에이전트센서

에이전트센서 플러그인은 네트워크센서가 없는 네트워크 세그먼트에서 기본적인 노드 감지를 수행합니다.

네트워크를 실시간으로 모니터링하고 새로운 노드정보 또는 변경된 노드정보를 정책 서버로 전송합니다. 관리자는 정책 서버가 제공하는 관리 콘솔을 통하여 에이전트센서가 동작중인 네트워크 대역의 정보를 조회할 수 있습니다.

에이전트센서는 노드에서 주기적으로 발생되는 DHCP, NetBIOS, UPNP 및 mDNS와 같은 패킷에 포함된 정보를 수신하여 노드에 영향을주지 않고 정보를 수집할 수 있습니다. nmap,snmp 등을 이용한 정보 수집은 에이전트센서가 등록된 물리적인 센서 장비에 의해서 정보를 수집합니다.

  • 네트워크 센서를 설치 하기 어려운 네트워크 세그먼트의 노드 모니터링

  • 네트워크 제어가 필요 없이 노드 모니터링만 수행하고자 하는 네트워크 세그먼트

세부 기능 상세

  • 본 플러그인은 별도의 설정이 필요하지 않습니다.

  • 에이전트 기반 센서 플러그인은 정책서버와 직접 통신하며 에이전트센서라는 가상센서로 등록됩니다.

  • 에이전트 기반 센서는 Windows 로그인(서비스)에 관계없이 작동 가능

  • 에이전트 플러그인 기능:

    • 신규 노드 등록 : 수신 된 트래픽을 기반으로 노드를 등록 합니다.

    • 서브넷 스캔너 : 6시간 주기로 관리 네트워크(C Class)에 대산 ARP Request에 대한 응답결과를 기반으로 신규 노드를 감지합니다.

    • 노드 헬스 체크 : 10초 마다 한번씩 ICMP를 보내고 Windows에서 ARP 테이블을 확인하여 노드 링크 상태를 업데이트합니다.

    • 2분 동안 ARP 테이블에서 노드가 식별되지 않으면 10초마다 ICMP가 전송됩니다.

    • ARP 테이블에서 3분 동안 노드가 식별되지 않으면 링크 상태가 DOWN 으로 표시됩니다.

    • 플러그인은 포트 3871에서 수신 대기하여 해당 네트워크대역의 센서상태를 모니터링합니다.

      • 물리 네트워크센서가 감지되면 에이전트 센서는 대기 상태로 전환됩니다.

      • 여러 에이전트 센서 플러그인이 동일대역 에이전트에 다수 배포가 될 경우 한대의 에이전트센서만 동작합니다.

에이전트센서 사용방법

  1. 물리 네트워크센서에 에이전트센서 대역을 설정하여 에이전트센서가 해당 네트워크센서 하위로 추가될 수 있도록 합니다.

  • 상단 항목의 시스템 으로 이동합니다.

  • 장비 목록에서 네트워크센서를 선택합니다.

  • 환경설정 탭으로 이동하여 기타설정 항목 > 에이전트센서 네트워크 에 에이전트센서에서 사용할 네트워크대역을 입력합니다.

  • 수정 버튼을 클릭합니다.

  1. 에이전트센서를 사용할 대역의 노드정책에 센서노드액션을 할당합니다.

  • 상단 정책 메뉴로 이동합니다.

  • 왼쪽 정책 항목에서 노드정책 으로 이동합니다.

  • 적용하고자 하는 노드정책명 을 클릭합니다.

  • 노드액션 설정 항목에서 할당 을 클릭합니다.

  • 사용가능 항목에서 에이전트센서 을 찾아 선택 항목으로 드래그하여 이동합니다.

  • 추가 버튼을 클릭합니다.

  • 수정 버튼을 클릭합니다.

노드에 설치된 에이전트에 플러그인이 설치되고 동작하게되면 정책서버에 가상의 에이전트센서가 추가됩니다.