NSX Network Detection and Response에서 감지된 위협은 호스트 프로파일 페이지의 위협 탭에 있는 위협 카드로 표시됩니다.

위협 카드에는 계산된 위협 점수, 위협 이름 및 클래스, 감지 결과(사용 가능한 경우), 위협 상태 및 기타 작업이 표시됩니다. 사용 가능한 경우 이 위협이 연결된 캠페인이 표시됩니다. 카드를 확장하여 관련 증거를 확인합니다.

위협 카드를 정렬하려면 정렬 기준 드롭다운 메뉴를 사용합니다. 최근, 가장 이른, 가장 높은 영향(기본값) 및 가장 낮은 영향 중에서 선택할 수 있습니다.

위협 검색 텍스트 상자는 입력하는 즉시 진행되는 빠른 검색을 제공합니다. 목록의 행을 필터링하여 필드에서 제공한 쿼리 문자열과 일치하는 텍스트가 있는 행만 표시합니다.

닫힌 위협 표시 버튼을 전환하여 표시된 위협 카드를 위협 상태별로 필터링합니다. 기본값은 모든 위협을 표시하는 것입니다.

위협 카드 관리

위협 카드에는 선택한 호스트와 관련된 모든 위협과 위협 수준이 표시됩니다. 각 카드에는 계산된 위협 영향, 위협 이름, 위협 클래스 및 감지 결과(사용 가능한 경우)가 표시됩니다. 위협 상태인 열림 또는 닫힘도 표시합니다.

다음 단계를 클릭하고 드롭다운 메뉴에서 작업을 선택할 수 있습니다.

  • 위협을 닫으려면 닫기를 선택합니다. 닫힌 위협을 다시 열려면 열기를 선택합니다.

  • 경고 관리를 선택하여 위협으로부터 경고 관리 규칙을 생성합니다.

증거 요약 섹션에는 위협에 대해 감지된 증거 및 기타 데이터의 개요가 포함되어 있습니다. 오른쪽 화살촉 또는 카드의 아무 위치나 클릭하여 증거 세부 정보를 확장합니다.

이 위협과 연결된 캠페인 데이터를 사용할 수 있는 경우 캠페인 요약 사이드바에 대한 링크가 있는 캠페인이 표시됩니다.

증거 세부 정보

증거 열에는 파일 다운로드, 서명 및 증거 유형의 기타 범주가 증거 표시 시점의 타임 스탬프와 함께 표시됩니다. 증거 유형 링크를 클릭하면 해당 유형의 증거 요약 사이드바가 페이지 오른쪽에 표시됩니다. 증거 요약 사이드바를 다음과 같은 증거 유형에 사용할 수 있습니다.

  • 변칙

  • 파일 다운로드

  • 서명

네트워크 상호 작용 및 네트워크 IOC 열에는 외부 호스트의 IP 주소 또는 도메인 이름이 표시됩니다. 링크를 클릭하면 네트워크 상호 작용 사이드바가 확장됩니다.

지원 데이터 열에는 감지 이벤트에 대한 링크 및 위협 세부 정보에 대한 링크가 제공됩니다.

감지 결과

위협 감지 이벤트 결과에는 다음과 같은 값이 심각도 순서로 지정됩니다.

감지 결과

설명

성공

위협이 목적에 도달한 것으로 확인되었습니다. C&C 서버에 대한 체크인 시도가 완료되었고 악의적인 끝점에서 데이터가 수신한 것일 수 있습니다.

실패

위협이 목표에 도달하지 못했습니다. 이 문제는 C&C 서버가 오프라인 상태이거나 공격자가 코딩 오류를 발생시켜 야기된 것일 수 있습니다.

차단됨

NSX Network Detection and Response 애플리케이션 또는 타사 애플리케이션에 의해 위협이 차단되었습니다.

이벤트 결과를 알 수 없는 경우 이 필드가 표시되지 않습니다.

네트워크 상호 작용 사이드바

위협 탭의 네트워크 상호 작용 및 네트워크 IOC 열에서 특정 호스트에 대한 IP 주소 또는 도메인 이름 링크를 클릭하여 네트워크 상호 작용 사이드바를 확장합니다.

선택한 호스트의 영향 및 IP 주소가 사이드바 맨 위에 표시됩니다.

WHOIS 요약

WHOIS 요약 섹션에는 선택한 IP 주소 또는 도메인 이름에 대한 WHOIS 레코드의 주요 필드가 표시됩니다. IP 주소 또는 도메인에 관한 자세한 내용을 보려면 whois 아이콘 아이콘을 클릭하여 WHOIS 팝업 창에 액세스합니다. 자세한 내용은 WHOIS 팝업 창 항목을 참조하십시오.

