. McAfee Application Data Monitor 사전예 McAfee Application Data Monitor 는개체콘텐츠나기타메트릭또는속성을단일열사전과비교하여참또는거짓 ( 사전에있는경우또는사전에없는경우 ) 으로나타낼수있습니다. 표 12-11 단일열사전예 사전유형 예 일반스팸단어가포함된문자열사전 시알리스 시알리스 비아그라 비아그라 성인웹 성인웹 지금당장하세요! 주저하지마세요! 인증키단어에대한정규표현식사전 /(password passwd pwd)[^a-z0-9]{1,3}(admin login password user)/i /(customer client)[^a-z0-9]{1,3}account[^a-z0-9]{1,3}number/i /fund[^a-z0-9]{1,3}transaction/i /fund[^a-z0-9]{1,3}transfer[^a-z0-9]{1,3}[0 9,.]+/i 162 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정 McAfee Application Data Monitor 작동방식 12 표 12-11 단일열사전예 ( 계속 ) 사전유형 알려진잘못된실행파일에대한해시값이포함된문자열사전 예 fec72ceae15b6f60cbf269f99b9888e9" fed472c13c1db095c4cb0fc54ed28485" feddedb607468465f9428a59eb5ee22a" ff3cb87742f9b56dfdb9a49b31c1743c" ff45e471aa68c9e2b6d62a82bbb6a82a" ff669082faf0b5b976cec8027833791c" ff7025e261bd09250346bc9efdfc6c7c" 위험자산의 IP 주소 192.168.1.12 192.168.2.0/24 192.168.3.0/255.255.255.0 192.168.4.32/27 192.168.5.144/255.255.255.240 표 12-12 이중열사전예 사전유형 일반스팸단어및범주가포함된문자열사전 인증키단어및범주에대한정규표현식사전 알려진잘못된실행파일및범주의해시값이포함된문자열사전 예 시알리스 제약 시알리스 제약 비아그라 제약 비아그라 제약 성인웹 성인 성인웹 성인 지금당장하세요! 주저하지마세요! 스캠 /(password passwd pwd)[^a-z0-9]{1,3}(admin login password user)/i 인증 /(customer client)[^a-z0-9]{1,3}account[^a-z0-9]{1,3}number/i pii /fund[^a-z0-9]{1,3}transaction/i sox /fund[^a-z0-9]{1,3}transfer[^a-z0-9]{1,3}[0 9,.]+/i sox fec72ceae15b6f60cbf269f99b9888e9" 트로이목마 "fed472c13c1db095c4cb0fc54ed28485" 악성프로그램 "feddedb607468465f9428a59eb5ee22a" 바이러스 "ff3cb87742f9b56dfdb9a49b31c1743c" 악성프로그램 "ff45e471aa68c9e2b6d62a82bbb6a82a" 애드웨어 ff669082faf0b5b976cec8027833791c" 트로이목마 "ff7025e261bd09250346bc9efdfc6c7c" 바이러스 위험자산및그룹의 IP 주소 192.168.1.12 위험자산 192.168.2.0/24 LAN 192.168.3.0/255.255.255.0 LAN 192.168.4.32/27 DMZ 192.168.5.144/255.255.255.240 위험자산 McAfee Enterprise Security Manager 11.1.x 제품안내서 163

12 구성조정 McAfee Database Event Monitor 작동방식 McAfee Application Data Monitor 사전관리 McAfee Application Data Monitor 사전을설정하고저장한후에는 McAfee ESM 으로가져와야합니다. 또한사전을내보내고편집하고삭제할수있습니다. 1 [ 정책편집기 ] 에서 [ 도구 ] 를클릭한다음 [ADM 사전관리자 ] 를선택합니다. [ADM 사전관리 ] 에기본사전 (botnet, foullanguage, icd9_desc 및 spamlist) 과시스템에가져온모든사전이나열됩니다. 2 사용할수있는액션을수행한다음 [ 닫기 ] 를클릭합니다. 사전을삭제하는경우이사전을참조하는규칙이포함된규칙집합을롤아웃하는시도를컴파일하지못합니다. 이사전이규칙에할당되어있으면사전을참조하지않도록규칙을다시쓰거나삭제를수행하지마십시오. 키유형과값유형필드에서선택한내용과파일이포함하는내용에차이가있는경우시스템에서데이터가잘못되었다고알려줍니다. McAfee Database Event Monitor 작동방식 McAfee Database Event Monitor 가데이터베이스을중앙감사리포지토리로통합하고해당의정규화, 상관, 분석및보고기능을제공합니다. 네트워크또는데이터베이스서버이악성데이터액세스를나타내는알려진패턴과일치하는경우 McAfee Database Event Monitor 에서경보가생성됩니다. 또한컴플라이언스에서사용하도록모든트랜잭션이로깅됩니다. McAfee Database Event Monitor 를통해분석및보고기능을제공하는것과동일한인터페이스에서데이터베이스모니터링규칙을관리, 편집및조정할수있으므로특정데이터베이스모니터링프로파일 ( 실시되는규칙, 로깅되는트랜잭션 ) 을쉽게조정하여잘못된긍정을줄이고전체보안을향상시킬수있습니다. McAfee Database Event Monitor 는침입탐지시스템과유사한네트워크패킷을모니터링하여침입을받지않고데이터베이스와사용자및응용프로그램의상호작용을감사합니다. 네트워크를통해모든데이터베이스서버의을모니터링할수있도록네트워킹, 보안, 컴플라이언스및데이터베이스팀과초기 McAfee Database Event Monitor 배포를조정합니다. 네트워크팀은스위치의 SPAN 포트, 네트워크탭또는허브를사용하여데이터베이스트래픽을복제합니다. 이프로세스를통해데이터베이스서버에서트래픽을수신하거나모니터링하고감사로그를만들수있습니다. 운영체제데이터베이스장치 Windows( 모든버전 ) Microsoft SQL Server? MSSQL 7, 2000, 2005, 2008, 2012 Windows, UNIX/Linux( 모든버전 ) Oracle? Oracle 8.x, 9.x, 10 g, 11 g (c), 11 g R2³ Sybase 11.x, 12.x, 15.x DB2 8.x, 9.x, 10.x Informix(8.4.0 이상에서사용가능 ) 11.5 Windows, UNIX/Linux( 모든버전 ) MySQL 예, 4.x, 5.x, 6.x PostgreSQL 7.4.x, 8.4.x, 9.0.x, 9.1.x Teradata 12.x, 13.x, 14.x InterSystems Cache 2011.1.x UNIX/Linux( 모든버전 ) Greenplum 8.2.15 Vertica 5.1.1-0 164 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정 McAfee Database Event Monitor 작동방식 12 운영체제 데이터베이스 장치 Mainframe DB2/zOS 모든버전 AS400 DB2 모든버전 1 Microsoft SQL Server의패킷암호해독지원은버전 8.3.0 이상에서사용가능합니다. 2 Oracle의패킷암호해독지원은버전 8.4.0 이상에서사용가능합니다. 3 Oracle 11 g는버전 8.3.0 이상에서사용가능합니다. 다음은이러한서버및버전에적용됩니다. 32비트및 64비트버전의운영체제및데이터베이스플랫폼이모두지원됩니다. MySQL은 Windows 32비트플랫폼에서만지원됩니다. 패킷암호해독은 MSSQL 및 Oracle에서지원됩니다. McAfee Database Event Monitor 사용권업데이트 McAfee Database Event Monitor 장치는기본사용권과함께제공됩니다. McAfee Database Event Monitor 기능을변경하는경우 McAfee 는이메일메시지로새사용권을보내고사용자는이를업데이트해야합니다. 1 시스템탐색트리에서 [DEM 속성 ] 을선택한다음 [DEM 구성 ] 을클릭합니다. 2 [ 사용권 ] [ 사용권업데이트 ] 를클릭한다음 McAfee 에서보낸정보를필드에붙여놓습니다. 3 [ 확인 ] 을클릭합니다. 시스템에서사용권을업데이트하고완료되면알려줍니다. 4 McAfee Database Event Monitor 에정책을롤아웃합니다. McAfee Database Event Monitor 구성 McAfee Database Event Monitor 를구성하여부하를줄입니다. 1 시스템탐색트리에서 [DEM 속성 ] 을선택한다음 [DEM 구성 ] 을클릭합니다. 2 McAfee Database Event Monitor 장치및해당구성파일이동기화되지않은경우 [ 파일동기화 ] 를클릭하여장치에구성파일을작성합니다. 3 [ 고급 ] 설정구성 : 에이전트에서관리자로보내는로그상세정보수준 ([ 정보 ], [ 경고 ] 및 [ 디버그 ]) 을설정합니다. [ 디버그 ] 를선택할경우정보가세부적이며많은디스크공간을사용할수있습니다. 에이전트와통신하는데사용되는기본에이전트레지스트리및서비스포트를변경합니다. 에이전트에서관리자로보낸정보를암호화할지여부를선택합니다. 이로그는수신될때암호해독됩니다. Windows 통합보안을사용한데이터베이스인증을위해 Kerberos 프로토콜분석에서사용자이름을검색하려면 Kerberos 서버 IP 주소를입력합니다. IP; 포트 ;VLAN;IP; 포트 ( 예 : 10.0.0.1;88;11,10.0.0.2;88;12) 형식으로여러 IP 주소, 포트및 VLAN 설정을지정할수있습니다. IPv6 은동일한형식을지원합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 165

12 구성조정 McAfee Database Event Monitor 작동방식 더나은성능을제공하려면버퍼크기를늘려데이터베이스이벤트를처리합니다. 시스템이이벤트를검색하는위치를선택합니다. [ 파일 ] 을선택하면시스템은로컬장치에서파일을읽고해당이벤트를구문분석합니다. [EDB] 를선택할경우시스템이데이터베이스에서이벤트를수집합니다. 4 속도를늘리려면다음옵션을선택해제합니다. McAfee 방화벽패킷캡처 데이터베이스데이터를더빨리구문분석할수있습니다. 트랜잭션추적 데이터베이스트랜잭션을추적하고변경사항을자동조정합니다. 사용자 ID 추적 데이터베이스에액세스할때일반사용자이름을사용하므로사용자 ID 가데이터베이스로전파되지않을경우사용자 ID 를추적합니다. 중요한데이터마스킹 중요한정보를마스크라는일반사용자정의문자열로바꿔중요한데이터를무단으로볼수없도록합니다. 로컬호스트감사 로컬호스트를감사하여알수없는데이터베이스액세스경로를추적하고실시간으로이벤트를보냅니다. 쿼리구문분석 쿼리검사를수행합니다. 첫번째결과행캡처 이벤트에대한패킷을검색할때 Select 문의심각도가 95 보다작은값으로설정된경우쿼리의첫번째결과행을볼수있습니다. Bind 변수지원 실행될때마다명령을재분석하는오버헤드를발생시키지않고 Oracle bind 변수를반복해서재사용합니다. 5 [ 적용 ] 을클릭합니다. McAfee Database Event Monitor 이벤트의액션정의 장치가규칙및데이터액세스정책을필터링하는데사용하는이벤트에대한 McAfee Database Event Monitor 액션및을정의합니다. 기본액션및사용자지정액션에대한을설정합니다. McAfee Database Event Monitor 는다음기본액션및을제공합니다. [ 없음 ] [ 스크립트 ] [ 무시 ] [ 재설정 ] [ 삭제 ] [ 스크립트 ] 를으로선택하는경우별칭이름 (SCRIPT ALIAS) 이필요하며중요도이벤트가발생하는경우실행해야하는실제스크립트 (SCRIPT NAME) 를선택합니다. 두개의환경변수, ALERT_EVENT 및 ALERT_REASON. ALERT_EVENT 로전달되는스크립트에는콜론으로구분된메트릭목록이포함됩니다. McAfee Database Event Monitor 는샘플배시스크립트 /home/auditprobe/conf/sample/process_alerts.bash 를제공하여스크립트에서중요도액션을캡처할수있는방법을보여줍니다. 액션및을수행할때다음사항을고려합니다. 액션은우선순위의순서에따라표시됩니다. 경보액션으로지정하지않는한이벤트액션 ( 예 : SNMP 트랩또는페이지전송 ) 이발생하지않습니다. 규칙이둘이상의경보수준에해당되는경우가장높은경보수준만실행가능합니다. 이벤트는액션에관계없이이벤트파일에작성됩니다. 유일한예외는 [ 삭제 ] 입니다. 166 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정 McAfee Database Event Monitor 작동방식 12 DEM 액션추가 [ 정책편집기 ] 에서규칙에 DEM(Database Event Monitor) 액션을선택합니다. 1 시스템탐색트리에서 [ 정책편집기 ] 아이콘을클릭한다음 [ 도구 ] [DEM 액션관리자 ] 를클릭합니다. 기존 DEM 액션은우선순위의순서에따라표시됩니다. 기본액션의우선순위순서를변경할수없습니다. 사용자지정액션의기본은 [ 없음 ] 입니다. 2 [ 추가 ] 를클릭한다음이액션의이름및설명을입력합니다. 사용자지정액션을추가하면삭제할수없습니다. 3 [ 확인 ] 을클릭합니다. DEM 사용자지정액션편집 DEM(Database Event Monitor) 액션관리목록에액션을추가하면이름또는우선순위를변경할수있습니다. 1 시스템탐색트리에서 [ 정책편집기 ] 아이콘을클릭한다음 [ 도구 ] [DEM 액션관리자 ] 를클릭합니다. 2 변경할사용자지정액션을클릭하고다음중하나를수행합니다. 우선순위순서를변경하려면올바른위치까지위로화살표또는아래로화살표를클릭합니다. 이름또는설명을변경하려면 [ 편집 ] 을클릭합니다. 3 [ 확인 ] 을클릭하여설정을저장합니다. McAfee Database Event Monitor 액션설정 모든규칙액션에는기본이있습니다. 사용자지정 McAfee Database Event Monitor 액션을추가하는경우기본은 [ 없음 ] 입니다. 액션을 [ 무시 ], [ 삭제 ], [ 스크립트 ] 또는 [ 재설정 ] 으로변경할수있습니다. 1 시스템탐색트리에서 [DEM 속성 ] 을선택한다음 [ 액션관리 ] 를클릭합니다. 2 액션을강조표시한다음 [ 편집 ] 을클릭합니다. 사용자지정액션을삭제하거나기본액션의우선순위를변경할수없습니다. 3 규칙이이벤트를트리거할때취할액션을선택합니다. 없음 아무액션도하지않습니다. 무시 데이터베이스에이벤트를유지하지만표시하지않습니다. 취소 데이터베이스에서이벤트를제거하거나표시하지않습니다. 스크립트 정의된스크립트를실행합니다. 드롭다운목록에스크립트가나타나지않으면 [ 스크립트이름 ] 을클릭하여스크립트파일을선택합니다. 재설정 TCP RST 패킷을클라이언트및서버에보내데이터베이스연결을해제하려고시도합니다. 4 [ 확인 ] 을클릭합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 167

12 구성조정 McAfee Database Event Monitor 작동방식 DEM 규칙메트릭참조 다음은 DEM 규칙표현식에대한메트릭참조목록으로, DEM 규칙을추가할때 [ 표현식구성요소 ] 페이지에서사용할수있습니다. 이름정의데이터베이스유형 [ 응용프로그램이름 ] 규칙이적용되는데이터베이스유형을식별하는이름입니다. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PIServer, InterSystems Cache [ 시작시간 ] 쿼리의시작타임스탬프입니다. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache [ 시작시간차이 ] 서버시계시간차이를캡처합니다. MSSQL, Oracle, DB2, Sybase, MySQL, PostgreSQL, Teradata, PIServer, InterSystems Cache [ 클라이언트 IP] 클라이언트의 IP 주소입니다. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache [ 클라이언트이름 ] 클라이언트시스템의이름입니다. MSSQL, Oracle, DB2, Sybase, Informix, PIServer, InterSystems Cache [ 클라이언트 PID] 운영체제에서클라이언트프로세스에할당한프로세스 ID입니다. MSSQL, DB2, Sybase, MySQL [ 클라이언트포트 ] 클라이언트소켓연결의포트번호입니다. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache [ 명령이름 ] MySQL 명령의이름입니다. MSSQL, Oracle, DB2, Sybase, Informix [ 명령유형 ] MySQL 명령의유형 ( 예 : DDL, DML, 표시또는복제 ) 입니다. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache [ 인바운드데이터 ] [ 아웃바운드데이터 ] 인바운드쿼리패킷의총바이트수입니다. 아웃바운드결과패킷의총바이트수입니다. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache 168 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정 McAfee Database Event Monitor 작동방식 12 이름정의데이터베이스유형 [ 데이터베이스이름 ] 액세스할데이터베이스의이름입니다. MSSQL, DB2, Sybase, MySQL, Informix, PostgreSQL, PIServer, InterSystems Cache [ 종료시간 ] 완료타임스탬프쿼리의종료입니다. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache [ 오류메시지 ] 요청한 SQL 문의성공또는실패에대한정보를제공하는 SQLCA(SQL Communication Area) 데이터구조의 SQLCODE 및 SQLSTATE 변수와관련된메시지텍스트를포함합니다. DB2, Informix [ 메시지번호 ] 데이터베이스서버에서각오류에할당한고유한메시지번호입니다. MSSQL, Oracle, Sybase, MySQL, Informix, PostgreSQL, Teradata, InterSystems Cache [ 메시지심각도 ] 10 에서 24 사이의심각도수준번호로, 문제의유형및심각도를나타냅니다. MSSQL, Sybase, Informix [ 메시지텍스트 ] 메시지의전체텍스트입니다. MSSQL, Oracle, Sybase, MySQL, Informix, PostgreSQL, Teradata, InterSystems Cache [ 네트워크시간 ] 결과세트를클라이언트로다시보내는데걸린시간 (response_time - server_response_time) 입니다. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache [NT 클라이언트이름 ] 사용자가로그인한 Windows 시스템이름입니다. MSSQL [NT 도메인이름 ] 사용자가로그인한 Windows 도메인이름입니다. MSSQL [NT 사용자이름 ] Windows 사용자로그인이름입니다. MSSQL [ 개체이름 ] MSSQL, Oracle, DB2, Sybase, MySQL, Informix [OSS 사용자이름 ] [ 패키지이름 ] 패키지에는 SQL 문을실행하는데사용된제어구조가포함됩니다. 패키지는프로그램준비중에생성되며 DB2 하위명령 BIND PACKAGE 를사용하여만듭니다. Oracle DB2 [ 인바운드패킷 ] 쿼리를구성하는패킷수입니다. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache [ 아웃바운드패킷 ] 반환결과세트를구성하는패킷수입니다. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache McAfee Enterprise Security Manager 11.1.x 제품안내서 169

12 구성조정 McAfee Database Event Monitor 작동방식 이름정의데이터베이스유형 [ 암호 ] MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, InterSystems Cache [ 암호길이 ] MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, InterSystems Cache [ 쿼리블록크기 ] 쿼리블록은쿼리및결과세트데이터의기본전송단위입니다. 쿼리블록크기를지정하면리소스가제한될수있는요청자가한번에반환되는데이터의양을제어할수있습니다. DB2, Informix [ 쿼리종료상태 ] 쿼리의종료상태입니다. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, InterSystems Cache [ 쿼리번호 ] AuditProbe 모니터링에이전트에서각쿼리에할당한고유한번호로, 첫번째쿼리에대한 0 부터시작하여 1 씩증가합니다. MSSQL, Oracle, DB2, Sybase, MySQL, PostgreSQL, Teradata, PIServer, InterSystems Cache [ 쿼리텍스트 ] 클라이언트에서보낸실제 SQL 쿼리입니다. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache [ 쿼리유형 ] 다른유형의쿼리에할당된정수입니다. MSSQL, Oracle, Sybase [ 실제사용자이름 ] 클라이언트사용자로그인이름입니다. [ 응답콘텐츠 ] MSSQL, Oracle, DB2, Sybase, MySQL, Informix [ 응답시간 ] 쿼리의엔드투엔드응답시간 (server_response_time + network_time) 입니다. MSSQL, Oracle, Sybase, MySQL, Informix, PostgreSQL, Teradata, InterSystems Cache [ 행반환 ] 반환결과세트의행수입니다. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache. [ 보안플래그 ] 관리자가지정한액세스정책파일기준을충족하는경우값이 1(TRUSTED) 또는 2(UNTRUSTED) 로설정되는보안플래그메트릭입니다. 값 3 은정책파일기준이충족되지않았음을나타냅니다. 값 0 은보안모니터링이설정되지않았음을나타냅니다. MSSQL, Oracle, DB2, Sybase, MYSQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems [ 심각도메커니즘 ] 사용자 ID 의유효성을검사하는데사용되는보안메커니즘 ( 예 : 사용자 ID 및암호 ) 입니다. DB2 170 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정 McAfee Database Event Monitor 작동방식 12 이름정의데이터베이스유형 [ 서버 IP] 데이터베이스서버호스트의 IP 주소입니다. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, InterSystems Cache [ 서버이름 ] 서버의이름입니다. 기본적으로호스트이름이서버이름으로할당됩니다. MSSQL, Oracle, DB2, Sybase, Informix, PIServer, InterSystems Cache [ 서버포트 ] 서버의포트번호입니다. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, InterSystems Cache [ 서버응답시간 ] 클라이언트쿼리에대한데이터베이스서버의초기응답입니다. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache [ 심각도코드 ] DB2 [SID] Oracle 시스템식별자입니다. Oracle, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache [SPID] [SQL 코드 ] 고유한각연결 / 세션에할당된데이터베이스시스템프로세스 ID 입니다. SQL 문이실행될때마다클라이언트는 SQL 오류또는경고에대한 DB2 관련정보를추가로제공하는반환코드인 SQLCODE 를수신합니다. SQLCODE EQ 0 은실행에성공했음을나타냅니다. SQLCODE GT 0 은실행에성공했지만경고가표시됨을나타냅니다. SQLCODE LT 0 은실행에성공하지못했음을나타냅니다. SQLCODE EQ 100 은데이터가없음을나타냅니다. 0 과 100 이아닌다른 SQLCODE 의의미는 SQL 을구현하는특정제품에따라달라집니다. MSSQL, Sybase [SQL 명령 ] SQL 명령의유형입니다. [SQL 상태 ] DB2 SQLSTATE 는 IBM 관계형데이터베이스시스템에서발견된일반오류조건에대한일반반환코드를응용프로그램에제공하는추가반환코드입니다. DB2 [ 사용자이름 ] 데이터베이스사용자로그인이름입니다. MSSQL, Oracle, DB2, Sybase, MySQL, Informix, PostgreSQL, Teradata, PIServer, InterSystems Cache McAfee Enterprise Security Manager 11.1.x 제품안내서 171

