주요 콘텐츠로 건너뛰기

페이지 고정 링크

이 페이지를 참조할 때는 항상 다음 고정 링크를 사용하십시오. 이후 도움말 버전에서 변경되지 않은 채 유지됩니다.

https://docs.sophos.com/central/customer/help/ko-kr/index.html?contextId=ndr-investigation-console

조사 콘솔

NDR 조사 콘솔을 사용하면 데이터 레이크에 들어가는 데이터뿐만 아니라 NDR 센서의 모든 데이터에 액세스할 수 있습니다. 이 데이터를 위협 탐지에 사용할 수 있습니다.

콘솔은 Sophos Central에서 설정하지만 로컬 네트워크에서 실행합니다. 콘솔은 NDR 통합 장치에서 데이터를 가져와 모니터링하거나 쿼리할 수 있게 해줍니다.

이 페이지에서는 조사 콘솔을 만들고 관리하는 방법에 대해 설명합니다.

조사 콘솔 만들기

이미 NDR에서 데이터를 수집하는 NDR 통합을 이미 설정했다고 가정합니다. 아직 보지 못했다면 다음을 참조하십시오. Sophos 통합.

통합 주요 단계는 다음과 같습니다.

  • 콘솔 구성. 이렇게 하면 가상 네트워크에 배포할 이미지가 생성됩니다.
  • 이미지를 다운로드하고 배포합니다.
  • 콘솔에 NDR 통합 어플라이언스를 할당합니다. 이렇게 하면 NDR 데이터가 콘솔로 전송됩니다.

콘솔 구성

  1. 가기: 내 제품 > NDR > 조사 콘솔.

  2. 클릭 콘솔 생성.

    콘솔 만들기 버튼입니다.

  3. 다음과 같이 스위치를 구성합니다.

    1. 이름설명을 입력합니다.
    2. 가상 플랫폼을 선택합니다. 조사 콘솔은 VMware ESXi 또는 Microsoft Hyper-V에서만 지원됩니다.

    3. 인터넷 연결 네트워크 포트를 지정합니다. 그러면 VM에 대한 관리 인터페이스가 설정됩니다.

      • IP 주소를 자동으로 할당하려면 DHCP를 선택합니다.

        참고

        DHCP를 선택하는 경우 IP 주소를 예약해야 합니다.

      • 네트워크 설정을 지정하려면 수동을 선택합니다.

    4. 저장을 클릭합니다.

    조사 콘솔 설정입니다.

  4. 기기 자격 증명 팝업이 표시됩니다. 콘솔을 호스팅하는 장치에 액세스하려면 자격 증명이 필요합니다.

    사용자 이름은 zadmin 그리고 비밀번호는 메시지에 표시됩니다. 암호를 안전하게 보관하십시오. 암호는 한 번만 표시됩니다.

    OK를 클릭합니다.

    장치 자격 증명 팝업.

  5. On the 조사 콘솔 페이지에서 새 콘솔이 목록에 표시됩니다. 이름에 마우스를 올리면 "배포 대기 중"이라는 메시지가 표시됩니다.

    이미지가 생성될 때까지 기다립니다. 이 작업은 최대 5분이 소요될 수 있습니다.

    배포 대기 중인 콘솔에 대한 도구 설명.

  6. 맨 오른쪽 열에서 점 3개를 클릭하고 이미지 다운로드를 선택합니다.

    "더 보기" 메뉴의 "이미지 다운로드".

이미지 배포

환경에 이미지 배포합니다.

배포는 VMware ESXi 또는 Hyper-V를 사용하는지 여부에 따라 달라집니다. 아래 관련 탭을 클릭하여 지침을 확인하십시오.

제한

ESXi를 사용하는 경우, OVA 파일은 Sophos Central로 확인되므로 한 번만 사용할 수 있습니다. 새 VM을 배포해야 하는 경우 Sophos Central에서 OVA 파일을 다시 만들어야 합니다.

ESXi 호스트에서 다음과 같이 하십시오.

  1. 가상 머신을 선택합니다.

  2. VM 만들기/등록을 클릭합니다.

    VM 만들기/등록 탭.

  3. 생성 유형 선택에서 OVF 또는 OVA 파일에서 가상 머신 배포를 선택합니다. 다음을 클릭합니다.

    생성 유형 선택합니다.

  4. OVF 및 VMDK 파일 선택에서 다음과 같이 하십시오.

    1. VM 이름을 입력합니다.
    2. "파일 선택을 클릭하세요..."라고 표시된 화면을 클릭하고 다운로드한 OVA 파일을 선택합니다.
    3. 다음을 클릭합니다.

    OVA 파일을 선택합니다.

