주요 콘텐츠로 건너뛰기
페이지의 일부 또는 전체가 기계 번역되었습니다.
MDR을 지원하는 방법에 대해 알아보십시오.

Barracuda CloudGen 통합

이 기능을 사용하려면 "Firewall" 통합 라이선스 팩이 있어야 합니다.

Sophos Central에 Barracuda CloudGen를 통합하면 Sophos로 경고를 전송하여 분석할 수 있습니다.

이 통합에서는 가상 컴퓨터(VM)에서 호스팅되는 로그 수집기를 사용합니다. 이들을 모두 어플라이언스라고 합니다. 어플라이언스는 타사 데이터를 수신하여 Sophos 데이터 레이크로 전송합니다.

참고

Barracuda CloudGen의 여러 인스턴스를 동일한 어플라이언스에 추가할 수 있습니다.

이렇게 하려면 Sophos Central에서 Barracuda CloudGen 통합을 설정한 다음, Barracuda CloudGen 인스턴스 하나를 로그를 전송하도록 구성합니다. 그런 다음 다른 Barracuda CloudGen 인스턴스를 동일한 Sophos 어플라이언스로 로그를 전송하도록 구성합니다.

설정의 Sophos Central 부분은 반복할 필요가 없습니다.

주요 단계는 다음과 같습니다.

  • 이 제품에 대한 통합을 구성합니다. 그러면 VM에서 사용할 이미지가 구성됩니다.
  • VM에서 이미지를 다운로드하고 배포합니다. 이것이 어플라이언스가 됩니다.
  • 어플라이언스로 데이터를 보내도록 Barracuda CloudGen 구성합니다.

요구 사항

어플라이언스에는 시스템 및 네트워크 액세스 요구 사항이 있습니다. 이러한 요구 사항을 충족하는지 확인하려면 어플라이언스 요구 사항를 참조하십시오.

통합 구성

통합을 구성하려면 다음과 같이 하십시오.

  1. Sophos Central에서 위협 분석 센터 > 통합 > 마켓플레이스로 이동합니다.
  2. Barracuda CloudGen을 클릭합니다.

    Barracuda CloudGen 페이지가 열립니다. 여기에서 통합을 구성하고 이미 구성한 목록을 볼 수 있습니다.

  3. 데이터 수집(보안 경고)에서 구성 추가를 클릭합니다.

    참고

    이 통합이 처음 추가한 통합인 경우 내부 도메인 및 IP에 대한 세부 정보를 요청할 수 있습니다. 내 도메인 및 IP을 참조하십시오.

    통합 설정 단계가 나타납니다.

VM 구성

통합 설정 단계에서 VM을 Barracuda CloudGen로부터 데이터를 수신하는 어플라이언스로 구성합니다. 기존 VM을 사용하거나 새 VM을 만들 수 있습니다.

VM을 구성하려면 다음과 같이 하십시오.

  1. 통합 이름과 설명을 입력합니다.
  2. 어플라이언스의 이름 및 설명을 입력합니다.

    이미 Sophos 어플라이언스를 설정한 경우 목록에서 선택할 수 있습니다.

  3. 가상 플랫폼을 선택합니다. 현재 VMware ESXi 6.7 Update 3 이상 및 Microsoft Hyper-V 6.0.6001.18016(Windows Server 2016) 이상을 지원합니다.

  4. 인터넷 연결 네트워크 포트의 IP 설정을 지정합니다. 그러면 VM에 대한 관리 인터페이스가 설정됩니다.

    • IP 주소를 자동으로 할당하려면 DHCP를 선택합니다.

      참고

      DHCP를 선택하는 경우 IP 주소를 예약해야 합니다.

    • 네트워크 설정을 지정하려면 수동을 선택합니다.

  5. Syslog IP 버전을 선택하고 Syslog IP 주소를 입력합니다.

    나중에 어플라이언스로 데이터를 전송하도록 Barracuda CloudGen를 구성할 때 이 syslog IP 주소가 필요합니다.

  6. 프로토콜TCP가 미리 선택되어 있습니다. 이것은 변경할 수 없습니다.

    Barracuda CloudGen를 구성하여 데이터를 어플라이언스로 전송하는 경우 동일한 프로토콜을 사용해야 합니다.

  7. 저장을 클릭합니다.

    통합이 만들어지고 목록에 나타납니다.

    통합 세부 정보에 어플라이언스의 포트 번호가 표시됩니다. 포트 번호는 나중에 데이터를 전송하도록 Barracuda CloudGen를 구성할 때 필요합니다.

    VM 이미지를 준비하는 데 몇 분 정도 걸릴 수 있습니다.

VM 배포

제한

ESXi를 사용하는 경우, OVA 파일은 Sophos Central로 확인되므로 한 번만 사용할 수 있습니다. 다른 VM을 배포해야 하는 경우 Sophos Central에서 OVA 파일을 다시 만들어야 합니다.

VM 이미지를 사용하여 VM을 배포합니다. 이렇게 하려면, 다음 과정을 수행하십시오.

  1. 통합 목록의 작업에서 해당 플랫폼에 대한 다운로드 작업(예: ESXi용 OVA 다운로드)을 클릭합니다.
  2. 이미지 다운로드가 완료되면 VM에 배포하십시오. 통합을 위해 VM 배포을 참조하십시오.

