Malwarebytes Endpoint Protection

로그 수집기

Sophos Central에 Malwarebytes Endpoint Protection을 통합하면 Sophos로 데이터를 전송하여 분석할 수 있습니다.

이 통합에서는 가상 컴퓨터(VM)에서 호스팅되는 로그 수집기를 사용합니다. 이들을 모두 어플라이언스라고 합니다. 어플라이언스는 타사 데이터를 수신하여 Sophos 데이터 레이크로 전송합니다.

주요 단계는 다음과 같습니다.

• 이 제품에 대한 통합을 구성합니다. 그러면 VM에서 사용할 이미지가 구성됩니다.
• VM에서 이미지를 다운로드하고 배포합니다. 이것이 어플라이언스가 됩니다.
• 어플라이언스로 데이터를 보내도록 Malwarebytes Endpoint Protection을 구성합니다.

요구 사항

어플라이언스에는 시스템 및 네트워크 액세스 요구 사항이 있습니다. 이러한 요구 사항을 충족하는지 확인하려면 어플라이언스 요구 사항를 참조하십시오.

통합 구성

Sophos Central과 Endpoint Protection을 통합하려면 다음과 같이 하십시오.

1. Sophos Central에서 위협 분석 센터 > 통합 > 마켓플레이스로 이동합니다.

2. Malwarebytes Endpoint Protection을 클릭합니다.

   Malwarebytes Endpoint Protection 페이지가 열립니다. 여기에서 통합을 구성하고 이미 구성한 목록을 볼 수 있습니다.

3. 데이터 수집(보안 경고)에서 구성 추가를 클릭합니다.

   참고

   이 통합이 처음 추가한 통합인 경우 내부 도메인 및 IP에 대한 세부 정보를 요청할 수 있습니다. 내 도메인 및 IP을 참조하십시오.

   통합 단계가 나타납니다.

VM 구성

통합 설정 단계에서 VM을 Endpoint Protection에서 데이터를 수신하는 어플라이언스로 구성합니다. 기존 VM을 사용하거나 새 VM을 만들 수 있습니다.

VM을 구성하려면 다음과 같이 하십시오.

1. 새 통합의 이름 및 설명 추가.

2. 어플라이언스의 이름 및 설명을 입력합니다.

   이미 Sophos 어플라이언스를 설정한 경우 목록에서 선택할 수 있습니다.

3. 가상 플랫폼을 선택합니다. 현재 VMware ESXi 6.7 Update 3 이상 및 Microsoft Hyper-V 6.0.6001.18016(Windows Server 2016) 이상을 지원합니다.

4. 인터넷 연결 네트워크 포트의 IP 설정을 지정합니다. 그러면 VM에 대한 관리 인터페이스가 설정됩니다.

   • IP 주소를 자동으로 할당하려면 DHCP를 선택합니다.

     참고

     DHCP를 선택하는 경우 IP 주소를 예약해야 합니다.

   • 네트워크 설정을 지정하려면 수동을 선택합니다.

5. Syslog IP 버전을 선택하고 Syslog IP 주소를 입력합니다.

   나중에 어플라이언스로 데이터를 전송하도록 Endpoint Protection을 구성할 때 이 syslog IP 주소가 필요합니다.

6. 프로토콜을 선택합니다.

   어플라이언스로 데이터를 전송하도록 Endpoint Protection을 구성할 때도 동일한 프로토콜을 사용해야 합니다.

7. 저장을 클릭합니다.

   통합이 만들어지고 목록에 나타납니다.

   통합 세부 정보에 어플라이언스의 포트 번호가 표시됩니다. 포트 번호는 나중에 데이터를 전송하도록 Endpoint Protection을 구성할 때 필요합니다.

   VM 이미지를 준비하는 데 몇 분 정도 걸릴 수 있습니다.

VM 배포

VM 이미지를 사용하여 VM을 배포합니다. 이렇게 하려면, 다음 과정을 수행하십시오.

1. 통합 목록의 작업에서 해당 플랫폼에 대한 다운로드 작업(예: ESXi용 OVA 다운로드)을 클릭합니다.
2. 이미지 다운로드가 완료되면 VM에 배포하십시오. 통합을 위해 VM 배포을 참조하십시오.

Endpoint Protection 구성

Endpoint Protection은 다음과 같이 이벤트 데이터를 가져와서 전달합니다.

• 엔드포인트는 위협 감지, 격리 및 기타 이벤트를 Malwarebytes Endpoint Protection에 보고합니다.
• Malwarebytes syslog 커뮤니케이터 엔드포인트는 Malwarebytes Endpoint Protection에서 이벤트를 가져옵니다.
• 통신 엔드포인트는 CEF 형식으로 이벤트를 syslog 서버로 전달합니다.

어플라이언스는 syslog 서버 역할을 합니다.

시작하기 전에

다음이 필요합니다.

• 다음 Malwarebytes Endpoint Protection 플랫폼 제품 중 하나에 대한 활성 구독 또는 평가판:

  • Malwarebytes Endpoint Detection & Response
  • Malwarebytes Endpoint Protection
  • Malwarebytes Incident Response

• 어플라이언스의 IP 주소입니다.

• Malwarebytes syslog 통신 엔드포인트 중 하나와 SIEM 또는 syslog 서버 간의 네트워크 액세스. 기본적으로 포트 514를 통한 TCP가 사용됩니다.

구성

1. 설정 > Syslog 로깅으로 이동합니다.
2. 추가 > Syslog 설정을 클릭합니다.

3. 어플라이언스에 대한 다음 정보를 입력합니다.

   • IP 주소/호스트: 가상 머신의 IP 주소 또는 호스트 이름입니다.
   • 포트: 가상 머신의 포트입니다.

   • 프로토콜: TCP 또는 UDP 프로토콜을 선택합니다.

     통합을 추가할 때 Sophos Central에 입력한 것과 동일한 설정을 입력해야 합니다.

   • 심각도: 목록에서 심각도를 선택합니다. 이것은 syslog에 전송되는 모든 Malwarebytes 이벤트의 심각도를 결정합니다.

   • 통신 간격: 통신 엔드포인트가 Malwarebytes 서버에서 syslog 데이터를 수집하는 빈도를 분 단위로 결정합니다.

   엔드포인트가 Malwarebytes에 연결할 수 없는 경우 이전 24시간의 데이터를 버퍼링합니다. 24시간이 지난 데이터는 전송되지 않습니다.

4. 저장을 클릭합니다.

5. 엔드포인트로 이동합니다.
6. 본인의 가상 머신을 클릭합니다.

에이전트 정보 섹션에 SIEM 버전 번호가 표시됩니다. 그러면 SIEM 플러그인이 엔드포인트에서 활성화됩니다.

이제 엔드포인트가 어플라이언스로 데이터를 전송합니다. 이것은 유효성 검사 후 Sophos 데이터 레이크에 나타납니다.

syslog 설정 변경

어플라이언스를 변경해야 할 경우 다음과 같이 하십시오.

1. 설정 > Syslog 로깅으로 이동합니다.
2. 제거를 클릭하여 가상 머신을 강등합니다.
3. 추가를 클릭하여 새 가상 머신을 프로모션합니다. 구성 섹션의 단계를 참조하십시오.

켜기/끄기 토글을 사용하여 통신 엔드포인트를 일시적으로 강등시킬 수 있습니다. 통신 엔드포인트를 일시적으로 강등하는 것은 syslog 설정의 문제를 해결할 때 유용할 수 있습니다.