IT 운영자는 보안 애플리케이션 및 네트워크 성능 모니터링과 관리를 위해 다양한 어플라이언스를 이용하여 유선 및 트래픽 데이터를 분석합니다. 업계의 선도적 SIEM(Security, Incident and Event management) 공급업체인 Splunk 같은 전용 솔루션을 배포하여 운영 인텔리전스(operational intelligence)를 확보하고, 이 머신 데이터(machine data)로부터 실행 가능한 정보를 분석하고 시각화하기도 합니다. 지금까지의 SIEM 공급업체는 이벤트에 플래그를 설정하기 위해 이 장치에서 생성된 모든 로그 데이터에 대한 코릴레이션(correlation)과 경고에 집중해왔습니다.
하지만 이 운영 인텔리전스를 실제로 추가하기 위해 Sec Op 및 NetOp 팀은 다음의 시나리오 또한 고려해 볼 필요가 있습니다.
기가몬®은 경고에서 사용되는 로그를 생성하는 수동형 센서로 트래픽 데이터를 최적화하여 제공함으로써 SIEM 생태계에서 핵심 역할을 수행합니다. 물리적 환경 및 가상화 환경의 TAP 또는 SPAN 포트를 통해 네트워크 내 여러 지점에서 트래픽을 추출하여, 필터링되고 맞춤화된 트래픽 스트림을 다른 장치보다 우선하여 패킷 캡처 장치(Packet Capture Device), IDS(Intrusion Detection System, 침입 감지 시스템), NAC(Network Access Control, 네트워크 접근 제어) 플랫폼, 그리고 NetFlow 수집기(NetFlow Collector)에 제공합니다.
기가몬의 기가시큐어® 플랫폼은 주요 트래픽 스트림을 집선하고 격리하여 스트림용 Splunk 앱(Splunk App for Stream)으로 패킷 데이터를 전송하거나, 엔터프라이즈 보안용 Splunk 앱(Splunk App for Enterprise Security)으로 샘플링되지 않은 높은 충실도의 NetFlow 또는 IPFIX 기록을 제공합니다. SecOp 및 NetOp 팀은 이제 네트워크 및 보안 운영 인텔리전스(operational intelligence)를 확보할 수 있으며, 병목 현상과 이상 현상을 나타내는 트랜드와 패턴을 시각화할 수 있습니다.
Splunk용 기가몬 가시성 앱(Splunk Store에서 다운로드 가능)은 운영팀에 가시성 패브릭의 상태 및 분석 정보를 제공할 수 있습니다. 또, GigaVUE-FM 패브릭 관리자의 오픈 RESTful API를 통해 데이터를 소싱하여 레벨 1 가시성과 Splunk 내부 인프라에 대한 문제 해결을 지원합니다.
그림 1: 기가시큐어 플랫폼은 Splunk 앱에 트래픽 가시성을 제공하고, Splunk용 기가몬 가시성 앱은 운영 인텔리전스를 지원합니다.
Splunk를 통한 다중 공급업체 SIEM 배포(그림 2 참조) 시 운영자는
그림 2: Splunk용 기가몬 가시성 앱이 운영 인텔리전스를 지원하는 곳에 다중 공급업체 SIEM 배포
기가몬 가시성 앱 대시보드를 통해 다음 정보를 시각화할 수 있습니다.
그림 3: 가시성 패브릭 상태 대시보드(Visibility Fabric Health Dashboard)
그림 4: 가시성 패브릭 트래픽 정책
Splunk용 기가몬 가시성 앱 개요
기가몬 Splunk 공동 솔루션 개요
Splunk 배포 가이드로 기가몬 배포
Splunk용 기가몬 가시성 앱으로 기가시큐어