Barracuda CloudGen 구성

이제 syslog 포워딩을 사용하여 당사에 경고를 보내도록 Barracuda CloudGen를 구성합니다.

syslog 스트리밍 활성화

다음과 같이 Barracuda CloudGen 방화벽에서 syslog 스트리밍을 활성화합니다.

  1. 구성 > 구성 트리 > 상자 > 인프라 서비스 > Syslog 스트리밍 으로 이동합니다.
  2. 잠금 을 클릭합니다.
  3. Syslog 스트리밍 활성화예 로 설정합니다.
  4. 변경 내용 보내기활성화를 클릭합니다.

상세 방화벽 보고 활성화

  1. 구성 트리 > 인프라 서비스 > 일반 방화벽 구성 으로 이동합니다.
  2. 잠금 을 클릭합니다.
  3. 왼쪽 메뉴에서 감사 및 보고를 선택합니다.
  4. 로그 정책에서 활동 로그 모드 를 Log-pipe-separated-Key-Value-List 로 설정합니다.
  5. 변경 내용 보내기활성화를 클릭합니다.

Log-Pipe-Separated-Key-Value-List를 사용한 출력 예:

2024 05 07 10:02:51 +00:00 Info     Allow: type=LOUT|proto=TCP|srcIF=dhcp|srcIP=10.0.0.4|srcPort=47542|srcMAC=00:0d:3a:46:14:a3|dstIP=168.63.129.16|dstPort=32526|dstService=|dstIF=|rule=PASSALL|info=0|srcNAT=10.0.0.4|dstNAT=168.63.129.16|duration=0|count=1|receivedBytes=0|sentBytes=0|receivedPackets=0|sentPackets=0|user=|protocol=|application=|target=|content=|urlcat=

로그 데이터 필터 구성

스트리밍할 로그 파일 형식을 지정합니다.

  1. 구성 > 구성 트리 > 상자 > 인프라 서비스 > Syslog 스트리밍 으로 이동합니다 .
  2. 왼쪽 메뉴에서 로그 데이터 필터를 선택합니다.
  3. 잠금 을 클릭합니다.
  4. Filters 테이블에서 "+"를 클릭하여 새 필터를 추가합니다.

    필터 창이 열립니다.

  5. 이름 을 입력합니다(예: "Sophos MDR integration").

  6. OK을 클릭합니다.
  7. 데이터 선택 테이블에서 **** 스트리밍할 최상위 로그 데이터 로그 파일을 추가합니다. 다음을 선택할 수 있습니다.

    • 치명적_로그
    • 패닉 로그
    • 방화벽_감사_로그

    Firewall_Audit_Log 의 경우방화벽 감사 로그를 활성화 및 구성해야 하며 감사 배달Syslog 프록시 로 설정해야합니다. 방화벽 감사 로그 서비스를 활성화하는 방법을 참조하십시오.

Sophos를 로그스트림 대상으로 구성

syslog 스트림을 Sophos Central로 보내도록 방화벽을 구성합니다.

  1. 구성 > 구성 트리 > 상자 > 인프라 서비스 > Syslog 스트리밍 으로 이동합니다.
  2. 왼쪽 메뉴에서 Logstream Destinations를 선택합니다.
  3. 잠금 을 클릭합니다.
  4. 대상 테이블에서 "+"를 클릭하여 새 필터를 추가합니다.

    대상 페이지가 열립니다.

  5. 이름을 입력하고 확인 을 클릭합니다.

  6. Logstream Destination 에서로그 데이터 필터를 구성할 때 입력한 이름을 선택합니다(이 예에서는 "Sophos MDR integration").
  7. 대상 IP 주소대상 포트 에 앞서 Sophos Central에서 구성한 IP 주소와 포트를 입력합니다.
  8. 변경 내용 보내기활성화를 클릭합니다.

로그 데이터 스트림 구성

logdata 필터와 logstream 대상을 결합하여 logdata 스트림을 설정합니다.

  1. 구성 > 구성 트리 > 상자 > 인프라 서비스 > Syslog 스트리밍 으로 이동합니다.
  2. 왼쪽 메뉴에서 로그 데이터 스트림을 선택합니다.
  3. 잠금 을 클릭합니다.
  4. Streams 테이블에서 "+"를 클릭하여 새 syslog 스트림을 추가합니다.

    스트림 창이 열립니다.

  5. 이름을 입력합니다. 이전 섹션에서 사용한 것과 동일한 이름을 사용합니다(이 예에서는 "Sophos MDR 통합").

  6. OK을 클릭합니다.
  7. Active Streamyes 로 설정합니다.
  8. 로그 대상 테이블에서 "+"를 클릭하고 이전에 구성한 로그 스트림 대상을 선택합니다.
  9. Log Filters 테이블에서 "+"를 클릭하고 이전에 구성한 로그 데이터 필터를 선택합니다.
  10. OK을 클릭합니다.
  11. 변경 내용 보내기활성화를 클릭합니다.

logdata 필터가 다루는 모든 로그는 이제 Sophos로 스트리밍됩니다.