연결을 모니터링하는 액세스 제어 정책.

연결을 처리한 액세스 제어 규칙 또는 기본 작업이자, 해당 연결과 일치한 최대 8개의 Monitor(모니터링) 규칙.

연결이 하나의 Monitor(모니터링) 규칙과 매칭될 경우, Secure Firewall Management Center에는 연결을 처리한 규칙의 이름이 표시되며 그 뒤에 Monitor(모니터링) 규칙 이름이 표시됩니다. 연결에 하나 이상의 Monitor(모니터링) 규칙과 매칭될 경우, 매칭되는 Monitor(모니터링) 규칙 수가 표시되며 Default Action + 2 Monitor Rules(기본 작업 + 2개 모니터링 규칙)가 그러한 예입니다.

팝업 창에 연결과 매칭되는 처음 8개 Monitor(모니터링) 규칙 목록을 표시하려면 N(개수) Monitor Rules(모니터링 규칙)를 클릭합니다.

연결을 로깅한 구성과 관련된 작업.

보안 인텔리전스로 모니터링된 연결의 경우, 작업은 연결에 의해 트리거되는 첫 번째 비 Monitor 액세스 제어 규칙 또는 기본 작업입니다. 이와 마찬가지로, Monitor(모니터링) 규칙과 매칭되는 트래픽은 항상 후속 규칙 또는 기본 규칙에 의해 처리되므로 Monitor(모니터링) 규칙에 의해 로깅된 연결과 관련된 작업은 Monitor(모니터링)가 될 수 없습니다. 그러나 Monitor(모니터링) 규칙과 매칭되는 연결에서 상관관계 정책 위반을 트리거할 수 있습니다.

Secure Firewall Management Center 웹 인터페이스에서 이 값은 요약과 그래프를 제한합니다.

호스트 간 통신을 나타내며 연결에서 탐지되는 애플리케이션 프로토콜

애플리케이션의 기능을 파악하는 데 도움이 될 수 있도록 애플리케이션의 특성을 분류하는 기준

연결에서 탐지된 애플리케이션 트래픽과 관련된 위험성으로, 매우 높음, 높음, 중간, 낮음, 매우 낮음이 있습니다. 연결에서 탐지된 웹 애플리케이션의 각 유형에는 관련된 위험이 있습니다. 이 필드에는 그중 가장 높은 위험이 표시됩니다.

연결에서 탐지된 애플리케이션 트래픽과 연계된 사업 타당성으로, 매우 높음, 높음, 중간, 낮음, 매우 낮음이 있습니다. 연결에서 탐지된 각 애플리케이션 유형에는 관련된 사업 타당성이 있습니다. 이 필드에는 그중 가장 낮은 값(가장 연관성이 적음)이 표시됩니다.

연결에서 탐지된 클라이언트 애플리케이션 및 클라이언트 버전

시스템이 연결에 사용된 특정 클라이언트를 식별하지 못할 경우, 이 필드에는 애플리케이션 프로토콜 이름에 추가된 단어 "클라이언트"가 표시되어 일반 이름을 제공합니다(예:FTP 클라이언트).

애플리케이션의 기능을 파악하는 데 도움이 될 수 있도록 애플리케이션의 특성을 분류하는 기준

다른 동시 연결에서 하나의 연결을 구분하는 카운터입니다. 이 필드 자체에는 중요한 의미가 없습니다.

다음 필드는 연결 이벤트(DeviceUUID, 첫 번째 패킷 시간, 연결 인스턴스 ID, 연결 카운터)를 전체적으로 개별 식별합니다.

연결 이벤트를 처리한 Snort 인스턴스입니다. 이 필드 자체에는 중요한 의미가 없습니다.

다음 필드는 연결 이벤트(DeviceUUID, 첫 번째 패킷 시간, 연결 인스턴스 ID, 연결 카운터)를 전체적으로 개별 식별합니다.

이 필드는 시스템 로그 필드로만 존재합니다. Secure Firewall Management Center 웹 인터페이스에서는 존재하지 않습니다. (웹 인터페이스는 First Packet and Last PAcket(첫 번째 패킷 및 마지막 패킷) 열을 사용하여이 정보를 전달합니다.)

이 필드는 연결 종료 시 로깅이 발생하는 경우에만 값을 갖습니다. 연결 시작 시스템 로그 메시지의 경우, 이 필드는 해당 시점에 값을 알 수 없으므로 출력하지 않습니다.

