주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.
는 우리가 어떻게 을 지원하는지에 대해 설명합니다.

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=NDR-aws

AWS의 Sophos NDR

이 기능을 사용하려면 "Sophos Network Detection and Response" 통합 라이선스 팩이 있어야 합니다.

Sophos NDR(네트워크 감지 및 응답)은 네트워크에서 악성 행위를 감지합니다.

Sophos NDR을 Sophos Central과 통합하여 위협 분석 센터에서 해당 감지를 조사할 수 있도록 만들 수 있습니다.

어플라이언스는 데이터를 수신하여 Sophos 데이터 레이크로 전달합니다.

주요 단계는 다음과 같습니다.

  • 요구 사항을 확인하십시오.
  • Sophos 어플라이언스를 생성합니다. CloudFormation 템플릿을 기반으로 합니다.
  • AWS에서 Sophos NDR에 가입하십시오.
  • 스택을 만듭니다. 여기에서 NDR에 대한 VPC 및 서브넷을 지정합니다.
  • 트래픽 미러 세션을 생성합니다. 이렇게 하면 분석을 위해 파일을 Sophos로 보냅니다.
  • 보안 그룹을 편집하여 syslog 트래픽을 허용하고 Sophos Appliance Manager에 대한 액세스 권한을 부여합니다.
  • Sophos Appliance Manager의 암호를 설정합니다.

이를 통해 Sophos NDR을 모니터링하고 관리할 수 있습니다.

요구 사항

AWS에서 Sophos NDR를 설정하려면 다음 계정 및 인프라가 필요합니다.

  • AWS 계정
  • Sophos Central 계정.
  • EC2 인스턴스.
  • VPC, 서브넷 및 가용성 영역. 이미 가지고 있는 것을 사용할 수 있습니다.
  • NDR 관리 인터페이스에서 사용할 하나 이상의 할당된 탄성 IP 주소입니다.

다음과 같은 EC2 인스턴스 유형을 지원합니다.

  • c5n.2xlarge
  • c6i.4xlarge
  • c7i.16xlarge(니트로 가상화)

AWS 계정에 대한 SSH 개인 키를 생성하고 저장해야 합니다.

선택한 지역에서 VPC를 만들어야 합니다. 다음은 VPC 리소스 맵의 예입니다.

VPC 리소스 맵의 예.

어플라이언스 생성

Sophos 어플라이언스를 생성하고 구성하려면 CloudFormation 템플릿을 생성하고 다운로드합니다.

CloudFormation 템플릿 배포

방화벽 템플릿을 만들려면 다음과 같이 하십시오.

  1. Sophos Central에서 위협 분석 센터 > 통합 > 마켓플레이스로 이동합니다.
  2. Sophos NDR(네트워크 감지 및 응답)을 찾아서 클릭합니다.

  3. NDR 페이지의 데이터 수집(보안 경고)에서 구성 추가를 클릭합니다.

    통합 설정 단계가 나타납니다.

  4. 1단계에서 통합의 이름 및 설명을 입력합니다.

    통합 단계.

  5. 2단계에서 CloudFormation 템플릿(CFT)을 생성합니다. 가상 플랫폼에서 AWS를 선택합니다.

    가상 플랫폼을 선택합니다.

  6. 저장을 클릭합니다.

CloudFormation(CF) json 파일이 aws_ndr_cf_latest.json 생성됩니다.

CloudFormation 템플릿 배포

CloudFormation 템플릿을 배포하려면 다음과 같이 하십시오.

  1. Sophos Central에서 통합 > 구성됨 으로 이동합니다.
  2. 통합 어플라이언스 탭을 선택하고 방금 배포한 NDR에서 어플라이언스를 찾습니다.

  3. 열에서 점 세 개 아이콘을 클릭하고 또는 를 선택합니다.

    다운로드 옵션을 보여 주는 구성된 통합 목록.

aws_ndr_cf_latest.json 파일이 다운로드 폴더에 다운로드됩니다.

Sophos NDR 구독

AWS Marketplace 콘솔에서 NDR에 가입해야 합니다. 이렇게 하려면, 다음 과정을 수행하십시오.

  1. AWS 마켓플레이스 페이지로 이동하여 Sophos NDR를 찾습니다.

  2. 제품 개요 페이지에서 구독 계속을 클릭합니다.

    NDR "제품 개요" 페이지.

  3. 이 소프트웨어 구독 페이지에서 약관에 동의하고 구성 계속 을 클릭합니다.

    "이 소프트웨어 구독" 페이지를 참조하십시오.

  4. 이 소프트웨어 구성 페이지에서 버전 및 지역을 확인하고 계속 시작을 클릭합니다.

    "이 소프트웨어 구성" 페이지를 참조하십시오.

  5. Launch this software (이 소프트웨어 실행) 페이지에서 Usage instructions (사용 지침) 를 클릭하여 Sophos Appliance Manager에 액세스하는 방법을 확인합니다.

    "이 소프트웨어 실행" 페이지를 참조하십시오.

  6. 시작 을 클릭합니다.

AWS는 스택 생성 페이지를 엽니다.

스택 생성

이제 다운로드한 CloudFormation 템플릿을 사용하여 AWS 계정에 대한 NDR 센서를 생성합니다. 이렇게 하려면 스택을 만듭니다.

  1. 스택 빨리 만들기 페이지에서 다음과 같이 하십시오.

