McAfee Enterprise Security Manager 11.1.x 설치 안내서

McAfee Enterprise Security Manager 11.1.x 설치안내서

저작권 Copyright 2018 McAfee LLC 상표고지 McAfee 및 McAfee 로고, McAfee Active Protection, epolicy Orchestrator, McAfee epo, Foundstone, McAfee LiveSafe, McAfee QuickClean, McAfee SECURE, SecureOS, McAfee Shredder, SiteAdvisor, McAfee Stinger, TrustedSource, VirusScan 은미국및기타국가의 McAfee LLC 또는자회사의상표입니다. 기타마크및브랜드는각소유자의재산으로주장될수있습니다. 사용권정보 사용권계약모든사용자에대한고지사항 : 사용자가구입한사용권에대한올바른법적계약서를주의깊게읽으십시오. 정식소프트웨어의사용에대한일반사항과조건이명시되어있습니다. 구입한사용권의종류를잘모르겠으면, 영업부에문의하시거나기타관련사용권허가서또는소프트웨어포장에포함되어있는구입주문서또는구입의일부로서별도로받은사용권허가서 ( 책자, 제품 CD 에있는파일, 소프트웨어패키지를다운로드한웹사이트에있는파일 ) 를참조하십시오. 여기서설명하는모든조건에동의하지않으면소프트웨어를설치하지마십시오. 이경우, 이제품을 MCAFEE 또는구입처에반환하면전액환불해드립니다. 2 McAfee Enterprise Security Manager 11.1.x 설치안내서

목차 1 설치개요 7 필요한설치유형................................... 7 처음설치워크플로.................................. 8 워크플로업그레이드.................................. 8 2 설치계획 11 사용가능한시스템구성요소.............................. 11 시나리오구성.................................... 13 클러스터링.................................. 15 3 시스템요구사항 17 VM 시스템요구사항................................. 17 4 새 ESM 배포 19 지원되는 VM 플랫폼................................. 19 VMware ESXi 가상컴퓨터배포.............................. 19 Linux KVM에 McAfee ESM 배포............................. 20 AWS VM에서 ESM 배포................................ 20 AWS VM 만들기................................ 20 VM 이미지다운로드.............................. 23 AWS에 McAfee ESM 설치및구성.......................... 23 AWS 이미지만들기............................... 24 AWS 연결구성................................ 26 AWS HVM에 McAfee ESM 배포............................. 26 McAfee ESM에로그온................................. 27 5 장치추가및구성 29 장치를장치트리에추가................................ 29 FIPS 모드에서장치추가................................ 30 FIPS 모드에서여러장치와의통신활성화....................... 30 장치이름, 링크및설명변경............................... 31 수신기구성..................................... 31 수신기데이터보관설정............................. 31 고가용성수신기설정.............................. 32 IPv6으로고가용성수신기설정........................... 32 수신기자산추가................................ 33 자동으로데이터소스를만들도록수신기구성..................... 34 Enterprise Log Search(ELS) 구성............................. 35 ELM 구성..................................... 36 ELM 중복설정................................ 37 ELM 압축설정................................ 37 ACE 구성..................................... 38 상관에사용할데이터유형선택.......................... 38 데이터스트리밍버스구성............................... 38 DAS(Direct Attached Storage) 구성............................ 39 McAfee Enterprise Security Manager 11.1.x 설치안내서 3

목차 분산 ESM 구성................................... 39 6 데이터저장소설정 41 데이터저장소작동방법................................ 41 데이터저장소설정.................................. 43 VM 데이터저장소설정................................ 43 누적장치인덱스증가................................. 44 데이터보존제한설정................................. 44 데이터할당제한정의................................. 44 누적장치인덱싱관리................................. 45 데이터베이스메모리사용보기.............................. 45 7 McAfee Enterprise Log Manager(ELM) 47 McAfee ESM 로깅설정................................ 48 저장소풀관리.................................... 48 저장소풀이동.................................... 49 저장소할당크기줄이기................................ 49 ELM 데이터저장소미러링............................... 49 미러링된 ELM 데이터저장소추가............................. 50 미러링된저장소풀다시빌드.............................. 50 미러링장치비활성화................................. 50 ELM의미러링된관리데이터베이스바꾸기......................... 51 ELM 중복..................................... 51 ELM 압축관리................................... 52 ELM 데이터복원................................... 52 대체저장소위치정의................................. 53 ELM 저장소사용률보기................................ 53 ELM 데이터베이스마이그레이션............................. 53 8 ELM 저장소구성 55 HomeGroup 파일공유비활성화............................. 55 외부데이터저장소설정................................ 56 iscsi 장치추가................................... 56 저장소풀에저장장치링크............................... 56 SAN 저장장치포맷.................................. 57 DAS(Direct Attached Storage) 구성............................ 58 데이터를저장할가상로컬드라이브설정.......................... 58 9 타사데이터소비자구성 61 10 FIPS 모드에서 63 FIPS 무결성체크................................... 64 FIPS 모드문제해결.................................. 65 11 ESM의새버전으로업데이트 67 업그레이드파일다운로드............................... 67 데이터베이스백업.................................. 68 비정상적인업그레이드시나리오를확인하고해결합니다..................... 68 단일 McAfee ESM 장치에서 ESM 업그레이드......................... 70 여러 McAfee ESM 장치에서 ESM 업그레이드......................... 71 분산 ESM에서 McAfee ESM 업그레이드.......................... 72 장치업데이트.................................... 72 주변장치업데이트............................... 73 주변 SIEM 장치업데이트 (FIPS 모드 )......................... 74 HA 수신기.................................. 76 4 McAfee Enterprise Security Manager 11.1.x 설치안내서

목차 12 설치문제해결 79 시스템에 McAfee 액세스권한부여............................ 79 McAfee Enterprise Security Manager 11.1.x 설치안내서 5

목차 6 McAfee Enterprise Security Manager 11.1.x 설치안내서

1 설치 1 개요 목차 필요한설치유형처음설치워크플로워크플로업그레이드 필요한설치유형 설치에적용되는지침을결정합니다. McAfee Enterprise Security Manager 11.1.x 설치안내서 7

1 설치개요처음설치워크플로 처음설치워크플로 가상컴퓨터에 McAfee ESM 을설치합니다. 참고항목 : 13 페이지의시나리오구성 11 페이지의사용가능한시스템구성요소 워크플로업그레이드 McAfee ESM 의새로운버전을설치합니다. 8 McAfee Enterprise Security Manager 11.1.x 설치안내서

설치개요워크플로업그레이드 1 McAfee Enterprise Security Manager 11.1.x 설치안내서 9

1 설치개요워크플로업그레이드 10 McAfee Enterprise Security Manager 11.1.x 설치안내서

2 설치 2 계획 목차 사용가능한시스템구성요소시나리오구성 사용가능한시스템구성요소 McAfee ESM 및해당구성요소는네트워크에설치되고취약성및위협을식별하도록구성됩니다. McAfee ESM 장치, 수신기및 McAfee Enterprise Log Manager 가필요합니다. 다른장치는비즈니스요구에따라선택사항입니다. McAfee ESM 구성요소는다음을포함합니다. McAfee Enterprise Security Manager (McAfee ESM) 장치 하드웨어구성요소또는 VM( 가상시스템 ) 소프트웨어설치로제공되는 McAfee ESM 장치는로그분석, SIEM 및네트워크분석기능을제공합니다. McAfee Event Receiver(ERC) 하드웨어구성요소또는 VM 소프트웨어설치로제공되며 ESM 장치의상관및분석을위해타사로그, 이벤트및플로데이터를수집합니다. McAfee Enterprise Log Manager(ELM) 하드웨어구성요소또는 VM 설치로사용할수있으며컴플라이언트로그관리기능을제공합니다. McAfee ESM 장치및 ERC 가필요합니다. ELM 은 " 기능적인 " 저장소로간주될수있습니다. 포렌직무결성을위해해시하고저장소효율성을위해압축합니다 ( 소규모 2U 패키지 ). 검색될수는있지만드문경우입니다. 전체로그보존을허용하는레코드저장소여야합니다. 데이터스트리밍버스 - 데이터스트리밍버스를통해데이터를수집하여 McAfee Behavioral Analytics 및타사제품과의데이터통합을간소화하고시간을절약합니다. VM 장치로전달됩니다. 배포 ESM 및데이터공유기능에필요합니다. McAfee Enterprise Log Search(ELS) 모든이벤트를수집, 인덱스화및저장하여의입증된감사추적기능을제공하는하드웨어구성요소입니다. ELS 는인덱스를사용하기때문에 McAfee Enterprise Log Manager 보다빠르게이벤트를검색합니다. ELS 는빠른원시로그검색으로간주될수있습니다. 사용자는로그의모든부분 ( 특히구문분석되지않은부분 ) 에서이벤트를검색할수있습니다. McAfee ESM 이 덜중요한 데이터를빠르게필터링할수있도록합니다. 이로인해 McAfee ESM 효율성, 성능및저장시간이향상됩니다. 이데이터는압축되지않기때문에 ELS 는일반적으로전체보존요구사항 (EPS 에따라 3-6 개월 ) 보다짧게저장합니다. 따라서높은 EPS 환경은높은테라바이트범위에빨리도달합니다. McAfee Receiver/ELM(ELMERC) 하드웨어구성요소또는 VM 소프트웨어설치로제공되며 ELM 과 ERC 를모두포함합니다. McAfee Advanced Correlation Engine (McAfee ACE) 하드웨어구성요소또는 VM 소프트웨어설치로제공되며 McAfee RSC 및 Enterprise 상관관계를제공합니다. 규칙및위험기반논리를사용하여실시간또는기록모드로위협이벤트를식별하고점수를매깁니다. McAfee Application Data Monitor 전체레이어스택을통해 500 개가넘는알려진응용프로그램을모니터링하고모든위반사항에대한전체세션상세정보를캡처하는하드웨어또는 VM 구성요소입니다. McAfee Enterprise Security Manager 11.1.x 설치안내서 11

2 설치계획사용가능한시스템구성요소 McAfee Database Event Monitor(DEM) 대부분의데이터베이스플랫폼에대해데이터베이스액세스의수집, 관리, 분석, 가시화및보고를자동화하는하드웨어구성요소입니다. McAfee Direct Attached Storage(DAS) 저장공간을확장하기위해 ESM, ELM 또는 ELS 에연결된하드웨어구성요소입니다. 중복솔루션에서는각시스템마다하나의 DAS 장치가필요합니다. 예를들어 2 개의중복 ELM 에는 2 개의 DAS 장치가필요합니다. 시스템다이어그램 ( 데이터스트리밍버스없음 ) 시스템다이어그램 ( 데이터스트리밍버스포함 ) 12 McAfee Enterprise Security Manager 11.1.x 설치안내서

설치계획시나리오구성 2 참고항목 : 13 페이지의시나리오구성 8 페이지의처음설치워크플로 시나리오구성 하나의조합 ESM 장치로 McAfee ESM 을구성하거나, 구성요소를추가하여큰엔터프라이즈네트워크에서위협을식별할수있습니다. 네트워크환경에구성요소를추가하여성능을향상시키고, 기능을추가하고, 이벤트저장기능을향상시킬수있습니다. 예를들어기존구성요소의추가고급모델또는다음구성요소를추가하면네트워크보호를확장할수있습니다. 가상컴퓨터에설치된 ESM 조합장치에는추가할수있는구성요소의수에제한이있습니다. 소규모 ESM 솔루션 이그림은하나의 ESM 장치를사용하여네트워크이벤트에대한가시성을제공하는것을보여줍니다. McAfee Enterprise Security Manager 11.1.x 설치안내서 13

2 설치계획시나리오구성 대규모 ESM 솔루션 여러 ESM 장치는대규모엔터프라이즈네트워크의이벤트에대한표시여부를제공합니다. 네트워크가커지고이벤트수가증가하면 ESM 장치를추가합니다. 참고항목 : 8 페이지의처음설치워크플로 11 페이지의사용가능한시스템구성요소 14 McAfee Enterprise Security Manager 11.1.x 설치안내서

설치계획시나리오구성 2 클러스터링 McAfee ESM 장치의클러스터는처리량을최대화하거나 ( 분할 ) 장치에서유지관리되는이벤트데이터의복사본수를최대화하거나 ( 복제 ) 하이브리드설치에서이러한기능을모두활용하도록 ( 분할및복제 ) 설정할수있습니다. 클러스터된환경에서하나의노드는활성노드로작동하고다른노드는대기노드로작동합니다. 활성노드는클러스터에대한관리기능을수행합니다. 확장 클러스터링을사용하면데이터분할을통해시스템을확장할수있습니다. 이기능은클러스터의각 McAfee ESM 장치가해당클러스터의모든 McAfee ESM 장치에서이벤트데이터를쿼리하는기능입니다. 분할은여러장치의성능을사용하여이벤트데이터를처리함으로써시스템처리속도를향상시킵니다. 복제 복제를사용하면각장치가데이터베이스의개별노드역할을하여데이터를복제할수있습니다. 클러스터된환경에서 " 활성 " 장치로지정하려는장치를지정합니다. 이장치는 McAfee ESM 소프트웨어와상호작용하는기본지점입니다. 다른장치는 " 대기 " 장치로작동하여쿼리균형을조정하고데이터를수집하지만관리은수행하지않습니다. 클러스터에서 ESM 장치가 " 활성 " 장치가되도록수동으로구성할수있습니다. 각장치는구성및기타설정을저장합니다. 구성된복제요소에따라각장치로새이벤트데이터부하를분산합니다. 복제요소는클러스터에있는데이터의복사본수를결정합니다. 복제는장치오류의결과를완화합니다. McAfee Enterprise Security Manager 11.1.x 설치안내서 15

