NSX Network Detection and Response의 감지

감지 이벤트 또는 이벤트라고도 하는 감지는 NSX Network Detection and Response에서 감지된 대로 네트워크에서 발생한 보안 관련 활동을 나타냅니다. 감지를 사용하면 NSX 환경 내의 이벤트 유형과 관계없이 모든 위협 이벤트를 분석하여 위협 심사 및 조사를 수행할 수 있습니다.

NSX Network Detection and Response 시스템에서 새 감지 데이터를 수신하면 기존 감지 이벤트와 데이터를 비교하여 새 감지를 기존 감지 이벤트로 집계할 수 있는지 확인합니다. 감지가 집계되는 방법에 대한 자세한 내용은 감지 집계 항목을 참조하십시오.

감지 이벤트는 함께 연관되어 캠페인을 구성할 수 있습니다. 감지 이벤트가 다른 감지와 상관관계가 없는 경우 캠페인에 포함되지 않습니다.

통합 이벤트 목록 보기

NSX Network Detection and Response에서 생성된 모든 감지 이벤트를 보려면 위협 감지 및 응답 > 감지 페이지로 이동합니다. 이 페이지 맨 위에는 히스토그램이 표시되고 히스토그램 아래에는 목록이 표시됩니다. 목록을 통합 이벤트 목록이라고 하며 모든 감지 이벤트를 표시합니다. 목록의 각 행은 하나의 감지 이벤트를 나타냅니다.

감지 페이지

페이지 오른쪽 상단에서 URL 복사를 클릭하여 현재 적용된 필터와 함께 링크 주소를 복사합니다.

통합 이벤트 목록 필터링

다음 방법으로 통합 이벤트 목록을 필터링할 수 있습니다.


방법	세부 정보
확인란	히스토그램 위의 확인란을 클릭하여 감지의 감지 영향 점수를 기반으로 통합 이벤트 목록을 필터링합니다. 감지 영향 점수에 대한 자세한 내용은 감지 영향 점수 정보 항목을 참조하십시오.
히스토그램	히스토그램 막대를 클릭하여 감지에서 식별된 MITRE ATT&CK 전술을 기반으로 통합 이벤트 목록을 필터링합니다.
필터 필드	더 강력한 필터링 옵션을 보려면 필터 필드를 클릭합니다. 드롭다운 메뉴에서 필터 기준을 선택합니다. 사용 가능한 조건은 다음과 같습니다. 영향 점수 유형 MITRE 전술 MITRE 기술 위협 공격 결과 영향을 받는 워크로드 캠페인 IP별 영향을 받는 워크로드 선택한 필터 기준의 결과를 포함할지 또는 제외할지를 지정한 다음, 적용을 클릭합니다. 여러 필터를 결합하려면 다음을 수행할 수 있습니다. 동일한 필터의 조건 간에는 `OR` 논리를 사용합니다. 필터 간에는 `AND` 논리를 사용합니다.

감지 이벤트 요약 보기

[감지] 행을 확장하고 추가 세부 정보를 클릭하여 감지 요약을 확인합니다.

감지 요약

감지 유형

유형 열에서 감지 유형 아이콘을 볼 수 있습니다. 마우스 커서를 가져가면 감지 유형을 볼 수 있습니다.

감지 유형 아이콘 마우스 커서를 가져가 이름을 확인합니다.

NDR UI에 표시되는 감지 유형 및 아이콘

패킷 캡처 파일 내보내기 및 다운로드

감지 요약의 흐름 데이터 탭에서 NSX IDS/IPS에 의해 캡처된 PCAP(패킷 캡처) 파일을 내보내고 다운로드할 수 있습니다. PCAP에 대한 자세한 내용은 패킷 캡처 파일 내보내기 및 다운로드 항목을 참조하십시오.

참고: PCAP 파일은 E-W/분산 IDS/IPS 이벤트에 사용할 수 있으며, PCAP가 IDS 프로파일에서 사용되도록 설정된 경우에 사용할 수 있습니다. PCAP 파일을 사용할 수 없는 경우 이 링크가 표시되지 않습니다. 또한 NSX 및 NSX 애플리케이션 플랫폼은 모두 버전 4.2 이상이어야 합니다.

맬웨어 동작 개요

맬웨어 동작 섹션은 이벤트와 관련된 악성 소프트웨어 인스턴스에서 수행된 동적 분석의 정보를 제공합니다.

보고서 보기를 클릭하여 맬웨어가 수행하는 작업, 맬웨어가 작동하는 방식 및 맬웨어가 초래하는 위험에 관한 자세한 기술 정보에 액세스합니다. 표시된 정보에 관한 자세한 내용은 분석 보고서 세부 정보을 참조하십시오.

참고: 이벤트에 관해 감지된 악성 소프트웨어가 없으면 이 섹션이 표시되지 않습니다.