트래픽 통계를 가져오도록 로깅 활성화
모니터링 대시보드 및 이벤트 뷰어를 사용하여 광범위한 트래픽 통계를 모니터링할 수 있습니다. 그러나 시스템에 수집할 통계를 지시하려면 로깅을 활성화해야 합니다. 시스템을 통과하는 연결을 파악할 수 있게 해주는 다양한 유형의 이벤트가 로깅을 통해 생성됩니다.
다음 주제에서는 특히 연결 로깅에 중점을 두어 로깅을 통해 제공되는 이벤트와 정보에 대해 자세히 설명합니다.
이벤트 유형
시스템은 다음 이벤트 유형을 생성할 수 있습니다. 모니터링 대시보드에서 관련된 통계를 확인하려면 이러한 이벤트를 생성해야 합니다.
- 연결 이벤트
-
사용자가 시스템을 통과하는 트래픽을 생성할 때 연결에 대한 이벤트를 생성할 수 있습니다. 액세스 규칙에서 연결 로깅을 활성화하여 이러한 이벤트를 생성합니다. 보안 인텔리전스 정책과 SSL 암호 해독 규칙에서 로깅을 활성화하여 연결 이벤트를 생성할 수도 있습니다.
연결 이벤트에는 소스/대상 IP 주소와 포트, 사용한 URL 및 애플리케이션, 전송된 바이트 또는 패킷의 수 등 연결에 대한 여러 가지 정보가 포함됩니다. 수행한 작업(예: 연결 허용 또는 차단) 및 연결에 적용된 정책도 이러한 정보에 포함됩니다.
- 침입 이벤트
-
시스템은 호스트 및 호스트 데이터의 가용성, 무결성 및 기밀성에 영향을 미칠 수 있는 악성 활동 탐지를 위해 네트워크를 통과하는 패킷을 검토합니다. 시스템은 침입 가능성을 식별하는 경우 익스플로잇의 날짜, 시간, 익스플로잇 유형, 그리고 공격 소스와 대상에 관한 상황 정보의 레코드인 침입 이벤트를 생성합니다. 침입 이벤트는 호출하는 액세스 제어 규칙의 로깅 컨피그레이션과 관계없이 차단하거나 알리도록 설정된 모든 침입 규칙에 대해 생성됩니다.
- 파일 이벤트
-
파일 이벤트는 파일 정책을 기준으로 하여 시스템이 네트워크 트래픽에서 탐지하고 선택적으로 차단한 파일을 나타냅니다. 이러한 이벤트를 생성하려면 파일 정책을 적용하는 액세스 규칙에 대해 파일 로깅을 활성화해야 합니다.
시스템이 파일 이벤트를 생성하는 경우 호출하는 액세스 제어 규칙의 로깅 컨피그레이션과 관계없이 시스템은 관련 연결의 종료도 로깅합니다.
- 악성코드 이벤트
-
시스템은 전체적인 액세스 제어 컨피그레이션의 일부로 네트워크 트래픽에서 악성코드를 탐지할 수 있습니다. 악성코드 대응 는 결과 이벤트의 상태와 악성코드가 탐지된 방법, 위치, 시간에 대한 상황 데이터를 포함하는 악성코드 이벤트를 생성할 수 있습니다. 이러한 이벤트를 생성하려면 파일 정책을 적용하는 액세스 규칙에 대해 파일 로깅을 활성화해야 합니다.
파일 상태는 변경될 수 있습니다(예: 정상에서 악성코드로 또는 악성코드에서 정상으로). 악성코드 대응 가 Secure Malware Analytics Cloud에 파일에 대해 쿼리하고, 쿼리한지 일주일 이내에 상태가 변경되었음을 클라우드에서 확인하는 경우, 시스템에서는 회귀적 악성코드 이벤트를 생성합니다.
- 보안 인텔리전스 이벤트
-
보안 인텔리전스 이벤트는 정책에 따라 차단되거나 또는 모니터링된 각 연결의 보안 인텔리전스 정책에 의해 생성된 연결 이벤트 유형입니다. 모든 보안 인텔리전스 이벤트에는 내용이 채워진 Security Intelligence Category(보안 인텔리전스 카테고리) 필드가 있습니다.
