위험감지 사전 환경설정
============================================================

네트워크 센서와 에이전트에서 위험을 감지하기 위해서는 탐지 주체에 대한 환경설정을 해야합니다.

위험감지 탐지 주체
----------------------------------------------------------------

다음과 같이 위험감지 항목 별 위험을 탐지하는 주체가 나눠지게 됩니다. 
각각의 탐지 주체에 따라서 위험을 감지하기 위한 사전 설정이 필요합니다.

위험감지의 탐지 주체가 **에이전트** 일 경우에는 노드액션을 **노드정책** 에 할당해야 위험감지가 가능합니다.

.. list-table::
   :widths: 2 3 5
   :header-rows: 1

   * - 위험감지 ID
     - 위험감지 탐지 주체
     - 설정사항
   * - Ad Hoc 네트워크 연결
     - 에이전트
     - 네트워크 정보수집 플러그인
   * - ARP Bomb
     - 네트워크 센서
     - 위험 트래픽 유도용 가상 IP 설정
   * - ARP Spoofing
     - 네트워크 센서
     - 위험 트래픽 유도용 가상 IP 설정
   * - MAC / IP Clone
     - 네트워크 센서 / 에이전트(ARP Spoofing)
     - 네트워크 센서 MAC / IP Clone 탐지 기능
   * - Malware Detection
     - 에이전트
     - Malwaer Detection 플러그인
   * - Port Scan
     - 네트워크 센서
     - 위험 트래픽 유도용 가상 IP 설정
   * - SNMP 차단요청
     - 정책서버
     - SNMP Trap 수신기능
   * - 비정상적인 DHCP서버 감지
     - 네트워크 센서
     - 네트워크 센서 DHCP Server Scan 기능
   * - 센서 MAC Clone
     - 네트워크 센서
     - 네트워크 센서 MAC / IP Clone 탐지 기능, 센서 MAC 충돌회피 기능
   * - 알수없는 서비스 요청
     - 네트워크 센서
     - 위험 트래픽 유도용 가상 IP 설정
   * - 잘못된 게이트웨이 사용
     - 에이전트
     - 네트워크 정보수집 플러그인


환경 설정하기
---------------------------------------------------------------

위험 트래픽 유도용 가상 IP 설정하기
'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''

가상 IP 설정은 `가상IP 설정하기`_ 를 참고하시기 바랍니다.

.. _가상IP 설정하기: https://docs.genians.com/release/ko/system/virtual.html

네트워크 센서 DHCP Server Scan 기능 설정하기
'''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''

#. 상단 패널에 **시스템** 을 선택합니다.
#. 왼쪽 시스템 메뉴에서 센서관리를 클릭합니다.
#. 설정 대상 네트워크 센서의 체크박스를 선택합니다.
#. 작업선택 메뉴에서 **센서 일괄 설정** 항목을 선택합니다.
#. 센서 설정 메뉴에서 네트워크 스캔 항목에 DHCP Server Scan 값을 ON으로 변경합니다.
#. 저장 버튼을 클릭합니다.

정책서버 SNMP Trap 수신기능 설정하기
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''

#. 상단 패널에 **설정** 을 선택합니다.
#. 왼쪽 환경설정 메뉴에서 감사기록을 선택합니다.
#. SNMP Trap 수신 항목에서 사용유무를 ON으로 설정하고, Community 값을 입력합니다.
#. 수정 버튼을 클릭합니다.

네트워크 센서 MAC / IP Clone 탐지 기능 설정하기
''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''

#. 상단 패널에 **시스템** 을 선택합니다.
#. 왼쪽 시스템 메뉴에서 센서관리를 클릭합니다.
#. 설정 대상 네트워크 센서의 체크박스를 선택합니다.
#. 작업선택 메뉴에서 **센서 일괄 설정** 항목을 선택합니다.
#. 센서 설정 메뉴에서 노드상태 검사 항목에 MAC+IP Clone 감지 값을 ON으로 변경합니다.
#. 저장 버튼을 클릭합니다.