Cisco Systems의 솔루션을 기반으로 기업 정보 보안 시스템을 구축합니다. Cisco Systems의 솔루션을 기반으로 기업 정보 보안 시스템 구축 사고 시각화 및 공격 대응

Cisco MARS 모니터링, 분석 및 대응 시스템

Cisco MARS(Cisco Security Monitoring, Analysis, and Response System)는 포괄적인 하드웨어 플랫폼입니다. 기존 보안 시스템을 철저하게 모니터링하고 통제할 수 있는 독보적인 역량을 제공합니다. 보안 관리 라이프사이클의 핵심 요소인 Cisco MARS는 IT 및 네트워크 운영 담당자에게 보안 위협을 탐지, 관리 및 물리칠 수 있는 기능을 제공합니다.

설명

GPL 가격

CS-MARS 25 어플라이언스

CSMARS 25R 1RU 어플라이언스, 75 EPS, 250GB

CSMARS 55 1RU 어플라이언스, 1500EPS, 500GB, RAID 1, 중복

CSMARS 110R 2RU 어플라이언스, 4500EPS, 1500GB, RAID 10, 중복

CSMARS 110 2RU 어플라이언스, 7500EPS, 1500GB, RAID 10, 중복

CSMARS 210 2RU 어플라이언스, 15000EPS, 2000GB, RAID10, 중복

MARS GC2 2RU 어플라이언스;2000GB;RAID10;예비 PS

CSMARS-GC2-LIC-K9=

CS-MARS-GC2R에서 CS-MARS-GC2로 라이센스 업그레이드


기존 네트워크 및 보안 투자를 기반으로 시스템은 네트워크의 방해 요소를 감지 및 격리하고 관리자에게 이를 완전히 제거할 수 있는 권장 사항을 제공합니다. 또한 이 시스템은 보안 정책 준수를 지원하며 전체 규정 준수 시스템의 일부로 포함될 수 있습니다.

네트워크 및 보안 관리자는 다음을 포함하여 여러 가지 복잡한 과제에 직면해 있습니다.

  • 보안 시스템 및 네트워크의 정보 복잡성.
  • 공격과 장애를 탐지하고 우선순위를 지정하고 대응하는 데 효율성이 부족합니다.
  • 복잡성, 확산 속도 및 공격 결과 완화 비용이 증가합니다.
  • 규정 준수 규정 및 보고 요구 사항을 준수해야 합니다.
  • 보안 전문가와 자금이 부족합니다.

Cisco MARS는 다음을 수행하여 이러한 문제를 해결합니다.

  • 네트워크 이상 현상과 보안 이벤트를 연관시키는 메커니즘의 효율성을 향상시키기 위해 지능형 기능을 네트워크에 통합합니다.
  • 확인된 보안 위반을 시각화하고 조사를 자동화합니다.
  • 기존 네트워크 및 보안 인프라를 최대한 활용하여 공격을 방어하세요.
  • 엔드포인트, 네트워크, 보안 운영을 모니터링하여 규정 준수를 보장합니다.
  • 최소한의 총 소유 비용(TCO)으로 확장 가능하고 구현 및 사용이 쉬운 장치를 제공합니다.

Cisco MARS는 악의적인 활동에 대한 원시 네트워크 및 보안 데이터를 확인된 보안 위반을 해결하고 규정 준수를 보장하는 데 사용할 수 있는 이해 가능한 정보로 변환합니다. 사용하기 쉬운 위협 완화 하드웨어 제품군을 통해 관리자는 인프라에 이미 내장된 네트워크 및 보안 어플라이언스를 사용하여 중앙에서 위협을 감지하고 우선 순위를 지정하고 물리칠 수 있습니다.

CISCO MARS 하드웨어 및 소프트웨어 시스템은 보안 위협을 관리하도록 설계되었습니다. 이에 대한 정보 소스는 네트워크 장비(라우터 및 스위치), 보안 도구(방화벽, 바이러스 백신, 공격 탐지 시스템 및 보안 스캐너), OS 로그(Solaris, Windows NT, 2000, 2003, Linux) 및 애플리케이션(DBMS, 웹 등) 및 네트워크 트래픽(예: Cisco Netflow)도 포함됩니다. Cisco MARS는 Cisco, ISS, Check Point, Symantec, NetScreen, Extreme, Snort, McAfee, eEye, Oracle, Microsoft 등 다양한 제조업체의 솔루션을 지원합니다.

ContextCorrelation TM 메커니즘을 사용하면 이기종 보안 도구의 이벤트를 분석하고 비교할 수 있습니다. 네트워크 맵의 실시간 시각화는 SureVector TM 엔진을 사용하여 달성됩니다. 이러한 메커니즘을 사용하면 공격 전파 경로를 실시간으로 표시할 수 있습니다. 감지된 공격의 자동 차단은 다양한 보안 조치와 네트워크 장비를 재구성할 수 있는 AutoMitigate TM 메커니즘을 사용하여 수행됩니다.

주요 특징들

  • 초당 최대 10,000개 이벤트 및 초당 300,000개 이상의 Netflow 이벤트 처리
  • 자신만의 상관 규칙을 생성하는 기능
  • 이메일, SNMP, syslog 및 호출기를 통해 감지된 문제 알림
  • 데이터 링크 및 네트워크 수준에서 공격 시각화
  • Syslog, SNMP, RDEP, SDEE, Netflow, 시스템 및 사용자 로그를 정보 소스로 지원
  • 분석을 위해 자체 보안 도구를 연결하는 기능
  • 오탐 및 노이즈를 효과적으로 억제하고 별도의 보안 조치로 놓친 공격을 탐지합니다.
  • NetFlow 프로토콜을 사용한 이상 탐지
  • CiscoWorks 및 기타 네트워크 관리 시스템에서 가져오기를 포함하여 네트워크 맵을 생성하고 자동으로 업데이트합니다.
  • IOS 802.1x, NAC(2단계) 지원
  • 스위치 보호 메커니즘 모니터링(Dynamic ARP Inspection, IP Source Guard 등)
  • Cisco Security Manager와의 통합(CSM Police Lookup)
  • 다음을 사용하여 사고 관리 시스템과 통합
  • RADIUS 서버에서 인증
  • Cisco MARS 구성 요소 상태 모니터링
  • Syslog 전달
  • Cisco IPS에서 새로운 공격 시그니처를 동적으로 인식하여 Cisco MARS에 로드

정보 보안 제품의 주요 제조업체 중 하나는 Cisco입니다. 이 문서에서는 Cisco Security Agent, Cisco NAC Appliance 및 Cisco MARS 제품을 사용하여 회사의 내부 정보 보안을 보장하는 사례를 보여줍니다. 이들 제품은 서로 통합되어 쉽게 관리할 수 있고 안정적인 시스템을 구축할 수 있습니다.

