NSX Network Detection and Response 기능의 주요 목표는 NSX 환경에서 활성화된 모든 이벤트 소스에서 주요 비정상 활동 또는 악성 이벤트를 수집하는 것입니다. MITRE ATT&CK® 모델에 따라, NSX Network Detection and Response 프로세스는 NSX 관리 네트워크에서 생성된 감지 이벤트를 처리합니다. NSX Network Detection and Response는 이러한 보안 관련 이벤트를 집계하고 상관관계를 파악하여 MITRE ATT&CK 프레임워크에 설명된 전술 및 기술을 기준으로 특정 위협을 시각화해서 보여 줍니다.

NSX Network Detection and Response는 관련 이벤트를 캠페인과 연관 짓습니다. 위협 신호를 상호 연관 지어 캠페인의 위협 이벤트를 보안 분석가가 위협 캠페인을 보고 심사하는 데 사용할 수 있는 타임라인으로 구성합니다.

NSX Network Detection and Response 용어 및 핵심 개념

다음 표에는 NSX Network Detection and Response에 사용되는 주요 용어가 나와 있습니다.

용어/핵심 개념 정의
캠페인

캠페인은 모니터링되는 네트워크에서 NSX Network Detection and Response 서비스를 통해 감지되고 상호 연관된 일련의 보안 관련 이벤트를 나타냅니다. 이러한 보안 이벤트에는 IDS 서명 일치, 의심스러운 트래픽 이벤트 또는 악성 파일 전송 이벤트가 포함될 수 있습니다.

NSX Network Detection and Response는 기계 학습 및 고급 분석을 사용하여 보안 위협을 식별하고 잠재적인 위협에 대한 포괄적인 보기를 보안 팀에 제공하는 캠페인을 자동으로 생성합니다. 각 캠페인에는 캠페인을 구성하는 보안 이벤트로 인한 위험을 기준으로 영향 점수가 할당됩니다.

캠페인이 감지되면 NSX Network Detection and Response는 관련된 워크로드, 활동의 특성, 네트워크에 미치는 잠재적 영향을 비롯하여 캠페인을 구성하는 이벤트에 대한 자세한 정보를 제공합니다. 이 정보를 사용하면 보안 위협을 신속하게 조사하고 대응할 수 있으므로 데이터 침해 및 기타 보안 인시던트 방지에 도움이 됩니다.

캠페인 영향 점수

캠페인 영향 점수는 잠재적인 보안 위협의 긴급도를 빠르게 평가하는 데 도움이 되며 그에 따라 심사 및 해결의 우선순위를 지정하는 데 도움이 될 수 있는 메트릭입니다. 영향 점수가 높은 캠페인에 집중하면 가장 중요한 위협을 신속하게 해결하고 보안 인시던트의 위험을 최소화할 수 있습니다.

캠페인 영향 점수는 이벤트의 신뢰도, 심각도 및 영향과 같은 요인의 조합을 사용하여 캠페인에 있는 감지 이벤트 집합에서 계산됩니다.

이 점수는 0-100의 척도로 표시되며, 점수가 높을수록 잠재적 영향이 더 큰 것입니다. 점수가 0이면 캠페인이 영향을 미치지 않음을 나타내고, 점수가 100이면 캠페인이 즉각적이고 심각한 위협을 가하고 있음을 나타냅니다.

자세한 내용은 캠페인 항목을 참조하십시오.
대상 대상은 흐름의 대상을 나타내며 좀 더 일반적으로는 서버라고 합니다.
감지 또는 감지 이벤트

감지 또는 감지 이벤트는 NSX Network Detection and Response에서 감지된 대로 네트워크에서 발생한 보안 관련 활동을 나타냅니다. 사이트에서 새 감지 데이터가 수신되면 해당 데이터는 동일한 위협 감지를 나타내는지 확인하기 위해 이미 수신된 이벤트로 집계됩니다. 집계할 수 없으면 새 감지 이벤트가 생성됩니다.

각 감지에는 MITRE ATT&CK 프레임워크, 위협 및 영향 점수를 기준으로 분류가 할당됩니다.

감지 이벤트는 캠페인의 감지와 관련된 것으로 간주될 경우 캠페인과 상호 연관될 수 있습니다. 이벤트가 현재 이벤트와 관련된 것으로 간주되지 않을 경우 이벤트에는 캠페인에 포함되지 않습니다.
감지 영향 점수

감지 영향 점수는 위협의 심각도 또는 "불량 정도"와 감지 정확성에 대한 신뢰도를 조합한 메트릭입니다.

감지 영향 점수는 심각도와 신뢰도를 조합해서 계산됩니다.

점수의 범위는 0~100으로, 100이 가장 위험한 감지입니다.

자세한 내용은 NSX Network Detection and Response의 감지 항목을 참조하십시오.
MITRE ATT&CK®

MITRE ATT&CK는 실제 관찰 내용을 토대로 전 세계적으로 액세스할 수 있는 악의적인 전술 및 기술에 대한 기술 자료입니다. ATT&CK 기술 자료는 민간 부문, 정부 및 사이버 보안 제품 및 서비스 커뮤니티에서 특정 위협 모델 및 방법론을 개발하기 위한 토대로 사용됩니다.

NSX Network Detection and Response는 감지 이벤트가 MITRE ATT&CK 전술 및 기술에 매핑되기 때문에 MITRE ATT&CK 프레임워크를 사용합니다.

