액세스 제어 정책(시스템 로그: ACPolicy)
이벤트를 생성한 침입, 프리프로세서 또는 디코더 규칙이 활성화된 침입 정책과 관련된 액세스 제어 정책.
액세스 제어 규칙(시스템 로그: AccessControlRuleName)
이벤트를 생성한 침입 정책을 호출한 액세스 제어 규칙. Default Action(기본 작업)
은 규칙이 활성화된 침입 정책이 특정 액세스 제어 규칙과 연결되지 않았지만, 대신 액세스 제어 정책의 기본 작업으로 구성되었음을 나타냅니다.
다음의 경우 (또는 시스템 로그 메시지의 경우 생략됨) 이 필드는 비어 있습니다.
-
관련 규칙/기본 작업 없음: 침입 검사가 액세스 제어 규칙 및 기본 작업과 모두 연결되지 않은 경우(예: 시스템이 어떤 규칙을 적용할지를 결정하기 전에 반드시 통과해야 하는 것으로서 패킷 처리를 위해 지정된 침입 정책에
의해 검토된 경우) (이 정책은 액세스 제어 정책의 Advanced (고급) 탭에서 지정됩니다.)
-
관련 연결 이벤트 없음: 세션에 로깅된 연결 이벤트가 데이터베이스에서 삭제된 경우(예: 연결 이벤트가 침입 이벤트보다 턴오버가 높은 경우)
애플리케이션 프로토콜(시스템 로그: ApplicationProtocol)
침입 이벤트를 트리거한 트래픽에서 탐지된 호스트 간 통신을 나타내는 애플리케이션 프로토콜(사용 가능한 경우).
애플리케이션 프로토콜 카테고리 및 태그
애플리케이션의 기능을 파악하는 데 도움이 될 수 있도록 애플리케이션의 특성을 분류하는 기준
애플리케이션 위험성
침입 이벤트를 트리거한 트래픽에서 탐지된 애플리케이션과 관련된 위험성: Very High(매우 높음), High(높음), Medium(중간), Low(낮음) 또는 Very Low(매우 낮음). 연결에서 탐지된 애플리케이션의
각 유형에는 관련된 위험이 있습니다. 이 필드에는 그 중 가장 높은 위험이 표시됩니다.
사업 타당성
침입 이벤트를 트리거한 트래픽에서 탐지된 애플리케이션과 관련된 비즈니스 연관성: Very High(매우 높음), High(높음), Medium(중간), Low(낮음) 또는 Very Low(매우 낮음). 연결에서 탐지된
각 애플리케이션 유형에는 관련된 비즈니스 연관성이 있습니다. 이 필드에는 그 중 가장 낮은(가장 연관성이 적은) 값이 표시됩니다.
분류(시스템 로그: Classification)
이벤트를 생성한 규칙이 속하는 분류
침입 이벤트 세부 정보에서 가능한 분류 값 목록을 참조하십시오.
이 필드를 검색하는 경우, 확인하려는 이벤트를 생성한 규칙의 분류 번호 또는 분류 이름이나 설명의 전체 또는 일부를 입력합니다. 쉼표로 구분된 숫자, 이름 또는 설명의 목록을 입력할 수도 있습니다. 마지막으로, 사용자
지정 분류를 추가하는 경우 이름이나 설명의 전체 또는 일부를 사용하여 검색할 수도 있습니다.
클라이언트(시스템 로그: Client)
침입 이벤트를 트리거한 트래픽에서 탐지된 모니터링되는 호스트에서 실행 중인 소프트웨어를 나타내는 클라이언트 애플리케이션(사용 가능한 경우).
클라이언트 카테고리 및 태그
애플리케이션의 기능을 파악하는 데 도움이 될 수 있도록 애플리케이션의 특성을 분류하는 기준
Connection Counter (시스템 로그만 해당)
다른 동시 연결에서 하나의 연결을 구분하는 카운터입니다. 이 필드 자체에는 중요한 의미가 없습니다.
다음 필드 전부는 특정 침입 이벤트와 관련된 연결 이벤트(디바이스 UUID, 첫 번째 패킷 시간, 연결 인스턴스 ID, 연결 카운터)를 개별적으로 식별합니다.
