목차/07. Custom — 운영(MTA·모니터링·업데이트·문제 해결)

07Custom — 운영(MTA·모니터링·업데이트·문제 해결)Custom — 운영(MTA·모니터링·업데이트)

Custom Threat Prevention을 실제로 굴리면서 다루는 작업들 을 한자리에 모았습니다. 메일을 안전하게 검사하기 위한 MTA(Mail Transfer Agent), 로그와 뷰로 위협을 들여다보는 모니터링, 보호를 최신으로 유지하는 예약 업데이트(Scheduled Updates), 그리고 무언가 어긋났을 때 짚어 보는 문제 해결(Troubleshooting) 까지 — 원문 네 개 장의 절차·명령·표를 빠짐없이 풀어 담았습니다.

MTA — 게이트웨이를 메일 전송 에이전트로

게이트웨이가 SMTP 메일을 검사할 때, 검사에 시간이 걸리는 동안 메일 클라이언트가 연결을 그만큼 열어 두지 못해 메일에 타임아웃이 생기는 일이 있습니다. MTA(Mail Transfer Agent) 가 바로 이 문제를 막습니다 — MTA가 먼저 이전 홉(previous hop)에서 메일을 받아 두고, 필요한 검사·작업을 모두 마친 다음, 다음 홉(next hop)으로 메일을 중계 하는 방식이기 때문입니다. MTA는 SMTP/TLS로 암호화된 트래픽도 지원 블레이드로 검사 합니다.

Mail Transfer Agent 활성화하기

MTA 설정의 큰 흐름은 메일 서버를 나타내는 객체를 만들고 → 게이트웨이에서 블레이드와 MTA를 켜고 → 메일 전달 규칙을 정의한 뒤 → 정책을 설치하고 → 네트워크의 MX 레코드를 게이트웨이 쪽으로 돌리는 것입니다. 단계별로 보면 다음과 같습니다.

  1. SmartConsole로 Management Server에 접속한 뒤, 왼쪽 탐색 패널에서 Gateways & Servers 를 클릭합니다.
  2. 아직 없다면 다음 객체 중 하나를 만듭니다. 나중에 해당 MTA 규칙의 Next Hop 으로 이 객체를 고릅니다.
    • 메일 서버를 나타내는 Host 객체.
    • 수신자 도메인을 나타내는 Domain 객체. DNS 이름을 기준으로 여러 메일 서버를 쓸 수 있어 부하 분산·고가용성 을 DNS 구성으로 얻을 수 있습니다. 단, 이 구성은 R80.20 이상 게이트웨이가 필요합니다.

규칙을 만드는 세부 단계는 이렇습니다. 1. 툴바에서 규칙 추가 버튼(위/아래)을 클릭합니다. 2. Domain 셀을 오른쪽 클릭하고 Edit 를 선택합니다. 3. 이 규칙이 다룰 SMTP 트래픽의 도메인 FQDN 을 입력합니다. 모든 수신자 도메인을 받으려면 와일드카드 * 를 입력하면 됩니다. 4. OK 를 클릭합니다. 5. Next Hop 셀을 클릭해 앞서 만든 Host / Domain 객체를 선택합니다. 6. (선택) Comment 셀을 오른쪽 클릭 → Edit 로 규칙 설명을 적고 OK. 9. (선택) Add signature to scanned emails 를 선택하면, 게이트웨이가 메일을 무사히 검사한 뒤 메일 본문 끝에 붙일 문구 를 입력할 수 있습니다. 10. SMTP/TLS 섹션은 메일 서버가 TLS inspection을 쓸 때 적용합니다. 1. Step 1에서 Import 를 클릭하면 Import Outbound Certificate 창이 열립니다. 2. Browse 로 필요한 인증서 파일을 고릅니다. 3. Private key password 칸에 그 인증서에 설정해 둔 암호를 입력합니다. 4. OK 를 클릭합니다. 5. Step 2에서 Enable SMTP/TLS 를 선택합니다. 11. Implied Rule 섹션에서 묵시 규칙을 구성합니다. 기본적으로 게이트웨이를 MTA로 구성하면 Management Server가 Access Control Policy 맨 위에 묵시 규칙을 자동 추가 합니다. 이 규칙은 네트워크가 게이트웨이로 보내는 TCP 25번 포트 트래픽을 허용 하며, 기본 소스는 모든 IP 주소입니다. 소스를 특정 IP 주소만 허용하도록 좁힐 수 있고, 이 묵시 규칙을 끄려면 Create an implied rule at the top of the Access Control Policy 를 해제하면 됩니다. 12. (선택) Advanced Settings 섹션에서 Configure Settings 를 클릭해 세부 동작을 다듬습니다. - Interfaces 섹션 — 게이트웨이가 어느 인터페이스로 들어온 SMTP 트래픽을 검사 할지 정합니다.

옵션
All interfaces모든 인터페이스의 SMTP 트래픽을 검사로 보냅니다.
All external외부 인터페이스의 SMTP 트래픽을 검사로 보냅니다.
Use specific지정한 인터페이스 목록의 SMTP 트래픽만 검사로 보냅니다. 더하기(+)로 인터페이스를 추가하고, 빼기(-)로 제거합니다.
  • Mail Settings 섹션 — 메일 처리 한도를 정합니다.
설정
Maximum delayed timeMTA가 메일을 보관할 수 있는 최대 시간(분) 입니다.
Maximum disk usageMTA가 저장에 쓸 수 있는 빈 디스크 공간(퍼센트 또는 메가바이트 총량).
If limits are exceeded or in case of an error위 한도를 넘거나 오류가 났을 때의 동작과 추적 방법을 정합니다(아래).

