네트워크 검색 정책에서 시스템이 기록하는 검색 이벤트의 유형을 설정할 수 있습니다. 검색 이벤트 테이블을 볼 경우 Event 열에 이벤트 유형이 나열됩니다. 다음은 검색 이벤트 유형에 대한 설명입니다.

호스트에 대해 추가 MAC 탐지됨

시스템이 전에 검색된 호스트에 대해 새 MAC 주소를 탐지할 경우 이 이벤트가 생성됩니다.

시스템이 라우터를 통해 트래픽을 전달하는 호스트를 탐지할 경우 이 이벤트가 종종 생성됩니다. 각 호스트에는 서로 다른 IP 주소가 있지만, 모든 호스트는 라우터와 연결된 MAC 주소가 있는 것으로 표시됩니다. IP 주소와 연결된 실제 MAC 주소를 탐지할 경우 시스템은 호스트 프로파일 내에 MAC 주소를 굵은 텍스트로 표시하며, 이벤트 보기의 이벤트 설명 내에 "ARP/DHCP detected" 메시지를 표시합니다.

클라이언트 시간 초과

시스템이 비활성 상태를 이유로 클라이언트를 데이터베이스에서 삭제하면 이 이벤트가 생성됩니다.

클라이언트 업데이트

시스템이 HTTP 트래픽에서 페이로드(즉, 오디오, 비디오, 웹메일 등 특정 유형의 콘텐츠)를 탐지할 경우 이 이벤트가 생성됩니다.

DHCP: IP 주소 변경됨

DHCP 주소 할당 때문에 호스트 IP 주소가 변경된 것을 시스템이 탐지할 경우 이 이벤트가 생성됩니다.

DHCP: IP 주소 재할당

호스트가 IP 주소를 재사용할 경우, 즉 DHCP IP 주소 할당 때문에 호스트가 전에 다른 물리적 호스트에 사용되던 IP 주소를 얻는 경우 이 이벤트가 생성됩니다.

홉 변경

호스트 삭제됨: 호스트 한도 도달함

management center에서 호스트 제한이 초과되어 네트워크 맵에서 모니터링되는 호스트가 삭제될 경우 이 이벤트가 생성됩니다.

호스트 삭제됨: 호스트 한도 도달함

management center에서 호스트 제한에 도달하여 새 호스트가 삭제될 경우 이 이벤트가 생성됩니다. 이 이벤트를 호스트 제한에 도달할 경우 오래된 호스트가 네트워크 맵에서 삭제되는 이전 이벤트와 비교해보십시오.

호스트 제한에 도달할 경우 새 호스트를 삭제하려면 Policies(정책) > Network Discovery(네트워크 검색) > Advanced(고급)로 이동하여 When Host Limit Reached(호스트 제한 도달 시)를 Drop hosts(호스트 삭제)로 설정합니다.

호스트 IOC 설정

호스트에 대해 IOC(indication of compromise)가 설정되고 알림이 생성될 경우 이 이벤트가 발생합니다.

호스트 시간 초과

호스트가 네트워크 검색 정책에 정의된 간격 내에 트래픽을 생성하지 못했기 때문에 네트워크 맵에서 삭제될 경우 이 이벤트가 생성됩니다. 개별 호스트 IP 주소 및 MAC 주소는 개별적으로 시간 초과됩니다. 관련된 모든 주소가 시간 초과되기 전에는 호스트가 네트워크 맵에서 사라지지 않습니다.

네트워크 검색 정책에서 모니터링할 네트워크를 변경하는 경우, 호스트 제한에서 계산되지 않도록 네트워크 맵에서 오래된 호스트를 수동으로 삭제하고자 할 수 있습니다.

네트워크 디바이스로 호스트 유형 변경됨

탐지된 호스트가 실제로 네트워크 디바이스임을 시스템에서 확인할 경우 이 이벤트가 생성됩니다.

ID 충돌

서버 또는 운영체제에 대한 현재의 능동 ID와 충돌하는 새 서버 또는 운영체제 ID를 시스템이 탐지할 경우 이 이벤트가 생성됩니다.

새로운 능동 ID 데이터를 얻기 위해 호스트를 다시 스캔하여 ID 충돌을 해결하려면 Nmap 교정을 트리거하는 Identity Conflict(ID 충돌) 이벤트를 사용할 수 있습니다.

ID 시간 초과

활성 소스의 서버 또는 운영체제 ID 데이터가 시간을 초과하면 이 이벤트가 생성됩니다.

새로운 능동 ID 데이터를 얻기 위해 호스트를 다시 스캔하여 ID 데이터를 새로 고치려면 Nmap 교정을 트리거하는 Identity Conflict(ID 충돌) 이벤트를 사용할 수 있습니다.

MAC 정보 변경

특정 MAC 주소 또는 TTL 값과 연결된 정보에서 시스템이 변경 사항을 탐지할 경우 이 이벤트가 생성됩니다.

시스템이 라우터를 통해 트래픽을 전달하는 호스트를 탐지할 경우 이 이벤트가 종종 발생합니다. 각 호스트에는 서로 다른 IP 주소가 있지만, 모든 호스트는 라우터와 연결된 MAC 주소가 있는 것으로 표시됩니다. IP 주소와 연결된 실제 MAC 주소를 탐지할 경우 시스템은 호스트 프로파일 내에 MAC 주소를 굵은 텍스트로 표시하며, 이벤트 보기의 이벤트 설명 내에 "ARP/DHCP detected" 메시지를 표시합니다. 트래픽이 여러 라우터를 통과할 수 있으므로 TTL이 변경될 수 있습니다. 또는 시스템이 호스트의 실제 MAC 주소를 탐지하는 경우에도 TTL이 변경될 수 있습니다.

NETBIOS 이름 변경

시스템이 호스트 NetBIOS 이름의 변경을 탐지할 경우 이 이벤트가 생성됩니다. 이 이벤트는 NetBIOS 프로토콜을 사용하는 호스트에 대해서만 생성됩니다.

새 클라이언트

시스템이 새 클라이언트를 탐지할 경우 이 이벤트가 생성됩니다.

참고	분석용 클라이언트 데이터를 수집 및 저장하려면 네트워크 검색 정책의 검색 규칙에서 애플리케이션 탐지를 활성화하십시오.

새 호스트

시스템이 네트워크에서 실행 중인 새 호스트를 탐지할 경우 이 이벤트가 생성됩니다.