MITRE ATT&CK 기술 자료에 대한 자세한 내용은 공식 사이트를 참조하십시오.
MITRE ATT&CK 전술 전술은 ATT&CK 기술 또는 하위 기술의 "이유"를 나타냅니다. 그것은 악의적 사용자의 전술적 목표, 즉 작업을 수행하는 이유입니다. 예를 들어 악의적인 사용자가 자격 증명 액세스를 구현하려고 할 수 있습니다. NSX Network Detection and Response 이벤트는 감지된 활동의 의도를 이해하는 데 도움이 되도록 MITRE ATT&CK 전술에 매핑됩니다.

MITRE ATT&CK 전술 외에도 NSX Network Detection and Response 시스템은 다음과 같이 두 가지 사용자 지정 전술 범주를 사용합니다.

  • 취약성: 정책 위반을 포함한 네트워크의 잠재적 취약성 또는 보안 상태 문제 감지와 관련이 있습니다. MITRE ATT&CK 프레임워크는 취약점이 아닌 공격에 초점을 맞추고 있으므로 이러한 경우를 처리하지 않습니다.
  • 결정되지 않음: NSX Network Detection and Response 시스템이 MITRE ATT&CK 전술을 확인할 수 없는 감지와 관련되어 있습니다.

MITRE ATT&CK 전술에 대한 자세한 내용은 https://attack.mitre.org/tactics/enterprise/ 항목을 참조하십시오.
MITRE ATT&CK 기술 기술은 공격자가 실제로 전술을 수행하는 방법에 해당하는 "방법"을 나타냅니다.

MITRE ATT&CK 전술 및 기술에 대한 자세한 내용은 https://attack.mitre.org/techniques/enterprise/ 항목을 참조하십시오.
SIEM SIEM(보안 정보 및 이벤트 관리)은 보안 및 기타 이벤트 데이터를 수집, 관리 및 분석하는 보안 제품 또는 서비스입니다. SIEM은 실시간 보안 모니터링 및 분석을 제공합니다.
서명

서명은 트래픽과 비교하여 악용 시도, 명령 및 제어 트래픽, 수평 이동 및 반출 등과 같은 잠재적으로 악의적인 활동을 감지하는 것을 목표로 하는 패턴 일치 표현식입니다.
소스 소스는 네트워크 흐름의 소스를 나타내며 좀 더 일반적으로는 클라이언트라고 합니다.
위협 일반적으로 위협은 네트워크에 대한 보안 침해 또는 공격을 나타낼 수 있는 의심스러운 활동 또는 동작을 나타냅니다.

NSX Network Detection and Response에서 모든 감지 이벤트에는 "위협"이 할당됩니다. MITRE ATT&CK 외에, 위협은 감지를 분류하는 또 다른 방법입니다. 위협은 감지된 악의를 더욱 구체적으로 분류하는 경향이 있습니다(예: 특정 맬웨어 이름 또는 CVE ID). 이러한 특정 분류를 사용할 수 없는 경우 위협은 보다 일반적인 분류일 수 있습니다.

NSX Network Detection and Response의 감지 유형

NSX Network Detection and Response의 감지 유형은 감지와 관련된 감지 기술에 따라 다릅니다. 현재 지원되는 감지 유형은 다음과 같습니다.

  • IDS(침입 감지 시스템) 이벤트: 보호된 네트워크의 네트워크 트래픽에 대해 일치하는 IDS 서명을 통해 감지되는 IDS 서명 일치입니다.
  • NTA(네트워크 트래픽 이상 징후) 이벤트: NSX 의심스러운 트래픽 기능은 NSX Intelligence 적격 NSX 워크로드(호스트 또는 호스트의 클러스터)에서 수집하는 East-West 네트워크 트래픽 흐름 데이터에 대한 네트워크 위협 분석을 생성합니다.
  • 악성 파일 전송 이벤트: NSX 멀웨어 방지 기능은 게이트웨이에서 발생한 악의적인 파일 이벤트를 분석을 위해 NSX Network Detection and Response로 보냅니다. 의심되거나 악의적인 파일 이벤트(30점 이상)는 NSX Network Detection and Response로 전송됩니다.

  • 악성 파일 감지 이벤트: NSX 멀웨어 방지 기능은 워크로드 내에서 감지된 악성 파일을 전송합니다. 워크로드의 파일 시스템에서 생성된 파일이 분석되고 해당 파일 이벤트(30점 이상)가 NSX Network Detection and Response로 전송됩니다.

이벤트 유형 및 이벤트 소스

다음 표에는 NSX Network Detection and Response에서 수집할 수 있는 이벤트 유형과 이벤트를 생성하는 소스가 나열되어 있습니다. 이벤트 소스가 이벤트를 NSX Network Detection and Response로 보내려면 이벤트 유형에 대해 언급된 NSX 기능을 활성화해야 합니다.
이벤트 유형 이벤트 소스
IDS 이벤트 분산 IDS 및 Edge(분산 NSX IDS/IPS 기능을 활성화하는 경우)
NTA(네트워크 트래픽 이상 징후) 이벤트 NSX 의심스러운 트래픽 감지기를 켜는 경우
악성 파일 전송 이벤트 워크로드 내에서 감지되는 악성 파일 전송 이벤트(NSX 멀웨어 방지 기능을 활성화하는 경우)
악성 파일 감지 이벤트 호스트에서 감지되는 악성 파일 이벤트(NSX 멀웨어 방지 기능을 활성화하는 경우)
중요: NSX Network Detection and Response 기능을 최대화하려면 이벤트를 사용하는 NSX 기능 중 하나 이상을 활성화합니다. NSX Network Detection and Response 기능을 자체적으로 활성화할 수 있지만 이전 표에 언급된 NSX 기능을 활성화하지 않으면 NSX Network Detection and Response에서 분석할 이벤트가 없으므로 제공해야 하는 이점을 제공할 수 없습니다.