이러한 각 이벤트에는 해당하는 "일반" 연결 이벤트가 있습니다. 보안 인텔리전스 정책은 액세스 제어를 비롯한 다른 많은 보안 정책보다 먼저 평가되기 때문에 보안 인텔리전스에 의해 연결이 차단된 경우, 그 결과로 생성된 이벤트에는 시스템이 후속 평가를 통해 수집했을 수 있는 정보(예: 사용자 ID)가 포함되지 않습니다.
구성 가능한 연결 로깅
조직의 보안 및 규정 준수 필요에 따라 연결을 로깅해야 합니다. 사용자가 생성하고 기능을 향샹시키는 이벤트의 수를 제한하는 것이 사용자의 목표라면 사용자의 분석에 중요한 연결에 대한 로깅만 사용 설정합니다. 그러나, 자료 수집을 목적으로 사용자의 네트워크 트래픽에 대한 광범위한 견해를 원할 경우, 추가 연결에 대한 로깅을 사용 설정할 수 있습니다.
시스템은 여러 가지 이유로 연결을 로깅할 수 있으므로, 한 곳의 로깅을 비활성화해도 일치하는 연결이 로깅되지 않는 것은 아닙니다.
다음 위치에서 연결 로깅을 구성할 수 있습니다.
-
액세스 제어 규칙 및 기본 작업 — 연결 종료 시 수행되는 로깅은 연결에 대한 대부분의 정보를 제공합니다. 연결 시작 시에 로깅을 수행할 수도 있지만 이러한 이벤트에 포함되는 정보는 불완전합니다. 연결 로깅은 기본적으로 비활성화되므로 추적하려는 트래픽을 대상으로 하는 각 규칙과 기본 작업에 대해 연결 로깅을 활성화해야 합니다.
-
보안 인텔리전스 정책 — 각 차단된 연결에 대한 보안 인텔리전스 연결 이벤트를 생성하도록 로깅을 활성화할 수 있습니다. 보안 인텔리전스 필터링의 결과로 시스템이 연결 이벤트를 로깅할 때 시스템은 또한 일치하는 보안 인텔리전스 이벤트도 로깅합니다. 이는 사용자가 별도로 살펴보고 분석할 수 있는 특수한 연결 이벤트입니다.
-
SSL 암호 해독 규칙 및 기본 작업 — 연결 종료 시 수행되는 로깅을 구성할 수 있습니다. 차단된 연결의 경우 시스템에서 즉시 세션을 종료하고 이벤트를 생성합니다. 모니터링된 연결 및 액세스 제어 규칙으로 전달하는 연결의 경우 시스템에서 세션 종료 시 이벤트를 생성합니다.
자동 연결 로깅
시스템은 다른 로깅 컨피그레이션과 관계없이 다음의 연결 종료 이벤트를 자동으로 저장합니다.
-
시스템은 연결이 액세스 제어 정책의 기본 작업에 의해 처리되지 않는 한, 침입 이벤트와 연관된 연결을 자동으로 로깅합니다. 일치하는 트래픽에 대한 침입 이벤트를 얻으려면 기본 작업에서 로깅을 활성화해야 합니다.
-
시스템은 파일 및 악성코드 이벤트와 연관된 연결을 자동으로 로깅합니다. 이는 연결 이벤트만을 위한 작업입니다. 선택적으로 파일 및 악성코드 이벤트의 생성을 비활성화할 수 있습니다.
연결 로깅에 대한 팁
로깅 컨피그레이션 및 관련 통계 평가를 고려할 때는 다음 사항에 유의하십시오.
-
사용자가 액세스 제어 규칙을 통해 트래픽을 허용할 때, 연결된 침입 또는 파일 정책을 (또는 둘 다를) 사용하여 트래픽이 최종 목적지에 도달하기 전에 트래픽 및 침입 차단, 금지된 파일과 악성코드를 자세히 검사할 수 있습니다. 하지만. 기본 파일 및 침입에 의해 암호화된 페이로드를 위한 탐지가 사용 해제되었음을 참고하시기 바랍니다. 침입 또는 파일 정책이 연결을 차단해야 하는 이유를 확인하는 경우, 시스템은 연결 로그 설정과 관계없이 연결 종료 이벤트를 즉시 로깅합니다. 로깅이 허용되는 연결은 네트워크의 트래픽에 대해 가장 많은 통계 정보를 제공합니다.
