F5 통합

F5 BIG-IP ASM를 Sophos Central과 통합하여 Sophos로 경고를 보낼 수 있습니다.

이 통합에서는 가상 컴퓨터(VM)에서 호스팅되는 로그 수집기를 사용합니다. 이들을 모두 통합 어플라이언스라고 합니다. 어플라이언스는 타사 데이터를 수신하여 Sophos 데이터 레이크로 전송합니다.

주요 단계

통합 주요 단계는 다음과 같습니다.

• 이 제품에 대한 통합을 추가합니다. 이 단계에서 어플라이언스의 이미지를 생성합니다.
• VM에서 이미지를 다운로드하고 배포합니다. 이것이 어플라이언스가 됩니다.
• 애플라이언스로 데이터를 보내도록 F5 BIG-IP ASM을 구성하십시오.

요구 사항

어플라이언스에는 시스템 및 네트워크 액세스 요구 사항이 있습니다. 이러한 요구 사항을 충족하는지 확인하려면 어플라이언스 요구 사항를 참조하십시오.

통합 추가

통합을 추가하려면 다음과 같이 하십시오.

1. Sophos Central에서 위협 분석 센터 > 통합 > 마켓플레이스로 이동합니다.

2. F5 BIG-IP ASM를 클릭합니다.

   태그 쌍인 F5 BIG-IP ASM 페이지가 열립니다. 여기에서 통합을 구성하고 이미 추가한 목록을 볼 수 있습니다.

3. 데이터 수집(보안 경고)에서 구성 추가를 클릭합니다.

   참고

   이 통합이 처음 추가한 통합인 경우 내부 도메인 및 IP에 대한 세부 정보를 요청할 수 있습니다. 도메인 및 IP 세부 정보 입력을 참조하십시오.

   통합 설정 단계가 나타납니다.

어플라이언스 구성

통합 설정 단계에서 새 어플라이언스를 구성하거나 기존 어플라이언스를 사용할 수 있습니다.

여기에서는 새 어플라이언스를 구성한다고 가정합니다. 이렇게 하려면 다음과 같이 이미지를 생성합니다.

1. 통합 이름과 설명을 입력합니다.
2. 새 어플라이언스 만들기를 클릭합니다.
3. 어플라이언스의 이름 및 설명을 입력합니다.
4. 가상 플랫폼을 선택합니다. 현재 VMware ESXi 6.7 Update 3 이상 및 Microsoft Hyper-V 6.0.6001.18016(Windows Server 2016) 이상을 지원합니다.

5. 인터넷 연결 네트워크 포트의 IP 설정을 지정합니다. 그러면 어플라이언스에 대한 관리 인터페이스가 설정됩니다.

   • IP 주소를 자동으로 할당하려면 DHCP를 선택합니다.

     참고

     DHCP를 선택하는 경우 IP 주소를 예약해야 합니다.

   • 네트워크 설정을 지정하려면 수동을 선택합니다.

6. Syslog IP 버전을 선택하고 Syslog IP 주소를 입력합니다.

   나중에 어플라이언스로 데이터를 전송하도록 F5 BIG-IP ASM를 구성할 때 이 syslog IP 주소가 필요합니다.

7. 프로토콜을 선택합니다.

   어플라이언스로 데이터를 전송하도록 F5 BIG-IP ASM를 구성할 때 동일한 프로토콜을 사용해야 합니다.

8. 저장을 클릭합니다.

   통합이 만들어지고 목록에 나타납니다.

   통합 세부 정보에 어플라이언스의 포트 번호가 표시됩니다. 포트 번호는 나중에 데이터를 전송하도록 F5 BIG-IP ASM를 구성할 때 필요합니다.

   어플라이언스 이미지를 준비하는 데 몇 분 정도 걸릴 수 있습니다.

어플라이언스 배포

다음과 같이 이미지를 사용하여 어플라이언스를 배포합니다.

1. 통합 목록의 작업에서 해당 플랫폼에 대한 다운로드 작업(예: ESXi용 OVA 다운로드)을 클릭합니다.
2. 이미지 다운로드가 완료되면 VM에 배포하십시오. 어플라이언스 배포을 참조하십시오.

F5 BIG-IP ASM를 클릭합니다.

이제 syslog 포워딩을 사용하여 당사에 경고를 보내도록 F5 BIG-IP ASM를 구성합니다.

경고 포워딩을 구성하려면 다음과 같이 하십시오.

로깅 프로필 생성

애플리케이션 보안 이벤트를 로깅하기 위해 사용자 정의 로깅 프로필을 생성해야 합니다.

1. 주요

2. 로그 기록 프로필

   새로운 로깅 프로필 화면이 열립니다.

3. 프로필 이름

4. 선택하십시오 응용프로그램 보안.

   화면에 추가 필드가 표시됩니다.