연결 종료 시스템 로그 메시지의 경우, 이 필드는 첫 번째 패킷과 마지막 패킷 사이의 초 수를 나타내며 짧은 연결인 경우 0이 될 수 있습니다. 예를 들어, 시스템 로그의 타임스탬프가 12:34:56이며 ConnectionDuration이 5인 경우 첫 번째 패킷은 12:34:51입니다.

연결 요약의 연결 개수. 여러 연결 요약 간격에 걸쳐 있는 long-running 연결의 경우, 첫 번째 연결 요약 간격만 증가합니다. Connections(연결) 기준을 사용하여 유의미한 검색 결과를 보려면 연결 요약 페이지가 있는 맞춤형 워크플로를 사용해야 합니다.

각 행에 표시되는 정보와 매칭되는 연결의 개수. 둘 이상의 동일한 행을 생성하는 제약 조건을 적용한 경우에만 Count(개수) 필드가 나타납니다. 사용자 지정 워크플로를 생성하고 Count(카운트) 열을 드릴다운 페이지에 추가하지 않은 경우, 각 연결은 개별적으로 낭려되고 패킷과 바이트는 합산되지 않습니다.

연결된 연결에 대한 패킷을 해독하는 VPN 피어(피어의 IKE 주소)의 IP 주소입니다.

VPN 피어 IP 주소를 보려면 액세스 제어 정책 규칙이 연결 시작 및 종료 시 로깅하도록 로깅 설정을 활성화해야 합니다. 암호 해독된 트래픽에 대해 액세스 제어 정책 우회(sysopt connection permit-vpn) 옵션을 활성화하면 암호 해독된 트래픽의 세부 정보를 볼 수 없습니다.

이 필드에는 클라이언트 애플리케이션의 탐지 소스가 표시됩니다. AppID 또는 Encrypted Visibility(암호화된 가시성)일 수 있습니다.

Secure Firewall Management Center 웹 인터페이스에서 이러한 값은 요약과 그래프를 제한합니다.

세션 responder가 사용하는 포트 또는 ICMP 코드

이 필드는 사용 가능한 경우 DestinationSecurityGroupTag의 숫자 값과 연결된 텍스트 값을 보유합니다. 그룹 이름을 텍스트 값으로 사용할 수 없는 경우 이 필드에는 DestinationSecurityGroupTag 필드와 동일한 정수 값이 포함됩니다.

이 필드는 보안 그룹 태그를 가져온 소스를 표시합니다.

연결에 사용되는 대상의 숫자 보안 그룹 태그(SGT) 속성입니다.

대상 SGT 값은 DestinationSecurityGroupType 필드에 지정된 소스에서 가져옵니다.

이 필드에는 클라이언트의 탐지 소스가 표시됩니다.

Secure Firewall Management Center 웹 인터페이스에서 이 값은 요약과 그래프를 제한합니다.

연결을 탐지한 매니지드 디바이스, 또는 NetFlow 데이터에서 생성된 연결의 경우 해당 데이터를 처리하는 매니지드 디바이스.

이벤트를 생성한 Firepower 디바이스의 고유 식별자입니다.

다음 필드는 연결 이벤트(DeviceUUID, 첫 번째 패킷 시간, 연결 인스턴스 ID, 연결 카운터)를 전체적으로 개별 식별합니다.

연결에서 도메인 이름을 조회하기 위해 해당 이름 서버로 제출된 DNS 쿼리.

이 필드는 DNS 필터링이 활성화된 경우 URL 필터링 일치에 대한 도메인 이름을 포함할 수도 있습니다. 이 경우 URL 필드는 비어 있으며 URL 범주 및 URL 평판 필드에는 도메인과 연결된 값이 포함됩니다.

DNS 필터링에 대한 자세한 내용은 DNS 필터링: DNS 조회 중 URL 평판 및 범주 식별의 내용을 참조하십시오.

연결에서 제출된 DNS 쿼리 해결에 사용된 DNS 리소스 레코드의 유형.

연결에서 쿼리를 받은 경우 이름 서버로 반환되는 DNS 응답.

시스템이 연결을 재전송한 싱크홀 서버의 이름.

DNS 서버가 DNS 리소스 레코드를 캐시하는 초 수.

연결을 탐지한 매니지드 디바이스의 도메인, 또는 NetFlow 데이터에서 생성된 연결의 경우 해당 데이터를 처리하는 매니지드 디바이스의 도메인. 이 필드는 management center에 멀티테넌시를 구성한 경우에만 표시됩니다.

연결된 연결에 대한 패킷을 암호 해독하는 VPN 피어(피어의 IKE 주소)의 IP 주소입니다.

