09Autonomous — 블레이드별 설정Autonomous — 블레이드별 설정
Autonomous 프로파일을 고른 뒤에도, 게이트웨이에서 각 보호 블레이드를 세부 설정 할 수 있습니다. 이 장은 Threat Emulation·Threat Extraction·Zero Phishing·IPS Protections, 그리고 고급 Threat Emulation 설정의 Autonomous 구성을 빠짐없이 정리합니다. 큰 그림은 프로파일이 자동으로 잡되, 에뮬레이션을 어디서 할지, 어떤 콘텐츠를 정리할지, 피싱을 어떻게 막을지, 개별 IPS 보호를 어떻게 손볼지 같은 세부는 여기서 다듬는 구조입니다. 더 깊은 운영·고급 조정은 Autonomous — 고급·운영에서 이어집니다. 대부분의 설정은 마지막에 Threat Prevention 정책을 설치(Install Policy) 해야 적용된다는 점을 기억하세요.
Threat Emulation
Threat Emulation 은 의심 파일을 가상 샌드박스에서 실제로 실행해 익스플로잇 단계에서 악성 행위를 잡아내는 기능입니다(솔루션 개요). 게이트웨이에서 정할 핵심은 에뮬레이션을 어디서 하는가(분석 위치), 활성화 모드, 그리고 어플라이언스 자원 배분 입니다.
로컬·원격 에뮬레이션 준비하기
Threat Emulation 어플라이언스 를 쓰는 배포라면, 내부망에서 로컬 또는 원격으로 동작하도록 네트워크와 어플라이언스를 먼저 준비해야 합니다.
| 단계 | 할 일 |
|---|---|
| 1 | SmartConsole 을 엽니다. |
| 2 | Threat Emulation 어플라이언스용 Security Gateway 오브젝트 를 만듭니다. |
| 3 | HTTPS 트래픽에 에뮬레이션을 돌린다면 HTTPS Inspection 설정을 구성합니다. |
| 4 | 배포 방식에 맞게 트래픽이 어플라이언스로 가도록 합니다. Local Emulation 은 어플라이언스가 트래픽을 직접 받고(Security Gateway처럼 트래픽을 구성), Remote Emulation 은 트래픽을 어플라이언스로 라우팅 합니다. |
분석 위치 바꾸기(Analysis Location)
에뮬레이션 분석을 어디서 수행할지는 Gateway Properties 의 Threat Emulation 페이지에서 고르거나 바꿉니다.
- Threat Emulation 어플라이언스의 Security Gateway 오브젝트 를 더블클릭하면 Gateway Properties 창이 열립니다.
- 내비게이션 트리에서 Threat Emulation 을 선택해 Threat Emulation 페이지를 엽니다.
- Analysis Location 섹션에서 위치를 고릅니다.
| 옵션 | 의미 |
|---|---|
| According to the gateway | 게이트웨이 구성을 따릅니다. |
| Specify > Check Point ThreatCloud | 파일을 Check Point ThreatCloud 로 보내 에뮬레이션합니다. |
| Specify > Local Gateway | 이 Security Gateway가 직접 에뮬레이션합니다. |
| Specify > Remote Emulation Appliances | 원격 어플라이언스가 에뮬레이션합니다. 하나 이상의 어플라이언스 를 골라 분산할 수 있습니다. |
- (선택) Emulate files on ThreatCloud if not supported locally 를 켜면, 어플라이언스가 지원하지 않지만 ThreatCloud가 지원하는 파일 은 ThreatCloud로 보내 에뮬레이션합니다. 이 파일들에는 추가 라이선스가 필요 없 습니다.
- OK 를 누르고, Threat Emulation 어플라이언스에 정책을 설치합니다.
