Cisco Cisco Firepower Management Center 2000 安装指南
1-12
FireSIGHT 시스템 설치 가이드
1 장 FireSIGHT 시스템 소개
FireSIGHT 시스템 라이센싱
파일 제어는 액세스 제어에 통합된 정책 기반 기능으로, 관리되는 기기가 특정 애플리케이션 프로
토콜에서 특정 유형의 파일을 업로드(전송) 또는 다운로드(수신)하는 사용자를 감지 및 차단할 수
있습니다.
토콜에서 특정 유형의 파일을 업로드(전송) 또는 다운로드(수신)하는 사용자를 감지 및 차단할 수
있습니다.
네트워크 기반 AMP는 시스템에서 네트워크 트래픽을 검사하여 여러 유형의 파일에서 악성코드를 찾
아냅니다. 어플라이언스는 감지된 파일을 하드 드라이브 또는 악성코드 스토리지 팩(일부 모델)에 저
장하여 추가 분석을 수행할 수 있습니다.
아냅니다. 어플라이언스는 감지된 파일을 하드 드라이브 또는 악성코드 스토리지 팩(일부 모델)에 저
장하여 추가 분석을 수행할 수 있습니다.
감지된 파일의 저장 여부와 상관없이, 파일을 Cisco 클라우드에 제출하여 파일의 SHA-256 해시값
으로 알려진 속성 조회를 간단히 수행할 수 있습니다. 또한 파일을 위협 스코어를 생성하는 동적 분
석으로 제출할 수도 있습니다. 이 상황인식 정보를 바탕으로 시스템을 구성하여 특정 파일을 차단
또는 허용할 수 있습니다.
으로 알려진 속성 조회를 간단히 수행할 수 있습니다. 또한 파일을 위협 스코어를 생성하는 동적 분
석으로 제출할 수도 있습니다. 이 상황인식 정보를 바탕으로 시스템을 구성하여 특정 파일을 차단
또는 허용할 수 있습니다.
FireAMP는 첨단 악성코드 침투, APT(Advanced Persistent Threat), 표적 공격을 발견, 이해 및 차단
하는 Cisco의 엔터프라이즈급 고급 악성코드 분석 및 보호 솔루션입니다. 조직이 FireAMP에 가입
된 경우 개별 사용자는 컴퓨터와 모바일 기기(엔드포인트라고도 함)에 FireAMPConnector를 설치
할 수 있습니다. 이와 같이 가벼운 에이전트는 Cisco 클라우드와 통신하며, Cisco 클라우드는 방어
센터와 통신합니다.
하는 Cisco의 엔터프라이즈급 고급 악성코드 분석 및 보호 솔루션입니다. 조직이 FireAMP에 가입
된 경우 개별 사용자는 컴퓨터와 모바일 기기(엔드포인트라고도 함)에 FireAMPConnector를 설치
할 수 있습니다. 이와 같이 가벼운 에이전트는 Cisco 클라우드와 통신하며, Cisco 클라우드는 방어
센터와 통신합니다.
방어 센터를 구성하여 클라우드에 연결한 다음에는 방어 센터 웹 인터페이스를 사용하여 조직의
엔드포인트에서 검사, 감지, 격리의 결과로 생성된 엔드포인트 기반 악성코드 이벤트를 확인할 수
있습니다. 방어 센터에서는 또한 FireAMP 데이터를 사용하여 호스트의 감염 지표를 생성 및 추적
하고 네트워크 파일 전파 흔적 분석을 표시합니다.
엔드포인트에서 검사, 감지, 격리의 결과로 생성된 엔드포인트 기반 악성코드 이벤트를 확인할 수
있습니다. 방어 센터에서는 또한 FireAMP 데이터를 사용하여 호스트의 감염 지표를 생성 및 추적
하고 네트워크 파일 전파 흔적 분석을 표시합니다.
네트워크 파일 전파 흔적 분석 기능은 네트워크에서 파일의 전송 경로를 추적합니다. 시스템에서
는 SHA-256 해시값을 사용하여 파일을 추적합니다. 각 파일에는 이와 관련하여 시간의 경과에 따
른 파일의 전송 과정과 파일에 대한 추가 정보의 시각적 표시가 포함된 전파 흔적 분석 맵이 있습
니다.
는 SHA-256 해시값을 사용하여 파일을 추적합니다. 각 파일에는 이와 관련하여 시간의 경과에 따
른 파일의 전송 과정과 파일에 대한 추가 정보의 시각적 표시가 포함된 전파 흔적 분석 맵이 있습
니다.
API(Application Programming Interface)
API를 사용하여 시스템과 상호 작용하는 몇 가지 방법이 있습니다.
•
eStreamer(Event Streamer)에서는 FireSIGHT 시스템 어플라이언스에서 맞춤 개발된 클라이언
트 애플리케이션으로 여러 종류의 이벤트 데이터를 스트리밍할 수 있습니다.
트 애플리케이션으로 여러 종류의 이벤트 데이터를 스트리밍할 수 있습니다.
•
데이터베이스 액세스 기능을 사용하면 JDBC SSL 연결을 지원하는 타사 클라이언트를 사용하
여 방어 센터의 여러 데이터베이스 테이블을 쿼리할 수 있습니다.
여 방어 센터의 여러 데이터베이스 테이블을 쿼리할 수 있습니다.
•
호스트 입력 기능은 스크립트 또는 명령행 파일을 사용하여 타사 소스에서 데이터를 가져오는
방법으로 네트워크 맵의 정보를 보강할 수 있습니다.
방법으로 네트워크 맵의 정보를 보강할 수 있습니다.
•
위협 요소 제거는 네트워크에서 특정 조건이 충족될 경우 방어 센터가 자동으로 시작하는 프
로그램입니다. 이 프로그램은 문제를 즉시 해결할 수 없을 때 공격을 자동으로 완화할 뿐만 아
니라 시스템이 조직의 보안 정책을 준수함을 보장할 수 있습니다.
로그램입니다. 이 프로그램은 문제를 즉시 해결할 수 없을 때 공격을 자동으로 완화할 뿐만 아
니라 시스템이 조직의 보안 정책을 준수함을 보장할 수 있습니다.
FireSIGHT 시스템 라이센싱
다양한 기능의 라이센스를 취득하여 조직에 최적의 FireSIGHT 시스템 구축을 만들 수 있습니다. 방
어 센터 자체와 여기에서 관리하는 기기의 라이센스를 관리하려면 방어 센터를 사용해야 합니다.
어 센터 자체와 여기에서 관리하는 기기의 라이센스를 관리하려면 방어 센터를 사용해야 합니다.
방어 센터의 초기 설정 과정에서 조직이 구매한 라이센스를 추가하는 것이 좋습니다. 그렇지 않을
경우 초기 설정 중 등록하는 기기는 방어 센터에 라이센스가 없는 상태로 추가됩니다. 초기 설정 과
정을 마친 다음 각 기기에서 라이센스를 개별적으로 활성화해야 합니다. 자세한 내용은
경우 초기 설정 중 등록하는 기기는 방어 센터에 라이센스가 없는 상태로 추가됩니다. 초기 설정 과
정을 마친 다음 각 기기에서 라이센스를 개별적으로 활성화해야 합니다. 자세한 내용은
을 참조하십시오.