VPN 피어 IP 주소를 보려면 액세스 제어 정책 규칙이 연결 시작 및 종료 시 로깅하도록 로깅 설정을 활성화해야 합니다.

세션에 대해 EVE(Encrypted Visibility Engine)에서 탐지한 TLS 핑거프린트입니다.

EVE(Encrypted Visibility Engine)에서 분석한 TLS 클라이언트 Hello 패킷의 프로세스 또는 클라이언트입니다.

암호화된 가시성 엔진이 올바른 프로세스를 탐지한 0~100% 범위의 신뢰도 값입니다. 예를 들어, 프로세스 이름이 Firefox이고 신뢰도 점수가 80%이면 엔진이 탐지한 프로세스가 Firefox임을 80% 신뢰하는 것입니다.

암호화된 가시성 엔진에서 탐지한 프로세스에 위협이 포함된 확률 레벨입니다. 이 필드는 위협 신뢰도 점수의 값을 기준으로 대역(Very High(매우 높음), High(높음), Medium(중간), Low(낮음) 또는 Very Low(매우 낮음))을 나타냅니다.

암호화된 가시성 엔진에서 탐지한 프로세스에 위협이 포함된 신뢰도 값(0~100%)입니다. 위협 신뢰도 점수가 매우 높은 경우(예: 90%) Encrypted Visibility Process Name(암호화된 가시성 프로세스 이름) 필드에 "Malware(악성코드)"가 표시됩니다.

ISE에서 식별된 사용자를 인증하기 위해 ISE가 사용되는 네트워크 디바이스의 IP 주소.

ISE에서 식별된 사용자의 엔드포인트 디바이스 유형.

연결 이벤트가 우선 순위가 높은 이벤트인지 여부입니다. 우선 순위가 높은 이벤트는 침입, 보안 인텔리전스, 파일, 악성코드 이벤트와 관련된 연결 이벤트입니다. 이 외의 이벤트는 우선 순위가 낮은 이벤트입니다.

하나 이상의 파일 이벤트와 관련된 연결에서 탐지되거나 차단된 파일(악성코드 파일 포함)의 수.

Secure Firewall Management Center 웹 인터페이스에서 파일 보기 아이콘이 파일 목록에 링크됩니다. 아이콘의 숫자는 해당 연결에서 탐지되거나 차단된 파일(악성코드 파일 포함)의 수를 나타냅니다.

세션의 첫 번째 또는 마지막 패킷이 표시된 날짜 및 시간.

시스템이 첫 번째 패킷을 수신한 시간입니다.

다음 필드는 연결 이벤트(DeviceUUID, 첫 번째 패킷 시간, 연결 인스턴스 ID, 연결 카운터)를 전체적으로 개별 식별합니다.

연결(다른 URL에 링크를 제공하는 웹사이트 또는 다른 URL에서 링크를 가져온 웹사이트 등)에서 탐지된 HTTP 트래픽에 대해 요청된 URL의 참조 페이지를 나타내는 HTTP 참조 페이지

연결을 통해 클라이언트의 HTTP 요청에 대한 응답으로 전송된 HTTP 상태 코드

연결과 관련된 인그레스 또는 이그레스 인터페이스. 배포에 비대칭 라우팅 구성이 포함되어 있는 경우, 인그레스 및 이그레스 인터페이스가 동일한 인라인 쌍에 속하지 않을 수 있습니다.

연결과 관련된 인그레스 또는 이그레스 보안 영역

영역이 재지정된 캡슐화된 연결의 경우, 인그레스 필드는 원래 인그레스 보안 영역 대신 할당된 터널 영역을 표시합니다. 이그레스 필드는 공란입니다.

가상 라우팅을 사용하는 네트워크에서 트래픽이 네트워크를 진입하거나 벗어날 때 통과하는 가상 라우터의 이름입니다.

세션 개시자가 전송했거나 세션 응답자가 수신한 총 바이트 수.

라우팅 가능한 IP가 탐지되는 경우 세션 개시자 또는 응답자의 IP 주소와 관련된 대륙.

라우팅 가능한 IP가 탐지되는 경우 세션 개시자 또는 응답자의 IP 주소와 관련된 국가. 시스템에 해당 국가의 플래그 및 ISO 3166-1 alpha-3 국가 코드 아이콘이 표시됩니다. 국가의 전체 이름을 보려면 플래그 아이콘 위에 포인터를 올려놓습니다.

Secure Firewall Management Center 웹 인터페이스에서 이러한 값은 요약과 그래프를 제한합니다.

