모델 지원

모두

지원되는 도메인

모든

사용자 역할

• 관리자

• 보안 분석가

각 호스트 프로파일은 탐지된 호스트 또는 기타 디바이스에 대한 기본 정보를 제공합니다.

다음은 각각의 기본 호스트 프로파일 필드에 대한 설명입니다.

Domain(도메인)

호스트와 연결된 도메인.

IP 주소

호스트와 연결된 모든 IP 주소(IPv4 및 IPv6). 시스템은 호스트와 연결된 IP 주소를 탐지하며, 지원되는 경우 동일한 호스트에 의해 사용되는 여러 IP 주소를 그룹화합니다. IPv6 호스트에는 흔히 2개 이상의 IPv6 주소(로컬 전용 및 전역 라우팅 가능)가 있으며 IPv4 주소도 있을 수 있습니다. IPv4 전용 호스트에는 여러 개의 IPv4 주소가 있을 수 있습니다.

호스트 프로파일에는 해당 호스트와 연결된 모든 탐지된 IP 주소가 나열됩니다. 사용 가능한 경우, 라우팅 가능한 호스트 IP 주소에는 해당 주소에 연결된 지오로케이션 데이터를 나타내는 국가 코드 및 플래그 아이콘도 포함될 수 있습니다.

기본적으로 처음 3개 주소만 표시됩니다. 호스트의 모든 주소를 표시하려면 show all(모두 표시)을 클릭하십시오.

호스트 이름

알려진 경우 호스트의 정규화된 도메인 이름.

NetBIOS Name(NetBIOS 이름)

사용 가능한 경우 호스트의 NetBIOS 이름. Microsoft Windows 호스트는 물론 Macintosh, Linux 또는 NetBIOS를 사용하도록 구성된 기타 플랫폼은 NetBIOS 이름을 가질 수 있습니다. 예를 들어 Samba 서버로 구성된 Linux 호스트는 NetBIOS 이름을 가질 수 있습니다.

디바이스(홉)

다음 중 하나에 해당합니다.

• 네트워크 검색 정책에 정의된 대로 호스트가 상주하는 네트워크에 대한 보고 디바이스 또는

• 호스트를 네트워크 맵에 추가한 NetFlow 데이터를 처리한 디바이스

디바이스 이름 뒤에 호스트를 탐지한 디바이스와 호스트 자체 간 네트워크 홉의 수가 괄호로 표시됩니다. 여러 디바이스가 호스트를 볼 수 있는 경우 보고 디바이스는 굵은 글꼴로 표시됩니다.

이 필드가 비어 있는 경우는 다음 중 하나입니다.

• 네트워크 검색 정책에 정의된 대로, 호스트 상주 네트워크를 명시적으로 모니터링하지 않는 디바이스에 의해 호스트가 네트워크 맵에 추가되었습니다.

• 호스트가 호스트 입력 기능으로 추가되었으며 Firepower System에 의해 탐지되지 않았습니다.

MAC 주소(TTL)

호스트의 탐지된 MAC 주소 및 관련 NIC 공급업체, NIC의 하드웨어 공급업체와 현재 TTL(time-to-live) 값은 괄호로 표시됩니다.

여러 디바이스가 호스트를 탐지한 경우, 이를 보고한 디바이스와 상관없이 Firepower Management Center에서는 호스트에 연결된 모든 MAC 주소 및 TTL 값을 표시합니다.

MAC 주소가 굵은 글꼴로 표시된 경우, MAC 주소는 호스트의 실제/참/기본 MAC 주소이며, ARP 및 DHCP 트래픽을 통한 탐지에 의해 IP 주소에 확실히 연결됩니다.

굵은 글꼴로 표시되지 않은 MAC 주소는 호스트의 IP 주소에 확실히 연결될 수 없는 보조 주소입니다. 예를 들어 Firepower 디바이스는 자신의 네트워크 세그먼트에 있는 호스트의 MAC 주소만 획득할 수 있으므로 Firepower 디바이스가 직접 연결되지 않은 네트워크 세그먼트에서 트래픽이 시작되는 경우, 관찰된 MAC 주소(즉, 라우터 MAC 주소)는 호스트의 보조 MAC 주소로 표시됩니다.

