대상 : PA장비 2050 Test 4.1 Version 테스트

 

팔로알토에 장비에 연결되어있는 클라이언트로 테스트를 해보았습니다. 프로파일 부분 다 룰에 적용을 하고 테스트를 하였습니다.

 

인터넷을 하다보면 악용적인 바이러스, 스파이웨어가 네트워크를 타고 들어오는데 있어서 모니터링 Threat(종료된 세션 기본값 설정)에 로그가 남기게 됩니다.

바로 이메일로 통보하게 됩니다.

 

1. Device - Server Profile - Email 들어가게 되면 좌측에 Add 버튼을 눌러주면 아래 화면이 나옵니다. 

 

 

 

2. 아래 화면과 같이 써넣어줍니다. 말그래도 From에는 보내는 이, To는 받는 사람, And Also TO는 참조, Gateway는 저희 사내망에 있는 웹메일 서버로 이용하였습니다. From에 이메일 서버에 없는 계정을 넣어주셔도 됩니다. 테스트 해본 결과 메일 송신 이상없이 잘 되었습니다. 하지만 머 답장 받고 싶은 메일이 있다면 그 메일주소를 쓰시면 될것 같습니다. 그리고  OK버튼을 눌러줍니다.

 

 

 

3. Device - Server Profile - Email 좌측에 Profile에 등록된 것을 보실수가 있습니다.

 

 

 

4. Object - Log Forwarding에 들어가게되면 좌측 하단에 Add 버튼을 누르게 되면 아래와 같은 화면이 나옵니다.

Name, Threat Settings Severity(위험도) Medium, High, Critical 세개의 위험도만 Email 추가하겠습니다.

3번에서 만들었던 이메일 서버 정보를 불러옵니다.

 

 

 

5. 아래와 같이 설정이 다 되었으면 OK버튼을 누릅니다. 

 

 

 

 6. OK버튼 누르면 아래와 화면 같이 추가가 된것을 볼수 있겠죠 

 

 

 

7. Email Gateway도 설정을 했고 각 위험도에 따른 설정을 하였습니다. Log Forwading Profile을 룰에 적용해야 그 트래픽이 룰을 통해서 감지가 되면 설정한 구성으로 이메일이 통보가 되겠지요.

Polices - Security 들어가게 되면  룰이 보입니다. 사내장비로 해서 테스트 하는 평범한 룰입니다. Options 밑에 문서 모양 아이콘을 클릭을 합니다.

 

 

 

8. Options라는 창이 하나뜹니다. Log Forwarding란에 5번에서 만들었던 항목이 나옵니다. 선택합니다.

 

 

 

9. 선택하고 OK 버튼을 누릅니다.

 

 

 10. 룰을 다시 확인해보면 7번과 다르게 Options 아래에 있는 문서아이콘이 추가된 것을 보실 수 있습니다.

 

 

11. 모든 설정이 다 끝났습니다. Commit을 해주고 테스트 해보겠습니다.

 http://www.rexswain.com/eicar.html 사이트 접속을 하겠습니다.

EICAR이라는 Test용 Virus입니다. Test용 Virus이기 때문에 시스템에 아무런 영향이 없습니다.

eicar.com 파일을 다운받아보겠습니다.

 

 

12. 아 다운버튼을 누르는 순간 Microsoft SmartScreen이 먼저 경고를 때리네요... 팔로알토에서 막는걸 보고 싶은데...

먼저 WebBrowsing이 알아채는게 아니라 Block Page 확인하기도 전에 바로 SmartScreen이 뜹니다.

이거 영어는 제가 Explor 영문버전을 쓰기 때문에 영어로 나오는겁니다. ~

이 스마트 스크린 기능을 꺼야겠습니다. 

 

 

13. 도구 - 인터넷 옵션 들어갑니다 그리고

고급탭에 들어가면 스마트스크린 필터 기능을 끄도록 합시다.

 

 

 

14. 다시 eicar.com을 다운받아보겠습니다. 팔로알토 Block Page가 나옵니다.

 

 

 

15. 팔로알토에 Monitoring - Threat 보도록 하겠습니다. Virus로 인지를 하였고 위험도가 medium이라고 나왔습니다.

 5번에 설정한대로 medium, high, critical 중에 속해 있으니 메일 보냈다고 생각을 할수 있겠습니다.

 

 

16. 메일이 왔는지 사이트에 들어가서 확인을 해보겠습니다. 메일이 도착했습니다. 제목 끝에 deny가 쓰여있는데 지금 룰에 설정되어있는 Anti-Virus Profile은 Deny로 설정되어 있는 상태입니다. Alert, Allow, Deny 설정되어있어도 방화벽자체에 공격이 들어오게 되므로 메일 기본값으로 하여 보내지게 됩니다.

 

 

 

17. 들어가보았는데 세밀하게 몇시 경에 어떠한 유형 공격 아이피 인터페이스 등 수많은 정보들로 해서 메일이 오게됩니다.

 

 

18. 하지만 이것을 보기에는 너무 양이 많고 간단하게 보고 싶을때 설정을 할수 있습니다. Default 값이기 때문에..

Email Server Profile에 들어가되면 Custom Log Format에 들어갑니다. 여기는 Conifg, System, Threat등 많은 Custom 설정이 있습니다. 지금 제가 테스트 하는거는 Threat이니깐 Threat 버튼을 클릭합니다.

 

 

19. Log Forwarding으로 보내는 수많은 값들입니다. Fields에 보면 많은 정보들이 있는데 자신이 원하는 것을 선택 추가하거나 정보를 줄일수가 있습니다.

 

 

20. Html 지원합니다. PHP 프로그램 했을때 생각 나네요 변수명 $변수명 가져다가 쓰는 방식인것 같습니다. 간단하게 만들어서 OK 버튼 누릅니다.

 

 

 

21. Custom Log Format Threat부분에 Custom하게 넣은 소스가 보입니다. OK 버튼 누르시고

Commit하고 위에 테스트 바이러스 다운받아서 다시 테스트 해보겠습니다.

 

 

22. 한결 보기 쉽고 중요한 사항만 눈에 들어오게 할수 있습니다.

 

 

 

또 다르게 편집을 해서 꾸며 보았습니다.

 

 

 

아.. 아쉽게도 문자수가 1024가 넘어버리게 되면 Failed가 됩니다.

표까지 만들고 이미지 만들려고 하니 html소스 1024가 넘습니다.

 

 

 

아직 부족한 점이 많은데 잘못된거나 수정되야 할 사항 있으면 애기해주세요

이상입니다.

 

변수명에 대한 참고문서가 있습니다. 첨부파일로 올립니다.