활성화 모드(Activation Mode) 설정하기
Security Gateway 또는 Threat Emulation 어플라이언스의 보호 활성화 모드 를 바꿀 수 있습니다. 에뮬레이션이 Threat Prevention 정책에 정의된 액션을 따르게 할지, 아니면 악성코드를 탐지·로그만 남길지 고르는 설정입니다. Gateway Properties > Threat Emulation 의 Activation Mode 섹션에서 다음 중 하나를 고른 뒤 OK 하고 정책을 설치합니다.
| 옵션 | 의미 |
|---|---|
| According to policy | Threat Prevention 정책에 정의된 액션을 그대로 적용합니다. |
| Detect only | 악성코드를 탐지하고 로그만 남기며 실제 차단은 하지 않습니다. |
시스템 자원 최적화(Resource Allocation)
Resource Allocation 설정은 Threat Emulation 어플라이언스를 쓰는 배포에서만 의미가 있습니다. 에뮬레이션은 악성코드와 의심 행위를 가려내느라 시스템 자원을 많이 쓰는데, 이 설정으로 어플라이언스 자원을 얼마나 에뮬레이션에 할당할지 정합니다. 값을 바꾸면 네트워크와 에뮬레이션 성능에 영향이 갑니다. 다룰 수 있는 자원은 두 가지입니다.
- 최소 여유 하드디스크 공간 — 파일에 에뮬레이션이 수행되지 못하면, Threat Prevention의 Fail Mode 설정 이 그 파일을 허용할지 차단할지 결정합니다.
- 가상 머신(VM)이 쓸 수 있는 최대 RAM.
RAM을 바꿀 때 권장 기준은 이렇습니다. 어플라이언스를 Threat Emulation 전용으로만 쓴다면 가용 RAM을 늘리고, 다른 Software Blade도 함께 돌린다면 가용 RAM을 줄입니다.
설정은 Gateway Properties > Threat Emulation > Advanced 페이지에서 합니다.
- 에뮬레이션 중단은 Log 저장소가 자동으로 로그 파일을 지우는 시점 과 맞물립니다. 관련 값을 바꾸려면(로그 파일 삭제에도 영향을 줍니다) Logs > Local Storage 로 가서 When disk space is below
<value>Start deleting old files 의<value>를 바꿉니다. - 에뮬레이션에 쓸 최대 RAM을 정하려면 Limit memory allocation 을 선택합니다. 기본값은 어플라이언스 전체 RAM의 70% 입니다.
- (선택) 가용 RAM 양을 바꾸려면 Configure 를 눌러 Memory Allocation Configuration 창에서 값을 넣고 OK 합니다.
| 단위 | 유효 범위 |
|---|---|
| % of total memory | 전체 RAM의 백분율. 20 ~ 90% |
| MB | Threat Emulation이 쓸 총 RAM(MB). 512 MB ~ 1000 GB |
- When limit is exceeded traffic is accepted with track 에서, 파일이 에뮬레이션으로 보내지지 못했을 때의 액션을 고릅니다.
| 액션 | 의미 |
|---|---|
| None | 아무 동작도 하지 않습니다. |
| Log | 동작을 로그로 남깁니다. |
| Alert | SmartView Monitor 로 경고를 보냅니다. |
- OK 를 누르고 Threat Prevention 정책을 설치합니다.
Threat Extraction
Threat Extraction 은 파일에서 악용 가능한 콘텐츠(액티브 콘텐츠·임베디드 객체)를 제거한 안전한 사본을 즉시 전달 하거나 PDF로 변환하는 기능입니다(CDR). 게이트웨이에서의 기본 설정은 다음과 같습니다.
- Gateways & Servers 뷰에서 Security Gateway 오브젝트를 더블클릭하고 Threat Extraction 페이지를 클릭합니다.
- Activation Mode 가 Active 인지 확인합니다.
- Resource Allocation 섹션에서 자원 설정을 구성합니다.
- OK 를 누릅니다.
- Install Policy.
Threat Extraction API 를 쓰려면 Security Gateway 오브젝트를 열어 Threat Extraction > Web API > Enable API 로 켭니다.
