소개
이 문서에서는 AnyConnect에 AMP(Advanced Malware Protection) 커넥터를 설치하는 단계를 거칩니다.
AnyConnect AMP Enabler는 AMP for Endpoints를 구축하는 미디어로 사용됩니다. 그 자체로는 파일 속성을 확인할 수 있는 기능이 없습니다. AMP for Endpoints 소프트웨어를 ASA에서 엔드포인트로 푸시합니다. AMP가 설치되면 클라우드 용량을 사용하여 파일 속성을 확인합니다. 추가 AMP 서비스는 파일을 ThreatGrid라는 동적 분석으로 제출하여 알 수 없는 파일 동작에 대한 점수를 매길 수 있습니다. 이러한 파일은 특정 아티팩트가 충족될 경우 악성으로 판정될 수 있습니다. 이는 제로데이 공격에 광범위하게 사용됩니다.
사전 요구 사항
요구 사항
- AnyConnect Secure Mobility Client 버전 4.x
- FireAMP/AMP for Endpoints
- ASDM(Adaptive Security Device Manager) 버전 7.3.2 이상
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- Adaptive Security Appliance(ASA) 5525(소프트웨어 버전 9.5.1 포함)
- Microsoft Windows 7 Professional 64비트의 AnyConnect Secure Mobility Client 4.2.00096
- ASDM 버전 7.5.1(112)
ASA를 통한 AMP Enabler용 AnyConnect 구축
컨피그레이션과 관련된 단계는 다음과 같습니다.
- AnyConnect AMP Enabler 클라이언트 프로파일을 구성합니다.
- AnyConnect VPN 그룹 정책을 수정하고 AMP Enabler 서비스 프로필을 다운로드합니다.
- 커넥터 URL 다운로드 링크를 가져오려면 AMP 대시보드에 로그인합니다.
- 사용자 시스템에 설치가 있는지 확인합니다.
1단계: AnyConnect AMP Enabler 클라이언트 프로파일 구성
- Configuration(구성) > Remote Access VPN(원격 액세스 VPN) > Network (Client) Access(네트워크(클라이언트) 액세스) > AnyConnect Client Profile(AnyConnect 클라이언트 프로파일)로 이동합니다.
- AMP Enabler 서비스 프로필을 추가합니다.


2단계: 그룹 정책을 편집하여 AnyConnect AMP Enabler 다운로드
- Configuration(컨피그레이션) > Remove Access VPN(액세스 VPN 제거) > Group Policies(그룹 정책) > Edit(수정)로 이동합니다.
- 다운로드할 Advanced(고급) > AnyConnect Client(AnyConnect 클라이언트) > Optional Client Modules(선택적 클라이언트 모듈)로 이동합니다.
- AnyConnect AMP Enabler를 선택합니다.

3단계: FireAMP 정책 다운로드
참고: 계속하기 전에 시스템이 AMP of Endpoints Windows Connector의 요구 사항을 충족하는지 확인합니다.
AMP for Endpoints Windows Connector의 시스템 요구 사항
Windows 운영 체제에 기반한 FireAMP Connector의 최소 시스템 요구 사항입니다. FireAMP Connector는 이러한 운영 체제의 32비트 및 64비트 버전을 모두 지원합니다. 최신 AMP 문서는 AMP 구축에서 찾을 수 있습니다
운영 체제 |
프로세서 |
메모리
|
디스크 공간,
클라우드 전용 모드
|
디스크 공간
|
Microsoft Windows 7
|
1GHz 이상의 프로세서
|
1GB RAM
|
150MB의 사용 가능한 하드 디스크 공간 - 클라우드 전용 모드
|
1GB의 사용 가능한 하드 디스크 공간 - TETRA
|
Microsoft Windows 8 및 8.1(FireAMP Connector 5.1.3 이상 필요)
|
1GHz 이상의 프로세서
|
512MB RAM
|
150MB의 사용 가능한 하드 디스크 공간 - 클라우드 전용 모드
|
1GB의 사용 가능한 하드 디스크 공간 - TETRA
|
Microsoft Windows Server 2003
|
1GHz 이상의 프로세서
|
512MB RAM
|
150MB의 사용 가능한 하드 디스크 공간 - 클라우드 전용 모드
|
1GB의 사용 가능한 하드 디스크 공간 - TETRA
|
Microsoft Windows Server 2008
|
2GHz 이상의 프로세서
|
2GB RAM
|
150MB의 사용 가능한 하드 디스크 공간 - 클라우드 전용 모드
|
1GB의 사용 가능한 하드 디스크 공간 - TETRA
|
Microsoft Windows Server 2012(FireAMP Connector 5.1.3 이상 필요)
|
2GHz 이상의 프로세서
|
2GB RAM
|
150MB의 사용 가능한 하드 디스크 공간 - 클라우드 전용 모드
|
1GB의 사용 가능한 하드 디스크 공간 - TETRA
|
가장 일반적인 방법은 엔터프라이즈 웹 서버에 AMP 설치 관리자를 배치하는 것입니다.
커넥터를 다운로드하려면 Management(관리) > Download Connector(커넥터 다운로드)로 이동합니다. 그런 다음 유형을 선택하고 FireAMP(Windows, Android, Mac, Linux)를 다운로드합니다.