Connection Instance ID (시스템 로그만 해당)
연결 이벤트를 처리한 Snort 인스턴스입니다. 이 필드 자체에는 중요한 의미가 없습니다.
다음 필드 전부는 특정 침입 이벤트와 관련된 연결 이벤트(디바이스 UUID, 첫 번째 패킷 시간, 연결 인스턴스 ID, 연결 카운터)를 개별적으로 식별합니다.
개수
각 행에 표시되는 정보와 매칭되는 이벤트의 수. 둘 이상의 동일한 행을 생성하는 제약 조건을 적용한 경우에만 Count 필드가 나타납니다. 이 필드는 검색할 수 없습니다.
CVE ID
이 필드는 검색 전용입니다.
MITRE CVE(Common Vulnerabilities and Exposures) 데이터베이스(https://cve.mitre.org/)에서 취약성과 관련된 식별 번호에 의한 검색.
Destination Continent(대상 대륙)
침입 이벤트와 관련된 수신 호스트의 대륙.
Destination Country(대상 국가)
침입 이벤트와 관련된 수신 호스트의 국가.
Destination Host Criticality(대상 호스트 심각도)
이벤트가 생성될 때의 대상 호스트 심각도(해당 호스트에 대한 호스트 심각도 속성 값).
호스트의 심각도가 변경되어도 이 필드는 업데이트되지 않습니다. 그러나 새 이벤트에는 새로운 심각도 값이 적용됩니다.
대상 포트/ICMP 코드(시스템 로그: DstPort, ICMPCode)
트래픽을 수신하는 호스트의 포트 번호입니다. ICMP 트래픽에서 포트 번호가 없는 경우 이 필드에 ICMP 코드가 표시됩니다.
디바이스
액세스 제어 정책이 구축된 매니지드 디바이스입니다.
DeviceUUID (시스템 로그만 해당)
이벤트를 생성한 Firepower 디바이스의 고유 식별자입니다.
다음 필드 전부는 특정 침입 이벤트와 관련된 연결 이벤트(디바이스 UUID, 첫 번째 패킷 시간, 연결 인스턴스 ID, 연결 카운터)를 개별적으로 식별합니다.
도메인
침입을 탐지한 디바이스의 도메인. 이 필드는 management center에 멀티테넌시를 구성한 경우에만 표시됩니다.
이그레스 인터페이스(시스템 로그: EgressInterface)
이벤트를 트리거한 패킷의 이그레스 인터페이스. 패시브 인터페이스에 대해서는 이 인터페이스 열이 채워지지 않습니다.
이그레스 보안 영역(시스템 로그: EgressZone)
이벤트를 트리거한 패킷의 이그레스 보안 영역입니다. 패시브 구축에서는 이 보안 영역 필드가 채워지지 않습니다.
이그레스 가상 라우터
가상 라우팅을 사용하는 네트워크에서 트래픽이 네트워크에서 벗어날 때 사용하는 가상 라우터의 이름입니다.
이메일 첨부 파일
MIME Content-Disposition 헤더에서 추출된 MIME 첨부 파일 이름. 첨부 파일 이름을 표시하려면 SMTP 프리프로세서 Log MIME Attachment Names 옵션을 활성화해야 합니다. 여러 첨부 파일 이름이 지원됩니다.
Email Headers(이메일 헤더)
이 필드는 검색 전용입니다.
이메일 헤더에서 추출된 데이터입니다.
이메일 헤더를 SMTP 트래픽의 침입 이벤트와 연결하려면 SMTP 프리프로세서 Log Headers(헤더 로깅) 옵션을 활성화해야 합니다.
Email Recipient(이메일 수신자)
SMTP RCPT TO 명령에서 추출된 이메일 수신자의 주소. 이 필드의 값을 표시하려면 SMTP 프리프로세서 Log To Addresses(주소로 로깅) 옵션을 활성화해야 합니다. 여러 수신자 주소가 지원됩니다.
Email Sender(이메일 발신자)
SMTP MAIL FROM 명령에서 추출된 이메일 발신자의 주소. 이 필드의 값을 표시하려면 SMTP 프리프로세서 Log From Addresses(주소에서 로깅) 옵션을 활성화해야 합니다. 여러 발신자 주소가 지원됩니다.