이 이벤트는 디바이스가 새 호스트와 관련된 NetFlow 데이터를 처리하는 경우에도 생성될 수 있습니다. 이 경우 이벤트를 생성하려면, NetFlow 데이터를 관리해 호스트를 검색하는 네트워크 검색 규칙을 설정해야 합니다.

새 네트워크 프로토콜

호스트가 새 네트워크 프로토콜(IP, ARP 등)과 통신 중임을 시스템이 탐지할 경우 이 이벤트가 생성됩니다.

새 OS

시스템이 호스트에 대한 새 운영체제를 탐지하거나 호스트 운영체제에서 변경 사항을 탐지할 경우 이 이벤트가 생성됩니다.

새 TCP 포트

호스트에서 활성화된 새 TCP 서버 포트(예: SMTP 또는 웹 서비스에서 사용하는 포트)를 시스템이 탐지할 경우 이 이벤트가 생성됩니다. 이 이벤트는 애플리케이션 프로토콜 또는 이와 연결된 서버를 식별하는 데 사용되지 않습니다. 그러한 정보는 TCP Server Information Update(TCP 서버 정보 업데이트) 이벤트에서 전송됩니다.

또한 이 이벤트는 네트워크 맵에 존재하지 않는 모니터링되는 네트워크 상의 서버와 관련된 NetFlow 데이터를 디바이스가 처리할 때도 생성됩니다. 이 경우 이벤트를 생성하려면, NetFlow 데이터를 관리해 애플리케이션을 검색하는 네트워크 검색 규칙을 설정해야 합니다.

새 전송 프로토콜

호스트가 TCP, UDP 등의 새 네트워크 프로토콜과 통신 중임을 시스템이 탐지할 경우 이 이벤트가 생성됩니다.

새 UDP 포트

시스템이 호스트에서 실행 중인 새 UDP 서버 포트를 탐지할 경우 이 이벤트가 생성됩니다.

또한 이 이벤트는 네트워크 맵에 존재하지 않는 모니터링되는 네트워크 상의 서버와 관련된 NetFlow 데이터를 디바이스가 처리할 때도 생성됩니다. 이 경우 이벤트를 생성하려면, NetFlow 데이터를 관리해 애플리케이션을 검색하는 네트워크 검색 규칙을 설정해야 합니다.

TCP 포트 닫힘

시스템이 호스트에서 닫힌 TCP 포트를 탐지할 경우 이 이벤트가 생성됩니다.

TCP 포트 시간 초과

시스템이 네트워크 검색 정책에 정의된 간격 내에 TCP 포트로부터의 활동을 탐지하지 못한 경우 이 이벤트가 생성됩니다.

TCP 서버 정보 업데이트

시스템이 호스트에서 실행 중인 검색된 TCP 서버에서 변경 사항을 탐지할 경우 이 이벤트가 생성됩니다.

TCP 서버가 업그레이드되는 경우에도 이 이벤트가 생성될 수 있습니다.

UDP 포트 닫힘

시스템이 호스트에서 닫힌 UDP 포트를 탐지할 경우 이 이벤트가 생성됩니다.

UDP 포트 시간 초과

시스템이 네트워크 검색 정책에 정의된 간격 내에 UDP 포트로부터의 활동을 탐지하지 못한 경우 이 이벤트가 생성됩니다.

UDP 서버 정보 업데이트

시스템이 호스트에서 실행 중인 검색된 UDP 서버에서 변경 사항을 탐지할 경우 이 이벤트가 생성됩니다.

UDP 서버가 업그레이드되는 경우에도 이 이벤트가 생성될 수 있습니다.

VLAN 태그 정보 업데이트

시스템이 호스트에 속하는 VLAN 태그에서 변경 사항을 탐지할 경우 이 이벤트가 생성됩니다.

검색 이벤트의 테이블을 볼 경우 Event 열에 이벤트 유형이 나열됩니다.

사용자가 특정 작업(예: 수동으로 호스트 추가)을 수행할 때 생성되는 호스트 입력 이벤트를 시스템이 모니터링되는 네트워크에서 직접 변경 사항을 탐지(예: 전에 탐지되지 않던 호스트에서 트래픽 탐지)할 때 생성되는 검색 이벤트와 비교해보십시오.

네트워크 검색 정책을 수정하여, 시스템이 기록하는 호스트 입력 이벤트의 유형을 설정할 수 있습니다.

서로 다른 유형의 호스트 입력 이벤트가 제공하는 정보를 이해하면 어떤 이벤트를 기록하고 알림을 전송할지, 상관관계 정책에서 이러한 알림을 어떻게 사용할지를 좀 더 효과적으로 결정할 수 있습니다. 또한 이벤트 유형의 이름을 알면 좀 더 효과적으로 이벤트를 검색할 수 있습니다. 다음은 서로 다른 유형의 호스트 입력 이벤트에 대한 설명입니다.

클라이언트 추가

사용자가 클라이언트를 추가할 경우 이 이벤트가 생성됩니다.

호스트 추가

사용자가 호스트를 추가할 경우 이 이벤트가 생성됩니다.

프로토콜 추가

사용자가 프로토콜을 추가할 경우 이 이벤트가 생성됩니다.

스캔 결과 추가

시스템이 Nmap 스캔의 결과를 호스트에 추가할 경우 이 이벤트가 생성됩니다.

포트 추가

사용자가 서버 포트를 추가할 경우 이 이벤트가 생성됩니다.

클라이언트 삭제

사용자가 시스템에서 클라이언트를 삭제할 경우 이 이벤트가 생성됩니다.

호스트/네트워크 삭제

사용자가 시스템에서 IP 주소 또는 서브넷을 삭제할 경우 이 이벤트가 생성됩니다.

프로토콜 삭제

사용자가 시스템에서 프로토콜을 삭제할 경우 이 이벤트가 생성됩니다.

포트 삭제

사용자가 시스템에서 서버 포트 또는 서버 포트 그룹을 삭제할 경우 이 이벤트가 생성됩니다.

호스트 특성 추가

사용자가 새 호스트 속성을 생성할 경우 이 이벤트가 생성됩니다.

호스트 특성 삭제

사용자가 사용자 정의 호스트 속성을 삭제할 경우 이 이벤트가 생성됩니다.

