설치 매뉴얼
블루맥스 NGF 관리자 계정 생성
먼저 블루맥스 NGF 장비에 로그프레소 접속 전용 관리자 계정을 생성합니다. 블루맥스 NGF의 관리자 계정 이름은 필수적으로 영문자와 숫자를 혼용해야 합니다. Level 2 권한은 시스템 종료나 재시작을 제외한 관리 기능 (읽기/쓰기) 수행을 의미합니다. 관리자 계정 추가 후 하단의 적용 버튼을 클릭해야 장비에 실제로 반영됩니다.
이제 logpresso1 관리자 계정으로 로그인하여 왼쪽 대메뉴의 관리자 아이디를 클릭합니다. 개인정보 설정 링크를 클릭하면 관리자 편집 모달이 열리는데, 고급 설정 탭에서 외부 클라이언트 연동을 활성화 할 수 있습니다.
외부 클라이언트 연동을 활성화 한 상태에서 설정 버튼을 클릭하면 API 키를 발급할 수 있습니다. 재발급 버튼을 클릭하여 Client ID와 Client Secret을 생성하고, 이 정보를 기억해둡니다. 이제 확인 버튼을 클릭하여 관리자 편집 모달을 닫습니다.
로그프레소가 REST API를 사용하는 동안 logpresso1 관리자 계정은 웹 브라우저에서 접속할 수 없는 상태가 되므로 유의하세요.
블루맥스 NGF 주소 그룹 객체 추가
블루맥스 NGF의 블랙리스트 정책을 사용하지 않고 주소 그룹에 동기화하려는 경우에 이 단계를 수행합니다.
블루맥스 NGF의 Object/Security Profile 대메뉴에서 객체 설정 메뉴를 클릭합니다. 주소 객체에 속한 그룹 객체를 클릭하고, 상단 툴바의 추가 버튼을 클릭하면 새 그룹을 추가할 수 있습니다. Zone은 외부망을 선택하고, Logpresso라는 이름으로 그룹을 생성합니다. 그룹을 생성하려면 최소한 1개의 호스트가 필요하므로, 차단해도 문제없는 임의의 호스트 객체를 하나 추가하시기 바랍니다.
로그프레소 접속 프로파일 설정
이제 로그프레소의 접속 프로파일 메뉴로 이동하여, 블루맥스 NGF 접속 프로파일을 생성합니다. 엔드포인트는 https://IP 형태로 방화벽 관리 콘솔 접속 URL을 입력합니다. 클라이언트 ID와 클라이언트 시크릿은 이전 단계의 외부 클라이언트 연동 설정에서 만들었던 Client ID와 Client Secret을 각각 입력합니다. 유휴 타임아웃은 로그프레소가 블루맥스 NGF 장비와 연결한 세션이 일정 시간 이상 사용되지 않으면 자동 로그아웃을 원하는 경우에 설정합니다.
접속 프로파일 설정이 완료되면 쿼리나 플레이북에서 블루맥스 NGF와 관련된 확장 명령어를 사용할 수 있습니다.
로그프레소 차단 연동 설정
블루맥스 NGF 방화벽의 주소 그룹 객체에 자동으로 IP 주소를 동기화하려면, 로그프레소 소나 혹은 마에스트로의 차단 연동 설정을 추가로 수행해야 합니다.
- 차단 연동 모델:
블루맥스 NGF선택 - 프로파일: 차단 연동 대상 블루맥스 NGF 장비의 접속 프로파일을 선택
- IP 블랙리스트: 블루맥스 NGF 장비와 동기화 할 IP 블랙리스트 선택
- 그룹 객체 이름
- 별도로 설정하지 않으면 블루맥스 NGF의 블랙리스트 정책에 동기화합니다.
- 그룹 객체에 동기화하려면 이전의 블루맥스 NGF 설정 단계에서 만든 방화벽 그룹 객체 이름
Logpresso를 입력합니다.
- 차단 예외 IP
- 실수로 중요 자산의 IP 주소가 차단되어 장애가 발생하지 있도록 동기화에서 배제할 IP 주소를 지정합니다.
- 최소한 로그프레소와 동기화되는 방화벽 관리 IP 주소를 설정하는 것을 권장합니다.
- 차단 기간
- 블루맥스 블랙리스트 등록 시 사용할 만료 기간을 지정합니다. 미지정 시 기본값은 1년입니다.
이제 로그프레소의 IP 블랙리스트에 IP 주소를 추가하면 블루맥스 NGF 장비의 블랙리스트 정책이나 그룹 객체에 동기화되는 것을 확인할 수 있습니다.
그룹 객체 이름을 설정한 경우 블루맥스 NGF가 실제 IP를 차단하도록 하려면 Logpresso 그룹 객체를 이용하여 방화벽 차단 규칙을 설정하시면 됩니다.
탐지 시나리오에서 위협 탐지 시 자동으로 IP 블랙리스트에 공격자 IP 주소를 추가하도록 설정하거나, 티켓 조회 시 출발지 IP나 목적지 IP를 클릭하여 IP 블랙리스트에 추가함으로써 방화벽까지 즉시 위협 IP 차단 조치를 완료할 수 있습니다.