워크플로를 사용하여 확인 및 검색할 수 있는 파일 및 악성코드 이벤트는 이 섹션에서 열거하는 필드를 포함합니다. 개별 이벤트에 사용 가능한 정보는 정보 생성 방법과 이유에 따라 달라질 수 있습니다.
참고
|
악성코드 대응 에 의해 악성코드로 식별된 파일은 파일 이벤트와 악성코드 이벤트를 모두 생성합니다. Secure Endpoint가 생성한 악성코드 이벤트에는 대응하는 파일 이벤트가 없으며, 파일 이벤트는 Secure Endpoint 관련 필드를 포함하지 않습니다.
|
시스템 로그 메시지는 초기 값으로 채워지며, management center 웹 인터페이스의 해당 필드가 회고 판정 등으로 업데이트되더라도 시스템 로그 메시지는 업데이트되지 않습니다.
작업(시스템 로그: FileAction)
파일을 탐지한 파일 정책 규칙과 연결된 작업 및 관련된 모든 파일 규칙 작업 옵션
AMP 클라우드
AMP for Endpoints 이벤트 출처인 AMP 클라우드의 이름.
애플리케이션 파일 이름
AMP for Endpoints 탐지가 발생했을 때 악성코드 파일에 액세스하는 클라이언트 애플리케이션. 이러한 애플리케이션은 네트워크 검색 또는 애플리케이션 제어에 연결되지 않습니다.
애플리케이션 파일 SHA256
탐지가 발생했을 때 AMP for Endpoints를 탐지 또는 격리하는 파일에 액세스한 상위 파일의 SHA-256 해시 값.
통합 이벤트 뷰어에서 이 필드는 Application File SHA-256(애플리케이션 파일 SHA-256)으로 표시됩니다.
애플리케이션 프로토콜(시스템 로그: ApplicationProtocol)
매니지드 디바이스가 파일을 탐지한 트래픽에 의해 사용되는 애플리케이션 프로토콜.
애플리케이션 프로토콜 카테고리 또는 태그
애플리케이션의 기능을 파악하도록 애플리케이션의 특성을 분류하는 기준.
애플리케이션 위험성
연결에서 탐지된 애플리케이션 트래픽과 관련된 위험성으로, 매우 높음, 높음, 중간, 낮음, 매우 낮음이 있습니다. 연결에서 탐지된 웹 애플리케이션의 각 유형에는 관련된 위험이 있습니다. 이 필드에는 그중 가장 높은 위험이
표시됩니다.
아카이브 깊이(시스템 로그: ArchiveDepth)
아카이브 파일에 중첩되는 파일의 레벨(해당되는 경우).
아카이브 이름(시스템 로그: ArchiveFileName)
악성코드 파일을 포함하는 아카이브 파일의 이름(해당되는 경우).
아카이브 파일의 내용을 보려면 Analysis(분석) > Files(파일)에 있는 아카이브 파일 목록 표로 이동하고 아카이브 파일의 테이블 행을 마우스 오른쪽 단추로 클릭한 다음 View Archive Contents(아카이브 내용 보기)를 클릭합니다.
아카이브 SHA256(시스템 로그: ArchiveSHA256)
악성코드 파일을 포함하는 아카이브 파일(해당되는 경우)의 SHA-256 해시 값.
아카이브 파일의 내용을 보려면 Analysis(분석) > Files(파일)에 있는 아카이브 파일 목록 표로 이동하고 아카이브 파일의 테이블 행을 마우스 오른쪽 단추로 클릭한 다음 View Archive Contents(아카이브 내용 보기)를 클릭합니다.
ArchiveFileStatus(시스템 로그만 있음)
검사 중인 아카이브의 상태. 다음과 같은 값을 사용할 수 있습니다.
