- 액세스 제어 정책(시스템 로그: ACPolicy)
-
연결을 모니터링하는 액세스 제어 정책.
- 액세스 제어 규칙(시스템 로그: AccessControlRuleName)
-
연결을 처리한 액세스 제어 규칙 또는 기본 작업이자, 해당 연결과 일치한 최대 8개의 Monitor(모니터링) 규칙.
연결이 하나의 Monitor(모니터링) 규칙과 매칭될 경우, Firepower Management Center에는 연결을 처리한 규칙의 이름이 표시되며 그 뒤에 Monitor(모니터링) 규칙 이름이 표시됩니다. 연결에 하나 이상의 Monitor(모니터링) 규칙과 매칭될 경우, 매칭되는 Monitor(모니터링) 규칙 수가 표시되며
Default Action + 2 Monitor Rules(기본 작업 + 2개 모니터링 규칙)가 그러한 예입니다.
팝업 창에 연결과 매칭되는 처음 8개 Monitor(모니터링) 규칙 목록을 표시하려면 N(개수) Monitor Rules(모니터링 규칙)를 클릭합니다.
- 작업(시스템 로그: AccessControlRuleAction)
-
연결을 로깅한 구성과 관련된 작업.
보안 인텔리전스로 모니터링된 연결의 경우, 작업은 연결에 의해 트리거되는 첫 번째 비 Monitor 액세스 제어 규칙 또는 기본 작업입니다. 이와 마찬가지로, Monitor(모니터링) 규칙과 매칭되는 트래픽은 항상 후속
규칙 또는 기본 규칙에 의해 처리되므로 Monitor(모니터링) 규칙에 의해 로깅된 연결과 관련된 작업은 Monitor(모니터링)가 될 수 없습니다. 그러나 Monitor(모니터링) 규칙과 매칭되는 연결에서 상관관계 정책
위반을 트리거할 수 있습니다.
작업
|
설명
|
허용
|
액세스 제어에 의해 명시적으로 허용되거나 사용자가 인터랙티브 차단을 우회했기 때문에 허용된 연결.
|
차단, 차단 후 재설정
|
차단된 연결. 예:
시스템이 침입 또는 파일을 차단하는 연결의 경우, 액세스 제어 Allow(허용) 규칙을 사용하여 심층 검사를 호출하더라도 시스템에 Block(차단)이 표시됩니다.
|
Interactive Block, Interactive Block with reset(인터랙티브 차단, 인터랙티브 차단 후 재설정)
|
시스템이 Interactive Block(인터랙티브 차단) 규칙을 사용해 사용자의 HTTP 요청을 초기에 차단하는 경우 로깅된 연결. 사용자가 시스템에 표시된 경고 페이지를 클릭할 경우, 해당 세션에 로깅된 추가 연결에는
Allow(허용) 작업이 포함됩니다.
|
신뢰
|
액세스 제어에서 신뢰하는 연결. 시스템은 기기 모델에 따라 신뢰하는 TCP 연결을 다르게 기록합니다.
|
기본 작업
|
액세스 제어 정책 기본 작업에서 처리한 연결
|
(Blank/empty)
|
규칙과 일치하기에 충분한 패킷이 전달되기 전에 연결이 종료되었습니다.
이는 침입 방지 등의 액세스 제어 이외의 기능으로 인해 연결이 로깅되는 경우에만 발생할 수 있습니다.
|
- 애플리케이션 프로토콜(시스템 로그: ApplicationProtocol)
-
Firepower Management Center 웹 인터페이스에서 이 값은 요약과 그래프를 제한합니다.