세션 이니시에어터 또는 응답기의 호스트 IP 주소(DNS 확인을 활성화한 경우 호스트 이름)

이니시에이터/응답자, 소스/대상, 그리고 발신자/수신자 필드 지침도 참조하십시오.

Secure Firewall Management Center 웹 인터페이스에서 호스트 아이콘은 연결을 차단한 IP 주소를 식별합니다.

일반 텍스트의 경우 사전 필터 정책, 이니시에이터 및 응답자 IP 주소에 의해 차단되거나 경로가 단축된 통과 터널은 터널 엔드포인트를 나타냅니다. 이것은 터널 어느 한쪽에 있는 네트워크 디바이스의 라우팅된 인터페이스를 말합니다.

세션 개시자가 전송했거나 세션 응답자가 수신한 총 패킷 수.

Secure Firewall Management Center 웹 인터페이스에서 이 값은 요약과 그래프를 제한합니다.

세션 개시자에 로그인한 사용자. 이 필드에 No Authentication(인증 없음)이 입력된 경우, 사용자 트래픽은 다음과 같습니다.

• 관련 ID 정책 없이 액세스 제어 정책과 매칭

• ID 정책에서 모든 규칙과 매칭되지 않음

해당하는 경우 사용자 이름 앞에 <realm>\을 입력합니다.

이니시에이터/응답자, 소스/대상, 그리고 발신자/수신자 필드 지침도 참조하십시오.

연결과 관련된 침입 이벤트의 수(해당되는 경우).

Secure Firewall Management Center 웹 인터페이스에서 침입 이벤트 보기 아이콘이 이벤트 목록에 링크됩니다.

이벤트가 연결과 관련된 호스트에 대해 IOC(indication of compromise)를 트리거했는지 여부.

세션 개시자 또는 응답자의 NAT 변환 IP 주소입니다.

세션 개시자 또는 응답자의 NAT 변환 포트입니다.

세션에서 사용되는 NetBIOS 도메인

NetFlow 데이터에서 생성된 연결에서 연결 트래픽이 입력되거나 NetFlow 엑스포터를 종료하는 경우 인터페이스에 대한 인터페이스 인덱스.

NetFlow 데이터에서 생성된 연결에서 트래픽 소스 또는 대상에 대한 경계 게이트웨이 프로토콜 자동 시스템 번호.

NetFlow 데이터에서 생성된 연결에서 소스 또는 대상 접두사 마스크로 AND 처리된 소스 또는 대상 IP 주소.

NetFlow 데이터에서 생성된 연결에서 연결 트래픽이 입력되거나 NetFlow 엑스포터를 종료하는 경우 서비스 유형(TOS) 바이트에 대한 설정.

이벤드 생성과 관련된 NAP(네트워크 분석 정책) (해당되는 경우).

원래 클라이언트 IP 주소가 속하는 국가. 시스템은 이 값을 얻기 위해 XFF(X-Forwarded-For), True-Client-IP 또는 맞춤 정의된 HTTP 헤더에서 원래 클라이언트 IP 주소를 추출한 다음 GeoDB(지정학적 위치 데이터베이스)를 사용하여 국가에 매핑합니다. 이 필드에 값을 입력하려면 원래 클라이언트를 기준으로 프록시 설정된 트래픽을 처리하는 액세스 제어 규칙을 활성화해야 합니다.

XFF(X-Forwarded-For), True-Client-IP 또는 맞춤 정의된 HTTP 헤더의 원래 클라이언트 IP 주소. 이 필드에 값을 입력하려면 원래 클라이언트를 기준으로 프록시 설정된 트래픽을 처리하는 액세스 제어 규칙을 활성화해야 합니다.

연결을 처리하는 사전 필터 정책.

Secure Firewall Management Center 웹 인터페이스:

• 이 값은 요약과 그래프를 제한합니다.

• 이 필드는 검색 필드로만 사용할 수 있습니다.

연결에 사용된 전송 프로토콜 특정 프로토콜을 검색하려면 http://www.iana.org/assignments/protocol-numbers에 열거된 이름 또는 번호 프로토콜을 사용합니다.

속도가 제한되는 연결에서 속도 제한이 적용되는 인터페이스 이름.

속도 제한으로 인해 세션 개시자 또는 세션 응답자에서 삭제된 바이트 수.

속도 제한으로 인해 세션 개시자 또는 세션 응답자에서 삭제된 패킷의 수.

연결 속도를 제한하는 QoS 정책.

