이벤트를 검색하는 경우 다음 일반 지침을 따르십시오.

• 대부분의 필드에는 부분 일치 검색에 와일드 카드가 필요합니다. 모든 필드에서 이러한 검색에 와일드 카드를 사용할 수 있습니다.

  검색 내 와일드카드 및 특수문자의 내용을 참조하십시오.

• 모든 필드에 부정(!)을 사용할 수 있습니다.

• 모든 필드에 쉼표로 구분된 검색 값의 목록을 사용할 수 있습니다. 지정된 필드에 나열된 값 중 하나를 포함하는 레코드는 검색 기준과 일치합니다.

• 모든 필드에 따옴표로 감싸고 쉼표로 구분한 목록을 검색 값으로 사용할 수 있습니다.

  • 단일 값만을 포함할 수 있는 필드의 경우, 따옴표 내에 지정된 정확한 문자열을 포함하는 지정된 필드의 레코드가 검색 기준과 일치합니다. 예를 들어 A, B, "C, D, E"에 대한 검색은 지정된 필드에 "A" 또는 "B" 또는 "C, D, E"가 포함된 레코드와 일치합니다. 따라서 가능한 값으로 쉼표를 포함하는 필드에서 일치를 확인할 수 있습니다.

  • 여러 값을 동시에 포함할 수 있는 필드의 경우, 따옴표로 감싸고 쉼표로 구분한 모든 값을 포함하는 지정된 필드의 레코드가 해당 검색 기준과 일치합니다.

  • 여러 값을 동시에 포함할 수 있는 필드의 경우, 검색 기준에 단일 값은 물론 따옴표로 감싸고 쉼표로 구분한 목록도 포함할 수 있습니다. 예를 들어 하나 이상의 이러한 문자를 포함할 수 있는 필드에서 A, B, "C, D, E"에 대한 검색은 지정된 필드에 A 또는 B, 또는 C, D, E 모두가 포함된 레코드와 일치합니다.

• 해당 필드에 대해 사용할 수 있는 정보가 없는 이벤트를 식별하려면 필드에 n/a를 지정합니다. 해당 필드가 채워지는 이벤트를 식별하려면 !n/a를 사용합니다.

• 많은 숫자 필드 앞에 초과(>), 이상(>=), 미만(<), 이하(<=), 같음(=) 또는 같지 않음(<>) 연산자를 붙일 수 있습니다.

팁	길고 복잡한 값(SHA-256 해시 값 등)을 이용해 필드를 검색하는 경우, 소스 자료에서 검색 기준을 복사해 검색 페이지의 적절한 필드에 붙여넣을 수 있습니다.

연결 및 보안 인텔리전스 이벤트의 모든 텍스트 필드 및 기타 이벤트 유형의 대부분의 텍스트 필드에서 검색할 때 텍스트 필드에서 부분 일치를 검색하려면 문자열에서 지정되지 않은 문자를 나타내는 별표(*)가 필요합니다. 별표가 없는 검색은 이러한 필드의 정확한 일치 검색입니다. 와일드 카드가 필요하지 않은 필드에서도 부분 일치 검색에는 항상 와일드 카드를 사용하는 것이 좋습니다.

예를 들어 example.com, www.example.com 또는 department.example.com을 찾으려면 *.example.com으로 검색합니다. 대부분의 경우 example.com을 검색하면 example.com만 반환됩니다.

영숫자 외의 문자를 검색하려면(별표 문자 포함) 검색 문자열을 따옴표로 감싸십시오. 예를 들어 다음 문자열을 검색하려면

Find an asterisk (*)

다음을 입력합니다.

"Find an asterisk (*)"

Firepower System에서는 네트워크 설정의 일부로 사용할 수 있는 명명된 개체, 개체 그룹 및 애플리케이션 필터를 생성할 수 있습니다. 검색을 수행하거나 저장할 때 이러한 개체, 그룹 및 필터를 검색 기준으로 사용할 수 있습니다.

검색을 수행하면 개체, 개체 그룹 및 애플리케이션 필터가 ${object_name}의 형식으로 나타납니다. 예를 들어 개체 이름이 ten_ten_network인 네트워크 개체는 검색에 ${ten_ten_network}로 나타납니다.