현대 회사의 정보 보안 부서는 완전히 다른 업무에 직면해 있습니다. 여기에는 회사의 보안 통신 채널 지원, 사용자 액세스 제어 하위 시스템 지원, 안티 바이러스 보호 제공, 스팸 방지, 정보 유출 제어, 정보 보안 모니터링 제공이 포함됩니다. 네트워크에서 발생하는 이벤트 및 기타 똑같이 중요한 작업.

현재 정보 보안 제품 시장에는 어떤 방식으로든 할당된 문제를 해결할 수 있는 수많은 개발이 이루어지고 있습니다. 우리가 생각하는 가장 올바른 방법은 회사에서 발생하는 특정 프로세스에 가장 유연하게 적응할 수 있는 고도로 통합된 보안 시스템을 구축하는 것입니다.

소개

모든 정보 보안 시스템은 예상되는 위협 모델을 기반으로 구축됩니다. 보안 시스템 계획을 시작할 때 외부 위협과 내부 위협이라는 두 가지 범주를 고려해야 합니다.

회사는 외부에서 액세스할 수 있는 서비스, 이 서비스와 인터넷 간의 연결을 제공하는 소프트웨어 및 하드웨어 리소스에 대한 완전한 정보를 보유하고 있으므로 외부 위협을 쉽게 예측할 수 있습니다.

회사에서 일하는 사용자의 액세스 수준이 다르고 회사 내에서 서로 다른 관계를 구축하기 때문에 내부자 위협에 대처하는 것이 훨씬 더 어렵습니다.

보호를 보장하려면 기술적 수단에만 국한되지 않고 포괄적인 접근 방식을 취하는 것이 필요합니다. 정보 보안 서비스의 유능한 업무와 회사의 명확하게 고려된 관리 정책은 최대 결과를 달성하는 데 도움이 될 것입니다.

행정정책은 정보보안정책을 토대로 수립됩니다. 조직은 기밀 정보 보호에 관한 규정과 해당 지침을 개발해야 합니다. 이러한 문서는 기밀성 정도에 따라 정보 자원을 분류하기 위한 규칙 및 기준, 라벨링 규칙 및 기밀 정보 처리 규칙을 정의해야 합니다. 정보 자원에 대한 접근을 제공하기 위한 규칙을 정의해야 하며, 접근 권한 부여 및 감사를 포함하여 적절한 절차와 통제 메커니즘을 구현해야 합니다.

이러한 관리 조치를 통해 가장 다양한 종류의 위협(비밀 정보의 의도하지 않은 공개 위협)에 성공적으로 대처할 수 있지만 침입자와 싸우기 위해서는 분명히 충분하지 않습니다. 특수 소프트웨어 및 하드웨어를 사용해야 합니다.

최종 호스트 보안 – Cisco Security Agent

CSA(Cisco Security Agent) 솔루션은 다른 시스템과 함께 보다 복잡하고 광범위한 문제를 해결할 수 있는 엔드 호스트 보안 시스템입니다.

CSA는 서버 시스템과 데스크톱 컴퓨터에 대한 보호를 제공합니다. Cisco Security Agent는 표적 공격, 스파이웨어, 원격 제어 소프트웨어, 바이러스 보호, 데이터 유출 및 기타 여러 유형의 보안 위반에 대한 고급 보호 기능을 하나의 소프트웨어 도구 컴퓨터에 결합하여 일반적인 엔드포인트 보안 솔루션을 뛰어넘습니다.

Cisco Security Agent는 에이전트 애플리케이션을 사용하여 중앙 서버에 구성된 정보 보안 정책을 시행하는 시스템입니다.

CSA는 제로데이 공격에 대한 보호, ClamAV 안티바이러스, 방화벽, 파일 및 애플리케이션 보호 모듈, 신뢰할 수 없는 애플리케이션 모듈 및 기타 기능을 결합합니다.

Cisco Security Agent는 다음을 포함하여 여러 가지 중요한 기능을 제공합니다.

  • 보안 정책 요구 사항에 따라 네트워크 개체 상태의 준수 여부를 모니터링합니다.
  • 표적 공격에 대한 예방적 보호;
  • USB, CD-ROM, PCMCIA 등을 제어합니다.
  • 폐쇄적인 소프트웨어 환경 조성;
  • 은밀한 원격 제어를 위해 악성 코드를 탐지하고 격리하는 능력;
  • 네트워크 노드에 대한 침입 방지, 개인 방화벽 및 완전히 새로운 공격에 대한 보호를 위한 고급 기능;
  • 정보 유출 통제;
  • 승인되지 않은 미디어로부터의 다운로드 제어 및 방지;
  • Wi-Fi 대역폭 사용 최적화;
  • 중요한 클라이언트-서버 애플리케이션의 가용성과 트랜잭션 수행 능력을 보장합니다.
  • 네트워크 트래픽 태깅;
  • 침입 방지 시스템(Cisco IPS)과의 통합
  • 네트워크 액세스 제어 시스템(Cisco NAC)과의 통합;
  • 보안 관리 시스템(Cisco MARS)과 통합됩니다.

Cisco Security Agent 시스템의 아키텍처는 그림 1에 나와 있습니다. 에이전트는 관리 서버와 상호 작용하고 관리 서버로부터 정책 및 소프트웨어 업데이트를 받습니다.

그림 1: CSA 시스템 아키텍처

최종 호스트는 정보 보안 정책이 적용되는 그룹으로 그룹화됩니다. 정책은 규칙 모듈 세트입니다(그림 2 참조).

그림 2: CSA 아키텍처의 정책, 모듈, 규칙

Cisco Security Agent를 사용하면 사용자가 데이터 네트워크에 연결되어 있고 관리 서버를 사용할 수 있는 동안 사용자의 활동을 모니터링할 수 있습니다. 그러나 관리 센터 가용성과 같은 특수한 액세스 정책이 머신에 적용되는 특수한 상태 세트도 지원합니다.

두 번째 정보보안 시스템은 데이터망 접근통제 시스템이다.

네트워크 액세스 제어 – Cisco NAC(네트워크 승인 제어)

Cisco NAC Appliance(이전의 Cisco Clean Access)는 유선 또는 무선 기업 리소스에 액세스하는 감염되었거나 취약하거나 규정을 준수하지 않는 호스트를 자동으로 감지, 격리 및 치료하도록 설계된 솔루션입니다.

네트워크 승인 제어 기술의 구성 요소 중 하나인 Clean Access는 Cisco ISR 라우터용 네트워크 모듈(제어 장치가 100개 미만인 네트워크의 경우) 또는 별도의 장치로 구현됩니다.

Cisco NAC 솔루션의 주요 기능은 다음과 같습니다.