연결 속도를 제한하는 QoS 규칙.

다양한 상황에서 연결이 로깅된 이유. 전체 목록은 연결 이벤트 이유의 내용을 참조하십시오.

IP Block(IP 차단), DNS Block(DNS 차단), URL Block(URL 차단) 이유와의 연결은 고유 개시자-응답자 쌍당 임계값이 15초입니다. 시스템이 이러한 연결 중 하나를 차단하는 경우, 포트 또는 프로토콜에 관계없이 다음 15초 동안 이러한 두 호스트 간에 추가로 차단된 연결에 대한 연결 이벤트는 생성되지 않습니다.

연결의 프로토콜이 HTTP, 또는 HTTPS인 경우 이 필드에는 각 프로토콜이 사용했던 호스트 이름이 표시됩니다.

매칭되는 IP 주소.

가능한 값: None (없음), Destination(대상)또는 Source(소스).

여러 상황 모드에서 ASA FirePOWER가 처리한 연결의 경우 트래픽이 통과한 가상 방화벽 그룹을 식별하는 메타데이터.

연결에서 차단된 URL, 도메인 또는 IP 주소를 나타내거나 포함하는 개체의 이름. 보안 인텔리전스 카테고리는 네트워크 개체 또는 그룹, 차단 목록, 맞춤형 보안 인텔리전스 목록이나 피드, 관찰 관련 TID 카테고리, 인텔리전스 피드 내 카테고리 중 하나의 이름일 수 있습니다.

Secure Firewall Management Center 웹 인터페이스에서 DNS, 네트워크(IP 주소) 및 URL 보안 인텔리전스 연결 이벤트는 단일 카테고리 필드에 통합됩니다. 시스템 로그 메시지에서 해당 이벤트는 유형별로 지정됩니다.

보안 관련 연결 이벤트에는 보안 인텔리전스 이벤트와 침입 또는 악성코드 이벤트를 트리거한 것과 같은 기타 연결 이벤트가 포함됩니다. 보안 인텔리전스 요약 워크플로우에는 모든 보안 인텔리전스 이벤트가 범주 및 개수별로 표시됩니다. 보안 인텔리전스 범주가 없는 이벤트는 그룹화되어 개수만 표시됩니다.

Intelligence Feed 카테고리에 대한 자세한 내용은 보안 인텔리전스 카테고리를 참조하십시오.

Secure Firewall Management Center 웹 인터페이스에서 이 값은 요약과 그래프를 제한합니다.

연결 생성에 사용된 데이터를 브로드캐스트하는 NetFlow 엑스포터의 IP 주소. 매니지드 디바이스에서 연결이 탐지된 경우 이 필드에 Firepower가 표시됩니다.

Secure Firewall Management Center 웹 인터페이스에서 이러한 값은 요약과 그래프를 제한합니다.

세션 이니시에이터가 사용하는 포트 또는 ICMP 유형

이 필드는 사용 가능한 경우 SourceSecurityGroupTag의 숫자 값과 연결된 텍스트 값을 보유합니다. 그룹 이름을 텍스트 값으로 사용할 수 없는 경우이 필드에는 SourceSecurityGroupTag 필드와 동일한 정수 값이 포함됩니다. 태그는 인라인 디바이스(소스 SGT 이름이 지정되지 않음) 또는 ISE(소스를 지정 함)에서 가져올 수 있습니다.

이 필드는 보안 그룹 태그를 가져온 소스를 표시합니다.

연결에 사용되는 패킷의 보안 그룹 태그(SGT) 속성에 대한 숫자값 SGT는 신뢰할 수 있는 네트워크 내의 트래픽 소스 권한을 지정합니다. Cisco TrustSec 및 Cisco ISE 둘 다에서 제공되는 기능인 SGA(Security Group Access)는 패킷이 네트워크로 들어오면 속성을 적용합니다.

Secure Firewall Management Center 웹 인터페이스에서 이 필드는 검색 필드로만 사용됩니다.

시스템에서 검색 워크플로 페이지의 SSL Status(SSL 상태) 필드에 필드값이 표시됩니다.

시스템이 SSL 정책에서 암호화된 트래픽에 적용하는 작업.

Secure Firewall Management Center 웹 인터페이스에서 이 필드는 검색 필드로만 사용됩니다.

트래픽 암호화에 사용하는 공개 키 인증서에 저장된 정보로 다음을 포함합니다.

