조직에 있는 자산의 수, 유형 및 상태는 종종 지속적으로 변경됩니다. 직원 수가 변하면 워크스테이션 수도 변합니다. 서버는 온라인 상태와 오프라인 상태를 오갑니다. 출장 또는 재택 근무 직원들은 VPN(Virtual Private Network)을 통해 다양한 시간대에 네트워크에 접속합니다.
이러한 변동성 때문에 동적 자산 시스템을 보유하는 것이 중요합니다. 수동으로 유지 보수되는 스프레드시트에 의존하는 것은 위험합니다. 네트워크에는 항상 목록에 없는 자산이 있습니다. 목록에 없는 자산은 관리되지 않습니다. 따라서 위험이 커집니다.
"동적 인벤토리"를 관리하는 방법 중 하나는 검색 스캔을 정기적으로 실행하는 것입니다. 자산 검색 구성을 참조하십시오. 스캔이 자산 인벤토리의 스냅샷을 스캔 시 제공하므로 이러한 방식은 제한됩니다. 다른 방식인 동적 검색을 이용하면 스캔을 실행하지 않고 자산을 검색하고 추적할 수 있습니다. 그 방법은 가상 머신 환경과 같은 자산 환경을 관리하는 서버나 API 와의 연결을 시작한 다음 이러한 환경의 변화에 대한 정기적인 업데이트를 수신하는 것입니다. 이러한 방식의 여러 이점:
Amazon 웹 서비스, DHCP 로그 서버, VMware 서버 연결을 위해 Nexpose 이 동적 검색 옵션을 지원해야 합니다.
모바일 기기를 검색해주는 ActiveSync 연결에 대해 라이센스가 모바일 옵션을 지원해야 합니다.
사용자 라이센스가 가상 검색을 지원하는지 확인하는 방법:
보안 콘솔이 관리 페이지를 표시합니다.
보안 콘솔이 보안 콘솔 구성 패널을 표시합니다.
보안 콘솔이 라이센싱 페이지를 표시합니다.
점점 많은 사용자들이 개인 모바일 기기를 기업 네트워크에 연결하고 있습니다. 이러한 기기는 해커가 보안 제한을 건너뛰고 무단 작업을 수행하거나 임의의 코드를 실행할 수 있는 취약점으로 인해 사용자 환경의 공격 표면이 증가 및 확대되는 원인이 됩니다.
ActiveSync에 Microsoft Exchange로 연결된 Apple iOS 또는 Google Android를 사용하는 기기를 검색할 수 있습니다. iOS 및 Android의 모든 버전이 지원됩니다.
보안 콘솔은 Microsoft Exchange ActiveSync 프로토콜을 통해 관리되는 모바일 기기를 검색합니다. 동적 검색 기능은 현재 Exchange 버전 2010, 2013 및 Office 365를 지원합니다.
다음 Microsoft Windows 서버 구성 중 하나로 모바일 데이터 연결 가능:
WinRM 구성 사용 시 장점은 이들 방법으로 검색된 자산 데이터에는 각 모바일 기기가 Exchange 서버와 동기화한 가장 최신 데이터가 포함된다는 것입니다. 이는 네트워크에서 더 이상 사용하지 않는 오래된 기기의 데이터를 보고서에 포함시키고 싶지 않을 때 유용합니다. 오래된 모바일 기기를 걸러내고 모바일 기기의 동적 자산 그룹을 생성할 수 있습니다. 필터링 된 자산 검색 수행을 참조하십시오.
사용 중인 Windows 서버 구성에 따라 검색을 위한 대상 환경 사전 준비에 몇 단계가 필요할 수 있습니다.
검색 연결을 위해, 보안 콘솔은 Active Directory에서 모바일 기기 개체에 대한 읽기 권한을 가진 사용자에 대한 자격 증명을 필요로 합니다. 사용자는 Microsoft Exchange의 조직 관리 보안 그룹에 속하거나 모바일 기기에 읽기 액세스가 허용된 사용자여야 합니다. 그러면 보안 콘솔이 LDAP 쿼리를 수행할 수 있습니다.
ActiveSync(모바일) 기기를 보유한 사용자를 포함하는 AD OU(조직 구성 단위)에 계정 읽기 전용 권한을 부여하려면 다음 단계를 따릅니다.
ADSI Edit에서 사용자 OU 선택
이 전의 단계를 ActiveSync(모바일) 기기를 포함하는 모든 추가적인 OU에 대해 반복합니다.
대상 환경에서의 설치 요건 및 단계는 PowerShell 및 Office 365 구성과 동일합니다:
注意: 보안 콘솔이 Windows에서 실행중인 경우 WinRM 게이트웨이는 Exchange 서버 또는 Nexpose입니다.
注意: 이러한 절차에 대한 의문점은 Windows 서버 관리자에게 문의하십시오.
WinRM 게이트웨이는 포트 5986 에서 사용 가능한 https WinRM 리스너를 갖추어야 합니다. 일반적인 설정 단계:
C:\> winrm quickconfig -transport:https
[PS] C:\> set-item wsman:localhost\Shell\MaxMemoryPerShellMB 2048
C:\> netsh advfirewall firewall add rule name=
"Windows Remote Management (HTTPS-In)" dir=in action=allow protocol=TCP localport=5986
관리자 외의 계정에 대해 WinRM 설정을 위한 지침: http://docs.scriptrock.com/kb/using-winrm-without-admin-rights.html
WinRM이 도메인 컨트롤러를 WinRM 게이트웨이로 사용하지 못하는 경우 http://www.projectleadership.net/blogs_details.php?id=3154의 블로그를 보고 도움을 얻으십시오. 일반적으로 setspn -L [server_name]을 실행하면 두 개의 WinRM 구성으로 반환됩니다. 하지만 이 경우에는 아무것도 표시되지 않습니다.