호스트 특성 삭제 값

사용자가 호스트 속성에 할당된 값을 삭제할 경우 이 이벤트가 생성됩니다.

호스트 특성 설정 값

사용자가 호스트에 대한 호스트 속성 값을 설정할 경우 이 이벤트가 생성됩니다.

호스트 특성 업데이트

사용자가 사용자 정의 호스트 속성의 정의를 변경할 경우 이 이벤트가 생성됩니다.

호스트 중요도 설정

사용자가 호스트에 대한 호스트 중요도 값을 설정 또는 수정할 경우 이 이벤트가 생성됩니다.

운영 시스템 정의 설정

사용자가 호스트에 대한 운영체제를 설정할 경우 이 이벤트가 생성됩니다.

서버 정의 설정

사용자가 서버에 대한 벤더 및 버전 정의를 설정할 경우 이 이벤트가 생성됩니다.

취약성 영향 자격 설정

취약성 영향 자격이 설정될 경우 이 이벤트가 생성됩니다.

영향 자격에 대해 사용 중인 취약성이 전역 레벨에서 비활성화되거나 전역 레벨에서 취약성이 활성화될 경우 이 이벤트가 생성됩니다.

취약성 설정 유효하지 않음

사용자가 취약성을 무효화 또는 검토할 경우 이 이벤트가 생성됩니다.

취약성 설정 유효함

전에 잘못된 것으로 표시되었던 취약성을 사용자가 검증할 경우 이 이벤트가 생성됩니다.

다음은 검색 이벤트 테이블에서 보고 검색할 수 있는 필드에 대한 설명입니다.

시간

시스템이 이벤트를 생성한 시간

이벤트

검색 이벤트 유형 또는 호스트 입력 이벤트 유형.

IP 주소

이벤트와 관련된 호스트와 연결된 IP 주소

사용자

이벤트가 생성되기 전 이벤트와 관련된 호스트에 로그인한 마지막 사용자. 권한 있는 사용자 이후 권한 없는 사용자만 로그인한 경우, 권한 있는 사용자가 호스트에 대한 현재 사용자로 유지됩니다(또 다른 권한 있는 사용자가 로그인하지 않는 한).

MAC 주소

검색 이벤트를 트리거한 네트워크 트래픽에 의해 사용된 NIC의 MAC 주소. 이 MAC 주소는 이벤트와 관련된 호스트의 실제 MAC 주소일 수도 있고, 트래픽이 통과한 네트워크 디바이스의 MAC 주소일 수도 있습니다.

MAC Vendor(MAC 벤더)

검색 이벤트를 트리거한 네트워크 트래픽에 의해 사용된 NIC의 MAC 하드웨어 공급업체

이 필드를 검색할 경우 virtual_mac_vendor를 입력하여 가상 호스트와 관련된 이벤트와 일치시킵니다.

포트

이벤트를 트리거한 트래픽에서 사용하는 포트(해당되는 경우)

설명

이벤트의 텍스트 설명

도메인

호스트를 검색한 디바이스의 도메인. 이 필드는 management center에 멀티테넌시를 구성한 경우에만 표시됩니다.

Device(디바이스)

이벤트를 생성한 매니지드 디바이스의 이름입니다. NetFlow 데이터를 기반으로 하는 새 호스트 및 새 서버 이벤트의 경우 이것이 해당 데이터를 처리한 매니지드 디바이스입니다.

시스템은 호스트를 검색하면 해당 호스트에 대한 데이터를 수집합니다. 여기에는 호스트의 IP 주소, 실행 중인 운영 체제 등이 포함될 수 있습니다. 그러한 정보 중 일부는 호스트의 테이블 보기에서 볼 수 있습니다.

다음은 호스트 테이블에서 보고 검색할 수 있는 필드에 대한 설명입니다.

Last Seen(최종 확인)

시스템에서 마지막으로 탐지한 호스트 IP 주소 중 하나의 날짜 및 시간. Last Seen(최종 확인) 값은 적어도 네트워크 검색 정책에서 구성한 업데이트 간격만큼 그리고 호스트 IP 주소 중 하나에 대해 새 호스트 이벤트를 생성할 때 업데이트됩니다.

호스트 입력 기능을 사용하여 업데이트된 운영 체제 데이터가 있는 호스트의 경우 Last Seen(최종 확인) 값은 데이터가 원래 추가된 날짜 및 시간을 나타냅니다.

IP Address(IP 주소)

호스트와 연결된 IP 주소

MAC 주소

호스트에서 탐지한 NIC의 MAC 주소.

MAC Address 필드는 호스트 워크플로에서 찾을 수 있는 호스트의 테이블 보기에 나타납니다. MAC Address 필드를 다음에도 추가할 수 있습니다.

• 호스트 테이블의 필드를 포함하는 사용자 지정 테이블

• 호스트 테이블 기반의 사용자 지정 워크플로에 있는 드릴다운 페이지

MAC Vendor(MAC 벤더)

호스트에서 탐지한 NIC의 MAC 하드웨어 공급업체.

MAC Vendor 필드는 호스트 워크플로에서 찾을 수 있는 호스트의 테이블 보기에 나타납니다. MAC Vendor 필드를 다음에도 추가할 수 있습니다.

• 호스트 테이블의 필드를 포함하는 사용자 지정 테이블

• 호스트 테이블 기반의 사용자 지정 워크플로에 있는 드릴다운 페이지

이 필드를 검색할 경우 virtual_mac_vendor를 입력하여 가상 호스트와 관련된 이벤트와 일치시킵니다.

Current User(현재 사용자)

현재 호스트에 로그인한 사용자의 사용자 ID(사용자 이름)

권한 없는 사용자가 호스트에 로그인하면 해당 로그인은 사용자 및 호스트 내역에 기록됩니다. 호스트와 연결된 권한 있는 사용자가 없는 경우, 권한 없는 사용자가 호스트의 현재 사용자가 될 수 있습니다. 그러나 권한 있는 사용자가 호스트에 로그인한 후에는 또 다른 권한 있는 사용자의 로그인에 의해서만 현재 사용자가 변경됩니다. 또한 권한 없는 사용자가 호스트의 현재 사용자인 경우, 해당 사용자를 사용자 제어에 사용할 수 없습니다.

호스트 중요도

호스트에 할당된 사용자 지정 중요도 값.

NetBIOS 이름

호스트의 NetBIOS 이름. NetBIOS 프로토콜을 실행하는 호스트만이 NetBIOS 이름을 가질 수 있습니다.