한도를 넘었을 때 무엇을 할지Allow(SMTP 트래픽 허용)·Block(차단)·None(로그 미생성) 중에서, 어떻게 추적할지None(로그 미생성)·Log(로그 생성)·Alert(로그 생성 + 설정된 알림 전송, Menu > Global properties 에서 구성) 중에서 고릅니다. - Troubleshooting 섹션 — 메일이 너무 오래 지연될 때 의 동작입니다.

설정
When mail is delayed for more than게이트웨이가 추적 동작을 적용하기 전, MTA에서 메일이 지연되도록 두는 최대 시간(분).
TrackNone(로그 미생성)·Log(로그 생성)·Alert(로그 생성 + 설정된 알림 전송) 중 선택.
  • 다 정했으면 OK 로 MTA Advanced Settings 창을 닫습니다.
  • OK 로 Security Gateway 속성 창을 닫습니다.
  • 게이트웨이에 Access Control 정책 을 설치합니다.
  • 게이트웨이에 Threat Prevention 정책 을 설치합니다.
  • 외부 네트워크의 SMTP 트래픽이 게이트웨이로 오도록 네트워크 설정을 바꿉니다. 조직마다 내부 메일 서버(또는 다른 MTA)를 가리키는 MX 레코드 가 있고, MX 레코드는 조직으로 들어오는 SMTP 트래픽의 다음 홉을 정의합니다. Check Point MTA로 SMTP를 보내도록 다음과 같이 바꿉니다.
    • 내부 메일 서버로 가는 메일을 위한 MTA — ① 네트워크 서버의 DNS 설정을 바꾸고, ② MX 레코드를 바꿔 게이트웨이를 다음 홉으로 지정합니다.
    • 다른 MTA로 가는 메일을 위한 MTA — ① 내부 메일 서버로 메일을 보내는 그 MTA에 접속해, ② SMTP 설정을 바꿔 게이트웨이를 다음 홉으로 지정합니다.

MTA 비활성화하기

1. 외부 네트워크의 SMTP 트래픽이 게이트웨이로 가지 않도록 네트워크 설정을 바꿉니다.

  1. 네트워크의 MX 레코드 를 바꿔, 다음 홉을 (게이트웨이 대신) 메일 서버로 지정합니다.
  2. 서버들이 MTA 주소를 캐시에 저장해 둘 수 있으므로 24시간을 기다립니다.

2. Security Gateway 객체에서 MTA를 끕니다.

  1. SmartConsole로 Management Server에 접속한 뒤 Gateways & Servers 를 클릭합니다.
  2. Security Gateway 객체를 엽니다.
  3. 탐색 트리에서 Mail Transfer Agent 페이지를 클릭합니다.
  4. Enable as a Mail Transfer Agent (MTA) 를 해제합니다.
  5. OK 를 클릭합니다.
  6. Threat Prevention 정책 을 설치합니다.

Backward Compatibility 모드 — 검사만 하고 전달하지 않기

Check Point MTA를 SMTP 트래픽을 모니터링하는 용도로만 쓸 수도 있습니다 — 메일을 검사만 하고 메일 서버로 전달하지는 않는 방식입니다.

  1. SmartConsole로 Management Server에 접속한 뒤 Gateways & Servers 를 클릭합니다.
  2. 다음 설정으로 새 Host 객체 를 만듭니다.
    • Name — 적당한 이름(예: No_Forward_MTA).
    • IPv4 Address0.0.0.0 을 입력합니다.
  3. Security Gateway 객체를 엽니다.
  4. 탐색 트리에서 Mail Transfer Agent 페이지를 클릭합니다.
  5. Enable as a Mail Transfer Agent (MTA) 를 선택합니다.
  6. Mail Forwarding 섹션에서 기존 규칙을 모두 삭제 합니다.
  7. 툴바에서 규칙 추가 버튼(위/아래)을 클릭합니다.
  8. Domain 셀을 오른쪽 클릭 → Edit → 모든 수신자 도메인을 받도록 와일드카드 * 입력 → OK.
  9. Next Hop 셀을 클릭해 앞서 만든 Host 객체(0.0.0.0)를 선택합니다.
  10. (선택) Comment 셀을 오른쪽 클릭 → Edit 로 설명을 적고 OK.
  11. OK 를 클릭합니다.
  12. Threat Prevention 정책 을 설치합니다.

MTA 엔진 업데이트

Mail Transfer Agent Engine UpdateMTA 엔진의 새 기능과 버그 수정을 모은 업데이트입니다. R80.20 이상 게이트웨이, 그리고 R80.10 Jumbo Hotfix Accumulator Take 142 이상을 적용한 R80.10 게이트웨이에서 받을 수 있습니다.

이 업데이트는 CPUSE 패키지 형태로 제공되며, CPUSE로 수동 설치·업그레이드 할 수 있습니다. cpstop/cpstart 나 재부팅은 필요 없습니다. 정규 Jumbo Hotfix Accumulator와 충돌하지 않으므로 독립적으로 설치 할 수 있습니다. 자세한 내용은 sk123174를 참고하세요.

게이트웨이에서 현재 MTA 업데이트 버전을 확인 하려면 Expert mode에서 다음을 실행합니다.

cat $FWDIR/conf/mta_ver

MTA 모니터링

SmartView에는 MTA 모니터링용 뷰가 세 가지 있습니다(R80.20 이상, 그리고 R80.10 Jumbo Hotfix Accumulator Take 142 이상의 R80.10 게이트웨이에서 사용 가능).

