.. _integration-seceon:

Seceon aiSIEM 연동
====================

이 가이드는 Syslog를 이용하여 Genian NAC와 Seceon aiSIEM과 연동방법에 대한 정보를 제공합니다. 
Seceon aiSIEN의 위협 탐지 기능을 Genians NAC의 강력한 제어 기능으로의 확장을 제공합니다.
데모영상을 통하여 연동하는 방법을 비디오 웨비나로 함께할 수 있습니다. `Seceon <https://youtu.be/j3LWtQ5c7Io>`_

.. image:: /images/integration_seceon.png
   :width: 600 px

연동의 주요 단계는 다음과 같습니다. 

#. Seceon APE에서 Remediator를 구성합니다.

#. APE Remediator가 보낸 syslog 이벤트를 이용하여 해당 노드에 정책을 적용할 수 있도록 Genian NAC를 설정합니다.

APE Remediator 설정
-----------------------

Seceon APE UI에 로그인:

#. **Administration > Remediator > Add** 에서 Genian NAC를 방화벽 장치유형으로 선택하고 Genian NAC 정책서버의 IP를 입력합니다.

#. 사용자명, 패스워드, 패스워드 확인 항목은 필수이지만 연동을 하는데 필요치 않으므로 아무런 값이나 입력합니다. 

Genian NAC Syslog 설정
-------------------------

Syslog를 수신하기 전에 서버에 syslog 패턴 설정을 추가해야합니다.
차단할 장치에 대한 정보를 추출하기 위해 Seceon aiSIEM 메시지 형식에 따라 서버 규칙을 설정합니다. 
이 연동에서는 IP주소를 사용하여 차단할 장치를 식별합니다. 

#. Web콘솔 **설정 > 환경설정 > 감사기록** 으로 이동합니다.
#. **Syslog 감사기록 저장** 항목에서 필터 **추가** 버튼을 클릭합니다. 
#. 팝업창에서 **필터이름** 을 입력하고 **필터타입** 을 선택합니다. 
   이 항목은 syslog 또는 지정된 호스트의 메시지를 허용하는 부분입니다.
#. **필터값** 을 입력합니다. 수신한 syslog의 filter 변수가 필터 설정값과 일치하게 되면 
   syslog 메시지가 정책서버 로그에 표시됩니다. 여기에서는 **Seceon CCE IP** 를 입력합니다.
#. **IP 키값** 은 syslog에서 IP정보를 읽을때 사용할 키값입니다. 
#. **문자셋** 은 수신한 syslog 처리시 적용할 인코딩값입니다. seceon과 매칭합니다.
#. 하단 **추가** 버튼을 클릭합니다.
#. 하단 **수정** 버튼을 클릭합니다.

이제 Seceon aiSIEM의 시스템 메시지는 Genian NAC가 감지 한 노드와 상호 연계됩니다. 

Genian NAC 노드태그와 정책 설정
---------------------------------

다음 위치로 이동합니다. **설정 > 속성관리 > 태그 관리**

#. **Seceon-Threat-Detected** 라는 태그를 생성한 다음 저장을 클릭합니다.
    이 태그는 감사로그 필터와 연결되고 그다음 노드에 제어정책이 할당될 것입니다.
#. 상단 **감사** 를 클릭합니다.
#. **Add filters** 라고 써있는 로그 검색창을 클릭합니다. 
#. **설명** 부분에 **THREAT so performing** 을 입력하고 검색을 클릭합니다. 
    위 메시지는 Seceon aiSEIEM의 syslog 메시지내용입니다.
#. 검색창 우측 **저장** 버튼을 클릭합니다.
#. **이름**, **설명** 을 입력하고 하단 **태그** 항목에서 **할당** 을 선택합니다. 
    **검색대상**, **할당대상** 을 노드나 MAC, IP, 무선랜, 사용자를 선택할 수 있지만 **노드** 를 선택합니다. 
#. **추가** 버튼을 클릭하여 앞에서 생성한 **Seceon-Threat-Detected** 태그를 체크하고 설정을 클릭합니다.

**정책 > 그룹** 으로 이동합니다. 

#. **작업선택** 에서 **생성** 을 클릭합니다. 
    이 노드그룹은 제어정책에 할당 예정입니다.
#. ID, 설명, CWP메시지 등 기본정보를 입력합니다. 
#. 그룹조건에서 **추가** 버튼을 클릭하고 항목란에서 **태그** 를 선택합니다. 
#. 조건항목에서는 **존재하면** 을 선택합니다.
#. 설정항목에서는 **Seceon-Threat-Detected** 태그를 선택하고 **추가** 버튼을 클릭합니다. 
#. **생성** 버튼을 클릭합니다. 

**정책 > 제어정책** 으로 이동합니다. 

#. **작업선택** 에서 **생성** 을 클릭합니다. 
#. 정책생성 절차대로 진행하고 노드그룹 선택에서 **Seceon-Threat-Detected** 그룹을 할당합니다.
#. 할당할 **권한** 을 선택하고 제어된 사용자에게 표시될 CWP메시지를 입력합니다. 
#. **완료** 버튼을 클릭하여 정책을 생성합니다.

검증 테스트
---------------------

#. Seceon Integrated Genian NAC 시스템의 네트워크센서에서 관리하는 테스트단말을 선택합니다.

#. 테스트단말에서 Seceon에서 탐지되는 Malware사이트로 접속합니다. 

#. 약 1~3분(Seceon에서 위협처리에 필요한 시간)안에 Seceon은 Genian NAC로 위협탐지 syslog 경고를 발송합니다.

#. Genian NAC에서 Seceon이 보낸 syslog를 수신했다면 테스트노드에 태그가 할당되야 합니다. 

#. 태그가 할당된 노드는 위협 제어정책이 할당되고 네트워크격리가됩니다. 단말에서는 Gateway로 Ping이 실패하고 단말이 격리되었음을 나타내는 CWP가 표시됩니다.