01용어 정리용어 정리

모든 것의 출발점은 로그입니다. Audit Log 는 관리자가 Management Server에서 한 행동(로그인·객체 수정·정책 설치 등)의 기록 이고, 보통 우리가 말하는 보안 로그는 Security Gateway가 트래픽을 검사하며 남기는 기록입니다.

조직이 커지면 Management Server(=Security Management Server) 하나로는 부치니, 로그 전용 서버를 따로 두거나, Multi-Domain 환경에서는 도메인별 Multi-Domain Log Server(MDLS) 를 둡니다. Management Server 는 객체·정책을 관리하는 두뇌이고, Log Server 는 로그를 저장·처리하는 창고 라고 보면 됩니다.

SmartConsole 은 정책 구성부터 이벤트 모니터링까지 다 하는 Check Point의 관리 GUI 입니다. 그 안의 Logs & Events 뷰에서 로그를 검색하고, View·Report를 엽니다(View와 Report). SmartView 는 클라이언트 설치 없이 브라우저로 같은 로그·이벤트 화면을 보는 웹 애플리케이션 입니다(https://<서버 IP>/smartview/).

빠른 검색을 위해 Log Server는 로그에 index 를 만듭니다(SmartLog Indexing). indexing이 켜져 있으면 모든 Log Server의 로그를 한 화면에서 통합 검색 할 수 있고, 끄면 디스크는 아끼지만 서버마다 따로 뒤져야 합니다(시작하기).

이 일을 실제로 하는 부품이 SmartEvent Correlation Unit 으로, 로그를 분석해 패턴을 찾아 이벤트로 만드는 엔진 입니다. 만들어진 이벤트는 SmartEvent Server 의 이벤트 데이터베이스에 쌓입니다. 그 패턴 규칙을 모은 것이 Event Policy 이고, 로그를 모아 분석하는 절차를 Event Correlation 이라 부릅니다(SmartEvent로 이벤트 분석).

회사가 별도의 SIEM(Splunk·QRadar 등)을 쓰면 Check Point 로그를 그쪽으로 흘려보내야 합니다. 그 다리가 Log Exporter 로, syslog 프로토콜로 로그를 표준 형식(CEF·LEEF·JSON 등)으로 바꿔 외부 서버에 보내는 기능 입니다(Log Exporter).

자주 나오는 나머지 용어들입니다. Software Blade 는 특정 보안 기능 모듈 로, Logging & Status·SmartEvent Server·SmartEvent Correlation Unit 같은 블레이드를 서버 객체에서 켜고 끕니다. SIC(Secure Internal Communication) 는 Check Point 컴포넌트끼리 인증서로 서로를 신뢰하는 메커니즘 이라, Gateway가 Log Server·SmartEvent에 로그를 보내려면 SIC가 먼저 맺혀 있어야 합니다. System Counter 는 SmartView Monitor가 보여 주는 제품의 상태·활동·자원 사용량 데이터 이며(트래픽·연결 모니터링), Cooperative Enforcement 는 Harmony Endpoint Security 서버와 Security Gateway의 연동 을 가리킵니다. 나머지 블레이드(IPS·Anti-Bot·Threat Emulation 등)의 자세한 뜻은 Threat Prevention 가이드와 관리 가이드를 함께 보세요.