첫 번째 패킷 시간 (시스템 로그만 해당)
시스템이 첫 번째 패킷을 수신한 시간입니다.
다음 필드 전부는 특정 침입 이벤트와 관련된 연결 이벤트(디바이스 UUID, 첫 번째 패킷 시간, 연결 인스턴스 ID, 연결 카운터)를 개별적으로 식별합니다.
Generator(생성기)
이벤트를 생성한 구성 요소.
다음에 나오는 침입 이벤트 필드인 GID, Message(메시지) 및 Snort ID에 대한 정보도 참조하십시오.
GID(시스템 로그만 있음)
Generator ID(생성기 ID)로, 이벤트를 생성한 구성 요소의 ID.
다음에 나오는 침입 이벤트 필드인 Generator(생성기), Message(메시지) 및 Snort ID에 대한 정보도 참조하십시오.
HTTP Hostname(HTTP 호스트네임)
HTTP 요청 Host 헤더에서 추출된 호스트 이름(해당되는 경우). 요청 패킷에 항상 호스트 이름이 포함되는 것은 아닙니다.
호스트 이름을 HTTP 클라이언트 트래픽에 대한 침입 이벤트와 연결하려면 HTTP Inspect 프리프로세서 Log Hostname(호스트네임 로깅) 옵션을 활성화해야 합니다.
테이블 보기에서 이 열에는 추출된 호스트 이름의 첫 50자가 표시됩니다. 약식 호스트 이름의 표시된 부분 위로 마우스 포인터를 이동하여 최대 256바이트까지 전체 이름을 표시할 수 있습니다. 패킷 보기에서 전체 호스트
이름을 최대 256바이트까지 표시할 수 있습니다.
HTTP 응답 코드(시스템 로그: HTTPResponse)
이벤트를 트리거한 연결을 통해 클라이언트의 HTTP 요청에 대한 응답으로 전송된 HTTP 상태 코드.
HTTP URI
침입 이벤트를 트리거한 HTTP 요청 패킷과 연결된 원시 URI(있는 경우). 요청 패킷에 항상 URI가 포함되는 것은 아닙니다.
URI를 HTTP 트래픽에 대한 침입 이벤트와 연결하려면 HTTP Inspect 프리프로세서 Log URI(URI 로깅) 옵션을 활성화해야 합니다.
HTTP 응답에 의해 트리거된 침입 이벤트에서 연결된 HTTP URI를 보려면 Perform Stream Reassembly on Both Ports(양쪽 포트에서 스트림 리어셈블리 수행) 옵션에서 HTTP 서버를 구성해야 합니다. 그러나 이렇게 하면 트래픽 리어셈블리를 위한 리소스 수요가 증가합니다.
이 열에는 추출된 URI의 첫 50자가 표시됩니다. 약식 URI의 표시된 부분 위로 마우스 포인터를 이동하여 최대 2048바이트까지 전체 URI를 표시할 수 있습니다. 패킷 보기에서 전체 URI를 최대 2048바이트까지
표시할 수 있습니다.
영향
이 필드의 영향 레벨은 침입 데이터, 네트워크 검색 데이터 및 취약성 정보 사이의 상관 관계를 나타냅니다.
이 필드를 검색하는 경우 영향 아이콘이 색상 또는 부분 문자열을 지정하지 않습니다. 예를 들어, 파란색, 레벨 1또는 0을 사용하지 마십시오. 대/소문자 유효한 값은 다음과 같습니다.
-
영향 0, 영향 레벨 0
-
영향 1, 영향 레벨 1
-
영향 2, 영향 레벨 2
-
영향 3, 영향 레벨 3
-
영향 4, 영향 레벨 4
NetFlow 데이터에서 네트워크 맵에 추가되는 호스트에 대해서는 운영 체제 정보가 제공되지 않으므로 시스템은 이러한 호스트와 관련된 침입 이벤트에 대해 취약함(영향 레벨 1: 빨강) 영향 레벨을 할당할 수 없습니다.
이러한 경우에는 호스트 입력 기능을 사용하여 호스트에 대한 운영 체제 ID를 수동으로 설정합니다.