12 구성조정 McAfee Database Event Monitor 작동방식 McAfee Database Event Monitor 규칙작동방법 McAfee Database Event Monitor 는네트워크패킷정보를캡처하고정규화합니다. 패턴일치에논리및정규표현식을사용하여 McAfee Database Event Monitor 규칙을만들어잘못된긍정을거의사용하지않고데이터베이스또는응용프로그램메시지를모니터링합니다. 일부응용프로그램프로토콜및메시지가다른응용프로그램프로토콜및메시지보다더풍부하므로정규화된데이터 ( 메트릭 ) 는각응용프로그램에따라달라집니다. 필터표현식은구문뿐만아니라시스템이메트릭을지원하는지도확인하여신중하게조작합니다. McAfee Database Event Monitor 에는아래나열된기본규칙이있습니다. 기본컴플라이언스규칙은로그온 / 로그오프, DDL 변경과같은 DBA 유형, 의심스러운, 일반적으로컴플라이언스요구사항을충족하는데필요한데이터베이스공격등중요한데이터베이스이벤트를모니터링합니다. 각기본규칙을활성화하거나비활성화하고각규칙의사용자정의가능한매개변수값을설정합니다. 규칙유형 데이터베이스 설명 지원되는각데이터베이스유형및일반적인규정 ( 예 : SOX, PCI, HIPAA 및 FISMA) 에대한기본규칙입니다. 기본규칙을활성화하거나비활성화하고각규칙의사용자정의가능한매개변수를설정합니다. 응용프로그램프로토콜과메시지는다양합니다. 즉, 응용프로그램별로정규화된데이터 ( 메트릭 ) 가다를수있습니다. 규칙에는논리연산자와정규표현식연산자가모두포함될수있습니다. 규칙표현식은응용프로그램에사용할수있는하나이상의메트릭에적용할수있습니다. 데이터액세스 알수없는데이터베이스액세스경로를추적하고실시간으로경보를보내는규칙입니다. 데이터액세스규칙을만들어응용프로그램개발자가응용프로그램로그온 ID 를사용하여프로덕션시스템에액세스하는등데이터베이스환경에서발생하는일반적인위반을추적합니다. 탐색 트랜잭션추적 네트워크에있지만모니터링되지않는, McAfee ESM 에서지원하는유형의데이터베이스서버예외목록을식별하는규칙입니다. 탐색규칙을사용하면보안관리자는환경에추가된새데이터베이스서버와데이터베이스의데이터에액세스하기위해열린잘못된수신기포트를탐색할수있습니다. 탐색규칙은추가또는편집할수없는기본제공규칙입니다. 데이터베이스서버에서탐색옵션을활성화하면시스템에서이규칙을사용하여네트워크에있는데이터베이스서버를검색하지만 McAfee Database Event Monitor 장치에나열되지는않습니다. 데이터베이스트랜잭션을추적하고변경사항을자동으로재조정하는규칙입니다. 예를들어이러한규칙을사용하여변경티켓팅시스템에서승인된주문으로데이터베이스변경사항을추적하고재조정하는을자동화합니다. 예 : DBA 는실제로인증된을시작하기전에이수행되는데이터베이스에서시작태그저장프로시저 ( 이예에서는 spchangecontrolstart) 를실행합니다. DBA 는트랜잭션추적을사용하여선택적문자열매개변수를태그의인수로최대 3 개까지다음순서로포함할수있습니다. 1 ID 2 이름또는 DBA 이니셜 3 설명 예를들어 spchangecontrolstart 12345, mshakir, reindexing app 와같이포함합니다. 시스템이 spchangecontrolstart 프로시저의실행을관찰할때트랜잭션과매개변수 (ID, Name, Comment) 를특별한정보로기록합니다. 이완료되면 DBA 는끝태그저장프로시저 (spchangecontrolend) 를실행하고선택적으로하나의 ID 매개변수를포함합니다. 이 ID 는시작태그의 ID 와동일해야합니다. 시스템에서끝태그 ( 및 ID) 를살펴볼때시작태그 ( 동일한 ID 포함 ) 와끝태그사이의모든을특별한트랜잭션으로연결할수있습니다. 이제트랜잭션별로보고하고 ID 로검색할수있습니다. 이 ID 는변경제어번호일수있습니다. 트랜잭션추적을사용하여트레이드실행의시작과끝을로깅하거나명령문을시작하고커밋하여쿼리대신트랜잭션별로보고합니다. 172 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정 McAfee Database Event Monitor 작동방식 12 데이터액세스규칙설정 액세스규칙을설정하여알수없는액세스경로를추적하고실시간으로이벤트를보냅니다. 예를들어응용프로그램개발자가응용프로그램로그온 ID 를사용하여프로덕션시스템에액세스하는등데이터베이스환경에서발생하는일반적인위반을추적합니다. 1 [ 정책편집기 ] 의 [ 규칙유형 ] 창에서 [DEM] [ 데이터액세스 ] 를선택합니다. 2 다음중하나를수행합니다. [ 새로만들기 ] 를선택한다음 [ 데이터액세스규칙 ] 을클릭합니다. 규칙표시창에서규칙을선택한다음 [ 편집 ] [ 수정 ] 을클릭합니다. 3 정보를입력한다음 [ 확인 ] 을클릭합니다. 중요한데이터마스크의작동방식 중요한정보를마스크라는일반문자열로바꾸면중요한데이터마스크가중요한데이터의무단보기를방지합니다. McAfee Database Event Monitor 장치를추가하면 McAfee ESM 데이터베이스에중요한표준데이터마스크가추가됩니다. 마스크를추가하거나변경할수도있습니다. 표준마스크는다음과같습니다. 중요한마스크이름 : 신용카드번호마스크 표현식 : ((4\d{3}) (5[1 5]\d{2}) (6011))-?\d{4}-?\d{4}-?\d{4} 3[4,7]\d{13} 하위문자열인덱스 : 0 마스크패턴 : ####-####-####-#### 중요한마스크이름 : SSN 의마스크처음 5 자 표현식 : (\d\d\d-\d\d)-\d\d\d\d 하위문자열인덱스 : 1 마스크패턴 : ###-## 중요한마스크이름 : SQL Stmt 의마스크사용자암호 표현식 : create s+user s+( w+) s+identified s+by s+( w+) 하위문자열인덱스 : 2 마스크패턴 : ******** 중요한데이터마스크관리 중요한 McAfee ESM 정보를보호하려면중요한데이터마스크를추가, 변경또는제거합니다. 1 시스템탐색트리에서 [DEM 속성 ] 을선택한다음 [ 중요한데이터마스크 ] 를클릭합니다. 2 옵션을선택한다음요청한정보를입력합니다. 중요한데이터마스크의이름을지정합니다. PCRE(Perl-Compatible Regular Expression) 구문을준수하는 REGEX 표현식을입력합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 173

12 구성조정 McAfee Database Event Monitor 작동방식 옵션을선택합니다. 표현식에사용되는괄호 () 숫자에따라옵션이추가됩니다. 한세트의괄호가있는경우옵션은 \0 과 \1 입니다. \0 을선택하면전체문자열이마스크로바뀝니다. \1 을선택하면문자열만마스크로바뀝니다. 원래값대신나타나야하는마스크패턴을입력합니다. 3 [ 확인 ] 을클릭한다음 [ 쓰기 ] 를클릭하여 DEM 에설정을추가합니다. 사용자 ID 관리 정규식패턴을사용하여실제사용자이름이쿼리어딘가에존재하는경우캡처합니다. DEM 장치를추가하면시스템에서정의된식별자규칙을 McAfee ESM 데이터베이스에추가합니다. 식별자규칙이름 : SQL Stmt에서사용자이름가져오기표현식 : select s+username=(\w+) 응용프로그램 : Oracle 하위문자열인덱스 : \1 식별자규칙이름 : 저장프로시저에서사용자이름가져오기표현식 : sessionstart\s+@appname='(\w+)', @username='(\w+)', 응용프로그램 : MSSQL 하위문자열인덱스 : \2 DEM, 응용프로그램, 웹서버, 시스템및 ID 와액세스관리로그온을 McAfee ESM 에상호연결하면고급사용자상관이가능해집니다. 사용자식별자규칙추가 데이터베이스쿼리를개인과연결하려면기존사용자식별자규칙을사용하거나규칙을추가합니다. 1 시스템탐색트리에서 [DEM 속성 ] 을선택한다음 [ 식별자관리 ] 를클릭합니다. 2 [ 추가 ] 를클릭한다음요청한정보를입력합니다. 식별자규칙의이름을입력합니다. PCRE 구문을준수하는정규표현식을입력합니다. 정규식연산자는 Perl 5 와동일한의미를사용하는패턴일치를위해 PCRE 라이브러리를구현합니다. 일반구문은 <" 메트릭이름 "> 정규식 <" 패턴 "> 입니다. 정보를관찰할응용프로그램 ( 데이터베이스유형 ) 을선택합니다. 하위문자열을선택합니다. 표현식에사용되는괄호 () 숫자에따라옵션이추가됩니다. 한세트의괄호가있는경우옵션은 \0 과 \1 입니다. 3 [ 확인 ] 을클릭한다음 [ 쓰기 ] 를클릭하여 DEM 에설정을씁니다. 174 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정 McAfee Database Event Monitor 작동방식 12 데이터베이스서버작동방법 데이터베이스서버는데이터베이스을모니터링합니다. 데이터베이스서버이악성데이터액세스의알려진패턴과일치하는경우시스템에서경보를생성합니다. 각 McAfee Database Event Monitor 장치는최대 255 개의데이터베이스서버를모니터링할수있습니다. 현재 McAfee Database Event Monitor 는다음데이터베이스서버및버전을지원합니다. 운영체제데이터베이스 McAfee Database Event Monitor 장치 Windows( 모든버전 ) Microsoft SQL Server? MSSQL 7, 2000, 2005, 2008, 2012 Windows UNIX/Linux( 모든버전 ) Oracle? Oracle 8.x, 9.x, 10 g, 11 g? 11g R2 Sybase 11.x, 12.x, 15.x DB2 8.x, 9.x, 10.x Informix( 참고 4 참조 ) 11.5 MySQL 예, 4.x, 5.x, 6.x PostgreSQL 7.4.x, 8.4.x, 9.0.x, 9.1.x Teradata 12.x, 13.x, 14.x InterSystem Cache 2011.1.x UNIX/Linux( 모든버전 ) Greenplum 8.2.15 Vertica 5.1.1-0 Mainframe DB2/zOS 모든버전 AS 400 DB2 모든버전 1 Microsoft SQL Server 의패킷암호해독지원은버전 8.3.0 이상에서사용가능합니다. 2 Oracle 의패킷암호해독지원은버전 8.4.0 이상에서사용가능합니다. 3 Oracle 11 g 는버전 8.3.0 이상에서사용가능합니다. 4 Informix 지원은버전 8.4.0 이상에서사용가능합니다. 32 비트및 64 비트버전의운영체제및데이터베이스플랫폼이모두지원됩니다. MySQL 은 Windows 32 비트플랫폼에서만지원됩니다. 패킷암호해독은 MSSQL 및 Oracle 에서지원됩니다. 데이터베이스서버구성 McAfee Database Event Monitor 의모든데이터베이스서버에대한설정을구성합니다. 각 McAfee Database Event Monitor 에최대 255 개의데이터베이스서버를연결할수있습니다. 1 시스템탐색트리에서 [DEM 속성 ] 을선택한다음 [ 데이터베이스서버 ] 를클릭합니다. 2 사용가능한옵션중하나를선택합니다. McAfee Database Event Monitor 에서이데이터베이스서버의데이터를처리하도록할지를선택합니다. 비활성화된경우시스템이나중에사용하기위해 McAfee ESM 의구성설정을저장합니다. 수신한데이터를 McAfee Enterprise Log Manager 로보내려면저장소풀을선택합니다. 데이터베이스서버의할당된영역을선택합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 175

12 구성조정 McAfee Database Event Monitor 작동방식 데이터베이스유형을선택합니다. 나머지필드는이필드에서선택한항목에따라달라집니다. McAfee Database Event Monitor 는 PI JDBC 드라이버를구현하여 PI 시스템에연결합니다. PI SQL DAS(Data Access Server) 는 PI JDBC 드라이버와 PI OLEDB 사이의게이트웨이역할을합니다. 또한 PI JDBC 에보안네트워크통신 (https) 을제공하며 PI OLEDB 소비자 ( 클라이언트 ) 로쿼리를실행합니다. 이데이터베이스서버의이름을입력합니다. [ 데이터베이스유형 ] 필드에서 PIServer 를선택한경우이필드는 [DAS 데이터소스이름 ] 이되며, DAS(Data Access Server) 게이트웨이에서액세스하는 PIServer 의이름입니다. 이필드는 DAS 구성에서지정한것과정확하게일치해야합니다. DAS 서버가 PIServer 와동일한호스트에설치된경우 DAS 호스트이름과동일할수있습니다. 데이터베이스서버정보를볼수있는 URL 주소를입력합니다. 입력한 URL 주소에타사응용프로그램의주소 가있으면를클릭하여 URL 주소에변수를추가합니다. 이데이터베이스서버또는 DAS 의단일 IP 주소를 IP 주소필드에입력합니다. 이필드는 IPv4 점표기법의단일 IP 주소를허용합니다. 마스크는이러한 IP 주소에사용할수없습니다. 데이터베이스서버를우선순위그룹에할당하며, 이를통해 McAfee Database Event Monitor 에서처리되는데이터부하를분산할수있습니다. [ 데이터베이스서버 ] 테이블에서데이터베이스서버목록및해당데이터베이스서버가속한우선순위그룹을볼수있습니다. 필요한경우가상 LAN ID 를입력합니다. "0" 값을입력하면모든 VLAN 을나타냅니다. 인코딩옵션 ( 없음, UTF8 및 BIG5) 을선택합니다. 다음중하나를선택합니다 ( 옵션은데이터베이스유형에따라다름 ). Windows 플랫폼에서실행되는 Oracle 서버를모니터링하는경우 [ 포트리디렉션 ] 을지정해야합니다. 데이터베이스서버에서명명된파이프 SMB 프로토콜을사용하는경우 [ 서버에서명명된파이프사용 ] 을선택해야합니다. MSSQL 의기본파이프이름은 \\.\pipe\sql\query 이고기본포트는 445 입니다. 데이터베이스서버에서 TCP 동적포트를활성화한경우 [ 동적포트 ] 를선택해야합니다. 데이터베이스서버또는 DAS 의포트번호를 [ 포트 ] 필드에입력합니다. 포트는연결을수신하고있는데이터베이스서버의서비스포트입니다. 공통기본포트번호는 MSSQL(Microsoft SQL Server) 의경우 1433, Oracle 의경우 1521, MySQL 의경우 3306, DAS(Data Access Server) 의경우 5461, DB2/UDB 의경우 50000 입니다. SQL Server 에서 Kerberos 인증을수행하도록하려면선택합니다. RSA 암호화유형 ([ 없음 ] 또는 [RSA]) 을선택합니다. 강제암호화에서선택한사항에따라 RSA 암호화수준을선택합니다. [ 강제암호화 ] 가아니요인경우 [ 로그인패킷암호해독 ], [ 강제암호화 ] 가예인경우 [ 모든패킷암호해독 ] 을선택합니다. RSA 키파일을식별합니다. McAfee ESM 은암호가없는.pem 파일형식의 RSA 인증서만허용합니다. PI DAS 로그온에대한사용자이름을입력합니다. PI DAS 는 Windows 에설치되므로 Windows 통합보안을사용합니다. 사용자이름을도메인 \ 로그인으로지정해야합니다. DAS 사용자이름의암호를입력합니다. PIServer 보관에서모든지점의변경사항을폴링하도록하려면선택합니다. 쉼표로구분된모니터링대상포인트의목록을입력합니다. 3 [ 확인 ] 을클릭합니다. 176 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정 McAfee epo 장치작동방법 12 데이터베이스탐색통보관리 DEM(Database Event Monitor) 은모니터링되지않는데이터베이스서버의예외목록을검색하여환경의데이터베이스서버와데이터베이스의데이터에액세스하기위해열리는불법적인수신기포트를검색할수있도록합니다. 활성화되면알림을받고시스템에서모니터링되는데이터베이스서버에서버를추가할지여부를선택합니다. 1 시스템탐색트리에서 [DEM 속성 ] 을선택한다음 [ 데이터베이스서버 ] [ 활성화 ] 를클릭합니다. 2 [DEM 속성 ] 을닫으려면 [ 확인 ] 을클릭합니다. 3 통보를보려면시스템탐색트리에서 DEM 장치를클릭한다음 [ 이벤트보기 ] [ 이벤트분석 ] 을클릭합니다. 4 시스템에서버를추가하려면 [ 이벤트분석 ] 보기를선택한다음 [ 메뉴 ] 아이콘을클릭하고 [ 서버추가 ] 를선택합니 다. McAfee epo 장치작동방법 McAfee epo 장치를 McAfee ESM 에추가할수있으며이장치의응용프로그램이시스템탐색트리의보조장치로나열됩니다. 인증되면 McAfee ESM 의기능에액세스하고 McAfee epo 태그를경보에서생성한이벤트및소스또는대상 IP 주소에직접할당할수있습니다. McAfee epo 는이벤트를 McAfee epo 가아닌 McAfee Event Receiver 에서가져오기때문에 McAfee Event Receiver 와연결되어야합니다. McAfee epo 를사용하려면마스터데이터베이스및 McAfee epo 데이터베이스에대한읽기권한이있어야합니다. McAfee epo 장치에 McAfee Threat Intelligence Exchange (TIE) 서버가있는경우 McAfee epo 장치를 McAfee ESM 에추가할때시스템에서이서버를자동으로추가합니다. McAfee epo 에서 McAfee ESM 시작 McAfee epolicy Orchestrator 에 McAfee epo McAfee ESM 장치또는데이터소스가있고 McAfee epo IP 주소가로컬네트워크에있는경우 McAfee epo 에서 McAfee ESM 를시작할수있습니다. 시작하기전에 McAfee epo 장치또는데이터소스를 McAfee ESM 에추가합니다. 1 대시보드에서보기를엽니다. 2 소스 IP 주소또는대상 IP 주소를반환하는결과를선택합니다. 3 구성요소의메뉴에서 [ 액션 ] [epo 실행 ] 을클릭합니다. 시스템에 McAfee epo 장치또는데이터소스가한개만있고소스 IP 주소또는대상 IP 주소를선택한경우 McAfee epo 가시작됩니다. 시스템에여러개의 McAfee epo 장치또는데이터소스가있는경우액세스하려는장치를선택하면 McAfee epo 가시작됩니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 177

