인시던트는 모니터링되는 네트워크에서 발생한 것으로 NSX Network Detection and Response에서 감지한 보안 관련 활동을 나타냅니다. 인시던트를 하나의 이벤트로 구성하거나, 자동으로 연관되어 있고 밀접하게 관련된 것으로 확인된 여러 이벤트로 구성할 수 있습니다. 인시던트 목록에는 등록된 인시던트와 해당하는 위협 수준이 표시됩니다.
위험한 것으로 확인된 모든 보고된 인시던트, 감시해야 하는 인시던트 또는 네트워크에서 방해 요인으로 간주되는 인시던트를 볼 수 있습니다. 중요 인시던트는 지연 없이 처리해야 합니다. 중요 인시던트를 처리하지 못하게 되면 매우 위험하며 네트워크의 다른 호스트도 손상될 가능성이 높아집니다.
아직 검사하지 않은 인시던트는 읽지 않음으로 표시되지만 이미 검사한 인시던트는 읽음으로 표시됩니다. 인시던트를 선택하고 읽음 또는 읽지 않음으로 표시하는 등의 작업을 수행할 수 있는 옵션이 제공됩니다. 선택한 인시던트를 닫거나 열 수도 있습니다.
목록 위의 빠른 검색 텍스트 상자는 입력하는 즉시 진행되는 빠른 검색을 제공합니다. 목록의 행을 필터링하여 필드에서 쿼리 문자열과 일치하는 텍스트가 있는 행만 표시합니다.
선택 드롭다운 메뉴를 사용하여 미세 조정된 선택 항목을 표시합니다. 옵션을 사용하여 모든 표시 인시던트 또는 선택 지우기를 선택할 수 있습니다. 읽음(현재 페이지) 또는 읽지 않음(현재 페이지) 인시던트를 선택할 수도 있습니다. 제목 행에서 편집 아이콘을 클릭하여 표시되는 모든 메시지를 선택할 수도 있습니다.
작업 드롭다운 메뉴를 사용하여 선택한 인시던트를 읽음으로 표시, 읽지 않음으로 표시, 닫기 또는 열기로 업데이트합니다.
표시할 행 수를 사용자 지정합니다. 기본값은 20개 항목입니다. 및 아이콘을 사용하여 여러 페이지를 탐색합니다.
목록에 표시할 열은 추가 컨텐츠 아이콘을 클릭하여 사용자 지정할 수 있습니다.
각 행은 인시던트에 대한 요약입니다. 인시던트 세부 정보에 액세스하려면 더하기 아이콘(또는 항목 행의 아무 곳이나)을 클릭합니다. 메시지 행을 선택하려면 편집 아이콘을 클릭합니다.
목록은 영향을 기준으로 정렬되며 다음 열을 포함합니다.
열 |
설명 |
---|---|
호스트 |
이 인시던트의 영향을 받는 호스트입니다. 이 열에는 현재 디스플레이 설정 팝업에 따라 호스트의 IP 주소, 호스트 이름 또는 레이블이 표시됩니다 아이콘을 클릭하여 호스트에 대한 세부 정보를 표시하는 호스트 프로파일 페이지를 봅니다. 목록을 호스트 정보별로 정렬하려면 아이콘을 클릭합니다. |
감지 이벤트 |
이 인시던트로 구성된 이벤트의 수입니다. 이벤트 수와 아이콘을 표시하는 링크입니다. 이 링크를 클릭하면 이 인시던트에 대한 이벤트만 표시하도록 필터링된 이벤트 페이지가 로드됩니다. 목록을 이벤트별로 정렬하려면 아이콘을 클릭합니다. |
시작 |
인시던트 시작 시간입니다. 목록을 시작 시간별로 정렬하려면 아이콘을 클릭합니다. |
끝 |
인시던트 종료 시간입니다. 목록을 종료 시간별로 정렬하려면 아이콘을 클릭합니다. |
위협 |
감지된 보안 위험의 이름입니다. 목록을 위협별로 정렬하려면 아이콘을 클릭합니다. |
위협 클래스 |
감지된 보안 위험 클래스의 이름입니다. 목록을 위협 클래스별로 정렬하려면 정렬 아이콘을 클릭합니다. |
영향 |
영향 값은 감지된 위협의 위험 수준을 나타내며 범위는 1~100 사이입니다.
중지 아이콘이 나타나면 아티팩트가 차단되었음을 나타냅니다. 목록은 영향의 내림차순(가장 중요한 인시던트가 맨 위에 표시)으로 정렬됩니다. 아이콘을 클릭하여 목록을 오름차순으로 정렬한 다음(가장 덜 중요한 인시던트를 맨 위에 표시), 아래 방향 화살표 아이콘을 클릭하여 기본값으로 다시 전환합니다. |
인시던트 세부 정보
인시던트 행의 아무 곳이나 클릭하면 [인시던트 세부 정보] 보기가 인시던트 목록 내에서 확장됩니다.
인시던트 세부 정보의 맨 위에는 여러 버튼이 있습니다.
-
버튼을 클릭하여 인시던트를 닫습니다.
-
작업 드롭다운 메뉴를 사용하여 인시던트 관련 작업을 수행합니다.
-
인시던트가 아직 닫히지 않은 경우 인시던트 삭제 을 선택합니다. 그렇지 않으면 인시던트 열기를 선택합니다.
-
인시던트를 아직 읽지 않은 경우 읽은 상태로 표시를 선택합니다. 그렇지 않으면 읽지 않음으로 표시를 선택합니다.