• Subject/Issuer Common Name(대상자/발급자 공용 이름)

• Subject/Issuer Organization(대상자/발급자 기관)

• Subject/Issuer Organization Unit(대상자/발급자 기관 부서)

• Not Valid Before/After(유효기간)

• Serial Number(일련 번호)

• Certificate Fingerprint(인증서 지문)

• Public Key Fingerprint(공개 키 지문)

이는 인증서 상태 SSL 규칙 조건을 구성한 경우에만 적용됩니다. 암호화된 트래픽이 SSL 규칙과 일치할 경우, 이 필드에는 다음 서버 인증서 상태 값 중 하나 이상이 표시됩니다.

• Self Signed(셀프 서명)

• Valid(유효)

• Invalid Signature(잘못된 서명)

• Invalid Issuer(잘못된 발급자)

• Expired(만료됨)

• Unknown(알 수 없음)

• Not Valid Yet(아직 유효하지 않음)

• Revoked(취소됨)

해독 불가능한 트래픽이 SSL 규칙과 매칭될 경우, 이 필드는 Not Checked(확인되지 않음)로 표시됩니다.

연결을 암호화하는 데 사용되는 암호화 그룹을 나타내는 매크로 값. 암호 그룹 값 지정은 https://www.iana.org/assignments/tls-parameters/tls-parameters.xhtml의 내용을 참조하십시오.

이 필드는 Firepower Management Center 웹 인터페이스에서 검색 필드로만 사용할 수 있습니다.

Yes(예) 또는 no(아니오)를 SSL 검색 필드에 입력하고 TLS/SSL-암호화 또는 비암호화 연결을 확인합니다.

Secure Firewall Management Center 웹 인터페이스에서 이 필드는 검색 필드로만 사용됩니다.

유효한 SSL 규칙을 감안하여 시스템에서 트래픽 암호화에 적용할 것으로 예상되는 작업.

SSL Actual Action(SSL 실제 작업)에 나열된 값 중 하나를 입력합니다.

시스템이 암호화된 트래픽의 암호 해독에 실패한 이유:

• Unknown(알 수 없음)

• No Match(일치하지 않음)

• Success(TLS 필수 성공)

• Uncached Session(캐시되지 않은 세션)

• Unknown Cipher Suite(알 수 없는 암호 그룹)

• Unsupported Cipher Suite(지원되지 않는 암호 그룹)

• Unsupported SSL Version(지원되지 않는 SSL 버전)

• SSL Compression Used(SSL 압축 사용됨)

• Session Undecryptable in Passive Mode(패시브 모드에서 세션 암호 해독 불가)

• Handshake Error(핸드셰이크 오류)

• Decryption Error(암호 해독 오류)

• Pending Server Name Category Lookup(서버 이름 카테고리 조회 보류 중)

• Pending Common Name Category Lookup(공용 이름 카테고리 조회 보류 중)

• Internal Error

• Incomplete Handshake(불완전한 핸드셰이크)

• Network Parameters Unavailable(네트워크 파라미터 사용 불가)

• Invalid Server Certificate Handle(유효하지 않은 서버 인증서 처리)

• Server Certificate Fingerprint Unavailable(서버 인증서 지문 사용 불가)

• Cannot Cache Subject DN(대상자 DN 캐시 불가)

• Cannot Cache Issuer DN(발급자 DN 캐시 발가)

• Unknown SSL Version(알 수 없는 SSL 버전)

• External Certificate List Unavailable(외부 인증서 목록 사용 불가)

• External Certificate Fingerprint Unavailable(외부 인증서 지문 사용 불가)

• Internal Certificate List Invalid(내부 인증서 목록이 유효하지 않음)

• Internal Certificate List Unavailable(내부 인증서 목록 사용 불가)

• Internal Certificate Unavailable(내부 인증서 사용 불가)

• Internal Certificate Fingerprint Unavailable(내부 인증서 지문 사용 불가)

• Server Certificate Validation Unavailable(서버 인증서 검증 사용 불가)

• Server Certificate Validation Failure(서버 인증서 검증 장애)

• Invalid Action(유효하지 않은 작업)

검색 워크플로 페이지의 SSL Status(SSL 상태) 필드에 필드값이 표시됩니다.

TLS/SSL 세션 도중 오류가 발생하는 경우 오류 이름 및 16진수 코드, 오류가 발생하지 않는 경우 Success(성공).

암호화된 연결에 대한 처음 10개의 디버깅 수준 플래그입니다. 워크플로 페이지에서 모든 플래그를 보려면 줄임표(...)를 클릭합니다.).

