다운로드한 파일 세부 정보 보기가 다운로드한 파일 목록 내에서 확장됩니다.

파일 다운로드됨 페이지에서 선택한 탭에 따라 다음과 같은 사용 가능한 세부 정보의 일부가 표시됩니다.

세부 정보 이름

설명

분석 보고서

새 탭에서 분석 보고서를 보려면 링크 아이콘 아이콘을 클릭합니다.

파일 유형

다운로드한 파일의 상위 수준 유형입니다. 파일 유형 목록은 시간 경과에 따라 다운로드한 파일을 참조하십시오.

파일 유형 세부 정보

사용 가능한 경우 파일 유형에 대한 추가 정보입니다. 예를 들면 PE executable, application, 32-bit, Intel i386 또는 Zip archive data입니다.

파일 이름

사용 가능한 경우 파일의 이름입니다.

다운로드됨

고유 다운로드의 경우 네트워크의 호스트가 파일을 다운로드한 횟수입니다.

다운로드 페이지에서 파일 다운로드를 보려면 숫자 또는 검색 아이콘 아이콘을 클릭합니다. 이 링크는 보기를 특정 파일의 다운로드로 제한하는 분석자 UUID 필터를 전달합니다.

다운로드한 사용자

네트워크에서 파일을 다운로드한 호스트의 IP 주소입니다.

사용 가능한 경우 whois 아이콘을 클릭하여 WHOIS 팝업 창에서 호스트의 등록 정보 및 기타 데이터를 확인합니다.

URL

파일 다운로드의 URL입니다. UTF-8로 인코딩된 유니코드 문자열입니다.

URL

파일 다운로드의 원시 URL입니다. URL에 백슬래시 문자 자체뿐만 아니라 ASCII가 아닌 문자가 있는 경우 백슬래시로 인코딩됩니다.

프로토콜

파일을 다운로드하는 데 사용되는 네트워크 프로토콜입니다. HTTP/HTTPS, FTP 또는 SMB 중 하나입니다.

다운로드 원본

연결된 호스트의 IP 주소입니다.

사용 가능한 경우 whois 아이콘을 클릭하여 WHOIS 팝업 창에서 호스트의 등록 정보 및 기타 데이터를 확인합니다.

HTTP 호스트

사용 가능한 경우 연결된 호스트의 도메인 이름입니다. 이 이름은 IP 주소를 포함한 다른 데이터에서 파생될 수 있습니다.

사용 가능한 경우 whois 아이콘을 클릭하여 WHOIS 팝업 창에서 호스트의 등록 정보 및 기타 데이터를 확인합니다.

사용자 에이전트

HTTP/HTTPS 요청에서 추출된 사용자 에이전트 문자열입니다.

처음 다운로드

고유한 다운로드의 경우 처음으로 기록된 감지한 파일 다운로드의 타임 스탬프입니다.

마지막 다운로드

고유한 다운로드의 경우 최근에 있었던 감지한 파일 다운로드의 타임 스탬프입니다.

타임 스탬프

감지한 파일 다운로드의 타임 스탬프입니다.

파일 크기

파일의 크기(바이트)입니다.

MD5

다운로드한 파일의 MD5 해시입니다.

SHA 1

다운로드한 파일의 SHA1 해시입니다.

제출 상태

다운로드한 파일이 전체 분석을 위해 제출되지 않은 이유를 나타냅니다. 일반적으로 이 문제는 사전 필터링 또는 기타 이유로 인해 발생합니다. 물음표 아이콘 아이콘 위로 마우스를 가져가면 추가 세부 정보가 포함된 팝업이 표시됩니다.

분석자 UUID

다운로드한 파일을 처리한 후 NSX Advanced Threat Prevention 서비스에서 반환한 고유 식별자입니다.

이벤트 ID

파일 다운로드에 대한 연결된 이벤트에 대한 링크입니다. ID 또는 링크 아이콘을 클릭하여 이벤트를 확인합니다. 자세한 내용은 감지 이벤트를 참조하십시오.

분석 개요

[분석 개요] 섹션에서는 NSX Advanced Threat Prevention 서비스에서 다운로드한 파일의 분석 결과에 대한 요약을 제공합니다.

