Managed Risk 스캔
내부 자산의 검사를 설정하려면 먼저 공인 담당자를 추가하고 외부 자산의 검사를 설정해야 합니다. Managed Risk - 설정을 참조하십시오.
네트워크에서 내부 자산의 검색 및 취약점 검사를 설정할 수 있습니다.
스캔을 생성하려면 먼저 가상 취약점 검사 어플라이언스를 구성하고 배포해야 합니다.
표준 SDU 옵션에 대한 자세한 내용은 Managed Risk 어플라이언스 요구 사항을(를) 참조하십시오.
주요 단계는 다음과 같습니다.
- 스캐너를 추가합니다.
- 어플라이언스 배포.
- 검색 스캔 생성.
- 취약성 스캔 생성.
여러 스캐너와 스캔을 만들 수 있습니다.
스캐너 추가
다음과 같이 스캐너의 가상 이미지를 만듭니다.
-
스캔 페이지에서 내부 탭을 선택합니다.
-
스캐너 추가 를클릭합니다.
-
어플라이언스 이름과 설명을 입력합니다.
-
가상 플랫폼에서 VMware 또는 Hyper-V 를 선택합니다.
-
IP 설정을 지정합니다. 그러면 어플라이언스에 대한 관리 인터페이스가 설정됩니다.
-
IP 주소를 자동으로 할당하려면 DHCP를 선택합니다.
참고
DHCP를 선택하는 경우 IP 주소를 예약해야 합니다.
-
네트워크 설정을 지정하려면 수동을 선택합니다.
-
-
저장을 클릭합니다.
-
어플라이언스가 생성됩니다. 팝업 대화 상자에 어플라이언스를 액세스하고 관리하는 데 필요한 자격 증명이 표시됩니다.
자격 증명은 한 번만 표시됩니다. 복사하여 안전하게 보관하십시오.
-
닫기를 클릭합니다.
스캔 페이지에서 새 스캐너가 목록에 "배포 대기 중" 상태로 표시됩니다.
-
스캐너 항목에서 작업 열의 점 세 개를 클릭합니다.
가상 이미지가 생성되면 Download 옵션이 메뉴에 표시됩니다. 몇 분 이상 걸리면 페이지 오른쪽 상단에 있는 새로 고침 버튼을 클릭합니다.
-
다운로드 를 클릭하여 가상 이미지를 다운로드합니다.
어플라이언스 배포
이제 다운로드한 이미지를 사용하여 가상 인프라에 어플라이언스를 구축합니다.
현재 이러한 플랫폼을 지원합니다.
- VMware ESXi 6.7 Update 3 이상.
- Hyper-V 버전 6.0.6001.18016(Windows Server 2016) 이상.
대시보드 만들기에 대한 자세한 내용은 Managed Risk 어플라이언스 요구 사항를 참조하십시오.
지침을 보려면 아래에서 사용 중인 플랫폼에 해당하는 탭을 클릭하십시오.
제한
ESXi를 사용하는 경우, OVA 파일은 Sophos Central로 확인되므로 한 번만 사용할 수 있습니다. 새 VM을 배포해야 하는 경우 Sophos Central에서 OVA 파일을 다시 만들어야 합니다.
ESXi 호스트에서 다음과 같이 하십시오.
- 가상 머신을 선택합니다.
-
VM 만들기/등록을 클릭합니다.
-
생성 유형 선택에서 OVF 또는 OVA 파일에서 가상 머신 배포를 선택합니다. 다음을 클릭합니다.
-
OVF 및 VMDK 파일 선택에서 다음과 같이 하십시오.
- VM 이름을 입력합니다.
- 페이지를 클릭하여 파일을 선택합니다. 다운로드한 OVA 파일을 선택합니다.
- 다음을 클릭합니다.
-
스토리지 선택에서 표준을 선택합니다. 그런 다음 VM을 배치할 데이터 저장소를 선택합니다. 다음을 클릭합니다.
-
배포 옵션에 다음과 같이 설정을 입력합니다.
- SPAN1 및 SPAN2. 취약성 검사 어플라이언스에는 이러한 기능이 필요하지 않습니다. 임의의 포트 그룹을 자리 표시자로 선택하고 나중에 VM 설정에서 연결을 끊습니다.
- SYSLOG. 이 인터페이스는 취약점 검색 어플라이언스에는 사용되지 않습니다. 아래의 관리 인터페이스에 사용되는 어댑터를 사용하도록 구성하는 것이 좋습니다.