-
Pending(보류 중) - 아카이브를 검사하는 중
-
Extracted(추출됨) - 문제없이 검사함
-
Failed(장애 발생함) - 시스템 자원이 부족하여 검사하지 못함
-
Depth Exceeded(수준 초과됨) - 검사는 성공했으나 아카이브에서 중첩 검사 수준이 초과됨
-
Encrypted(암호화됨) - 검사가 일부분 성공함(아카이브가 암호화된 아카이브이거나 암호화된 아카이브를 포함함)
-
Not Inspectable(검사 불가) - 검사가 일부분 성공함(파일이 손상되었거나 형식이 잘못되었을 수 있음)
사업 타당성
연결에서 탐지된 애플리케이션 트래픽과 연계된 사업 타당성으로, 매우 높음, 높음, 중간, 낮음, 매우 낮음이 있습니다. 연결에서 탐지된 각 애플리케이션 유형에는 관련된 사업 타당성이 있습니다. 이 필드에는 그중 가장 낮은
값(가장 연관성이 적음)이 표시됩니다.
카테고리/파일 유형 카테고리
파일 유형의 일반적인 범주(예: Office 문서, 아카이브, 멀티미디어, 실행 파일, PDF 파일, 인코딩, 그래픽 또는 시스템 파일 등)
클라이언트(시스템 로그: Client)
한 호스트에서 실행되며 서버에 의존하여 파일을 전송하는 클라이언트 애플리케이션.
클라이언트 카테고리 또는 태그
애플리케이션의 기능을 파악하도록 애플리케이션의 특성을 분류하는 기준.
Connection Counter (시스템 로그만 해당)
다른 동시 연결에서 하나의 연결을 구분하는 카운터입니다. 이 필드 자체에는 중요한 의미가 없습니다.
다음 필드는 특정 파일 또는 악성코드 이벤트(DeviceUUID, 첫 번째 패킷 시간, 연결 인스턴스 ID, 연결 카운터)와 관련된 연결 이벤트를 종합적으로 개별 식별합니다.
Connection Instance ID (시스템 로그만 해당)
연결 이벤트를 처리한 Snort 인스턴스입니다. 이 필드 자체에는 중요한 의미가 없습니다.
다음 필드는 특정 파일 또는 악성코드 이벤트(DeviceUUID, 첫 번째 패킷 시간, 연결 인스턴스 ID, 연결 카운터)와 관련된 연결 이벤트를 종합적으로 개별 식별합니다.
개수
동일한 행을 둘 이상 생성하는 제약 조건을 적용하는 경우, 각 행의 정보와 일치하는 이벤트의 수.
탐지기
악성코드를 식별하는 AMP for Endpoints 탐지기(예: ClamAV, Spero 또는 SHA).
디바이스
파일 이벤트 및 Firepower 디바이스에 의해 생성된 악성코드 이벤트에서 파일을 탐지한 디바이스의 이름.
AMP for Endpoints에 의해 생성된 악성코드 이벤트 및 AMP 클라우드에 의해 생성된 회귀적 악성코드 이벤트에서 management center의 이름.
DeviceUUID (시스템 로그만 해당)
이벤트를 생성한 Firepower 디바이스의 고유 식별자입니다.
다음 필드는 특정 파일 또는 악성코드 이벤트(DeviceUUID, 첫 번째 패킷 시간, 연결 인스턴스 ID, 연결 카운터)와 관련된 연결 이벤트를 종합적으로 개별 식별합니다.
속성/파일 속성(시스템 로그: SHA_Disposition)
파일의 속성:
- Malware(악성코드)
-
AMP 클라우드가 파일을 악성코드로 분류했거나, 로컬 악성코드 분석에서 악성코드가 식별되었거나, 파일의 위협 점수가 파일 정책에서 정의된 악성코드 임계값을 초과했음을 나타냅니다.
- 정상
-
AMP 클라우드가 파일을 정상으로 분류했거나, 사용자가 파일을 정상 목록에 추가했음을 나타냅니다. 정상 파일은 정상으로 변경된 경우에만 악성코드 테이블에 나타납니다.
- 알 수 없음
-
시스템이 AMP 클라우드를 쿼리했으나 파일에 상태가 할당되지 않았음을 나타냅니다. 즉, AMP 클라우드에서 파일을 분류하지 않았습니다.
- 맞춤형 탐지
-
사용자가 파일을 커스텀 탐지 목록에 추가했음을 나타냅니다.
- 사용 불가능
-
시스템이 AMP 클라우드를 쿼리하지 못했음을 나타냅니다. 이 속성을 통해 이벤트의 일부를 확인할 수 있습니다. 이는 예상된 작업입니다.