2 설치계획시나리오구성 확장및복제함께사용 확장및복제를모두사용함으로써이벤트를신속하게처리하고데이터를보존하며내결함성을제공하는견고한시스템을구축할수있습니다. 16 McAfee Enterprise Security Manager 11.1.x 설치안내서

3 3 시스템 요구사항 VM 시스템요구사항 McAfee ESM 장치에대해사용하는 VM( 가상컴퓨터 ) 은이러한최소요구사항을충족해야합니다. 프로세서 8코어 64비트, Dual Core2/Nehalem 이상또는 AMD Dual Athlon64/Dual Opteron64 이상 RAM 24GB 이상 디스크공간 모델에따라다름 (250GB 이상 ) VM 제품의사양을참조하십시오. McAfee Enterprise Security Manager 11.1.x 설치안내서 17

3 시스템요구사항 VM 시스템요구사항 18 McAfee Enterprise Security Manager 11.1.x 설치안내서

4 새 4 ESM 배포 목차 지원되는 VM 플랫폼 VMware ESXi 가상컴퓨터배포 Linux KVM 에 McAfee ESM 배포 AWS VM 에서 ESM 배포 AWS HVM 에 McAfee ESM 배포 McAfee ESM 에로그온 지원되는 VM 플랫폼 McAfee ESM은여러 VM 플랫폼에배포할수있습니다. Azure AWS Xen ESXi HVM VMware ESXi 가상컴퓨터배포 VMware ESXi VM 을마운트하고키를지정하면물리적 ESM 장치를모방합니다. 1 CD 드라이브 (CD 설치용 ) 의루트에액세스하거나 McAfee 다운로드사이트에서 ESXi.ova 파일을다운로드합니다. 2 [vsphere Client](vSphere 클라이언트 ) 의장치트리에서서버 IP 주소를클릭합니다. 3 [File]( 파일 ) 을클릭하고 [Deploy OVF Template](OVF 템플릿배포 ) 을선택합니다. 4 VM, 디스크프로비저닝설정및 [VM Networking](VM 네트워킹 ) 옵션을마운트할폴더와이름을지정합니다. 5 파일을 ESXi 서버에배포하고 VM 을선택하고 [Edit Virtual Machine]( 가상시스템편집 ) 설정을지정합니다. 6 VMware ESXi 네트워크스위치 / 어댑터에올바른네트워킹설정을선택한다음 [Play]( 재생 ) 를클릭하여 VM 을시작합니다. 7 VM 메뉴를사용하여관리 1 IP 주소, 넷마스크, 게이트웨이및 DNS 주소를설정한다음 Esc 키를눌러메뉴를활성화합니다. McAfee Enterprise Security Manager 11.1.x 설치안내서 19

4 새 ESM 배포 Linux KVM 에 McAfee ESM 배포 Linux KVM 에 McAfee ESM 배포 Linux KVM 환경에서 McAfee ESM 을실행하려면 tarball(.tgz 파일 ) 에서하드드라이브이미지를가져와야합니다. tarball 파일에는샘플구성파일이포함되어있습니다. 1 McAfee 다운로드페이지에서현재 tarball(.tgz) 파일을가져옵니다. 2 tarball 파일을가상하드드라이브가있는디렉터리로이동합니다. 3 다음명령을실행하여 tarball 의압축을풉니다. tar xf McAfee_ETM_VM4_250.tgz 동일한위치에서동일한유형의여러 VM을배포하려면가상하드드라이브의이름을변경합니다. 예를들어 ERC-VM4-disk-1.raw, ERC-VM4-disk-2.raw를 my_first_erc.raw, my_second_erc.raw로변경합니다. 4 KVM 하이퍼바이저에서다음을사용하여 VM을만듭니다. (libvirt, qemu-kvm, proxmox, virt-manager, ovirt) 5 VM 이미지를 tarball의압축을푼기존의가상하드드라이브 (Virtio disk.raw 파일 ) 로가리킵니다. AWS VM 에서 ESM 배포 목차 AWS VM 만들기 VM 이미지다운로드 AWS 에 McAfee ESM 설치및구성 AWS 이미지만들기 AWS 연결구성 AWS VM 만들기 목차 AWS 서버만들기 VM 네트워크인터페이스구성 VM 장치키지정 AWS 서버만들기 적절한설정으로 AWS 서버를만들고엔터프라이즈네트워크에대한연결을만듭니다. 시작하기전에 Amazon 웹서비스계정이있어야합니다. 이절차 ( 및선택한값 ) 는간단한 VM 만들기를설명합니다. 선택하는값은다를수있습니다. 1 AWS 콘솔에로그온하여 AWS 콘솔페이지를표시합니다. 2 AWS 데이터센터영역을대부분의네트워크에가장가까운위치로설정합니다. 20 McAfee Enterprise Security Manager 11.1.x 설치안내서

새 ESM 배포 AWS VM에서 ESM 배포 4 3 [ 계산 ] 에서 [EC2](Amazon Elastic Compute Cloud) 를두번클릭하여 1 단계를엽니다. AMI(Amazon Machine Image) 를선택하고서버인스턴스 [Amazon Linux AMI] 를선택합니다. 이유형은 AWS/EC2 도구가미리설치되어있습니다. 다른 Linux 유형을선택하는경우 AWS/EC2 도구를설치해야합니다. 4 Step 2: Choose an Instance Type(2 단계 : 인스턴스유형선택 ) 을열고 [m3.2xlarge] 이상을선택한후 [Next: Configure Instance Details]( 다음 : 인스턴스상세정보구성 ) 를클릭합니다. 인스턴스유형을선택할때올바른 CPU 개수와올바른인스턴스유형을선택합니다. 확실하지않은경우지원팀에문의합니다. 5 인스턴스를실행하는동안사용할네트워크를선택합니다. 다음을사용하여인스턴스에연결할수있는지확인합니다. 공개주소 비공개주소 AWS 에자체가상사설클라우드를만들수있습니다. 자세한내용은드롭다운목록에서 [ 서비스의 VPC] 를참조하십시오. 6 [Next: Add Storage]( 다음 : 저장소추가 ) 를클릭하여 Step 4: Add Storage(4 단계 : 저장소추가 ) 페이지를엽니다. Amazon "build" 인스턴스에대해선택한기본값을그대로유지합니다. McAfee 장치의기본값은 250GB 입니다. 필요한경우볼륨을더추가할수있습니다. 7 [Next: Tag Instance]( 다음 : 태그인스턴스 ) 를클릭하여 Step 5: Tag Instance(5 단계 : 태그인스턴스 ) 페이지를엽니다. [ 값 ] 열에서인스턴스를찾을수있도록이름을입력합니다. 8 [Next: Configure Security Group]( 다음 : 보안그룹구성 ) 을클릭하여 Step 6: Configure Security Group(6 단계 : 보안그룹구성 ) 페이지를연다음하나를선택합니다. [Create a new security group]( 새보안그룹만들기 ) 새보안그룹은인스턴스에로그온할수있는사용자를제한합니다. 외부를대상으로한 IP 주소범위를추가합니다. [Select existing security group.]( 기존보안그룹선택 ) 9 [Review and Launch]( 검토및실행 ) 를클릭하여 Step 7: Review Launch Instance( 단계 7: 인스턴스실행 ) 를연다음 [Launch]( 실행 ) 를클릭합니다. 다음경고가표시되면무시합니다. Your instance configuration is not eligible for the free usage tier.( 인스턴스구성이무료사용계층에적합하지않습니다.) 10 기존키쌍을선택하거나새인스턴스에로그온해야하는새키쌍을만듭니다. 11 [Launch Instance]( 인스턴스시작 ) 및 [View Instances]( 인스턴스보기 ) 를클릭하여 AWS 서버의상태를확인합니다. 인스턴스에액세스할준비가되기까지 20-30 분정도걸릴수있습니다. 새인스턴스옆의 Status Checks( 상태검사 ) 열에 [2/2 checks](2/2 검사 ) 가표시되면설치프로세스를시작할준비가된것입니다. 12 공개 IP 주소를적어둡니다. 이예에서는다음과같이표시됩니다. cc.dd.ee.ff. 이 IP 주소는설치프로그램을인스턴스에전송하고로그온할때필요합니다. AWS 서버를만들었습니다. AWS 이미지만들기및설치프로세스를계속진행합니다. McAfee Enterprise Security Manager 11.1.x 설치안내서 21

4 새 ESM 배포 AWS VM 에서 ESM 배포 참고항목 : 23 페이지의 AWS 에 McAfee ESM 설치및구성 26 페이지의 AWS 연결구성 24 페이지의 AWS 이미지만들기 VM 네트워크인터페이스구성 VM 과 McAfee ESM 간의통신을설정합니다. 1 모니터및키보드를장치에연결하고전원을켭니다. 부팅프로세스는약 2 분이소요되고가상 LCD 디스플레이가나타납니다. 2 [Esc] 키를두번누른다음 [MGT IP Conf](MGT IP 구성 ) 로스크롤하고 Enter 키를누릅니다. 3 ESM VM IP 주소를설정합니다. a [Mgt1] 로스크롤하고 Enter 키를누릅니다. b [IP Address](IP 주소 ) 로스크롤하고 [Enter] 키를누릅니다. c 화살표를사용하여현재숫자값을변경하고숫자간을전환하여완료한다음 Enter 키를누릅니다. 4 IP 넷마스크주소를설정합니다. a [Netmask]( 넷마스크 ) 로스크롤하고 Enter 키를누릅니다. b 화살표를사용하여현재숫자값을변경하고숫자간을전환하여완료한다음 Enter 키를누릅니다. 5 네트워크게이트웨이 IP 주소를설정합니다. a [Gateway IP]( 게이트웨이 IP) 로스크롤하고 Enter 키를누릅니다. b 화살표를사용하여현재숫자값을변경하고숫자간을전환하여완료한다음 Enter 키를누릅니다. 6 DNS IP 주소를설정합니다. a [DNS1 IP] 로스크롤하고 Enter 키를누릅니다. b 화살표를사용하여현재숫자값을변경하고숫자간을전환하여완료한다음 Enter 키를누릅니다. 7 DHCP를구성합니다. a [DHCP] 로스크롤하고 Enter 키를누릅니다. b [Y]( 예 ) 와 [N]( 아니요 ) 간에설정을토글한다음 Enter 키를눌러올바른설정을선택합니다. 8 변경사항을종료하고저장합니다. a [Done]( 완료 ) 으로스크롤하고 Enter 키를눌러 MGT IP Conf(MGT IP 구성 ) 로돌아갑니다. b [Save Changes]( 변경사항저장 ) 로스크롤하고 Enter 키를누릅니다. 22 McAfee Enterprise Security Manager 11.1.x 설치안내서

새 ESM 배포 AWS VM에서 ESM 배포 4 9 ( 선택사항 ) FIPS 모드를사용중인경우통신포트를변경합니다. a 아래쪽화살표를두번누른다음 Enter 키를누릅니다. b [Comm Port]( 통신포트 ) 로스크롤하고 Enter 키를누릅니다. c 포트번호를변경한다음 Enter 키를누릅니다. 새포트번호를적어두고장치에키를지정할때입력합니다. VM 장치키지정 VM과 ESM 간의링크를설정하려면장치에키를지정해야합니다. 시작하기전에장치가네트워크에물리적으로연결되어있어야합니다. 1 시스템탐색트리에서시스템또는그룹을클릭한다음액션창에서 [ 장치추가 ] 아이콘을클릭합니다. 2 [ 장치추가마법사 ] 의각페이지에서요청한정보를입력합니다. VM 이미지다운로드 McAfee 다운로드사이트에서 VM 이미지파일을가져옵니다. 시작하기전에 ESM VM 이미지를다운로드하려면 McAfee 허가번호가있어야합니다. 1 브라우저를사용하여 McAfee 다운로드사이트에액세스합니다. 2 [ 다운로드 ] 를클릭하고 McAfee 허가번호, CAPTCHA 코드를입력한다음 [ 제출 ] 을클릭합니다. 3 [ 내제품 ] 페이지에서목록을스크롤하고 McAfee Enterprise Security Manager VM** 다운로드파일을선택합니다. 다운로드된파일이름번호는 ESM 이미지가 VM 에할당하는코어수를나타냅니다. 예를들어파일 "VM32" 는 32 개의코어를 VM 에할당합니다. 4 [ 현재버전 ] 탭을선택하고 McAfee Enterprise Security Manager VM 이미지를선택합니다. 5 이미지파일을선택하여로컬시스템에저장합니다. 파일이름과위치를적어둡니다. 이미지를마운트하려면이정보가필요합니다. AWS 에 McAfee ESM 설치및구성 AWS(Amazon Web Services) 가상서버는로컬로구성된 McAfee ESM VM과동일한기능및성능을제공합니다. 네트워크에서 McAfee ESM이있는 AWS 서버를만드는기본단계는다음과같습니다. 1 http://aws.amazon.com/ 에서 AWS 계정가져오기 2 AWS 관리콘솔에로그온하고 AWS 인스턴스구성 3 장치를설치합니다. 4 장치를구성합니다. McAfee Enterprise Security Manager 11.1.x 설치안내서 23