호스트 간 통신을 나타내며 연결에서 탐지되는 애플리케이션 프로토콜
- 애플리케이션 프로토콜 카테고리 및 태그
-
애플리케이션의 기능을 파악하는 데 도움이 될 수 있도록 애플리케이션의 특성을 분류하는 기준
- 애플리케이션 위험성
-
연결에서 탐지된 애플리케이션 트래픽과 관련된 위험성으로, 매우 높음, 높음, 중간, 낮음, 매우 낮음이 있습니다. 연결에서 탐지된 웹 애플리케이션의 각 유형에는 관련된 위험이 있습니다. 이 필드에는 그중 가장 높은 위험이
표시됩니다.
- 사업 타당성
-
연결에서 탐지된 애플리케이션 트래픽과 연계된 사업 타당성으로, 매우 높음, 높음, 중간, 낮음, 매우 낮음이 있습니다. 연결에서 탐지된 각 애플리케이션 유형에는 관련된 사업 타당성이 있습니다. 이 필드에는 그중 가장 낮은
값(가장 연관성이 적음)이 표시됩니다.
- 클라이언트 및 클라이언트 버전(시스템 로그: 클라이언트, ClientVersion)
-
연결에서 탐지된 클라이언트 애플리케이션 및 클라이언트 버전
시스템이 연결에 사용된 특정 클라이언트를 식별하지 못할 경우, 이 필드에는 애플리케이션 프로토콜 이름에 추가된 단어 "클라이언트"가 표시되어 일반 이름을 제공합니다(예:FTP 클라이언트).
- 클라이언트 카테고리 및 태그
-
애플리케이션의 기능을 파악하는 데 도움이 될 수 있도록 애플리케이션의 특성을 분류하는 기준
- Connection Counter(시스템 로그 전용)
-
다른 동시 연결에서 하나의 연결을 구분하는 카운터입니다. 이 필드 자체에는 중요한 의미가 없습니다.
다음 필드는 연결 이벤트(DeviceUUID, 첫 번째 패킷 시간, 연결 인스턴스 ID, 연결 카운터)를 전체적으로 개별 식별합니다.
- Connection Instance ID(시스템 로그 전용)
-
연결 이벤트를 처리한 Snort 인스턴스입니다. 이 필드 자체에는 중요한 의미가 없습니다.
다음 필드는 연결 이벤트(DeviceUUID, 첫 번째 패킷 시간, 연결 인스턴스 ID, 연결 카운터)를 전체적으로 개별 식별합니다.
- ConnectionDuration(시스템 로그만 있음)
-
이 필드는 시스템 로그 필드로만 존재합니다. Firepower Management Center 웹 인터페이스에서는 존재하지 않습니다. (웹 인터페이스는 First Packet and Last PAcket(첫 번째 패킷 및 마지막 패킷) 열을 사용하여이 정보를 전달합니다.)
이 필드는 연결 종료 시 로깅이 발생하는 경우에만 값을 갖습니다. 연결 시작 시스템 로그 메시지의 경우, 이 필드는 해당 시점에 값을 알 수 없으므로 출력하지 않습니다.
연결 종료 시스템 로그 메시지의 경우, 이 필드는 첫 번째 패킷과 마지막 패킷 사이의 초 수를 나타내며 짧은 연결인 경우 0이 될 수 있습니다. 예를 들어, 시스템 로그의 타임스탬프가 12:34:56이며 ConnectionDuration이
5인 경우 첫 번째 패킷은 12:34:51입니다.
- Connections
-
연결 요약의 연결 개수. 여러 연결 요약 간격에 걸쳐 있는 long-running 연결의 경우, 첫 번째 연결 요약 간격만 증가합니다. Connections(연결) 기준을 사용하여 유의미한 검색 결과를 보려면 연결 요약 페이지가 있는 맞춤형 워크플로를 사용해야 합니다.
- 개수
-
각 행에 표시되는 정보와 매칭되는 연결의 개수. 둘 이상의 동일한 행을 생성하는 제약 조건을 적용한 경우에만 Count(개수) 필드가 나타납니다. 사용자 지정 워크플로를 생성하고 Count(카운트) 열을 드릴다운 페이지에 추가하지 않은 경우, 각 연결은 개별적으로 낭려되고 패킷과 바이트는 합산되지 않습니다.