- 해당 없음
-
파일 탐지 또는 파일 차단 규칙이 파일을 처리했으며 Secure Firewall Management Center이 AMP 클라우드를 쿼리하지 않았음을 나타냅니다.
파일 속성은 시스템이 AMP 클라우드를 쿼리하지 않은 파일에 대해서만 표시됩니다.
시스템 로그는 초기 속성만 반영합니다. 회귀적 판정을 반영하도록 업데이트 되지 않습니다.
도메인
파일 이벤트 및 Firepower 디바이스에 의해 생성된 악성코드 이벤트에서 파일을 탐지한 디바이스의 도메인. AMP for Endpoints에 의해 생성된 악성코드 이벤트 및 AMP 클라우드에 의해 생성된 회귀적 악성코드
이벤트에서 해당 이벤트를 보고한 AMP 클라우드 연결과 관련된 도메인.
이 필드는 management center에 멀티테넌시를 구성한 경우에만 표시됩니다.
DstIP(시스템 로그만 있음)
연결에 응답한 호스트의 IP 주소. FileDirection 필드 값에 따라 파일 발신자나 수신자의 IP 주소일 수 있습니다.
FileDirection이 Upload(업로드)인 경우 파일 수신자의 IP 주소입니다.
FileDirection이 Download(다운로드)인 경우 파일 발신자의 IP 주소입니다.
SrcIP도 참조하십시오.
이니시에이터/응답자, 소스/대상, 그리고 발신자/수신자 필드 지침도 참조하십시오.
DstPort(시스템 로그만 있음)
DstIP아래 설명된 연결에 사용되는 포트.
이그레스 가상 라우터
가상 라우팅을 사용하는 네트워크에서 트래픽이 네트워크에서 벗어날 때 사용하는 가상 라우터의 이름입니다.
이벤트 하위 유형
악성코드 탐지로 이어진 AMP for Endpoints 작업(예: Create(생성), Execute(실행), Move(이동) 또는 Scan(스캔)).
파일 이름(시스템 로그: FileName)
파일의 이름
파일 경로
AMP for Endpoints에 의해 탐지된 악성코드 파일의 파일 경로(파일 이름 제외).
파일 정책(시스템 로그: FilePolicy)
파일을 탐지한 파일 정책.
파일 스토리지/저장됨(시스템 로그: FileStorageStatus)
이벤트와 관련 된 파일의 저장 상태:
- Stored(저장됨)
-
관련된 파일이 현재 저장되어 있는 모든 이벤트를 반환합니다.
- Stored in connection(연결에 저장됨)
-
관련된 파일이 현재 저장되어 있는지와 상관없이, 시스템이 관련된 파일을 캡처 및 저장한 모든 이벤트를 반환합니다.
- Failed(TLS 필수 실패)
-
시스템이 관련된 파일을 저장하지 못한 모든 이벤트를 반환합니다.
시스템 로그 필드는 초기 상태만 포함합니다. 변경된 상태를 반영하도록 업데이트되지 않습니다.
File Timestamp(파일 타임스탬프)
AMP for Endpoints가 악성코드 파일이 생성된 것으로 탐지한 시간 및 날짜.
FileDirection(시스템 로그만 있음)
연결 중 파일이 업로드되거나 다운로드되었는지 여부. 가능한 값은 다음과 같습니다.
FileSandboxStatus(시스템 로그만 있음)
동적 분석을 위해 파일이 전송되었는지 여부와 그러한 경우 해당 상태를 나타냅니다.
첫 번째 패킷 시간 (시스템 로그만 해당)
시스템이 첫 번째 패킷을 수신한 시간입니다.
다음 필드는 특정 파일 또는 악성코드 이벤트(DeviceUUID, 첫 번째 패킷 시간, 연결 인스턴스 ID, 연결 카운터)와 관련된 연결 이벤트를 종합적으로 개별 식별합니다.
FirstPacketSecond(시스템 로그만 있음)
파일 다운로드 또는 업로드 플로우가 시작된 시간으로, .
이벤트가 발생한 시간이 메시지 헤더 타임스탬프에 캡처됩니다.
HTTP 응답 코드
파일이 전송된 경우 클라이언트의 HTTP 요청에 대한 응답으로 제출된 HTTP 상태 코드.
인그레스 가상 라우터
가상 라우팅을 사용하는 네트워크에서 트래픽이 네트워크에 진입할 때 사용하는 가상 라우터의 이름입니다.
