서버 플러그인 연동 설정

2.0.11 버전부터 제품 설치 시 아래 플러그인은 자동으로 서버에 설치되며, 연동에 필요한 기본적인 정보 입력이 필요합니다.

  • KISA C-TAS
  • ReversingLabs A1000
  • TrendMicro DDA
  • Check Point SandBlast TE1000X

KISA C-TAS 연동

KISA 에서 제공하는 사이버위협정보 분석-공유 시스템(C-TAS)과 연동 기능을 제공합니다.
C-TAS에 가입되어 연동을 위한 KEY를 제공받은 고객에 한해 사용가능하며, Genian EDR 서버에서는 IOC DB Framework 버전 v2 로 변경이 필요합니다.

항목 설명
Export Key KISA로부터 할당받은 Export Key 정보를 입력합니다.
기관코드 KISA로부터 할당받은 기관코드(OrgKey)정보를 입력합니다.
동기화 주기 C-TAS로부터 받은 데이터를 몇분 간격으로 IOC Database에 등록할 지 설정합니다.(기본값:30분)
IP주소 보관기간 연동 설정으로 수집한 IP주소의 보관기간을 설정합니다.(기본값:10일)
  1. 2.0.11 버전부터 제품 설치 시 C-TAS 플러그인이 함께 설치됩니다. 정상적으로 설치가 된 경우, 관리 > 설정 > 환경설정 > 탐지 및 대응 메뉴에 KISA C-TAS 연동 설정을 확인할 수 있습니다.
  2. 연동여부를 사용 으로 변경하고, KISA로부터 제공받은 연동 정보 및 부가 정보를 입력합니다.
  3. 정보 입력 후 왼쪽 상단의 체크 버튼을 클릭하여 설정한 정보를 저장합니다.
  4. 관리 > 시스템 > 소프트웨어 관리 > 서버 플러그인 관리 메뉴로 이동, 플러그인 목록에서 CTAS를 확인한 후, 오른쪽에서 즉시실행 버튼을 클릭하여 연동을 수행합니다.
  5. 2에서 설정한 주기마다 C-TAS로부터 데이터를 수신받아 IOC Database에 업데이트 합니다.
  6. C-TAS 에 등록된 정보로 위협 탐지 시 Threat2 인덱스의 Feed 정보에 CTAS로 표시 됩니다.

ReversingLabs A1000 연동

ReversingLabs A1000을 이용한 악성코드 분석 기능을 제공합니다.(ReversingLabs A1000 보유 고객에 해당)
Threat2 인덱스에 존재하는 파일 정보를 ReversingLabs A1000로 전달하여 악성코드 여부를 분석 요청하고, 결과를 Genian EDR 서버에서 확인할 수 있습니다.

항목 설명
제품 URL ReversingLabs A1000 제품 IP 또는 URL 정보를 설정합니다.
USERNAME ReversingLabs A1000 제품 연동을 위한 USERNAME 정보입니다.
PASSWORD ReversingLabs A1000 제품 연동을 위한 PASSWORD 정보입니다.
연동 결과 ReversingLabs A1000 제품과의 연동 상태를 표시합니다. 정상적으로 통신이 되는 경우 '연동됨'으로 표시됩니다.
  1. 2.0.11 버전부터 제품 설치 시 ReversingLabs A1000 플러그인이 함께 설치됩니다.
    관리 > 설정 > 환경설정 > 악성코드 분석 메뉴로 이동, ReversingLabs A1000 연동 설정을 ON 으로 변경하고, URL및 계정 정보 입력 후 왼쪽 상단의 체크 버튼을 클릭하여 설정한 정보를 저장합니다.
  2. 위협분석이 끝나면 분석 > 위협 관리 메뉴 목록 중 화면 왼쪽의 위협 분석 버튼을 클릭하면 위협 상세 화면으로 이동하여 왼쪽 상단의 위협 분석 결과 버튼을 클릭합니다.
  3. 연동 플러그인 별로 위협 분석 리포트를 확인할 수 있습니다.

TrendMicro DDA 연동

TrendMicro DDA를 이용한 악성코드 분석 기능을 제공합니다.(TrendMicro DDA 보유 고객에 해당하며 연동이 가능한 버전은 Deep Discovery Analyzer 6.1 입니다.)
Threat2 인덱스에 존재하는 파일 정보를 TrendMicro DDA로 전달하여 악성코드 여부를 분석 요청하고, 결과를 Genian EDR 서버에서 확인할 수 있습니다.