인그레스 인터페이스(시스템 로그: IngressInterface)
이벤트를 트리거한 패킷의 인그레스 인터페이스입니다. 패시브 인터페이스에 대해서는 이 인터페이스 열만 채워집니다.
인그레스 보안 영역(시스템 로그: IngressZone)
이벤트를 트리거한 패킷의 인그레스 보안 영역 또는 터널 영역. 수동 배포에서는 이 보안 영역 필드만 입력됩니다.
인그레스 가상 라우터
가상 라우팅을 사용하는 네트워크에서 트래픽이 네트워크에 진입할 때 사용하는 가상 라우터의 이름입니다.
인라인 결과(시스템 로그: InlineResult)
워크플로 및 테이블 보기에서 이 필드는 다음 중 하나를 표시합니다.
표 1. 워크플로 및 테이블 보기에서 인라인 결과 필드 내용
아이콘
|
표시 내용
|
|
시스템이 규칙을 트리거한 패킷을 삭제했음을 나타냅니다.
|
|
(인라인 구축에서) Drop when Inline(인라인 시 삭제) 침입 정책 옵션을 활성화하는 경우 또는 시스템 정리 중 Drop and Generate(삭제 및 생성) 규칙이 이벤트를 생성한 경우 IPS가 패킷을 삭제했음을 나타냅니다.
|
|
IPS가 패킷을 대상에 전송했거나 전달했을 수 있지만 이 패킷을 포함했던 연결은 이제 차단됩니다.
|
아이콘 없음(공란)
|
트리거된 규칙이 Drop and Generate Events(이벤트 삭제 및 생성)로 설정되지 않았음을 나타냅니다.
|
다음 테이블에는 인라인 결과의 가능한 이유(Would have dropped(삭제됨) 및 Partially dropped(부분적으로 삭제됨))가 나열되어 있습니다.
인라인 결과
|
원인
|
상세 이유
|
Would Have Dropped(삭제됨)
|
패시브 또는 탭 모드의 인터페이스
|
인터페이스를 인라인 탭 또는 패시브 모드로 구성했습니다.
|
"Detection(탐지)" 검사 모드의 침입 정책
|
침입 정책에서 검사 모드를 Detection(탐지)로 설정했습니다.
|
Connection Timed Out(연결 시간 초과)
|
TCP/IP 연결이 시간 초과되어 Snort 검사 엔진이 검사를 일시 중단했습니다.
|
Partially Dropped(부분적으로 삭제됨)
|
연결 닫힘(0x01)
|
새 플로우를 생성하는 동안 할당된 플로우가 허용되는 플로우 수보다 많은 경우 Snort 검사 엔진이 가장 최근에 사용된 플로우를 정리합니다.
|
연결 닫힘(0x02)
|
Snort 검사 엔진을 다시 로드하면 메모리 조정이 발생하며 가장 최근에 사용된 플로우가 제거됩니다.
|
연결 닫힘(0x04)
|
Snort 검사 엔진이 정상적으로 종료되면 엔진은 모든 활성 플로우를 제거합니다.
|
수동 구축에서 인라인 인터페이스가 탭 모드에 있는 경우를 포함하여 침입 정책의 규칙 상태 또는 인라인 삭제 작업에 상관없이 시스템은 패킷을 삭제하지 않습니다.
이 필드를 검색하는 경우 다음 중 하나를 입력합니다.
-
dropped - 패킷이 인라인 구축에서 삭제되는지 여부를 지정합니다.
-
would have dropped - 인라인 구축에서 패킷을 삭제하도록 침입 정책을 설정했다면 패킷이 삭제되었을 것인지를 지정합니다.
-
partially dropped - 패킷을 대상으로 전송하거나 전달할지 지정하지만, 이 패킷이 들어 있는 연결은 이제 차단됩니다.
침입 정책 (시스템 로그: IntrusionPolicy)
이벤트를 생성한 침입, 프리프로세서 또는 디코더 규칙이 활성화된 침입 정책. 액세스 제어 정책에 대한 기본 작업으로 침입 정책을 선택할 수 있습니다. 또는 침입 정책을 액세스 제어 규칙과 연결할 수 있습니다.
IOC(시스템 로그: NumIOC)
침입 이벤트를 트리거한 트래픽이 연결과 관련된 호스트에 대해 IOC(indication of compromise)도 트리거했는지 여부.
