포트 그룹

개요

포트 그룹은 주제별로 TCP, UDP 통신에서 쓰이는 포트 번호를 묶어서 탐지 정책에 반영할 수 있도록 지원합니다. 특정 포트에 대한 접근 탐지, 이상 행동 등을 분석할 경우 사용합니다.

포트 그룹 목록 조회/검색

정책 > 포트 그룹에서 포트 그룹 목록을 조회하거나 검색할 수 있습니다.

포트 그룹 목록

  • 이름: 포트 그룹의 고유 이름
  • 설명: 포트 그룹에 대한 정보
  • 소유자: 포트 그룹을 추가한 사용자 계정
  • 수정일: 주소 그룹이 생성된 날짜, 또는 마지막으로 수정된 날짜

포트 그룹 목록에서 특정 포트 그룹을 찾으려면 도구 모음에 있는 검색 도구를 사용하세요. 검색 도구는 입력한 단어가 이름, 설명에 포함된 포트 그룹을 찾아서 보여줍니다. 검색 도구는 대소문자를 구분하지 않습니다.

목록 다운로드

포트 그룹 목록을 로컬 PC에 파일로 다운로드하려면 도구 모음에서 다운로드를 클릭하세요.

목록 새로 고침

포트 그룹의 목록을 최신 정보로 조회하려면 도구 모음에서 새로 고침을 클릭하세요.

포트 그룹 추가

포트 그룹을 추가하려면,

  1. 정책 > 포트 그룹에서 도구 모음에 있는 추가를 클릭하세요.

  2. 포트 그룹 추가 대화 상자에서 필요한 값을 입력한 다음, 확인을 클릭하세요.

    포트 그룹 추가

    • 이름: 포트 그룹의 이름(최대 50자)
    • 설명: 포트 그룹의 세부 설명(최대 2,000자)

포트 그룹 수정

포트 그룹을 수정하려면,

  1. 포트 그룹 목록에서 수정할 포트 그룹 이름을 클릭하세요.

  2. 포트 그룹 수정 화면에서 정보를 수정한 후 저장을 클릭하세요.

    포트 그룹 수정

포트 조회/검색

포트 그룹 객체에 등록된 포트를 조회/검색하려면,

포트 그룹 수정 화면에서 등록된 포트를 확인할 수 있습니다.

포트 그룹 항목 조회/검색

  • 프로토콜: 전송 계층 프로토콜(TCP, UDP)
  • 범위: 포트 번호 대역
  • 설명: 포트에 대한 설명

포트 그룹 수정 화면에서도 검색을 지원합니다. 입력한 단어가 범위, 설명에 포함된 포트를 찾아서 보여줍니다. 검색 도구는 대소문자를 구분하지 않습니다.

포트 추가

포트 그룹에 포트를 추가하려면,

  1. 포트 그룹 수정 화면에서 도구 모음에 있는 추가를 클릭하세요.

  2. 포트 추가 대화 상자에서 등록할 포트를 입력한 후 확인을 클릭하세요.

    포트 추가

    • 프로토콜: 등록할 포트의 프로토콜 (범위: TCP, UDP, 기본값: TCP)
    • 시작: 포트 범위의 시작 번호 (0~65535)
    • : 포트 범위의 끝 번호 (0~65535). 하나의 포트 번호를 등록할 때에는 시작과 끝에 동일한 포트 번호를 입력하세요.
    • 설명: 포트 항목의 세부 설명(최대 255자)
포트 수정

포트 그룹에 등록된 포트를 수정하려면,

  1. 포트 그룹 수정 화면에서 수정할 포트 행에 있는 수정을 클릭하세요.
  2. 포트 수정 대화상자에서 포트 정보를 수정한 후 확인을 클릭하세요.
포트 삭제

포트 그룹에 등록된 포트를 삭제하려면,

  1. 포트 그룹 수정 화면에서 삭제할 포트 행의 체크박스를 선택하세요.
  2. 도구 모음에서 삭제를 클릭하세요.
  3. 포트 삭제 대화상자에서 삭제할 포트를 확인한 후 삭제를 클릭하세요. 삭제하지 않으려면 취소를 클릭하세요.

포트 그룹 활용

포트 그룹은 다음과 같은 방법 사용됩니다.

시나리오 빌더

정책 > 실시간 탐지에서 시나리오 빌더를 이용해 입력 필드의 포트 번호가 포트 그룹에 포함되는지 확인하도록 시나리오를 구성할 수 있습니다.

포트 그룹 활용

다음은 시나리오 빌더에서 입력 필드의 유형이 PORT일 때 사용할 수 있는 포트 그룹 관련 내용을 요약한 것입니다. 자세한 내용은 필드 유형별 룰 및 매개변수를 참고하세요.

매개변수입력 범위설명
포트 그룹에 포함비교 포트 그룹포트 그룹 선택포트 그룹에 포함된 필드 값을 필터링
쿼리

정책 > 실시간 탐지 또는 정책 > 배치 탐지에서 탐지 시나리오를 추가하거나 수정할 때 matchport 명령이나 matchport() 함수를 이용해 포트 그룹을 활용할 수 있습니다. 그 외에 쿼리문을 입력할 수 있는 기능이면 어디서든 포트 그룹을 이용할 수 있다는 것도 기억하세요.

matchport 명령이나 matchport() 함수를 사용하려면 포트 그룹의 GUID를 알아야 합니다. GUID는 웹 브라우저의 주소 표시줄에서 확인할 수 있습니다.

포트 그룹의 GUID 확인

포트 그룹 삭제

포트 그룹을 삭제하려면,

  1. 포트 그룹 목록에서 삭제할 포트 그룹 행의 체크박스를 선택하세요.
  2. 도구 모음에서 삭제를 클릭하세요.
  3. 포트 그룹 삭제 대화상자에서 삭제할 포트 그룹 목록을 확인한 후 삭제를 클릭하세요. 삭제하지 않으려면 취소를 클릭하세요.
Caution
실시간 탐지 또는 배치 탐지 시나리오에서 참조하는 포트 그룹을 삭제하면 탐지 시나리오가 의도한 대로 동작하지 않을 수 있으므로 주의하세요.