  5. 스토리지 선택에서 표준을 선택합니다. 그런 다음 VM을 배치할 데이터 저장소를 선택합니다. 다음을 클릭합니다.

    스토리지를 선택합니다.

  6. 배포 옵션에 다음과 같이 설정을 입력합니다.

    1. MGMT에서, 어플라이언스의 관리 인터페이스를 선택합니다.

      초기에 Sophos Central의 인터넷 연결 네트워크 포트 설정에서 이 인터페이스를 설정하십시오.

      설정 중에 DHCP를 선택한 경우 VM이 DHCP를 통해 IP 주소를 가져올 수 있는지 확인합니다.

    2. 디스크 프로비저닝에서 이 선택되어 있는지 확인합니다.

    3. 자동으로 전원 켜기가 선택되어 있는지 확인합니다.
    4. 다음을 클릭합니다.

    배포 옵션.

  7. 추가 설정 단계를 건너뜁니다.

  8. 마침을 클릭합니다. 새 VM이 VM 목록에 나타날 때까지 기다립니다. 몇 분 정도 걸릴 수 있습니다.

    완료하기 위해 준비합니다.

  9. VM의 전원을 켜고 설치가 완료될 때까지 기다립니다.

    VM이 처음으로 부팅되고 올바른 포트 그룹 및 인터넷에 연결할 수 있는지 확인합니다. 그런 다음 재부팅됩니다. 이 작업은 최대 10분 정도 걸릴 수 있습니다.

Sophos Central에서 다운로드한 Zip 파일에는 가상 드라이브, seed.iso 및 Powershell 스크립트와 같이 VM을 배포하는 데 필요한 파일이 들어 있습니다.

VM을 배포하려면 다음과 같이 하십시오.

  1. 하드 드라이브의 폴더에 Zip 파일의 압축을 풉니다.
  2. 해당 폴더로 이동하여 ndr-sensor.ps1 파일을 마우스 오른쪽 단추로 클릭하고 PowerShell로 실행을 선택합니다.

  3. 보안 경고 메시지가 표시되면 열기를 클릭하여 파일 실행을 허용합니다.

    일련의 질문에 답하라는 메시지가 표시됩니다.

  4. VM에 이름을 지정합니다.

  5. 스크립트는 VM 파일이 저장될 폴더를 표시합니다. 이것은 가상 드라이브의 기본 설치 위치에 있는 새 폴더입니다. 스크립트가 생성하도록 하려면 C를 입력하십시오.
  6. VM에 사용할 프로세서(CPU) 수를 입력합니다.
  7. 사용할 메모리 양을 GB 단위로 입력합니다.

  8. 이 스크립트는 현재 모든 vSwitch에 대해 번호가 매겨진 목록을 표시합니다.

    관리 인터페이스를 연결할 vSwitch를 선택하고 해당 번호를 입력합니다. 초기에 Sophos Central의 인터넷 연결 네트워크 포트 설정에서 이 인터페이스를 설정하십시오.

    설정 중에 DHCP를 선택한 경우 VM이 DHCP를 통해 IP 주소를 가져올 수 있는지 확인합니다.

    vSwitch를 선택합니다.

  9. 네트워크 트래픽을 캡처하기 위해 vSwitch를 지정할 필요는 없습니다. 이러한 설정은 Sophos NDR이 있는 경우에만 적용됩니다. vSwitch를 플레이스홀더로 선택하고 나중에 VM 설정에서 연결을 해제합니다.

    PowerShell 스크립트는 Hyper-V에서 VM을 설정합니다. 설치 완료 메시지가 표시됩니다.

  10. 종료하려면 아무 키나 누르십시오.

  11. Hyper-V 관리자를 열어 가상 컴퓨터 목록에 추가된 VM을 확인합니다. 필요에 따라 설정을 편집할 수 있습니다. 그런 다음 VM을 시작합니다.

    VM이 처음으로 부팅되고 올바른 vSwitch 및 인터넷에 연결할 수 있는지 확인합니다. 그런 다음 재부팅됩니다. 이 작업은 최대 10분 정도 걸릴 수 있습니다.

  12. Sophos Central에서 다음으로 이동하십시오. NDR > 조사 콘솔. 상태 아이콘에 연결됨이 표시됩니다.

NDR 장치 할당

이제 NDR 장치를 할당합니다.

