이벤트 프로파일 페이지는 이벤트 요약 사이드바 맨 위에 있는 세부 정보 버튼을 클릭하여 액세스할 수 있습니다.

보기 맨 위에는 다음과 같은 여러 컨트롤 및 버튼이 표시됩니다.

  • 유사한 기능의 드롭다운 목록을 보려면 유사 이벤트를 클릭합니다. 각각의 옆에 있는 아이콘을 클릭하여 대상, 대상 포트, 소스 IP, 전송 프로토콜, 위협 클래스위협 유형을 선택합니다. 그런 다음, 이벤트 보기 체인 아이콘를 클릭하여 선택한 이벤트를 새 탭에서 봅니다.

  • 경고 관리를 클릭하여 경고 관리 사이드바를 시작합니다. 이 기능을 사용하여 시스템 테스트 또는 차단 이벤트와 같은 무해한 이벤트를 화면에 표시하지 않거나 강등하고, 특정 이벤트에 사용자 지정 점수를 적용할 수 있습니다. 자세한 내용은 경고 관리 사이드바 사용 항목을 참조하십시오.

  • 아이콘을 클릭하여 모든 필드를 축소하거나 아이콘을 클릭하여 모든 필드를 확장합니다.

이벤트 개요

상단 섹션에서는 NSX Network Detection and Response 애플리케이션이 감지한 위협 또는 맬웨어에 대한 시각적 개요를 제공하고 위협 클래스 및 위협 영향 점수를 표시합니다.

이벤트 요약

이벤트 요약 섹션에서는 NSX Network Detection and Response 애플리케이션이 이 이벤트에 플래그를 지정한 이유에 대한 설명을 제공하고, 이 이벤트와 관련된 위협 또는 맬웨어를 식별하고, 감지된 활동을 간단히 설명하고, 지원 데이터를 표시합니다.

NSX Advanced Threat Prevention 클라우드 서비스에서 사용할 수 있는 경우 이벤트에 관한 자세한 설명과 악의적인 것으로 간주되는 이유가 이벤트 요약 섹션 맨 위에 표시됩니다.

서버 차단

서버 차단 기능은 다음 데이터를 표시합니다.

데이터

설명

호스트 이름

사용 가능한 경우 서버의 FQDN입니다.

IP 주소

서버의 IP 주소입니다. 지리적 위치 플래그가 표시될 수 있습니다. 체인 링크 아이콘 아이콘이 표시되면 링크를 클릭하여 호스트 프로파일 페이지에서 세부 정보를 확인합니다.

사용 가능한 경우 태그 아이콘 아이콘을 클릭하여 클라이언트의 신뢰도 태그를 확인합니다.

사용 가능한 경우 지구본 아이콘 아이콘을 클릭하여 WHOIS 팝업 창에서 호스트에 대한 등록 정보 및 기타 데이터를 확인합니다.

MAC 주소

사용 가능한 경우 서버의 MAC 주소입니다. 이 주소는 DHCP 트래픽을 모니터링하여 얻게 되며, 시스템에서 IP 주소와 관계없이 네트워크의 특정 호스트에 매핑되는 고유한 HostID 항목을 생성하는 데 사용하는 데이터 포인트 중 하나입니다.

클라이언트 차단

클라이언트 차단 기능은 다음 데이터를 표시합니다.

데이터

설명

호스트 이름

사용 가능한 경우 클라이언트의 FQDN입니다.

IP 주소

클라이언트의 IP 주소입니다. 지리적 위치 플래그가 표시될 수 있습니다. 사용 가능한 경우 주소 또는 체인 링크 아이콘 아이콘을 클릭하여 호스트 프로파일 페이지를 봅니다.

사용 가능한 경우 태그 아이콘 아이콘을 클릭하여 클라이언트의 신뢰도 태그를 확인합니다.

사용 가능한 경우 지구본 아이콘 아이콘을 클릭하여 WHOIS 팝업 창에서 호스트에 대한 등록 정보 및 기타 데이터를 확인합니다.

MAC 주소

사용 가능한 경우 클라이언트의 MAC 주소입니다. 이 주소는 DHCP 트래픽을 모니터링하여 얻게 되며, 시스템에서 IP 주소와 관계없이 네트워크의 특정 호스트에 매핑되는 고유한 HostID 항목을 생성하는 데 사용하는 데이터 포인트 중 하나입니다.

이벤트 메타데이터

[이벤트 메타데이터] 섹션에는 다음 데이터가 표시됩니다.

데이터

설명

확인 결과

이벤트 결과를 나타냅니다. 다음은 가능한 값입니다.

  • 차단됨: NSX Network Detection and Response 애플리케이션 또는 타사 애플리케이션에 의해 위협이 차단되었습니다.

  • 실패: 위협이 목표에 도달하지 못했습니다. 이 문제는 C&C 서버가 오프라인 상태이거나 공격자가 코딩 오류를 발생시켜 야기된 것일 수 있습니다.