- 대상 포트/ICMP 코드(시스템 로그: 별도 필드- DstPort, ICMPCode)
-
Firepower Management Center 웹 인터페이스에서 이러한 값은 요약과 그래프를 제한합니다.
세션 responder가 사용하는 포트 또는 ICMP 코드
- DestinationSecurityGroup(시스템 로그 전용)
-
이 필드는 사용 가능한 경우 DestinationSecurityGroupTag의 숫자 값과 연결된 텍스트 값을 보유합니다. 그룹 이름을 텍스트 값으로 사용할 수 없는 경우 이 필드에는 DestinationSecurityGroupTag 필드와 동일한 정수 값이 포함됩니다.
- DestinationSecurityGroupType(시스템 로그만 해당)
-
이 필드는 보안 그룹 태그를 가져온 소스를 표시합니다.
값
|
설명
|
인라인
|
대상 SGT 값이 패킷에서 나옴
|
세션 디렉토리
|
대상 SGT 값이 세션 디렉토리 주제를 통해 ISE에서 제공됨
|
SXP
|
대상 SGT 값이 SXP 주제를 통해 ISE에서 제공됨
|
- 대상 SGT(시스템 로그: DestinationSecurityGroupTag)
-
연결에 사용되는 대상의 숫자 보안 그룹 태그(SGT) 속성입니다.
대상 SGT 값은 DestinationSecurityGroupType 필드에 지정된 소스에서 가져옵니다.
- 디바이스
-
Firepower Management Center 웹 인터페이스에서 이 값은 요약과 그래프를 제한합니다.
연결을 탐지한 매니지드 디바이스, 또는 NetFlow 데이터에서 생성된 연결의 경우 해당 데이터를 처리하는 매니지드 디바이스.
- DeviceUUID(시스템 로그만 해당)
-
이벤트를 생성한 Firepower 디바이스의 고유 식별자입니다.
다음 필드는 연결 이벤트(DeviceUUID, 첫 번째 패킷 시간, 연결 인스턴스 ID, 연결 카운터)를 전체적으로 개별 식별합니다.
- DNS 쿼리(시스템 로그: DNSQuery)
-
연결에서 도메인 이름을 조회하기 위해 해당 이름 서버로 제출된 DNS 쿼리.
이 필드는 DNS 필터링이 활성화된 경우 URL 필터링 일치에 대한 도메인 이름을 포함할 수도 있습니다. 이 경우 URL 필드는 비어 있으며 URL 범주 및 URL 평판 필드에는 도메인과 연결된 값이 포함됩니다.
DNS 필터링에 대한 자세한 내용은 DNS 필터링: DNS 조회 중 URL 평판 및 범주 식별(베타)의 내용을 참조하십시오.
- DNS 레코드 종류(시스템 로그: DNSRecordType)
-
연결에서 제출된 DNS 쿼리 해결에 사용된 DNS 리소스 레코드의 유형.
- DNS 응답(시스템 로그: DNSResponseType)
-
연결에서 쿼리를 받은 경우 이름 서버로 반환되는 DNS 응답.
- DNS 싱크홀 이름(시스템 로그: DNS_Sinkhole)
-
시스템이 연결을 재전송한 싱크홀 서버의 이름.
- DNS TTL(시스템 로그: DNS_TTL)
-
DNS 서버가 DNS 리소스 레코드를 캐시하는 초 수.
- 도메인
-
연결을 탐지한 매니지드 디바이스의 도메인, 또는 NetFlow 데이터에서 생성된 연결의 경우 해당 데이터를 처리하는 매니지드 디바이스의 도메인. 이 필드는 Firepower Management Center에 멀티테넌시를 구성한 경우에만 표시됩니다.