  • 네트워크 장비 제조업체로부터의 독립성(대역 내 모드)
  • Kerberos, LDAP, RADIUS, Active Directory, S/Ident 및 기타 인증 방법과의 통합;
  • Windows(Vista 포함), MacOS, Linux, Xbox, PlayStation 2, PDA, 프린터, IP 전화 등을 지원합니다.
  • 바이러스 백신 CA, F-Secure, Eset, Kaspersky Lab, McAfee, Panda, Dr.Web, Sophos, Symantec, TrendMicro 및 기타 컴퓨터 보호 도구 지원(총 250개 제조업체)
  • ACL 또는 VLAN을 적용하여 부적절한 호스트를 격리합니다.
  • 네트워크 리소스에 대한 액세스 속도를 높이기 위해 노드의 "화이트" 목록을 생성합니다.
  • 누락된 업데이트 자동 설치, 새 버전의 보호 도구 또는 오래된 안티 바이러스 데이터베이스 업데이트
  • 중앙 집중식 웹 관리;
  • 러시아어 지원;
  • 투명한 감사를 실시하고 있습니다.

Cisco NAC Appliance 아키텍처 및 운영

Cisco NAC는 네트워크 인프라를 활용하여 정보 보안 정책을 시행하고 정보 보안 정책 요구 사항을 충족하지 않는 장치에 대한 네트워크 액세스를 제한하는 내부 정보 보안 소프트웨어 및 하드웨어 솔루션입니다.

솔루션의 주요 기능 구성 요소는 CAS(Clean Access Server)와 CAM(Clean Access Manager)입니다. CAM은 보안 정책 구성을 담당하고 CAS는 이를 실행합니다.

활성/대기 장애 조치가 수행되는 내결함성 구성으로 장비를 설치할 수 있습니다.

그림 3은 사용자가 CAM에 구성된 정책에 따라 DHCP 서비스 및 기타 서비스에 대한 액세스가 허용되는 특별히 생성된 인증 VLAN에 있는 시스템 상태를 보여줍니다.

그림 3: 네트워크 액세스 없음

사용자가 정보 보안 정책을 준수하는지 확인한 후 스위치 포트를 특정 VLAN에 할당하여 네트워크에 들어갈 수 있습니다(그림 4).

사용자는 확인을 위해 정보를 수집하는 전문 에이전트인 Cisco Clean Access를 사용하거나 웹 인증을 사용하여 인증 절차를 거칠 수 있습니다.

그림 4: 시스코 NAC - 네트워크 액세스 허용

시스템의 논리는 각 특정 사용자 역할에 적용되는 검사, 규칙 및 요구 사항 등의 구성 요소로 구성됩니다.

예를 들어, 회사의 부서에 해당하는 여러 역할을 생성하고 각 역할에 대해 특정 요구 사항을 구성할 수 있습니다. 이 요구 사항의 이행은 기업 환경에 액세스하기 위한 전제 조건이 됩니다.

그림 5: 시스코 NAC - 시스템 운영 로직

다양한 검증 옵션을 사용할 수 있습니다. PC에서 실행 중인 애플리케이션의 존재 여부, 운영 체제에 필요한 패치 설치, 안티 바이러스 데이터베이스 버전 및 기타 검사를 확인할 수 있습니다.

정보 보안 시스템은 네트워크에서 발생하는 이벤트에 대한 모니터링 시스템의 필수 존재를 요구합니다. 이러한 목적을 위해 Cisco MARS(Cisco Security Monitoring, Analysis and Response System) 제품을 사용하려고 합니다.

Cisco 보안 모니터링, 분석 및 대응 시스템(MARS)

현대 기업은 정보 보안과 관련된 문제에 끊임없이 직면하고 있습니다.

네트워크 인프라의 복잡성으로 인해 보호 수단 수가 증가합니다. 이러한 장치는 별도의 방화벽, 특정 소프트웨어 기능을 갖춘 라우터, 스위치, 다양한 IPS 시스템, IDS, HIPS 시스템 및 다양한 안티 바이러스 시스템, 메일이 될 수 있습니다. 프록시 서버, 웹 프록시 및 기타 유사한 시스템.

보안 수단이 많으면 관리상의 문제가 발생하는데, 통제 지점이 많아지면 기록되는 이벤트도 많아지고, 결과적으로 의사 결정에 소요되는 시간도 늘어나게 된다(그림 6 참조).

그림 6: 공격 방지를 위한 의사결정 프로세스

이러한 점에서 기업에는 시스템에서 수신된 이벤트를 기록하고 상호 연관시켜 기존 정보 보안 수준을 평가할 수 있는 더 높은 수준의 시스템이 필요합니다.

Cisco MARS 모니터링 및 응답 시스템은 이러한 기능을 제공합니다.

Cisco MARS 주요 기능

Cisco MARS는 서버 버전의 소프트웨어 및 하드웨어 솔루션입니다. 시스템 소프트웨어는 Linux 운영 체제(커널 2.6)를 기반으로 합니다. 시스템의 주요 구성 요소는 정보를 저장하는 데 사용되는 Oracle 데이터베이스입니다.

Cisco MARS에는 Syslog, SNMP, NetFlow 프로토콜을 사용하여 다양한 장치에서 정보를 수집하는 기능이 있으며 시스템 로그 파일을 수신하는 기능도 있습니다.

MARS는 Cisco, IBM, Check Point, Nokia, Symantec, McAfee, Netscape 등과 같은 다양한 공급업체의 장비를 지원합니다.

Cisco MARS 시스템의 운영 논리는 데이터베이스에 대한 쿼리를 기반으로 합니다. 소스 IP 주소, 대상 IP 주소, 포트, 이벤트 유형, 장치, 키워드 등을 기준으로 정보를 선택하고 세분화할 수 있습니다.

요청에 따라 특정 규칙이 시스템에 그룹화됩니다. Cisco MARS 데이터베이스에는 2000개 이상의 규칙이 포함되어 있습니다. 자신만의 규칙을 만들어 시스템을 특정 유형의 인지된 위협에 유연하게 적용할 수 있습니다.

규칙을 저장하고 이 규칙을 만족하는 정보를 탐지하면 인시던트가 생성됩니다.

Cisco MARS의 운영을 고려하면 호스트에 대한 공격의 구체적인 예를 제시할 수 있습니다(그림 7 참조).

그림 7: 호스트에 대한 공격 수행

Cisco MARS, 여러 스위치, Cisco Security Agent 제품이 설치된 노트북이 포함된 스탠드가 조립되었습니다. 공격을 에뮬레이션하기 위해 NMAP 유틸리티를 사용하여 호스트 서비스를 검색했습니다.

이벤트는 다음과 같습니다.

  • Cisco Security Agent가 포트 스캔을 감지했습니다.
  • 이에 대한 정보가 Cisco Security Agent 시스템의 관리 센터에 전달되었으며, 관리 센터는 MARS에 메시지를 보냈습니다.
  • MARS는 수신된 메시지를 MARS 데이터베이스에서 제공하는 단일 형식으로 구문 분석하고 정규화했습니다.
  • MARS는 세션 상관 관계를 생성했습니다.
  • 이 이벤트는 정보 보안 사고를 기록하기 위해 MARS에 구성된 규칙을 사용하여 확인되었습니다.
  • 오탐지를 확인했습니다.
  • 사건이 발생하고 정보가 관리자에게 전송되었습니다.

Cisco MARS 홈 페이지에는 네트워크에서 정보보안 사고가 발생했다는 정보가 나와 있고(그림 8 참조), 공격 전파 경로가 나와 있다(그림 9 참조).