준비 단계는 다음과 같습니다.

  1. SmartConsole로 Management Server에 접속합니다.
  2. 게이트웨이가 로그를 보내는 Management Server / Log Server 객체 에 필요한 블레이드가 켜져 있는지 확인합니다.
    1. Gateways & Servers 를 클릭합니다.
    2. Management Server / Log Server 객체를 엽니다.
    3. General Properties 페이지를 클릭합니다.
    4. Management 탭에서 Logging & Status, SmartEvent Server, SmartEvent Correlation Unit 을 선택합니다.
    5. OK 를 클릭합니다.
    6. Menu > Install database → 서버 선택 → Install.
  3. 해당 Threat Prevention 프로파일에서 MTA Live Monitoring 이 켜져 있는지 확인합니다.
    1. Security Policies 를 클릭합니다.
    2. 가운데 위에서 Threat Prevention 을 클릭합니다.
    3. 아래 가운데 Custom Policy Tools 에서 Profiles 를 클릭합니다.
    4. 해당 프로파일을 더블 클릭합니다.
    5. 탐색 트리에서 Mail 섹션 > General 페이지를 클릭합니다.
    6. General 섹션에서 Enable MTA Live Monitoring 을 선택합니다.
    7. OK 를 클릭합니다.
  4. 만약 Enable MTA Live Monitoring 이 꺼져 있다가 새로 켠 것이라면, Threat Prevention 정책 을 설치합니다.
  5. 이제 SmartConsole 또는 SmartView에서 MTA를 모니터링할 수 있습니다.
    1. Logs & Events > Logs 를 클릭합니다.
    2. 위쪽 [+] 로 새 탭을 엽니다.
    3. 위쪽에서 Views 를 클릭합니다.
    4. 위쪽 검색 칸에 MTA 를 입력합니다.
    5. 해당 MTA 모니터링 뷰(아래 설명)를 더블 클릭합니다 — MTA Live Monitoring, MTA Overview, MTA Troubleshooting.

이 뷰들은 메일 상태가 바뀔 때마다 갱신되는 로그 를 기반으로 합니다. 뷰를 커스터마이즈하거나, 새 위젯을 만들거나, Excel/PDF로 내보낼 수 있습니다. 자세한 내용은 R82 Logging and Monitoring Administration Guide 를 참고하세요.

"MTA Live Monitoring" 뷰

MTA를 거쳐 간 메일 트래픽의 현재 상태 를 다음 타임라인으로 보여 줍니다 — Emails in Queue Timeline, Current Emails in Queue. 큐에 있는 메일의 분포를 그래프와 표로 나타냅니다.

표의 Action 열을 오른쪽 클릭하면 해당 메일에 대해 다음 동작을 할 수 있습니다.

동작
Retry메일을 다시 처리하려고 시도합니다.
Drop메일을 삭제합니다.
Bypass보안 검사를 하지 않고 메일을 다음 홉으로 보냅니다.

추가 위젯으로는 Current Emails in Queue(큐의 메일 수, 1분 이상·3분 이상 머문 메일, 가장 먼저 큐에 들어온 메일 도착 시각), Emails Delivered(전달된 메일), 그리고 Email Status 가 있습니다. 메일 상태는 다음과 같습니다.

상태
BouncedMTA가 메일을 발신자에게 되돌려 보냈습니다.
Deferred일시적 실패가 발생해, MTA가 해당 동작을 다시 시도합니다.
DroppedMTA가 메일을 다음 홉으로 전달하지 않았습니다.
SkippedMTA가 메일을 우회(bypass)해 아무 검사도 하지 않았습니다.

다이어그램에서 어느 열을 클릭하면, 그 열의 근거가 된 로그 목록 창 이 열립니다.

"MTA Overview" 뷰

MTA를 거쳐 간 메일 트래픽의 통계 데이터 를 다음 타임라인으로 보여 줍니다 — Emails by Status Timeline, Email Content Timeline, Emails in Queue Timeline. 이 타임라인들을 서로 비교해 추세를 파악하고 여러 상황의 근본 원인을 분석 할 수 있습니다.

예를 들어 특정 시점에 큐의 메일이 갑자기 많았다면, 다른 타임라인을 살펴 원인을 찾습니다. 같은 시점에 링크·첨부가 든 메일이 많았다면 그게 이유일 수 있습니다 — 검사에 시간이 더 걸리기 때문입니다.

추가 위젯으로는 Emails Additional Information(전달된 메일, 고유 발신자 수, 고유 수신자 수)과 Emails Content(링크가 있는 메일, 첨부가 있는 메일)가 있습니다.

"MTA Troubleshooting" 뷰

실패의 원인과 원인별 실패 횟수 를 보여 줍니다.

  • Failures Timeline
  • Most Common Failures — 상위 X개의 실패를 보여 줍니다(기본 5개).
  • Email Failures — 모든 실패를 보여 줍니다.

모니터링 — 로그와 이벤트로 위협 들여다보기

오늘날 네트워크는 그 어느 때보다 사이버 위협에 노출돼 있어, 조직 입장에서는 위협을 이해하고 피해를 가늠하는 일 자체가 도전입니다. SmartConsole은 보안 관리자가 사이버 위협의 원인을 찾아 네트워크를 복구 하도록 돕습니다.

