주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.

Managed Risk 스캔

내부 자산의 검사를 설정하기 전에 인가된 연락처를 추가하고 외부 자산의 검사를 설정해야 합니다. Managed Risk - 설정을 참조하십시오.

내부 자산의 발견 및 취약점 스캔을 네트워크에서 설정할 수 있습니다.

스캔을 생성하기 전에 가상 취약점 스캔 앱라이언스를 설정하고 배포해야 합니다.

표준 SDU 옵션에 대한 자세한 내용은 Managed Risk 어플라이언스 요구 사항을(를) 참조하십시오.

주요 단계는 다음과 같습니다.

  • 스캐너를 추가하세요.
  • 어플라이언스 배포.
  • 검색 스캔 생성.
  • 취약성 스캔 생성.

여러 대상자 및 검사를 생성할 수 있습니다.

스캐너 추가

다음과 같이 스캐너의 가상 이미지를 생성하십시오:

  1. Scans 페이지에서 Scans 탭을 선택하십시오.

    “Internal” 탭이 선택된 “Scans” 페이지입니다.

  2. 클릭 스캐너 추가.

    내부 탭에 "스캐너 추가" 버튼이 있습니다.

  3. 어플라이언스 이름과 설명을 입력합니다.

  4. 가상 플랫폼에서 VMware 또는 Hyper-V를 선택하십시오.

    가상 플랫폼 설정.

  5. IP 설정을 지정하십시오. 그러면 어플라이언스에 대한 관리 인터페이스가 설정됩니다.

    • IP 주소를 자동으로 할당하려면 DHCP를 선택합니다.

      참고

      DHCP를 선택하는 경우 IP 주소를 예약해야 합니다.

    • 네트워크 설정을 지정하려면 수동을 선택합니다.

    자동으로 DHCP가 선택된 IP 설정.

  6. 저장을 클릭합니다.

  7. 기기가 생성되었습니다. 팝업 대화 상자에는 액세스하고 장치를 관리하는 데 필요한 자격 증명이 표시됩니다.

    자격 증명은 한 번만 표시됩니다. 그것들을 복사하고 안전하게 보관하십시오.

    기기 자격 증명 팝업.

  8. 닫기를 클릭합니다.

    태그쌍2 페이지에서 새 스캐너가 "배포 대기 중" 상태로 목록에 표시됩니다.

    스캔 페이지에 새로운 스캐너가 목록에 추가되었습니다.

  9. 스캐너 항목에서 Action 열의 세 점을 클릭합니다.

    가상 이미지가 생성된 후 메뉴에 다운로드 옵션이 표시됩니다. 몇 분 이상 걸릴 경우, 페이지 오른쪽 상단에 있는 새로 고침 버튼을 클릭하십시오.

    옵션을 보여주는 메뉴입니다.

  10. 가상 이미지를 다운로드하려면 다운로드를 클릭하세요.

어플라이언스 배포

이제 다운로드한 이미지를 사용하여 가상 인프라에서 애플라이언스를 배포하십시오.

현재 다음 플랫폼을 지원하고 있습니다:

  • VMware ESXi 6.7 Update 3 이상.
  • Hyper-V 버전 6.0.6001.18016(Windows Server 2016) 이상.

전체 기기 요구 사항에 대한 자세한 내용은 Managed Risk 어플라이언스 요구 사항를 참조하십시오.

지침을 보려면 아래에서 사용 중인 플랫폼에 해당하는 탭을 클릭하십시오.

제한

ESXi를 사용하는 경우, OVA 파일은 Sophos Central로 확인되므로 한 번만 사용할 수 있습니다. 새 VM을 배포해야 하는 경우 Sophos Central에서 OVA 파일을 다시 만들어야 합니다.

ESXi 호스트에서 다음과 같이 하십시오.

  1. 가상 머신을 선택합니다.
  2. VM 만들기/등록을 클릭합니다.

    VM 만들기/등록 탭.

  3. 생성 유형 선택에서 OVF 또는 OVA 파일에서 가상 머신 배포를 선택합니다. 다음을 클릭합니다.

    생성 유형 선택합니다.

  4. OVF 및 VMDK 파일 선택에서 다음과 같이 하십시오.

    1. VM 이름을 입력합니다.
    2. 페이지를 클릭하여 파일을 선택합니다. 다운로드한 OVA 파일을 선택합니다.
    3. 다음을 클릭합니다.

    OVA 파일을 선택합니다.

  5. 스토리지 선택에서 표준을 선택합니다. 그런 다음 VM을 배치할 데이터 저장소를 선택합니다. 다음을 클릭합니다.

    스토리지를 선택합니다.

  6. 배포 옵션에 다음과 같이 설정을 입력합니다.