    1. Leave Template(템플릿 나가기)
    2. 템플릿 지정에서 템플릿 파일 업로드 를 선택합니다.
    3. 파일 선택을 클릭하고 aws_ndr_cf_latest.json를 선택합니다.
    4. 다음을 클릭합니다.

    템플릿 파일 선택을 보여주는 "스택 생성" 페이지.

  2. Specify stack details (스택 세부 정보 지정) 페이지에서 이름과 다음 네트워크 구성 세부 정보를 입력합니다.

    1. NDR에 사용할 기존 VPC입니다.
    2. NDR 관리 인터페이스의 서브넷입니다. 공용 서브넷입니다.
    3. NDR syslog 인터페이스의 서브넷입니다. 이렇게 하면 NDR에서 나중에 다른 타사 로그 수집기를 추가할 때 사용할 수 있는 인터페이스를 연결할 수 있습니다.
    4. NDR Span 인터페이스의 서브넷입니다. SPAN 인터페이스는 네트워크 트래픽의 미러링된 복제본을 가져와 분석을 위해 NDR로 전송합니다.
    5. 관리자에게 NDR 인스턴스에 대한 SSH 액세스 권한을 부여하는 보안 그룹입니다.

    완료된 네트워크 구성 세부 정보는 다음 예와 같습니다.

    "스택 세부 정보 지정" 페이지를 참조하십시오.

  3. EC2 인스턴스 구성에서 NDR EC2 인스턴스에 액세스하는 데 필요한 SSH 키를 입력하고 다음 을 클릭합니다.

    참고

    이전에 이 SSH 키 쌍을 만들어 저장했습니다.

    "EC2 인스턴스 구성" 필드.

  4. 스택 옵션 구성 페이지에서 기본 AWS 설정을 적용하거나 원하는 경우 변경합니다. 제출를 클릭합니다.

CloudFormation 템플릿은 템플릿을 업로드하는 데 사용한 계정의 AWS 지역에 따라 적절한 지역 및 AMI를 자동으로 선택합니다.

NDR 센서가 생성될 때까지 기다립니다. 이 작업은 최대 5분이 소요될 수 있습니다.

트래픽 미러 세션 생성

타겟 미러 세션을 생성하여 네트워크 트래픽을 미러링하고 NDR로 전달합니다. 이렇게 하려면, 다음 과정을 수행하십시오.

  1. AWS에서 VPC > 트래픽 미러 세션 > 트래픽 미러 세션 만들기 로 이동합니다.

  2. Session settings(세션 설정) 에서 다음과 같이 합니다.

    1. 이름설명을 입력합니다.
    2. 미러 소스에서 네트워크 트래픽을 미러링할 네트워크 인터페이스를 입력합니다.
    3. 미러 대상에 네트워크 트래픽을 미러링할 SPAN 인터페이스를 입력합니다. **** CloudFormation 템플릿이 생성한 NDR Span Target을 선택합니다.

    트래픽 미러 세션 설정.

  3. 추가 설정에서 다음과 같이 합니다.

    1. 포트 번호를 입력합니다. 이 번호는 동일한 소스의 세션을 평가하는 순서를 결정합니다.
    2. VNI (가상 네트워크 인터페이스)를 1로 설정합니다.
    3. 필터에서 **** CloudFormation 템플릿이 이미 만든 NDR 트래픽 미러 필터를 선택합니다.
    4. 만들기를 클릭합니다.

    트래픽 미러 추가 설정.

보안 그룹 편집

AWS 보안 그룹을 편집해야 합니다. 이렇게 하면 다음과 같이 변경할 수 있습니다.

  • syslog 트래픽이 어플라이언스로 이동하도록 허용합니다.
  • 어플라이언스 관리자에 대한 액세스 권한을 부여합니다.

그룹을 편집하려면 다음과 같이 하십시오.

  1. AWS에서 Sophos NDR 어플라이언스의 보안 세부 정보로 이동합니다.

    이렇게 하려면 AWS 콘솔 검색 표시줄에 어플라이언스 이름을 입력합니다. 찾으면 EC2 탭을 선택하고 Sophos 어플라이언스 인스턴스를 클릭합니다.

  2. 인스턴스 요약 페이지에서 탭 페이지로 스크롤하여 보안 탭을 선택합니다.

  3. InternalSyslogSG 그룹을 찾고 로그 수집을 위해 트래픽을 허용할 소스를 입력합니다.

  4. InternalMgmtSG 보안 그룹을 찾습니다. CloudFormation 템플릿이 여러분을 위해 만들었습니다. 그룹에 관리자를 추가하고 인바운드 규칙 의 포트 8443에 대한 액세스 권한을 부여합니다.

    보안 그룹 인바운드 규칙.

어플라이언스 관리자를 사용하려면 먼저 암호를 설정해야 합니다.

어플라이언스 관리자의 암호 설정

어플라이언스 관리자의 사용자 이름은 입니다 zadmin. 관리자 암호를 재설정하려면 다음과 같이 하십시오.

  1. Sophos Central에서 위협 분석 센터 > 통합 > 구성됨으로 이동합니다.

  2. 어플라이언스 통합 탭을 클릭합니다.

  3. 제품을 찾으십시오. 맨 오른쪽 열에서 세 개의 점을 클릭하고 Open Appliance Manager를 선택합니다.

    어플라이언스 작업 메뉴.

  4. 확인 대화 상자에서 암호 재설정을 클릭합니다.

    확인 대화 상자.

어플라이언스 관리자를 사용하려는 다른 모든 관리자도 암호를 설정해야 합니다.