• Inspector(검사기) - 검사기는 FTP와 같은 특정 유형의 트래픽에서 프로토콜 변칙을 검사합니다.

• Binders(바인더) - 바인더 검사기는 트래픽을 검사하기 위해 서비스 검사기를 사용해야 하는 시기를 결정합니다. 바인딩 검사기의 구성에는 포트, 호스트, CIDR 및 네트워크 분석 정책의 다른 검사기가 트래픽을 검사해야 하는 시기를 정의하는 서비스가 포함됩니다.

• 다음을 사용하여 JSON 편집기에서 보기를 제어합니다.

  • JSON 파일의 전체 텍스트 검색을 수행하려면 Filter(필터) 편집 상자를 사용합니다.

  • JSON 파일의 모든 폴더를 열려면 Expand All Fields(모든 필드 확장)() 버튼을 클릭합니다.

  • JSON 파일의 모든 폴더를 닫으려면 Collapse All Fields(모든 필드 축소)() 버튼을 클릭합니다.

  • 최근 변경 사항을 취소하려면 Undo Last Action(마지막 작업 실행 취소)() 버튼을 클릭합니다

  • 마지막으로 되돌린 변경 사항을 다시 적용하려면 Redo(다시 실행)() 버튼을 클릭합니다.

  • 작업 메뉴, 오류 플래그 및 편집을 안내하는 기타 기능이 포함된 JSON 파일의 형식이 지정된 보기를 보려면 Tree(트리)를 선택합니다.

  • 원시 JSON 파일을 보려면 Code(코드)를 선택합니다.

• 트리 보기에서 Menu(메뉴)() 버튼을 클릭하여 파일의 내용을 조작합니다 다음 작업을 수행할 수 있습니다.

  • 속성을 삽입합니다. 편집기를 사용하여 적절한 데이터 유형을 결정하도록 하려면 Auto(자동)를 사용합니다. 그렇지 않으면 배열, 개체 또는 문자열을 추가합니다. 유효하지 않은 속성을 추가하는 경우 시스템은 검사기 또는 바인더를 해결해야 하는 문제가 있는 것으로 표시합니다.

  • 속성을 추가합니다. 이 작업은 삽입과 동일하지만 섹션 끝에 속성을 배치합니다.

  • 선택한 속성을 복제합니다.

  • 선택한 속성을 제거(삭제)합니다. 속성을 편집할 때 팝업 메시지에 삭제 명령이 제공될 수도 있습니다.

• 현재 비활성화된 검사기를 활성화하거나 부울 속성의 설정을 변경하려면 속성 값 앞에 있는 확인란을 클릭합니다. 예를 들어, 검사기를 활성화하려면 enabled : false 속성을 다음과 같이 변경합니다.

  
  

  

  
  

• 문자열 또는 숫자 속성의 값을 변경하려면 속성을 클릭하고 필요에 따라 값을 편집합니다. 항목이 필드의 규칙을 위반할 경우, 오류 메시지에서 불일치를 설명합니다. 예를 들어, 범위를 벗어난 값을 입력하는 경우 숫자 값에 유효한 값 범위가 표시됩니다.

• 재정의 재설정:

  • Reset Inspector/Binder Overrides(검사기/바인더 재정의 재설정)를 클릭하여 모든 검사기 또는 바인더에 대한 모든 변경 사항을 제거하고 기본값으로 되돌립니다. 명령 이름에 표시된 대로 삭제는 검사기 또는 바인더로 제한됩니다. 예를 들어, 모든 바인더 재정의를 삭제해도 검사기 재정의는 변경되지 않습니다.

  • Reset Inspector to Defaults(검사기를 기본값으로 재설정)를 클릭하여 선택한 검사기의 모든 변경 사항만 되돌립니다.

• 재정의가 있는 검사기만 볼 수 있도록 보기를 필터링하려면 Show Only Overrides(재정의만 표시)를 클릭합니다. Show All Inspectors(모든 검사기 표시)를 클릭하여 필터를 제거합니다.

• 검사기가 더 이상 지원되지 않으면 검사기는 메시지와 함께 플래그가 지정됩니다. 메시지에서 Delete Inspector(검사기 삭제) 링크를 클릭하여 검사기를 제거합니다.

• 현재 선택한 NAP의 스키마를 다운로드하려면 기어 아이콘()을 클릭하고 Download(다운로드) > Policy Schema(정책 스키마)를 선택합니다

• 현재 편집 세션 이전에 있었던 것처럼 저장된 재정의 세트를 다운로드하려면 기어 아이콘()을 클릭하고 Download(다운로드) > Last Saved Overrides(마지막으로 저장된 재정의)를 선택합니다. 파일에는 재정의된 속성과 해당 속성에 포함된 개체가 있습니다.