VLAN ID

호스트에서 사용하는 VLAN ID.

Hops(홉)

호스트를 탐지한 디바이스에서 호스트로의 네트워크 홉 수

호스트 유형

호스트의 유형. 호스트, 모바일 디바이스, 탈옥 모바일 디바이스, 라우터, 브리지, NAT 디바이스 및 로드 밸런서 중 어떤 것이든 가능합니다.

시스템이 네트워크 디바이스를 구분하기 위해 사용하는 방법은 다음과 같습니다.

• CDP(Cisco Discovery Protocol) 메시지의 분석 - 네트워크 디바이스 및 유형을 식별할 수 있습니다(Cisco 디바이스만 해당).

• STP(Spanning Tree Protocol)의 탐지 - 디바이스를 스위치 또는 브리지로 식별합니다.

• 동일한 MAC 주소를 사용하는 여러 호스트 탐지 - MAC 주소를 라우터에 속한 것으로 식별합니다.

• 클라이언트 측에서 TTL 값 변경 탐지 또는 일반적인 부팅시간보다 더 자주 변경되는 TTL 값 - NAT 디바이스 및 로드 밸런서를 탐지합니다.

네트워크 디바이스로 식별되지 않는 디바이스는 호스트로 분류됩니다.

이 필드를 검색할 경우 !host를 입력하여 모든 네트워크 디바이스를 검색합니다.

Hardware(하드웨어)

모바일 디바이스용 하드웨어 플랫폼.

OS

다음 중 하나에 해당합니다.

• 호스트에서 탐지되거나 Nmap 또는 호스트 입력 기능을 사용하여 업데이트된 운영 체제(이름, 벤더 및 버전)

• unknown - 운영 체제가 알려진 핑거프린트와 일치하지 않는 경우

• pending - 시스템이 운영체제를 식별하는 데 필요한 정보를 아직 충분히 수집하지 못한 경우

시스템에서는 여러 ID를 탐지하면 쉼표로 구분된 목록으로 표시합니다.

대시보드의 Custom Analysis 위젯에서 호스트 이벤트 보기를 호출할 경우 이 필드가 나타납니다. 이것은 또한 호스트 테이블 기반의 사용자 지정 테이블에 있는 필드 옵션이기도 합니다.

이 필드를 검색할 경우 n/a를 입력하여 운영 체제가 아직 식별되지 않은 호스트를 포함합니다.

OS Conflict(OS 컨플릭트)

이 필드는 검색 전용입니다.

OS 벤더

다음 중 하나에 해당합니다.

• 호스트에서 탐지되었거나 Nmap 또는 호스트 입력 기능을 사용하여 업데이트된 운영 체제의 벤더

• unknown - 운영 체제가 알려진 핑거프린트와 일치하지 않는 경우

• pending - 시스템이 운영 체제를 식별하는 데 필요한 정보를 아직 충분히 수집하지 못한 경우

시스템에서는 여러 벤더를 탐지하면 쉼표로 구분된 목록으로 표시합니다.

이 필드를 검색할 경우 n/a를 입력하여 운영 체제가 아직 식별되지 않은 호스트를 포함합니다.

OS 이름

다음 중 하나에 해당합니다.

• 호스트에서 탐지되거나 Nmap 또는 호스트 입력 기능을 사용하여 업데이트된 운영 체제

• unknown - 운영 체제가 알려진 핑거프린트와 일치하지 않는 경우

• pending - 시스템이 운영 체제를 식별하는 데 필요한 정보를 아직 충분히 수집하지 못한 경우

시스템에서는 여러 이름을 탐지하면 쉼표로 구분된 목록으로 표시합니다.

이 필드를 검색할 경우 n/a를 입력하여 운영 체제가 아직 식별되지 않은 호스트를 포함합니다.

OS 버전

다음 중 하나에 해당합니다.

• 호스트에서 탐지되었거나 Nmap 또는 호스트 입력 기능을 사용하여 업데이트된 운영 체제

• unknown - 운영 체제가 알려진 핑거프린트와 일치하지 않는 경우

• pending - 시스템이 운영 체제를 식별하는 데 필요한 정보를 아직 충분히 수집하지 못한 경우

시스템에서는 여러 버전을 탐지하면 쉼표로 구분된 목록으로 표시합니다.

이 필드를 검색할 경우 n/a를 입력하여 운영 체제가 아직 식별되지 않은 호스트를 포함합니다.

Source Type(소스 유형)

호스트의 운영 체제 ID를 설정하는 데 사용되는 소스의 유형입니다.

• 사용자: user_name

• 애플리케이션: app_name

• 스캐너: scanner_type(네트워크 검색 구성을 통해 추가된 Nmap 또는 스캐너)

• 시스템에서 탐지한 운영 체제용 Firepower

시스템에서는 운영 체제의 ID를 확인하기 위해 여러 소스의 데이터를 조정할 수 있습니다.

신뢰

다음 중 하나에 해당합니다.

• 호스트에서 실행 중인 운영 체제의 ID에 대한 시스템의 신뢰도 비율 - 시스템에서 탐지한 호스트

• 100% - 호스트 입력 기능 또는 Nmap 스캐너 등 활성 소스에 의해 식별된 운영 체제

• unknown - 시스템이 운영 체제 ID를 확인할 수 없는 호스트 및 NetFlow 데이터를 기반으로 네트워크 맵에 추가된 호스트

이 필드를 검색할 경우 n/a를 입력하여 NetFlow 데이터에 기반한 네트워크 맵에 추가된 호스트를 포함합니다.

Notes(참고)

Notes 호스트 속성의 사용자 정의 내용.

도메인

호스트와 연결된 도메인. 이 필드는 management center에 멀티테넌시를 구성한 경우에만 표시됩니다.

Device(디바이스)

트래픽을 탐지한 매니지드 디바이스를 입력하거나, NetFlow 또는 호스트 입력 데이터를 처리한 디바이스를 입력합니다.

이 필드가 비어 있는 경우, 다음 조건 중 하나가 사실에 해당합니다.

• 네트워크 검색 정책에 정의된 대로, 호스트 상주 네트워크를 명시적으로 모니터링하지 않는 디바이스에 의해 호스트가 네트워크 맵에 추가되었습니다.

• 호스트가 호스트 입력 기능으로 추가되었으며 시스템에 의해 탐지되지 않았습니다.