그림 8: Cisco 대시보드에 공격 정보 표시 화성

그림 9: Cisco 패널의 공격 경로 화성

"Toggle Topology" 버튼을 클릭하면 실제 네트워크 토폴로지를 볼 수 있으며 공격 전파 경로를 확인할 수 있습니다(그림 10 참조).

그림 10: Cisco 대시보드에 있는 공격 전파 경로의 네트워크 토폴로지 화성

사고에 대응하기 위해 Cisco MARS는 네트워크 장치 기반 공격을 방지할 수 있는 몇 가지 옵션을 제공합니다(그림 11 참조).

그림 11: 공격 방지를 위한 대응

Cisco MARS에는 등록된 모든 이벤트에 대한 자세한 데이터를 얻을 수 있는 유연한 보고 시스템도 있습니다. 이를 통해 보호 개선 원칙을 구현할 수 있습니다(그림 12 참조).

그림 12: 보안 개선 원칙

포괄적인 솔루션의 예

위의 제품을 기반으로 K회사의 본사에 대한 포괄적인 솔루션을 고려해 보겠습니다.

K사는 본사 3개 부서에 100명의 직원을 두고 있다. Microsoft Active Directory 시스템은 사용자 액세스를 제어하는 ​​데 사용됩니다.

다음 작업을 해결해야 합니다.

  • 각 부서의 직원을 위해 작성된 정보 보안 정책을 준수합니다.
  • 특정 호스트에서 실행되는 소프트웨어에 대한 최신 정보를 보유합니다.
  • 기업 환경 외부에 위치한 호스트의 외부 시스템에 대한 액세스를 제어할 수 있습니다.
  • 지정된 정보 보안 정책을 기반으로 네트워크에 대한 액세스를 제공합니다.
  • 도메인 사용자 계정을 기반으로 호스트에 대해 지정된 검사가 수행되는지 확인합니다.
  • NetFlow 프로토콜을 사용하여 네트워크에서 발생하는 이벤트에 대한 모니터링과 정보 수집을 제공합니다.

Cisco Security Agent 정책 구성

먼저, 각 사용자 그룹의 접근 권한을 정의합니다. 이러한 접근 규칙에 따라 활성 네트워크 장비에 대한 도메인 접근 권한 및 필터링 규칙이 구성됩니다.

Cisco Security Agent를 사용하여 네트워크 액세스 규칙을 생성할 수 있지만 이러한 규칙은 본질적으로 비공개입니다. 예를 들어 특정 리소스(IP, TCP/IP)에 대한 특정 사용자 액세스를 거부할 수 있습니다. 이 예에서는 CSA에 대해 네트워크 규칙이 생성되지 않습니다.

첫 번째 단계는 에이전트 응용 프로그램을 비활성화할 수 없도록 CSA의 모든 사용자 그룹에 대한 정책을 만드는 것입니다. 이 정책은 로컬 관리자를 포함한 모든 사용자에게 적용됩니다.

그런 다음 컴퓨터에 설치된 소프트웨어에 대한 정보를 수집하기 위한 프로세스(응용 프로그램 배포 조사라는 프로세스)가 시작됩니다. 결과적으로 보고서를 받게 됩니다(그림 13 참조).

그림 13: Cisco를 사용한 설치된 애플리케이션 보고서 보안 대리인

앞으로는 이러한 애플리케이션을 총 사무용 애플리케이션 수, ICQ 클라이언트, P2P 애플리케이션, 이메일 애플리케이션 등으로 분류할 수 있습니다. 또한, CSA를 사용하면 특정 애플리케이션의 동작을 분석하여 추가 정보 보안 정책 수립이 가능합니다.

모든 본사 사용자에 대해 식별된 모든 응용 프로그램에 대한 일반 규칙이 생성됩니다. 구현은 단계적으로 수행됩니다. 먼저 정보 보안 정책이 감사 모드에서 구현되므로 모든 이벤트를 모니터링할 수 있지만 사용자의 현재 작업에는 영향을 미치지 않습니다. 이후 개정된 정책은 운영 모드로 전환됩니다.

CSA는 애플리케이션의 정적 분류 외에도 동적 클래스 방법인 동적 분류를 제공합니다. 예를 들어, Microsoft Word 애플리케이션은 로컬과 네트워크라는 두 가지 애플리케이션 클래스로 분류될 수 있으며, 이에 따라 서로 다른 보안 정책이 적용될 수 있습니다(그림 14 참조).

그림 14: 애플리케이션 분류를 위한 동적 클래스

바이러스 백신 보호를 위해 CSA에는 ClamAV 바이러스 백신 모듈이 내장되어 있습니다. 바이러스 백신이 있는 경우 이 모듈을 비활성화할 수 있습니다.

정보 유출 통제

기밀 정보 유출을 방지하기 위해 CSA는 데이터 손실 방지라는 특수 모듈을 제공합니다.

이 소프트웨어 모듈이 활성화되면 CSA 에이전트는 파일에서 기밀 정보를 검색합니다. 정보 분류는 템플릿(태그 검색)을 기반으로 수동으로 설정됩니다(그림 15 참조). 섀도우 스캔은 물론, 파일 열기/닫기 시 스캔도 가능합니다.

그림 15: 기밀 정보 분류

분류가 완료된 후에는 이러한 파일을 사용하는 애플리케이션에 대한 정보 보안 정책을 생성하고 적용해야 합니다. 이러한 파일에 대한 액세스, 인쇄, 외부 미디어로 전송, 클립보드로 복사 및 기타 이벤트를 제어해야 합니다. 이 모든 작업은 Cisco Security Agent에 사전 설치된 표준 템플릿과 규칙을 사용하여 수행할 수 있습니다.

Cisco NAC 설정(클린 액세스)

Cisco NAC 구성을 시작할 때 각 특정 사용자 그룹에 대해 이 시스템의 운영 논리를 명확하게 이해해야 합니다.

K사에서 구현하는 경우 먼저 모든 사용자가 단일 VLAN(그림 16의 Vlan 110)에 속하도록 계획됩니다. 이 VLAN에 있는 동안 정보 보안 정책 요구 사항을 준수하는지 확인하기 위해 인증 및 확인을 거칩니다. 이 VLAN에서 회사 네트워크 리소스로의 액세스는 제한됩니다. OSI 모델의 두 번째 수준에서는 사용자가 Clean Access Server만 사용할 수 있습니다. 동시에 DHCP를 사용하면 사용자는 작동 중인 VLAN으로부터 IP 주소를 수신하므로 IP 주소를 다시 얻을 필요가 없습니다.

그림 16: 인증 VLAN

확인이 성공하면 사용자는 "작업" VLAN(그림 17의 Vlan 10)으로 전송됩니다. 이 VLAN 번호는 Active Directory에서 사용자가 속한 조직 단위(OU)에 따라 할당됩니다. 이 기능은 NAC 시스템의 사용자 역할을 사용하여 가능해집니다.