4 새 ESM 배포 AWS VM 에서 ESM 배포 참고항목 : 26 페이지의 AWS 연결구성 24 페이지의 AWS 이미지만들기 20 페이지의 AWS 서버만들기 AWS 이미지만들기 AWS 서버에 ESM을설치합니다. 시작하기전에 AWS 서버를이서버에연결해야합니다. AWS 서버의 IP 주소를알아야합니다. 1 [scp] 또는 [pscp](putty Secure Copy Client) 를사용하여.pem 파일을.ppk 로변환합니다. 예를들어 Secure Copy Client 에서는다음명령을사용하여키파일을변환한다음새 AWS 인스턴스로전송합니다. scp -i mykeypair.pem siem_install.sh ec2-user@cc.dd.ee.ff: PuTTY Secure Copy Client 에서는다음명령을사용하여파일을변환합니다. pscp -i mykeypair.pem siem_install.sh ec2-user@cc.dd.ee.ff>: 다음은이전예의변수입니다. siem_install.sh 변환파일이름 ec2-user 사용자이름 cc.dd.ee.ff IP 주소 Windows 의경우 WinSCP 를사용하여 PuTTY 또는 WinSCP 의.pem 파일을.ppk 로변환하여파일을인스턴스에복사합니다. 2 다음명령을사용하여 SSH 또는 PuTTY 로새 AWS 인스턴스에로그온합니다. ssh -i mykeypair.pem ec2-user@cc.dd.ee.ff 다음은예의변수입니다. mykeypair.pem SSH 파일이름변환 ec2-user 사용자이름 cc.dd.ee.ff IP 주소 3 다음명령을입력하여 root 로변경하고 [Enter] 키를누릅니다. sudo su 24 McAfee Enterprise Security Manager 11.1.x 설치안내서

새 ESM 배포 AWS VM에서 ESM 배포 4 4 다음명령을사용하여 aws configure 를루트로실행하고받은액세스키 ID 및보안액세스키를제공합니다. [root@<ip address> <ec2-user name>]# aws configure AWS Access Key ID [None]: <Access Key ID> AWS Secret Access Key [None]: <Secret Access Key> Default region name [None]: ( 비워두고 Enter 키를누릅니다 ) Default output format [None] ( 비워두고 Enter 키를누릅니다 ) 5 설치스크립트를실행할수있는지확인합니다. 필요한경우 chmod 를사용합니다. 예를들면다음과같습니다. chmod u+x siem_install.sh 6 다음명령을사용하여 AMI 이미지및인스턴스를만듭니다../siem_install.sh 키가정의되지않았다는오류가표시되면명령줄에서키를추가할수있습니다. 예를들면다음과같습니다. [root@ip-172-31-41-167 ec2-user]#./install_mcafee_etm_vm8.sh The AWS access key or the AWS Secret key were not defined [root@ip-172-31-41-167 ec2-user]#./install_mcafee_eru_vm8.sh -O <Access Key ID> -W <Secret Access Key> 출력옵션에대한도움말에액세스하려면 [root@ip-172-31-6-172 ec2-user]#./install_mcafee_etm_vm8.sh -h install_mcafee_etm_vm8.sh - install SIEM to Amazon EC2 install_mcafee_etm_vm8.sh [options] 옵션 : -h, --help show brief help -O AWS key -W AWS Secret Key AMI 이미지를만드는데약 20 분정도소요되며비대화식입니다. 다음은출력예입니다. [root@ip-172-31-6-172 ec2-user]#./install_mcafee_etm_vm8.sh 파일압축해제 Running installer Creating volume Attaching volume formatting volume 1+0 records in 1+0 records out 4194304 bytes (4.2 MB) copied, 0.0467013 s, 89.8 MB/s mke2fs 1.42.9(28-Dec-2013) mke2fs 1.42.9(28-Dec-2013) mounting main partition copying main files mounting boot partition copying boot files Updating fstab Updating grub unmounting boot partition unmounting main partition detaching volume Creating snapshot (this will take a while) Creating AMI Created AMI "ami-bb8afc81". To run, launch an instance of this AMI Deleting (temporary) volume Client.InvalidVolume.NotFound: The volume 'vol-9eb2ae81' does not exist. 완료 7 이미지가만들어지면루트셸을끝내고인스턴스를끝낸다음 EC2 대시보드로이동하여실행중인인스턴스를종료합니다. 인스턴스를종료하면인스턴스가삭제됩니다. 이제 ESM 에로그온할수있습니다. McAfee Enterprise Security Manager 11.1.x 설치안내서 25

4 새 ESM 배포 AWS HVM 에 McAfee ESM 배포 참고항목 : 23페이지의 AWS에 McAfee ESM 설치및구성 20페이지의 AWS 서버만들기 26페이지의 AWS 연결구성 AWS 연결구성 AWS ESM 장치에장치를연결하고추가합니다. 시작하기전에 McAfee ESM이설치된 AWS VM이있어야합니다. McAfee를통해해시를확인해야합니다. 1 IP 주소를사용하여 ESM에로그온합니다. 2 물리적장치와가상장치를 ESM 장치에연결합니다. 3 장치를구성하기전에모든장치가 McAfee ESM에표시되는지확인합니다. 4 장치에키를지정하여장치구성을완료합니다. 참고항목 : 23페이지의 AWS에 McAfee ESM 설치및구성 20페이지의 AWS 서버만들기 24페이지의 AWS 이미지만들기 AWS HVM 에 McAfee ESM 배포 McAfee ESM 이스크립트를사용하여 AWS HVM 에설치됩니다. SIEM Amazon EC2 설치프로그램스크립트는장치의 VM 인스턴스를시작할수있는 AMI(Amazon Machine Image) 를만듭니다. 시작하기전에 설치하려는각장치유형 (McAfee ESM, McAfee Event Receiver, McAfee ACE 등 ) 에대한설치프로그램스크립트가있는지확인합니다. 1 Amazon EC2 대시보드의왼쪽메뉴모음에서 [Instances]( 인스턴스 ) 를선택하고 [Launch Instance]( 인스턴스시작 ) 를클릭합니다. 2 [Amazon Linux AMI] 를선택합니다. 3 [Choose Instance Type]( 인스턴스유형선택 ) 화면에서 m3.medium 또는 m4.large 를선택하고 [Next]( 다음 ) 를클릭합니다. 4 [Configure Instance Details]( 인스턴스상세정보구성 ) 화면에서 [Next]( 다음 ) 를클릭합니다. 5 [Add Storage]( 저장소추가 ) 화면에서 [Next]( 다음 ) 를클릭합니다. 6 [Add Tags]( 태그추가 ) 화면에서 [Next]( 다음 ) 를클릭합니다. 7 [Configure Security Group]( 보안그룹구성 ) 화면에서 [Create]( 만들기 ) 를선택하거나인스턴스에대한 SSH 액세스를허용하는보안그룹을선택합니다. 26 McAfee Enterprise Security Manager 11.1.x 설치안내서

새 ESM 배포 McAfee ESM에로그온 4 8 [Review And Launch]( 검토및시작 ) 를클릭합니다. 9 [Launch]( 시작 ) 를클릭합니다. 10 액세스할수있는키쌍을선택하고 [Launch Instances]( 인스턴스시작 ) 를클릭합니다. 11 설치프로그램스크립트를 VM에복사합니다. scp -i ~ / my_key.pem install_hvm_etm_ 16.sh ec2-user @ instance_ip_address : 12 루트로로그온하여 AWS 를구성하려면다음명령을입력합니다. ssh -i ~ / my_key.pem ec2-user @ instance_ip_address sudo su aws configure 13 AWS 액세스키및 AWS 비밀키를입력합니다.. 14 명령프롬프트에서 #./install_hvm_ace_16.sh 를입력합니다. 설치프로그램스크립트가종료되면 (15-20 분 ) AWS 계정에새 AMI 가등록됩니다. 이 AMI 를사용하여 VM 을시작할수있습니다. 설치프로그램을실행하는데사용된 Amazon Linux 인스턴스는더이상필요하지않으며종료할수있습니다. McAfee ESM 에로그온 ESM 장치설정구성을시작하기전에콘솔에로그온합니다. 시작하기전에 FIPS 모드에서시스템작동이필요한지여부를확인합니다. 로그인문제를방지하려면브라우저캐시를지웁니다. 1 웹브라우저를열고네트워크인터페이스를구성했을때설정한 IP 주소로이동합니다. 2 브라우저에대해자체서명된인증서오류가표시되는경우 [Continue to site]( 사이트로이동 ) 를클릭합니다. 3 [ 로그인 ] 을클릭하고콘솔의언어를선택한다음기본사용자이름및암호를입력합니다. 기본사용자이름 : NGCP 기본암호 : security.4u 4 [ 로그인 ] 을클릭하고 [ 최종사용자사용권계약 ] 을읽은다음 [ 동의 ] 를클릭합니다. 5 메시지가표시되면사용자이름과암호를변경한다음 [ 확인 ] 을클릭합니다. 6 FIPS 모드활성화여부를선택하고 [ 예 ] 를클릭한경우추가확인을클릭합니다. FIPS 모드에서해야하는경우처음로그온할때이를활성화하여 McAfee 장치와의모든향후통신이 FIPS 모드에서작동하도록해야합니다. 그럴필요가없는경우 FIPS 모드를활성화하지마십시오. 7 규칙업데이트액세스의경우 [ 확인 ] 을클릭하고나타나는지침에따라규칙업데이트에액세스하는데필요한사용자이름및암호를얻습니다. McAfee Enterprise Security Manager 11.1.x 설치안내서 27

4 새 ESM 배포 McAfee ESM 에로그온 28 McAfee Enterprise Security Manager 11.1.x 설치안내서

5 장치 5 추가및구성 목차 장치를장치트리에추가 FIPS 모드에서장치추가장치이름, 링크및설명변경수신기구성 Enterprise Log Search(ELS) 구성 ELM 구성 ACE 구성데이터스트리밍버스구성 DAS(Direct Attached Storage) 구성분산 ESM 구성 장치를장치트리에추가 물리적장치및가상장치를설정하고설치한다음에는 McAfee ESM 콘솔에추가합니다. 시작하기전에 하드웨어안내서 ( 하드웨어용 ) 또는설치안내서 ( 가상장치용 ) 에따라장치가설치되었는지확인합니다. 여러장치가있는복잡한 McAfee ESM 설치의경우에만다음단계를완료합니다. 장치조합을사용하는단순한 McAfee ESM 설치의경우에는이을수행하지않습니다. 1 시스템탐색트리에서 [ 로컬 ESM] 또는그룹을클릭합니다. 2 을클릭합니다. 3 추가하려는장치유형을선택하고 [ 다음 ] 을클릭합니다. 4 [ 장치이름 ] 필드에이그룹에서고유한이름을입력합니다.! @ # $ % ^ & * ) ( ] [ } { : ; " ' > < >, /? ` ~ + = 문자는장치이름으로유효하지않습니다. 5 [ 다음 ] 을클릭합니다. 6 요청된정보를제공합니다. McAfee epo 장치 수신기를선택하고웹인터페이스에로그온하는데필요한자격증명을입력한다음 [ 다음 ] 을클릭합니다. 데이터베이스와통신하는데사용할설정을입력합니다. 장치의사용자이름및암호를가진사용자에대한액세스를제한하려면 [ 사용자인증필요 ] 를선택합니다. 다른모든장치 장치에대한 IP 주소또는 URL 을입력합니다. McAfee Enterprise Security Manager 11.1.x 설치안내서 29

5 장치추가및구성 FIPS 모드에서장치추가 7 장치에서 NTP(Network Time Protocol) 설정사용여부를선택하고 [ 다음 ] 을클릭합니다. 8 이장치의암호를입력하고 [ 다음 ] 을클릭합니다. McAfee ESM 은연결상태에서장치통신및보고서를테스트합니다. FIPS 모드에서장치추가 FIPS 모드에서두가지방법을사용하여이미키가지정된장치를 ESM 장치에추가할수있습니다. 아래나와있는용어및파일확장명은이러한프로세스를수행할때유용할수있습니다. 용어 [ 장치키 ] McAfee ESM 이장치에대해가지고있지만암호화에사용되지않는관리권한을정의합니다. [ 공개키 ] ESM 공개 SSH 통신키로, 장치의인증된키테이블에저장됩니다. [ 비공개키 ] ESM 비공개 SSH 통신키로, ESM 의 SSH 실행파일에서사용되며장치와함께 SSH 연결을설정합니다. [ 기본 ESM] 장치를등록하는데원래사용된 ESM 장치입니다. [ 보조 ESM] 장치와통신하는추가 ESM 장치입니다. 여러내보내기파일의파일확장명.exk 장치키가포함되어있습니다..puk 공개키가포함되어있습니다..prk 비공개키및장치키가포함되어있습니다. FIPS 모드에서여러장치와의통신활성화.puk 파일을내보내고가져와서여러 ESM 장치가동일한 SIEM 장치와통신하도록허용할수있습니다. 먼저기본 ESM 장치를사용하여보조 ESM 장치에서내보낸.puk 파일을가져오고보조 ESM 공개키를주변장치에보내면두 ESM 장치가해당장치와통신할수있습니다. 1 보조 ESM 에서.puk 파일을내보냅니다. a 보조 ESM 의 [ 시스템속성 ] 페이지에서 [ESM 관리 ] 를선택합니다. b [SSH 내보내기 ] 를클릭한다음.puk 파일을저장할위치를선택합니다. c [ 저장 ] 을클릭한다음로그아웃합니다. 2.puk 파일을기본 ESM 으로가져옵니다. a 기본 ESM 의시스템탐색트리에서구성하려는장치를선택합니다. b [ 속성 ] 아이콘을클릭한다음 [ 키관리 ] 를선택합니다. c [SSH 키관리 ] 를클릭합니다. d [ 가져오기 ] 를클릭하고.puk 파일을선택한다음 [ 업로드 ] 를클릭합니다. e [ 확인 ] 을클릭한다음기본 ESM 에서로그아웃합니다. 30 McAfee Enterprise Security Manager 11.1.x 설치안내서

