| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- 클라우드
- 웹크롤링
- python
- AWS
- 리스트
- 인터넷게이트웨이
- VGG19
- selenium
- 보안
- Firewall
- 패킷 필터링
- 위협탐지
- 네트워크 방화벽
- 표 크롤링
- phpwrapper
- VPC
- 방화벽
- 파이썬
- aws network firewall
- Crawling
- Security
- 테이블 크롤링
- 크롤링
- Network firewall
- apex one
- 기업용백신
- AWS 클라우드
- aws firewall
- apex central
- 빈칸넣기
- Today
- Total
민주의네모들
[TrendMicro] Apex One 백신 리뷰 본문
백신은 개인용 백신만 써보고(ex. V3 ..)
백신을 써보더라도 그냥 노트북에 깔아놓고 평소에는 신경도 안썼다가
이번에 기업용 백신을 리뷰해볼 기회가 있어서 이렇게 블로그에 정리해보려고 한다.
이번에 리뷰할 기업용 백신은 트렌드마이크로 사의 Apex one이다.
무료 SaaS 평가판은 아래 링크에서 다운받을 수 있다.
www.trendmicro.com/ko_kr/business/products/user-protection/sps/endpoint.html
Apex One Endpoint Security Solution (OfficeScan, Redefined) | Trend Micro
하이파이 (high fidelity) 머신러닝 및 최신 랜섬웨어 보호 기능 등 광범위한 성능으로 엔드포인트를 보호합니다.
www.trendmicro.com
나는 위 링크에서 무료 평가판을 신청해 사용하였는데, 30일동안 사용 가능하다고 한다.
무료 평가판 신청을 마치면 메일로 관리서버(웹 콘솔) 링크를 보내준다.
링크를 타고 들어가 생성한 아이디와 비밀번호로 로그인하고
Google Authenticator로 2차 인증까지 설정해주면 준비 완료!
관리서버로 로그인이 되면 맨 처음 위와 같은 화면이 뜬다.
대충 살펴보면, 우리가 보호하고자 하는 자산에 어떤 위협이 있었는지(ex. 랜섬웨어, APT공격 등)
보여주는 웹 콘솔인 것 같은 느낌이 든다.
결론적으로 관리서버는 보호되는 모든 엔드포인트 및 사용자를 관리하고,
모니터링하고, 어떤 보안 이슈가 있었는지를 보여주는 Apex 중앙 서버이다.
위와 같이 웹 콘솔 형태로 되어 있다.
그러면 이쯤해서 의문이 들 것이다.
그러면 이런 서버는 관리 및 결과 확인에 사용되는거고.. 실제로 위협 탐지는 누가하지?
관리서버에서 클라이언트 프로그램(agent)를 다운받아야 한다.
클라이언트 프로그램은 위협 탐지, security agent 시작 및 종료, 스캔 시작 및 업데이트 완료와 같은
이벤트정보를 실시간으로 관리 서버로 보낸다.
관리 서버는 그 정보를 보기 좋게 시각화하여 관리자에게 제공하는 것이다.
관리자는 관리 서버에서 agent 설정을 제어하고 사용자에게 특정 권한을 부여하는 등의 작업을 할 수 있다.
이제 관리 서버와 클라이언트 프로그램의 각 역할에 대해 이해가 좀 되었는가?
agent 다운로드는 관리 서버에서 다운받을 수 있다.
그럼 이제 클라이언트, 관리 서버를 차례로 살펴보며 어떤 기능이 있는지 살펴보자.
1) 클라이언트 (Apex One Security Agent)
다운로드 받으면, 아래 사진과 같이 에이전트 프로그램이 백그라운드로 실행된다.
해당 아이콘을 우클릭하여 "Security Agent 콘솔 열기"를 클릭하면 agent 프로그램을 열 수 있다.
메인 콘솔은 이렇게 생겼다.
원래 클라이언트가 수행하고 있는 탐지 결과를 확인하는 것은 관리 서버에서 훨씬 자세하게 볼 수 있지만
이렇게 agent 콘솔을 열어 간단하게 확인할 수도 있다.
agent 메인 콘솔은 지금 보호가 잘 이루어지고 있는지, 소프트웨어가 최신인지, 탐지된 바이러스/악성 프로그램이 없는지 등등을 한눈에 쉽게 확인할 수 있도록 되어있다.
메인 콘솔의
이런 버튼을 클릭하면 로그를 확인할 수 있다.
날짜 범위와 로그 유형을 선택하면 그에 해당하는 결과를 볼 수 있다.
로그 유형은 Virus/Malware, Firewall, Suspicious Connection, Data Loss Prevention 등 아주 다양하다.
메인 콘솔의
버튼을 누르면 수동 스캔이 가능하다.
위 그림과 같이 스캔할 대상을 선택하여 수동으로 스캔할 수 있다.
스캔 중에는 progress bar와 함께 스캔된 파일과 탐지된 위협을 볼 수 있으며,
스캔이 끝나면 스캔 결과가 뜨고 관리자는 필요한 조취를 취할 수 있다.
2) 관리 서버 (웹 콘솔)
그럼 이제 관리 서버에 대해 알아보자!
