FireEye의 연동 가이드

본 가이드에서는 Genian ZTNA와 FireEye와 연동하는 방법을 안내합니다.

가이드 개요

FireEye에 의해 특정 이상 징후가 감지되면 FireEye는 SYSLOG를 통해 Genian ZTNA에 이상 징후 정보를 전송합니다.

Genian ZTNA는 이상 징후 대상을 격리하여 이상 징후가 확산되는 것을 방지 할 수 있도록합니다.

FireEye를 이용한 Genian ZTNA 구축 구성

../_images/Integration_FireEye.jpg
  1. FireEye가 위협 단말을 감지합니다.

  2. FireEye는 이상 정보를 SYSLOG를 통해 Genian ZTNA로 전송합니다.

  3. Genian ZTNA는 위협 단말를 격리하여 위협 단말이 다른 네트워크에 연결 할 수 없습니다.

SYSLOG를 통한 FireEye 연동 구성

Genian ZTNA의 설정

Genian ZTNA는 FireEye에서 위협 단말에 대한 알림메시지를 SYSLOG로 수신하기 때문에 관련 설정 추가가 필요합니다.

CEF(Common Event Format,공통 이벤트 포맷)를 사용하여 FireEye로부터 데이터를 수신하려면 다음 단계를 완료해야합니다.

  1. 관리자 계정으로 Genian ZTNA에 로그인

  2. 상단 항목의 설정 탭으로 이동

  3. 왼쪽 항목의 환경설정 > 감사기록 이동

  4. Syslog 감사기록 저장 옵션 에 필터 추가

  5. 정보를 입력합니다.

필터이름

FireEye

필터타입

host

필터값

[FireEye의 IP]

IP 키값

src=

MAC 키값

smac=

  1. 하단 추가 버튼을 클릭 하고 수정 버튼을 클릭

FireEye 설정

FireEye 어플라이언스는 알림 출력과 관련하여 매우 유연하며 다음 형식을 지원합니다.

  • CEF

  • LEEF

  • CSV

본 가이드에서는 CEF를 사용합니다. CEF를 사용하여 Genian ZTNA에 데이터를 보내려면 다음 단계를 수행해야합니다.

  1. 관리자 계정으로 FireEye 어플라이언스에 로그인합니다.

  2. 상단 항목의 Settings 탭으로 이동합니다.

  3. 왼쪽 항목의 Notifications 로 이동합니다.

  4. 가운데에 있는 rsyslog 를 클릭합니다.

  5. 확인란에 있는 “Event type” 을 확인합니다.

  6. Rsyslog setting 이 있는지 확인합니다.

Default format: CEF
Default delivery: Per event
Default send as: Alert
  1. 아래에 Add Rsyslog server > Genian ZTNA Name 입력 > Add Rsyslog Server 버튼을 클릭합니다.

  2. IP 주소 필드에 Genian ZTNA의 IP 주소를 입력합니다.

  3. 아래의 Update 버튼을 클릭합니다.

검증

위의 단계를 완료하게 되면 Genain ZTNA는 FireEye로부터 SYSLOG 메시지를 수신 할 수 있습니다.

  1. 상단 항목의 감사 로 이동합니다.

  2. 로그 메시지가 표시되면 LogID 는 FireEye입니다.

FireEye 데이터를 기반으로 Genian ZTNA 정책 적용

Genian ZTNA가 FireEye에서 SYSLOG 데이터를 수신하면 로그 파일에 포함 된 장치 정보를 사용하여 개별 노드에 태그를 자동으로 적용 할 수 있습니다. 이러한 태그를 사용하여 조직 또는 정책 목적으로 노드를 그룹화 할 수 있습니다.

감사로그 태그를 통해 정책을 적용하려면 태그를 이용한 정책 적용 을 참조하십시오.