Host Type(호스트 유형)

호스트, 모바일 디바이스, 탈옥 모바일 디바이스, 라우터, 브리지, NAT 디바이스 또는 로드 밸런서 등 시스템이 탐지한 디바이스의 유형.

시스템이 네트워크 디바이스를 구분하기 위해 사용하는 방법은 다음과 같습니다.

• CDP(Cisco Discovery Protocol) 메시지의 분석 - 네트워크 디바이스 및 유형을 식별할 수 있습니다(Cisco 디바이스만 해당).

• STP(Spanning Tree Protocol)의 탐지 - 디바이스를 스위치 또는 브리지로 식별합니다.

• 동일한 MAC 주소를 사용하는 여러 호스트 탐지 - MAC 주소를 라우터에 속한 것으로 식별합니다.

• 클라이언트 측에서 TTL 값 변경 탐지 또는 일반적인 부팅시간보다 더 자주 변경되는 TTL 값 - NAT 디바이스 및 로드 밸런서를 탐지합니다.

• 시스템이 모바일 디바이스를 구분하기 위해 사용하는 방법은 다음과 같습니다.

• 모바일 디바이스의 모바일 브라우저에서 HTTP 트래픽의 User-Agent(사용자 에이전트) 문자열 분석

• 특정 모바일 애플리케이션의 HTTP 트래픽 모니터링

네트워크 디바이스 또는 모바일 디바이스로 식별되지 않는 디바이스는 호스트로 분류됩니다.

최종 확인

호스트의 IP 주소가 마지막으로 탐지된 날짜 및 시간.

Current User(현재 사용자)

가장 최근에 이 호스트에 로그인한 사용자.

기존의 현재 사용자가 권한 있는 사용자가 아닌 경우, 호스트에 로그인한 권한 없는 사용자는 호스트에서 현재 사용자로만 등록됩니다.

보기

연결, 검색, 악성코드 및 침입 이벤트 데이터의 보기에 대한 링크. 해당 이벤트 유형에 대해 기본 워크플로를 사용하며 호스트와 관련된 이벤트를 표시하도록 제한됩니다. 가능한 경우 이러한 이벤트에는 호스트와 연결된 모든 IP 주소가 포함됩니다.

시스템은 호스트에 의해 생성되는 트래픽에서 네트워크 및 애플리케이션 스택을 분석하거나 사용자 에이전트에 의해 보고된 호스트 데이터를 분석하여 호스트에서 실행되는 운영 체제의 ID를 수동적으로 탐지합니다. 시스템은 또한 Nmap 스캐너 또는 호스트 입력 기능을 통해 가져온 애플리케이션 데이터 등의 다른 소스에서 운영 체제 정보를 취합합니다. 사용할 ID를 결정할 때 시스템은 각 ID 소스에 할당된 우선순위를 고려합니다. 기본적으로 사용자 입력의 우선순위가 가장 높고, 그다음은 애플리케이션 또는 스캐너 소스, 그다음은 검색된 ID입니다.

트래픽 및 기타 ID 소스는 더 구체적인 ID에 대해 충분한 정보를 제공하지 않으므로 때때로 시스템은 특정한 운영 체제보다는 일반적인 운영 체제 정의를 제공합니다. 시스템은 가능한 한 가장 자세한 정의를 사용하기 위해 여러 소스의 정보를 취합합니다.

운영 체제는 호스트의 취약성 목록과 호스트를 대상으로 하는 이벤트에 대한 이벤트 영향 상관 관계에 영향을 미치기 때문에 더 구체적인 운영 체제 정보를 수동으로 제공하는 것이 좋습니다. 또한 운영 체제에 수정(예: 서비스 팩 및 업데이트)이 적용되었음을 나타낼 수 있고, 수정에 의해 해결된 취약성을 무효화할 수 있습니다.

예를 들어 시스템에서 호스트의 운영 체제를 Microsoft Windows 2003으로 식별했지만 실제로 호스트에서는 Microsoft Windows XP Professional 서비스 팩 2가 실행되고 있음을 알고 있는 경우, 운영 체제 ID를 올바르게 설정할 수 있습니다. 운영 체제 ID를 더 구체적으로 설정하면 호스트의 취약성 목록이 세부적으로 조정되므로, 해당 호스트에 대한 영향 상관 관계가 더 구체적이고 정확해집니다.

