지니언스 기술 블로그

Genian NAC Suite의 SYSLOG 연동 기능 - Genians

Written by Genians | Nov 22, 2015 6:00:00 AM

안녕하세요!
지니네트웍스 책임엔지니어 임건웅입니다.
앞으로 Genian NAC Suite에 관해 제품의 주요 기능과 활용방법 등을 중심으로 현실적이고 담백하게 전달해 드릴 예정입니다.

먼저, 이번에 소개할 내용은 SYSLOG 연동 기능입니다.
일반적으로 SYSLOG는 시스템에 관련된 상태(이상)를 Level(Info, error, critical)에 따라 전송하여 관리하는 목적이 크지만 목적에 따라 데이터를 전송하고 해당 정보를 파싱하여 활용하는 경우도 많이 있습니다.

SYSLOG를 활용한 연동 부분 중 트렌드마이크로 제품과의 연동을 예로 들어 설명해보겠습니다.

먼저 연동할 제품이 어떠한 흐름으로 운영되는지 간단히 알아볼까요?


※ 한국트렌드마이크로의 도움으로 작성되었습니다

위 화면과 같이 트렌드마이크로는 여러 종류의 제품이 연동되어 Workflow를 가진 보안 플랫폼의 성격이 돋보이는데요. 샌드박스, WRS(웹평판서비스)등을 활용한 탐지, 분석, 치료 기능을 제공합니다.

이 중 SYSLOG연동 부분은 “1. 탐지장비(DDI: Deep Discovery Inspector)”와 연관이 있습니다. DDI는 미러링을 통하여 탐지를 수행하고 필요 시 치료이벤트를 “2. 치료장비(TMTM)”으로 전송하는데 이러한 이벤트를 Genian NAC Suite으로도 전송하여 감염 단말의 네트워크 접근 제어 혹은 치료에이전트(TMAgent)의 강제 설치 등을 수행할 수 있습니다.
DDI에서 SYSLOG 전송설정이 완료된 상태에서 Genian NAC Suite에서는 해당 로그를 받을 수 있도록 필터 설정을 추가합니다.


<필터 설정>

화면과 같이 필터라는 템플릿을 설정하고 해당 템플릿에 매칭되는 SYSLOG를 Genian NAC Suite의 감사기록으로 저장하는 형태입니다.

이미 추가된 “DDI 연동”를 예로 설명 드리면 “host 192.168.0.1 에서 수신되는 SYSLOG를 기록하며 이때 해당 로그의 대상(발생 주체, Genian NAC Suite에 등록된 노드)은 ‘src=’로 규정한다” 입니다.


<필터 설정 후 저장된 감사기록>

실제 DDI에서 전송하는 데이터는 아래와 같은데 SYSLOG이다 보니 육안으로 활용하는 용도보다는 시스템간 연동(ESM, SIEM 등)에 사용하는 것이 일반적입니다.

이렇게 SYSLOG를 Genian NAC Suite의 감사기록으로 저장할 준비가 끝나면 누적된 감사필터의 태그 기능을 활용하여 노드그룹과 정책에 활용할 수 있습니다.
(제품의 태그 기능은 차후에 별도의 지면으로 설명드릴 예정입니다.)

끝으로 요약하자면
1. 많은 제품들이 SYSLOG 전송이 가능하므로 특화된 제품간의 연동 없이 간단한 설정으로 시스템을 연계할 수 있다
2. Genian NAC Suite의 SYSLOG 연동 기능을 활용하여 타시스템의 이벤트를 감사기록으로 저장 가능하며 저장된 감사기록을 필터하여 정책에 적용할 수 있다.
3. 불필요한 데이터가 누적되어 부하를 유발하지 않도록 필요한 정보를 필터하여 사용하자

이상으로 첫번째 포스팅을 마치겠습니다.

다음 포스팅에서 좀 더 알찬내용으로 찾아뵐께요 : )