Download Connector(커넥터 다운로드) 페이지에서는 각 FireAMP 커넥터 유형에 대한 설치 패키지를 다운로드할 수 있습니다. 이 패키지는 네트워크 공유에 배치하거나 관리 소프트웨어를 통해 배포할 수 있습니다.

그룹 선택
- 감사만: 각 파일에 대해 계산된 SHA-256을 기반으로 시스템 모니터링 이 감사 전용 모드에서는 악성코드를 격리하지 않지만 이벤트를 알림으로 전송합니다.
- 보호: 악성 파일 격리로 보호 모드. 파일 복사 및 이동 모니터링
- 분류: 이미 감염/감염된 컴퓨터에서 사용하기 위한 것입니다.
- 서버: Tetra 엔진 및 DFC 드라이버 없이 커넥터가 설치되는 Windows 서버용 설치 제품군 이 그룹은 도메인이 아닌 컨트롤러 서버의 이름으로 설계되었습니다.
- 도메인 컨트롤러: 이 그룹의 기본 정책은 서버 그룹에서와 같이 감사 모드로 설정됩니다. 이 그룹의 모든 Active Directory 서버를 연결합니다. 즉 Windows 도메인 컨트롤러에서 커넥터가 실행됩니다.
AMP에는 완전한 안티바이러스 엔진인 TETRA라는 기능이 있습니다. 이 옵션은 정책당 선택 사항입니다.
기능
- 설치 시 플래시 스캔: 설치 중에 스캔 프로세스가 실행됩니다. 비교적 빠른 실행 속도이며 한 번만 실행하는 것이 좋습니다.
- 재배포 가능: 32비트 및 64비트 설치 프로그램이 포함된 단일 패키지를 다운로드해야 합니다. 부트스트래퍼 대신, 이 옵션을 해제한 상태로 유지하며 설치 프로그램 파일을 다운로드합니다.
참고: 고유한 그룹을 생성하고 여기에 연결된 정책을 구성할 수 있습니다. 모든(예: Active Directory 서버)를 하나의 그룹에 배치하는 것이 목적이며, 여기서 정책은 감사 모드에 있습니다.
부트스트래퍼 및 재배포 가능 설치 프로그램에는 AMP 커넥터의 컨피그레이션 파일로 사용되는 policy.xml 파일도 포함되어 있습니다.
4단계: 웹 보안 클라이언트 프로파일 다운로드
AMP 설치 관리자를 사용하여 회사 웹 서버 또는 네트워크 공유를 지정합니다. 이는 대역폭을 절약하고 신뢰할 수 있는 설치 관리자를 중앙 위치에 배치하기 위해 여러 회사에서 가장 많이 사용됩니다.
인증서 오류 없이 엔드포인트에서 HTTPS 링크에 연결할 수 있고 루트 인증서가 컴퓨터 저장소에 설치되어 있는지 확인하십시오.
ASA에서 이전에 생성한 AMP 프로파일로 돌아가(1단계) AMP Enabler 프로파일을 수정합니다.
- AMP Mode(AMP 모드)의 경우 Install AMP Enabler(AMP Enabler 설치) 라디오 버튼을 클릭합니다.
- Windows Installer 필드에서 웹 서버의 IP와 FireAMP의 파일을 추가합니다.
- Windows 옵션은 선택 사항입니다.
OK(확인)를 클릭하고 변경 사항을 적용합니다.

