NSX Intelligence에서 네트워크 트래픽 흐름 데이터를 수집한 후 NSX 의심스러운 트래픽 엔진은 수집된 데이터에 대한 네트워크 위협 분석을 생성하고 이벤트 페이지를 사용하여 감지된 의심스러운 트래픽 이벤트를 보고합니다. 제품형 차트, 그리드 또는 두 형식 모두에서 의심스러운 트래픽 이벤트에 대한 정보를 볼 수 있습니다.

사전 요구 사항

의심스러운 트래픽 이벤트 관리

기본적으로 보안 > 의심스러운 트래픽 > 이벤트로 이동하면 다음 이미지와 같이 의심스러운 트래픽 이벤트가 거품형 차트 및 그리드 형식으로 표시됩니다. 다음 표에서는 이미지에서 강조 표시된 번호가 매겨진 섹션에 관해 설명합니다.


의심스러운 트래픽 UI 페이지의 이벤트 탭 스크린샷

섹션

설명

1

선택한 기간 동안 NSX 의심스러운 트래픽 기능이 수행한 의심스러운 트래픽 이벤트 감지의 총 수를 제공합니다.

2

이 섹션에서는 시스템이 감지된 이벤트에 관해 이 UI 페이지의 NSX 의심스러운 트래픽에서 보고한 기간별 데이터를 결정하는 데 사용하는 기간을 선택합니다. 기간은 현재 시간과 과거의 일부 시간을 기준으로 합니다. 기본 기간은 지난 1시간입니다. 선택한 기간을 변경하려면 현재 선택된 기간을 클릭하고 드롭다운 메뉴에서 다른 기간을 선택합니다. 사용 가능한 선택 항목은 지난 1시간 , 지난 12시간, 지난 24시간, 지난 1주일 지난 2주일지난 1개월입니다.

3

그래프 토글은 거품형 차트가 표시되는지 여부를 결정합니다. 그래프 토글을 해제하면 의심스러운 트래픽 이벤트에 대한 정보만 그리드에 표시됩니다. 기본적으로는 켜기로 설정됩니다.

4

NSX Network Detection and Response 기능이 활성화된 경우 NSX 의심스러운 트래픽 사용자 인터페이스를 보면 애플리케이션 시작 관리자 아이콘애플리케이션 시작 관리자 아이콘이 UI의 오른쪽 상단 모서리에 표시됩니다.

NSX Network Detection and Response UI를 사용하여 감지된 비정상 이벤트에 관한 자세한 내용을 보려면 애플리케이션 시작 관리자 아이콘 아이콘을 클릭하고 NSX Network Detection and Response를 선택합니다. NSX Network Detection and Response UI에서 애플리케이션 시작 관리자 아이콘을 다시 클릭하고 NSX를 선택하여 NSX 의심스러운 트래픽 UI로 돌아갑니다.

5

이 거품형 차트는 선택한 기간 동안 감지된 이벤트가 발생한 시간의 시각적 타임라인을 제공합니다. 각 이벤트는 의심스러운 트래픽 이벤트의 심각도를 기반으로 표시됩니다. 다음은 심각도 범주 및 점수입니다.

  • 위험: 75-100

  • 높음: 50-74

  • 중간: 25-49

  • 낮음: 0-24

6

필터 영역을 사용하면 선택한 기간에 표시되는 의심스러운 트래픽 이벤트의 범위를 좁힐 수 있습니다. 필터 이벤트를 클릭하고 드롭다운 메뉴에서 적용할 필터를 선택하고 표시되는 보조 드롭다운 메뉴에서 특정 항목을 선택합니다. 사용 가능한 필터에는 다음이 포함됩니다.

  • 신뢰도 점수 - NSX 의심스러운 트래픽 기능에서 사용하는 독점 알고리즘을 사용하여 이벤트가 비정상임을 확신하는 정도에 따라 시스템이 할당하는 점수입니다.

  • 감지기 - 네트워크 트래픽 흐름에서 비정상 이벤트를 감지하도록 설계된 센서입니다. 감지기는 단일 MITRE ATT&CK 범주 또는 기술에 매핑됩니다.

  • 영향 점수 - 의심스러운 트래픽 이벤트 및 심각도(올바르게 감지된 경우)에 대한 신뢰도 점수의 조합을 사용하는 독점 알고리즘에 의해 계산된 점수입니다.

  • 전술 - 악의적인 사용자가 ATT&CK 전술을 사용하여 작업을 수행한 이유를 나타냅니다.

