콘텐츠로 이동
는 우리가 어떻게 을 지원하는지에 대해 설명합니다.

Cisco Firepower

로그 수집기

이 기능을 사용하려면 "Firewall" 통합 라이선스 팩이 있어야 합니다.

Sophos Central과 Firepower를 통합하여 분석을 위해 Sophos로 감사 데이터를 전송할 수 있습니다.

이 통합에서는 가상 컴퓨터(VM)에서 호스팅되는 로그 수집기를 사용합니다. 이를 모두 데이터 수집기라고 합니다. 데이터 수집기는 타사 데이터를 수신하여 Sophos 데이터 레이크로 전송합니다.

Sophos NDR VA 및 기타 로그 수집기를 실행하는 기존 VM에 로그 수집기를 추가할 수 있습니다. 이 통합을 위한 새 VM을 만들 수도 있습니다.

참고

여러 개의 Cisco Firepower 방화벽을 동일한 Sophos 데이터 수집기에 추가할 수 있습니다.

이렇게 하려면 Sophos Central에서 Cisco Firepower 통합을 설정한 다음, 방화벽 하나를 로그를 전송하도록 구성합니다. 그런 다음 다른 Cisco Firepower 방화벽을 동일한 Sophos 데이터 수집기로 로그를 전송하도록 구성합니다.

설정의 Sophos Central 부분은 반복할 필요가 없습니다.

통합을 추가하는 주요 단계는 다음과 같습니다.

  • 이 제품에 대한 통합을 추가합니다. 그러면 OVA(Open Virtual Appliance) 파일이 구성됩니다.
  • ESXi 서버에 OVA 파일을 배포합니다. 그러면 이것이 데이터 수집기가 됩니다.
  • 데이터를 보내도록 Firepower를 구성합니다. 사용 중인 장치에 따라 단계가 달라집니다.
  • VM에 Firepower를 연결합니다.

통합 추가

Sophos Central에 Firepower를 통합하려면 다음과 같이 하십시오.

  1. Sophos Central에서 위협 분석 센터로 이동하여 통합을 클릭합니다.
  2. Cisco Firepower를 클릭합니다.

    이미 Firepower에 연결을 설정한 경우 여기에 표시됩니다.

  3. 추가를 클릭합니다.

    참고

    이 통합이 처음 추가한 통합인 경우 내부 도메인 및 IP에 대한 세부 정보를 요청할 수 있습니다. 내 도메인 및 IP을 참조하십시오.

    통합 단계가 나타납니다.

VM 구성

통합 설정 단계에서 Firepower로부터 데이터를 수신하도록 VM을 구성합니다. 기존 VM을 사용하거나 새 VM을 만들 수 있습니다.

양식을 작성하는 데 필요한 일부 정보를 얻기 위해 Firewpower로 이동해야 할 수도 있습니다.

VM을 구성하려면 다음과 같이 하십시오.

  1. 새 통합의 이름 및 설명 추가.
  2. 데이터 수집기에 대한 이름 및 설명을 입력합니다.

    이미 데이터 수집기 통합을 설정한 경우 목록에서 선택할 수 있습니다.

  3. 가상 플랫폼을 선택합니다. (현재는 VMware만 지원함).

  4. 인터넷 연결 네트워크 포트를 지정합니다.

    • IP 주소를 자동으로 할당하려면 DHCP를 선택합니다.

      참고

      DHCP를 선택하는 경우 IP 주소를 예약해야 합니다.

    • 네트워크 설정을 지정하려면 수동을 선택합니다.

    나중에 데이터를 전송하도록 Firepower를 구성할 때 VM의 주소가 필요합니다.

  5. 프로토콜을 선택합니다.

  6. Syslog 형식을 선택합니다.
  7. 나머지 필드를 모두 입력합니다.
  8. 저장을 클릭합니다.

    통합이 만들어지고 목록에 나타납니다. OVA 파일 다운로드 준비를 마치는 데 몇 분 정도 걸릴 수 있습니다.

VM 배포

제한

OVA 파일은 Sophos Central로 확인되므로 한 번만 사용할 수 있습니다. 배포된 후에는 다시 사용할 수 없습니다.

