주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.
는 우리가 어떻게 을 지원하는지에 대해 설명합니다.

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=NDR

Sophos NDR (ESXi 또는 Hyper-V)

로그 수집기

이 기능을 사용하려면 "Sophos Network Detection and Response" 통합 라이선스 팩이 있어야 합니다.

Sophos NDR(네트워크 감지 및 응답)은 네트워크에서 악성 행위를 감지합니다.

Sophos NDR을 Sophos Central과 통합하여 위협 분석 센터에서 해당 감지를 조사할 수 있도록 만들 수 있습니다.

이 통합에서는 가상 컴퓨터(VM)에서 호스팅되는 로그 수집기를 사용합니다. 이들을 모두 어플라이언스라고 합니다. 어플라이언스는 데이터를 수신하여 Sophos 데이터 레이크로 전달합니다.

현재 Sophos NDR은 VMware ESXi 6.7 이상 및 Microsoft Hyper-V 6.0.6001.18016(Windows Server 2016) 이상을 지원합니다.

주요 단계는 다음과 같습니다.

  • 요구 사항을 확인하십시오.
  • 통합을 구성합니다. 그러면 VM에서 사용할 이미지가 구성됩니다.
  • NDR에서 트래픽을 볼 수 있도록 스위치를 구성합니다.
  • VM에서 이미지를 다운로드하고 배포합니다. 이것이 어플라이언스가 됩니다.

요구 사항

현재 Sophos는 VMware ESXi 6.7 업데이트 3 이상 및 Microsoft Hyper-V를 지원합니다.

어플라이언스를 실행하는 VM에는 시스템 및 네트워크 액세스 요구 사항이 있습니다. 자세한 내용은 어플라이언스 요구 사항를 참조하십시오.

필요한 CPU 마이크로아키텍처 및 CPU 플래그에 대한 자세한 내용은 CPU 요구 사항를 참조하십시오.

최상의 성능을 위해 VM 크기를 조정하기 위한 빠른 가이드는 Sophos NDR VM 크기 가이드를 참조하십시오.

통합 구성

통합을 구성하려면 다음과 같이 하십시오.

  1. Sophos Central에서 위협 분석 센터 > 통합 > 마켓플레이스로 이동합니다.

  2. Sophos NDR(네트워크 감지 및 응답)을 찾아서 클릭합니다.

    마켓플레이스 페이지의 NDR 카드.

  3. NDR 페이지의 데이터 수집(보안 경고)에서 구성 추가를 클릭합니다.

    통합 설정 단계가 나타납니다.

VM 구성

  1. 1단계에서 통합의 이름 및 설명을 입력합니다.

    통합 단계.

  2. 2단계에서 NDR 로그를 수집할 어플라이언스를 선택하거나 생성합니다.

    어플라이언스당 하나의 NDR 통합만 가능합니다.

    새 어플라이언스가 필요한 경우 새 어플라이언스 생성을 클릭합니다.

    기존 어플라이언스를 사용하려면 드롭다운 목록에서 이를 선택하고 3단계로 건너뜁니다.

    통합 2단계.

  3. 새 어플라이언스를 생성하려면 다음과 같이 하십시오.

    1. 어플라이언스 이름과 설명을 입력합니다. 고유한 이름을 입력해야 합니다.

    2. 가상 플랫폼을 선택합니다. 현재 VMware ESXi 6.7 업데이트 3 이상 및 Microsoft Hyper-V만 지원합니다

    3. 인터넷 연결 네트워크 포트를 지정합니다.

      • IP 주소를 자동으로 할당하려면 DHCP를 선택합니다.

        참고

        DHCP를 선택하는 경우 IP 주소를 예약해야 합니다.

      • 네트워크 설정을 지정하려면 수동을 선택합니다. 예:

      • IP 주소: 10.0.252.5

        • 서브넷 마스크: 255.255.255.0
        • 게이트웨이 주소: 10.0.252.1
        • DNS 1: 8.8.8.8
        • DNS 2: 8.8.4.4

    통합 2단계 VM 설정.

  4. 3단계에서 특정 도메인 및 프로토콜을 검사에서 제외합니다. 예를 들어 잘못된 감지를 발생시키는 도메인이 있는 경우 이것을 수행할 수 있습니다.

