위험감지 사전 환경설정
네트워크 센서와 에이전트에서 위험을 감지하기 위해서는 탐지 주체에 대한 환경설정을 해야합니다.
위험감지 탐지 주체
다음과 같이 위험감지 항목 별 위험을 탐지하는 주체가 나눠지게 됩니다. 각각의 탐지 주체에 따라서 위험을 감지하기 위한 사전 설정이 필요합니다.
위험감지의 탐지 주체가 에이전트 일 경우에는 노드액션을 노드정책 에 할당해야 위험감지가 가능합니다.
위험감지 ID |
위험감지 탐지 주체 |
설정사항 |
|---|---|---|
Ad Hoc 네트워크 연결 |
에이전트 |
네트워크 정보수집 플러그인 |
ARP Bomb |
네트워크 센서 |
위험 트래픽 유도용 가상 IP 설정 |
ARP Spoofing |
네트워크 센서 |
위험 트래픽 유도용 가상 IP 설정 |
MAC / IP Clone |
네트워크 센서 / 에이전트(ARP Spoofing) |
네트워크 센서 MAC / IP Clone 탐지 기능 |
Malware Detection |
에이전트 |
Malwaer Detection 플러그인 |
Port Scan |
네트워크 센서 |
위험 트래픽 유도용 가상 IP 설정 |
SNMP 차단요청 |
정책서버 |
SNMP Trap 수신기능 |
비정상적인 DHCP서버 감지 |
네트워크 센서 |
네트워크 센서 DHCP Server Scan 기능 |
센서 MAC Clone |
네트워크 센서 |
네트워크 센서 MAC / IP Clone 탐지 기능, 센서 MAC 충돌회피 기능 |
알수없는 서비스 요청 |
네트워크 센서 |
위험 트래픽 유도용 가상 IP 설정 |
잘못된 게이트웨이 사용 |
에이전트 |
네트워크 정보수집 플러그인 |
환경 설정하기
위험 트래픽 유도용 가상 IP 설정하기
가상 IP 설정은 가상IP 설정하기 를 참고하시기 바랍니다.
네트워크 센서 DHCP Server Scan 기능 설정하기
상단 패널에 시스템 을 선택합니다.
왼쪽 시스템 메뉴에서 센서관리를 클릭합니다.
설정 대상 네트워크 센서의 체크박스를 선택합니다.
작업선택 메뉴에서 센서 일괄 설정 항목을 선택합니다.
센서 설정 메뉴에서 네트워크 스캔 항목에 DHCP Server Scan 값을 ON으로 변경합니다.
저장 버튼을 클릭합니다.
정책서버 SNMP Trap 수신기능 설정하기
상단 패널에 설정 을 선택합니다.
왼쪽 환경설정 메뉴에서 감사기록을 선택합니다.
SNMP Trap 수신 항목에서 사용유무를 ON으로 설정하고, Community 값을 입력합니다.
수정 버튼을 클릭합니다.
네트워크 센서 MAC / IP Clone 탐지 기능 설정하기
상단 패널에 시스템 을 선택합니다.
왼쪽 시스템 메뉴에서 센서관리를 클릭합니다.
설정 대상 네트워크 센서의 체크박스를 선택합니다.
작업선택 메뉴에서 센서 일괄 설정 항목을 선택합니다.
센서 설정 메뉴에서 노드상태 검사 항목에 MAC+IP Clone 감지 값을 ON으로 변경합니다.
저장 버튼을 클릭합니다.