위험감지 사전 환경설정

네트워크 센서와 에이전트에서 위험을 감지하기 위해서는 탐지 주체에 대한 환경설정을 해야합니다.

위험감지 탐지 주체

다음과 같이 위험감지 항목 별 위험을 탐지하는 주체가 나눠지게 됩니다. 각각의 탐지 주체에 따라서 위험을 감지하기 위한 사전 설정이 필요합니다.

위험감지의 탐지 주체가 에이전트 일 경우에는 노드액션을 노드정책 에 할당해야 위험감지가 가능합니다.

위험감지 ID

위험감지 탐지 주체

설정사항

Ad Hoc 네트워크 연결

에이전트

네트워크 정보수집 플러그인

ARP Bomb

네트워크 센서

위험 트래픽 유도용 가상 IP 설정

ARP Spoofing

네트워크 센서

위험 트래픽 유도용 가상 IP 설정

MAC / IP Clone

네트워크 센서 / 에이전트(ARP Spoofing)

네트워크 센서 MAC / IP Clone 탐지 기능

Malware Detection

에이전트

Malwaer Detection 플러그인

Port Scan

네트워크 센서

위험 트래픽 유도용 가상 IP 설정

SNMP 차단요청

정책서버

SNMP Trap 수신기능

비정상적인 DHCP서버 감지

네트워크 센서

네트워크 센서 DHCP Server Scan 기능

센서 MAC Clone

네트워크 센서

네트워크 센서 MAC / IP Clone 탐지 기능, 센서 MAC 충돌회피 기능

알수없는 서비스 요청

네트워크 센서

위험 트래픽 유도용 가상 IP 설정

잘못된 게이트웨이 사용

에이전트

네트워크 정보수집 플러그인

환경 설정하기

위험 트래픽 유도용 가상 IP 설정하기

가상 IP 설정은 가상IP 설정하기 를 참고하시기 바랍니다.

네트워크 센서 DHCP Server Scan 기능 설정하기

  1. 상단 패널에 시스템 을 선택합니다.

  2. 왼쪽 시스템 메뉴에서 센서관리를 클릭합니다.

  3. 설정 대상 네트워크 센서의 체크박스를 선택합니다.

  4. 작업선택 메뉴에서 센서 일괄 설정 항목을 선택합니다.

  5. 센서 설정 메뉴에서 네트워크 스캔 항목에 DHCP Server Scan 값을 ON으로 변경합니다.

  6. 저장 버튼을 클릭합니다.

정책서버 SNMP Trap 수신기능 설정하기

  1. 상단 패널에 설정 을 선택합니다.

  2. 왼쪽 환경설정 메뉴에서 감사기록을 선택합니다.

  3. SNMP Trap 수신 항목에서 사용유무를 ON으로 설정하고, Community 값을 입력합니다.

  4. 수정 버튼을 클릭합니다.

네트워크 센서 MAC / IP Clone 탐지 기능 설정하기

  1. 상단 패널에 시스템 을 선택합니다.

  2. 왼쪽 시스템 메뉴에서 센서관리를 클릭합니다.

  3. 설정 대상 네트워크 센서의 체크박스를 선택합니다.

  4. 작업선택 메뉴에서 센서 일괄 설정 항목을 선택합니다.

  5. 센서 설정 메뉴에서 노드상태 검사 항목에 MAC+IP Clone 감지 값을 ON으로 변경합니다.

  6. 저장 버튼을 클릭합니다.