캠페인 세부 정보: 개요 탭

캠페인 세부 정보 페이지의 개요 탭에는 캠페인에 대한 요약과 대화형 그래픽 Blueprint가 표시됩니다.

다음 정보에서는 이 탭의 세 섹션을 설명합니다.

캠페인 위협 및 호스트

위협 및 호스트 섹션에는 위협 및 호스트 위젯이 표시됩니다.

위협 위젯은 선택한 캠페인에서 NSX Network Detection and Response 애플리케이션이 감지한 현재 위협을 표시합니다. 위협의 심각도는 색상 코드(높음의 경우 빨간색, 중간의 경우 노란색, 낮음의 경우 파란색)로 표시됩니다. 나열된 위협의 이름을 가리키면 영향을 받는 호스트의 IP 주소가 팝업 창에 표시됩니다. 위협 세부 정보 보기를 클릭하면 타임라인 탭에 캠페인에 관한 자세한 정보가 표시됩니다.

호스트 위젯은 선택한 캠페인의 영향을 받는 호스트를 표시합니다. 위협의 심각도는 색상 코드(높음의 경우 빨간색, 중간의 경우 노란색, 낮음의 경우 파란색)로 표시됩니다.

영향을 받는 호스트의 IP 주소를 가리키면 호스트에 영향을 미치는 위협의 이름이 팝업 창에 표시됩니다. 호스트 세부 정보 보기를 클릭하면 호스트 탭에 호스트에 관한 자세한 정보가 표시됩니다.

캠페인 공격 단계

공격 단계 위젯은 공격 단계를 표시하며 현재 캠페인 공격 단계를 강조 표시합니다. 강조 표시된 활동을 가리키면 공격 단계에 관한 자세한 정보가 팝업 창에 표시됩니다. 공격 단계에 대한 자세한 내용은 캠페인 속성 항목을 참조하십시오.

캠페인 Blueprint

캠페인 Blueprint 위젯은 캠페인의 대화형 그래픽 표현을 제공합니다. 이 설명서에는 캠페인에 관련된 호스트(네트워크의 내부 및 외부), 영향을 미친 위협 및 캠페인 설명을 완성하는 추가 정보가 표시됩니다.

다음은 Blueprint 그래프의 예입니다.

이 Blueprint 그래프는 다음과 같은 활동을 표시합니다.

악성 이진 파일이 172.30.4.99 레이블이 있는 호스트 노드로 다운로드됩니다. 이 활동은 호스트에서 사용자가 이메일을 여는 경우와 일치합니다(예: URL 방문 또는 해당 이메일에 포함된 첨부 파일 열기).
레이블이 172.30.4.99인 호스트 노드는 레이블이 kharkiv.biz.ua인 호스트 이름 노드에 연결됩니다. 분석 보고서 3958ec33은 URL http://kharkiv.biz.ua/hPpD/에서 다운로드가 수행되었다고 표시합니다. 또한 분석 보고서에는 다운로드된 항목이 PE 실행 애플리케이션, 32비트, Intel i386 파일이라고도 표시됩니다.
레이블이 172.30.4.99인 호스트 노드가 Emotet command and control에 연결됩니다. 서버는 차단된 항목 75.112.62.42입니다.
레이블이 172.30.4.99인 호스트 노드가 의심스러운 데이터 업로드가 있는 레이블 172.30.6.2의 호스트 노드 및 의심스러운 원격 작업 스케줄링이 있고 모든 활동이 수평 이동과 연결된 레이블 172.30.5.200 및 172.30.5.200의 호스트 노드에 연결됩니다.
레이블이 172.30.6.2인 호스트 노드가 의심스러운 Kerberos 암호화가 있고 활동이 데이터 반출과 일치하는 레이블 172.30.5.200의 호스트 노드에 연결됩니다.

노드 키

Blueprint 그래프에는 다음과 같은 노드 유형이 나타날 수 있습니다.