5. 태그쌍2인 Application Security 탭에서 Configuration 아래에서 Advanced를 선택합니다.

6. 원격 저장소를 선택하여 로그를 원격으로 저장합니다.

7. 태그쌍 2인 Response Logging 목록에서 '불법 요청만'을 선택합니다.

   기본 설정으로, 시스템은 초당 최대 10개의 응답마다 처음 10,000바이트를 기록합니다. 응답 로깅 시스템 변수를 사용하여 제한을 변경할 수 있습니다.

   기본 설정으로 시스템은 모든 요청을 로깅합니다. 시스템 또는 서버 로그에 기록되는 요청 유형을 제한하려면 저장 필터를 설정하십시오.

원격 로깅 설정을 계속합니다.

원격 로깅 설정

로그 프로필을 구성하여 응용 프로그램 보안 이벤트를 원격으로 syslog 서버에 기록할 수 있습니다.

1. 메인 탭에서 메인을(를) 클릭한 다음 보안 > 이벤트 로그 > 로깅 프로필을(를) 클릭합니다.
2. 로깅 프로필에서, 원격 로깅을 설정하려는 로깅 프로필의 이름을 클릭합니다.

3. 지정한 원격 저장소을(를) 선택합니다.

   태그 쌍 2에서 원격 저장소 유형 목록에서 원격을(를) 선택합니다. 메시지는 syslog 형식으로 있습니다.

4. 태그쌍2의 Logging Format에서 공통 이벤트 형식 (ArcSight)을(를) 선택합니다. 로그 메시지는 공통 이벤트 형식(CEF)으로 되어 있습니다.

5. 프로토콜에서 Sophos Central에 설정한 프로토콜을 선택합니다: UDP 또는 TCP.

   선택한 프로토콜은 이 화면의 모든 원격 서버 설정에 적용됩니다. 이는 모든 서버 IP 주소를 포함합니다.

6. 서버 주소에서 트래픽 로깅을 위해 서버를 지정하십시오. 이전에 Sophos Central에서 지정한 IP 주소와 포트 번호를 입력하고 추가를 클릭하십시오.

7. 시설에서 로그된 트래픽의 카테고리를 선택하십시오. 이 통합에 있어서는 어느 것을 선택해도 상관없습니다.
8. 저장 형식 설정에서 로그가 표시하는 정보, 서버가 로깅하는 트래픽 항목 및 로깅 순서를 지정할 수 있습니다.
9. 최대 쿼리 문자열 크기에서는 서버가 기록하는 요청의 양을 지정할 수 있습니다. 선택 Any.
10. 최대 입력 길이에서는 서버가 얼마나 많은 입력 길이를 기록할지 지정할 수 있습니다. 원격 서버에서 기본 길이(UDP를 지원하는 원격 서버의 경우 1K, TCP를 지원하는 원격 서버의 경우 2K)를 수락합니다.
11. 선택한 이상 징후 보고서를 표시합니다. 시스템은 무차별 공격 또는 웹 스크래핑 공격이 시작되고 끝날 때 원격 시스템 로그로 보고서를 전송합니다.
12. 저장 필터 영역에서 필요한 대로 변경 사항을 수행하십시오.
13. 마침을 클릭합니다.

원격 저장용 로깅 프로필을 생성하면 시스템은 관련된 보안 정책 데이터를 하나 이상의 원격 시스템에 저장합니다.

보안 정책에 로깅 프로필을 연결합니다.

로그 기록 프로필은 가상 서버로의 요청을 기록합니다. 기본적으로 보안 정책을 생성할 때 시스템은 정책에서 사용하는 가상 서버에 비정상 요청 로그 프로필을 연결합니다.

가상 서버를 편집하여 보안 정책과 관련된 로깅 프로필을 변경하거나 새로 할당할 수 있습니다.

1. 클릭 로컬 트래픽 > 가상 서버.
2. 보안 정책에서 사용하는 가상 서버의 이름을 클릭하세요. 시스템은 가상 서버의 일반 속성을 표시합니다.

3. 보안 메뉴에서 보안을(를) 선택한 다음 정책을(를) 선택하십시오.

   시스템은 가상 서버의 정책 설정을 표시합니다.

4. 태그쌍2의 "애플리케이션 보안 정책" 설정이 "활성화"되어 있는지 확인하고, "정책"이 원하는 보안 정책으로 설정되어 있는지 확인하십시오.

5. Log Profile에 대해 다음과 같이 수행하십시오:

   • 활성화되어 있는지 확인하십시오: Enabled.
   • 사용 가능한 목록에서 보안 정책에 사용할 프로필을 선택하고, 이를 '선택함' 목록으로 이동하십시오.

6. 업데이트를 클릭합니다.

보안 정책에 의해 제어되는 트래픽 관련 정보는 가상 서버에서 지정된 로깅 프로필 또는 프로필을 사용하여 기록됩니다.