PowerShell 스크립트로 Process is terminated due to StackOverflowException.라는 오류가 발생하면 WinRM 메모리 한도가 부족한 것입니다. PowerShell 명령을 실행하여 설정 증가:
[PS] C:\> set-item wsman:localhost\Shell\MaxMemoryPerShellMB 2048
Exchange 연결을 확인하고 문제를 해결하려면 WinRM 자격 증명을 가진 PowerShell Windows WinRM 게이트웨이 서버를 엽니다. 그런 다음 Exchange 사용자 자격 증명과 Exchange 서버의 정규화된 회사 도메인 이름으로 다음 Powershell 명령 실행:
$cred = Get-Credential
$s = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri http://exchangeserver.domain.com/ -credential $cred
Import-PSSession $s
Get-ActiveSyncDevice
이렇게 하면 자격 증명을 입력할 창이 표시됩니다. New-PSSession이 실패할 경우 Exchange로의 원격 PowerShell 연결에 실패했음을 의미합니다.
Get-ActiveSyncDevices 명령이 not devices를 반환할 경우 사용자의 Exchange 계정에 쿼리를 수행할 권한이 없음을 의미합니다.
Office 365 구성은 클라우드에서 Microsoft의 Exchange 서버와 통신하고 PowerShell을 통해 다소 다르게 게이트웨이로 연결한다는 점을 제외하고 PowerShell 구성과 동일하게 작동합니다.
Office365의 Exchange 연결 문제 해결 스크립트:
$cred = Get-Credential
$s = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell -credential $cred -Authentication Basic -AllowRedirection
Import-PSSession $s
Get-ActiveSyncDevice
네트워크의 검색 준비 후 동적 검색 연결 생성 및 관리를 참조하십시오.
검색 결과를 지속적으로 최적화하기 위해, 사용자 환경 관리를 위한 다음과 같은 몇 가지 모범 지침을 따릅니다.
모든 구성 요소가 올바르게 작동 및 통신하는지 확인하려면 사용자의 ActiveSync 환경을 테스트합니다. 이를 통해 범위를 개선할 수 있습니다.
네트워크에서 ActiveSync 장치에 대한 규칙을 생성해 사용자의 제어 범위를 확대할 수 있습니다. 예를 들어, 격리된 장치 승인에 대한 규칙을 생성할 수 있습니다.
조직의 개별 사용자들은 고유한 파트너십이나 초기 동기화 시 생성된 ActiveSync 속성 세트를 통해 여러 장치를 사용할 수 있습니다. 또한, 사용자들은 장치 버전을 일상적으로 업데이트하므로 지원해야 할 잠재적인 파트너십이 증가할 수 있습니다. 이러한 파트너십 관리는 사용자 환경에서 ActiveSync 장치를 추적하는 데 중요합니다. Exchange 서버로부터 오래된 기기를 제거하면 보다 정확한 모바일 위험 진단에 도움이 됩니다.
조직이 컴퓨팅, 저장 또는 기타 작업에 AWS(Amazon 웹 서비스)를 사용하는 경우 Amazon이 사용자의 애플리케이션과 데이터를 다른 호스트로 이동시키는 경우가 있을 수 있습니다. AWS 인스턴스에 대한 동적 검색을 시작하고 동적 사이트를 설정해 이러한 인스턴스를 지속적으로 스캔하고 보고할 수 있습니다. 이 연결은 AWS API를 통해 이루어집니다.
AWS 환경에서, 인스턴스란 AWS 클라우드에서 가상 서버로서 실행되는 Amazon 머신 이미지의 복제본입니다. 이 스캔 프로세스는 인스턴스 ID에 기반해 자산의 상관 관계를 분석합니다. 인스턴스를 종료하고 나중에 동일한 이미지에서 재생성한 경우, 새 인스턴스 ID가 지정됩니다. 이는 재생성된 인스턴스를 스캔하는 경우, 이 스캔 데이터가 해당 인스턴스의 이전 데이터와 관련되지 않는다는 것을 의미합니다. 따라서 스캔 결과에 두 개의 독립적인 인스턴스가 나타납니다.
동적 검색 시작 및 AWS 환경에서의 스캔 시작 전에, 다음을 수행해야 합니다.
AWS 검색 연결 구성 시, AWS 환경에 대한 몇 가지 구축 및 스캔 고려 사항을 확인하는 것이 좋습니다.
EC2(Elastic Compute Cloud) 네트워크라고도 하는 AWS 네트워크 내에 구축된 분산형 스캔 엔진으로 AWS 인스턴스를 스캔하는 것이 바람직합니다. 이를 통해 전용 IP 주소를 스캔하고 내부 데이터베이스와 같이 공용 IP 주소로는 얻지 못할 수 있는 정보를 수집할 수 있습니다. 사용자의 고유한 네트워크에 구축된 스캔 엔진을 통해 AWS 네트워크를 스캔하고, AWS 네트워크에 사용자 네트워크의 자산과 동일한 IP 주소를 가진 자산이 있는 경우, 스캔은 AWS 인스턴스 대신 일치하는 주소를 통해 사용자 네트워크의 자산에 대한 정보를 생성합니다.