새 VM을 배포해야 하는 경우 이러한 모든 단계를 다시 수행하여 이 통합을 Sophos Central에 연결해야 합니다.

OVA 파일을 사용하여 VM을 배포합니다. 이렇게 하려면, 다음 과정을 수행하십시오.

  1. 통합 목록의 작업에서 OVA 다운로드를 클릭합니다.
  2. OVA 파일 다운로드가 완료되면 ESXi 서버에 배포합니다. 도우미가 해당 과정을 안내합니다. 통합을 위해 VM 배포을 참조하십시오.

VM을 배포하면 통합이 연결됨으로 표시됩니다.

Firepower 구성

이제 데이터를 데이터 수집기로 보내도록 Firepower를 구성합니다. 데이터 수집기는 syslog 서버 역할을 하므로 방화벽의 syslog 서버 기능을 사용하여 데이터를 전송합니다.

수행하는 단계는 장치의 펌웨어 버전 및 사용 중인 Cisco 관리 방법에 따라 다릅니다.

Firepower Threat Defense(FTD) 버전 6.3 이상을 실행하는 방화벽의 경우, 사용 중인 관리 방법의 탭을 클릭합니다. FirePower Management Console(FMC) 또는 FirePower Defence Manager(FDM)를 사용할 수 있습니다.

Firepower Threat Defense(FTD) 6.3 이전 버전을 실행하는 방화벽의 경우, 클래식 장치의 탭을 클릭합니다.

참고

정책 및 규칙 이름과 같은 개체 이름에 쉼표를 비롯한 특수 문자를 사용하지 마십시오. VM의 데이터 수집기는 이러한 문자를 구분 기호로 처리할 수 있습니다.

Firepower Management Console을 사용하여 Firepower Threat Defense(FTD) 버전 6.3 이상을 실행하는 방화벽을 Sophos 데이터 수집기에 연결하려면 다음과 같이 하십시오.

syslog 설정 구성

  1. FMC에서 장치 > 플랫폼 설정을 클릭합니다.
  2. 데이터 수집기에 연결할 플랫폼을 선택하고 편집 아이콘을 클릭합니다.
  3. Syslog를 클릭합니다.
  4. Syslog 서버 > 추가를 클릭합니다.
  5. Sophos 데이터 수집기에 대한 다음 연결 세부 정보를 입력합니다.

    1. IP 주소.
    2. 프로토콜 유형. UDP를 선택한 경우 EMBLEM 형식을 켜지 않아야 합니다.
    3. 포트 번호.

    통합을 추가할 때 Sophos Central에 입력한 것과 동일한 설정을 입력해야 합니다.

  6. 보안 syslog 활성화를 선택하지 마십시오.

  7. 도달 가능 대상에 방화벽이 Sophos 데이터 수집기에 도달할 수 있도록 허용하는 네트워크 세부 정보를 입력합니다.

  8. OK을 클릭합니다.

    Cisco Firepower 방화벽의 syslog 서버 설정에 대한 자세한 내용은 Syslog 서버 구성을 참조하십시오.

  9. Syslog 설정을 클릭하고 다음과 같이 설정을 구성합니다.

    1. Syslog 메시지에서 타임스탬프 활성화를 켭니다.
    2. 타임스탬프 형식에서 RFC 5424를 선택합니다.
    3. Syslog 장치 ID 활성화를 켜고 호스트 이름을 선택합니다.
    4. Netflow 등가 설정을 켜지 마십시오.
  10. 저장을 클릭합니다.

  11. 로깅 설정을 클릭합니다.

  12. 로깅 활성화를 선택합니다.
  13. 다음을 선택하면 안 됩니다.

    1. 장애 조치 대기 유닛에서 로깅 활성화
    2. EMBLEM 형식으로 syslog 보내기
    3. 디버그 메시지를 syslog로 보내기
  14. VPN 이벤트를 Sophos 데이터 수집기로 전달하려면 다음과 같이 하십시오.