시스템이 호스트의 운영 체제 정보를 탐지하고 그 정보가 활성 소스에 의해 제공된 현재 운영 체제 ID와 충돌하는 경우, ID 충돌이 발생합니다. ID 충돌이 발생하면 시스템에서는 취약성과 영향 상관 관계에 두 ID를 모두 사용합니다.

NetFlow 엑스포터가 모니터링하는 호스트의 네트워크 맵에 검색 데이터를 추가하도록 네트워크 검색 정책을 구성할 수 있습니다. 하지만 호스트 입력 기능을 사용하여 운영 체제 ID를 설정하지 않는 한 사용할 수 있는 이러한 호스트의 운영 체제 데이터는 없습니다.

활성화된 네트워크 검색 정책의 규정준수 화이트리스트를 위반하는 운영체제가 호스트에서 실행되고 있는 경우, Firepower Management Center에서는 해당 운영체제 정보를 화이트리스트 Violation(위반)으로 표시합니다. 또한 탈옥 모바일 디바이스가 활성 화이트리스트를 위반하면 디바이스의 운영체제 옆에 아이콘이 나타납니다.

호스트의 운영 체제 ID에 대해 맞춤형 표시 문자열을 설정할 수 있습니다. 그러면 해당 표시 문자열이 호스트 프로파일에 사용됩니다.

참고	호스트의 운영체제 정보를 변경하면 규정준수 화이트리스트 준수도 변경될 수 있습니다.

네트워크 디바이스의 호스트 프로파일에서 Operating Systems 섹션의 레이블이 Systems로 변경되며 추가 Hardware 열이 나타납니다. Systems 아래에 하드웨어 플랫폼에 대한 값이 나열되면 해당 시스템은 네트워크 디바이스 뒤에서 탐지된 하나 이상의 모바일 디바이스를 나타냅니다. 모바일 디바이스에는 하드웨어 플랫폼 정보가 있을 수도 있고 없을 수도 있지만, 모바일 디바이스가 아닌 시스템에 대해서는 하드웨어 플랫폼 정보가 탐지되지 않습니다.

다음은 호스트 프로파일에 표시되는 운영 체제 정보 필드에 대한 설명입니다.

Hardware(하드웨어)

모바일 디바이스용 하드웨어 플랫폼.

OS Vendor/Vendor

운영 체제의 공급업체입니다.

OS Product/Product

다음 값 중 하나:

• 모든 소스에서 수집한 ID 데이터에 기반할 때 호스트에서 실행되고 있을 가능성이 가장 높다고 판단되는 운영 체제

• 시스템이 아직 운영 체제를 식별하지 못했고 사용 가능한 다른 ID 데이터가 없는 경우 Pending

• 시스템이 운영 체제를 식별할 수 없고 운영 체제에 대해 사용 가능한 다른 ID 데이터가 없는 경우 unknown

참고	호스트의 운영 체제를 시스템이 탐지할 수 없는 경우, 호스트 운영체제 식별를 참조하십시오.

OS Version/Version

운영 체제 버전. 호스트가 탈옥 모바일 디바이스인 경우, 버전 뒤에 괄호로 Jailbroken이 표시됩니다.

소스

다음 값 중 하나:

• 사용자: user_name

• 애플리케이션: app_name

• 스캐너: scanner_type (Nmap 또는 기타 스캐너)

• Firepower

시스템에서는 운영 체제의 ID를 확인하기 위해 여러 소스의 데이터를 조정할 수 있습니다.

호스트 프로파일의 서버 섹션에는 모니터링되는 네트워크의 호스트에서 탐지되거나 내보낸 NetFlow 레코드에서 추가되거나 스캐너 또는 호스트 입력 기능 같은 활성 소스를 통해 추가된 서버가 나열됩니다.

목록은 호스트당 최대 100개의 서버를 포함할 수 있습니다. 이 제한에 도달하면 호스트에서 서버를 삭제하거나 서버가 시간 초과될 때까지 소스의 새 서버 정보(능동이든 수동이든)가 폐기됩니다.