Threat Extraction과 Endpoint Security
네트워크 Security Gateway에서 Threat Extraction 블레이드와 SandBlast Agent for Browsers 가 둘 다 활성화 되어 있으면 특별한 구성이 필요합니다. 그러지 않으면 파일을 내려받을 때 게이트웨이의 Threat Extraction과 SandBlast Agent가 같은 파일을 두 번 정리 할 수 있습니다.
이를 막으려고 Security Gateway는 Threat Extraction이 정리한 모든 파일에 디지털 서명 을 붙입니다. SandBlast Agent가 내려받은 파일을 가로챘을 때 그 서명이 정상 검증되면 다시 정리하지 않 으므로 이중 정리가 일어나지 않습니다. 서명과 Endpoint 관리 구성 방법은 sk142732 를 참고하세요.
클러스터에서 Threat Extraction 구성
클러스터 구성은 Security Gateway 구성과 거의 같지만, 클러스터에만 해당하는 지침이 있습니다.
- Gateways & Servers 뷰에서 클러스터를 우클릭하고 edit 를 누릅니다.
- ClusterXL and VRRP 페이지를 엽니다.
- High Availability 를 선택합니다.
Threat Extraction 통계
통계를 보려면 Threat Extraction이 켜진 Security Gateway 명령줄에 접속해 다음을 실행합니다.
cpstat scrub -f threat_extraction_statisticsSecurity Gateway CLI — scrub 메뉴
Security Gateway에는 Threat Extraction 메뉴 가 있습니다. 이 메뉴로는 디버그 메시지 제어, 큐 정보 확인, 초기 이메일 첨부의 수신자 전송, ThreatCloud 자동 업데이트 등을 할 수 있습니다. 사용하려면 Security Gateway(또는 각 Cluster Member) 명령줄에 접속해 Expert mode 로 로그인한 뒤 scrub 을 실행합니다. 메뉴에는 다음 옵션이 있습니다.
| 옵션 | 설명 |
|---|---|
debug | 디버그 메시지를 제어합니다. |
queues | Threat Extraction 큐 정보를 보여 줍니다. MTA(mail transfer agent)와 scrubd 데몬의 큐 상태·부하를 파악하는 데 도움이 됩니다. MTA→scrubd의 현재 대기 요청 수와 최대치, scrubd→scrub_cp_file_convert 의 현재 대기 요청 수와 최대치 를 보여 줍니다. |
send_orig_email | 원본 이메일을 수신자에게 보냅니다. 보내려면 참조 번호(reference number — 사용자가 받은 메일의 링크 클릭)와 이메일 ID(email ID — Logs & Events 로그 또는 디버그 로그) 가 필요합니다. |
bypass | 모든 파일을 우회시킵니다. scrubd(Threat Extraction) 데몬 문제를 디버그할 때 씁니다. bypass를 active로 두면 MTA→scrub 데몬 요청이 처리되지 않아 Threat Extraction이 중단 되고 어떤 파일도 정리되지 않습니다. |
counters | 카운터를 보여 주고 초기화합니다. |
update | Download Center에서 받는 업데이트를 관리합니다. |
send_orig_file | 원본 파일을 이메일로 보냅니다. |
cache | 캐시를 보여 주고 초기화합니다. |
backup_expired_mail | 만료된 메일을 외부 저장소로 백업합니다. |
원본 파일 보관(Storage of Original Files)
Threat Extraction 블레이드는 악성 가능성이 있는 콘텐츠를 없애려고 파일을 재구성(정리하거나 PDF로 변환)합니다. 재구성한 뒤 원본 파일은 게이트웨이에 일정 기간 보관 됩니다.
메일 첨부
메일 첨부는 기본 14일 동안 보관됩니다. 보관 일수를 바꾸려면 다음과 같이 합니다.
