FireEyeì˜ ì—°ë™ ê°€ì´ë“œ ============================ 본 ê°€ì´ë“œì—서는 Genian ZTNA와 FireEye와 ì—°ë™í•˜ëŠ” ë°©ë²•ì„ ì•ˆë‚´í•©ë‹ˆë‹¤. ê°€ì´ë“œ 개요 ----------------------- FireEyeì— ì˜í•´ íŠ¹ì • ì´ìƒ 징후가 ê°ì§€ë˜ë©´ FireEye는 SYSLOG를 통해 Genian ZTNAì— ì´ìƒ 징후 ì •ë³´ë¥¼ ì „ì†¡í•©ë‹ˆë‹¤. Genian ZTNA는 ì´ìƒ 징후 대ìƒì„ 격리하여 ì´ìƒ 징후가 확산ë˜ëŠ” ê²ƒì„ ë°©ì§€ í• ìˆ˜ 있ë„ë¡í•©ë‹ˆë‹¤. FireEye를 ì´ìš©í•œ Genian ZTNA 구축 구성 --------------------------------------------- .. image:: /images/Integration_FireEye.jpg :width: 600px #. FireEyeê°€ 위협 단ë§ì„ ê°ì§€í•©ë‹ˆë‹¤. #. FireEye는 ì´ìƒ ì •ë³´ë¥¼ SYSLOG를 통해 Genian ZTNAë¡œ ì „ì†¡í•©ë‹ˆë‹¤. #. Genian ZTNA는 위협 단ë§ë¥¼ 격리하여 위협 단ë§ì´ 다른 네트워í¬ì— ì—°ê²° í• ìˆ˜ 없습니다. SYSLOG를 통한 FireEye ì—°ë™ êµ¬ì„± ----------------------------------------------------- **Genian ZTNAì˜ ì„¤ì •** Genian ZTNA는 FireEyeì—ì„œ 위협 단ë§ì— 대한 알림메시지를 SYSLOGë¡œ ìˆ˜ì‹ í•˜ê¸° ë•Œë¬¸ì— ê´€ë ¨ ì„¤ì • 추가가 필요합니다. CEF(Common Event Format,공통 ì´ë²¤íŠ¸ í¬ë§·)를 사용하여 FireEye로부터 ë°ì´í„°ë¥¼ ìˆ˜ì‹ í•˜ë ¤ë©´ ë‹¤ìŒ ë‹¨ê³„ë¥¼ 완료해야합니다. 1. ê´€ë¦¬ìž ê³„ì •ìœ¼ë¡œ Genian ZTNAì— ë¡œê·¸ì¸ 2. ìƒë‹¨ í•ëª©ì˜ **ì„¤ì •** íƒìœ¼ë¡œ ì´ë™ 3. 왼쪽 í•ëª©ì˜ **í™˜ê²½ì„¤ì • > ê°ì‚¬ê¸°ë¡** ì´ë™ 4. **Syslog ê°ì‚¬ê¸°ë¡ ì €ìž¥** 옵션 ì— í•„í„° **추가** 5. ì •ë³´ë¥¼ ìž…ë ¥í•©ë‹ˆë‹¤. +-----------+--------------------------+ |í•„í„°ì´ë¦„ | FireEye | +-----------+--------------------------+ |필터타입 | host | +-----------+--------------------------+ |í•„í„°ê°’ |[FireEyeì˜ IP] | +-----------+--------------------------+ |IP 키값 |src= | +-----------+--------------------------+ |MAC 키값 |smac= | +-----------+--------------------------+ 6. 하단 **추가** ë²„íŠ¼ì„ í´ë¦ í•˜ê³ **ìˆ˜ì •** ë²„íŠ¼ì„ í´ë¦ **FireEye ì„¤ì •** FireEye 어플ë¼ì´ì–¸ìŠ¤ëŠ” 알림 ì¶œë ¥ê³¼ ê´€ë ¨í•˜ì—¬ 매우 ìœ ì—°í•˜ë©° ë‹¤ìŒ í˜•ì‹ì„ 지ì›í•©ë‹ˆë‹¤. - CEF - LEEF - CSV 본 ê°€ì´ë“œì—서는 CEF를 사용합니다. CEF를 사용하여 Genian ZTNAì— ë°ì´í„°ë¥¼ ë³´ë‚´ë ¤ë©´ ë‹¤ìŒ ë‹¨ê³„ë¥¼ 수행해야합니다. #. ê´€ë¦¬ìž ê³„ì •ìœ¼ë¡œ FireEye 어플ë¼ì´ì–¸ìŠ¤ì— 로그ì¸í•©ë‹ˆë‹¤. #. ìƒë‹¨ í•ëª©ì˜ **Settings** íƒìœ¼ë¡œ ì´ë™í•©ë‹ˆë‹¤. #. 왼쪽 í•ëª©ì˜ **Notifications** ë¡œ ì´ë™í•©ë‹ˆë‹¤. #. 가운ë°ì— 있는 **rsyslog** 를 í´ë¦í•©ë‹ˆë‹¤. #. 확ì¸ëž€ì— 있는 “Event typeâ€ ì„ í™•ì¸í•©ë‹ˆë‹¤. #. **Rsyslog setting** ì´ ìžˆëŠ”ì§€ 확ì¸í•©ë‹ˆë‹¤. .. code-block:: bash Default format: CEF Default delivery: Per event Default send as: Alert 7. ì•„ëž˜ì— **Add Rsyslog server** > Genian ZTNA **Name** ìž…ë ¥ > **Add Rsyslog Server** ë²„íŠ¼ì„ í´ë¦í•©ë‹ˆë‹¤. 8. IP 주소 í•„ë“œì— Genian ZTNAì˜ IP 주소를 ìž…ë ¥í•©ë‹ˆë‹¤. 9. ì•„ëž˜ì˜ **Update** ë²„íŠ¼ì„ í´ë¦í•©ë‹ˆë‹¤. **ê²€ì¦** ìœ„ì˜ ë‹¨ê³„ë¥¼ 완료하게 ë˜ë©´ Genain ZTNA는 FireEye로부터 SYSLOG 메시지를 ìˆ˜ì‹ í• ìˆ˜ 있습니다. #. ìƒë‹¨ í•ëª©ì˜ **ê°ì‚¬** ë¡œ ì´ë™í•©ë‹ˆë‹¤. #. 로그 메시지가 표시ë˜ë©´ **LogID** 는 FireEye입니다. FireEye ë°ì´í„°ë¥¼ 기반으로 Genian ZTNA ì •ì±… ì ìš© -------------------------------------------------------------- Genian ZTNAê°€ FireEyeì—ì„œ SYSLOG ë°ì´í„°ë¥¼ ìˆ˜ì‹ í•˜ë©´ 로그 파ì¼ì— í¬í•¨ ëœ ìž¥ì¹˜ ì •ë³´ë¥¼ 사용하여 개별 ë…¸ë“œì— íƒœê·¸ë¥¼ ìžë™ìœ¼ë¡œ ì ìš© í• ìˆ˜ 있습니다. ì´ëŸ¬í•œ 태그를 사용하여 ì¡°ì§ ë˜ëŠ” ì •ì±… 목ì 으로 노드를 그룹화 í• ìˆ˜ 있습니다. ê°ì‚¬ë¡œê·¸ 태그를 통해 ì •ì±…ì„ ì ìš©í•˜ë ¤ë©´ :doc:`/logs/tagging-policy` ì„ ì°¸ì¡°í•˜ì‹ì‹œì˜¤.