개수

각 행에 표시되는 정보와 매칭되는 이벤트의 수. 둘 이상의 동일한 행을 생성하는 제약 조건을 적용한 경우에만 이 필드가 나타납니다.

MAC 주소에 의해서만 식별되는 호스트는 속성 테이블에 표시되지 않습니다.

다음은 호스트 속성 테이블에서 보고 검색할 수 있는 필드에 대한 설명입니다.

IP Address(IP 주소)

호스트와 연결된 IP 주소

Current User(현재 사용자)

현재 호스트에 로그인한 사용자의 사용자 ID(사용자 이름)

권한 없는 사용자가 호스트에 로그인하면 해당 로그인은 사용자 및 호스트 내역에 기록됩니다. 호스트와 연결된 권한 있는 사용자가 없는 경우, 권한 없는 사용자가 호스트의 현재 사용자가 될 수 있습니다. 그러나 권한 있는 사용자가 호스트에 로그인한 후에는 또 다른 권한 있는 사용자의 로그인에 의해서만 현재 사용자가 변경됩니다. 또한 권한 없는 사용자가 호스트의 현재 사용자인 경우, 해당 사용자를 사용자 제어에 사용할 수 없습니다.

호스트 중요도

엔터프라이즈에 사용자가 할당하는 호스트의 중요도. 정책 위반 및 응답을 이벤트와 관련된 호스트의 중요도에 맞추려면 상관관계 규칙 및 정책에 호스트 중요도를 사용할 수 있습니다. Low, Medium, High 또는 None의 호스트 중요도를 할당할 수 있습니다.

Notes(참고)

다른 분석가에게 보여줄 호스트에 대한 정보.

임의의 사용자 정의 호스트 속성, 컴플라이언스 허용 목록 대상 포함

사용자 정의 호스트 속성의 값. 호스트 속성 테이블에는 각 사용자 정의 호스트 속성에 대한 필드가 포함되어 있습니다.

도메인

호스트와 연결된 도메인. 이 필드는 management center에 멀티테넌시를 구성한 경우에만 표시됩니다.

개수

각 행에 표시되는 정보와 매칭되는 이벤트의 수. 둘 이상의 동일한 행을 생성하는 제약 조건을 적용한 경우에만 Count 필드가 나타납니다.

다음은 호스트 또는 사용자 보안 침해 지표(Indications of compromise, IOC) 테이블의 필드입니다. 모든 IOC 관련 테이블에 전체 필드가 포함되어 있지는 않습니다.

IP Address(IP 주소)(호스트 IOC 데이터를 볼 경우)

IOC를 트리거한 호스트와 연결된 IP 주소.

User(사용자)(사용자 IOC 데이터를 볼 경우)

IOC를 트리거한 이벤트와 연결된 사용자의 사용자 이름, 영역, 인증 소스.

카테고리

표시된 감염 유형에 대한 짧은 설명(예: Malware Executed 또는 Impact 1 Attack).

이벤트 유형

특정 IOC와 연결된 식별자로, 이를 트리거한 이벤트를 가리킴.

설명

침해 가능성이 있는 호스트에 미치는 영향에 대한 설명(예: This host may be under remote control(이 호스트가 원격 제어 상태일 수 있습니다) 또는 Malware has been executed on this host(이 호스트에서 악성코드가 실행되었습니다)).

First Seen/Last Seen(최초 확인/최종 확인)

IOC를 트리거하는 이벤트가 발생한 최초의/가장 최근의 날짜 및 시간.

도메인

IOC를 트리거한 호스트의 도메인. 이 필드는 management center에 멀티테넌시를 구성한 경우에만 표시됩니다.

다음은 서버에서 보고 검색할 수 있는 필드에 대한 설명입니다.

Last Used(최종 사용)

네트워크에서 서버가 마지막으로 사용된 날짜 및 시간, 또는 호스트 입력 기능을 사용하여 서버가 원래 업데이트된 날짜 및 시간. Last Used 값은 적어도 네트워크 검색 정책에서 구성한 업데이트 간격만큼 그리고 시스템이 서버 정보 업데이트를 탐지할 때 업데이트됩니다.

IP Address(IP 주소)

서버를 실행하는 호스트와 연결된 IP 주소.

Port(포트)

서버가 실행 중인 포트.

Protocol(프로토콜)

서버에서 사용하는 네트워크 또는 전송 프로토콜.

애플리케이션 프로토콜

다음 중 하나에 해당합니다.

• 서버에 대한 애플리케이션 프로토콜의 이름

• pending - 여러 이유 중 하나 때문에 시스템이 서버를 긍정적으로 또는 부정적으로 식별할 수 없는 경우

• unknown - 시스템이 알려진 서버 핑거프린트를 기반으로 서버를 식별할 수 없는 경우 또는 서버가 호스트 입력을 통해 추가되었고 애플리케이션 프로토콜을 포함하지 않은 경우

Category, Tags, Risk, or Business Relevance for Application Protocols(애플리케이션 프로토콜의 카테고리, 태그, 위험 또는 사업 타당성)

애플리케이션 프로토콜에 할당된 카테고리, 태그, 위험 레벨 및 비즈니스 연관성. 특정 데이터 집합에 집중하려면 이러한 필터를 사용할 수 있습니다.

Vendor(벤더)

다음 중 하나에 해당합니다.

• 시스템, Nmap, 다른 활성 소스 등에 의해 식별된 서버 공급업체 또는 호스트 입력 기능을 사용하여 지정한 서버 공급업체

• blank - 시스템이 알려진 서버 핑거프린트를 기반으로 공급업체를 식별할 수 없는 경우 또는 NetFlow 데이터를 사용하여 서버가 네트워크 맵에 추가된 경우

Version(버전)

다음 중 하나에 해당합니다.

• 시스템, Nmap, 다른 활성 소스 등에 의해 식별된 서버 공급업체 또는 호스트 입력 기능을 사용하여 지정한 서버 버전

• blank - 시스템이 알려진 서버 핑거프린트를 기반으로 버전을 식별할 수 없는 경우 또는 NetFlow 데이터를 사용하여 서버가 네트워크 맵에 추가된 경우

Web Application(웹 애플리케이션)

HTTP 트래픽에서 시스템에 의해 탐지된 페이로드 내용을 기반으로 하는 웹 애플리케이션. HTTP의 애플리케이션 프로토콜은 탐지하지만 특정 웹 애플리케이션은 탐지하지 못하는 경우 시스템은 일반 웹 브라우징 지정을 제공합니다.