항목 설명
연동 API Key TRENDMICRO DDA 제품에서 제공하는 API key 정보를 설정합니다. API key는 DDA 제품의 Help 메뉴의 About 화면에서 제공됩니다.
제품 URL TRENDMICRO DDA 제품 IP 또는 URL을 입력합니다.
제품 타임존 TRENDMICRO DDA 제품에서 사용하는 타임존을 설정합니다.
연동 결과 TRENDMICRO DDA 제품과의 연동 상태를 표시합니다. 정상적으로 통신이 되는 경우 '연동됨'으로 표시됩니다.
  1. 2.0.11 버전부터 제품 설치 시 TrendMicro DDA 플러그인이 함께 설치됩니다.
    관리 > 설정 > 환경설정 > 악성코드 분석 메뉴로 이동, TrendMicro DDA 연동 설정을 ON 으로 변경하고, 연동 API Key, URL및 타임존 정보 입력 후 왼쪽 상단의 체크 버튼을 클릭하여 설정한 정보를 저장합니다.
  2. 위협분석이 끝나면 분석 > 위협 관리 메뉴 목록 중 화면 왼쪽의 위협 분석 버튼을 클릭하면 위협 상세 화면으로 이동하여 왼쪽 상단의 위협 분석 결과 버튼을 클릭합니다.
  3. 연동 플러그인 별로 위협 분석 리포트를 확인할 수 있습니다.

Check Point SandBlast TE1000X 연동

Check Point SandBlast TE1000X를 이용한 악성코드 분석 기능을 제공합니다.(Check Point SandBlast TE1000X 보유 고객에 해당)
Threat2 인덱스에 존재하는 파일 정보를 Check Point SandBlast TE1000X로 전달하여 악성코드 여부를 분석 요청하고, 결과를 Genian EDR 서버에서 확인할 수 있습니다.

항목 설명
제품 URL Check Point SandBlast TE1000X 제품 IP 또는 URL을 입력합니다.
제품 버전 Check Point SandBlast TE1000X 제품 버전을 입력합니다.(입력 예:v1)
연동 API Key Check Point SandBlast TE1000X 제품에서 제공하는 API key 정보를 설정합니다.
연동 결과 Check Point SandBlast TE1000X 제품과의 연동 상태를 표시합니다. 정상적으로 통신이 되는 경우 '연동됨'으로 표시됩니다.
  1. 2.0.11 버전부터 제품 설치 시 Check Point SandBlast TE1000X 플러그인이 함께 설치됩니다.
    관리 > 설정 > 환경설정 > 악성코드 분석 메뉴로 이동, Check Point SandBlast TE1000X 연동 설정을 ON 으로 변경합니다.
  2. URL및 제품 버전, 연동 API Key 입력 후 왼쪽 상단의 체크 버튼을 클릭하여 설정한 정보를 저장합니다.
  3. 위협분석이 끝나면 분석 > 위협 관리 메뉴 목록 중 화면 왼쪽의 위협 분석 버튼을 클릭하면 위협 상세 화면으로 이동하여 왼쪽 상단의 위협 분석 결과 버튼을 클릭합니다.
  4. 연동 플러그인 별로 위협 분석 리포트를 확인할 수 있습니다.

서버 플러그인 업데이트

플러그인 추가

  1. 관리 > 시스템 > 소프트웨어 관리 > 서버 플러그인 관리 로 이동, 추가 버튼을 클릭하여 외부 연동 플러그인(확장자 gpp)파일을 업로드 합니다.
  2. 파일 목록 사용여부 필드에서 사용여부를 먼저 체크한 후, 화면 오른쪽에 있는 즉시실행 버튼을 클릭합니다.
  3. 정상적으로 동작하는 경우 상태 필드에 파란색 아이콘이 표시됩니다.

플러그인 삭제

  1. 삭제할 플러그인 목록을 선택하고, 삭제 버튼을 클릭합니다.
  2. 플러그인 삭제 확인 팝업창이 발생하고, 확인을 클릭하면 플러그인이 삭제됩니다.