12 구성조정 McAfee epo 장치작동방법 McAfee epo 태그를 IP 주소에할당 McAfee epo 태그를경고에의해생성된이벤트에할당하고경고에 McAfee epo 태그가있는지확인합니다. 또한한개이상의태그를선택하여 IP 주소에적용할수도있습니다. 시작하기전에 다음 McAfee epo 권한이있는지확인합니다. [ 태그적용, 제외및지우기 ] 및 [ 에이전트웨이크업 ; 에이전트로그보기 ] 1 시스템탐색트리에서 [epo 속성 ] 을선택한다음 [ 태그지정 ] 을클릭합니다. 2 요청한정보를완료한다음 [ 할당 ] 을클릭합니다. 호스트이름또는 IP 주소 ( 쉼표로구분된목록지원 ) 를입력한다음태그목록에서하나이상의태그를선택합니다. 즉시태그를적용하기위해응용프로그램을웨이크업하려면선택합니다. 선택한태그를 IP 주소에적용하려면 [ 할당 ] 을클릭합니다. McAfee epo 장치인증 McAfee epo 태그지정또는액션을사용하려면인증이필요합니다. 다음두가지유형의인증이있습니다. 단일글로벌계정 McAfee epo 장치에대한액세스권한이있는그룹에속한경우글로벌자격증명을입력한다음이러한기능을사용할수있습니다. 사용자당각장치에대한별도의계정 장치트리에서장치를보려면권한이필요합니다. 액션또는태그를사용하는경우선택한인증방법을사용합니다. 시스템에서유효한자격증명을입력하라는메시지가표시되며장치와나중에통신하려면자격증명을저장해야합니다. 별도의계정인증설정 기본설정은글로벌계정인증입니다. 개별계정인증을설정하려면다음두가지를수행해야합니다. 1 McAfee ESM 에 McAfee epo 장치를추가하거나연결설정을지정할때 [ 사용자인증필요 ] 가선택되어있는지확인합니다. 2 자격증명을입력합니다. McAfee Risk Advisor 데이터취득 McAfee Risk Advisor 데이터를취득할여러 McAfee epo 서버를지정할수있습니다. McAfee epo SQL Server 데이터베이스의데이터베이스쿼리를통해데이터를취득합니다. IP 및평판점수목록의데이터베이스쿼리결과와낮은평판및높은평판값의상수값이제공됩니다. 이시스템은모든 McAfee epo 와 McAfee Risk Advisor 를병합하며중복 IP 가가장높은점수를받습니다. 시스템은 SrcIP 및 DstIP 필드의점수매기기에사용되는 McAfee Advanced Correlation Engine(ACE) 장치에낮은값과높은값이있는병합된목록을보냅니다. McAfee epo 를추가하면시스템에서 McAfee Risk Advisor 데이터를구성할지여부를묻는메시지가표시됩니다. [ 예 ] 를클릭하면시스템은데이터강화소스와두개의 ACE 점수매기기규칙 ( 해당되는경우 ) 을만들고롤아웃합니다. 점수규칙을사용하려는경우위험상관관리자를만들어야합니다. 178 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정 McAfee epo 장치작동방법 12 McAfee Threat Intelligence Exchange (TIE) 통합 McAfee Threat Intelligence Exchange (TIE) 는이파일에연결된엔드포인트에서실행가능한프로그램의평판을확인합니다. McAfee epo 장치를 McAfee ESM 에추가하는경우 Threat Intelligence Exchange 서버가장치에연결되면시스템이자동으로탐지합니다. 그러면 McAfee ESM 이 DXL 및로깅이벤트에대한수신을시작합니다. McAfee ESM 을 DXL 에연결할때지연이발생할수있습니다. Threat Intelligence Exchange 서버가탐지되면 Threat Intelligence Exchange 관심목록, 데이터보강및상관규칙이자동으로추가되고 Threat Intelligence Exchange 경보가활성화됩니다. 변경사항요약에대한링크가포함된시각적통보를받습니다. 장치가 McAfee ESM 에추가된후 Threat Intelligence Exchange 서버가 McAfee epo 서버에추가되는경우에도알려줍니다. Threat Intelligence Exchange 가이벤트를생성하면해당실행기록을보고악의적인데이터로인해수행되는액션을선택합니다. 상관규칙 시스템이 Threat Intelligence Exchange 데이터에대한상관규칙을최적화합니다. 이러한규칙은사용자가검색하고정렬할수있는이벤트를생성합니다. Threat Intelligence Exchange McAfee GTI 평판이클린에서더티로변경됨 Threat Intelligence Exchange 악의적인파일 (SHA-1) 이점점더많은호스트에서발견됨 Threat Intelligence Exchange 악의적인파일이름이점점더많은호스트에서발견됨 Threat Intelligence Exchange 여러악의적인파일이단일호스트에서발견됨 Threat Intelligence Exchange Threat Intelligence Exchange 평판이클린에서더티로변경됨 Threat Intelligence Exchange 악의적인파일의증가가모든호스트에서발견됨 경보 McAfee ESM 에는중요한 Threat Intelligence Exchange 이벤트가탐지된경우시스템이트리거할수있는두가지경보가있습니다. [TIE 잘못된파일임계값이초과됨 ] 은상관규칙 [TIE 악의적인파일 (SHA-1) 이점점더많은호스트에서발견됨 ] 에서트리거됩니다. [TIE 알수없는파일이실행됨 ] 은특정 Threat Intelligence Exchange 이벤트에서트리거되고정보를 [TIE 데이터소스 IP] 관심목록에추가합니다. 관심목록 [TIE 데이터소스 IP] 관심목록은 [TIE 알수없는파일이실행됨 ] 경보를트리거한시스템목록을유지합니다. 만료날짜가없는정적관심목록입니다. Threat Intelligence Exchange 실행기록 Threat Intelligence Exchange 이벤트에대한실행기록을볼수있습니다. 여기에는파일을실행하려고시도한 IP 주소목록이들어있습니다. 항목을선택하고다음액션을수행합니다. 관심목록만들기 정보를블랙리스트에추가합니다. 정보를관심목록에추가합니다. 정보를.csv 파일에내보냅니다. 경보를만듭니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 179

12 구성조정가상장치작동방법 Threat Intelligence Exchange 실행기록보기및액션설정 McAfee Threat Intelligence Exchange (TIE) 실행기록에는선택한이벤트와관련된파일을실행한시스템이표시됩니다. 시작하기전에 McAfee ESM 에연결된 Threat Intelligence Exchange 서버가있는 McAfee epolicy Orchestrator 장치가존재해야합니다. 1 시스템탐색트리에서 McAfee epolicy Orchestrator 장치를클릭합니다. 2 보기드롭다운목록에서 [ 이벤트보기 ] [ 이벤트분석 ] 을선택한다음이벤트를클릭합니다. 3 을클릭한다음 [ 액션 ] [TIE 실행기록 ] 을선택합니다. 4 Threat Intelligence Exchange 파일을실행한시스템을봅니다. 5 이데이터를워크플로에추가하려면 [ 액션 ] 드롭다운목록을클릭한다음옵션을선택하여 McAfee ESM 장치를엽니다. 6 선택한액션을설정합니다. 가상장치작동방법 트래픽모니터링, 트래픽패턴비교및보고를위해가상장치를사용합니다. 목적및이점 가상장치를사용하여다음을수행합니다. 규칙집합과트래픽패턴비교. 예를들어웹트래픽포트를보고다른규칙을활성화또는비활성화할수있는정책을설정하도록가상장치를설정합니다. 보고. 이런방식으로사용하면자동필터설정과유사합니다. 트래픽의여러경로를한번에모니터링. 가상장치를사용하면각트래픽경로에대해별도의정책을설정하고다른트래픽을다른정책으로정렬할수있습니다. McAfee Application Data Monitor 에추가할수있는가상장치수는모델에따라다릅니다. McAfee ESM 에서선택규칙사용방식 McAfee ESM 에서선택규칙은가상장치에서처리하는패킷을결정하는필터로사용됩니다. 패킷이선택규칙과일치하려면해당규칙에정의된모든필터기준이일치해야합니다. 패킷의정보가단일선택규칙에대한모든필터기준과일치하는경우일치하는선택규칙을포함하는가상장치에서처리됩니다. 그렇지않으면순서대로다음가상장치로전달됩니다. 가상장치에서선택규칙이일치하지않으면 McAfee Application Data Monitor 자체가기본값으로처리합니다. 180 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정가상장치작동방법 12 IPv4 가상장치와관련하여주의해야할사항 : 시스템에서단일연결에대한모든패킷은연결의첫번째패킷에따라서만정렬됩니다. 연결의첫번째패킷이목록의세번째가상장치에대한선택규칙과일치하면해당연결의모든후속패킷은세번째가상장치로이동합니다. 이는패킷이목록에서더높은가상장치와일치하는경우에도그렇습니다. 시스템에서잘못된패킷 ( 연결을설정하지않거나설정된연결의일부가아닌패킷 ) 은기본장치로정렬됩니다. 예를들어소스또는대상포트가 80 인패킷을검색하는가상장치가있다고가정합니다. 잘못된패킷이포트 80 을통과하면시스템에서포트 80 트래픽을검색하는가상장치대신기본장치로정렬됩니다. 따라서기본장치에서가상장치로이동해야할것같은이벤트를볼수있습니다. 처음으로패킷이규칙과일치하면시스템에서해당패킷이해당가상장치로자동으로라우팅되어처리되므로시스템에서선택규칙이나열되는순서가중요합니다. 예를들어네개의선택규칙을추가하면순서에서네번째규칙이가장일반적으로트리거되는필터가됩니다. 이런식으로이가상장치에대한다른필터가가장일반적으로트리거된선택규칙에도달하기전에각패킷에의해전달되어야합니다. 처리를효율적으로하려면가장일반적으로트리거된필터를순서에서마지막이아닌첫번째가되도록합니다. 가상장치의순서 시스템에서 McAfee Application Data Monitor 장치로오는패킷은가상장치가설정된순서대로각가상장치에대한선택규칙과비교됩니다. 그러므로시스템에서가상장치를확인하는순서가중요합니다. 패킷은첫번째장치의선택규칙과일치하지않는경우에만두번째가상장치에대한선택규칙과비교됩니다. McAfee Application Data Monitor 가상장치 McAfee Application Data Monitor 가상장치는인터페이스에서트래픽을모니터링합니다. 시스템에는최대네개의 McAfee Application Data Monitor 인터페이스필터가있을수있습니다. 각필터는한번에하나의가상장치에만적용할수있습니다. 필터가 McAfee Application Data Monitor 가상장치에할당된경우해당장치에서제거될때까지사용가능한필터목록에나타나지않습니다. 가상장치추가 가상장치를 McAfee Application Data Monitor 장치에추가하여각장치에서처리할패킷을결정하는규칙을설정할수있습니다. 시작하기전에 McAfee Application Data Monitor 장치가가상장치를지원하는지확인합니다. 1 시스템탐색트리에서 McAfee Application Data Monitor 장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 가상장치 ] [ 추가 ] 를클릭합니다. 3 요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 설정한경우가상장치의이름을지정하고이가상장치의정보를볼수있는 URL 주소를입력합니다. 변수를주소에추가해야하는경우 [ 변수 ] 아이콘을클릭합니다. 장치를활성화합니다. 시스템에 ELM이있고이가상장치에서받은데이터를 ELM에로깅하려면저장소풀을선택합니다. 영역이있는경우이장치의영역을선택합니다. 장치에대한선택규칙순서를정의하고결정합니다. 4 [ 쓰기 ] 를클릭하여장치에설정을추가합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 181

12 구성조정메시지설정작동방법 메시지설정작동방법 이메일, SNS( 문자메시지 ), SNMP 또는 syslog 를통해메시지를보내려면먼저 McAfee ESM 을메일서버에연결해야합니다. 연결후메시지수신자를식별할수있습니다. McAfee ESM 이 SNMP v1 프로토콜을사용하여경보통보를보냅니다. SNMP 는관리자와에이전트사이에서데이터를전달하기위한전송프로토콜인 UDP(User Datagram Protocol) 를사용합니다. SNMP 설정에서 McAfee ESM 과같은에이전트는트랩이라는데이터패킷을사용하여이벤트를 SNMP 서버 (NMS(Network Management Station) 라고함 ) 에전달합니다. 네트워크에있는다른에이전트는통보를수신하는방법과동일하게이벤트보고서를수신할수있습니다. SNMP 트랩패킷의크기제한으로인해 McAfee ESM 이보고서의각줄을별도의트랩으로전송합니다. 또한 Syslog 를통해 McAfee ESM 에서생성된 CSV 보고서가전송될수있습니다. Syslog 를통해 syslog 메시지마다한줄씩쿼리 CSV 보고서가전송되며쿼리결과각줄의데이터는쉼표로구분된필드에정렬됩니다. 이메일서버연결 경보및보고서메시지를전달할수있도록이메일서버에 McAfee ESM을연결하는설정을구성합니다. 시작하기전에관리자권한이있거나사용자관리권한이있는액세스그룹에속해있는지확인합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 McAfee ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 이메일설정 ] 을클릭합니다 : 메일서버의호스트및포트를입력합니다. TLS 암호화프로토콜을사용할지선택합니다. 메일서버에액세스하는데필요한사용자이름및암호를입력합니다. 메시지를생성하는 McAfee ESM 장치를식별하도록 McAfee ESM IP 주소같이메일서버에서보낸모든이메일메시지에일반제목을입력합니다. 보낸사람의이름을입력합니다. 메시지수신자를식별합니다. 4 테스트이메일을보내서설정을확인합니다. 5 [ 적용 ] 또는 [ 확인 ] 을클릭하여설정을저장합니다. 메시지수신자관리 경보또는보고서메시지의수신자를정의하고이메일주소를그룹화하여한번에여러수신자에게메시지를보낼수있습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 이메일설정 ] 을클릭합니다. 2 [ 수신자구성 ] 을클릭한다음추가하려는탭을선택합니다. 182 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정네트워크인터페이스관리 12 3 [ 추가 ] 를클릭한다음요청한정보를추가합니다. 4 [ 확인 ] 을클릭합니다. 이메일그룹관리 이메일수신자를그룹화하여한번에여러수신자에게하나의메시지를보낼수있습니다. 시작하기전에수신자와해당이메일주소가있는지확인합니다. 1 시스템탐색트리에서시스템을클릭한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 이메일설정 ] 을클릭하고 [ 수신자구성 ] [ 이메일그룹 ] 을클릭합니다. 3 [ 추가 ], [ 편집 ] 또는 [ 제거 ] 를클릭하여수신자그룹목록을관리합니다. 4 요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 해결서버설정구성 해결시스템을설정한경우 McAfee ESM과통신할수있도록해결설정을구성해야합니다. 시작하기전에 Remedy 시스템을설정합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 McAfee ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 사용자지정설정 ] [ 해결 ] 을클릭합니다. 4 Remedy 정보 ( 호스트이름, 포트번호, TLS 를암호화프로토콜로사용할지여부, Remedy 자격증명및 Remedy 보낸사람및받는사람의이메일주소 ) 를입력합니다. 네트워크인터페이스관리 장치와통신할때트래픽경로의공용및개인인터페이스를사용합니다. 이는장치가 IP 주소를요구하지않기때문에네트워크에서보이지않는다는것입니다. 관리인터페이스 또는네트워크관리자가 McAfee ESM 과장치간의통신을위해 IP 주소로관리인터페이스를구성할수있습니다. 다음장치기능은관리인터페이스를사용해야합니다. 바이패스네트워크카드완전제어 NTP 시간동기화사용 장치생성 syslog SNMP 통보 McAfee Enterprise Security Manager 11.1.x 제품안내서 183

12 구성조정네트워크인터페이스관리 장치에는최소한개의관리인터페이스가설치되며여기서장치에 IP 주소를제공합니다. IP 주소를사용하면다른대상 IP 주소또는호스트이름에통신을연결하지않고 McAfee ESM 에서장치에직접액세스할수있습니다. 관리네트워크인터페이스를공용네트워크에연결하면해당인터페이스가공용네트워크에표시되어보안이손상될수있기때문에공용네트워크에연결하지마십시오. McAfee ESM 인터페이스결합 McAfee ESM 은동일한 IP 주소를사용하는두관리인터페이스를탐지하면결합된 NIC 모드를자동으로활성화하려고시도합니다. 결합된모드가활성화되면두인터페이스가동일한 IP 주소및 MAC 주소가할당됩니다. 사용되는결합모드는모드 0( 라운드로빈 ) 으로오류허용치를제공합니다. NIC 결합을비활성화하려면하나의인터페이스 IP 주소를변경하여다른인터페이스 IP 와더이상일치하지않도록합니다. 그러면시스템이결합된 NIC 모드를자동으로비활성화합니다. 네트워크인터페이스구성 McAfee ESM이각장치에연결하는방법을결정하는인터페이스설정을정의합니다. 1 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 장치의 [ 구성 ] [ 인터페이스 ][] 옵션을클릭합니다. 장치에서악성인경우에도모든트래픽을통과시키도록바이패스 NIC 를설정합니다. IDS 모드의장치에는바이패스기능이없으므로상태가 [ 정상작동 ] 입니다. ( 선택사항 ) 트래픽을장치로보내고받는플로를수집하려면선택합니다. [ELM SFTP 액세스 ] 사용자권한이있는경우장치에대해저장된 McAfee Enterprise Log Manager 로그파일을보고다운로드할수있습니다. [ 장치관리 ] 권한이있는경우포트를변경하여 [ELM EDS SFTP] 필드에서이러한필드에액세스할수있습니다. WinSCP 5.11, FileZilla, CoreFTP LE 또는 FireFTP 와같은 FTP 클라이언트중하나에서이설정을사용합니다. 1, 22, 111, 161, 695, 1333, 1334, 10617 또는 13666 포트를사용하지마십시오. 장치에서수집하고있는플로트래픽의방향을결정하는조직 (HOME_NET) 소유의 IP 주소를입력합니다. 사용할인터페이스를선택하고 IPv4 또는 IPv6 유형의 IP 주소를입력합니다. IPv4 주소를입력하는경우넷마스크주소도추가합니다. IPv6 주소를입력하는경우주소에넷마스크를포함합니다. 그렇지않으면오류가표시됩니다. 여러네트워크에서장치를사용할수있도록하려면 ( 관리 1 < 기본인터페이스 > 및관리 2 < 첫번째드롭다운인터페이스 > 로만제한 ) 인터페이스를추가합니다. NIC 결합을활성화하려면첫번째필드에서 [ 관리 ] 를선택한다음동일한 IP 주소및넷마스크를기본 NIC 로입력합니다 ( 대화상자의첫번째줄 ). IPv6 모드사용설정여부를선택합니다. [ 해제 ] IPv6 모드를비활성화합니다. IPv6 필드가비활성화됩니다. [ 자동 ] IPv6 모드를활성화합니다. 각호스트는수신된사용자광고의콘텐츠에서주소를확인합니다. IEEE EUI-64 표준을사용하여주소의네트워크 ID 부분을정의합니다. IPv6 필드가비활성화됩니다. [ 수동 ] IPv6 모드를활성화합니다. IPv6 필드가비활성화됩니다. McAfee ESM 과장치간의액세스가허용되는포트를선택합니다. 184 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정네트워크인터페이스관리 12 3 요청된데이터를입력한다음 [ 적용 ] 을클릭합니다. 모든변경사항이장치에푸시되고즉시적용됩니다. 변경사항이적용되면장치가다시초기화되어모든현재세션이손실됩니다. 4 선택한장치의고급네트워크설정을정의합니다 ( 필드는선택한장치에따라다름 ). ICMP 옵션을선택합니다. 리디렉션 선택하면 McAfee ESM 에서리디렉션메시지를무시합니다. 대상에연결할수없음 선택하면정체이외의다른이유로대상에패킷을전달할수없는경우 McAfee ESM 에서메시지를생성합니다. 핑활성화 선택하면 IPv6 멀티캐스트 / 애니캐스트주소로보낸에코요청메시지에대한응답으로 McAfee ESM 에서에코회신메시지를보냅니다. IPMI NIC 가스위치에연결되어있을때 IPMI 카드를통해원격으로 McAfee ESM 장치를관리하려면 IPMI 설정을추가합니다. IPMI 설정사용 IPMI 명령에액세스하려면선택합니다. VLAN, IP 주소, 넷마스크, 게이트웨이 IPMI 포트에대한네트워크를구성하도록설정을입력합니다. VLANS 및별칭구성 VLAN( 가상 LAN) 및별칭을 McAfee ACE 또는 McAfee Enterprise Log Manager 에추가합니다. 두개이상의 IP 주소를가진네트워크장치가있는경우추가한 IP 주소및넷마스크쌍에별칭이할당됩니다. 1 시스템탐색트리에서장치를선택하고 [ 속성 ] 아이콘을클릭한다음장치 [ 구성 ] 을클릭합니다. 2 [ 네트워크 ] 탭의 [ 인터페이스 ] 섹션에서 [ 설정 ] 을클릭한다음 [ 고급 ] 을클릭합니다. 3 [VLAN 추가 ] 를클릭하고요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 시스템에서 VLAN 번호를식별합니다. 클라우드가아닌환경에대해 DHCP 서비스를사용합니다. DHCP 는네트워크의 IP 주소를재설정해야하는경우유용합니다. 중복 McAfee Enterprise Log Manager 을사용하고있는경우중복장치의 IP 주소가변경되면중복성작동이중지됩니다. 기본적으로 IPv4 가선택되어있습니다. IPv6 이있는경우네트워크설정을 [ 수동 ] 또는 [ 자동 ] 으로설정합니다. [IPv6] 옵션을활성화합니다. VLAN IP 주소를식별합니다. [IPv4] 넷마스크를식별합니다 (IP 주소가 IPv6 형식인경우비활성화됨 ). 4 별칭을추가하려는 VLAN 을선택한다음 [ 별칭추가 ] 를클릭합니다. 이별칭이있는 VLAN 을식별합니다. 시스템이이별칭을추가할 VLAN 번호로 VLAN 을미리채웁니다. [ 태그가지정되지않은 ] VLAN 인경우이숫자는 0 입니다. IP 주소가 IPv4 형식인지 IPv6 형식인지나타냅니다. 넷마스크를나타냅니다 ( 주소가 IPv4 형식인경우 ). 5 [ 확인 ] 을클릭합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 185

