로그 용량 변경 관리

Security Cloud Control는 변경 로그 정보를 1년 동안 보관하고 1년이 지난 데이터는 삭제합니다.

Security Cloud Control의 데이터베이스에 저장된 변경 로그 정보와 내보낸 변경 로그에 표시되는 변경 로그 정보에는 차이가 있습니다. 자세한 내용은 변경 로그 내보내기를 참조하십시오.

변경 로그 항목

변경 로그 항목은 단일 디바이스 구성의 변경 사항, 디바이스에서 수행된 작업 또는 Security Cloud Control 외부에서 디바이스에 이루어진 변경 사항을 반영합니다.

• 구성 변경 내용이 포함된 변경 로그 항목의 경우 해당 행의 아무 곳이나 클릭하여 변경 내용에 대한 세부 정보를 볼 수 있습니다.

• Security Cloud Control 외부에서 이루어진 대역 외 변경이 충돌로 감지되는 경우 시스템 사용자가 마지막 사용자로 보고됩니다.

• Security Cloud Control의 디바이스 구성이 디바이스의 구성과 동기화된 후 또는 디바이스가 Security Cloud Control에서 제거되면 Security Cloud Control는 변경 로그 항목을 닫습니다. 구성은 디바이스에서 Security Cloud Control로 구성을 읽거나 Security Cloud Control에서 디바이스로 구성을 구축한 후에 동기화된 것으로 간주됩니다.

• Security Cloud Control는 변경의 성공 여부와 관계없이 기존 항목을 완료한 후 즉시 새 변경 로그 항목을 만듭니다. 새 변경 로그 항목이 열리면 추가 구성 변경 사항이 추가됩니다.

• 디바이스에 대한 읽기, 구축 및 삭제 작업에 대한 이벤트가 표시됩니다. 이러한 작업은 디바이스의 변경 로그를 닫습니다.

• (읽기 또는 구축을 통해) Security Cloud Control가 디바이스의 구성과 동기화된 후에 또는 Security Cloud Control가 더 이상 디바이스를 관리하지 않는 경우 변경 로그가 닫힙니다.

• Security Cloud Control 외부에서 디바이스를 변경하면 변경 로그에 "충돌 감지됨" 항목이 포함됩니다.

보류 중 및 완료된 변경 로그 항목

변경 로그의 상태는 보류 중 또는 완료 중 하나입니다. Security Cloud Control를 사용하여 디바이스의 구성을 변경하면 이러한 변경 사항은 보류 중인 변경 로그 항목에 기록됩니다. 다음 활동으로 보류 중인 변경 로그가 완성되고, 그 후에는 향후 변경 사항을 기록하기 위한 새 변경 로그가 만들어집니다.

• 디바이스에서 Security Cloud Control로 구성을 읽기

• Security Cloud Control에서 디바이스로 변경 사항 구축

• Security Cloud Control에서 디바이스 삭제

• 실행 중인 구성 파일을 업데이트하는 CLI 명령 실행

변경 로그 항목 검색 및 필터링

변경 로그 항목을 검색하고 필터링할 수 있습니다. 검색 필드를 사용하여 이벤트를 찾습니다. 필터()를 사용하여 지정한 기준에 맞는 항목을 찾습니다. 변경 로그를 필터링하고 검색 필드에 키워드를 추가하여 필터링된 결과 내에서 항목을 찾는 방식으로 두 작업을 결합할 수도 있습니다.

Security Cloud Control는 FDM 관리 디바이스에서 변경 사항을 감지하면, Configuration Status(구성 상태) 열의 Security Devices(보안 디바이스) 페이지에 Conflict Detected(충돌 감지됨) 상태를 등록합니다. 변경 로그에 이 상태를 기록하지 않습니다.

Security Cloud Control 외부에서 이루어진 구성 변경 사항을 수락하면 Security Cloud Control는 작업을 만들고 인터페이스의 오른쪽 하단 모서리에 작업 처리 상태를 표시합니다. 현재 작업이 완료될 때까지 추가 변경을 하지 않는 것이 좋습니다. 그렇게 하면 변경 내용이 손실될 수 있습니다.

작업이 성공적으로 완료된 후 변경 로그 항목에 대한 "Diff(차이)"를 클릭합니다.