열기 위치

열기 위치... 섹션에는 DomainTools, VirusTotal, Google 등과 같은 타사 제공자에 대한 링크가 포함되어 있습니다. 보기에 맞지 않게 더 많은 제공자가 있는 경우 확장하여 자세히 표시 를 클릭하여 확인할 수 있습니다.

이상 징후 증거 요약 사이드바

위협 탭의 [증거] 열에서 [이상 징후 증거] 링크를 클릭하면 이상 징후의 증거 유형에 대한 증거 요약 사이드바가 표시됩니다.

참조 이벤트 를 클릭하여 이벤트 프로파일 페이지 및 연결된 이벤트의 전체 세부 정보에 액세스합니다.

증거에 대한 간단한 설명이 제공됩니다.

위협 세부 정보

위협에 대한 다음 세부 정보가 제공됩니다.
  • 위협 – 감지된 보안 위험의 이름입니다.
  • 위협 클래스 – 감지된 보안 위험 클래스의 이름입니다.
  • 처음 확인 마지막 확인 – 증거를 처음 확인했을 때부터 마지막 확인했을 때까지의 타임 스탬프가 있는 그래프입니다. 기간이 그래프 아래에 표시됩니다.

감지기 요약

감지기에 대한 요약이 표시됩니다. 자세한 내용을 보려면 추가 정보 링크를 클릭하여 감지기 팝업 창을 봅니다. 자세한 내용은 감지기 설명서 팝업 창 항목을 참조하십시오.
  • 감지기 이름 – 감지기의 이름입니다.
  • 목표 – 감지기 목표에 대한 간단한 설명입니다.
  • ATT&CK 분류 – 해당하는 경우 MITRE ATT&CK 기술에 대한 링크가 제공됩니다. 그렇지 않으면 해당 없음이 표시됩니다.

이상 징후 세부 정보

이상 징후에 대한 세부 정보가 제공됩니다.
세부 정보 설명
설명

이상 징후가 기준 동작에서 얼마나 벗어나는지 또는 의심스러운 것으로 간주해야 하는 이유를 자세히 설명하는 이상 징후에 대한 간단한 설명입니다.

상태 유형

이상 징후의 유형입니다. 예: 이상값.

변칙

호스트에 표시되는 비정상 항목입니다. 예: 비정상적인 포트에 대한 액세스

기준선 항목

일반적으로 이 호스트에 표시되는 항목입니다.

프로파일 생성 위치

기준선 생성을 위한 타임 스탬프입니다.

프로파일 업데이트 시간

이상 징후가 감지된 시점의 타임 스탬프입니다.

이상값 다이어그램

이 다이어그램은 비정상으로 플래그가 지정된 데이터 전송과 비교하기 위해 호스트에 대한 정상적인 데이터 업로드/다운로드를 보여 줍니다. 감지기에 따라 다음 데이터가 표시될 수 있습니다.

  • 이상 징후 경고를 트리거한 업로드/다운로드 크기입니다.

  • 이상 징후 경고가 트리거되기 전의 최대 업로드/다운로드 크기입니다.

  • 호스트의 평균 업로드/다운로드 크기입니다.

파일 다운로드 증거 요약 사이드바

위협 탭의 [증거] 열에서 [파일 다운로드 증거] 링크를 클릭하면 파일 다운로드 증거 유형에 대한 증거 요약 사이드바가 표시됩니다.

참조 이벤트 를 클릭하여 이벤트 프로파일 페이지 및 연결된 이벤트의 전체 세부 정보에 액세스합니다.

증거에 대한 간단한 설명이 제공됩니다.

파일 세부 정보

파일에 대한 다음 세부 정보가 제공됩니다.
  • 파일 유형 - 다운로드한 파일의 상위 수준 유형입니다. 파일 유형 목록은 고유 탭을 참조하십시오.
  • 신뢰도 – 다운로드한 파일이 실제로 악의적일 가능성을 나타냅니다. 시스템은 고급 휴리스틱을 사용하여 알 수 없는 위협을 감지하기 때문에 경우에 따라 특정 위협에 사용할 수 있는 정보의 양이 제한된 경우 감지된 위협의 신뢰도 값이 낮아질 수 있습니다.
  • SHA1 - 파일의 SHA1 해시입니다.

