주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.

조사 콘솔

NDR 조사 콘솔을 사용하면 Data Lake에 들어가는 데이터뿐만 아니라 NDR 센서의 모든 데이터에 액세스할 수 있습니다. 이 데이터를 위협 사냥에 사용할 수 있습니다.

Sophos Central에서 콘솔을 설정하지만 로컬 네트워크에서 실행합니다. 콘솔은 NDR 통합 어플라이언스에서 데이터를 가져와 모니터링하거나 쿼리할 수 있도록 합니다.

이 페이지에서는 조사 콘솔을 작성하고 관리하는 방법을 설명합니다.

조사 콘솔 만들기

NDR에서 데이터를 수집하는 NDR 통합을 이미 설정했다고 가정합니다. 그렇지 않은 경우 Sophos NDR ESXi 또는 Hyper-V를 참조하십시오.

콘솔을 만드는 주요 단계는 다음과 같습니다.

  • 콘솔을 구성합니다. 그러면 가상 네트워크에 배포할 이미지가 생성됩니다.
  • 이미지를 다운로드하여 배포합니다.
  • 콘솔에 NDR 통합 어플라이언스를 할당합니다. 그러면 NDR 데이터가 콘솔로 전송됩니다.

콘솔 구성

  1. NDR > 조사 콘솔 로 이동합니다.
  2. 콘솔 만들기 를 클릭합니다.

    콘솔 만들기 단추.

  3. 콘솔을 다음과 같이 구성합니다.

    1. 이름설명을 입력합니다.
    2. 가상 플랫폼을 선택합니다. 조사 콘솔은 VMware ESXi 또는 Microsoft Hyper-V에서만 지원됩니다.
    3. 인터넷 연결 네트워크 포트 설정을 지정합니다. 이렇게 하면 관리 인터페이스가 설정됩니다.

      • IP 주소를 자동으로 할당하려면 DHCP를 선택합니다.

        참고

        DHCP를 선택하는 경우 IP 주소를 예약해야 합니다.

      • 네트워크 설정을 지정하려면 수동을 선택합니다.

    4. 저장을 클릭합니다.

    조사 콘솔 설정.

  4. 어플라이언스 자격 증명 팝업이 표시됩니다. 콘솔을 호스팅하는 어플라이언스에 액세스하려면 자격 증명이 필요합니다.

    사용자 이름은 zadmin 이고 암호는 메시지에 표시됩니다. 암호를 안전하게 보관하십시오. 암호는 한 번만 표시됩니다.

    OK를 클릭합니다.

    어플라이언스 자격 증명 팝업.

  5. 조사 콘솔 페이지에서 새 콘솔이 목록에 표시됩니다. 이름 위로 마우스를 가져가면 "배포 대기 중"이 표시됩니다.

    이미지가 생성될 때까지 기다립니다. 이 작업은 5분 정도 걸릴 수 있습니다.

    배포를 기다리는 콘솔의 도구 설명입니다.

  6. 맨 오른쪽 열에서 세 개의 점을 클릭하고 이미지 다운로드를 선택합니다.

    추가 메뉴에서 "이미지 다운로드"를 선택합니다.

이미지 배포

사용자 환경에 이미지를 배포합니다.

구축은 VMware ESXi를 사용하는지 Hyper-V를 사용하는지에 따라 달라집니다. 지침을 보려면 아래에서 관련 탭을 클릭하십시오.

제한

ESXi를 사용하는 경우, OVA 파일은 Sophos Central로 확인되므로 한 번만 사용할 수 있습니다. 새 VM을 배포해야 하는 경우 Sophos Central에서 OVA 파일을 다시 만들어야 합니다.

ESXi 호스트에서 다음과 같이 하십시오.

  1. 가상 머신을 선택합니다.
  2. VM 만들기/등록을 클릭합니다.

    VM 만들기/등록 탭.

  3. 생성 유형 선택에서 OVF 또는 OVA 파일에서 가상 머신 배포를 선택합니다. 다음을 클릭합니다.

    생성 유형 선택합니다.

  4. OVF 및 VMDK 파일 선택에서 다음과 같이 하십시오.

    1. VM 이름을 입력합니다.
    2. "파일을 선택하려면 클릭하십시오 ..."라는 화면을 클릭하고 다운로드한 OVA 파일을 선택합니다.
    3. 다음을 클릭합니다.

    OVA 파일을 선택합니다.