注意: AWS 네트워크는 이 네트워크에 있는 개별 인스턴스나 자산과 마찬가지로 방화벽을 사용하므로, AWS 스캔을 위해 조정할 두 개의 방화벽이 있는 것입니다.
AWS 인스턴스 스캔에 사용될 보안 콘솔 및 스캔 엔진이 AWS 네트워크 외부에 있는 경우, EC2 인스턴스만 이에 할당된 EIP(Elastic IP) 주소로 스캔할 수 있습니다. 또한 사용자의 사이트 구성이나 수동 스캔 창에서 자산 목록을 수동으로 편집할 수 없습니다. 동적 검색은 EIP 주소 없이 인스턴스를 포함하지만, 이러한 인스턴스는 사이트 구성에 대한 자산 목록에 나타나지 않습니다. EIP 주소에 대한 자세한 내용을 알아보십시오.
AWS 네트워크에 대한 보안 콘솔의 위치는 사용자가 AWS 네트워크에서 보안 콘솔을 신뢰할 수 있는 개체로 식별하는 방식에 영향을 미칩니다. 다음의 두 주제를 참조하십시오.
사용자의 보안 콘솔이 AWS 네트워크 외부에 위치한 경우, AWS API(Application Programming Interface)는 보안 콘솔이 AWS 인스턴스를 연결 및 검색하도록 허용하기 전에 보안 콘솔을 신뢰할 수 있는 개체로 인식할 수 있어야 합니다. 이를 위해서는, 보안 콘솔에 대한 AWS 개체인 IAM 사용자를 동적 검색을 지원하는 권한을 통해 생성해야 합니다. IAM 사용자를 생성할 때, 보안 콘솔이 API 로그온에 사용한 액세스 키도 생성해야 합니다.
IAM 사용자 및 IAM 사용자 생성 방법에 대해 알아보십시오.
注意: IAM 사용자를 생성할 때, 액세스 키 ID 및 비밀 액세스 키를 생성하기 위한 옵션을 선택해야 합니다. 이러한 자격 증명은 검색 연결을 설정할 때 필요합니다. 이러한 자격 증명을 다운로드하는 옵션이 있습니다. 반드시 안전하고 보안이 확실한 장소에서 다운로드하십시오.
注意: IAM 사용자를 생성할 때, 사용자 지정 정책 생성을 위한 옵션을 선택해야 합니다.
사용자의 보안 콘솔이 AWS 인스턴스에 설치되어 AWS 네트워크 내부에 있는 경우, 이 인스턴스에 대한 IAM 역할을 생성해야 합니다. 역할은 일련의 권한을 의미합니다. IAM 사용자 또는 보안 콘솔에 대한 액세스 키를 생성할 필요가 없습니다.
IAM 사용자 및 IAM 사용자 생성 방법에 대해 알아보십시오.
注意: IAM 역할을 생성할 때, 사용자 지정 정책 생성을 위한 옵션을 선택해야 합니다.
IAM 사용자 또는 역할을 생성할 때, 여기에 정책을 적용해야 합니다. 정책은 사용자가 AWS 환경에서 가지는 권한을 정의합니다. Amazon은 사용자의 AWS 정책이 보안을 위한 최소한의 권한을 포함하도록 요구합니다. 이러한 요건을 충족하려면, 사용자 지정 정책 생성 옵션을 선택합니다.
이러한 정책을 AWS 관리 콘솔의 편집기를 사용해 JSON 형식으로 생성할 수 있습니다. 다음의 코드 샘플은 이러한 정책을 어떻게 정의해야 하는지 나타냅니다.
{
"버전": "2012-10-17",
"설명": [
{ "Sid": "Stmt1402346553000", "효과": "허용", "작업":
[ "ec2:DescribeInstances", "ec2:DescribeImages", "ec2:DescribeAddresses" ], "Resource": [ "*" ] }
]
}
점점 증가하는 심각도가 높은 취약점으로 인해 영향을 받는 가상 대상 및 이를 지원하는 디바이스:
가상 자산 및 이러한 자산의 다양한 상태와 분류를 추적하는 작업은 그 자체로 쉽지 않은 일입니다. 이러한 자산의 보안을 효과적으로 관리하려면 중요한 세부 정보를 추적해야 합니다. 예를 들어 Windows 운영 체제를 가진 가상 머신은 무엇입니까? 특정한 리소스 풀에 속하는 자산은 무엇입니까? 현재 실행되고 있는 자산은 무엇입니까? 이러한 정보가 있으면 가상 자산 환경의 지속적인 변경 사항을 파악하고 스캔 리소스를 더욱 효율적으로 관리할 수 있습니다. 스캔할 대상으로는 어떤 것이 있는지 항상 파악하고 있으면 스캔 대상 및 방법을 알 수 있습니다.
이 애플리케이션은 이러한 과제를 해결하기 위해 VMware vCenter나 ESX/ESXi에 의해 관리되는 자산의 동적 검색을 지원합니다.
동적 검색을 시작하면 검색 연결이 액티브 상태인 동안에는 이 작업이 자동적으로 계속 실행됩니다.
VMware 환경에서 동적 검색을 수행하기 위해 Nexpose를 vCenter 서버에 연결하거나 독립 실행형 ESX(i) 호스트로 직접 연결할 수 있습니다.
