로그프레소 엔터프라이즈 연동 가이드
이 가이드는 Genian NAC와 로그프레소 엔터프라이즈 간의 연동에 대한 정보를 제공합니다.
가이드 개요
이 문서는 SIEM / 통합로그관리 목적으로 활용되는 로그프레소 엔터프라이즈와 네트워크 접근제어 시스템인 Genian NAC의 연동을 위한 설정 방 법에 대한 가이드입니다.
로그프레소 엔터프라이즈는 Genian NAC에 수집된 정보들을 활용하기 위한 쿼리를 제공합니다. (이 쿼리는 Genian NAC의 표준 API를 기반으로 만들어져 있습니다.)
Genian NAC용 쿼리를 이용하여 Genian NAC의 노드정보, 그룹정보, 사용자정보의 수집을 수행하여, 로그프레소 엔터프라이즈에서 모니터링 할 수 있도록 합니다.
권장 버전
제품명
버전
참고
로그프레소 엔터프라이즈
ENT-3.10.2004.2 이상
Genian NAC
v5.0 이상
Policy Center버전 (2020.5 이후)
연동의 목적
Genian NAC와 로그프레소 엔터프라이즈 연동은 다음의 효과를 제공합니다.
분석대상 노드의 효과적인 식별
타보안장비의 로그와 Genian NAC의 노드정보를 결합하여 로그프레소 엔터프라이즈의 관리 UI에 제공하므로, 관리자의 이벤트분석시간 단축 및 분석대상을 편리하게 식별하는데 도움을 줍니다.
관리자 맞춤정보 제공으로 정보접근성의 향상
빅데이터 기반엔진으로 취합된 Genian NAC의 노드정보 중에서 관리자가 원하는 정보만을 선별해서 열람할 수 있으므로 신속한 대응을 위한 정보접근성이 향상됩니다.
사전준비 사항
Genian NAC 사전준비
로그프레소 엔터프라이즈의 연동계정용 API키 생성하기
본 항목은 로그프레소 엔터프라이즈가 Genian NAC의 API 호출 시 사용되는 API-Key를 생성하는 부분에 대한 설명입니다.
Genian NAC 관리 UI 에서 ‘관리 > 사용자’ 메뉴로 이동하여, ‘작업선택 > 사용자 등록’을 선택하여 로그프레소 엔터프라이즈에서 API를 이용하여 Genian NAC접속할 계정을 만듭니다. (기존의 계정을 사용할 경우, API키만 확인합니다) 주의 할 점은 계정의 ‘관리역할’을 ‘superAdmin’으로 선택해야 합니다.
계정관리창에서 ‘API 키’ 항목에 API키가 존재하면 별도로 복사해 두고, 없는 경우엔 ‘신규 키 생성’버튼을 클릭하여, API-Key를 생성합니다. 작성을 완료하면, ‘저장/수정’합니다.
Networking 사전 준비사항
Genian NAC Policy Center와 로그프레소 엔터프라이즈 간의 통신을 확인합니다. http를 이용할 경우, TCP/80, https는TCP/8443이 API통신의 기본 포트입니다.
(Genian NAC의 접속 포트정보는UI에서 ‘시스템 > 서비스 관리 > 접속포트’에 있습니다.)
연동을 위한 Genian NAC 설정
위협노드에 적용할 태그 추가하기
위협노드로 분류할 노드에 붙일 태그 이름을 선정합니다. 이 문서에서는 위협노드를 분류할 태그로 ‘logpresso_enforcement’로 정합니다. (태그의 이름은 관리자가 식별이 용이하도록 설정하시면 됩니다. Genians는 일반적으로 ‘제품명(제조사)_enforcement’로 정합니다.)
‘설정 > 속성관리 > 태그 관리’ 로 들어가 ‘작업관리’를 누른 후 ‘생성’을 선택하고 다음과 같이 입력합니다.
설정 항목
설정 값
참고
태그 이름
logpresso_enforcement
위와 같이 설정한 후 ‘생성’을 눌러 태그 추가 작업을 완료합니다.
노드그룹에 태그 적용하기
‘정책 > 그룹 > 노드’ 로 이동하여 ‘작업선택’을 누른 후 ‘생성 (노드정책 전용)’을 선택하여 다음과 같이 입력합니다.
설정 항목
설정 값
참고
카테고리
분류
ID
로그프레소 격리 노드그룹
위와 같이 설정한 후 하단 부의 ‘그룹조건’ 에서 '조건설정 추가' 를 눌러서 노드그룹 추가 작업을 완료합니다.
조건설정 추가 는 다음과 같이 작성합니다.
설정 항목
설정 값
참고
항목
태그
조건
존재하면
설정
logpresso_enforcement
태그가 지정된 노드를 자동 제어하기 위한 정책 생성하기
‘정책 > 제어정책’ 으로 이동하여 ‘작업선택’ 을 누른 후 ‘생성’ 을 선택하면 제어정책 마법사가 실행됩니다. 각 항목은 다음과 같이 설정합니다.