    제외 항목을 나중에 설정할 수 있지만 제외 목록 이름은 지금 입력해야 합니다.

    1. 제외 목록 이름을 입력합니다.
    2. 도메인을 제외하려면 도메인 제외를 클릭합니다. 도메인 이름(예:sophos.com)을 입력하고 추가를 클릭합니다.

    3. 프로토콜을 제외하려면 프로토콜 제외를 클릭합니다. 다음 필드 중 하나 또는 둘 다에 정보를 입력할 수 있습니다.

      • 첫 번째 필드에 마스터 프로토콜을 입력합니다. 예: TCP 또는 UDP.
      • 두 번째 필드에 하위 프로토콜(웹 사이트)을 입력합니다. 예: facebook.

      두 필드에 정보를 입력하면, 하나의 점 구분 기호를 통해 하나의 문자열로 조합됩니다.

      마스터 프로토콜을 완전히 제외하는 것은 권장되지 않습니다. 라우팅 프로토콜처럼 일반적으로 위험하지 않은 트래픽이 많은 프로토콜이 너무 많은 데이터를 생성하는 경우에만 이 작업을 수행하십시오.

      스크린샷은 예제 정보를 보여 줍니다.

    4. 추가를 클릭합니다.

    제외 항목을 JSON 파일로 내보낼 수 있습니다. 이전에 내보낸 JSON 파일에서 제외 항목을 목록에 업로드할 수도 있습니다.

    통합 3단계 제외.

  5. 저장을 클릭합니다.

NDR 페이지의 구성된 통합 목록에 새 통합이 표시됩니다.

그런 다음 NDR 어플라이언스가 네트워크 트래픽을 모니터링할 수 있도록 스위치를 구성합니다.

스위치 구성

Sophos NDR VM을 다운로드하여 배포하기 전에 SPAN(Switched Port Analyzer)이라고도 하는 포트 미러링을 설정해야 합니다. 이는 스위치의 포트 또는 VLAN에서 들어오고 나가는 트래픽의 복사본을 분석을 위해 다른 스위치 포트로 전달합니다.

가상 내부 및 물리적 외부 네트워크 트래픽 모두에 대해 포트 미러링을 구성해야 합니다.

나중에 NDR VM 어플라이언스를 배포할 때 NDR이 네트워크 트래픽을 모니터링할 수 있도록 SPAN 포트에 연결할 수 있습니다.

포트 미러링에 대한 지침은 ESXi 또는 Hyper-V에서 NDR을 설정하는지 여부에 따라 달라집니다. 아래에서 가상 환경에 해당하는 탭을 클릭합니다.

ESXi를 사용하는 경우 포트 미러링에는 다음 단계가 포함됩니다.

  • 가상 스위치 구성.
  • 물리적 스위치 구성.

가상 스위치 구성

가상 내부 스위치에 대해 포트 미러링을 설정하려면 다음과 같이 하십시오.

  1. ESXi에서 네트워킹으로 이동합니다. 가상 스위치 탭에서 포트 미러링에 사용할 스위치를 선택합니다.

사용할 스위치가 아직 없는 경우 표준 가상 스위치 추가를 클릭하여 새 스위치를 추가하고 여기에 포트 그룹을 추가합니다.

가상 스위치.

  1. 포트 그룹 탭에서 포트 그룹 추가를 클릭합니다.

    새 포트 그룹.

  2. 새 포트 그룹에 대한 설정에서 다음과 같이 하십시오.

    1. 이름을 입력합니다.
    2. VLAN ID를 4095로 설정합니다. 이렇게 하면 이미 스위치에 있는 다른 모든 포트 그룹이 트래픽을 새 포트 그룹으로 전달할 수 있습니다.
    3. 보안을 클릭하고 무차별 모드수락으로 설정합니다.
    4. 추가를 클릭합니다.

    가상 내부 네트워크 트래픽에 대한 전달을 설정했습니다. 다음 단계에 설명된 대로 물리적 외부 트래픽에 대해 동일한 작업을 수행합니다.

  3. ESXi에서 네트워크의 물리적 스위치가 보낸 물리적 외부 트래픽을 처리할 다른 가상 스위치를 선택하거나 생성합니다.

  4. 다음과 같이 스위치를 구성합니다.