Nmap을 사용하여 호스트를 스캔하면 Nmap은 열린 TCP 포트에서 실행되는, 전에 탐지되지 않은 서버의 결과를 Servers(서버) 목록에 추가합니다. Nmap 스캔을 수행하거나 Nmap 결과를 가져오는 경우, 호스트 프로파일에 Scan Results(스캔 결과) 섹션도 나타나며, 여기에 Nmap 스캔에 의해 호스트에서 탐지된 서버 정보가 나열됩니다. 또한 네트워크 맵에서 호스트가 삭제되면 호스트에 대한 해당 서버의 Nmap 스캔 결과가 삭제됩니다.

참고	시스템에서는 내보낸 NetFlow 기록에서 네트워크 맵에 호스트를 추가할 수 있지만, 이러한 호스트에 사용할 수 있는 정보는 제한됩니다. NetFlow와 매니지드 디바이스 데이터의 차이점의 내용을 참조하십시오.

호스트 프로파일의 서버 작업 프로세스는 프로파일에 액세스하는 방법에 따라 달라집니다.

• 네트워크 맵을 통해 드릴다운하여 호스트 프로파일에 액세스하는 경우, 굵은 글꼴로 강조 표시된 서버 이름과 함께 해당 서버에 대한 세부사항이 나타납니다. 호스트의 다른 서버에 대한 세부 사항을 보려면 해당 서버 이름 옆에 있는 보기 ( )를 클릭합니다.

• 다른 방법으로 호스트 프로필에 액세스하는 경우, Servers(서버) 섹션을 확장하고 세부 사항을 보려는 서버 옆에 있는 보기 ( )를 클릭합니다.

참고	활성화된 상관관계 정책의 규정준수 화이트리스트를 위반하는 서버가 호스트에서 실행되고 있는 경우, Firepower Management Center에서는 규정을 준수하지 않는 서버를 화이트리스트 Violation(위반)으로 표시합니다.

다음은 Servers(서버) 목록의 열에 대한 설명입니다.

프로토콜

서버가 사용하는 프로토콜의 이름.

Port(포트)

서버가 실행하는 포트.

애플리케이션 프로토콜

다음 중 하나에 해당합니다.

• 애플리케이션 프로토콜의 이름

• 여러 이유 중 하나 때문에 시스템이 애플리케이션 프로토콜을 긍정적으로 또는 부정적으로 식별할 수 없는 경우 pending

• 알려진 애플리케이션 프로토콜 지문을 기반으로 시스템이 애플리케이션 프로토콜을 식별할 수 없거나 서버 추가 없이 포트 정보와 함께 취약성을 추가하여 호스트 입력을 통해 해당 서버가 추가된 경우 unknown

마우스를 애플리케이션 프로토콜 이름 위로 이동하면 태그가 표시됩니다.

Vendor and Version

Firepower System, Nmap 또는 다른 활성 소스에 의해 식별되었거나 호스트 입력 기능을 통해 수집된 공급업체 및 버전. 사용 가능한 소스 중 ID를 제공한 소스가 없으면 필드는 비어 있게 됩니다.

호스트 프로파일의 Web Application(웹 애플리케이션) 섹션에는 네트워크의 호스트에서 실행 중이라고 시스템이 식별하는 클라이언트 및 웹 애플리케이션이 표시됩니다. 시스템은 수동 탐지 소스와 능동 탐지 소스의 클라이언트 및 웹 애플리케이션 정보를 식별할 수 있지만 NetFlow 레코드에서 추가된 호스트에 대한 정보는 제한됩니다.

이 섹션의 세부 정보는 호스트에서 탐지되는 애플리케이션의 제품 및 버전, 사용 가능한 클라이언트 또는 웹 애플리케이션 정보, 그리고 애플리케이션 사용이 마지막으로 탐지된 시간을 표시합니다.

이 섹션은 호스트에서 실행 중인 클라이언트를 최대 16개 나열합니다. 이 한계에 도달하면 사용자가 호스트에서 클라이언트 애플리케이션을 삭제하거나 비활성(클라이언트 시간 초과)으로 인해 시스템이 호스트 프로파일에서 클라이언트를 삭제할 때까지 능동 및 수동 소스의 새 클라이언트 정보가 삭제됩니다.

또한 탐지된 각 웹 브라우저에 대해 시스템은 액세스된 처음 100개의 웹 애플리케이션을 표시합니다. 이 한계에 도달하면 다음과 같이 될 때까지 능동 및 수동 소스의 해당 브라우저에 연결된 새 웹 애플리케이션이 삭제됩니다.

