Syslog 알림

기업에 따라서 잠재적인 위협과 보안 인시던트에 관한 로그를 수집하는 데 SIEM(Security Information and Event Management)을 사용하는 경우도 있습니다. Tenable Identity Exposure에서 Active Directory와 관련한 보안 정보를 SIEM Syslog 서버로 푸시하여 알림 메커니즘을 개선할 수 있습니다.

  1. Tenable Identity Exposure에서 시스템 > 구성 > Syslog를 클릭합니다.

  2. 오른쪽에 있는 Syslog 알림 추가 버튼을 클릭합니다.

    Syslog 알림 추가 창이 표시됩니다.

  3. 기본 정보 섹션 아래에 다음과 같은 정보를 입력합니다.

    • 네트워크가 Secure Relay를 사용하는 경우: Relay 상자에서 화살표를 클릭하여 드롭다운 목록에서 SIEM과 통신할 Relay를 선택합니다.

    • 수집기 IP 주소 또는 호스트 이름 상자에 알림을 받을 서버 IP 또는 호스트 이름을 입력합니다.

    • 포트 상자에 수집기의 포트 번호를 입력합니다.

    • 프로토콜 상자에서 화살표를 클릭하여 UDP 또는 TCP를 선택합니다.

      • TCP를 선택하는 경우, TLS 보안 프로토콜에서 로그를 암호화할 수 있게 하려면 TLS 옵션 확인란을 선택합니다.

    • 설명 상자에 해당 수집기에 대한 간략한 설명을 입력합니다.

  1. 알림 트리거 드롭다운 목록에서 다음 중 하나를 선택합니다.

    • 변경 시: 사용자가 지정한 이벤트가 발생할 때마다 Tenable Identity Exposure에서 알림을 보냅니다.

    • 각 일탈에 대해: Tenable Identity Exposure에서 각각의 일탈 IoE 탐지마다 알림을 보냅니다.

    • 각 공격에 대해: Tenable Identity Exposure에서 각각의 일탈 IoA 탐지마다 알림을 보냅니다.

    • 각 상태 검사 상태 변경에 대해: Tenable Identity Exposure에서 상태 검사 상태가 변경될 때마다 알림을 보냅니다.

  1. 프로필 상자에서 이 Syslog 알림에 사용할 프로필을 클릭하여 선택합니다(해당하는 경우).

  2. 최초 분석 단계에서 일탈 탐지될 때 알림 보내기: 다음 중 하나를 수행(해당하는 경우):

    • 확인란 선택: 시스템 재부팅이 알림을 트리거하는 경우 Tenable Identity Exposure에서 대량의 이메일 알림을 보냅니다.

    • 확인란 선택 취소: 시스템 재부팅이 알림을 트리거하는 경우 Tenable Identity Exposure에서 이메일 알림을 보내지 않습니다.

  1. 심각도 임계값: 드롭다운 상자 화살표를 클릭하여 Tenable Identity Exposure에서 알림을 보낼 임계값을 선택합니다(해당하는 경우).

  2. 이전에 선택한 알림 트리거에 따라:

    • 이벤트 변경: 변경 시 알림을 트리거하도록 설정한 경우, 이벤트 알림을 트리거할 식을 입력합니다.

      아이콘을 클릭하여 검색 마법사를 사용하거나 검색 상자에 쿼리 식을 입력한 다음 유효성 검사를 클릭할 수 있습니다. 자세한 내용은 Trail Flow 쿼리 사용자 지정을 참조하십시오.

    • 위험 노출 지표: 각 일탈에 대해 알림을 트리거하도록 설정한 경우, 각 심각도 옆에 있는 화살표를 클릭하여 위험 노출 지표 목록을 펼친 다음 알림을 보낼 항목을 선택합니다.

    • 공격 지표: 각 공격에 대해 알림을 트리거하도록 설정한 경우, 각 심각도 옆에 있는 화살표를 클릭하여 공격 지표 목록을 펼친 다음 알림을 보낼 항목을 선택합니다.

    • 상태 검사 상태 변경: 상태 검사를 클릭하여 알림을 트리거할 상태 검사 유형을 선택한 다음, 선택 항목 필터링을 클릭합니다.

  1. 도메인 상자를 클릭하여 Tenable Identity Exposure에서 알림을 보낼 도메인을 선택합니다.

    포리스트 및 도메인 창이 표시됩니다.

    1. 포리스트 또는 도메인을 선택합니다.

    2. 선택 항목 필터링을 클릭합니다.

  1. 구성 테스트를 클릭합니다.

    메시지가 표시되어 Tenable Identity Exposure에서 서버에 Syslog 알림을 보냈다고 확인합니다.

  2. 추가를 클릭합니다.

    메시지가 표시되어 Tenable Identity Exposure에서 Syslog 알림을 만들었다고 확인합니다.

  1. Tenable Identity Exposure에서 시스템 > 구성 > Syslog를 클릭합니다.

  2. Syslog 알림 목록에서 수정하려는 항목을 가리킨 다음 줄 끝의 아이콘을 클릭합니다.

    Syslog 알림 편집 창이 표시됩니다.

  3. 이전 절차 "새 Syslog 알림을 추가하는 방법"에 설명된 대로 필요한 부분을 수정합니다.

  4. 편집을 클릭합니다.

    메시지가 표시되어 Tenable Identity Exposure에서 알림을 업데이트했음을 확인합니다.

  1. Tenable Identity Exposure에서 시스템 > 구성 > Syslog를 클릭합니다.

  2. Syslog 알림 목록에서 삭제하려는 항목을 가리킨 다음 줄 끝의 아이콘을 클릭합니다.

    메시지가 표시되어 삭제할 것인지 확인을 요청합니다.

  3. 삭제를 클릭합니다.

    메시지가 표시되어 Tenable Identity Exposure에서 알림을 삭제했음을 확인합니다.

참고 항목