정보 수집

Genian Insights E는 Genian NAC 서버와의 연동을 통해 감사로그 정보를 실시간으로 수집하고, NAC 시스템의 상태를 실시간으로 모니터링 할 수 있습니다.
또한 엔드포인트에 에이전트를 설치, 엔드포인트의 자산정보 수집 및 엔드포인트에서 발생하는 주요 행위를 모니터링하고 실시간 저장 후 분석할 수 있습니다.

서버 간 연동 및 에이전트 설치에 의한 이벤트 수집으로 크게 분류되며, 각종 정보를 수집하기 위해서는 몇가지 사전 준비가 필요합니다.

정보 수집을 위한 환경 설정

에이전트 작업:

  1. NAC-ThreatDetector2 로 시작하는 .gpf 파일을 준비합니다.
  2. 시스템 > 업데이트 관리 에서 플러그인 메뉴로 이동합니다.
  3. 작업선택-플러그인 업로드 를 클릭, 파일선택 버튼을 클릭하여 준비한 gpf 파일을 더블클릭합니다.
  4. 화면에 파일명이 표시되면 업로드 버튼을 클릭하여 파일을 업로드합니다.
  5. 정책 > 노드정책 > 노드액션 으로 이동합니다.
  6. 작업선택 -생성 메뉴을 클릭, 액션명 입력 후 액션 수행설정 섹션에서 플러그인선택-Threat Detector2 항목을 선택하여 기본 정보를 입력하고 생성 버튼을 클릭합니다.

서버 작업:

  1. NAC 웹콘솔에 로그인하고, 시스템 > 시스템관리 란에 있는 정책서버 IP를 클릭합니다.
  2. 환경 설정 탭에서 SNMP Agent 설정 섹션의 사용여부를 On 으로 변경하고, username 을 입력 후 수정 버튼을 클릭합니다.
  3. NAC CLI에 접속, 데이터베이스 외부 접속을 허용하는 IP를 설정합니다.

Warning

승인된 IP 설정 시 NAC 서버의 MySQL 서비스가 재시작 됩니다.

  1. 관리역할 화면에서 insightsConnector 를 사용 체크 후 저장합니다.

Note

insightsConnector는 NAC서버 4.0.1X,5.0 버전에서만 설정할 수 있습니다.

  1. 설정 > 사용자인증 > 관리역할 에 insightsConnector 계정이 생성되어 있음을 확인할 수 있습니다.
  2. 관리 > 사용자 란에서 작업선택 -> 사용자등록 을 클릭합니다.
  3. 관리 역할을 insightsConnector 로 하고 사용자를 생성합니다.
  4. 관리자설정 탭에서 API키 항목의 신규 키 생성 버튼을 클릭하여 신규 API를 생성하고 저장합니다.
  5. 노드 그룹 을 생성하여 플러그인을 설치할 노드를 선택합니다.
  6. 노드 정책 을 생성하여 위에서 생성한 노드 그룹을 할당합니다.
  7. Threat Detector2 액션을 할당 후 저장합니다.
  8. 오른쪽 상단의 변경정책적용 을 클릭합니다.

NAC 감사로그 수집

정보 수집을 위한 환경 설정 완료되면 Insights E 서버에서 NAC 감사로그를 가져오는 설정이 필요합니다.

  1. Genian Insights E 웹콘솔에 로그인 후 관리 > 수집설정 > 수집기SET 에 있는 컨피그레이터 의 드롭다운 메뉴에서 GENIAN NAC 을 클릭합니다.

  2. 수집기 자동화 추가 화면에서 정보 입력 후 저장 버튼을 클릭합니다.

    • 수집기SET 이름: 수집기SET 이름과 수집기SET 설명은 수집기SET 란에 표시되는 값입니다.
    • 서버 호스트명: 로그에서 나타날 서버 문자열입니다.
    • 센터 주소: Genian NAC 정책서버 IP를, DB서버 주소에는 Genian NAC DB서버의 IP를 입력합니다.
    • DB사용자명 및 PASSWORD: NAC DB 서버의 사용자명,PASSWORD 를 입력합니다.
    • 수집대상 정보에서 감사로그 를 선택하여 저장합니다.
  3. 수집기SET란에서 추가된 수집기SET의 시작 버튼을 클릭합니다. 수집기에서 NAC 로그 수집(syslog)이 정상적으로 시작되면 Genian NAC 웹콘솔에서 로그 > 검색 필터Genian Insights 필터가 생성됨을 확인할 수 있습니다.이 때, Insights<-> NAC 간 통신 CHARSET 은 반드시 'UTF-8' 이어야 합니다.