그림 17: 사용자를 "업무" VLAN으로 전환

모든 Company K 사용자는 Windows 운영 체제에 대한 최신 중요 업데이트를 준수하고 Cisco Security Agent를 실행해야 합니다.

사용자의 개인 컴퓨터에서 Cisco Security Agent의 상태를 확인하는 방법을 살펴보겠습니다.

  • 새로운 수표가 생성됩니다(그림 18 참조).
  • 그런 다음 규칙이 생성됩니다(그림 19 참조).
  • 요구사항이 생성됩니다(그림 20 참조).
  • 궁극적으로 이 요구 사항은 사용자 역할에 적용됩니다.

그림 18: 새로운 Cisco Security Agent 상태 확인 생성

그림 19: 새로운 Cisco Security Agent 상태 확인을 위한 규칙 생성

그림 20: 새로운 Cisco Security Agent 상태 점검을 위한 요구 사항 생성

설정이 완료되면 HR 그룹의 모든 사용자가 네트워크 리소스에 액세스하려면 Cisco Security Agent 작동 조건을 충족해야 합니다.

Cisco NAC를 사용하면 안티 바이러스 데이터베이스의 관련성, 최종 호스트의 서비스 상태 및 기타 중요한 사항을 확인할 수 있습니다.

각 구성 옵션은 개별적이지만 동시에 시스템에는 초기에 신속한 배포를 촉진하는 다양한 요구 사항이 있습니다.

Cisco MARS 설정

Cisco Security Agent와 Cisco NAC는 보고 정보를 제공하는 풍부한 시스템을 갖추고 있지만, 이벤트를 상호 연결하고 다양한 장치에서 이벤트에 대한 정보를 수집하려면 Cisco MARS 시스템을 사용하는 것이 좋습니다.

Cisco MARS 시스템의 기본 설정에는 시스템에 장치 추가(방화벽, IPS, IDS, 바이러스 백신 시스템, 메일 시스템 등), MARS 서버로 NetFlow 내보내기 설정 및 사용자 설정이 포함됩니다.

MARS에는 이미 사전 정의된 규칙이 많이 있습니다(그림 21 참조). 이를 통해 시스템을 신속하게 운영하고 정보 보안 상태에 대한 최신 정보를 받을 수 있습니다.

그림 21: Cisco의 사전 정의된 규칙 화성

더 심층적인 사용자 정의를 위해서는 들어오는 정보를 분석할 예측 위협 모델에 따라 자체 규칙을 만들어야 합니다.

규칙에 지정된 필수 조건이 모두 존재하면 인시던트가 생성되고 시스템의 기본 패널에서 볼 수 있습니다. Cisco MARS 서비스 담당자의 이메일로 알림을 보낼 수도 있습니다.

이러한 방식으로 Cisco MARS는 네트워크 및 보안 시스템에서 제공하는 악의적인 활동에 대한 원시 데이터를 네트워크에 이미 존재하는 장비를 사용하여 보안 위반을 해결하는 데 사용할 수 있는 이해 가능한 정보로 변환합니다.

결론

고려된 복잡한 시스템은 광범위한 문제를 해결하므로 관리자는 회사 보안 정책 위반을 최대한 빨리 식별하고 제거할 수 있습니다.

이 글에서 사용된 제품들은 일체형 시스템으로 서로 개별적으로 작동할 수 있지만, 이러한 시스템들을 결합함으로써 최신(제로데이) 보안 위협을 견딜 수 있는 자체 방어 네트워크 전략이 담겨 있습니다.

자비야킨 이고르
NTS LLC(NTS Ltd.)의 수석 엔지니어

Cisco Systems의 정보 보안 제품 구현에 관심이 있는 경우 NTS 담당자에게 문의하세요.

정보 보안 기술은 인터넷 인터페이스의 경계 방어에서 인프라 전체의 여러 수준에 여러 대응책이 분산되어 있는 "심층" 모델로 발전했습니다. 공격 횟수, 복잡성 및 구현 속도의 증가로 인해 다계층 모델이 필수가 되고 있습니다. 취약점을 찾기 위해 네트워크 개체를 하루에 수천 번 검사할 수 있습니다. 현대의 "혼합" 또는 하이브리드 공격은 다양하고 정교한 기술을 사용하여 조직 외부와 내부 모두에서 무단 액세스 및 제어권을 얻습니다. 웜, 바이러스, 트로이 목마, 스파이웨어 및 맞춤형 소프트웨어의 확산은 철저하게 보호되는 네트워크에도 위협이 되어 대응 시간이 부족해지고 복구 비용이 증가합니다.

또한, 수많은 서버와 네트워크 장치 외에도 보안 시스템의 각 구성 요소는 자체 이벤트 로그를 유지하고 이상 징후 탐지 및 위협 대응을 위한 자체 도구 세트를 보유하고 있습니다. 불행하게도 이러한 상황은 엄청난 양의 서로 다른 이벤트 로그와 허위 위험 신호를 처리해야 하므로 운영자가 효과적으로 대응할 수 없게 됩니다.

정보 보안 및 이벤트 관리 제품을 사용하면 특정 방식으로 위협을 평가하고 이에 따라 처리할 수 있습니다. 이러한 솔루션을 통해 IT 보안 서비스는 이벤트 데이터를 중앙에서 수집 및 처리하고, 상관 관계를 사용하고, 대기열을 처리하고, 보고서를 생성할 수 있습니다....

시스코 시스템 솔루션 개요

Cisco Security MARS는 기존 보안 상태에 대한 통찰력과 제어 기능을 제공하는 하드웨어 기반의 모든 기능을 갖춘 솔루션입니다. 보안 관리 제품군의 일부인 MARS를 사용하면 보안 위협을 식별, 제어 및 중지할 수 있습니다. 이 솔루션은 기존 네트워크 및 보안 시스템과 함께 작동하여 문제가 있는 요소를 찾아 격리하고 제거합니다. MARS는 또한 내부 보안 정책의 무결성을 유지하는 데 도움이 되며 전체 네트워크 규제 솔루션의 일부로 통합될 수 있습니다.

보안 관리자는 다음과 같은 많은 과제에 직면해 있습니다.

  • 들어오는 네트워크 및 보안 정보의 과도한 흐름
  • 식별, 우선순위화, 대응 과정에서 공격 및 오류를 인지하는 데 문제가 있음
  • 공격이 복잡해지고 복구 비용이 증가함
  • 보안 규정 준수를 유지해야 할 필요성
  • 인력 문제

Cisco Security MARS를 사용하면 다음과 같은 방법으로 이러한 문제를 해결할 수 있습니다.

    네트워크 데이터를 통합하여 네트워크 이상 징후와 보안 사고의 상관관계를 구축합니다.

    사고를 추적하고 조사를 자동화합니다.

    기존 네트워크 및 보안 인프라의 모든 기능을 활용하여 공격을 완화합니다.

    필수 템플릿을 준수하는지 개체, 네트워크, 보안 절차의 상태를 모니터링합니다.