IOC
악성코드 이벤트가 연결과 관련된 호스트에 대해 IOC(indication of compromise)를 트리거했는지 여부. AMP for Endpoints 데이터 IOC 규칙을 트리거하는 경우, 전체 악성코드 이벤트가 AMP
IOC 유형으로 생성됩니다.
메시지
악성코드 이벤트와 연결된 추가 정보. 파일 이벤트 및 Firepower 디바이스에 의해 생성된 악성코드 이벤트의 경우, 이 필드는 속성이 변경되어 관련 회귀적 이벤트가 있는 파일에 대해서만 입력됩니다.
MITRE
클릭하여 해당 계층 내에서 MITRE 전략 및 기술의 전체 목록을 나타내는 모달을 표시할 수 있는 기술의 수입니다.
Protocol(시스템 로그만 있음)
연결에 사용된 프로토콜(예: TCP 또는 UDP).
Receiving Continent(수신 대륙)
파일을 수신하는 호스트의 대륙.
Receiving Country(수신 국가)
파일을 수신하는 호스트의 국가.
수신 IP
management center 웹 인터페이스에서 파일 이벤트 및 Firepower 디바이스에 의해 생성된 악성코드 이벤트에 대해 파일을 수신하는 호스트의 IP 주소. 이니시에이터/응답자, 소스/대상, 그리고 발신자/수신자 필드 지침도 참조하십시오.
AMP for Endpoints에 의해 생성된 악성코드 이벤트에서 커넥터가 이벤트를 보고한 엔드포인트의 IP 주소.
시스템 로그에 해당하는 항목(Firepower 디바이스에서 생성된 이벤트만 해당)은 DstIP 및 SrcIP를 참조하십시오.
수신 포트
management center 웹 인터페이스에서 파일이 탐지된 트래픽에 의해 사용된 대상 포트.
시스템 로그 해당 정보는 DstIP, SrcIP, DstPort, SrcPort를 참조하십시오.
보안 상황(시스템 로그: Context)
트래픽이 통과한 가상 방화벽 그룹을 식별하는 메타데이터입니다. 다중 상황 모드에서 실행되는 ASA FirePOWER 디바이스를 최소한 한 개 관리하는 경우 시스템에 이 필드만 표시됩니다.
Sending Continent(송신 대륙)
파일을 전송하는 호스트의 대륙.
Sending Country(송신 국가)
파일을 전송하는 호스트의 국가.
송신 포트
management center 웹 인터페이스에서 파일이 탐지된 트래픽에 의해 사용된 소스 포트.
시스템 로그 해당 정보는 DstIP, SrcIP, DstPort, SrcPort를 참조하십시오.
SHA256/파일 SHA256(시스템 로그: FileSHA256)
파일의 SHA-256 해시 값
SHA256 값을 생성하려면 다음 중 하나를 통해 파일을 처리해야 합니다.
-
Store files(파일 저장)가 활성화된 Detect Files(파일 탐지) 파일 규칙
-
Store files(파일 저장)가 활성화된 Block Files(파일 차단) 파일 규칙
-
Malware Cloud Lookup file(악성코드 클라우드 검색) 파일 규칙
-
Block Malware file(악성코드 차단) 파일 규칙
-
AMP for Endpoints
이 열에는 가장 최근에 탐지된 파일 이벤트 및 파일 속성을 나타내고 네트워크 파일 경로로 링크되는 네트워크 파일 경로 아이콘도 표시됩니다.
크기(KB)/파일 크기(KB)(시스템 로그: FileSize)
management center 웹 인터페이스에서 킬로바이트 단위의 파일 크기.
시스템 로그 메시지에서 바이트 단위의 파일 크기.
파일을 완전히 수신하기 전에 시스템에서 파일 유형을 결정하는 경우, 파일 크기가 계산되지 않을 수 있습니다. 그러한 경우 이 필드는 공란입니다.
SperoDisposition(시스템 로그만 있음)
파일 분석에 SPERO 서명이 사용되었는지를 나타냅니다. 가능한 값은 다음과 같습니다.
-
파일에서 수행되는 Spero 탐지
-
파일에서 수행되지 않는 Spero 탐지.