    1. VPN 로깅 설정 섹션에서 방화벽 관리 센터에 로깅 활성화를 선택합니다.
    2. 디버그로깅 수준으로 선택합니다.
  15. FTP 서버 정보 지정 또는 플래시 크기 지정에 대한 정보를 입력할 필요는 없습니다.

  16. 저장을 클릭합니다.

액세스 제어를 위한 로깅 설정 구성

또한 파일 및 맬웨어 로깅을 비롯하여 액세스 제어 정책에 대한 로깅 설정을 구성해야 합니다.

이렇게 하려면, 다음 과정을 수행하십시오.

  1. 정책 > 액세스 제어를 클릭합니다.
  2. 구성할 액세스 제어 정책의 편집 아이콘을 클릭합니다.
  3. 로깅을 클릭합니다.
  4. 장치에 배포된 FTD 플랫폼 설정 정책에 구성된 syslog 설정 사용을 선택합니다.
  5. Syslog 심각도에서 경고를 선택합니다.
  6. IPS 이벤트에 대한 Syslog 메시지 보내기를 켭니다.
  7. 파일 및 맬웨어 이벤트에 대한 Syslog 메시지 보내기를 켭니다.
  8. 저장을 클릭합니다.

보안 인텔리전스 이벤트에 대해 로깅 켜기

  1. 동일한 액세스 제어 정책에서 보안 인텔리전스를 클릭합니다.
  2. DNS 정책 옵션 아이콘을 클릭합니다.
  3. DNS 차단 목록 로깅 옵션에서 다음을 켭니다.

    • 로그 연결.
    • 방화벽 관리 센터
    • Syslog 서버.
  4. OK을 클릭합니다.

  5. 차단 목록에서 네트워크 옵션 아이콘을 클릭합니다.

  6. 네트워크 차단 목록 로깅 옵션에서 다음을 켭니다.

    • 로그 연결
    • 방화벽 관리 센터
    • Syslog 서버
  7. OK을 클릭합니다.

  8. 차단 목록에서 아래로 스크롤하여 URL 옵션 아이콘을 찾습니다.

  9. URL 차단 목록 로깅 옵션에서 다음을 켭니다.

    • 로그 연결
    • 방화벽 관리 센터
    • Syslog 서버
  10. OK을 클릭합니다.

  11. 저장을 클릭합니다.

각 액세스 제어 규칙에 대해 syslog 로깅 켜기

액세스 제어 정책의 모든 규칙에 syslog 로깅이 켜져 있는지 확인해야 합니다.

이렇게 하려면 정책의 모든 규칙에 대해 다음과 같이 하십시오.

  1. 동일한 액세스 제어 정책에서 규칙 탭을 클릭합니다.
  2. 편집할 규칙을 클릭합니다.
  3. 규칙 편집에서 로깅을 클릭합니다.
  4. 연결의 시작 또는 끝 혹은 둘 다를 로깅할지 여부를 선택합니다.

    연결 로깅은 많은 데이터를 생성합니다. 시작과 끝을 모두 기록하면 거의 두 배가 됩니다. 시작 및 끝 모두에서 모든 연결을 로깅할 수 있는 것은 아닙니다. 자세한 내용을 보려면 Cisco 계정에 로그인하여 Firepower Management Center 구성 가이드 버전 6.2의 연결 로깅 섹션으로 이동하십시오. 연결, 로깅을 참조하십시오.

  5. 파일 이벤트를 로깅하려면 로그 파일을 선택합니다.

  6. Syslog 서버를 켭니다.
  7. 저장을 클릭합니다.

침입 이벤트에 대해 로깅 켜기

또한 액세스 제어 정책과 연결된 침입 정책에서 이벤트 로깅을 켜야 합니다.

  1. 정책 > 침입을 클릭합니다.
  2. 액세스 제어 정책과 연결된 침입 정책을 찾아 Snort 2 버전을 클릭합니다.
  3. 정책 정보에서 고급 설정을 클릭합니다.
  4. 고급 설정에서 Syslog 경고로 이동합니다.
  5. 활성화됨을 클릭합니다.
  6. 뒤로를 클릭합니다.
  7. 정책 정보에서 변경 사항 적용을 클릭합니다.
  8. 변경 사항에 대한 설명을 입력하고 확인을 클릭합니다.

