Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

JSA 이벤트 및 플로우

JSA의 핵심 기능은 플로우와 이벤트를 모니터링하여 네트워크 보안을 관리하는 것입니다.

이벤트 데이터와 플로우 데이터 간의 중요한 차이점은 일반적으로 사용자 로그인 또는 VPN 연결과 같은 특정 동작의 로그인 이벤트가 특정 시간에 발생하고 해당 시간에 이벤트가 기록된다는 것입니다. 플로우는 세션 내 활동에 따라 초, 분, 시간 또는 며칠 동안 지속될 수 있는 네트워크 활동 기록입니다. 예를 들어, 웹 요청은 이미지, 광고, 비디오와 같은 여러 파일을 5~10초 동안 다운로드하거나 Netflix 영화를 시청한 사용자가 최대 몇 시간 동안 지속되는 네트워크 세션에 있을 수 있습니다. 플로우는 두 호스트 간의 네트워크 활동 기록입니다.

이벤트

JSA 는 네트워크에 있는 로그 소스의 이벤트 로그를 허용합니다. 로그 소스는 이벤트 로그를 생성하는 방화벽 또는 침입 방지 시스템(IPS)과 같은 데이터 소스입니다.

JSA 는 syslog, syslog-tcp 및 SNMP와 같은 프로토콜을 사용하여 로그 소스의 이벤트를 허용합니다. 또한 JSA 는 SCP, SFTP, FTP, JDBC, Check Point OPSEC 및 SMB/CIFS와 같은 프로토콜을 사용하여 이벤트를 검색하기 위해 아웃바운드 연결을 설정할 수도 있습니다.

이벤트 파이프라인

JSA 콘솔에서 이벤트 데이터를 보고 사용하기 전에 로그 소스에서 이벤트를 수집한 다음 이벤트 프로세서에 의해 처리됩니다. Jsa 올인원 어플라이언스는 JSA 콘솔의 역할을 수행할 뿐만 아니라 이벤트 수집기 및 이벤트 프로세서로 기능합니다.

JSA 는 전용 이벤트 컬렉터 어플라이언스를 사용하거나 올인원 어플라이언스에서 이벤트 수집 서비스 및 이벤트 처리 서비스가 실행되는 올인원 어플라이언스를 사용하여 이벤트를 수집할 수 있습니다.

다음 다이어그램은 이벤트 파이프라인의 레이어를 보여줍니다.

그림 1: 이벤트 파이프라인 Event Pipeline

  • 이벤트 수집 - 이벤트 수집기 구성 요소는 다음 기능을 완료합니다.

    • 프로토콜

      Syslog, JDBC, OPSEC, 로그 파일 및 SNMP와 같은 로그 소스 프로토콜에서 데이터를 수집합니다.

    • 라이선스 제한

      시스템에 유입되는 이벤트 수를 모니터링하여 입력 대기열 및 EPS 라이선스를 관리합니다.

    • 구문 분석

      소스 디바이스에서 원시 이벤트를 가져와 필드를 JSA 사용 가능한 형식으로 구문 분석합니다.

    • 로그 소스 트래픽 분석 및 자동 검색

      자동 검색을 지원하는 가능한 DSM에 구문 분석 및 정규화된 이벤트 데이터를 적용합니다.

    • 결합

      이벤트는 구문 분석된 다음 이벤트 전반의 공통 특성을 기반으로 결합됩니다.

    • 이벤트 포워딩

      시스템에 라우팅 규칙을 적용하여 오프사이트 대상, 외부 Syslog 시스템, JSON 시스템 및 기타 SIEM으로 데이터를 포워딩합니다.

    이벤트 컬렉터가 방화벽과 같은 로그 소스로부터 이벤트를 수신하면, 이벤트는 처리를 위해 입력 대기열에 배치됩니다.

    대기열 크기는 사용되는 프로토콜 또는 방법에 따라 다르며, 이러한 대기열에서 이벤트는 구문 분석 및 정규화됩니다. 표준화 프로세스에는 원시 데이터를 JSA 가 사용할 수 있는 IP 주소와 같은 필드가 있는 형식으로 전환하는 것이 포함됩니다.

