Deep Security

Deep Security 설정

로그프레소 소나를 Deep Security와 연동하려면 보안 정책에 따라 탐지된 이벤트를 로그프레소 소나로 전송하도록 설정하는 과정이 필요합니다.

1. Syslog 전송 설정: 로그프레소 소나로 Syslog 메시지 전송에 필요한 설정
2. 정책 설정: 정책별 로그 포워딩 설정

Syslog 전송 설정

1. TrendMicro Cloud One 웹 콘솔에 로그인하세요.

   

2. Administration > System Settings > Event Forwarding에서 TrendMicro Cloud One 로그를 수신할 서버를 설정할 수 있습니다. New...를 클릭해 로그프레소 소나를 SIEM으로 추가하세요.

   

3. 다음과 같은 새 창이 나타나면 General 화면에서 TrendMicro Cloud One 로그를 수신할 로그프레소 소나의 IP 주소와 포트 번호, 수신할 로그 포맷을 입력하세요.

   • Server Name: 로그프레소 소나의 로그 수신 IP 주소 또는 FQDN
   • Server Port: 로그프레소 소나의 Syslog 수신 포트
   • Event Format: Common Event Format 선택
   • Transport: TLS 선택

4. Credentials 화면에 TLS 암호화 전송에 필요한 클라이언트 인증서 정보를 입력한 다음, 우측 하단에 있는 OK를 클릭하세요.

   

정책 설정

Policies에서 이벤트 포워딩을 설정해야 해당 이벤트 로그를 수신할 수 있습니다.

1. Policies에서 이벤트를 수신할 정책을 선택한 다음 **Details…**를 클릭하세요.

   

2. Overview > General에서 정책이 원하는 대로 설정되어 있는 지 확인하세요.

   

   • Inheritance에서 Parent Policy를 확인하세요. Parent Policy는 하위 정책의 기본 설정이 됩니다.
   • Modules에서 적용할 정책 모듈을 선택(On/OFF)하세요.

3. Overview > Computer(s) Using This Policy에서 정책 적용 대상 장비/서버 목록을 확인하세요.

   

4. Settings > Event Forwarding에서 이벤트 전송 주기를 지정하고, 로그프레소 소나로 이벤트를 전송하도록 설정한 다음 Save를 클릭하세요.

   

   • Event Forwarding Frequency: Syslog 메시지 전송 주기
   • Event Forwarding Configuration: 이전 단계에서 로그프레소 소나를 로그 수신 대상으로 지정한 Syslog 설정 선택

로그프레소 수집 설정

이 문서를 참고해 수집기를 추가하세요. 기본 설치되는 대시보드 및 데이터셋은 이름이 CWPP_DEEP_SECURITY로 시작하는 테이블을 참조합니다.

다음은 수집기 설정 중 필수 입력 항목입니다.

• 이름: 수집기를 식별할 고유한 이름
• 적재 위치/수집 위치: 로그프레소 플랫폼 구성에 따라 적합한 노드 선택
• 수집 모델: Deep Security 선택
• 테이블: CWPP_DEEP_SECURITY으로 시작하는 테이블 이름 입력
• 원격지 IP: 로그를 전송하는 Syslog 클라이언트의 IP 주소. 일반적으로 Deep Security 관리 서버의 IP 주소

Deep Security 제품 동작 및 로그 전송을 테스트하려면 다음 링크를 참조하여 각 이벤트 유형별로 로그를 발생시켜 전송하세요: Test/trigger events of Cloud One - Workload Security modules for Linux.