12 구성조정네트워크인터페이스관리 정적라우트추가 정적라우트는기본게이트웨이를통해사용할수없는네트워크또는호스트에도달하는방법에대한지침세트입니다. 1 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 구성 ] [ 인터페이스 ] 를클릭합니다. 3 [ 정적라우트 ] 테이블옆의 [ 추가 ] 를클릭합니다. 4 정보를입력한다음 [ 확인 ] 을클릭합니다. 네트워크설정구성 서버게이트웨이및 DNS 서버 IP 주소추가, 프록시서버설정정의, SSH 설정및정적라우트추가를통해 McAfee ESM 이네트워크에연결하는방식을구성합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 네트워크설정 ] 을클릭합니다. 4 [ 기본 ] 탭 : 사용가능한인터페이스를정의합니다. 최소하나의인터페이스를활성화해야합니다. IP 주소또는서브넷을포함하여로컬네트워크를정의합니다. 값은쉼표로구분됩니다. SSH 에서보안통신을활성화하고 SSH 연결에사용되는포트를입력합니다. McAfee ESM 및장치는 SSH 의 FIPS 사용가능버전을사용합니다. SSH 클라이언트 OpenSSH, Putty, dropbear, Cygwin ssh, WinSCP 및 TeraTerm 은테스트되었으며작동하는것으로알려져있습니다. Putty 에대한정보를보려면 http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html 로이동합니다. SSH 연결을활성화한경우나열된시스템이 SSH 포트를통해통신할수있습니다. 목록에서시스템 ID 를삭제하면통신할수없습니다. IPv6 설정 : [ 해제 ] IPv6 모드가비활성화됩니다. [ 자동 ] [ 기본 ] 및 [ 보조 IPv6] 필드가비활성화됩니다. 각호스트는수신된사용자광고의콘텐츠에서주소를확인합니다. IEEE EUI-64 표준을사용하여주소의네트워크 ID 부분을정의합니다. [ 수동 ] [ 기본 ] 및 [ 보조 IPv6] 필드가활성화됩니다. 186 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정네트워크인터페이스관리 12 5 [ 고급 ] 탭에서 ICMP(Internet Control Message Protocol) 메시지및 IPMI(Intelligent Platform Management Interface) 를설정합니다. [ICMP 메시지 ] [ 리디렉션 ] McAfee ESM 에서리디렉션메시지를무시합니다. [ 대상에연결할수없음 ] 정체이외의다른이유로대상에패킷을전달할수없는경우 McAfee ESM 에서메시지를생성합니다. [ 핑활성화 ] IPv6 멀티캐스트 / 애니캐스트주소로보낸에코요청메시지에대한응답으로 McAfee ESM 에서에코회신메시지를보냅니다. [IPMI 설정 ] IPMI NIC 가스위치에연결되어있는경우 McAfee ESM 장치를관리하도록 IPMI 카드를설정합니다. [IPMI 설정사용 ] IPMI 명령에액세스할수있습니다. [VLAN], [IP 주소 ], [ 넷마스크 ], [ 게이트웨이 ] IPMI 포트에대한네트워크를구성합니다. 6 네트워크에서프록시서버를사용하는경우 [ 프록시 ] 탭에서 McAfee ESM 에대한연결을설정합니다. 장치에서 IPv6 주소를사용하는인터페이스가있는경우 IPv6 을선택할수있습니다. 그렇지않은경우 IPv4 가선택됩니다. 프록시서버에연결하는데필요한정보 (IP 주소, 포트, 사용자이름및암호 ) 를지정합니다. 기본인증검사를선택합니다. 7 [ 트래픽 ] 탭에서네트워크및마스크에대한최대데이터출력값을구성하여아웃바운드트래픽을보내는속도를제어합니다. 시스템이아웃바운드트래픽을제어하는네트워크주소를식별합니다. ( 선택사항 ) - 네트워크주소의마스크를식별합니다. 각네트워크에대해정의한최대처리량을식별합니다. 8 [ 정적라우트 ] 탭에서정적라우트 (IPv4 또는 IPv6 트래픽, 네트워크 IP 주소, 네트워크마스크및게이트웨이 IP 주소 ) 를구성합니다. 정적라우트는기본게이트웨이를통해사용할수없는호스트또는네트워크에도달하는방법을지정합니다. 정적라우트를추가하는경우변경사항이 McAfee ESM 으로푸시되고 [ 적용 ] 을클릭하면즉시적용됩니다. 변경사항이적용되면 McAfee ESM 이다시초기화되어모든현재세션이손실됩니다. 네트워크트래픽제어설정 네트워크및마스크에대한최대데이터출력값을정의하여각장치에아웃바운드트래픽을보내는속도를제어합니다. 트래픽을제한하면데이터가손실될수있습니다. 1 시스템탐색트리에서시스템을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 네트워크설정 ] 을클릭하고 [ 트래픽 ] 탭을클릭합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 187

12 구성조정네트워크인터페이스관리 3 장치에대해컨트롤을추가하려면 [ 추가 ] 를클릭하고네트워크주소및마스크를입력하고속도를킬로비트 (KB), 메가비트 ( 메가바이트 ) 또는기가비트 (GB) 로설정한다음트래픽을전송할초당속도를선택하고 [ 확인 ] 을클릭합니다. 마스크를 0 으로설정하면전송된모든데이터가제어됩니다. 4 [ 적용 ] 을클릭합니다. IPMI 포트에대한네트워크설정 McAfee ESM 또는해당장치의 IPMI 포트를사용하면특정액션을수행할수있습니다. IPMI 소프트웨어에서사용할수있도록 IPMI NIC( 네트워크인터페이스컨트롤러 ) 를스위치에꽂습니다. IPMI 기반 KVM( 커널기반가상시스템 ) 에액세스합니다. 기본사용자의 IPMI 암호를설정합니다. 전원켜기및전원상태와같은 IPMI 명령에액세스합니다. IPMI 카드를재설정합니다. 웜재설정및콜드재설정을수행합니다. McAfee ESM 또는장치에서 IPMI 포트설정 McAfee ESM 또는해당장치에서 IPMI를설정하려면 IPMI 포트에대해네트워크를구성합니다. 시작하기전에시스템에 IPMI NIC가있어야합니다. 1 시스템탐색트리에서시스템또는장치를선택한다음 [ 시스템속성 ] 아이콘을클릭합니다. 2 [ 네트워크설정 ] [ 고급 ] 탭에액세스합니다. McAfee ESM 에서 [ 네트워크설정 ] [ 고급 ] 을클릭합니다. 장치에서장치의 [ 구성 ] 옵션을클릭한다음 [ 인터페이스 ] [ 고급 ] 을클릭합니다. 3 [IPMI 설정사용 ] 을선택한다음 IPMI 의 VLAN, IP 주소, 넷마스크및게이트웨이를입력합니다. [IPMI 설정사용 ] 이장치 BIOS 에서회색으로표시되는경우시스템 BIOS 를업데이트해야합니다. 장치에대해 SSH 를수행하고 /etc/areca/system_bios_update/contents README.txt 파일을엽니다. 4 [ 적용 ] 또는 [ 확인 ] 을클릭합니다. 장치를업그레이드할때암호를변경하거나장치에키를다시지정하여 IPMI 를구성할것을권장하는메시지가표시될수있습니다. 네트워크트래픽제어설정 네트워크및마스크에대한최대데이터출력값을정의하여아웃바운드트래픽을보내는속도를제어합니다. 옵션으로는초당킬로비트 (KB), 메가비트 (MB) 및기가비트 (GB) 가있습니다. 트래픽을제한하면데이터가손실될수있습니다. 188 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정네트워크인터페이스관리 12 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 McAfee ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 네트워크설정 ] 을클릭하고 [ 트래픽 ] 탭을클릭합니다. 표에기존컨트롤이나열됩니다. 4 장치에대한컨트롤을추가합니다. a [ 추가 ] 를클릭합니다. b 네트워크주소, 마스크및처리속도를설정합니다. 마스크를 0으로설정하면전송된모든데이터가제어됩니다. 호스트이름작동방법 장치호스트이름을해당 IP 주소에연결합니다. 호스트이름을추가, 편집, 제거, 조회, 업데이트및가져올수있을뿐만아니라자동학습된호스트이름이만료되는시간을설정할수있습니다. 이벤트데이터를볼때보기구성요소의하단에있는 [ 호스트이름표시 ] 아이콘결된호스트이름을표시할수있습니다. 을클릭하여이벤트에 IP 주소와연 기존이벤트가호스트이름으로태그가지정되지않은경우시스템이 McAfee ESM 에서호스트표를검색하고해당호스트이름으로 IP 주소의태그를지정합니다. IP 주소가호스트표에나타나지않는경우시스템은 DNS(Domain Name System) 조회를수행하여호스트이름을찾습니다. 그러면검색결과가보기에표시되고호스트표에추가됩니다. 호스트표에서이데이터는 [ 자동학습됨 ] 으로선택되고 [ 시스템속성 ] [ 호스트 ] 의호스트표아래있는 [ 다음이후에항목만료 ] 필드에지정된기간이후에만료됩니다. 데이터가만료되면다른 DNS 조회가보기에서 [ 호스트이름표시 ] 를선택한다음에수행됩니다. 호스트표에자동학습되고추가된호스트이름및해당 IP 주소가나열됩니다. 개별적으로호스트이름및 IP 주소를입력하거나탭으로구분된호스트이름및 IP 주소목록을가져와서수동으로호스트표에정보를추가할수있습니다. 이방식으로입력하는데이터가많을수록 DNS 조회에소요되는시간이줄어듭니다. 수동으로호스트이름을입력하면만료되지는않지만편집하거나제거할수는있습니다. 호스트이름관리 추가, 편집, 가져오기, 제거또는조회등호스트이름을관리하기위해필요한액션을수행합니다. 또한자동학습된호스트의만료시간을설정할수있습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 호스트 ] 를클릭합니다. 2 옵션을선택하고요청한정보를입력합니다. 호스트를추가할때최대 100 자의호스트이름을입력하고마스크를포함하여유효한 IPv4 또는 IPv6 표기법의 IP 주소를입력할수있습니다. 기존호스트이름을변경하거나삭제합니다. 내부네트워크에대한정보를설정하면 IP 주소의호스트이름을조회할수있습니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 189

12 구성조정네트워크인터페이스관리 탭으로구분된 IP 주소및호스트이름목록을가져옵니다. 자동학습된호스트이름을표에유지하려는시간을설정합니다. 만료되게하지않으려면모든필드에서영 (0) 을선택합니다. 3 [ 적용 ] 또는 [ 확인 ] 을클릭합니다. 호스트이름목록가져오기 IP 주소및해당호스트이름을포함하는텍스트파일을가져옵니다. 시작하기전에 탭으로구분된 IP 주소및호스트이름파일을만듭니다. 파일의각레코드가별도의줄에나열되어야하며 IP 주소가 IPv4 또는 IPv6 표기법으로먼저나와야합니다. 예 : 102.54.94.97 rhino.acme.com 08c8:e6ff:0100::02ff x.acme.com 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 호스트 ] [ 가져오기 ] 를클릭합니다. 2 텍스트파일을찾은다음 [ 업로드 ] 를클릭합니다. 파일에현재호스트표의 IP 주소가다른호스트이름으로포함된경우 [ 중복 ] 페이지에중복된레코드가나열됩니다. 표의호스트이름을텍스트파일의호스트이름으로변경하려면 [ 사용 ] 열에서선택한다음 [ 확인 ] 을클릭합니다. 기존호스트데이터를유지하려면확인란을선택하지않고 [ 확인 ] 을클릭합니다. 수동으로입력한데이터는만료되지않습니다. 시스템이호스트테이블에새호스트데이터를추가합니다. 이데이터에대한 [ 자동학습됨 ] 열에 [ 아니요 ] 가표시됩니다. DHCP( 동적호스트구성프로토콜 ) 설정 IP 네트워크에서 DHCP( 동적호스트구성프로토콜 ) 를사용하여네트워크구성매개변수 ( 예 : 인터페이스및서비스의 IP 주소 ) 를동적으로배포합니다. 클라우드에서배포할 McAfee ESM 을설정하면자동으로 DHCP 가활성화되고 IP 주소가할당됩니다. 클라우드에서사용하지않는경우장치관리권한이있으면 McAfee ESM, 비 HA 수신기, ACE 및 ELM 에서 DHCP 서비스를활성화및비활성화할수있습니다. 이기능은네트워크에대한 IP 주소를재설정해야하는경우유용합니다. DHCP 가활성화되면별칭이비활성화됩니다. 1 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 다음중하나를수행합니다. McAfee ESM의경우 [ 네트워크설정 ] 을클릭한다음 [ 기본 ] 탭을클릭합니다. 장치의경우장치의 [ 구성 ] 옵션을선택하고 [ 인터페이스 ] 를클릭한다음 [ 네트워크 ] 탭을클릭합니다. 3 [ 인터페이스 1] 필드에대해 [ 설정 ] 을클릭한다음 [DHCP] 를선택합니다. 수신기가아닌장치의경우 McAfee ESM 서버를다시시작해야합니다. 190 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정취약성평가작동방법 12 4 [VLAN 추가 ] 를클릭하고 [VLAN] 번호를입력한다음 [DHCP] 를선택합니다. 5 [ 확인 ] 을클릭한다음 [ 적용 ] 을클릭합니다. 수신기가아닌장치의경우 McAfee ESM 서버를다시시작해야합니다. McAfee Network Security Manager 에서수준 7 수집 해당데이터베이스에 NSM 이벤트를기록한후 McAfee Network Security Manager 데이터베이스에계층 7 데이터를채웁니다. 이벤트의일부로시스템에들어오지않습니다. NSM 에서계층 7 정보를꺼내기위해계층 7 데이터를포함하도록이벤트를꺼내는시기를지연시킬수있습니다. 이지연은계층 7 데이터와관련된이벤트뿐만아니라모든 NSM 이벤트에적용됩니다. NSM 과관련된 3 가지다른액션을수행할때이지연을설정할수있습니다. McAfee NSM 장치를콘솔에추가 NSM 장치구성 NSM 데이터소스추가 McAfee Network Security Manager 장치추가 McAfee Network Security Manager 장치를 McAfee ESM 에추가하는경우 [ 계층 7 수집활성화 ] 를선택하고 [ 장치추가마법사 ] 에서지연을설정할수있습니다. McAfee Network Security Manager 장치구성 McAfee Network Security Manager 장치를 McAfee ESM 에추가한후장치의연결설정을구성합니다. [ 계층 7 수집활성화 ] 를선택하고지연을설정할수있습니다. McAfee Network Security Manager 데이터소스추가 McAfee Network Security Manager 데이터소스를수신기에추가하려면 [ 데이터소스공급업체 ] 에서 McAfee 를선택하고 [ 데이터소스모델 ] 에서 [Network Security Manager - SQL Pull(ASP)] 을선택합니다. [ 계층 7 수집활성화 ] 를선택하고지연을설정할수있습니다. 취약성평가작동방법 DEM 및수신기에대한 VA( 취약성평가 ) 를통해여러 VA 공급업체에서검색할수있는데이터를통합할수있습니다. 여러가지방법으로 VA 데이터를사용할수있습니다. 해당이벤트에대해엔드포인트의알려진취약성에따라이벤트의심각도를표시합니다. 자동으로자산및해당특성을파악 ( 운영체제및서비스탐지 ) 하도록시스템을설정합니다. 사용자정의자산그룹의구성원을만들고조작합니다. 네트워크자산에대한요약및드릴다운정보에액세스합니다. 자산이 MySQL 실행을탐색한경우 MySQL 시그니처설정과같은정책편집기구성을변경합니다. 미리정의된보기또는사용자지정보기를사용하여시스템에서생성된 VA 데이터에액세스합니다. 총취약성수, 개수또는계기판구성요소가포함된보기를만드는경우취약성개수가폭등한것을볼수있습니다. 그이유는 MTIS(McAfee Threat Intelligence Services) 피드가 VA 소스가보고된원래취약성을기반으로위협을추가하기때문입니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 191

12 구성조정취약성평가작동방법 McAfee 는 VIN 에대한 McAfee sigid 를 CVE(Common Vulnerabilities and Exposure) ID, BugTraq ID, OSVDB(Open Source Vulnerability Database) ID 또는 Secunia ID 에대한참조에매핑하는규칙을유지합니다. 이러한공급업체는해당취약성의 CVE 및 BugTraq ID 를보고합니다. McAfee Vulnerability Manager 구성 McAfee Vulnerability Manager 에서취약성평가데이터를꺼내려면이를장치로 McAfee ESM 에연결해야합니다. 그런다음 McAfee ESM 이수신기로부터 McAfee Vulnerability Manager 이벤트를꺼낼수있도록수신기와연결합니다. 시작하기전에 McAfee Vulnerability Manager 로그온자격증명얻기 이러한설정을변경해도장치자체에는영향을미치지않습니다. 장치가 McAfee ESM 과통신하는방식에만영향을미칩니다. 1 시스템탐색트리에서 [ MVM 속성 ] 을선택한다음 [ 연결 ] 을클릭합니다. 2 요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 옵션 정의 [ 연결된수신기 ] 이 McAfee Vulnerability Manager 와연결된수신기를선택합니다. 이수신기에대한상세정보를보려면링크를클릭합니다. [ 아래에데이터베이스로그인매개변수를입력합니다 ] 요청한대로매개변수를입력합니다. [ 도메인 ] 은선택사항입니다. [ 연결 ] 데이터베이스에대한연결을테스트하려면클릭합니다. [ 아래에웹사이트 UI 자격증명을입력합니다 ] [MVM 서버인증서를업로드하고패스프레이즈를입력합니다 ] 웹자격증명을입력합니다. 데이터베이스및웹응용프로그램의방화벽은 McAfee ESM 이연결할포트를허용해야합니다. McAfee Vulnerability Manager 자격증명을입력한다음 [ 업로드 ] 를클릭하여.zip 파일을탐색합니다. [ 연결 ] 웹사이트에대한연결을테스트합니다. McAfee Vulnerability Manager 자격증명가져오기 McAfee Vulnerability Manager 를 McAfee ESM 에연결하려면 McAfee Vulnerability Manager 자격증명 ( 예 : 인증서및패스프레이즈 ) 을가져와야합니다. 1 Foundstone Certificate Manager 를실행하는서버에서 Foundstone Certificate Manager.exe 를실행합니다. 2 [SSL 인증서만들기 ] 탭을클릭합니다. 3 [ 호스트주소 ] 필드에 McAfee Vulnerability Manager 의웹인터페이스를호스팅하는시스템의 IP 주소또는호스트이름을입력한다음 [ 확인 ] 을클릭합니다. 4 [ 공통이름을사용하여인증서만들기 ] 를클릭하여암호및.zip 파일을생성합니다. 5.zip 파일을업로드하고생성된암호를복사합니다. 192 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정취약성평가작동방법 12 McAfee Vulnerability Manager 검색실행 McAfee ESM 취약성검색을실행하도록 McAfee Vulnerability Manager 을설정합니다. API 는로그온자격증명을확인하고 60 초마다해당자격증명을기반으로검색목록을채웁니다. 1 시스템탐색트리에서 [MVM 속성 ] 을선택한다음 [ 검색 ] 을클릭합니다. 2 [ 새검색 ] 을클릭합니다. 검색할 IP 주소, 범위또는 URL 을입력합니다. ( 선택사항 ) 검색이름을입력합니다. 이름을입력하지않으면 McAfee Vulnerability Manager 는기본이름인 QuickScan_nn(nn = 사용자이름 ) 을사용합니다. ( 선택사항 ) 기존검색구성의이름인검색템플릿을선택합니다. 선택하지않으면기본값이사용됩니다. ( 선택사항 ) 검색엔진을선택합니다. 선택하지않으면기본값이사용됩니다. 3 [ 확인 ] 을클릭합니다. VA 시스템프로파일정의 (eeye REM) VA( 취약성평가 ) 프로파일을정의하여 eeye REM 소스추가를사용합니다. 1 시스템탐색트리에서 DEM 또는수신기장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 취약성평가 ] [ 추가 ] 를클릭합니다. 3 [VA 소스유형 ] 필드에서 [eeye REM] 을선택합니다. 4 [ 시스템프로파일사용 ] 을클릭합니다. 5 [ 추가 ] 를클릭한다음 [ 프로파일유형 ] 필드에서 [ 취약성평가 ] 를선택합니다. 6 [ 프로파일에이전트 ] 필드에서이프로파일의 SNMP 버전을선택합니다. 페이지의필드는선택한버전에따라활성화됩니다. 7 요청한정보를입력한다음 [ 확인 ] 을클릭합니다. Qualys QualysGuard 로그파일은 2GB로제한됩니다. VA 소스구성 VA( 취약성평가 ) 소스와통신하려면시스템에소스를추가하고, VA 공급업체에대한통신매개변수를추가하고, 데이터가검색되는빈도를지정하는매개변수를예약하고, 심각도계산을변경합니다. 1 시스템탐색트리에서 McAfee Event Receiver 또는 McAfee Database Event Monitor 를선택한다음 [ 속성 ] 아이콘 을클릭합니다. 2 [ 취약성평가 ] 를클릭합니다. Frontline 클라이언트 ID 번호를입력합니다. Digital Defense Frontline 에는클라이언트 ID 가필요합니다. FusionVM 의경우검색해야하는회사의이름입니다. 회사이름을비워둘경우시스템은사용자가속한모든회사를검색합니다. 여러회사이름은쉼표로구분합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 193