    낮은 소유 비용으로 구현 및 운영이 용이하고 확장 가능한 솔루션 역할을 합니다.

Cisco Security MARS는 원시 데이터를 처리하기 편리한 형식으로 변환하여 네트워크 인프라에 이미 내장된 장치를 사용하여 우선 순위 위협에 대한 보고서를 구체적으로 탐지, 억제 및 생성하는 기능을 제공합니다.

정보 보안 통제 및 위협 예방 개발

이 문제를 해결하기 위해 Cisco는 확장 가능한 하드웨어 시스템 제품군을 제공합니다. Cisco Security MARS는 네트워크 데이터, 콘텐츠 상관 기능인 "컨텍스트 상관 관계", "SureVector™ 분석" 및 위협 자동 억제 기능을 결합하여 네트워크 장치를 보호하고 정보 보안을 최적화하는 확장 가능한 고성능 시스템 중 하나입니다. MARS 플랫폼은 보안 관리 컴플렉스인 Cisco Security Manager와 긴밀하게 통합되어 있습니다. 이 통합을 통해 이벤트 메시지를 Cisco Security Manager에 구성된 정책에 바인딩할 수 있습니다. 정책 검토를 통해 방화벽의 보안 정책 작동을 신속하게 분석하고 네트워크 문제 및 구성 오류를 감지할 수 있습니다.

특징 및 이점

지능형 이벤트 처리 및 성능 관리

Cisco Security MARS는 네트워크 토폴로지, 장치 구성 및 네트워크 트래픽 프로필에 대한 지식을 활용하여 네트워크 데이터를 사용합니다. 시스템의 통합 네트워크 탐색 기능은 장치 구성과 적용된 보안 정책을 포함하는 토폴로지 다이어그램을 구축하므로 Cisco Security MARS는 네트워크의 데이터 흐름을 모델링할 수 있습니다. Cisco Security MARS는 네트워크 트래픽을 직접 처리하지 않고 네트워크 소프트웨어 요소를 최소한으로 사용하므로 전체 네트워크 성능에 미치는 영향은 최소화됩니다.

Cisco Security MARS는 라우터, 스위치 등 다양한 네트워크 장치에서 이벤트 데이터를 중앙에서 수집합니다. 방화벽, 침입 탐지 장치, 취약성 스캐너, 바이러스 백신 응용 프로그램과 같은 보안 장치 및 응용 프로그램. 최종 시스템(Windows, Solaris, Linux), 애플리케이션(데이터베이스, 웹 서버 및 인증 서버)의 데이터 및 네트워크 트래픽 통계(Cisco NetFlow)도 처리됩니다.

상황별 상관관계

데이터를 수신할 때 네트워크 토폴로지, 장치 구성 및 NAT(주소 변환) 매개변수를 사용하여 통합 통신 체계가 구축됩니다. 관련 이벤트가 실시간으로 그룹화됩니다. 그런 다음 시스템 및 사용자 상관 관계 규칙을 적용하여 네트워크 사고를 식별합니다. Cisco Security MARS에는 Cisco에서 정기적으로 업데이트하는 포괄적인 상관관계 패턴 세트가 함께 제공되어 다양하고 복잡한 공격을 대부분 탐지할 수 있습니다. 그래픽 도구를 사용하면 다양한 애플리케이션에 대한 규칙을 쉽게 만들 수 있습니다. 상황별 상관 관계는 처리되는 원시 데이터의 양을 크게 줄여 응답 우선 순위를 지정하고 적용된 대책의 효율성을 높입니다.

고성능 집계

Cisco Security MARS는 수백만 개의 기본 메시지를 처리하고 이벤트를 효율적으로 분류하여 데이터 볼륨을 대폭 줄이고 보관을 위해 정보를 압축합니다. 이러한 양의 데이터를 관리하려면 안정적이고 안전한 중앙 집중식 플랫폼이 필요합니다. Cisco Security MARS 어플라이언스는 초당 최대 15,000개의 이벤트 또는 초당 300,000개의 Cisco NetFlow 이벤트 등 대량의 이벤트를 처리하도록 최적화되어 있습니다. 또한 MARS는 NFS 및 SFTP를 통한 구성 및 데이터의 백업 및 복구를 지원합니다.

사고 시각화 및 억제

MARS를 사용하면 위협 탐지, 조사, 평가 및 해결 프로세스를 가속화하고 단순화할 수 있습니다. IT 보안 직원의 일반적인 과제는 발생하는 보안 이벤트를 분석하고 해결하는 데 걸리는 시간입니다. 이 경우 Cisco Security MARS는 보안을 관리하고 규칙을 생성하는 강력한 대화형 도구입니다.

그래픽 작업 환경에는 이벤트, 공격 벡터 및 사건 세부 정보를 보여주는 토폴로지 맵이 표시되므로 기존 위협을 즉시 식별할 수 있습니다. Cisco "SureVector 분석"은 긴밀한 이벤트 그룹을 처리하여 위협의 현실과 그 출처를 최종 장치의 MAC 주소까지 평가합니다. 방화벽, 침입 방지 장치(IPS), 타사 데이터 평가 시스템, 엔드포인트 검색 결과 등의 장치에서 발생하는 이벤트 로그를 분석하여 오탐을 방지하는 방식으로 프로세스가 자동화됩니다. Cisco Security MARS를 사용하여 보안 팀은 복잡한 공격의 구성 요소를 신속하게 이해하고 영향을 받는 시스템을 식별할 수 있는 도구를 갖게 되었습니다. Cisco의 "자동 완화" 기능은 공격 경로에서 사용 가능한 제어 장치를 찾아 운영자가 위협을 제거하기 위해 신속하게 적용할 수 있는 적절한 명령을 자동으로 제공합니다.

운영 분석 및 규정 준수 검증

Cisco Security MARS는 지속적인 보안 운영을 단순화하고 조사, 에스컬레이션, 경고, 지속적인 활동 문서화, 임시 감사를 자동화하는 사용하기 쉬운 프레임워크를 제공합니다. Cisco Security MARS는 공격을 그래픽으로 표시하고 기록 데이터를 추출하여 이전 이벤트를 분석합니다. 시스템은 신속하게 정보를 얻을 수 있도록 임의의 쿼리를 완벽하게 지원합니다.

Cisco Security MARS는 다양한 내장형 요청 템플릿을 제공하며 PCI-DSS, GLBA, HIPAA, FISMA, Basel II 프로토콜과 호환됩니다. 보고서 생성기를 사용하면 대응 및 복구 절차 계획, 사건 및 네트워크 활동 추적, 보안 정책 준수 모니터링, 감사 수행 등을 위한 무제한 기능을 갖춘 100개 이상의 표준 보고서를 수정하거나 새로운 보고서를 생성할 수 있습니다. 보고서 전송도 지원됩니다.