이 필드를 검색하는 경우 triggered(트리거됨) 또는 n/a(해당 없음)를 지정합니다.
메시지(시스템 로그: Message)
이벤트에 대한 설명 텍스트 규칙 기반 침입 이벤트의 경우, 이벤트 메시지는 규칙에서 가져옵니다. 디코더 및 프리프로세서 기반 이벤트의 경우, 이벤트 메시지는 하드 코드됩니다.
Generator ID(GID), Snort ID(SID) 및 SID 버전(Revision)이 각 메시지 끝에 콜론으로 구분되는 숫자 형식으로 괄호안에 추가됩니다(GID:SID:version). 예: (1:36330:2).
MITRE
클릭하여 해당 계층 내에서 MITRE 전략 및 기술의 전체 목록을 나타내는 모달을 표시할 수 있는 기술의 수입니다.
MPLS 레이블(시스템 로그: MPLS_Label)
이 침입 이벤트를 트리거한 패킷에 연결된 Multiprotocol Label Switching(다중 프로토콜 레이블 스위칭) 레이블.
네트워크 분석 정책(시스템 로그: NAPPolicy)
이벤드 생성과 관련된 네트워크 분석(해당되는 경우).
이 필드에는 추출된 URI의 첫 50자가 표시됩니다. 약식 URI의 표시된 부분 위로 마우스 포인터를 이동하여 최대 2048바이트까지 전체 URI를 표시할 수 있습니다. 패킷 보기에서 전체 URI를 최대 2048바이트까지
표시할 수 있습니다.
원본 클라이언트 IP
XFF(X-Forwarded-For), True-Client-IP 또는 맞춤 정의된 HTTP 헤더에서 추출된 원래 클라이언트 IP 주소.
이 필드의 값을 표시하려면 네트워크 분석 정책에서 HTTP 프리프로세서 Extract Original Client IP Address(원래 클라이언트 IP 주소 추출) 옵션을 활성화해야 합니다. 또한 네트워크 분석 정책에서 최대 6개의 맞춤형 클라이언트 IP 헤더를 지정할 수 있으며 시스템이 Original Client IP 이벤트 필드에 대한 값을 선택하는 우선순위 순서를 설정할
수 있습니다.
우선순위(시스템 로그: Priority)
Talos 인텔리전스 그룹에 따라 결정된 이벤트 우선순위. 우선순위는 priority
키워드의 값 또는 classtype
키워드의 값에 해당합니다. 기타 침입 이벤트의 경우, 우선순위는 디코더 또는 프리프로세서에 의해 결정됩니다. 유효한 값은 high(높음), medium(중간) 및 low(낮음)입니다.
검토자
이벤트를 검토한 사용자의 이름. 이 필드를 검색하는 경우, unreviewed(검토 안 함)를 입력하고 검토되지 않은 이벤트를 검색할 수 있습니다.
Revision(시스템 로그만 있음)
이벤트 생성에 사용된 서명의 버전.
다음에 나오는 침입 이벤트 필드인 Generator(생성기), GID, Message(메시지), SID 및 Snort ID에 대한 정보도 참조하십시오.
규칙 그룹
규칙 그룹의 전체 목록을 나타내는 모달을 표시하기 위해 클릭할 수 있는 비 MITRE 규칙 그룹의 수입니다.
보안 상황(시스템 로그: Context)
트래픽이 통과한 가상 방화벽 그룹을 식별하는 메타데이터입니다. 시스템은 다중 상황 모드의 ASA FirePOWER에 대해서만 이 필드에 내용을 입력합니다.
SID(시스템 로그만 있음)
이벤트를 생성하는 규칙의 서명 ID(Snort ID로도 알려짐).
다음에 나오는 침입 이벤트 필드인 Generator(생성기), GID, Message(메시지), Revision(개정) 및 Snort ID에 대한 정보도 참조하십시오.
Snort ID
이 필드는 검색 전용입니다.
(시스템 로그 필드에서 SID 참조).
검색을 수행하는 경우 이벤트를 생성한 규칙의 Snort ID(SID)를 지정합니다. 또는 선택적으로 규칙의 GID(Generator ID)와 SID 조합을 지정합니다. 여기서 GID와 SID는 GID:SID 형식으로 콜론(:)으로 구분됩니다. 다음 표에서 어떠한 값도 지정할 수
있습니다.