12 구성조정취약성평가작동방법 (Qualys QualysGuard) VA 데이터를검색하는방법을선택합니다. [HTTP/HTTPS] 가기본값입니다. 옵션은 [SCP], [FTP], [NFS], [CIFS] 및 [ 수동업로드 ] 입니다. Qualys QualysGuard 로그파일을수동으로업로드할때파일크기는 2GB 로제한됩니다. Windows 시스템의도메인을입력합니다 ( 선택사항, 도메인컨트롤러나서버가도메인내에없는경우 ). 내보낸검색파일이있는디렉터리를식별합니다. 내보낸검색파일형식 (XML, NBE) 을식별합니다. 서버에서 Saint가설치된위치를식별합니다. Saint 어플라이언스스캐너의설치디렉터리는 /usr/local/sm/ 입니다. IP 주소를식별합니다 : eeye REM 트랩정보를보내는 eeye 서버의 IP 주소입니다. eeye Retina 내보낸검색파일 (.rtd) 을보관하고있는클라이언트의 IP 주소입니다. Nessus, OpenVAS, LanGuard 및 Rapid7 Metasploit Pro 내보낸검색파일을보관하고있는클라이언트의 IP 주소입니다. NGS Squirrel 보고서를저장하고있는컴퓨터의 IP 주소입니다. Rapid7, Lumension, ncircle 및 Saint 각서버의 IP 주소입니다. 내보낸검색파일을검색하는데사용할방법 ([SCP], [FTP], [NFS] 또는 [CIFS] 마운트 ) 을식별합니다. LanGuard 는항상 [CIFS] 를사용합니다. [ 방법 ] 필드에서 [nfs] 를선택하는경우시스템은 [ 마운트디렉터리 ] 필드를추가합니다. [nfs] 를구성한경우마운트디렉터리집합을입력합니다. 암호식별 : Nessus, OpenVAS, LanGuard 및 Rapid7 Metasploit Pro SCP 또는 FTP 의암호입니다. NGS SCP 및 FTP 방법의암호입니다. Qualys 및 FusionVM Qualys Front Office 또는 Fusion VM 사용자이름의암호입니다. Rapid7 Nexpose, Lumension, ncircle 및 Saint 웹서버에연결할때사용할암호입니다. Digital Defense Frontline 웹인터페이스암호입니다. Rapid7 Nexpose, Lumension, ncircle 또는 Saint 웹서버가수신중인포트를식별합니다. 기본값은 Rapid7 Nexpose 의경우 3780, Lumension 의경우 205, ncircle 의경우 443, Saint 의경우 22 입니다. 특정프로젝트또는영역의이름을식별하고모든프로젝트또는영역을가져오려면비워둡니다. 프록시 IP 주소, 사용자이름, 프록시사용자이름의암호및 HTTP 프록시가수신하는포트를식별합니다. 쿼리할 Qualys 또는 FusionVM 서버의 URL 을입력합니다. CIFS 방법 Nessus, OpenVAS, eeye Retina, Metasploit Pro, LanGuard 및 NGS 에대한원격경로및공유이름을식별합니다. 경로이름에백슬래시나슬래시를사용할수있습니다 ( 예 : Program Files\CIFS\va 또는 /Program Files/CIFS/va) 194 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정취약성평가작동방법 12 McAfee Event Receiver 또는 McAfee Database Event Monitor에서 VA 데이터를검색할빈도를나타냅니다. 매일 매일데이터를검색할시간을선택합니다. 매주 데이터검색할요일과그날의시간을선택합니다. 매월 데이터를검색할날짜와그날의시간을선택합니다. 미리설정된시간에데이터를검색하지않으려면 [ 비활성화됨 ] 을선택합니다. eeye REM 에서는소스에서데이터를검색할수없으므로 McAfee Event Receiver 또는 McAfee Database Event Monitor 에서데이터를검색해야합니다. VA 소스에서 VA 데이터를검색할빈도를나타냅니다. Saint 데이터를수집하는세션을식별합니다. 모든세션을포함하려면 [ 모두 ] 를입력합니다. [SNMP 보안수준 ] 필드에서 [authnopriv] 또는 [authpriv] 를선택하는경우 [SNMP 인증암호 ] 가활성화됩니다. [SNMP 인증프로토콜 ] 필드에서선택한인증프로토콜의암호를입력합니다. [SNMP 보안수준 ] 필드에서 [authnopriv] 또는 [authpriv] 를선택하는경우 [SNMP 인증프로토콜 ] 이활성화됩니다. 이소스의프로토콜유형 [MD5] 또는 [SHA1](SHA1 및 SHA 는동일한프로토콜유형을나타냄 ) 을선택합니다. REM Events Server 구성이선택과일치하는지확인하십시오. REM Events Server 를구성할때설정된 SNMP 커뮤니티를선택합니다. [SNMP 보안수준 ] 필드에서 [authpriv] 를선택하면 [SNMP 개인정보암호 ] [SNMP 커뮤니티 ] 가활성화됩니다. DES 또는 AES 개인정보보호프로토콜의암호를입력합니다. FIPS 모드에서는 [AES] 옵션만사용할수있습니다. [SNMP 보안수준 ] 필드에서 [authpriv] 를선택하는경우 [SNMP 개인정보보호프로토콜 ] 이활성화되며 DES 또는 AES 를선택할수있습니다. FIPS 모드에서는 [AES] 옵션만사용할수있습니다. 이소스의보안수준을선택합니다. [noauthnopriv] 인증프로토콜및개인정보보호프로토콜이없음 [authnopriv] 인증프로토콜은있지만개인정보보호프로토콜은없음 [authpriv] 인증프로토콜및개인정보보호프로토콜둘다있음. SNMP 인증및개인정보필드는선택한보안수준에따라활성화됩니다. REM Events Server 구성이선택과일치하는지확인하십시오. [REM Events Server 구성 ] 의보안이름을선택합니다. 소스의 SNMP 버전을선택합니다. SNMP 필드는선택하는버전에따라활성화됩니다. ( 선택사항 ) SNMPv3 프로파일을사용하는경우트랩보낸사람의 SNMPv3 엔진 ID 입니다. ( 선택사항 ) Saint 설치디렉터리에액세스하는데필요한암호를입력합니다. 소스에대한기본시간초과값을표시하거나특정시간초과값을제공합니다. 시간초과값을늘려더많은 VA 데이터검색시간을허용할수있습니다. 값을제공할경우모든통신에사용됩니다. ( 선택사항 ) Metasploit 글로벌설정에서설정할수있는인증토큰입니다. Digital Defense Frontline 서버의 URL 입니다. HTTP 프록시를사용하도록선택하면 [ 프록시 IP 주소 ], [ 프록시포트 ], [ 프록시사용자이름 ] 및 [ 프록시암호 ] 필드가활성화됩니다. [ 방법 ] 필드에서 [ftp] 를선택하는경우이필드가활성화됩니다. 그런다음수동모드를사용할시기를선택합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 195

12 구성조정취약성평가작동방법 Saint 설치디렉터리에액세스할수있는경우이액세스를사용하려면 [sudo 사용 ] 을선택합니다. 이전에정의한프로파일을사용할지여부를선택합니다. [ 시스템프로파일사용 ](eeye REM) 은모든 SNMP 필드를비활성화합니다. 기존시스템프로파일중하나를선택하면필드가선택한프로파일의정보로채워집니다. SQL Server 에 Windows 인증모드를사용하는경우 Windows 제품의사용자이름을입력합니다. 그렇지않을경우 SQL Server 의사용자이름을입력합니다. Nessus, OpenVAS 및 Rapid7 Metasploit Pro SCP 또는 FTP 의사용자이름 NGS SCP 및 FTP 방법의사용자이름 Qualys 또는 FusionVM 인증할 Front Office 또는 FusionVM 사용자이름 Rapid7 Nexpose, Lumension, ncircle 및 Saint 웹서버에연결할때의사용자이름 Digital Defense Frontline 웹인터페이스사용자이름 VA 소스이름을식별합니다. 내보낸검색파일의이름을설명하는데사용된와일드카드표현식을식별합니다. 와일드카드표현식은파일이름에서와일드카드의표준정의에별표 (*) 나물음표 (?) 를사용할수있습니다. NBE 파일과 XML 파일이둘다있을경우이필드에서 NBE 파일을원하는지 XML 파일을원하는지를지정합니다 ( 예 : *.NBE 또는 *.XML). 별표 (*) 만사용할경우오류가발생합니다. 3 장치에대한변경사항을작성합니다. 4 [ 적용 ] 또는 [ 확인 ] 을클릭합니다. VA 데이터검색 예정된시간에또는즉시데이터소스의 VA( 취약성평가 ) 데이터를검색할수있습니다. eeye REM 데이터검색은즉시수행할수없으며예약해야합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 DEM 또는 [ 수신기 ] 를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 취약성평가 ] 를클릭합니다. 4 VA 소스를선택하고다음옵션중하나를선택합니다. 즉시검색하려면 [ 검색 ] 을클릭합니다. 은백그라운드로실행되며검색이성공한경우사용자에게알림이표시됩니다. 검색을예약하려면 [ 편집 ] 을클릭합니다. 빈도를선택한다음장치에변경사항을기록하도록선택합니다. 5 [ 확인 ] 을클릭합니다. 6 VA 데이터를검색할수없는경우다음을확인합니다. 196 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정 SNMP 및 MIB 작동방법 12 리소스 Nessus, OpenVAS 및 Rapid7 Metasploit Pro Qualys, FusionVM 및 Rapid7 Nexpose Nessus 발생할수있는문제 빈디렉터리. 설정에서오류가발생합니다. 디렉터리의데이터가이미검색되었으므로데이터가최신상태가아닙니다. 디렉터리의데이터가이미검색되었으므로데이터가최신상태가아닙니다. 새 Nessus 파일을 FTP 사이트에업로드할때기존 Nessus 파일을다시쓴경우파일의날짜가동일하게유지됩니다. 따라서 VA 검색을수행하는경우데이터가이전데이터로인식되기때문에데이터가반환되지않습니다. 이상황을방지하려면새 Nessus 파일을업로드하기전에 FTP 사이트에서이전 Nessus 파일을삭제하거나업로드하는파일에대해다른이름을사용합니다. 7 데이터를보려면 [ 자산관리자 ] 아이콘을클릭한다음 [ 취약성평가 ] 탭을선택합니다. SNMP 및 MIB 작동방법 McAfee ESM 과각장치에서링크실행 / 정지및콜드 / 웜시작트랩을보내도록설정을구성합니다. MIB(Management Information Base)-II 시스템및인터페이스표를검색하면 snmpwalk 명령을통해 McAfee ESM 을탐색할수있습니다. SNMPv3 은 NoAuthNoPriv, AuthNoPriv 및 AuthPriv 옵션과함께지원되며, MD5 또는 SHA(Secure Hash Algorithm) 를인증에사용하고 DES(Data Encryption Standard) 또는 AES(Advanced Encryption Standard) 를암호화에사용합니다. MD5 및 DES 는 FIPS 컴플라이언스모드에서사용할수없습니다. SNMP requests can be made to McAfee ESM for McAfee ESM and McAfee Event Receiver, health information. 하나이상관리되는장치의블랙리스트에추가하기위해 SNMPv3 트랩이 McAfee ESM 에전송될수있습니다. 또한링크트랩및부트트랩을선택한대상에보내도록모든장치를구성할수있습니다. MIB 는다음에대해개체그룹을정의합니다. 경보 McAfee ESM 에서이벤트전달을사용하여경보트랩을생성하고전송할수있습니다. McAfee Event Receiver 에서는 McAfee SNMP 데이터소스를구성하여경보트랩을수신할수있습니다. 플로 McAfee Event Receiver 에서 SNMP 데이터소스를구성하여플로트랩을수신할수있습니다. McAfee ESM 상태요청 McAfee ESM 은자체및 ESM 에서관리하는장치에대한상태요청을수신하고응답할수있습니다. 블랙리스트 McAfee ESM 에서블랙리스트및검역목록에대한항목을정의하는트랩을수신한다음관리하는장치에적용할수있습니다. McAfee MIB 에서도다음을포함하는값에대해텍스트표기형식 ( 열거된유형 ) 을정의합니다. 경보를받았을때수행되는액션 플로방향및상태 데이터소스유형 블랙리스트액션 McAfee Event Receiver OID McAfee 제품군은 SNMP 를통해액세스할수있습니다. McAfee MIB 는각개체의 OID( 개체식별자 ) 나관심있는특징을정의합니다. McAfee ESM 은상태요청의결과로 OID 바인딩을채워응답합니다. 다음표에서는 McAfee ESM 및 McAfee Event Receiver OID 의의미를보여줍니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 197

12 구성조정 SNMP 및 MIB 작동방법 표 12-13 McAfee ESM 상태 요청및응답 OID 단위응답값의미 1.3.6.1.4.1.23128.1.3.1.1 백분율 4 결합된즉각적인 CPU 로드백분율 1.3.6.1.4.1.23128.1.3.1.2 MB 3518 총 RAM 1.3.6.1.4.1.23128.1.3.1.3 MB 25 사용가능한 RAM 1.3.6.1.4.1.23128.1.3.1.4 MB 1468006 McAfee ESM 데이터베이스에파티션된총 HDD 공간 1.3.6.1.4.1.23128.1.3.1.5 MB 1363148 McAfee ESM 데이터베이스에사용할수있는 HDD 공간 1.3.6.1.4.1.23128.1.3.1.6 1970-1-1 00:00:0.0(GMT) 이후초 1283888714 McAfee ESM 의현재시스템시간 1.3.6.1.4.1.23128.1.3.1.7 8.4.2 McAfee ESM 버전및빌드스탬프 1.3.6.1.4.1.23128.1.3.1.8 4EEE:6669 McAfee ESM 의시스템 ID 1.3.6.1.4.1.23128.1.3.1.9 McAfee ESM McAfee ESM 모델번호 표 12-14 McAfee Event Receiver 상태 요청및응답 OID 단위응답값의미 1.3.6.1.4.1.23128.1.3.3.1.x McAfee Event Receiver McAfee Event Receiver 이름 1.3.6.1.4.1.23128.1.3.3.2.x 2689599744 수신기의 McAfee ESM 고유식별자 1.3.6.1.4.1.23128.1.3.3.3.x 1 McAfee Event Receiver와의통신을 사용할수있거나 (1) 사용할수없음 (0) 을나타냄 1.3.6.1.4.1.23128.1.3.3.4.x OK McAfee Event Receiver의상태를 나타냅니다. 1.3.6.1.4.1.23128.1.3.3.5.x 백분율 2 결합된즉각적인 CPU 로드백분율 1.3.6.1.4.1.23128.1.3.3.6.x MB 7155 총 RAM 1.3.6.1.4.1.23128.1.3.3.7.x MB 5619 사용가능한 RAM 1.3.6.1.4.1.23128.1.3.3.8.x MB 498688 McAfee Event Receiver 데이터베이 스에파티션된총 HDD 공간 1.3.6.1.4.1.23128.1.3.3.9.x MB 472064 McAfee Event Receiver 데이터베이 스에사용할수있는 HDD 공간 1.3.6.1.4.1.23128.1.3.3.10.x 1970-1-1 00:00:0.0(GMT) 이후초 1.3.6.1.4.1.23128.1.3.3.11.x 1283889234 McAfee Event Receiver 의현재시스템시간 7.1.3 20070518091421a 수신기버전및빌드스탬프 1.3.6.1.4.1.23128.1.3.3.12.x 5EEE:CCC6 McAfee Event Receiver의시스템 ID 1.3.6.1.4.1.23128.1.3.3.13.x 수신기 McAfee Event Receiver 모델번호 1.3.6.1.4.1.23128.1.3.3.14.x 분당경보 1 지난 10 분동안의분당경보비율 198 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정 SNMP 및 MIB 작동방법 12 표 12-14 McAfee Event Receiver 상태 ( 계속 ) 요청및응답 OID 단위응답값의미 1.3.6.1.4.1.23128.1.3.3.15.x 분당플로 2 지난 10 분동안의분당플로비율 x = 장치 ID. 장치 ID 목록에액세스하려면 [ 시스템속성 SNMP 구성 ] 으로이동한다음 [ 장치 ID 보기 ] 를클릭합니다. 이벤트, 플로및블랙리스트항목은 SNMP 트랩을사용하여전송되거나요청을알립니다. 이벤트전달을수행하도록구성된 McAfee ESM 에서전송된경보트랩은다음과같이표시됩니다. OID 값의미 1.3.6.1.4.1.23128.1.1.1 780 McAfee ESM 경보 ID 1.3.6.1.4.1.23128.1.1.2 6136598 장치경보 ID 1.3.6.1.4.1.23128.1.1.4 2 장치 ID 1.3.6.1.4.1.23128.1.1.5 10.0.0.69 소스 IP 주소 1.3.6.1.4.1.23128.1.1.6 27078 소스포트 1.3.6.1.4.1.23128.1.1.7 AB:CD:EF:01:23:45 소스 MAC 1.3.6.1.4.1.23128.1.1.8 10.0.0.68 대상 IP 주소 1.3.6.1.4.1.23128.1.1.9 37258 대상포트 1.3.6.1.4.1.23128.1.1.10 01:23:45:AB:CD:EF 대상 MAC 1.3.6.1.4.1.23128.1.1.11 17 프로토콜 1.3.6.1.4.1.23128.1.1.12 0 VLAN 1.3.6.1.4.1.23128.1.1.13 1 Flow 방향 1.3.6.1.4.1.23128.1.1.14 20 이벤트개수 1.3.6.1.4.1.23128.1.1.15 1201791100 처음 1.3.6.1.4.1.23128.1.1.16 1201794638 마지막 1.3.6.1.4.1.23128.1.1.17 288448 마지막 ( 마이크로초 ) 1.3.6.1.4.1.23128.1.1.18 2000002 시그니처 ID 1.3.6.1.4.1.23128.1.1.19 이상인바운드높음에서높음시그니처설명 1.3.6.1.4.1.23128.1.1.20 5 수행한액션 1.3.6.1.4.1.23128.1.1.21 1 심각도 1.3.6.1.4.1.23128.1.1.22 201 데이터소스유형또는결과 1.3.6.1.4.1.23128.1.1.23 0 정규화된시그니처 ID 1.3.6.1.4.1.23128.1.1.24 0:0:0:0:0:0:0:0 IPv6 소스 IP 주소 1.3.6.1.4.1.23128.1.1.25 0:0:0:0:0:0:0:0 IPv6 대상 IP 주소 1.3.6.1.4.1.23128.1.1.26 응용프로그램 McAfee Enterprise Security Manager 11.1.x 제품안내서 199

12 구성조정 SNMP 및 MIB 작동방법 OID 값의미 1.3.6.1.4.1.23128.1.1.27 도메인 1.3.6.1.4.1.23128.1.1.28 호스트 1.3.6.1.4.1.23128.1.1.29 사용자 ( 소스 ) 1.3.6.1.4.1.23128.1.1.30 사용자 ( 대상 ) 1.3.6.1.4.1.23128.1.1.31 명령 1.3.6.1.4.1.23128.1.1.32 개체 1.3.6.1.4.1.23128.1.1.33 시퀀스번호 1.3.6.1.4.1.23128.1.1.34 신뢰할수있는환경에서생성되었는지신뢰할수없는환경에서생성되었는지를나타냄 1.3.6.1.4.1.23128.1.1.35 경보를생성한세션의 ID 숫자의의미 : 1.3.6.1.4.1.23128 McAfee IANA 에서할당한엔터프라이즈번호 마지막숫자 (1 35) 다양한특징의경보보고용 SNMP 트랩이데이터소스와함께작동하는방법 SNMP 트랩기능을사용하면데이터소스가 SNMP 트랩을보내는기능이있는관리가가능한네트워크장치의표준 SNMP 트랩을허용합니다. 표준 SNMP 트랩은다음을포함합니다. 인증실패 링크정지 콜드스타트 링크실행및웜스타트 EGP 인접라우터손실 IPv6 을통해 SNMP 트랩을보내려면 IPv6 주소를 IPv4 변환주소로나타내야합니다. 예를들어 10.0.2.84 를 IPv6 으로변환하면다음과같이보입니다. 2001:470:B:654:0:0:10.0.2.84 또는 2001:470:B:654::A000:0254 SNMP 설정구성 인바운드및아웃바운드 SNMP 트래픽의설정을정의합니다. 사용자이름에공백이없는사용자만 SNMP 쿼리를수행할수있습니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 McAfee ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [SNMP 구성 ] 을클릭합니다. 200 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정 SNMP 및 MIB 작동방법 12 4 [SNMP 요청 ] 탭 : 요청을수락하도록설정합니다. SNMP 트래픽을허용할지여부를나타냅니다. SNMP 버전 1 및버전 2 트래픽의경우커뮤니티문자열을설정합니다. SNMP 버전 3 트래픽의경우보안수준, 인증프로토콜및개인정보보호프로토콜을선택합니다. 장치가신뢰할수있다고간주하거나허용하는 IP 주소를보여줍니다. 새주소를추가하고기존주소를편집하거나제거할수있습니다. IP 주소는마스크를포함할수있습니다. 신뢰할수있는 IP 주소가있어야합니다. 각개체의 OID( 개체식별자 ) 나관심있는특징을정의하는 McAfee MIB 를봅니다. 5 [SNMP 트랩 ] 탭 : 콜드 / 웜트랩트래픽, 블랙리스트항목및링크실행 / 링크정지트래픽이통과하는포트를설정합니다. 링크실행및링크정지트랩을보냅니다. 이기능을선택하고여러인터페이스를사용하는경우인터페이스가정지되고다시실행될때알려줍니다. 콜드 / 웜트랩트래픽이자동으로허용됩니다. 강제종료또는강제재설정이어려운경우콜드스타트트랩이생성됩니다. 시스템을재부팅하는경우웜스타트트랩이생성됩니다. 데이터베이스 (cpservice, IPSDBServer) 가실행되거나정지될때 SNMP 트랩을보냅니다. 로그테이블에로그를쓰지않았을때 SNMP 트랩을보냅니다. 통보를보낼시스템프로파일이름을설정합니다. 시스템에서사용가능한모든 SNMP 트랩프로파일이표에표시됩니다. 전원오류통보에대한 SNMP 트랩설정 SNMP 트랩을선택하면하드웨어및 DAS 전원오류를알려주므로전원오류로인해시스템이종료되는것을방지할수있습니다. 시작하기전에 관리자권한이있거나경보관리권한이있는액세스그룹에속해있는지확인합니다. SNMP 트랩수신기를준비합니다 (SNMP 트랩수신기가아직없는경우필요 ). 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 McAfee ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [SNMP 구성 ] 을클릭한다음 [SNMP 트랩 ] 탭을클릭합니다. 4 [ 트랩포트 ] 에서 162를입력한다음 [ 일반하드웨어오류 ] 를선택하고 [ 프로파일편집 ] 을클릭합니다. 5 [ 추가 ] 를클릭한다음요청한정보를다음과같이입력합니다. [ 프로파일유형 ] [SNMP 트랩 ] 을선택합니다. [IP 주소 ] 트랩을보내려는주소를입력합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 201