    1. SPAN1SPAN2. 취약성 스캔 장치에 이것들이 필요하지 않습니다. 임의의 포트 그룹을 자리 표시자로 선택하고 나중에 VM 설정에서 연결을 끊습니다.
    2. SYSLOG. 이 인터페이스는 취약성 스캔 앱라이언스에 사용되지 않습니다. 아래에서 관리 인터페이스에 사용될 어댑터와 동일한 어댑터를 사용하도록 구성하는 것을 권장합니다.
    3. MGMT에서, 어플라이언스의 관리 인터페이스를 선택합니다. 이것은 이전에 Sophos Central에서 구성한 인터페이스입니다. 취약점 스캔을 수행하고 Sophos와 통신할 때 사용될 예정입니다.

      설정 중에 DHCP를 선택한 경우 VM이 DHCP를 통해 IP 주소를 가져올 수 있는지 확인합니다.

    4. 디스크 프로비저닝에서 이 선택되어 있는지 확인합니다.

    5. 자동으로 전원 켜기가 선택되어 있는지 확인합니다.
    6. 다음을 클릭합니다.

    배포 옵션.

  7. 추가 설정 단계를 건너뜁니다.

  8. 마침을 클릭합니다. 새 VM이 VM 목록에 나타날 때까지 기다립니다. 몇 분 정도 걸릴 수 있습니다.

    완료하기 위해 준비합니다.

  9. VM의 전원을 켜고 설치가 완료될 때까지 기다립니다.

    VM이 처음으로 부팅되고 올바른 포트 그룹 및 인터넷에 연결할 수 있는지 확인합니다. 그런 다음 재부팅됩니다. 이 작업은 최대 30분 정도 걸릴 수 있습니다.

  10. Sophos Central에서 나의 제품 > Managed Risk > 스캔로 이동합니다.

  11. 내부 탭을 선택했는지 확인하세요.
  12. 목록에서 스캐너로 이동하십시오. 세부 정보를 보려면 Status 위로 마우스를 올려 놓으세요. 애플라이언스 상태가 다운로드됨에서 애플라이언스 대기 중으로 변경되고, 그런 다음 플러그인 로드 중으로 변경되어 최종적으로 연결됨 상태가 됩니다.

    목록의 스캐너 상태도 "연결됨"입니다.

    새로운 스캐너가 연결되었습니다.

내부 자산에 대한 발견 및 취약점 스캔을 설정할 수 있습니다.

Sophos Central에서 다운로드한 Zip 파일에는 가상 드라이브, seed.iso 및 Powershell 스크립트와 같이 VM을 배포하는 데 필요한 파일이 들어 있습니다.

VM을 배포하려면 다음과 같이 하십시오.

  1. 하드 드라이브의 폴더에 Zip 파일의 압축을 풉니다.
  2. 해당 폴더로 이동하여 ndr-sensor.ps1 파일을 마우스 오른쪽 단추로 클릭하고 PowerShell로 실행을 선택합니다.
  3. 보안 경고 메시지가 표시되면 열기를 클릭하여 파일 실행을 허용합니다.

    스크립트는 여러 질문에 대답하도록 안내합니다.

  4. VM의 이름을 입력합니다.

  5. 스크립트는 VM 파일이 저장될 위치를 보여줍니다. 이것은 가상 드라이브의 기본 설치 위치에 있는 새 폴더입니다. 스크립트가 생성하도록 하려면 C를 입력하십시오.
  6. VM에 사용할 프로세서(CPU) 수를 입력합니다.
  7. 사용할 메모리 양을 GB 단위로 입력합니다.
  8. 이 스크립트는 현재 모든 vSwitch에 대해 번호가 매겨진 목록을 표시합니다.

    관리 인터페이스를 연결할 vSwitch를 선택하고 해당 번호를 입력합니다. 이것은 앞서 Sophos Central에서 구성한 인터페이스입니다. 이 vSwitch는 취약성 스캔을 수행하고 Sophos와 통신하는 데 사용됩니다.

    설정 중에 DHCP를 선택한 경우 VM이 DHCP를 통해 IP 주소를 가져올 수 있는지 확인합니다.

    VM이 IP 주소를 받을 수 있는지 확인하는 중입니다.

  9. syslog 인터페이스에 연결할 vSwitch를 입력합니다.

    이 인터페이스는 취약성 스캐닝 장비에 사용되지 않습니다. 위의 관리 인터페이스에 사용할 vSwitch를 입력하십시오.

  10. 네트워크 트래픽을 캡처하기 위해 vSwitch를 지정할 필요는 없습니다. 이러한 설정은 Sophos NDR이 있는 경우에만 적용됩니다. vSwitch를 플레이스홀더로 선택하고 나중에 VM 설정에서 연결을 해제합니다.

    PowerShell 스크립트는 Hyper-V에서 VM을 설정합니다. 설치 완료 메시지가 표시됩니다.

  11. 종료하려면 아무 키나 누르십시오.

  12. Hyper-V 관리자를 엽니다. 이제 VM을 가상 머신 목록에서 볼 수 있습니다. 설정을 변경해야 하는 경우 변경할 수 있습니다. 그런 다음 전원을 켭니다.

VM이 처음으로 부팅되고 올바른 vSwitch 및 인터넷에 연결할 수 있는지 확인합니다. 그런 다음 재부팅됩니다. 이 작업은 최대 30분 정도 걸릴 수 있습니다.