-
MGMT에서, 어플라이언스의 관리 인터페이스를 선택합니다. 이것은 이전에 Sophos Central에서 구성한 인터페이스입니다. 취약성 검사를 수행하는 데 사용되며 Sophos와 통신합니다.
설정 중에 DHCP를 선택한 경우 VM이 DHCP를 통해 IP 주소를 가져올 수 있는지 확인합니다.
-
디스크 프로비저닝에서 씬이 선택되어 있는지 확인합니다.
- 자동으로 전원 켜기가 선택되어 있는지 확인합니다.
- 다음을 클릭합니다.
-
추가 설정 단계를 건너뜁니다.
-
마침을 클릭합니다. 새 VM이 VM 목록에 나타날 때까지 기다립니다. 몇 분 정도 걸릴 수 있습니다.
-
VM의 전원을 켜고 설치가 완료될 때까지 기다립니다.
VM이 처음으로 부팅되고 올바른 포트 그룹 및 인터넷에 연결할 수 있는지 확인합니다. 그런 다음 재부팅됩니다. 이 작업은 최대 30분 정도 걸릴 수 있습니다.
-
Sophos Central에서 나의 제품 > Managed Risk > 스캔로 이동합니다.
- 내부 탭이 선택되어 있는지 확인합니다.
-
목록에서 스캐너로 이동합니다. 상태 위로 마우스를 가져가면 세부 정보를 볼 수 있습니다. 당신은 어플라이언스 상태 변경이 다운로드 에서 어플라이언스 대기, 다음 플러그인 로드 및 마지막으로 연결됨을 볼 수 있습니다 ****.
목록의 스캐너 상태도 "연결됨"입니다.
이제 내부 자산에 대한 검색 및 취약점 검사를 설정할 수 있습니다.
Sophos Central에서 다운로드한 Zip 파일에는 가상 드라이브, seed.iso
및 Powershell 스크립트와 같이 VM을 배포하는 데 필요한 파일이 들어 있습니다.
VM을 배포하려면 다음과 같이 하십시오.
- 하드 드라이브의 폴더에 Zip 파일의 압축을 풉니다.
- 해당 폴더로 이동하여
ndr-sensor.ps1
파일을 마우스 오른쪽 단추로 클릭하고 PowerShell로 실행을 선택합니다. -
보안 경고 메시지가 표시되면 열기를 클릭하여 파일 실행을 허용합니다.
일련의 질문에 답하라는 메시지가 표시됩니다.
-
VM의 이름을 입력합니다.
- 스크립트는 VM 파일이 저장될 폴더를 표시합니다. 이것은 가상 드라이브의 기본 설치 위치에 있는 새 폴더입니다. 스크립트가 생성하도록 하려면
C
를 입력하십시오. - VM에 사용할 프로세서(CPU) 수를 입력합니다.
- 사용할 메모리 양을 GB 단위로 입력합니다.
-
이 스크립트는 현재 모든 vSwitch에 대해 번호가 매겨진 목록을 표시합니다.
관리 인터페이스를 연결할 vSwitch를 선택하고 해당 번호를 입력합니다. 이것은 이전에 Sophos Central에서 구성한 인터페이스입니다. 이 vSwitch는 취약점 검사를 수행하고 Sophos와 통신하는 데 사용됩니다.
설정 중에 DHCP를 선택한 경우 VM이 DHCP를 통해 IP 주소를 가져올 수 있는지 확인합니다.
-
syslog 인터페이스에 연결할 vSwitch를 입력합니다.
이 인터페이스는 취약점 검색 어플라이언스에는 사용되지 않습니다. 위의 관리 인터페이스에 사용할 vSwitch를 입력합니다.
-
네트워크 트래픽을 캡처하기 위해 vSwitch를 지정할 필요는 없습니다. 이러한 설정은 Sophos NDR이 있는 경우에만 적용됩니다. vSwitch를 플레이스홀더로 선택하고 나중에 VM 설정에서 연결을 해제합니다.
PowerShell 스크립트는 Hyper-V에서 VM을 설정합니다. 설치 완료 메시지가 표시됩니다.
-
종료하려면 아무 키나 누르십시오.
-
Hyper-V 관리자를 엽니다. 이제 가상 컴퓨터 목록에서 VM을 볼 수 있습니다. 설정을 변경해야 하는 경우 변경할 수 있습니다. 그런 다음 전원을 켭니다.
VM이 처음으로 부팅되고 올바른 vSwitch 및 인터넷에 연결할 수 있는지 확인합니다. 그런 다음 재부팅됩니다. 이 작업은 최대 30분 정도 걸릴 수 있습니다.
- Sophos Central에서 나의 제품 > Managed Risk > 스캔로 이동합니다.