아래 키워드는 암호화된 트래픽이 TLS/SSL 핸드셰이크 중 클라이언트와 서버 간에 교환된 지정 메시지 유형과 관련되어 있음을 나타냅니다. 자세한 내용은 http://tools.ietf.org/html/rfc5246를 참조하십시오.

• HELLO_REQUEST

• CLIENT_ALERT

• SERVER_ALERT

• CLIENT_HELLO

• SERVER_HELLO

• SERVER_CERTIFICATE

• SERVER_KEY_EXCHANGE

• CERTIFICATE_REQUEST

• SERVER_HELLO_DONE

• CLIENT_CERTIFICATE

• CLIENT_KEY_EXCHANGE

• CERTIFICATE_VERIFY

• CLIENT_CHANGE_CIPHER_SPEC

• CLIENT_FINISHED

• SERVER_CHANGE_CIPHER_SPEC

• SERVER_FINISHED

• NEW_SESSION_TICKET

• HANDSHAKE_OTHER

• APP_DATA_FROM_CLIENT

• APP_DATA_FROM_SERVER

• SERVER_NAME_MISMATCH

  세션에 표시되는 서버 인증서는 대상 도메인 이름과 일치하지 않는 공통 이름 또는 SAN 값을 갖습니다.

• CERTIFICATE_CACHE_HIT

  대상 도메인 이름과 일치하는 인증서가 캐시에 있습니다.

• CERTIFICATE_CACHE_MISS

  대상 도메인 이름과 일치하는 인증서가 캐시에 없습니다.

연결을 처리한 SSL 정책.

TLS 서버 ID 검색이 액세스 제어 정책 고급 설정에서 활성화되어 있고 액세스 제어 정책과 연결된 SSL 정책이 없는 경우 이 필드는 모든 SSL 이벤트에 대해 아무것도 유지하지 않습니다.

연결을 처리한 SSL 규칙 또는 기본 작업이자 해당 연결과 매칭된 첫 번째 Monitor(모니터링) 규칙입니다. 연결이 하나의 Monitor(모니터링) 규칙과 매칭된 경우, 연결을 처리한 규칙의 이름이 필드에 표시되며 그 뒤에 Monitor(모니터링) 규칙 이름이 표시됩니다.

이 필드는 시스템 로그 필드로만 존재합니다. Secure Firewall Management Center 웹 인터페이스에서는 존재하지 않습니다.

클라이언트가 암호화된 연결을 설정한 서버의 호스트 이름.

TLS/SSL 핸드셰이크 도중 클라이언트와 서버 간에 협상된 16진수 Session ID.

암호화된 연결을 로깅한 SSL Actual Action(SSL 실제 작업) (SSL 규칙, 기본 작업 또는 암호 해독이 불가능한 트래픽 작업)과 관련된 작업. 잠금 아이콘은 SSL 인증서 세부 정보에 링크됩니다. 인증서를 사용할 수 없는 경우(예: TLS/SSL 핸드셰이크 오류로 연결 차단), 잠금 아이콘이 흐리게 표시됩니다.

시스템이 암호화된 연결을 해독하지 못할 경우, 실행된 SSL Actual Action(SSL 실제 작업) (해독 불가능한 트래픽 작업)과 SSL Failure Reason(SSL 실패 이유)가 표시됩니다. 예를 들어, 시스템이 알 수 없는 암호 그룹으로 암호화된 트래픽을 탐지하고 추가 검사 없이 이를 허용할 경우 이 필드는 Do Not Decrypt (Unknown Cipher Suite)(암호 해독 하지 않음(알려지지 않은 암호화 그룹))로 표시됩니다.

암호화된 연결의 SSL 핸드셰이크가 불완전하고 시스템이 트래픽 암호 해독에 실패하면 SSL Status(SSL 상태) 필드에 Unknown(Incomplete Handshake)(알 수 없음(불완전한 핸드셰이크))이 표시됩니다.

이 필드를 검색할 때 SSL Actual Action(SSL 실제 작업) 중 하나 이상과 SSL Failure Reason(SSL 실패 이유)를 입력하고 시스템이 처리했거나 암호 해독에 실패한 암호화된 트래픽을 확인합니다.

이 필드는 Secure Firewall Management Center 웹 인터페이스에서만 검색 필드로만 사용 가능합니다.

암호화 인증서와 관련된 대상자 또는 발급자 국가의 2자 ISO 3166-1 alpha-2 국가 코드.

TLS/SSL 핸드셰이크 도중 전송된 세션 티켓 정보의 16진수 해시 값

암호화된 연결에서 방문한 URL의 URL 카테고리.

