NSX Network Detection and Response UI의 분석 보고서 페이지에 있는 개요 탭에는 NSX Advanced Threat Prevention 서비스에서 분석한 파일에 대한 분석 결과 요약이 표시됩니다.

감지된 파일을 로컬 시스템에 다운로드하려면 화면 오른쪽에서 파일 다운로드 아이콘을 클릭합니다. 드롭다운 메뉴에서 파일 다운로드 또는 zip으로 다운로드를 선택합니다.

ZIP으로 다운로드를 선택하면 Zip으로 파일 다운로드 팝업 창에 나타나서 아카이브에 대한 암호(선택 사항)를 제공하라는 메시지를 표시합니다. 다운로드를 클릭하여 .ZIP 파일 다운로드를 완료합니다.

중요:

NSX Network Detection and Response 애플리케이션은 특정 조건에서만 감지된 파일을 다운로드할 수 있도록 허용합니다.

아티팩트가 낮은 위험으로 간주되면 파일 다운로드 아이콘이 표시되고 로컬 시스템에 파일을 다운로드할 수 있습니다.

아티팩트가 위험으로 간주될 경우 라이센스에 ALLOW_RISKY_ARTIFACT_DOWNLOADS 기능이 없으면 파일 다운로드 아이콘이 표시되지 않습니다.

아티팩트를 열면 위험할 수 있다는 사실을 알고 있어야 합니다.

NSX Network Detection and Response 인터페이스에 주의: 악성 파일 다운로드 중 팝업 창이 표시될 수 있습니다. 동의함 버튼을 클릭하여 조건을 수락하고 파일을 다운로드합니다.

악의적인 아티팩트에 관해서는 트래픽을 모니터링하는 다른 솔루션이 위협을 자동으로 검사하지 못하도록 파일을 ZIP 아카이브에 캡슐화할 수 있습니다.

ALLOW_RISKY_ARTIFACT_DOWNLOADS 기능이 없고 악의적인 아티팩트를 다운로드하는 기능이 필요한 경우 VMware 지원 서비스에 문의하십시오.

분석 개요 섹션

참고: 파일 분석 동안 NSX Advanced Threat Prevention 서비스에서 오류가 발생하면 강조 표시된 블록이 표시됩니다. 여기에는 발생한 오류 목록이 포함됩니다.
이 분석 개요 섹션에서는 NSX Advanced Threat Prevention 서비스에서 분석한 파일 또는 URL의 분석 결과를 요약해서 설명합니다. 이 섹션에는 다음 데이터가 표시됩니다.
  • MD5 - 파일의 MD5 해시입니다. 네트워크에서 이 아티팩트에 대한 다른 인스턴스를 검색하려면 <검색 아이콘>을 클릭합니다.
  • SHA1 - 파일의 SHA1 해시입니다.
  • SHA256 – 파일의 SHA256 해시입니다.
  • MIME 유형 – 파일에서 데이터 유형을 식별하는 데 사용되는 레이블입니다.
  • 제출 – 제출 타임 스탬프

위협 수준 섹션

[위협 수준] 섹션은 분석 결과에 대한 요약, 즉 md5 해시 파일이 악의적/무해한 것으로 확인되었습니다.으로 시작됩니다.

그런 후 다음 데이터가 표시됩니다.
위험 평가
이 섹션에는 위험 평가 결과가 표시됩니다.
  • 악성 점수 - 100점 만점의 점수입니다.
  • 위험 예측 - 아티팩트에 의해 부과되는 위험 예측값입니다.
    • 높음 - 이 아티팩트는 심각한 위험을 나타내며 우선 순위에 따라 해결해야 합니다. 이러한 대상은 일반적으로 감염된 시스템의 주요 손상을 초래하는 익스플로잇이 포함된 문서 또는 다운로드 파일입니다. 정보 유출부터 시스템 정보 유출에 이르기까지 여러 가지 위험이 있습니다. 이러한 위험은 어느 정도는 감지된 활동 유형에서 유추됩니다. 이 범주의 점수 임계값은 일반적으로 70보다 큽니다.
    • 중간 – 이 아티팩트는 장기적 위험을 나타내므로 면밀히 모니터링해야 합니다. 의심스러운 컨텐츠가 포함된 웹 페이지일 수 있으며, 이로 인해 의도하지 않은 시도가 발생할 수 있습니다. 즉각적인 심각한 위협을 야기하지는 않지만 시스템 작동에 문제를 일으킬 수 있는 하드웨어 또는 바이러스 백신 제품일 수도 있습니다. 이 범주의 점수 임계값은 일반적으로 30~70입니다.
    • 낮음 – 이 아티팩트는 무해한 것으로 간주되며 무시해도 됩니다. 이 범주의 점수 임계값은 일반적으로 30 미만입니다.
  • 바이러스 백신 클래스 - 아티팩트가 속하는 바이러스 백신 또는 맬웨어 클래스입니다. 예를 들어, 트로이 목마, 웜, 애드웨어, 랜섬웨어, 스파이웨어 등이 있습니다.