속도와 구현 용이성

Cisco Security MARS를 구현할 때 "syslog" 메시지, SNMP 메시지(SNMP 트랩)를 보내고 받는 기능을 보장해야 하며 일반적으로 허용되거나 독점 프로토콜을 사용하여 설치된 네트워크 장치와 통신해야 합니다. 추가 하드웨어나 사용된 소프트웨어 수정이 필요하지 않습니다. 이러한 방식으로 Cisco Security MARS로의 메시지 전달이 구성되고 "웹 기반 GUI"를 통해 모니터링 개체가 추가됩니다. MARS는 현재 인프라와의 통합을 위해 외부 서버에 통계를 보낼 수 있습니다.

Cisco 보안 모니터링, 분석 및 대응 시스템 MARS(Cisco 보안 모니터링, 분석 및 대응 시스템)는 기존 보안 시스템의 상세한 모니터링 및 제어 기능을 제공하여 보안 위협을 탐지, 관리 및 대응하는 하드웨어 장치입니다.

네트워크 및 보안 관리자는 다음과 같은 문제에 직면할 수 있습니다.

  • 네트워크 상태 및 시스템 보안에 관한 매우 많은 양의 정보
  • 탐지 도구의 효율성이 부족하여 공격 및 실패의 중요성을 판단하고 대응 조치를 개발합니다.
  • 공격 속도와 복잡성이 높고 공격 후 복구 비용이 높습니다.
  • 감사 및 규정 준수 검사를 통과하려면 보고서를 작성해야 합니다.

시스코 MARS 기능

정보 수집 및 처리

Cisco Security MARS는 네트워크 토폴로지, 네트워크 장치 구성 및 보안 규칙에 대한 모든 정보를 네트워크 장치 및 보안 시스템에서 수신하고 네트워크 트래픽을 분석하여 축적 및 통합합니다. 동시에 에이전트 사용이 최소화되어 네트워크와 시스템 전체의 성능이 저하되지 않습니다.

Cisco Security MARS는 라우터, 스위치, 방화벽, 침입 탐지 시스템, 취약성 스캐너, 안티바이러스 애플리케이션, Windows를 실행하는 서버, Solaris, Linux 운영 체제, 애플리케이션 프로그램(예: 웹 서버, 인증 서버), DBMS에서 로그 파일을 중앙에서 수집합니다. 트래픽 처리 프로그램(예: Cisco NetFlow)도 있습니다.

이벤트 상관관계 감지

수집된 정보는 네트워크 토폴로지, 장치 구성, 소스 및 대상 주소에 따라 구성됩니다. 수신된 정보를 기반으로 관련 이벤트가 실시간으로 세션으로 그룹화됩니다. 시스템 규칙과 관리자가 설정한 규칙에 따라 Cisco MARS는 세션을 분석하여 사건, 장애 및 공격을 식별합니다.

Cisco MARS에는 정기적으로 업데이트되고 대부분의 조합 공격, 제로 데이 공격, 네트워크 웜 등의 탐지를 포함하는 대규모 시스템 규칙 세트가 제공됩니다. 관리자는 그래픽 인터페이스를 사용하여 모든 애플리케이션에 대한 규칙을 생성할 수 있습니다.

이벤트 상관 관계 식별은 네트워크 및 시스템 보안에 대한 정보를 구조화하여 의사 결정에 필요한 정보의 양을 줄이고 공격에 대응하기 위한 우선 순위 조치를 결정하는 데 도움을 주며 결과적으로 취해진 조치의 효율성을 높입니다.

대량의 데이터 수집 및 축적

Cisco MARS는 네트워크의 많은 이벤트에 대한 정보를 수신한 다음 데이터를 구조화하고 보관을 위해 데이터를 압축합니다. 효율적인 알고리즘과 내장된 고성능 데이터베이스 덕분에 엄청난 양의 데이터를 처리할 수 있으며, 그 구성은 관리자에게 완전히 투명합니다.

데이터를 보조 보관 장치로 전송하고 장애 후 구성을 복원하는 기능을 위해 Cisco MARS는 NFS 네트워크 파일 시스템과 보안 FTP 프로토콜을 지원합니다.

사건 시각화 및 공격 대응

Cisco Security MARS는 관리자가 보다 빠르고 쉽게 공격과 장애를 식별하고, 사고를 확인하고, 공격 완화 조치를 구현하는 데 도움을 줄 수 있습니다.

Cisco MARS는 네트워크 맵(공격된 호스트, 공격 경로 포함)을 구축하고 공격 및 사고에 대한 완전한 정보를 표시할 수 있는 강력한 그래픽 도구를 제공합니다. 이를 통해 공격을 격퇴하기 위한 조치를 신속하게 취할 수 있습니다.

MARS는 이벤트 세션을 분석하여 공격을 탐지 및 확인하고 이에 대한 정보(최종 노드의 MAC 주소까지)를 수집합니다. 이 자동화된 프로세스는 보안 로그 파일(방화벽, 침입 탐지 시스템 등) 분석과 Cisco의 자체 MARS 검사로 오탐지를 보완합니다.

Cisco MARS를 사용하면 공격에 대한 전체 정보를 얻을 수 있다는 사실 외에도 시스템은 공격에 취약한 호스트를 자동으로 식별하고 사용자가 공격을 물리치기 위해 실행할 수 있는 명령을 생성합니다.

실시간 정보 수집 및 규정 준수 보고

Cisco Security MARS의 차별화되는 점은 네트워크 및 시스템 보안 정보를 구성하여 일상적인 운영과 검사 및 감사에 대한 시스템 상태, 사고, 대응을 자동으로 식별하는 사용하기 쉬운 도구입니다.

Cisco MARS는 실시간으로 공격을 그래픽으로 표시하고 기록 이벤트를 분석할 때 공격 및 사건의 패턴을 재구성하는 기능을 제공합니다.

Cisco Security MARS는 재해 복구 계획 개발, 사고 및 네트워크 활동 분석, 현재 보안 상태 감사 등 다양한 목적을 위한 보고 기능을 제공하며 보고서는 텍스트, 표, 그래프 및 차트 형식으로 생성될 수 있습니다. 또한 많은 외국 표준(PCI DSS, Sarbanes - Oxley, HIPAA 등) 준수에 대한 보고서를 작성할 기회도 있습니다.

빠른 구현과 유연한 관리

Cisco Security MARS에는 로그 파일, SNMP 메시지를 송수신하고 표준 또는 공급업체별 보안 프로토콜을 사용하여 네트워크 장치 및 보안 장치와 세션을 설정하는 기능을 갖춘 네트워크 연결이 필요합니다.

Cisco MARS를 설치하는 데에는 추가 하드웨어, 운영 체제 업그레이드, 추가 라이센스 또는 추가 작업이 필요하지 않습니다. 작업하려면 웹 인터페이스를 사용하여 Cisco MARS에 연결할 네트워크 장치와 보안 도구를 구성하고 모니터링해야 하는 네트워크와 네트워크 노드만 구성하면 됩니다.