참고

정책 및 규칙 이름과 같은 개체 이름에 쉼표를 비롯한 특수 문자를 사용하지 마십시오. VM의 데이터 수집기는 이러한 문자를 구분 기호로 처리할 수 있습니다.

FDM을 사용하여 Sophos 데이터 수집기에 Firepower 장치를 연결하려면 다음과 같이 하십시오.

파일 및 맬웨어 이벤트에 대해 로깅을 켭니다.

파일 및 맬웨어 이벤트에 대해 로깅을 켜고 Sophos 데이터 수집기의 연결 세부 정보를 방화벽에 추가하려면 다음과 같이 하십시오.

  1. 구성할 장치에서 FDM에 로그인하고 장치:<이름> 탭으로 이동합니다.
  2. 시스템 설정에서 로깅 설정을 클릭합니다.
  3. 파일/맬웨어 로깅을 켭니다.
  4. Syslog 서버를 클릭하여 사용 가능한 서버를 확인합니다.
  5. Sophos 데이터 수집기를 이 장치에 이미 추가한 경우 선택합니다. 그렇지 않은 경우 새 Syslog 서버 만들기를 클릭합니다.
  6. Sophos 데이터 수집기에 대한 다음 연결 세부 정보를 입력합니다.

    1. IP 주소.
    2. 프로토콜 유형.
    3. 포트 번호.

    통합을 추가할 때 Sophos Central에 입력한 것과 동일한 설정을 입력해야 합니다.

  7. 필요한 경우 네트워크 환경에 적합한 데이터 인터페이스 또는 관리 인터페이스를 선택합니다.

  8. OK을 클릭합니다.
  9. 새 서버가 Syslog 서버에 나타납니다. 클릭하여 선택합니다.
  10. 로그 심각도 수준에서 디버그를 선택합니다.
  11. 저장을 클릭합니다.

정책 구성

각 정책에서 Sophos 데이터 수집기로 보낼 활동에 대해 로깅을 켜야 합니다. 액세스 제어 및 침입 이벤트를 켤 수 있습니다.

이렇게 하려면, 다음 과정을 수행하십시오.

  1. 정책 > 액세스 제어를 클릭합니다.
  2. 구성할 정책을 찾고 편집 아이콘을 클릭합니다.
  3. 로깅을 클릭합니다.
  4. 로그 동작 선택에서 연결의 시작 또는 끝에 로깅할지 또는 둘 다 로깅하지 않을지 선택합니다.
  5. 파일 이벤트에서 로그 파일을 켭니다.
  6. 침입 이벤트를 로깅하려면 침입 정책에서 침입 정책을 켭니다.
  7. 적용할 침입 정책을 선택합니다.
  8. 파일 이벤트를 로깅하려면 파일 정책에서 적용할 파일 정책을 선택합니다. 다음 중에서 선택합니다.

    • 맬웨어 모두 차단
    • 맬웨어 클라우드 조회 - 차단 없음
  9. 연결 이벤트 전송 대상:에서 Sophos 데이터 수집기를 선택합니다.

  10. OK을 클릭합니다.
  11. 침입을 클릭합니다.
  12. 구성할 정책을 찾고 설정 아이콘을 클릭합니다.
  13. 로깅 설정 편집에서 더하기 아이콘을 클릭하고 Sophos 데이터 수집기를 선택합니다.
  14. OK을 클릭합니다.

Sophos 데이터 수집기로 데이터를 전송해야 하는 각 정책에 대해 이 단계를 반복합니다.

변경 사항 저장

변경 사항은 배포할 때까지 장치에서 활성화되지 않습니다. 이렇게 하려면, 다음 과정을 수행하십시오.

  1. 배포 아이콘을 클릭합니다.

    배포하지 않은 변경 사항이 있으면 아이콘에 점이 나타납니다.

  2. 보류 중인 변경 사항에서 변경 사항을 검토합니다.

  3. 지금 배포를 클릭합니다.