    1. 포트 그룹으로 이동하여 포트 그룹 추가를 클릭합니다.
    2. 이름을 입력합니다.
    3. VLAN ID를 4095로 설정합니다.
    4. 보안을 클릭하고 무차별 모드수락으로 설정합니다.

그런 다음 외부 트래픽을 수신할 수 있도록 가상 스위치를 물리적 네트워크에 연결합니다.

  1. ESXi 왼쪽 메뉴에서 네트워킹으로 이동하여 외부 트래픽에 사용할 스위치를 선택합니다.

    vSwitch 선택됨.

  2. 스위치 세부 정보에서 vSwitch 토폴로지를 찾습니다. "물리적 어댑터 없음"이 표시됩니다.

    vSwitch 토폴로지.

  3. 업링크 추가를 클릭합니다.

    업링크 버튼 추가.

  4. 업링크 1에서 사용 가능한 NIC(네트워크 인터페이스 카드)를 선택합니다. 그러면 가상 스위치가 ESXi 서버의 포트에 연결됩니다.

    업링크 1.

  5. 네트워크 토폴로지에서 연결된 물리적 어댑터를 볼 수 있는지 확인합니다.

    물리적 어댑터.

  6. 물리적 스위치로 이동하고 케이블을 사용하여 ESXi 서버의 포트에 직접 연결합니다.

다음으로, 물리적 스위치에서 미러링을 설정해야 합니다.

물리적 스위치 구성

이 섹션에서는 Sophos 스위치에서 포트 미러링을 설정하는 방법에 대해 설명합니다. 다른 스위치의 설정 단계는 다릅니다.

미러링을 설정하려면 다음과 같이 하십시오.

  1. Sophos Central에서 스위치로 이동합니다.

  2. 구성할 스위치를 선택하고 명령 실행을 클릭합니다.

    Sophos Central의 스위치 페이지.

  3. 스위치 명령 실행 콘솔에서 명령을 입력하여 모든 트래픽을 미러링합니다. 이 예에서 명령은 포트 1~4의 모든 수신 및 발신 트래픽을 미러링하고 포트 8에서 전송합니다.

configure terminal
monitor session 1 destination interface gigabitethernet 0/8 allow-ingress
monitor session 1 source interface gigabitethernet 0/1 both
monitor session 1 source interface gigabitethernet 0/2 both
monitor session 1 source interface gigabitethernet 0/3 both
monitor session 1 source interface gigabitethernet 0/4 both
save
end
show monitor session 1

![명령줄 콘솔을 전환합니다.](../././../../images/ndr-switch-commands.png)

  1. 실행을 클릭합니다. 콘솔에는 명령이 녹색 배경에서 실행되는 것처럼 표시됩니다.

    스위치 콘솔 실행 명령.

  2. 마지막 명령을 실행하면 콘솔에 완료된 구성이 표시됩니다. 닫기를 클릭합니다.

    스위치 콘솔 실행 명령.

SPAN 포트로의 트래픽 전달 설정을 완료했습니다. 나중에 Sophos NDR을 구성하여 해당 트래픽을 모니터링할 수 있습니다.

Hyper-V를 사용하는 경우 포트 미러링에는 다음 단계가 포함됩니다.

  • Hyper-V를 사용하여 트래픽 미러링 포트를 구성합니다.
  • SPAN 가상 인터페이스를 가상 스위치에 연결합니다.
  • Microsoft NDIS 캡처 확장을 켭니다.
  • 스위치의 미러링 모드를 구성합니다.
  • 트래픽 미러링을 검증합니다.

Hyper-V를 사용하는 경우 Hyper-V vSwitch로 트래픽 미러링 구성을 참조하십시오.

그런 다음 NDR VM 이미지를 다운로드합니다.

VM 이미지 다운로드

이제 새 VM을 배포하고 부팅하는 데 필요한 NDR 이미지를 다운로드합니다.

  1. 새 통합 옆에 있는 작업 열에서 점 3개 아이콘.을 클릭하고 해당 플랫폼에 대해 다운로드를 선택합니다(예: ESXi용 OVA 파일 다운로드).

    다운로드가 시작됩니다.