5단계: AnyConnect에 연결하고 모듈 설치 확인
Anyconnect VPN 사용자가 연결하면 ASA는 VPN을 통해 AnyConnect AMP Enabler 모듈을 푸시합니다. 이미 로그인한 사용자의 경우 로그오프한 다음 다시 로그인하여 기능을 활성화하는 것이 좋습니다.
10:08:29 AM Establishing VPN session...
10:08:29 AM The AnyConnect Downloader is performing update checks...
10:08:29 AM Checking for profile updates...
10:08:29 AM Checking for product updates...
10:08:31 AM Downloading AnyConnect AMP Enabler 4.4.01054 - 48%
10:08:32 AM Downloading AnyConnect AMP Enabler 4.4.01054 - 91%
10:08:33 AM Downloading AnyConnect AMP Enabler 4.4.01054 - 100%

6단계: VPN 연결 시작 AMP Enabler 및 AMP 커넥터 설치
connect(연결) 버튼을 눌러 VPN을 시작하면 새 다운로더 모듈이 다운로드됩니다. 여기에는 AMP Enabler가 포함되며 이전에 몇 단계 전에 지정한 URL 경로에서 AMP 패키지를 다운로드합니다.

If you look at the event viewer:
AMP enabler install:
Date : 04/24/2017
Time : 10:08:34
Type : Information
Source : acvpndownloader
Description : Cisco AnyConnect Secure Mobility Client Downloader (2) exiting, version 4.4.01054 , return code 0 [0x00000000]
7단계: AnyConnect를 확인하고 모든 것이 설치되었는지 확인합니다.
VPN이 연결되고 웹 서버의 컨피그레이션이 설치되면 AnyConnect를 선택하고 모든 것이 제대로 설치되었는지 확인합니다.
services.msc에서 CiscoAMP_5.1.3이라는 새 서비스를 찾을 수 있습니다. Powershell 명령에서는 다음을 확인할 수 있습니다.
PS C:\Users\winUser348> Get-Service -name "*CiscoAMP*"
Status Name DisplayName
------ ---- -----------
Running CiscoAMP_5.1.3 Cisco AMP for Endpoints Connector 5...

AMP Installer는 Windows OS에 새 드라이버를 추가합니다. driverquery 명령을 사용하여 드라이버를 나열할 수 있습니다.
C:\Windows\System32>driverquery /v | findstr immunet
ImmunetProte ImmunetProtectDriver ImmunetProtectDriver File System System Running OK TRUE FA
LSE 4,096 69,632 0 3/17/2017 5:04:20 PM \??\C:\WINDOWS\System32\Drivers\immunetprotect.s 8,192
ImmunetSelfP ImmunetSelfProtectDriv ImmunetSelfProtectDriv File System System Running OK TRUE FA
LSE 4,096 28,672 0 3/17/2017 5:04:08 PM \??\C:\WINDOWS\System32\Drivers\immunetselfprote 8,192
8단계: 좀비 PDF 파일에 포함된 Eicar 문자열로 테스트
악성 파일이 격리되었는지 확인하기 위해 테스트 컴퓨터의 Zombies PDF 파일에 포함된 Eicar 문자열로 테스트합니다.
Zombies.pdf - Eicar 문자열 포함
9단계: 구축 요약
이 페이지에는 성공 및 실패한 FireAMP 커넥터 설치와 현재 진행 중인 FireAMP 커넥터 설치 목록이 표시됩니다. Management(관리) > Deployment Summary(구축 요약)로 이동할 수 있습니다.

10단계: 스레드 검색 확인
Zombies.pdf에서 격리 이벤트를 트리거한 경우 AMP 대시보드로 전송합니다.
쿼런틴 이벤트
추가 정보
AMP 계정을 받으려면 ATS University에 등록하면 됩니다. LAB의 AMP 기능에 대한 개요를 제공합니다.
관련 정보