일반 설정은 시스템이 네트워크 맵을 업데이트하는 빈도 및 검색 중 서버 배너의 캡처 여부를 제어합니다.

배너 캡처

시스템이 서버 벤더 및 버전("배너")을 광고하는 네트워크 트래픽에서 헤더 정보를 저장하도록 하려면 이 확인란을 선택합니다. 이 정보는 수집하는 정보에 추가 콘텍스트를 제공할 수 있습니다. 서버 상세정보에 액세스하여 호스트에 대해 수집된 서버 배너에 액세스할 수 있습니다.

업데이트 간격

호스트의 IP 주소 중 하나가 마지막으로 표시된 시간, 애플리케이션이 사용된 시간 또는 애플리케이션의 히트 수 등의 정보를 시스템이 업데이트하는 간격입니다. 기본 설정은 3,600초(1시간)입니다.

업데이트 시간 초과의 간격을 더 낮게 설정하면 호스트 표시에 더 정확한 정보가 제공되지만, 네트워크 이벤트가 더 많이 생성됩니다.

시스템은 운영체제와 서버에 대한 핑거프린트를 트래픽 내 패턴과 일치시켜, 호스트에서 실행 중인 운영체게와 애플리케이션을 확인합니다. 가장 신뢰할 수 있는 운영체제 및 서버 ID 정보를 제공하기 위해 시스템은 여러 소스에서 온 핑거프린트 정보를 맞춰봅니다.

시스템은 운영체제 ID를 도출하고 신뢰도 값을 할당하기 위해 모든 수동 데이터를 사용합니다.

기본적으로 ID 충돌이 없으면, 스캐너 또는 서드파티 애플리케이션에 의해 추가된 ID 데이터가 Firepower System에 의해 탐지된 ID 데이터를 재정의합니다. 우선순위별로 스캐너 및 서드파티 애플리케이션 핑거프린트 소스의 순위를 매기려면 Identity Sources 설정을 사용할 수 있습니다. 시스템은 각 소스에 대해 하나의 ID를 보유하지만, 우선순위가 가장 높은 서드파티 애플리케이션 또는 스캐너 소스의 데이터만 현재 ID로 사용됩니다. 그러나 우선순위와 상관없이 사용자 입력 데이터가 스캐너 및 서드파티 애플리케이션 데이터를 재정의한다는 점에 유의하십시오.

시스템이 Identity Sources 설정에 나열된 활성 스캐너나 서드파티 애플리케이션 소스 또는 Firepower System 사용자에게서 온 기존 ID와 충돌하는 ID를 탐지하면 ID 충돌이 발생합니다. 기본적으로 ID 충돌은 자동으로 해결되지 않으므로, 호스트 프로파일을 통해 또는 호스트를 다시 스캔하거나 새 ID 데이터를 다시 추가하여 수동 ID를 재정의함으로써 충돌을 해결해야 합니다. 하지만 수동 ID나 활성를 유지하여 충돌을 자동으로 해결하도록 시스템을 설정할 수 있습니다.

ID 충돌 이벤트 생성

ID 충돌이 발생할 때 시스템의 이벤트 생성 여부를 지정합니다.

충돌 자동 해결

Automatically Resolve Conflicts(충돌 자동 해결) 드롭다운 목록에서 다음 중 하나를 선택합니다.

• Disabled(비활성) - ID 충돌의 수동 충돌 해결을 강제 실행하려는 경우

• Identity(ID) - ID 충돌 발생 시 시스템이 수동 핑거프린트를 사용하게 하려는 경우

• Keep Active(활성 상태 유지) - ID 충돌 발생 시 시스템이 우선순위가 가장 높은 활성 소스의 현재 ID를 사용하게 하려는 경우

시스템에서 침입 이벤트로 영향 상관관계를 수행하는 방법을 구성할 수 있습니다. 선택 항목은 다음과 같습니다.

• 시스템 기반 취약성 정보를 사용하여 영향 상관관계를 수행하려면 Use Network Discovery Vulnerability Mappings(네트워크 검색 취약성 매핑 사용) 확인란을 선택합니다.

• 서드파티 취약성 참조를 사용하여 영향 상관관계를 수행하려면 Use Third-Party Vulnerability Mappings(서드파티 취약성 매핑 사용) 확인란을 선택합니다. 자세한 내용은 Firepower System Host Input API 설명서을 참조하십시오.

확인란 하나 또는 둘 다를 선택할 수 있습니다. 시스템이 침입 이벤트를 생성하며 선택한 취약성 매핑 집합의 취약성과 함께 이벤트 관련 호스트에 서버나 운영체제가 있는 경우, 침입 이벤트는 Vulnerable (level 1: red) 영향 아이콘으로 표시됩니다. 벤더 또는 버전 정보가 없는 서버의 경우 management center 설정에서 취약성 매핑을 활성화해야 합니다.

두 확인란을 모두 선택 취소한 경우 침입 이벤트는 Vulnerable (level 1: red) 영향 아이콘으로 표시되지 않습니다.

검색 데이터 저장소 설정에는 호스트 제한 및 시간 초과 설정을 포함합니다.

호스트 제한 도달 시

Secure Firewall Management Center가 모니터링할 수 있는 호스트, 즉 네트워크 맵에 저장할 수 있는 호스트 수는 모델에 따라 다릅니다. 호스트 제한 시 옵션은 호스트 제한에 도달했을 때 새 호스트를 탐지하는 경우의 동작을 제어합니다. 다음 작업을 수행할 수 있습니다.

호스트 제거

시스템은 오랫동안 비활성 상태인 호스트를 제거하고 새 호스트를 추가합니다. 이 설정이 기본 설정입니다.

새 호스트 추가 금지

시스템에서 새로 검색된 모든 호스트를 추적하지 않습니다. 시스템은 관리자가 도메인의 호스트 제한을 늘리거나 네트워크 맵에서 수동으로 호스트를 삭제하는 경우, 또는 시스템이 비활성화되어 시간 제한을 초과한 호스트를 식별하여 호스트가 제한 수 이하가 되면 새 호스트를 추적합니다.

호스트 시간 초과

시스템이 비활성화 상태의 호스트를 네트워크 맵에서 삭제하기까지의 경과 시간(분 단위). 기본 설정은 10080분(1주일)입니다. 개별 호스트 IP 및 MAC 주소는 개별적으로 시간이 초과되지만 호스트는 관련된 모든 주소가 시간 초과되기 전에는 네트워크 맵에서 사라지지 않습니다.

호스트의 조기 시간 초과를 방지하려면 호스트의 시간 제한 값이 네트워크 검색 정책 일반 설정의 업데이트 간격보다 긴지 확인합니다.

서버 시간 초과

시스템이 비활성화 상태의 서버를 네트워크 맵에서 삭제하기까지의 경과 시간(분 단위). 기본 설정은 10080분(1주일)입니다.

서버의 조기 시간 초과를 방지하려면 서비스의 시간 제한 값이 네트워크 검색 정책 일반 설정의 업데이트 간격보다 긴지 확인합니다.

클라이언트 애플리케이션 시간 초과

시스템이 비활성화 상태의 클라이언트를 네트워크 맵에서 삭제하기까지의 경과 시간(분 단위). 기본 설정은 10080분(1주일)입니다.

클라이언트의 조기 시간 초과를 방지하려면 클라이언트의 시간 제한 값이 네트워크 검색 정책 일반 설정의 업데이트 간격보다 긴지 확인합니다.