12 구성조정 SNMP 및 MIB 작동방법 [ 포트 ] 162 를입력합니다. [ 커뮤니티이름 ] 공개를입력합니다. [ 포트 ] 및 [ 커뮤니티이름 ] 필드에입력한사항을기억하십시오. 6 [ 확인 ] 을클릭한다음 [ 프로파일관리자 ] 페이지에서 [ 닫기 ] 를클릭합니다. 프로파일이 [ 대상 ] 표에추가됩니다. 7 [ 사용 ] 열에서프로파일을선택한다음 [ 확인 ] 을클릭합니다. 전원공급장치에오류가발생하면 SNMP 트랩이전송되고시스템탐색트리에서장치옆에상태플래그가나타납니다. SNMP 통보구성 장치에서생성된 SNMP 통보를구성하려면보낼트랩및해당대상을정의해야합니다. HA( 고가용성 ) McAfee Event Receiver 에서 SNMP 를설정하는경우기본 McAfee Event Receiver 에대한트랩이공유 IP 주소를통해나갑니다. 따라서수신기를설정할때공유 IP 주소에대해하나를설정합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 McAfee ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [SNMP 구성 ] 을클릭합니다. 4 [SNMP 요청 ] 탭 : 요청을수락하도록설정합니다. SNMP 트래픽을허용할지여부를나타냅니다. SNMP 버전 1 및버전 2 트래픽의경우커뮤니티문자열을설정합니다. SNMP 버전 3 트래픽의경우보안수준, 인증프로토콜및개인정보보호프로토콜을선택합니다. 장치가신뢰할수있다고간주하거나허용하는 IP 주소를보여줍니다. 새주소를추가하고기존주소를편집하거나제거할수있습니다. IP 주소는마스크를포함할수있습니다. 신뢰할수있는 IP 주소가있어야합니다. 각개체의 OID( 개체식별자 ) 나관심있는특징을정의하는 McAfee MIB 를봅니다. 5 [SNMP 트랩 ] 탭 : 콜드 / 웜트랩트래픽, 블랙리스트항목및링크실행 / 링크정지트래픽이통과하는포트를설정합니다. 링크실행및링크정지트랩을보냅니다. 이기능을선택하고여러인터페이스를사용하는경우인터페이스가정지되고다시실행될때알려줍니다. 콜드 / 웜트랩트래픽이자동으로허용됩니다. 강제종료또는강제재설정이어려운경우콜드스타트트랩이생성됩니다. 시스템을재부팅하는경우웜스타트트랩이생성됩니다. 데이터베이스 (cpservice, IPSDBServer) 가실행되거나정지될때 SNMP 트랩을보냅니다. 202 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정장치구성 12 로그테이블에로그를쓰지않았을때 SNMP 트랩을보냅니다. 통보를보낼시스템프로파일이름을설정합니다. 시스템에서사용가능한모든 SNMP 트랩프로파일이표에표시됩니다. McAfee ESM 에서 MIB 꺼내기 McAfee ESM과연결한개체및통보를봅니다. 이 MIB에정의된개체및통보는요청을다음대상에보내는데사용됩니다. McAfee ESM 자체또는수신기장치에대해상태정보를요청하는 McAfee ESM 상태정보를요청하는장치 1 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [SNMP 요청 ] 탭을선택한다음 [MIB 보기 ] 를클릭합니다. 장치구성 목차 장치를장치트리에추가 FIPS 모드에서장치추가장치이름, 링크및설명변경장치별상세정보찾기 SSL 인증서설치 SSH 키다시생성여러장치관리장치의 URL 관리장치통신설정 McAfee ESM 과장치동기화장치시작, 중지, 재부팅또는새로고침 McAfee ESM 시스템트리의자동새로고침중지공통정보및원격명령에대한프로파일정의중복장치노드삭제 IP 주소마스크기본또는중복장치업그레이드쿼리관리시스템시간설정 CEF( 일반이벤트형식 ) 장치를장치트리에추가 물리적장치및가상장치를설정하고설치한다음에는 McAfee ESM 콘솔에추가합니다. 시작하기전에 하드웨어안내서 ( 하드웨어용 ) 또는설치안내서 ( 가상장치용 ) 에따라장치가설치되었는지확인합니다. 여러장치가있는복잡한 McAfee ESM 설치의경우에만다음단계를완료합니다. 장치조합을사용하는단순한 McAfee ESM 설치의경우에는이을수행하지않습니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 203

12 구성조정장치구성 1 시스템탐색트리에서 [ 로컬 ESM] 또는그룹을클릭합니다. 2 을클릭합니다. 3 추가하려는장치유형을선택하고 [ 다음 ] 을클릭합니다. 4 [ 장치이름 ] 필드에이그룹에서고유한이름을입력합니다.! @ # $ % ^ & * ) ( ] [ } { : ; " ' > < >, /? ` ~ + = 문자는장치이름으로유효하지않습니다. 5 [ 다음 ] 을클릭합니다. 6 요청된정보를제공합니다. McAfee epo 장치 수신기를선택하고웹인터페이스에로그온하는데필요한자격증명을입력한다음 [ 다음 ] 을클릭합니다. 데이터베이스와통신하는데사용할설정을입력합니다. 장치의사용자이름및암호를가진사용자에대한액세스를제한하려면 [ 사용자인증필요 ] 를선택합니다. 다른모든장치 장치에대한 IP 주소또는 URL을입력합니다. 7 장치에서 NTP(Network Time Protocol) 설정사용여부를선택하고 [ 다음 ] 을클릭합니다. 8 이장치의암호를입력하고 [ 다음 ] 을클릭합니다. McAfee ESM은연결상태에서장치통신및보고서를테스트합니다. FIPS 모드에서장치추가 FIPS 모드에서두가지방법을사용하여이미키가지정된장치를 ESM 장치에추가할수있습니다. 아래나와있는용어및파일확장명은이러한프로세스를수행할때유용할수있습니다. 용어 [ 장치키 ] McAfee ESM 이장치에대해가지고있지만암호화에사용되지않는관리권한을정의합니다. [ 공개키 ] ESM 공개 SSH 통신키로, 장치의인증된키테이블에저장됩니다. [ 비공개키 ] ESM 비공개 SSH 통신키로, ESM 의 SSH 실행파일에서사용되며장치와함께 SSH 연결을설정합니다. [ 기본 ESM] 장치를등록하는데원래사용된 ESM 장치입니다. [ 보조 ESM] 장치와통신하는추가 ESM 장치입니다. 여러내보내기파일의파일확장명.exk 장치키가포함되어있습니다..puk 공개키가포함되어있습니다..prk 비공개키및장치키가포함되어있습니다. FIPS 모드에서여러장치와의통신활성화.puk 파일을내보내고가져와서여러 ESM 장치가동일한 SIEM 장치와통신하도록허용할수있습니다. 먼저기본 ESM 장치를사용하여보조 ESM 장치에서내보낸.puk 파일을가져오고보조 ESM 공개키를주변장치에보내면두 ESM 장치가해당장치와통신할수있습니다. 204 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정장치구성 12 1 보조 ESM에서.puk 파일을내보냅니다. a 보조 ESM의 [ 시스템속성 ] 페이지에서 [ESM 관리 ] 를선택합니다. b [SSH 내보내기 ] 를클릭한다음.puk 파일을저장할위치를선택합니다. c [ 저장 ] 을클릭한다음로그아웃합니다. 2.puk 파일을기본 ESM으로가져옵니다. a 기본 ESM의시스템탐색트리에서구성하려는장치를선택합니다. b [ 속성 ] 아이콘을클릭한다음 [ 키관리 ] 를선택합니다. c [SSH 키관리 ] 를클릭합니다. d [ 가져오기 ] 를클릭하고.puk 파일을선택한다음 [ 업로드 ] 를클릭합니다. e [ 확인 ] 을클릭한다음기본 ESM에서로그아웃합니다. 장치이름, 링크및설명변경 시스템트리에장치를추가하는경우트리에표시되는이름을제공합니다. 장치이름, 시스템이름, URL 및설명을변경할수있습니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 이름및설명 ] 을클릭하여이름, 시스템이름, URL 및설명을변경하거나 [ 장치 ID] 번호를봅니다. 장치별상세정보찾기 장치특성을알아야할때이정보를사용합니다. 예를들어기술지원에서문제를해결할때이정보를요청할수있습니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 장치상태를새로고치려면시스템탐색트리에서을클릭합니다. 3 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 다음과같은장치별정보가나타납니다. 장치 ID 번호. 시스템을다시활성화해야하는경우 McAfee 지원은올바른파일을보내기위해이번호를사용합니다. 장치일련번호및모델번호 장치에서현재실행되는소프트웨어버전및빌드번호 장치가마지막으로열리거나새로고친날짜및시간 이장치의시계를 McAfee ESM 의시계와동기화 McAfee Enterprise Security Manager 11.1.x 제품안내서 205

12 구성조정장치구성 할당된장치영역 이장치의현재정책상태 장치의프로세스상태및 FIPS 자체테스트를실행한후의 FIPS 상태 ( 장치가 FIPS 모드에서실행되는경우 ) 4 장치성능통계, 로그및네트워크인터페이스통계를보려면 [< 장치 > 관리 ] [ 통계보기 ] 를클릭합니다. SSL 인증서설치 McAfee ESM 은 esm.mcafee.local 에대해자체서명된기본보안인증서 (SSL) 와함께제공됩니다. 대부분의웹브라우저는인증서의진위여부를확인할수없다는경고를할수없습니다. McAfee ESM 에대한 SSL 키인증서쌍을가져온다음설치해야합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ESM 관리 ] 를클릭합니다. 2 [ 키관리 ] 탭에서 [ 인증서 ] 를클릭합니다. 인증서, 키및선택체인파일 ( 있는경우 ) 을설치합니다. 시스템에서.crt 파일,.key 파일, 체인파일을순서대로업로드하라는메시지가표시됩니다. McAfee ESM 에대한자체서명된보안인증서를생성하고설치합니다. [ 생성 ] 을클릭한다음 [ 인증서관리 ] 에정보를입력한다음 [ 확인 ] 을클릭합니다. [ 생성 ] 을클릭합니다. 시그니처를위해인증서발급기관에보내는인증서요청을생성합니다. [ 생성 ] 을클릭한다음 [ 인증서관리 ] 에정보를입력한다음 [ 확인 ] 을클릭합니다..crt 및.key 파일이있는.zip 파일을다운로드합니다..crt 파일의압축을푼다음인증서발급기관에보냅니다. 원래인증서를다시생성합니다. 3 [ 닫기 ] 를클릭합니다. SSH 키다시생성 모든장치와통신하기위한비공개또는공개 SSH 키쌍을다시생성합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ESM 관리 ] 를클릭합니다. 2 [ 키관리 ] 탭에서 [SSH 다시생성 ] 을클릭합니다. 3 [ 예 ] 를클릭합니다. 시스템에서새키를다시생성하면 McAfee ESM에서관리되는모든장치의이전키쌍을바꿉니다. 여러장치관리 한번에여러장치에서소프트웨어를시작, 중지, 다시시작또는업데이트합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 Ctrl+ 클릭및 Shift+ 클릭을사용하여관리하려는장치를선택합니다. 206 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정장치구성 12 3 액션도구모음에서 [ 여러장치관리 ] 아이콘을클릭합니다. 4 수행하려는및이이수행될장치를선택한다음 [ 시작 ] 을클릭합니다. 장치의 URL 관리 장치의 [ 이벤트분석 ] 및 [ 플로분석 ] 보기의링크에서열려고하는 URL을설정할수있습니다. 시작하기전에 URL이작동하는지확인합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 McAfee ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 사용자지정설정 ] [ 장치링크 ] 를클릭합니다. 4 [ 사용자지정장치링크 ] 페이지에서장치를선택한다음 [ 편집 ] 을클릭합니다. 5 URL( 최대 512 자 ) 을입력합니다. 6 URL 에타사응용프로그램주소가포함되어있고 URL 에변수를추가해야하는경우변수를삽입할위치를클릭한다음변수아이콘을클릭하고변수를선택합니다. 7 장치의 [ 이벤트분석 ] 및 [ 플로분석 ] 보기의하단에있는 [ 장치 URL 시작 ] 아이콘을클릭하면정보페이지에액 세스할수있습니다. 장치통신설정 McAfee ESM 에장치를추가하는경우장치와 McAfee ESM 간에통신도설정해야합니다. 시작하기전에 보조장치의 IP 주소를변경한후분산 McAfee ESM 에키를지정하는경우 McAfee ESM 에다시연결되도록해당포트 443 이열려있어야합니다. 연결설정변경은 McAfee ESM 이장치와통신하는방식에만영향을미칩니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 연결 ] 을클릭합니다. a [ 대상 IP 주소 / 이름 ] 에 McAfee ESM이장치와통신하는데사용하는 IP 주소또는호스트이름을입력합니다. b 통신에사용되는 [ 대상포트 ] 를설정합니다 ( 기본값은 22). c 장치와의 SSH 통신을중지하려면 [ 이장치를비활성화됨으로표시 ] 를선택합니다. 시스템탐색트리에서이장치에대한아이콘은장치가비활성화되었다는것을나타냅니다. d 장치와 McAfee ESM 간의통신을확인하려면 [ 상태 ] 를클릭합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 207

12 구성조정장치구성 McAfee ESM 과장치동기화 McAfee ESM 을교체해야하는경우동기화하여설정을복원합니다. 현재데이터베이스백업이없는경우꺼내기이벤트를계속할수있도록데이터소스, 가상장치및데이터베이스서버설정도 McAfee ESM 과동기화해야합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 McAfee ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [< 장치레이블 > 구성 ] [ 장치동기화 ] 를클릭합니다. 4 동기화가완료되면 [ 확인 ] 을클릭합니다. 장치시작, 중지, 재부팅또는새로고침 이러한액션은유지관리또는문제해결중에유용할수있습니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [< 장치 > 정보 ] 를선택합니다. 4 [ 시작 ], [ 중지 ], [ 재부팅 ] 또는 [ 새로고침 ] 을클릭합니다. McAfee ESM 시스템트리의자동새로고침중지 McAfee ESM 시스템트리는 5분마다자동으로새로고쳐집니다. 필요한경우자동새로고침을중지할수있습니다. 시작하기전에이설정을변경하려면 [ 시스템관리 ] 권한이있어야합니다. 1 시스템트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 새로고치는동안은트리에서장치를선택할수없습니다. 2 [ 사용자지정설정 ] 을클릭한다음 [ 시스템트리의자동새로고침 ] 을선택취소합니다. 시스템트리액션도구모음에서 [ 장치새로고침 ] 아이콘다. 을클릭하여수동으로시스템트리를새로고칠수있습니 208 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정장치구성 12 공통정보및원격명령에대한프로파일정의 이벤트전달, 데이터소스구성, 취약성평가, SNMP 트랩및원격공유같은 syslog 기반트래픽에대한공통정보를공유합니다. syslog 기반트래픽에대한프로파일을정의하여일반정보를공유할수있습니다. 보기또는경보에대한원격명령프로파일 (URL 또는스크립트 ) 을추가할수도있습니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 시스템속성 ] 을선택합니다. 그런다음 [ 프로파일관리 ] 를클릭합니다. 2 [ 시스템프로파일 ] 탭에서프로파일을정의합니다. 필드는선택한 [ 프로파일유형 ] 에따라다릅니다. 3 [ 원격명령 ] 탭에서보기또는경보를위해실행할프로파일을정의합니다. 스크립트는쿼리또는이벤트의변수를참조할수있습니다. McAfee ESM 장치를제외하고 SSH 연결을허용하는장치에서명령을실행하려면원격명령설정을사용합니다. 중복장치노드삭제 시스템탐색트리에중복장치노드가표시될수있습니다. 혼동되지않도록중복장치노드를삭제합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색창에서표시유형드롭다운목록을클릭합니다. 3 중복장치가포함된표시옆의 [ 편집 ] 아이콘을선택합니다. 4 중복장치중하나를선택취소한다음 [ 확인 ] 을클릭합니다. IP 주소마스크 이벤트전달에서보내거나기본 McAfee ESM으로보낸이벤트데이터의 IP 주소를마스크합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 시스템속성 ] 을선택합니다. 2 [ESM 관리 ] [ESM 계층 ] 을클릭합니다. 3 데이터를마스크하려면 McAfee ESM 장치에대해 [ 조작 ] 을선택합니다. 4 마스크할필드를선택합니다. 5 로컬네트워크의설정을선택합니다. 매번동일한방식으로조작이발생하도록하려면시드값필드에시드를입력하거나생성을클릭하여임의시드를생성합니다. 이는여러 McAfee ESM 장치간에 IP 주소를조작하고값이계속동기화되도록하려는경우유용합니다. 로컬네트워크내부및외부의 IP 주소를숨기려면선택합니다. 그러면 IPv4 및 IPv6 주소와같은 IP 주소사용자지정유형으로확장됩니다. 로컬네트워크에포함된 IP 주소또는서브넷목록을쉼표로구분하여입력합니다 ( 최대 2,000 자 ). 로컬네트워크가 2,000 자보다더긴경우 CIDR(Classless Inter-Domain Routing) 표기법을통해여러서브넷을더짧은로컬네트워크로통합합니다. 이를설정한후기본 McAfee ESM 이보조 McAfee ESM 의패킷을요청하면시스템은선택한데이터를마스킹합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 209

12 구성조정장치구성 기본또는중복장치업그레이드 기본또는중복장치를업그레이드합니다. 1 이벤트, 플로및로그수집을비활성화합니다. a 시스템탐색트리에서 [ 시스템정보 ] 를선택한다음 [ 이벤트, 플로및로그 ] 를클릭합니다. b [ 자동확인간격 ] 을선택취소합니다. 2 기본장치를업데이트합니다. 3 중복장치를업데이트합니다. 4 한번더 [ 자동확인간격 ] 을선택하여이벤트, 플로및로그수집을활성화합니다. 쿼리관리 관리자에 McAfee ESM 에서실행되는쿼리목록이표시됩니다. 해당상태를보고시스템성능에영향을미치는부분은삭제할수있습니다. 1 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ESM 관리 ] 를클릭하고 [ 유지관리 ] 탭을클릭한다음 [ 관리자 ] 를클릭합니다. 3 다음을수행할수있습니다. 시스템에서보고서, 보기, 관심목록, 실행및내보내기, 경보및외부 API 쿼리를닫습니다. 시스템쿼리는닫을수없습니다. 기본적으로 5 초마다자동으로목록을새로고칩니다. 쿼리및목록자동새로고침을선택하면선택항목은유지되지만상세정보는새로고쳐집니다. 완료된쿼리는목록에표시되지않습니다. [ 쿼리상세정보 ] 영역에서데이터를선택하고복사합니다. 표의열을정렬합니다. 는닫을수있는쿼리를식별합니다. 시스템시간설정 목차 시스템시간설정장치시계동기화 NTP( 네트워크시간프로토콜 ) 설정 NTP(Network Time Protocol) 서버의상태보기 시스템시간설정 시스템타임스탬프활동은 McAfee ESM 및해당장치에의해생성됩니다. 시스템이타임스탬프를동기화하기위해일정한시간참조를사용하도록하려면시스템시계또는 NTP 서버를선택합니다. 시작하기전에 NTP 서버를사용하여시스템시간을동기화하려면서버가존재하고인증키와키 ID 가있는지확인합니다. 210 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정장치구성 12 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 시스템정보 ] 가선택되었는지확인합니다. 2 [ 시스템시계 (GMT)] 를클릭하여다음을수행합니다. NTP 서버와동기화하는대신 GMT( 그리니치표준시 ) 로시스템시계를설정합니다. 시스템시계를사용하지않고 NTP 서버를사용하여시스템시간을동기화합니다. NTP 서버의 IP 주소를추가합니다. 최대 10개의서버를추가할수있습니다. McAfee Application Data Monitor 또는 DBM 장치의 NTP 서버주소는 IP 주소여야합니다. 각 NTP 서버의인증키및키 ID 를입력합니다. 목록에서 NTP 서버의상태를보려면클릭합니다. 서버목록을변경한경우 [ 확인 ] 을클릭하여변경사항을저장하고페이지를닫습니다. 그런다음다시페이지를열고 [ 상태 ] 를클릭합니다. 장치시계동기화 다양한시스템에서생성된데이터가동일한타임스탬프를반영하도록장치시계를 McAfee ESM 시스템시간과동기화합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 또는장치 [ 속성 ] 을선택한다음 [ 장치시계동기화 ] 필드에서 [ 동기화 ] 를클릭합니다. 2 [ 시스템정보 ] 또는장치 [ 정보 ] 의데이터를업데이트하려면 [ 새로고침 ] 을클릭합니다. NTP( 네트워크시간프로토콜 ) 설정 장치에대한 NTP( 네트워크시간프로토콜 ) 서버를관리하고시간동기화에 NTP 서버를사용할것인지여부를나타냅니다. 1 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 구성 ] [NTP] 를클릭합니다. 시스템시계를사용하지않고 NTP 서버를사용하여장치의시간을동기화할지여부를나타냅니다. 기본 NTP 서버및장치에추가된모든항목을봅니다. 이열을클릭하여장치에추가하려는 NTP 서버의 IP 주소를추가합니다. 최대 10 개의서버를추가할수있습니다. IPS 클래스장치의 NTP 서버주소는 IP 주소여야합니다. 각 NTP 서버의인증키및키 ID 를입력합니다 ( 모르는경우네트워크관리자에게문의하십시오 ). NTP 서버상태를봅니다. 서버목록을변경한경우 [ 확인 ] 을클릭하여변경사항을저장하고페이지를닫고다시페이지를연다음 [ 상태 ] 를클릭합니다. 3 [ 확인 ] 을클릭합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 211