새 탭에서 전체 분석 보고서를 열려면 검은색 원 안의 체인 아이콘을 클릭합니다. 분석 보고서 사용을 참조하십시오.

감지된 파일을 로컬 시스템에 다운로드하려면 화면 오른쪽에서 파일 다운로드 아이콘을 클릭합니다. 드롭다운 메뉴에서 파일 다운로드 또는 zip으로 다운로드를 선택합니다.

ZIP으로 다운로드를 선택하면 Zip으로 파일 다운로드 팝업 창에 나타나서 아카이브에 대한 암호(선택 사항)를 제공하라는 메시지를 표시합니다. 다운로드를 클릭하여 .ZIP 파일 다운로드를 완료합니다.

중요:

NSX Network Detection and Response 애플리케이션은 특정 조건에서만 감지된 파일을 다운로드할 수 있도록 허용합니다.

아티팩트가 낮은 위험으로 간주되면 파일 다운로드 아이콘이 표시되고 로컬 시스템에 파일을 다운로드할 수 있습니다.

아티팩트가 위험으로 간주될 경우 라이센스에 ALLOW_RISKY_ARTIFACT_DOWNLOADS 기능이 없으면 파일 다운로드 아이콘이 표시되지 않습니다.

아티팩트를 열면 위험할 수 있다는 사실을 알고 있어야 합니다.

NSX Network Detection and Response 인터페이스에 주의: 악성 파일 다운로드 중 팝업 창이 표시될 수 있습니다. 동의함 버튼을 클릭하여 조건을 수락하고 파일을 다운로드합니다.

악의적인 아티팩트에 관해서는 트래픽을 모니터링하는 다른 솔루션이 위협을 자동으로 검사하지 못하도록 파일을 ZIP 아카이브에 캡슐화할 수 있습니다.

ALLOW_RISKY_ARTIFACT_DOWNLOADS 기능이 없고 악의적인 아티팩트를 다운로드하는 기능이 필요한 경우 VMware 지원 서비스에 문의하십시오.

확장 아이콘축소 아이콘을 클릭하여 탭의 섹션을 확장 및 축소합니다.

이 분석 개요 섹션에서는 NSX Advanced Threat Prevention 서비스에서 분석한 파일 또는 URL의 분석 결과를 요약해서 설명합니다. 이 섹션에는 다음 데이터가 표시됩니다.
  • MD5 - 파일의 MD5 해시입니다. 네트워크에서 이 아티팩트에 대한 다른 인스턴스를 검색하려면 <검색 아이콘>을 클릭합니다.
  • SHA1 - 파일의 SHA1 해시입니다.
  • SHA256 – 파일의 SHA256 해시입니다.
  • MIME 유형 – 파일에서 데이터 유형을 식별하는 데 사용되는 레이블입니다.
  • 제출 – 제출 타임 스탬프

[위협 수준] 섹션은 분석 결과에 대한 요약, 즉 md5 해시 파일이 악의적/무해한 것으로 확인되었습니다.으로 시작됩니다.

그런 후 다음 데이터가 표시됩니다.
위험 평가
이 섹션에는 위험 평가 결과가 표시됩니다.
  • 악성 점수 - 100점 만점의 점수입니다.
  • 위험 예측 - 아티팩트에 의해 부과되는 위험 예측값입니다.
    • 높음 - 이 아티팩트는 심각한 위험을 나타내며 우선 순위에 따라 해결해야 합니다. 이러한 대상은 일반적으로 감염된 시스템의 주요 손상을 초래하는 익스플로잇이 포함된 문서 또는 다운로드 파일입니다. 정보 유출부터 시스템 정보 유출에 이르기까지 여러 가지 위험이 있습니다. 이러한 위험은 어느 정도는 감지된 활동 유형에서 유추됩니다. 이 범주의 점수 임계값은 일반적으로 70보다 큽니다.
    • 중간 – 이 아티팩트는 장기적 위험을 나타내므로 면밀히 모니터링해야 합니다. 의심스러운 컨텐츠가 포함된 웹 페이지일 수 있으며, 이로 인해 의도하지 않은 시도가 발생할 수 있습니다. 즉각적인 심각한 위협을 야기하지는 않지만 시스템 작동에 문제를 일으킬 수 있는 하드웨어 또는 바이러스 백신 제품일 수도 있습니다. 이 범주의 점수 임계값은 일반적으로 30~70입니다.
    • 낮음 – 이 아티팩트는 무해한 것으로 간주되며 무시해도 됩니다. 이 범주의 점수 임계값은 일반적으로 30 미만입니다.