  5. 스토리지 선택에서 표준을 선택합니다. 그런 다음 VM을 배치할 데이터 저장소를 선택합니다. 다음을 클릭합니다.

    스토리지를 선택합니다.

  6. 배포 옵션에 다음과 같이 설정을 입력합니다.

    1. MGMT에서, 어플라이언스의 관리 인터페이스를 선택합니다.

      초기에 Sophos Central의 인터넷 연결 네트워크 포트 설정에서 이 인터페이스를 설정하십시오.

      설정 중에 DHCP를 선택한 경우 VM이 DHCP를 통해 IP 주소를 가져올 수 있는지 확인합니다.

    2. 디스크 프로비저닝에서 이 선택되어 있는지 확인합니다.

    3. 자동으로 전원 켜기가 선택되어 있는지 확인합니다.
    4. 다음을 클릭합니다.

    배포 옵션.

  7. 추가 설정 단계를 건너뜁니다.

  8. 마침을 클릭합니다. 새 VM이 VM 목록에 나타날 때까지 기다립니다. 몇 분 정도 걸릴 수 있습니다.

    완료하기 위해 준비합니다.

  9. VM의 전원을 켜고 설치가 완료될 때까지 기다립니다.

    VM이 처음으로 부팅되고 올바른 포트 그룹 및 인터넷에 연결할 수 있는지 확인합니다. 그런 다음 재부팅됩니다. 이 작업은 최대 10분 정도 걸릴 수 있습니다.

Sophos Central에서 다운로드한 Zip 파일에는 가상 드라이브, seed.iso 및 Powershell 스크립트와 같이 VM을 배포하는 데 필요한 파일이 들어 있습니다.

VM을 배포하려면 다음과 같이 하십시오.

  1. 하드 드라이브의 폴더에 Zip 파일의 압축을 풉니다.
  2. 해당 폴더로 이동하여 ndr-sensor.ps1 파일을 마우스 오른쪽 단추로 클릭하고 PowerShell로 실행을 선택합니다.
  3. 보안 경고 메시지가 표시되면 열기를 클릭하여 파일 실행을 허용합니다.

    일련의 질문에 답하라는 메시지가 표시됩니다.

  4. VM에 이름을 지정합니다.

  5. 스크립트는 VM 파일이 저장될 폴더를 표시합니다. 이것은 가상 드라이브의 기본 설치 위치에 있는 새 폴더입니다. 스크립트가 생성하도록 하려면 C를 입력하십시오.
  6. VM에 사용할 프로세서(CPU) 수를 입력합니다.
  7. 사용할 메모리 양을 GB 단위로 입력합니다.
  8. 이 스크립트는 현재 모든 vSwitch에 대해 번호가 매겨진 목록을 표시합니다.

    관리 인터페이스를 연결할 vSwitch를 선택하고 해당 번호를 입력합니다. 초기에 Sophos Central의 인터넷 연결 네트워크 포트 설정에서 이 인터페이스를 설정하십시오.

    설정 중에 DHCP를 선택한 경우 VM이 DHCP를 통해 IP 주소를 가져올 수 있는지 확인합니다.

    vSwitch를 선택합니다.

  9. 네트워크 트래픽을 캡처하기 위해 vSwitch를 지정할 필요는 없습니다. 이러한 설정은 Sophos NDR이 있는 경우에만 적용됩니다. vSwitch를 플레이스홀더로 선택하고 나중에 VM 설정에서 연결을 해제합니다.

    PowerShell 스크립트는 Hyper-V에서 VM을 설정합니다. 설치 완료 메시지가 표시됩니다.

  10. 종료하려면 아무 키나 누르십시오.

  11. Hyper-V 관리자를 열어 가상 컴퓨터 목록에 추가된 VM을 확인합니다. 필요한 경우 설정을 편집할 수 있습니다. 그런 다음 VM을 시작합니다.

    VM이 처음으로 부팅되고 올바른 vSwitch 및 인터넷에 연결할 수 있는지 확인합니다. 그런 다음 재부팅됩니다. 이 작업은 최대 10분 정도 걸릴 수 있습니다.

  12. Sophos Central에서 NDR > 조사 콘솔 로이동합니다. 상태 아이콘에 연결됨이 표시됩니다.

NDR 어플라이언스 할당

이제 NDR 어플라이언스 또는 어플라이언스를 할당합니다.

콘솔이 Sophos Central에 등록되고 "녹색" 상태가 표시될 때까지 NDR 어플라이언스를 할당할 수 없습니다.