이 애플리케이션이 직접 연결을 지원하는 vCenter 버전:
이 애플리케이션이 직접 연결을 지원하는 ESX(i) 버전:
위의 지원되는 ESX(i) 버전 목록은 독립 실행형 호스트로의 직접 연결에 대한 목록입니다. 애플리케이션이 vCenter가 관리하는 ESX(i) 호스트로의 연결을 지원하는지 확인하려면, http://partnerweb.vmware.com/comp_guide2/sim/interop_matrix.php에서 VMware 상호 운용성 매트릭스를 참조하십시오.
HTTPS를 통해 통신하려면 vSphere 구축을 구성해야 합니다. 동적 검색을 수행하기 위해 보안 콘솔은 HTTPS를 통해 vSphere API(Application Programming Interface)로 연결을 개시합니다.
Nexpose와 사용자의 대상 vCenter 또는 가상 자산 호스트가 방화벽과 같은 디바이스로 분리된 서로 다른 서브넷에 있는 경우 이 애플리케이션이 동적 검색을 수행할 수 있도록 네트워크 관리자와 협의해 통신을 지원하십시오.
연결을 개시하기 위해 애플리케이션이 대상에 접속해야 하므로 포트 443이 vCenter 또는 가상 머신 호스트에 개방되어 있는지 확인하십시오.
검색 연결을 생성할 때 애플리케이션이 vCenter 또는 ESX/ESXi 호스트에 접속할 수 있도록 계정 자격 증명을 지정해야 합니다. 모든 대상 가상 자산을 검색할 수 있도록 계정에 루트 서버 레벨의 권한이 있는지 확인하십시오. 대상 환경의 폴더에 권한을 할당하는 경우 상위 리소스 풀에도 권한이 지정되지 않으면 폴더에 있는 자산을 확인할 수 없습니다. 그리고 계정에는 읽기 전용 액세스만 할당하는 것이 가장 좋습니다.
대상 환경의 가상 머신에 VMware Tool이 설치되었는지 확인하십시오. VMware Tool이 설치되지 않아도 자산을 검색할 수 있으며 검색 결과에 자산이 나타납니다. 하지만 VMware Tool이 있으면 이러한 대상 자산을 동적 사이트에 추가할 수 있습니다. 이는 스캔 시 큰 이점을 제공합니다. 동적 사이트 구성을 참조하십시오.
이 연결은 자산을 노출시켜 자산 인벤토리의 가시성을 높입니다. 스캔 엔진은 DHCP 서버 로그를 쿼리해 자산 정보를 5초마다 동적으로 업데이트합니다. 엔진은 쿼리의 결과를 보안 콘솔로 전달합니다. DHCP 연결마다 특정 스캔 엔진을 할당합니다.
이 방법에서는 DHCP 서버가 찾아낸 자산이나 연결 시작 후 IP 주소를 갱신한 자산을 검색합니다.
복수의 DHCP 서버와 통신할 여러 분산형 스캔 엔진을 활용하여 방화벽 뒤나 네트워크 경계와 같은 액세스가 힘든 위치에서 서버와 연결할 수 있습니다.
注意: DHCP 방법은 다른 방법이나 스캔을 통해 Nexpose 에서 검색되지 않는 자산만 검색합니다.
두 가지 DHCP 수집 옵션:
注意: 디렉토리 감시자 방법을 통한 현재 DHCP 검색 구현은 Microsoft Server 2008 및 2012를 지원합니다.
Microsoft DHCP 구성은 로깅을 설정해야 합니다. 또한 로그 파일을 DHCP 데이터베이스 파일과 별도의 디렉토리로 반드시 이동하십시오. Microsoft DHCP는 매일 별도의 파일에 로그 데이터를 저장하며 매주 각각의 파일을 덮어씁니다.
ヒント: Windows 2008에서 DHCP 로그 파일의 기본 디렉토리 경로는 %windir%\System32\Dhcp입니다. Windows 2012에서 경로는 %systemroot%\System32\Dhcp입니다.
이 작업은 Nexpose에 서버 접속이나 자산 환경 관리 절차에 필요한 정보를 제공합니다.
동적 검색 연결을 생성 또는 관리하려면 글로벌 관리자 권한이 있어야 합니다. 사용자 및 인증 관리를 참조하십시오.
새 사이트 구성 도중 연결을 생성하려면 홈페이지에서 사이트 생성을 클릭합니다.
또는
페이지 상단에 있는 생성 탭을 클릭한 다음 드롭다운 목록에서 사이트를 선택합니다.
기존 사이트에서 연결을 생성하려면 홈페이지의 사이트 테이블에서 해당 사이트의 편집 아이콘을 클릭합니다.
검색 연결 유형 선택
Exchange ActiveSync (LDAP)를 통한 새로운 연결 정보 입력:
SSL을 통한 LDAP인 LDAPS는 더욱 안전한 옵션이며 사용자의 AD 서버에 설정된 경우에 권장됩니다.
이 계정은 AD 서버에 연결된 모바일 기기를 검색하도록 보안 콘솔을 설정합니다.
Exchange ActiveSync (WinRM/PowerS/hell 또는 WinRM/Office 365)를 통한 새로운 연결 정보 입력:
새 연결을 위한 정보를 입력합니다.(AWS)
AWS 네트워크에서 Nexpose 구성 요소로 연결 설정
AWS 네트워크 밖에서 Nexpose 구성 요소로 연결 설정
새 연결을 위한 정보를 입력합니다.(vSphere)
새 연결(DHCP-디렉토리 감시자)을 위한 정보를 입력합니다.
새 연결을 위한 정보를 입력합니다(DHCP-Syslog).
