콘텐츠로 이동
는 우리가 어떻게 을 지원하는지에 대해 설명합니다.

Trend Micro Apex Central

로그 수집기

Apex Central과 Sophos Central를 통합하여 Sophos에 감사 데이터를 보내 분석할 수 있습니다.

이 통합에서는 가상 컴퓨터(VM)에서 호스팅되는 로그 수집기를 사용합니다. 이를 모두 데이터 수집기라고 합니다. 데이터 수집기는 타사 데이터를 수신하여 Sophos 데이터 레이크로 전송합니다.

참고

Apex Central의 여러 인스턴스를 동일한 데이터 수집기에 추가할 수 있습니다.

이렇게 하려면 Sophos Central에서 Apex Central 통합을 설정한 다음, Apex Central 인스턴스 하나를 로그를 전송하도록 구성합니다. 그런 다음 다른 Apex Central 인스턴스를 동일한 Sophos 데이터 수집기로 로그를 전송하도록 구성합니다.

설정의 Sophos Central 부분은 반복할 필요가 없습니다.

통합을 추가하는 주요 단계는 다음과 같습니다.

  • 이 제품에 대한 통합을 추가합니다. 그러면 OVA(Open Virtual Appliance) 파일이 구성됩니다.
  • ESXi 서버에 OVA 파일을 배포합니다. 그러면 이것이 데이터 수집기가 됩니다.
  • 데이터를 데이터 수집기로 보내도록 Apex Central을 구성합니다.

통합 추가

Apex Central을 Sophos Central과 통합하려면 다음과 같이 하십시오.

  1. Sophos Central에서 위협 분석 센터로 이동하여 통합을 클릭합니다.
  2. Trend Micro Apex Central을 클릭합니다.

    Apex Central에 대한 연결을 이미 설정한 경우 여기에 표시됩니다.

  3. 추가를 클릭합니다.

    참고

    이 통합이 처음 추가한 통합인 경우 내부 도메인 및 IP에 대한 세부 정보를 요청할 수 있습니다. 내 도메인 및 IP을 참조하십시오.

    통합 단계가 나타납니다.

VM 구성

통합 설정 단계에서는 Apex Central에서 데이터를 수신하도록 VM을 구성합니다. 기존 VM을 사용하거나 새 VM을 만들 수 있습니다.

VM을 구성하려면 다음과 같이 하십시오.

  1. 새 통합의 이름 및 설명 추가.
  2. 데이터 수집기에 대한 이름 및 설명을 입력합니다.

    이미 데이터 수집기 통합을 설정한 경우 목록에서 선택할 수 있습니다.

  3. 가상 플랫폼을 선택합니다. (현재는 VMware만 지원함).

  4. 인터넷 연결 네트워크 포트를 지정합니다.

    • IP 주소를 자동으로 할당하려면 DHCP를 선택합니다.

      참고

      DHCP를 선택하는 경우 IP 주소를 예약해야 합니다.

    • 네트워크 설정을 지정하려면 수동을 선택합니다.

    나중에 데이터를 보내도록 Apex Central을 구성할 때 VM의 주소가 필요합니다.

  5. 프로토콜을 선택합니다.

  6. 양식의 나머지 필드를 작성합니다.
  7. 저장을 클릭합니다.

    통합이 만들어지고 목록에 나타납니다. OVA 파일 다운로드 준비를 마치는 데 몇 분 정도 걸릴 수 있습니다.

VM 배포

제한

OVA 파일은 Sophos Central로 확인되므로 한 번만 사용할 수 있습니다. 배포된 후에는 다시 사용할 수 없습니다.

새 VM을 배포해야 하는 경우 이러한 모든 단계를 다시 수행하여 이 통합을 Sophos Central에 연결해야 합니다.

OVA 파일을 사용하여 VM을 배포합니다. 이렇게 하려면, 다음 과정을 수행하십시오.

  1. 통합 목록의 작업에서 OVA 다운로드를 클릭합니다.
  2. OVA 파일 다운로드가 완료되면 ESXi 서버에 배포합니다. 도우미가 해당 과정을 안내합니다. 통합을 위해 VM 배포을 참조하십시오.

VM을 배포하면 통합이 연결됨으로 표시됩니다.

Apex Central 구성

이제 다음과 같이 Apex Central을 구성하여 감사 데이터를 VM으로 보냅니다.

  1. 감지 > 알림 > 알림 방법 설정으로 이동합니다.
  2. Syslog 설정 섹션에서 다음을 입력합니다.

    • 서버 IP 주소: syslog 서버의 IPv6 또는 IPv4 주소를 입력합니다.
    • 포트: syslog 서버의 포트 번호입니다.
    • 기능: 시설 코드를 선택합니다.
  3. 저장을 클릭합니다.

Syslog 포워딩 켜기

Sophos 데이터 수집기에 데이터를 전송하기 위해 syslog 포워딩이 사용됩니다.

Syslog 트래픽을 포워딩하려면 다음과 같이 하십시오.

  1. 관리자 계정을 사용하여 Apex Central 콘솔에 로그인합니다.
  2. 관리자 > 설정 > Syslog 설정으로 이동합니다.
  3. syslog 포워딩 활성화를 선택합니다.
  4. 다음 설정을 구성합니다.

    • 서버 주소: Sophos 데이터 수집기를 호스팅하는 VM의 FQDN 또는 IP 주소입니다.
    • 포트: Sophos 데이터 수집기의 포트 번호를 입력합니다.
    • 프로토콜: TCP 또는 UDP를 선택합니다. 데이터 수집기에 대해 설정한 것과 동일한 것을 선택합니다.
  5. CEF를 로그 형식으로 선택합니다.

  6. 포워딩할 로그 유형을 선택합니다.

    1. 로그 유형 드롭다운 목록에서 로그 범주를 선택합니다.

      • 보안 로그
      • 제품 정보
    2. 포워딩할 로그의 확인란을 선택합니다. Apex Central은 로그 유형 목록 옆에 선택한 로그 유형의 총 개수를 표시합니다.

    3. 로그 유형 드롭다운 목록에서 다른 로그 범주를 선택할 수 있습니다.
  7. 테스트 연결을 클릭하여 서버 연결을 테스트합니다. 화면 상단에 syslog 서버 연결 상태가 나타납니다.

  8. 저장을 클릭합니다.

    Apex Central에서 데이터 수집기로 로그를 전달하기 시작합니다. 유효성 검사 후 Sophos 데이터 레이크에 해당 데이터가 나타나야 합니다.

    로그 포워딩 상태를 모니터링하려면 관리 > 명령 추적으로 이동하고 명령 드롭다운 목록에서 Syslog 포워딩을 선택합니다.

추가 정보