NSX 맬웨어 차단에서 사용되는 용어

클라우드 파일 분석

클라우드 파일 분석은 클라우드에서 실행되는 NSX Advanced Threat Prevention 서비스를 통해 수행됩니다. 여기서는 다음 기술을 통해 파일이 무해하거나 악의적이거나 의심스러운지 여부를 감지하여 알 수 없는 파일을 자세히 분석합니다.

NSX 맬웨어 차단 샌드박싱 및 동작 분석
통계 알고리즘
인공 지능 및 기계 학습
심층 컨텐츠 검사

NSX는 맬웨어 차단 보안 프로파일에서 클라우드 파일 분석을 선택하는 경우에만 클라우드에 대한 보안 연결을 통해 알 수 없는 파일을 전송합니다.

파일 이벤트

호스트의 NSX Edge 또는 게스트 VM의 데이터 경로 트래픽에서 파일을 추출하거나 가로챌 때 생성되는 이벤트입니다. NSX Edge에서 파일은 NSX IDPS 엔진에 의해 추출되고 게스트 VM에서는 GI(Guest Introspection) Thin Agent의 NSX File Introspection 드라이버에 의해 파일이 추출됩니다.

로컬 파일 분석

로컬 파일 분석은 NSX 맬웨어 차단에 대해 활성화된 NSX Edge 전송 노드 및 ESXi 호스트 전송 노드의 NSX 내에서 수행됩니다. 여기서는 파일이 무해하거나 악의적이거나 의심스러운지 여부를 감지하기 위해 알려진 파일 해시 집합을 기준으로 알 수 없는 파일을 간단히 검색합니다.

맬웨어 클래스

위협 유형입니다. 맬웨어 클래스의 예로는 바이러스, 바이러스 백신, 웜, 애드웨어, 랜섬웨어, 스파이웨어 등이 있습니다.

맬웨어 제품군

일반적으로 동일한 소스 코드에서 시작되거나 동일한 맬웨어 작성자가 개발한 특정 맬웨어 파일 그룹을 식별하는 이름입니다. 맬웨어 제품군의 예로는 valyria, darkside 등이 있습니다.

신뢰도

파일, URL 또는 파일, URL에 대한 세부 정보를 제공하는 기타 아티팩트에 대한 위협 정보입니다.

예를 들어 파일 신뢰도에는 다음과 같은 세부 정보가 포함될 수 있습니다.

파일 게시자의 이름
파일 서명 여부(예 또는 아니요)
파일의 서명 기관
파일의 신뢰도 범주(맬웨어, 의심스러움, 신뢰할 수 있음)
파일이 속한 맬웨어 클래스입니다. 예를 들어 트로이 목마, 백도어, 애드웨어 등이 있습니다.

파일 신뢰도 세부 정보는 클라우드에 저장되며 모든 NSX 고객이 액세스할 수 있습니다.

위협 점수

파일과 관련된 위험 또는 악의적인 의도의 정도를 표시합니다. 위협 점수가 높을수록 위험이 더 많고, 낮을수록 위험도 적습니다.

결과

NSX 맬웨어 차단은 NSX Edge(North-South 트래픽) 또는 게스트 VM(East-West 트래픽)의 데이터 센터에서 가로챈 파일에 대한 결정 사항을 보고합니다. 파일에 대한 결정 사항을 결과라고 합니다. 결과는 다음 값 중 하나일 수 있습니다.

값	설명
무해	파일을 다운로드해도 안전합니다.
신뢰함	파일을 동작에 따라 신뢰할 수 있습니다.
신뢰 수준이 높은	파일은 신뢰 수준이 높은 소스(예: Microsoft, Apple, Adobe 등)의 파일입니다.
악성	파일이 위험하거나 데이터 센터에 위협이 될 수 있습니다.
의심스러움	파일이 위험하거나 원치 않는 파일일 수 있습니다.
알 수 없음	파일이 NSX에 알려져 있지 않으므로 파일에 대한 결정을 내릴 수 없습니다.
검사되지 않음	이전에 파일을 표시하지 않았거나 허용 목록에 추가했으므로 이 파일은 NSX 맬웨어 차단에서 검사되지 않습니다.

제로데이 위협

이전에 NSX에 나타나지 않았으며 알려진 맬웨어 서명과 일치하지 않는 위협입니다.