장치추가및구성장치이름, 링크및설명변경 5 장치이름, 링크및설명변경 시스템트리에장치를추가하는경우트리에표시되는이름을제공합니다. 장치이름, 시스템이름, URL 및설명을변경할수있습니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 이름및설명 ] 을클릭하여이름, 시스템이름, URL 및설명을변경하거나 [ 장치 ID] 번호를봅니다. 수신기구성 McAfee Event Receiver 는방화벽, VPN( 가상사설망 ), 라우터, NetFlow, sflow 등을비롯한여러공급업체소스에서보안이벤트및네트워크플로데이터의수집을활성화합니다. 수신기는이벤트및플로데이터를단일관리가능한솔루션으로수집및정규화하여여러공급업체에서단일보기를제공합니다. 고가용성수신기 ( 수신기 -HA) 는기본모드및보조모드에서사용할수있으며서로에대한백업역할을합니다. 보조수신기 (B) 는기본수신기 (A) 를지속적으로모니터링하고새구성또는정책정보는두장치에모두전송됩니다. 수신기 B 에서수신기 A 의실패를확인하면수신기 B 가네트워크에서수신기 A 의데이터소스 NIC 연결을끊고기본수신기역할을담당합니다. 수신기 A 를기본수신기로복원하기위해수동으로복원할때까지수신기 B 가기본수신기로유지됩니다. 수신기데이터보관설정 원시데이터백업을장기간저장하기위해저장장치에전달하려면수신기를구성합니다. 시작하기전에 CIFS 공유연결을활성화하려면 CIFS 공유가있는시스템에서포트 445를열어야합니다. SMB 연결을활성화하려면 SMB 공유가있는시스템에서포트 135를열어야합니다. McAfee ESM 에서지원하는저장소유형은 SMB/CIFS(Server Message Block/Common Internet File System), NFS(Network File System), Syslog 전달입니다. SMB/CIFS 및 NFS 는이메일, estream, http, SNMP, SQL, syslog 및원격에이전트프로토콜을사용하는데이터소스를통해수신기에전송된모든원시데이터백업을데이터파일형식으로저장합니다. 시스템은이러한데이터파일을 5 분간격으로보관에보냅니다. Syslog 전달은 syslog 프로토콜의원시데이터를결합된 syslog 의연속스트림으로장치에보냅니다. Syslog 전달은 UDP 패킷만지원합니다. 수신기는한번에한개의저장소유형에만전달할수있습니다. 세가지유형을모두구성할수있지만데이터를보관하기위해한가지유형만활성화할수있습니다. 이기능은 NetFlow, sflow 및 IPFIX 데이터소스유형을지원하지않습니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 수신기구성 ] [ 데이터보관 ] 을클릭합니다. McAfee Enterprise Security Manager 11.1.x 설치안내서 31

5 장치추가및구성수신기구성 4 공유유형을선택하고연결구성정보를입력합니다. [SMB/CIFS] [ 공유유형 ] - 공유유형을 [SMB] 또는 [CIFS] 로설정합니다. [IP 주소 ] - 공유의 IP 주소입니다. [ 공유이름 ] - 공유에적용된레이블입니다. [ 경로 ] - 보관된데이터를저장해야하는공유의하위디렉터리입니다 ( 예 : TMP/Storage). 저장소가공유의루트디렉터리에있는경우경로가필요하지않습니다. 사용자이름및암호 - 공유에연결하는데필요한자격증명입니다. SMB/CIFS 공유에연결할때암호에쉼표를사용하지마십시오. [NFS] [IP 주소 ] - 공유의 IP 주소입니다. [ 마운트지점 ] - 공유의마운트지점이름입니다. [ 경로 ] - 보관된데이터를저장해야하는공유의하위디렉터리입니다 ( 예 : TMP/Storage). 저장소가공유의루트디렉터리에있는경우경로가필요하지않습니다. [Syslog 전달 ] [IP 주소 ] - 공유의 IP 주소입니다. [ 포트 ] - 데이터보관에사용되는포트입니다. 고가용성수신기설정 고가용성수신기의설정을정의합니다. 기본장치로작동하는수신기를추가합니다. 3 개이상의 NICS 가있어야합니다. FIPS 규정을준수해야하는경우이기능을사용하지마십시오. 고가용성수신기는 FIPS 컴플라이언트가아닙니다. 1 시스템탐색트리에서기본고가용성장치가될수신기를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 수신기구성 ] 을클릭한다음 [ 인터페이스 ] 를클릭합니다. 3 [HA 수신기 ] 탭을클릭한다음 [ 고가용성설정 ] 을선택합니다. 4 요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 두번째수신기의키를지정하는프로세스가데이터베이스를업데이트하고 globals.conf 를적용하고두개의수신기를동기화합니다. IPv6 으로고가용성수신기설정 LCD 를사용하여 IPv6 주소를수동으로설정할수없으므로 IPV6 으로고가용성을설정합니다. 시작하기전에 McAfee ESM 이 IPv6 을수동으로사용중인지자동으로사용중인지확인합니다 ([ 시스템속성 ] [ 네트워크설정 ]). 네트워크관리자가만드는공유 IP 주소가있는지확인합니다. 32 McAfee Enterprise Security Manager 11.1.x 설치안내서

장치추가및구성수신기구성 5 1 고가용성쌍의두수신기에서다음을수행합니다. a 수신기를켠다음 LCD 를사용하여 IPv6 을활성화합니다. b [Mgt IP Configr( 관리 IP 구성 )] [Mgt1] [IPv6] 으로이동하여관리 IP 주소를적습니다. 이은네트워크지연으로인해시간이다소소요될수있습니다. 2 이러한수신기중하나를 McAfee ESM 에추가합니다. [ 이름 ] 고가용성쌍의이름입니다. [ 대상 IP 주소또는 URL] 적어둔이고가용성수신기에대한관리 IPv6 주소입니다. 3 시스템탐색트리에서새로추가한장치를선택한다음 [ 수신기속성 ] [ 수신기구성 ] [ 인터페이스 ] 를클릭합니다. 4 [IPv6 모드 ] 필드에서 [ 수동 ] 을선택합니다 ( 고가용성에유일하게지원되는모드 ). 5 1 번인터페이스옆의 [ 설정 ] 을클릭하고 [IPv6] 필드에공유 IP 주소를입력한다음 [ 확인 ] 을클릭합니다. 이주소는고가용성설정동안공유인터페이스에할당됩니다. 이이완료되지않으면고가용성은제대로페일오버되지않습니다. 6 [ 수신기속성 ] 에서 [ 연결 ] 을클릭하고 [ 대상 IP 주소 / 이름 ] 에공유 IPv6 주소를입력한다음 [ 확인 ] 을클릭합니다. 7 HA 설정프로세스를계속진행합니다. 수신기자산추가 자산은 IP 주소를가진네트워크의장치입니다. [ 자산관리자 ] 에서자산만들기, 태그변경, 자산그룹만들기, 자산소스추가및그룹에자산할당을수행할수있습니다. ESM 장치는자산소스를하나만가질수있습니다. 수신기는여러자산소스를가질수있습니다. 두개의자산탐색소스가동일한자산을찾는경우우선순위가가장높은탐색방법이탐색한자산을표에추가합니다. 두탐색소스의우선순위가동일한경우나중에자산을탐색한소스가먼저탐색한소스보다우선합니다. 1 시스템탐색트리에서 [ 수신기속성 ] 을선택한다음 [ 자산소스 ] 를클릭합니다. 2 [ 추가 ] 를클릭한다음자산을구성합니다. a 자동검색기능을활성화하려면 [ 사용 ] 을선택합니다. 확인란을선택하지않으면 [ 검색 ] 을클릭하여자산소스의데이터를수동으로검색할수도있습니다. 확인란을선택할경우시스템은 [ 데이터검색 ] 필드에서지정된간격으로데이터를검색합니다. b 자산소스의 [ 유형 ] 을선택합니다. 나머지필드는선택하는유형에따라다릅니다. c 이자산소스의 [ 이름 ] 을입력합니다. d ( 선택사항 ) 이자산소스의영역을선택합니다. e 취약성평가또는네트워크탐색과동시에자산을발견하는경우이자산소스에부여하려는우선순위를선택합니다. 옵션은 1 에서 5 까지이며 1 이가장높은우선순위입니다. f 자산소스의 IP 주소및포트를입력합니다. g [TLS] 암호화프로토콜 (Active Directory 의경우 ) 또는 [SSL](Altiris 의경우 ) 을사용하려면선택합니다. h 자산에액세스하는데필요한 [ 사용자이름 ] 및 [ 암호 ] 를입력합니다. McAfee Enterprise Security Manager 11.1.x 설치안내서 33

5 장치추가및구성수신기구성 i j 도메인컨트롤러의적절한이름을입력합니다 ( 예 : dc=mcafee,dc=com). (Altiris 만해당 ) 프록시서버를활성화하려면 [ 사용 ] 을선택하고프록시 IP 주소, 포트및자격증명을입력합니다. k 데이터를자동으로검색하려는경우검색할빈도를선택합니다. l 연결을테스트하려면 [ 연결 ] 을클릭합니다. 3 [ 확인 ] 을클릭한다음 [ 자산소스 ] 에서 [ 쓰기 ] 를클릭합니다. 자동으로데이터소스를만들도록수신기구성 수신기에서제공하는표준규칙또는직접만든규칙을사용하여데이터소스를자동으로만들도록수신기를설정합니다. 1 액션툴바에서 [ 이벤트및플로가져오기 ] 아이콘을클릭하여이벤트또는플로를꺼냅니다. 2 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 3 시스템탐색트리에서수신기를선택한다음 [ 속성 ] 아이콘을클릭합니다. 4 [ 수신기속성 ] 페이지에서 [ 데이터소스 ] [ 자동학습 ] 을클릭합니다. 5 [ 자동학습 ] 페이지에서 [ 구성 ] 을클릭합니다. 6 [ 자동추가규칙편집기 ] 페이지에서 [ 데이터소스의자동생성활성화 ] 를확인합니다. 7 [ 추가 ] 를클릭한다음수신기에서데이터소스를자동으로만드는데사용할자동추가규칙을선택합니다. 8 선택한규칙을기존의자동학습데이터에적용하려면 [ 지금실행 ] 을클릭합니다. 34 페이지의데이터소스자동학습설정데이터소스 IP 주소를자동으로학습하도록 McAfee ESM 수신기를설정합니다. 데이터소스자동학습설정 데이터소스 IP 주소를자동으로학습하도록 McAfee ESM 수신기를설정합니다. 시작하기전에 Syslog, MEF 및플로에대한포트를정의합니다. 수신기포트는데이터를보내고있는소스와일치해야합니다. 그렇지않으면자동학습이수행되지않습니다. 수신기의방화벽이지정한시간에열리므로시스템은알수없는 IP 주소세트를학습할수있습니다. 그런다음데이터소스로시스템에추가할수있습니다. McAfee ESM 을업데이트하면자동학습결과가삭제됩니다. 업데이트후자동학습을실행하여자동학습결과를다시수집합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서수신기를선택한다음 [ 속성 ] 아이콘을클릭합니다. 34 McAfee Enterprise Security Manager 11.1.x 설치안내서

