ePO 5.3.2에 수신된 위협 이벤트를 syslog 서버로 직접 전달하는 기능이 도입되었으며 ePO가 등록된 서버로 정의됩니다. 이 문서에서는 Windows 환경에서 테스트에 사용할 syslog 서버를 설정하는 방법에 대해 설명합니다.
참고: 이 문서는 확정적인 것은 아닙니다. Windows 및 다양한 유형의 UNIX에 syslog의 다양한 구현이 있습니다. 이 문서는 ePO 관리자가 테스트용으로 Windows syslog 환경을 설정할 때 도움이되는 빠른 안내서입니다.
사전 요구 사항 시작하기 전에 ePO 5.9 설치 또는 핫픽스 1185471이 적용된 ePO 5.3.2 설치가 있어야 합니다. ePO 5.3.2에 핫픽스 1185471을 적용하지 않고 syslog 서버 설치를 완료할 수 있지만 ePO는 syslog 서버와 통신할 수
없습니다.
중요: 핫픽스 1185471이 적용된 ePO 5.3.2를 사용하고 추가 에이전트 처리기가 있는 경우 에이전트 처리기의 두 파일을 ePO 서버에서 가져온 핫픽스 버전으로 바꾸려면 추가 단계가 필요합니다. 자세한 내용은
KB87469를 참조하십시오.
참고: ePO 플랫폼은 타사 syslog 서버의 통합을 지원하는 기술적 메커니즘을 제공하지만 타사 syslog 서버의 설정, 구성 또는 문제 해결은 지원되지
않습니다.
이 문서의 목적을 위해 다음 소프트웨어가 필요합니다.
syslog 서버를 호스트하는 시스템에서:
- OpenSSL을 설치하고 기본값을 사용합니다(예: 기본 디렉터리인 C:\ OpenSSL-Win32에 설치).
- Bitnami Elk Stack을 설치하고 기본값을 사용합니다(예: 기본 디렉터리인 C:\Bitnami\elk-5.6.3-0에 설치).
- 설치가 끝나면 Bitnami Elk Stack 시작 옵션을 선택하고 확인을 클릭합니다.
웹 브라우저와 Bitnami Elk Stack 관리 도구가 열립니다.
- 웹 브라우저를 닫습니다. 관리 도구에서 서버 관리 탭을 클릭하고 모두 중지를 클릭하여 Elk Stack 서비스를 중지합니다.
- syslog 서버에 대해 자체 서명된 인증서를 생성합니다.
- 관리자 명령 프롬프트를 엽니다.
- 디렉터리(cd)를 C:\OpenSSL-Win32\bin으로 변경합니다.
- 다음 명령을 실행합니다.
openssl req -newkey rsa:2048 -nodes -keyout C:\syslogselfsigned.key -x509 -days 365 -out C:\syslogselfsigned.crt -config openssl.cfg
참고: 필요한 경우 -keyout 및 -out에 대한 경로와 파일 이름을 변경할 수 있습니다. 인증서가 유효한 기간을 정의하는 -days 옵션을 조정할 수도 있습니다. 예를 들어 365일로 설정할 수 있습니다.
- 메시지가 나타나면 국가 코드와 같은 관련 정보를 입력합니다. 일반 이름의 경우 syslog 서버의 FQDN(정규화된 도메인 이름)을 입력합니다.
이 단계에서 C:\syslogselfsigned.crt와 C:\syslogselfsigned.key가 생성됩니다.
- SSL이라는 폴더를 C:\Bitnami\elk-5.6.3-0\logstash에 만듭니다.
- C:\syslogselfsigned.crt와 C:\syslogselfsigned.key를 C:\Bitnami\elk-5.6.3-0\logstash\SSL 폴더에 복사하거나 이동합니다.
- C:\Bitnami\elk-5.6.3-0\logstash\conf\logstash.conf를 편집합니다. 기존 콘텐츠를 다음으로 대체하고 파일을 저장합니다.
input {
tcp {
port => 6514
ssl_cert => 'c:\bitnami\elk-5.6.3-0\logstash\ssl\syslogselfsigned.crt'
ssl_key => 'c:\bitnami\elk-5.6.3-0\logstash\ssl\syslogselfsigned.key'
ssl_enable => true
ssl_verify => false
}
}
output {
elasticsearch {
hosts => ["127.0.0.1:9200"]
}
}
- 4단계에서 인증서 또는 키 파일을 이름을 수정한 경우 logstash.conf에서 올바른 값을 설정했는지 확인합니다. 이름을 수정하지 않은 경우 다음 단계로 이동합니다.
- Elk Stack 관리 도구에서 서버 관리 탭을 클릭하고 모두 시작을 클릭하여 서비스를 시작합니다.
- 시작 탭을 클릭하고 응용프로그램으로 이동을 클릭합니다. 이 단계는 웹 브라우저에서 Elk 콘솔을 시작합니다. ELK 액세스를 클릭하고 설치하는 동안 지정한 자격 증명을 입력합니다. Kibana 인터페이스가 표시됩니다.
인덱스 패턴 구성 메시지가 표시됩니다.
- For the purposes of testing, create an "everything" pattern by deselecting the Index contains time-based events option and entering an asterisk * in the Index name or pattern field.
이제 만들기 단추가 표시됩니다.
- 만들기를 클릭하여 *라는 패턴을 만듭니다.
- 모든 이벤트가 표시된 왼쪽의 옵션 막대에서 탐색 탭을 클릭합니다. 대부분 단일 항목일 것입니다.
ePO 서버에서:
- 새로 만든 syslog 서버를 사용하도록 ePO 서버를 구성합니다.
- 새로 등록된 서버를 추가하고 해당 유형에 대해 Syslog를 선택합니다.
- syslog 서버의 FQDN을 입력합니다.
- 포트에 6514(변경된 경우 logstash.conf에서 지정된 포트)를 입력합니다.
- 이벤트 전달 사용을 선택합니다.
- 테스트 연결을 클릭합니다.
Syslog 연결 성공 메시지가 표시됩니다. syslog 서버에서 Kibana 콘솔을 새로 고치면 ePO 서버의 테스트 이벤트가 수신되었다는 것도 표시됩니다.
- ePO 서버에서 저장을 클릭하여 syslog의 등록된 서버를 저장합니다.
이제 ePO가 수신한 모든 위협 이벤트는 자동으로 syslog 서버로 전달됩니다.