과제

IT 운영자는 보안 애플리케이션 및 네트워크 성능 모니터링과 관리를 위해 다양한 어플라이언스를 이용하여 유선 및 트래픽 데이터를 분석합니다. 업계의 선도적 SIEM(Security, Incident and Event management) 공급업체인 Splunk 같은 전용 솔루션을 배포하여 운영 인텔리전스(operational intelligence)를 확보하고, 이 머신 데이터(machine data)로부터 실행 가능한 정보를 분석하고 시각화하기도 합니다. 지금까지의 SIEM 공급업체는 이벤트에 플래그를 설정하기 위해 이 장치에서 생성된 모든 로그 데이터에 대한 코릴레이션(correlation)과 경고에 집중해왔습니다.

하지만 이 운영 인텔리전스를 실제로 추가하기 위해 Sec Op 및 NetOp 팀은 다음의 시나리오 또한 고려해 볼 필요가 있습니다.

  • 보안 및 모니터링 툴에서 유선 네트워크 트래픽에 대한 최적의 트래픽 가시성 확보
  • 트래픽 가시성을 위해 상태를 시각화하고 패턴을 분석

기가몬 솔루션

기가몬®은 경고에서 사용되는 로그를 생성하는 수동형 센서로 트래픽 데이터를 최적화하여 제공함으로써 SIEM 생태계에서 핵심 역할을 수행합니다. 물리적 환경 및 가상화 환경의 TAP 또는 SPAN 포트를 통해 네트워크 내 여러 지점에서 트래픽을 추출하여, 필터링되고 맞춤화된 트래픽 스트림을 다른 장치보다 우선하여 패킷 캡처 장치(Packet Capture Device), IDS(Intrusion Detection System, 침입 감지 시스템), NAC(Network Access Control, 네트워크 접근 제어) 플랫폼, 그리고 NetFlow 수집기(NetFlow Collector)에 제공합니다.

기가몬의 기가시큐어® 플랫폼은 주요 트래픽 스트림을 집선하고 격리하여 스트림용 Splunk 앱(Splunk App for Stream)으로 패킷 데이터를 전송하거나, 엔터프라이즈 보안용 Splunk 앱(Splunk App for Enterprise Security)으로 샘플링되지 않은 높은 충실도의 NetFlow 또는 IPFIX 기록을 제공합니다. SecOp 및 NetOp 팀은 이제 네트워크 및 보안 운영 인텔리전스(operational intelligence)를 확보할 수 있으며, 병목 현상과 이상 현상을 나타내는 트랜드와 패턴을 시각화할 수 있습니다.

Splunk용 기가몬 가시성 앱(Splunk Store에서 다운로드 가능)은 운영팀에 가시성 패브릭의 상태 및 분석 정보를 제공할 수 있습니다. 또, GigaVUE-FM 패브릭 관리자의 오픈 RESTful API를 통해 데이터를 소싱하여 레벨 1 가시성과 Splunk 내부 인프라에 대한 문제 해결을 지원합니다.

그림 1: 기가시큐어 플랫폼은 Splunk 앱에 트래픽 가시성을 제공하고, Splunk용 기가몬 가시성 앱은 운영 인텔리전스를 지원합니다.

 

Splunk를 통한 다중 공급업체 SIEM 배포(그림 2 참조) 시 운영자는

  • KPI(핵심 성과 지표)에 기반하여 보안 경보를 Splunk로 유도하는 타사 공급업체 어플라이언스와
  • 경고를 촉발한 트래픽 소스와 정책을 시각화하는 Splunk용 기가몬 가시성 앱을 이용할 수 있습니다.

그림 2: Splunk용 기가몬 가시성 앱이 운영 인텔리전스를 지원하는 곳에 다중 공급업체 SIEM 배포

 

기가몬 가시성 앱 대시보드를 통해 다음 정보를 시각화할 수 있습니다.

  • 가시성 패브릭(노드, 클러스터, 포트 유형 및 상태)의 상태 및 인벤토리
  • 포트 및 트래픽 정책/맵 속성과 통계(최상위 포트, 패킷 속도, 폐기(discard) 등)
  • 기가스마트® 운영 통계
  • 시스템 및 감사 이벤트
  • Syslog 통지

그림 3: 가시성 패브릭 상태 대시보드(Visibility Fabric Health Dashboard)

그림 4: 가시성 패브릭 트래픽 정책

핵심 사용 사례

  • 텍스트/로그 데이터 외에 추가로 유선 및 패킷 트래픽 데이터 또한 필요로 하는 SIEM 분석용 Splunk를 사용하는 고객
  • 가시성 패브릭의 운영 인텔리전스를 필요로 하는 SecOp 및 NetOp 팀이 보안 어플라이언스에서 경보를 강화

주요 이점

  • OPEX 절감: Splunk 관리자는 이제 기가몬 가시성 상태 파악 기능을 이용해 자체 운영 인텔리전스를 강화할 수 있습니다.
  • MTTR (Mean Time to Resolution) 감소: Splunk 내부 인프라에 대한 레벨 1 가시성 및 문제 해결, 근본 원인 분석 제공. 예) KPI 경보를 촉발한 애플리케이션이나 호스트의 소스, 위치 및 트래픽 정책 식별

리소스

Solution Brief

Splunk용 기가몬 가시성 앱 개요

Solution Brief

기가몬 Splunk 공동 솔루션 개요

Deployment Guide

Splunk 배포 가이드로 기가몬 배포

Video

Splunk용 기가몬 가시성 앱으로 기가시큐어