- 왼쪽 내비게이션에서 Gateways & Servers 를 클릭합니다.
- Security Gateway/Cluster 오브젝트를 엽니다.
- 왼쪽 트리에서 Threat Extraction 을 클릭합니다.
- Resource Allocation > Delete stored original files older than
xDays 로 갑니다. - 일수를 바꿉니다 — 최대 45일 까지.
- OK 를 누릅니다.
- Threat Prevention 정책을 설치합니다.
더 오래 보관하려면 외부 저장소로 백업해야 합니다(아래 참고).
웹 다운로드
웹 다운로드는 기본 2일 동안 보관됩니다. 일수를 바꾸려면 명령줄에서 합니다.
- Security Gateway(또는 각 Cluster Member) 명령줄에 접속합니다.
- Expert mode 로 로그인합니다.
$FWDIR/conf/scrub_debug.conf파일을 편집합니다.http_keep_original_duration을 찾아 값을 바꿉니다 — 2 ~ 45일 사이.- 파일을 저장하고 편집기를 닫습니다.
더 오래 보관하려면 외부 저장소로 백업해야 합니다.
외부 저장소로 백업(Backup to External Storage)
디스크 공간이 부족하면 메일 첨부나 웹 다운로드를 외부 저장소로 백업할 수 있습니다.
- Security Gateway(또는 각 Cluster Member) 명령줄에 접속해 Expert mode 로 로그인합니다.
- 백업 폴더를 만듭니다.
mkdir /mnt/<local_backup_folder>
mount -t cifs <remote_folder> /mnt/<local_backup_folder>
vi $FWDIR/conf/scrub_debug.conf
:external_storage섹션을 찾아 값을 설정합니다.enabled값을0에서1로 바꿉니다.external_path에 로컬 백업 폴더의 전체 경로를 적습니다.expired_in_days는 만료 며칠 전에 백업할지 를 정합니다(여기 넣는 값만큼 만료 전에 백업이 수행됨).
:external_storage (
:enabled (1)
:external_path ("/mnt/MyLocalBackupFolder")
:expired_in_days (5)
- 파일을 저장하고 편집기를 닫습니다.
백업을 수동으로 시험하려면 다음을 실행합니다. <days for expired entries> 에는 0 을 넣습니다.
scrub backup_expired_mail <days for expired entries> <external_path>Zero Phishing
Zero Phishing 은 머신러닝으로 알려진·zero-day 피싱 사이트를 실시간 차단 합니다(Custom 시작하기). 기본적으로 Perimeter 와 Strict 프로파일에서 켜져 있습니다. 반면 In-Browser Zero Phishing 은 모든 프로파일에서 기본 꺼짐 상태입니다.
In-Browser Zero Phishing 켜기
In-Browser Zero Phishing은 브라우저의 HTML 폼을 클라이언트(엔드포인트)에서 실시간 검사 합니다. 켜는 방법은 다음과 같습니다.
- SmartConsole 에서 Threat Prevention > Autonomous Policy > Settings > Advanced Settings 로 갑니다.
- 드롭다운에서 In-browser Zero Phishing 을 고릅니다.
- 값을 On 으로 바꿉니다.
- Apply 를 누릅니다.
- Threat Prevention 정책을 설치합니다.
HTTPS Inspection 이 켜져 있으면 In-Browser Zero Phishing에는 두 가지가 필요합니다.
- 인증서 — HTTPS Inspection이 자동으로 생성합니다.
- Security Gateway(또는 각 Cluster Member)의 FQDN 설정 — In-Browser Zero Phishing은 엔드포인트(클라이언트)에서 동작 하므로, 엔드포인트가 FQDN에 기반한 HTTPS 로 게이트웨이와 통신할 수 있어야 합니다.
FQDN은 Security Gateway/Cluster 오브젝트에서 설정합니다.
- Zero Phishing 탭으로 갑니다.