    JSA 는 헤더에 포함된 소스 IP 주소 또는 호스트 이름으로 알려진 로그 소스를 인식합니다.

    JSA 는 알려진 로그 소스의 이벤트를 구문 분석하고 기록으로 결합합니다. 과거에 감지되지 않은 새 또는 알 수 없는 로그 소스의 이벤트가 트래픽 분석(자동 탐지) 엔진으로 리디렉션됩니다.

    새로운 로그 소스가 발견되면 로그 소스를 추가하는 구성 요청 메시지가 JSA 콘솔로 전송됩니다. 자동 탐지가 비활성화되어 있거나 로그 소스 라이선스 제한을 초과하면 새 로그 소스가 추가되지 않습니다.

  • 이벤트 처리 - 이벤트 프로세서 구성 요소는 다음 기능을 완료합니다.

    • 사용자 정의 규칙 엔진(CRE)

      사용자 지정 규칙 엔진(CRE)은 JSA에서 수신한 이벤트를 처리하고 정의된 규칙과 비교하여 시간이 지남에 따라 인시던트와 관련된 시스템을 추적하여 사용자에게 알림을 생성할 책임이 있습니다. 이벤트가 규칙과 일치하면 특정 이벤트가 규칙을 트리거했다는 알림이 이벤트 프로세서 에서 JSA 콘솔 의 치안 판사로 전송됩니다. JSA 콘솔 의 치안 판사 구성 요소는 공격을 생성하고 관리합니다. 규칙이 트리거되면 알림, syslog, SNMP, 이메일 메시지, 새로운 이벤트 및 공격과 같은 응답 또는 작업이 생성됩니다.

    • 스트리밍

      사용자가 로그 활동 탭에서 실시간(스트리밍)의 이벤트를 볼 때 실시간 이벤트 데이터를 JSA 콘솔로 보냅니다. 스트리밍된 이벤트는 데이터베이스에서 제공되지 않습니다.

    • 이벤트 스토리지(Ariel)

      데이터가 분 단위로 저장되는 이벤트에 대한 타임 시리즈 데이터베이스. 이벤트가 처리되는 위치에 데이터가 저장됩니다.

    이벤트 컬렉터는 일반화된 이벤트 데이터를 이벤트 프로세서에 전송하며, 여기서 이벤트는 사용자 정의 규칙 엔진(CRE)에 의해 처리됩니다. 이벤트가 JSA 콘솔에 미리 정의된 CRE 사용자 지정 규칙과 일치하는 경우, 이벤트 프로세서는 규칙 응답을 위해 정의된 작업을 실행합니다.

  • JSA 콘솔의 치안 판사 - 치안 판사 구성 요소는 다음 기능을 완료합니다.

    • 공격 규칙

      이메일 알림 생성과 같은 범죄를 모니터링하고 행동합니다.

    • 공격 관리

      공격 정보를 업데이트하고, 공격의 상태를 변경하며, 공격 탭에서 공격 정보에 대한 사용자 액세스를 제공합니다.

    • 공격 저장

      공격 데이터를 Postgres 데이터베이스에 기록합니다.

    치안 판사 처리 코어(MPC)는 여러 이벤트 프로세서 구성 요소의 이벤트 알림과 공격 상관관계를 파악할 책임이 있습니다. JSA 콘솔 또는 올인원 어플라이언스만 치안 판사 구성 요소를 가지고 있습니다.

흐름

JSA 플로우는 IP 주소, 포트, 바이트 및 패킷 수 및 기타 데이터를 플로우 레코드로 정규화하여 네트워크 활동을 나타내며, 이는 두 호스트 간의 네트워크 세션에 대한 기록입니다. 플로우 정보를 수집하고 생성하는 JSA 의 구성 요소는 플로우 프로세서라고 합니다.

