이 문서에서는 Cisco IPS(Secure Intrusion Prevention System) 디바이스 및 구성된 가상 센서를 Cisco CS-MARS(Security Monitoring, Analysis, and Response System)에 보고 장치로 사용할 수 있도록 준비하는 방법에 대해 설명합니다.
Cisco IPS 5.x, 6.x 및 7.x 디바이스의 경우 MARS는 SSL을 통해 SDEE를 사용하여 로그를 가져옵니다. 따라서 MARS는 센서에 대한 HTTPS 액세스를 가져야 합니다. 센서를 준비하려면 센서에서 HTTP 서버를 활성화하고, TLS에서 HTTPS 액세스를 허용하고, MARS의 IP 주소가 센서에 액세스하고 이벤트를 가져올 수 있는 허용 호스트로 정의되었는지 확인해야 합니다. 네트워크의 제한된 호스트 또는 서브넷에서 액세스를 허용하도록 센서를 구성한 경우 access-list ip_address/netmask 명령을 사용하여 이 액세스를 활성화할 수 있습니다.
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
소프트웨어 버전 4.2.x 이상을 실행하는 Cisco Secure MARS Device
소프트웨어 버전 6.0 이상을 실행하는 Cisco 4200 Series IPS 장치
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
이 컨피그레이션은 다음 센서와 함께 사용할 수도 있습니다.
IPS-4240
IPS-4255
IPS-4260
IPS-4270-20
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 규칙을 참조하십시오.
이 섹션에서는 Cisco CS-MARS(Security Monitoring, Analysis, and Response System) 디바이스에 Cisco IPS(Secure Intrusion Prevention System) 센서를 추가하고 구성하는 방법에 대한 정보를 제공합니다.
MARS에서 Cisco IPS 6.x 또는 7.x 디바이스를 정의할 때 디바이스에 구성된 모든 가상 센서를 검색할 수 있습니다. 이러한 가상 센서를 발견하면 MARS에서 가상 센서로 보고된 이벤트를 분리할 수 있습니다. 또한 모니터링되는 네트워크 목록을 각 가상 센서에 맞게 조정할 수 있으므로 원하는 보고 정확성이 향상됩니다.
MARS에서 Cisco IPS 6.x 또는 7.x 디바이스를 추가 및 구성하려면 다음 단계를 완료합니다.
Admin > System Setup > Security and Monitor Devices를 선택합니다. 그런 다음 Add(추가)를 클릭합니다.
Device Type(디바이스 유형) 목록에서 Cisco IPS 6.x 또는 Cisco IPS 7.x를 선택합니다. 이제 여기와 같이 Device Name 필드에 센서의 호스트 이름을 입력합니다. IPS1은 이 예에서 사용되는 디바이스 이름입니다. 디바이스 이름 값은 구성된 센서 이름과 동일해야 합니다.
이제 Reporting IP 필드에 관리 IP 주소를 입력합니다. 보고 IP 주소는 관리 IP 주소와 동일합니다.
Login(로그인) 필드에 보고 디바이스에 액세스하는 데 사용되는 관리 계정과 연결된 사용자 이름을 입력합니다. 이제 Password 필드에 Login 필드에 지정된 사용자 이름과 연결된 비밀번호를 입력합니다. 사용자 이름은 cisco이고 비밀번호는 cisco123입니다. 센서에서 실행 중인 웹 서버가 수신 대기하는 TCP 포트 번호도 Port 필드에 입력합니다. 기본 HTTPS 포트는 443입니다.
참고: HTTP만 구성할 수 있지만 MARS에는 HTTPS가 필요합니다.
이제 Monitor Resource Usage 목록에서 NO가 선택되었는지 확인합니다. 이 페이지에 Monitor Resource Usage(리소스 사용량 모니터링) 옵션이 나타나지만 Cisco IPS에서는 작동하지 않습니다.
센서에서 IP 로그를 가져오려면 Pull IP Logs 목록에서 Yes(예)를 선택합니다. 이 기능은 필요한 경우 사용할 수 있는 선택적 기능입니다.
이 설정은 가상 센서 경고에 대해 생성된 로그를 포함하는 전체 센서에 적용됩니다.
컨피그레이션을 확인하고 가상 센서의 검색을 활성화하려면 Test Connectivity를 클릭합니다.
Discover(검색)를 클릭하여 정의된 가상 센서를 검색합니다.