Logs & Events > Logs 뷰는 위협을 로그로 보여 줍니다. Logs & Events의 다른 뷰들은 로그를 묶어 의미 있는 보안 이벤트 로 만듭니다 — 예를 들어 선택한 기간(지난 한 시간·하루·일주일·한 달) 동안 어떤 호스트에서 일어난 악성 활동을 보여 주고, 감염 전·후 통계도 제공합니다. 로그·이벤트마다 ThreatWiki·IPS Advisories 에서 가져온 멀웨어·바이러스·공격에 대한 풍부한 정보를 볼 수 있습니다.

로그 세션(Log Sessions)

게이트웨이 트래픽은 엄청난 양의 활동 을 만들어 냅니다. 로그를 다룰 만한 양으로 유지하기 위해, 기본적으로 로그는 세션 단위로 통합 됩니다. 세션(session) 이란 사용자가 어떤 애플리케이션·사이트에 처음 접근한 순간 시작되는 기간으로, 세션 동안 게이트웨이는 사용자가 접근한 애플리케이션·사이트마다 로그를 하나씩 기록하고 그 안의 모든 활동을 그 로그에 담습니다.

한 세션 동안 만들어진 연결 수는 Logs & Events 뷰에서 로그의 Suppressed Logs 필드로 볼 수 있습니다. Rule Base에서 차단·탐지된 모든 연결의 세션 길이는 기본 10시간 이며, Manage & Settings 뷰 > Blades > Threat Prevention > Advanced Settings > General > Connection Unification 에서 바꿀 수 있습니다.

로그 뷰(Log View) 사용하기

SmartConsole에서 직접 뷰를 만드는 절차입니다.

  1. Logs and Monitoring > View 로 갑니다.
  2. New 를 클릭하고 New View 를 선택합니다.
  3. New View 창에서 다음을 입력합니다.
    • Name
    • Category — 예: Access Control
    • Description — (선택)
  4. 새로 열린 창에서 쿼리를 만듭니다. Options > View Filter 를 클릭하고 BladeApp control 을 선택합니다.
  5. 돌아온 데이터를 어떻게 볼지 꾸미려면 Add Widget 을 클릭합니다. 모든 이벤트의 Timeline 으로 시작하면 좋습니다. Table 에서는 사용자·애플리케이션 이름·트래픽 양 같은 여러 필드를 담은 표를 만들 수 있습니다. 그 밖에 map, infographic, rich text, chart, container(여러 위젯 묶음) 위젯도 쓸 수 있습니다. SmartConsole에서 변경을 저장하면 여러 간격으로 자동 이메일을 예약 해 받을 수 있습니다.

다음은 로그 뷰의 예입니다.

p.263
p.263
번호설명
1Queries — 미리 정의된 검색 쿼리와 즐겨찾기 쿼리.
2Time Period — 미리 정의된/사용자 지정 기간으로 검색.
3Query search bar — 이 칸에서 사용자 지정 쿼리를 정의합니다. GUI 도구를 쓰거나 직접 조건을 입력할 수 있고, 가장 최근 쿼리의 정의가 표시됩니다.
4Log statistics pane — 가장 최근 쿼리의 상위 결과를 보여 줍니다.
5Results pane — 가장 최근 쿼리의 로그 항목을 보여 줍니다.

Threat Prevention 규칙별 로그 보기

특정 규칙이 만들어 낸 로그를 보려면 이렇게 합니다.

  1. SmartConsole에서 Security Policies 뷰로 갑니다.
  2. Threat Prevention Policy에서 규칙을 하나 선택합니다.
  3. 아래 패널에서 다음 탭 중 하나를 클릭합니다.
    • Summary — 규칙 이름·동작·생성 정보와 Hit Count. 규칙에 대한 사용자 지정 정보를 덧붙일 수 있습니다.
    • Logs — 지정한 필터 조건에 따른 로그 항목 — Source, Destination, Blade, Action, Service, Port, Source Port, Rule(기본은 현재 규칙), Origin, User 등.

미리 정의된 쿼리(Predefined Queries)

Logs & Events의 Logs 탭은 여러 상황에 알맞은 미리 정의된 쿼리 묶음 을 제공합니다. 쿼리는 이벤트 속성의 조합으로 분류돼 있습니다. 예를 들면 Threat Prevention > by Blades, More(예: by UA Server, by UA WebAccess), Anti-Spam & Email Security Blade(예: by Blocklist Anti-Spam, IP Reputation Anti-Spam) 같은 식입니다.

사용자 지정 쿼리 만들기

쿼리에는 하나 이상의 조건을 넣을 수 있습니다. 기존의 미리 정의된 쿼리를 고치거나, 쿼리 박스에서 새로 만들 수 있습니다. 미리 정의된 쿼리를 고치려면 쿼리 박스 안을 클릭해 검색 필터를 추가합니다.

새 쿼리를 즐겨찾기에 저장하려면 이렇게 합니다.

  1. Queries > Add to Favorites 를 클릭하면 Add to Favorites 창이 열립니다.
  2. 쿼리 이름을 입력합니다.
  3. 쿼리를 저장할 폴더를 고르거나 새로 만듭니다.
  4. Add 를 클릭합니다.

그리드 열에서 조건 고르기

Grid 뷰의 열 머리글로 쿼리 조건을 고를 수 있습니다(이 방법은 Table 뷰에서는 쓸 수 없습니다).