검색 기준으로 개체를 사용할 수 있는 검색 필드 옆에 나타나는 Object(개체)()를 클릭할 수 있습니다.

시간 값을 입력하는 검색 기준 필드에서 허용되는 형식은 다음 표에 나와 있습니다.

다음 연산자 중 하나를 시간 값 앞에 사용할 수 있습니다.

검색에서 IP 주소를 지정할 때에는 개별 IP 주소, 쉼표로 구분된 주소 목록, 주소 블록, 또는 하이픈(-)으로 구분된 IP 주소 범위를 입력할 수 있습니다. 또한 부정을 사용할 수 있습니다.

침입 이벤트, 연결 데이터 및 상관 관계 이벤트 검색과 같은 IPv6을 지 원하는 검색의 경우 IPv4 및 IPv6 주소와 CIDR/접두사 길이 주소 블록을 임의의 조합으로 입력할 수 있습니다. IP 주소별로 호스트를 검색하면 하나 이상의 IP 주소가 검색 기준과 일치하는 모든 호스트가 결과에 포함됩니다. 즉, IPv6 주소를 검색하면 기본 주소가 IPv4인 호스트가 반환될 수 있습니다.

CIDR 또는 접두사 길이 표기법을 사용하여 IP 주소 블록을 지정하려는 경우, Firepower System은 마스크 또는 접두사 길이에 의해 지정된 네트워크 IP 주소의 일부만 사용합니다. 예를 들어 10.1.2.3/8을 입력한 경우 Firepower System은 10.0.0.0/8을 사용합니다.

IP 주소는 네트워크 개체로도 표현할 수 있으므로, IP 주소 검색 기준으로 네트워크 개체를 사용하려면 IP 주소 검색 필드 옆에 나타나는 네트워크 추가 Object(개체)()을 클릭할 수 있습니다.

FMC에서만, 또는 실제 고가용성 또는 확장성 구성을 통해 디바이스를 그룹화하면 그룹의 이름을 검색했을 때 그룹 내의 모든 디바이스를 결과로 올바르게 반환합니다.

그룹, 시스템은 검색 수행을 위해 그룹 이름을 적절한 회원 디바이스 이름으로 교체합니다. 장치 필드에 디바이스 그룹, 시스템은 장치 필드에 지정된 이름을 저장하고 검색이 실행될 때마다 디바이스 이름 교체를 수행합니다.

Firepower System은 검색에서 포트 번호에 대한 특정 구문을 허용합니다. 다음을 입력할 수 있습니다.

• 단일 포트 번호

• 쉼표로 구분된 포트 번호 목록

• 대시로 구분된 두 개의 포트 번호(포트 번호의 범위를 나타냄)

• 포트 번호 뒤에는 (침입 이벤트를 검색할 때만) 슬래시 (/)로 구분 된 프로토콜 약어

• 앞에 느낌표가 있는 포트 번호 또는 포트 번호의 범위(지정된 포트의 부정을 나타냄)

참고	포트 번호 또는 범위를 지정할 때는 공백을 사용하지 마십시오.

• 감사 로그 워크플로 필드

• 애플리케이션 데이터 필드

• 애플리케이션 세부사항 데이터 필드

• 캡처된 파일 필드

• 허용 목록 이벤트 필드

• 연결 및 보안 관련 연결 이벤트 필드

• 상관관계 이벤트 필드

• 검색 이벤트 필드

• 상태 이벤트 테이블

• 호스트 속성 데이터 필드

• 호스트 데이터 필드

• 파일 및 악성코드 이벤트 필드

• 침입 이벤트 필드

• 침입 규칙 업데이트 로그 세부 정보

• 교정 상태 테이블 필드

• Cisco Secure Firewall Management Center 디바이스 구성 가이드의 Nmap 스캔 결과 필드를 참고하십시오.

• 서버 데이터 필드

• 서드파티 취약성 데이터 필드

• 사용자 관련 필드

• 취약성 데이터 필드

• 허용 목록 위반 필드