Category, Tags, Risk, or Business Relevance for Web Applications(웹 애플리케이션의 카테고리, 태그, 위험 또는 사업 타당성)

웹 애플리케이션에 할당된 카테고리, 태그, 위험 레벨 및 비즈니스 연관성. 특정 데이터 집합에 집중하려면 이러한 필터를 사용할 수 있습니다.

Hits(히트)

서버에 액세스한 횟수. 호스트 입력 기능을 사용하여 추가된 서버의 경우 이 값은 항상 0입니다.

Source Type(소스 유형)

다음 값 중 하나:

• 사용자: user_name

• 애플리케이션: app_name

• 스캐너: scanner_type(네트워크 검색 구성을 통해 추가된 Nmap 또는 스캐너)

• Firepower System에서 탐지된 서버의 Firepower, Firepower Port Match 또는 Firepower Pattern Match

• NetFlow 데이터를 사용하여 추가된 서버의 NetFlow

도메인

서버를 실행하는 호스트의 도메인. 이 필드는 management center에 멀티테넌시를 구성한 경우에만 표시됩니다.

Device(디바이스)

트래픽을 탐지한 매니지드 디바이스를 입력하거나, NetFlow 또는 호스트 입력 데이터를 처리한 디바이스를 입력합니다.

Current User(현재 사용자)

현재 호스트에 로그인한 사용자의 사용자 ID(사용자 이름)

권한 없는 사용자가 호스트에 로그인하면 해당 로그인은 사용자 및 호스트 내역에 기록됩니다. 호스트와 연결된 권한 있는 사용자가 없는 경우, 권한 없는 사용자가 호스트의 현재 사용자가 될 수 있습니다. 그러나 권한 있는 사용자가 호스트에 로그인한 후에는 또 다른 권한 있는 사용자의 로그인에 의해서만 현재 사용자가 변경됩니다. 또한 권한 없는 사용자가 호스트의 현재 사용자인 경우, 해당 사용자를 사용자 제어에 사용할 수 없습니다.

개수

각 행에 표시되는 정보와 매칭되는 이벤트의 수. 둘 이상의 동일한 행을 생성하는 제약 조건을 적용한 경우에만 이 필드가 나타납니다.

알려진 클라이언트, 애플리케이션 프로토콜 또는 웹 애플리케이션에 대한 트래픽을 탐지하면 시스템은 애플리케이션 및 이를 실행하는 호스트에 대한 정보를 기록합니다.

다음은 애플리케이션 테이블에서 보고 검색할 수 있는 필드에 대한 설명입니다.

Application(애플리케이션)

탐지된 애플리케이션의 이름

IP Address(IP 주소)

애플리케이션을 사용하는 호스트와 연결된 IP 주소

Type(유형)

애플리케이션 유형:

애플리케이션 프로토콜

호스트 간의 통신을 나타냅니다.

클라이언트 애플리케이션

호스트에서 실행 중인 소프트웨어를 나타냅니다.

Web Applications

HTTP 트래픽에 대한 콘텐츠 또는 요청 URL을 나타냅니다.

카테고리

가장 중요한 기능을 설명하는 일반 애플리케이션 분류. 각 애플리케이션은 적어도 하나의 카테고리에 속합니다.

태그

애플리케이션에 대한 추가 정보. 애플리케이션에는 0부터 원하는 수만큼의 태그를 포함할 수 있습니다.

위험

조직의 보안 정책을 거스를 수 있는 용도로 애플리케이션이 사용될 가능성. 애플리케이션 위험의 범위는 Very Low(매우 낮음)에서 Very High(매우 높음)까지입니다.

침입 이벤트를 트리거한 트래픽에서 탐지된 Application Protocol Risk, Client Risk, Web Application Risk의 세 가지 중 최고(사용 가능한 경우).

Business Relevance(사업 타당성)

조직의 비즈니스 운영(레크리에이션과 반대) 컨텍스트 내에서 애플리케이션이 사용될 가능성. 애플리케이션 비즈니스 연관성의 범위는 Very Low(매우 낮음)에서 Very High(매우 높음)까지입니다.

침입 이벤트를 트리거한 트래픽에서 탐지된 Application Protocol Business Relevance, Client Business Relevance, Web Application Business Relevance의 세 가지 중 최저(사용 가능한 경우).

Current User(현재 사용자)

현재 호스트에 로그인한 사용자의 사용자 ID(사용자 이름)

권한 없는 사용자가 호스트에 로그인하면 해당 로그인은 사용자 및 호스트 내역에 기록됩니다. 호스트와 연결된 권한 있는 사용자가 없는 경우, 권한 없는 사용자가 호스트의 현재 사용자가 될 수 있습니다. 그러나 권한 있는 사용자가 호스트에 로그인한 후에는 또 다른 권한 있는 사용자의 로그인에 의해서만 현재 사용자가 변경됩니다. 또한 권한 없는 사용자가 호스트의 현재 사용자인 경우, 해당 사용자를 사용자 제어에 사용할 수 없습니다.

도메인

애플리케이션을 사용하는 호스트의 도메인. 이 필드는 management center에 멀티테넌시를 구성한 경우에만 표시됩니다.

개수

각 행에 표시되는 정보와 매칭되는 이벤트의 수. 둘 이상의 동일한 행을 생성하는 제약 조건을 적용한 경우에만 Count 필드가 나타납니다.

알려진 클라이언트, 애플리케이션 프로토콜 또는 웹 애플리케이션에 대한 트래픽을 탐지하면 시스템은 애플리케이션 및 이를 실행하는 호스트에 대한 정보를 기록합니다.

다음은 애플리케이션 세부사항 테이블에서 보고 검색할 수 있는 필드에 대한 설명입니다.

Last Used(최종 사용)

애플리케이션이 마지막으로 사용된 시간 또는 호스트 입력 기능을 사용하여 애플리케이션 데이터가 업데이트된 시간. Last Used 값은 적어도 네트워크 검색 정책에서 구성한 업데이트 간격만큼 그리고 시스템이 애플리케이션 정보 업데이트를 탐지할 때 업데이트됩니다.