- Endpoint Location(엔드포인트 위치)
-
ISE에서 식별된 사용자를 인증하기 위해 ISE가 사용되는 네트워크 디바이스의 IP 주소.
- 엔드포인트 프로파일(시스템 로그: Endpoint Profile)
-
ISE에서 식별된 사용자의 엔드포인트 디바이스 유형.
- 이벤트 우선 순위(시스템 로그만 해당)
-
연결 이벤트가 우선 순위가 높은 이벤트인지 여부입니다. 우선 순위가 높은
이벤트는 침입, 보안 인텔리전스, 파일, 악성코드 이벤트와 관련된 연결 이벤트입니다. 이 외의 이벤트는 우선 순위가 낮은
이벤트입니다.
- 파일(시스템 로그: FileCount)
-
하나 이상의 파일 이벤트와 관련된 연결에서 탐지되거나 차단된 파일(악성코드 파일 포함)의 수.
Firepower Management Center 웹 인터페이스에서 파일 보기 아이콘이 파일 목록에 링크됩니다. 아이콘의 숫자는 해당 연결에서 탐지되거나 차단된 파일(악성코드 파일 포함)의 수를 나타냅니다.
- 첫 번째 패킷 또는 마지막 패킷(시스템 로그: ConnectionDuration 필드를 참조하십시오.)
-
세션의 첫 번째 또는 마지막 패킷이 표시된 날짜 및 시간.
- 첫 번째 패킷 시간(시스템 로그만 해당)
-
시스템이 첫 번째 패킷을 수신한 시간입니다.
다음 필드는 연결 이벤트(DeviceUUID, 첫 번째 패킷 시간, 연결 인스턴스 ID, 연결 카운터)를 전체적으로 개별 식별합니다.
- HTTP 참조자(시스템 로그: HTTPReferer)
-
연결(다른 URL에 링크를 제공하는 웹사이트 또는 다른 URL에서 링크를 가져온 웹사이트 등)에서 탐지된 HTTP 트래픽에 대해 요청된 URL의 참조 페이지를 나타내는 HTTP 참조 페이지
- HTTP 응답 코드(시스템 로그: HTTPResponse)
-
연결을 통해 클라이언트의 HTTP 요청에 대한 응답으로 전송된 HTTP 상태 코드
- 인그레스/이그레스 인터페이스(시스템 로그: IngressInterface, EgressInterface)
-
연결과 관련된 인그레스 또는 이그레스 인터페이스. 배포에 비대칭 라우팅 구성이 포함되어 있는 경우, 인그레스 및 이그레스 인터페이스가 동일한 인라인 쌍에 속하지 않을 수 있습니다.
- 인그레스/이그레스 보안 영역(시스템 로그: IngressZone, EgressZone)
-
연결과 관련된 인그레스 또는 이그레스 보안 영역
- 인그레스 가상 라우터/이그레스 가상 라우터(시스템 로그: IngressVRF, EgressVRF
- 가상 라우팅을 사용하는 네트워크에서 트래픽이 네트워크를 진입하거나 벗어날 때 통과하는 가상 라우터의 이름입니다.
- 개시자/응답자 바이트(시스템 로그: InitiatorBytes, ResponderBytes)
-
세션 개시자가 전송했거나 세션 응답자가 수신한 총 바이트 수.
- 개시자/응답자 대륙
-
라우팅 가능한 IP가 탐지되는 경우 세션 개시자 또는 응답자의 IP 주소와 관련된 대륙.
- 개시자/응답자 국가
-
라우팅 가능한 IP가 탐지되는 경우 세션 개시자 또는 응답자의 IP 주소와 관련된 국가. 시스템에 해당 국가의 플래그 및 ISO 3166-1 alpha-3 국가 코드 아이콘이 표시됩니다. 국가의 전체 이름을 보려면 플래그
아이콘 위에 포인터를 올려놓습니다.