아이콘	노드 유형	설명
	분석 보고서	이 노드 유형은 NSX Network Detection and Response 샌드박스에서 샘플(파일 또는 URL)을 검색한 결과를 나타냅니다. 분석 보고서 노드에는 분석 작업 UUID의 짧은 버전이 레이블로 지정됩니다. 분석 실행의 점수 범위는 노드의 오른쪽 상단에 있는 색으로 구분된 배지를 사용하여 표현됩니다.
	다운로드한 파일	이 노드 유형은 네트워크에서 다운로드된 파일을 나타냅니다. 다운로드된 파일 노드에는 파일의 SHA1 해시 축약 버전이 레이블로 지정됩니다.
	호스트	이 노드 유형은 네트워크 디바이스를 나타냅니다. 호스트 노드에는 호스트의 IP 주소가 레이블로 지정됩니다. 호스트 노드는 호스트가 내부인지 외부인지를 나타냅니다. 내부 호스트는 IP 주소 옆에 아이콘이 표시됩니다. 호스트가 내부인지 여부는 개인 IP 범위 구성에 따라 결정됩니다. 호스트에 영향을 미치는 인시던트의 최대 영향은 노드의 오른쪽 상단에 색상으로 구분된 배지를 사용하여 표현됩니다.
	정보	이 노드 유형은 정보 수준 활동의 감지를 나타냅니다. 이 노드는 네트워크 분석 Blueprint 그래프에만 나타납니다. 정보 이벤트는 악의적일 필요는 없지만 유용한 추가 정보를 제공하는 활동 또는 동작이 있으면 생성됩니다. 위협에 관해 감지된 이벤트의 최대 영향은 노드의 오른쪽 상단에 색상으로 구분된 배지를 사용하여 표현됩니다.
	위협	이 노드 유형은 감지를 나타냅니다. 위협 노드에는 감지된 이벤트와 연결된 위협 이름이 레이블로 지정됩니다. 위협에 관해 감지된 이벤트의 최대 영향은 노드의 오른쪽 상단에 색상으로 구분된 배지를 사용하여 표현됩니다.

Edge 정보

노드를 연결하는 선을 Edge라고 합니다.

호스트 노드는 점선으로 위협 또는 분석 보고서 노드에 연결되어 호스트 노드에 해당하는 호스트가 위협 또는 분석 보고서 노드가 나타내는 위협에 노출되었음을 나타냅니다.

다른 연결은 실선으로 표시되어 일부 작업(예: 네트워크 연결, DNS 조회 또는 웹 요청)이 2개 노드에 해당하는 엔티티를 관계에 배치했음을 나타냅니다.

Blueprint 상호 작용

Blueprint 그래프는 대화형입니다. 즉, 항목 선택 지원, 노드 이동 및 확대/축소를 진행할 수 있습니다.

노드 및 Edge를 클릭하여 선택할 수 있습니다. 그러면 선택한 항목에 대한 추가 정보가 사이드바에 표시됩니다.

마우스 커서를 노드 위로 가져가면 연결 중인 Edge가 색상으로 표시되어 노드의 상호 작용이 강조 표시됩니다.

개별 노드를 그래프의 새 위치로 끌어 놓을 수 있습니다. 전체 그래프를 이동하여 관점을 효과적으로 변경할 수 있습니다.

마우스 휠을 스크롤하여 그래프를 확대 및 축소할 수 있습니다. 좀 더 확대하면 더 자세한 내용이 표시됩니다. 특히 영향 정보를 전달하기 위해 여러 노드 유형과 함께 사용되는 배지는 실제 영향 점수로 보강됩니다.

캠페인 사이드바

캠페인 사이드바가 Blueprint 그래프의 하나 이상의 요소와 관련된 정보를 표시하는 데 사용됩니다. 기본적으로 최소화됩니다.

노드 또는 Edge 정보를 보려면 아이콘을 클릭합니다.
타사 도구를 보려면 아이콘을 클릭합니다.

사이드바를 최소화하려면 아이콘을 클릭합니다.

노드 또는 Edge 정보

노드/Edge 정보 탭에서는 Blueprint 그래프에서 선택한 노드 또는 Edge에 대한 추가 정보를 제공합니다. 노드를 선택하려면 그래프에서 해당 아이콘을 클릭합니다.