SrcIP(시스템 로그만 있음)
연결을 시작한 호스트의 IP 주소. FileDirection 필드 값에 따라 파일 발신자나 수신자의 IP 주소일 수 있습니다.
FileDirection이 Upload(업로드)인 경우 파일 발신자의 IP 주소입니다.
FileDirection이 Download(다운로드)인 경우 파일 수신자의 IP 주소입니다.
DstIP도 참조하십시오.
이니시에이터/응답자, 소스/대상, 그리고 발신자/수신자 필드 지침도 참조하십시오.
SrcPort(시스템 로그만 있음)
SrcIP아래 설명된 연결에 사용되는 포트.
SSL 실제 작업(시스템 로그: SSLActualAction)
시스템이 암호화된 트래픽에 적용하는 작업.
- Block or Block with reset(차단 또는 차단 후 재설정)
-
차단된 암호화된 연결을 나타냅니다.
- 암호 해독(재서명)
-
다시 서명된 서버 인증서를 사용하여 암호 해독된 발신 연결을 나타냅니다.
- 암호 해독(대체 키)
-
대체된 공개 키가 있는 자체 서명된 서버 인증서를 사용하여 암호 해독된 발신 연결을 나타냅니다.
- 암호 해독(알려진 키)
-
알려진 개인 키를 사용하여 암호 해독된 수신 연결을 나타냅니다.
- 기본 작업
-
연결이 기본 작업에 의해 처리되었음을 나타냅니다.
- 암호 해독 안 함
-
시스템이 암호 해독하지 않은 연결을 나타냅니다.
검색 워크플로 페이지의 SSL Status(SSL 상태) 필드에 필드값이 표시됩니다.
SSL 인증서 정보
트래픽 암호화에 사용하는 공개 키 인증서에 저장된 정보로 다음을 포함합니다.
-
Subject/Issuer Common Name(대상자/발급자 공용 이름)
-
Subject/Issuer Organization(대상자/발급자 기관)
-
Subject/Issuer Organization Unit(대상자/발급자 기관 부서)
-
Not Valid Before/After(유효기간)
-
Serial Number, Certificate Fingerprint(일련 번호, 인증서 지문)
-
Public Key Fingerprint(공개 키 지문)
시스템 로그는 SSLCertificate를 참조하십시오.
SSL 실패 이유(시스템 로그: SSLFlowStatus)
시스템이 암호화된 트래픽의 암호 해독에 실패한 이유:
-
Unknown(알 수 없음)
-
No Match(일치하지 않음)
-
Success(TLS 필수 성공)
-
Uncached Session(캐시되지 않은 세션)
-
Unknown Cipher Suite(알 수 없는 암호 그룹)
-
Unsupported Cipher Suite(지원되지 않는 암호 그룹)
-
Unsupported SSL Version(지원되지 않는 SSL 버전)
-
SSL Compression Used(SSL 압축 사용됨)
-
Session Undecryptable in Passive Mode(패시브 모드에서 세션 암호 해독 불가)
-
Handshake Error(핸드셰이크 오류)
-
Decryption Error(암호 해독 오류)
-
Pending Server Name Category Lookup(서버 이름 카테고리 조회 보류 중)
-
Pending Common Name Category Lookup(공용 이름 카테고리 조회 보류 중)
-
Internal Error
-
Network Parameters Unavailable(네트워크 파라미터 사용 불가)
-
Invalid Server Certificate Handle(유효하지 않은 서버 인증서 처리)
-
Server Certificate Fingerprint Unavailable(서버 인증서 지문 사용 불가)
-
Cannot Cache Subject DN(대상자 DN 캐시 불가)
-
Cannot Cache Issuer DN(발급자 DN 캐시 발가)
-
Unknown SSL Version(알 수 없는 SSL 버전)
-
External Certificate List Unavailable(외부 인증서 목록 사용 불가)
-
External Certificate Fingerprint Unavailable(외부 인증서 지문 사용 불가)
-
Internal Certificate List Invalid(내부 인증서 목록이 유효하지 않음)
-
Internal Certificate List Unavailable(내부 인증서 목록 사용 불가)
-
Internal Certificate Unavailable(내부 인증서 사용 불가)
-
Internal Certificate Fingerprint Unavailable(내부 인증서 지문 사용 불가)
-
Server Certificate Validation Unavailable(서버 인증서 검증 사용 불가)
-
Server Certificate Validation Failure(서버 인증서 검증 장애)
-
Invalid Action(유효하지 않은 작업)
검색 워크플로 페이지의 SSL Status(SSL 상태) 필드에 필드값이 표시됩니다.