-
위협 무시를 선택합니다. 위협 세부 정보가 메뉴 항목에 나열됩니다. 이 항목을 선택하면 호스트에 이 특정 위협이 있는지 여부는 중요하지 않습니다. 따라서 이 호스트에서 이 위협이 감지되는 모든 인시던트도 자동으로 닫힙니다.
-
<host> 호스트를 정리됨으로 표시를 선택합니다. 시스템은 인시던트와 관련된 호스트를 정리된 것으로 표시합니다. 그 결과 호스트의 모든 인시던트가 닫힙니다.
-
-
인시던트 세부 정보 보기를 클릭하면 새 브라우저 탭에 인시던트 프로파일 페이지의 내용이 표시됩니다.
-
경고 관리를 클릭하여 경고 관리 사이드바를 시작합니다. 이 기능을 사용하여 시스템 테스트 또는 차단 관련 인시던트와 같은 지정된 인시던트와 관련된 무해한 이벤트를 억제하거나 강등합니다. 자세한 내용은 경고 관리 사이드바 사용 항목을 참조하십시오.
-
인시던트 표시하려면 읽음으로 표시를 클릭합니다. 버튼이 읽지 않음으로 표시로 전환되어 읽기 상태를 되돌릴 수 있습니다.
인시던트 요약
상위 섹션에서는 감지된 위협에 대한 시각적 개요를 제공하고 영향 점수를 표시합니다.
인시던트 세부 정보
열 | 설명 |
---|---|
소스 IP | 인시던트 소스의 IP 주소입니다. 아이콘을 클릭하여 호스트에 대한 활동 페이지를 확인합니다. 아이콘을 클릭하여 네트워크 분석 페이지에서 소스를 확인합니다. |
소스 호스트 | 사용 가능한 경우 인시던트 소스의 FQDN입니다. |
이벤트 | 이 인시던트를 구성하는 이벤트 수입니다. |
인시던트 ID | 인시던트 프로파일 페이지에 대한 고정 링크입니다. 새 브라우저 탭/창에 링크가 열립니다. |
캠페인 ID | 캠페인 페이지에 대한 고정 링크입니다. 새 브라우저 탭에 링크가 열립니다. |
영향 | 시스템에서 이 인시던트에 적용한 영향 점수입니다. |
시작 시간 | 인시던트 시작에 대한 타임 스탬프입니다. |
종료 시간 | 마지막으로 기록된 인시던트 이벤트에 대한 타임 스탬프입니다. |
상태 | 인시던트가 닫혔는지 여부를 표시합니다. |
증거
확장 시 증거 위젯은 NSX Network Detection and Response에서 감지한 이벤트 목록을 표시합니다.
목록에 표시할 열은 아이콘을 클릭하여 사용자 지정할 수 있습니다.
열 | 설명 |
---|---|
처음 확인 | 이 이벤트가 처음 표시된 시점의 타임 스탬프입니다. |
마지막 확인 | 이 이벤트가 마지막으로 표시된 시점의 타임 스탬프입니다. |
위협 | 감지된 보안 위험의 이름입니다. |
위협 클래스 | 감지된 보안 위험 클래스의 이름입니다. |
영향 | 이 인시던트에 적용된 영향 점수입니다. |
증거 | 이 인시던트의 증거 범주입니다. 증거 세부 정보 블록의 제목은 범주 이름에서 파생됩니다. |
대상 | 분석되는 아티팩트(일반적으로 파일)입니다. |
참조 | 이벤트 페이지에 대한 고정 링크입니다. 새 브라우저 탭에 링크가 열립니다. |
증거 세부 정보
아이콘(또는 인시던트 항목 행의 아무 위치)을 클릭하여 증거 세부 정보 블록을 표시합니다.
증거 세부 정보 블록의 제목은 증거 유형에서 파생됩니다. 예: 신뢰도 증거
데이터 | 설명 |
---|---|
위협 | 감지된 보안 위험의 이름입니다. |
위협 클래스 | 감지된 보안 위험 클래스의 이름입니다. |
영향 | 이 인시던트에 적용된 영향 점수입니다. |
감지기 | 있는 경우 위협을 식별한 NSX Network Detection and Response 모듈이 표시됩니다. 링크를 클릭하여 감지기 팝업 창을 봅니다. 감지기 설명서 팝업 창 항목을 참조하십시오. |
네트워크 이벤트 보기 | 이벤트 페이지에 대한 고정 링크입니다. 새 브라우저 탭에 링크가 열립니다. |
네트워크 이벤트 보기 | 이벤트 페이지에 대한 고정 링크입니다. 새 브라우저 탭에 링크가 열립니다. |
처음 확인 | 이 이벤트가 처음 표시된 시점의 타임 스탬프입니다. |
마지막 확인 | 이 이벤트가 마지막으로 표시된 시점의 타임 스탬프입니다. |
심각도 | 감지된 위협에 대한 심각도 예측값입니다. 예를 들어 명령 및 제어 서버에 대한 연결은 연결이 잠재적으로 손상될 수 있으므로 일반적으로 높은 심각도로 간주됩니다. |
신뢰도 | 감지된 개별 위협이 실제로 악의적일 가능성을 나타냅니다. 시스템은 고급 휴리스틱을 사용하여 알 수 없는 위협을 감지하기 때문에 경우에 따라 특정 위협에 사용할 수 있는 정보의 양이 제한된 경우 감지된 위협의 신뢰도 값이 낮아질 수 있습니다. |
대상 | 있는 경우, 분석되는 아티팩트(일반적으로 파일)입니다. |
자세한 내용은 증거 정보를 참조하십시오.