• 웹 브라우저 클라이언트 애플리케이션이 시간 초과됨, 또는

• 호스트 프로파일에서 웹 애플리케이션과 관련된 애플리케이션 정보 삭제

활성화된 상관관계 정책의 규정 준수 화이트 목록을 위반하는 애플리케이션이 호스트에서 실행되고 있는 경우, Firepower Management Center에서는 규정을 준수하지 않는 애플리케이션을 화이트 목록 위반으로 표시합니다.

팁	호스트의 특정 애플리케이션에 연결된 연결 이벤트를 분석하려면 애플리케이션 옆에 있는 로깅( )을 클릭합니다. 연결 이벤트에 대한 기본 설정 워크플로의 첫 번째 페이지가 나타나고 애플리케이션의 유형, 제품 및 버전에 의해 제한되는 연결 이벤트 및 호스트의 IP 주소를 보여줍니다. 연결 이벤트에 대한 기본 설정 워크플로가 없다면 선택해야 합니다.

다음은 호스트 프로파일에 나타나는 애플리케이션 정보에 대한 설명입니다.

애플리케이션 프로토콜

애플리케이션(HTTP 브라우저, DNS 클라이언트 등)이 사용하는 애플리케이션 프로토콜을 표시합니다.

Client(클라이언트)

Firepower System에 의해 식별되거나 Nmap에 의해 캡처되거나 호스트 입력 기능을 통해 획득된 경우, 페이로드에서 추출되는 클라이언트 정보. 사용 가능한 소스 중 ID를 제공한 소스가 없으면 필드는 비어 있게 됩니다.

버전

클라이언트의 버전을 표시합니다.

웹 애플리케이션

웹 브라우저의 경우 시스템이 http 트래픽에서 탐지한 콘텐츠. 웹 애플리케이션 정보는 Firepower System에 의해 식별되거나 Nmap에 의해 캡처되거나 호스트 입력 기능을 통해 수집된 특정 콘텐츠 유형(예: WMV 또는 QuickTime)을 나타냅니다. 사용 가능한 소스 중 ID를 제공한 소스가 없으면 필드는 비어 있게 됩니다.

각 호스트 프로파일에는 호스트와 연결된 네트워크 트래픽에서 탐지된 프로토콜에 대한 정보가 포함되어 있습니다. 이 정보에는 다음이 포함됩니다.

프로토콜

호스트가 사용하는 프로토콜의 이름.

레이어

프로토콜이 실행되는 네트워크 레이어(Network 또는 Transport).

호스트 프로파일에 표시되는 프로토콜이 활성화된 상관관계 정책의 규정준수 화이트리스트를 위반하는 경우, Firepower Management Center에서는 규정을 준수하지 않는 프로토콜을 화이트리스트 위반으로 표시합니다.

호스트에서 실행되고 있지 않음을 알고 있는 프로토콜이 호스트 프로파일에 나열되는 경우, 해당 프로토콜을 삭제할 수 있습니다. 호스트에서 프로토콜을 삭제하면 해당 호스트가 규정준수 화이트리스트를 준수하게 될 수 있습니다.

참고	시스템은 해당 프로토콜을 다시 탐지하면 네트워크 맵 및 호스트 프로파일에 다시 추가합니다.

Firepower System은 다양한 유형의 데이터(침입 이벤트, 보안 인텔리전스, 연결 이벤트, 파일 또는 악성코드 이벤트)를 상호 연결하여 모니터링되는 네트워크의 호스트가 악의적인 수단에 의해 보안이 침해될 가능성이 있는지를 확인합니다. 이벤트 데이터의 특정 조합 및 빈도는 영향받는 호스트에서 IOC(보안 침해 지표) 태그를 트리거합니다.

호스트 프로파일의 Indications of Compromise(보안 침해 지표) 섹션에는 호스트에 대한 모든 보안 침해 지표 태그가 표시됩니다.

보안 침해 지표 태그를 지정하도록 시스템을 구성하려면 보안 침해 지표 규칙 활성화를 참조하십시오.

보안 침해 지표를 사용하는 방법에 대한 자세한 내용은 보안 침해 지표 데이터 및 해당 항목의 하위 항목을 참조하십시오.