- FQDN for Zero Phishing 섹션에서 다음 중 하나를 고릅니다.
| 옵션 | 의미 |
|---|---|
| Use automatic settings (recommended) | 자동 설정으로 동작합니다. 자세한 원리는 sk181389 참고. |
| Gateway FQDN(Fully Qualified Domain Name) | 직접 FQDN을 지정합니다. 이때 그 FQDN이 DNS 서버의 DNS 레코드에 있어야 합니다. |
- OK 를 누릅니다.
- Access Control 과 Threat Prevention 정책을 모두 설치합니다.
제한 사항 — In-Browser Zero Phishing은 Internet Explorer를 지원하지 않 고, 미러링 트래픽(Mirror Port·Span Port·Tap 모드)도 지원하지 않 습니다.
Zero Phishing과 미분류 사이트
Cloud Service가 피싱인지 정상(Benign)인지 분류하지 못한 사이트 를 차단할지 허용할지 정할 수 있습니다. Security Gateway CLI에서 다음 명령을 씁니다.
zph att set inbrowser_block_unclassified_sites 1 # 미분류 사이트 차단
zph att set inbrowser_block_unclassified_sites 0 # 미분류 사이트 허용(기본값)Zero Phishing 예외(Exceptions)
인기 사이트를 불필요하게 검사하지 않도록, 특정 인기 사이트를 우회 하게 설정하길 권장합니다.
- SmartConsole 의 Security Policies 뷰 > Threat Prevention > Exceptions 로 갑니다.
- Add Exception > Below 를 누릅니다.
- 규칙 이름을 정합니다.
- Protected Scope 열에서 — + 버튼을 누르고, 열린 창에서 Import > Updatable Objects 로 가서 Zero Phishing Bypass 를 검색해 선택하고 OK 를 누릅니다.
- Protection/Site/File/Blade 열에서 — + 버튼을 누르고, 드롭다운에서 Blades 를 고른 뒤 블레이드 목록에서 Zero Phishing 을 선택합니다.
- Action 열에서 Inactive 를 고릅니다.
- Threat Prevention 정책을 설치합니다.
IPS Protections
IPS 는 수천 개의 시그니처와 행위·선제 보호를 제공하고(솔루션 개요), Autonomous에서는 프로파일이 적절한 보호 세트를 자동으로 적용하되 필요하면 개별 보호(protection)를 직접 조정 할 수 있습니다.
Protection Browser — 보호 둘러보기
Protection browser 는 Threat Prevention 블레이드의 보호 유형과 핵심 정보·사용 지표를 한눈에 보여 줍니다. IPS 보호 요약 표의 기본 열은 다음과 같습니다.
| 열 | 설명 |
|---|---|
| Protection | 보호의 이름. 보호 유형 설명은 창 아래쪽에 표시됩니다. |
| Industry Reference | 공격의 국제 CVE 또는 CVE 후보 이름. |
| Performance Impact | 이 보호가 Security Gateway 성능에 주는 영향. 가능하면 정확한 수치로 표시합니다. |
| Severity | 환경에서 공격이 성공했을 때의 추정 심각도. |
| Confidence Level | IPS가 그 공격을 얼마나 확신하고 식별 하는지. |
| Profile_Name | IPS 프로파일별 보호 활성화(Activation) 설정. |
각 지표를 어떻게 읽는지가 중요합니다.
- Severity — Critical·High 심각도 보호는 켜는 것 이 원칙입니다. 다만 특정 보호를 끄겠다는 확신이 있으면 예외입니다. 예컨대 Severity가 High인데 Performance Impact가 Critical인 보호라면, 켜기 전에 정말 필요한지 확인 하세요.
- Confidence Level — 어떤 공격은 다른 것보다 덜 심각하고, 정상 트래픽이 위협으로 오인될 수 있습니다. 이 값은 보호가 공격을 얼마나 정확히 식별하는지 를 나타냅니다. 정상 트래픽이 어떤 보호에 막히는데 그 보호의 Confidence가 Low 라면, 그 보호에 더 세밀한 구성이 필요 하다는 좋은 신호로 보면 됩니다(연결 문제 해결에 도움).