설정 항목
설정 값
참고
정책선택
신규생성
정책 기본설정 > ID
로그프레소 격리 정책
정책 기본설정 > 설명
로그프레소에서 위협노드로 지정한 노드를 격리하기위한 정책입니다.
정책 기본설정 > 순서
3
정책의 우선순위에 따라 지정하되, 예외정책의 하단의 순서를 지정합니다.
노드그룹 할당
'로그프레소 격리 노드그룹'을 선택하여 우측으로 옮깁니다.
드래그엔 드롭
권한 할당
'PERM-DNS'를 선택합니다.
제어옵션 설정 > 사용자 메시지
'이 장치는 로그프레소에서 차단하였습니다.'
사용자 노드의 차단 후, 사용자에게 보여질 메시지 설정
제어액션
별도 선택하지 않습니다.
위와 같이 설정한 후 '완료' 버튼을 눌러서 작업을 완료합니다.
정책 적용하기
작성이 완료된 후, 정책을 적용하여 동작하기 위해서, 우측상단의 '변경정택 적용' 버튼을 눌러줍니다.
연동을 위한 로그프레소 엔터프라이즈 설정
본 문서에서 다루는 로그프레소 엔터프라이즈의 설정 부분은 Genian NAC와의 연동을 위해 최소화해서 설정하는 부분만을 소개합니다.
Genian NAC 접속환경 프로파일 만들기
로그프레소 엔터프라이즈의 쉘 환경으로 접속하여 logpresso.createConnectProfile genian-nac 프로파일명 을 입력합니다. (프로파일은 로그프레소 엔터프라이즈의 쿼리대상입니다)
아래의 항목을 차례로 입력합니다.
설정 항목
설정 값
참고
URL (Required)
정책서버 IP
API Key (Required)
aaaaaaaa-bbbb-cccc-dddd-eeeeeeeeeeee
'Genian NAC 사전준비'에서 생성
Granted users(csv)
해당 프로파일을 사용할 수 있는 사용자
Granted groups(csv)
해당 프로파일을 사용할 수 있는 그룹
Created
생성한 프로필에 대한 개별 guid 값
자동생성 됨
이 과정을 통해서 로그프레소 엔터프라이즈가 Genian NAC로 접속하여, 정보 수집의 동작을 위한 환경이 구성됩니다.
이 과정에서 지정한 프로파일명( ‘genians’ )은 이후 쿼리를 실행할 때 입력하는 환경변수가 됩니다.
노드정보 조회를 위한 쿼리창만들기
관리자가 로그프레소 엔터프라이즈에서 Genian NAC의 노드 정보를 조회하기 위하여, 쿼리 창을 활용하는 방법을 소개합니다.
메인 메뉴에서 ‘쿼리’를 선택한 후 ‘+’를 선택하면, 쿼리 창이 나타납니다.
쿼리 창에 쿼리문을 입력합니다. (상세 쿼리는 다음장에서 소개합니다.)
탭의 '+'를 클릭하여 2개 이상의 쿼리문을 등록할 수 있습니다.
쿼리를 이용하여 대시보드 꾸미기
자주사용하는 쿼리를 대시보드에 등록하여 항시 활용할 수 있습니다.
등록의 순서는 프리셋 만들기 > 탭 추가하기 > 위젯 추가하기 의 순으로 생성합니다.
프리셋 만들기: 대시보드 > 새프리셋(+ 빈프리셋)클릭 > 프리셋 이름입력 후 ‘Ok’ 클릭합니다.
탭 추가하기: 탭은 프리셋 하위의 단계입니다. ‘+’ 클릭하여 프리셋을 생성하면, 기본적으로 하나가 생성되며, 관리자가 목적에 따라 탭을 추가할 수 있습니다. (예. 감사로그 탭, 네트워크 탭, 자산 탭, 사용자 정보 탭)
위젯 추가하기: 쿼리의 실행결과가 표시되도록 구성하는 위젯입니다. 우측상단의 ‘새 위젯추가’를 클릭하여 추가합니다. (위젯 추가 설정창: 데이터 소스 선택 > 쿼리 문 부분에 조회할 쿼리 내용을 입력합니다.)
쿼리 사용법 소개
Genian NAC의 REST-API를 기반으로 만든, 아래의 쿼리를 이용하여, 로그프레소 엔터프라이즈에서 Genian NAC의 정보를 활용할 수 있습니다.
genian-nac-audit-logs: 감사로그 조회기능 (Genian NAC API: rest/logs/filters)
분류
내용
용도
Genian NAC 감사 로그를 조회합니다.여러 개의 옵션을 동시에 지정하는 경우 모두 일치하는 조건으로 검색합니다.
작성방법
genian-nac-audit-logs profile=프로파일명 from=시작일시 to=끝일시 duration=기간 level=로그수준 ip=IP주소 mac=MAC주소 login=사용자ID user=사용자명 dept=부서명 msg=메시지
예제
genian-nac-audit-logs profile=genians duration=1w (genians 프로파일에 등록된 Genian NAC 정책서버에 접속하여, 1주일치 감사로그를 조회하여 보여줍니다.)