  1. Results 패널에서 열 머리글을 오른쪽 클릭합니다.
  2. Add Filter 를 선택합니다.
  3. 필터 조건을 고르거나 입력합니다. 조건은 Query search bar에 나타나고 쿼리가 자동으로 실행 됩니다.

조건을 더 넣으려면 이 방법이나 다른 방법을 반복합니다.

직접 조건 입력하기 / 쿼리 필드 고르기

Query search bar 에 조건을 직접 입력할 수도 있습니다. 새 쿼리를 만들거나, 표시된 기존 쿼리를 고칠 수 있습니다. 글자를 입력하면 최근 쓴 조건이나 전체 쿼리가 제안 되며, 드롭다운에서 골라 쓸 수 있습니다.

필드 조건을 고르는 절차는 다음과 같습니다.

  1. 새 쿼리를 시작한다면 Clear 를 눌러 기존 정의를 지웁니다.
  2. 커서를 Query search bar에 둡니다.
  3. 드롭다운에서 조건을 고르거나, Query search bar에 직접 입력합니다.

Packet Capture

네트워크 트래픽을 패킷 캡처 할 수 있습니다. 패킷 캡처 내용은 그 로그를 만든 트래픽을 더 깊이 들여다보게 해 줍니다. 이 기능을 켜면 게이트웨이가 로그와 함께 패킷 캡처 파일을 Log Server로 보내고, 그 파일을 열거나 저장해 나중에 정보를 확인할 수 있습니다. 일부 블레이드는 Threat Prevention Policy에서 패킷 캡처가 기본으로 켜져 있습니다.

패킷 캡처를 끄려면(Threat Prevention에서만):

  1. SmartConsole > Security Policies 뷰 > Threat Prevention > Custom Policy.
  2. 해당 규칙으로 가서 Track 열을 오른쪽 클릭하고 Packet Capture 옵션을 해제합니다.

패킷 캡처를 보려면:

  1. SmartConsole에서 Logs & Events 뷰로 갑니다.
  2. 로그를 엽니다.
  3. Packet Capture 필드의 링크를 클릭합니다. 해당 파일 형식과 연결된 프로그램에서 패킷 캡처가 열립니다.
  4. (선택) Save 로 패킷 캡처 데이터를 컴퓨터에 저장합니다.

Advanced Forensics Details

일부 로그에는 로그의 Advanced Forensics Details 섹션에서 볼 수 있는 추가 필드 가 들어 있습니다. 지원 프로토콜은 DNS, FTP, SMTP, HTTP, HTTPS 입니다. 이 추가 정보는 Check Point 연구진이 공격을 분석 하는 데 쓰이며, Check Point 클라우드로 보내는 게이트웨이 통계 파일에도 나타납니다.

이 기능을 끄려면:

  1. SmartConsole > Security Policies > Threat Prevention > Custom Policy.
  2. 해당 규칙으로 가서 Track 열을 오른쪽 클릭합니다.
  3. Forensics 옵션을 해제합니다.

추가 정보가 저장되기 전에 연결이 닫히면 Advanced Forensics Details는 나타나지 않습니다. 이는 트래픽과 블레이드 구성에 따라 달라집니다. 예를 들어 게이트웨이가 추가 정보를 저장하기 전에 연결이 악성임을 알아챘을 때, 또는 Threat Emulation·Anti-Virus가 Rapid Delivery 모드일 때 파일 검사가 끝나기 전에 연결이 닫힌 경우 등입니다.

Logs & Events 뷰에서의 위협 분석

Logs & Events 뷰는 게이트웨이를 지나는 모든 이벤트에 대해 필터·차트·리포트·통계 같은 고급 분석 도구 를 제공합니다. Threat Prevention 블레이드 정보를 필터링해 관련 연결 사고를 빠르게 모니터링·리포팅 할 수 있습니다.

쓸 수 있는 기능은 다음과 같습니다 — 위협 사고의 실시간·과거 그래프와 리포트, 빠른 데이터 조회용 그래픽 사고 타임라인, 손쉽게 구성하는 사용자 지정 뷰, 사고 관리 워크플로, 데이터 소유자에게 예약 발송하는 리포트.

Views(뷰)

Views 창은 관리자와 이해관계자에게 보안·네트워크 이벤트를 알려 줍니다. View 창은 위젯으로 이루어진 대화형 대시보드 이며, 각 위젯은 쿼리의 결과물 로 차트·표 같은 다양한 형식으로 정보를 보여 줍니다. SmartConsole에는 미리 정의된 뷰가 여럿 들어 있고, 필요에 맞춰 새 뷰를 만들거나 기존 뷰를 고칠 수 있습니다. 뷰는 생성·갱신된 시점 기준으로 정확 합니다.

Logs & Events 뷰에서 (+) 탭을 클릭하면 미리 정의된·사용자 지정 뷰와 리포트의 카탈로그가 열립니다. 뷰를 열려면 더블 클릭하거나, 뷰를 고르고 액션 바에서 Open 을 클릭합니다.

다음은 View 창의 예입니다.

p.268
p.268
번호설명
1Widget — 쿼리의 결과물. 차트·표 등으로 정보를 보여 주며, 대부분의 위젯을 더블 클릭하면 더 구체적인 뷰나 원본 로그로 드릴다운할 수 있습니다.
2Options — 뷰 커스터마이즈, 기본값 복원, Hide Identities, 내보내기.
3Query search bar — GUI 도구나 직접 입력으로 사용자 지정 쿼리를 정의합니다. 가장 최근 쿼리의 정의가 표시됩니다.
4Time Period — 뷰의 기간을 지정합니다.

