플랫폼 오탐으로 노드가 잘못된 정책을 할당받는 문제

증상

제어정책에서 감지된 노드타입 조건으로 네트워크 차단 예외를 받던 노드가 어느순간 차단정책에 할당되어 차단되는 현상

원인

조건 :

  1. 제어정책에 예외처리를 위한 노드그룹의 조건을 감지된 노드타입으로 설정

  2. 예외처리를 받던 노드의 보안설정이 변경되어 주기적으로 수행되는 노드 스캔정보가 변경됨

위 조건하에 예외정책을 할당받고 있던 노드가 네트워크센서에서 수행하는 주기적 노드 스캔으로 인하여 기존에 탐지된 정보보다 수집된 정보가 많거나 적은경우 아닌 다른 플랫폼으로 탐지.

플랫폼 오탐과 함께 노드타입도 예외처리된 노드타입이 아닌 차단정책을 할당받는 노드타입으로 변경되며 예외정책을 할당 받지 못하여 네트워크 차단.

해결 방법

감지된 노드타입,노드플랫폼은 간헐적으로 오탐이 발생할 수 있습니다. 그렇기 때문에 감지된 노드타입 이라는 조건은 예외처리 정책의 조건으로 적절하지 않습니다. 예외처리에 노드타입 조건을 사용하고자 하는 경우 노드타입-확인된 노드타입, 노드타입-감지방법-관리자지정 과 같은 조건을 사용해야 합니다.

방법1: 노드타입 - 확인된 노드타입 조건 으로 예외그룹 조건을 사용하는 방법 (권장)

  1. Web콘솔 > 관리 > 현황&필터 > 노드타입 으로 이동하여 예외처리 할 노드타입을 선택합니다.

  2. 우측 리스트화면 좌측 상단 체크박스를 선택하여 리스트에 표시된 모든 노드의 체크박스에 체크합니다.

  3. 작업선택 > 노드 및 장비 > 노드 속성 변경 을 선택합니다.

  4. 관리자가 노드타입을 확인합니다. 항목과 관리자가 플랫폼을 확인합니다. 항목에 체크하고 하단 수정 버튼을 클릭합니다.

  5. 예외처리 할 다른 노드타입도 동일한 작업을 수행합니다.

  6. 설정 > 환경설정 > 노드관리 > 노드정보 검색 항목에서 최초플랫폼정보 자동확인 옵션을 On 으로 변경합니다.

  7. 제어정책 메뉴로 이동하여 예외처리 정책의 노드그룹 조건을 노드타입 > 확인된 노드타입이 같으면 조건을 선택하여 예외처리 할 노드타입을 추가합니다.

  8. 노드타입을 모두 추가하였다면 수정 버튼을 클릭하고 화면 상단 변경정책 적용 버튼을 클릭하여 정책을 적용합니다.

Attention

확인된 노드타입과 플랫폼은 관리자가 확인한 정보라는 의미의 필드값으로 현황&필터 > 변경관리 항목에서 관리자가 직접 확인처리하여 변경하거나 노드 상세정보 화면에서 관리자가 변경하지 않는 경우 6번 설정으로 인하여 최초 탐지된 플랫폼과 노드타입이 확인된 정보로 유지됩니다.

노드의 플랫폼,타입이 기존과 다르게 탐지되는 정보는 관리 > 현황&필터 > 변경관리 메뉴와 대시보드 위젯 노드 변경관리 에서 모니터링 가능합니다.

방법2: 노드타입 - 감지방법 - 관리자지정 조건 으로 예외그룹 조건을 사용하는 방법

  1. Web콘솔 > 관리 > 현황&필터 > 노드타입 으로 이동하여 예외처리 할 노드타입을 선택합니다.

  2. 우측 리스트화면 좌측 상단 체크박스를 선택하여 리스트에 표시된 모든 노드의 체크박스에 체크합니다.

  3. 작업선택 > 노드 및 장비 > 노드 속성 변경 을 선택합니다.

  4. 노드타입을 변경(지정)합니다. 항목을 체크, 지정할 노드타입을 선택하고 하단 저장 버튼을 클릭합니다.

  5. 예외처리 할 다른 노드타입도 동일한 작업을 수행합니다.

  6. 제어정책 메뉴로 이동하여 예외처리 정책의 노드그룹 조건을 노드타입 > 감지방법 > 관리자지정 조건을 추가하고 수정 버튼을 클릭, 화면 상단 변경정책 적용 버튼을 클릭하여 정책을 적용합니다.

Attention

감지방법을 관리자지정 조건을 사용할 경우 별도의 노드타입별로 지정이 되지 않아 만약 예외처리할 노드타입이 아닌 다른노드의 노드타입을 지정한 경우 해당 노드도 예외처리 정책에 포함될 수 있습니다.

노드타입을 변경(지정) 하는 경우, 스캐닝으로 인한 갱신시 다른 노드 타입으로 변경되지 않아 기존과 동일하게 감지된 노드타입 조건 으로도 정책설정이 가능합니다.

신규로 등록되는 예외처리 노드도 모니터링하여 노드타입을 변경(지정) 해야 예외처리 누락이 되지 않습니다.

방법3: 예외 노드그룹 조건을 기존대로 사용 + 노드스캐닝 검사 OFF

  1. Web콘솔 > 관리 > 현황&필터 > 노드타입 으로 이동하여 예외처리 할 노드타입을 선택합니다.

  2. 우측 리스트화면 좌측 상단 체크박스를 선택하여 리스트에 표시된 모든 노드의 체크박스에 체크합니다.

  3. 작업선택 > 노드 및 장비 > 노드 관리 설정 을 선택합니다.

  4. 노드정보 검사 항목을 체크하고 Off 옵션을 선택, 하단 저장버튼을 클릭합니다.

Attention

노드스캐닝 검사 OFF 설정을 하게 되면, 해당 노드로의 스캔작업이 수행되지 않습니다. 그로 인해 노드 탐지 정보 갱신이 이루어지지 않아 노드타입이 변경되는 문제가 발생하지 않습니다.

새로 추가된 예외노드에도 지속적으로 해당 설정을 수행해야합니다.