12 구성조정장치구성 NTP(Network Time Protocol) 서버의상태보기 McAfee ESM에서 NTP(Network Time Protocol) 서버의상태를봅니다. 시작하기전에 McAfee ESM 또는장치에 NTP 서버를추가합니다. 변경사항을표시하는데최대 10 분이소요될수있습니다. 1 시스템탐색트리에서다음중하나를수행합니다. [ 시스템속성 ] [ 시스템정보 ] 를선택한다음 [ 시스템시계 ] 를클릭합니다. 시스템탐색트리에서장치를선택하고 [ 속성 ] 아이콘을클릭한다음 [ 구성 ] [NTP] 를클릭합니다. 2 NTP 서버데이터를보려면 [ 상태 ] 를클릭합니다. [ NTP 서버 ] 열 : * 현재참조중인서버 x 소스 false 표시기 + 선택됨, 최종세트에포함됨. 후보목록의끝에서선택됨 # 선택됨, 거리가최댓값을초과함 - 클러스터알고리즘에의해삭제됨 o 선택됨, PPS(Pulse Per Second) 사용됨 [ 연결가능 ] 열 : 예 서버에연결할수있음 아니요 서버에연결할수없음 [ 인증 ] 열 : 없음 자격증명이없음 불량 잘못된자격증명 예 올바른자격증명 [ 조건 ] 열 ( 조건은 [NTP 서버 ] 열의표시에해당 ): 후보자 가능한선택 sys.peer 현재선택 거부 연결할수없음모든서버에 [ 거부 ] 가선택되면 NTP 구성이다시시작되는중일수있습니다. CEF( 일반이벤트형식 ) CEF( 일반이벤트형식 ) 는이벤트또는로그생성장치의상호운용성표준입니다. McAfee Event Receiver 가특정공급업체또는모델을지원하지않는경우 CEF 형식의이벤트를 McAfee Event Receiver 에전달하려면이표준을따릅니다. 이메시지는막대 ( ) 문자로구분된필드로구성되는공통접두사를사용하여형식을지정합니다. 이접두사는필수이며지정한필드가모두있어야합니다. 추가필드는확장에서지정합니다. 형식은다음과같습니다. CEF: 버전 장치공급업체 장치제품 장치버전 장치이벤트클래스 ID 이름 심각도 확장 212 McAfee Enterprise Security Manager 11.1.x 제품안내서

구성조정장치구성 12 메시지의확장부분은추가필드의자리표시자입니다. 다음은접두사필드의정의입니다. [ 버전 ] CEF 형식의버전을식별하는정수입니다. 이벤트소비자는이정보를사용하여필드가나타내는항목을확인합니다. 현재유일한버전 0 이위의형식으로설정됩니다. [ 장치공급업체 ], [ 장치제품 ] 및 [ 장치버전 ] 보내는장치의유형을고유하게식별하는문자열입니다. 두제품에서동일한장치 - 공급업체및장치 - 제품쌍을사용할수없습니다. 이벤트생성자가고유한이름쌍이할당되도록해야합니다. [ 장치이벤트클래스 ID] 이벤트유형별고유식별자입니다 ( 문자열또는정수 ). 특정을탐지하는각시그니처또는규칙에는고유한 deviceeventclassid 가할당되어있습니다. 이는상관엔진이이벤트를처리할수있도록하는요구사항입니다. [ 이름 ] 포트검색등이벤트를설명하는문자열입니다. [ 심각도 ] 이벤트중요도를반영하는정수입니다 (0-10 사이, 10 이가장중요한이벤트임 ). [ 확장 ] 키 - 값쌍모음이며, 여기서키는미리정의된집합의일부입니다. 이벤트에는키 - 값쌍이개수에관계없이공백으로구분되어임의의순서로포함될수있습니다. 파일이름과같이필드에공백이있는경우에도문제가되지않으며정확히해당방식으로로깅할수있습니다. 예를들어 filename=c:\program Files\ArcSight 는유효한토큰입니다. 샘플메시지모양은다음과같습니다. Sep 19 08:26:10 zurich CEF:0 security threatmanager 1.0 100 worm successfully stopped 10 src=10.0.0.1 dst=2.1.2.2 spt=1232 NetWitness 를사용하는경우장치가수신기에 CEF 를보내도록구성합니다. 기본적으로 NetWitness 를사용하는경우의 CEF 형식은다음과같습니다. CEF:0 Netwitness Informer 1.6 {name} {name} Medium externalid={#sessionid} proto={#ip.proto} categorysignificance=/normal categorybehavior=/authentication/verify categorydevicegroup=/os categoryoutcome=/attempt categoryobject=/host/application/service act={#action} devicedirection=0 shost={#ip.host} src={#ip.src} spt={#tcp.srcport} dhost={#ip.host} dst={#ip.dst} dport={#tcp.dstport} duser={#username} dproc=27444 filetype=security cs1={#did} cs2={#password} cs3=4 cs4=5 cn1={#rid} cn2=0 cn3=0 올바른형식에서는위의 dport 를 dpt 로변경해야합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 213

12 구성조정장치구성 214 McAfee Enterprise Security Manager 11.1.x 제품안내서

13 자산관리 목차 자산관리자작동방법성과기록표작동방법 자산관리자작동방법 자산관리자는자산을탐색하고, 수동으로만들고, 가져올수있는중앙위치를제공합니다. 자산은 McAfee ESM 에추가된 IP 주소를가진장치입니다. 자산관리자를사용하면네트워크의자산을관리할수있습니다. 하나이상의자산을포함하는그룹을만들수있습니다. 전체그룹에서다음을수행할수있습니다. 그룹에있는모든자산의특성을변경합니다. 이변경은영구적이아닙니다. 자산을변경된그룹에추가하는경우이전설정을자동으로상속하지않습니다. 끌어놓기을사용합니다. 그룹이름을바꿉니다. 자산그룹을통해자산태그지정에서사용할수없는방식으로자산을범주화할수있습니다. 예를들어캠퍼스의각빌딩에대한자산그룹을만들려는경우입니다. 자산은 IP 주소와태그모음으로구성됩니다. 태그는자산이실행되는운영체제및자산이담당하는서비스모음을설명합니다. 자산태그는다음두가지방법중한가지로정의됩니다. 시스템이자산을검색하는경우 사용자가자산을추가하거나편집하는경우 시스템이태그를설정하는경우태그가변경되면자산이검색될때마다업데이트됩니다. 사용자가태그를설정하는경우태그가변경되어도자산이검색될때시스템에서태그를업데이트하지않습니다. 자산의태그를추가하거나편집하지만자산이검색될때시스템에서업데이트되도록하려면 [ 재설정 ] 을클릭합니다. 태그설정을변경할때마다이액션을완료해야합니다. 구성관리는 PCI, HIPPA 및 SOX 와같은표준컴플라이언스규정의일부입니다. 라우터및스위치의구성에수행한변경사항을모니터링할수있으므로시스템취약성을방지할수있습니다. McAfee ESM 에서구성관리기능을사용하여다음을수행할수있습니다 : 장치가폴링되어야하는빈도를설정합니다. 구성을확인할탐색장치를선택합니다. 장치의기본값으로검색된구성파일을식별합니다. 구성데이터를보고, 데이터를파일에다운로드하고, 두장치의구성정보를비교합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 215

13 자산관리자산관리자작동방법 자산, 위협및위험평가 시스템의 McAfee Threat Intelligence Services(MTIS) 및취약성평가소스가알려진위협목록을생성합니다. McAfee ESM 은위협의심각도및각자산의중요도를사용하여엔터프라이즈의위험수준을계산합니다. 자산관리자 자산을 [ 자산관리자 ] 에추가할때자산이조직에서얼마나중요한지를나타내는중요도수준을할당합니다. 예를들어엔터프라이즈설정을관리하는한개의시스템이있는상태에서백업이없다면해당시스템의중요도는높습니다. 설정을관리하는시스템이두개이고각각백업이있다면중요도수준은상대적으로낮습니다. [ 자산 ] 탭의 [ 편집 ] 메뉴에서엔터프라이즈에대한위험계산에자산을사용또는무시할지선택할수있습니다. 위협관리 [ 자산관리자 ] 의 [ 위협관리 ] 탭은알려진위협목록, 해당심각도, 공급업체및위험계산시위협사용여부를표시합니다. 특정위협을사용하거나사용하지않도록설정하여위험계산에사용하거나사용하지않을수있습니다. 또한목록에서위협에대한상세정보를볼수있습니다. 이러한상세정보에는사용할수있는대응조치및위협처리를위한권장사항이포함되어있습니다. 사전정의된보기사전정의된보기는자산, 위협및위험데이터를요약하고표시합니다. [ 자산위협요약 ] 위험점수및위협수준, 위험별위협수준에따라상위자산을표시합니다. [ 최근위협요약 ] 공급업체, 위험, 자산및사용가능한보호제품별로최신위협을표시합니다. [ 취약성요약 ] 위협및자산별로취약성을표시합니다. 사용자지정보기 [ 쿼리마법사 ] 를사용하여필요한데이터를표시하는사용자지정보기를설정합니다. [ 계기판제어 ] 및 [ 개수 ] 구성요소에서평균엔터프라이즈위험및총엔터프라이즈위험점수를표시할수있습니다. [ 원형도표 ], [ 막대도표 ] 및 [ 목록 ] 구성요소에서위험에노출된자산, 제품위협보호, 자산별위협, 위험별위협및공급업체별위협을표시할수있습니다. [ 표 ] 구성요소에서자산, 최신위협, 위험점수별상위자산및위험점수별상위위협을표시할수있습니다. 자산구성 자산은 IP 주소가있는네트워크장치입니다. 자산만들기, 태그변경, 자산그룹만들기, 자산소스추가또는자산그룹에자산할당을수행할수있습니다. 또한취약성평가공급업체에서알게된자산을조작할수있습니다. 시작하기전에 관리자권한이있거나장치관리권한이있는액세스그룹에속해있는지확인합니다. 1 대시보드에서을클릭한다음 [ 자산관리자 ] [ 자산 ] 탭을선택합니다. 2 목록을정렬하려면열제목을클릭합니다. 3 자산상세정보를보려면을클릭합니다. 216 McAfee Enterprise Security Manager 11.1.x 제품안내서

자산관리자산관리자작동방법 13 4 자산또는자산필터그룹을추가합니다. IP 주소또는주소 / 마스크 영역 사용자가영역에대한권한을가지고해당영역의자산에액세스해야합니다. 중요도 이자산의엔터프라이즈에대한중요도를식별합니다 (1 = 가장낮은중요도, 100 = 가장높은중요도 ). 시스템은위협의중요도및심각도를사용하여엔터프라이즈에대한전체이벤트심각도를계산합니다. 이벤트심각도를계산할때할당된자산중요도및가장큰중요도값을항상사용합니다. 전체심각도를계산할때시스템은해당심각도를 [ 계산 ] 필드에추가합니다. 태그 자산속성또는필터를정의합니다. 하나이상의자산태그존재를기반으로필터그룹을정의할수있습니다. 설정되지않은태그는자산이가져야하는배타적태그세트를정의하지않습니다. 자산은다른태그를가지면서여전히필터그룹의구성원일수있습니다. 선택적정보 MAC 주소, GUID(Globally Unique Identifier), 운영체제 5.CSV 파일에서자산을가져옵니다. 각자산이별도의줄에표시되어야합니다..csv 파일에서 Hostname, IPAddress, Mask, ZoneName, UsrSeverity, UseCalcSeverity, TagCount, TagGroupName:TagName 과같은자산데이터의형식을지정합니다. 현재보유한 (TagCount) 태그마다한개의 TagGroupName:TagName 을추가합니다. 6 엔터프라이즈의전체위험을계산할때자산을사용할것인지여부를식별합니다 ( 기본값 = [ 위험계산에서사용 ]). 7 자산을데이터베이스서버로 McAfee Database Event Monitor 또는 McAfee Event Receiver 에추가합니다. 8 선택한그룹또는자산을삭제합니다. 그룹을선택한경우시스템에서그룹과해당자산을삭제할것인지또는그룹만삭제할것인지묻습니다. 그룹만선택하는경우시스템은자산을 [ 미할당 ] 폴더에재할당합니다. 이전자산정의 [ 자산관리자 ] 의 [ 이전자산 ] 그룹에서지정시간에탐지되지않은자산을저장할수있습니다. 1 [ 자산관리자 ] 빠른실행아이콘을클릭합니다. 2 [ 자산 ] 탭의자산목록에서 [ 이전자산 ] 그룹을두번클릭합니다. 3 자산을 [ 이전자산 ] 폴더로옮겨야되기전에자산이마지막으로탐지된이후의기간 ( 일 ) 을선택한다음 [ 확인 ] 을선택합니다. 자산소스구성 Active Directory 또는 Altiris 서버에서자산데이터를검색하여 PCI 와같은컴플라이언스요구사항을충족시킵니다. 시작하기전에 Altiris 에서자산을검색하려면 Altiris 관리콘솔에 [ 자산관리자 ] 권한이있어야합니다. Active Directory 는일반적으로 IP 주소정보를저장하지않습니다. Active Directory 에서이름을가져오면시스템이주소에대해쿼리하기위해 DNS 를사용합니다. Active Directory 에서컴퓨터주소를찾을수없으면주소가 [ 자산 ] 테이블에추가되지않습니다. 이러한이유로시스템의 DNS 서버가 Active Directory 컴퓨터의 DNS 정보를포함해야합니다. IP 주소를 Active Directory 에추가하려는경우시스템이 DNS 를쿼리하지않고해당 IP 주소를사용하도록컴퓨터개체에서 networkaddress 특성을변경합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 217

13 자산관리자산관리자작동방법 1 [ 자산관리자 ] 아이콘을클릭한다음 [ 자산소스 ] 탭을클릭합니다. [ 자산소스 ] 트리에시스템에있는 McAfee ESM 장치및수신기와해당하는현재자산소스가표시됩니다. McAfee ESM 에는하나의자산소스가있을수있습니다. McAfee Event Receiver 에는여러자산소스가있을수있습니다. 2 장치를선택하고자산소스정보를식별합니다. 자동검색을활성화할지여부를선택합니다. 자동검색간격을식별합니다. [ 자산소스 ] [ 검색 ] 을클릭하여수동으로데이터를계속검색할수있습니다. 자산소스유형 (Active Directory 또는 Altiris) 을나타냅니다. 자산소스이름, 영역, IP 주소및포트를식별합니다. [ 취약성평가 ] 와동시에자산을발견하는경우이자산소스가가질우선순위를선택합니다. 데이터의암호화프로토콜을사용하려면선택합니다. Active Directory 는 TLS 를사용합니다. Altiris 는 SSL 을사용합니다. 자산소스에액세스하는데필요한사용자이름및암호를입력합니다. Active Directory 의경우자산검색을시작하려는개체의고유이름을입력합니다 (dc=mcafee,dc=com). Altiris 의경우 IP 주소, 수신하는포트, 프록시사용자이름, 프록시서버의암호를입력합니다. 자동으로데이터를검색하려면빈도를선택합니다. 3 Altiris 서버에대한연결을테스트하려면 [ 연결 ] 을클릭합니다. 알려진위협관리 위험계산에서사용할알려진위협을선택합니다. 각위협에는심각도등급이있습니다. 자산에대한이등급및중요도등급은시스템에대한위협의전체심각도를계산하는데사용됩니다. 1 대시보드에서을클릭하고 [ 자산관리자 ] 를선택합니다. 2 [ 위협관리 ] 탭을선택합니다. 3 알려진위협을선택하고다음중하나를수행합니다. [ 위협상세정보 ] 를클릭하여위협에대한상세정보를봅니다. [ 위험계산 ] 열에 [ 예 ] 가표시되었지만위험계산에사용하지않으려는경우 [ 비활성화 ] 를클릭합니다. [ 위험계산 ] 열에 [ 아니오 ] 가표시되었지만위험계산에사용하려는경우 [ 활성화 ] 를클릭합니다. 취약성평가소스를관리 취약성평가소스를사용하면 VA 공급업체와통신하여데이터를검색할수있습니다. 1 대시보드에서을클릭하고 [ 자산관리자 ] 를선택합니다. 2 [ 취약성평가 ] 탭을선택합니다. 218 McAfee Enterprise Security Manager 11.1.x 제품안내서

자산관리자산관리자작동방법 13 3 VA 소스를추가, 편집, 제거또는검색하고장치에씁니다. 옵션 정의 [ 클라이언트 ID] Frontline 클라이언트 ID 번호를입력합니다. 이필드는 Digital Defense Frontline 에필요합니다. [ 회사이름 ] FusionVM 의경우검색해야하는회사의이름입니다. 이필드를비워두면사용자가속한모든회사가검색됩니다. 둘이상의회사를입력하는경우쉼표로이름을구분합니다. [ 데이터검색 ] (Qualys QualysGuard) VA 데이터를검색하는방법을선택합니다. [HTTP/HTTPS] 가기본값입니다. 다른옵션은 [SCP], [FTP], [NFS], [CIFS] 및 [ 수동업로드 ] 입니다. Qualys QualysGuard 로그파일을수동으로업로드할때파일크기는 2GB 로제한됩니다. [ 도메인 ] Windows 제품의도메인을입력합니다 ( 선택사항, 도메인컨트롤러나서버가도메인내에없는경우 ). [ 내보낸검색파일디렉터리 ] [ 내보낸검색파일형식 ] 내보낸검색파일이있는디렉터리입니다. 내보낸검색파일형식 (XML, NBE) 입니다. [ 설치디렉터리 ] 서버에서 Saint 가설치된위치입니다. Saint 어플라이언스스캐너의설치디렉터리는 /usr/ local/sm/ 입니다. [IP 주소 ] eeye REM: 트랩정보를보내고있는 eeye 서버의 IP 주소입니다. eeye Retina: 내보낸검색파일 (.rtd) 을보관하고있는클라이언트의 IP 주소입니다. McAfee Vulnerability Manager: 설치될서버의 IP 주소입니다. Nessus, OpenVAS, LanGuard 및 Rapid7 Metasploit Pro: 내보낸검색파일을보관하고있는클라이언트의 IP 주소입니다. NGS: Squirrel 보고서를저장하고있는시스템의 IP 주소입니다. Rapid7, Lumension, ncircle 및 Saint: 각서버의 IP 주소입니다. [ 마운트디렉터리 ] [ 방법 ] 필드에서 [nfs] 를선택하는경우 [ 마운트디렉터리 ] 필드가추가됩니다. [nfs] 를구성한경우마운트디렉터리집합을입력합니다. [ 방법 ] 내보낸검색파일을검색하는데사용할방법 ([SCP], [FTP], [NFS] 또는 [CIFS] 마운트 ) 입니다. LanGuard 는항상 [CIFS] 를사용합니다. [ 암호 ] McAfee Vulnerability Manager: SQL Server 에 Windows 인증모드를사용하고있는경우 Windows 제품의암호입니다. 그렇지않을경우 SQL Server 의암호입니다. Nessus, OpenVAS, LanGuard 및 Rapid7 Metasploit Pro: SCP 또는 FTP 의암호입니다. NGS: SCP 및 FTP 방법의암호입니다. Qualys 및 FusionVM: Qualys Front Office 또는 Fusion VM 사용자이름의암호입니다. Rapid7 Nexpose, Lumension, ncircle 및 Saint: 웹서버에연결할때사용할암호입니다. Digital Defense Frontline: 웹인터페이스암호입니다. [ 포트 ] Rapid7 Nexpose, Lumension, ncircle, McAfee Vulnerability Manager 또는 Saint 웹서버가수신중인포트입니다. 기본값은 Rapid7 Nexpose 의경우 3780, Lumension 의경우 205, ncircle 의경우 443, McAfee Vulnerability Manager 의경우 1433, Saint 의경우 22 입니다. [ 프로젝트 / 영역이름 ] 특정프로젝트또는영역의이름이며, 모든프로젝트또는영역을가져오려면비워둡니다. [ 프록시 IP 주소 ] HTTP 프록시의 IP 주소입니다. [ 프록시암호 ] 프록시사용자이름에대한암호입니다. [ 프록시포트 ] HTTP 프록시가수신중인포트입니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 219