Reports(리포트)

Report여러 뷰와 표지 한 장으로 이루어진 보고서입니다. 미리 정의된 리포트가 여럿 있고, 새 리포트를 만들 수도 있습니다. 리포트는 뷰보다 더 자세한 정보 를 주며 커스터마이즈·필터링·생성·예약이 가능하지만, 리포트 안으로는 드릴다운할 수 없 습니다.

(+) 탭을 클릭하면 모든 뷰·리포트의 카탈로그가 열립니다. 리포트를 열려면 더블 클릭하거나 고른 뒤 Open 을 클릭합니다. 자세한 내용은 R82 Logging and Monitoring Administration Guide 를 참고하세요.

Log Fields와 이벤트 조사

로그 필드의 의미는 Log Fields(원문 486쪽)를 참고하세요. Threat Prevention 이벤트를 어떻게 조사하는지는 Cyber Attack View — Gateway 와 MITRE ATT&CK 항목을 참고하세요.

예약 업데이트(Scheduled Updates)와 ThreatCloud

위협 방지는 최신 보호가 생명 입니다. Check Point는 보호 업데이트가 나오면 그 구성이 자동으로 게이트웨이에 적용 되기를 바랍니다. Anti-Virus, Anti-Bot, Threat Emulation, IPS 에 대해 게이트웨이의 자동 업데이트를 구성할 수 있습니다.

업데이트가 흘러오는 방식은 블레이드마다 조금 다릅니다.

  • Anti-Virus, Anti-Bot, Threat Emulation — 게이트웨이가 Check Point 클라우드에서 직접 업데이트를 내려받습니다.
  • IPS — R80.20 이전에는 업데이트가 Security Management Server로 내려받아진 뒤, 정책을 설치해야만 게이트웨이가 반영할 수 있었습니다. R80.20부터는 게이트웨이가 직접 내려받을 수 있습니다. 다만 인터넷 연결이 없는 R80.20 이상 게이트웨이 는 여전히 정책을 설치해야 업데이트가 반영됩니다.

게이트웨이에 자동 IPS 업데이트를 구성하면, 새로 내려받은 보호의 동작은 기본적으로 프로파일 설정을 따릅니다.

기본 업데이트 주기는 다음과 같습니다.

대상기본 주기
IPS, Anti-Virus, Anti-Bot2시간마다
Threat Emulation 엔진매일 05:00
Threat Emulation 이미지매일 04:00

Anti-Bot·Anti-Virus 보호 목록은 Custom Policy Tools > Protections 에서, IPS 보호 목록은 Custom Policy Tools > IPS Protections 에서 볼 수 있으며, 각 보호 옆에 업데이트 날짜가 표시됩니다.

예약 업데이트 구성하기

SmartConsole에서 Security Policies > Threat Prevention > Custom Policy > Custom Policy Tools 로 가서 다음과 같이 합니다.

  1. Updates 로 갑니다.
  2. 원하는 Software Blade 섹션으로 가서 Schedule Update 를 클릭하면 Scheduled Updates 창이 열립니다.
  3. Enable <blade> scheduled updates 가 선택돼 있는지 확인합니다.
  4. IPS 의 경우 Security Management Server 업데이트를 예약하는 옵션이 두 개 더 있습니다.
    • On successful IPS update on the Security Management Server, install policy on the Security Gateway — IPS 업데이트가 끝나면 선택한 장치에 정책을 자동 설치 합니다. Configure 로 대상 장치를 고릅니다.

— 또는 — - Update at — 업데이트 주기를 일 단위 로 정합니다. - Daily — 매일 - Days in week — 요일 선택 - Days in month — 날짜 선택 7. OK 를 클릭합니다. 8. Close 를 클릭합니다. 9. Threat Prevention 정책 을 설치합니다.

업데이트 상태 확인하기

Custom Policy Tools > Update 에는 최신 상태인 게이트웨이 수를 알려 주는 메시지 가 표시됩니다. 특정 게이트웨이의 보호가 최신인지 확인하려면 이렇게 합니다.

  1. Gateways & Servers 뷰에서 게이트웨이를 선택합니다.
  2. 게이트웨이를 오른쪽 클릭하고 Monitor 버튼을 선택하면 Device & License Information 창이 열립니다.
  3. Device Status 페이지에서 게이트웨이 상태를 봅니다.

특정 게이트웨이에서 IPS 자동 업데이트 끄기

특정 게이트웨이에서만 IPS 자동 업데이트를 끌 수 있습니다.

  1. SmartConsole에서 Gateways & Servers 뷰로 가서 게이트웨이를 더블 클릭하면 속성 창이 열립니다.
  2. 탐색 트리에서 IPS 로 갑니다.
  3. IPS Update Policy 에서 Use IPS management updates 를 선택합니다.
  4. OK 를 클릭합니다.
  5. Threat Prevention 정책 을 설치합니다.

IPS 업데이트 사용 사례

게이트웨이·Security Management Server·둘 다를 업그레이드할 때 예약 업데이트 구성이 어떻게 바뀌는지 보여 주는 시나리오입니다.

시나리오 1 — Management Server만 R80.20으로 올리고 게이트웨이는 그대로 둔 경우. 게이트웨이를 올리지 않으면, 업그레이드 후에도 게이트웨이는 독립적으로 업데이트를 받지 못하고 Management Server를 통해서만 받습니다. 따라서 구성은 업그레이드 전과 동일하게 — 업그레이드 전 설정에 따라 Management Server에서 예약 업데이트가 켜지거나 꺼진 상태로 — 유지됩니다.