  1. 조사 콘솔 페이지의 목록에서 새 콘솔을 선택합니다. 맨 오른쪽 열에서 세 개의 점을 클릭하고 어플라이언스 할당을 선택합니다.

    More(기타) 메뉴에서 "Assign appliance(어플라이언스 지정).

  2. 할당할 어플라이언스를 선택하고 저장 을 클릭합니다.

조사 콘솔 열기

조사 콘솔을 열려면 다음과 같이 하십시오.

  1. NDR > 조사 콘솔 로 이동합니다.
  2. 목록에서 본체를 찾습니다.
  3. 맨 오른쪽 열에서 세 개의 점을 점 3개 아이콘. 클릭하고 NDR 콘솔 열기를 선택합니다.

    Sophos Central에서 나간다는 경고가 표시됩니다.

    암호를 잊어버린 경우 "재설정"이라는 단어를 클릭하여 재설정합니다.

  4. 사용자 이름과 암호를 입력하고 콘솔 열기를 클릭합니다.

조사 콘솔 보기

Investigation Console 페이지에는 콘솔이 구성 및 성능 세부 정보와 함께 나열됩니다.

  • 콘솔 이름
  • 가전 제품: 콘솔에 할당된 NDR 통합 어플라이언스의 수입니다.
  • 유형: 콘솔이 있는 가상 플랫폼(예: VMware)
  • 버전: 플랫폼의 버전입니다.
  • CPU: CPU 사용.
  • 메모리: 메모리 사용.
  • IP 주소

할당된 어플라이언스 보기

조사 콘솔 페이지의 콘솔 목록에서 콘솔 이름 옆에 있는 화살표를 클릭하여 할당된 NDR 통합 어플라이언스의 세부 정보를 확인합니다.

할당된 NDR 어플라이언스입니다.

  • 어플라이언스 이름
  • 통합: 어플라이언스를 사용한 통합 수입니다.
  • 메모리: 메모리 사용.
  • 저장소
  • 유형: 어플라이언스를 호스팅하는 가상 플랫폼입니다.
  • 버전: 가상 플랫폼의 버전입니다.
  • 관리 IP: 관리 인터페이스.
  • Syslog IP: Syslog 인터페이스.

새 암호 생성

조사 콘솔에 액세스하는 데 사용하는 암호를 재설정할 수 있습니다.

  1. 조사 콘솔 페이지에서 콘솔을 선택합니다.
  2. 맨 오른쪽 열에서 세 개의 점을 점 3개 아이콘. 클릭하고 새 암호 생성을 선택합니다.

    암호를 복사하여 안전하게 보관합니다. 한 번만 표시됩니다. 나중에 복구할 수 없습니다.

  3. 다시 설정을 클릭합니다.

로그 수집

콘솔 활동 로그를 수집하려면 다음과 같이 하십시오.

  1. 조사 콘솔 페이지에서 콘솔을 선택합니다.
  2. 맨 오른쪽 열에서 세 개의 점을 점 3개 아이콘. 클릭하고 로그 수집을 선택합니다.

원격 지원

Sophos Support는 조사 콘솔을 호스팅하는 Sophos 어플라이언스의 문제를 해결하는 데 도움을 줄 수 있습니다.

경우에 따라 Sophos 지원에서 어플라이언스에 원격으로 액세스해야 합니다. 다음과 같이 최대 24시간 동안 액세스 권한을 부여할 수 있습니다.

어플라이언스가 온라인 상태여야 합니다.

  1. 조사 콘솔 페이지로 이동합니다.

  2. 어플라이언스를 찾습니다. 맨 오른쪽 열에서 점 세 개를 점 3개 아이콘. 클릭하고 리모컨을 선택합니다.

  3. 원격 지원 대화 상자에서 다음과 같이 하십시오.

    1. 활성화를 선택합니다.
    2. 이 확인란을 선택하여 Sophos Group 개인 정보 보호 고지를 확인합니다.
    3. 저장을 클릭합니다.

    Sophos Central은 어플라이언스로부터 액세스 ID를 요청합니다. 준비가 되면 대화 상자에 자동으로 표시됩니다.

    원격 지원 대화 상자.

  4. 액세스 ID를 복사하여 Sophos 지원 팀에 보냅니다. 이것은 어플라이언스에 액세스하는 데 사용합니다.

원격 지원은 24시간이 지나면 자동으로 꺼집니다. 또는 수동으로 끄려면 원격 지원 대화 상자로 돌아가서 활성화를 끕니다.