注意: Syslog는 Infoblox Trinzic 이벤트 소스의 유일한 수집 방법입니다.
보안 콘솔이 자산 검색 연결 패널의 일반 페이지를 표시합니다.
사이트 구성 밖에서 검색 연결 유형 선택
보안 콘솔이 연결 페이지를 표시합니다.
SSL을 통한 LDAP인 LDAPS는 더욱 안전한 옵션이며 사용자의 AD 서버에 설정된 경우에 권장됩니다.
보안 콘솔이 자격 증명 페이지를 표시합니다.
이 계정은 AD 서버에 연결된 모바일 기기를 검색하도록 보안 콘솔을 설정합니다.
보안 콘솔이 연결 페이지를 표시합니다.
보안 콘솔이 자격 증명 페이지를 표시합니다.
보안 콘솔이 서비스 페이지를 표시합니다.
보안 콘솔이 자격 증명 페이지를 표시합니다.
ヒント: 연결을 생성한 이후에 다른 DHCP 서버를 참조하도록 변경하는 경우 자산 검색 결과가 변경됩니다. 따라서 Nexpose에서 특정 DHCP 서버와 자산과의 연결이 중요한 경우, 연결 이름을 DHCP 서버와 연관시키고 참조 서버 변경 시 해당 이름을 변경하십시오. 또한 DHCP 연결을 중복해서 생성해서는 안됩니다.
注意: Syslog는 Infoblox Trinzic 이벤트 소스의 유일한 데이터 수집 방법입니다.
사용 가능한 연결을 확인하거나 연결 구성을 변경하는 단계:
보안 콘솔이 검색 연결 페이지를 표시합니다.
또는
보안 콘솔이 자산 검색 연결 패널을 표시합니다.
검색 연결 페이지에서 연결을 삭제하거나 연결 정보를 내부용으로 스프레드시트에서 확인할 수 있는 CSV 파일로 내보낼 수 있습니다.
동적 사이트가 있거나 이와 관련된 스캔이 진행 중인 연결은 삭제할 수 없습니다. 또한 연결 설정을 변경하면 동적 사이트의 자산 구성원에 영향을 미칠 수 있습니다. 동적 사이트 구성을 참조하십시오. 검색 관리 페이지에서 동적 사이트와 관련된 연결을 확인할 수 있습니다. 동적 검색 모니터링을 참조하십시오.
다른 계정을 사용해 연결을 변경하면 새 계정이 액세스할 수 있는 가상 머신에 따라 검색 결과에 영향을 미칠 수 있습니다. 예: 사용자가 처음에는 광고부의 모든 가상 머신에만 액세스할 수 있는 계정을 통해 연결을 생성했습니다. 그 다음 검색을 시작하고 동적 사이트를 생성했습니다. 그 후 인사부의 가상 머신에만 액세스할 수 있는 계정의 자격 증명을 통해 연결 구성을 업데이트했습니다. 사용자의 동적 사이트 및 검색 결과에는 여전히 광고부의 가상 머신이 포함되지만 이러한 가상 머신에 대한 정보는 더 이상 동적으로 업데이트되지 않습니다. 연결 계정이 액세스할 수 있는 가상 머신에 대한 정보만 동적으로 업데이트됩니다.
이는 보안 콘솔이 서버 또는 API에 접속하고 가상 자산 검색을 시작하는 작업입니다. 애플리케이션이 최초의 검색을 수행하고 검색된 자산 목록을 반환하면 다음 주제에 있는 설명에 따라 검색 조건 필터링을 바탕으로 이 목록을 세부 조정할 수 있습니다. 동적 검색을 수행하려면 사이트 관리 권한이 있어야 합니다. 역할 및 권한 구성을 참조하십시오.
Nexpose는 연결을 구축하고 검색을 수행합니다. 테이블이 나타나고 검색된 각 자산에 대한 정보를 표시합니다.
VMware 연결로 표시되는 자산
注意: 동적 연결을 통해 검색되는 자산도 자산 페이지에 나타납니다. 스캔된 자산과 검색된 자산 비교를 참조하십시오.
보안 콘솔이 자산 검색 연결 패널의 일반 페이지를 표시합니다.
注意: 검색 연결을 새로 생성, 변경 또는 재활성화한 경우 새로운 검색 결과가 나오기 전에 검색 프로세스가 완료되어야 합니다. 새 결과가 웹 인터페이스에 나타나기 전까지 다소 시간이 걸릴 수 있습니다.
Nexpose는 연결을 구축하고 검색을 수행합니다. 테이블이 나타나고 검색된 각 자산에 대한 다음 정보를 표시합니다.
모바일 기기의 경우, 이 표는 다음의 정보를 포함합니다.
AWS 연결의 경우, 표는 다음의 정보를 포함합니다.
VMware 연결의 경우 이 표는 다음의 정보를 포함합니다.
DHCP 연결의 경우 이 표에 포함된 정보:
최초의 검색을 수행한 후 이 애플리케이션은 검색 연결이 액티브 상태인 동안 자산을 계속해서 검색합니다. 보안 콘솔은 보안 콘솔 웹 인터페이스 상단 줄에 모든 비활성 상태의 검색 연결 목록을 표시합니다. 검색 연결 페이지에서 모든 검색 연결의 상태를 확인할 수도 있습니다. 동적 검색 연결 생성 및 관리를 참조하십시오.