Cisco MARS를 사용하면 로그 파일을 외부 서버로 전송하여 기존 네트워크 인프라와 통합할 수 있습니다. Cisco Security MARS를 사용하면 여러 Cisco MARS 시스템의 계층적 관리, 개별 시스템의 보고서 통합, 규칙 설정 및 보고서 템플릿, 로컬 Cisco MARS 시스템에 대한 업데이트를 제공하는 추가 관리 장치(Global Controller)를 설치할 수도 있습니다.

Cisco MARS 기능에 대한 자세한 설명

동적 세션 상관관계:

  • NetFlow 정보를 포함한 이상 징후 탐지
  • 행동과 규칙을 기반으로 한 이벤트 상관관계
  • 일반 기본 제공 및 사용자 정의 규칙
  • 변환된 네트워크 주소의 자동 정규화

토폴로지 다이어그램 구성:

  • 라우터, 스위치, 레이어 2 및 3 방화벽
  • 네트워크 침입 탐지 시스템의 모듈 및 장치
  • 수동 또는 예정된 건설
  • SSH, SNMP, Telnet 및 장치별 통신

취약점 분석:

  • 네트워크 또는 최종 노드 기반 위반 탐지
  • 스위치, 라우터, 방화벽 및 NAT의 구성 분석
  • 취약점 스캔 데이터 자동 처리
  • 자동 및 사용자 정의 오탐지 분석

위반 분석 및 대응:

  • 개별 보안 이벤트 관리 대시보드
  • 세션 이벤트 데이터를 모든 규칙의 컨텍스트와 결합
  • 상세한 분석을 통해 공격 경로를 그래픽으로 표현
  • 엔드 노드의 MAC 주소를 결정하여 공격 경로에 따른 장치 프로파일
  • 공격 유형의 그래픽 및 상세한 순차적 표현
  • 규칙, 처리되지 않은 이벤트, 일반적인 취약점, 네트워크 영향, 대응 옵션을 포함한 침해 세부정보
  • 위반 사항에 대한 즉각적인 분석 및 오탐지 식별
  • 사용자 정의 규칙 및 키워드 분석을 지원하기 위해 GUI를 사용하여 규칙 정의
  • 단계별 조치를 설명하는 사용자를 위한 워크시트 발행을 통한 위반 평가
  • 이메일, 호출기, syslog 및 SNMP를 포함한 알림

쿼리 및 보고서 생성:

  • 광범위한 표준 및 사용자 정의 쿼리를 지원하는 그래픽 사용자 인터페이스
  • 관리, 운영 및 규정 준수 보고서를 포함한 80개 이상의 일반 보고서
  • 사용자 정의 보고서를 무제한으로 생성할 수 있는 시각적 인터페이스를 갖춘 보고서 생성기
  • HTML 및 CSV 파일로 내보내기를 지원하는 텍스트, 그래픽 및 일반 보고서 형식
  • 즉시 인쇄 가능한, 그룹, 표준 등의 보고서 생성

관리:

  • HTTPS 웹 인터페이스; 지정된 권한을 사용한 역할 기반 관리
  • 글로벌 컨트롤러를 사용하여 여러 Cisco MARS 시스템의 계층적 관리
  • 장치 지원, 새로운 규칙 및 기능을 포함한 자동 업데이트
  • 원시 침해 데이터 아카이브를 오프라인 NFS 스토리지로 영구적으로 마이그레이션

장치 지원:

  • 네트워크 활성 장비: Cisco IOS 소프트웨어, 버전 11.x 및 12.x; Cisco Catalyst OS 버전 6.x; Cisco NetFlow 버전 5.0 및 7.0; 익스트림 익스트림웨어 버전 6.x.
  • 방화벽/VPN: Cisco Adaptive Security Appliance 버전 7.0, Cisco PIX 보안 어플라이언스 소프트웨어 버전 6.x 및 7.0; Cisco IOS 방화벽 버전 12.2(T) 이상, Cisco FWSM(방화벽 기능 모듈) 버전 1.x, 2.1 및 2.2; Cisco VPN 3000 버전 4.0용 소프트웨어; 방화벽 체크포인트 방화벽-1 NG FP-x 및 VPN-1 버전 FP3, FP4 및 AI; NetScreen 방화벽 버전 4.x 및 5.x; Nokia 방화벽 버전 FP3, FP4 및 AI.
  • IDS 시스템: Cisco IDS 버전 3.x, 4.x 및 5.0; Cisco IDS 모듈 버전 3.x 및 4.x; Cisco IOS IPS 버전 12.2; Enterasys Dragon NIDS 버전 6.x; ISS RealSecure 네트워크 센서 버전 6.5 및 7.0; Snort NIDS 버전 2.x; McAfee Intrushield NIDS 버전 1.5 및 1.8; NetScreen IDP 시스템 버전 2.x; OS 버전 4.x 및 5.x; 시만텍 MANHUNT 시스템.
  • 취약성 평가 시스템: eEye REM 버전 1.x 및 FoundStone FoundScan 버전 3.x.
  • 엔드포인트 보안 시스템: Cisco Security Agent 버전 4.x; McAfee Entercept 버전 2.5 및 4.x; 엔드 노드 ISS RealSecure 호스트 센서 버전 6.5 및 7.0용 센서.
  • 바이러스 백신 소프트웨어: Symantec Antivirus 버전 9.x.
  • 인증 서버: Cisco ACS 서버 버전 3.x 및 4.x.
  • 엔드 노드 운영 체제: Windows NT, 2000 및 2003(에이전트 포함 및 제외); Solaris OS 버전 8.x, 9.x 및 10.x; 리눅스 OS 버전 7.x.
  • 애플리케이션: 웹 서버(ISS, iPlanet 및 Apache); 오라클 9i 및 10g; 넷캐시.
  • 모든 애플리케이션의 시스템 로그를 집계하고 모니터링하기 위한 범용 장치 지원.

추가 하드웨어 기능:

  • 특수 목적 장치, 19" 랙 장착; UL 인증.
  • 보호 기능이 강화된 OS; 제한된 기능 세트를 갖춘 방화벽.
  • 2개의 10/100/1000 이더넷 인터페이스.
  • 복구 디스크가 포함된 DVD-ROM.


인기 있는
어떤 브라우저가 더 나은지: 데스크톱과 모바일 장치에서 실행되는 웹 브라우저 비교 사용자가 한명도 아니고..
주기적인 동결 제거 약간의 이론 가끔...
컴퓨터에 가장 필요한 프로그램은 무엇입니까? 고품질, 유용성 및...
Joomla에서 메뉴를 만드는 방법, Joomla에서 메뉴를 만드는 세 가지 방법 Joomla 메뉴 항목 만들기 우리는 계속해서 알아가고 있습니다...
TV용 TV 튜너: 그게 뭐죠? 일반적으로 이러한 슬롯은 ...
사이트의 새로운 내용
LCD 모니터를 닦는 방법 - 방법 및 권장 사항
장치에서 Skype를 완전히 제거하는 방법
Wi-Fi 범위를 늘리는 방법
LGA1155 마더보드 - 소켓 LGA1155
meiza에 플레이 마켓을 설치하는 방법