설정 값
설정방법, 기능
profile
쉼표로 구분된 프로파일 이름 목록을 지정합니다. 미지정 시 권한 부여된 모든 Genian NAC 서버를 조회합니다.
from
조회 시작 일시를 yyyyMMddHHmmss 포맷으로 지정합니다.
to
조회 끝 일시를 yyyyMMddHHmmss 포맷으로 지정합니다.
duration
현재 시간으로부터 일정 범위의 시간을 지정합니다. s(초), m(분), h(시), d(일), w(주), mon(월) 단위로 지정할 수 있습니다. 예를 들어 1d는 현재 시점으로부터 과거 24시간 범위입니다.
level
쉼표로 구분된 로그 수준 목록을 지정합니다. info, warn, error, anomaly 지시자를 사용할 수 있습니다. (예 level=info,error)
ip
검색 대상 IP 주소를 지정합니다. 유효한 IP 포맷이 아니면 쿼리가 실패합니다.
mac
검색 대상 MAC 주소를 지정합니다.
login
검색 대상 사용자ID를 지정합니다. (Genian NAC에 등록된 사용자ID)
user
검색 대상 사용자명을 지정합니다. (Genian NAC에 등록된 사용자명)
dept
검색 대상 부서명을 지정합니다. (Genian NAC에 등록된 사용자 부서명)
msg
메시지 검색어를 지정합니다. (Genian NAC 로그에 포함된 검색어)
genian-nac-tags: 태그 조회기능 (Genian NAC API: rest/tags)
분류
내용
용도
Genian NAC 관리서버에 설정된 태그목록을 조회합니다.
작성방법
genian-nac-tags profile=프로파일명
예제
genian-nac-tags profile=genians
설정 값
설정방법, 기능
profile
쉼표로 구분된 프로파일 이름 목록을 지정합니다. 미지정 시 권한 부여된 모든 Genian NAC 서버를 조회합니다.
genian-nac-node-groups: 노드그룹 목록조회기능 (Genian NAC API: rest/nodegroups)
분류
내용
용도
Genian NAC에 설정된 모든 노드 그룹 목록을 조회합니다.
작성방법
genian-nac-node-groups profile=프로파일명
예제
genian-nac-node-groups profile=genians
설정 값
설정방법, 기능
profile
쉼표로 구분된 프로파일 이름 목록을 지정합니다. 미지정 시 권한 부여된 모든 Genian NAC 서버를 조회합니다.
genian-nac-node-groups: 노드 목록조회기능 (Genian NAC API: rest/nodes)
분류
내용
용도
Genian NAC에서 탐지한 모든 네트워크 노드 목록을 조회합니다.
작성방법
genian-nac-nodes profile=프로파일 group=노드그룹명 ip=IP주소 tag=태그
예제
genian-nac-nodes (프로파일에 등록된 모든 Genian NAC 정책서버에 접속하여, 탐지한 모든 노드를 조회하여 보여줍니다.)
설정 값
설정방법, 기능
profile
쉼표로 구분된 프로파일 이름 목록을 지정합니다. 미지정 시 권한 부여된 모든 Genian NAC 서버를 조회합니다.
group
노드그룹이름 기준으로 노드를 필터링합니다. (Genian NAC에 등록된 노드그룹)
ip
IP 주소 기준으로 노드를 필터링합니다.
tag
태그 이름 기준으로 노드를 필터링합니다. (Genian NAC에 등록된 태그명)
genian-nac-cves: 특정IP 취약점진단내역 조회기능 (Genian NAC API: rest/nodes/{nodeID}/cve)
분류
내용
용도
지정된 IP 주소의 노드에서 진단된 모든 CVE 취약점 목록을 조회합니다.
작성방법
genian-nac-cves profile=프로파일명 ip=대상IP주소
예제
genian-nac-cves ip=1.2.3.4 (등록된 모든 Genian NAC 정책서버에 접속하여, IP 1.2.3.4에 대한 취약점 진단 내역을 조회하여 보여줍니다.)
설정 값
설정방법, 기능
profile
쉼표로 구분된 프로파일 이름 목록을 지정합니다. 미지정 시 권한 부여된 모든 Genian NAC 서버를 조회합니다.
group
노드그룹이름 기준으로 노드를 필터링합니다. (Genian NAC에 등록된 노드그룹)
ip
대상 노드의 IP주소를 지정합니다.
genian-nac-open-ports: 특정IP open port 확인기능 (Genian NAC API: /nodes/{nodeId}/information/CAT_NETINFO)
분류
내용
용도
지정된 노드의 Open 상태인 네트워크포트정보를 조회합니다.
작성방법
genian-nac-open-ports profile=프로파일명 ip=대상IP주소
예제
genian-nac-open-ports ip=1.2.3.4 (IP 1.2.3.4에 대한 open port 내역을 조회하여 보여줍니다)
설정 값
설정방법, 기능
profile
쉼표로 구분된 프로파일 이름 목록을 지정합니다. 미지정 시 권한 부여된 모든 Genian NAC 서버를 조회합니다.
ip
대상 노드의 IP주소를 지정합니다.