검색 연결을 생성했지만 이 연결을 통해 검색을 시작하지 않았거나 검색을 시작했지만 연결이 비활성 상태가 된 경우 웹 인터페이스 페이지의 왼쪽 상단 모서리에서 Advisory 아이콘이 나타납니다. 이 아이콘 위로 포인터를 이동하여 비활성 상태의 연결에 대한 메시지를 확인하십시오. 이 메시지에는 클릭하여 검색을 시작할 수 있는 링크가 있습니다.
Nexpose가 자산을 검색한 후에는 자산 페이지의 연결로 검색된 자산 표에도 표시됩니다. 자세한 정보는 자산 검색 및 활용을 참조하십시오.
필터를 사용해 특정한 검색 조건을 바탕으로 동적 검색 결과를 세부 조정할 수 있습니다. 예를 들어 특정한 리소스 풀로 관리되는 자산 또는 특정한 운영 체제에 기반한 자산으로 검색을 제한할 수 있습니다.
注意: 필터가 동적 사이트와 관련되며 사용자가 라이센스의 스캔 대상 최대 수보다 많은 자산을 포함하도록 필터를 변경하면 검색되는 자산 수를 줄이도록 필터 조건을 변경하라는 오류 메시지가 나타납니다.
필터를 사용하면 여러 이점이 있습니다. 검색 결과 테이블에 나타나는 전체 자산 수를 제한할 수 있습니다. 이러한 기능은 많은 가상 자산이 있는 환경에 유용합니다. 또한 필터를 통해 매우 특수한 자산을 검색할 수 있습니다. IP 주소 범위에 있는 모든 자산, 특정한 리소스 풀에 속한 모든 자산 또는 전원이 켜지거나 꺼진 모든 자산을 검색할 수 있습니다. 필터를 통합해 더욱 세부적인 결과를 얻을 수 있습니다. 예를 들어 전원이 켜진 특정한 호스트에서 모든 Windows 7 가상 자산을 검색할 수 있습니다.
필터를 선택하는 경우 필터 적용 방식을 결정하는 연산자도 반드시 선택해야 합니다. 그다음 필터와 연산자에 따라 열을 입력하거나 적용할 연산자에 대한 값을 선택합니다.
다양한 검색 결과를 바탕으로 동적 사이트를 생성하고 스캔 및 보고서를 실행하여 이러한 유형의 자산과 관련된 보안 문제를 추적할 수 있습니다. 동적 사이트 구성을 참조하십시오.
모바일 기기 연결에 사용할 수 있는 3개의 필터:
운영 체제 필터를 사용하면, 운영 체제를 기준으로 자산을 검색할 수 있습니다. 이 필터에 사용하는 연산자:
사용자 필터를 사용하면, 관련 사용자 계정을 기준으로 자산을 검색할 수 있습니다. 이 필터에 사용하는 연산자:
注意: 이 필터는 WinRM/PowerShell and WinRM/Office 365 동적 검색 연결에서만 사용 가능합니다.
마지막 동기화 시간 필터로 모바일 기기가 Exchange 서버와 가장 최근에 동기화한 시간을 기반으로 모바일 기기를 추적할 수 있습니다. 이 필터는 네트워크에서 더 이상 사용하지 않는 오래된 기기의 데이터를 보고서에 포함시키고 싶지 않을 때 유용합니다. 이 필터에 사용하는 연산자
AWS 연결에 사용할 수 있는 8개의 필터:
가용성 영역 필터를 사용하면 특정한 가용성 영역에 있는 자산을 검색할 수 있습니다. 이 필터에 사용하는 연산자:
게스트 OS 제품군 필터를 사용하면 특정한 운영 체제를 갖거나 갖지 않은 자산을 검색할 수 있습니다. 이 필터에 사용하는 연산자:
인스턴스 ID 필터를 사용하면 특정한 인스턴스 ID를 갖거나 갖지 않은 자산을 검색할 수 있습니다. 이 필터에 사용하는 연산자:
인스턴스 이름 필터를 사용하면 특정한 인스턴스 ID를 갖거나 갖지 않은 자산을 검색할 수 있습니다. 이 필터에 사용하는 연산자:
인스턴스 상태 필터를 사용하면 특정한 운영 상태에 속하거나 속하지 않는 자산(인스턴스)을 검색할 수 있습니다. 이 필터에 사용하는 연산자:
인스턴스 상태로는 대기 중, 실행 중, 종료 중, 중지됨 또는 중지 중 등이 있습니다.
인스턴스 유형 필터를 사용하면 특정한 인스턴스 유형에 속하거나 속하지 않는 자산을 검색할 수 있습니다. 이 필터에 사용하는 연산자:
인스턴스 유형으로는 c1.medium, c1.xlarge,c3.2xlarge, c3.4xlarge 또는 c3.8xlarge 등이 있습니다.
注意: 동적 검색 결과는 m1.small 또는 t1.micro 인스턴스 유형도 포함할 수 있지만, Amazon은 현재 이러한 유형의 스캔을 허용하지 않습니다.
IP 주소 범위 필터를 사용하면 특정한 범위에서 IP 주소를 갖거나 갖지 않은 자산을 검색할 수 있습니다. 이 필터에 사용하는 연산자:
IP 주소 범위 필터를 선택하면 단어 으로(to)로 구분되는 두 개의 빈 필드가 나타납니다. 왼쪽 필드에 범위의 처음을 입력하고 오른쪽 필드에 범위의 끝을 입력합니다. IP 주소 형식은 “점선 쿼드”입니다. 예: 192.168.2.1~192.168.2.254
지역 필터를 사용하면 특정한 지역에 있거나 있지 않은 자산을 검색할 수 있습니다. 이 필터에 사용하는 연산자:
지역은 아시아 태평양(싱가포르), 아시아 태평양(시드니), 아시아 태평양(도쿄), EU(아일랜드) 또는 남미(상파울루)를 포함합니다.