- Performance Impact — 어떤 보호는 자원을 많이 쓰거나 흔한 트래픽에 적용돼 성능을 떨어뜨립니다. Critical·High Performance Impact 보호는 Critical·High Severity가 아니거나 꼭 필요한 게 아니면 켜지 않 는 식으로 다룹니다. 트래픽 부하가 큰 게이트웨이에서는, 클라이언트·서버가 섞인 많은 컴퓨터에 영향을 주는 프로파일에 High/Critical 보호를 켤 때 특히 신중해야 합니다. 이 값으로 게이트웨이 과부하를 막는 최적 프로파일 을 만드세요.
보호 유형(Protection Types)
IPS 보호는 두 종류로 나뉩니다.
| 유형 | 설명 |
|---|---|
| Core protections | 제품에 포함돼 게이트웨이별로 할당 되며, Access Control 정책의 일부입니다. |
| ThreatCloud protections | Check Point 클라우드에서 갱신되며(아래 업데이트 참고), Threat Prevention 정책의 일부입니다. |
IPS 보호 둘러보기·필터·정렬
IPS Protections 요약에서는 모든 보호와 그 설정을 빠르게 훑어볼 수 있습니다. 보호 목록을 보려면 SmartConsole 에서 Security Policies 페이지의 Threat Prevention 을 선택하고, Autonomous Policy Tools 섹션에서 IPS Protections 를 누릅니다. 이 페이지는 보호 이름, 엔진, 또는 열에 표시된 어떤 정보 유형 으로든 검색할 수 있습니다.
보호를 필터링하려면 IPS Protections 창에서 Filter 아이콘을 누릅니다. Filters 창에 IPS 보호 카테고리가 나타납니다.
- 카테고리를 더 넣으려면 Add filter 버튼을 누르고, 열린 창에서 카테고리를 고르면 Filters 창에 추가됩니다.
- 적용할 필터를 하나 이상 누릅니다.
- 카테고리의 모든 추천 필터를 보려면 View All 을 누릅니다.
정보 기준으로 정렬하려면 원하는 열 머리글 을 클릭합니다.
IPS 보호 업데이트(Updating IPS Protections)
Check Point는 최신 위협에 맞춰 보호를 계속 개발·개선합니다. IPS는 실시간 공격 정보와 최신 보호로 즉시 업데이트 할 수 있고, 자동 다운로드·설치 일정도 잡을 수 있습니다. 다만 IPS 보호는 많고 복잡하므로 수동으로 설정을 바꾸기 전에 충분히 이해 해야 합니다.
업데이트하려면 SmartConsole 의 Security Policies 뷰 > Threat Prevention > Autonomous Policy Tools 섹션에서 Updates 를 누릅니다.
- IPS 섹션의 Update Now 드롭다운에서 고릅니다.
| 옵션 | 의미 |
|---|---|
| Download with SmartConsole | Security Management Server가 인터넷에 접속할 수 없을 때 씁니다. |
| Download with Security Management Server | Security Management Server로 내려받습니다. |
| Offline Update | 파일을 수동으로 업로드 합니다. 업데이트 파일을 골라 Open 을 누릅니다. |
- Threat Prevention 정책을 설치합니다.
IPS 업데이트 일정 잡기
최신 IPS 보호와 보호 설명을 내려받는 일정을 구성할 수 있습니다(자세한 내용은 Custom Threat Prevention의 Scheduled Updates 항목 참고).
이전 IPS 보호 패키지로 되돌리기
문제 해결이나 성능 튜닝을 위해 이전 IPS 보호 패키지로 되돌릴 수 있습니다.