• 현재 편집 세션에서 생성한 재정의를 다운로드하려면 기어 아이콘()을 클릭하고 Download(다운로드) > Current Unsaved Overrides(현재 저장되지 않은 재정의)를 선택합니다. 파일에는 재정의된 속성과 해당 속성에 포함된 개체가 있습니다.

마지막으로 저장한 재정의(현재 편집 세션 전에 수행한 재정의) 또는 현재 저장되지 않은 재정의(현재 편집 세션 중에 수행한 재정의)를 다운로드할 수 있습니다.

• 새 정책을 생성하려면 +를 클릭합니다.

• 기존 정책을 편집하려면, 정책에 대한 편집 아이콘()을 클릭합니다. 정책 상세정보가 표시되면 페이지 상단의 정책 속성 섹션에서 Edit(수정) 링크를 클릭합니다.

• Prevention(차단) - 침입 규칙 작업이 항상 적용됩니다. 삭제 규칙과 일치하는 연결이 차단됩니다.

• Detection(탐지) - 침입 규칙에서 알림만 생성합니다. 삭제 규칙과 일치하는 연결을 통해 알림 메시지가 생성되지만 연결은 차단되지 않습니다.

기본 템플릿은 Cisco Talos에서 제공합니다. 각각에 대한 정보 아이콘을 클릭하면 정책에 대한 추가 정보를 확인할 수 있습니다. 새 규칙 패키지가 설치되면 정책 이름이 변경될 수 있으며 새 정책이 표시됩니다.

• Maximum Detection(최대 탐지) (Cisco Talos) — 이 정책은 오로지 보안에 중점을 둡니다. 네트워크 연결 및 처리량을 보장하지 않으며 오탐이 발생할 수 있습니다. 이 정책은 강력한 보안이 필요한 영역에만 사용해야 하며, 알림을 조사하여 유효성을 확인할 보안 모니터를 마련해야 합니다.

• Security Over Connectivity(보안이 연결에 우선함) (Cisco Talos) — 이 정책은 가급적 네트워크 연결 및 처리량 대신 보안에 중점을 둡니다. 트래픽을 더 자세히 검사하고 더 많은 규칙을 평가하지만 합당한 수준 내에서 오탐이 발생하고 레이턴시가 증가합니다.

• Balanced Security and Connectivity(보안과 연결의 균형 유지) (Cisco Talos) — (기본값) 이 정책은 네트워크 연결 및 처리량과 보안 요구 사항의 사이에서 절묘한 균형을 유지하려 합니다. 이 정책은 연결성보다 보안 우선 정책만큼 엄격하지는 않지만 정상적인 트래픽을 가급적 방해하지 않으면서 사용자의 안전을 유지하려 합니다.

• Connectivity Over Security(연결이 보안에 우선함) (Cisco Talos) — 이 정책은 가급적 보안 대신 네트워크 연결성 및 처리량에 중점을 둡니다. 트래픽을 자세히 검사하지 않으며 평가하는 규칙도 더 적습니다.

• No Rules Active(활성 규칙 없음) (Cisco Talos) — 이 정책은 일반적인 전 처리기 설정을 지정하는 기본 정책이지만 규칙 또는 기본 제공 알림을 활성화하지 않습니다. 적용하려는 정책만 활성화되도록 하려면 이 정책을 기본으로 사용합니다.

침입 정책 목록으로 돌아갑니다. 이제 새 정책을 보고 필요에 따라 규칙 작업을 조정할 수 있습니다.

정책에는 다음 섹션이 포함되어 있습니다.

• Policy Name(정책 이름) 드롭다운 목록

  • 드롭다운 목록에서 다른 정책을 선택하여 쉽게 전환하거나 뒤로 버튼()을 클릭하여 정책 목록으로 돌아갈 수 있습니다.

  • 정책 이름() 옆에 있는 삭제 아이콘을 클릭하여 이 정책을 삭제할 수 있습니다.

• General properties(일반 속성) 이 섹션에서는 침입 모드, 기본 정책 및 설명을 보여줍니다. Edit(수정)를 클릭하여 이러한 속성 또는 정책 이름을 변경합니다.