콘솔이 Sophos Central에 등록되고 "녹색" 상태가 표시될 때까지 NDR 장치를 할당할 수 없습니다.

  1. On the 조사 콘솔 페이지에서 목록에서 새 콘솔을 선택합니다. 맨 오른쪽 열에서 점 3개를 클릭하고 이미지 다운로드를 선택합니다.

    "더보기" 메뉴의 "장치 할당"입니다.

  2. 추가할 규칙을 선택하고 선택 사항 저장을 클릭합니다.

NDR 조사 콘솔 열기

열어보려면 다음과 같이 하십시오.

  1. 가기: 내 제품 > NDR > 조사 콘솔.
  2. 목록에서 본체를 찾습니다.

  3. 맨 오른쪽 열에서 점 3개를 클릭하고 어플라이언스 관리자 열기를 선택합니다.

    Sophos Central을 떠난다는 경고가 표시됩니다.

    비밀번호를 잊으셨다면 "재설정"이라는 단어를 클릭하여 재설정하십시오.

  4. 사용자 이름 및 암호를 입력하고 로그인을 클릭합니다.

조사 본체 보기

The 조사 콘솔 페이지는 구성 및 성능 세부 정보가 포함된 콘솔을 나열합니다.

  • 콘솔 이름
  • 가전 제품: 본체에 할당된 NDR 통합 어플라이언스 수입니다.
  • 유형: 본체가 있는 가상 플랫폼(예: VMWare)입니다.
  • 버전: 플랫폼 버전입니다.
  • CPU: CPU 사용.
  • 메모리: 메모리 사용.
  • IP 주소

할당된 어플라이언스 보기

On the 조사 콘솔 페이지에서 콘솔 목록에서 콘솔 이름 옆에 있는 화살표를 클릭하여 해당 콘솔에 할당된 NDR 통합 장치의 세부 정보를 확인합니다.

할당된 NDR 장치입니다.

  • 어플라이언스 이름
  • 통합: 장치를 사용하는 통합 수.
  • 메모리: 메모리 사용.
  • 저장소
  • 유형: 장치를 호스팅하는 가상 플랫폼.
  • 버전: 가상 플랫폼의 버전.
  • 관리 IP: 관리 인터페이스.
  • Syslog IP: Syslog 인터페이스.

새 암호 생성

조사 콘솔에 액세스하는 데 사용하는 비밀번호를 재설정할 수 있습니다.

  1. On the 조사 콘솔 페이지에서 콘솔을 선택합니다.

  2. 맨 오른쪽 열에서 점 3개를 점 3개 아이콘.클릭하고 이미지 다운로드를 선택합니다.

    비밀번호를 복사하여 안전한 장소에 보관합니다. 한 번만 표시됩니다. 나중에 복구할 수 없습니다.

  3. 다시 설정을 클릭합니다.

로그 수집

콘솔 활동 로그를 수집하려면 다음과 같이 하십시오.

  1. On the 조사 콘솔 페이지에서 콘솔을 선택합니다.
  2. 맨 오른쪽 열에서 점 3개를 점 3개 아이콘.클릭하고 이미지 다운로드를 선택합니다.

원격 지원

Sophos 지원은 조사 콘솔을 호스트하는 Sophos 장치의 문제를 해결하는 데 도움을 줄 수 있습니다.

경우에 따라 Sophos 지원에서 어플라이언스에 원격으로 액세스해야 합니다. 다음과 같이 최대 24시간 동안 액세스 권한을 부여할 수 있습니다.

어플라이언스가 온라인 상태여야 합니다.

  1. *로 이동하십시오. *조사 콘솔 페이지.

  2. 어플라이언스를 찾습니다. 맨 오른쪽 열에서 줄임표(점 3개)를 클릭하고 원격 지원를 선택합니다.

  3. 원격 지원 대화 상자에서 다음과 같이 하십시오.

    1. 활성화를 선택합니다.
    2. 이 확인란을 선택하여 Sophos Group 개인 정보 보호 고지를 확인합니다.
    3. 저장을 클릭합니다.

    Sophos Central은 어플라이언스로부터 액세스 ID를 요청합니다. 준비가 되면 대화 상자에 자동으로 표시됩니다.

    원격 지원 대화 상자.

  4. 액세스 ID를 복사하여 Sophos 지원 팀에 보냅니다. 이것은 어플라이언스에 액세스하는 데 사용합니다.

원격 지원은 24시간이 지나면 자동으로 꺼집니다. 또는 수동으로 끄려면 원격 지원 대화 상자로 돌아가서 활성화를 끕니다.