- 개시자/응답자 IP(시스템 로그: SrcIP, DstIP)
-
Firepower Management Center 웹 인터페이스에서 이러한 값은 요약과 그래프를 제한합니다.
세션 이니시에어터 또는 응답기의 호스트 IP 주소(DNS 확인을 활성화한 경우 호스트 이름)
이니시에이터/응답자, 소스/대상, 그리고 발신자/수신자 필드 지침도 참조하십시오.
Firepower Management Center 웹 인터페이스에서 호스트 아이콘은 연결을 차단한 IP 주소를 식별합니다.
- 개시자/응답자 패킷(시스템 로그: InitiatorPackets, ResponderPackets)
-
세션 개시자가 전송했거나 세션 응답자가 수신한 총 패킷 수.
- 개시자 사용자(시스템 로그: User)
-
Firepower Management Center 웹 인터페이스에서 이 값은 요약과 그래프를 제한합니다.
세션 개시자에 로그인한 사용자. 이 필드에 No Authentication(인증 없음)이 입력된 경우, 사용자 트래픽은 다음과 같습니다.
해당하는 경우 사용자 이름 앞에 <realm>\을 입력합니다.
이니시에이터/응답자, 소스/대상, 그리고 발신자/수신자 필드 지침도 참조하십시오.
- 침입 이벤트(시스템 로그: IPSCount)
-
연결과 관련된 침입 이벤트의 수(해당되는 경우).
Firepower Management Center 웹 인터페이스에서 침입 이벤트 보기 아이콘이 이벤트 목록에 링크됩니다.
- IOC
-
이벤트가 연결과 관련된 호스트에 대해 IOC(indication of compromise)를 트리거했는지 여부.
- NetBIOS 도메인(시스템 로그: NetBIOSDomain)
-
세션에서 사용되는 NetBIOS 도메인
- NetFlow SNMP 인풋/아웃풋
-
NetFlow 데이터에서 생성된 연결에서 연결 트래픽이 입력되거나 NetFlow 엑스포터를 종료하는 경우 인터페이스에 대한 인터페이스 인덱스.
- NetFlow 소스/대상 자동 시스템
-
NetFlow 데이터에서 생성된 연결에서 트래픽 소스 또는 대상에 대한 경계 게이트웨이 프로토콜 자동 시스템 번호.
- NetFlow 소스/대상 접두사
-
NetFlow 데이터에서 생성된 연결에서 소스 또는 대상 접두사 마스크로 AND 처리된 소스 또는 대상 IP 주소.
- NetFlow 소스/대상 TOS
-
NetFlow 데이터에서 생성된 연결에서 연결 트래픽이 입력되거나 NetFlow 엑스포터를 종료하는 경우 서비스 유형(TOS) 바이트에 대한 설정.
- 네트워크 분석 정책(시스템 로그: NAPPolicy)
-
이벤드 생성과 관련된 NAP(네트워크 분석 정책) (해당되는 경우).
- 원래 클라이언트 IP(시스템 로그: originalClientSrcIP)
-
XFF(X-Forwarded-For), True-Client-IP 또는 맞춤 정의된 HTTP 헤더에서 추출된 원래 클라이언트 IP 주소. 이 필드를 입력하려면 네트워크 분석 정책에서 HTTP 전처리기 Extract Original Client IP Address(원래 클라이언트 IP 주소 추출) 옵션을 활성화해야 합니다. 또한 네트워크 분석 정책에서 최대 6개의 맞춤형 클라이언트 IP 헤더를 지정할 수 있으며 시스템이 Original Client IP 이벤트 필드에 대한 값을 선택하는 우선순위 순서를 설정할
수 있습니다.
- 프로토콜(시스템 로그: Protocol)
-
Firepower Management Center 웹 인터페이스:
연결에 사용된 전송 프로토콜 특정 프로토콜을 검색하려면 http://www.iana.org/assignments/protocol-numbers에 열거된 이름 또는 번호 프로토콜을 사용합니다.