VMware 연결에 사용할 수 있는 8개의 필터:
클러스터 필터를 사용하면 특정한 클러스터에 속하거나 속하지 않는 자산을 검색할 수 있습니다. 이 필터에 사용하는 연산자:
데이터 센터 필터를 사용하면 특정한 데이터 센터에 의해 관리되거나 관리되지 않는 자산을 검색할 수 있습니다. 이 필터에 사용하는 연산자:
게스트 OS 제품군 필터를 사용하면 특정한 운영 체제를 갖거나 갖지 않은 자산을 검색할 수 있습니다. 이 필터에 사용하는 연산자:
호스트 필터를 사용하면 특정한 호스트 시스템의 게스트이거나 그렇지 않은 자산을 검색할 수 있습니다. 이 필터에 사용하는 연산자:
IP 주소 범위 필터를 사용하면 특정한 범위에서 IP 주소를 갖거나 갖지 않은 자산을 검색할 수 있습니다. 이 필터에 사용하는 연산자:
IP 주소 범위 필터를 선택하면 단어 으로(to)로 구분되는 두 개의 빈 필드가 나타납니다. 왼쪽 필드에 범위의 처음을 입력하고 오른쪽 필드에 범위의 끝을 입력합니다. IP 주소 형식은 “점선 쿼드”입니다. 예: 192.168.2.1~192.168.2.254
전원 상태 필터를 사용하면 특정한 전원 상태에 있는 또는 있지 않은 자산을 검색할 수 있습니다. 이 필터에 사용하는 연산자:
전원 상태로는 켜짐, 꺼짐 또는 일시 중지가 있습니다.
리소스 풀 경로 필터를 사용하면 특정한 리소스 풀 경로에 속하거나 속하지 않는 자산을 검색할 수 있습니다. 이 필터에 사용하는 연산자:
경로의 수준을 지정하거나 각각 하이픈 또는 오른쪽 화살표(->)로 구분되는 여러 경로를 지정할 수 있습니다. 이는 동일한 이름을 가진 리소스 풀 경로 수준이 있는 경우에 유용합니다.
예를 들어 다음과 같은 수준의 두 개의 리소스 풀 경로:
인사
관리
워크스테이션
광고
관리
워크스테이션
관리와 워크스테이션 수준에 속하는 가상 머신은 각 경로에서 서로 다릅니다. 필터에 관리만 지정하면 애플리케이션이 관리와 워크스테이션 두 리소스 풀 경로 수준에 속하는 모든 가상 머신을 검색합니다.
하지만 광고 -> 관리 -> 워크스테이션을 지정하면 애플리케이션이 광고가 최고 수준의 경로로 지정된 워크스테이션 풀에 속하는 가상 자산만 검색합니다.
가상 머신 이름 필터를 사용하면 특정한 이름을 갖거나 갖지 않은 자산을 검색할 수 있습니다. 이 필터에 사용하는 연산자:
VMware 연결에 사용할 수 있는 3 개의 필터:
호스트 필터에서 호스트 이름을 기반으로 자산을 검색할 수 있습니다. 이 필터에 사용하는 연산자:
IP 주소 범위 필터를 사용하면 특정한 범위에서 IP 주소를 갖거나 갖지 않은 자산을 검색할 수 있습니다. 이 필터에 사용하는 연산자:
IP 주소 범위 필터를 선택하면 단어 으로(to)로 구분되는 두 개의 빈 필드가 나타납니다. 왼쪽 필드에 범위의 처음을 입력하고 오른쪽 필드에 범위의 끝을 입력합니다. IP 주소 형식은 “점선 쿼드”입니다. 예: 192.168.2.1~192.168.2.254
MAC 주소 필터에서 MAC 주소를 기반으로 자산을 검색할 수 있습니다. 이 필터에 사용하는 연산자:
여러 필터를 사용하면 애플리케이션이 필터에 지정된 모든 조건에 일치하는 자산 또는 필터에 지정된 특정한 조건에 일치하는 자산을 검색할 수 있습니다.
이러한 옵션 간의 차이는 모두 일치 설정은 모든 필터의 검색 조건에 일치하는 자산만 반환하는 반면 특정 조건 일치 설정은 지정된 필터에 일치하는 자산을 반환합니다. 따라서 모두 일치로 검색하면 일반적으로 특정 조건 일치보다 반환되는 결과가 적습니다.
10개의 자산을 포함하는 대상 환경을 예를 들어 보겠습니다. 이 중 5개의 자산이 Ubuntu를 실행하며 실행 대상 이름은 Ubuntu01, Ubuntu02, Ubuntu03, Ubuntu04 및 Ubuntu05입니다. 다른 5개의 자산은 Windows를 실행하며 실행 대상 이름은 Win01, Win02, Win03, Win04 및 Win05입니다. 두 개의 필터를 생성한다고 가정하겠습니다. 첫 번째 검색 필터는 운영 체제 필터이고 Windows를 실행하는 자산의 목록을 반환합니다. 두 번째 필터는 자산 필터이고 "Ubuntu”가 포함되는 이름을 가진 자산의 목록을 반환합니다.
