보안 이벤트 및 트래픽 로그
SIEM(Security Information Event Management) 시스템은 보안 정보 및 보안 이벤트 정보를 단일 관리 플랫폼으로 결합하는 것을 전문으로 하는 솔루션입니다. 보안 및 이벤트 정보는 이 정보를 SIEM에 전달하도록 구성된 서드파티 보안 솔루션에서 가져옵니다.
멀티 클라우드 방어에서는 UI 내에서 직접 보안 이벤트 정보 보기를 지원합니다. 이러한 이벤트는 섹션에서 사용할 수 있습니다. 이벤트는 다음과 같이 분류되고 볼 수 있습니다.
카테고리 |
유형 |
설명 |
---|---|---|
플로우 로그 | FLOW_LOG | 트래픽 흐름의 여러 단계와 관련된 정보 |
방화벽 이벤트 | APPID | 애플리케이션 ID를 기준으로 일치하는 트래픽(OpenAppID) |
GEOIP | Geo IP에서 제공되거나 Geo IP로 전송되는 트래픽(MaxMind) | |
L4_FW | 레이어 4 정보(소스/대상 IP/포트 및 프로토콜)를 기반으로 일치하는 트래픽 | |
MALICIOUS_IP | 악의적인 IP에서 발생하거나 악성 IP로 향하는 트래픽(TrustWave) | |
SNI | SNI 정보를 기준으로 일치하는 트래픽 | |
네트워크 위협 | AV | 바이러스가 탐지된 트래픽(ClamAV) |
DPI | IDS/IPS 위협이 탐지된 트래픽(TALOS) | |
DLP | 민감한 데이터가 유출되는 트래픽 | |
웹 보호 | WAF | 웹 애플리케이션 위협이 탐지된 트래픽(ModSecurity) |
L7DOS | Layer7 DOS 공격에 기여하는 트래픽 | |
URL 필터링 | URLFILTER | URL 범주 또는 URL과 일치하는 트래픽(BrightCloud) |
FQDN 필터링 | FQDNFILTER. | FQDN 범주 또는 FQDN과 일치하는 트래픽(BrightCloud) |
HTTPS 로그 | HTTP_REQUEST | 웹 기반 트래픽 관련 정보(HTTP) |
TLS_ERROR | TLS 오류 관련 정보 | |
TLS_LOG | TLS 동작 관련 정보 | |
트래픽 요약 로그 | SESSION_SUMMARY | 처리된 각 트래픽 세션에 대한 요약 정보 |
Note |
2.10 이상 게이트웨이 릴리스에서 플로우 로그가 더 이상 사용되지 않습니다. 각 플로우 로그에 포함된 정보는 에서 제공되는 세션 정보의 일부로 제공됩니다. |
로그 전달 프로파일을 사용하여 각 이벤트 범주를 SIEM으로 전송할 수 있습니다. 현재 멀티 클라우드 방어에서 지원되는 SIEM은 다음과 같습니다.
로그 전달 프로파일은 아래에 설명된 단계를 사용하여 작동할 수 있습니다.
독립형 이벤트 또는 트래픽 로그 프로파일 생성
Procedure
Step 1 |
으로 이동합니다. |
Step 2 |
Create(생성)를 클릭합니다. |
Step 3 |
프로파일 이름 및 설명을 지정합니다. |
Step 4 |
Type(유형)을 Standalone(독립형)으로 지정합니다. |
Step 5 |
적절한 매개변수를 입력합니다(SIEM 관련 문서 참조). |
Step 6 |
Save(저장)를 클릭합니다. |
Step 7 |
원하는 게이트웨이 연결을 추가합니다(게이트웨이 연결 추가 참조). |
독립형 이벤트 또는 트래픽 로그 프로파일 편집
Procedure
Step 1 |
으로 이동합니다. |
Step 2 |
편집할 프로파일 옆의 상자를 선택합니다. |
Step 3 |
Edit(편집)를 클릭합니다. |
Step 4 |
원하는 대로 매개변수를 수정합니다(SIEM 관련 문서 참조). |
Step 5 |
Save(저장)를 클릭합니다. |
그룹 이벤트 또는 트래픽 로그 프로파일 생성
Procedure
Step 1 |
으로 이동합니다. |
Step 2 |
Create(생성)를 클릭합니다. |
Step 3 |
프로파일 이름 및 설명을 지정합니다. |
Step 4 |
Type(유형)을 Group(그룹)으로 지정합니다. |
Step 5 |
그룹화하려는 독립형 프로파일의 수를 수용하기 위해 행을 필요한 만큼 추가합니다. |
Step 6 |
Save(저장)를 클릭합니다. |
Step 7 |
원하는 게이트웨이 연결을 추가합니다(게이트웨이 연결 추가 참조). |
그룹 이벤트 또는 트래픽 로그 프로파일 편집
Procedure
Step 1 |
으로 이동합니다. |
Step 2 |
편집할 프로파일 옆의 상자를 선택합니다. |
Step 3 |
Edit(편집)를 클릭합니다. |
Step 4 |
독립형 프로파일을 수정, 추가 또는 제거합니다. |
Step 5 |
Save(저장)를 클릭합니다. |
이벤트 또는 트래픽 로그 전달 프로파일 보기
프로시저
단계 1 |
으로 이동합니다. |
단계 2 |
세부 정보를 보려는 프로파일 링크를 선택합니다. |
단계 3 |
세부 정보를 봅니다. |
이벤트 또는 트래픽 로그 프로파일 삭제
대시보드에서 프로파일을 삭제하려면 다음 절차를 따르십시오.
Before you begin
대시보드에서 프로파일을 삭제하기 전에 이벤트 또는 프로파일과 게이트웨이 간의 연결을 반드시 제거해야 합니다. 자세한 내용은 게이트웨이 연결 제거를 참조하십시오.
Procedure
Step 1 |
으로 이동합니다. |
Step 2 |
삭제할 프로파일 옆의 상자를 선택합니다. |
Step 3 |
Delete(삭제)를 클릭합니다. |
Step 4 |
Yes(예) 또는 No(아니요)를 클릭하여 삭제 작업을 확인합니다. |