IP Address(IP 주소)

애플리케이션을 사용하는 호스트와 연결된 IP 주소

클라이언트

애플리케이션의 이름. 시스템이 애플리케이션 프로토콜을 탐지했지만 특정 클라이언트를 탐지하지 못한 경우, 일반 이름을 제공하기 위해 애플리케이션 프로토콜 이름에 client가 첨부됩니다.

Version(버전)

애플리케이션의 버전

Category, Tags, Risk, or Business Relevance for Clients, Application Protocols, and Web Applications(클라이언트, 애플리케이션 프로토콜, 웹 애플리케이션의 카테고리, 태그, 위험 또는 사업 타당성)

애플리케이션에 할당된 카테고리, 태그, 위험 레벨 및 비즈니스 연관성. 특정 데이터 집합에 집중하려면 이러한 필터를 사용할 수 있습니다.

애플리케이션 프로토콜

애플리케이션에서 사용하는 애플리케이션 프로토콜. 시스템이 애플리케이션 프로토콜을 탐지했지만 특정 클라이언트를 탐지하지 못한 경우, 일반 이름을 제공하기 위해 애플리케이션 프로토콜 이름에 client가 첨부됩니다.

Web Application(웹 애플리케이션)

HTTP 트래픽에서 시스템에 의해 탐지된 페이로드 내용 또는 URL을 기반으로 하는 웹 애플리케이션. HTTP의 애플리케이션 프로토콜은 탐지하지만 특정 웹 애플리케이션은 탐지하지 못하는 경우 시스템은 여기에서 일반 웹 브라우징 지정을 제공합니다.

Hits(히트)

시스템이 사용 중인 애플리케이션을 탐지한 횟수. 호스트 입력 기능을 사용하여 추가된 애플리케이션의 경우 이 값은 항상 0입니다.

도메인

애플리케이션을 사용하는 호스트의 도메인. 이 필드는 management center에 멀티테넌시를 구성한 경우에만 표시됩니다.

Domain(디바이스)

애플리케이션 세부사항을 포함하는 검색 이벤트를 생성한 디바이스.

Current User(현재 사용자)

현재 호스트에 로그인한 사용자의 사용자 ID(사용자 이름)

권한 없는 사용자가 호스트에 로그인하면 해당 로그인은 사용자 및 호스트 내역에 기록됩니다. 호스트와 연결된 권한 있는 사용자가 없는 경우, 권한 없는 사용자가 호스트의 현재 사용자가 될 수 있습니다. 그러나 권한 있는 사용자가 호스트에 로그인한 후에는 또 다른 권한 있는 사용자의 로그인에 의해서만 현재 사용자가 변경됩니다. 또한 권한 없는 사용자가 호스트의 현재 사용자인 경우, 해당 사용자를 사용자 제어에 사용할 수 없습니다.

개수

각 행에 표시되는 정보와 매칭되는 이벤트의 수. 둘 이상의 동일한 행을 생성하는 제약 조건을 적용한 경우에만 Count 필드가 나타납니다.

언급된 경우를 제외하고 이러한 필드는 Analysis(분석) > Hosts(호스트) > Vulnerabilities(취약점) 아래의 모든 페이지에 표시됩니다.

개수

각 행에 표시되는 정보와 매칭되는 이벤트의 수. 둘 이상의 동일한 행을 생성하는 제약 조건을 적용한 경우에만 Count 필드가 나타납니다.

CVE ID

MITRE CVE(Common Vulnerabilities and Exposures) 데이터베이스(https://cve.mitre.org/)의 취약성에 연결된 식별 번호.

NVD(National Vulnerability Database)에서 이 취약점에 대한 세부 정보를 보려면 CVE ID를 마우스 오른쪽 버튼으로 클릭하고 View description in NVD(NVD에서 설명 보기)를 선택합니다.

게시 날짜

취약성이 게시된 날짜입니다.

설명

NVD(National Vulnerability Database)의 취약점에 대한 간략한 설명입니다.

전체 설명을 보려면 CVE ID를 마우스 오른쪽 버튼으로 클릭하고 View description in NVD(NVD에서 설명 보기)를 선택하여 NVD(National Vulnerability Database)에서 세부 정보를 봅니다.

영향

"취약점 영향"(아래)을 참조하십시오.

영향 자격

이 필드는 Vulnerability Details(취약점 세부 사항) 페이지에서만 사용할 수 있습니다.

드롭다운 목록을 사용하여 취약성을 활성화 또는 비활성화합니다. management center는 영향 상관관계에서 비활성화된 취약성을 무시합니다.

여기서 지정하는 설정은 시스템 전체에서 취약성의 취급 방법을 결정하며, 값을 선택한 호스트 프로파일로 제한되지 않습니다.

원격

취약성이 원격으로 악용될 수 있는지 여부(TRUE/FALSE)를 나타냅니다.

심각도

NVD(National Vulnerability Database)의 기본 점수 및 CVSS(Common Vulnerability Scoring System) 점수입니다.

Snort ID

Snort ID(SID) 데이터베이스의 취약성에 연결된 ID 번호입니다. 즉, 침입 규칙이 특정 취약성을 악용하는 네트워크 트래픽을 탐지할 수 있으면 해당 취약성은 침입 규칙의 SID와 연결됩니다.

취약성은 둘 이상의 SID와 연결될 수 있습니다(SID와 연결되지 않을 수도 있음). 취약성이 둘 이상의 SID에 연결된 경우, 취약성 테이블에는 각 SID에 대한 행이 포함됩니다.

SVID

시스템에서 취약성 추적에 사용하는 취약성 ID 번호.

이 취약점에 대한 세부 정보를 보려면 View(보기) ()을(를) 클릭합니다.

취약점 영향/영향

0에서 10까지의 범위에서 취약성의 심각도를 나타내며, 10이 가장 심각합니다.

다음은 서드파티 취약성 테이블에서 보고 검색할 수 있는 필드에 대한 설명입니다.

Vulnerability Source

서드파티 취약성의 소스(예: QualysGuard 또는 NeXpose).

취약성 ID

소스의 취약성과 연결된 ID 번호.

IP 주소

취약성의 영향을 받는 호스트와 연결된 IP 주소.

Port(포트)

취약성이 특정 포트에서 실행 중인 서버와 연결된 경우 포트 번호.