표 2. Snort ID 검색 값
값
|
예
|
단일 SID
|
10000
|
SID 범위
|
10000-11000
|
SID보다 큼
|
>10000
|
SID보다 크거나 같음
|
>=10000
|
SID보다 작음
|
<10000
|
SID보다 작거나 같음
|
<=10000
|
쉼표로 구분된 SID 목록
|
10000,11000,12000
|
단일 GID:SID 조합
|
1:10000
|
쉼표로 구분된 GID:SID 조합의 목록
|
1:10000,1:11000,1:12000
|
쉼표로 구분된 SID 및 GID:SID 조합의 목록
|
10000,1:11000,12000
|
보고 있는 이벤트의 SID가 Message(메시지) 열에 나열됩니다. 자세한 내용은 Message(메시지) 필드에 대한 이 섹션의 설명을 참조하십시오.
소스 대륙
침입 이벤트와 관련된 전송 호스트의 대륙.
소스 국가
침입 이벤트와 관련된 전송 호스트의 국가.
Source Criticality(소스 심각도)
이벤트가 생성될 때의 소스 호스트 심각도(해당 호스트에 대한 호스트 심각도 속성 값).
호스트의 심각도가 변경되어도 이 필드는 업데이트되지 않습니다. 그러나 새 이벤트에는 새로운 심각도 값이 적용됩니다.
소스 포트/ICMP 유형(시스템 로그: SrcPort, ICMPType)
전송 호스트의 포트 번호. ICMP 트래픽에서 포트 번호가 없는 경우 이 필드에 ICMP 유형이 표시됩니다.
소스 사용자(시스템 로그: User)
연결을 시작한 호스트의 IP 주소와 연결된 사용자 이름으로, 익스플로잇의 소스 호스트일 수도 있고 아닐 수도 있습니다. 이 사용자 값은 일반적으로 네트워크의 사용자에게만 알려져 있습니다.
해당하는 경우 사용자 이름 앞에 <realm>\을 입력합니다.
SSL 실제 작업(시스템 로그: SSLActualAction)
Secure Firewall Management Center 웹 인터페이스에서 이 필드는 검색 필드로만 사용됩니다.
시스템이 암호화된 트래픽에 적용하는 작업.
- 차단/차단 및 재설정
-
차단된 암호화된 연결을 나타냅니다.
- 암호 해독(재서명)
-
다시 서명된 서버 인증서를 사용하여 암호 해독된 발신 연결을 나타냅니다.
- 암호 해독(대체 키)
-
대체된 공개 키가 있는 자체 서명된 서버 인증서를 사용하여 암호 해독된 발신 연결을 나타냅니다.
- 암호 해독(알려진 키)
-
알려진 개인 키를 사용하여 암호 해독된 수신 연결을 나타냅니다.
- 기본 작업
-
연결이 기본 작업에 의해 처리되었음을 나타냅니다.
- 암호 해독 안 함
-
시스템이 암호 해독하지 않은 연결을 나타냅니다.
검색 워크플로 페이지의 SSL Status(SSL 상태) 필드에 필드값이 표시됩니다.
SSL 인증서 정보
이 필드는 검색 전용입니다.
트래픽 암호화에 사용하는 공개 키 인증서에 저장된 정보로 다음을 포함합니다.
-
Subject/Issuer Common Name(대상자/발급자 공용 이름)
-
Subject/Issuer Organization(대상자/발급자 기관)
-
Subject/Issuer Organization Unit(대상자/발급자 기관 부서)
-
Not Valid Before/After(유효기간)
-
Serial Number(일련 번호)
-
Certificate Fingerprint(인증서 지문)
-
Public Key Fingerprint(공개 키 지문)
SSL Failure Reason(SSL 실패 이유)
이 필드는 검색 전용입니다.