모두 일치 설정을 사용해 두 가지 필터로 자산을 검색하면 애플리케이션이 Windows를 실행하며 이름에 “Ubuntu”가 있는 자산을 검색합니다. 이러한 자산이 없으면 자산이 검색되지 않습니다. 하지만 특정 조건 일치 설정으로 같은 필터를 사용하면 애플리케이션이 Windows를 실행하거나 이름에 “Ubuntu”가 있는 자산을 검색합니다. 5개의 자산이 Windows를 실행하며 다른 5개의 자산은 이름에 “Ubuntu”가 있습니다. 따라서 검색 결과에는 모든 자산이 포함됩니다.
注意: IP 주소가 없는 가상 자산은 호스트 이름으로만 검색 및 식별할 수 있습니다. 이러한 자산은 검색 결과에 나타나지만 동적 사이트에 추가되지 않습니다. IP 주소가 없는 자산은 스캔할 수 없습니다.
이전 섹션의 설명에 따라 검색을 시작하면 보안 콘솔이 결과 표를 표시합니다. 필터 구성 및 적용 단계:
필터 행이 나타납니다.
새 필터 행이 나타납니다. 이전 단계의 설명에 따라 새 필터를 설정합니다.
필터를 구성한 후 검색 결과에 적용할 수 있습니다.
또는 재설정을 클릭해 모든 필터를 지우고 다시 시작합니다.
검색 결과 테이블이 필터링된 검색을 바탕으로 자산을 표시합니다.
사이트 구성 내 동적 검색 필터 적용
검색은 액티브 상태인 동안에는 계속 진행되므로 검색 관련 이벤트 모니터링이 유용할 수 있습니다. 검색 통계 페이지에 있는 여러 정보 테이블:
동적 검색은 가상 자산의 호스트 유형을 열거하지 않습니다. 이 애플리케이션은 검색된 각 자산을 호스트 유형으로 분류하고 이러한 분류를 동적 자산 그룹 생성을 위한 검색 필터로 사용합니다. 필터링 된 자산 검색 수행을 참조하십시오. 호스트 유형은 가상 머신 및 하이퍼바이저를 포함합니다. 자산의 호스트 유형을 파악하는 유일한 방법은 자격 증명된 스캔을 수행하는 것입니다. 따라서 동적 검색을 통해 검색되고 자격 증명으로 스캔하지 않은 모든 자산은 알 수 없는 호스트 유형으로 스캔 결과 페이지에 나타납니다. 동적 검색은 가상 자산만 검색하므로 동적 사이트는 가상 자산만 포함합니다.
注意: 이벤트 표 목록에는 이전 30일의 검색이 반영됩니다.
동적 검색 모니터링 단계:
검색 통계 확인
동적 사이트 생성을 위한 사전 조건:
검색되는 자산이 라이센스의 스캔 대상 최대 수보다 많은 동적 사이트를 생성하려고 하면 검색되는 자산 수를 줄이도록 필터 조건을 변경하라는 오류 메시지가 나타납니다. 필터를 통해 동적 검색 세부 조정을 참조하십시오.
注意: 동적 사이트를 생성할 때 이 사이트의 필터 조건에 일치하는 모든 자산은 기존 사이트에 포함된 자산에 연관되지 않습니다. 라이센스의 관점에서 볼 때 두 사이트의 목록에 있는 하나의 자산은 기본적으로 두 개의 자산으로 인식됩니다.
검색 연결을 생성하여 시작한 후 사이트 구성을 계속할 수 있습니다.
사이트 구성 외부에서 검색 연결을 생성하고 시작한 경우 검색 페이지에서 동적 사이트 생성 버튼을 클릭합니다. 보안 콘솔이 사이트 구성을 표시합니다. 사이트 구성 계속.
동적 검색이 시작되고 검색 연결이 액티브 상태인 동안에는 대상 환경이 변경될 때마다 동적 사이트의 자산 구성원도 변경될 수 있습니다.
검색 연결 또는 필터를 변경해 자산 구성원을 변경할 수 있습니다. 필터를 통해 동적 검색 세부 조정을 참조하십시오.
자산 구성원 확인 및 변경 방법:
대상 검색 환경에 새로운 가상 머신 추가 또는 삭제와 같은 변경 사항이 발생할 때마다 이러한 변경 사항이 동적 사이트 자산 목록에 반영됩니다. 따라서 사용자가 현재의 대상 환경을 파악할 수 있습니다.
또 다른 이점으로는 동적 사이트 목록에 있는 검색된 자산의 수가 라이센스의 스캔 대상 최대 수보다 많은 경우 스캔을 실행하기 전에 이를 알리는 경고를 확인할 수 있습니다. 따라서 특정 자산을 제외하고 스캔을 실행할 수 없습니다. 자산 개수를 조정하지 않고 스캔을 실행하면 이전에 검색된 대상 자산이 스캔에 포함됩니다. 사이트의 검색 필터를 세부 지정하여 자산 개수를 조정할 수 있습니다.
스캔한 동적 사이트의 검색 연결 또는 검색 필터 조건을 변경할 때 자산 구성원에 미치는 영향: 스캔하지 않았으며 새 검색 필터 조건에 더 이상 일치하지 않는 모든 자산은 사이트 목록에서 삭제됩니다. 스캔했으며 관련된 스캔 데이터가 있는 모든 자산은 새 필터 검색 조건 일치 여부와 상관없이 사이트 목록에서 유지됩니다. 새 필터 조건에 일치하는 새로 검색된 모든 자산은 동적 사이트 목록에 추가됩니다.