시나리오 2 — 게이트웨이를 R80.20으로 올린 경우(Management Server 업그레이드 여부 무관).

  • 업그레이드 전에 자동 정책 설치까지 켜서 예약 업데이트를 구성했다면, 업그레이드 후에도 Management Server에서 자동 IPS 업데이트가 계속 켜져 있고 업그레이드된 게이트웨이에도 적용 됩니다.
  • 업그레이드 전에 예약 업데이트가 꺼져 있었다면, 업그레이드 후에도 Management Server·게이트웨이 양쪽에서 꺼진 상태로 유지 됩니다.
  • 업그레이드 전에 자동 정책 설치 없이 예약 업데이트를 구성했다면, 업그레이드 후 첫 정책 설치 때 — R80.20 이상 게이트웨이는 IPS 보호를 자동 업데이트하고, R80.10 이하 게이트웨이는 정책을 설치해야 업데이트가 적용된다는 — 메시지가 나타납니다.

문제 해결(Troubleshooting)

Threat Prevention이 예상대로 동작하지 않을 때 짚어 볼 절차들입니다.

Threat Extraction 블레이드 문제 해결

흔한 문제와 해결책을 모았습니다.

LDAP 사용자의 메일에서 위협을 추출하지 못할 때Global Properties > User Directory 에서 Use User Directory for Security Gateways 옵션이 선택돼 있는지 확인합니다.

위협이 제거된 메일이 수신자에게 도달하지 않을 때:

  1. First Time Configuration Wizard에서 MTA 연결 테스트를 통과 했는지 확인합니다.
    1. Threat Extraction 블레이드를 껐다가 다시 켭니다.
    2. First Time Configuration Wizard를 다시 완료합니다.
    3. 마법사가 연결 테스트를 통과하는지 확인합니다.
  2. 대상 MTA로의 연결을 테스트합니다.
    1. 게이트웨이 명령줄에 접속합니다.
    2. Expert mode에 로그인합니다.
    3. 지정된 Mail Transfer Agent의 25번 포트로 Telnet 해 봅니다.

Threat Extraction이 메일에서 위협을 추출하지 못할 때:

  1. SmartConsole > Gateway Properties > Mail Transfer Agent 를 엽니다.
  2. Enable as Mail Transfer Agent 가 선택돼 있는지 확인합니다.
  3. 조직의 메일 릴레이에 접속해, Threat Extraction 게이트웨이를 릴레이의 다음 홉 으로 구성합니다.

사용자가 메일을 더 이상 받지 못할 때:

  1. 게이트웨이 명령줄에서 큐를 확인합니다.
   scrub queues
   

큐가 요청으로 가득 차 있다면, Threat Extraction 부하가 게이트웨이에 비해 너무 높 다는 뜻입니다. 1. scrub 데몬을 우회합니다.

      scrub bypass on
      
  1. 영향을 받은 사용자에게 이제 메일을 받는지 물어봅니다. 받는다면 Threat Extraction을 다시 켭니다 — scrub 데몬을 다시 활성화하려면:
      scrub bypass off
      
  1. 큐가 가득 차지 않았는지 확인합니다.
    1. 큐를 확인합니다.
      /opt/postfix/usr/sbin/postqueue -c /opt/postfix/etc/postfix/ -p
      
  1. 큐가 가득 찼다면 비웁니다.
      /opt/postfix/usr/sbin/postsuper -c /opt/postfix/etc/postfix/ -d ALL
      
      /opt/postfix/usr/sbin/postfix -c /opt/postfix/etc/postfix/ flush
      
  1. 큐가 여전히 가득 차 있다면, MTA가 내부 요청으로 게이트웨이를 과부하시키지는 않는지 확인합니다. MTA는 조직 외부에서 온 메일만 검사해야 합니다.

사용자가 원본 첨부에 접근하지 못할 때 — 첨부가 정리(clean)될 때 받는 메일에서 UserCheck Portal에 접근할 수 있는지 확인합니다.

  1. 사용자에게 보낸 링크를 클릭합니다.
  2. UserCheck Portal이 제대로 열리는지 확인합니다.
  3. UserCheck Portal 대신 Gaia portal이 열린다면, UserCheck Portal 접근성이 올바로 구성됐는지 확인합니다.
    1. SmartConsole에서 Gateway Properties > UserCheck 를 엽니다.
    2. Accessibility 에서 Edit 를 클릭합니다.
    3. 게이트웨이 토폴로지에 맞는 옵션이 선택됐는지 확인합니다.
  4. CPView 를 엽니다. "access to original attachments" 통계가 더 이상 0이 아닌지 확인합니다.

Threat Extraction이 첨부를 검사하지 않을 때 — CPView의 scanned attachment 통계가 늘지 않는 경우입니다. 게이트웨이에서:

  1. 디스크·디렉터리가 가득 차지 않았는지 확인합니다.
   df -h /
   df -h /var/log
   
  1. Threat Extraction이 쓰는 디렉터리에 쓰기가 되는지 확인합니다.
   touch /tmp/scrub/test
   touch /var/log/jail/tmp/scrub/test
   touch $FWDIR/tmp/email_tmp/test
   

CPView에 Threat Extraction 오류가 보일 때 — CPView의 Software-blades > Threat-extraction > File statistics 페이지에서 전체 메일 수 대비 "internal errors" 수가 높은 경우입니다.