장치추가및구성 Enterprise Log Search(ELS) 구성 5 3 [ 수신기속성 ] 페이지에서 [ 데이터소스 ] [ 자동학습 ] 을클릭합니다. 4 자동학습설정구성 a 적절한 [ 시간 ] 필드에서자동학습을수행할시간을선택한다음 [ 활성화 ] 을클릭합니다. MEF 에자동학습을사용하는경우에는호스트 ID 를사용하여자동학습되는데이터소스를추가할수없습니다. 시간이만료되면자동학습기능이비활성화되고테이블이검색된 IP 주소로채워집니다. b 자동학습을중지하려면 [ 사용안함 ] 을클릭합니다. 5 자동학습된 IP 주소를데이터소스로추가합니다. a 추가하려는유형과동일한유형의 IP 주소를선택한후 [ 추가 ] 를클릭합니다. b [ 자동학습된소스 ] 페이지에서다음옵션중하나를선택합니다. 선택한 IP 주소에연결된이름이없는경우선택한주소에접두사를추가할지를묻는메시지가표시됩니다. [ 아니요 ] 를클릭하면 IP 주소가이러한데이터소스의이름으로사용됩니다. [ 예 ] 를클릭하고접두사이름을입력한다음 [ 확인 ] 을클릭합니다. 이러한데이터소스의이름은추가한이름과 IP 주소로구성됩니다. 선택한 IP 주소에이름이있으면데이터소스가목록에추가됩니다. [ 클라이언트유형일치 ] - 선택한 IP 주소와일치하는기존데이터소스가있는경우항목이데이터소스에유형별일치클라이언트데이터소스로추가됩니다. 선택한 IP 주소와일치하는데이터소스가존재하지않는경우에는데이터소스가만들어집니다. 나머지항목은유형별일치클라이언트데이터소스로추가됩니다. [ 클라이언트 IP 일치 ] - 이를통해 IP 주소를클라이언트로추가하려는데이터소스를선택할수있습니다. 일치하는데이터소스가나열됩니다. 하나도없는경우사용가능한유일한옵션은 [ 없음 새데이터소스만들기 ] 입니다. 이 IP 주소를클라이언트로추가하려는데이터소스를선택한다음 [ 확인 ] 을클릭합니다. 6 데이터소스의이름을변경하려면 [ 이름편집 ] 을클릭합니다. 최대 50 자를사용하고이름이목록의데이터소스에지정되어있지않은지확인합니다. 7 선택한 IP 주소의유형을변경하려면 [ 유형변경 ] 을클릭합니다. 시스템에서제안한유형이잘못된경우유형을변경합니다. 패킷을보면올바른유형을더쉽게결정할수있습니다. Enterprise Log Search(ELS) 구성 ELS 데이터를검색하려면 ELS 장치를콘솔에추가하고 ELS 저장소및보존정책을설정하고데이터소스를특정보존정책과연결합니다. 시작하기전에 가상장치또는물리적장치를설정하고설치합니다. 1 대시보드에서을클릭한다음 [ 구성 ] 을클릭합니다. 2 콘솔에 ELS 장치를추가합니다. a 액션도구모음에서을클릭하고 [McAfee Enterprise Log Search] 를선택합니다. [ 다음 ] 을클릭합니다. b 고유한 [ 장치이름 ] 을입력하고 [ 다음 ] 을클릭합니다. McAfee Enterprise Security Manager 11.1.x 설치안내서 35

5 장치추가및구성 ELM 구성 c 장치의대상 IP 주소또는 URL, 대상 SSH 포트번호및 NTP(Network Time Protocol) 설정을입력합니다. [ 다음 ] 을클릭합니다. d 이장치의암호를입력하고 [ 다음 ] 을클릭합니다. 3 저장소를설정합니다. 압축되지않은데이터를유지하면 ELS 검색기능이빨라집니다. 그러나하드드라이브나네트워크저장소같은추가저장소공간이필요합니다. a [ELS] 를선택하고을클릭한다음 [ 데이터저장소 ] 를클릭합니다. b iscsi, DAS, SAN 또는가상로컬드라이브를사용하는경우상위그리드에정보를입력합니다. c SAN, 가상로컬, NFS, iscsi 또는 CIFS 를사용하는경우하위그리드에서 [ 추가 ] 를클릭합니다. d 올바른매개변수를입력한다음 [ 확인 ] 을클릭합니다. 4 보존정책을추가합니다 (6 개이하로제한 ). ELS 로그데이터를검색하려면하나이상의보존정책이있어야합니다. 시스템은첫번째로만든보존정책을기본값으로설정합니다. 정책이하나만존재하는경우변경할수있지만삭제할수는없습니다. ELS 는첫번째보존정책을만들때 6 개월이전의데이터는허용할수없습니다. a [ELS] 를선택하고을클릭한다음 [ 보존정책 ] 을클릭합니다. b [ 추가 ] 를클릭합니다. c 보존정책의이름및기간을지정하고 [ 확인 ] 을클릭합니다. 시스템은기간을일단위로저장합니다. 기간을년 (365 일 ), 분기 (90 일 ) 또는월 (30 일 ) 단위로설정할수있습니다. 5 데이터소스를보존정책과연결합니다. a 데이터소스장치 ( 예 : McAfee Event Receiver) 를선택하고을클릭합니다. b [ 데이터소스 ] 를클릭합니다. c [ 로깅 ] 열에서관련확인란을선택하여 [ 로그데이터옵션 ] 화면을표시합니다. d 이데이터소스와연결하려는보존정책을선택하고 [ 확인 ] 을클릭합니다. ELM 구성 목차 ELM 중복설정 ELM 압축설정 36 McAfee Enterprise Security Manager 11.1.x 설치안내서

장치추가및구성 ELM 구성 5 ELM 중복설정 시스템에독립실행형 ELM이있는경우대기 ELM을추가하여로깅에대한중복을제공할수있습니다. 시작하기전에 독립실행형 ELM을설치하고 McAfee ESM에추가합니다. 대기 ELM도설치해야하지만콘솔에추가해서는안됩니다. 대기 ELM에는데이터가없어야합니다. 공장기본값재설정을수행하려면지원팀에문의하십시오. 1 시스템탐색트리에서 ELM 을클릭한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ELM 속성 ] 페이지에서 [ELM 중복 ] 을클릭한다음 [ 활성화 ] 를클릭합니다. 3 대기 ELM 에대한 IP 주소및암호를입력한다음 [ 확인 ] 을클릭합니다. 4 [ELM 속성 ] 페이지에서 [ 저장소풀 ] 을클릭하고 [ 활성 ] 탭이선택되어있는지확인합니다. 5 저장소장치를활성 ELM 에추가합니다. 6 [ 대기 ] 탭을클릭한다음활성 ELM 의저장소에맞는, 충분히결합된공간이있는저장장치를추가합니다. 7 하나이상의저장소풀을각 ELM 에추가합니다. 이제두 ELM 의구성이동기화되고대기 ELM 이두장치간의데이터동기화를유지관리합니다. 옵션 정의 ELM 중복이활성화되지않은경우에만사용가능합니다. [ 활성화 ] 대기 ELM 데이터를추가하여 ELM 중복을활성화하려면클릭합니다. ELM 중복이활성화된경우에만사용가능합니다. [ 제거 ] ELM 에서중복을비활성화하려면클릭합니다. [ELM 전환 ] 대기 ELM 이기본 ELM 이되도록 ELM 을전환하려면클릭합니다. 시스템은모든로깅장치를여기에연결합니다. 로깅및구성액션은전환프로세스동안잠깁니다. [ 일시중단 ] 대기 ELM 에문제가발생하는경우대기 ELM 과의통신을일시중단하려면클릭합니다. 모든통신이중지되고중복에대한오류통지가마스크됩니다. 대기 ELM 이다시실행되면 [ 서비스로돌아가기 ] 를클릭합니다. [ 상태 ] 활성및대기 ELM 간에데이터동기화상태에대한상세정보를보려면클릭합니다. [ 서비스로돌아가기 ] 복구되거나대체된대기 ELM 을서비스로되돌리려면클릭합니다. 시스템이 ELM 을다시실행하고구성파일에대한변경사항이없음을탐지하면이전과같이중복이계속됩니다. 시스템이차이점을탐지하면저장소풀에대한중복프로세스가문제없이계속되고하나이상의풀이이전구성임을사용자에게알립니다. 이러한풀은수동으로수정합니다. 대기 ELM 을교체하거나재구성하면시스템이이를탐지하고키를다시지정하라는메시지를표시합니다. 그런다음활성 ELM 이모든구성파일을대기 ELM 과동기화하고이전과같이중복프로세스를계속합니다. ELM 압축설정 ELM 으로들어오는데이터의압축수준을선택하여디스크공간을절약하거나더많은로그를처리합니다. 압축비율을기본값 (14:1) 보다높게설정하면데이터가손실될수있습니다. McAfee Enterprise Security Manager 11.1.x 설치안내서 37

5 장치추가및구성 ACE 구성 1 시스템탐색트리에서 [ELM 속성 ] 을선택한다음 [ELM 구성 ] [ 압축 ] 을클릭합니다. 2 ELM 압축수준을선택한다음 [ 확인 ] 을클릭합니다. ACE 구성 상관에사용할데이터유형선택 McAfee ESM 은이벤트및플로데이터를수집합니다. McAfee ACE(Advanced Correlation Engine) 에전송할데이터를선택합니다. 기본값은이벤트데이터만입니다. 1 시스템탐색트리에서 [ACE 속성 ] 을선택한다음 [ACE 구성 ] 을클릭합니다. 2 [ 데이터 ] 를클릭한다음 [ 이벤트데이터 ], [ 플로데이터 ] 또는둘다를선택합니다. 3 [ 확인 ] 을클릭합니다. 데이터스트리밍버스구성 가상장치를설정하여장치간의통신을용이하게하고타사응용프로그램과원시데이터를공유하고분산 / 계층적구성에서 ESM 간구문분석된데이터를공유합니다. 시작하기전에 McAfee ESM 장치를설정하고 IP 주소및암호를기억해둡니다. 1 McAfee ESM 대시보드에서 을클릭하고 [ 데이터스트리밍버스 ] 를선택합니다. 2 [+ 추가 ] 를클릭합니다. 하나의데이터스트리밍버스장치만추가할수있습니다. 3 장치를마우스오른쪽단추로클릭하고 [ 설정 ] 을선택하여장치정보 ( 설명, 키관리, 네트워크인터페이스, 연결및관리 ) 를추가하거나변경합니다. 4 데이터스트리밍버스를다른 McAfee ESM 장치에연결합니다. a 데이터스트리밍버스를선택합니다. b 사용할수있는 McAfee ESM 장치를보려면 [ 장치연결 ] 을클릭합니다. c 장치를선택하고 [ 저장 ] 을클릭합니다. 검색상자에검색어를입력하여장치목록을필터링합니다. 참고항목 : 72 페이지의분산 ESM 에서 McAfee ESM 업그레이드 38 McAfee Enterprise Security Manager 11.1.x 설치안내서

장치추가및구성 DAS(Direct Attached Storage) 구성 5 DAS(Direct Attached Storage) 구성 시작하기전에 ESM 장치의데이터를저장하도록 DAS 장치를설정합니다. 1 시스템탐색트리에서 McAfee ESM 장치를선택한다음 [ 속성 ] 을클릭합니다. 2 [ 데이터베이스 ] 를클릭한다음 [ 데이터저장소 ] 를클릭합니다. 3 테이블에서할당되지않은장치중하나를클릭하여 McAfee ESM 데이터를저장합니다. 4 [ 할당 ] 을클릭한다음 [ 예 ] 를클릭합니다. 장치를할당하면변경할수없습니다. 분산 ESM 구성 하위 ESM이상위 ESM과함께해당데이터의필터링된하위집합을공유하도록구성합니다. 시작하기전에사용자환경에는각각데이터스트리밍버스가있는두개의 ESM이포함되어야합니다. 데이터를데이터스트리밍버스로보내도록하위 McAfee Event Receiver에서 ESM를구성합니다. 1 상위 ESM 에서하위를추가합니다. a [ 장치추가 ] 를클릭합니다. b 분산 ESM을선택합니다. c 하위 ESM의이름을입력합니다. d 하위 ESM의 IP 주소를입력합니다. e [ 데이터수신장치 ] 필드에서상위 ESM의데이터스트리밍버스를선택합니다. f 하위 ESM의사용자이름과암호를입력하고 [ 다음 ] 을클릭합니다. 상위는하위와의통신을설정하고장치와데이터소스를동기화합니다. 2 상위 ESM의장치트리에서하위 ESM을선택합니다. 3 필터를만듭니다 ([ESM 속성 ] [ 필터 ]). 모든이벤트를전달하기위해 Severity=>1과같은간단한필터를만들수있습니다. 4 하위 ESM에서로그아웃하고다시로그인합니다. 분산관계를승인할지를묻는팝업이나타납니다. 5 [ 승인 ] 을클릭합니다. 6 [ 계층적 ESM] 에서상위 ESM에대한 [ 승인 ] 을선택합니다. McAfee Enterprise Security Manager 11.1.x 설치안내서 39

5 장치추가및구성분산 ESM 구성 하위 ESM 은상위 ESM 으로데이터전달을시작합니다. 상위대시보드에하위의데이터가나타나려면몇분정도걸릴수있습니다. 40 McAfee Enterprise Security Manager 11.1.x 설치안내서

6 데이터 6 저장소설정 목차 데이터저장소작동방법데이터저장소설정 VM 데이터저장소설정누적장치인덱스증가데이터보존제한설정데이터할당제한정의누적장치인덱싱관리데이터베이스메모리사용보기 데이터저장소작동방법 McAfee Enterprise Log Manager 를사용하여대량의데이터를장기간저장및보존하고 McAfee Enterprise Log Search 를사용하여저장된로그데이터를신속하게검색합니다. 장기데이터보존 McAfee Enterprise Log Manager 를사용하면대량의로그데이터를장기간저장, 관리, 액세스및보고할수있습니다. McAfee Enterprise Log Manager 데이터를각각저장장치로구성된저장소풀에구성합니다. 각저장소풀과보존시간을연결하여풀의데이터를특정시간동안보존합니다. 정부, 업계및회사규정에서로그를서로다른기간동안저장할것을요청합니다. McAfee Enterprise Log Manager 에서검색및무결성체크을설정할수있습니다. 각은저장된로그에액세스하고에서정의하는데이터를검색하거나확인합니다. 그러면결과를보고정보를내보낼수있습니다. McAfee Enterprise Log Manager 를구성하려면다음을알아야합니다. 각 McAfee Enterprise Log Manager 장치에연결할데이터소스입니다. 필요한저장소풀및해당데이터보존시간 데이터를저장하기위해필요한저장장치 저장소풀은오버헤드를미러링하기위해 10% 의할당된공간이필요합니다. 빠른데이터검색 McAfee Enterprise Log Search 는특정기간동안압축되지않은로그데이터를보존하므로 McAfee ESM 대시보드에서저장된데이터를신속하게검색할수있습니다. McAfee Enterprise Log Search 를구성하려면다음사항을알아야합니다. McAfee Enterprise Security Manager 11.1.x 설치안내서 41

