[보안] 대시보드에서 네트워크 및 워크로드를 보호하는 기능을 구성할 수 있습니다. 보안 개요 대시보드에는 다양한 위협 감지 및 대응 기능, 전체 보안 구성의 시각적 요약 및 NSX 환경의 다양한 개체 용량이 표시됩니다.

이 대시보드에 표시되는 정보는 데이터 센터에 배포되고 활성화된 보안 기능에 따라 다릅니다.

위협 이벤트 모니터링

이 탭은 데이터 센터에서 발생하는 다양한 보안 문제의 현재 상태에 대한 주요 인사이트를 제공합니다. 이러한 기능은 보안 팀이 네트워크에서 발생하는 상황과 중점을 둘 위치를 이해하는 데 도움이 됩니다.

캠페인

캠페인은 특정 MITRE 전술 및 기술을 사용하는 관련 위협 이벤트 집합입니다. 위협 이벤트를 MITRE ATT&CK 단계에 매핑하여 공격 사례를 정의할 수 있습니다. 캠페인은 짧은 기간 동안의 단일 감지 이벤트 그룹부터 장기간에 걸친 복잡한 다각적 공격에 이르기까지 다양할 수 있습니다. 캠페인을 사용하면 전체 위협 이벤트 타임라인을 볼 수 있으므로 신속하게 대응하고 심사할 수 있습니다.

VMware NSX® Network Detection and Response™ 기능이 활성화되면 이 위젯에 다음과 같은 캠페인 통계가 표시됩니다.
  • 해당 기간 동안 NSX Network Detection and Response가 식별했으며 현재 네트워크에서 활성 상태인 총 캠페인 수입니다.
  • 선택한 기간 동안 진행 중인 영향이 큰 총 캠페인 수입니다.
  • 선택한 기간 동안 미해결된 영향이 큰 총 캠페인 수입니다.
  • 선택한 기간 동안 식별된 캠페인의 영향을 받는 총 VM 수입니다.

NSX Network Detection and Response 사용자 인터페이스의 캠페인 페이지에서 자세한 내용을 보려면 캠페인으로 이동을 클릭합니다. NSX Network Detection and Response 기능에 대한 자세한 내용은 NSX Network Detection and Response 항목을 참조하십시오.

IDS/IPS
IDS/IPS 이벤트 모니터링 페이지에는 최대 지난 14일 동안의 다음과 같은 요약이 표시됩니다.
  • IDPS 요약
    항목 설명
    침입 이벤트 총 침입 이벤트 수를 클릭 가능한 링크로 표시하고, 경고 또는 방지를 발생시키는 침입 수를 표시합니다.
    고유한 침입 서명 각 심각도 범주에서 감지된 침입 수가 포함된 그래프를 표시합니다.
    상위 공격 유형별 이벤트 공격 유형을 기준으로 그래프를 표시합니다.
  • 분산 IDS/IPS 요약
    항목 설명
    침입 심각도별 추세 시간별 침입 이벤트 수와 추세 심각도를 나타내는 그래프를 표시합니다.
    배포

    48시간에서 14일 동안의 공격 유형, 공격 대상 또는 심각도에 따른 분포를 표시하는 방사형 차트를 표시합니다.

    상위 VM 침입이 시도된 상위 VM을 표시합니다. 취약성 심각도 조건을 기준으로 상위 VM을 볼 수도 있습니다.
  • 게이트웨이 IDS/IPS 요약
    항목 설명
    침입 심각도별 추세 시간별 침입 이벤트 수와 추세 심각도를 나타내는 그래프를 표시합니다.
    배포

    48시간에서 14일 동안의 공격 유형, 공격 대상 또는 심각도에 따른 분포를 표시하는 방사형 차트를 표시합니다.