ThreatSpect 엔진이 과부하되거나 첨부 검사 중 실패하면 로그가 생성됩니다. 기본적으로 로그 오류를 일으킨 첨부도 수신자에게 그대로 전달 됩니다. 이를 막으려면 엔진의 fail-over 모드를 Block all connections 로 설정합니다.

  1. Manage & Settings > Blades > Threat Prevention > Advanced Settings 로 갑니다.
  2. Fail Mode 섹션에서 Block all connections (fail-close) 를 선택합니다.

이렇게 하면 Threat Extraction은 계속 검사하되, 내부 시스템 오류를 일으킨 첨부는 수신자에게 도달하지 못하게 막습니다.

손상된(corrupted) 첨부는 정리할 수 없고, 기본적으로 Logs & Events 뷰에 로그를 남기지만 수신자에게는 그대로 전달 됩니다. 손상된 첨부가 수신자에게 도달하지 못하게 하려면:

  1. SmartConsole에서 Threat Prevention > Profiles > Profile > Threat Extraction Settings 를 엽니다.
  2. Threat Extraction Exceptions 영역에서 첨부에 대해 Block 을 선택합니다.

PDF로 변환한 뒤 첨부가 흐트러져 보일 때:

  1. Security Policies > Threat Prevention > policy 에서 Action 열을 오른쪽 클릭하고 Edit 를 선택합니다.
  2. Threat Extraction > File Types 에서 Process specific file types 를 선택하고 Configure 를 클릭하면 File Types Configuration 창이 열립니다.
  3. PDF 파일 형식에 대해 추출 방식(extraction method)을 Clean 으로 설정합니다.

VSX Virtual System에서 MTA 연결 확인하기:

  1. VSX Gateway 명령줄에 접속합니다.
  2. Gaia Clish에 로그인합니다.
  3. 해당 Virtual System 컨텍스트로 이동합니다.
   vsenv <VSID>
   
  1. 결과 파일을 만듭니다.
   touch $FWDIR/conf/scrub_connectivity_results.txt
   
  1. 메일 서버와의 연결을 테스트합니다.
   /etc/fw/scripts/scrub_cvsenvheck_connectivity.sh <IP Address of Mail Server> $FWDIR/conf/scrub_connectivity_results.txt
   
  1. 이 파일을 분석합니다 — $FWDIR/conf/scrub_connectivity_results.txt.

Threat Emulation 문제 해결

ClusterXL에서 MTA 사용하기 — ClusterXL 배치에서 MTA를 켤 때는, Standby 클러스터 멤버도 다음 홉 중 하나 이상에 연결할 수 있는지 확인하세요. 그러지 않으면 Standby 멤버로 페일오버가 일어났을 때 MTA 안의 메일이 목적지로 가지 못할 수 있습니다.

MTA용 Postfix 구성하기 — Check Point MTA는 Postfix 를 쓰며, 사용자가 직접 정의한 Postfix 옵션을 더할 수 있습니다.

  1. 게이트웨이 명령줄에 접속합니다.
  2. 옵션 파일을 만듭니다.
   touch $FWDIR/conf/mta_postfix_options.cf
   
  1. 파일을 편집해 정의를 추가합니다.
  2. 변경을 저장하고 편집기를 나옵니다.
  3. SmartConsole에서 Threat Prevention 정책 을 설치합니다.

메일 에뮬레이션 문제:

Security Gateway의 IPS 문제 해결

IPS에는 Prevent로 설정된 게이트웨이에서 보호의 차단을 일시적으로 멈추는 기능이 있습니다. 네트워크 트래픽 문제를 진단할 때 유용합니다. Detect-Only(탐지 전용) 를 켜려면:

  1. SmartConsole에서 Gateways & Servers 를 클릭하고 Security Gateway를 더블 클릭합니다.
  2. 왼쪽 트리에서 IPS 를 클릭합니다.
  3. Activation Mode 섹션에서 Detect Only 를 클릭합니다.
  4. OK 를 클릭합니다.
  5. Access Control 정책 을 설치합니다. Prevent로 설정된 모든 보호가 트래픽을 통과시키되, Track 설정에 따라 위협 추적은 계속 합니다.

참고 — Autonomous Threat Prevention

Autonomous Threat Prevention미리 정의된 보안 프로파일을 갖춘 위협 방지 관리 모델 입니다. 보안 프로파일을 고르면 보안 정책이 자동으로 생성 됩니다. Autonomous Threat Prevention은 제로데이 위협으로부터 무유지보수(zero-maintenance) 보호 를 제공하고, 보호를 늘 최신으로 유지하며, 원클릭으로 게이트웨이 역할을 분류 하고, 게이트웨이 전반에 프로파일 배포를 간소화하며, 조직에 맞는 강력한 사용자 지정을 제공합니다.

p.290
p.290
번호항목설명
1Autonomous Threat Prevention PolicyAutonomous Threat Prevention 정책을 관리하는 곳.
2File Protections프로파일별 보호 파일을 보고 필요에 맞게 커스터마이즈합니다.
3Settings고급 설정.
4Autonomous Threat Prevention Profiles프로파일을 선택합니다.
5Deployment Dashboard고급 구성.
6OverviewAutonomous Threat Prevention이 멀웨어 공격을 다루는 방식을 봅니다.
7What's NewAutonomous Threat Prevention에 새로 들어온 업데이트를 봅니다.

Threat Prevention 보안 정책을 직접 수동으로 만들고 싶다면 Custom Threat Prevention을 참고하세요.