==="클래식 장치"

이 프로세스에 대한 자세한 내용은 Cisco 설명서를 참조하십시오. [Syslog 경고 응답 생성](https://www.cisco.com/c/en/us/td/docs/security/firepower/630/configuration/guide/fpmc-config-guide-v63/external_alerting_with_alert_responses.html#ID-2197-0000012b)을 참조하십시오.

!!! note "참고"

    정책 및 규칙 이름과 같은 개체 이름에 쉼표를 비롯한 특수 문자를 사용하지 마십시오. VM의 데이터 수집기는 이러한 문자를 구분 기호로 처리할 수 있습니다.

Sophos 데이터 수집기에 Firepower 클래식 장치를 연결하려면 다음과 같이 하십시오.

syslog 설정 구성
{.h3}

1.  FMC(Firepower Management Center)에 로그인합니다.
2.  **정책** > **작업** > **경고**를 클릭합니다.
3.  **경고 만들기**에서 **Syslog 경고 만들기**를 선택합니다.
4.  알림의 **이름**을 입력합니다(예: **SophosIntegration**).
5.  **호스트**에 Sophos 데이터 수집기의 IP 주소를 입력합니다.
6.  Sophos 데이터 수집기에 구성된 포트를 **포트**에 입력합니다.
7.  **시설**을 선택합니다.

    Sophos 데이터 수집기는 모든 시설 데이터를 허용합니다. Cisco 설명서에서 데이터 옵션 목록을 찾을 수 있습니다. [표 1. 사용 가능한 Syslog 시설](https://www.cisco.com/c/en/us/td/docs/security/firepower/630/configuration/guide/fpmc-config-guide-v63/external_alerting_with_alert_responses.html#ID-2197-00000175)을 참조하십시오.

8.  **심각도** 수준을 선택합니다.

    Sophos 데이터 수집기는 귀하가 선택한 모든 심각도 수준을 허용합니다. Cisco 설명서에서 옵션 목록을 찾을 수 있습니다. [표 2. Syslog 심각도 수준](https://www.cisco.com/c/en/us/td/docs/security/firepower/630/configuration/guide/fpmc-config-guide-v63/external_alerting_with_alert_responses.html#ID-2197-000001f0)을 참조하십시오.

9.  **저장**을 클릭합니다.

**Syslog로 감사 로그 보내기**를 켜고 **호스트** 정보를 제공하면 syslog 메시지가 호스트와 감사 로그로 전송됩니다. 변경하려면 Cisco 설명서에서 방법을 확인할 수 있습니다. [감사 로그에서 Syslogs 필터링](https://www.cisco.com/c/en/us/td/docs/security/firepower/630/configuration/guide/fpmc-config-guide-v63/firepower_platform_settings_for_classic_devices.html#Cisco_Task.dita_9f4133f8-ff2d-48b2-a71f-f0726961ec75)을 참조하십시오.

액세스 제어를 위한 syslog 설정 구성
{.h3}

1.  장치에 로그인합니다.
2.  **정책** > **액세스 제어**를 클릭합니다.
3.  해당 액세스 제어 정책을 편집합니다.
4.  **로깅**을 클릭합니다.
5.  **특정 syslog 경고를 사용하여 보내기**를 선택합니다.
6.  위에서 생성한 syslog 경고를 선택합니다.
7.  **저장**을 클릭합니다.

파일 및 맬웨어 이벤트에 대해 로깅 켜기
{.h3}

1.  **파일 및 맬웨어 이벤트에 대한 Syslog 메시지 보내기**를 선택합니다.
2.  **저장**을 클릭합니다.

침입 이벤트에 대해 로깅 켜기
{.h4}

1.  액세스 제어 정책과 관련된 침입 정책으로 이동합니다.
2.  침입 정책에서 **고급 설정** > **Syslog 경고** > **활성화됨**을 클릭합니다.
3.  **뒤로**를 클릭합니다.
4.  **정책 정보**에서 **변경 사항 적용**을 클릭합니다.
5.  변경 사항에 대한 설명을 입력하고 **확인**을 클릭합니다.

유효성 검사 후 Sophos 데이터 레이크에 Cisco Firepower 경고가 나타나야 합니다.