  • 기술 - 악의적인 사용자가 특정 기술/하위 기술을 사용하여 공격의 전술적 목표를 달성하는 방법을 나타냅니다.

  • VM - 선택한 기간에 발생한 감지된 이벤트에 참여한 VM입니다.

7

거품형 차트에 나타날 수 있는 다양한 유형의 거품을 나열하려면 범주를 클릭합니다. 다음 목록에서는 각 거품과 거품이 나타내는 의심스러운 트래픽 이벤트의 유형을 설명합니다.

  • 지속성 - 악의적인 사용자가 네트워크에서 시스템에 대한 보류 상태를 유지하려고 합니다.

  • 자격 증명 액세스 - 악의적인 사용자가 계정 이름과 암호를 도용하려고 합니다.

  • 검색 - 악의적인 사용자가 네트워크 환경에 관해 알아보려고 합니다.

  • 명령 및 제어 - 악의적인 사용자가 위험에 빠진 시스템과 통신하고 제어하려고 합니다.

  • 수평 이동 - 악의적인 사용자가 네트워크 환경을 통해 이동하려고 합니다.

  • 수집 - 악의적인 사용자가 최종 목표에 도움이 되는 정보를 수집하려고 시도합니다.

  • 반출 - 악의적인 사용자가 네트워크에서 데이터를 도용하려고 합니다.

  • 기타 - 감지기가 MITRE ATT&CK 프레임워크에 정의된 특정 전술에 연결할 수 없습니다.

  • 여러 이벤트 - 동일한 시간 세그먼트에 둘 이상의 의심스러운 트래픽 이벤트가 발생했습니다. 기간 슬라이더를 오른쪽으로 이동하면 표시되는 거품 유형의 범위가 변경되므로 다중 이벤트 거품이 여러 다른 유형의 거품으로 분리될 수 있습니다. 여러 이벤트 버블을 클릭하면 표지판에 모든 이벤트 목록이 표시됩니다. 표지판의 표에서 행을 클릭하면 아래 그리드에서 관련 버블 행으로 이동됩니다.

8

차트의 각 거품은 의심스러운 트래픽 이벤트 또는 선택한 기간 동안 발생한 여러 이벤트를 나타냅니다. 거품의 색상 또는 유형은 감지된 공격 동안 악의적인 사용자가 이용한 전술을 나타냅니다. 자세한 내용은 범례에서 설명을 참조하십시오.

9

기간 슬라이더를 사용하면 선택한 기간의 하위 집합 내에서 발생한 의심스러운 트래픽 이벤트를 볼 수 있습니다. 강조 표시된 파란색 영역은 거품형 차트에 표시되는 영역을 나타냅니다. 슬라이더를 오른쪽 또는 왼쪽으로 밀면 거품형 차트가 슬라이더에 강조 표시된 기간 동안 발생한 의심스러운 트래픽 이벤트로 업데이트됩니다. 같은 시기에 발생한 의심스러운 트래픽 이벤트가 있는 경우 여러 이벤트 거품은 해당 의심스러운 트래픽 이벤트를 나타냅니다. 슬라이더를 오른쪽으로 이동하면 여러 이벤트 거품이 해당 기간 동안 발생한 다양한 의심스러운 트래픽 이벤트를 나타내는 여러 거품으로 확장됩니다.

10

선택한 기간 동안 NSX 의심스러운 트래픽 기능이 식별한 각 의심스러운 트래픽 이벤트에 대한 정보가 그리드에 표시됩니다. 확장되지 않으면 하나의 행에 다음과 같은 주요 이벤트 데이터가 표시됩니다.

  • 영향 - 육각형 내부에 표시되는 숫자는 NSX 의심스러운 트래픽 기능이 의심스러운 트래픽 이벤트에 대해 계산한 영향 점수입니다. 영향 점수는 이벤트의 신뢰도(신뢰도 점수)와 위협(심각도 점수)(올바르게 감지된 경우)의 악의적인 정도를 조합한 것입니다. 육각형 아이콘을 가리키면 신뢰도 점수 및 심각도 점수가 포함된 도구 설명이 표시됩니다. 육각형의 색과 육각형 옆에 있는 텍스트는 동일한 영향 점수의 다른 두 표현입니다. 영향 점수는 다음과 같이 정의됩니다.

