맬웨어 차단 대시보드에서 파일 이벤트의 세부 정보 모니터링

맬웨어 차단 대시보드를 사용하여 보다 심층적인 모니터링 및 분석을 위해 데이터 센터에서 추출된 파일의 이벤트 세부 정보로 드릴다운합니다.

대시보드는 지난 14일 동안의 파일 이벤트를 표시할 수 있습니다. 분산 방화벽 및 게이트웨이 방화벽에서 지원되는 최대 파일 이벤트 수에 대한 자세한 내용은 https://configmax.vmware.com/home에서 VMware 구성 최대값 도구를 참조하십시오.

파일 이벤트(파일 검사)에 대한 정보가 두 개의 탭 페이지에 표시됩니다.

[잠재적 맬웨어] 페이지

특정 기간 동안 데이터 센터에서 추출된 악성 파일, 의심스러운 파일 및 검사되지 않은(허용 목록에 포함된) 파일의 집계된 이벤트 세부 정보를 표시합니다.

거품형 차트의 거품은 데이터 센터에서 추출된 고유한 파일을 나타냅니다. 파일은 해당 파일 해시로 고유하게 식별됩니다. 거품 내부의 색상과 그래픽은 파일이 악의적인지, 의심스러운지, 검사되지 않았는지(허용 목록에 포함) 나타냅니다.

테이블의 행은 하나의 파일을 나타냅니다. 거품의 숫자는 파일에 대해 계산된 위협 점수를 나타냅니다. 점수의 범위는 0~100이며 파일과 관련된 위험 또는 악의적 의도의 정도를 표시합니다. 위협 점수가 높을수록 위험이 더 많고, 낮을수록 위험도 적습니다. 예:

무해 파일의 점수 범위는 0~29입니다.
의심스러운 파일의 점수 범위는 30~69입니다.
악성 파일의 점수 범위는 70~100입니다.
검사되지 않은 파일의 점수는 -1입니다.

결과가 악의적이거나 의심스러운 파일의 경우 맬웨어 제품군 및 맬웨어 클래스가 표시됩니다. 단일 파일은 여러 맬웨어 제품군 및 맬웨어 클래스에 속할 수 있습니다. 하지만 NSX파일에 대한 맬웨어 패밀리 및 맬웨어 클래스를 알 수 없는 경우 해당 정보가 UI에 표시되지 않습니다.

참고: 각 파일에 대해 이벤트 세부 정보(검사 세부 정보)가 집계되어 대시보드에 표시됩니다. 예를 들어 데이터 센터에서 단일 파일을 다섯 번 검사하면 5개의 파일 이벤트가 생성됩니다. 즉, 파일에 대한 검사 수는 5입니다. 그러나 거품형 차트는 파일에 대한 단일 거품을 표시하고 테이블에는 해당 파일에 대한 단일 행이 있습니다. 거품을 가리키면 파일에 대해 수행된 검사의 요약이 표시됩니다. 마찬가지로 표에서 파일에 대한 행을 확장하면 가장 최근 파일 검사의 세부 정보가 표시됩니다. 하지만 파일에 대한 모든 이전 검사의 기록은 보존되며 볼 수 있습니다.

다음 표에서는 거품형 차트에 사용되는 아이콘의 의미를 설명합니다.

아이콘	의미
	타임라인의 작은 거품은 파일에 대한 단일 검사를 나타냅니다.
	타임라인의 큰 거품은 단일 파일에 대한 여러 검사를 나타냅니다. 예: .exe 파일이 3일 동안 5개의 게스트 VM에서 추출되었으며 NSX가 이 파일을 의심스러운 것으로 확인했다고 가정합니다. 이 경우 데이터 센터의 .exe 파일에 대해 5개의 고유한 파일 검사가 발생했습니다. 마지막으로 검사한 타임 스탬프의 의심스러운 타임라인에 큰 거품이 표시됩니다. 이 거품을 클릭하여 이 .exe 파일에 대한 5가지 검사 기록을 모두 볼 수 있습니다.
	타임라인의 거품 그룹은 동일한 결과를 갖는 여러 개의 고유한 파일 검사를 나타냅니다. 예: 4개의 고유한 .docx 파일 A, B, C 및 D가 동시에 또는 거의 동시에 데이터 센터의 North-South 트래픽에서 추출되었으며 NSX가 이러한 모든 파일을 악의적인 것으로 확인했다고 가정합니다. 4개 파일 모두에 대한 거품은 함께 그룹화되어 거품형 차트의 악의적인 타임라인에 표시됩니다.