  • 바이러스 백신 클래스 - 아티팩트가 속하는 바이러스 백신 또는 맬웨어 클래스입니다. 예를 들어, 트로이 목마, 웜, 애드웨어, 랜섬웨어, 스파이웨어 등이 있습니다.

  • 바이러스 백신 제품군 - 아티팩트에서 속하는 바이러스 백신 또는 맬웨어 제품군입니다. 예를 들어, valyria, darkside 등이 있습니다. 이 제품군의 다른 인스턴스를 검색하려면 검색 아이콘을 클릭합니다.

분석 개요
표시되는 정보는 심각도를 기준으로 정렬되며 다음 속성을 포함합니다.
  • 심각도 - 아티팩트를 분석하는 동안 감지된 활동의 악성 정도가 0~100 점수입니다. 추가적인 아이콘은 아티팩트를 실행할 수 있는 운영 체제를 나타냅니다.
  • 유형 - 아티팩트를 분석하는 동안 감지된 활동의 유형입니다. 이러한 유형에는 다음이 포함됩니다.
    • 자동 시작 - 시스템 종료 후 다시 시작할 수 있습니다.
    • 사용 안 함 - 시스템의 중요 구성 요소를 사용하지 않도록 설정할 수 있습니다.
    • 회피 - 분석 환경을 회피할 수 있습니다.
    • 파일 - 파일 시스템에 대한 의심스러운 활동입니다.
    • 메모리 - 시스템 메모리 내의 의심스러운 활동입니다.
    • 네트워크 - 네트워크 수준에서의 의심스러운 활동입니다.
    • 신뢰도 - 알려진 소스 또는 신뢰할 수 있는 조직에서 서명한 소스입니다.
    • 설정 - 중요한 시스템 설정을 영구적으로 변경할 수 있습니다.
    • 서명 - 악의적인 대상 ID입니다.
    • 도용 - 중요한 정보를 액세스하고 잠재적으로 누출할 수 있습니다.
    • 은폐 - 사용자 또는 분석 시스템이 알아채지 못하는 상태를 유지할 수 있습니다.
    • 무시됨 – 무해한 대상 ID입니다.
  • 설명 - 아티팩트를 분석하는 동안 감지된 각 활동 유형에 해당하는 설명입니다.
  • ATT&CK 전술 - MITRE ATT&CK 단계 또는 공격의 단계입니다. 여러 전술은 쉼표로 구분됩니다.
  • ATT&CK 기술 - 악의적인 행위자가 사용할 수 있는 확인된 작업 또는 도구입니다. 여러 기술은 쉼표로 구분됩니다.
  • 링크 - 이 활동의 다른 인스턴스를 검색하려면 검색 아이콘을 클릭합니다.
추가 아티팩트
이 섹션에는 제출된 샘플을 분석하는 동안 발견되었으며 심층 분석을 위해 차례로 제출된 추가 아티팩트(파일 및 URL)가 나열됩니다. 이 섹션에는 다음 속성이 포함되어 있습니다.
  • 설명 - 추가 아티팩트를 설명합니다.
  • SHA1 - 추가 아티팩트의 SHA1 해시입니다.
  • 컨텐츠 유형 - 추가 아티팩트의 MIME 유형입니다.
  • 점수 - 추가 아티팩트의 악성 점수입니다. 연결된 분석 보고서를 보려면 분석 보고서 아이콘을 클릭합니다.
디코딩된 명령줄 인수
분석 중에 PowerShell 스크립트가 실행된 경우 시스템은 이러한 스크립트를 디코딩하여 사람이 좀 더 쉽게 읽을 수 있는 형태로 인수를 만듭니다.
타사 도구
VirusTotal 포털의 아티팩트에 대한 보고서 링크입니다.