Bugtraq ID

Bugtraq 데이터베이스의 취약성과 관련된 ID 번호입니다. (http://www.securityfocus.com/bid/)

CVE ID

MITRE CVE(Common Vulnerabilities and Exposures) 데이터베이스(https://cve.mitre.org/)의 취약성에 연결된 식별 번호.

SVID

시스템이 취약성 추적에 사용하는 레거시 취약성 식별 번호.

SVID에 대한 취약성 세부사항에 액세스하려면 View(보기) ()을 클릭합니다.

Snort ID

Snort ID(SID) 데이터베이스의 취약성에 연결된 ID 번호입니다. 즉, 침입 규칙이 특정 취약성을 악용하는 네트워크 트래픽을 탐지할 수 있으면 해당 취약성은 침입 규칙의 SID와 연결됩니다.

취약성은 둘 이상의 SID와 연결될 수 있습니다(SID와 연결되지 않을 수도 있음). 취약성이 둘 이상의 SID에 연결된 경우, 취약성 테이블에는 각 SID에 대한 행이 포함됩니다.

직함

취약성의 제목입니다.

설명

취약성에 대한 간단한 설명.

도메인

취약성이 있는 호스트의 도메인. 이 필드는 management center에 멀티테넌시를 구성한 경우에만 표시됩니다.

개수

각 행에 표시되는 정보와 매칭되는 이벤트의 수. 둘 이상의 동일한 행을 생성하는 제약 조건을 적용한 경우에만 Count 필드가 나타납니다.

사용자 관련 데이터는 활성 세션, 사용자, 사용자 활동 테이블에 표시됩니다.

Analysis(분석) > Users(사용자) > Active Sessions(활성 세션) 워크플로에는 현재 사용자 세션에 대한 선택 정보가 표시됩니다. 네트워크의 한 사용자가 여러 세션을 동시에 실행 중인 경우, Firepower System은 세션이 다음과 같은 상태인지 여부를 고유하게 식별할 수 있습니다.

• 세션에 고유한 IP Address(IP 주소) 값이 있는지 식별합니다.

• 세션에 Cisco TS(Terminal Services) 에이전트에서 제공한 고유한 Start Port(시작 포트) 및 End Port(종료 포트) 값이 있는지 식별합니다.

• 세션에 고유한 Current IP Domain(현재 IP 도메인) 값이 있는지 식별합니다.

• 다른 ID 소스에서 인증되었는지 식별합니다.

• 다른 ID 영역과 연결되었는지 식별합니다.

시스템에 저장된 사용자 및 사용자 활동 데이터에 대한 자세한 내용은 사용자 데이터 및 사용자 활동 데이터를 참조하십시오.

일반적인 사용자 관련 이벤트 문제 해결 및 원격 액세스 VPN 문제 해결에 대한 자세한 내용은 영역 및 사용자 다운로드 트러블슈팅및 VPN 트러블슈팅을 참조하십시오.

ID 소스가 아직 데이터베이스에 없는 사용자의 사용자 로그인을 보고하면, 이러한 로그인 유형을 특별히 제한하지 않은 경우 해당 사용자는 데이터베이스에 추가됩니다.

시스템은 다음 중 한 가지 상황이 발생할 경우 사용자 데이터베이스를 업데이트합니다.

• management center의 사용자가 사용자 테이블에서 권한 없는 사용자를 수동으로 삭제합니다.

• ID 소스가 해당 사용자의 로그오프를 보고합니다.

• 영역은 영역의 User Session Timeout: Authenticated Users(사용자 세션 시간 초과: 인증된 사용자), User Session Timeout: Failed Authentication Users(사용자 세션 시간 초과: 실패한 인증 사용자) 또는 User Session Timeout: Guest Users(사용자 세션 시간 초과: 게스트 사용자) 설정에서 지정된 대로 사용자 세션을 종료합니다.

참고	ISE/ISE-PIC를 구성한 경우, 사용자 테이블에 호스트 데이터가 표시될 수 있습니다. ISE/ISE-PIC에서는 호스트 탐지를 일부만 지원하므로, ISE에서 보고한 호스트 데이터를 사용하여 사용자 제어를 수행할 수 없습니다.

시스템에서 탐지한 사용자 로그인의 유형은 새로운 사용자에 대해 어떤 정보를 저장할지 결정합니다.

사용자를 자동으로 다운로드하도록 영역을 구성할 경우, management center에서는 지정된 간격을 기준으로 서버를 쿼리합니다. 시스템에서 새 사용자 로그인을 탐지한 후 management center 데이터베이스에서 사용자 메타데이터를 업데이트하는 데 5~10분 정도 걸릴 수 있습니다. management center에서는 각 사용자에 대한 다음과 같은 정보 및 메타데이터를 얻습니다.

• 사용자 이름

• 이름 및 성

• 이메일 주소

• department

• 전화번호

• 현재 IP 주소

• SGT(Security Group Tag) - 제공되는 경우

• 엔드포인트 프로파일 - 제공되는 경우

• 엔드포인트 위치 - 제공되는 경우

• 시작 포트 - 제공되는 경우

• 종료 포트 - 제공되는 경우

management center에서 데이터베이스에 저장할 수 있는 사용자 수는 management center 모델에 따라 다릅니다. 권한 없는 사용자가 호스트에 로그인한 것이 탐지되면 해당 로그인은 사용자 및 호스트 내역에 기록됩니다. 호스트와 연결된 권한 있는 사용자가 없는 경우, 권한 없는 사용자가 호스트의 현재 사용자가 될 수 있습니다. 그러나 해당 호스트에서 권한 있는 사용자 로그인이 탐지되면, 또 다른 권한 있는 사용자 로그인만이 현재 사용자를 변경합니다.

AIM, Oracle, SIP 로그인의 트래픽 기반 탐지는 시스템이 LDAP 서버에서 가져오는 사용자 메타데이터와 연결되지 않으므로 중복 사용자 레코드를 생성합니다. 이러한 프로토콜의 중복 사용자 레코드로 인한 사용자 수 남용을 방지하려면, 해당 프로토콜을 무시하도록 트래픽 기반 탐지를 구성합니다.

데이터베이스에서 사용자를 검색하고 보고 삭제할 수 있습니다. 또한 데이터베이스에서 모든 사용자를 삭제할 수도 있습니다.

일반적인 사용자 관련 이벤트 문제 해결에 대한 자세한 내용은 Cisco Secure Firewall Management Center 디바이스 구성 가이드을 참조하십시오.