트래픽 프로파일 소개
트래픽 프로파일은 PTW(profiling time window) 동안 수집한 연결 데이터를 기반으로 하는 네트워크 트래픽 그래프입니다. 이 수치는 정상적인 네트워크 트래픽을 나타냅니다. 학습 기간이 지나면, 프로파일을 기준으로 새로운 트래픽을 평가해 비정상적인 네트워크 트래픽을 탐지할 수 있습니다.
기본 PTW는 1주이지만 짧게는 1시간, 길게는 몇 주까지 변경할 수 있습니다. 기본적으로 트래픽 프로파일은 시스템에서 발생한 연결 이벤트에 대한 통계를 5분 간격으로 생성합니다. 그러나 이 샘플링 속도는 최대 1시간까지 늘릴 수 있습니다.
 팁 |
Cisco는 PTW에 100개 이상의 데이터 포인트가 포함되는 것을 권장합니다. 트래픽 프로파일에 통계적으로 유의미한 양의 데이터가 포함되도록 PTW와 샘플링 속도를 설정합니다. |
다음 그림은 PTW가 1일, 샘플링 속도가 5분인 트래픽 프로파일을 보여줍니다.
트래픽 프로파일에서 비활성 시간도 설정할 수 있습니다. 트래픽 프로파일은 비활성 기간 동안 데이터를 수집하지만, 프로파일 통계를 계산할 때는 해당 데이터를 사용하지 않습니다. 시간 추이 트래픽 프로파일 그래프에서는 비활성 기간이 음영으로 나타납니다.
예를 들어 모든 워크스테이션이 매일 밤 자정에 백업되는 네트워크 인프라가 있습니다. 백업에는 약 30분이 소요되고 네트워크 트래픽이 급증합니다. 예약된 백업과 일치하도록 트래픽 프로파일에 대한 반복 비활성 기간을 설정할 수 있습니다.
 참고 |
시스템은 연결 종료 시의 데이터를 사용하여 연결 그래프와 트래픽 프로파일을 생성합니다. 트래픽 프로파일을 사용하려면, Firepower Management Center 데이터베이스에 대한 연결 종료 시 이벤트를 기록하는지 확인하십시오. |
트래픽 프로파일 구현
트래픽 프로파일을 활성화하면, 시스템은 사용자가 설정한 학습 기간(PTW) 동안 연결 데이터를 수집하고 평가합니다. 학습 기간이 지나면, 시스템은 트래픽 프로파일에 대해 작성된 상관관계 규칙을 평가합니다.
예를 들어 네트워크를 지나는 데이터의 양(패킷, KByte 또는 연결 수 단위로 측정됨)이 급증하여 트래픽 평균량보다 표준 편차의 3배만큼 많아질 때(공격이나 기타 보안 정책 위반의 징후일 수 있음) 트리거되는 규칙을 작성할 수 있습니다. 그런 다음 상관관계 정책에 그 규칙을 포함시켜 트래픽 급증을 알리거나 그에 대한 대응으로 개선 조치를 수행할 수 있습니다.
트래픽 프로파일을 대상으로 지정
프로파일 조건과 호스트 프로파일 자격은 트래픽 프로파일을 제한합니다.
프로파일 조건을 사용하면 모든 네트워크 트래픽의 프로파일을 생성하거나, 트래픽 프로파일을 제한해 도메인, 도메인 내부 또는 여러 도메인 사이에 있는 서브넷, 또는 개별 호스트를 모니터링하도록 제한할 수 있습니다. 다중 도메인 구축의 경우:
-
리프 도메인 관리자는 자신의 리프 도메인 내의 네트워크 트래픽에 대한 프로파일을 생성할 수 있습니다.
-
상위 도메인 관리자는 도메인 내부 또는 도메인 사이에 있는 트래픽에 대한 프로파일을 생성할 수 있습니다.