  1. Sophos Central에서 나의 제품 > Managed Risk > 스캔로 이동합니다.
  2. 내부 탭을 선택했는지 확인하십시오.
  3. 목록에서 스캐너로 이동하십시오. 세부 정보를 보려면 Status를 가리키세요. 기기 상태가 다운로드됨에서 기기 대기 중으로 변경되고, 이후 플러그인 로드 중으로 변경되어 마지막으로 연결됨을 확인하게 됩니다.

    리스트의 스캐너 상태도 "연결됨"입니다.

내부 자산에 대한 발견 및 취약점 스캔을 설정할 수 있습니다.

검색 스캔 생성

탐색 스캔에서는 내부 자산을 보고합니다.

이용자가 예상한 자산을 확인하기 위해 발견 스캔을 생성하고 발견 스캔 보고서를 확인하는 것을 권장합니다.

패스키를 설정하려면 다음과 같이 하십시오.

  1. 나의 제품 > Managed Risk > 스캔으로 이동합니다.
  2. 스캔 페이지에서 내부 탭을 선택하세요.
  3. 검색 스캔 생성

    태그 쌍2에서 검색 스캔 생성 페이지가 열립니다.

    Discovery Scan 페이지를 생성하십시오.

  4. 태그 쌍 2에서 스캐너를 선택하세요.

  5. 통합 설정 단계에서 통합의 이름 및 설명을 입력합니다.
  6. 태그 쌍 2에 대상 스캔 대상을 지정하고 추가를 클릭하세요.

    IP 주소, CIDR IP 범위 및 호스트 이름을 입력할 수 있습니다. 개별 항목을 입력하는 경우 각 항목 입력 후 입력 키를 누르세요. 대상 목록으로 항목의 쉼표로 구분된 목록을 붙여넣을 수도 있습니다.

  7. 주간 스캔 일정을 선택하여 주간 내부 스캔이 실행되는 요일과 시간을 설정합니다.

    기본 설정으로 스캔은 선택된 시간대에서 자정에 실행됩니다.

스캔이 실행된 후, Managed Risk > Report History 페이지에서 보고서를 확인할 수 있습니다.

취약성 스캔 생성

내부 취약점 스캔을 최대한 활용하려면, 내부 취약점 스캔 가이드라인을(를) 참조하세요.

내부 취약점 스캔은 자격 증명을 사용하지 않는 인증되지 않은 스캔으로, 대상 장치를 스캔하고자 하는 외부 공격자를 시뮬레이션하여 장치에 접근하려는 시도를 합니다.

내부 자산의 취약점 스캔을 설정하려면 다음을 수행하십시오:

  1. 나의 제품 > Managed Risk > 스캔으로 이동합니다.
  2. 태그쌍2 페이지에서 스캔을(를) 선택한 후 내부 탭을 선택하십시오.
  3. 취약성 스캔 생성

    태그 쌍2 만들기 취약성 스캔

    취약성 스캔 생성.

  4. 스캐너 선택에서 스캐너를 목록에서 선택하세요.

  5. 통합 설정 단계에서 통합의 이름 및 설명을 입력합니다.
  6. 스캔 대상 추가, 원하는 스캔 대상을 지정하고 추가를 클릭하세요.

    IP 주소, CIDR IP 범위 및 호스트 이름을 입력할 수 있습니다. 개별 항목을 입력하는 경우 항목마다 입력 키를 누르세요. 대상 목록에 항목들의 쉼표로 구분된 목록을 붙여넣을 수도 있습니다.

  7. 주간 스캔 일정을 선택하여 주간 내부 스캔이 실행될 날짜와 시간을 선택합니다.

    기본 설정으로 선택한 시간대에 자정에 스캔이 실행됩니다.

  8. 페이지 오른쪽 위에 있는 저장을 클릭합니다.

취약점 스캔이 설정되었으며 예정된 시간에 실행될 것입니다.

주간 내부 취약성 스캔이 실행된 후, 스캔 보고서는 Managed Risk > Report History 페이지에서 이용 가능해집니다.

내부 취약점 스캔 가이드라인

내부 취약점 스캔의 경우, 스캔할 수 있는 내부 자산의 최대 수는 관리된 리스크 라이선스 수의 120%와 동일합니다.

물리 네트워크의 다른 VLAN에 있는 자산을 스캔하는 취약성 스캔을 구성할 수 있습니다. 그러나 스캐닝 장치가 네트워크의 다른 VLAN에서 모든 포트와 프로토콜에 대한 완전한 양방향 액세스 권한을 갖도록 요구합니다.

추가하는 CIDR 범위의 접미사가 /16 이하인 경우, 스캐너가 대량의 항목을 스캔하려고 시도하므로 스캔 시간 초과가 발생할 수 있습니다. 이를 방지하려면, 서로 다른 네트워크 범위를 서로 다른 날짜와 시간에 스캔하기 위해 여러 번의 스캔을 설정하세요.