아이콘

의미

타임라인의 작은 거품은 파일에 대한 단일 검사를 나타냅니다.

타임라인의 큰 거품은 단일 파일에 대한 여러 검사를 나타냅니다.

예: .exe 파일이 3일 동안 5개의 게스트 VM에서 추출되었으며 NSX가 이 파일을 의심스러운 것으로 확인했다고 가정합니다. 이 경우 데이터 센터의 .exe 파일에 대해 5개의 고유한 파일 검사가 발생했습니다. 마지막으로 검사한 타임 스탬프의 의심스러운 타임라인에 큰 거품이 표시됩니다. 이 거품을 클릭하여 이 .exe 파일에 대한 5가지 검사 기록을 모두 볼 수 있습니다.

타임라인의 거품 그룹은 동일한 결과를 갖는 여러 개의 고유한 파일 검사를 나타냅니다.

예: 4개의 고유한 .docx 파일 A, B, C 및 D가 동시에 또는 거의 동시에 데이터 센터의 North-South 트래픽에서 추출되었으며 NSX가 이러한 모든 파일을 악의적인 것으로 확인했다고 가정합니다. 4개 파일 모두에 대한 거품은 함께 그룹화되어 거품형 차트의 악의적인 타임라인에 표시됩니다.

모든 파일 페이지

무해한 파일을 포함하여 데이터 센터에서 추출된 모든 고유 파일의 테이블 형식 보기를 표시합니다. 즉, 이 페이지에는 파일의 결과와 관계없이 모든 고유 파일이 표시됩니다. 테이블의 행을 확장하여 파일의 마지막 검사 세부 정보를 봅니다.

사전 요구 사항

NSX 맬웨어 차단 기능이 NSX Application Platform에서 성공적으로 활성화되어 있습니다.
NSX 맬웨어 차단 기능이 보안 요구 사항에 따라 ESXi 호스트 클러스터나 Tier-1 게이트웨이 또는 둘 다에서 활성화됩니다.

프로시저

브라우저의 https://nsx-manager-ip-address에서 NSX Manager에 로그인합니다.
보안을 클릭한 후 왼쪽 탐색 창에서 맬웨어 차단을 클릭합니다.
잠재적 맬웨어 페이지가 표시됩니다. 기본적으로 거품형 차트와 테이블에는 지난 1시간 동안 추출된 파일이 표시됩니다. 다른 기간에 대한 파일을 보려면 이 페이지의 오른쪽 상단 모서리에 있는 드롭다운 메뉴를 클릭하고 다른 기간을 선택합니다.
(선택 사항) 페이지의 오른쪽 상단 모서리에 있는 필터 아이콘을 클릭하고 페이지의 정보를 필터링할 조건을 선택합니다.
필터 조건은 거품형 차트와 테이블에 모두 적용됩니다. NSX 4.0에서 지원되는 필터 조건은 결과(허용 목록 포함) 및 SHA256 해시입니다. NSX 4.0.1.1부터 다음 필터 조건도 지원됩니다.
- 차단됨
- 파일 유형
- 맬웨어 클래스
- 맬웨어 제품군

대시보드에 표시되는 파일 이벤트(검사) 세부 정보를 모니터링합니다.

거품을 가리키면 팝업 창에서 파일에 대한 검사의 요약 정보를 볼 수 있습니다.
팝업 창의 정보는 작은 거품, 큰 거품 또는 거품 그룹을 가리키는지에 따라 다릅니다. 예를 들어 작은 거품을 가리키면 팝업 창에 파일의 단일 검사에 대한 요약 정보가 표시됩니다.
필요한 경우 거품형 차트의 타임라인을 끌어 축소하거나 확대합니다.

거품을 클릭하여 테이블에서 해당 파일로 바로 이동합니다. 행을 확장하여 이 파일에 대한 최신 검사에 대한 전체 세부 정보를 봅니다.