  • 바이러스 백신 제품군 - 아티팩트에서 속하는 바이러스 백신 또는 맬웨어 제품군입니다. 예를 들어, valyria, darkside 등이 있습니다. 이 제품군의 다른 인스턴스를 검색하려면 검색 아이콘을 클릭합니다.

분석 개요
표시되는 정보는 심각도를 기준으로 정렬되며 다음 속성을 포함합니다.
  • 심각도 - 아티팩트를 분석하는 동안 감지된 활동의 악성 정도가 0~100 점수입니다. 추가적인 아이콘은 아티팩트를 실행할 수 있는 운영 체제를 나타냅니다.
  • 유형 - 아티팩트를 분석하는 동안 감지된 활동의 유형입니다. 이러한 유형에는 다음이 포함됩니다.
    • 자동 시작 - 시스템 종료 후 다시 시작할 수 있습니다.
    • 사용 안 함 - 시스템의 중요 구성 요소를 사용하지 않도록 설정할 수 있습니다.
    • 회피 - 분석 환경을 회피할 수 있습니다.
    • 파일 - 파일 시스템에 대한 의심스러운 활동입니다.
    • 메모리 - 시스템 메모리 내의 의심스러운 활동입니다.
    • 네트워크 - 네트워크 수준에서의 의심스러운 활동입니다.
    • 신뢰도 - 알려진 소스 또는 신뢰할 수 있는 조직에서 서명한 소스입니다.
    • 설정 - 중요한 시스템 설정을 영구적으로 변경할 수 있습니다.
    • 서명 - 악의적인 대상 ID입니다.
    • 도용 - 중요한 정보를 액세스하고 잠재적으로 누출할 수 있습니다.
    • 은폐 - 사용자 또는 분석 시스템이 알아채지 못하는 상태를 유지할 수 있습니다.
    • 무시됨 – 무해한 대상 ID입니다.
  • 설명 - 아티팩트를 분석하는 동안 감지된 각 활동 유형에 해당하는 설명입니다.
  • ATT&CK 전술 - MITRE ATT&CK 단계 또는 공격의 단계입니다. 여러 전술은 쉼표로 구분됩니다.
  • ATT&CK 기술 - 악의적인 행위자가 사용할 수 있는 확인된 작업 또는 도구입니다. 여러 기술은 쉼표로 구분됩니다.
  • 링크 - 이 활동의 다른 인스턴스를 검색하려면 검색 아이콘을 클릭합니다.
추가 아티팩트
이 섹션에는 제출된 샘플을 분석하는 동안 발견되었으며 심층 분석을 위해 차례로 제출된 추가 아티팩트(파일 및 URL)가 나열됩니다. 이 섹션에는 다음 속성이 포함되어 있습니다.
  • 설명 - 추가 아티팩트를 설명합니다.
  • SHA1 - 추가 아티팩트의 SHA1 해시입니다.
  • 컨텐츠 유형 - 추가 아티팩트의 MIME 유형입니다.
  • 점수 - 추가 아티팩트의 악성 점수입니다. 연결된 분석 보고서를 보려면 분석 보고서 아이콘을 클릭합니다.
디코딩된 명령줄 인수
분석 중에 PowerShell 스크립트가 실행된 경우 시스템은 이러한 스크립트를 디코딩하여 사람이 좀 더 쉽게 읽을 수 있는 형태로 인수를 만듭니다.
타사 도구
VirusTotal 포털의 아티팩트에 대한 보고서 링크입니다.