- 내부 탭이 선택되어 있는지 확인합니다.
-
목록에서 스캐너로 이동합니다. 상태 위로 마우스를 가져가면 세부 정보를 볼 수 있습니다. 당신은 어플라이언스 상태 변경이 다운로드 에서 어플라이언스 대기, 다음 플러그인 로드 및 마지막으로 연결됨을 볼 수 있습니다 ****.
목록의 스캐너 상태도 "연결됨"입니다.
이제 내부 자산에 대한 검색 및 취약점 검사를 설정할 수 있습니다.
검색 스캔 생성
검색 검사는 내부 자산을 보고합니다.
필요한 자산을 확인할 수 있도록 검색 스캔을 생성하고 검색 스캔 보고서를 확인하는 것이 좋습니다.
패스키를 설정하려면 다음과 같이 하십시오.
- 나의 제품 > Managed Risk > 스캔으로 이동합니다.
- 스캔 페이지에서 내부 탭을 선택합니다.
-
검색 스캔 생성
검색 검색 검색 생성 페이지가 열립니다.
-
스캐너 선택 의목록에서 스캐너를 선택합니다.
- 통합 설정 단계에서 통합의 이름 및 설명을 입력합니다.
-
스캔 대상 추가에서 스캔할 자산을 지정하고 추가 를 클릭합니다.
IP 주소, CIDR IP 범위 및 호스트 이름을 입력할 수 있습니다. 항목을 개별적으로 입력하는 경우 각 항목 다음에 ++Enter++ 키를 누릅니다. 쉼표로 구분된 항목 목록을 대상 목록에 붙여 넣을 수도 있습니다.
-
Schedule the weekly scan(주간 검사 예약) 에서 주간 내부 검사를 실행할 요일과 시간을 선택합니다.
기본적으로 검사는 선택한 시간대의 자정에 실행됩니다.
검사가 실행되면 Managed Risk > 보고서 페이지에서 보고서를 사용할 수 있습니다.
취약성 스캔 생성
내부 취약점 검사를 최대한 활용하려면 내부 취약점 검사 지침 도 참조하십시오.
내부 취약점 검사는 자격 증명을 사용하여 대상 장치를 검사하고 장치에 액세스하려는 외부 공격자를 시뮬레이션하지 않는 인증되지 않은 검사입니다.
내부 자산에 대한 취약점 검사를 설정하려면 다음을 수행하십시오.
- 나의 제품 > Managed Risk > 스캔으로 이동합니다.
- 스캔 페이지에서 내부 탭을 선택합니다.
-
취약성 스캔 생성
Create Vulnerability Scan 페이지가 열립니다.
-
스캐너 선택 의목록에서 스캐너를 선택합니다.
- 통합 설정 단계에서 통합의 이름 및 설명을 입력합니다.
-
스캔 대상 추가에서 스캔할 자산을 지정하고 추가 를 클릭합니다.
IP 주소, CIDR IP 범위 및 호스트 이름을 입력할 수 있습니다. 항목을 개별적으로 입력하는 경우 각 항목 다음에 ++Enter++ 키를 누릅니다. 쉼표로 구분된 항목 목록을 대상 목록에 붙여 넣을 수도 있습니다.
-
Schedule the weekly scan(주간 검사 예약) 에서 주간 내부 검사를 실행할 요일과 시간을 선택합니다.
기본적으로 검사는 선택한 시간대의 자정에 실행됩니다.
-
페이지 오른쪽 위에 있는 저장을 클릭합니다.
이제 취약점 검사가 설정되었으며 예정된 시간에 실행됩니다.
주간 내부 취약점 검사가 실행되면 검사 보고서는 Managed Risk > 보고서 기록 페이지에서 사용할 수 있습니다.
내부 취약점 검사 지침
내부 취약점 검사의 경우 검사할 수 있는 최대 내부 자산 수는 Managed Risk 라이선스 수의 120%에 해당합니다.
물리적 네트워크의 다른 VLAN에 있는 자산을 검사하도록 취약점 검사를 구성할 수 있습니다. 그러나 스캐닝 어플라이언스는 네트워크의 다른 VLAN에 있는 모든 포트와 프로토콜에 대해 완전한 양방향 액세스를 제공해야 합니다.
접미사가 이하인 CIDR 범위를 추가하면 /16
스캐너가 많은 수의 항목을 스캔하려고 시도하기 때문에 스캔 시간 초과가 발생할 수 있습니다. 이를 방지하려면 여러 개의 스캔을 설정하여 서로 다른 날짜와 시간에 서로 다른 네트워크 범위를 스캔합니다.