Jsa 플로우 수집은 전체 패킷 캡처가 아닙니다. 여러 시간 간격(분)을 아우르는 네트워크 세션의 경우 플로우 파이프라인은 각 분 말에 바이트 및 패킷과 같은 메트릭에 대한 현재 데이터를 사용하여 기록을 보고합니다. JSA 에서 동일한 "첫 번째 패킷 시간"은 같지만 시간이 지남에 따라 "마지막 패킷 시간" 값이 증가하여 여러 기록(분당)을 볼 수 있습니다.

플로우 프로세서가 고유한 소스 IP 주소, 대상 IP 주소, 소스 포트, 대상 포트 및 802.1q VLAN 필드를 포함한 기타 특정 프로토콜 옵션이 있는 첫 번째 패킷을 감지하면 플로우가 시작됩니다.

각 새 패킷이 평가됩니다. 바이트 및 패킷 수는 플로우 기록의 통계 카운터에 추가됩니다. 간격이 끝나면 플로우의 상태 레코드가 플로우 프로세서 로 전송되고 플로우에 대한 통계 카운터가 재설정됩니다. 플로우는 구성된 시간 내에 플로우에 대한 활동이 감지되지 않을 때 종료됩니다.

플로우 프로세서 는 다음 내부 또는 외부 소스에서 플로우를 처리할 수 있습니다.

  • 외부 소스는 netflow, sflow, jflow와 같은 플로우 소스입니다. 외부 소스는 전용 플로우 프로세서 또는 플로우 프로세서 어플라이언스로 전송할 수 있습니다. 모든 패킷이 플로우를 구축하기 위해 처리되지 않기 때문에 외부 소스는 CPU 처리를 많이 필요로 하지 않습니다. 이 구성에서는 플로우 데이터를 수신하고 생성하는 전용 플로 우 프로세서와 플로우 프로세서 를 가질 수 있습니다. 소규모 환경(50Mbps 미만)에서 올인원 어플라이언스는 모든 데이터 처리를 처리할 수 있습니다.

  • 플로우 프로세서는 SPAN 포트 또는 네트워크 TAP에 연결하여 내부 플로우를 수집합니다. JSA 플로우 프로세서는 캡처 카드의 전체 패킷을 패킷 캡처 어플라이언스로 전달할 수 있지만 전체 패킷 자체를 캡처하지는 않습니다.

다음 다이어그램은 네트워크에서 플로우를 수집하는 옵션을 보여줍니다.

그림 2: JSA 플로우 JSA Flows

플로우 파이프라인

플로우 프로세서는 SPAN, TTAP 및 모니터링 세션과 같은 모니터 포트에서 또는 netflow, sflow, jflow와 같은 외부 플로우 소스에서 수집되는 원시 패킷에서 플로우 데이터를 생성합니다. 그런 다음 이 데이터는 JSA flow 형식으로 변환되어 처리를 위해 파이프라인 아래로 전송됩니다.

플로우 프로세서는 다음 기능을 실행합니다.

  • 플로우 중복

    플로우 중복은 여러 플로우 프로세서가 Flow 프로세서 어플라이언스로 데이터를 제공할 때 중복 플로우를 제거하는 프로세스입니다.

  • 비대칭 재조합

    데이터가 비대칭으로 제공될 때 각 플로우의 양면을 결합할 책임이 있습니다. 이 프로세스는 각 측에서 플로우를 인식하고 이를 하나의 레코드로 결합할 수 있습니다. 그러나 때로는 플로우의 한 쪽만 존재합니다.

  • 라이선스 제한

    입력 대기열 및 라이선스를 관리하기 위해 시스템에 유입되는 플로우 수를 모니터링합니다.

  • 전달

    외부 대상, 외부 Syslog 시스템, JSON 시스템 및 기타 SIEM에 플로우 데이터를 전송하는 등의 시스템에 라우팅 규칙을 적용합니다.

플로우 데이터는 사용자 지정 규칙 엔진(CRE)을 통과하며 구성된 규칙과 상관분석되며 이 상관관계를 기반으로 공격을 생성할 수 있습니다. 공격 탭에서 공격을 볼 수 있습니다 .

관련 문서