호스트가 VLAN(Virtual LAN)의 멤버인 경우 호스트 프로파일의 VLAN Tag(VLAN 태그) 섹션이 나타납니다.

물리적 네트워크 장비는 종종 VLAN을 사용하여 서로 다른 네트워크 블록에서 논리적 네트워크 세그먼트를 생성합니다. 시스템은 802.1q VLAN 태그를 탐지하고 각각에 대해 다음과 같은 정보를 표시합니다.

• VLAN ID는 호스트가 멤버인 VLAN을 식별합니다. 802.1q VLAN의 경우 0~4095 사이의 정수일 수 있습니다.

• Type은 VLAN 태그를 포함하는 캡슐화된 패킷을 식별하며, 이더넷 또는 토큰 링일 수 있습니다.

• Priority는 VLAN 태그의 우선순위를 식별하며, 범위는 0~7의 정수이고 7이 가장 높은 우선순위입니다.

VLAN 태그가 패킷 내에 중첩된 경우 시스템은 가장 안쪽의 VLAN 태그를 처리하고 Firepower Management Center는 이를 표시합니다. 시스템은 ARP 및 DHCP 트래픽을 통해 식별하는 MAC 주소에 대해서만 VLAN 태그 정보를 수집하고 표시합니다.

예를 들면 VLAN이 프린터로만 구성되어 있고 시스템이 해당 VLAN에서 Microsoft Windows 2000 운영 체제를 탐지하는 경우에는 VLAN 태그 정보가 유용할 수 있습니다. VLAN 정보는 또한 시스템이 좀 더 정확한 네트워크 맵을 생성하는 데에도 도움이 됩니다.

규정 준수 화이트 목록(또는 화이트 목록)는 특정 서브넷에서 실행 가능한 운영 체제, 애플리케이션 프로토콜, 클라이언트, 웹 애플리케이션 및 프로토콜을 지정할 수 있는 기준 집합입니다.

활성 상관관계 정책에 화이트 목록을 추가한 경우 시스템이 호스트에서 화이트 목록 위반을 탐지하면, Firepower Management Center는 화이트 목록 이벤트(특정 상관관계 이벤트 유형)를 데이터베이스에 로깅합니다. 이러한 각 화이트 목록 이벤트는 특정 호스트가 어떻게, 왜 화이트 목록을 위반했는지를 나타내는 화이트목록 위반과 연결됩니다. 호스트가 하나 이상의 화이트 목록을 위반하면 호스트 프로필에서 두 가지 방법으로 이러한 위반을 볼 수 있습니다.

첫째, 호스트 프로필은 호스트에 연결된 모든 개별 화이트 목록 위반을 나열합니다.

다음은 호스트 프로필에 표시되는 화이트 목록 위반 정보에 대한 설명입니다.

유형

위반의 유형, 즉 위반이 발생한 원인(규정을 준수하지 않는 운영 체제, 애플리케이션, 서버 또는 프로토콜).

이유

위반의 특정 이유. 예를 들어 Microsoft Windows 호스트만 허용하는 화이트 목록이 있는 경우, 호스트 프로파일에는 호스트에서 실행 중인 현재 운영 체제(예: Linux 2.4, 2.6)가 표시됩니다.

화이트 목록

위반과 연결된 화이트 목록의 이름.

참고	호스트의 프로필을 사용하여 규정 준수 화이트 목록에 대한 공유 호스트 프로필을 생성할 수 있습니다.

Most Recent Malware Detections(가장 최근의 악성코드 탐지) 섹션에는 호스트가 악성코드 파일을 주고받은 가장 최근의 악성코드 이벤트가 최대 100개까지 나열됩니다. 호스트 프로파일에는 네트워크 기반 악성코드 이벤트(AMP for Networks 에 의해 생성)와 엔드포인트 기반 악성코드 이벤트(AMP for Endpoints에 의해 생성)가 모두 나열됩니다.