    상위 IP 침입이 시도된 상위 IP를 표시합니다. 취약성 심각도 조건을 기준으로 상위 VM을 볼 수도 있습니다.
FQDN 분석
FQDN 분석 요약 화면에는 다음이 표시됩니다.
  • 검사된 총 URL 수 및 해당 심각도 수준입니다.
  • 검사된 FQDN 수가 가장 많은 상위 URL 범주입니다.
  • 가장 높은 심각도 URL(날짜 및 시간 포함)입니다.
URL 필터링
다음 정보를 보려면 특정 게이트웨이 또는 모든 게이트웨이를 선택합니다.
  • 심각도 등급별 URL 분포입니다.
  • 허용된 URL의 심각도 수준으로, 검사된 URL 수가 가장 많은 상위 5개 범주를 표시합니다.
  • 차단된 URL 수가 가장 많은 상위 5개 URL 범주를 강조 표시합니다.
  • 고유한 사이트 분포는 허용된 URL 수가 가장 많은 상위 5개 사이트를 표시합니다. 차단된 URL 수가 가장 많은 상위 5개 사이트를 강조 표시합니다.
악성 IP

분산 방화벽의 경우 악성 IP 피드를 설정하고 알려진 악성 IP 목록을 다운로드할 수 있습니다. 방화벽 규칙을 통해 이러한 IP에 대한 액세스를 차단하고 시스템에서 예외를 모니터링할 수 있습니다. 모니터링 화면에는 다음 정보가 포함된 3개의 차트가 표시됩니다.

  • IP가 차단된 총횟수와 함께 차단된 상위 IP입니다.

  • 악성 IP에 액세스하거나 악성 IP에서 액세스되는 상위 VM과 해당 VM에 액세스하거나 VM에서 액세스하는 악성 IP의 총수입니다.

  • 범주가 차단된 총횟수와 함께 차단된 상위 범주입니다.

시스템에는 각 데이터 그룹의 상위 5개 항목도 표시됩니다.
차트에서 데이터 포인트를 클릭하면 해당 데이터 포인트에 대한 자세한 정보가 포함된 [필터링 및 분석] 페이지가 열립니다. 페이지의 필터는 클릭한 데이터 포인트로 설정됩니다. 필터를 제거하고 모든 악성 IP 목록을 볼 수 있습니다.
맬웨어 차단
선택한 기간에 대한 다음 파일 이벤트 통계를 그래픽 형식으로 표시합니다.
  • 검사된 파일 이벤트, 악성 파일 이벤트, 의심스러운 파일 이벤트 및 차단된 파일의 총 수
  • 다양한 위협 점수 범위에 대한 파일 검사 수
  • 데이터 센터에서 타임 스탬프를 기준으로 정렬된 최근에 검사된 상위 5개 파일
  • 데이터 센터에서 감지된 상위 5개의 악성 파일
  • 데이터 센터의 악성 파일 이벤트, 의심스러운 파일 이벤트 및 억제된 파일 이벤트의 추세
  • 파일이 속한 맬웨어 제품군을 기준으로 하는 파일 검사의 분포
  • 수행된 분석 유형(로컬 파일 분석, 클라우드 파일 분석)을 기준으로 하는 파일 검사 분석
의심스러운 트래픽

VMware NSX® Intelligence™가 활성화되면 이 탭에는 선택한 기간 동안 감지된 의심스러운 이벤트 또는 비정상 이벤트에 대한 다음 통계(그래픽 형식)가 표시됩니다.

  • 원은 선택한 기간 동안 감지된 총 이상 징후 수를 표시합니다. 원은 감지된 비정상 이벤트 수와 이벤트 감지에 사용되는 MITRE 대립 전략 및 기술을 나타내는 색상 세그먼트로 구성됩니다.
  • 감지에 사용된 것과 동일한 MITRE 전략 및 기술로 분류된 감지된 의심스러운 이벤트와 선택한 기간 동안 발생한 횟수의 목록입니다.
  • 감지된 이상 징후 수를 심각도별로 분류하여 표시하는 막대 그래프입니다.

의심스러운 트래픽 페이지를 사용하여 감지된 의심스러운 이벤트에 대한 자세한 정보를 보려면 모두 보기를 클릭합니다. NSX 의심스러운 트래픽 기능에 대한 자세한 내용은 버전 3.2 이상에 대한 "VMware NSX Intelligence 사용 및 관리" 설명서(https://docs.vmware.com/kr/VMware-NSX-Intelligence/index.html)를 참조하십시오.

