상관관계 이벤트 보기
활성 상관관계 정책 내 상관관계 규칙이 트리거되면 시스템은 상관관계 이벤트를 생성하고 이를 데이터베이스에 로깅합니다.
참고 |
활성 상관관계 정책 내 규정준수 화이트 목록이 트리거되면 시스템은 화이트 목록 이벤트를 생성합니다. |
상관관계 이벤트의 테이블을 본 후, 찾고 있는 정보에 따라 이벤트 보기를 조작할 수 있습니다.
다중 도메인 구축 시 현재 도메인 및 하위 도메인의 데이터를 볼 수 있습니다. 더 높은 수준 또는 동기 도메인의 데이터는 볼 수 없습니다.
상관관계 이벤트에 액세스할 때 표시되는 페이지는 사용하는 워크플로에 따라 달라집니다. 상관관계 이벤트의 테이블 보기를 포함하는 사전 정의 워크플로를 사용할 수 있습니다. 특정 요구와 일치하는 정보만 표시하는 사용자 지정 워크플로를 생성할 수도 있습니다.
시작하기 전에
이 작업을 수행하려면 관리자 또는 보안 분석가 사용자여야 합니다.
프로시저
단계 1 |
을(를) 선택합니다. 원하는 경우, 맞춤형 워크플로 등 다른 워크플로를 사용하려면 워크플로 제목 옆에 있는 (switch workflow)(워크플로 전환)를 클릭합니다.
|
||
단계 2 |
원하는 경우, 타임 윈도우 변경에 설명된 대로 시간 범위를 조정합니다. |
||
단계 3 |
다음 작업 중 하나를 수행합니다.
|
상관관계 이벤트 필드
상관관계 규칙이 트리거되면 시스템은 상관관계 이벤트를 생성합니다. 다음 표는 상관관계 테이블에서 보고 검색할 수 있는 필드를 설명합니다.
필드 |
설명 |
---|---|
설명 |
상관관계 이벤트의 설명. 설명의 정보는 규칙이 트리거된 방식에 따라 달라집니다. 예를 들어 규칙이 운영 체제 정보 업데이트 이벤트에 의해 트리거된 경우 새 운영 체제 이름 및 신뢰도 레벨이 나타납니다. |
디바이스 |
정책 위반을 트리거한 이벤트를 생성한 디바이스의 이름. |
도메인 |
모니터링되는 트래픽이 정책 위반을 트리거한 디바이스의 도메인. 이 필드는 Firepower Management Center에 멀티테넌시를 구성한 경우에만 표시됩니다. |
영향 |
침입 데이터, 검색 데이터, 취약성 정보 간 상관관계를 기반으로 상관관계 이벤트에 할당되는 영향 레벨. 이 필드를 검색할 때 대소문자를 구분하지 않는 유효한 값은 |
Ingress Interface 또는 Egress Interface |
정책 위반을 트리거한 침입 또는 연결 이벤트의 인그레스 또는 이그레스 인터페이스. |
Ingress Security Zone 또는 Egress Security Zone |
정책 위반을 트리거한 침입 또는 연결 이벤트의 인그레스 또는 이그레스 보안 영역. |
인라인 결과 |
다음 중 하나에 해당합니다.
이 필드를 사용하여 침입 이벤트에 의해 트리거되는 정책 위반을 검색할 때는 다음 중 하나를 입력합니다.
침입 정책의 규칙 상태 또는 삭제 동작과 상관없이, 인라인 집합이 탭 모드인 경우를 포함하여 패시브 구축에서는 시스템이 패킷을 삭제하지 않습니다. |
정책 |
위반된 정책의 이름. |
Priority(우선순위) |
트리거된 규칙 또는 위반된 상관관계 정책의 우선순위에 의해 결정되는 상관관계 이벤트의 우선순위. 이 필드를 검색할 때 우선순위가 없는 경우, |
규칙 |
정책 위반을 트리거한 규칙의 이름. |
보안 인텔리전스 카테고리 |
정책 위반을 트리거한 이벤트에서 차단된 IP 주소를 나타내거나 포함하는 개체의 이름. 이 필드를 검색할 때 정책 위반을 트리거한 상관 관계 이벤트에 연결된 보안 인텔리전스 카테고리를 지정합니다. 보안 인텔리전스 카테고리는 보안 인텔리전스 개체의 이름, 전역 차단 목록, 맞춤형 보안 인텔리전스 목록이나 피드 또는 인텔리전스 피드의 카테고리 중 하나일 수 있습니다. |
Source Continent 또는 Destination Continent |
정책 위반을 트리거한 이벤트에서 소스 또는 대상 호스트 IP 주소에 연결된 대륙. |
Source Country 또는 Destination Country |
정책 위반을 트리거한 이벤트에서 소스 또는 대상 IP 주소에 연결된 국가. |
Source Host Criticality 또는 Destination Host Criticality |
상관관계 이벤트와 관련된 소스 또는 대상 호스트에 사용자가 할당하는 호스트 중요도: 검색 이벤트, 호스트 입력 이벤트 또는 연결 이벤트 기반의 규칙에 의해 생성된 상관관계 이벤트에만 소스 호스트 중요도가 포함됩니다. |
Source IP 또는Destination IP |
정책 위반을 트리거한 이벤트에서 소스 또는 대상 호스트의 IP 주소. |
Source Port/ICMP Type 또는 Destination Port/ICMP Code |
정책 위반을 트리거한 이벤트에 연결된 소스 트래픽의 소스 포트 또는 ICMP 유형 또는 대상 트래픽의 대상 포트 또는 ICMP 코드. |
Source User 또는 Destination User |
정책 위반을 트리거한 이벤트에서 소스 또는 대상 호스트에 로그인한 사용자의 이름. |
시간 |
상관관계 이벤트가 생성된 날짜 및 시간. 이 필드는 검색할 수 없습니다. |
Count(개수) |
각 행에 표시되는 정보와 매칭되는 이벤트의 수. 둘 이상의 동일한 행을 생성하는 제약 조건을 적용한 경우에만 Count(개수) 필드가 나타납니다. 이 필드는 검색할 수 없습니다. |