노드 유형	정보
분석 보고서	분석 보고서에 대한 추가 정보입니다. 보고서 세부 정보: 분석 보고서 – 작업 UUID 및 점수를 표시합니다. 새 브라우저 탭에서 분석 보고서를 보려면 아이콘을 클릭합니다. MD5 – 파일 해시 값입니다. SHA1 – 파일 해시 값입니다. 크기 – 파일 크기(바이트)입니다. 범주 – 분석된 파일이 속하는 범주입니다. 유형 – 파일에 관한 자세한 정보입니다. 분석된 샘플의 세부 정보: 다운로드 수 – 분석된 파일이 다운로드되는 것으로 확인된 횟수입니다. 호스트 – 분석된 파일을 다운로드한 호스트의 IP 주소입니다. URL – 다운로드한 파일의 전체 URL입니다.
다운로드한 파일	다운로드한 파일에 대한 추가 정보 파일 세부 정보: MD5 – 파일 해시 값입니다. SHA1 – 파일 해시 값입니다. 크기 – 파일 크기(바이트)입니다. 범주 – 분석된 파일이 속하는 범주입니다. 유형 – 파일에 관한 자세한 정보입니다. 보기 세부 정보: 다운로드 수 – 분석된 파일이 다운로드되는 것으로 확인된 횟수입니다. 다운로드 호스트 – 분석된 파일을 다운로드한 호스트의 IP 주소입니다. URL – 다운로드한 파일의 전체 URL입니다. 보고서 – 보고서 상태, 작업 UUID 및 점수를 표시합니다. 새 브라우저 탭에서 분석 보고서를 보려면 아이콘을 클릭합니다.
호스트	호스트에 대한 추가 정보입니다. 호스트 수준 세부 정보: IP 주소 – 지리를 나타내는 지도 또는 로컬 네트워크 아이콘입니다. 호스트 이름 – 호스트의 도메인 이름입니다. 서비스 – 호스트에서 감지된 모든 서비스입니다. 호스트와 관련된 인시던트: 인시던트 수 – 모든 인시던트의 수입니다. 최대 영향 – 모든 인시던트의 최대 영향을 나타냅니다. 위협 – 감지된 이벤트의 목록입니다. 참고는 호스트가 모니터링되는 네트워크의 내부에 있는지 또는 외부에 있는지를 나타냅니다.
HTTP 요청	HTTP 요청에 대한 추가 정보입니다. URL 세부 정보: 다운로드 URL – HTTP 요청에서 확인된 URL입니다. 다운로드 IP – HTTP 요청에 관해 확인된 IP 주소입니다. 네트워크 분석에서 요청 IP 주소를 보려면 아이콘을 클릭합니다. 요청 세부 정보 요청 수 – HTTP 요청이 확인된 횟수입니다. 호스트 – HTTP 요청을 발행하는 호스트의 IP 주소입니다. Referer – HTTP 요청에서 확인된 "referer" 헤더 값입니다. 사용자 에이전트 – HTTP 요청에서 확인된 사용자 에이전트 값입니다.
위협	위협에 대한 추가 정보 위협 세부 정보: 위협 클래스 – 감지된 위협 클래스의 이름입니다. 예: command&control. 위협 – 감지된 위협의 이름입니다. 예: Loki Bot. 심각도 – 계산된 위협 점수입니다. 정보 – 감지된 위협에 대한 설명입니다.

Edge를 클릭하면 연결에 대한 다음 정보가 표시됩니다.

소스 노드 – 연결의 소스입니다. 노드 이름, IP 주소, 도메인 이름 등이 될 수 있습니다.
대상 노드 – 연결의 대상입니다. 노드 이름, IP 주소, 도메인 이름 등이 될 수 있습니다.

소스 노드 및 대상 노드는 연결의 실제 소스 또는 대상입니다. 소스 또는 대상을 확장하려면 아이콘을 클릭합니다.

타사 도구

[타사 도구] 탭은 그래프에서 선택한 엔티티에 대한 추가 정보를 제공할 수 있는 외부 도구로 연결됩니다. 현재 지원되는 도구는 DomainTools 및 VirusTotal입니다.

다음과 같은 검색이 지원됩니다.

호스트 노드를 선택하면 DomainTools 및 VirusTotal에서 IP 주소를 검색할 수 있습니다.
호스트 이름 노드를 선택하면 DomainTools 및 VirusTotal에서 도메인 이름을 검색할 수 있습니다.
다운로드한 파일 노드를 선택하면 VirusTotal에서 해시를 검색할 수 있습니다.
HTTP 요청 노드를 선택하면 DomainTools 및 VirusTotal에서 요청의 호스트 이름을 검색할 수 있습니다.