- Threat Prevention Updates 페이지의 IPS 섹션에서 Switch to version 을 누릅니다.
- 열린 창에서 IPS Package Version 을 고르고 OK 를 누릅니다.
- Threat Prevention 정책을 설치합니다.
새 보호 검토하기
새로 내려받은 보호를 보려면 SmartConsole 에서 Security Policies > Threat Prevention > Autonomous Policy Tools 로 갑니다.
- IPS Protections 로 갑니다.
- Update Date 열로 보호를 날짜순 정렬합니다. 기본적으로 최신 보호가 먼저 나오며, 그렇지 않으면 열을 눌러 최신순으로 정렬합니다.
IPS 보호 Follow Up
Follow up 표시는 고른 IPS 보호를 따로 모니터링 하게 해 줍니다. 모니터링할 보호를 표시해 두면 IPS Protections 페이지에서 매번 검색하지 않고 필터 로 바로 볼 수 있습니다. Follow Up 표시된 보호를 보려면 Security Policies > Threat Prevention > Autonomous Policy Tools 로 가서 IPS Protections > Filters 에서 Follow Up 을 선택합니다.
개별 보호를 직접 표시할 수도, IPS Updates 페이지에서 갱신된 모든 보호를 한꺼번에 표시할 수도 있습니다.
수동으로 Follow Up 표시하기
개별 보호를 Follow Up 으로 표시하면 IPS Protections 페이지에서 빠르게 검토할 수 있습니다. 다만 목록은 가능한 한 짧게 유지해야 쓸모가 있습니다 — 새로 내려받은 보호와 모니터링하려는 보호를 표시하되, 환경에 맞게 잘 구성했다고 확신하면 목록에서 빼 세요. 목록이 길수록 작업 목록으로 쓰기 어려워집니다.
표시하려면 IPS Protections 페이지에서 보호를 하나 이상 골라 우클릭하고 Follow Protection 을 고릅니다. 해제하려면 우클릭해 Follow Protection 을 끕니다. IPS 보호가 업데이트될 때마다 자동으로 Follow Up 표시되며, 해제하려면 Unfollow Protections 를 누릅니다. 표시 전체를 지우려면 Actions > Cleanup Options > Remove All Follow Up Flags 로 갑니다.
새 보호를 자동으로 Follow Up 표시하기
Check Point는 새·갱신 보호를 나오는 대로 제공합니다. 새 보호가 환경에 주는 영향을 평가할 시간을 갖도록, 새 보호를 자동으로 Follow Up 표시 하게 만들 수 있습니다. SmartConsole 에서 Security Policies > Threat Prevention > Autonomous Policy Tools 로 가서 Updates > IPS > Follow Protections 로 갑니다.
고급 Threat Emulation 설정
배포에 맞춰 Threat Emulation을 더 세밀하게 조정하는 고급 설정입니다.
Threat Emulation 업데이트하기
Threat Emulation은 ThreatCloud 에 접속해 엔진과 운영체제 이미지 를 갱신합니다. 어플라이언스의 기본 설정은 엔진·이미지를 자동으로, 하루 한 번 내려받는 것입니다.
자동 업데이트를 켜고 끄려면 SmartConsole 에서 Security Policies > Threat Prevention > Autonomous Policy > Autonomous Policy Tools 로 갑니다.
- Updates 로 가서 Updates 페이지를 엽니다.
- Threat Emulation 아래 Schedule Update 를 누릅니다.
- 다음 항목을 켜거나 끕니다 — Enable Threat Emulation engine scheduled update, Enable Threat Emulation images scheduled update.
- 엔진·이미지 업데이트 일정을 정하려면 Configure 를 누릅니다.
- 자동 업데이트 설정을 구성합니다.
- 몇 시간마다 갱신하려면 Update every 를 골라 시·분·초를 정합니다.
- 매일 갱신하려면 Update at > Daily 를 고르고 시각을 정합니다.