6 데이터저장소설정데이터저장소작동방법 추가저장장치 - 팀과협력하여추가하드드라이브또는네트워크저장소같이환경에적합한저장소요구사항을결정합니다. 보존정책은압축되지않은특정데이터를보존하려는기간을결정합니다. 년 (365 일 ), 분기 (90 일 ) 또는월 (30 일 ) 단위기간으로보존정책을최대 6 개까지추가할수있습니다. 각 Enterprise Log Search 장치와연결할데이터소스 데이터소스를 Enterprise Log Search 또는 McAfee Enterprise Log Manager 와연결할수있지만둘모두와연결할수는없습니다. 데이터저장소구성 아래다이어그램은데이터저장장치를구성하는단계를보여줍니다. 1 McAfee ESM 과의암호화된안전한통신을허용하려면저장장치에키를지정합니다. 2 물리적장치와가상장치를모두 McAfee ESM 에연결하려면저장장치를구성합니다. 3 a McAfee Enterprise Log Search 장치에서로그데이터를저장할기간을식별하는데이터보존정책을설정합니 다. b McAfee Enterprise Log Manager 장치에서저장소풀을설정합니다. 4 a 수신기를특정보존정책에할당합니다. b 수신기를특정저장소풀에할당합니다. 5 a McAfee Enterprise Log Search 장치를사용하여저장된로그데이터를신속하게검색합니다. b 대량의로그데이터를 McAfee Enterprise Log Manager 장치에저장합니다. 42 McAfee Enterprise Security Manager 11.1.x 설치안내서

데이터저장소설정데이터저장소설정 6 저장장치유형 장치유형 NFS 상세정보 ELM 관리데이터베이스가있는저장장치의원격마운트지점을편집하려면 [DB 마이그레이션 ] 옵션을사용하여데이터베이스를다른저장장치로이동합니다. 그런다음원격마운트지점필드를안전하게변경하고데이터베이스를업데이트된저장장치로다시이동할수있습니다. CIFS Samba Server 3.2 이후버전에서 CIFS 공유유형을사용하면데이터가유출될수있습니다. CIFS 공유에연결할때는암호에쉼표를사용하지마십시오. iscsi iscsi 공유에연결할때는암호에쉼표를사용하지마십시오. 여러장치를하나의 IQN에연결하려고하면데이터가유실되고다른구성문제가발생할수있습니다. SAN 가상로컬 SAN 옵션은 SAN 카드가 McAfee Enterprise Log Manager 에설치되어있고 SAN 볼륨을사용할수있는경우에만사용할수있습니다. 이옵션은가상로컬장치가가상 McAfee Enterprise Log Manager 에추가되었을때만사용가능합니다. 장치를저장소로사용하려면먼저포맷해야합니다. 데이터저장소설정 iscsi(internet Small Computer System Interface), SAN(Storage Area Network), CIFS(Common Internet File System) 또는 McAfee ESM 에연결된 NFS(Network File System) 장치가있는경우데이터저장소에대해설정할수있습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 데이터베이스 ] [ 보관 ] 을클릭합니다. 2 데이터저장장치탭을클릭하고액션을선택한다음장치 IP 주소, 이름및포트를채웁니다. 사용가능한탭은 McAfee ESM 에연결된저장소유형에따라다릅니다. 3 페이지를닫으려면 [ 취소 ] 를클릭합니다. VM 데이터저장소설정 McAfee ESM VM 에 5 개이상의 CPU 가있는경우 VM 의시스템저장소, 데이터저장소, 고성능저장소의추가저장소를사용할수있습니다. 시작하기전에 EPS 및보존정책에따라저장소요구사항을계산합니다. SSD 와같은고속저장소를사용합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 데이터베이스 ] [VM 데이터 ] 를클릭합니다. 2 각필드에서데이터를저장하려는드라이브를선택합니다. 각드라이브는한번만선택할수있습니다. 3 [ 확인 ] 을클릭합니다. McAfee Enterprise Security Manager 11.1.x 설치안내서 43

6 데이터저장소설정누적장치인덱스증가 누적장치인덱스증가 McAfee ESM 의활성표준인덱스수로인해 5 개의인덱스만누적장치필드에추가할수있습니다. 5 개보다더필요한경우현재사용하지않는표준인덱스 ( 세션 ID, src/dst Mac, src/dst 포트, src/dst 영역, src/dst 지리적위치 ) 를최대 42 개까지비활성화할수있습니다. McAfee ESM 은기본적으로모든포트및 MAC 주소를인덱싱하고표준인덱스를사용하여쿼리, 보고서, 경보및보기를생성합니다. 인덱스가비활성화된경우, McAfee ESM 은비활성화된인덱스로인해쿼리, 보고서, 경보또는보기를생성할수없을때사용자에게알리지만어떤인덱스가비활성화되어있는지식별하지않습니다. 이러한제한때문에필요한경우가아니면표준인덱스를비활성화하지마십시오. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 [ 데이터베이스 ] 를클릭합니다. 3 [ 설정 ] 을클릭한다음 [ 누적장치인덱싱 ] 탭을클릭합니다. 4 [ 사용가능 ] 목록에서 [ 표준인덱스 ] 를클릭한다음 [ 표준인덱스표시 ] 를선택합니다. 5 표준인덱스를클릭하여사용하지못하도록설정한다음화살표를클릭하여 [ 사용가능 ] 영역으로이동시킵니다. 페이지의오른쪽상단모서리에있는 [ 나머지 ] 문의번호는사용하지못하도록설정한각표준인덱스와함께증가합니다. 이제선택한누적장치필드에대해 6 개이상의누적장치인덱스를활성화할수있습니다. 데이터보존제한설정 구성이기록데이터를시스템에보내면이벤트및플로를보존할기간과기록데이터를제한할지여부를선택합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 데이터베이스 ] [ 데이터보존 ] 을클릭합니다. 2 보존할최대이벤트및플로수를선택하고기록데이터를제한할지여부를선택합니다. 3 [ 확인 ] 을클릭합니다. 데이터할당제한정의 시스템에서유지되는이벤트및플로레코드의최대수는고정된값입니다. 데이터할당을통해각각에할당하는공간및검색할레코드수를설정하여쿼리를최적화할수있습니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 데이터베이스 ] [ 데이터할당 ] 을클릭합니다. 2 숫자행의마커를클릭하여원하는숫자로끌어놓거나 [ 이벤트 ] 및 [ 플로 ] 필드의화살표를클릭합니다. 3 [ 확인 ] 을클릭합니다. 44 McAfee Enterprise Security Manager 11.1.x 설치안내서

데이터저장소설정누적장치인덱싱관리 6 누적장치인덱싱관리 소스의숫자데이터를꺼내는사용자지정필드가있는경우여러이벤트를함께누적하여값을평균화하거나추세값을생성할수있습니다. 시작하기전에 사용자지정유형이존재하는지확인합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 McAfee ESM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 데이터베이스 ] 를클릭한다음 [ 설정 ] 을클릭합니다. 4 사용가능드롭다운목록에서누적장치필드를선택합니다. 5 필드를선택하고 [ 활성화됨 ] 으로옮깁니다. 6 현재시간에서누적할지아니면지정한날짜에서과거데이터를다시작성할지선택합니다. 시스템은기본적으로모든포트및 MAC 주소를인덱스화합니다. 데이터베이스메모리사용보기 시스템에서데이터베이스메모리를사용하는방법을자세히설명하는테이블을보고인쇄합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ 데이터베이스 ] [ 메모리사용 ] 을클릭합니다. [ 이벤트 ] 및 [ 플로 ] 테이블에데이터베이스의메모리사용이나열됩니다. 2 보고서를인쇄하려면 [ 인쇄 ] 아이콘을클릭합니다. McAfee Enterprise Security Manager 11.1.x 설치안내서 45

6 데이터저장소설정데이터베이스메모리사용보기 46 McAfee Enterprise Security Manager 11.1.x 설치안내서

7 McAfee 7 Enterprise Log Manager(ELM) McAfee Enterprise Log Manager(ELM) 은로그데이터의저장, 관리, 액세스및보고를지원합니다. ELM 에서받은데이터가각각저장장치로구성된저장소풀에구성됩니다. 보존시간은각저장소풀과관련되어있으며지정된기간동안데이터가풀에보존됩니다. 정부, 업계및회사규정에서로그를서로다른기간동안저장할것을요청합니다. ELM 에서검색및무결성체크을설정할수있습니다. 각은저장된로그에액세스하고에서정의하는데이터를검색하거나확인합니다. 그러면결과를보고정보를내보낼수있습니다. ELM 을구성하려면다음을알아야합니다. ELM 에서로그를저장하는소스 필요한저장소풀및해당데이터보존시간 데이터를저장하기위해필요한저장장치 일반적으로필요한저장소풀및 ELM 에로그를저장하는소스는알고있습니다. 데이터를저장하는데필요한저장장치는모릅니다. 이불확실성을해결하는가장좋은방법은다음과같습니다. 1 저장소요구사항을보수적인추정치로설정합니다. ELM 저장소풀은오버헤드를미러링하기위해 10% 의할당된공간이필요합니다. 필요한공간을계산할때 10% 를고려합니다. 2 예상한요구사항을충족하도록 ELM 저장장치를구성합니다. 3 단기간에 ELM 에서로그를검토합니다. 4 ELM 저장소통계정보를사용하여실제데이터저장소요구사항을수용하도록저장장치구성을변경합니다. 목차 McAfee ESM 로깅설정저장소풀관리저장소풀이동저장소할당크기줄이기 ELM 데이터저장소미러링미러링된 ELM 데이터저장소추가미러링된저장소풀다시빌드미러링장치비활성화 ELM 의미러링된관리데이터베이스바꾸기 ELM 중복 ELM 압축관리 ELM 데이터복원대체저장소위치정의 ELM 저장소사용률보기 ELM 데이터베이스마이그레이션 McAfee Enterprise Security Manager 11.1.x 설치안내서 47

7 McAfee Enterprise Log Manager(ELM) McAfee ESM 로깅설정 McAfee ESM 로깅설정 시스템에 ELM(Enterprise Log Manager) 장치가있는경우 McAfee ESM 이 ELM 장치에생성하는내부이벤트데이터를보내도록기본로깅풀을구성합니다. 시작하기전에 ELM 장치를시스템에추가합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택한다음 [ESM 관리 ] 를클릭합니다. 2 [ 구성 ] 탭에서 [ 로깅 ] 을클릭합니다. 3 내부이벤트데이터를저장할기본로깅옵션및저장소풀을선택한다음 [ 확인 ] 을클릭합니다. 시스템에둘이상의 ELM 장치가있는경우데이터를저장할 ELM 을선택합니다. 이 McAfee ESM 장치는항상선택한 ELM 에로그온합니다. McAfee ESM 이 ELM 과통신할 IP 주소를선택합니다. 선택한 ELM 이장치에성공적으로연결된경우알려줍니다. 저장소풀이 ELM 에구성되지않은경우로깅을활성화하려면 ELM 에저장소풀을추가해야한다고알려줍니다. 저장소풀관리 저장소풀에는하나이상의저장소할당및데이터보존시간이포함됩니다. ELM(Enterprise Log Manager) 로그가저장되는위치및보존해야하는기간을정의하려면 ELM 에추가합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ELM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 저장소풀 ] 을클릭합니다. 4 맨아래표에서 [ 추가 ] 를클릭하거나저장소풀을선택한다음 [ 편집 ] 을클릭하고저장소풀을구성합니다. 5 [ 확인 ] 을클릭합니다. 네트워크프로토콜 (CIFS, NFS 및 iscsi) 을사용하는미러링된할당이안정적으로작동하려면동일한스위치에있음, 대기시간이낮음등특정구성이필요합니다. 권장되는네트워크사양은다음과같습니다. 총지연 ( 서버와네트워크 ) - 10ms 총처리량 ( 서버와네트워크 ) - 20Mb/ 초 미러링은공유를 100% 사용가능하다고가정합니다. 저장소풀장치할당은할당별로 1 테라바이트로제한됩니다. 1 테라바이트가넘는풀을만들려면여러 1 테라바이트장치를추가해야합니다. 저장소풀및저장소풀에할당된장치가데이터를저장하지않으면저장소풀을삭제합니다. 48 McAfee Enterprise Security Manager 11.1.x 설치안내서