    • 영향 점수가 75~100인 경우 빨간색 테두리 육각형과 위험 텍스트로 표시됩니다.
    • 영향 점수가 50~74인 경우 주황색 테두리 육각형과 높음 텍스트로 표시됩니다.
    • 영향 점수 25~49인 경우 노란색 테두리 육각형과 중간 텍스트로 표시됩니다.
    • 영향 점수가 0~24인 경우 회색 테두리 육각형과 낮음 텍스트로 표시됩니다.

  • 감지된 시간 - 이벤트가 감지된 날짜 및 시간입니다.

  • 감지기 - NSX 의심스러운 트래픽 기능이 이벤트를 감지하는 데 사용한 감지기의 이름입니다. 감지기 이름을 클릭하면 감지기에 대한 추가 정보(예: 목표, ATT&CK 범주 및 감지기에 대한 추상적 내용)가 대화상자에 표시됩니다. [ATT&CK 범주] 섹션에는 의심스러운 트래픽 이벤트에 사용되는 특정 ATT&CK 범주에 관한 자세한 정보를 제공하는 MITRE ATT&CK 웹 사이트에 대한 링크가 포함되어 있습니다.

  • 유형 - 의심스러운 트래픽 이벤트에 사용된 전술 및 기술을 나열합니다.

  • 영향을 받는 개체 - 의심스러운 트래픽 이벤트에 관련된 소스 VM 및 대상 VM을 나열합니다.

예제 스크린샷에는 확장된 행도 표시됩니다. 행을 확장하면 추가 이벤트 정보가 표시됩니다. 세부 정보에는 감지된 이벤트에 대한 요약과 시각화에 대한 설명 또는 확장된 행에 표시된 추가 이벤트 데이터가 포함됩니다. 예를 들어 위의 스크린샷에서 확장된 행에는 감지된 이벤트와 시각화가 나타내는 내용에 대한 요약이 표시됩니다. 모든 의심스러운 트래픽 이벤트에 시각화 개체가 포함되는 것은 아닙니다. 추가 세부 데이터만 포함하는 의심스러운 트래픽 이벤트도 있습니다.

11

확장된 행의 오른쪽 하단 모서리에 하나 이상의 링크가 표시될 수도 있습니다. 링크를 클릭하면 감지된 이벤트에 관한 자세한 정보가 제공되는 다른 UI 페이지로 보기가 이동됩니다. 다음은 사용 가능한 링크입니다(의심스러운 트래픽 이벤트에 해당되는 경우).

NSX Network Detection and Response 기능이 활성화되지 않은 경우에도 다음 링크가 사용 가능하게 설정될 수 있습니다.

  • 영향을 받는 VM 및 현재 트래픽 - 이 링크를 클릭하면 계획 및 문제 해결 탭에 시각화 캔버스가 표시됩니다. 의심스러운 트래픽 이벤트에 관련된 계산 엔티티가 표시됩니다. 자세한 내용은 NSX Intelligence에서 계산 보기 사용 항목을 참조하십시오.

NSX Network Detection and Response 애플리케이션이 활성화된 경우 다음 링크도 사용할 수 있습니다(해당 이벤트에 해당하는 경우).

  • 캠페인 - NSX Advanced Threat Prevention 클라우드 서비스에서 이 의심스러운 트래픽 이벤트를 캠페인의 일부로 식별한 경우 이 링크가 사용할 수 있게 설정됩니다. 링크를 클릭하면 NSX Network Detection and Response 사용자 인터페이스의 캠페인 페이지에 캠페인에 대한 세부 정보가 표시됩니다. 자세한 내용은 "NSX 관리 가이드" 의 보안 장에 나와 있는 NSX Network Detection and Response 섹션의 "캠페인 페이지 관리" 항목을 참조하십시오. VMware NSX 설명서 세트에서 "NSX 관리 가이드" 버전 3.2 이상을 찾을 수 있습니다.

  • 이벤트 세부 정보 - 이 링크를 클릭하면 새 브라우저 탭이 열리고 의심스러운 트래픽 이벤트에 대한 세부 정보가 NSX Network Detection and Response 사용자 인터페이스의 이벤트 프로파일 페이지에 표시됩니다. 자세한 내용은 "NSX 관리 가이드" 의 보안 장에 나와 있는 NSX Network Detection and Response 섹션의 "이벤트 페이지 작업" 항목을 참조하십시오. VMware NSX 설명서 세트에서 "NSX 관리 가이드" 버전 3.2 이상을 찾을 수 있습니다.