필드	설명
파일 유형	전송 노드(호스트 또는 Edge)에서 추출된 파일의 유형입니다. 예를 들어 PdfDocFile, PeExeFile, ShellScriptFile 등이 있습니다.
파일 유형 세부 정보	파일 유형에 대한 간단한 정보입니다.
클라이언트(마지막)	마지막 검사에서 파일을 수신한 대상 시스템입니다. 데이터 센터 내 분산 East-West 트래픽의 끝점 VM에서 추출된 파일의 경우 클라이언트는 끝점 VM 자체입니다. North-South 트래픽의 NSX Edge에서 추출된 파일의 경우 트래픽 방향에 따라 클라이언트가 결정됩니다. 예를 들어 데이터 센터 내의 VM이 데이터 센터 외부의 시스템에 파일을 업로드하는 경우 클라이언트는 데이터 센터 외부의 시스템입니다. 데이터 센터 내의 VM이 데이터 센터 외부의 시스템에서 파일을 다운로드하는 경우 클라이언트는 데이터 센터 내의 VM입니다.
서버(마지막)	마지막 검사에서 파일이 수신된 소스 시스템입니다. 데이터 센터 내 분산 East-West 트래픽의 끝점 VM에서 추출된 파일의 경우 NSX 맬웨어 차단이 파일의 소스를 확인할 수 없습니다. 따라서 서버(마지막) 상자는 항상 비어 있습니다. North-South 트래픽의 NSX Edge에서 추출된 파일의 경우 트래픽 방향에 따라 서버가 결정됩니다. 예를 들어 데이터 센터 내의 VM이 데이터 센터 외부의 시스템에서 파일을 다운로드하는 경우 서버는 데이터 센터 외부의 시스템입니다. 데이터 센터 내의 VM이 데이터 센터 외부의 시스템에 파일을 업로드하는 경우 서버는 데이터 센터 내의 VM입니다.
파일 이름	파일과 연결된 이름입니다. 단일 파일에는 고유한 해시가 있지만 해당 파일을 수신한 클라이언트가 다른 이름으로 파일을 저장할 수 있습니다.
프로토콜	파일 전송에 사용되는 프로토콜입니다. 예를 들어 HTTP, FTP, HTTPS 등이 있습니다.
워크로드	이 필드 옆의 숫자를 클릭하여 파일의 영향을 받는 데이터 센터의 모든 워크로드 VM 목록을 봅니다.
총 검사 수	이 필드 옆의 숫자를 클릭하여 파일에 대해 수행된 모든 검사의 기록을 봅니다. 예를 들어 데이터 센터에서 파일이 10번 검사되면 팝업 창에 10번의 검사 모두에 대한 요약이 표시됩니다.
방화벽 유형	값은 `호스트` 또는 `Edge`일 수 있습니다. 분산 방화벽이 실행되고 있는 ESXi 호스트에서 파일을 마지막으로 추출한 경우 값은 `호스트`입니다. 게이트웨이 방화벽이 실행 중인 Edge에서 파일을 마지막으로 추출한 경우 값은 `Edge`입니다.
전송 노드	마지막 검사에서 파일이 추출된 Edge 전송 노드 또는 호스트 전송 노드의 ID입니다.
첫 번째로 검사됨	데이터 센터에서 파일을 첫 번째로 검사한 날짜 및 시간입니다.
마지막으로 검사됨	데이터 센터에서 파일을 마지막으로 검사한 날짜 및 시간입니다.
제출한 사람	이 값은 항상 `시스템`입니다. 즉, NSX가 상세 분석을 위해 파일을 클라우드에 제출한 것입니다.
분석자 UUID	자세한 분석을 위해 클라우드로 파일을 제출하는 UUID입니다. UUID는 파일이 마지막 검사 동안 또는 이전 검사 중 어떤 검사에서 클라우드로 제출되었는지에 관계없이 표시됩니다. 파일이 클라우드에 여러 번 제출된 경우 마지막 제출의 UUID가 표시됩니다.
차단됨	파일이 차단되었는지 여부를 표시합니다. 값은 예 또는 아니요입니다.

(선택 사항) 다음 추가 작업을 수행합니다.

모든 파일 탭을 클릭합니다.
이 페이지에는 파일의 결과와 관계없이 데이터 센터에서 추출된 모든 고유 파일의 목록이 표시됩니다. 기본적으로 지난 1시간 동안 추출된 파일이 표시됩니다. 다른 기간에 대한 파일 목록을 보려면 이 페이지의 오른쪽 상단 모서리에 있는 드롭다운 메뉴를 클릭하고 다른 기간을 선택합니다.