-
신뢰할 수 있는 연결이란 액세스 제어 정책에서 신뢰 액세스 제어 규칙 또는 기본 작업이 처리한 것입니다. 그러나 신뢰할 수 있는 연결에서는 검색 데이터, 침입 또는 금지된 파일과 악성코드를 검사하지 않습니다. 따라서, 신뢰할 수 있는 연결에 대한 연결 이벤트는 제한된 정보를 포함합니다.
-
트래픽을 차단하는 액세스 제어 규칙 및 액세스 제어 정책 기본 작업의 경우 시스템은 연결 시작 이벤트를 로깅합니다. 일치하는 트래픽은 추가 검사 없이 거부됩니다.
-
DoS(서비스 거부) 공격 중에 차단된 TCP 연결을 로깅하는 경우 시스템 성능에 영향을 미칠 수 있으며, 데이터베이스가 유사한 다수의 이벤트로 가득 찰 수 있습니다. 차단 규칙에 대한 로깅을 활성화하기 전에 이 규칙이 인터넷 연결 인터페이스 또는 DoS 공격에 취약한 다른 인터페이스의 트래픽을 모니터링하는지 여부를 고려하십시오.
-
원격 액세스 VPN 연결 프로파일을 컨피그레이션하거나 sysopt connection permit-vpn 명령을 활성화할 때 Bypass Access Control policy for decrypted traffic(암호 해독 트래픽에 대한 액세스 제어 우회 정책)(sysopt permit-vpn) 옵션을 선택하면 모든 Site-to-Site 또는 원격 액세스 VPN 트래픽이 검사 및 액세스 제어 정책을 우회합니다. 따라서 이 트래픽에 대한 연결 이벤트를 가져오지 못하고, 트래픽은 어떤 통계 대시보드에도 반영되지 않습니다.
외부 syslog 서버에 이벤트 전송
device manager(이벤트를 저장하는 기능은 제한되어 있음)를 통해 이벤트를 확인하는 것 외에도 규칙과 정책을 선택적으로 구성하여 이벤트를 외부 시스템 로그 서버에 전송할 수 있습니다. 그러면 선택한 syslog 서버 플랫폼의 추가 스토리지 및 기능을 사용하여 이벤트 데이터를 확인하고 분석할 수 있습니다.
외부 syslog 서버에 이벤트를 전송하려면 각 연결 로깅을 활성화하는 규칙, 기본 작업 또는 정책을 편집하고 로그 설정에서 syslog 서버 개체를 선택합니다. syslog 서버에 침입 이벤트를 전송하려면 침입 정책 설정에서 서버를 컨피그레이션하십시오. syslog 서버에 파일/악성코드 이벤트를 전송하려면 에서 서버를 컨피그레이션하십시오.
자세한 내용은 각 규칙 및 정책 유형에 대한 도움말과 syslog 서버 구성의 내용을 참조하십시오.
Cisco Cloud 기반 서비스를 사용하여 이벤트 평가
Event Viewer 및 자체 syslog 서버를 사용하는 것 외에도 연결 이벤트 및 높은 우선순위 침입, 파일 및 악성코드 이벤트를 Cisco Cloud 기반 서버에 전송할 수 있습니다. Threat Response와 같은 Cisco Cloud 기반 서비스는 해당 클라우드 서버에서 이벤트를 끌어올 수 있으며, 해당 서비스를 사용하여 이러한 이벤트를 평가할 수 있습니다.
이러한 클라우드 기반 서비스는 위협 방어 디바이스 및 device manager과 별개입니다. 이러한 이벤트를 Cisco Cloud로 전송하도록 요구하는 서비스를 사용하도록 선택하는 경우, 페이지에서 연결을 활성화해야 합니다. Cisco Cloud로 이벤트 전송의 내용을 참조하십시오.