• 규칙 그룹 목차. 이 목록에는 정책에 액티브 규칙이 있는 모든 규칙 그룹이 표시됩니다. 그룹에는 더 큰 상위 그룹 내에서 규칙의 하위 세트를 구성하는 하위 그룹을 포함한 상위 그룹을 가진 계층 구조가 있습니다. 각 그룹은 규칙의 논리적 모음이며 지정된 규칙이 둘 이상의 그룹에 표시될 수 있습니다.

  • 현재 정책에 액티브 규칙이 없는 그룹을 추가하려면 + > Add Existing Rule Group(기존 규칙 그룹 추가)을 클릭하여 그룹을 선택합니다. 침입 정책에서 규칙 그룹 추가 또는 제거(Snort 3)의 내용을 참조하십시오.

  • 그룹의 보안 레벨을 변경하려면 목록에서 하위 그룹을 선택합니다. 규칙 목록이 아래에 나열된 그룹의 규칙과 함께 맨 위에 보안 레벨을 표시하도록 변경됩니다. 보안 레벨 옆에 있는 Edit(수정) 링크를 클릭하여 새 레벨을 선택합니다. 수정할 때는 View Description(설명 보기)을 클릭하여 각 보안 레벨에 대한 정보를 가져옵니다. 레벨을 변경하면 액티브 상태인 규칙이 변경될 수 있으며, 보다 많은 액티브 규칙 및 삭제 작업을 가진 보다 많은 규칙을 사용하는 경향이 있는 안전한 레벨을 사용하여 지정된 규칙에 대한 작업도 변경될 수 있습니다. OK(확인)를 클릭하여 변경을 확인합니다. (보안 수준은 맞춤형 규칙 그룹에 적용되지 않습니다.)

    
    

    

    
    

  • 그룹의 모든 규칙을 제거하려면 목록에서 하위 그룹을 선택합니다. 그 다음 그룹 이름의 맨 오른쪽에 있는 Exclude(제외) 링크를 클릭하고 그룹을 제외할 것임을 확인합니다. 그룹을 제외하면 그룹의 모든 규칙이 간단히 비활성화됩니다. 그룹은 삭제되지 않습니다.

    그러나 활성화된 다른 그룹과 공유하는 규칙이 그룹에 포함된 경우 공유 규칙은 여전히 액티브 상태인 그룹에서 적용한 모든 작업을 유지합니다. 모든 경우, 그룹 구성원 자격에 관계없이 개별 규칙에 대해 가장 적극적인 설정을 유지합니다.

  • 맞춤형 규칙의 새 맞춤형 규칙 그룹을 추가하려면 + > Upload Custom Rules(맞춤형 규칙 업로드)를 클릭합니다. 자세한 내용은 맞춤형 침입 규칙 업로드 섹션을 참조해 주십시오.

  • 맞춤형 규칙 그룹의 이름 또는 설명을 변경하려면 Edit(편집)를 클릭합니다.

  • 맞춤형 규칙 그룹을 삭제하려면 Delete(삭제)를 클릭합니다. 자세한 내용은 맞춤형 침입 규칙 및 규칙 그룹 관리를 참고하십시오.

  • 맞춤형 규칙 그룹에 새 맞춤형 규칙을 추가하려면 규칙 테이블 위에 있는 +를 클릭합니다. 개별 맞춤형 침입 규칙 설정의 내용을 참조하십시오.

  • 맞춤형 규칙에 대한 그룹 멤버십을 편집, 복제, 삭제 또는 관리하려면 규칙 오른쪽에 마우스를 두고 해당 버튼 또는 명령을 클릭합니다. 자세한 내용은 개별 맞춤형 침입 규칙 설정를 참고하십시오.

• List of rules(규칙 목록). 전체 텍스트 검색을 사용하여 규칙을 찾으려면 검색 필드를 이용하십시오. GID 또는 SID의 조합에서 검색할 필터링 항목을 선택하거나 (추가한) 사용자 정의 규칙만 표시하거나,작업이 재정의된 규칙만 표시하거나, 해당 작업(비활성, 알림, 삭제)을 기준으로 간단히 규칙을 표시할 수도 있습니다. 규칙은 느리게 로드되므로 필터링되지 않은 전체 목록을 스크롤하려면 시간이 조금 걸립니다. 목록을 필터링할 때 새로 고침 버튼을 클릭하여 필터링된 보기를 다시 로드합니다.

  • 규칙에 대한 작업을 변경하려면 해당 규칙에 대한 Action(작업) 셀을 클릭하고 새 작업, 즉 Alert(알림) 전용, 일치하는 트래픽 Block(차단) 또는 규칙 Disable(비활성화)을 선택합니다. 각 규칙에 대한 기본 작업이 표시됩니다.