네트워크 운영 데이터 생성

디바이스가 Security Cloud Control에 온보딩된 후에 이벤트 데이터가 자동으로 수집됩니다. 수집되는 데이터는 디바이스 구성에 따라 달라집니다. 모든 FDM 관리 디바이스와 함께 제공되는 라이선스는 네트워크 운영 보고서 내의 모든 옵션을 지원하지 않습니다. 데이터를 수집하려는 디바이스에 대해 다음 구성을 권장합니다.

• Logging(로깅) - 해당 액세스 제어 규칙에서 파일 로깅을 활성화합니다. 자세한 내용은 FDM 액세스 제어 규칙의 로깅 설정을 참조하십시오.

• Malware Events(멀웨어 이벤트) - 멀웨어 스마트 라이선스를 활성화합니다.

• Security Intelligence(보안 인텔리전스) - 스마트 라이선스를 활성화합니다.

• IPS Threats(IPS 위협) - 스마트 라이선스를 활성화합니다.

• Web Categories(웹 범주) - URL 스마트 라이선스를 활성화합니다.

• Files Detected(탐지된 파일) - 스마트 라이선스를 활성화합니다.

스마트 라이선스 및 이러한 라이선스가 제공하는 기능에 대한 자세한 내용은 FDM-관리 디바이스 라이선싱 유형을 참조하십시오.

Note	전체 요약에는 VPN을 통해 발생하는 트래픽이 기본적으로 포함되지 않습니다.

개요

Overview(개요) 탭에는 트리거된 규칙, 위협 및 파일 유형의 시각적 개체가 표시됩니다. 이러한 항목은 숫자로 표시되며, 가장 큰 또는 가장 자주 적중되는 규칙, 이벤트 또는 파일이 먼저 나열됩니다.

멀웨어 이벤트는 탐지되거나 차단된 멀웨어 파일만 나타냅니다. 파일 상태는 변경될 수 있습니다(예: 정상에서 멀웨어로 또는 멀웨어에서 정상으로). 최신 침입 규칙(SRU)으로 디바이스를 최신 상태로 유지하려면 보안 데이터베이스 업데이트를 예약하는 것이 좋습니다.

Top Ten Access Rule Hits(상위 10개 액세스 규칙 적중 횟수)에서는 세 가지 탭 간에 전환하여 패킷을 차단한 상위 10개 규칙 전송, 연결 또는 규칙을 볼 수 있습니다.

네트워크 평가

Network Assessment(네트워크 평가) 탭에서는 웹 사이트 범주 및 탐지된 파일 유형을 다룹니다. 이 표시는 가장 자주 발견되는 상위 10개 범주 및 파일 유형만 캡처합니다. 선택한 시간 범위 외에는 이 탭을 사용하여 특정 웹 범주 또는 파일 유형이 탐지된 시기를 확인할 수 없습니다.

위협

Threats(위협) 탭은 침입 이벤트에 의해 생성된 통계를 표시합니다 - Top Attacker(상위 공격자)는 이벤트의 시작 IP 주소를 캡처하고, Top Targets(상위 대상)는 이벤트의 대상 IP 주소를 캡처하며, Top Threats(상위 위협)는 위협으로 분류된 이벤트 유형을 캡처합니다.

이 탭에는 탐지된 위협 및 멀웨어 유형도 자세히 설명되어 있습니다.

보고서 생성

보고서를 원하는 대로 구성한 후에 보고서의 PDF를 생성할 수 있습니다. 자세한 내용은 보고서 관리를 참조하십시오.

Security Cloud Control에서 작업 검색

Jobs(작업) 페이지에서 다양한 작업, 작업을 수행한 사용자 및 작업 상태를 기준으로 필터링하고 검색할 수 있습니다.

디바이스 워크플로우 내보내기

전체 워크플로우 정보를 JSON 파일로 다운로드하고 TAC 팀에서 추가 분석을 요청할 때 제공할 수 있습니다. 워크플로우 정보를 내보내려면 해당 디바이스를 선택하고 해당 워크플로우 페이지로 이동하여 오른쪽 상단에 나타나는 내보내기() 아이콘을 클릭합니다.

스택 추적 복사

해결할 수 없는 오류가 발생하여 TAC에 문의하면 스택 추적 사본을 요청할 수 있습니다. 오류에 대한 스택 추적을 수집하려면 Stack Trace(스택 추적) 링크를 클릭하고 Copy Stacktrace(스택 추적 복사)를 클릭하여 화면에 나타나는 스택을 클립보드로 복사합니다.