Note

4.0.X 버전에서는 검색필터 자동 생성 후 NAC 서버 이벤트 처리를 위해 아래 4 과정 작업이 별도로 필요합니다.

  1. 아래와 같이 생성된 Genian insights 필터 이름을 클릭합니다.
_images/sysaudit.png
  1. 왼쪽 하단에서 수정 버튼을 클릭합니다.오른쪽에 insights 필터 상세화면이 표시되며 수정 버튼을 한번 더 클릭하면 해당 시점부터 syslog 전송이 시작됩니다.
_images/auditedit.png
  1. NAC 서버에서 감사기록이 발생할 때 마다 syslog를 통해 Insights E 서버로 데이터가 전송되며, 해당 로그는 Insights E 웹콘솔 통합검색 > NAC logs 메뉴에서 확인할 수 있습니다.

NAC 자산정보 수집

정보 수집을 위한 환경 설정 완료되면 Insights E서버에서 NAC서버 Database에 접속하여 엔드포인트의 각종 자산 정보를 수집할 수 있습니다.

  1. Genian Insights E 웹콘솔에 로그인 후 관리 > 수집설정 > 수집기SET 에 있는 컨피그레이터 의 드롭다운 메뉴에서 GENIAN NAC 을 클릭합니다.

  2. 수집기 자동화 추가 화면에서 정보 입력 후 저장 버튼을 클릭합니다.

    • 수집기SET 이름: 수집기SET 이름과 수집기SET 설명은 수집기SET 란에 표시되는 값입니다.
    • 서버 호스트명: 로그에서 나타날 서버 문자열입니다.
    • 센터 주소: Genian NAC 정책서버 IP를, DB서버 주소에는 Genian NAC DB서버의 IP를 입력합니다.
    • DB사용자명 및 PASSWORD: NAC DB 서버의 사용자명,PASSWORD 를 입력합니다.
    • 수집대상 정보에서 수집 할 자산정보를 선택하여 저장합니다.
  3. 수집기SET란에서 추가된 수집기SET의 시작 버튼을 클릭합니다.

  4. 기본으로 설정된 수집 주기에 따라 자산정보가 수집되며, 해당 로그는 Insights E 웹콘솔 통합검색 > NAC Assets 메뉴에서 확인할 수 있습니다.

엔드포인트 이벤트 수집

엔드포인트에 에이전트 설치가 완료되면 엔드포인트에서 발생하는 이벤트를 Insights E 서버로 전송합니다. Insights E 서버 설정에 따라 중요하다고 판단하는 이벤트(프로세스 실행,실행/문서/압축 파일 생성)를 수집하며, 더 필요한 정보는 서버 설정에서 변경할 수 있습니다.

  1. 엔드포인트에서 수집된 이벤트는 통합검색 메뉴에서 확인할 수 있습니다. 인덱스에 저장되는 정보는 아래와 같습니다.

    • Endpoint2: 엔드포인트에서 발생하는 이벤트(file, process, module, network, registry) 정보
    • Alert2: Threat Detector 에 의해 위협으로 탐지되어 알람이 발생한 정보 및 이상행위탐지(XBA)엔진에서 탐지한 위협 정보를 이벤트 기반으로 표시
    • Threat2: Threat Detector 에 의해 위협으로 탐지되어 알람이 발생한 정보 및 이상행위탐지(XBA)엔진에서 탐지한 위협 정보를 상태 기반으로 표시
    • Inflow: 파일 유입 정보
    • Volume: 외부 저장장치 마운트 정보
    • FileMaster: PE, Script 관리
    • system-info: Agent에서 수집한 PC 리소스 정보