McAfee Enterprise Log Manager(ELM) 저장소풀이동 7 저장소풀이동 한장치에서다른장치로저장소풀을이동할수있습니다. 시작하기전에저장소풀을이동하려는저장장치를풀을현재보유하는장치의미러로설정합니다. 1 시스템탐색트리에서저장소풀을보유하는 ELM 장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 저장소풀 ] 을클릭합니다. 3 이동할풀아래에나열된미러링된장치를클릭합니다. 4 [ 편집 ] 을클릭하고 [ 데이터저장장치 ] 드롭다운목록에서이동할저장소풀을미러링하는장치를선택합니다. 현재기본데이터저장장치입니다. 5 새데이터저장장치를미러링하려면 [ 미러링된데이터저장장치 ] 드롭다운목록에서장치를선택한다음 [ 확인 ] 을클릭합니다. 저장소할당크기줄이기 저장소풀에할당된공간으로인해저장장치가꽉찬경우각할당에정의된공간크기를줄여서더많은저장소풀에대해이장치의공간을할당할수있습니다. 할당크기감소가데이터에영향을주는경우공간이사용가능하면시스템이데이터를풀의다른할당으로옮깁니다. 공간을사용할수없는경우시스템은가장오래된데이터를삭제합니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ELM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ 저장소풀 ] 을클릭합니다. 4 맨아래테이블에서, 줄이려는풀을선택한다음 [ 크기줄이기 ] 를클릭합니다. 5 저장소를줄이려는크기를입력한다음 [ 확인 ] 을클릭합니다. ELM 데이터저장소미러링 두번째 ELM 저장장치를설정하여기본장치에서수집한데이터를미러링합니다. 기본장치가중단되면백업장치에서데이터가들어올때계속저장합니다. 기본장치가다시온라인상태가되면자동으로백업장치와동기화된다음데이터가도착하는대로다시저장하기시작합니다. 기본장치가영구적으로중단되는경우백업장치가 McAfee ESM 의기본장치가되도록재할당한다음미러링을위한다른장치를지정할수있습니다. 장치중하나가중단되면상태플래그가시스템탐색트리의 ELM 장치옆에표시됩니다. 미러링된저장소풀과저장장치의연결이끊어질수있습니다. 다음과같은원인으로연결이끊어질수있습니다. McAfee Enterprise Security Manager 11.1.x 설치안내서 49

7 McAfee Enterprise Log Manager(ELM) 미러링된 ELM 데이터저장소추가 파일서버또는 ELM 과파일서버간의네트워크가실패했습니다. 파일서버또는네트워크가유지관리를위해종료되었습니다. 할당파일이우연히삭제되었습니다. 미러링에문제가있는경우저장장치에서 [ 저장소풀 ] 테이블에경고아이콘용하여복구합니다. 을표시합니다. [ 다시빌드 ] 기능을사 미러링된 ELM 데이터저장소추가 저장장치를사용하여 ELM(Enterprise Log Manager) 저장장치에저장된데이터를미러링할수있습니다. 시작하기전에서로미러링하기위해사용하려는두개의장치를 McAfee ESM에추가합니다. 1 시스템탐색트리에서 [ELM 속성 ] 을선택한다음 [ 저장소풀 ] 을클릭합니다. 2 [ 추가 ] 를클릭합니다. 3 요청한정보를입력한다음 [ 추가 ] 를클릭하여저장장치및미러링장치를선택합니다. 한번에두개이상의풀에장치를할당할수있습니다. 4 [ 확인 ] 을두번클릭합니다. 미러링된저장소풀다시빌드 미러링된저장소풀이해당저장장치와의연결이끊어진경우 [ 다시빌드 ] 기능을사용하여복구합니다. 1 시스템탐색트리에서 [ELM 속성 ] 을선택한다음 [ 저장소풀 ] 을클릭합니다. 2 경고아이콘이있는미러링된장치위에마우스를놓습니다. 도구설명에서 ELM 할당이다시구성중이라거나미러링된장치를다시빌드해야한다고알려줍니다. 3 장치를클릭한다음 [ 다시빌드 ] 를클릭합니다. 미러링장치비활성화 장치를저장소풀미러링장치로사용하는것을중지하려면다른장치를선택하여바꾸거나 [ 없음 ] 을선택합니다. 1 시스템탐색트리에서시스템탐색트리에현재미러링저장소풀이있는 ELM(Enterprise Log Manager) 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 저장소풀 ] 을클릭한다음 [ 저장소풀 ] 테이블에서미러링된장치를선택한다음 [ 편집 ] 을클릭합니다. 50 McAfee Enterprise Security Manager 11.1.x 설치안내서

McAfee Enterprise Log Manager(ELM) ELM의미러링된관리데이터베이스바꾸기 7 3 다음중하나를수행합니다. [ 미러링된데이터저장장치 ] 에서선택한장치가비활성화하려는장치인경우해당필드의드롭다운화살표를클릭하고데이터저장장치를미러링할다른장치를선택하거나 [ 없음 ] 을선택합니다. [ 데이터저장장치 ] 에서선택한장치가비활성화하려는장치인경우해당필드의드롭다운화살표를클릭하고데이터저장장치역할을할다른장치를선택합니다. 4 [ 확인 ] 을클릭합니다. 장치가더이상미러링장치가아니지만 [ 저장장치 ] 테이블에계속표시됩니다. ELM 의미러링된관리데이터베이스바꾸기 미러링된관리데이터베이스저장소 ELM 장치에문제가있는경우바꿔야할수있습니다. 1 시스템탐색트리에서문제가발생하는관리데이터베이스저장장치가포함된 ELM 장치를선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ELM 구성 ] 을클릭한다음 [DB 마이그레이션 ] 을선택합니다. 3 [ 데이터저장장치 ] 의 [ 미러링된데이터저장장치 ] 드롭다운목록에나열된장치를선택합니다. 4 [ 미러링된데이터저장장치 ] 에서새장치를선택하거나 [ 없음 ] 을선택하여미러링을중지합니다. 장치가드롭다운목록에없는경우먼저장치를 [ 저장장치 ] 테이블에추가합니다. ELM 중복 대기 ELM 을시스템의현재독립실행형 ELM 에추가하여로깅에대한중복을제공할수있습니다. 중복을사용하려면 IP 주소및다른네트워크정보를두 ELM 에서정의합니다. 대기 ELM 에활성 ELM 의저장소에맞는, 충분히결합된공간이있는저장장치가있어야합니다. 설정되면두 ELM 의구성이동기화되고대기 ELM 이두장치간의데이터동기화를유지관리합니다. ELM 중복시전환, 서비스로돌아가기, 일시중단, 제거, 상태보기등몇가지액션을수행해야합니다. 모든액션은 [ELM 속성 ] [ELM 중복 ] 에서사용가능합니다. 전환 기본 ELM 이다운되거나교체할필요가있는경우 [ELM 전환 ] 을선택합니다. 대기 ELM 이활성화되고시스템이모든로깅장치를대기 ELM 에연결합니다. 로깅및구성액션은전환프로세스동안잠깁니다. 서비스로돌아가기 대기 ELM 이정지된경우백업상태가될때대기 ELM 을서비스로되돌려야합니다. 구성파일에대한변경사항이없음을탐지하면이전과같이중복이계속됩니다. 파일에서차이점을탐지하면문제가없는저장소풀에대해중복이계속되지만, 오류상태가반환되고하나이상의풀이이전구성임을사용자에게알립니다. 이러한풀은수동으로수정해야합니다. 대기 ELM 을교체하거나재구성하면시스템이이를탐지하고대기 ELM 의키를다시지정하라는메시지를표시합니다. 그런다음활성 ELM 이모든구성파일을대기 ELM 과동기화하고이전과같이중복을계속합니다. McAfee Enterprise Security Manager 11.1.x 설치안내서 51

7 McAfee Enterprise Log Manager(ELM) ELM 압축관리 일시중단 어떤이유로든중지되었거나중지되려는경우대기 ELM 과의통신을일시중단할수있습니다. 모든통신이중지되고중복에대한오류통지가마스크됩니다. 대기 ELM 이백업상태가될때서비스로돌아가기프로세스를진행합니다. ELM 에서중복비활성화 [ 제거 ] 를선택하여 ELM 중복을비활성화할수있습니다. 활성 ELM 에서중복구성파일의사본을저장합니다. ELM 중복을활성화할때이백업파일이발견되면저장된구성파일을복구할것인지묻는메시지가표시됩니다. 상태보기 [ 상태 ] 를선택하여활성및대기 ELM 간에데이터동기화상태에대한상세정보를볼수있습니다. ELM 압축관리 디스크공간을절약하거나초당더많은로그를처리하려면 ELM(Enterprise Log Manager) 으로들어오는데이터를압축합니다. 세가지옵션은 [ 저위험 ]( 기본값 ), [ 중간 ] 및 [ 고위험 ] 입니다. 다음테이블은각수준에대한상세정보를보여줍니다. 수준압축률최대압축비율초당처리되는최대로그비율 [ 저위험 ] 14:1 72% 100% [ 중간 ] 17:1 87% 75% [ 고위험 ] 20:1 100% 50% 실제압축률은로그콘텐츠에따라다릅니다. 디스크공간을절약하려면높은압축률을선택합니다. 초당더많은로그를처리하려면낮은압축률을선택합니다. ELM 데이터복원 ELM(Enterprise Log Manager) 을바꾸려면관리데이터베이스및로그데이터를새 ELM에복원합니다. 시작하기전에 ELM 데이터베이스및로그데이터가미러링되어야합니다. 이전 ELM 에서새 ELM 으로데이터를복원하려면 [ 장치추가 ] 마법사를사용하여 ELM 을만들지마십시오. 1 시스템탐색트리에서바꿔야하는 ELM의 [ELM 속성 ] 을선택합니다. 경고페이지에서시스템이 ELM을찾을수없다는것을알려줍니다. 2 경고페이지를닫은다음 [ 연결 ] 을클릭합니다. 3 새 ELM의 IP 주소를입력한다음 [ 키관리 ] [ 키장치 ] 를클릭합니다. 4 이장치에연결하려는암호를입력한후 [ 다음 ] 을클릭합니다. 52 McAfee Enterprise Security Manager 11.1.x 설치안내서

McAfee Enterprise Log Manager(ELM) 대체저장소위치정의 7 5 [ELM 정보 ] [ 백업및복원 ] [ELM 복원 ] 을클릭합니다. 6 각장치의 [ 속성 ] [ 구성 ] 에서 [ELM 동기화 ] 를클릭하여각장치로깅을 ELM 과다시동기화합니다. ELM 관리데이터베이스및데이터저장소를새로운 ELM 으로복원하는데몇시간이걸릴수있습니다. 대체저장소위치정의 ELM( 이아닌위치에 ELM(Enterprise Log Manager) 관리데이터베이스레코드를저장하려면대체저장소위치를정의합니다. 또한저장된레코드를미러링할두번째장치를선택할수있습니다. 1 시스템탐색트리에서 [ELM 속성 ] 을선택한다음 [ELM 구성 ] [DB 마이그레이션 ] 을클릭합니다. 2 관리데이터베이스를저장할위치및데이터저장소장치를미러링할두번째저장소위치를선택합니다. 처음으로기존장치미러링을선택하면해당프로세스시간이늘어날수있습니다. 3 [ 확인 ] 을클릭합니다. ELM 저장소사용률보기 장치의공간할당을확인하는데도움이되는 ELM(Enterprise Log Manager) 저장소사용량을봅니다. 1 McAfee ESM 대시보드에서을클릭하고 [ 구성 ] 을선택합니다. 2 시스템탐색트리에서 ELM 을선택한다음 [ 속성 ] 아이콘을클릭합니다. 3 [ELM 관리 ] 를클릭합니다. 4 [ 통계보기 ] 를클릭하고 [ELM 사용 ] 탭을선택합니다. ELM 데이터베이스마이그레이션 Enterprise Log Manager(ELM) 관리데이터베이스는 ELM 으로보낸로그를추적하는레코드를저장합니다. 관리데이터베이스를저장하기위해 ELM 장치에서사용가능한디스크공간양은모델에따라다릅니다. 장치를추가하는경우시스템에서레코드를저장하기위한디스크공간이충분한지확인합니다. 시스템에서관리데이터베이스저장소를위한대체위치를정의하라는메시지가표시될수있습니다. 장치에충분한디스크공간이있지만대체위치에데이터베이스를저장하려는경우 [ELM 속성 ] 페이지의 [DB 마이그레이션 ] 을사용하여해당위치를설정할수있습니다. [DB 마이그레이션 ] 은언제든지사용할수있습니다. 하지만관리데이터베이스를마이그레이션하는경우레코드가포함되어있으면포함된레코드수에따라마이그레이션이완료될때까지 ELM 세션이몇시간동안보류됩니다. ELM 장치를처음설정할때이대체위치를정의하는것이좋습니다. McAfee Enterprise Security Manager 11.1.x 설치안내서 53

7 McAfee Enterprise Log Manager(ELM) ELM 데이터베이스마이그레이션 54 McAfee Enterprise Security Manager 11.1.x 설치안내서

8 8 ELM 저장소구성 목차 HomeGroup 파일공유비활성화외부데이터저장소설정 iscsi 장치추가저장소풀에저장장치링크 SAN 저장장치포맷 DAS(Direct Attached Storage) 구성데이터를저장할가상로컬드라이브설정 HomeGroup 파일공유비활성화 Windows 7 은 HomeGroup 파일공유를사용해야하며이는다른 Windows 7 컴퓨터에서는작동하지만 Samba 에서는작동하지않습니다. Windows 7 컴퓨터를 CIFS 공유로사용하려면 HomeGroup 파일공유를비활성화해야합니다. 1 Windows 7 [ 제어판 ] 을연다음 [ 네트워크및공유센터 ] 를선택합니다. 2 [ 고급공유설정변경 ] 을클릭합니다. 3 [ 홈또는 ] 프로파일을클릭하고현재프로파일로레이블이지정되었는지확인합니다. 4 네트워크탐색, 파일및프린터공유및공용폴더를설정합니다. 5 CIFS 를사용하여공유하려는폴더로이동한다음 ( 공용폴더먼저설정 ) 마우스오른쪽버튼으로클릭합니다. 6 [ 속성 ] 을선택한다음 [ 공유 ] 탭을클릭합니다. 7 [ 고급공유 ] 를클릭한다음 [ 이폴더공유 ] 를선택합니다. 8 ( 선택사항 ) 공유이름을변경하고 [ 권한 ] 을클릭합니다. 원하는대로권한을설정했는지확인합니다 ( 변경에서확인표시 = 쓰기가능 ). 암호로보호된공유를사용하는경우권한에 Ubuntu 사용자가포함되도록설정을업데이트합니다. McAfee Enterprise Security Manager 11.1.x 설치안내서 55