  • 성공: 위협이 목적에 도달한 것으로 확인되었습니다. C&C 서버에 대한 체크인 시도가 완료되었고 악의적인 끝점에서 데이터가 수신한 것일 수 있습니다.

이벤트 결과를 알 수 없는 경우 이 필드가 표시되지 않습니다.

확인 프로그램 이름

이벤트 확인 프로그램의 이름입니다. 링크를 클릭하여 확인 프로그램 설명서 팝업 창에 액세스합니다.

확인 프로그램 메시지

결과에 대한 추가 정보(예: 위협을 차단한 타사 애플리케이션)를 제공하는 확인 프로그램의 메시지입니다.

센서

이벤트를 감지한 센서입니다.

연결

이벤트에 포함된 연결 수입니다.

작업

센서에서 수행한 작업 목록(예: 차단 활동, 이벤트가 기록되었는지 여부, 트래픽이 캡처되었는지 여부 또는 맬웨어 다운로드가 추출되었는지 여부)입니다.

로그인한 사용자

로깅된 레코드에서 감지된 사용자 목록입니다.

결과

이벤트의 결과입니다. 대부분의 경우 결과는 DETECTION입니다.

정보 이벤트 및 정보 상태에서 승격된 이벤트의 경우 추가 레이블에 상태/상태 변경의 이유가 표시됩니다. 레이블 위로 마우스를 가져가면 팝업이 표시되고 이유에 대한 추가 세부 정보가 제공됩니다.

관련 인시던트

상호 연관된 인시던트에 대한 고정 링크입니다. 체인 링크 링크를 클릭하면 새 브라우저 탭에서 인시던트 프로파일 페이지가 열립니다.

이 이벤트는 인시던트에 자동으로 연관된 여러 밀접한 관련 이벤트 중 하나일 수 있습니다.

이벤트 ID

네트워크 이벤트 세부 정보 페이지에서 이벤트를 봅니다. 새 브라우저 탭에 링크가 열립니다.

시작 시간

이벤트 시작에 대한 타임 스탬프입니다.

종료 시간

이벤트 종료에 대한 타임 스탬프입니다.

캡처된 맬웨어

[캡처된 맬웨어] 섹션은 이벤트와 관련된 악성 소프트웨어 인스턴스에서 수행된 동적 분석의 정보를 제공합니다.

맬웨어가 수행하는 작업, 맬웨어가 작동하는 방식 및 맬웨어가 초래하는 위험에 관한 자세한 기술 정보에 액세스할 수 있습니다. 표시된 정보에 관한 자세한 내용은 분석 보고서 사용을 참조하십시오.

참고:

이벤트에 관해 감지된 악성 소프트웨어가 없으면 이 섹션이 표시되지 않습니다.

이벤트 증거

[이벤트 증거] 섹션에는 이벤트를 분석하는 동안 발견된 작업에 대한 세부 정보가 표시됩니다.

작업에는 악성 파일 다운로드, 알려진 위협에 대한 네트워크 서명과 일치하는 네트워크 트래픽 검색, 차단된 맬웨어 도메인, 알려진 잘못된 URL 경로의 도메인 이름 확인 수행 등이 포함될 수 있습니다.

사용 가능한 경우 감지기 링크를 클릭하여 감지가 설명서 팝업 창을 봅니다. 증거 정보도 참조하십시오.

호스트 신뢰도

[호스트 신뢰도] 섹션은 이벤트에 표시된 알려진 악성 호스트 또는 URL 신뢰도 항목에 대한 정보를 제공합니다.

참고:

호스트에 알려진 기록이 없으면 이 섹션이 표시되지 않습니다.

이상 징후 데이터

이 섹션에는 이상 징후 이벤트를 발생시킨 netflow 또는 수동 DNS 레코드가 표시됩니다.

표시된 이상 징후에 따라 DNS 이상 징후 데이터 또는 Netflow 이상 징후 데이터가 제목으로 표시됩니다.

비정상으로 분류된 IP 주소 또는 포트와 같은 추가 정보를 제공할 수 있습니다. 많은 수의 항목이 관련된 경우 더하기 아이콘#을 클릭하여 모든 항목을 노출할 수 있습니다.

참고:

이벤트에 대한 이상 징후가 표시되지 않으면 이 섹션이 표시되지 않습니다.

위협 설명

[위협 설명] 섹션에서는 이벤트와 관련된 위협에 관한 자세한 설명을 제공합니다.

완화

[완화] 섹션에서는 모든 악성 소프트웨어를 제거하기 위한 자세한 지침과 이벤트 후 정리를 위한 기타 권장 프로세스를 제공합니다.

참고:

이벤트에 관해 알려진 완화 프로세스가 없는 경우 이 섹션은 표시되지 않습니다.