시스템이 암호화된 트래픽의 암호 해독에 실패한 이유:
-
Unknown(알 수 없음)
-
No Match(일치하지 않음)
-
Success(TLS 필수 성공)
-
Uncached Session(캐시되지 않은 세션)
-
Unknown Cipher Suite(알 수 없는 암호 그룹)
-
Unsupported Cipher Suite(지원되지 않는 암호 그룹)
-
Unsupported SSL Version(지원되지 않는 SSL 버전)
-
SSL Compression Used(SSL 압축 사용됨)
-
Session Undecryptable in Passive Mode(패시브 모드에서 세션 암호 해독 불가)
-
Handshake Error(핸드셰이크 오류)
-
Decryption Error(암호 해독 오류)
-
Pending Server Name Category Lookup(서버 이름 카테고리 조회 보류 중)
-
Pending Common Name Category Lookup(공용 이름 카테고리 조회 보류 중)
-
Internal Error
-
Network Parameters Unavailable(네트워크 파라미터 사용 불가)
-
Invalid Server Certificate Handle(유효하지 않은 서버 인증서 처리)
-
Server Certificate Fingerprint Unavailable(서버 인증서 지문 사용 불가)
-
Cannot Cache Subject DN(대상자 DN 캐시 불가)
-
Cannot Cache Issuer DN(발급자 DN 캐시 발가)
-
Unknown SSL Version(알 수 없는 SSL 버전)
-
External Certificate List Unavailable(외부 인증서 목록 사용 불가)
-
External Certificate Fingerprint Unavailable(외부 인증서 지문 사용 불가)
-
Internal Certificate List Invalid(내부 인증서 목록이 유효하지 않음)
-
Internal Certificate List Unavailable(내부 인증서 목록 사용 불가)
-
Internal Certificate Unavailable(내부 인증서 사용 불가)
-
Internal Certificate Fingerprint Unavailable(내부 인증서 지문 사용 불가)
-
Server Certificate Validation Unavailable(서버 인증서 검증 사용 불가)
-
Server Certificate Validation Failure(서버 인증서 검증 장애)
-
Invalid Action(유효하지 않은 작업)
검색 워크플로 페이지의 SSL Status(SSL 상태) 필드에 필드값이 표시됩니다.
SSL 상태
암호화된 연결을 로깅한 SSL Actual Action(SSL 실제 작업)(해독 규칙, 기본 작업 또는 암호 해독이 불가능한 트래픽 작업)과 관련된 작업.
시스템이 암호화된 연결을 해독하지 못할 경우, 실행된 SSL Actual Action(SSL 실제 작업) (해독 불가능한 트래픽 작업)과 SSL Failure Reason(SSL 실패 이유)가 표시됩니다. 예를 들어, 시스템이 알 수 없는 암호 그룹으로 암호화된 트래픽을 탐지하고 추가 검사 없이 이를 허용할 경우 이 필드는 Do Not Decrypt (Unknown Cipher Suite)(암호 해독 하지 않음(알려지지 않은 암호화 그룹))
로 표시됩니다.
인증서 세부사항을 보려면 잠금 아이콘을 클릭합니다.
이 필드를 검색할 때 SSL Actual Action(SSL 실제 작업) 중 하나 이상과 SSL Failure Reason(SSL 실패 이유)를 입력하고 시스템이 처리했거나 암호 해독에 실패한 암호화된 트래픽을 확인합니다.
SSL Subject/Issuer Country(SSL 대상자/발급자 국가)
이 필드는 검색 전용입니다.
암호화 인증서와 관련된 대상자 또는 발급자 국가의 2자 ISO 3166-1 alpha-2 국가 코드.
시간
이벤트의 날짜 및 시간. 이 필드는 검색할 수 없습니다.
VLAN ID (시스템 로그: VLAN_ID)
침입 이벤트를 트리거한 패킷에 관련된 가장 안쪽의 VLAN ID
웹 애플리케이션(시스템 로그: WebApplication)
침입 이벤트를 트리거한 트래픽에서 탐지된 HTTP 트래픽의 내용 또는 요청된 URL을 나타내는 웹 애플리케이션.
HTTP의 애플리케이션 프로토콜은 탐지하지만 특정 웹 애플리케이션은 탐지하지 못하는 경우 시스템은 그 대신 일반 웹 브라우징 지정을 제공합니다.
웹 애플리케이션 카테고리 및 태그
애플리케이션의 기능을 파악하는 데 도움이 될 수 있도록 애플리케이션의 특성을 분류하는 기준