안녕하세요! 커뮤니티 여러분?
오늘은 Secure Firewall OS 7.1 버전에서 새로 추가된 Encrypted Visibility Engine 기능에 대해서 알아보겠습니다.
(이하 EVE(Encrypted Visibility Engine))
데모 구성도:
데모 장비 및 버전:
SFMCv - 7.2.1(build 40)
SFTDv - 7.2.1(build 40)
EVE Feature requirement
- Secure Firewall Threat Defense and Management Center OS Version – Minimum 7.1
- License – Threat
- IPS Engine – Snort 3 only
- 추가적으로 기능향상 편의를 위해 아래 두가지 사항을 설정해 주시기 바랍니다. (아래 두가지 모두 인터넷 연결필요!)
- Automatic VDB update
- Cisco Success Network enable
EVE 기능 간략한 소개
- 암호화된 트래픽을 복호화 하지않고 트래픽 분석하여 보안 가시성과 위협 탐지를 대폭 향상
(SSL Decryption 필요없이 300개 이상의(VDB361 기준) 어플리케이션 탐지 및 컨트롤 가능)
- TLS 1.3 복호화 기본 지원
- SSL Client Hello message 만으로 어플리케이션 탐지
- 대폭 향상된 QUIC 트래픽 가시성
EVE 기능 Enable 방법
Policies > Access Control > 사용자 ACP 클릭 Advanced > 아래 붉은색 박스의 버튼 활성화
추가적으로 기능편의 향상을 위해 Automatic VDB update 설정 혹은 최신 Manual VDB update 진행
Automatic VDB update 설정방법
우측 상단의 톱니바퀴 > Scheduling 클릭
Add Task 버튼 클릭
Download Lates Update : 최신 VDB 파일 다운로드 스케쥴링 – 각 일정에 맞게 스케쥴링
Install Latest Update : 다운로드 받은 최신 VDB 파일 인스톨 – 각 일정에 맞게 스케쥴링
VDB Manual update 방법
우측 상단의 톱니바퀴 > Updates 클릭
우측 상단의 붉은색 박스의 Download Updates 클릭 > VDB 다운로드 완료후 인스톨
Cisco Success Network Enable
Integration > Secure X 클릭
아래 Enable Cisco Success Network 클릭하여 Enable 해주시면 됩니다.
EVE 기능이 Enable 되어있고 EVE를 위한 ACP 정책은 없는 상황에서
아래와 같이 윈도우 단말에서 정상적으로 O365 동작 테스트
EVE 기능 검증을 위한 O365 차단 정책 설정
Policies > Access Control 클릭
Pencil 아이콘 클릭
Add Rule 클릭
Action : Block with reset
Source Zone 및 Destination Zone 각 환경에 맞게 설정
Application > Application Filters : Encrypted 검색 및 EVE 클릭 > Office 365 application 클릭
Log at Beginning of Connection 로그저장 클릭 및 Save > Deployment
EVE 적용을 위한 정책 추가후 정상적으로 O365 차단되는지 검증
Analysis > Unified Events
책모양의 아이콘 클릭 > EVE 관련 필요한 Column 체크 > Apply 클릭
윈도우 단말의 O365 접속 시도 및 차단되는것이 확인됨
이외 EVE를 위한 데쉬보드 정보도 제공합니다.
Overview > Dashboard
Switch dashboard 클릭
Application Statistics 클릭
Encrypted Visibility Engine 클릭
긴 글 읽어주셔서 감사드리며, 앞으로도 더욱 좋은 컨텐츠로 찾아뵙겠습니다.
감사합니다!!!