BLUEMAX NGF

구독
다운로드 482
업데이트 2025. 3. 16.

설치 매뉴얼

블루맥스 설정

NGF 관리자 계정 생성

  1. 블루맥스 NGF 장비에 로그프레소 접속 전용 관리자 계정을 생성하세요.

    블루맥스 NGF 관리자 계정 추가

    • ID: 반드시 영문자와 숫자를 혼용해야 합니다.
    • 접근 등급: Level 2를 선택하세요. Level 2는 시스템 종료나 재시작을 제외한 관리 기능 (읽기/쓰기) 수행을 의미합니다.

API 키 생성

  1. 생성한 로그프레소 접속 전용 관리자 계정으로 로그인한 다음, 좌측 메뉴에서 접속한 계정 ID를 클릭하세요.

  2. 관리자 편집 > 고급 설정에서 외부 클라이언트 연동을 클릭해 ON으로 변경한 다음, 설정 버튼을 클릭하세요.

    블루맥스 NGF 외부 클라이언트 연동

  3. 외부 클라이언트 연동 창에서 API 키를 발급할 수 있습니다. 재발급 버튼을 클릭해 Client IDClient Secret을 생성하고, 이 정보를 안전한 곳에 보관하세요.

    블루맥스 NGF API 키 발급

  4. 확인 버튼을 클릭하여 관리자 편집 창을 닫고, 로그아웃하세요.

Note
로그프레소가 REST API를 사용하는 동안 logpresso1 관리자 계정은 웹 브라우저로 블루맥스에 접속할 수 없습니다.

주소 그룹 추가

로그프레소 소나가 위협이나 이상행위를 탐지했을 때 블루맥스 NGF와 연동하는 방식은 두 가지입니다.

  • 블랙리스트 동기화
  • 주소 그룹 동기화

블랙리스트 동기화 방식으로 연동하려면 이 단계를 생략하고, 주소 그룹 동기화 방식으로 연동하려면 이 단계를 수행하세요.

  1. Object/Security Profile에서 객체 설정 메뉴를 클릭하세요

  2. 주소 객체에 속한 그룹 객체를 클릭하고, 상단 도구 모음에서 추가 버튼을 클릭하세요.

  3. 그룹 추가 창에서 필요한 속성을 입력한 다음 확인 버튼을 클릭하세요.

    블루맥스 NGF 주소 그룹 추가

    • 그룹 이름: 주소 그룹의 고유 이름(예: Logpresso)
    • Zone: 외부망 선택
    • 그룹에 포함된 객체: 그룹을 생성하려면 최소한 1개의 객체가 필요합니다. 차단해도 문제없는 임의의 호스트 객체를 하나 추가하세요.

로그프레소 설정

접속 프로파일 설정

이 문서를 참고해 접속 프로파일을 추가하세요.

로그프레소 블루맥스 NGF 접속 프로파일 설정

다음은 접속 프로파일 설정 중 필수 입력 항목입니다.

  • 이름: 접속 프로파일을 식별할 고유한 이름

  • 식별자: 로그프레소 쿼리 등에서 사용할 접속 프로파일의 고유 식별자

  • 유형: 블루맥스 NGF 선택

  • 엔드포인트: 블루맥스 NGF의 API 엔드포인트를 https://IP 형식으로 입력

  • 클라이언트 ID: 블루맥스 NGF에서 생성한 API 키의 클라이언트 ID 문자열 입력

  • 클라이언트 시크릿: 블루맥스 NGF에서 생성한 API 키의 클라이언트 시크릿 문자열 입력

  • 유휴 타임아웃: 5분. 로그프레소가 블루맥스 NGF 장비와 연결한 세션이 일정 시간 이상 사용되지 않으면 자동 로그아웃을 원하는 경우에 설정하세요.

접속 프로파일 설정이 완료되면 쿼리나 플레이북에서 블루맥스 NGF와 관련된 확장 명령어를 사용할 수 있습니다.

차단 연동 설정

실시간 탐지 또는 배치 탐지 시나리오를 이용해 탐지된 공격자의 IP 주소를 차단하도록 블루맥스 NGF와 연동하려면 이 문서를 참고해 차단 연동을 설정하세요.

로그프레소 블루맥스 NGF 차단 연동 설정

다음은 차단 연동을 위한 필수 입력 항목입니다.

  • 이름: 차단 연동을 식별할 고유 이름
  • 차단 연동 모델: 포티게이트 선택
  • 접속 프로파일: 미리 설정해둔 접속 프로파일 선택
  • 주소 그룹: 차단할 IP 주소 정보가 기록되는 주소 그룹 선택 또는 생성
  • 그룹 객체 이름
    • 미지정 시 블루맥스 NGF의 블랙리스트와 동기화합니다.
    • 블루맥스 NGF에서 설정한 주소 그룹 객체의 이름(예: Logpresso)을 입력하면 그룹 객체와 동기화합니다.
  • 차단 방향: IN, OUT, BOTH 중에서 선택(기본값: BOTH)
  • 차단 예외 IP
    • 실수로 중요 자산의 IP 주소가 차단되어 장애가 발생하지 있도록 동기화에서 배제할 IP 주소를 쉼표로 구분하여 입력
    • 최소한 로그프레소와 동기화되는 방화벽 관리 IP 주소를 설정하는 것을 권장
  • 차단 기간: IP 주소를 차단할 기간(단위: 일, 기본값: 365일)

이제 로그프레소의 IP 블랙리스트에 IP 주소를 추가하면 블루맥스 NGF 장비의 블랙리스트 정책이나 그룹 객체에 동기화되는 것을 확인할 수 있습니다.

그룹 객체 이름을 설정한 경우 블루맥스 NGF가 실제 IP를 차단하도록 하려면 Logpresso 그룹 객체를 이용하여 방화벽 차단 규칙을 설정하시면 됩니다.

탐지 시나리오에서 위협 탐지 시 자동으로 IP 블랙리스트에 공격자 IP 주소를 추가하도록 설정하거나, 티켓 조회 시 출발지 IP나 목적지 IP를 클릭하여 IP 블랙리스트에 추가함으로써 방화벽까지 즉시 위협 IP 차단 조치를 완료할 수 있습니다.

수집 설정

이 문서를 참고해 수집기를 추가하세요. 기본 설치되는 대시보드 및 데이터셋은 이름이 FW_BLUEMAX로 시작하는 테이블을 참조합니다.

블루맥스 NGF 로그 수집기 설정

다음은 수집기 설정 중 필수 입력 항목입니다.

  • 이름: 수집기를 식별할 고유한 이름 입력
  • 주기: 60초
  • 적재 위치/수집 위치: 로그프레소 플랫폼 구성에 따라 적합한 노드 선택
  • 수집 모델: 블루맥스 NFG 선택
  • 테이블: FW_BLUEMAX로 시작하는 테이블 이름 입력
  • 원격지 IP: 로그를 전송하는 Syslog 클라이언트의 IP 주소. 일반적으로 블루맥스 NFG의 IP 주소

수집기 설정을 완료하면 블루맥스 NGF에서 로그 수집이 시작되고, 대시보드에서 현황을 확인할 수 있습니다.