이 필드는 시스템 로그 필드로만 존재합니다. Secure Firewall Management Center 웹 인터페이스에서 이 필드의 값은 URL 카테고리 열에 포함됩니다.

URL도 참조하십시오.

연결 암호화에 사용되는 TLS/SSL 프로토콜 버전:

• 알 수 없음

• SSLv2.0

• SSLv3.0

• TLSv1.0

• TLSv1.1

• TLSV1.2

• TLSv1.3

NetFlow 데이터에서 생성된 연결에서 탐지된 TCP 플래그.

이 필드를 검색할 때 쉼표로 구분된 TCP 플래그 목록을 입력하면 이러한 플래그 중 최소한 하나를 보유한 모든 연결을 볼 수 있습니다.

연결 요약에서 연결을 취합하기 위해 시스템이 사용한 5분 간격의 종료 시간. 이 필드는 검색할 수 없습니다.

이 필드는 검색 필드로만 사용할 수 있습니다.

연결에서 전송된 패킷의 총 수.

이 필드는 검색 필드로만 사용할 수 있습니다.

연결에서 전송된 데이터의 총량(단위: 킬로바이트)

연결을 처리하는 터널 규칙, 사전 필터 규칙 또는 사전 필터 정책 기본 작업.

세션 중에 모니터링된 호스트에서 요청한 URL, 관련 카테고리 및 평판(해당되는 경우)

이벤트에서 URL 범주 및 평판을 표시하려면 액세스 제어 정책에 해당 URL 규칙을 포함하고 URL 탭 아래에서 URL 범주 및 URL 평판을 사용하여 규칙을 구성해야 합니다.

URL 범주 및 평판은 URL 규칙과 매칭되기 전에 연결이 처리되면 이벤트에 표시되지 않습니다.

URL 열이 비어 있고 DNS 필터링이 활성화된 경우 DNS Query(DNS 쿼리) 필드에 도메인이 표시되고 URL 범주 및 URL 평판 값이 도메인에 적용됩니다.

시스템에서 TLS/SSL 애플리케이션을 식별하거나 차단한 경우, 요청한 URL은 암호화된 트래픽에 있으므로 시스템은 SSL 인증서를 기준으로 해당 트래픽을 식별합니다. 따라서 TLS/SSL 애플리케이션의 경우, 이 필드는 인증서에 포함된 공용 이름을 나타냅니다.

위 SSLURLCategory도 참조하십시오.

연결에서 탐지된 HTTP 트래픽에서 추출된 사용자 에이전트 문자열 애플리케이션 정보.

연결을 트리거한 패킷에 관련된 가장 안쪽의 VLAN ID.

연결과 관련된 VPN 작업입니다.

가능한 값은 다음과 같습니다.

• Encrypt(암호화): VPN이 로깅된 연결에 대한 트래픽을 암호화합니다. 연결을 암호화하는 VPN 피어의 IP 주소를 확인하려면 Encrypt Peer(피어 암호화) 열을 참조하십시오.

• Decrypt(암호 해독): VPN이 로깅된 연결에 대한 트래픽을 암호 해독합니다. 연결을 암호 해독하는 VPN 피어의 IP 주소를 확인하려면 Encrypt Peer(피어 암호화) 열을 참조하십시오.

• VPN Routing(VPN 라우팅): VPN 터널을 통해 트래픽이 전환됩니다. VPN은 연결 시작 시 암호 해독을 수행하고 연결 종료 시 암호화를 수행합니다. 연결을 암호화 및 해독하는 VPN 피어의 IP 주소를 확인하려면 Encrypt Peer(피어 암호화) 및 Decrypt Peer(피어 암호 해독) 열을 참조하십시오.

연결에서 탐지된 HTTP 트래픽의 콘텐츠 또는 요청한 URL을 나타내는 웹 애플리케이션

웹 애플리케이션이 이벤트의 URL과 매칭되지 않을 경우, 해당 트래픽은 참조 트래픽(예: 광고 트래픽)일 가능성이 높습니다. 시스템이 참조 트래픽을 탐지할 경우, 시스템은 제공되는 참조 애플리케이션을 저장하고 해당 애플리케이션을 웹 애플리케이션으로 나열합니다.

시스템이 HTTP 트래픽에서 특정 웹 애플리케이션을 식별하지 못할 경우, 이 필드는 Web Browsing(웹 브라우징)으로 표시됩니다.

애플리케이션의 기능을 파악하는 데 도움이 될 수 있도록 애플리케이션의 특성을 분류하는 기준