8 ELM 저장소구성외부데이터저장소설정 외부데이터저장소설정 ELM 데이터를저장하기위해외부저장소 (iscsi, SAN, DAS 및가상로컬 ) 를설정할수있습니다. 외부저장소유형을 ELM(Enterprise Log Manager) 에연결하면 ELM 의데이터를저장하도록해당유형을설정할수있습니다. 1 시스템탐색트리에서 [ELM 속성 ] 을선택한다음 [ 데이터저장소 ] 를클릭합니다. 시스템이적절한탭에사용가능한모든저장소장치를반환합니다. 2 [iscsi], [SAN], [DAS] 또는 [ 가상로컬 ] 탭을클릭한다음필요한단계를수행합니다. 3 [ 적용 ] 또는 [ 확인 ] 을클릭합니다. iscsi 장치추가 ELM 저장소에대해 iscsi 장치를추가하려면장치에대한연결을구성해야합니다. 1 시스템탐색트리에서 ELM을선택한다음 [ 속성 ] 아이콘을클릭합니다. 2 [ 데이터저장소 ] 를클릭합니다. 3 [iscsi] 탭에서 [ 추가 ] 를클릭합니다. 4 요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 연결이성공하면장치및해당 IQN 이 [ 저장장치추가 ] 의 [ 장치유형 ] 목록및 [iscsi 구성 ] 목록에추가됩니다. IQN 이 ELM 로그를저장하기시작하면 iscsi 대상을삭제할수없습니다. 이제한으로인해 ELM 저장소에대해충분한공간을사용하여 iscsi 대상을설정합니다. 5 ELM 저장소에대해 IQN을사용하기전에목록에서선택한다음 [ 형식 ] 을클릭합니다. 6 형식을지정할때상태를확인하려면 [ 상태확인 ] 을클릭합니다. 7 IQN을탐색하거나다시탐색하려면 iscsi 장치를클릭한다음 [ 탐색 ] 을클릭합니다. 두개이상의장치를 IQN에할당하려고시도하면데이터가유실될수있습니다. 저장소풀에저장장치링크 저장장치를추가하면저장소풀에링크할수있습니다. 시작하기전에저장장치를설정합니다. 저장장치를편집할때크기를늘릴수있지만줄일수는없습니다. 데이터를저장하는경우장치를삭제할수없습니다. 1 시스템탐색트리에서 [ELM 속성 ] 을선택한다음 [ 저장소풀 ] 을클릭합니다. 2 [ 추가 ] 를클릭합니다. 56 McAfee Enterprise Security Manager 11.1.x 설치안내서

ELM 저장소구성 SAN 저장장치포맷 8 3 [ 저장장치추가 ] 에서요청한정보를입력한다음 [ 확인 ] 을클릭합니다. 옵션 정의 [ 장치유형 ] 저장장치의유형을선택합니다. ELM 데이터베이스를마이그레이션하려면최소 506GB 의사용가능한디스크공간이필요합니다. [ 이름 ] 저장장치의이름을입력합니다. [ 최대크기 ] 이장치에할당하려는최대저장소공간크기를선택합니다. [IP 주소 ], [ 원격마운트지점 ], [ 원격경로 ] [IP 주소 ], [ 원격공유이름 ], [ 경로 ], [ 사용자이름 ], [ 암호 ] 원격저장장치를 ELM 에추가할때 [ 최대크기 ] 의기본값은 4GB 로지정됩니다. 원격저장소관리를위해 1% 저장소공간이예약됩니다. 가상로컬저장장치를추가할때 [ 최대크기 ] 의기본값은장치의전체저장소용량으로지정됩니다. 가상저장소관리를위해 6GB 의저장공간이예약됩니다. 이필드를조정할수없습니다. NFS 장치에대해이정보를입력합니다. CIFS 장치에대해이정보를입력합니다. [iscsi 장치 ] 추가한장치를선택합니다. [iscsi IQN] IQN 을선택합니다. [SAN] 추가한 SAN 볼륨을선택합니다. [ 가상로컬볼륨 ] 가상로컬저장장치를선택합니다. 이옵션은장치유형이 [ 가상로컬 ] 일때만사용가능합니다. 4 데이터보존을위해저장소풀에서사용되는저장장치의연결매개변수를정의합니다. 옵션 정의 [ 데이터저장장치 ] 추가할장치를선택합니다. 한번에두개이상의풀에장치를할당할수있습니다. [ 저장소공간 ] 데이터를저장하기위해이장치에최대공간크기를선택합니다. 시스템은저장소공간의 10% 를오버헤드에사용합니다. 예를들어저장소공간필드에서 4GB 를선택하는경우데이터를저장하는데 3.6GB 를사용할수있습니다. [ 미러링된데이터저장장치 ] 이저장장치의데이터를다른장치와미러링하려면두번째저장장치를선택합니다. SAN 저장장치포맷 시스템에 SAN 카드가있는경우이를사용하여 ELM 데이터를저장할수있습니다. 시작하기전에시스템에 SAN 카드가있는지확인합니다. McAfee Enterprise Security Manager 11.1.x 설치안내서 57

8 ELM 저장소구성 DAS(Direct Attached Storage) 구성 1 시스템탐색트리에서 [ELM 속성 ] 을선택한다음 [ 데이터저장소 ] 를클릭합니다. 2 [SAN] 탭을클릭한다음탐지된 SAN 볼륨상태를확인합니다. [ 포맷필요 ] 볼륨이포맷되어야하고 [ 저장장치추가 ] 페이지의사용가능한볼륨목록에표시되지않습니다. [ 포맷중 ] 볼륨이포맷중이며사용가능한볼륨목록에표시되지않습니다. [ 준비 ] 볼륨이포맷되어인식가능한파일시스템이있습니다. 이러한볼륨은 ELM 데이터를저장하기위해사용할수있습니다. 3 볼륨이포맷되어있지않고이볼륨에데이터를저장하려는경우클릭한다음 [ 포맷 ] 을클릭합니다. 볼륨을포맷하면저장된모든데이터가삭제됩니다. 4 포맷이완료되었는지확인하려면 [ 새로고침 ] 을클릭합니다. 포맷이완료되면시스템이상태를 [ 준비 ] 로바꿉니다. 5 페이지하단에있는볼륨의상세정보를보려면볼륨을클릭합니다. DAS(Direct Attached Storage) 구성 시작하기전에 ESM 장치의데이터를저장하도록 DAS 장치를설정합니다. 1 시스템탐색트리에서 McAfee ESM 장치를선택한다음 [ 속성 ] 을클릭합니다. 2 [ 데이터베이스 ] 를클릭한다음 [ 데이터저장소 ] 를클릭합니다. 3 테이블에서할당되지않은장치중하나를클릭하여 McAfee ESM 데이터를저장합니다. 4 [ 할당 ] 을클릭한다음 [ 예 ] 를클릭합니다. 장치를할당하면변경할수없습니다. 데이터를저장할가상로컬드라이브설정 가상 McAfee Enterprise Log Manager 에서가상저장장치를탐지하고포맷합니다. 그러면데이터베이스마이그레이션및저장소풀로사용할수있습니다. 시작하기전에 가상환경에서가상로컬저장장치를가상 McAfee Enterprise Log Manager 에추가합니다. 저장소를추가하려면가상시스템환경에대한설명서를참조하십시오. 58 McAfee Enterprise Security Manager 11.1.x 설치안내서

ELM 저장소구성데이터를저장할가상로컬드라이브설정 8 지원되는드라이브형식 SCSI SATA IDE는지원되지않습니다. 1 시스템탐색트리에서가상 McAfee Enterprise Log Manager 를선택하고 [ 속성 ] 아이콘을클릭한다음 [ 데이터 저장소 ] 를클릭합니다. 루트및부팅파티션은실행가능한저장소옵션으로사용할수없습니다. 2 [ 가상로컬 ] 탭을클릭한다음사용가능한가상장치목록에서장치를선택합니다. [ 가상로컬 ] 탭은시스템이가상저장소를탐지하는경우에만사용가능합니다. 3 [ 상태 ] 열에 [ 포맷필요 ] 로표시되면 [ 포맷 ] 을클릭하여 ext4 파일형식으로장치를포맷합니다. 상태가 [ 준비 ] 로변경됩니다. McAfee Enterprise Security Manager 11.1.x 설치안내서 59

8 ELM 저장소구성데이터를저장할가상로컬드라이브설정 60 McAfee Enterprise Security Manager 11.1.x 설치안내서

9 9 타사 데이터소비자구성 타사응용프로그램에서원시 ESM 데이터를사용합니다. 시작하기전에외부인증서및대상항목을사용하여 ESM에이벤트전달규칙을구성합니다. 루트인증서및전달규칙에대해구성된인증서를다운로드합니다. 1 데이터소비자를호스트하는컴퓨터에서호스트파일에항목을추가합니다. <DSB_IP> <DSB_GUID>. 여기서 DSP_IP 는데이터스트리밍버스를호스트하는 VM 의 IP 주소이고 DSB_GUID 는동일한 VM 의 /etc/nitroguard/ devsettings.conf 에있는값입니다. 2 타사응용프로그램을구성합니다. a 이벤트전달규칙을구성할때만든대상항목에항목을설정합니다. b 데이터스트리밍버스 VM 에서외부액세스를허용하는포트를지정합니다 ( 기본값 : 9092). c 데이터스트리밍버스를호스트하는 VM 의 IP 주소를입력합니다. d 루트인증서및전달규칙에대해구성된인증서를지정합니다. McAfee Enterprise Security Manager 11.1.x 설치안내서 61

9 타사데이터소비자구성 62 McAfee Enterprise Security Manager 11.1.x 설치안내서

10 FIPS 모드에서 목차 FIPS 무결성체크 FIPS 모드문제해결 McAfee Enterprise Security Manager 11.1.x 설치안내서 63

10 FIPS 모드에서 FIPS 무결성체크 FIPS 무결성체크 FIPS 모드에서작동중인경우 FIPS 140-2 에서정기적으로소프트웨어무결성테스트를요구합니다. 시스템과각장치를테스트해야합니다. 1 시스템탐색트리에서 [ 시스템속성 ] 을선택하고 [ 시스템정보 ] 가선택되었는지확인합니다. 2 다음중하나를수행합니다. 필드 [FIPS 상태 ] [ 테스트 ] 또는 [FIPS 자체테스트 ] [ 보기 ] 또는 [FIPS ID] 수행방법 McAfee ESM 에서수행된최신 FIPS 자체테스트결과를봅니다. FIPS 자체테스트를실행하여암호화실행파일에서사용되는알고리즘무결성을테스트합니다. 결과를 [ 메시지로그 ] 에서볼수있습니다. FIPS 자체테스트가실패하면 FIPS 가손상되거나장치오류가발생합니다. McAfee 지원에문의하십시오. [FIPS ID 토큰 ] 페이지를열어전원켜기소프트웨어무결성테스트를수행합니다. 이페이지에표시되는공개키와이값을비교합니다. 이값과공개키가일치하지않는경우 FIPS 가손상됩니다. McAfee 지원에문의하십시오. 64 McAfee Enterprise Security Manager 11.1.x 설치안내서

FIPS 모드에서 FIPS 모드문제해결 10 FIPS 모드문제해결 FIPS 모드에서 McAfee ESM 을작동하는경우문제가발생할수있습니다. McAfee ESM 에연결할수없음 장치앞의 LCD 를확인합니다. If it says [FIPS Failure], contact McAfee Support. 브라우저에서 McAfee ESM FIPS 자체테스트웹페이지를보고 HTTP 인터페이스를통해오류조건을확인합니다. 장치가 FIPS 자체테스트를실패했다는것을나타내는단일숫자 [0] 이표시되는경우 McAfee ESM 장치를재부팅하여문제를해결하려고시도합니다. 실패상태가지속되면지원부에문의하여추가지침을얻으십시오. 단일숫자 [1] 이표시되는경우통신문제가 FIPS 오류로인한것이아닙니다. 지원부에문의하여추가문제해결단계를요청하십시오. 장치에연결할수없음 시스템탐색트리의장치옆에상태플래그가있는경우커서를그위에놓습니다. [FIPS 오류 ] 가표시되는경우지원포털로이동하여 McAfee 지원에문의하십시오. "ESM 에연결할수없음 " 문제의설명을수행합니다. 장치를추가할때발생하는파일이잘못되었습니다오류 FIPS 가아닌장치에서내보낸키를 FIPS 모드에서작동하는장치로가져올수없고 FIPS 장치에서내보낸키를 FIPS 가아닌장치로가져올수도없습니다. 어느한시나리오를시도하는경우이오류가나타납니다. McAfee Enterprise Security Manager 11.1.x 설치안내서 65