NSX Intelligence에서 네트워크 트래픽 흐름 데이터를 수집한 후 NSX 의심스러운 트래픽 엔진은 수집된 데이터에 대한 네트워크 위협 분석을 생성하고 이벤트 페이지를 사용하여 감지된 의심스러운 트래픽 이벤트를 보고합니다. 제품형 차트, 그리드 또는 두 형식 모두에서 의심스러운 트래픽 이벤트에 대한 정보를 볼 수 있습니다.
사전 요구 사항
- NSX Intelligence 3.2 이상을 활성화하고 NSX 의심스러운 트래픽 감지기를 설정해야 합니다. NSX Intelligence를 사용하여 의심스러운 네트워크 트래픽 감지 시작 항목을 참조하십시오.
- 다음 NSX 역할 중 하나를 사용하여 NSX Manager에 로그인해야 합니다.
- 엔터프라이즈 관리자
- 보안 관리자
의심스러운 트래픽 이벤트 관리
기본적으로
로 이동하면 다음 이미지와 같이 의심스러운 트래픽 이벤트가 거품형 차트 및 그리드 형식으로 표시됩니다. 다음 표에서는 이미지에서 강조 표시된 번호가 매겨진 섹션에 관해 설명합니다.섹션 |
설명 |
---|---|
1 |
선택한 기간 동안 NSX 의심스러운 트래픽 기능이 수행한 의심스러운 트래픽 이벤트 감지의 총 수를 제공합니다. |
2 |
이 섹션에서는 시스템이 감지된 이벤트에 관해 이 UI 페이지의 NSX 의심스러운 트래픽에서 보고한 기간별 데이터를 결정하는 데 사용하는 기간을 선택합니다. 기간은 현재 시간과 과거의 일부 시간을 기준으로 합니다. 기본 기간은 지난 1시간입니다. 선택한 기간을 변경하려면 현재 선택된 기간을 클릭하고 드롭다운 메뉴에서 다른 기간을 선택합니다. 사용 가능한 선택 항목은 지난 1시간 , 지난 12시간, 지난 24시간, 지난 1주일 지난 2주일 및 지난 1개월입니다. |
3 |
그래프 토글은 거품형 차트가 표시되는지 여부를 결정합니다. 그래프 토글을 해제하면 의심스러운 트래픽 이벤트에 대한 정보만 그리드에 표시됩니다. 기본적으로는 켜기로 설정됩니다. |
4 |
NSX Network Detection and Response 기능이 활성화된 경우 NSX 의심스러운 트래픽 사용자 인터페이스를 보면 애플리케이션 시작 관리자 아이콘이 UI의 오른쪽 상단 모서리에 표시됩니다. NSX Network Detection and Response UI를 사용하여 감지된 비정상 이벤트에 관한 자세한 내용을 보려면 아이콘을 클릭하고 NSX Network Detection and Response를 선택합니다. NSX Network Detection and Response UI에서 애플리케이션 시작 관리자 아이콘을 다시 클릭하고 NSX를 선택하여 NSX 의심스러운 트래픽 UI로 돌아갑니다. |
5 |
이 거품형 차트는 선택한 기간 동안 감지된 이벤트가 발생한 시간의 시각적 타임라인을 제공합니다. 각 이벤트는 의심스러운 트래픽 이벤트의 심각도를 기반으로 표시됩니다. 다음은 심각도 범주 및 점수입니다.
|
6 |
필터 영역을 사용하면 선택한 기간에 표시되는 의심스러운 트래픽 이벤트의 범위를 좁힐 수 있습니다. 필터 이벤트를 클릭하고 드롭다운 메뉴에서 적용할 필터를 선택하고 표시되는 보조 드롭다운 메뉴에서 특정 항목을 선택합니다. 사용 가능한 필터에는 다음이 포함됩니다.
|
7 |
거품형 차트에 나타날 수 있는 다양한 유형의 거품을 나열하려면 범주를 클릭합니다. 다음 목록에서는 각 거품과 거품이 나타내는 의심스러운 트래픽 이벤트의 유형을 설명합니다.
|
8 |
차트의 각 거품은 의심스러운 트래픽 이벤트 또는 선택한 기간 동안 발생한 여러 이벤트를 나타냅니다. 거품의 색상 또는 유형은 감지된 공격 동안 악의적인 사용자가 이용한 전술을 나타냅니다. 자세한 내용은 범례에서 설명을 참조하십시오. |
9 |
기간 슬라이더를 사용하면 선택한 기간의 하위 집합 내에서 발생한 의심스러운 트래픽 이벤트를 볼 수 있습니다. 강조 표시된 파란색 영역은 거품형 차트에 표시되는 영역을 나타냅니다. 슬라이더를 오른쪽 또는 왼쪽으로 밀면 거품형 차트가 슬라이더에 강조 표시된 기간 동안 발생한 의심스러운 트래픽 이벤트로 업데이트됩니다. 같은 시기에 발생한 의심스러운 트래픽 이벤트가 있는 경우 여러 이벤트 거품은 해당 의심스러운 트래픽 이벤트를 나타냅니다. 슬라이더를 오른쪽으로 이동하면 여러 이벤트 거품이 해당 기간 동안 발생한 다양한 의심스러운 트래픽 이벤트를 나타내는 여러 거품으로 확장됩니다. |
10 |
선택한 기간 동안 NSX 의심스러운 트래픽 기능이 식별한 각 의심스러운 트래픽 이벤트에 대한 정보가 그리드에 표시됩니다. 확장되지 않으면 하나의 행에 다음과 같은 주요 이벤트 데이터가 표시됩니다.
예제 스크린샷에는 확장된 행도 표시됩니다. 행을 확장하면 추가 이벤트 정보가 표시됩니다. 세부 정보에는 감지된 이벤트에 대한 요약과 시각화에 대한 설명 또는 확장된 행에 표시된 추가 이벤트 데이터가 포함됩니다. 예를 들어 위의 스크린샷에서 확장된 행에는 감지된 이벤트와 시각화가 나타내는 내용에 대한 요약이 표시됩니다. 모든 의심스러운 트래픽 이벤트에 시각화 개체가 포함되는 것은 아닙니다. 추가 세부 데이터만 포함하는 의심스러운 트래픽 이벤트도 있습니다. |
11 |
확장된 행의 오른쪽 하단 모서리에 하나 이상의 링크가 표시될 수도 있습니다. 링크를 클릭하면 감지된 이벤트에 관한 자세한 정보가 제공되는 다른 UI 페이지로 보기가 이동됩니다. 다음은 사용 가능한 링크입니다(의심스러운 트래픽 이벤트에 해당되는 경우). NSX Network Detection and Response 기능이 활성화되지 않은 경우에도 다음 링크가 사용 가능하게 설정될 수 있습니다.
NSX Network Detection and Response 애플리케이션이 활성화된 경우 다음 링크도 사용할 수 있습니다(해당 이벤트에 해당하는 경우).
|