참고: MARS는 센서의 변경 사항을 인식하지 못합니다. 가상 센서 설정을 변경할 때마다 MARS에서 가상 센서 세부 정보를 새로 고치려면 해당 센서 구성 페이지에서 검색을 클릭해야 합니다.
Virtual Sensor Name(가상 센서 이름) 옆의 확인란을 선택하고 Edit(편집)를 클릭하여 각 가상 센서에 대해 모니터링되는 네트워크를 정의합니다. 이제 IPS Module 페이지가 여기에 나와 있습니다.
공격 경로 계산 및 완화의 경우 센서에서 모니터링하는 네트워크를 지정합니다. 네트워크를 수동으로 정의하려면 Define a Network(네트워크 정의) 라디오 버튼을 선택합니다. 그런 다음 네트워크를 정의하려면 다음 단계를 완료하십시오.
Network IP 필드에 네트워크 주소를 입력합니다.
Mask 필드에 해당 네트워크 마스크 값을 입력합니다.
Add(추가)를 클릭하여 지정된 네트워크를 Monitored Networks(모니터링되는 네트워크) 필드로 이동합니다.
더 많은 네트워크를 정의해야 하는 경우 이전 단계를 반복합니다.
참고: 이 기능은 선택 사항이며 필요하지 않은 경우 생략할 수 있습니다.
Select a Network 라디오 버튼을 클릭하여 디바이스에 연결된 네트워크를 선택합니다. 그런 다음 네트워크를 선택하려면 다음 단계를 완료하십시오.
네트워크 선택 목록에서 네트워크를 선택합니다.
Add(추가)를 클릭하여 지정된 네트워크를 Monitored Networks(모니터링되는 네트워크) 필드로 이동합니다.
더 많은 네트워크를 선택해야 하는 경우 이전 단계를 반복합니다.
참고: 이 기능은 선택 사항이며 필요하지 않은 경우 생략할 수 있습니다.
각 가상 센서에 대해 8단계에서 10단계를 반복합니다.
변경 사항을 저장하려면 Submit(제출)을 클릭합니다. 디바이스 이름이 Security and Monitoring Information 목록 아래에 나타납니다. 제출 작업은 데이터베이스 테이블의 변경 사항을 기록합니다. 그러나 변경 사항을 MARS 어플라이언스의 작동 메모리에 로드하지는 않습니다. 활성화 작업은 제출된 변경 사항을 작업 메모리에 로드합니다.
MARS가 이 디바이스에서 이벤트를 세션화하기 시작하도록 하려면 Activate를 클릭합니다.
MARS는 이 모듈에서 생성된 이벤트를 세션화하고 정의된 검사 및 삭제 규칙을 사용하여 해당 이벤트를 평가하기 시작합니다. 활성화 전에 디바이스에서 MARS로 게시한 모든 이벤트는 디바이스의 보고 IP 주소를 일치 기준으로 쿼리할 수 있습니다. 보고 및 완화 디바이스 활성화를 참조하십시오. 활성화 작업에 대한 자세한 내용은 을 참조하십시오.
데이터 흐름을 확인하기 위해 네트워크에서 안전한 이벤트를 생성하는 것이 일반적입니다. Cisco IPS 디바이스와 MARS 간의 데이터 흐름을 확인하려면 다음 단계를 완료하십시오.
Cisco IPS 디바이스에서 2000 및 2004 시그니처를 활성화하고 알립니다. 시그니처는 ICMP 메시지(ping)를 모니터링합니다.
Cisco IPS 디바이스가 수신 대기 중인 서브넷의 디바이스를 ping합니다. MARS에서 이벤트를 생성하고 가져옵니다.
이벤트가 MARS 웹 인터페이스에 나타나는지 확인합니다. Cisco IPS 디바이스로 쿼리를 수행할 수 있습니다.
데이터 흐름 확인이 완료되면 Cisco IPS 디바이스에서 2000 및 2004 서명을 비활성화할 수 있습니다.
참고: MARS 웹 인터페이스에서 Cisco IPS 디바이스를 구성하는 동안 연결 테스트 작업이 실패하지 않으면 통신이 활성화됩니다. 이 작업을 통해 알림이 생성되어 올바르게 풀렸는지 더 자세히 확인할 수 있습니다.
현재 이 컨피그레이션에 사용할 수 있는 특정 문제 해결 정보가 없습니다.
개정 | 게시 날짜 | 의견 |
---|---|---|
1.0 |
01-Dec-2013 |
최초 릴리스 |