맬웨어 ID

감지된 맬웨어에 대한 요약이 표시됩니다. 자세한 내용을 보려면 분석가 보고서오른쪽 화살촉 링크를 클릭하여 분석 보고서를 확인합니다. 자세한 내용은 분석 보고서 사용를 참조하십시오.
  • 바이러스 백신 클래스 – 다운로드한 파일의 바이러스 백신 클래스를 정의하는 레이블입니다.
  • 바이러스 백신 제품군 – 다운로드한 파일의 바이러스 백신 제품군을 정의하는 레이블입니다.
  • 맬웨어 - 다운로드한 파일의 맬웨어 유형을 정의하는 레이블입니다. 레이블에 태그 아이콘 아이콘이 있는 경우 아이콘을 클릭하여 팝업 창에서 설명을 확인합니다.
  • 동작 개요 - 다운로드한 파일의 감지된 동작입니다. 많은 데이터가 있는 경우 기본적으로 부분 목록이 표시됩니다. 자세한 내용을 보려면 확장하여 자세히 표시아래쪽 화살촉 아이콘를 클릭합니다. 축소하여 간단히 표시위쪽 화살촉 아이콘를 클릭하면 다시 전환되어 접힙니다.

열기 위치...

다운로드한 파일을 특정 서비스에서 열려면 제공자에 대한 아이콘 중 하나를 클릭합니다. 기본적으로 제공자의 부분 목록이 표시됩니다.

세부 정보 다운로드

다운로드한 파일에 대한 세부 정보가 표시됩니다. 자세한 내용을 보려면 분석가 보고서오른쪽 화살촉 아이콘 링크를 클릭하여 분석 보고서를 확인합니다. 자세한 내용은 분석 보고서 사용를 참조하십시오.
정보 설명
파일 이름 다운로드한 파일의 리소스 경로입니다.
URL

다운로드한 파일의 전체 URL입니다.

처음 확인

다운로드한 파일이 처음 표시되었을 때의 타임 스탬프입니다. 이 파일의 인스턴스가 여러 개 있는 경우 다양한 타임 스탬프가 표시됩니다.

다운로드 원본

소스 서버의 IP 주소입니다.

프로토콜

소스 서버에서 다운로드한 파일을 전송하는 데 사용된 프로토콜입니다.

사용자 에이전트

사용 가능한 경우 다운로드 요청에 관해 표시되는 사용자 에이전트 문자열입니다.

서명 증거 요약 사이드바

위협 탭의 [증거] 열에서 [서명 증거] 링크를 클릭하면 서명의 증거 유형에 대한 증거 요약 사이드바가 표시됩니다.

참조 이벤트 를 클릭하여 이벤트 프로파일 페이지 및 연결된 이벤트의 전체 세부 정보에 액세스합니다.

증거에 대한 간단한 설명이 제공됩니다.

위협 세부 정보

위협에 대한 다음 세부 정보가 제공됩니다.

세부 정보

설명

위협

감지된 보안 위험의 이름입니다.

위협 클래스

감지된 보안 위험 클래스의 이름입니다.

작업

사용 가능한 경우 위협의 감지된 현재 활동을 표시합니다.

신뢰도

감지된 위협이 악의적일 가능성을 나타냅니다.

분석 결과(예: 파일 다운로드)를 표시하는 이벤트의 경우 점수가 표시됩니다.

처음 확인

마지막 확인

증거를 처음 확인했을 때부터 마지막 확인했을 때까지의 타임 스탬프가 있는 그래프입니다.

기간이 그래프 아래에 표시됩니다.

트래픽 세부 정보

참조 이벤트 트래픽 위젯은 참조된 이벤트와 관련된 호스트 사이에서 확인된 트래픽의 개요를 제공합니다. 이벤트와 관련된 하나 이상의 호스트가 모니터링되는 호스트입니다. 통신 호스트는 모니터링되는 호스트 또는 외부 시스템일 수 있습니다.

화살표는 호스트 간의 트래픽 방향을 나타냅니다.

각 호스트에 대해 IP 주소가 표시됩니다. 호스트가 로컬인 경우 주소는 호스트 프로파일 페이지를 보기 위해 클릭할 수 있는 링크입니다. 지리적 위치 플래그, 또는 아이콘이 표시될 수 있습니다. 둘 이상의 아이콘이 표시될 수도 있습니다. 사용 가능한 경우 호스트 이름이 표시됩니다. 호스트에 적용된 모든 호스트 태그가 표시됩니다. 사용 가능한 경우 아이콘을 클릭하여 WHOIS 팝업 창에서 호스트 세부 정보를 봅니다. 자세한 내용은 WHOIS 팝업 창 항목을 참조하십시오.

감지기 요약

감지기에 대한 요약이 표시됩니다. 자세한 내용을 보려면 추가 정보 링크를 클릭하여 감지기 팝업 창을 봅니다. 자세한 내용은 감지기 설명서 팝업 창 항목을 참조하십시오.

  • 감지기 이름 – 감지기의 이름입니다.

  • 목표 – 감지기 목표에 대한 간단한 설명입니다.

  • IDS 규칙 – 규칙 보기(사용 가능한 경우) 링크를 클릭하여 감지기 팝업 창을 표시합니다. 자세한 내용은 감지기 설명서 팝업 창 항목을 참조하십시오. IDS 규칙을 포함할 수 있습니다.