    다운로드 메뉴.

  2. 통합 이름 왼쪽에 있는 아이콘 위로 마우스를 가져갑니다. 이제 "배포 대기 중"이 표시됩니다.

    통합 상태.

이제 VM을 배포할 준비가 되었습니다.

VM 배포

지침을 보려면 아래에서 사용 중인 플랫폼에 해당하는 탭을 클릭하십시오.

제한

ESXi를 사용하는 경우, OVA 파일은 Sophos Central로 확인되므로 한 번만 사용할 수 있습니다. 새 VM을 배포해야 하는 경우 Sophos Central에서 OVA 파일을 다시 만들어야 합니다.

경고

EVC(Enhanced vMotion Compatibility) 클러스터에서 실행되는 ESXi 호스트에 OVA를 배포하는 경우 EVC가 Skylake 이상 모드여야 합니다.

  1. ESXi 호스트로 이동합니다.

  2. 가상 머신을 선택하고 VM 생성/등록을 클릭합니다.

    VM 만들기/등록 탭.

  3. 생성 유형 선택에서 OVF 또는 OVA 파일에서 가상 머신 배포를 선택합니다. 다음을 클릭합니다.

    생성 유형 선택합니다.

  4. OVF 및 VMDK 파일 선택에서 VM 이름을 입력합니다.

    페이지를 클릭하여 파일을 선택합니다. OVA 파일 ndr-sensor.ova를 선택합니다. 다음을 클릭합니다.

    OVA 파일을 선택합니다.

  5. 스토리지 선택에서 표준을 선택합니다. 그런 다음 VM을 배치할 데이터 저장소를 선택합니다. 다음을 클릭합니다.

    스토리지를 선택합니다.

  6. 배포 옵션에 다음과 같이 설정을 입력합니다.

    1. SPAN1에서 NDR 응용 프로그램에 대해 SPAN 트래픽을 수신할 포트 그룹을 선택합니다. 앞서 이것을 구성했습니다. 스위치 구성을 참조하십시오.

    2. span2에서 SPAN 트래픽을 수신하여 모니터링이 필요한 두 번째 포트 그룹을 선택합니다(있는 경우). 예를 들어 물리적 스위치와 트래픽을 물리적 스위치로 전송하지 않는 vSwitch가 있을 수 있습니다.

      span2를 사용하는 경우 VM의 CPU 수를 8개 이상으로 늘려야 합니다. Sophos NDR VM 크기 가이드을 참조하십시오.

    3. Sophos NDR에는 SYSLOG가 필요하지 않습니다. 임의의 포트 그룹을 자리 표시자로 선택하고 나중에 VM 설정에서 연결을 끊습니다.

    4. MGMT에서 해당 관리 인터페이스를 선택합니다. 이 인터페이스를 통해 어플라이언스는 Sophos Central로 데이터를 전송할 수 있습니다.

      초기에 Sophos Central의 인터넷 연결 네트워크 포트 설정에서 이 인터페이스를 설정하십시오.

      어플라이언스 설정 중에 DHCP를 선택한 경우 VM이 DHCP를 통해 IP 주소를 가져올 수 있는지 확인합니다.

    5. 디스크 프로비저닝에서 이 선택되어 있는지 확인합니다.

    6. 자동으로 전원 켜기가 선택되어 있는지 확인합니다.
    7. 다음을 클릭합니다.

    배포 옵션.

  7. 추가 설정 단계를 건너뜁니다.

  8. 마침을 클릭합니다. 새 VM이 VM 목록에 나타날 때까지 기다립니다. 몇 분 정도 걸릴 수 있습니다.

    완료하기 위해 준비합니다.

  9. VM의 전원을 켜고 설치 프로세스가 완료될 때까지 기다립니다.

    VM이 처음으로 부팅되고 올바른 vSwitch와 인터넷에 연결할 수 있는지 확인합니다. 그런 다음 재부팅됩니다. 이 작업은 최대 10분 정도 걸릴 수 있습니다.

    경고

    이 프로세스를 중단하지 마십시오.

  10. Sophos Central에서 NDR 통합 페이지로 이동하여 새로 고칩니다. 이제 VM의 상태가 연결됨입니다.

    통합 상태.

