설치 매뉴얼
로그프레소 수집 설정
이 문서를 참고해 수집기를 추가하세요. 기본 설치되는 대시보드 및 데이터셋은 이름이 TMS_SNIPER로 시작하는 테이블을 참조합니다.
다음은 수집기 설정 중 필수 입력 항목입니다.
- 이름: 수집기를 식별할 고유한 이름 입력
- 주기: 60초
- 적재 위치/수집 위치: 로그프레소 플랫폼 구성에 따라 적합한 노드 선택
- 수집 모델:
SNIPER TMS Plus선택 - 테이블:
TMS_SNIPER로 시작하는 테이블 이름 입력 - 원격지 IP: 로그를 전송하는 Syslog 클라이언트의 IP 주소. 일반적으로 SNIPER TMS Plus 서버의 IP 주소
접속 프로파일 설정
차단연동 및 확장 명령어 기능 사용 시 다음 단락을 참고하여 설정해주세요. 접속프로파일 설정은 이 문서를 참고해 접속 프로파일을 추가하세요.
다음은 접속 프로파일 설정 중 필수 입력 항목입니다.
- 이름: 접속 프로파일을 식별할 고유한 이름
- 식별자: 로그프레소 쿼리 등에서 사용할 접속 프로파일의 고유 식별자
- 유형:
SNIPER TMS-Plus선택 - 엔드포인트: SNIPER TMS Plus 의 API 엔드포인트를 https://IP:PORT 형식으로 입력
- API 접근 키: SNIPER TMS Plus 연동을 위한 API 접근 키
- API 서명: SNIPER TMS Plus 연동을 위한 API 서명
Note
API 접근 키와 API 서명 값은 제조사(WINS)를 통해 발급 방법을 확인하세요.
차단 연동 설정
실시간 탐지 또는 배치 탐지 시나리오를 이용해 탐지된 공격자의 IP 주소를 차단하도록 SNIPER TMS Plus와 연동하려면 이 문서를 참고해 차단 연동을 설정하세요.
다음은 차단 연동을 위한 필수 입력 항목입니다.
- 이름: 차단 연동을 식별할 고유 이름
- 차단 연동 모델:
SNIPER TMS-Plus 동기화선택 - 접속 프로파일: 미리 설정해 둔
SNIPER TMS-Plus유형의 접속 프로파일 선택 - 주소 그룹: 차단할 IP 주소 정보가 기록되는 주소 그룹 선택 또는 생성
- 장비 IP:
- 쉼표로 구분된 배포대상 장비IP 목록을 입력합니다.
- 미지정 시 SNIPER TMS Plus 에 등록된 모든 장비에 배포합니다.
- 차단 사유: 차단 등록 시 설명에 들어갈 텍스트를 입력합니다. (최대 40자, 기본값: Logpresso)
- 동기화 주기: 선택한 주소 그룹과 SNIPER TMS Plus 간의 동기화 주기를 설정합니다. (단위: 초, 기본값:60)
- 최대 동기화 주소 개수: 동기화할 주소의 최대 개수를 설정합니다. (최대: 100,000건, 기본값: 100,000)
Note
SNIPER TMS Plus의 차단연동 방식은 주기적으로 주소그룹 IP와 동기화하는 방식입니다.
차단 기간 설정이 필요한 경우, 주소 그룹의 "만료 시각" 기능을 활용하세요.
차단 기간 설정이 필요한 경우, 주소 그룹의 "만료 시각" 기능을 활용하세요.
이제 로그프레소의 주소 그룹에 IP 주소를 추가하면 SNIPER TMS Plus 장비의 차단목록에 동기화되는 것을 확인할 수 있습니다.
탐지 시나리오에서 위협 탐지 시 자동으로 주소 그룹에 공격자 IP 주소를 추가하도록 설정함으로써 방화벽까지 즉시 위협 IP 차단 조치를 완료할 수 있습니다.


