이번 달에는 EMSISOFT 제품의 EDR 기능의 연장선 상에서 EMSISOFT 로그를 외부의 Syslog 서버와 통합하는 기능이 추가되었습니다. 새로운 Syslog 통합 모듈은 Syslog Common Event Format (CEF)를 지원하는 표준 시스로그 제품인 Splunk와 같은 SIEM 플랫폼과 통합할 수 있습니다.
이 Syslog 통합 기능은 주로 MSP 및 SOC 운영팀 등에서 필요한 기능으로 내부 시스템의 워크플로 관리하는데 있어 매우 효과적인 기능이라고 생각합니다. 여러 데이터 원천으로 부터 로그 수집 및 중앙관리 모니터링 기능을 사용할 수 있습니다.
시스로그 통합 설정
시스로그 통합은 my.emsisoft.com 클라우드 대시보드에서 자사의 워크스페이스 설정 메뉴에서 설정할 수 있으며, 수신을 원하는 이벤트를 선택하여 추가하면 시스로그 서버로 이벤트 데이터를 전송하게 됩니다.
대시보드(my.emsisoft.com) > 내 워크스페이스 > Settings 메뉴에서 Integrations 섹션에서 [Add integration] 버튼 클릭하여
syslog를 선택합니다. 시스로그 서버와 서버 IP주소, 포트를 설정하고 필요한 이벤트를 선택하고 추가하면 됩니다.
EDR 플랫폼에서는 MITRE ATT&CK 프레임워크에서 정의한 500개 이상의 공격 패턴에 대해 정보를 수집할 수 있습니다.
보안 연결
데이터는 항상 보안 TLS 연결을 통해 스티리밍 됩니다.
데이터 형식
지원되는 형식은 CEF (Common Event Format) 형식만을 지원합니다.
방화벽에서 트래픽 허용
시스로그 서버가 엠시소프트에서 제공하는 데이터를 받기 위해서는 다음 IP 주소에 대해 허용을 하여야 하며, 이를 위해 네트워크 방화벽에서 아래 IP 주소를 허용하여야 합니다.
157.90.227.118
157.90.227.179
157.90.227.137
157.90.229.47
기타 : 향후 시스로그 서버에 접속 제한을 위한 인증을 위해, 클라이언트 인증서 추가 기능을 제공할 예정입니다.
감사합니다.
EMSISOFT (주)소프트메일
'Emsisoft 안티멀웨어' 카테고리의 다른 글
EMSISOFT EDR 제품 출시 예고 및 EDR 소개 (0) | 2022.07.19 |
---|---|
EMSISOFT VB100 인증 (0) | 2022.07.18 |
EMSISOFT 안티랜섬웨어 발표 2021년 랜섬웨어 통계 보고 (0) | 2022.04.13 |
EMSISOFT 업무용 안티랜섬웨어 EDR 베타 (위협 인사이트) 기능 추가 (0) | 2022.04.05 |
EMSISOFT 컨텐츠 필터링 기능 추가 (클라우드 콘솔) (0) | 2022.03.02 |