TLS 검사

TLS 검사 및 암호 해독은 엔터프라이즈 웹 트래픽에 존재하는 위협의 유입을 대상으로 하는 안전한 방법을 제공합니다. 이 기능은 TLS 프록시를 사용하여 TLS 연결을 통해 암호화된 트래픽을 투명하게 가로채고, 계층 7 방화벽, IDS 및 URL 필터링과 같은 NSX 보안 서비스가 컨텐츠를 검사하고 보안 정책을 적용할 수 있도록 합니다. 마법사를 사용하거나 수동으로 워크플로를 따라 정책 및 규칙을 설정할 수 있습니다.

활성화되면 [보안 개요] 대시보드에 다음과 같은 TLS 연결 및 인증서 세부 정보가 표시됩니다.
  • 도넛형 차트에는 다음을 포함한 TLS 연결 요약 세부 정보가 표시됩니다.
    • 실패로 인해 우회됨
    • 암호 해독됨
    • 연결 실패
    • 규칙으로 인해 우회됨
  • 연결 및 규칙
    • 총 연결 수
    • 연결 열기
    • CPS
    • 규칙 적중
  • 도넛형 차트에는 다음을 포함한 인증서 캐싱 세부 정보가 표시됩니다.
    • 캐시 적중
    • 캐시된 인증서
    • 캐시 누락
  • 트래픽
    • 클라이언트-서버 및 서버-클라이언트를 포함한 처리량 세부 정보
    • 클라이언트-서버 및 서버-클라이언트를 포함한 총 트래픽 세부 정보

구성

구성 탭에는 다음 개수를 포함하는 클릭 가능한 링크가 있는 빠른 요약 보기를 제공합니다.
  • 방화벽 정책
  • 끝점 정책
  • IDS/IPS 정책
  • 맬웨어 차단 정책
  • 네트워크 검사 정책
  • TLS 검사 정책

이 페이지는 다음에 대한 보안 설정의 세부 보기도 제공합니다.

게이트웨이 방화벽 위젯
게이트웨이 방화벽 보안 설정을 강조 표시합니다. 다음 보안 기능이 활성화된 게이트웨이를 보려면 링크를 클릭합니다.
  • IDS/IPS
  • 맬웨어 차단
  • TLS 검사

이러한 보안 기능이 포함된 게이트웨이를 보려면 위의 보안 기능 중 하나 이상이 데이터 센터에 배포되어 있어야 합니다.

분산 방화벽 위젯
그래픽을 사용하여 전체 분산 방화벽 정책을 강조 표시합니다. 정책 그룹화, East-West 보안 정책에서 사용된 상위 서비스와 해당 작업(허용, 삭제 및 거부), 전체 분산 방화벽 규칙 등의 세부 정보를 보려면 클릭합니다.
끝점 보호 위젯

가상 시스템에 대한 끝점 보호 구성을 요약해서 보여 줍니다. 서비스 프로파일, 문제가 있는 구성 요소, 파일 자체 검사를 실행하는 구성된 VM별로 VM 분포를 볼 수 있습니다.

ID 방화벽 사용자 세션 위젯
IDFW 활성 사용자 세션 수를 표시합니다.
맬웨어 차단 위젯

이 UI 위젯은 NSX Distributed Malware Prevention 서비스의 구성 요소가 종료되었거나 작동하지 않을 때 문제를 표시합니다.

예:
  • 막대형 차트는 NSX 멀웨어 방지 SVM(서비스 가상 시스템)의 보안 허브가 종료된 경우 문제를 표시합니다. 막대를 가리켜서 다음 세부 정보를 확인합니다.
    • 영향을 받은 NSX 멀웨어 방지 SVM 수입니다.
    • 보안 허브가 종료되어 맬웨어 보안 보호가 손실된 호스트의 워크로드 VM 수
  • 도넛형 차트에는 다음과 같은 세부 정보가 표시됩니다.
    • NSX File Introspection 드라이버가 실행 중인 워크로드 VM의 수
    • NSX File Introspection 드라이버가 실행되고 있지 않은 워크로드 VM의 수

    이러한 두 메트릭의 경우 NSX Distributed Malware Prevention에 대해 활성화된 호스트 클러스터의 워크로드 VM만 고려됩니다.

용량

용량 정보는 NSX Manager UI의 관리자 모드에서만 사용할 수 있습니다. 이 대시보드에 표시되는 정보는 데이터 센터에 배포되고 활성화된 보안 기능에 따라 다릅니다.