- 주·월 단위로 여러 번 갱신하려면 At 을 골라 시각을 입력하고, Days 를 눌러 Days of week 또는 Days of month 를 고른 뒤 해당 요일·날짜를 선택합니다.
- OK 를 누르고 Threat Prevention 정책을 설치합니다.
이미지를 수동으로 업데이트하기
OS 이미지 업데이트 패키지는 보통 수 기가바이트에 이릅니다(실제 크기는 구성에 따라 다름). 기본 설정은 매주 일요일 한 번 내려받는 것인데, 일요일이 근무일이라면 근무일이 아닌 날 로 바꾸길 권장합니다.
게이트웨이에서 OS 이미지를 수동으로 갱신하려면 SmartConsole 에서 Security Policies > Threat Prevention > Autonomous Policy > Autonomous Policy Tools 로 갑니다.
- Updates 페이지를 엽니다.
- Threat Emulation 아래 Update Images 를 누릅니다.
- 게이트웨이를 고르고 OK 를 누릅니다.
- Threat Prevention 정책을 설치합니다.
어플라이언스 미세 조정(Fine-Tuning)
에뮬레이션 한도(Emulation Limits)
에뮬레이션 대기 파일이 너무 쌓이지 않도록 한도를 정합니다.
- 최대 파일 크기 — 최대 100,000 KB 까지.
- 블레이드가 에뮬레이션에 쓰는 최대 시간.
- 파일이 큐에서 에뮬레이션을 기다리는 최대 시간(Threat Emulation 어플라이언스 전용).
이 가운데 한 사유로 파일에 에뮬레이션이 수행되지 못하면, Threat Prevention의 Fail Mode 설정 이 허용·차단을 결정합니다.
| Fail Mode | 동작 |
|---|---|
| Allow all connections (Fail-open) | 엔진 과부하·장애 시 모든 연결을 허용 합니다(기본값). |
| Block all connections (Fail-close) | 엔진 과부하·장애 시 모든 연결을 차단 합니다. |
설정 절차는 다음과 같습니다.
- SmartConsole 에서 Manage & Settings > Blades > Threat Prevention > Advanced Settings 로 가면 Threat Prevention Engine Settings 창이 열립니다.
- Threat Emulation 탭 > Emulation Limits 로 갑니다.
- Maximum file size for emulation 과 Maximum file time in queue 를 설정합니다.
- When limit is exceeded traffic is accepted with track 에서 액션을 고릅니다(None / Log / Alert — 위와 동일).
- OK 를 누르고 정책을 설치합니다.
로컬 캐시 크기
Threat Emulation 분석에서 파일이 깨끗하다고 판명되면 그 파일의 해시가 캐시에 저장 됩니다. 새 파일을 에뮬레이션으로 보내기 전에 캐시와 비교해, 일치하면 다시 에뮬레이션할 필요가 없습니다. 이렇게 캐시는 네트워크 성능을 끌어올리는데, 이 설정은 그대로 두길 권장 합니다.
에뮬레이션 이미지 관리(Image Management)
어플라이언스별·Threat Emulation 프로파일별로 어떤 OS 이미지를 쓸지 정의할 수 있습니다. 프로파일과 어플라이언스에 서로 다른 이미지가 정의되면, 양쪽 모두에서 선택된 이미지만 에뮬레이션에 쓰입니다. 어느 한쪽에서만 선택된 이미지는 쓰이지 않습니다. 설정은 Gateway Properties > Threat Emulation > Advanced 의 Image Management 섹션에서 합니다.
| 옵션 | 의미 |
|---|---|
| Use all the images that are assigned in the policy | Emulation Environment 창에서 구성된 이미지를 에뮬레이션에 씁니다. |
| Use specific images | Security Gateway가 쓸 이미지를 하나 이상 직접 골라 씁니다. |
고른 뒤 OK 를 누르고 Threat Prevention 정책을 설치합니다.