VM의 상태가 연결됨이지만 작동하지 않는 것 같다면, NDR용 Sophos VA 콘솔에서 Dragonfly 서비스의 상태를 확인합니다. Sophos VA 콘솔을 참조하십시오.

콘솔에 Dragonfly 서비스가 보류 중 상태이고 VM이 EVC(Enhanced vMotion Compatibility) 클러스터에 있는 경우 EVC 모드가 Skylake 이상인지 확인합니다.

Sophos NDR VA는 Sandy Bridge 모드의 EVC 클러스터에서의 실행을 지원하지 않습니다.

Sophos Central에서 다운로드한 Zip 파일에는 가상 드라이브, seed.iso 및 Powershell 스크립트와 같이 VM을 배포하는 데 필요한 파일이 들어 있습니다.

VM을 배포하려면 다음과 같이 하십시오.

  1. 하드 드라이브의 폴더에 Zip 파일의 압축을 풉니다.
  2. 해당 폴더로 이동하여 ndr-sensor.ps1 파일을 마우스 오른쪽 단추로 클릭하고 PowerShell로 실행을 선택합니다.

  3. 보안 경고 메시지가 표시되면 열기를 클릭하여 파일 실행을 허용합니다.

    일련의 질문에 답하라는 메시지가 표시됩니다.

  4. VM에 이름을 지정합니다.

  5. 스크립트는 VM 파일이 저장될 폴더를 표시합니다. 이것은 가상 드라이브의 기본 설치 위치에 있는 새 폴더입니다. 스크립트가 생성하도록 하려면 C를 입력하십시오.
  6. VM에 사용할 프로세서(CPU) 수를 입력합니다.
  7. 사용할 메모리 양을 GB 단위로 입력합니다.

  8. 이 스크립트는 현재 모든 vSwitch에 대해 번호가 매겨진 목록을 표시합니다.

    관리 인터페이스를 연결할 vSwitch를 선택하고 해당 번호를 입력합니다. 이 인터페이스를 통해 어플라이언스가 Sophos 데이터 레이크로 데이터를 전송할 수 있습니다.

    초기에 Sophos Central의 인터넷 연결 네트워크 포트 설정에서 이 인터페이스를 설정하십시오.

    설정 중에 DHCP를 선택한 경우 VM이 DHCP를 통해 IP 주소를 가져올 수 있는지 확인합니다.

    Hyper-V VM 배포 스크립트.

  9. syslog 인터페이스에 대해 vSwitch를 입력할 필요가 없습니다. 이것은 타사 제품 통합에만 관련있습니다.

    vSwitch를 플레이스홀더로 선택하고 나중에 VM 설정에서 연결을 해제합니다.

  10. NDR 응용 프로그램에 대한 SPAN 트래픽을 수신할 vSwitch를 선택합니다. 앞서 이것을 구성했습니다. 스위치 구성을 참조하십시오.

  11. 선택 사항으로 SPAN 트래픽을 수신하고 모니터링이 필요한 두 번째 vSwitch를 선택합니다(있는 경우). 예를 들어 물리적 스위치와 트래픽을 물리적 스위치로 전송하지 않는 vSwitch가 있을 수 있습니다.

    두 번째 vSwitch를 사용하는 경우 VM의 CPU 수를 최소 8개로 늘려야 합니다. Sophos NDR VM 크기 가이드을 참조하십시오.

  12. PowerShell 스크립트는 Hyper-V에서 VM을 설정합니다. 설치 완료 메시지가 표시됩니다.

  13. 종료하려면 아무 키나 누르십시오.

  14. Hyper-V 관리자를 열어 가상 컴퓨터 목록에 추가된 VM을 확인합니다. 설정을 변경해야 하는 경우 변경할 수 있습니다. 그런 다음 전원을 켭니다.

    VM이 처음으로 부팅되고 올바른 vSwitch 및 인터넷에 연결할 수 있는지 확인합니다. 그런 다음 재부팅됩니다. 이 작업은 최대 10분 정도 걸릴 수 있습니다.

  15. Sophos Central에서, 통합하려는 제품의 통합 페이지로 이동하여 새로 고침합니다. 이제 VM의 상태가 연결됨입니다.

    통합 상태.