포트 그룹

개요

포트 그룹은 관련 포트 번호를 하나의 정책 객체로 묶어 관리하는 기능입니다. 보안관제 담당자는 정책 > 포트 그룹에서 웹 서비스, 원격 관리, 데이터베이스처럼 용도가 비슷한 포트를 그룹으로 정리해 두고, 탐지 정책에서 반복해서 재사용할 수 있습니다.

등록한 포트 그룹은 실시간 탐지, 배치 탐지, matchport 명령어, matchport() 함수와 함께 활용할 수 있습니다. 관리자를 포함한 모든 사용자는 포트 그룹과 내부 포트 목록을 조회할 수 있고, 관리자만 포트 그룹과 그룹 내부 포트 항목을 추가, 수정, 삭제할 수 있습니다.

포트 그룹 목록 조회/검색

정책 > 포트 그룹에서 포트 그룹 목록을 조회하거나 검색할 수 있습니다.

포트 그룹 목록

  • 이름: 포트 그룹 이름입니다.
  • 설명: 포트 그룹 설명입니다.
  • 소유자: 포트 그룹을 만든 사용자 계정입니다.
  • 수정일: 포트 그룹을 마지막으로 수정한 날짜와 시각입니다.

포트 그룹 목록에서 특정 포트 그룹을 찾으려면 도구 모음의 검색 도구를 사용하세요. 검색어에 여러 단어를 입력하면 각 단어가 이름 또는 설명에 모두 포함된 포트 그룹을 찾습니다.

목록 다운로드

포트 그룹 목록을 로컬 PC에 저장하려면 도구 모음에서 다운로드를 클릭하세요.

목록 새로 고침

포트 그룹 목록을 최신 정보로 다시 조회하려면 도구 모음에서 새로 고침를 클릭하세요.

포트 그룹 추가

탐지 정책이나 쿼리에서 재사용할 새 포트 그룹을 만들려면 다음 절차를 따르세요.

  1. 정책 > 포트 그룹에서 도구 모음에 있는 추가를 클릭하세요.

  2. 포트 그룹 추가 화면에서 그룹 정보를 입력하세요.

    포트 그룹 추가

    • 이름: 포트 그룹 이름입니다(필수, 최대 50자).
    • 설명: 포트 그룹 설명입니다(최대 2,000자).

  3. 입력한 내용을 확인한 뒤 저장을 클릭하세요.

Note
같은 이름의 포트 그룹이 이미 있으면 저장할 수 없습니다.

포트 그룹 수정

기존 포트 그룹의 이름이나 설명을 바꾸려면 다음 절차를 따르세요.

  1. 포트 그룹 목록에서 수정할 포트 그룹 행을 클릭하세요.
  2. 포트 그룹 수정 화면에서 정보를 수정한 후 저장을 클릭하세요.

포트 그룹 수정

Note
포트 그룹을 수정하는 화면에서는 같은 그룹에 속한 포트 목록도 함께 확인할 수 있습니다.
포트 조회/검색

그룹에 등록된 포트를 검토하거나 정리하려면 수정 화면 하단의 포트 목록을 확인하세요.

  • 프로토콜: 포트 항목의 전송 계층 프로토콜입니다.
  • 범위: 시작 포트와 끝 포트로 표시한 포트 범위입니다.
  • 설명: 포트 항목 설명입니다.

포트 목록에서도 검색 도구를 사용할 수 있습니다.

  • 포트 번호를 입력하면 입력한 번호가 범위 안에 포함된 포트 항목을 찾습니다.
  • 일반 검색어를 입력하면 설명에 검색어가 포함된 포트 항목을 찾습니다.
포트 추가

포트 그룹 안에 실제 포트 범위를 등록하려면 다음 절차를 따르세요.

  1. 포트 그룹 목록에서 수정할 포트 그룹 행을 클릭하세요.

  2. 수정 화면의 포트 목록 도구 모음에서 포트 추가를 클릭하세요.

  3. 포트 추가 창에서 포트 정보를 입력하세요.

    포트 추가

    • 프로토콜: 등록할 포트의 프로토콜입니다(기본값: TCP, 범위: TCP, UDP).
    • 시작: 포트 범위의 시작 번호입니다(필수, 범위: 0~65,535).
    • : 포트 범위의 끝 번호입니다(필수, 범위: 0~65,535). 단일 포트를 등록하려면 시작과 끝에 같은 값을 입력하세요.
    • 설명: 포트 항목 설명입니다(최대 255자).

  4. 입력한 내용을 확인한 뒤 저장을 클릭하세요.

Note
시작 포트는 끝 포트보다 클 수 없습니다.
포트 수정

등록된 포트 항목을 수정하려면 다음 절차를 따르세요.

  1. 포트 그룹 목록에서 수정할 포트 그룹 행을 클릭하세요.
  2. 수정 화면의 포트 목록에서 수정할 행을 클릭하세요.
  3. 포트 수정 창에서 포트 정보를 수정한 뒤 저장을 클릭하세요.
포트 삭제

그룹에서 더 이상 관리하지 않을 포트 항목을 제거하려면 다음 절차를 따르세요.

  1. 포트 그룹 목록에서 수정할 포트 그룹 행을 클릭하세요.
  2. 수정 화면의 포트 목록에서 삭제할 항목을 선택하세요.
  3. 도구 모음의 삭제 아이콘을 클릭하세요.
  4. 포트 삭제 대화상자에서 삭제할 항목을 확인한 뒤 삭제를 클릭하세요.

포트 그룹 활용

등록한 포트 그룹은 다음과 같은 방법으로 활용할 수 있습니다.

시나리오 빌더

시나리오 빌더에서는 입력 필드의 포트 번호가 특정 포트 그룹에 포함되는지 조건으로 비교할 수 있습니다. 이를 이용하면 웹 서비스 포트, 원격 관리 포트, 데이터베이스 포트처럼 성격이 비슷한 포트 집합을 기준으로 이벤트를 분류할 수 있습니다.

시나리오 빌더에서 포트 그룹 사용

다음은 시나리오 빌더에서 입력 필드가 포트 번호일 때 사용할 수 있는 포트 그룹 조건입니다.

매개변수입력 범위설명
포트 그룹에 포함비교 포트 그룹포트 그룹 선택포트 그룹에 포함된 포트 번호를 조건으로 필터링합니다.
쿼리

쿼리에서는 matchport 명령어matchport() 함수를 사용해 포트 번호와 프로토콜 조합이 특정 포트 그룹에 포함되는지 판별할 수 있습니다. 실시간 탐지나 배치 탐지의 쿼리문에서도 같은 방식으로 활용할 수 있습니다.

matchport 명령이나 matchport() 함수를 사용하려면 포트 그룹의 GUID를 알아야 합니다. GUID는 웹 브라우저의 주소 표시줄에서 확인할 수 있습니다.

포트 그룹 GUID 확인

포트 그룹 삭제

더 이상 사용하지 않는 포트 그룹을 정리하려면 다음 절차를 따르세요.

  1. 포트 그룹 목록에서 삭제할 포트 그룹 행의 체크박스를 선택하세요.
  2. 도구 모음에서 삭제를 클릭하세요.
  3. 포트 그룹 삭제 대화상자에서 삭제할 대상을 확인한 뒤 삭제를 클릭하세요.
Caution
포트 그룹을 삭제하면 그룹에 포함된 포트 항목도 함께 삭제됩니다. 실시간 탐지, 배치 탐지, 쿼리에서 이 포트 그룹을 참조하고 있다면 의도한 대로 동작하지 않을 수 있으므로 먼저 사용 여부를 확인하세요.