NAC 수집 설정 ===================== | Genian EDR은 Genian NAC 서버와의 연동을 통해 감사로그 정보를 실시간으로 수집하고, NAC 시스템의 상태를 실시간으로 모니터링 할 수 있습니다. | 또한 엔드포인트에 에이전트를 설치, 엔드포인트의 자산정보 수집 및 엔드포인트에서 발생하는 주요 행위를 모니터링하고 실시간 저장 후 분석할 수 있습니다. 서버 간 연동 및 에이전트 설치에 의한 이벤트 수집으로 크게 분류되며, 각종 정보를 수집하기 위해서는 몇가지 사전 준비가 필요합니다. 정보 수집을 위한 환경 설정 ---------------------------------------- **에이전트** 작업: #. **NAC-ThreatDetector2** 로 시작하는 .gpf 파일을 준비합니다. #. **시스템 > 업데이트 관리** 에서 플러그인 메뉴로 이동합니다. #. **작업선택-플러그인 업로드** 를 클릭, **파일선택** 버튼을 클릭하여 준비한 gpf 파일을 더블클릭합니다. #. 화면에 파일명이 표시되면 **업로드** 버튼을 클릭하여 파일을 업로드합니다. #. **정책 > 노드정책 > 노드액션** 으로 이동합니다. #. **작업선택 -생성** 메뉴을 클릭, 액션명 입력 후 액션 수행설정 섹션에서 **플러그인선택-Threat Detector2** 항목을 선택하여 기본 정보를 입력하고 **생성** 버튼을 클릭합니다. **서버** 작업: 1. NAC 웹콘솔에 로그인하고, **시스템 > 시스템관리** 란에 있는 정책서버 IP를 클릭합니다. 2. **환경 설정** 탭에서 **SNMP Agent 설정** 섹션의 **사용여부를 On** 으로 변경하고, **username** 을 입력 후 **수정** 버튼을 클릭합니다. 3. NAC CLI에 접속, 데이터베이스 외부 접속을 허용하는 IP를 설정합니다. .. warning:: 승인된 IP 설정 시 NAC 서버의 MySQL 서비스가 재시작 됩니다. 4. 관리역할 화면에서 **insightsConnector** 를 사용 체크 후 저장합니다. .. note:: insightsConnector는 NAC서버 4.0.1X,5.0 버전에서만 설정할 수 있습니다. 5. **설정 > 사용자인증 > 관리역할** 에 insightsConnector 계정이 생성되어 있음을 확인할 수 있습니다. 6. **관리 > 사용자** 란에서 **작업선택 -> 사용자등록** 을 클릭합니다. 7. 관리 역할을 **insightsConnector** 로 하고 사용자를 생성합니다. 8. **관리자설정** 탭에서 API키 항목의 신규 키 생성 버튼을 클릭하여 신규 API를 생성하고 저장합니다. 9. **노드 그룹** 을 생성하여 플러그인을 설치할 노드를 선택합니다. 10. **노드 정책** 을 생성하여 위에서 생성한 노드 그룹을 할당합니다. 11. Threat Detector2 액션을 할당 후 저장합니다. 12. 오른쪽 상단의 **변경정책적용** 을 클릭합니다. NAC 감사로그 수집 ------------------------------------- 정보 수집을 위한 환경 설정 완료되면 EDR 서버에서 NAC 감사로그를 가져오는 설정이 필요합니다. 1. Genian EDR 웹콘솔에 로그인 후 **관리 > 수집설정 > 수집기SET** 에 있는 **컨피그레이터** 의 드롭다운 메뉴에서 **GENIAN NAC** 을 클릭합니다. 2. 수집기 자동화 추가 화면에서 정보 입력 후 저장 버튼을 클릭합니다. - **수집기SET 이름:** 수집기SET 이름과 수집기SET 설명은 수집기SET 란에 표시되는 값입니다. - **서버 호스트명:** 로그에서 나타날 서버 문자열입니다. - **센터 주소:** Genian NAC 정책서버 IP를, DB서버 주소에는 Genian NAC DB서버의 IP를 입력합니다. - **DB사용자명 및 PASSWORD:** NAC DB 서버의 사용자명,PASSWORD 를 입력합니다. - 수집대상 정보에서 **감사로그** 를 선택하여 저장합니다. 3. 수집기SET란에서 추가된 수집기SET의 **시작** 버튼을 클릭합니다. 수집기에서 NAC 로그 수집(syslog)이 정상적으로 시작되면 Genian NAC 웹콘솔에서 **로그 > 검색 필터** 에 **Genian Insights** 필터가 생성됨을 확인할 수 있습니다.이 때, Insights<-> NAC 간 통신 CHARSET 은 반드시 'UTF-8' 이어야 합니다. .. note:: 4.0.X 버전에서는 검색필터 자동 생성 후 NAC 서버 이벤트 처리를 위해 아래 4 과정 작업이 별도로 필요합니다. 4. 아래와 같이 생성된 Genian insights 필터 이름을 클릭합니다. .. image:: /images/sysaudit.png :width: 600px 5. 왼쪽 하단에서 **수정** 버튼을 클릭합니다.오른쪽에 insights 필터 상세화면이 표시되며 **수정** 버튼을 한번 더 클릭하면 해당 시점부터 syslog 전송이 시작됩니다. .. image:: /images/auditedit.png :width: 600px 6. NAC 서버에서 감사기록이 발생할 때 마다 syslog를 통해 EDR 서버로 데이터가 전송되며, 해당 로그는 EDR 서버 웹콘솔 **통합검색 > NAC logs** 메뉴에서 확인할 수 있습니다. NAC 자산정보 수집 ------------------------------------------ 정보 수집을 위한 환경 설정 완료되면 EDR 서버에서 NAC서버 Database에 접속하여 엔드포인트의 각종 자산 정보를 수집할 수 있습니다. 1. Genian EDR 웹콘솔에 로그인 후 **관리 > 수집설정 > 수집기SET** 에 있는 **컨피그레이터** 의 드롭다운 메뉴에서 **GENIAN NAC** 을 클릭합니다. 2. 수집기 자동화 추가 화면에서 정보 입력 후 저장 버튼을 클릭합니다. - **수집기SET 이름:** 수집기SET 이름과 수집기SET 설명은 수집기SET 란에 표시되는 값입니다. - **서버 호스트명:** 로그에서 나타날 서버 문자열입니다. - **센터 주소:** Genian NAC 정책서버 IP를, DB서버 주소에는 Genian NAC DB서버의 IP를 입력합니다. - **DB사용자명 및 PASSWORD:** NAC DB 서버의 사용자명,PASSWORD 를 입력합니다. - 수집대상 정보에서 수집 할 자산정보를 선택하여 저장합니다. 3. 수집기SET란에서 추가된 수집기SET의 **시작** 버튼을 클릭합니다. 4. 기본으로 설정된 수집 주기에 따라 자산정보가 수집되며, 해당 로그는 EDR 서버 웹콘솔 **통합검색 > NAC Assets** 메뉴에서 확인할 수 있습니다.