13 자산관리자산관리자작동방법 옵션 [ 프록시사용자이름 ] [Qualys 또는 FusionVM 서버 URL ] [ 원격경로및공유이름 ] [ 수신기 ] 또는 [DEM 데이터검색예약 ] 정의 프록시의사용자이름입니다. 쿼리할 Qualys 또는 FusionVM 서버의 URL 입니다. CIFS 방법 Nessus, OpenVAS, eeye Retina, Metasploit Pro, LanGuard 및 NGS 입니다. 경로이름에백슬래시나슬래시를사용할수있습니다 ( 예 : Program Files\CIFS\va 또는 / Program Files/CIFS/va). 수신기또는 DEM 에서 VA 데이터를검색할빈도를나타냅니다. [ 매일 ] 매일데이터를검색할시간입니다. [ 매주 ] 데이터를검색할요일과그날의시간입니다. [ 매월 ] 데이터를검색할날짜와그날의시간입니다. 미리설정된시간에데이터를검색하지않으려면 [ 비활성화됨 ] 을선택합니다. eeye REM 에서는소스에서데이터를검색할수없으므로수신기또는 DEM 에서데이터를검색해야합니다. [VA 데이터검색예약 ] VA 소스에서 VA 데이터를검색할빈도를나타냅니다. [ 세션 ] Saint: 데이터를수집하는세션입니다. 모든세션을포함하려면 [ 모두 ] 를입력합니다. [SNMP 인증암호 ] [SNMP 인증프로토콜 ] [SNMP 보안수준 ] 필드에서 [authnopriv] 또는 [authpriv] 를선택하는경우이필드가활성화됩니다. [SNMP 인증프로토콜 ] 필드에서선택한인증프로토콜의암호를입력합니다. [SNMP 보안수준 ] 필드에서 [authnopriv] 또는 [authpriv] 를선택하는경우이필드가활성화됩니다. 이소스의프로토콜유형 [MD5] 또는 [SHA1](SHA1 및 SHA 는동일한프로토콜유형을나타냄 ) 을선택합니다. REM Events Server 구성이선택과일치하는지확인하십시오. [SNMP 커뮤니티 ] REM Events Server 를구성할때설정된 SNMP 커뮤니티입니다. [SNMP 개인정보암호 ] [SNMP 개인정보보호프로토콜 ] [SNMP 보안수준 ] 필드에서 [authpriv] 를선택하는경우이필드가활성화됩니다. DES 또는 AES 개인정보보호프로토콜의암호를입력합니다. FIPS 모드에서는 [AES] 옵션만사용할수있습니다. [SNMP 보안수준 ] 필드에서 [authpriv] 를선택하는경우이필드가활성화되며 DES 또는 AES 를선택할수있습니다. FIPS 모드에서는 [AES] 옵션만사용할수있습니다. [SNMP 보안수준 ] 이소스에대해설정하려는보안수준입니다. [SNMP 사용자이름 ] [noauthnopriv] 인증프로토콜및개인정보보호프로토콜이없음 [authnopriv] 인증프로토콜은있지만개인정보보호프로토콜은없음 [authpriv] 인증프로토콜및개인정보보호프로토콜둘다있음. SNMP 인증및개인정보필드는선택한보안수준에따라활성화됩니다. REM Events Server 구성이선택과일치하는지확인하십시오. [REM Events Server 구성 ] 의보안이름입니다. [SNMP 버전 ] 소스의 SNMP 버전입니다. SNMP 필드는선택한버전에따라활성화됩니다. [SNMPv3 엔진 ID] ( 선택사항 ) SNMPv3 프로파일이사용된경우트랩보낸사람의 SNMPv3 엔진 ID 입니다. [Sudo 암호 ] ( 선택사항 ) Saint 설치디렉터리에액세스하는데필요한암호를입력합니다. [ 시간초과 ] 이필드를통해소스에대한기본시간초과값을사용하거나특정시간초과값을제공할수있습니다. 이필드는공급업체에서제공한 VA 데이터가많아기본시간초과설정을사용하여데이터의전체또는일부를반환할수없는경우유용합니다. 시간초과값을늘려더많은 VA 데이터검색시간을허용할수있습니다. 값을제공할경우모든통신에사용됩니다. 220 McAfee Enterprise Security Manager 11.1.x 제품안내서

자산관리자산관리자작동방법 13 옵션 정의 [ 토큰 ] ( 선택사항 ) Metasploit 글로벌설정에서설정할수있는인증토큰입니다. [URL] Digital Defense Frontline 서버의 URL 을입력합니다. [HTTP 프록시사용 ] HTTP 프록시를사용하도록선택하면 [ 프록시 IP 주소 ], [ 프록시포트 ], [ 프록시사용자이름 ] 및 [ 프록시암호 ] 필드가활성화됩니다. [ 수동모드사용 ] [ 방법 ] 필드에서 [ftp] 를선택하는경우이필드가활성화됩니다. 수동모드를사용할시기를선택합니다. [sudo 사용 ] Saint 설치디렉터리에액세스할수있는경우이액세스를사용하려면이옵션을선택합니다. [ 시스템프로파일사용 ](eeye REM) 이전에정의한프로파일을사용할지여부를선택합니다. 이옵션을선택하면모든 SNMP 필드가비활성화됩니다. 기존시스템프로파일중하나를선택하면필드가선택한프로파일의정보로채워집니다. [ 사용자이름 ] McAfee Vulnerability Manager 의사용자이름을입력합니다. SQL Server 에 Windows 인증모드를사용하고있는경우 Windows 제품의사용자이름을입력합니다. 그렇지않을경우 SQL Server 의사용자이름입니다. Nessus, OpenVAS 및 Rapid7 Metasploit Pro: SCP 또는 FTP 의사용자이름입니다. NGS: SCP 및 FTP 방법의사용자이름입니다. Qualys 또는 FusionVM: 인증할 Front Office 또는 FusionVM 사용자이름입니다. Rapid7 Nexpose, Lumension, ncircle 및 Saint: 웹서버에연결할때사용할사용자이름입니다. Digital Defense Frontline: 웹인터페이스사용자이름입니다. [VA 소스이름 ] 이소스의이름을입력합니다. [ 와일드카드표현식 ] 내보낸검색파일의이름을설명하는데사용된와일드카드표현식입니다. 와일드카드표현식은파일이름에서 " 와일드카드 " 의표준정의에별표 (*) 나물음표 (?) 를사용할수있습니다. NBE 파일과 XML 파일이둘다있을경우이필드에서 NBE 파일을원하는지 XML 파일을원하는지를지정해야합니다 ( 예 : *.NBE 또는 *.XML). 별표 (*) 만사용할경우오류가발생합니다. 영역구성 영역을사용하여생성한장치, 데이터소스및이벤트를지리적위치및 IP 주소별로관련된그룹으로구성할수있습니다. 예를들어동해안과서해안에사무실이있고각사무실에서생성한이벤트를그룹화하려는경우두영역을추가하고이러한이벤트를각영역에그룹화해야하는장치를할당합니다. 특정 IP 주소별로각사무실의이벤트를그룹화하려면각영역에하위영역을추가합니다. 1 대시보드에서을클릭하고 [ 자산관리자 ] 를선택합니다. 2 [ 영역관리 ] 탭을선택합니다. 3 영역또는하위영역추가 : 이름을입력합니다. 이영역에할당된장치에서생성된이벤트에대해영역을기본값으로사용하려면선택합니다. 지리적위치를사용하여이영역경계를정의하려면 [ 필터 ] 아이콘을클릭한다음이영역에포함시키려는위치를선택합니다. ASN 을사용하여영역경계를정의하려면이영역에대한인터넷에서네트워크식별자를입력합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 221

13 자산관리자산관리자작동방법 4 이영역에장치를할당합니다. 5 변경사항을롤아웃한다음 [ 확인 ] 을클릭합니다. 영역설정내보내기 하나의 McAfee ESM에서영역설정을내보낸다음다른 McAfee ESM으로가져옵니다. 1 대시보드에서을클릭하고 [ 자산관리자 ] 를선택합니다. 2 [ 영역관리 ] 탭을선택합니다. 3 [ 내보내기 ] 를클릭한다음내보내려는파일유형을선택합니다. [ 영역정의파일내보내기 ]- 영역에대한설정및해당하는하위영역을포함합니다. [ 영역할당파일로장치내보내기 ] - 해당장치에할당된장치및영역을포함합니다. 4 [ 확인 ] 을클릭하고다운로드할파일을선택합니다. 영역설정가져오기 파일에서영역설정을있는그대로가져오거나가져오기전에데이터를편집합니다. 시작하기전에다른 McAfee ESM에가져올수있도록한 McAfee ESM에서영역설정파일을내보냅니다. 1 가져오려는영역설정파일을엽니다. 영역정의파일가져오기인경우 8 개의열 ( 명령, 영역이름, 상위이름, 지리적위치, ASN, 기본값, IPStart 및 IPStop) 이있습니다. 영역할당파일로장치가져오기인경우 3 개의열 ( 명령, 장치이름및영역이름 ) 이있습니다. 2 [ 명령 ] 열에명령을입력하여가져올때각줄에수행할액션을지정합니다. add 줄의데이터를있는그대로가져옵니다. edit ( 영역정의파일에서만사용가능 ) 데이터를변경하여데이터를가져옵니다. 하위영역의범위를변경하려면기존범위를제거한다음변경된영역의범위를추가합니다. 직접하위영역범위를편집할수는없습니다. remove McAfee ESM 에서이줄과일치하는영역을삭제합니다. 3 변경사항을저장하고파일을닫습니다. 4 대시보드에서을클릭하고 [ 자산관리자 ] 를선택합니다. 5 [ 영역관리 ] 탭을선택합니다. 6 [ 가져오기 ] 를클릭한다음가져오기파일유형을선택합니다. [ 영역정의파일가져오기 ] - 영역및해당하위영역에대한설정을포함합니다. [ 영역할당파일로장치가져오기 ] - 해당장치에할당된장치및영역을포함합니다. 7 [ 확인 ] 을클릭한다음가져올파일을찾고 [ 업로드 ] 를클릭합니다. 파일에서오류가탐지되면시스템에서알려줍니다. 222 McAfee Enterprise Security Manager 11.1.x 제품안내서

자산관리성과기록표작동방법 13 8 오류가있는경우정보를수정하고다시시도합니다. 9 변경사항을롤아웃하여장치를업데이트합니다. 벤치마크그룹구성 관련벤치마크를그룹화하여성과기록표에표시되는정보량을관리합니다. 그룹을확장및축소하면컨텍스트가제공되고점수카드데이터보기를관리하는데도움이됩니다. 1 기본메뉴에서 [ 성과기록표 ] 를선택합니다. 2 벤치마크그룹창에서사용자메뉴 ( 세개의세로점 ) 를엽니다. 3 필요에따라그룹을만들거나편집하거나삭제합니다. 성과기록표작동방법 McAfee ESM 성과기록표는조직의구성요구사항 ( 벤치마크 ) 을충족시키는자산 ( 엔드포인트 ) 을보여줍니다. 1 시스템자산 ( 엔드포인트 ) 을감사하도록 McAfee epo 와함께 McAfee Policy Auditor 를구성합니다. 2 벤치마크는자산이필요한구성을충족하는지여부를결정하는규칙을포함합니다. McAfee Policy Auditor 는자산을감사하는데사용할벤치마크및빈도를정의합니다. McAfee Policy Auditor 는감사결과를 McAfee epo 로보냅니다. 3 McAfee Event Receiver 는 McAfee epo 에서감사결과를꺼냅니다. 4 McAfee Event Receiver 는 McAfee ESM 과감사데이터를공유합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 223

13 자산관리성과기록표작동방법 5 McAfee ESM 성과기록표에는다음사항이표시됩니다. 조직의자산 ( 엔드포인트 ) 에대한총괄개요및벤치마크결과 특정자산또는벤치마크결과데이터를기준으로필터링된성과기록표데이터 자산이전달한벤치마크의백분율 평균벤치마크점수통계 점수가나타내는자산수 시간에따른추세 추세선은두개이상의데이터점이있는경우에만표시되며약 2 주간의데이터입니다. 자산과벤치마크의바인딩방식 성과기록표구성 성과기록표에표시할데이터를정의합니다. 시작하기전에 McAfee epo를실행하여 McAfee Policy Auditor가설치되었는지확인합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 성과기록표 ] 를선택합니다. 2 성과기록표에표시할자산및벤치마크를선택합니다. a [ 벤치마크그룹 ] 또는 [ 자산그룹 ] 창에서을클릭합니다. b [ 설정 ] 을클릭한다음표시할항목을선택합니다. 성과기록표데이터를선택할때데이터의양과성능에미치는영향을고려합니다. 벤치마크는일련의규칙을포함하며여러규칙에대해하나의데이터점을표시합니다. 규칙은많은양의데이터를표시할수있습니다. 224 McAfee Enterprise Security Manager 11.1.x 제품안내서

자산관리성과기록표작동방법 13 3 성과기록표에데이터가표시되는방식을정의합니다. 시간에따른추세를계산하려면 1 주에서 12 개월사이의기간을선택합니다. 변동이심한추세를식별하려면짧은기간을사용합니다. 표준벤치마크와의편차를식별하려면더긴기간을사용합니다. 자산과벤치마크사이의바인딩방향을토글하려면을클릭합니다. 기본적으로벤치마크데이터는자산에바인딩됩니다. 텍스트보기와그래프보기간에토글하려면해시또는막대차트아이콘을클릭합니다. 특정규칙또는자산으로드릴다운하려면그룹이름옆에있는화살표를클릭합니다. 특정규칙, 그룹또는자산에대한데이터를보려면해당규칙, 그룹또는자산을선택합니다. 선택한규칙, 그룹또는자산에대한데이터만바운드테이블에표시됩니다. 총괄성과기록표보기구성 조직의자산또는벤치마크를시각적으로요약하여표시할항목을정의합니다. 시작하기전에 McAfee Policy Auditor를실행하여 McAfee epo가설치되었는지확인합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 성과기록표 ] 를선택합니다. 2 [ 성과기록표보기 ] 드롭다운에서벤치마크별또는자산별 [ 총괄보기 ] 를선택합니다. 3 을클릭하여해당보기에표시할그룹을선택합니다. 최대 12 개의그룹을표시할수있습니다. 4 심각도임계값을지정하여보기에규칙컴플라이언스수준을표시합니다. 성과기록표데이터필터링 성과기록표데이터를필터링하여보고싶은자산또는벤치마크상세정보만표시합니다. 시작하기전에 McAfee Policy Auditor를실행하여 McAfee epo가설치되었는지확인합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 성과기록표 ] 를선택합니다. 2 필터막대를클릭하고필터링할필드또는값을추가합니다. 필터막대는다음연산자를지원합니다. 및, 같음, 같지않음, 포함, 포함하지않음 3 을클릭합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 225

13 자산관리성과기록표작동방법 4 보기데이터를새로고치려면을클릭합니다. 5 필터를제거하고데이터를새로고치려면 [ 지우기및새로고침 ] 을선택합니다. 성과기록표데이터보고서 성과기록표데이터를 CSV 파일로내보낸다음조직의벤치마크및자산에대한보고서로사용할수있습니다. 시작하기전에 McAfee Policy Auditor를사용하여 McAfee epo에서감사결과를성과기록표로가져왔는지확인합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 성과기록표 ] 를선택합니다. 2 필요에따라성과기록표데이터를필터링합니다. 시스템은선택된그룹및적용된필터와연관된데이터로 CSV 파일을생성합니다. 특정필드나값으로필터링하려면필터막대를사용합니다. 특정그룹에대한데이터를표시하려면해당벤치마크또는자산그룹을마우스오른쪽단추로클릭합니다. 특정자산과관련된이벤트를표시하려면특정자산을마우스오른쪽단추로클릭하고 [ 요약기준 ] 옵션을선택합니다. 3 [ 내보내기 ] 를클릭합니다. 4 보고요구사항을반영하도록 CSV 파일형식을지정합니다. 226 McAfee Enterprise Security Manager 11.1.x 제품안내서

14 정책및규칙정의 목차 McAfee ESM 정책및규칙작동방법정책관리데이터베이스감사추적설정변수작동방법 McAfee ESM 규칙유형패킷초과구독정의정책업데이트상태보기규칙규칙재정의액션구성심각도가중치정책변경기록보기정책변경롤아웃규칙에대해패킷복사활성화 McAfee ESM 정책및규칙작동방법 정책을사용하면규칙의매개변수역할을하는악성또는비정상트래픽및변수를탐지할수있습니다. McAfee ESM 장치의동작을안내하려면 [ 정책편집기 ] 를사용하여정책템플릿을만들고개별정책을사용자지정합니다. 정책템플릿및장치정책설정은그상위에서값을상속할수있습니다. 상속을통해간소성및용이성수준을유지하면서장치의정책설정을무한대로구성할수있습니다. 생성된각정책은항목을 [ 정책트리 ] 에추가합니다. FIPS 모드에서중인경우규칙서버를통해규칙을업데이트하지마십시오. 대신수동으로업데이트합니다. 아이콘 설명 정책 동기화되지않은장치 스테이징된장치 최신장치 McAfee 규칙서버에서사전정의값또는사용법으로모든규칙, 변수및전처리기를유지관리합니다. [ 기본정책 ] 은이러한 McAfee 에서유지관리하는설정에서해당값및설정을상속하고다른모든정책의출발점입니다. 다른모든정책및장치에대한설정은기본적으로 [ 기본정책 ] 에서해당값을상속합니다. [ 정책편집기 ] 에나열된규칙유형은시스템탐색트리에서선택한장치에따라다릅니다. 시스템에선택한장치에대한정책계층구조가표시됩니다. 규칙을필터링하여기준에맞는규칙만볼수있습니다. 또는규칙에태그를지정하여해당기능을정의합니다. McAfee Enterprise Security Manager 11.1.x 제품안내서 227

14 정책및규칙정의정책관리 정책관리 [ 정책트리 ] 에서액션을수행하여시스템에서정책을관리합니다. 시작하기전에 관리자권한이있거나정책관리권한이있는액세스그룹에속해있는지확인합니다. 1 대시보드에서을클릭하고 [ 정책편집기 ] 를선택합니다. 2 McAfee ESM 콘솔에서 [ 정책편집기 ] 아이콘을클릭한다음 [ 정책트리 ] 아이콘을클릭합니다. 3 [ 정책트리 ] 를사용하여다음을수행할수있습니다. 정책관련규칙보기 정책계층만들기장치만정책으로끌어놓을수있습니다. 필터또는태그를사용하여정책또는장치검색 정책이름바꾸기, 삭제, 복사또는바꾸기 복사된정책설정이바꾼정책에적용되지만이름은동일하게유지됩니다. 다른장치로정책이동 정책가져오기 여러정책을가져오는경우첫번째정책이선택한정책을덮어쓰고후속정책이현재노드의하위로삽입되어그계층관계를그대로유지합니다. 이옵션은선택한정책의이름을변경하지않습니다. 정책내보내기 사용자지정변수에대한사용자지정규칙의종속가능성으로인해, 사용자지정변수를내보내지않으면사용자지정규칙도내보낼수없습니다. 정책계층이병합되며이는설정이한수준의정책으로압축된다는의미로, 가장직접적인정책설정이항목기준에따라어떤항목에대해우선권이있습니다. 예를들어장치를선택하면시스템이두정책을선택한정책위에내보냅니다. 상위정책을내보내려면해당하위를선택해야합니다. 또한파일을한정책수준으로압축하는경우정책설정이상위정책설정보다우선합니다. 데이터베이스감사추적설정 데이터베이스또는특정데이터베이스이벤트와연관된테이블에대한액세스및변경을추적하기위해감사추적을설정합니다. McAfee ESM 컴플라이언스보고서에는각이벤트와관련된감사추적이나열됩니다. 시작하기전에 감사추적이벤트를생성하려면다음을추가해야합니다. 228 McAfee Enterprise Security Manager 11.1.x 제품안내서

정책및규칙정의변수작동방법 14 데이터액세스규칙 권한있는사용자감사추적보고서 1 대시보드에서을클릭하고 [ 정책편집기 ] 를선택합니다. 2 [ 규칙유형 ] 창에서 [DEM] [ 데이터액세스 ] 를선택합니다. 3 [DEM - 템플릿규칙 - IP 범위에서신뢰할수있는사용자액세스 ] 를강조표시합니다. 4 [ 편집 ] [ 복사 ] 를클릭한다음 [ 편집 ] [ 붙여넣기 ] 를클릭합니다. 5 새규칙의이름및속성을변경합니다. a 규칙을강조표시한다음 [ 편집 ] [ 수정 ] 을클릭합니다. b 규칙의이름을입력한다음사용자이름을입력합니다. c [ 신뢰할수없음 ] 액션유형을선택한다음 [ 확인 ] 을클릭합니다. 6 [ 롤아웃 ] 아이콘을클릭합니다. 7 보고서설정 : a [ 시스템속성 ] 에서 [ 보고서 ] [ 추가 ] 를클릭합니다. b 섹션 1-3 및 6을입력합니다. c 섹션 4에서 [ 보고서 PDF] 또는 [ 보고서 HTML] 을선택합니다. d 섹션 5에서 [ 컴플라이언스 ] [SOX] [ 권한있는사용자감사추적 ( 데이터베이스 )] 을선택합니다. e [ 저장 ] 을클릭합니다. 8 보고서를생성하려면 [ 지금실행 ] 을클릭합니다. 변수작동방법 변수는사용자또는사이트와관련되거나규칙에의해사용되는정보의자리표시자또는글로벌설정입니다. 변수를추가하거나변경하려면 Snort 형식에대한광범위한지식이필요합니다. 특정방식으로규칙이작동하도록하기위해변수를사용하고장치에따라다를수있습니다. McAfee ESM 에는여러사전설정된변수가있지만사용자지정변수를추가할수도있습니다. 규칙을추가할때이러한변수는 [ 새변수 ] 페이지의 [ 유형 ] 필드에서선택한필드유형의드롭다운목록에서옵션으로표시됩니다. 각변수에는기본값이있습니다. 각장치의특정환경에해당하는일부값을설정합니다. 변수이름은공백을포함할수없습니다. 공백을나타내려면밑줄 (_) 을사용합니다. 장치의효율성을최대화하려면 HOME_NET 변수를특정장치에서보호하는홈네트워크로설정합니다. 이테이블은공통변수및해당기본값목록을표시합니다. 변수이름설명기본값기본값설명 EXTERNAL_NET 보호받는네트워크외부의모든사람!$HOME_NET 포트 80 HOME_NET 로컬보호네트워크주소공간 : (10.0.0.0/80) 임의 HOME_NET 와동일 McAfee Enterprise Security Manager 11.1.x 제품안내서 229

2024 © docsplayer.org 개인정보보호 | 약관 | 지원