Symantec Endpoint Protection

Supported OS Linux Mac OS

통합 버전1.0.0
Symantec Endpoint Protection - 개요
Symantec Endpoint Protection - 스캔
Symantec Endpoint Protection - 위험
Symantec Endpoint Protection - 애플리케이션 제어
Symantec Endpoint Protection - 보안
Symantec Endpoint Protection - 시스템
Symantec Endpoint Protection - 트래픽

개요

Symantec Endpoint Protection은 네트워크의 노트북, 데스크탑, 서버를 맬웨어, 위험 및 취약성으로부터 보호하는 클라이언트-서버 솔루션입니다. Symantec Endpoint Protection은 바이러스 보호와 지능형 위협 보호를 결합하여 바이러스, 웜, 트로이 목마, 애드웨어 등 알려진 위협과 알려지지 않은 위협으로부터 클라이언트 컴퓨터를 선제적으로 보호합니다. Symantec Endpoint Protection은 루트킷, 제로데이 공격, 변종 스파이웨어 등 기존 보안 조치를 우회하는 가장 정교한 공격에 대해서도 보호 기능을 제공합니다.

이 통합은 Symantec Endpoint Protection에서 다음 로그를 보강하고 수집합니다.

  • 감사 로그: 정책 업데이트, 정책 할당 등과 같은 정책 변경 사항을 기록합니다.
  • 위험 로그: 맬웨어, 취약성, 의심스러운 활동 등 엔드포인트에서 탐지된 잠재적인 보안 위험을 추적하고 기록합니다.
  • 스캔 로그: 탐지된 맬웨어, 검사 설정, 사용자 정보를 포함한 바이러스 백신 검사 결과를 기록합니다.
  • 시스템 로그: 모든 관리 활동, 클라이언트 활동, 서버 활동 및 client_server 활동을 기록합니다.
  • 보안 로그: 공격, 규정 준수, 장치 제어 등 보안 관련 이벤트를 기록합니다.
  • 애플리케이션 제어 로그: 차단된 애플리케이션 또는 허용된 애플리케이션 등 애플리케이션 제어와 관련된 이벤트를 기록합니다.
  • 트래픽 로그: 수신 및 발신 연결, 프로토콜, 포트를 포함한 네트워크 트래픽 이벤트를 기록합니다.

또한 기본 제공되는 대시보드를 사용하여 위에서 언급한 로그의 자세한 인사이트를 시각화할 수 있습니다. 통합을 설치한 후에는 대시보드 목록에서 “symantec-endpoint-protection"을 검색하여 대시보드를 찾을 수 있습니다.

설정

설치

Symantec Endpoint Protection 통합을 설치하려면 다음 Agent 설치 명령을 실행하고 아래 단계를 따르세요. 자세한 내용은 통합 관리 설명서를 참조하세요.

참고: Agent 버전 7.52.0. 이상에서는 해당 단계를 수행할 필요가 없습니다.

Linux 명령:

sudo -u dd-agent -- datadog-agent integration install datadog-symantec_endpoint_protection==1.0.0

설정

로그 수집

  1. 로그 수집은 기본적으로 Datadog 에이전트에서 비활성화되어 있습니다. datadog.yaml에서 활성화하세요.

    logs_enabled: true

  2. 이 구성 블록을 symantec_endpoint_protection.d/conf.yaml 파일에 추가하여 Symantec Endpoint Protection 로그 수집을 시작합니다.

    사용 가능한 구성 옵션은 symantec_endpoint_protection.d/conf.yaml 샘플을 참조하세요.

    logs:
 - type: udp
   port: <PORT>
   service: symantec-endpoint-protection
   source: symantec-endpoint-protection

  3. 에이전트를 다시 시작합니다.

  4. Symantec Endpoint Protection 서버에서 Syslog Message Forwarding 구성:

    1. Symantec Endpoint Protection 서버에 접속합니다.
    2. Admin를 클릭합니다.
    3. administrative 패널에서 servers를 클릭합니다.
    4. 로그를 전달할 사이트를 선택합니다.
    5. Configure external logging을 클릭합니다.
    6. Syslog 서버로의 로그 전송을 활성화합니다.
    7. syslog 로그 서버 IP를 입력합니다.
    8. 네트워크 프로토콜을 UDP로 선택합니다.
    9. 로그를 전달할 PORT를 입력합니다.

검증

Agent 상태 하위 명령을 실행하고 확인 섹션에서 symantec_endpoint_protection을 찾습니다.

수집한 데이터

로그

Symantec Endpoint Protection 통합은 감사, 위험, 검사, 보안, 트래픽, 애플리케이션 제어 및 시스템 로그를 수집합니다.

메트릭

Symantec Endpoint Protection 통합에는 메트릭이 포함되어 있지 않습니다.

이벤트

Symantec Endpoint Protection 통합에는 이벤트가 포함되지 않습니다.

서비스 점검

Symantec Endpoint Protection 통합에는 서비스 점검이 포함되지 않습니다.

트러블슈팅

포트 바인딩 중 권한 거부됨

포트 바인딩 중 Agent 로그에 권한 거부 오류가 표시되면 다음 지침을 참조하세요.

  1. 1024 아래 포트 넘버에 바인딩하려면 상위 권한이 필요합니다. setcap 명령을 사용하여 포트에 대한 액세스 권한을 부여합니다.

    • setcap 명령을 사용하여 포트에 대한 액세스 권한을 부여합니다.

      sudo setcap CAP_NET_BIND_SERVICE=+ep /opt/datadog-agent/bin/agent/agent

    • getcap 명령을 실행하여 설정이 올바른지 확인합니다.

      sudo getcap /opt/datadog-agent/bin/agent/agent

      예상 결과:

      /opt/datadog-agent/bin/agent/agent = cap_net_bind_service+ep

      참고: Agent를 업그레이드할 때마다 이 setcap 명령을 다시 실행합니다.

  2. 에이전트를 다시 시작합니다.

데이터가 수집되지 않음

방화벽이 활성화된 경우 구성된 포트에서 트래픽이 우회되는지 확인하세요.

이미 사용 중인 포트

Port <PORT-NO> Already in Use 오류가 나타나면 다음 안내를 참조합니다. 하단은 PORT-NO = 514인 경우 예시입니다.

Syslog를 사용하는 시스템의 Agent가 포트 514에서 Cisco Secure Firewall 로그를 수신 대기 중인 경우, Agent 로그에 다음 오류가 나타날 수 있습니다. Can't start UDP forwarder on port 514: listen udp :514: bind: address already in use

이 오류는 기본적으로 Syslog가 포트 514에서 수신 대기하기 때문에 발생합니다. 이 오류를 해결하려면 다음 단계 중 하나를 수행하세요.

  • Syslog를 비활성화합니다.
  • 사용 가능한 다른 포트에서 수신하도록 Agent를 구성합니다.

도움이 필요하신가요? Datadog 지원팀에 문의하세요.