IPS 5.x 이상: 다양한 이벤트 모니터링 방법

다운로드 옵션

  • PDF     (176.7 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (79.3 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (64.9 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2009년 12월 18일
문서 ID:111432

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 IPS 이벤트를 모니터링하는 다양한 방법을 제공합니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 IPS 5.x 이상을 기반으로 합니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 규칙을 참조하십시오.

IPS 이벤트 모니터링 방법

현재 센서 모니터링에는 네 가지 옵션이 있습니다.

  1. IPS Manager Express(IME)는 Cisco.com의 소프트웨어 다운로드에서 사용할 수 있습니다. 이 애플리케이션은 SDEE를 사용하여 IPS 센서에 안전하게 가입하고 일치로 인해 발생한 문제 또는 서명의 결과로 생성된 이벤트/로그를 검색할 수 있습니다.

    IDM(IPS Device Manager)은 HTTPS를 통해 센서에 직접 액세스할 때 호출됩니다.

    IDM Monitoring 또는 IME Event Monitoring 툴을 사용하여 센서에서 직접 이벤트 저장소를 확인합니다. 센서의 로컬 이벤트 저장소가 30MB 순환 버퍼이고 30MB 제한에 도달하면 자체적으로 오버라이드되기 때문에 이벤트를 장기간 저장해야 하는 경우 IDM 및 IME는 유효한 솔루션이 아닙니다. 이 제한은 구성할 수 없습니다.

  2. 센서에서 이벤트를 정기적으로 끌어와 상관관계 분석하려면 CS-MARS 디바이스를 사용합니다. CS-MARS는 SDEE 프로토콜을 사용하여 센서에 안전하게 연결하여 이벤트를 검색하고 몇 초마다 새 이벤트를 검색합니다.

    CS-MARS 디바이스를 시연하려는 경우 어카운트 팀/리셀러/SE에 자세한 내용을 문의하십시오.

    Cisco IPS 5.x 및 6.x 디바이스의 경우 MARS는 SSL을 통해 SDEE로 로그를 가져옵니다. 따라서 MARS는 센서에 대한 HTTPS 액세스를 가져야 합니다. 센서를 준비하려면 IDM/IME 관리 스테이션에서 HTTPS 트래픽을 허용해야 하며, MARS의 IP 주소가 센서에서 허용되는 호스트로 정의되어야 합니다.

    sensor#conf t
	 	sensor(config)#service host
	 	sensor(config-hos)#network-settings
	 	sensor(config-hos-net)#access-list x.x.x.x/subnet_mask
	 	sensor(config-hos-net)#exit
	 	sensor(config-hos)#exit
	 	Apply Changes?[yes]:
	 	sensor(config)#

  3. IV를 사용하여 이벤트를 모니터링합니다. IDS 이벤트 뷰어는 최대 5개의 센서에 대한 경보를 보고 관리할 수 있는 Java 기반 애플리케이션입니다. IDS 이벤트 뷰어를 사용하면 실시간으로 또는 가져온 로그 파일에 연결하여 경보를 볼 수 있습니다. 경보를 관리하는 데 도움이 되도록 필터 및 보기를 구성할 수 있습니다. 추가 분석을 위해 이벤트 데이터를 가져오고 내보낼 수도 있습니다. MARS와 마찬가지로 IEV는 센서에 보안 연결을 설정하고 몇 초마다 이벤트를 검색합니다. IEV는 이러한 이벤트를 IEIV가 설치된 서버의 데이터베이스에 저장합니다. DB는 IV에 포함되어 있으며 애플리케이션과 함께 설치됩니다. 다운로드하려면 IEV를 클릭합니다.

    참고: IEIV에 대한 설명서는 설치 후 도움말 메뉴를 통해 제공됩니다. Readme에는 설치 정보가 포함되어 있습니다.

  4. request-snmp-trap 작업을 수행하도록 센서의 서명을 구성하고 센서가 트랩을 SNMP 서버로 전송하도록 구성합니다. 그런 다음 이 서버를 사용하여 메시지를 syslog로 다른 시스템에 릴레이할 수 있습니다.

    SNMP는 네트워크 디바이스 간 관리 정보 교환을 용이하게 하는 애플리케이션 레이어 프로토콜입니다. 네트워크 관리자는 SNMP를 통해 네트워크 성능을 관리하고 네트워크 문제를 찾아 해결하고 네트워크 성장에 대비한 계획을 세울 수 있습니다.

    SNMP는 간단한 요청/응답 프로토콜입니다. 네트워크 관리 시스템에서 요청을 발행하고 관리되는 디바이스는 응답을 반환합니다. 이 동작은 네 가지 프로토콜 작업 중 하나를 사용하여 구현됩니다.

    1. 다운로드

    2. 다음 가져오기

    3. 설정

    4. 트랩

    SNMP를 통해 모니터링하도록 센서를 구성할 수 있습니다. SNMP는 네트워크 관리 스테이션에서 스위치, 라우터, 센서를 비롯한 여러 유형의 디바이스의 상태와 상태를 모니터링하는 표준 방법을 정의합니다.

관련 정보

개정 이력

개정 게시 날짜 의견
1.0
18-Dec-2009
최초 릴리스

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품