관리 서버에서는 탐지된 위협에 대한 결과를 볼 수 있고 클라이언트에 대한 세부 설정을 할 수 있다.
1. Dashboard
관리자는 대시보드를 사용하여 여러 유형의 보안 위협에 대한 정보를 시각적으로 빠르게 확인할 수 있다.
대시보드는 몇 가지 탭과 위젯이 기본적으로 구성되어 있다.
- 탭: Summary, Threat investigation, Security Posture, Data Loss Prevention, Compliance, Threat Statistics
- 위젯: ex) Summary 탭 - Critical Threats, Ransomware Prevention, ...
apex one이 좋은 점은, 이 대시보드를 사용자가 커스터마이징하여 새롭게 생성하거나 변경할 수 있다는 점이다.
위 사진은 내가 임의로 'minjoo'라는 이름의 새로운 대시보드를 만들어본 것이다.
탭 구역의 + 모양을 클릭하여 새로운 대시보드를 생성할 수 있고,
원하는대로 대시보드를 구성할 위젯을 선택할 수 있다.
2. Detections
여기에서는 제품의 로그를 확인하고(Logs), 이벤트에 대한 알림을 설정하고(Notifications),
수집된 데이터를 사용하여 보고서를 만들 수 있다(Reports).
- Logs
- Log Query
- Apex Central에서 생성한 로그와 관리되는 제품의 로그 데이터를 쿼리한다.
- System Events 종류, 대상, 시간을 설정하여 로그를 검색할 수 있다.
- Log Query
+ Log Aggregation Settings에서 로그 수집이 필요하지 않는 제품의 수집을 비활성화 할수도 있으며,
Log Maintenance에서 로그 이름에 따른 로그 양, 오래된 정도 등을 확인하여 한번에 삭제할 수도 있다.
- Notifications
- 다양한 유형의 보안 이벤트에 대해 개인 또는 수신자 그룹에게 알람을 설정할 수 있다.
- 이벤트 범주 설정
- Reports
- 여러 제품 콘솔에 로그온하지 않고도 등록된 모든 제품의 데이터를 통합하는 보고서를 생성, 다운로드 및 전송할 수 있다.
- 요청시 일회용 보고서 생성
- 사용자가 정의한 일정에 따라 보고서를 자동으로 생성하여 지정된 수신자에게 보내도록 예약 가능
- 여러 제품 콘솔에 로그온하지 않고도 등록된 모든 제품의 데이터를 통합하는 보고서를 생성, 다운로드 및 전송할 수 있다.
3. Directories
여기에서는 사용자 및 엔드포인트 정보를 확인하며 그룹 관리를 할 수 있다.
기본적으로 자동으로 분류되어 있고 사용자가 커스텀하여 분류할 수도 있다. (필터, 라벨링 등 활용)
제품(Products)에 대한 분류도 확인할 수 있다.
등록된 모든 관리 제품 서버에 대한 정보가 표시되며, 제품 설정을 구성하거나 로그 쿼리가 가능하다.
4. Policies
여기에서는 그룹에 직접 지정할 수 있는 보안 정책을 생성할 수 있다.
정책을 생성할 때 아래와 같은 세부 사항을 지정할 수 있다.
- Anti-malware scans (Scan Methods, Real-time Scan, Scheduled Scan, Manual Scan, Scan Now)
: 정기 검사 등의 설정 가능 - Advanced Threat Protection (Behavior Monitoring, Predictive Machine Learning, Web Reputation, Suspicious Connection, Vulnerability Protection, Device Control, Application Control)
: 기능 설정 - Detection & Response (Endpoint Sensor, Sample Submission)
- Exceptions (Trusted Program List, Spyware/Grayware Approved List)
- Agent Configurations (Update Agent, Privileges and Other Settings, Additional Service Settings)
3) 결론
결론은 간단하게 장점/단점으로 정리해보겠다.
- 장점
- 관리 콘솔이 웹으로 되어있어 접근성이 좋음.
- 웹 콘솔에 접근할 때 Google Authenticator(2차 인증)를 사용하여 보안성을 높일 수 있음.
- 사용자가 원하는 방향으로 커스텀할 수 있는 기능이 세부적으로 구현되어 있어 편리함. (대시보드, 그룹관리 등)
- 대시보드에서 확인하고 싶은 부분을 클릭하면 바로 로그를 볼 수 있게 넘어가는 등 직관적으로 사용할 수 있는 UI를 갖추고 있음.
- 단점
- 모든 것이 영어로 쓰여있다...
- 한번 로그인하면 관리 서버의 모든 것을 확인할 수 있었다. 서로 다른 관리자에 따른 접근 제어가 안되는 것 같다.
뭐 .. 대충 내가 느낀점은 이렇다.
사실 백신을 이렇게 면밀히 살펴보고 리뷰해본적은 처음이라
어떠한 기능이 다른 백신에도 있는 기능인지, 차별화된 기능인지 객관적인 판단을 불가능하여서
기능적인 부분보다는 사용자가 실제로 느낄 수 있는 최소한의 장단점만 추려보았다.
오늘의 리뷰 끝-!
'Security' 카테고리의 다른 글
| [Webhacking] Webhacking.kr 웹해킹 25번 풀이 (1) | 2020.05.07 |
|---|