또한 프로파일 조건을 이용하면 연결 데이터를 기반으로 하는 기준을 사용하여 트래픽 프로파일을 제한할 수도 있습니다. 예를 들어 트래픽 프로파일이 반드시 특정 포트, 프로토콜 또는 애플리케이션을 사용하여 세션의 프로파일을 생성하도록 프로파일 조건을 설정할 수도 있습니다.
마지막으로, 추적한 호스트에 대한 정보를 이용해 트래픽 프로파일을 제한할 수 있습니다. 이러한 제약을 host profile qualification(호스트 프로파일 자격)이라고 합니다. 예를 들어 중요도가 높은 호스트의 연결 데이터만 수집할 수 있습니다.
참고 |
트래픽 프로파일을 상위 도메인에 제한하면 각각의 하위 리프 도메인에 있는 같은 유형의 트래픽을 집계하고 프로파일을 생성합니다. 시스템은 각 리프 도메인에 대해 별도의 네트워크 맵을 작성합니다. 다중 도메인 구축의 경우, 도메인 사이의 트래픽에 대한 프로파일을 생성하면 예기치 않은 결과가 발생할 수 있습니다. |
트래픽 프로파일 조건
단순한 트래픽 프로파일 조건과 호스트 프로파일 자격을 생성하거나 조건을 연결하고 중첩시키는 방법으로 더 정교하게 구성할 수 있습니다.
대부분의 조건은 카테고리, 연산자, 값이라는 3개 부분으로 구성됩니다.
-
사용할 수 있는 카테고리는 트래픽 작성의 대상이 프로파일 조건인지 호스트 프로파일 자격인지에 따라 달라집니다.
-
사용할 수 있는 연산자는 선택한 카테고리에 따라 달라집니다.
-
조건의 값을 지정하는 데 사용 가능한 구문은 카테고리와 연산자에 따라 달라집니다. 텍스트 필드에 직접 값을 입력해야 하는 경우도 있습니다. 그 외의 경우에는 드롭다운 목록에서 하나 이상의 값을 선택할 수 있습니다.
호스트 프로파일 자격의 경우에는, 이니시에이팅 또는 응답 호스트에 관한 정보 데이터를 사용하여 트래픽 프로파일을 제한하는지의 여부도 지정해야 합니다.
여러 개의 조건을 포함할 경우 AND 또는 OR 연산자로 연결해야 합니다. 동일한 레벨의 조건은 함께 평가됩니다.
-
AND 연산자를 사용하면 이 연산자가 제어하는 레벨의 모든 조건을 충족해야 합니다.
-
OR 연산자를 사용하면 이 연산자가 제어하는 레벨의 조건 중 하나 이상을 충족해야 합니다.
제한되지 않은 트래픽 프로파일
모니터링되는 전체 네트워크 세그먼트에 대해 데이터를 수집하는 트래픽 프로파일을 생성하려는 경우 다음 그림과 같이 조건 없는 매우 단순한 프로파일을 생성할 수 있습니다.
단순 트래픽 프로파일
프로파일을 제한하여 서브넷에 대해서만 데이터를 수집하게 하려는 경우 다음 그림과 같이 하나의 조건을 추가할 수 있습니다.
복합 트래픽 프로파일
다음 트래픽 프로파일에서는 2개의 조건이 AND로 연결되어 있습니다. 즉 이 트래픽 프로파일은 두 조건이 모두 참인 경우에만 연결 데이터를 수집합니다. 이 예에서는 IP 주소가 특정 서브넷에 있는 모든 호스트에 대해 HTTP 연결을 수집합니다.
반면 두 서브넷 중 하나의 HTTP 활동에 대한 연결 데이터를 수집하는 다음 트래픽 프로파일은 3개의 조건을 가지며, 그중 마지막은 복합 조건입니다.
논리적으로, 위 트래픽 프로파일은 다음과 같이 평가됩니다.
(A and (B or C))
|
항목 |
조건의 내용 |
|---|---|
|
|
Application Protocol Name(애플리케이션 프로토콜 이름)이 HTTP임 |
|
|
IP Address가 10.4.0.0/16에 있음 |
|
|
IP Address가 192.168.0.0/16에 있음 |
)
)
)
)
피드백