SSL 상태
암호화된 연결을 로깅한 SSL Actual Action(SSL 실제 작업)(해독 규칙, 기본 작업 또는 암호 해독이 불가능한 트래픽 작업)과 관련된 작업. 잠금 아이콘이 TLS/SSL 인증서 세부 사항으로 연결됩니다. 인증서를 사용할 수 없는 경우(예: TLS/SSL 핸드셰이크 오류로 연결 차단), 잠금 아이콘이 흐리게 표시됩니다.
시스템이 암호화된 연결을 해독하지 못할 경우, 실행된 SSL Actual Action(SSL 실제 작업) (해독 불가능한 트래픽 작업)과 SSL Failure Reason(SSL 실패 이유)가 표시됩니다. 예를 들어, 시스템이 알 수 없는 암호 그룹으로 암호화된 트래픽을 탐지하고 추가 검사 없이 이를 허용할 경우 이 필드는 Do Not Decrypt (Unknown Cipher Suite)(암호 해독 하지 않음(알려지지 않은 암호화 그룹))로 표시됩니다.
이 필드를 검색할 때 SSL Actual Action(SSL 실제 작업) 중 하나 이상과 SSL Failure Reason(SSL 실패 이유)를 입력하고 시스템이 처리했거나 암호 해독에 실패한 암호화된 트래픽을 확인합니다.
SSL 대상자/발급자 국가
암호화 인증서와 관련된 대상자 또는 발급자 국가의 2자 ISO 3166-1 alpha-2 국가 코드.
SSLCertificate(시스템 로그만 있음)
TLS/SSL 서버의 인증서 지문.
위협 이름(시스템 로그: ThreatName)
탐지된 악성코드의 이름.
위협 점수(시스템 로그: ThreatScore)
이 파일과 가장 최근에 연결된 위협 점수. 동적 분석 과정에서 관찰된 잠재적으로 악의적인 동작을 기준으로 한 0부터 100까지의 값입니다.
위협 점수 아이콘이 Dynamic Analysis Summary(동적 분석 요약) 보고서로 링크됩니다.
시간
이벤트가 생성된 날짜 및 시간 이 필드는 검색할 수 없습니다.
시스템 로그 메시지에서 FirstPacketSecond를 참조하십시오.
유형/파일 유형(시스템 로그: FileType)
HTML 또는 MSEXE 등의 파일 형식
URI/파일 URI(시스템 로그: URI)
파일 트랜잭션과 관련된 연결의 URI(예: 사용자가 파일을 다운로드하는 URL).
사용자(시스템 로그: User)
연결을 시작한 IP 주소에 연결된 사용자 이름입니다. 이 IP 주소가 네트워크 외부에 있는 경우, 일반적으로 연결된 사용자 이름을 알 수 없습니다.
해당하는 경우 사용자 이름 앞에 <realm>\을 입력합니다.
파일 이벤트 및 Firepower 디바이스에 의해 생성된 악성코드 이벤트의 경우, 이 필드에는 ID 정책 또는 권한 있는 로그인에 의해 결정된 사용자 이름이 표시됩니다. ID 정책이 없는 경우, No Authentication
Required(인증 필요 없음)가 표시됩니다.
AMP for Endpoints에 의해 생성된 악성코드 이벤트에서 AMP for Endpoints가 사용자 이름을 결정합니다. 이러한 사용자는 사용자 검색 또는 제어에 연결할 수 없습니다. 이러한 사용자는 Users(사용자) 테이블에 나타나지 않으며 세부 사항도 확인할 수 없습니다.
웹 애플리케이션(시스템 로그: WebApplication)
연결에서 탐지된 HTTP 트래픽의 콘텐츠 또는 요청된 URL을 나타내는 웹 애플리케이.
웹 애플리케이션 카테고리 또는 태그
애플리케이션의 기능을 파악하는 데 도움이 될 수 있도록 애플리케이션의 특성을 분류하는 기준
)
)
)
피드백