  • 한 번에 두 개 이상의 규칙에 대한 작업을 변경하려면 변경할 규칙의 왼쪽 열에 있는 체크 박스를 클릭한 다음 규칙 테이블 위의 Action(작업) 드롭다운 목록에서 새 작업을 선택합니다. GID:SID 헤더의 체크 박스를 클릭하여 목록의 모든 규칙을 선택합니다. 한 번에 최대 5,000개의 규칙을 변경할 수 있습니다.

  • 맞춤형 규칙 그룹 내에서 규칙을 업데이트하려면 Upload Rule File(규칙 파일 업로드)을 클릭합니다. 자세한 내용은 맞춤형 침입 규칙 업로드를 참고하십시오.

  • 규칙에 대한 자세한 정보를 얻으려면 GID:SID 셀의 링크를 클릭합니다. 링크를 클릭하면 Snort.org로 이동됩니다.

  • 나열된 규칙을 변경하려면 규칙 그룹 목차에서 상위 그룹이 아닌 하위 그룹을 클릭하면 됩니다. 규칙 그룹 목록의 맨 위에 있는 ALL RULES(모든 규칙)를 클릭하여 모든 규칙 목록으로 돌아갈 수 있습니다.

  • 정렬 순서를 변경하려면 열의 테이블 헤더를 클릭합니다. 규칙의 기본 정렬은 재정의된 규칙, 삭제 규칙, 알림 규칙 순입니다.

  • 침입 규칙(LSP) 업데이트의 변경 사항을 확인하려면 필터 필드에서 LSP Update(LSP 업데이트)를 선택한 다음 변경 사항을 확인하려는 업데이트를 선택하고, 모든 변경 사항을 볼지 아니면 규칙에 대한 추가 또는 변경 사항만 표시할지를 지정합니다.

• 그룹을 선택한 다음, 규칙 목록 위의 그룹 이름 맨 오른쪽에 있는 Exclude(제외) 링크를 클릭합니다.

• 그룹을 추가하는 방법을 사용합니다. 대신 원치 않는 그룹을 선택 취소하고(즉, 체크 박스 선택을 취소) OK(확인)를 클릭합니다.

• 맞춤형 규칙 그룹을 삭제하여 시스템 및 이를 사용하는 모든 침입 정책에서 완전히 제거할 수 있습니다. 그룹을 선택한 다음 Delete(삭제)를 클릭합니다.

기본 제공 정책 중 하나가 아닌 맞춤형 침입 정책에 사용자 지정 규칙을 추가하는 것이 좋습니다.

• 그룹을 생성하려면 + > Upload Custom Rules(맞춤형 규칙 업로드)를 클릭합니다. 맞춤형 침입 규칙 업로드의 내용을 참조하십시오.

• 그룹의 이름 또는 설명을 편집하려면 User Defined Groups 폴더의 그룹 콘텐츠 테이블에서 그룹을 선택합니다. 이후 Edit(편집)를 클릭하고 변경합니다.

• 정책에서 그룹 및 그룹의 규칙을 제외하려면 User Defined Groups 폴더의 그룹 콘텐츠 테이블에서 그룹을 선택합니다. 이후 Exclude(제외)를 클릭하여 그룹을 제거할 수 있습니다.

• 시스템과 그룹을 사용하는 모든 정책에서 그룹을 삭제하려면 User Defined Groups 폴더의 그룹 콘텐츠 테이블에서 그룹을 선택합니다. 그런 다음 Delete(삭제)를 클릭합니다. 규칙이 삭제된 그룹에만 있는 경우 시스템에서도 삭제됩니다. 하지만 삭제하지 않은 다른 맞춤형 규칙 그룹에도 규칙이 있는 경우 규칙은 해당 그룹에서 그대로 유지됩니다.

• 그룹에서 규칙을 대량으로 교체하거나 업데이트하려면 User Defined Groups 폴더의 그룹 콘텐츠 테이블에서 그룹을 선택합니다. 그런 다음 그룹의 규칙 테이블 위에 있는 Action(작업) 드롭다운 목록에서 Upload Rule File(규칙 파일 업로드)을 클릭합니다. 해당 프로세스는 맞춤형 침입 규칙 업로드에서 설명한 것과 동일합니다.

• 개별 규칙과 그룹에 대한 규칙 할당을 생성 및 관리하려면 개별 맞춤형 침입 규칙 설정의 내용을 참조하십시오.