파일이 악성코드로 소급 식별된 파일 이벤트에 호스트가 관련된 경우, 악성코드 식별이 발생한 후 파일이 전송된 원래 이벤트가 악성코드 탐지 목록에 나타납니다. 악성코드로 식별된 파일이 악성코드가 아닌 것으로 소급 결정되면 해당 파일과 연결된 악성코드 이벤트가 더 이상 목록에 나타나지 않습니다. 예를 들어 파일에 Malware(악성코드) 속성이 있고 해당 속성이 Clean(정상)으로 변경되면 해당 파일의 이벤트는 호스트 프로파일의 악성코드 탐지 목록에서 제거됩니다.

호스트 프로필에서 악성코드 탐지를 볼 때 Malware(악성코드)를 클릭하여 해당 호스트의 악성코드 이벤트를 볼 수 있습니다.

다음은 호스트 프로파일의 Most Recent Malware Detections(가장 최근의 악성코드 탐지) 섹션에 있는 열에 대한 설명입니다.

시간

이벤트가 생성된 날짜 및 시간

파일이 악성코드로 소급 식별된 이벤트의 경우, 악성코드가 식별된 시간이 아니라 원래 이벤트의 시간을 나타냅니다.

호스트 역할

탐지된 악성코드 전송에서 호스트의 역할(발신자 또는 수신자). AMP for Endpoints에 의해 생성된 악성코드 이벤트("엔드포인트 기반 악성코드 이벤트")의 경우, 호스트는 항상 수신자입니다.

위협 이름

탐지된 악성코드의 이름.

파일 이름

악성코드 파일의 이름.

File Type(파일 유형)

PDF 또는 MSEXE 등의 파일 형식.

호스트 프로파일의 Vulnerabilities(취약성) 섹션에는 해당 호스트에 영향을 미치는 취약성이 나열됩니다. 이러한 취약성은 시스템이 호스트에서 탐지한 운영 체제, 서버, 애플리케이션에 기반합니다.

호스트의 운영 체제 ID 또는 호스트의 애플리케이션 프로토콜 중 하나에 ID 충돌이 있는 경우, 시스템은 충돌이 해결될 때까지 두 ID에 대한 취약성을 나열합니다.

NetFlow 데이터에서 네트워크 맵에 추가되는 호스트에 대해서는 운영 체제 정보가 제공되지 않으므로 시스템은 이러한 호스트와 관련된 침입 이벤트에 대해 취약함(영향 레벨 1: 빨강) 영향 레벨을 할당할 수 없습니다. 이러한 경우에는 호스트 입력 기능을 사용하여 호스트에 대한 운영 체제 ID를 수동으로 설정합니다.

서버 공급업체 및 버전 정보는 대체로 트래픽에 포함되지 않습니다. 기본적으로 시스템은 트래픽을 보내고 받는 호스트에 대해 관련 취약성을 매핑하지 않습니다. 그러나 공급업체 또는 버전 정보가 없는 특정 애플리케이션 프로토콜에 대한 취약성을 매핑하도록 시스템을 구성할 수 있습니다.

호스트 입력 기능을 사용하여 네트워크의 호스트에 대한 서드파티 취약성 정보를 추가하는 경우 추가적인 Vulnerabilities(취약성) 섹션이 나타납니다. 예를 들어 QualysGuard Scanner에서 취약성을 가져오면 호스트 프로파일에 QualysGuard Vulnerabilities 섹션이 포함됩니다. 서드파티 취약성의 경우 호스트 프로파일의 해당 Vulnerabilities(취약성) 섹션에 표시되는 정보는 호스트 입력 기능을 사용하여 취약성 데이터를 가져올 때 제공한 정보로 제한됩니다.

서드파티 취약성을 운영 체제 및 애플리케이션 프로토콜과 연결할 수 있지만 클라이언트와는 연결할 수 없습니다. 서드파티 취약성 가져오기에 대한 자세한 내용은 Firepower System Host Input API 설명서를 참조하십시오.

다음은 호스트 프로파일의 Vulnerabilities(취약성) 섹션에 있는 열에 대한 설명입니다.

이름

취약성의 이름.

원격

취약성이 원격으로 악용될 수 있는지를 나타냅니다. 이 열이 비어 있으면 취약성 정의에 이 정보가 포함되지 않은 것입니다.

Component(구성 요소)

취약성과 관련된 운영 체제, 애플리케이션 프로토콜 또는 클라이언트의 이름.

Port(포트)

취약성이 지정된 포트에서 실행 중인 애플리케이션 프로토콜과 연결된 경우 포트 번호.